IBM QRadar 통합 구성 설정
이 옵션을 사용하여 수집 통합 기본 시스템 속성을 수정합니다 IBM QRadar .
시스템 속성을 수정하려면 sn_si.admin 역할의 사용자로 로그인하고 .
| 속성 이름 | 설명 |
|---|---|
| 24시간 동안 만들 수 있는 보안 인시던트 수를 제한하십시오. sn_sec_qradar.max_si_per_day |
24시간 내에 만들 수 있는 최대 보안 인시던트 수를 지정합니다.
|
| 단일 인시던트로 집계할 수 있는 위반 수를 제한하십시오. sn_sec_qradar.max_aggregation_per_si |
보안 인시던트에 대한 위반 집계 제한입니다. 예를 들어, 102개의 위반이 있는 경우 처음 100개의 위반은 보안 incident_1 에 집계되고 나머지 2개는 보안 incident_2에 집계됩니다.
|
| 이 속성은 특정 위반에 대한 최근 이벤트/플로우를 가져오기 위해 AQL의 기간을 설정합니다. sn_sec_qradar.on_demand_recent_days_limit |
특정 위반에 대한 최근 이벤트 또는 플로우를 가져올 일 수를 지정합니다.
|
| 이 속성은 특정 범죄에 대해 가져온 최근 이벤트 수를 제한합니다. sn_sec_qradar.on_demand_event_limit |
위반에 대해 검색되는 이벤트 수를 지정합니다. 이벤트 타임스탬프를 기준으로 가장 최근 이벤트가 먼저 검색됩니다.
|
| 이 속성은 특정 위반에 대해 가져온 최근 플로우 수를 제한합니다. sn_sec_qradar.on_demand_flow_limit |
위반에 대해 검색되는 플로우 수를 지정합니다. 플로우 타임스탬프를 기준으로 최근 플로우가 먼저 검색됩니다.
|
| 이 특성은 특정 위반에 대한 최근 플로우/이벤트를 가져오는 AQL의 제한시간 값(초)을 설정합니다. sn_sec_qradar.on_demand_timeout |
|
| 위반의 AQL을 폴링하기 위해 큐에 있는 레코드의 검색 ID 시간 제한(초)입니다. sn_sec_qradar.sid_ttl |
보안 인시던트를 작성하기 전에 큐의 위반에 대한 AQL의 시간 초과입니다. 예를 들어, 90개의 위반이 있는 경우, 첫 번째 50개의 위반은 첫 번째 배치에서 AQL 데이터에 대해 처리되고 나머지 40개의 위반은 동일한 폴링 간격의 후속 배치에서 처리됩니다.
|
예약된 통합에 의해 트리거되는 한 번에 실행할 IBM QRadar 수 있는 검색 수를 제어하는 임계치 job.sn_sec_qradar.records_threshold_in_que_for_aql |
폴링 간격에서 단일 배치로 가져오는 위반 수를 지정합니다.
|
통합 테이블 정리 일 수입니다. sn_sec_qradar.queue_item_expire |
다음은 통합 테이블입니다.
|
일회성 검색 또는 진행 중인 수집에서 프로파일당 실행된 예약된 작업당 위반 제한입니다. sn_sec_qradar.max_offense_limit_per_run |
한 번의 검색으로 Now Platform으로 가져오는 위반 수를 지정합니다.
|
위반 업데이트 기능을 활성화하려면 이 속성을 설정하십시오. sn_sec_qradar.get_offense_updates |
주:
이 설정을 활성화하면 보안 인시던트 생성이 지연될 수 있습니다.
|
수정된 통합 설정은 프로파일에 정의된 다음 폴링 간격 동안 적용됩니다.