Comment résoudre les problèmes de parsing dans QRadar sans support technique

[post-views]
juillet 27, 2017 · 2 min de lecture
Comment résoudre les problèmes de parsing dans QRadar sans support technique

Tous les produits QRadar peuvent être divisés en deux groupes : les versions antérieures à 7.2.8 et toutes les versions les plus récentes.
Dans les versions 7.2.8+ de QRadar, tous les changements de parsing sont effectués depuis la console WEB.
Pour résoudre un problème de parsing, vous devez effectuer les étapes suivantes :

  • Créez une recherche sur la page Activité des journaux dans QRadar où vous pouvez obtenir des événements avec des problèmes de parsing.

  • Sélectionnez un événement nécessitant une modification de parsing en utilisant CTRL ou SHIFT. Allez dans Action – Éditeur DSM dans le menu.

  • Trouvez ou sélectionnez une propriété pour laquelle vous souhaitez un changement de parsing. Sélectionnez « Override System behavior » dans la configuration de la propriété. Dans le champ Regex, il est nécessaire d’écrire une expression régulière qui décrit le champ requis. Si vous faites tout correctement, vous verrez le texte, surligné en jaune dans les journaux. L’exemple ci-dessous :

  • Cliquez sur Enregistrer. Vérifiez les journaux pour voir s’il y a des erreurs de parsing. Si des erreurs sont présentes, répétez la procédure.

Dans les versions précédentes de QRadar, cette procédure est légèrement différente :

  • Vous devez créer un fichier *.LSX.
    Le fichier a une structure. Vous devez associer la propriété du champ avec regex.
    La structure complète du fichier est ci-dessous :

  • Dans les champs ‘pattern id’, vous devez ajouter regex qui décrit les champs dans les journaux à la place ‘DATA’.
  • Une fois les créations terminées, vous devez ajouter un parseur à la console QRadar. Allez dans l’onglet Admin – Extensions de sources de journaux.

  • Ajoutez un parseur, comme indiqué dans la capture d’écran ci-dessous.

  • Allez à la page Admin – Sources de journaux. Modifiez la source de journaux à laquelle vous devez ajouter le parseur.

  • Cliquez sur Enregistrer. Vérifiez les journaux pour voir s’il y a des erreurs de parsing. Si des erreurs sont présentes, répétez la procédure.

Allez sur la Plateforme Rejoignez Threat Bounty

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Enrichir les événements avec des données supplémentaires
Blog, SIEM & EDR — 4 min de lecture
Enrichir les événements avec des données supplémentaires
Ruslan Mihalev
Configuration, événements et sauvegarde de contenu dans IBM QRadar
Blog, SIEM & EDR — 4 min de lecture
Configuration, événements et sauvegarde de contenu dans IBM QRadar
Sergii Tyshchenko
Filtrage d’Événements dans IBM QRadar
Blog, SIEM & EDR — 3 min de lecture
Filtrage d’Événements dans IBM QRadar
Sergii Tyshchenko