Erfassung des Beispielvergehens IBM QRadar

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Sie können Beispielvergehen für eine oder mehrere ausgewählte IBM QRadar -Regeln erfassen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Sie können entweder die drei neuesten Beispielvergehen abrufen oder die eindeutigen Vergehen-IDs für die spezifischen Vergehen angeben, die Sie für Ihre Zuordnungs-Experience verwenden möchten.
      Wählen Sie in der Auswahlliste Erfassungseinstellung eine der folgenden Optionen aus:
      • Neueste Vergehen abrufen: Die drei neuesten Vergehen für die ausgewählten Regeln werden abgerufen.
      • Wählen Sie Vergehen basierend auf der Vergehen-ID aus: Geben Sie die Vergehen-ID für die abzurufenden Vergehen an. Sie können maximal 3 Vergehens-IDs durch Kommas getrennt angeben.

      IBM QRadar: Profil erstellen: Zuordnung: Standard
    3. Klicken Sie auf Beispieldaten abrufen, um die neuesten Beispielvergehensdaten für die ausgewählten Vergehensregeln aus der Konsole IBM QRadar abzurufen.
      Die Vergehen-Felder und -Werteergebnisse werden als einzelne Registerkarten angezeigt. Ein Vergehen kann durch drei Arten von Regeln ausgelöst werden:
      • Ereignis: In dieser Regel werden Ereignisprotokolle überprüft. Wenn die angegebenen Kriterien erfüllt sind, wird ein Vergehen erstellt.
      • Flow: Netzwerkdaten und -verkehr werden überprüft. Wenn bestimmte Bedingungen erfüllt sind, wird ein Vergehen erstellt.
      • Häufig: In diesem Fall können Sie Bedingungen für Ereignisse oder Flows angeben. Wenn eine oder beide Bedingungen erfüllt sind, wird ein Vergehen erstellt.
      Das Abrufen von Beispielvergehen kann einige Minuten dauern. Oben auf dem Bildschirm wird eine Meldung angezeigt, dass die Transaktion funktioniert. Abhängig von der Regel, die den Vergehen ausgelöst hat, werden zusammen mit den Vergehen-Feldern die Ereignis- oder Flow-Felder ausgefüllt, wie in der folgenden Abbildung dargestellt:
      IBM QRadar Mapping Beispielvergehen und Ereignisse
      Hinweis:
      Die angezeigten Ereignis- oder Flow-Felder gehören zum ersten Ereignis- oder Flow-Feld, das den Vergehen basierend auf dem entsprechenden Ereignis oder der entsprechenden Flow-Regel ausgelöst hat.
    4. Die folgenden anwenderdefinierten Vergehen-Felder wurden für diese Integration erstellt.
      Zusätzlich zu diesen anwenderdefinierten Feldern sind Standardvergehen-Felder für die Zuordnung verfügbar.
      • rules_contributing_to_offense: IBM QRadar Regeln, die basierend auf der Regel-ID zu dem Vergehen beigetragen haben.
      • users: Anwendernamen für den Vergehen
      • remote_destination_ip: Die Remote-Ziel-IPs für den Vergehen.
        Basierend auf den lokalen Ziel-IDs für den Vergehen sind die folgenden anwenderdefinierten lokalen Zieladressfelder verfügbar:
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (ID)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (Größe)
        • local_destination_address (Netzwerk)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • Die folgenden Quelladressen sind basierend auf den Quell-IDs des Vergehens verfügbar:
        • source_addresses (Domäne_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (ID)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (Größe)
        • source_addresses (Netzwerk)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      Aktivieren Sie das Kontrollkästchen Zusätzliche Ereignis- und Flow-Felder abrufen (optional). Sie können Beispielereignis- und Flow-Daten aus allen aktiven, gültigen anwenderdefinierten Ereignis- und Flow-Feldern abrufen. Geben Sie die anwenderdefinierten Felder wie folgt durch Kommas getrennt an:


      IBM QRadar: Profil erstellen: Zuordnung: Anwenderdefiniert
      Klicken Sie auf Beispieldaten abrufen. Die angegebenen Ereignis- oder Flow-Felder werden zusammen mit ihren Werten (falls verfügbar) wie unten gezeigt an den Abschnitt „Ereignis“ oder „Flow“ angehängt:
      IBM QRadar: Profil erstellen: Zuordnung: Anwenderdefiniert: Ergebnis
      Nachdem Sie die Beispieldaten abgerufen haben, werden die entsprechenden Werte für diese Felder auf der linken Seite des Formulars ausgefüllt.
      IBM QRadar: Profil erstellen: Ausgefüllte Vergehen

    Nächste Maßnahme

    Nachdem Sie die Beispieldaten abgerufen haben, besteht der nächste Schritt darin, die Vergehen-Felder dem Security Incident zuzuordnen.