Table des Matières
Publicité
Paramètres de la page Rule Response
Il existe des paramètres pour la page Rule Response.
Le tableau suivant fournit les paramètres de la page Rule Response.
Tableau 45. Paramètres de la page Event, Flow et Common Rule Response
Paramètre
Severity
Credibility
Relevance
Ensure that the detected event is part
of an offense
Annotate event
162
IBM Security QRadar - Guide d'utilisation
Description
Cochez cette case si vous souhaitez que cette règle définisse ou ajuste la
gravité. Lorsqu'elles sont sélectionnées, vous pouvez utiliser les zones de
liste pour configurer le niveau de gravité approprié.
Cochez cette case si vous souhaitez que cette règle définisse ou ajuste la
crédibilité. Lorsqu'elles sont sélectionnées, vous pouvez utiliser les zones de
liste pour configurer le niveau de crédibilité approprié.
Cochez cette case si vous souhaitez que cette règle définisse ou ajuste la
pertinence. Lorsqu'elles sont sélectionnées, vous pouvez utiliser les zones de
liste pour configurer le niveau de pertinence approprié.
Cochez cette case si vous souhaitez que l'événement soit transmis au
composant Magistrate. Si aucune violation n'existe sur l'onglet Violation,
une nouvelle violation est créée. Si une violation existe, cet événement est
ajouté à la violation.
Lorsque vous cochez cette case, les options suivantes s'affichent :
Index offense based on
Dans la zone de liste, sélectionnez le paramètre sur lequel vous
souhaitez indexer la violation. La valeur par défaut est l'adresse
IPv6 source.
Pour les règles d'événements, les options incluent l'adresse IP de
destination, l'adresse IPv6 de destination, l'adresse MAC de
destination, le port de destination, le nom de l'événement, le nom
d'hôte, le journal source, la règle, l'adresse IP source, l'adresse IPv6
source, l'adresse MAC source, le port source ou le nom
d'utilisateur.
Pour les règles de flux, les options incluent l'ID de l'application,
l'ASN de destination, l'adresse IP de destination, l'identité de
l'adresse IP de destination, le port de destination, le nom de
l'événement, la règle, l'ASN source, l'adresse IP source, l'identité de
l'adresse IP source ou le port source.
Pour les règles communes, les options comprennent l'adresse IP de
destination, l'identité de l'adresse IP de destination, le port de
destination, la règle, l'adresse IP source, l'identité de l'adresse IP
source et le port source.
Annotate this offense
Cochez cette case pour ajouter une annotation à cette violation puis
entrez l'annotation.
Include detected events by <index> from this point forward, for
second(s), in the offense
Cochez cette case puis entrez le nombre de secondes pendant
lesquelles vous souhaitez inclure les événements détectés par
<index> dans l'onglet Offenses. Cette zone indique le paramètre
sur lequel la violation est indexée. La valeur par défaut est
l'adresse IP source.
Cochez cette case si vous souhaitez ajouter une annotation à cet événement
puis entrez l'annotation que vous souhaitez ajouter à l'événement.
Publicité
Table des Matières
