Создание элементов сводной панели из источника данных о нарушении

Используйте конечные точки API нарушений в качестве источника данных для элементов сводной панели.

Об этой задаче

Администраторы не могут создавать элементы сводной панели или сводные панели для других пользователей, но могут делиться своими собственными сводными панелями с другими пользователями.

Для запросов источника данных нарушений (конечная точка /siem/offenses), необходимо разрешение Нарушения. Возвращаемые данные ограничиваются на основе вашего профиля защиты.

Процедура

  1. Щелкните по Управление элементами сводной панели > Создать элемент сводной панели.
  2. На странице Создать элемент сводной панели введите имя и описание элемента.
  3. Выберите Нарушение в списке в разделе Запрос и выберите поля API, которые хотите просматривать в результатах, в списке Поля. Для тонкой настройки результатов используйте Фильтр и Сортировка.

    Дополнительную информацию о полях API смотрите в разделе https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.2/com.ibm.qradar.doc/10.0--siem-offenses-GET.html или в справке по продукту (https://<ConsoleIPaddress>/api_doc/). Поля API нарушений находятся в разделе GET /sim/demense .

    На следующем рисунке показан пример законченных параметров API.
    Изображение, показывающее параметры API нарушения
  4. Выберите время обновления, чтобы указать, как часто производится опрос источника данных.
    Выберите частоту обновления, превышающую время выбранного запроса. При каждом обновлении элемента сводной панели выполняется API REST, поэтому у методов краткое время ответа. Текущая частота обновления по умолчанию для элементов сводной панели - каждая минута.
  5. Щелкните по Выполнить запрос.
    При первом создании элемента вы не можете сконфигурировать диаграммы, когда не будет возвращено никаких результатов данных. Попробуйте сделать критерии в этих полях менее строгими, а затем снова запустите запрос.
  6. Создайте диаграмму сводной панели в разделе Представления.
    Поскольку вы можете создать несколько представлений из одного и того же запроса, присвойте представлению уникальное имя. По умолчанию заголовок и состояние диаграммы показываются в строке заголовка; чтобы скрыть их, щелкните по значку Дополнительные опции и переключите параметры на Выкл.
  7. Выберите тип диаграммы и заполните соответствующие поля для диаграммы. Варианты использования, которые помогут вам решить, какой тип диаграммы использовать, смотрите в разделе Типы диаграмм элементов сводной панели.
    Тип диаграммы Инструкции
    Столбчатая Создание столбиковой диаграммы
    Большое число Создание диаграммы больших чисел
    Круговая Создание круговой диаграммы
    Табличный Создание табличной диаграммы
  8. Произведите предварительный просмотр, чтобы увидеть, как будет выглядеть диаграмма, а затем нажмите на Сохранить.

Результаты

Можно изменить элемент сводной панели и сохранить его без повторного выполнения запроса. Например, если запрос не возвращает результаты, скажем, когда период времени недостаточен для получения новых событий или если значение интенсивности или серьезности неприменимо при выполнении запроса, можно сохранить элемент сводной панели. Если вы измените запрос, вам придется снова выполнить запрос, прежде чем вы сможете сохранить элемент сводной панели.

При удалении элемента сводной панели он удаляется из всех сводных панелей, к которым он принадлежит. Если удаленная сводная панель содержит параметры, то параметры не удаляются из QRadar Pulse.