Ingestion des exemples IBM QRadar d’infractions

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Vous pouvez ingérer des exemples d’infractions pour une ou plusieurs règles sélectionnées IBM QRadar .

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
    2. Vous pouvez soit extraire les trois exemples d’infractions les plus récents, soit fournir les ID d’infractions uniques pour les infractions spécifiques que vous souhaitez utiliser pour votre expérience de mappage.
      Dans la liste de choix Préférence d’ingestion , sélectionnez l’une des options suivantes :
      • Récupérer les infractions les plus récentes : les trois infractions les plus récentes pour les règles sélectionnées sont récupérées.
      • Sélectionner les infractions en fonction de l’ID des infractions : spécifiez l’ID d’infraction pour les infractions à récupérer. Vous pouvez spécifier un maximum de 3 ID d’infractions séparés par des virgules.

      IBM QRadar : créer un profil : mappage : par défaut
    3. Cliquez sur Extraire les données d’échantillon pour extraire les dernières données d’échantillon d’infraction de la IBM QRadar console pour les règles d’infraction sélectionnées.
      Les champs d’offense et les résultats des valeurs sont affichés sous forme d’onglets individuels. Une infraction peut être déclenchée par trois types de règles :
      • Événement : dans cette règle, les journaux d’événements sont vérifiés et si les critères spécifiés sont remplis, une infraction est créée.
      • Flux : les données et le trafic réseau sont vérifiés et si certaines conditions sont remplies, une infraction est créée.
      • Commun : dans ce cas, vous pouvez spécifier des conditions pour les événements ou les flux et si l’une ou les deux conditions sont remplies, une infraction est créée.
      L’extraction des exemples d’infractions peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran. En fonction de la ou des règles qui ont déclenché l’infraction, en plus des champs d’infraction, les champs d’événement ou de flux sont renseignés comme illustré dans la figure ci-dessous :
      Mappage IBM QRadar Exemple d’infraction et d’événements
      Remarque :
      Les champs d’événement ou de flux affichés appartiennent au premier champ d’événement ou de flux qui a déclenché l’infraction en fonction de l’événement ou de la règle de flux correspondante.
    4. Voici les champs d’infraction personnalisés créés pour cette intégration.
      Des champs d’infractions standard en plus de ces champs personnalisés sont disponibles pour le mappage.
      • rules_contributing_to_offense : IBM QRadar règles qui ont contribué à l’infraction en fonction de l’ID de règle.
      • utilisateurs : noms d’utilisateur pour l’infraction
      • remote_destination_ip : adresses IP de destination distantes pour l’infraction.
        En fonction des ID de destination locaux pour l’infraction, les champs d’adresse de destination locale personnalisés suivants sont disponibles :
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (ID)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (magnitude)
        • local_destination_address (réseau)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • Les adresses sources suivantes sont disponibles en fonction des ID sources de l’infraction :
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (ID)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (magnitude)
        • source_addresses (réseau)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      Cochez la case Récupérer des champs d’événements et de flux supplémentaires (facultatif). Vous pouvez extraire des exemples de données d’événement et de flux à partir de n’importe quel champ d’événement et de flux personnalisé actif et valide. Spécifiez les champs personnalisés séparés par des virgules, comme indiqué ci-dessous :


      IBM QRadar : créer un profil : mappage : personnalisé
      Cliquez sur Extraire un exemple de données. Les champs d’événement ou de flux spécifiés ainsi que leurs valeurs (le cas échéant) sont ajoutés à la section Événement ou Flux, comme indiqué ci-dessous :
      IBM QRadar : créer un profil : mappage : personnalisé : résultat
      Une fois les exemples de données extraits, les valeurs correspondantes de ces champs sont renseignées sur le côté gauche du formulaire.
      IBM QRadar : créer un profil : infractions renseignées

    Que faire ensuite

    Une fois que vous avez extrait les exemples de données, l’étape suivante consiste à mapper les champs d’infraction à l’incident de sécurité.