QID へのイベントのマッピング
QID へのイベントのマッピング
2024年4月11日
ID 171613
QRadar がファイル sample_initiallog.txt のイベントを受信すると、[Log Activity]ページでこれらのイベントは標準の「KL_*」値ではなく、「unknown」、「Unknown Kaspersky Threat Feed Service Event」、またはその他の説明的な名前で表示されることがあります(例:「KL_Threat_Feed_Service」または「CyberCrime_Tracker_Block_Url」)。これにより、無関係のイベントが重複することがあります、
「unknown」イベントのログ
様々なデバイスから受信した多すぎる数のイベントが[Log Activity]ページに表示されている場合は、イベントフィルターを追加できます。このイベントフィルタで、KL_Threat_Feed_Service_v2
と KL_Verification_Tool
をログソースとして設定します(フィルタで使用する演算子は Equals any of
にする必要があります)。
イベントを正しく識別するために、QID とイベントの間にマッピングを設定します:
- QRadar Console で[Log Activity]タブを選択し、ウィンドウの右上領域にある[Pause]()をクリックしてイベントのフローを停止した後、 [Log Source]列に誤った名前と「
KL_Threat_Feed_Service_v2
」があるいずれかのイベントをダブルクリックします。イベントのフローを停止
イベントの情報が表示されます。イベント名は[Payload information]にあります。
- [Map Event]をクリックします。
イベントの情報の閲覧
- [Log Source Event]ウィンドウの[QID/Name]テキストボックスにイベント名を入力します。名前は、QRadar にインポートした QID のいずれかにする必要があります。
- [Search]をクリックします。
1 つの結果が[Matching QIDs]表に表示されます。
QID とイベント名の間への対応付けの追加
- 表の行を選択して[OK]をクリックします。
- すべてのイベントタイプ(インポートした QID)に対してステップ 3、4、5 を実行します。
- イベントと QID を正しく確実にマッピングするために、イベント一式を QRadar に送信する手順を繰り返します。[Log Activity]ページに誤った名前のイベントを含めることはできません。
「unknown」イベントのないログ
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。