Häufig gestellte Fragen

Hier erhalten Sie Antworten auf die am häufigsten gestellten Fragen zu diesem Produkt.

Data Store wird über einen einfachen Erfassungsfilter in QRadar konfiguriert. Durch die Auswahl der Datenquelle oder der Ereigniskriterien aus der Datenquelle können Sie ganz einfach festlegen, welche Daten direkt an Data Store gesendet werden. Dieser Filter kann jederzeit geändert und umgehend in der Produktionsumgebung übernommen werden.

Bei einigen ist dies der Fall, bei anderen wiederum nicht. Da Daten aus Data Store nicht analysiert oder korreliert werden, können analyse-gesteuerte Apps möglicherweise die über Data Store gesammelten Daten nicht in vollem Umfang nutzen. Alle anderen Funktionen, z. B. Reporting, Parsing, benutzerdefinierte Eigenschaften und Dashboards, sollten wie erwartet funktionieren.

Kunden müssen Version 7.3.1 oder eine höhere Version verwenden.

Data Store ist ein QRadar-Lizenzierungsvorlage, die die Speicher- und Verarbeitungskapazität in Ereignisprozessoren und Datenknoten nutzt, um die für Data Store identifizierten Daten zu sammeln, zu verarbeiten und zu speichern. Es werden keine neuen Appliances benötigt, aber möglicherweise müssen zusätzliche Datenknoten erworben werden, um alle Datenspeicheranforderungen zu erfüllen.

Data Store wird hauptsächlich für das Protokollmanagement verwendet, die zugehörigen Daten sind daher von Funktionen für die Korrelation und erweiterte Sicherheitsanalysen ausgeschlossen. Die Daten in Data Store können jedoch von den meisten anderen Funktionen verwendet werden, z. B. Suchen, Reporting, Visualisierung und angepasste Apps, die über das QRadar App Framework erstellt wurden.

Daten in Data Store können nicht für die Langzeit-Korrelation verwendet werden. Die Filterrichtlinie, mit der Daten in Data Store von SIEM-Daten getrennt werden, lässt sich jedoch auf einfache Weise anpassen. Sobald die Richtlinie angepasst wurde, werden alle künftig gesammelten Daten in alle Analyse- und Korrelationsprozesse in QRadar aufgenommen.

Funktionsweise sehen

Weitere Informationen