Création de widgets à partir d'une source de données Dynamic query

La source de données Recherche dynamique utilise l'API de recherche dynamique IBM® QRadar® pour rechercher des données qui impliquent des fonctions agrégées telles que COUNT, SUM, MAX et AVG. Par exemple, vous pouvez compter le nombre d'identifiants d'actifs par nom d'hôte d'actif à l'aide de la fonction COUNT_PER.

Avant de commencer

Votre administrateur doit fournir une recherche dynamique sous la forme d'un script JSON.

L'option Recherche dynamique requiert QRadar 7.4.1.2020.3.2.20201112005343 (groupe de correctifs 2) ou version ultérieure.

Si la version de QRadar est 7.4.3 ou ultérieure et que vous êtes administrateur, cliquez sur le lien Générateur de requête de recherche dynamique pour pouvoir générer une requête et la sauvegarder en tant que script JSON à utiliser en tant que requête de widget.

A propos de cette tâche

Vous pouvez générer votre requête sur les sources de données suivantes :

  • Actifs
  • Infractions
  • Vulninstances

Vous pouvez ajouter une zone sans fonction en tant que zone simple, ou ajouter une zone avec une fonction en tant que zone complexe pour générer des colonnes. Vous pouvez également ajouter des conditions pour filtrer vos données.

Procédure

  1. Cliquez sur Configurer tableau de bord.

    L'écran Configurer le tableau de bord affiche la bibliothèque de widgets disponibles, avec des informations sur chaque widget.

  2. Cliquez sur Créer un widget.
  3. Sur la page Nouvel élément de tableau de bord , entrez un nom et une description pour le widget.
  4. Sélectionnez Recherche dynamique dans la liste des sources de données dans la section Requête et entrez une requête JSON.
  5. Facultatif: Si la version de QRadar est 7.4.3 ou ultérieure et que vous êtes administrateur, cliquez sur le lien Générateur de requête de recherche dynamique pour générer une requête.
    1. Sélectionnez un Source de données.
    2. Renseignez les sections Colonnes disponibles et Filtres disponibles .
    3. Pour ajouter un nom, une description, une plage de recherche, une période de conservation ou un type de recherche à votre requête, activez un ou plusieurs Propriétés de la recherche supplémentaire.
    4. Pour copier votre script JSON, cliquez sur Générer JSON.
      Vos résultats apparaissent dans la section JSON généré par votre requête. Cliquez sur Copier vers le presse-papiers pour copier le script JSON.
    5. Dans la page Nouvel élément de tableau de bord , collez le script JSON copié.
  6. Facultatif: Ajoutez des paramètres à la requête de recherche dynamique.
    1. Insérez les paramètres existants dans la requête. Cliquez sur l'icône Insérer un paramètre, puis sur Insérer pour chaque paramètre pertinent.
      Important: Dans les requêtes de recherche dynamique, les paramètres doivent être précédés d'un signe dollar (par exemple, ${NumberOfRules}).
    2. Pour modifier la valeur par défaut du paramètre, cliquez sur l'icône Paramètres de vue , puis sur Sauvegarder après avoir défini la valeur par défaut.
      Lorsque vous modifiez la valeur par défaut d'un paramètre, vous modifiez la valeur partout où le paramètre est utilisé dans votre espace de travail, sauf dans les tableaux de bord et les widgets développés ou épinglés. Si vous ne définissez pas la valeur comme valeur par défaut, la modification mise à jour s'applique uniquement à la session en cours. Toutefois, si vous définissez la valeur comme valeur par défaut, la valeur de la session actuelle utilise également cette valeur.

      Le paramètre prédéfini SYSTEM:username renvoie le nom d'utilisateur de l'utilisateur connecté. Les paramètres du système sont en lecture seule et vous ne pouvez pas modifier la valeur par défaut.

    3. Pour ajouter un paramètre à votre espace de travail, cliquez sur Ajouter, donnez au paramètre un nom et une valeur par défaut, si nécessaire, puis cliquez sur Sauvegarder.

      Une fois que vous avez ajouté des paramètres à un widget sur un tableau de bord pour la première fois, la carte Paramètres apparaît sur le tableau de bord. Si vous supprimez des paramètres du widget et qu'aucun autre widget dans ce tableau de bord n'utilise le paramètre, la carte Paramètres disparaît.

  7. Cliquez sur Exécuter la requête.
    Lorsque vous créez le widget pour la première fois, vous ne pouvez pas configurer les graphiques si aucun résultat de données n'est renvoyé. Essayez de rendre les critères des zones moins stricts et exécutez à nouveau la requête.
  8. Créez un graphique de tableau de bord dans la section Vues .
    Comme vous pouvez créer plusieurs vues et graphiques à partir de la même requête, donnez un nom unique à la vue. Par défaut, le titre et le statut du graphique sur la barre de titre sont affichés ; pour les masquer, cliquez sur l'icône Autres options et remplacez les paramètres par Désactivé.
  9. Sélectionnez un type de graphique et configurez les propriétés correspondantes. Pour connaître les cas d'utilisation qui vous aideront à déterminer le type de graphique à utiliser, voir Types de graphique de widget.
    Type de graphique Instructions
    Barre Création d'un diagramme à barres
    Graphique de grands nombres Création d'un tableau de grands nombres
    Informations géographiques Création d'un graphique géographique
    Graphique circulaire Création d'un graphique circulaire
    Nuage de points Création d'un graphique à nuage de points
    Tableau Création d'un graphique tabulaire
    Séries temporelles Création d'un diagramme de série temporelle
  10. Prévisualisez le mode de présentation du graphique, puis cliquez sur Sauvegarder.
    Conseil : les libellés du graphique proviennent des requêtes utilisées. S'ils sont inintelligibles dans l'aperçu, éditez-les dans la section Afficher.