QID へのイベントのマッピング
QRadar がファイル sample_initiallog.txt のイベントを受信すると、[Log Activity]ページでこれらのイベントは標準の「KL_*」値ではなく、「unknown」、「Unknown Kaspersky Threat Feed Service Event」、またはその他の説明的な名前で表示されることがあります(例:「KL_Threat_Feed_Service」または「CyberCrime_Tracker_Block_Url」)。これにより、無関係のイベントが重複することがあります、
![「unknown」イベントがある[Log Activity]ページ。](04.png)
「unknown」イベントのログ
様々なデバイスから受信した多すぎる数のイベントが[Log Activity]ページに表示されている場合は、イベントフィルターを追加できます。このイベントフィルタで、KL_Threat_Feed_Service_v2 と KL_Verification_Tool をログソースとして設定します(フィルタで使用する演算子は Equals any of にする必要があります)。
イベントを正しく識別するために、QID とイベントの間にマッピングを設定します:
- QRadar Console で[Log Activity]タブを選択し、ウィンドウの右上領域にある[Pause](
![QRadar の[Pause]アイコン。](qradar_pause.png)
)をクリックしてイベントのフローを停止した後、 [Log Source]列に誤った名前と「KL_Threat_Feed_Service_v2」があるいずれかのイベントをダブルクリックします。
イベントのフローを停止
イベントの情報が表示されます。イベント名は[Payload information]にあります。
- [Map Event]をクリックします。
![QRadar の[Event Information]ウィンドウ。](05.png)
イベントの情報の閲覧
- [Log Source Event]ウィンドウの[QID/Name]テキストボックスにイベント名を入力します。名前は、QRadar にインポートした QID のいずれかにする必要があります。
- [Search]をクリックします。
1 つの結果が[Matching QIDs]テーブルに表示されます。
![QRadar の[Log Source Event]ウィンドウ。](06.png)
QID とイベント名の間への対応付けの追加
- テーブルの行を選択して[OK]をクリックします。
- すべてのイベントタイプ(インポートした QID)に対してステップ 3、4、5 を実行します。
- イベントと QID を正しく確実にマッピングするために、イベント一式を QRadar に送信する手順を繰り返します。[Log Activity]ページに誤った名前のイベントを含めることはできません。
![「unknown」イベントがない[Log Activity]ページ。](06a.png)
「unknown」イベントのないログ