구성 설정

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 이 옵션을 사용하여 수집 통합 기본 시스템 속성을 수정합니다 IBM QRadar .

    시스템 속성을 수정하려면 sn_si.admin 역할을 가진 사용자로 로그인하고 다음으로 이동합니다. IBM QRadar 통합 > IBM QRadar 통합 설정.

    표 1. IBM QRadar 통합 설정
    속성 이름 설명
    24시간 동안 만들 수 있는 보안 인시던트 수를 제한하십시오.

    sn_sec_qradar.max_si_per_day
    24시간 동안 만들 수 있는 최대 보안 인시던트 수를 지정합니다.
    • 유형: 정수
    • 기본값: 1000
    단일 인시던트로 집계할 수 있는 위반의 수를 제한하십시오.

    sn_sec_qradar.max_aggregation_per_si
    보안 인시던트에 대한 위반 집계 제한입니다. 예를 들어, 102개의 위반이 있는 경우 처음 100개의 위반은 보안 incident_1 에 집계되고 나머지 2개는 보안 incident_2에 집계됩니다.
    • 유형: 정수
    • 기본값: 100
    이 속성은 특정 위반에 대한 최근 이벤트/플로우를 가져오기 위해 AQL의 기간을 설정합니다.

    sn_sec_qradar.on_demand_recent_days_limit
    특정 위반에 대한 최근 이벤트 또는 플로우를 가져올 일 수를 지정합니다.
    • 유형: 정수
    • 기본값: 7
    이 속성은 특정 위반에 대해 가져오는 최근 이벤트 수를 제한합니다.

    sn_sec_qradar.on_demand_event_limit
    위반에 대해 검색되는 이벤트 수를 지정합니다. 이벤트 타임스탬프를 기준으로 가장 최근 이벤트가 먼저 검색됩니다.
    • 유형: 정수
    • 기본값: 100
    이 속성은 특정 위반에 대해 가져오는 최근 플로우 수를 제한합니다.

    sn_sec_qradar.on_demand_flow_limit
    위반에 대해 검색되는 플로우 수를 지정합니다. 플로우 타임스탬프를 기준으로 가장 최근 플로우가 먼저 검색됩니다.
    • 유형: 정수
    • 기본값: 100
    이 속성은 특정 위반에 대한 최근 플로우/이벤트를 가져오는 AQL의 시간 제한 값(초)을 설정합니다.

    sn_sec_qradar.on_demand_timeout
    • 유형: 정수
    • 기본값: 300
    위반의 AQL를 폴링하기 위해 큐에 대기 중인 기록에 대한 검색 ID 시간 제한(초)입니다.

    sn_sec_qradar.sid_ttl
    보안 인시던트를 작성하기 전에 큐에서 위반에 대한 AQL의 시간 제한입니다. 예를 들어, 90개의 위반이 있는 경우, 처음 50개의 위반은 첫 번째 일괄처리에서 AQL 데이터에 대해 처리되고 나머지 40개의 오류는 동일한 폴링 간격의 후속 일괄처리에서 처리됩니다.
    • 유형: 정수
    • 기본값: 300

    예약된 통합에 의해 트리거되는 한 번에 실행할 IBM QRadar 수 있는 검색 수를 제어하는 임계치

    job.sn_sec_qradar.records_threshold_in_que_for_aql
    폴링 간격에서 단일 배치에서 가져오는 위반 수를 지정합니다.
    • 유형: 정수
    • 기본값: 50

    통합 테이블을 정리하는 데 필요한 일 수입니다.

    sn_sec_qradar.queue_item_expire
    통합 테이블은 다음과 같습니다.
    • sn_sec_qradar_events - IBM QRadar 이벤트
    • sn_sec_qradar_flows - IBM QRadar Flows
    • sn_sec_qradar_offense_updates - IBM QRadar 위반 업데이트
    • sn_sec_qradar_offense_to_task - 작업에 대한 IBM QRadar 위반
    • 유형: 정수
    • 기본값: 30

    예약된 작업당 위반 제한은 일회성 검색 또는 진행 중인 수집에서 프로파일당 실행됩니다.

    sn_sec_qradar.max_offense_limit_per_run
    단일 검색으로 가져오 ServiceNow AI Platform 는 위반 수를 지정합니다.
    • 유형: 정수
    • 기본값: 1000

    위반 업데이트 기능을 활성화하려면 이 속성을 설정합니다.

    sn_sec_qradar.get_offense_updates
    주:
    이 설정을 사용하도록 설정하면 보안 인시던트 생성이 지연될 수 있습니다.
    • 유형: true| 거짓
    • 기본값: false
    QRadar에서 위반을 가져오는 동안 중복 간격을 추가할 수 있습니다.

    sn_sec_qradar.allow_overlapping

    		 에서 위반 IBM QRadar을 가져올 때 겹치는 시간 창의 사용을 활성화하는 옵션입니다.

    이 옵션을 사용하면 시스템이 연속 폴링 간격 사이에 약간의 중복을 포함하여 타이밍 지연 또는 수집 대기 시간으로 인해 위반이 누락되지 않도록 합니다.

    • 유형: true| 거짓
    • 기본값: false
    로깅 수준-디버그,정보,경고,오류.

    sn_sec_qradar.logging.verbosity

    		 QRadar 통합에 대한 로깅 상세 정보 표시 수준입니다.

    지원되는 값으로는 디버그, 정보, 경고, 오류 등이 있습니다.

    • 유형: 문자
    • 기본값: debug
    중복 간격으로 추가되는 시간(분)입니다.

    sn_sec_qradar.overlapping_time

    		 에서 위반을 가져올 때 중복 간격으로 추가할 시간(분)입니다 IBM QRadar.
    • 유형: 정수
    • 기본값: 30
    단일 셀에 포함될 규칙의 수입니다.

    sn_sec_qradar.rules_batch_size

    		 위반 폴링 중에 그룹화되어 단일 요청 IBM QRadar 에 함께 전송될 상관관계 규칙의 최대 수를 지정하십시오.

    이 설정은 일괄 처리 동작 및 성능을 제어하는 데 도움이 됩니다. 값이 낮을수록 더 작은 페이로드로 더 많은 API 호출이 생성되고, 값이 높을수록 API 호출 수가 줄어들고 각 요청의 크기가 증가합니다.

    QRadar 성능 및 API 한계에 따라 이 값을 조정합니다.

    • 유형: 정수
    • 기본값: 50
    ADE 규칙 가져오기

    sn_sec_qradar.fetch_ade_rules

    		 규칙 목록에서 ADE 규칙 IBM QRadar 을 수집하는 옵션입니다.

    ADE 규칙 가져오기는 에서 생성된 IBM QRadar예외 규칙을 가져옵니다.

    • 유형: true| 거짓
    • 기본값: false

    수정된 통합 설정은 프로파일에 정의된 대로 다음 폴링 간격 동안 적용됩니다.