Ingestão da amostra de IBM QRadar infrações

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Você pode ingerir exemplos de infrações para uma ou mais regras IBM QRadar selecionadas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Você pode extrair as três infrações de amostra mais recentes ou fornecer os IDs de ofensa exclusivos para as ofensas específicas que deseja usar para sua experiência de mapeamento.
      Na lista de seleção Preferência de ingestão, selecione uma das seguintes opções:
      • Recuperar infrações mais recentes: as três infrações mais recentes das regras selecionadas são recuperadas.
      • Selecionar infrações com base no ID de infrações: especifique o ID de infração para as infrações a serem recuperadas. Você pode especificar no máximo três IDs de ofensa separados por vírgulas.

      IBM QRadar: criar perfil: mapeamento: padrão
    3. Clique em Buscar dados de amostra para extrair os dados de amostra mais recentes do console IBM QRadar para as regras de violação selecionadas.
      Os campos de infração e os resultados dos valores são exibidos como guias individuais. Uma ofensa pode ser acionada por três tipos de regras:
      • Evento: nesta regra, os logs de eventos são verificados e, se os critérios especificados forem atendidos, uma ofensa será criada.
      • Fluxo: os dados e o tráfego da rede são verificados e, se determinadas condições forem atendidas, uma ofensa será criada.
      • Comum: neste caso, você pode especificar condições para eventos ou fluxos e uma ou ambas as condições forem atendidas, uma ofensa será criada.
      A extração de exemplos de infrações pode demorar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela. Dependendo da regra ou das regras que acionaram a infração, junto com os campos de infração, os campos de evento ou fluxo são preenchidos conforme mostrado na figura abaixo:
      Mapeamento IBM QRadar Exemplo de infração e eventos
      Nota:
      Os campos de evento ou fluxo exibidos pertencem ao primeiro evento ou campo de fluxo que acionou a infração com base no evento ou regra de fluxo correspondente.
    4. A seguir estão os campos de infração personalizados criados para esta integração.
      Os campos de infrações padrão, além desses campos personalizados, estão disponíveis para mapeamento.
      • rules_contributing_to_offense: IBM QRadar regras que contribuíram para a ofensa com base no ID da regra.
      • users: nomes de usuário para a ofensa
      • remote_destination_ip: os IPs de destino remotos da infração.
        Com base nos IDs de destino local da infração, os seguintes campos de endereço de destino local personalizados estão disponíveis:
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (id)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (magnitude)
        • local_destination_address (rede)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • Os seguintes endereços de origem estão disponíveis com base nos IDs de origem da infração:
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (id)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (magnitude)
        • source_addresses (rede)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      Marque a caixa de seleção Buscar eventos adicionais e campos de fluxo (opcional). Você pode buscar eventos de amostra e dados de fluxo de qualquer evento personalizado válido e campos de fluxo. Especifique os campos personalizados separados por vírgulas, conforme mostrado abaixo:


      IBM QRadar: criar perfil: mapeamento: personalizado
      Clique em Buscar dados de amostra. Os campos de evento ou fluxo especificados junto com seus valores (se disponíveis) são anexados à seção Evento ou Fluxo, conforme mostrado abaixo:
      IBM QRadar: Criar perfil: Mapeamento: Personalizado: Resultado
      Depois de buscar os dados de amostra, os valores correspondentes a esses campos são preenchidos no lado esquerdo do formulário.
      IBM QRadar: criar perfil: infrações preenchidas

    O que Fazer Depois

    Depois de buscar os dados de amostra, a próxima etapa é mapear os campos de infração para o incidente de segurança.