ウィジェットのデータ・ソースとしてオフェンス API エンドポイントを使用します。
このタスクについて
管理者は、他のユーザーのウィジェットやダッシュボードを作成することはできませんが、他のユーザーと独自のダッシュボードを共有することもできます。
オフェンス・データ・ソース (/siem/offenses エンドポイント) を照会するには、「オフェンス」許可が必要です。 返されるデータは、セキュリティー・プロファイルに基づいて制限されます。
手順
- ダッシュボードの構成をクリックします。
「ダッシュボードの構成」 画面に、使用可能なウィジェットのライブラリーがそれぞれの詳細とともに表示されます。
- 新規ウィジェットの作成をクリックします。
- 「 新規ダッシュボード項目 」ページで、ウィジェットの名前と説明を入力します。
- 「照会」 セクションのデータ・ソース・リストから Offense を選択し、 「フィールド」 リストから結果に表示する API フィールドを選択します。 結果を細かく絞り込むには、「フィルター」オプションと「ソート」オプションを使用します。
API フィールドについて詳しくは、 QRadar コンソール API の資料 (https://<ConsoleIPaddress>/api_doc/) を参照してください。 オフェンス API フィールドは、 GET /siem/offenses セクションにあります。
以下のイメージは、完了した API パラメーターの例を示しています。
注: この例では、結果を取得するために assigned_to フィルターを現行ユーザーに設定する必要があります。
ヒント: オフェンス照会では ログ・ソース 1 つ以上でフィルタリングできます。 例えば、 「フィルター」 ボックスに log_sources CONTAINS (type_name="IBM Trusteer" OR
type_name="CREEvents") と入力すると、 IBM® Trusteer ® または CREEvents ログ・ソースのみが表示されます。
- データ・ソースをポーリングする頻度を示すリフレッシュ時間を選択してください。
選択された照会時間より長いリフレッシュ頻度を選択してください。 デフォルトのリフレッシュ頻度は 5 分ごとです。 リフレッシュ時間が短いほど、 IBM QRadar®のパフォーマンスへの影響が大きくなります。
- 照会の実行をクリックします。
ウィジェットを初めて作成する際、データ結果が返されていない場合は、グラフを構成できません。 フィールドの条件をあまり厳しくないものにして、照会を再実行してください。
- ビュー セクションでビューを作成します。
同じ照会から複数のビューを作成できるため、ビューに固有の名前を付けます。 デフォルトでは、タイトル・バーにあるグラフのタイトルと状況が表示されます。それらを非表示にするには、その他のオプション・アイコンをクリックして、設定を「オフ」に切り替えます。
- グラフ・タイプを選択し、グラフの対応するフィールドに入力します。 使用するグラフ・タイプを決定するのに役立つユース・ケースについては、 ウィジェット・グラフ・タイプを参照してください。
- グラフの外観をプレビューし、 保存をクリックします。
結果
照会を再実行することなく、ウィジェットを編集して保存することができます。 例えば、新規イベントを選出するには期間の長さが不十分である場合や、照会の実行時にマグニチュードまたは重大度の値が適用可能でない場合など、照会によって結果が返されない場合、ウィジェットを保存できます。 照会を編集する場合、ウィジェットを保存する前に照会を再実行する必要があります。
ウィジェットを削除すると、ダッシュボード項目は、それが属しているすべてのダッシュボードから除去されます。 削除されたダッシュボードにパラメーターが含まれている場合、それらのパラメーターは削除されません。