IBM QRadar: How to Create a Rule for Log Source Monitoring

1. 규칙 섹션으로 이동:
   • 탐색하여오펜스 > 규칙.
   • 클릭 작업 > 새 이벤트 규칙.

그런 다음 당신은 규칙 마법사 창을 봅니다.
이 단계에서는 기본 매개변수를 사용하세요.

• 규칙 편집기에서, 테스트 그룹 을(를) 클릭하고 드롭다운 목록에서 로그 소스 테스트
• 매개변수 ‘을(를) 검색하여 선택합니다.‘이벤트가 감지되지 않은 경우’.
• ‘이러한 로그 소스의’‘ 설정 및 ‘이만큼’(예: 10분(초 단위로 설정)).

예를 들어, 스크린샷에서 나는 규칙을 test_wather 라고 명명한 다음 “그리고 이벤트가 SRV-WIN-XXX 중 하나 이상에 의해 6000초 동안 감지되지 않은 경우”” 선택된 그룹 “시스템” 추가하여 참고 “로그 소스 모니터링“:

•  탭 아래에서 이 규칙을 트리거할 이벤트가 있을 경우의 응답을 선택하십시오.응답 tab, choose the response(s) to make when an event triggers this rule.
  • 클릭 대상 관리
  • 열린 창에서 클릭 추가: 새 대상을 추가하려면.
  • 열린 창에서 전송 대상 속성: 대상을 설정 하고 저장을 클릭 저장합니다. 예를 들어, 스크린샷에서는 tcp 프로토콜을 사용하여 서버에 대상을 설정했습니다.

그 후, 여러분이 생성한 대상을 볼 수 있습니다. 선택하고 클릭 완료

이제 오펜스, 에서 규칙을 볼 수 있습니다. 예를 들어, 스크린샷에서 나는 규칙 test_wather를 생성했습니다.

이제 로그 소스가 멈추면 이에 대한 메시지를 볼 수 있습니다. 예를 들어, 스크린샷에서 규칙은 서버에 tcp 프로토콜로 메시지를 전송합니다.