De TrafficAnalysis engine is hoe
de autodetectie van QRadar werkt
Het idee hierachter is als volgt. De
TA engine laadt alle DSMs die in staat zijn inkomend verkeer via
syslog te ontvangen. Indien
event het systeem binnenkomen met een sourceAddress dat niet overeenkomt met één van de geconfigureerde log sources, dan probeert de
TA engine het event te parsen met
de DSM’s die het heeft geladen. De
engine houdt succes statistieken bij voor iedere sourceAddress/DSM combinatie en geleidelijk aan (als meer events van hetzelfde sourceAddress binnen komen) bepaalt het dan welke DSM bij welke
events thuis horen.
In
het geval van bepaling aan de
hand van verzamelde statistieken besluit de TA, indien een ondersteund log source type bestaat in
de omgeving van
de klant, dat het dan ook dat type
is en het zal dan automatisch een log
source creëren voor dat SourceAddress en dan beginnen met
het daarvoor verzamelen van
de events.
Geen opmerkingen:
Een reactie posten