Paramètres de configuration
Utilisez cette option pour modifier les propriétés système par défaut de l’intégration d’ingestion IBM QRadar .
Pour modifier les propriétés système, connectez-vous en tant qu’utilisateur disposant du rôle sn_si.admin et accédez à .
| Nom de la propriété | Description |
|---|---|
| Appliquer une limite au nombre d'incidents de sécurité qui peuvent être créés dans la période de 24 heures. sn_sec_qradar.max_si_per_day |
Spécifiez le nombre maximal d’incidents de sécurité qui peuvent être créés en 24 heures.
|
| Appliquez une limite au nombre d'infractions qui peuvent être regroupées en un seul incident. sn_sec_qradar.max_aggregation_per_si |
Limite d’agrégation d’infractions pour un incident de sécurité. Par exemple, s’il y a 102 infractions, les 100 premières infractions sont agrégées aux incident_1 de sécurité et les 2 autres aux incident_2 de sécurité.
|
| Cette propriété définit la période de temps de l’AQL pour extraire les événements/flux récents pour une infraction particulière. sn_sec_qradar.on_demand_recent_days_limit |
Spécifiez le nombre de jours pour extraire les événements ou flux récents pour une infraction particulière.
|
| Cette propriété limite le nombre d'événements récents récupérés pour une infraction particulière. sn_sec_qradar.on_demand_event_limit |
Spécifiez le nombre d’événements récupérés pour une infraction. Les événements les plus récents sont récupérés en premier en fonction de l’horodatage de l’événement.
|
| Cette propriété limite le nombre de flux récents récupérés pour une infraction particulière. sn_sec_qradar.on_demand_flow_limit |
Spécifiez le nombre de flux récupérés pour une infraction. Les flux les plus récents sont récupérés en premier en fonction de l’horodatage du flux.
|
| Cette propriété définit la valeur du délai d'expiration (secondes) de l'AQL qui extrait les flux/événements récents pour une infraction particulière. sn_sec_qradar.on_demand_timeout |
|
| Délai d'expiration (secondes) des ID de recherche pour les enregistrements en file d'attente pour l'interrogation des AQL d'une infraction. sn_sec_qradar.sid_ttl |
Délai d’expiration de l’AQL pour une infraction dans la file d’attente avant de créer un incident de sécurité. Par exemple, s’il y a 90 infractions, les 50 premières infractions sont traitées pour les données AQL dans le premier lot et les 40 infractions restantes dans le lot suivant dans le même intervalle d’interrogation.
|
Seuil permettant de contrôler le nombre de recherches pouvant être exécutées IBM QRadar à la fois, déclenché par l’intégration planifiée job.sn_sec_qradar.records_threshold_in_que_for_aql |
Spécifiez le nombre d’infractions que vous récupérez en un seul lot dans un intervalle d’interrogation.
|
Il s’agit du nombre de jours pour le nettoyage des tables d’intégration. sn_sec_qradar.queue_item_expire |
Les tables d’intégration sont les suivantes :
|
Limite d’infractions par exécution de tâche planifiée par profil, soit en récupération unique, soit en ingestion continue. sn_sec_qradar.max_offense_limit_per_run |
Spécifiez le nombre d’infractions que vous récupérez en ServiceNow AI Platform une seule récupération.
|
Définissez cette propriété pour activer la fonctionnalité Mises à jour des infractions. sn_sec_qradar.get_offense_updates |
Remarque :
L’activation de ce paramètre peut entraîner un retard dans la création d’un incident de sécurité.
|
| Active l'ajout d'un intervalle de chevauchement lors de l'extraction des infractions à partir de QRadar. sn_sec_qradar.allow_overlapping |
Option permettant d’activer l’utilisation d’une fenêtre temporelle avec chevauchement lors de l’extraction d’infractions à partir de IBM QRadar. Lorsqu’il est activé, le système inclut un petit chevauchement entre les intervalles d’interrogation consécutifs pour s’assurer qu’aucune infraction n’est manquée en raison de retards de temps ou de latence d’ingestion.
|
| Niveau de connexion : débogage, information, avertissement, erreur. sn_sec_qradar.logging.verbosité |
Niveau de verbosité de connexion pour l’intégration QRadar. Les valeurs prises en charge comprennent le débogage, les informations, l’avertissement et l’erreur.
|
| Durée, en minutes, à ajouter en tant qu'intervalle de chevauchement. sn_sec_qradar.overlapping_time |
Nombre de minutes à ajouter en tant qu’intervalle de chevauchement lors de l’extraction des infractions à partir de IBM QRadar.
|
| Nombre de règles qui seront incluses dans une seule cellule. sn_sec_qradar.rules_batch_size |
Spécifiez le nombre maximal de règles de corrélation qui seront regroupées et envoyées ensemble dans une seule demande lors de l’interrogation IBM QRadar des infractions. Ce paramètre permet de contrôler le comportement et les performances du traitement par lots. Une valeur plus faible se traduit par plus d’appels API avec des charges utiles plus petites, tandis qu’une valeur plus élevée réduit le nombre d’appels API et augmente la taille de chaque demande. Ajustez cette valeur en fonction des performances de QRadar et des limites de l’API.
|
| Extraire les règles ADE sn_sec_qradar. fetch_ade_rules |
Option permettant d’ingérer des règles ADE dans la IBM QRadar liste des règles. Extraire les règles ADE extrait les règles d’anomalie créées dans IBM QRadar.
|
Tous les paramètres d’intégration modifiés seront appliqués lors de l’intervalle d’interrogation suivant, tel que défini dans le profil.