É possível configurar sistemas IBM Security QRadar para encaminhar dados para um ou mais fornecedores de sistema, tais como chamados ou alertas de sistema. É possível encaminhar dados para outros QRadar sistemas O sistema de destino que recebe os dados do QRadar é conhecido como um destino de encaminhamento. Os sistemas QRadar asseguram que todos os dados encaminhados permaneçam inalterados.
Versões mais recentes dos sistemas QRadar podem receber dados de versões anteriores dos sistemas QRadar . No entanto, as versões anteriores não podem receber dados das versões mais recentes. Para evitar, faça upgrade de todos os destinatários antes de você fazer upgrade dos remetentes.
Etapas
1. Configurar um ou mais destinos de encaminhamento.
2. Para determinar quais dados você deseja encaminhar, configurar regras de
roteamento, regras customizadas, ou ambos.
3. Configure o roteamento de opções a serem aplicadas aos dados.
Por exemplo, você pode configurar todos os dados de um coletor de eventos específicos para redirecionar para um sistema de registro específico. Também é possível ignorar correlação removendo os dados que correspondem a uma regra de roteamento.
Adicionando encaminhamento de destinos
Antes de conseguir configurar em massa, ou encaminhamento de dados seletivos, deve-se adicionar destinos de encaminhamento.
Procedimento
1. Clique na guia Admin.
2. Na área de janela de navegação, clique em Configuração do sistema.
3. Clique no ícone Destinos de Encaminhamento.
4. Na barra de ferramentas, clique em Incluir.
5. Na janela Destinos de Encaminhamento , insira valores para os parâmetros.
A tabela a seguir descreve alguns dos parâmetros Destinos de Encaminhamento.
Tabela 58. Parâmetros Destinos de Encaminhamento
Parâmetro Descrição
Formato de Evento v Carga Útilsão os dados no formato em que a fonte de log ou fonte de fluxo foram enviados. v Normalizadosão os dados brutos que são analisados e preparados como informações legíveis para a
interface com o usuário.
Endereço de Destino O endereço IP ou o nome do host do sistema fornecedor que você deseja encaminhar dados. Protocolo v TCP
Utilize o TCP protocolo para enviar dados normalizados utilizando o protocolo TCP, deve-se criar uma origem externa no endereço de destino na porta 32004.
v UDP
Tabela 58. Parâmetros Destinos de Encaminhamento (continuação)
Parâmetro Descrição
Prefixe um cabeçalho do syslog se estiver ausente ou
inválido Se um cabeçalho do syslog válido não for detectado na mensagem do syslog original, selecione esta caixade opção. O cabeçalho do syslog prefixado inclui o QRadar SIEM dispositivo host endereço IP no campo
Nomedo cabeçalho do syslog. Se essa caixa de opções não for selecionada, os dados são enviados sem modificação.
Quando QRadar encaminha mensagens syslog, a mensagem de saída são verificadas para garantir que possui um cabeçalho do syslog válido.
6. Clique em Salvar.
Configurando regras de roteamento para encaminhamento em massa
Após você adicionar um ou mais destinos de encaminhamentos, é possível criar filtros baseados em regras ds roteamento para encaminhar grandes quantidades de dados.Sobre Esta Tarefa
Você pode configurar regras de roteamento para encaminhar dados no modo on-line ou off-line :
v No modoOnline, seus dados permanece atuais porque o encaminhamento é
executado em tempo real. Se o destino de encaminhamento se tornar inalcançável, os dados podem ser potencialmente perdidas.
v Em Off- modo, todos os dados são armazenados no banco de dados e, em
seguida, enviada para o destino de encaminhamento. Isso garante que nenhum dado seja perdido, no entanto, pode haver atrasos na transmissão de dados. A tabela a seguir descreve alguns dos parâmetros Regras de Roteamento
Tabela 59. Janela parâmetros Detalhes do Usuário
Parâmetro Descrição
Coletor de Eventos de Encaminhamento Essa opção é exibida quando você seleciona a opção Online. Especifica oColetor de Eventos que você deseja processar os dados esta regra de roteamento.
Processador de Evento de Encaminhamento Essa opção é exibida quando você seleciona a opção Off-. Especifica o Processador de Eventos que você deseja processar os dados esta regra de roteamento.
Restrição:Essa opção não estará disponível se Descarte está selecionada na janela Opções de Roteamento.
Tabela 59. Janela parâmetros Detalhes do Usuário (continuação)
Parâmetro Descrição
Opções de Roteamento v A opção encaminhar especifica que os dados são encaminhados para destinos de encaminhamento. Os dados também são armazenados no banco de dados e processados pelo mecanismo de Regras Customizadas (CRE).
v A opção Descarte especifica que os dados não são armazenados no banco de dados e não é processado pelo CRE. Os dados não são redirecionados para um destino de encaminhamento, mas é processado pelo CRE. Essa opção não estará disponível se você selecionar a opção Offline.
v A opção Efetuar correlação bypass especifica que dados não são processados pelo CRE, mas são armazenados no banco de dados. Essa opção não estará disponível se você selecionar a opção
Offline.
Você pode combinar duas opções: v emAvançar e Descartar
Os dados são redirecionados para o destino de encaminhamento especificados. Os dados não são armazenados no banco de dados e serão processados pela CRE.
v Encaminhamentoe Bypass Correlação
Os dados são redirecionados para o destino de encaminhamento especificados. Os dados também são armazenados no banco de dados, mas ele não é processado pelo CRE. O CRE no destino encaminhado processa os dados.
Se de dados correspondem a várias regras, a melhor opção é aplicada de roteamento. Por exemplo, se os dados que
correspondem a uma regra que é configurado para descartar e uma regra para ignorar o processamento de pagamentos, os dados não são eliminados. Em vez disso, os dados ignoram a CRE e é armazenado no banco de dados.
Todos os eventos ou fluxos de mensagens são mantidos em armazenamento.
Procedimento
1. Clique na guia Admin.
2. Na área de janela de navegação, clique em Configuração do sistema.
3. Clique no ícone Regras de Roteamento.
4. Na barra de ferramentas, clique em Incluir.
5. Na janela Regras de Roteamento, insira valores para os parâmetros.
a. Digite um nome e uma descrição para a regra de roteamento.
b. No campo Modo de, selecione uma das seguintes opções: -line ou -line.
c. Nas listas Coletor de Eventos de Encaminhamento ou de Encaminhamento
de Eventos do Processador, selecione o coletor de eventos a partir do qual você deseja redirecionar dados.
d. No campo Fontes de dados ou na seção Filtro de eventos selecione quias
dados você quer rotear: Eventos ou Fluxos.
Se você selecionar a opção Fluxo de Filtros , o título da seção é alterado para Fluxo de Filtros e o Corresponder Tudo Incoming Eventos caixa de opções é alterado para Corresponder Todos os Fluxos.
e. Para encaminhar todos os dados de recebimento, selecione o Corresponder
todos os eventos recebidosou na caixa de listagem Corresponder todos os
fluxos recebidos.
Restrição: Se você selecionar essa caixa de seleção, não é possível incluir um filtro.
f. Para incluir um filtro, no Filtros de Eventos ou Fluxo de Filtros seção, selecione um filtro na lista pela primeira vez e um operando na segunda lista.
g. Na caixa de texto, digite o valor que você deseja filtrar para, e, em seguida,
clique em Incluir Filtro.
h. Repita as duas etapas anteriores para cada filtro que você deseja incluir.
i. Para redirecionar dados do log que corresponde aos filtros atual, selecione a
caixa de opções Encaminhamento e, em seguida, selecione a caixa de opções para cada destino de encaminhamento preferencial.
Restrição: Se você selecionar a caixa de opções Encaminhamento , você também pode selecionar o Descartar ou Bypass Correlação caixas de opções, mas não ambos.
Se você deseja editar, incluir ou excluir um destino de encaminhamento, clique no link Gerenciar Destinos.
6. Clique em Salvar.
Configurando redirecionamento seletivo
Utilize o assistente Regra Customizada para configurar o encaminhamento de dados do evento. Configure regras que encaminham os dados do evento para um ou mais destinos, como uma resposta da regra.
Sobre Esta Tarefa
Os critérios que determinam se os dados de eventos que são enviados para um destino de encaminhamento são baseados nos ensaios e blocos de construções que estão incluídos na regra. Quando a regra é configurada e ativada, todos os dados do evento que corresponde aos testes de regras são automaticamente enviados aos destinos de encaminhamento especificadas. Para obter informações adicionais sobre como editar ou incluir uma regra, consulte o Guia do Usuário para seu produto.
Procedimento
1. C.lique na guia OfensasAtividade de Log
2. No menu de navegação, selecione Regras.
3. Edite ou adicione uma regra. Na página Resposta de regra, no assistente Regra,
assegure-se que opção Enviar para Destinos de Encaminhamento foi selecionada.
Visualizando Destinos de Encaminhamento
A janela Destinos de Encaminhamento fornece informações valiosas sobre o encaminhamento de destinos. Estatísticas para os dados enviados para cada destino de encaminhamento são exibidas.
Por exemplo, é possível consultar as informações a seguir:
v O número total de eventos e fluxos que foram vistos para este destino de
encaminhamento.
v O número de eventos ou fluxos que foram enviados para este destino de
encaminhamento.
v O número de eventos ou fluxos que foram eliminados antes que o destino de
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique no ícone Destinos de Encaminhamento.
4. Visualize as estatísticas para seus destinos de encaminhamento.
Visualizando e Gerenciando Destinos de Encaminhamento
Utilize a janela Destino de Encaminhamento para visualizar, editar e excluir destinos de encaminhamento.
Procedimento
1. Clique na guia Admin.
2. Na área de janela de navegação, clique em Configuração do sistema.
3. Clique no ícone Destinos de Encaminhamento.
Estatísticas para os dados enviados para cada destino de encaminhamento são exibidas. Por exemplo, é possível consultar as informações a seguir:
v O número total de eventos e fluxos que foram vistos para este destino de
encaminhamento.
v O número de eventos ou fluxos que foram enviados para este destino de
encaminhamento.
v O número de eventos ou fluxos que foram eliminados antes que o destino de
encaminhamento fosse atingido.
4. Na barra de ferramentas, clique em uma ação, conforme descrito na tabela a
seguir.
Tabela 60. Descrição das Ações da Barras de Ferramentas Destino de Encaminhamento
Ação Descrição
Reconfigurar Contadores Reconfigura os contadores para os parâmetros Vistos, Enviados e
Eliminadospara zero e os contadores começam a acumular novamente.
Dica:É possível reconfigurar os contadores para fornecer uma visualização mais direcionada do desempenho de seus destinos de encaminhamento.
Editar Altera o nome configurado, o formato, o endereço IP, a porta ou o protocolo.
Excluir Exclui um destino de encaminhamento
Se o destino de encaminhamento estiver associado a quaisquer regras ativas, você deverá confirmar que você deseja excluir o destino de encaminhamento.
Visualizando e Gerenciando Regras de Roteamento
A janela Regras de Roteamento de Evento fornece informações valiosas sobre suas regras de roteamento. É possível visualizar ou gerenciar filtros e ações
configurados quando dados correspondem a cada regra.
Utilize a janela Regras de Roteamento de Evento para editar, ativar, desativar ou excluir uma regra. É possível editar uma regra de roteamento para alterar o nome configurado, Coletor de Eventos, filtros ou opções de roteamento.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique no ícone Regras de Roteamento.
4. Selecione a regra de roteamento que você deseja gerenciar.
5. Para editar a regra de roteamento, na barra de ferramentas, clique em Editar e
atualize os parâmetros.
6. Para remover a regra de roteamento, na barra de ferramentas, clique em
Excluir.
7. Para ativar ou desativar a regra de roteamento, na barra de ferramentas, clique
em Ativar/Desativar.
Se você ativar uma regra de roteamento que está configurada para eliminar eventos, uma mensagem de confirmação será exibida.