Häufig gestellte Fragen

Hier erhalten Sie Antworten auf die am häufigsten gestellten Fragen zu diesem Produkt.

FAQ

Einführung in dieses Produkt

Wie wird Data Store so konfiguriert, dass Daten zur Speicherung von Daten für Analysen getrennt werden?

Data Store wird über einen einfachen Erfassungsfilter in QRadar konfiguriert. Durch die Auswahl der Datenquelle oder der Ereigniskriterien aus der Datenquelle können Sie ganz einfach festlegen, welche Daten direkt an Data Store gesendet werden. Dieser Filter kann jederzeit geändert und umgehend in der Produktionsumgebung übernommen werden.

Verwenden die Apps, die ich aus der App Exchange installiere, Data-Store-Daten?

Bei einigen ist dies der Fall, bei anderen wiederum nicht. Da Daten aus Data Store nicht analysiert oder korreliert werden, können analyse-gesteuerte Apps möglicherweise die über Data Store gesammelten Daten nicht in vollem Umfang nutzen. Alle anderen Funktionen, z. B. Reporting, Parsing, benutzerdefinierte Eigenschaften und Dashboards, sollten wie erwartet funktionieren.

Support

Welche Version von QRadar wird zur Verwendung von Data Store benötigt?

Kunden müssen Version 7.3.1 oder eine höhere Version verwenden.

Welche Arten von Appliances unterstützen das Funktionsspektrum von Data Store?

Data Store ist ein QRadar-Lizenzierungsvorlage, die die Speicher- und Verarbeitungskapazität in Ereignisprozessoren und Datenknoten nutzt, um die für Data Store identifizierten Daten zu sammeln, zu verarbeiten und zu speichern. Es werden keine neuen Appliances benötigt, aber möglicherweise müssen zusätzliche Datenknoten erworben werden, um alle Datenspeicheranforderungen zu erfüllen.

Security

Welche Funktionen von QRadar funktionieren mit den über Data Store gesammelten Daten?

Data Store wird hauptsächlich für das Protokollmanagement verwendet, die zugehörigen Daten sind daher von Funktionen für die Korrelation und erweiterte Sicherheitsanalysen ausgeschlossen. Die Daten in Data Store können jedoch von den meisten anderen Funktionen verwendet werden, z. B. Suchen, Reporting, Visualisierung und angepasste Apps, die über das QRadar App Framework erstellt wurden.

Können die über Data Store gesammelten Daten umgewandelt und zu einem späteren Zeitpunkt in sicherheitsbezogenen Anwendungsfällen verwendet werden?

Daten in Data Store können nicht für die Langzeit-Korrelation verwendet werden. Die Filterrichtlinie, mit der Daten in Data Store von SIEM-Daten getrennt werden, lässt sich jedoch auf einfache Weise anpassen. Sobald die Richtlinie angepasst wurde, werden alle künftig gesammelten Daten in alle Analyse- und Korrelationsprozesse in QRadar aufgenommen.