Come risolvere i problemi di parsing in QRadar senza supporto tecnico

Tutti i prodotti QRadar possono essere suddivisi in due gruppi: versioni prima della 7.2.8 e tutte le versioni più recenti.
Nelle versioni QRadar 7.2.8+, tutte le modifiche di parsing vengono effettuate dalla console WEB.
Per risolvere un problema di parsing, è necessario seguire i seguenti passaggi:

• Crea una ricerca nella pagina di Log Activity in QRadar dove puoi ottenere eventi con problemi di parsing.

• Seleziona un evento che richiede una modifica di parsing utilizzando CTRL o SHIFT. Vai al menu Azioni – Editor DSM.

• Trova o seleziona una proprietà per la quale vuoi una modifica di parsing. Seleziona Override System behavior nella Configurazione della proprietà. Nel campo Regex, è necessario scrivere un’espressione regolare che descrive il campo richiesto. Se fai tutto correttamente, vedrai il testo, evidenziato in giallo nei log. L’esempio sotto:

• Clicca su Salva. Controlla i log per errori di parsing. Se sono presenti errori, ripeti di nuovo la procedura.

Nelle versioni precedenti di QRadar questa procedura è leggermente diversa:

• È necessario creare un file *.LSX.
  Il file ha una struttura. Devi mappare la proprietà del campo con regex.
  La struttura completa del file è di seguito:

• Nei campi ‘pattern id’, devi aggiungere regex che descrive i campi nei log nel posto ’DATA’.
• Dopo che le creazioni sono terminate, devi aggiungere un parser alla console QRadar. Vai alla scheda Admin – Log Source Extensions.

• Aggiungi il parser, come mostrato nello screenshot sotto.

• Vai alla pagina Admin – Log Sources. Modifica la fonte di log che ha bisogno di aggiungere un parser.

• Clicca su Salva. Controlla i log per errori di parsing. Se sono presenti errori, ripeti di nuovo la procedura.

Vai a Piattaforma Unisci Threat Bounty