IBM QRadar Konfigurationseinstellungen für die Integration
Verwenden Sie diese Option, um die Standardsystemeigenschaften der IBM QRadar -Erfassungsintegration zu ändern.
Um die Systemeigenschaften zu ändern, melden Sie sich als Benutzer mit der Rolle sn_si.admin an, und navigieren Sie zu .
| Eigenschaftsname | Beschreibung |
|---|---|
| Grenzwert für die Anzahl von Security Incidents erzwingen, die innerhalb von 24 Stunden erstellt werden können. sn_sec_qradar.max_si_per_day |
Gibt die maximale Anzahl von Security Incidents an, die innerhalb von 24 Stunden erstellt werden können.
|
| Erzwingt einen Grenzwert für die Anzahl von Vergehen, die zu einem einzelnen Incident zusammengefasst werden können. sn_sec_qradar.max_aggregation_per_si |
Der Grenzwert der Vergehen-Zusammenfassung für einen Security Incident. Wenn beispielsweise 102 Vergehen vorliegen, werden die ersten 100 Vergehen zu „Security Incident_1“ und die verbleibenden 2 zu „Security Incident_2“aggregiert.
|
| Diese Eigenschaft legt den Zeitraum von AQL fest, um die neuesten Ereignisse/Flows für einen bestimmten Vergehen abzurufen. sn_sec_qradar.on_demand_recent_days_limit |
Gibt die Anzahl der Tage für den Abruf der neuesten Ereignisse oder Flows für einen bestimmten Vergehen an.
|
| Diese Eigenschaft begrenzt die Anzahl der kürzlichen Ereignisse, die für einen bestimmten Vergehen abgerufen wurden. sn_sec_qradar.on_demand_event_limit |
Gibt die Anzahl der Ereignisse an, die für einen Vergehen abgerufen werden. Die neuesten Ereignisse werden basierend auf dem Ereigniszeitstempel zuerst abgerufen.
|
| Diese Eigenschaft begrenzt die Anzahl der aktuellen Flows, die für einen bestimmten Vergehen abgerufen wurden. sn_sec_qradar.on_demand_flow_limit |
Gibt die Anzahl der Flows an, die für einen Vergehen abgerufen werden. Die neuesten Flows werden basierend auf dem Flow-Zeitstempel zuerst abgerufen.
|
| Diese Eigenschaft legt den Zeitüberschreitungswert (Sekunden) für die AQL fest, die die neuesten Flows/Ereignisse für einen bestimmten Vergehen abruft. sn_sec_qradar.on_demand_timeout |
|
| Zeitüberschreitung der Such-IDs (Sekunden) für Datensätze in der Warteschlange zum Abfragen von AQLs eines Vergehens. sn_sec_qradar.sid_ttl |
Die Zeitüberschreitung der AQL für einen Vergehen in der Warteschlange, bevor ein Security Incident erstellt wird. Wenn beispielsweise 90 Vergehen vorliegen, werden die ersten 50 Vergehen für AQL-Daten im ersten Batch verarbeitet und die verbleibenden 40 Vergehen im nachfolgenden Batch im selben Abfrageintervall.
|
Schwellenwert zur Steuerung der Anzahl der Suchvorgänge, die in IBM QRadar gleichzeitig ausgeführt werden können und durch die geplante Integration ausgelöst werden job.sn_sec_qradar.records_threshold_in_que_for_aql |
Gibt die Anzahl der Vergehen an, die Sie in einem einzelnen Batch in einem Abfrageintervall abrufen.
|
Dies ist die Anzahl der Tage für die Bereinigung von Integrationstabellen. sn_sec_qradar.queue_item_expire |
Im Folgenden finden Sie die Integrationstabellen:
|
Grenzwert für Vergehen pro geplanter Aufgabe, die pro Profil ausgeführt werden, entweder beim einmaligen Abruf oder bei der laufenden Erfassung. sn_sec_qradar.max_offense_limit_per_run |
Gibt die Anzahl der Vergehen an, die Sie in einem einzelnen Abruf in die Now Platform abrufen.
|
Legen Sie diese Eigenschaft fest, um die Funktion „Angriffsaktualisierungen“ zu aktivieren. sn_sec_qradar.get_offense_updates |
Hinweis:
Das Aktivieren dieser Einstellung kann zu einer Verzögerung beim Erstellen eines Security Incident führen.
|
Alle geänderten Integrationseinstellungen werden während des nächsten Abfrageintervalls angewendet, wie im Profil definiert.