Configuración de notificaciones de correo electrónico de sucesos y flujos personalizadas

Cuando configure reglas en IBM QRadar, especifique que cada vez que la regla genere una respuesta, se envíe una notificación por correo electrónico a los destinatarios. La notificación por correo electrónico proporciona información útil, como las propiedades de sucesos o flujos.

Acerca de esta tarea

Puede personalizar el contenido que se incluye en la notificación de correo electrónico para la respuesta de regla editando el archivo alert-config.xml.

Nota: Las referencias a flujos no se aplican a IBM QRadar Log Manager.

Debe crear un directorio temporal en el que pueda editar con seguridad las copias de los archivos, sin peligro de sobrescribir los archivos predeterminados. Después de editar y guardar el archivo alert-config.xml, debe ejecutar un script que valide los cambios. El script de validación aplica automáticamente los cambios a un área de transferencia. Debe desplegar la configuración completa para reconstruir los archivos de configuración de todos los dispositivos.

Importante: Para IBM QRadar on Cloud, debe abrir una incidencia con el soporte de IBM para obtener una copia del archivo alert-config.xml . Debe abrir otro tíquet para aplicar el archivo alert-config.xml actualizado a la instancia de QRadar on Cloud .

Procedimiento

Utilice SSH para iniciar sesión en QRadar Console como usuario root.
Cree un nuevo directorio temporal que se utilizará para editar de forma segura las copias de los archivos predeterminados.
Para copiar los archivos almacenados en el directorio custom_alerts en el directorio temporal, escriba el mandato siguiente:
```
cp /store/configservices/staging/globalconfig/templates/custom_alerts/*.* <directory_name>
```
El <directory_name> es el nombre del directorio temporal que ha creado.
Confirme que los archivos se han copiado satisfactoriamente:
1. Para listar los archivos en el directorio, escriba ls -lah.
2. Verifique que el archivo alert-config.xml esté en la lista.
Abra el archivo alert-config.xml para editarlo.

Edite el contenido del elemento <template> .

Obligatorio: Especifique el tipo de plantilla a utilizar. Las opciones válidas son event o flow.
```
<templatetype>event</templatetype>
```
```
<templatetype>flow</templatetype>
```
Escriba un nombre para la plantilla de correo electrónico:
```
<templatename>Default flow template</templatename>
```
Si tiene más de una plantilla, asegúrese de que el nombre de la plantilla sea exclusivo.
Establezca el elemento <active> en true:

<active>true</active>

Edite los parámetros en los elementos <body> o <subject> para incluir la información que desea ver.

Importante: La propiedad <active></active> debe establecerse en True para cada tipo de plantilla de suceso y flujo que desee que aparezca como una opción en QRadar. Debe haber como mínimo una plantilla activa para cada tipo.

También debe asegurarse de que la propiedad <filename></filename> se deja vacía.

Parámetros de notificación que puede utilizar en la plantilla:

Tabla 1. Parámetros de notificación aceptados
Parámetros comunes	Parámetros de suceso	Parámetros de flujo
AppName	EventCollectorID	Tipo
RuleName	DeviceId	CompoundAppID
RuleDescription	DeviceName	FlowSourceIDs
EventName	DeviceTime	SourceASNList
EventDescription	DstPostNATPort	DestinationASNList
EventProcessorId	SrcPostNATPort	InputIFIndexList
Qid	DstMACAddress	OutputIFIndexList
Categoría	DstPostNATIPAddress	AppId
RemoteDestinationIP	DstPreNATIPAddress	Nombre del servidor
Carga útil	SrcMACAddress	Puerto
Credibilidad	SrcPostNATIPAddress	SourceBytes
Relevancia	SrcPreNATIPAddress	SourcePackets
Origen	SrcPreNATPor	Dirección
SourcePort	DstPreNATPort	SourceTOS
SourceIP		SourceDSCP
Destino		SourcePrecedence
DestinationPort		DestinationTOS
DestinationIP		DestinationDSCP
DestinationUserName		SourceASN
Protocolo		DestinationASN
StartTime		InputIFIndex
Duración		OutputIFIndex
StopTime		FirstPacketTime
EventCount		LastPacketTime
SourceV6		TotalSourceBytes
DestinationV6		TotalDestinationBytes
UserName		TotalSourcePackets
DestinationNetwork		TotalDestinationPackets
SourceNetwork		SourceQOS
Gravedad		DestinationQOS
CustomProperty		SourcePayload
CustomPropertiesList
CalculatedProperty
CalculatedPropertiesList
AQLCustomProperty
AqlCustomPropertiesList
LogSourceId
LogSourceName

Nota: Si no desea recuperar toda la lista cuando utilice el parámetro CustomProperties, CalculatedProperties, o AqlCustomProperties, puede seleccionar una propiedad específica utilizando las siguientes etiquetas:

Propiedad personalizada: ${body.CustomProperty("<custom_property_name>")}
Propiedad calculada: ${body.CalculatedProperty("<calculated_property_name>")}
Propiedad personalizada de AQL: ${body.AqlCustomProperty("<AQL_custom_property_name>")}

Opcional: Para crear varias plantillas de correo electrónico, copie y pegue la siguiente plantilla de correo electrónico de ejemplo en el elemento <template> del archivo alert-config.xml . Repita el paso 6 con cada plantilla que añada.

Plantilla de correo electrónico:

<template>
  <templatename>Default Flow</templatename>
  <templatetype>flow</templatetype>
  <active>true</active>
  <filename></filename>
  <subject>${RuleName} Fired </subject>
  <body>
     The ${AppName} event custom rule engine sent an automated response:

     ${StartTime}

     Rule Name:                                  ${RuleName}
     Rule Description:                           ${RuleDescription}

     Source IP:                                  ${SourceIP}
     Source Port:                                ${SourcePort}
     Source Username (from event):               ${UserName}
     Source Network:                             ${SourceNetwork}

     Destination IP:                             ${DestinationIP}
     Destination Port:                           ${DestinationPort}
     Destination Username (from Asset Identity): ${DestinationUserName}
     Destination Network:                        ${DestinationNetwork}

     Protocol:                                   ${Protocol}
     QID:                                        ${Qid}

     Event Name:                                 ${EventName}
     Event Description:                          ${EventDescription}
     Category:                                   ${Category}

     Log Source ID:                              ${LogSourceId}
     Log Source Name:                            ${LogSourceName}

     Payload:                                    ${Payload}
           
     CustomPropertiesList:                       ${CustomPropertiesList}
   
     AQL Custom Property, CEP_aql_1:             ${body.AqlCustomProperty("CEP_aql_1")}

     Calculated Property, CEP_calc_2:            ${body.CalculatedProperty("CEP_calc_2")} 
   
     Regex Property, CEP_reg_3:                  ${body.CustomProperty("CEP_reg_3")}

   </body>
   <from></from>
   <to></to>
   <cc></cc>
   <bcc></bcc>
</template>

Nota: Actualmente, el DomainID para multitenencia o solapamiento de direcciones IP no está disponible en las plantillas de correo electrónico personalizadas.

Guarde y cierre el archivo alert-config.xml .
Para validar los cambios, escriba el siguiente mandato:
```
/opt/qradar/bin/runCustAlertValidator.sh <directory_name>
```
El parámetro <directory_name> es el nombre del directorio temporal que ha creado.
Si el script valida los cambios, se mostrará el siguiente mensaje: File alert-config.xml was deployed successfully to staging!
Despliegue los cambios en QRadar.
1. Inicie la sesión en QRadar.
2. En el menú de navegación ( ), pulse Admin.
3. Pulse Avanzado > Desplegar configuración completa.
  
  Importante: QRadar continúa recopilando sucesos al desplegar la configuración completa. Cuando el servicio de recopilación de sucesos debe reiniciarse, QRadar no lo reinicia automáticamente. Se mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el momento más conveniente.