woensdag 28 oktober 2015

IBM QRadar - Traffic Analyse (3) - Tuning

Gelukkig kunnen we de TrafficAnalysis engine tunen

Op iedere event collector bevindt zich een TrafficAnalysisConfig.xml file in /opt/qradar/conf/

Iedere DSM die is aangemeld bij de TA engine heeft zijn eigen element.

De “order” eigenschap definieerde de voorrang/prioriteit van elke DSM – hoe lager het nummer hoe belangrijker de DSM is. Dus als de ene DSM de order 400 heeft en de andere heeft 500 en ze parsen beide 50 events succesvol vanaf een onbekende bron, dan zal degene met de order=400 automatisch aangemaakt worden.


Dus als je de ene DSM meer prioriteit wilt geven dan de andere DSM verander dan de order. Een bekend voorbeeld hiervan is het verzetten van de AIXServer boven de LinuxServer, omdat hun events nagenoeg identiek zijn. Een klant met een hoop AIX machines zou veel false positives kunnen zien van automatisch aangemaakte LinuxServers log sources.

Geen opmerkingen:

Een reactie posten