IBM QRadar Paramètres de configuration de l’intégration
Utilisez cette option pour modifier les propriétés système par défaut de l’intégration d’ingestion IBM QRadar .
Pour modifier les propriétés système, connectez-vous en tant qu’utilisateur disposant du rôle sn_si.admin et accédez à .
| Nom de la propriété | Description |
|---|---|
| Appliquer une limite au nombre d'incidents de sécurité qui peuvent être créés dans la période de 24 heures. sn_sec_qradar.max_si_per_day |
Spécifie le nombre maximal d’incidents de sécurité qui peuvent être créés en 24 heures.
|
| Appliquez une limite au nombre d’infractions qui peuvent être regroupées en un seul incident. sn_sec_qradar.max_aggregation_per_si |
Limite d’agrégation des infractions pour un incident de sécurité. Par exemple, s’il y a 102 infractions, les 100 premières infractions sont agrégées aux incident_1 de sécurité et les 2 autres aux incident_2 de sécurité.
|
| Cette propriété définit la période d’AQL pour extraire les événements/flux récents pour une infraction particulière. sn_sec_qradar.on_demand_recent_days_limit |
Spécifie le nombre de jours pour extraire les événements ou flux récents pour une infraction particulière.
|
| Cette propriété limite le nombre d’événements récents récupérés pour une infraction particulière. sn_sec_qradar.on_demand_event_limit |
Spécifie le nombre d’événements récupérés pour une infraction. Les événements les plus récents sont récupérés en premier en fonction de l’horodatage de l’événement.
|
| Cette propriété limite le nombre de flux récents récupérés pour une infraction particulière. sn_sec_qradar.on_demand_flow_limit |
Spécifie le nombre de flux récupérés pour une infraction. Les flux les plus récents sont récupérés en premier en fonction de l’horodatage du flux.
|
| Cette propriété définit la valeur du délai d’expiration (secondes) pour l’AQL qui extrait les flux/événements récents pour une infraction particulière. sn_sec_qradar.on_demand_timeout |
|
| Délai d’expiration (secondes) des ID de recherche des enregistrements dans la file d’attente pour l’interrogation des AQL d’une infraction. sn_sec_qradar.sid_ttl |
Délai d’expiration de l’AQL pour une infraction dans la file d’attente avant de créer un incident de sécurité. Par exemple, s’il y a 90 infractions, les 50 premières infractions sont traitées pour les données AQL dans le premier lot et les 40 infractions restantes dans le lot suivant dans le même intervalle d’interrogation.
|
Seuil permettant de contrôler le nombre de recherches qui peuvent être exécutées IBM QRadar à un moment donné et qui est déclenché par l’intégration planifiée job.sn_sec_qradar.records_threshold_in_que_for_aql |
Spécifie le nombre d’infractions que vous récupérez dans un seul lot dans un intervalle d’interrogation.
|
Il s’agit du nombre de jours pour le nettoyage des tables d’intégration. sn_sec_qradar.queue_item_expire |
Les tables d’intégration sont les suivantes :
|
Limite d’infractions par exécution de tâche planifiée par profil, que ce soit en récupération ponctuelle ou en ingestion continue. sn_sec_qradar.max_offense_limit_per_run |
Spécifie le nombre d’infractions que vous extrayez dans la Now Platform en une seule récupération.
|
Définissez cette propriété pour activer la fonctionnalité Mises à jour des infractions. sn_sec_qradar.get_offense_updates |
Remarque :
L’activation de ce paramètre peut entraîner un retard dans la création d’un incident de sécurité.
|
Tous les paramètres d’intégration modifiés seront appliqués au cours de l’intervalle d’interrogation suivant, tel que défini dans le profil.