Шаг 7 (необязательный). Отображение событий на информационной панели

Информационная панель QRadar предназначена для визуализации результатов обнаружения киберугроз. Например, на диаграмме отображается соотношение количества событий разного типа.

Требуется QRadar 7.2.6 Patch 3 или более поздняя версия. Использование более ранней версии может привести к некорректным результатам.

Для добавления диаграммы, отображающей результаты обнаружения киберугроз Kaspersky CyberTrace Service в визуальном формате, необходимо выполнить три процедуры:

  1. Создание поиска событий.
  2. Добавление диаграммы на информационную панель.
  3. Настройка добавленной диаграммы.

Создание поиска событий.

Следующая процедура описывает порядок создания поиска событий.

Чтобы создать поиск событий, выполните следующие действия:

  1. В QRadar Console перейдите на вкладку Log Activity.
  2. Выберите Search > New Search.
  3. В форме Column Definition удалите Event Name из списка Available Columns и добавьте Event Name в список Group By.

    Окно Column Definition в QRadar.

    Определение столбцов

  4. Прокрутите страницу вниз и в форме Search Parameters задайте KL_Threat_Feed_Service_v2 в качестве источника журналов:
    1. В раскрывающемся списке Parameter выберите Log Source [Indexed].
    2. В раскрывающемся списке Operator выберите Equals.
    3. В списке Log Source выберите KL_Threat_Feed_Service_v2.

      Вариант KL_Threat_Feed_Service_v2 соответствует имени источника журналов, который задан в параметрах формата событий обнаруженных киберугроз и формата оповещений о событиях на вкладке Events format в веб-интерфейсе Kaspersky CyberTrace.

    4. Нажмите на кнопку Add Filter.

      В список Current Filters добавляется строка Log Source is KL_Threat_Feed_Service_v2.

    Окно Search Parameters в QRadar.

    Настройка источника журнала

  5. Нажмите на кнопку Filter или Save, чтобы отобразился результат поиска.
  6. Нажмите на кнопку Save Criteria.

    Кнопки в QRadar. Кнопка Save Criteria.

    Кнопка Save Criteria

  7. В форме Save Criteria установите флажок Include in my Dashboard, введите имя поиска в поле ввода Search Name и нажмите кнопку ОК.

    Окно Save Criteria в QRadar.

    Сохранение критериев

Добавление диаграммы на информационную панель

Следующая процедура описывает порядок добавления диаграммы на информационную панель.

Чтобы добавить диаграмму на информационную панель:

  1. В QRadar Console выберите вкладку Dashboard.
  2. Выберите Add Item > Log Activity > Event Searches > KL_Events.

    Здесь KL_Events — это имя заданного поиска.

    Добавление элемента на информационную панель в QRadar.

    Добавление элемента на информационную панель

    На информационной панели появится диаграмма.

    Новая диаграмма в QRadar.

    Новая диаграмма

Настройка добавленной диаграммы

Следующая процедура описывает порядок настройки диаграммы, добавленной на информационную панель.

Чтобы настроить добавленную диаграмму, выполните следующие действия:

  1. Нажмите на кнопку Settings (Кнопка Settings (шестеренка) в QRadar.) в правом верхнем углу диаграммы.
  2. Задайте требуемые настройки диаграммы.

    Окно Chart settings в QRadar.

    Настройки диаграммы

    Если установить флажок Capture Time Series Data, на диаграмме будут отображаться все входящие данные, полученные после установки этого флажка; элемент, выбранный в раскрывающемся списке Time Range, игнорироваться. Если снять флажок Capture Time Series Data, будет отображаться только информация, полученная в течение временного интервала, выбранного в раскрывающемся списке Time Range.

После получения событий они отображаются на диаграмме.

Отображение событий в QRadar в виде гистограммы.

Гистограмма

В раскрывающемся списке Chart Type можно выбрать тип диаграммы, который будет использоваться для отображения данных.

Отображение событий в QRadar в виде круговой диаграммы.

Круговая диаграмма

Информация о диаграммах, основанных на результатах поиска, также приведена в справке QRadar (раздел «Dashboard management > Adding search-based dashboard items to the Add Items list»).

В начало