常见问题解答

获取有关本产品的最常见问题的答案。

FAQ

开始使用本产品

如何配置 Data Store 以将用于存储的数据与用于分析的数据分开?

Data Store 使用 QRadar 中的简单收集过滤器进行配置。通过选择数据源或数据源中的事件标准,您可以轻松定义直接发送到 Data Store 的数据。该过滤器可随时更换,并立即投入使用。

从 App Exchange 安装的应用是否使用 Data Store 数据?

一些使用,另一些不使用。由于 Data Store 数据不经过分析或关联, 因此分析驱动的应用可能无法充分利用 Data Store 收集的数据。所有其他功能,如报告、解析、自定义属性和仪表板,都应该按预期工作。

支持

使用 Data Store 需要哪个版本的 QRadar?

必须使用 7.3.1 或更高版本。

哪些类型的设备支持 Data Store 功能?

Data Store 是一种 QRadar 许可覆盖, 它利用事件处理器和数据节点上的现有存储和处理能力,来收集、处理和存储为 Data Store 标识的数据。无需新设备, 但可能需要购买其他数据节点以支持数据存储需求。

安全

QRadar 的哪些功能可用于 Data Store 收集到的数据?

Data Store 主要用于日志管理,因此它的数据被排除在相关性和高级安全分析功能之外。然而,Data Store 数据可以用于多数其他功能,比如搜索、报告、可视化和使用 QRadar 应用程序框架构建的定制应用程序。

使用 Data Store 收集的数据是否可以转换,并在以后用于安全性用例?

Data Store 数据不能用于历史关联。但是,可以轻松更改将 Data Store 数据与 SIEM 数据分开的过滤策略。一旦更新策略,所有未来收集的数据都将包括在 QRadar 的所有分析和关联流程中。