Importación de IOC a un conjunto de referencia

Para añadir elementos a un conjunto de referencia, importe el indicador de compromiso (IOC) en el conjunto de referencia. Importe datos de IOC a un conjunto de referencia cuando desee que IBM QRadar compare una propiedad con el valor del elemento. Utilice QRadar para añadir manualmente elementos a un conjunto de referencia o para importar elementos de un archivo .csv .

Antes de empezar

Para importar elementos, asegúrese de que el archivo .csv se almacena localmente.

Acerca de esta tarea

Puede asignar datos de referencia a un dominio específico. Los usuarios arrendatarios con acceso al dominio, los administradores de MSSP y los usuarios que no están asignados como arrendatarios pueden ver los datos de referencia específicos del dominio. Los usuarios de todos los tipos de arrendatarios pueden ver los datos de referencia compartidos. Por ejemplo, los usuarios de MSSP que no son administradores pueden ver datos de referencia asignados a un dominio.

Procedimiento

  1. Vaya a la pestaña Admin .
  2. En la sección Configuración del sistema , pulse Gestión de conjuntos de referencia.
  3. Seleccione el conjunto de referencia al que desea añadir los elementos y pulse Ver contenido.
  4. Pulse la pestaña Contenido .
  5. Para añadir manualmente elementos de datos, siga estos pasos:
    1. Pulse Añadir y configure los parámetros.

      Los valores de puerto válidos son 0 - 65535. Las direcciones IP válidas son de 0 a 255.255.255.255.

      Nota: Si utiliza técnicas de ofuscación de datos en las propiedades de suceso que desea comparar con los datos del conjunto de referencia, debe utilizar un conjunto de referencia alfanumérico que contenga los valores de datos ofuscados.
    2. Pulse Añadir.
  6. Para añadir elementos desde un archivo .csv , siga estos pasos:
    1. Pulse Importar.
    2. Pulse Seleccionar archivo y examine para seleccionar el archivo .csv que desea importar.

      El archivo .csv debe tener un formato donde todos los elementos estén separados por comas en una sola línea o donde cada elemento esté en una línea distinta. No se necesita un delimitador cuando cada elemento está en una línea diferente.

    3. Seleccione el Dominio al que desea añadir los datos del conjunto de referencia.
    4. Pulse Importar.
      La importación añade el contenido del archivo de texto al conjunto de referencia.