1. Manuels
  2. Marques
  3. IBM Manuels
  4. Unités de contrôle
  5. Security QRadar
  6. Guide d'utilisation

Réglage Des Faux Positifs - IBM Security QRadar Guide D'utilisation

Version 7.2.1
Masquer les pouces
Table des Matières

Publicité

5. Si vous connaissez le QID que vous souhaitez mapper à cet événement, entrez
6. Si vous ne connaissez pas le QID à mapper à cet événement, vous pouvez
7. Cliquez sur OK.
Réglage des faux positifs
Vous pouvez utiliser la fonction False Positive Tuning pour éviter que les
événements faux positifs ne créent des violations.
Avant de commencer
Vous pouvez régler les événements faux positifs à partir de la page event list ou
event details.
Pourquoi et quand exécuter cette tâche
Vous pouvez régler les événements faux positifs à partir de la page event list ou
event details.
Vous devez disposer des droits appropriés pour créer des règles personnalisées
afin de régler les faux positifs.
Pour plus d'informations sur les rôles, voir IBM Security QRadar SIEM
Administration Guide.
Pour plus d'informations sur les faux positifs, voir le Glossaire.
Procédure
1. Cliquez sur l'onglet Log Activity.
2. Facultatif. Si vous affichez des événements en mode de diffusion en flux,
3. Sélectionnez l'événement que vous souhaitez régler.
4. Cliquez sur False Positive.
5. Dans le panneau Event/Flow Property de la fenêtre False Positive, sélectionnez
6. Dans le panneau Traffic Direction, sélectionnez l'une des options suivantes :
82
IBM Security QRadar - Guide d'utilisation
le QID dans la zone Enter QID.
rechercher un QID particulier :
a. Choisissez l'une des options suivantes : To search for a QID by category,
select the high-level category from the High-Level Category list box.
To search for a QID by category, select the low-level category from
the Low-Level Category list box. To search for a QID by log source
type, select a log source type from the Log Source Type list box. To
search for a QID by name, type a name in the QID/Name field.
b. Cliquez sur Search.
c. Sélectionnez le QID que vous souhaitez associer à cet événement.
cliquez sur l'icône Pause pour mettre en pause ce mode.
l'une des options suivantes :
v Event/Flow(s) with a specific QID of <Event>
v Any Event/Flow(s) with a low-level category of <Event>
v Any Event/Flow(s) with a high-level category of <Event>
v <Source IP Address> to <Destination IP Addresss>
v <Source IP Address> to Any Destination
v Any Source to <Destination IP Address>

Publicité

Table des Matières
loading

Manuels Connexes pour IBM Security QRadar

Contenu connexe pour IBM Security QRadar

Table des Matières