Como corrigir problemas de análise no QRadar sem suporte técnico

Todos os produtos QRadar podem ser divididos em dois grupos: versões antes de 7.2.8 e todas as versões mais recentes.
Nas versões QRadar 7.2.8+, todas as alterações de análise são realizadas a partir do console WEB.
Para corrigir um problema de análise, você precisa seguir os seguintes passos:

• Crie uma Pesquisa na página de Atividade de Log no QRadar, onde você pode obter eventos com problemas de análise.

• Selecione um evento que requer uma mudança de análise usando CTRL ou SHIFT. Vá para Ação – Editor DSM no menu.

• Encontre ou selecione uma propriedade para a qual você deseja uma mudança de análise. Selecione Sobrescrever comportamento do Sistema em Configuração de Propriedade. No campo Regex, é necessário escrever uma expressão regular que descreve o campo necessário. Se você fizer tudo certo, verá o texto, destacado em amarelo nos logs. O exemplo abaixo:

• Clique em Salvar. Verifique os logs para erros de análise. Se erros estiverem presentes, repita o procedimento novamente.

Nas versões anteriores do QRadar, este procedimento é ligeiramente diferente:

• Você precisa criar um arquivo *.LSX.
  O arquivo tem estrutura. Você precisa mapear a propriedade do campo com regex.
  A estrutura completa do arquivo é a seguinte:

• Nos campos ‘pattern id’, você precisa adicionar regex que descreve os campos nos logs no lugar ‘DATA’.
• Após terminar as criações, você precisa adicionar um analisador ao console QRadar. Vá para a aba Admin – Extensões de Fonte de Log.

• Adicione o analisador, como mostrado na captura de tela abaixo.

• Vá para Admin – página de Fontes de Log. Edite a fonte de log que precisa adicionar o analisador.

• Clique em Salvar. Verifique os logs para erros de análise. Se erros estiverem presentes, repita o procedimento novamente.

Vá para Plataforma Junte-se ao Threat Bounty