IBM QRadar 統合設定
このオプションを使用して、IBM QRadar 取り込み統合のデフォルトのシステムプロパティを変更します。
システムプロパティを変更するには、 sn_si.admin ロールを持つユーザーとしてログインし、 .
| プロパティ名 | 説明 |
|---|---|
| 24 時間内に作成できるセキュリティインシデント数の制限を強制します。 sn_sec_qradar.max_si_per_day |
24 時間内に作成できるセキュリティインシデントの最大数を指定します。
|
| 単一のインシデントに集計できる違反数の制限を強制します。 sn_sec_qradar.max_aggregation_per_si |
セキュリティインシデントの違反集計制限。たとえば、102 件の違反がある場合、最初の 100 件は security incident_1 に集計され、残りの 2 件は security incident_2 に集計されます。
|
| このプロパティは、AQL の期間を設定し、特定の違反について最新のイベント/フローをフェッチします。 sn_sec_qradar.on_demand_recent_days_limit |
特定の違反について最新のイベントまたはフローをフェッチする日数を指定します。
|
| このプロパティは、特定の違反について取得された最近のイベントの数を制限します。 sn_sec_qradar.on_demand_event_limit |
違反に対して取得されるイベントの数を指定します。イベントのタイムスタンプに基づいて、最新のイベントが最初に取得されます。
|
| このプロパティは、特定の違反についてフェッチされた最近のフローの数を制限します。 sn_sec_qradar.on_demand_flow_limit |
違反に対して取得されるフローの数を指定します。フローのタイムスタンプに基づいて、最新のフローが最初に取得されます。
|
| このプロパティは、特定の違反について最近のフロー/イベントをフェッチする AQL のタイムアウト値 (秒) を設定します。 sn_sec_qradar.on_demand_timeout |
|
| 違反の AQL をポーリングするための、キューにあるレコードの検索 ID のタイムアウト (秒)。 sn_sec_qradar.sid_ttl |
セキュリティインシデントを作成する前のキュー内の違反に対する AQL のタイムアウト。たとえば、90 件の違反がある場合、最初のバッチの AQL データに対して最初の 50 件の違反が処理され、残りの 40 件の違反は同じポーリング間隔で処理されます。
|
スケジュールされた統合でトリガーされたときに IBM QRadar で実行できる検索の数を制御するしきい値。 job.sn_sec_qradar.records_threshold_in_que_for_aql |
ポーリング間隔で単一のバッチでフェッチする違反の数を指定します。
|
これは、統合テーブルがクリーンアップされる日数です。 sn_sec_qradar.queue_item_expire |
以下は統合テーブルです。
|
1 回限りの取得または進行中の取り込みのいずれかにおける、各プロファイルでのスケジュール済みジョブ実行ごとの違反制限。 sn_sec_qradar.max_offense_limit_per_run |
1 回の取得で Now Platform にフェッチする違反の数を指定します。
|
違反の更新機能をアクティブ化するには、このプロパティを設定します。 sn_sec_qradar.get_offense_updates |
注:
この設定を有効にすると、セキュリティインシデントの作成が遅れる可能性があります。
|
変更した統合設定は、プロファイルで定義されている次のポーリング間隔で適用されます。