Resolución de problemas de DSM
Los módulos de soporte de dispositivo (DSM) analizan los sucesos en IBM® QRadar®. Puede considerar los DSM como plug-ins de software que son responsables de comprender y analizar sucesos proporcionados por un origen de sucesos. Un origen de sucesos puede ser un dispositivo de seguridad, un servidor, un sistema operativo, un cortafuegos o una base de datos. Los DSM pueden ser cualquier tipo de sistema que genere un suceso cuando se produce una acción.
¿Cuál es la diferencia entre un suceso desconocido y un suceso almacenado?
Cuando los sucesos no se analizan correctamente, aparecen en la pestaña Actividad de registro como uno de los siguientes tipos de sucesos:
- Sucesos desconocidos
- El suceso se recopila y analiza, pero no se puede correlacionar ni categorizar con un origen de registro específico. Los orígenes de registro que no se descubren automáticamente se suelen identificar como un registro de sucesos desconocido hasta que se crea manualmente un origen de registro en el sistema. Cuando un suceso no se puede asociar a un origen de registro, el suceso se asigna a un origen de registro genérico. Puede identificar estos sucesos buscando sucesos asociados con el origen de registro de SIM Generic o utilizando el filtro Event is Unparsed .
- Sucesos almacenados
- QRadarno puede comprender ni analizar el suceso. Cuando QRadar no puede analizar un suceso, escribe el suceso en el disco y categoriza el suceso como almacenado.
¿Cómo puede encontrar estos sucesos desconocidos o almacenados en la pestaña Actividad de registro?
Para buscar sucesos específicos del dispositivo, busque en QRadar la dirección IP de origen del dispositivo. También puede seleccionar un valor exclusivo de la carga útil de suceso y buscar Payload Contains. Una de estas búsquedas puede localizar el suceso, y es probable que se clasifique como desconocido o almacenado.
También puede añadir un filtro de búsqueda para Event in Unparsed. Esta búsqueda localiza todos los sucesos que no se pueden analizar (almacenar) o los sucesos que no están asociados con un origen de registro o que se han descubierto automáticamente (desconocido).
¿Qué hacer si la versión del producto que tiene no aparece en la Guía de configuración de DSM?
La DSM Guía de configuración contiene una lista de fabricantes de productos y los DSM que se han probado y validado oficialmente con respecto a productos específicos. Si el DSM es para un producto soportado oficialmente por QRadar, pero la versión está obsoleta, es posible que necesite una actualización de DSM para resolver los problemas de análisis. Las versiones de producto de la guía de DSM se han probado oficialmente internamente, pero las actualizaciones de software de los proveedores pueden añadir o cambiar el formato de evento para un DSM específico. En estos casos, abra una incidencia de soporte en IBM para una revisión del origen de registro. (https://www.ibm.com/support/home/)
¿Qué hacer si el dispositivo del producto que tiene no aparece en la Guía de configuración de DSM?
- Abra una solicitud de mejora (RFE) para que el dispositivo pase a estar oficialmente soportado.
- Vaya a la QRadar Comunidad RFE de seguridad de . (https://ibm.biz/BdRPx5)
- Inicie sesión en la comunidad RFE de seguridad.
- Pulse la pestaña Enviar y especifique la información necesaria.Nota: Si tiene registros de sucesos de un dispositivo, adjunte la información de sucesos e incluya la versión del producto del dispositivo que ha generado el registro de sucesos.
- Escriba una extensión de origen de registro de para analizar sucesos para el dispositivo. (https://www.ibm.com/support/knowledgecenter/SS42VS_DSM/com.ibm.dsm.doc/c_LogSourceGuide_ExtDocs_about.html)