Tworzenie widgetów na podstawie źródła danych zapytania dynamicznego

Edycja w trybie z połączeniem

Źródło danych Wyszukiwanie dynamiczne korzysta z funkcji API dynamicznego wyszukiwania IBM® QRadar ® do wyszukiwania danych, które obejmują zagregowane funkcje, takie jak COUNT, SUM, MAX i AVG. Na przykład można policzyć liczbę identyfikatorów zasobów na nazwę hosta zasobu za pomocą funkcji COUNT_PER .

Zanim rozpoczniesz

Administrator musi udostępnić wyszukiwanie dynamiczne w postaci skryptu JSON.

Opcja Wyszukiwanie dynamiczne wymaga programu QRadar 7.4.1.2020.3.2.20201112005343 (pakiet poprawek 2) lub nowszego.

Jeśli wersja QRadar to 7.4.3 lub nowsza, a użytkownik jest administratorem, należy kliknąć odsyłacz Program budujący zapytania dynamicznego wyszukiwania , aby można było zbudować zapytanie i zapisać go jako skrypt JSON, który ma być używany jako zapytanie dotyczące widgetu.

Informacje o tym zadaniu

Zapytanie można zbudować w następujących źródłach danych:

  • Zasoby
  • Naruszenia zasad
  • Vulninstances

Pole można dodać bez funkcji jako pole proste lub można dodać pole z funkcją jako pole złożone w celu zbudowania kolumn. Można również dodać warunki do filtrowania danych.

Procedura

  1. Kliknij opcję Konfiguruj panel kontrolny.

    Na ekranie Konfigurowanie panelu kontrolnego zostanie wyświetlona biblioteka dostępnych widgetów ze szczegółowymi informacjami na temat poszczególnych widgetów.

  2. Kliknij opcję Utwórz nowy widget.
  3. Na stronie Nowy element panelu kontrolnego wprowadź nazwę i opis widgetu.
  4. Wybierz opcję Wyszukiwanie dynamiczne z listy źródeł danych w sekcji Zapytanie , a następnie wprowadź zapytanie JSON.
  5. Opcjonalnie: Jeśli wersja QRadar jest w wersji 7.4.3 lub nowszej, a użytkownik jest administratorem, kliknij odsyłacz Program budujący zapytania dynamicznego wyszukiwania , aby zbudować zapytanie.
    1. Wybierz opcję Źródło danych.
    2. Wypełnij sekcje Dostępne kolumny i Dostępne filtry .
    3. Aby dodać nazwę, opis, zakres wyszukiwania, okres przechowywania lub typ wyszukiwania do zapytania, należy włączyć jedną lub więcej dodatkowych właściwości wyszukiwania.
    4. Aby skopiować skrypt JSON, kliknij opcję Generuj JSON.
      Wyniki zostaną wyświetlone w sekcji JSON wygenerowane przez zapytanie . Kliknij opcję Kopiuj do schowka , aby skopiować skrypt JSON.
    5. Na stronie Nowy element panelu kontrolnego wklej skopiowany skrypt JSON.
  6. Opcjonalnie: Dodaj parametry do zapytania dynamicznego wyszukiwania.
    1. Wstaw istniejące parametry w zapytaniu. Kliknij ikonę Insert Parameter (Wstaw parametr), a następnie kliknij opcję Insert (Wstaw) dla każdego odpowiedniego parametru.
      Ważne: W zapytaniach wyszukiwania dynamicznego parametry muszą być poprzedzone znakiem dolara (na przykład ${NumberOfRules}).
    2. Aby zmienić wartość domyślną parametru, kliknij ikonę Wyświetl parametry , a następnie kliknij przycisk Zapisz po ustawieniu wartości domyślnej.
      Zmiana wartości domyślnej dla parametru powoduje zmianę wartości wszędzie tam, gdzie parametr jest używany w obszarze roboczym, z wyjątkiem paneli kontrolnych rozszerzonych lub przypiętych oraz widgetów. Jeśli wartość nie zostanie ustawiona jako wartość domyślna, zaktualizowana zmiana będzie stosowana tylko do bieżącej sesji. Jeśli jednak wartość zostanie ustawiona jako wartość domyślna, bieżąca wartość sesji również użyje tej wartości.

      Predefiniowany parametr SYSTEM:accountId zwraca identyfikator konta użytkownika, który jest zalogowany. Parametry systemowe są tylko do odczytu i nie można zmienić wartości domyślnej.

    3. Aby dodać parametr do obszaru roboczego, należy kliknąć opcję Dodaj, nadać parametrowi nazwę i wartość domyślną, jeśli jest to potrzebne, a następnie kliknąć przycisk Zapisz.

      Po dodaniu parametrów do widgetu na panelu kontrolnym po raz pierwszy karta Parametry zostanie wyświetlona na panelu kontrolnym. Jeśli zostaną usunięte parametry z widgetu, a żaden inny widget w tym panelu kontrolnym nie użyje tego parametru, karta Parametry zniknie.

  7. Kliknij opcję Uruchom zapytanie.
    Podczas pierwszego tworzenia widgetu nie można konfigurować wykresów, gdy nie są zwracane żadne wyniki danych. Spróbuj określić kryteria w polach mniej rygorystycznych i uruchom zapytanie ponownie.
  8. Utwórz wykres panelu kontrolnego w sekcji Widoki .
    Ponieważ istnieje możliwość utworzenia wielu widoków i wykresów z tego samego zapytania, należy nadać widoku unikalną nazwę. Domyślnie wyświetlany jest tytuł i status wykresu na pasku tytułu. Aby je ukryć, kliknij ikonę Więcej opcji i przełącz ustawienia na wartość Wyłączone.
  9. Wybierz typ wykresu i skonfiguruj odpowiednie właściwości. Aby określić, który typ wykresu ma być używany, należy zapoznać się z instrukcjami w sekcji Typy wykresów widgetów.
    Typ wykresu Instrukcje
    Słupek Tworzenie wykresu słupkowego
    Duża liczba Tworzenie wykresu dużej liczby
    Geograficzne Tworzenie wykresu geograficznego
    Kołowy Tworzenie wykresu kołowego
    Rozproszenie Tworzenie wykresu punktowego
    Tabelaryczny Tworzenie wykresu tabelarnego
    Szeregi czasowe Tworzenie wykresu szeregów czasowych
  10. Zapoznaj się z podglądem wykresu, a następnie kliknij przycisk Zapisz.
    Wskazówka: Etykiety dla wykresu pochodzą z używanych zapytań. Jeśli w podglądzie są nieczytelne, należy edytować etykiety w sekcji Widok .