Gelukkig kunnen we de
TrafficAnalysis engine tunen
Op iedere event collector
bevindt zich een TrafficAnalysisConfig.xml file
in /opt/qradar/conf/
Iedere DSM die is aangemeld bij de TA
engine heeft zijn eigen
element.
De
“order” eigenschap definieerde de voorrang/prioriteit van elke DSM
– hoe lager het nummer hoe belangrijker de DSM is. Dus als de ene DSM
de order 400 heeft en
de andere heeft 500
en ze parsen beide 50
events succesvol vanaf een onbekende bron, dan zal degene met
de order=400 automatisch aangemaakt worden.
–Dus als je de ene DSM meer prioriteit wilt geven dan de andere DSM verander dan de order. Een bekend voorbeeld hiervan is het verzetten van de AIXServer boven de LinuxServer, omdat hun events nagenoeg identiek zijn. Een klant met een hoop AIX machines
zou veel
false positives kunnen zien van automatisch aangemaakte LinuxServers log sources.
Geen opmerkingen:
Een reactie posten