Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

参考集概述

使用 JSA 中的参考集以简单的列表格式存储数据。

您可以在参考集中填充外部数据,如入侵指标 (IOC),也可以使用它来存储从网络上发生的事件和流中收集的业务数据,如 IP 地址和用户名。

参考集包含可在搜索、过滤器、规则测试条件和规则响应中使用的唯一值。使用规则测试参考集是否包含数据元素,或配置规则响应以将数据添加到参考集。例如,您可以创建一个规则来检测员工何时访问禁止的网站,并配置规则响应,以便将员工的 IP 地址或用户名添加到参考集。

有关配置规则响应以将数据添加到参考集的更多信息,请参阅 《瞻博网络安全分析用户指南》。

参考集是在 JSA 中管理的唯一参考数据收集类型。您还可以使用 命令行创建参考数据集使用 API 创建参考数据集 来管理参考集。

添加、编辑和删除参考集

使用参考集将属性(如 IP 地址或用户名)与列表进行比较。您可以使用带有规则的参考集来保留观察列表。例如,您可以创建规则以检测员工何时访问禁止的网站,然后将该员工的 IP 地址添加到参考集。

向参考集添加数据后,元素数和相关规则参数将自动更新。

编辑参考集时,可以更改数据值,但不能更改参考集包含的数据类型。

在删除参考集之前, JSA 会运行依赖关系检查,以查看参考集是否有与之关联的规则。

注意:

如果您使用技术对要与参考集数据进行比较的事件属性上的数据进行模糊处理,请使用字母数字参考集并添加混淆的数据值。

  1. 在导航菜单 () 上,单击 “管理员”。

  2. “系统配置 ”部分,单击 “参考集管理”。

  3. 要添加参考集:

    1. 单击 Add 并配置参数。

      详细了解参考集参数:

      下表介绍了用于配置参考集的每个参数。

      表 1:参考集参数

      参数

      描述

      名字

      参考集名称的最大长度为 255 个字符。

      类型

      选择参考元素的数据类型。创建参考集后,无法编辑 Type 参数。

      IP 类型存储 IPv4 地址。字母数字(忽略大写)会自动将任何字母数字值更改为小写。

      要将混淆的事件和流属性与参考数据进行比较,必须使用字母数字参考集。

      元素的生存时间

      指定参考元素何时到期。如果您选择“生命永远”默认设置,则参考元素不会过期。

      如果指定了时间量,请指明生存间隔是基于第一次看到数据的时间,还是最后一次看到数据。

      JSA 会定期(默认情况下,每 5 分钟)删除参考集中过期的元素。

      元素到期时

      指定当已过期的参考元素从参考集中移除时,如何将其记录在 qradar.log 文件中。

      每个元素记录在单独的日志条目 中选项会为移除的每个参考 元素触发过期的 ReferenceData 元素 日志事件。事件包含参考集名称和元素值。

      个日志条目中的 Log 元素 选项会为同时删除的所有参考元素触发一个 过期的 ReferenceData 元素 日志事件。事件包含参考集名称和元素值。

      “不记录元素”选项不会为移除的参考元素触发日志事件。

    2. 单击“创建”。

  4. 单击 编辑删除 以处理现有参考集。

    提示:

    要删除多个参考集,请使用 “快速搜索 ”文本框搜索要删除的参考集,然后单击“ 删除列出”。

查看参考集的内容

查看有关参考集中数据元素的信息,例如域分配、数据的到期时间以及上次在网络中看到该元素的日期。

  1. 在导航菜单 () 上,单击 “管理员”。

  2. “系统配置 ”部分,单击 “参考集管理”。

  3. 选择一个参考集,然后单击 查看内容

  4. 单击 “内容 ”选项卡,查看有关每个数据元素的信息。

    提示:

    使用搜索字段过滤与关键词匹配的所有元素。无法在 “生存时间 ”列中搜索数据。

    详细了解数据元素:

    下表介绍了为参考集中的每个数据元素显示的信息。

    表 2:有关参考集数据元素的信息

    描述

    特定于域的参考数据可由有权访问域的租户用户、MSSP 管理员和没有租户分配的用户查看。所有租户中的用户都可以查看共享的参考数据。

    价值

    在参考集中存储的数据元素。例如,值可能显示用户名或 IP 地址。

    起源

    显示手动添加数据元素时的用户名,以及通过从外部文件导入来添加数据的文件名。显示为响应规则而添加数据元素时的规则名称。

    是时候上线了

    从参考集中移除此元素之前的剩余时间。

    上次查看日期

    上次在网络上检测到此元素的日期和时间。

  5. 单击 “参考 ”选项卡,查看使用规则测试或规则响应中设置的参考的规则。

    表 3:内容选项卡参数

    参数

    描述

    规则名称

    配置为使用参考集的规则名称。

    规则所属的组。

    类别

    显示规则是否为自定义规则。

    类型

    显示 事件通用攻击 ,以指示测试规则所针对的数据类型。

    启用

    必须启用规则,自定义规则引擎才能对其进行评估。

    响应

    为此规则配置的响应。

    起源

    系统表示默认规则。

    “修改”表示已自定义默认规则。

    user 表示用户创建的规则。

  6. 要查看或编辑相关规则,请双击 “参考” 列表中的规则并完成规则向导。

向参考集添加元素

如果希望 JSA 将属性与元素值进行比较,请将元素添加到参考集。使用 JSA 手动将元素添加到参考集,或从 .csv 文件中导入元素。

要导入元素,请确保 .csv 文件存储在本地。

特定于域的参考数据可由有权访问域的租户用户、MSSP 管理员和没有租户分配的用户查看。所有租户中的用户都可以查看共享的参考数据。

您可以将参考数据分配给特定域。特定于域的参考数据可由有权访问域的租户用户、MSSP 管理员和没有租户分配的用户查看。所有租户中的用户都可以查看共享的参考数据。例如,非管理员的 MSSP 用户可以查看分配给域的参考数据。

  1. 在导航菜单 () 上,单击 “管理员”。

  2. “系统配置 ”部分,单击 “参考集管理”。

  3. 选择要添加元素的参考集,然后单击 查看内容

  4. 单击 内容 选项卡。

  5. 要手动添加数据元素,请执行以下步骤:

    1. 单击 Add 并配置参数。

      有效端口值为 0 - 65535。有效 IP 地址介于 0 到 255.255.255.255 之间。

      注意:

      如果对要与参考集数据进行比较的事件属性使用数据混淆技术,则必须使用包含混淆数据值的字母数字参考集。

    2. 单击 Add

  6. 要从 .csv 文件中添加元素,请执行以下步骤:

    1. 单击导入

    2. 单击选择文件并浏览以选择要导入的 .csv 文件。

      .csv 文件的格式必须采用所有项目在单行上用逗号分隔,或者每个项目都放在单独一行中。当每个项目位于单独一行上时,不需要分隔符。

    3. 选择要将参考集数据添加到的

    4. 单击导入

      导入会将文本文件的内容添加到参考集。

从参考集导出元素

如果想将信息包含在报告中,或与不使用 JSA 的人员共享信息,请将参考集元素导出到 .csv 文件中。

  1. 在导航菜单 () 上,单击 “管理员”。

  2. “系统配置 ”部分,单击 “参考集管理”。

  3. 选择要导出的参考集,然后单击 查看内容

  4. 单击 内容 选项卡,然后单击 导出

  5. 选择是立即打开文件,还是保存文件,然后单击 OK

从参考集删除元素

在错误将元素添加到参考集时,或者不再需要将该元素与其他 JSA 属性进行比较时,您可能需要从参考集中删除元素。例如,您可能需要移除错误地添加到资产排除阻止列表中的资产。

  1. 在导航菜单 () 上,单击 “管理员”。

  2. “系统配置 ”部分,单击 “参考集管理”。

  3. 选择包含要删除的元素的参考集,然后单击查看 内容

  4. 单击 内容 选项卡并选择以下选项之一:

    • 要删除单个元素,请从列表中选择该元素,然后单击 Delete

    • 要删除多个元素,请使用搜索框过滤列表以仅显示要删除的元素,然后单击 Delete 列出

相关文档