Table des Matières
Publicité
Types de collectes de données de référence
Avant de pouvoir configurer une réponse de règle pour envoyer des données à
une collecte de données de référence, vous devez créer la collecte de données de
référence au moyen de l'interface de ligne de commande (interface CLI). QRadar
prend en charge les types de collectes de données suivants :
Ensemble de références
Mappage de références
Mappage de références d'ensembles
Mappage de références de mappes
Table de référence
Remarque : Pour obtenir des informations sur les ensembles de références et
collectes de données de référence, consultez le Guide d'administration de votre
produit.
Affichage des règles
Vous pouvez afficher les détails d'une règle, notamment les tests, les blocs
fonctionnels et les réponses.
150
IBM Security QRadar - Guide d'utilisation
Ensemble d'éléments tels qu'une liste d'adresses IP ou de noms
d'utilisateurs, dérivés d'événements et de flux se produisant sur votre
réseau.
Les données sont stockées dans des enregistrements qui mappent une clé à
une valeur. Par exemple, pour corréler l'activité des utilisateurs sur votre
réseau, vous pouvez créer un mappage de références utilisant le paramètre
Username en tant que clé et le Global ID de l'utilisateur en tant que valeur.
Les données sont stockées dans des enregistrements qui mappent une clé à
plusieurs valeurs. Par exemple, pour tester l'accès autorisé à un brevet,
utilisez une propriété d'événement personnalisée pour Patent ID comme
clé et le paramètre Username comme valeur. Utilisez un mappage
d'ensembles pour établir une liste d'utilisateurs autorisés.
Les données sont stockées dans des enregistrements qui mappent une clé à
une autre clé, laquelle est à son tour mappée à une valeur unique. Par
exemple, pour tester les violations de bande passante du réseau, vous
pouvez créer un mappage de mappes. Utilisez le paramètre Source IP en
tant que première clé, le paramètre Application en tant que seconde clé et
le paramètre Total Bytes en tant que valeur.
Dans une table de référence, les données sont stockées dans une table qui
mappe une clé à une autre clé, qui est à son tour mappée à une valeur
unique. La seconde clé a un type qui lui est affecté. Ce mappage est
similaire à une table de base de données où chaque colonne de la table est
associée à un type. Par exemple, vous pouvez créer une table de référence
stockant le paramètre Username en tant que première clé et ayant plusieurs
clés secondaires auxquelles est affecté un type défini par l'utilisateur tel
que IP Type avec le paramètre Source IP ou Source Port en tant que
valeur. Vous pouvez configurer une réponse à la règle pour ajouter une ou
plusieurs clés définies dans la table. Vous pouvez également ajouter des
valeurs personnalisées à la réponse à la règle. La valeur personnalisée doit
être valide pour le type de la clé secondaire.
Publicité
Table des Matières
