IBM QRadar Konfigurationseinstellungen für -Integrationen
Verwenden Sie diese Option, um die Standardsystemeigenschaften der Erfassungsintegration IBM QRadar zu ändern.
Um die Systemeigenschaften zu ändern, melden Sie sich als Benutzer mit der Rolle sn_si.admin an, und navigieren Sie zu .
| Eigenschaftsname | Beschreibung |
|---|---|
| Grenzwert für die Anzahl von Security Incidents erzwingen, die innerhalb von 24 Stunden erstellt werden können. sn_sec_qradar.max_si_per_day |
Gibt die maximale Anzahl von Security Incidents an, die innerhalb von 24 Stunden erstellt werden können.
|
| Erzwingen Sie eine Begrenzung der Anzahl von Verstößen, die zu einem einzelnen Incident zusammengefasst werden können. sn_sec_qradar.max_aggregation_per_si |
Der Grenzwert für die Zusammenfassung von Verstößen für einen Security Incident. Beispiel: Wenn es 102 Vergehen gibt, werden die ersten 100 Vergehen zu Security Incident_1 und die verbleibenden 2 zu Security Incident_2zusammengefasst.
|
| Diese Eigenschaft legt den Zeitraum von AQL fest, um die letzten Ereignisse/Flows für einen bestimmten Verstoß abzurufen. sn_sec_qradar.on_demand_recent_days_limit |
Gibt die Anzahl der Tage an, um aktuelle Events oder Flows für einen bestimmten Verstoß abzurufen.
|
| Diese Eigenschaft begrenzt die Anzahl der aktuellen Ereignisse, die für einen bestimmten Verstoß abgerufen werden. sn_sec_qradar.on_demand_event_limit |
Gibt die Anzahl der Ereignisse an, die für einen Verstoß abgerufen werden. Die neuesten Events werden basierend auf dem Event-Zeitstempel zuerst abgerufen.
|
| Diese Eigenschaft begrenzt die Anzahl der aktuellen Flows, die für einen bestimmten Verstoß abgerufen werden. sn_sec_qradar.on_demand_flow_limit |
Gibt die Anzahl der Flows an, die für einen Verstoß abgerufen werden. Die neuesten Flows werden basierend auf dem Flow-Zeitstempel zuerst abgerufen.
|
| Diese Eigenschaft legt den Zeitüberschreitungswert (Sekunden) für die AQL fest, die aktuelle Flows/Ereignisse für einen bestimmten Verstoß abruft. sn_sec_qradar.on_demand_timeout |
|
| Zeitüberschreitung für Such-IDs (Sekunden) für Datensätze in der Warteschlange für die Abfrage von AQLs eines Verstoßes. sn_sec_qradar.sid_ttl |
Die Zeitüberschreitung der AQL für einen Verstoß in der Warteschlange, bevor ein Security Incident erstellt wird. Wenn beispielsweise 90 Vergehen vorliegen, werden die ersten 50 Vergehen für AQL-Daten im ersten Batch und die verbleibenden 40 Vergehen im nachfolgenden Batch im selben Abfrageintervall verarbeitet.
|
Schwellenwert zur Steuerung der Anzahl der Suchvorgänge, die in IBM QRadar gleichzeitig ausgeführt werden können, was durch die geplante Integration ausgelöst wird job.sn_sec_qradar.records_threshold_in_que_for_aql |
Gibt die Anzahl der Vergehen an, die Sie in einem einzelnen Batch in einem Abfrageintervall abrufen.
|
Dies ist die Anzahl der Tage für die Bereinigung von Integrationstabellen. sn_sec_qradar.queue_item_expire |
Im Folgenden sind die Integrationstabellen aufgeführt:
|
Grenzwert für Straftaten pro geplanter Aufgabe, die pro Profil ausgeführt wird, entweder beim einmaligen Abruf oder bei laufender Erfassung. sn_sec_qradar.max_offense_limit_per_run |
Gibt die Anzahl der Straftaten an, die Sie bei einem einzigen Abruf in die Now Platform abrufen.
|
Legen Sie diese Eigenschaft fest, um die Funktion „Aktualisierungen von Straftaten“ zu aktivieren. sn_sec_qradar.get_offense_updates |
Hinweis:
Das Aktivieren dieser Einstellung kann zu einer Verzögerung beim Erstellen eines Security Incident führen.
|
Alle geänderten Integrationseinstellungen werden während des nächsten Abfrageintervalls angewendet, wie im Profil definiert.