Ingestão da amostra IBM QRadar de infrações

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Você pode ingerir amostras de infrações para uma ou mais regras IBM QRadar selecionadas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Você pode extrair as três infrações de amostra mais recentes ou fornecer os IDs de infração exclusivos para as infrações específicas que deseja usar para sua experiência de mapeamento.
      Na lista de seleção Preferência de ingestão, selecione uma das seguintes opções:
      • Recuperar infrações mais recentes: as três infrações mais recentes das regras selecionadas são recuperadas.
      • Selecionar infrações com base no ID de infrações: especifique o ID de infração para as infrações a serem recuperadas. Você pode especificar no máximo 3 IDs de infração separados por vírgulas.

      IBM QRadar: criar perfil: mapeamento: padrão
    3. Clique em Buscar dados de amostra para extrair os dados de infração de amostra mais recentes do console IBM QRadar para as regras de infração selecionadas.
      Os campos de infração e os resultados dos valores são exibidos como guias individuais. Uma infração pode ser acionada por três tipos de regras:
      • Evento: nesta regra, os logs de eventos são verificados e, se os critérios especificados forem atendidos, uma infração será criada.
      • Fluxo: os dados e o tráfego da rede são verificados e, se determinadas condições forem atendidas, uma infração será criada.
      • Comum: neste caso, você pode especificar condições para eventos ou fluxos e uma ou ambas as condições forem atendidas, uma infração será criada.
      A extração de exemplos de infrações pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela. Dependendo da regra ou regras que acionaram a infração, junto com os campos de infração, os campos de evento ou fluxo são preenchidos conforme mostrado na figura abaixo:
      Mapeamento do IBM QRadar Amostra de infração e eventos
      Nota:
      Os campos de evento ou fluxo exibidos pertencem ao primeiro evento ou campo de fluxo que acionou a infração com base no evento correspondente ou na regra de fluxo.
    4. A seguir estão os campos de infração personalizados criados para esta integração.
      Os campos de infrações padrão, além desses campos personalizados, estão disponíveis para mapeamento.
      • rules_contributing_to_offense: IBM QRadar regras que contribuíram para a infração com base no ID da regra.
      • users: nomes de usuário para a infração
      • remote_destination_ip: os IPs de destino remoto da infração.
        Com base nos IDs de destino local da infração, os seguintes campos de endereço de destino local personalizado estão disponíveis:
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (ID)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (tamanho)
        • local_destination_address (rede)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • Os seguintes endereços de origem estão disponíveis com base nos IDs de origem da infração:
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (ID)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (grandeza)
        • source_addresses (rede)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      Marque a caixa de seleção Buscar campos adicionais de evento e fluxo (opcional). Você pode buscar dados de evento e fluxo de amostra de qualquer evento personalizado e campos de fluxo ativos e válidos. Especifique os campos personalizados separados por vírgulas, conforme mostrado abaixo:


      IBM QRadar: criar perfil: mapeamento: personalizado
      Clique em Buscar dados de amostra. Os campos de fluxo ou evento especificados junto com seus valores (se disponíveis) são anexados à seção Evento ou Fluxo, conforme mostrado abaixo:
      IBM QRadar: Criar perfil: Mapeamento: Personalizado: Resultado
      Depois de buscar os dados de amostra, os valores correspondentes a esses campos são preenchidos no lado esquerdo do formulário.
      IBM QRadar: criar perfil: infrações preenchidas

    O que Fazer Depois

    Depois de obter os dados de amostra, a próxima etapa é mapear os campos de infração para o incidente de segurança.