Сопоставление событий с QID

Когда события из файла sample_initiallog.txt поступают в QRadar, на странице Log Activity они могут отображаться с именем «unknown», «Unknown Kaspersky Threat Feed Service Event» или иным описательным именем вместо стандартного значения (например, «KL_Threat_Feed_Service» или «CyberCrime_Tracker_Block_Url»). Это может привести к дублированию несвязанных между собой событий.

Журнал с событиями «unknown»

Если на странице Log Activity отображается слишком много событий, поступающих с разных устройств, можно добавить фильтр событий. В этом фильтре событий установите KL_Threat_Feed_Service_v2 и KL_Verification_Tool в качестве источников журналов (в фильтре должен использоваться оператор Equals any of).

Чтобы правильно идентифицировать события, настройте сопоставление QID с событиями:

1. В QRadar Console выберите вкладку Log Activity, остановите поток событий нажатием на кнопку Pause () в правом верхнем углу окна, затем дважды щелкните по любому событию с неправильным именем и KL_Threat_Feed_Service_v2 в столбце Log Source.

   

   Остановка потока событий

   Отобразится информация о событии. Имя события содержится в поле Payload information.

2. Нажмите на кнопку Map Event.

   

   Просмотр информации о событии

3. В окне Log Source Event в поле ввода QID/Name введите имя события. Это должен быть один из QID, импортированных в QRadar.
4. Нажмите на кнопку Search.

   В таблице Matching QIDs будет отображаться один результат.

   

   Добавление соответствия между QID и именем события

5. Выберите строку таблицы и нажмите кнопку ОК.
6. Выполните шаги 3, 4 и 5 для всех типов событий (импортированных QID).
7. Чтобы убедиться, что сопоставление событий с QID выполняется правильно, повторите процедуру отправки набора событий в QRadar. На странице Log Activity не должно остаться событий с неправильным названием.

   

   Журнал без событий «unknown»