IBM QRadar Paramètres de configuration de l’intégration
Utilisez cette option pour modifier les propriétés système par défaut de l’intégration d’ingestion IBM QRadar .
Pour modifier les propriétés système, connectez-vous en tant qu’utilisateur avec le rôle sn_si.admin et accédez à .
| Nom de la propriété | Description |
|---|---|
| Appliquer une limite au nombre d'incidents de sécurité qui peuvent être créés dans la période de 24 heures. sn_sec_qradar.max_si_par_jour |
Spécifie le nombre maximal d’incidents de sécurité qui peuvent être créés en 24 heures.
|
| Appliquer une limite au nombre d’infractions qui peuvent être regroupées en un seul incident. sn_sec_qradar.max_aggregation_per_si |
Limite d’agrégation des infractions pour un incident de sécurité. Par exemple, s’il y a 102 infractions, les 100 premières infractions sont agrégées aux incident_1 de sécurité et les 2 autres aux incident_2 de sécurité.
|
| Cette propriété définit la période d’AQL pour extraire les événements/flux récents d’une infraction particulière. sn_sec_qradar.on_demand_recent_days_limit |
Spécifie le nombre de jours pour extraire les événements ou les flux récents d’une infraction particulière.
|
| Cette propriété limite le nombre d’événements récents récupérés pour une infraction particulière. sn_sec_qradar.on_demand_event_limit |
Spécifie le nombre d’événements récupérés pour une infraction. Les événements les plus récents sont récupérés en premier en fonction de l’horodatage de l’événement.
|
| Cette propriété limite le nombre de flux récents récupérés pour une infraction particulière. sn_sec_qradar.Limite_flux_à_la_demande_ |
Spécifie le nombre de flux récupérés pour une infraction. Les flux les plus récents sont récupérés en premier en fonction de l’horodatage du flux.
|
| Cette propriété définit la valeur du délai d’expiration (secondes) de l’AQL qui récupère les flux/événements récents pour une infraction particulière. sn_sec_qradar.on_demand_timeout |
|
| Délai d’expiration des ID de recherche (secondes) pour les enregistrements en file d’attente pour l’interrogation des AQL d’une infraction. sn_sec_qradar.sid_ttl |
Délai d’attente de l’AQL pour une infraction dans la file d’attente avant de créer un incident de sécurité. Par exemple, s’il y a 90 infractions, les 50 premières infractions sont traitées pour les données AQL dans le premier lot, et les 40 infractions restantes dans le lot suivant dans le même intervalle d’interrogation.
|
Seuil permettant de contrôler le nombre de recherches pouvant s’exécuter à IBM QRadar un moment donné déclenché par l’intégration planifiée job.sn_sec_qradar.records_threshold_in_que_for_aql |
Spécifie le nombre d’infractions que vous récupérez dans un seul lot dans un intervalle d’interrogation.
|
Il s’agit du nombre de jours pour le nettoyage des tables d’intégration. sn_sec_qradar.queue_item_expire |
Les tables d’intégration sont les suivantes :
|
Limite d’infractions par exécution de tâche planifiée par profil, que ce soit dans le cadre d’une récupération ponctuelle ou d’une ingestion continue. sn_sec_qradar.max_offense_limit_per_run |
Spécifie le nombre d’infractions que vous récupérez dans Now Platform en une seule récupération.
|
Définissez cette propriété pour activer la fonctionnalité Mises à jour des infractions. sn_sec_qradar.get_offense_updates |
Remarque :
L’activation de ce paramètre peut entraîner un retard dans la création d’un incident de sécurité.
|
Tous les paramètres d’intégration modifiés seront appliqués lors de l’intervalle d’interrogation suivant, tel que défini dans le profil.