Utilice un conjunto de referencia para comparar un valor de propiedad, como por ejemplo una dirección IP o
un nombre de usuario con una lista. Puede utilizar conjuntos de
referencia con reglas para mantener listas de observación. Por ejemplo, puede crear una regla para detectar cuándo un empleado accede a un sitio web prohibido y a
continuación, añadir la dirección IP de ese empleado a un conjunto de referencia.
Acerca de esta tarea
Después de añadir datos al conjunto de referencia, los parámetros Número de
elementos y Reglas asociadas se actualizan automáticamente.
Cuando edita un conjunto de referencia, puede cambiar los valores de datos pero no puede cambiar el tipo de datos
que el conjunto de referencia contiene.
Antes de suprimir un conjunto de referencia, QRadar ejecuta una comprobación de dependencia para ver si el conjunto de referencia tiene reglas asociadas.
Nota: Si utiliza técnicas para ofuscar datos en las propiedades de suceso que desea comparar con los datos del conjunto de referencia, utilice un conjunto de referencia alfanumérico y añada los valores de datos ofuscados.
Procedimiento
- En el menú de navegación (
), pulse Admin.
- En la sección Configuración del sistema , pulse Gestión de conjuntos de referencia.
- Para añadir un conjunto de referencia:
- Pulse Añadir y configure los parámetros.
Más información sobre los parámetros de conjunto de referencia:La tabla siguiente describe cada uno de los parámetros utilizados para configurar un conjunto de referencia.
Tabla 1. Parámetros de conjunto de referencia
| Parámetro |
Descripción |
| Nombre |
La longitud máxima del nombre del conjunto de referencia es de 255 caracteres. |
| Tipo |
Seleccione los tipos de datos de los elementos de referencia. No se puede editar el parámetro Tipo después
de crear un conjunto de referencia.
El tipo IP almacena direcciones IPv4. El tipo Alfanumérico (sin distinción de mayúsculas/minúsculas) cambia automáticamente cualquier valor alfanumérico a minúsculas.
Para comparar
propiedades de sucesos y flujos ofuscadas con los datos de referencia, debe utilizar un conjunto de referencia
alfanumérico.
|
| Tiempo de vida de elementos |
Especifica cuándo caducan los elementos de referencia. Si selecciona el valor predeterminado Sin caducidad (Lives Forever), los elementos de referencia no caducan.
Si especifica una cantidad de tiempo, indique si el
intervalo de
tiempo de vida está basado en la primera o la última vez que se
vieron los datos.
QRadar elimina los elementos caducados del conjunto de referencia periódicamente (de forma predeterminada, cada 5 minutos).
|
| Cuándo caducan los elementos |
Especifica cómo se registran los elementos de referencia caducados en el archivo qradar.log cuando se eliminan del conjunto de referencia.
La opción Registrar cada elemento en una entrada de registro independiente desencadena un suceso de registro del Elemento ReferenceData caducado para cada elemento de referencia que se elimina. El suceso contiene el nombre del conjunto de datos de referencia y el valor del elemento.
La opción Registrar elementos en una entrada de registro desencadena un suceso de registro Elemento ReferenceData caducado para todos los elementos de referencia que se eliminan al mismo tiempo. El suceso contiene el nombre del conjunto de datos de referencia y los valores del elemento.
La opción No registrar elemento no activa un suceso de registro para los
elementos de referencia eliminados.
|
- Pulse Crear.
- Pulse Editar o Suprimir para trabajar con conjuntos de referencia existentes.
Sugerencia: Para suprimir varios conjuntos de referencia, utilice el recuadro de texto Búsqueda rápida para buscar los conjuntos de referencia que desea suprimir y, a continuación, pulse Suprimir listados.