Dit werkt goed maar is niet foutloos
– Over
het algemeen kunnen
false positives ontstaan doordat een set van events die behoort bij een bepaald
device type op een dusdanig wijze in elkaar is gezet dat ze genoeg overeenkomsten vertoont met een ander log source type in de TA config
file. Beide
DSM’s kunnen een gelijkwaardige matching krijgen, maar er kan er maar één winnen.
– De TA engine kan dan al simpelweg falen in het überhaupt detecteren van een log source. Vaak gebeurd dit omdat events binnenkomen in QRadar vanuit de beoogde logsource die de DSM niet kan parsen. Dit kunnen
“bagger” events zijn maar het kunnen ook normale
events zijn waarvan de
DSM niet weet hoe deze verwerkt moeten worden. In beide gevallen, als een bepaalde DSM een aantal
events kan parsen van een ongeïdentificeerde source of als het niet een hoog genoeg succes percentage heeft, kan de TA engine
het opgeven omdat de resulaten onbepaald zijn.
Geen opmerkingen:
Een reactie posten