1. Manuels
  2. Marques
  3. IBM Manuels
  4. Unités de contrôle
  5. Security QRadar
  6. Guide d'utilisation

Modification De Mappage D'événement; Avant De Commencer - IBM Security QRadar Guide D'utilisation

Version 7.2.1
Masquer les pouces
Table des Matières

Publicité

Pour plus d'informations sur la gestion des violations, voir Gestion des violations.
Lorsque vous affichez une violation à partir de l'onglet Log Activity, la violation
risque de ne pas s'afficher si le magistrat n'a pas encore enregistré la violation
associée à l'événement sélectionné sur le disque ou si la violation a été purgée de
la base de données. Si cela se produit, le système vous prévient.
Procédure
1. Cliquez sur l'onglet Log Activity.
2. Facultatif. Si vous affichez des événements en mode de diffusion en flux,
3. Cliquez sur l'icône Offense à côté de l'événement que vous souhaitez étudier.
4. Affichez la violation associée.
Modification de mappage d'événement
Vous pouvez mapper manuellement un événement normalisé ou brut à une
catégorie de niveau supérieur ou inférieur (ou QID).

Avant de commencer

Cette opération manuelle permet de mapper des événements de source de journal
inconnus à des événements QRadar connus afin de pouvoir les classer et les traiter
de façon adéquate.
Pourquoi et quand exécuter cette tâche
A des fins de normalisation, QRadar mappe automatiquement les événements de
sources de journal vers des catégories de niveau supérieur et de niveau inférieur.
Pour plus d'informations sur les catégories d'événements, voir IBM Security QRadar
SIEM Administration Guide.
Lorsque QRadar reçoit des événements de sources de journal que le système ne
parvient pas à classer, ces événements sont classés comme étant inconnus. Ces
événements se produisent pour plusieurs raisons, notamment :
v User-defined Events - Certaines sources de journal comme Snort, vous
v New Events or Older Events - Les sources de journal des fournisseurs peuvent
Remarque : L'icône Map Event est désactivée pour les événements lorsque la
catégorie de niveau supérieur est SIM Audit ou que le type de source de journal
est Simple Object Access Protocol (SOAP).
Procédure
1. Cliquez sur l'onglet Log Activity.
2. Facultatif. Si vous affichez des événements en mode de diffusion en flux,
3. Cliquez deux fois sur l'événement que vous souhaitez mapper.
4. Cliquez sur Map Event.
cliquez sur l'icône Pause pour mettre en pause ce mode.
permettent de créer des événements définis par l'utilisateur.
mettre à jour leurs logiciels avec des éditions de maintenance pour prendre en
charge de nouveaux événements que QRadar ne prend peut-être pas en charge.
cliquez sur l'icône Pause pour mettre en pause ce mode.
Chapitre 4. Étude de l'activité du journal
81

Publicité

Table des Matières
loading

Manuels Connexes pour IBM Security QRadar

Contenu connexe pour IBM Security QRadar

Table des Matières