Todos os produtos QRadar podem ser divididos em dois grupos: versões antes de 7.2.8 e todas as versões mais recentes.
Nas versões QRadar 7.2.8+, todas as alterações de análise são realizadas a partir do console WEB.
Para corrigir um problema de análise, você precisa seguir os seguintes passos:
- Crie uma Pesquisa na página de Atividade de Log no QRadar, onde você pode obter eventos com problemas de análise.
- Selecione um evento que requer uma mudança de análise usando CTRL ou SHIFT. Vá para Ação – Editor DSM no menu.
- Encontre ou selecione uma propriedade para a qual você deseja uma mudança de análise. Selecione Sobrescrever comportamento do Sistema em Configuração de Propriedade. No campo Regex, é necessário escrever uma expressão regular que descreve o campo necessário. Se você fizer tudo certo, verá o texto, destacado em amarelo nos logs. O exemplo abaixo:
- Clique em Salvar. Verifique os logs para erros de análise. Se erros estiverem presentes, repita o procedimento novamente.
Nas versões anteriores do QRadar, este procedimento é ligeiramente diferente:
- Você precisa criar um arquivo *.LSX.
O arquivo tem estrutura. Você precisa mapear a propriedade do campo com regex.
A estrutura completa do arquivo é a seguinte:
- Nos campos ‘pattern id’, você precisa adicionar regex que descreve os campos nos logs no lugar ‘DATA’.
- Após terminar as criações, você precisa adicionar um analisador ao console QRadar. Vá para a aba Admin – Extensões de Fonte de Log.
- Adicione o analisador, como mostrado na captura de tela abaixo.
- Vá para Admin – página de Fontes de Log. Edite a fonte de log que precisa adicionar o analisador.
- Clique em Salvar. Verifique os logs para erros de análise. Se erros estiverem presentes, repita o procedimento novamente.
