Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Étude des règles et des blocs de construction QRadar

Assurez-vous de disposer des autorisations utilisateur appropriées pour afficher et gérer les règles QRadar. Pour plus d’informations, consultez Attribution d’autorisations utilisateur pour QRadar Use Case Manager.

Examinez vos règles en filtrant différentes propriétés pour vous assurer qu’elles sont définies et fonctionnent comme prévu, y compris la couverture des sources de journaux. Déterminez les règles que vous devrez peut-être modifier dans QRadar ou examinez plus en détail dans QRadar Use Case Manager.

Suivez le workflow suggéré pour étudier vos règles.

  1. Accédez à la page Explorateur de cas d’utilisation, cliquez sur l’icône de liste, puis choisissez un modèle à utiliser.
  2. Filtrez les règles et les blocs de construction par attributs, tests, attributs d’extension de contenu, activité, tests et tactiques et techniques MITRE ATT&CK.
  3. Pour trouver la règle que vous souhaitez modifier ou rechercher, filtrez le nom de la règle, la tactique ou la technique à l’aide d’une expression régulière. Vous pouvez également utiliser le filtre Groupe pour sélectionner le groupe à rechercher, par exemple l’authentification ou la conformité.
  4. Pour créer de nouvelles règles, cliquez sur l’icône du signe plus et terminez l’Assistant Règle.

    L’affichage de la nouvelle règle dans le rapport peut prendre plusieurs minutes. Pour afficher immédiatement la nouvelle règle, cliquez sur l’icône Actualiser dans la barre de menus du rapport.

  5. Personnalisez la présentation du rapport pour faciliter l’examen des règles et des blocs de construction.
  6. Pour examiner une règle ou un bloc de construction individuel, assurez-vous que la table de rapport est dissociée, puis sélectionnez le nom de la règle pour ouvrir l’Assistant Règle.
  7. Pour examiner plusieurs règles ou blocs de construction simultanément, cliquez sur l’icône en forme de crayon dans le tableau du rapport pour afficher les cases à cocher de chaque ligne du tableau. Sélectionnez les règles ou les blocs de construction appropriés à modifier, puis cliquez sur Ouvrir dans l’Assistant Règle.
    Note:

    Sur QRadar 7.4.1 Fix Pack 2 ou version ultérieure, vous pouvez modifier la plage de dates pour la tendance de la règle sélectionnée dans la création d’offense par règle actuelle dans un certain graphique temporel . Par défaut, la plage de dates revient à la plage de dates filtrée (1 mois) lorsque vous fermez et rouvrez la règle.

    Sur QRadar 7.3.3, la plage de dates par défaut est de 3 jours et ne peut pas être modifiée.
  8. Pour activer ou désactiver des règles, assurez-vous que la colonne Règle activée est visible dans le rapport, puis basculez le bouton bascule sur Activé ou Désactivé.
    Note:

    Vous ne pouvez pas désactiver une règle activée si elle a des dépendances. Vous ne pouvez pas activer une règle si des dépendances désactivées ou non installées sont désactivées. Une liste des dépendances ou dépendances peut être consultée dans les messages d’avertissement.
  9. Modifiez les mappages MITRE pour les règles ou les blocs de construction. Pour plus d’informations, consultez Modification de mappages MITRE dans une règle ou un bloc de construction.
  10. Pour ajouter des attributs de règle personnalisés à la règle ou au bloc de construction sélectionné, procédez comme suit :
    1. Cliquez sur Ouvrir dans l’Assistant Règle dans la barre de menus du rapport.
    2. Dans le volet central de l’écran, développez la section Attributs personnalisés.
    3. Si aucun attribut personnalisé n’est actuellement ajouté à la règle, cliquez sur l’icône du signe plus et cochez la case correspondant à chaque attribut et valeur correspondants. Cliquez ensuite sur Enregistrer et appliquer.
      Pointe:

      Vous pouvez également définir de nouveaux attributs personnalisés dans cette fenêtre.
    4. Si vous souhaitez ajouter d’autres valeurs aux attributs personnalisés déjà ajoutés à la règle, cliquez sur l’icône du signe plus de l’attribut et sélectionnez des valeurs dans la liste.
      Pointe:

      Vous pouvez également définir de nouvelles valeurs d’attribut personnalisées dans cette fenêtre.
    5. Fermez l’Assistant.
      Pointe:

      Pour gérer entièrement les attributs de règle personnalisés et leurs valeurs, telles que la modification ou la suppression, accédez à Paramètres > Attributs de règle personnalisés.
  11. Pour étudier les règles d’analyse du comportement utilisateur QRadar, consultez Examen des règles d’analyse du comportement des utilisateurs.
  12. Visualisez vos règles et blocs de construction après avoir organisé les données du rapport.
  13. Exportez le rapport au format CSV ou XML pour le partager avec d’autres utilisateurs.
  14. Exportez les mappages MITRE sous forme de fichier JSON à partager avec d’autres utilisateurs.

Documentation connexe