Часто задаваемые вопросы

Получите ответы на часто задаваемые вопросы об этом продукте.

FAQ

Начните работу с этим продуктом

Каким образом в компоненте Data Store настраивается разделение данных, предназначенных для хранения и анализа?

Data Store настраивается с помощью простого фильтра сбора данных на уровне QRadar. Выбрав источник данных или критерии событий из источника данных, можно быстро указать, какие именно данные следует передавать напрямую в Data Store. Фильтр можно изменить в любой момент - изменения вступают в силу сразу.

Используют ли приложения, устанавливаемые из App Exchange, данные из Data Store?

Все зависит от приложения. Поскольку данные Data Store не обрабатываются средствами аналитики и корреляции, аналитические приложения могут использовать не все данные, собранные с помощью Data Store. Все остальные функции, такие как создание отчетов, анализ, пользовательские свойства и сводные панели, должны работать надлежащим образом.

Поддержка

Какая версия QRadar требуется для применения Data Store?

Клиенты должны использовать версию 7.3.1 или выше.

Какие типы устройств поддерживают Data Store?

Data Store представляет собой лицензируемое дополнение QRadar, использующее существующие ресурсы хранения данных и вычислительные ресурсы обработчиков событий и узлов данных для сбора, обработки и хранения данных. Новые устройства не нужны, но может потребоваться приобрести дополнительные узлы данных, чтобы компенсировать увеличение объема сохраняемых данных.

Безопасность

Какие функции QRadar будут доступны для данных, собранных компонентом Data Store?

Поскольку Data Store предназначен для управления протоколами, его данные исключены из средств корреляции и расширенного анализа безопасности. Однако, данные Data Store могут использоваться большинством остальных функций, таких как поиск, создание отчетов, визуализация и пользовательские приложения, созданные с помощью QRadar App Framework.

Можно ли преобразовать данные, собранные Data Store, для последующего применения в сценариях использования в области безопасности?

Данные Data Store нельзя использовать для хронологической корреляции. Однако, вы можете внести изменения в политику фильтрации, которая разделяет данные Data Store и данные SIEM. После обновления политики все данные, которые будут собираться в будущем, включаются во все процессы аналитики и корреляции QRadar.