Creación de widgets a partir de un origen de datos de consulta dinámica

El origen de datos de Búsqueda dinámica utiliza la API de búsqueda dinámica de IBM® QRadar® para buscar datos que impliquen funciones agregadas como COUNT, SUM, MAX y AVG. Por ejemplo puede contar el número de ID de activos por cada nombre de host de activo, utilizando la función COUNT_PER.

Antes de empezar

El administrador debe proporcionar una búsqueda dinámica en forma de script JSON.

La opción Búsqueda dinámica requiere QRadar 7.4.1.2020.3.2.20201112005343 (Fixpack 2) o posterior.

Si la versión de QRadar es 7.4.3 o posterior y es administrador, pulse el enlace Creador de consultas de búsqueda dinámica para poder crear una consulta y guardarla como un script JSON para utilizarla como una consulta de widget.

Acerca de esta tarea

Puede crear su consulta sobre los orígenes de datos siguientes:

  • Activos
  • Delitos
  • Vulninstances

Puede añadir un campo sin una función como un campo simple, o puede añadir un campo con una función como un campo complejo para crear columnas. También puede añadir condiciones para filtrar sus datos.

Procedimiento

  1. Haga clic en Configurar el panel.

    La pantalla Configurar panel de control muestra una biblioteca de widgets disponibles, con detalles sobre cada widget.

  2. Haga clic en Crear widget nuevo.
  3. En la página Elemento de panel de instrumentos , especifique un nombre y una descripción para el widget.
  4. Seleccione Búsqueda dinámica en la lista de orígenes de datos en la sección Consulta y especifique una consulta JSON.
  5. Opcional: Si la versión de QRadar es 7.4.3 o posterior y es administrador, pulse el enlace Creador de consultas de búsqueda dinámica para crear una consulta.
    1. Seleccione un Fuente de datos.
    2. Complete las secciones Columnas disponibles y Filtros disponibles .
    3. Para añadir un nombre, descripción, rango de búsqueda, periodo de retención o tipo de búsqueda a la consulta, habilite uno o más Propiedades de búsqueda adicionales.
    4. Para copiar el script JSON, pulse Generar JSON.
      Sus resultados aparecen en la sección JSON generado por la consulta. Pulse Copiar en el portapapeles para copiar el script JSON.
    5. En la página Elemento de panel de control nuevo , pegue el script JSON copiado.
  6. Opcional: Añada parámetros a la consulta de búsqueda dinámica.
    1. Insertar parámetros existentes en la consulta. Pulse el icono Insertar parámetro y, a continuación, pulse Insertar para cada parámetro relevante.
      Importante: En las consultas de búsqueda dinámica, los parámetros deben ir precedidos de un signo de dólar (por ejemplo, ${NumberOfRules}).
    2. Para cambiar el valor predeterminado del parámetro, pulse el icono Ver parámetros y pulse Guardar después de establecer el valor predeterminado.
      Cuando cambia el valor predeterminado para un parámetro, está cambiado el valor en todos los puntos donde se utiliza el parámetro en el espacio de trabajo, excepto en paneles de control ampliados o marcados. Si no establece el valor como valor predeterminado, el cambio actualizado solo se aplica a la sesión actual. Sin embargo, si establece el valor como valor predeterminado, el valor de la sesión actual también utiliza dicho valor.

      El parámetro SYSTEM:username predefinido devuelve el nombre de usuario del usuario que ha iniciado la sesión. Los parámetros del sistema son de solo lectura y no puede modificar el valor predeterminado.

    3. Para añadir un parámetro al espacio de trabajo, pulse Añadir, proporcione al parámetro un nombre y valor predeterminado, si es necesario, y pulse Guardar.

      Después de añadir parámetros a un widget en un panel de control por primera vez, la tarjeta Parámetros aparece en el panel de control. Si elimina parámetros del widget, y ningún otro widget de ese panel de control utiliza el parámetro, la tarjeta Parámetros desaparece.

  7. Haga clic en Ejecutar consulta.
    Cuando crea el widget por primera vez, no puede configurar los gráficos cuando no se devuelven resultados de datos. Intente conseguir que los criterios de los campos sean menos estrictos y vuelva a ejecutar la consulta.
  8. Cree un gráfico de panel de control en la sección Vistas .
    Puesto que puede crear varias vistas y gráficos desde la misma consulta, asigne a la vista un nombre exclusivo. De forma predeterminada, se visualiza el título y el estado del gráfico en la barra de título; para ocultarlos, pulse el icono Más opciones y cambie los valores a Desactivado.
  9. Seleccione un tipo de gráfico y configure las propiedades relevantes. Para ver los casos de uso que le ayudarán a decidir qué tipo de gráfico utilizar, consulte Tipos de gráfico de widget.
    Tipo de gráfico Instrucciones
    Barra Creación de un gráfico de barras
    Número grande Creación de un gráfico de números grandes
    Geográfico Creación de un gráfico geográfico
    Circular Creación de un gráfico circular
    Dispersar Creación de un gráfico de dispersión
    Tabular Creación de un gráfico de tabla
    Serie temporal Creación de un gráfico de serie temporal
  10. Obtenga una vista previa de cómo se ve el gráfico y luego pulse Guardar.
    Sugerencia: Las etiquetas del gráfico proceden de las consultas que se utilizan. Si son ininteligibles en la vista previa, edite las etiquetas en la sección Vista.