Creación de un documento de extensiones de origen de registro para obtener datos en QRadar®

Puede crear extensiones de origen de registro (LSX) cuando los orígenes de registro no tienen un DSM soportado, o para reparar un suceso que tiene información incorrecta o que falta, o para analizar un suceso cuando el DSM asociado no puede producir un resultado.

Cuándo crear una extensión de origen de registro

Para los orígenes de registro que no tienen un DSM oficial, utilice un tipo de origen de registro personalizado para integrar los orígenes de registro. A continuación, se aplica una extensión de origen de registro (también conocida como extensión de dispositivo) al tipo de origen de registro personalizado para proporcionar la lógica para analizar los registros. El LSX se basa en expresiones regulares Java™ y se puede utilizar en cualquier tipo de protocolo, como syslog, JDBCy archivo de registro. Los valores se pueden extraer de los registros y correlacionar con todos los campos comunes de IBM QRadar.

Al utilizar extensiones de origen de registro para reparar contenido incorrecto o faltante, los nuevos sucesos generados por las extensiones de origen de registro se asocian con el origen de registro que no ha podido analizar la carga útil original. La creación de una extensión impide que los sucesos desconocidos o no categorizados se almacenen como desconocidos en QRadar.

Utilización del Editor de DSM para crear rápidamente una extensión de origen de registro

Para IBM QRadar V7.2.8 y posteriores, puede utilizar el Editor de DSM para crear extensiones de origen de registro. El Editor de DSM proporciona información en tiempo real para que pueda saber si la extensión de origen de registro que está creando tiene problemas. Utilice el Editor de DSM para extraer campos, definir propiedades personalizadas, categorizar sucesos, definir nuevas definiciones de QID y definir su propio tipo de origen de registro. Para obtener más información sobre el Editor de DSM, consulte IBM QRadar Administration Guide.

Proceso para crear manualmente una extensión de origen de registro

De forma alternativa, para crear manualmente una extensión de origen de registro, realice los pasos siguientes:

  1. Asegúrese de que se crea un origen de registro en QRadar.

    Utilice un tipo de origen de registro personalizado para recopilar sucesos de un origen cuando el tipo de origen de registro no se lista como DSM soportado por QRadar .

    Utilice el Editor de DSM para crear el nuevo tipo de origen de registro y, a continuación, cree manualmente el origen de registro. Puede adjuntar un LSX a un tipo de origen de registro soportado, como Windows, Bluecoat, Cisco y otros que se listan como DSM soportados de QRadar .

  2. Para determinar qué campos están disponibles, utilice el panel Actividad de registro para exportar los registros para su evaluación.
  3. Utilice la plantilla de ejemplo de documentos de extensión para determinar los campos que puede utilizar.

    No es necesario utilizar todos los campos de la plantilla. Determine los valores del origen de registro que se pueden correlacionar con los campos de la plantilla de documento de extensión.

  4. Elimine los campos no utilizados y sus ID de patrón correspondientes del documento de extensión de origen de registro.
  5. Cargue el documento de extensión y aplique la extensión al origen de registro.
  6. Correlacione los sucesos con sus equivalentes de QIDmap.

    Esta acción manual en la pestaña Actividad de registro se utiliza para correlacionar sucesos de origen de registro desconocidos con sucesos de QRadar conocidos para que se puedan categorizar y procesar.