イベント・マップを変更すると、イベントを IBM
QRadar ID (QID) マップに手動でカテゴリー化できます。 ログ・ソースに分類されたすべてのイベントは、新しい QRadar ID (QID) に再マップできます。
このタスクについて
IBM® ログ・ソースが定義されていないGuardium® イベント・マップ・イベントは、イベントにマッピングされません。 ログ・ソースのないイベントの場合、「ログ・ソース」列に「SIM 汎用ログ (SIM Generic Log)」と表示されます。
手順
- 「イベント名」列で、 IBM Guardium の不明なイベントをダブルクリックします。
- 「イベントのマップ」をクリックします。
- 「QID の参照 (Browse for QID)」 ペインから、以下のいずれかの検索オプションを選択して、 QRadar ID (QID) のイベント・カテゴリーを絞り込みます。
「上位カテゴリー」リストから、上位イベント・カテゴリーを選択します。
上位レベルおよび下位レベルのイベント・カテゴリーまたはカテゴリー定義の全リストについては、 IBM
QRadar Administration Guideの「イベント・カテゴリー」セクションを参照してください。
「下位カテゴリー」リストから、下位イベント・カテゴリーを選択します。
「ログ・ソース・タイプ」リストから、ログ・ソース・タイプを選択します。
「ログ・ソース・タイプ」リストでは、他のログ・ソースからの QID を検索できます。 イベントが既存の別のネットワーク・デバイスからのイベントに類似している場合、ログ・ソースで QID を検索すると便利です。 例えば、 IBM Guardium にはポリシー・イベントが用意されていますが、類似したイベントをキャプチャーする可能性が高い別の製品を選択することもできます。
- QID を名前で検索するには、 「QID/ 名前」 フィールドに名前を入力します。
「QID/名前」フィールドでは、特定の単語 (例: policy) で QID の完全なリストをフィルタリングできます。
- 「検索」をクリックします。
- 不明イベントに関連付ける QID を選択します。
- 「OK」をクリックします。
QRadar イベント・ペイロードと一致する同じ QID を持つデバイスから転送されるすべての追加イベントがマップされます。 イベント・カウントは、イベントが QRadarによって識別されるたびに増加します。
新しい QRadar ID (QID) マップを使用してイベントを更新した場合、 QRadar に保管されている過去のイベントは更新されません。 新しいイベントだけが新しい QID によって分類されます。