IBM QRadar: So erstellen Sie eine Regel zur Überwachung der Protokollquelle

1. Gehen Sie zum Abschnitt Regeln:
   • Navigieren Sie zu Verstöße > Regeln.
   • Klicken Sie auf Aktionen > Neue Ereignisregel.

Dann sehen Sie das Regel-Assistent Fenster.
In diesem Schritt verwenden Sie die Standardparameter.

• Im Regel-Editor klicken Sie auf Testgruppe und wählen Sie aus der Dropdown-Liste Protokollquellentest
• Suchen und wählen Sie den Parameter ‚wenn das/die Ereignis(se) nicht erkannt wurden von’.
• Setzen Sie ‚von diesen Protokollquellen‘ und ‚so viele‘(z.B., 10 Minuten (in Sekunden gesetzt)).

Zum Beispiel habe ich in dem Screenshot die Regel benannt test_wather dann habe ich eingestellt „und wenn das/die Ereignis(se) nicht erkannt wurden von einem oder mehreren SRV-WIN-XXX für 6000 Sekunden“ ausgewählt Gruppe „System“ und hinzugefügt Anmerkungen „Protokollquellenüberwachung„:

• Unter dem Antwort Tab wählen Sie die Reaktion(en), die erfolgen soll(en), wenn ein Ereignis diese Regel auslöst.
  • Klicken Sie auf Ziele verwalten
  • Im geöffneten Fenster klicken Sie hinzufügen: Um ein neues Ziel hinzuzufügen.
  • Im geöffneten Fenster Weiterleitungsziel-Eigenschaften: Setzen Sie Ihr Ziel Eigenschaften und klicken Sie Speichern. Zum Beispiel habe ich in dem Screenshot das Ziel auf einem Server mit TCP-Protokoll eingestellt. 

Danach können Sie Ihr erstelltes Ziel sehen. Wählen Sie es und klicken Sie fertigstellen

Jetzt in Verstöße, können Sie Ihre erstellte Regel sehen. Zum Beispiel habe ich in dem Screenshot die Regel test_wather erstellt.

Jetzt, wenn Ihre Protokollquelle aufhört zu kommen, sehen Sie eine Nachricht darüber. Zum Beispiel sendet die Regel im Screenshot eine Nachricht auf dem Server per TCP-Protokoll.