1. Manuels
  2. Marques
  3. IBM Manuels
  4. Unités de contrôle
  5. Security QRadar
  6. Guide d'utilisation

Chapitre 8. Propriétés D'événements Et De Flux Personnalisés; Autorisations Obligatoires; Types De Propriétés Personnalisées - IBM Security QRadar Guide D'utilisation

Version 7.2.1
Masquer les pouces
Table des Matières

Publicité

Chapitre 8. Propriétés d'événements et de flux personnalisés
Les propriétés d'événements et de flux personnalisés vous permettent de
rechercher, d'afficher et de signaler des informations présentes dans les journaux
que QRadar ne normalise et n'affiche pas d'une manière générale.
Vous pouvez créer un événement personnalisé et des propriétés de flux à partir de
plusieurs emplacements sur les onglets Log Activity ou Network Activity :
v Event details - Vous pouvez sélectionner un événement à partir de l'onglet Log
v Flow details - Vous pouvez sélectionner un flux à partir de l'onglet Network
v Search page - Vous pouvez créer et modifier un événement personnalisé ou une

Autorisations obligatoires

Permet de créer des propriétés personnalisées si vous possédez les autorisations
appropriées.
Vous devez disposer de l'autorisation User Defined Event Properties ou User
Defined Flow Properties.
Si vous possédez des droits d'administration, vous pouvez également créer et
modifier des propriétés personnalisées à partir de l'onglet Admin.
Cliquez sur Admin > Data Sources > Custom Event Properties > ou sur Admin >
Data Sources > Custom Flow Properties.
Vérifiez auprès de votre administrateur que vous possédez les droits requis.
Pour plus d'informations, voir IBM Security QRadar SIEM - Guide d'administration.
Types de propriétés personnalisées
Vous pouvez créer un type de propriété personnalisé.
Lorsque vous créez une propriété personnalisée, vous pouvez créer une expression
régulière ou un type de propriété calculé.
A l'aide des instructions d'expression régulière (Regex), vous pouvez extraire des
données non normalisées à partir des contenus d'événement ou de flux.
Par exemple, un rapport est créé pour signaler tous les utilisateurs qui apportent
des changements aux droits d'utilisateur sur un serveur Oracle. Une liste des
utilisateurs est créée et le nombre de fois où ceux-ci ont apporté une modification
© Copyright IBM Corp. 2012, 2013
Activity afin de créer une propriété d'événement personnalisé dérivée de son
contenu.
Activity afin de créer une propriété de flux personnalisée dérivée de son
contenu.
propriété à partir de la page Search. Lorsque vous créez une nouvelle propriété
personnalisée à partir de la page Search, la propriété n'est pas dérivée d'un
événement ou d'un flux particulier ; par conséquent, la fenêtre Custom Property
Definition n'est pas en mesure de se préremplir. Vous pouvez copier et coller les
informations du contenu depuis une autre source.
137

Publicité

Table des Matières
loading

Manuels Connexes pour IBM Security QRadar

Contenu connexe pour IBM Security QRadar

Table des Matières