QRadar Network Threat Analytics アプリケーションの構成
IBM® QRadar® Network Threat Analytics アプリケーションをインストールした後、 QRadarでの認証に使用する許可サービス・トークンを追加するように構成する必要があります。
QRadar Network Threat Analytics アプリケーションが許可サービス・トークンを使用して構成された直後に、ベースライン・プロセスが開始されます。 このアプリは、既存のすべてのフロー・データをレビューし、将来のすべてのフロー・レコードを比較するネットワーク・ベースラインを作成します。 デプロイメントに多数のフロー・レコードがある場合、ベースラインは、通常ネットワーク上で監視されるフロー・トラフィックのタイプをより代表するものになります。
始める前に
管理者としてログインする必要があります。
「管理」 セキュリティー・プロファイルとユーザー・ロールを使用して構成された QRadar セキュリティー・トークンが必要です。 詳しくは、 許可サービス・トークンの作成を参照してください。
QRadar デプロイメントに少なくとも 1 週間分の連続フロー・データがあることを確認します。
手順
結果
許可サービス・トークンが適用され、ベースライン・プロセスが開始されます。 QRadar Network Threat Analytics は、ベースライン・プロセス中に開いたままにする必要はありません。
構成変更を送信するたびに、ベースラインの状況が「 状況の取得中」に一時的に変更されます。 このメッセージは、ベースラインが影響を受けない場合でも、構成変更をサブミットするたびに表示されます。
次に実行するタスク
ベースライン・プロセスが完了するまで、検出結果はホーム・ページに表示されません。 この間、製品インターフェースを使用してフローを探索できます。 最初のベースラインが完了すると、ネットワーク・ベースラインが更新中であっても、そのベースラインに対してスコアリングされた検出結果と新規フローを探索できます。
必要に応じて、ベースライン・プロセスの進行中にアプリを安全にアンインストールできます。 ネットワーク・ベースラインは保持されません。アプリケーションを再インストールすると、プロセスが再度開始されます。