Ingérer les exemples IBM QRadar d’infractions

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Vous pouvez ingérer des exemples d’infractions pour une ou plusieurs règles sélectionnées IBM QRadar .

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
    2. Vous pouvez extraire les trois exemples d’infractions les plus récents ou fournir les ID d’infraction uniques pour les infractions spécifiques que vous souhaitez utiliser pour votre expérience de mappage.
      Dans la liste de choix Préférences d’ingestion , sélectionnez l’une des options suivantes :
      • Récupérer les infractions les plus récentes : les trois infractions les plus récentes pour les règles sélectionnées sont récupérées.
      • Sélectionner les infractions en fonction de l’ID des infractions : spécifiez l’ID de l’infraction pour les infractions à récupérer. Vous pouvez spécifier un maximum de 3 ID d’infraction séparés par des virgules.

      IBM QRadar : créer un profil : mappage : par défaut
    3. Cliquez sur Extraire les exemples de données pour extraire les derniers exemples de données d’infraction de la IBM QRadar console pour les règles d’infraction sélectionnées.
      Les champs d’infraction et les résultats des valeurs sont affichés sous forme d’onglets individuels. Une infraction peut être déclenchée par trois types de règles :
      • Événement : dans cette règle, les journaux d’événements sont vérifiés et si les critères spécifiés sont remplis, une infraction est créée.
      • Flux : les données et le trafic réseau sont vérifiés et, si certaines conditions sont remplies, une infraction est créée.
      • Commun : dans ce cas, vous pouvez spécifier des conditions pour les événements ou les flux et si l’une ou l’autre des conditions ou les deux conditions sont remplies, une infraction est créée.
      L’extraction des infractions de l’échantillon peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran. En fonction de la ou des règles qui ont déclenché l’infraction, en même temps que les champs d’infraction, les champs d’événement ou de flux sont renseignés comme illustré dans la figure ci-dessous :
      Mappage IBM QRadar Exemple d’infraction et d’événements
      Remarque :
      Les champs d’événement ou de flux affichés appartiennent au premier événement ou champ de flux qui a déclenché l’infraction en fonction de la règle d’événement ou de flux correspondante.
    4. Les champs d’infraction personnalisés suivants sont créés pour cette intégration.
      Les champs d’infractions standard en plus de ces champs personnalisés sont disponibles pour le mappage.
      • rules_contributing_to_offense : IBM QRadar règles qui ont contribué à l’infraction en fonction de l’ID de règle.
      • users : noms d’utilisateur de l’infraction
      • remote_destination_ip : adresses IP de destination distantes pour l’infraction.
        En fonction des ID de destination locaux pour l’infraction, les champs d’adresse de destination locale personnalisés suivants sont disponibles :
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (ID)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (magnitude)
        • local_destination_address (réseau)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • Les adresses sources suivantes sont disponibles en fonction des ID sources de l’infraction :
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (ID)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (magnitude)
        • source_addresses (réseau)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      Cochez la case Extraire les champs d’événements et de flux supplémentaires (facultatif). Vous pouvez extraire des échantillons de données d’événement et de flux à partir de n’importe quel champ de flux et d’événement personnalisé actif et valide. Spécifiez les champs personnalisés séparés par des virgules, comme indiqué ci-dessous :


      IBM QRadar : créer un profil : mappage : personnalisé
      Cliquez sur Extraire les exemples de données. Les champs d’événement ou de flux spécifiés ainsi que leurs valeurs (le cas échéant) sont ajoutés à la section Événement ou Flux, comme indiqué ci-dessous :
      IBM QRadar : Créer un profil : Mappage : Personnalisé : Résultat
      Une fois les exemples de données extraits, les valeurs correspondantes de ces champs sont renseignées sur le côté gauche du formulaire.
      IBM QRadar : créer un profil : infractions renseignées

    Que faire ensuite

    Une fois que vous avez extrait les exemples de données, l’étape suivante consiste à mapper les champs d’infraction à l’incident de sécurité.