Информационная панель QRadar предназначена для визуализации результатов обнаружения киберугроз. Например, на диаграмме отображается соотношение количества событий разного типа.
Требуется QRadar 7.2.6 Patch 3 или более поздняя версия. Использование более ранней версии может привести к некорректным результатам.
Для добавления диаграммы, отображающей результаты обнаружения киберугроз Kaspersky CyberTrace Service в визуальном формате, необходимо выполнить три процедуры:
Создание поиска событий.
Следующая процедура описывает порядок создания поиска событий.
Чтобы создать поиск событий, выполните следующие действия:
Event Name
из списка Available Columns и добавьте Event Name
в список Group By. Определение столбцов
KL_Threat_Feed_Service_v2
в качестве источника журналов:Log Source [Indexed]
.Equals
.KL_Threat_Feed_Service_v2
.Вариант KL_Threat_Feed_Service_v2
соответствует имени источника журналов, который задан в параметрах формата событий обнаруженных киберугроз и формата оповещений о событиях на вкладке Events format в веб-интерфейсе Kaspersky CyberTrace.
В список Current Filters добавляется строка Log Source is KL_Threat_Feed_Service_v2
.
Настройка источника журнала
Кнопка Save Criteria
Сохранение критериев
Добавление диаграммы на информационную панель
Следующая процедура описывает порядок добавления диаграммы на информационную панель.
Чтобы добавить диаграмму на информационную панель:
Здесь KL_Events
— это имя заданного поиска.
Добавление элемента на информационную панель
На информационной панели появится диаграмма.
Новая диаграмма
Настройка добавленной диаграммы
Следующая процедура описывает порядок настройки диаграммы, добавленной на информационную панель.
Чтобы настроить добавленную диаграмму, выполните следующие действия:
Настройки диаграммы
Если установить флажок Capture Time Series Data, на диаграмме будут отображаться все входящие данные, полученные после установки этого флажка; элемент, выбранный в раскрывающемся списке Time Range, игнорироваться. Если снять флажок Capture Time Series Data, будет отображаться только информация, полученная в течение временного интервала, выбранного в раскрывающемся списке Time Range.
После получения событий они отображаются на диаграмме.
Гистограмма
В раскрывающемся списке Chart Type можно выбрать тип диаграммы, который будет использоваться для отображения данных.
Круговая диаграмма
Информация о диаграммах, основанных на результатах поиска, также приведена в справке QRadar (раздел «Dashboard management > Adding search-based dashboard items to the Add Items list»).
В начало