Cómo solucionar problemas de análisis en QRadar sin soporte técnico

Todos los productos QRadar se pueden dividir en dos grupos: versiones antes de la 7.2.8 y todas las versiones más recientes.
En las versiones de QRadar 7.2.8+, todos los cambios de análisis se realizan desde la consola WEB.
Para solucionar un problema de análisis, debes seguir los siguientes pasos:

• Crea una búsqueda en la página de Actividad de Registro en QRadar donde puedas obtener eventos con problemas de análisis.

• Selecciona un evento que requiera un cambio de análisis usando CTRL o SHIFT. Ve a Acción – Editor DSM en el menú.

• Busca o selecciona una propiedad para la cual quieras un cambio de análisis. Selecciona Anular comportamiento del sistema en Configuración de la propiedad. En el campo Regex, es necesario escribir una expresión regular que describa el campo requerido. Si haces todo correctamente, verás el texto destacado en amarillo en los registros. El ejemplo a continuación:

• Haz clic en Guardar. Verifica los registros para ver si hay errores de análisis. Si hay errores, repite el procedimiento nuevamente.

En versiones anteriores de QRadar este procedimiento es ligeramente diferente:

• Necesitas crear un archivo *.LSX.
  El archivo tiene estructura. Debes mapear la propiedad del campo con regex.
  La estructura completa del archivo es la siguiente:

• En los campos de ‘id de patrón’, necesitas agregar regex que describa los campos en los registros en el lugar de ’DATA’.
• Después de terminar las creaciones, necesitas agregar un analizador a la consola de QRadar. Ve a la pestaña Administrador – Extensiones de Fuente de Registro.

• Agrega el analizador, como se muestra en la captura de pantalla a continuación.

• Ve a Administrador – Página de Fuentes de Registro. Edita la fuente de registro que necesita agregar el analizador.

• Haz clic en Guardar. Verifica los registros para ver si hay errores de análisis. Si hay errores, repite el procedimiento nuevamente.

Ir a Plataforma Únete a Threat Bounty