QID へのイベントのマッピング

QRadar がファイル sample_initiallog.txt のイベントを受信すると、［Log Activity］ページでこれらのイベントは標準の「KL_*」値ではなく、「unknown」、「Unknown Kaspersky Threat Feed Service Event」、またはその他の説明的な名前で表示されることがあります（例：「KL_Threat_Feed_Service」または「CyberCrime_Tracker_Block_Url」）。これにより、無関係のイベントが重複することがあります、

「unknown」イベントのログ

様々なデバイスから受信した多すぎる数のイベントが［Log Activity］ページに表示されている場合は、イベントフィルターを追加できます。このイベントフィルタで、KL_Threat_Feed_Service_v2 と KL_Verification_Tool をログソースとして設定します（フィルタで使用する演算子は Equals any of にする必要があります）。

イベントを正しく識別するために、QID とイベントの間にマッピングを設定します：

1. QRadar Console で［Log Activity］タブを選択し、ウィンドウの右上領域にある［Pause］（）をクリックしてイベントのフローを停止した後、 ［Log Source］列に誤った名前と「KL_Threat_Feed_Service_v2」があるいずれかのイベントをダブルクリックします。

   

   イベントのフローを停止

   イベントの情報が表示されます。イベント名は［Payload information］にあります。

2. ［Map Event］をクリックします。

   

   イベントの情報の閲覧

3. ［Log Source Event］ウィンドウの［QID/Name］テキストボックスにイベント名を入力します。名前は、QRadar にインポートした QID のいずれかにする必要があります。
4. ［Search］をクリックします。

   1 つの結果が［Matching QIDs］表に表示されます。

   

   QID とイベント名の間への対応付けの追加

5. 表の行を選択して［OK］をクリックします。
6. すべてのイベントタイプ（インポートした QID）に対してステップ 3、4、5 を実行します。
7. イベントと QID を正しく確実にマッピングするために、イベント一式を QRadar に送信する手順を繰り返します。［Log Activity］ページに誤った名前のイベントを含めることはできません。

   

   「unknown」イベントのないログ