配置定制攻击电子邮件通知

您可以为针对攻击触发的电子邮件通知创建模板。

您可以通过编辑 alert-config.xml 文件来定制电子邮件通知中包含的内容。

必须创建可以安全编辑文件副本的临时目录,而不会产生覆盖缺省文件的风险。 编辑并保存 alert-config.xml 文件后,必须运行用于验证更改的脚本。 验证脚本自动将更改应用于登台区域。 您必须部署完全配置以重新构建所有设备的配置文件。

过程

  1. 使用 SSH 以 root 用户身份登录到 QRadar Console
  2. 创建要用于安全编辑缺省文件副本的新临时目录。
  3. 输入以下命令以将存储在 custom_alerts 目录中的文件复制到临时目录:
    cp /store/configservices/staging/globalconfig/templates/custom_alerts/*.* <directory_name>

    <directory_name> 是您创建的临时目录的名称。

    如果此文件不存在于 staging 目录中,您可能会在 /opt/qradar/conf/templates/custom_alerts 目录中找到此文件。

  4. 确认是否已成功复制文件:
    1. 要列出目录中的文件,请输入 ls -lah
    2. 验证是否列出了 alert-config.xml 文件。
  5. 打开 alert-config.xml 文件以进行编辑。
  6. 为新的攻击模板添加新的 <template> 元素。
    1. 必需: Enter offense 表示模板类型值。
      <templatetype>offense</templatetype>
    2. 输入攻击模板的名称。
      例如,<templatename>Default offense template</templatename>

      如果有多个模板,请确保此模板名称是唯一的。

    3. <active> 元素设置为 true。
      <active>true</active>
      重要信息: 对于要在 QRadar中显示为选项的每种模板类型,必须将 <active></active> 属性设置为 true 。 每个类型必须有至少一个活动模板。
    4. 编辑 <body><subject> 元素中的参数以包含要查看的信息。

      以下列表提供了可在攻击模板中使用的值。 $Label 值提供项的标签, $Value 值提供数据。

      攻击参数
      $Value.DefaultSubject
      $Value.Intro
      $Value.OffenseId
      $Value.OffenseStartTime
      $Value.OffenseUrl
      $Value.OffenseMRSC
      $Value.OffenseDescription
      $Value.EventCounts
       
      $Label.OffenseSourceSummary
      $Value.OffenseSourceSummary
       
      $Label.TopSourceIPs
      $Value.TopSourceIPs
       
      $Label.TopDestinationIPs
      $Value.TopDestinationIPs
       
      $Label.TopLogSources
      $Value.TopLogSources
       
      $Label.TopUsers
      $Value.TopUsers
       
      $Label.TopCategories
      $Value.TopCategories
       
      $Label.TopAnnotations
      $Value.TopAnnotations
       
      $Label.ContributingCreRules
      $Value.ContributingCreRules

       

      您还可以通过在模板中使用以下语法来对一些值进行循环:

      #foreach( $item in $Value.X )
  $item
#end

      其中,X 是以下某个值:

      • OffenseSourceSummaryList
      • TopSourceIPsList
      • TopDestinationIPsList
      • TopLogSourcesList
      • TopUsersList
      • TopCategoriesList
      • TopAnnotationsList
      • ContributingCreRulesList

       

      您可以使用 ${X} 来包含以下属性,其中 X 是以下某个值:

      • OffenseID
      • OffenseRuleID
      • OffenseRuleName
      • 量级
      • 相关性
      • 严重性
      • 可信性
      • Domain(如果找不到,则为“N/A”)
      • Tenant(如果找不到,则为“N/A”)
      • OffenseType

      例如,如果攻击的规模为 7,并且在模板中包含 ${Magnitude},那么在电子邮件中 ${Magnitude} 的值显示为 7。

  7. 保存并关闭 alert-config.xml 文件。
  8. 通过输入以下命令来验证更改。
    /opt/qradar/bin/runCustAlertValidator.sh <directory_name>

    <directory_name> 是您创建的临时目录的名称。

    如果脚本成功验证更改,那么会显示以下消息:File alert-config.xml was deployed successfully to staging!
  9. QRadar中部署更改。
    1. 登录到 QRadar
    2. 在导航菜单 ( 导航菜单图标 ) 上,单击 管理
    3. 单击 高级 > 部署完整配置
      重要信息: QRadar 在部署完整配置时继续收集事件。 当事件收集服务必须重新启动时, QRadar 不会自动将其重新启动。 将显示一条消息,为您提供选项以取消部署并在更方便的时候重新启动服务。