SUR CETTE PAGE

Espaces de travail
Modèles de tableaux de bord
Tableaux
Widgets
Paramètres pour les sources de données AQL

Composants et espaces de travail du tableau de bord QRadar Pulse

L’espace de travail QRadar Pulse comprend des tableaux de bord et des éléments de tableau de bord. Utilisez-le pour créer un inventaire de tableaux de bord uniques afin de suivre les données opérationnelles et de sécurité des terminaux, des utilisateurs, des services et de l’entreprise.

Espaces de travail

Votre espace de travail est ce que vous voyez lorsque vous cliquez sur l’onglet Pulse de la console QRadar . Vous seul pouvez voir votre espace de travail, mais vous pouvez choisir de partager des tableaux de bord avec des collègues ou de développer des tableaux de bord spécifiques sur un moniteur sur un mur SOC. Créez des paramètres AQL pour votre espace de travail qui simplifient la création d’éléments de tableau de bord AQL et la mise à jour simultanée de plusieurs requêtes AQL.

L’image suivante montre l’affichage de l’espace de travail par défaut du tableau de bord Vue d’ensemble des infractions .

Modèles de tableaux de bord

Utilisez les modèles de tableau de bord par défaut dans QRadar Pulse comme point de départ pour créer votre propre inventaire de tableau de bord personnalisé pour votre espace de travail. Chaque modèle de tableau de bord propose plusieurs éléments de tableau de bord différents, que vous pouvez ajouter à différents tableaux de bord. Supprimez les éléments de tableau de bord qui ne s’appliquent pas à votre organisation.

Les tableaux de bord QRadar Pulse obtiennent leurs données de QRadar, de sorte que certains d’entre eux peuvent afficher des données, telles que le tableau de bord Événements et métriques de flux , immédiatement en fonction de la façon dont vous configurez QRadar pour recevoir des données. D’autres tableaux de bord QRadar Pulse doivent être modifiés pour que les données apparaissent dans les graphiques.

Tableaux

Les tableaux de bord contiennent des widgets qui surveillent et affichent les événements et les problèmes de sécurité importants pour votre organisation. Par exemple, le tableau de bord Vue d’ensemble des infractions contient des widgets qui surveillent les principales catégories d’infractions, les infractions les plus graves, etc. Créez vos propres tableaux de bord adaptés aux besoins de votre organisation et de votre réseau. Ajoutez des widgets à partir d’autres modèles de tableau de bord ou créez les vôtres. Importez des tableaux de bord que vos collègues partagent avec vous afin d’éliminer le besoin de recréer du contenu existant.

Widgets

Les widgets contiennent une source de données (AQL ou offense) et au moins un graphique. Vous pouvez ajouter d’autres graphiques sous forme de différentes vues, telles qu’un graphique à secteurs ou à barres. Par exemple, les widgets Événements par utilisateur du tableau de bord Mesures diverses peuvent s’afficher sous la forme d’un graphique à secteurs ou à barres. Le graphique à barres compare des ensembles de données entre les groupes, tels que les noms d’utilisateur et le nombre d’événements par utilisateur. La vue du graphique à secteurs affiche les mêmes informations, mais en pourcentages.

Paramètres pour les sources de données AQL

Les paramètres facilitent la réutilisation d’éléments communs dans plusieurs requêtes AQL afin de faciliter la création d’éléments de tableau de bord et leur partage. Créez des paramètres que vous pouvez utiliser dans tous les éléments de votre tableau de bord avec une source de données AQL, tels que Période et Valeur temporelle. L’utilisation de paramètres communs et de valeurs par défaut peut réduire le temps nécessaire à la création ou à la modification de requêtes AQL individuelles pour vos éléments de tableau de bord.

Création de tableaux de bord
Installation de modèles de tableau de bord dans votre espace de travail
Partager des liens de tableau de bord avec d’autres personnes
Ouverture de liens de tableau de bord partagé
Exporter des tableaux de bord pour les envoyer à d’autres personnes
Importation de tableaux de bord
Modification du thème et de l’image de marque de l’espace de travail

Création de tableaux de bord

Créez de nouveaux tableaux de bord, puis ajoutez des widgets. Définissez un tableau de bord spécifique comme tableau de bord par défaut chaque fois que vous vous connectez.

Développez la liste des tableaux de bord dans le coin supérieur gauche de l’onglet Pulse, cliquez sur Nouveau tableau de bord, puis sur Tableau de bord vierge.
Donnez un nom et une description au tableau de bord.

Note:
Les utilisateurs sont limités à 100 tableaux de bord et 800 éléments de tableau de bord chacun.

Les caractères réservés suivants dans le nom du tableau de bord sont supprimés du nom de fichier lorsque vous exportez un tableau de bord pour le partager avec des collègues : / ? < > \ : * | ". Évitez ces caractères lorsque vous nommez le tableau de bord.
Pour définir le nouveau tableau de bord comme tableau de bord par défaut, définissez Tableau de bord par défaut sur Oui.
Cliquez sur Suivant.

L’écran Choisir des widgets affiche une bibliothèque de widgets disponibles, avec des détails sur chaque widget.
Cliquez sur chaque widget que vous souhaitez ajouter au tableau de bord. Une coche apparaît sur chaque widget sélectionné et un décompte apparaît en bas à gauche de l’onglet Pulse.
Cliquez sur Créer.
Cliquez, faites glisser et redimensionnez pour réorganiser les widgets du tableau de bord comme vous le souhaitez.

Installation de modèles de tableau de bord dans votre espace de travail

Un modèle de tableau de bord est un tableau de bord qu’un administrateur partage avec tous les utilisateurs. Parcourez le catalogue des modèles disponibles que votre administrateur a ajoutés pour vous, puis sélectionnez les modèles de tableau de bord que vous souhaitez installer.

Un administrateur doit installer et synchroniser les extensions de contenu qui contiennent les modèles de tableau de bord QRadar Pulse.

Dans QRadar Pulse, accédez à la liste des tableaux de bord, qui se trouve en haut à gauche de l’onglet Pulse, puis cliquez sur Nouveau tableau de bord > Modèles.
Sur la page Parcourir les modèles, cliquez sur Installer ou Mettre à jour pour chaque modèle de tableau de bord que vous souhaitez installer ou mettre à jour. Par exemple, dans la capture d’écran suivante, le modèle de tableau de bord de l’application QRadar DNS Analyzer est prêt à être installé en tant que tableau de bord.
Si des modèles mis à jour sont répertoriés sur la page Parcourir les modèles, cliquez sur Mettre à jour pour les installer par-dessus les modèles existants. Si vous avez modifié les modèles d’origine, vous pouvez choisir de conserver les modèles existants à la place.

Pourboire:
Dans la liste du tableau de bord, les modèles avec des mises à jour disponibles ont une balise Mise à jour disponible . Cliquez sur la balise pour ouvrir la page Parcourir les modèles et effectuez la mise à jour en suivant ces étapes.
Suivez les instructions de l’assistant pour terminer le processus d’installation.

Tous les conflits avec des paramètres ou des éléments sont affichés pour que vous puissiez les résoudre. Cliquez ensuite sur Confirmer > Fermer.

Si vous sélectionnez Créer une copie pendant le processus d’installation, le tableau de bord installé est automatiquement ajouté au format suivant : aaaaMMjjHHmmss. Modifiez le nom du tableau de bord pour le rendre plus significatif pour vous.
Une fois que vous avez résolu les conflits, cliquez sur Retour au tableau de bord, puis accédez à la liste des tableaux de bord pour sélectionner un tableau de bord nouveau ou mis à jour, comme dans l’exemple suivant :

Partager des liens de tableau de bord avec d’autres personnes

Partagez des tableaux de bord avec d’autres utilisateurs de QRadar Pulse en leur envoyant un lien vers le tableau de bord. Lorsque vous partagez un lien de tableau de bord, les autres utilisateurs voient le tableau de bord en mode lecture seule. Toutes les mises à jour que vous apportez au tableau de bord partagé sont visibles par les autres utilisateurs. Les autres utilisateurs ne voient que les éléments du tableau de bord qui correspondent à leurs privilèges. Par exemple, s’ils ne sont pas autorisés à voir les infractions dans QRadar, ils ne peuvent pas les voir dans QRadar Pulse.

Des fonctionnalités limitées sont disponibles pour les utilisateurs de tableaux de bord en lecture seule. Les utilisateurs peuvent toujours définir les paramètres du tableau de bord à l’aide de la fiche Paramètres ou en descendant dans la hiérarchie du tableau de bord. En outre, les utilisateurs peuvent ouvrir des tableaux de bord ou des éléments dans une nouvelle fenêtre et cliquer sur le menu Plus d’options pour afficher d’autres fonctionnalités en lecture seule, telles que l’épinglage et la mise à l’échelle des tableaux de bord.

L’exploration d’autres tableaux de bord QRadar Pulse n’est conservée que si les tableaux de bord cibles sont également partagés ; les liens n’apparaissent pas si les tableaux de bord QRadar Pulse cibles ne sont pas partagés.

Les utilisateurs ne peuvent pas partager les tableaux de bord que vous partagez avec eux.

Les utilisateurs peuvent importer des tableaux de bord partagés. En important un tableau de bord partagé, les utilisateurs créent une copie modifiable qui est enregistrée séparément dans la liste de leur tableau de bord. La copie ne reçoit pas les mises à jour que vous apportez au tableau de bord partagé.

Vous pouvez arrêter de partager un tableau de bord à tout moment. Si un utilisateur tente d’ouvrir un tableau de bord précédemment partagé, un message s’affiche indiquant que le tableau de bord n’est pas disponible.

Ouvrez le tableau de bord que vous souhaitez partager, puis cliquez sur l’icône Partager ce tableau de bord.
Pour commencer à partager le tableau de bord, définissez Contient un lien de partage sur Oui, copiez l’URL fournie et partagez l’URL avec d’autres utilisateurs (par exemple, par e-mail).

Si le tableau de bord partagé permet d’accéder à d’autres tableaux de bord, les tableaux de bord cibles sont répertoriés. Décidez si vous souhaitez partager les tableaux de bord cibles. Si vous ne partagez pas les tableaux de bord cibles, les liens d’exploration ne s’affichent pas pour les autres utilisateurs.
Facultatif : pour arrêter le partage du tableau de bord, définissez Has share link sur Non.

QRadar Pulse répertorie les utilisateurs qui ont ouvert le tableau de bord partagé afin que vous puissiez voir qui est affecté si vous arrêtez de partager le tableau de bord. Une fois que vous arrêtez de partager le tableau de bord, les utilisateurs qui tentent de l’ouvrir voient un message indiquant que le tableau de bord n’est pas disponible.
Dans la liste des tableaux de bord, les balises indiquent si les tableaux de bord sont partagés par <utilisateur>, partagés par moi ou s’ils ont une mise à jour disponible. Pour faciliter la recherche d’un tableau de bord particulier, filtrez les tableaux de bord en fonction de ces critères.

Ouverture de liens de tableau de bord partagé

Lorsque vous ouvrez un lien de tableau de bord qu’un autre utilisateur partage avec vous, le tableau de bord s’affiche en mode lecture seule. Vous pouvez voir les mises à jour apportées au tableau de bord par l’auteur du tableau de bord. Vous voyez uniquement les éléments du tableau de bord qui correspondent à vos privilèges d’utilisateur. Par exemple, si vous n’êtes pas autorisé à afficher les infractions dans QRadar, vous ne pouvez pas les voir dans QRadar Pulse.

Un auteur de tableau de bord vous envoie un lien vers le tableau de bord (par exemple, par e-mail).

Des fonctionnalités limitées sont disponibles pour les utilisateurs de tableaux de bord en lecture seule. Vous pouvez toujours définir les paramètres du tableau de bord à l’aide de la fiche Paramètres ou en descendant dans la hiérarchie du tableau de bord. En outre, vous pouvez ouvrir des tableaux de bord ou des éléments dans une nouvelle fenêtre et cliquer sur le menu Plus d’options pour afficher d’autres fonctionnalités en lecture seule, telles que l’épinglage et la mise à l’échelle des tableaux de bord.

L’auteur du tableau de bord peut partager plusieurs tableaux de bord afin que vous puissiez passer d’un tableau de bord à un autre.

Vous pouvez importer des tableaux de bord partagés. En important un tableau de bord partagé, vous créez une copie modifiable qui est enregistrée séparément dans la liste de votre tableau de bord. La copie ne reçoit pas de mises à jour de la part de l’auteur du tableau de bord partagé.

Vous ne pouvez pas partager des tableaux de bord partagés avec vous.

Les widgets de tableau de bord partagés apparaissent dans votre bibliothèque de widgets en lecture seule. Vous ne pouvez pas modifier ou supprimer des widgets en lecture seule, mais vous pouvez les dupliquer pour en faire une copie modifiable. Les widgets de tableau de bord partagés sont supprimés de votre bibliothèque de widgets si vous supprimez le tableau de bord partagé auquel ils appartiennent ou si l’auteur du tableau de bord cesse de partager.

Dans QRadar, ouvrez une nouvelle fenêtre ou un nouvel onglet de navigateur et collez le lien URL du tableau de bord que vous avez reçu dans la barre d’adresse.

Le tableau de bord partagé s’ouvre en mode lecture seule. Il apparaît dans la liste de votre tableau de bord afin que vous puissiez facilement y revenir et dispose d’une balise Partagé par <utilisateur> afin que vous sachiez qui a créé le tableau de bord.
Facultatif : pour importer le tableau de bord partagé afin d’y apporter des modifications, cliquez sur Plus d’options > Importer le tableau de bord partagé.

Une copie modifiable du tableau de bord partagé est enregistrée dans la liste de votre tableau de bord, avec un suffixe d’horodatage. La copie ne reçoit pas de mises à jour de la part de l’auteur du tableau de bord partagé.
Facultatif : pour supprimer le tableau de bord partagé, cliquez sur Plus d’options > Supprimer.

Lorsque vous supprimez un tableau de bord partagé de votre espace de travail, tous les widgets en lecture seule du tableau de bord partagé sont également supprimés de votre bibliothèque de widgets.

Exporter des tableaux de bord pour les envoyer à d’autres personnes

Exportez les tableaux de bord sous forme de fichiers que vous pouvez envoyer à vos collègues. En fonction de leur rôle d’utilisateur et de leur profil de sécurité, vos collègues peuvent voir des résultats différents après avoir importé votre tableau de bord.

Ouvrez le tableau de bord que vous souhaitez exporter, puis cliquez sur l’icône Exporter au format JSON en haut à droite de la page. Les caractères réservés suivants dans le nom du tableau de bord sont supprimés du nom de fichier lorsque vous exportez un tableau de bord pour le partager avec des collègues : / ? < > \ : * | ". Évitez d’utiliser ces caractères lorsque vous nommez le tableau de bord.
Si vous utilisez des paramètres dans le tableau de bord, indiquez si vous souhaitez exporter le tableau de bord avec ou sans valeurs de paramètre par défaut. Le fichier JSON exporté est téléchargé dans votre répertoire Téléchargements local.
Importez-le en tant que nouveau tableau de bord ou partagez-le avec vos collègues.
o téléchargez les données de l’élément du tableau de bord au format PNG, cliquez sur l’icône de l’appareil photo en haut à droite de l’élément.

Importation de tableaux de bord

Lorsque vous importez un tableau de bord qu’un collègue a exporté pour vous, vous ne voyez que les éléments du tableau de bord qui correspondent à vos privilèges d’utilisateur. Par exemple, si vous n’êtes pas autorisé à afficher les infractions dans QRadar, vous ne pouvez pas les voir dans QRadar Pulse.

Un auteur de tableau de bord vous envoie un fichier JSON de tableau de bord exporté (par exemple, par e-mail).

Dans QRadar Pulse, accédez à la liste des tableaux de bord, qui se trouve en haut à gauche de l’onglet Pulse, puis cliquez sur Nouveau tableau de bord.
Cliquez sur Importer un fichier existant et faites glisser le fichier JSON sur la page Importer le tableau de bord ou cliquez sur Sélectionner un fichier pour accéder à l’emplacement du fichier.
Suivez les instructions de l’assistant pour terminer le processus d’importation.

Tous les conflits avec des paramètres ou des éléments sont affichés pour que vous puissiez les résoudre. Cliquez ensuite sur Confirmer > fermer.

Si vous sélectionnez Créer une copie pendant le processus d’importation, le tableau de bord importé est automatiquement ajouté au format suivant : yyyyMMddHHmmss. Modifiez le nom du tableau de bord pour le rendre plus significatif pour vous.

Modification du thème et de l’image de marque de l’espace de travail

Optimisez QRadar Pulse pour le mur SOC ou pour votre usage personnel. Modifiez la combinaison de couleurs de l’espace de travail ou supprimez la marque QRadar par défaut qui s’affiche lorsque vous ouvrez un tableau de bord ou un widget dans une nouvelle fenêtre.

Dans n’importe quel tableau de bord, cliquez sur Plus d’options > Préférences utilisateur.
Sous Options de thème, choisissez un thème pour contrôler la couleur d’arrière-plan et les couleurs du graphique.

Les options de thème sont désactivées si QRadar Pulse a été ouvert par QRadar Analyst Workflow.
Définissez la personnalisation sur Désactivé.
Cliquez sur Fermer.