Beispielvergehen IBM QRadar werden erfasst

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Sie können Beispielvergehen für eine oder mehrere ausgewählte IBM QRadar Regeln erfassen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    2. Sie können entweder die drei letzten Beispielvergehen abrufen oder die eindeutigen Vergehen-IDs für die spezifischen Vergehen angeben, die Sie für Ihre Zuordnungs-Experience verwenden möchten.
      Wählen Sie in der Auswahlliste „Erfassungseinstellung“ eine der folgenden Optionen aus:
      • Neueste Vergehen abrufen: Die drei letzten Vergehen für die ausgewählten Regeln werden abgerufen.
      • Wählen Sie Straftaten basierend auf Straftaten-ID aus: Geben Sie die Straftat-ID für die abzurufenden Straftaten an. Sie können maximal 3 durch Kommas getrennte Vergehen-IDs angeben.

      IBM QRadar: Profil erstellen: Zuordnung: Standard
    3. Klicken Sie auf Beispieldaten abrufen, um die neuesten Beispiel-Vergehensdaten aus der Konsole IBM QRadar für die ausgewählten Vergehensregeln abzurufen.
      Die Ergebnisse der Straftatfelder und -werte werden als einzelne Registerkarten angezeigt. Ein Vergehen kann durch drei Arten von Regeln ausgelöst werden:
      • Ereignis: In dieser Regel werden Ereignisprotokolle überprüft, und wenn die angegebenen Kriterien erfüllt sind, wird ein Vergehen erstellt.
      • Flow: Netzwerkdaten und -verkehr werden überprüft, und wenn bestimmte Bedingungen erfüllt sind, wird ein Vergehen erstellt.
      • Allgemein: In diesem Fall können Sie Bedingungen für Events oder Flows angeben. Wenn eine oder beide Bedingungen erfüllt sind, wird ein Vergehen erstellt.
      Der Abruf für Beispielvergehen kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt. Abhängig von der Regel oder den Regeln, die den Vergehen ausgelöst hat, werden zusammen mit den Vergehen-Feldern die Event- oder Flow-Felder ausgefüllt, wie in der folgenden Abbildung dargestellt:
      IBM QRadar Mapping-Beispielvergehen und -Ereignisse
      Hinweis:
      Die angezeigten Event- oder Flow-Felder gehören zum ersten Event- oder Flow-Feld, das den Verstoß basierend auf der entsprechenden Event- oder Flow-Regel ausgelöst hat.
    4. Im Folgenden finden Sie benutzerdefinierte Felder für Straftaten, die für diese Integration erstellt wurden.
      Zusätzlich zu diesen benutzerdefinierten Feldern stehen Standardvergehen-Felder für die Zuordnung zur Verfügung.
      • rules_contributing_to_offense: IBM QRadar Regeln, die basierend auf der Regel-ID zum Vergehen beigetragen haben.
      • users: Benutzernamen für den Verstoß
      • remote_destination_ip: Die Remoteziel-IPs für den Verstoß.
        Basierend auf den lokalen Ziel-IDs für den Vergehen sind die folgenden benutzerdefinierten lokalen Zieladressfelder verfügbar:
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (ID)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (Größe)
        • local_destination_address (Netzwerk)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • Die folgenden Quelladressen sind basierend auf den Quell-IDs des Vergehens verfügbar:
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (ID)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (Größe)
        • source_addresses (Netzwerk)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      Aktivieren Sie das Kontrollkästchen Zusätzliche Event- und Flow-Felder abrufen (optional). Sie können Beispiel-Event- und Flow-Daten aus allen aktiven, gültigen benutzerdefinierten Event- und Flow-Feldern abrufen. Geben Sie die benutzerdefinierten Felder wie folgt durch Kommas getrennt an:


      IBM QRadar: Profil erstellen: Zuordnung: Benutzerdefiniert
      Klicken Sie auf Beispieldaten abrufen. Die angegebenen Event- oder Flow-Felder werden zusammen mit ihren Werten (falls verfügbar) wie unten gezeigt an den Event- oder Flow-Abschnitt angehängt:
      IBM QRadar: Profil erstellen: Zuordnung: Benutzerdefiniert: Ergebnis
      Nachdem Sie die Beispieldaten abgerufen haben, werden die entsprechenden Werte für diese Felder auf der linken Seite des Formulars ausgefüllt.
      IBM QRadar: Profil erstellen: Ausgefüllte Straftaten

    Nächste Maßnahme

    Nachdem Sie die Beispieldaten abgerufen haben, ordnen Sie im nächsten Schritt die Vergehensfelder dem Security Incident zu.