Шаг 7 (необязательный). Отображение событий на информационной панели

Информационная панель QRadar предназначена для визуализации результатов обнаружения киберугроз. Например, на диаграмме отображается соотношение количества событий разного типа.

Требуется QRadar 7.2.6 Patch 3 или более поздняя версия. Использование более ранней версии может привести к некорректным результатам.

Для добавления диаграммы, отображающей результаты обнаружения киберугроз Kaspersky CyberTrace Service в визуальном формате, необходимо выполнить три процедуры:

1. Создание поиска событий.
2. Добавление диаграммы на информационную панель.
3. Настройка добавленной диаграммы.

Создание поиска событий.

Следующая процедура описывает порядок создания поиска событий.

Чтобы создать поиск событий, выполните следующие действия:

1. В QRadar Console перейдите на вкладку Log Activity.
2. Выберите Search > New Search.
3. В форме Column Definition удалите Event Name из списка Available Columns и добавьте Event Name в список Group By.

   

   Определение столбцов

4. Прокрутите страницу вниз и в форме Search Parameters задайте KL_Threat_Feed_Service_v2 в качестве источника журналов:
   1. В раскрывающемся списке Parameter выберите Log Source [Indexed].
   2. В раскрывающемся списке Operator выберите Equals.
   3. В списке Log Source выберите KL_Threat_Feed_Service_v2.

      Вариант KL_Threat_Feed_Service_v2 соответствует имени источника журналов, который задан в параметрах формата событий обнаруженных киберугроз и формата оповещений о событиях на вкладке Events format в веб-интерфейсе Kaspersky CyberTrace.

   4. Нажмите на кнопку Add Filter.

      В список Current Filters добавляется строка Log Source is KL_Threat_Feed_Service_v2.

   

   Настройка источника журнала

5. Нажмите на кнопку Filter или Save, чтобы отобразился результат поиска.
6. Нажмите на кнопку Save Criteria.

   

   Кнопка Save Criteria

7. В форме Save Criteria установите флажок Include in my Dashboard, введите имя поиска в поле ввода Search Name и нажмите кнопку ОК.

   

   Сохранение критериев

Добавление диаграммы на информационную панель

Следующая процедура описывает порядок добавления диаграммы на информационную панель.

Чтобы добавить диаграмму на информационную панель:

1. В QRadar Console выберите вкладку Dashboard.
2. Выберите Add Item > Log Activity > Event Searches > KL_Events.

   Здесь KL_Events — это имя заданного поиска.

   

   Добавление элемента на информационную панель

   На информационной панели появится диаграмма.

   

   Новая диаграмма

Настройка добавленной диаграммы

Следующая процедура описывает порядок настройки диаграммы, добавленной на информационную панель.

Чтобы настроить добавленную диаграмму, выполните следующие действия:

1. Нажмите на кнопку Settings () в правом верхнем углу диаграммы.
2. Задайте требуемые настройки диаграммы.

   

   Настройки диаграммы

   Если установить флажок Capture Time Series Data, на диаграмме будут отображаться все входящие данные, полученные после установки этого флажка; элемент, выбранный в раскрывающемся списке Time Range, игнорироваться. Если снять флажок Capture Time Series Data, будет отображаться только информация, полученная в течение временного интервала, выбранного в раскрывающемся списке Time Range.

После получения событий они отображаются на диаграмме.

Гистограмма

В раскрывающемся списке Chart Type можно выбрать тип диаграммы, который будет использоваться для отображения данных.

Круговая диаграмма

Информация о диаграммах, основанных на результатах поиска, также приведена в справке QRadar (раздел «Dashboard management > Adding search-based dashboard items to the Add Items list»).