常見問題 (FAQ)

針對本產品的最常見問題取得解答。

FAQ

開始使用此產品

要如何配置 Data Store 才能區別儲存用資料與分析用資料?

Data Store 可在 QRadar 中使用簡易集合進行配置。您可以選擇資料來源或資料來源的事件準則,即可輕鬆定義哪些資料要直接傳送給 Data Store。此過濾器可以隨時變更,並立即推送到正式作業。

從 App Exchange 安裝的應用程式是否會使用 Data Store 資料?

有些會,有些不會。Data Store 的資料不會經過分析或產生相關性,因此分析導向應用程式可能無法完全利用使用 Data Store 所收集的資料。所有其他功能應該都會正常運作,例如報告、剖析、自訂內容和儀表板。

支援

需要哪個版本的 QRadar 才能使用 Data Store?

客戶必須使用 7.3.1 或更高的版本。

哪些類型的應用裝置支援 Data Store 功能?

Data Store 是 QRadar 授權套版,其中充分利用事件處理器和資料節點上現有的儲存和處理功能來收集、處理與儲存 Data Store 所識別的資料。無需任何新的應用裝置,但可能需要購買額外的資料節點才能支援資料儲存需求。

安全

QRadar 的哪些功能將會使用 Data Store 所收集的資料?

Data Store 主要用於日誌管理,因此相關性和進階安全分析功能不會使用其資料。不過,Data Store 資料可供大部分的其他功能使用,例如搜尋、報告、視覺化,以及使用 QRadar App Framework 建置的自訂應用程式。

使用 Data Store 收集的資料可進行轉換並在稍後供安全使用案例使用嗎?

Data Store 資料無法用於產生歷史相關性。不過,用來區別 Data Store 資料與 SIEM 資料的過濾原則可以輕易變更。只要原則經過更新,所有未來收集到的資料都會納入 QRadar 當中的所有分析和相關性處理程序。