QLEAN指标说明

泛型

控制台IP地址(INFO)

AiO /控制台设备的IP地址。

用法:在多个QRadar实例上运行QLEAN报告时,标识特定的部署。

控制台UUID(INFO)

唯一的硬件标识符。

用法:使用此值请求QLEAN许可证。

QRadar软件版本(INFO)

QRadar部署的当前版本。

用法:使用此值请求QLEAN许可证。

Version history (STAT)

自初始部署以来已安装的主要发行版和修补程序的列表,包括安装日期以及已安装或升级的软件包的数量。

用法:跟踪部署更新;如果某些问题已在特定日期开始,请确定潜在的错误版本。

用户数 (STAT)

QRadar用户及其角色的列表。

用法:跟踪多余的权限,过期或不需要的帐户。

部署:主机

QRadar hosts (STAT / TRBL)

部署中配置的托管主机列表,包括HA IP地址和角色,性能信息,磁盘使用详细信息。

用法:部署概述,标识处于非运行状态的主机,主机磁盘空间不足;计划升级或迁移。

部署:健康

Recent backups (STAT / TRBL)

上一次自动配置和数据备份的列表。

用法:跟踪自动备份的状态,评估磁盘空间需求,确定备份任务失败。

组态:显示的记录数可以通过调整 备用号码 QLEAN执行参数中的控件。

最近24小时金鲨银鲨游戏下载/流程的完整性(TRBL)

最近24小时金鲨银鲨游戏下载/流Ariel数据文件的完整性信息。必须在QRadar Ariel数据库设置中启用相应的数据散列。

用法:确定磁盘故障或数据的恶意破坏。

来自系统通知(TRBL)的最新警告和错误

系统通知中的严重金鲨银鲨游戏下载列表。

用法:跟踪在浏览QRadar UI时可能被忽略或误解的重要通知。

组态:显示的记录数可以通过调整 系统通知计数 QLEAN执行参数中的控件。

在QRadar UI中可用。

上次自动更新错误(TRBL)

失败的自动更新列表。

用法:失败的依赖项可以通过下载和安装缺少的软件包来手动解决。

组态:显示的记录数可以通过调整 自动更新错误计数 QLEAN执行参数中的控件。

在QRadar UI中可用。

环境:日志源

上次非活动日志源(TRBL)

处于N / A或“错误”状态的日志源列表,超过12小时未收到任何金鲨银鲨游戏下载。如果特定的日志源已在特定时间范围内修改(默认为24h,则可通过 Ariel查询的时间范围 参数)在看到最后一个金鲨银鲨游戏下载之前,将显示相应的QRadar用户名。如果修改发生在SIM审核保留期之后,则用户值将为空。

用法:检测空闲,错误或配置错误的日志源;确定负责修改的QRadar用户。

组态:显示的记录数可以通过调整 日志源操作计数 QLEAN执行参数中的控件。

上次禁用的日志源(TRBL)

处于禁用状态的日志源列表。如果在SIM审核保留期内执行了操作,则会显示已禁用日志源的QRadar用户名。

用法:检测负责禁用的日志源和QRadar用户。

组态:显示的记录数可以通过调整 日志源操作计数 QLEAN执行参数中的控件。

协议配置错误(TRBL)

处于WARN状态的日志源列表,以及相应的失败原因。如果特定的日志源已在特定时间范围内修改(默认为24h,则可通过 Ariel查询的时间范围 参数)在看到最后一个金鲨银鲨游戏下载之前,将显示相应的QRadar用户名。如果修改发生在SIM审核保留期之后,则用户值将为空。

用法:检测配置错误的日志源,定期轮询数据以及负责修改的QRadar用户。

组态:显示的记录数可以通过调整 日志源操作计数 QLEAN执行参数中的控件。

最后添加的日志源(TRBL)

最近添加和启用的日志源列表。如果QRadar用户已添加日志源,并且在SIM Audit保留期内执行了操作,则会显示相应的QRadar用户名。

用法:跟踪新的日志源,识别那些导致EPS容量消耗异常的资源。

组态:显示的记录数可以通过调整 日志源操作计数 QLEAN执行参数中的控件。

上次修改的日志源(TRBL)

最近修改的日志源列表。如果QRadar用户修改了日志源,并且在SIM Audit保留期内执行了操作,则会显示相应的QRadar用户名。

用法:跟踪日志源修改,确定金鲨银鲨游戏下载管道更改,规范化失败的原因。

组态:显示的记录数可以通过调整 日志源操作计数 QLEAN执行参数中的控件。

上次删除的日志源(TRBL)

最近删除的日志源列表。如果在SIM审核保留期内执行了操作,则会显示已删除日志源的QRadar用户名。

用法:确定是否已出于优化/故障排除的目的删除了日志源,还是恶意或错误地删除了日志源。

组态:显示的记录数可以通过调整 日志源操作计数 QLEAN执行参数中的控件。

All log sources (STAT / TRBL)

详细列出所有外部(不是自己的QRadar服务)日志源的列表。

用法:快速排序,过滤和搜索。

在QRadar UI中可用:通过单击日志源的名称来对其进行排序,过滤和编辑。

环境:EPS

EPS/FPM per managed host (STAT / TRBL)

金鲨银鲨游戏下载/流处理主机(21xx,31xx,16xx,17xx,18xx)及其EPS / FPM许可证限制列表以及最近间隔(默认为24小时,可通过以下方式配置)的实际容量利用率统计信息列表 Ariel查询的时间范围 参数)。

用法:确定过载或空闲的主机,重新考虑许可证分配或增强。

每个日志源类型的EPS (STAT/TRBL)

按类型(DSM)分组的EPS消耗最大的日志源列表。 EPS平均值和峰值是生命周期统计信息。

用法:查看审核基准以了解产生过多金鲨银鲨游戏下载并禁用日志记录或过滤掉不需要的消息的日志源类型。

组态:显示的记录数可以通过调整 日志源类型计数 QLEAN执行参数中的控件。

环境:原始EPS

每秒原始入站金鲨银鲨游戏下载 (STAT/TRBL)

每个受管主机(包括金鲨银鲨游戏下载收集器)的实际传入金鲨银鲨游戏下载数量,而不考虑许可证限制。时间范围取决于qradar.log文件的后3个实例中可用的数据量,通常可能需要1到5天。

用法:检测峰值和差距,重新考虑许可证分配或增强。

在QRadar UI中可用.

环境:原始FPM

每分钟的原始入站流量 (STAT/TRBL)

每个受管主机(包括流收集器)的实际流入量,而不考虑许可证限制。时间范围取决于qradar.log文件的后3个实例中可用的数据量,通常可能需要1到5天。

用法:检测峰值和差距,重新考虑许可证分配或增强。

在QRadar UI中可用.

环境:按设备类型的数据质量

设备类型的数据质量 (STAT/TRBL)

正在使用的设备类型(DSM)列表,每个包含:

  • 在定义的时间范围内未收到任何金鲨银鲨游戏下载的金鲨银鲨游戏下载类别列表(默认为24小时,可通过以下方式在所有指标上全局配置) Ariel查询的时间范围 参数)。
  • 类别覆盖率:看到的金鲨银鲨游戏下载类别占DSM支持的所有类别的百分比。
  • 可见金鲨银鲨游戏下载类别的列表,包括平均金鲨银鲨游戏下载严重性,可见金鲨银鲨游戏下载类型数,支持的金鲨银鲨游戏下载类型数,类别中看到的金鲨银鲨游戏下载总数以及金鲨银鲨游戏下载覆盖率-可见金鲨银鲨游戏下载类型相对于支持金鲨银鲨游戏下载类型的百分比。

注意:活动覆盖率101%(看到的类型>支持的类型)表示特定的DSM使用其他DSM的QID。例如, LinuxServer与OS服务共享许多QID。

用法:

  • 使用同一基准配置一种类型的所有日志源时,请评估审核配置的质量。
  • 识别金鲨银鲨游戏下载管道中缺少的重要类别;检测需要更新或LSX的DSM。
  • 比较几份每日报告,以找出经常丢失的类别。

注意:数据质量指标对所有收集的数据进行多次Ariel搜索,因此需要花费大量时间才能执行。为了最大程度地减少QLEAN报告的生成时间,可以使用 Ariel查询的时间范围 参数以缩小时间范围,或通过以下方式禁用这些指标 禁用数据质量指标 复选框。

在QRadar UI中可用:通过单击“类别名称”对金鲨银鲨游戏下载类型进行排序和细化。通过“类别名称”上的右键菜单向下钻取原始金鲨银鲨游戏下载。 

环境:按日志源的数据质量

日志源的数据质量 (STAT/TRBL)

正在使用的设备类型(DSM)列表,每个包含:

日志源列表及其金鲨银鲨游戏下载管道统计信息的定义时间范围(默认为24小时,可通过以下方式在所有指标上全局配置) Ariel查询的时间范围 参数),而与类别无关;每个都包含:设备类型(DSM),平均金鲨银鲨游戏下载严重性,可见金鲨银鲨游戏下载类型的数量,DSM支持的金鲨银鲨游戏下载类型数量,金鲨银鲨游戏下载总数,覆盖范围-可见类型相对于支持类型的百分比。

用法:评估每个日志源实例的审核配置质量,考虑更新DSM或创建LSX / Custom DSM。注意记录最差的日志源 列表,其中“看到的类型为= 1”且严重性较低。

注意:通常DSM包含多个版本的QID和可用于应用程序或设备的可选组件/功能,因此大多数设备类型不太可能100%覆盖。通常情况下,覆盖率>20%应该足够了。

注意:数据质量指标对所有收集的数据进行多次Ariel搜索,因此需要花费大量时间才能执行。为了最大程度地减少QLEAN报告的生成时间,可以使用 Ariel查询的时间范围 参数以缩小时间范围,或通过以下方式禁用这些指标 禁用数据质量指标 复选框。

在QRadar UI中可用:通过单击“日志源”名称对金鲨银鲨游戏下载类型进行排序,过滤,深入分析。

环境:数据质量-未知金鲨银鲨游戏下载和来源

未知金鲨银鲨游戏下载(TRBL)

在定义的时间范围内检测到未知金鲨银鲨游戏下载的日志源列表(默认为24小时,可通过以下方式在所有指标上全局配置) Ariel查询的时间范围 参数),包括接收到的金鲨银鲨游戏下载总数,未知金鲨银鲨游戏下载数,以及未知金鲨银鲨游戏下载占第一个金鲨银鲨游戏下载的百分比。

用法:检测产生大量未解析数据的日志源;要么禁用噪声,要么提取重要的安全信息。

注意:数据质量指标对所有收集的数据进行多次Ariel搜索,因此需要花费大量时间才能执行。为了最大程度地减少QLEAN报告的生成时间,可以使用 Ariel查询的时间范围 参数以缩小时间范围,或通过以下方式禁用这些指标 禁用数据质量指标 复选框。

在QRadar UI中可用:通过单击“日志源”名称,对金鲨银鲨游戏下载有效内容进行排序,过滤,下钻。

SIM通用日志源(TRBL)

在定义的时间范围内(默认为24小时,可通过以下方式在所有指标上全局配置)从中接收到未识别金鲨银鲨游戏下载并且未分配给任何现有日志源的IP地址列表 Ariel查询的时间范围 参数),包括此类金鲨银鲨游戏下载的数量。

用法:检测不必要的噪声或由于消息格式而无法识别为属于特定日志源的重要金鲨银鲨游戏下载,或必须手动创建的日志源。

在QRadar UI中可用:排序,通过单击源IP地址深入到金鲨银鲨游戏下载有效负载。

环境:运行时统计

运行时JMX指标(INFO / STAT)

运行时(自上一次主机上下文服务重新启动以来)统计信息涵盖以下金鲨银鲨游戏下载/流信息:平均有效负载大小,平均记录大小,平均速率,删除的记录数。

用法:估算用于收集数据存储的磁盘要求,确定收集问题。

注意:在某些部署中,运行时指标可能需要花费大量时间才能执行。为了加快报告生成速度,请使用 禁用高级指标 QLEAN执行参数中的复选框。

转储DSM信息(INFO / STAT)

dumpDSMinfo支持脚本的输出包含活动DSM的系统级收集,解析和规范化统计信息。

用法:确定解析和规范化问题。

注意:在某些部署中,运行时指标可能需要花费大量时间才能执行。为了加快报告生成速度,请使用 禁用高级指标 QLEAN执行参数中的复选框。

环境:资产

最高风险资产 (STAT/TRBL)

具有最高风险级别和漏洞数量的资产列表。

用法: 确定需要软件升级或附加保护的端点。

组态: 显示的记录数可以通过调整 最高资产计数 QLEAN执行参数中的控件。

相关:犯罪

特例(TRBL)

涉及金鲨银鲨游戏下载或流量最多的未解决犯罪清单,按犯罪描述分组。

用法:识别误报或实际攻击。

组态:显示的记录数可以通过调整 最高犯罪计数 QLEAN执行参数中的控件。

在QRadar UI中可用:通过单击“犯罪名称”来打开类似犯罪的列表。

违规结案原因(STAT)

最近30天内用于结束犯罪的原因清单和部分注释。

用法:确定最常见的金鲨银鲨游戏下载类型;评估安全团队做出的决议的清晰度。

Offense analysis (STAT / TRBL)

启用的关联规则列表以及由它们生成的攻击,规则逻辑和注释。

统计信息是有效期,并且取决于配置的攻击保留期(默认为30天)。

第二列显示攻击类型(索引攻击的属性)和适当的值。

第三列标题显示规则类型(常见,金鲨银鲨游戏下载,流,攻击)。列值表示攻击中涉及的金鲨银鲨游戏下载和流程的总数。

图表值显示已触发规则的次数。

用法:识别错误肯定的犯罪,常见的金鲨银鲨游戏下载来源,并据此修正规则逻辑。

组态: 使用 犯罪分析:排除无效犯罪分析:包括被解雇 QLEAN执行参数中的复选框,以控制输出中是否存在隐藏,关闭和不活动的攻击。

在QRadar UI中可用:排序,通过单击其ID来深入研究进攻详细信息,通过单击“规则名称”旁边的图标打开“规则向导”。

相关:犯罪(2)

Attacker to target (STAT / TRBL)

表示来自网络层次结构的攻击者网络与特定目标(目标)IP地址之间的链接。

用法:确定常见的攻击/金鲨银鲨游戏下载方向。

在QRadar UI中可用.

Top attackers (STAT / TRBL)

网络层次结构中按网络排名的前25名攻击者列表。

用法:确定最常见的攻击者网络。

在QRadar UI中可用。

Top targets (STAT / TRBL)

现行攻击中排名前25位的目标IP地址列表。

用法: 确定最常见的目标。

在QRadar UI中可用。

Offense per user (STAT / TRBL)

参与攻击的用户从“网络层次结构”中找到的最受关注的网络列表。

用法: 确定攻击内部资源的最常用用户名。

在QRadar UI中可用。

相关:规则

Rules counters (STAT)

包括已启用,已禁用,自定义(由用户创建)和已修改规则的数量以及构件块的数量。

用法:QRadar调整的高级概述。

规则表现 (STAT/TRBL)

基于findExpensiveCustomRules支持脚本的运行时(自上一次主机上下文服务重启以来)统计信息列表。

用法:确定需要调整的规则(添加测试以缩小匹配的数据量,调整阈值,用自定义属性替换有效负载搜索,修复或禁用“自定义操作”脚本)。

组态:显示的记录数可以通过调整 规则效果计数 QLEAN执行参数中的控件。

统计收集间隔可以通过设置 规则执行间隔 控制。该值影响QLEAN报告的执行时间。

在QRadar UI中可用: 通过单击规则名称打开“规则向导”。

相关:规则(2)

规则动作和回应 (STAT/TRBL)

所有相关规则及其动作和响应选项的列表。

用法:确定产生违例的规则,向参考集和参考数据中添加信息或从中删除信息,向现有违例中添加金鲨银鲨游戏下载,修改量度度量。

在QRadar UI中可用: 通过单击规则名称打开“规则向导”。

相关性:报告

热门报道 (STAT/TRBL)

最耗时的报告列表,以及它们的预期和实际执行时间。

用法:确定生成报告所需的时间要比平时长,请参考上次修改的搜索指标以检查是否有任何搜索更改导致报告变慢。

组态:显示的记录数可以通过调整 热门报告 QLEAN执行参数中的控件。

在QRadar UI中可用:通过单击报表名称来打开报表属性。

最近10次最近修改的搜索 (STAT/TRBL)

最近修改的10个已保存搜索的列表。

用法:如果搜索修改导致不正确的采样,增加的报告执行时间,系统过载或影响相关规则逻辑,请确定负责人。

SOC关键绩效指标

故障解决时间(STAT)

在过去31天之内或在自定义时间范围内,在4h,12h,1d,3d,7d,14d,1m时间范围内关闭犯罪分布。

用法:跟踪分析师活动,评估SOC绩效。

组态: 通过定义自定义时间范围 SOC关键绩效指标数据范围 QLEAN执行参数中的控件。如果未定义,或者 重置时间范围 按下按钮,将收集最近31天的数据。

金鲨银鲨游戏下载响应时间(STAT)

在过去31天内的4h,12h,1d,3d,7d,14d,1m时间范围内或自定义时间范围内分配或保护的犯罪的分布。

用法:跟踪分析师活动,评估SOC绩效。

组态: 通过定义自定义时间范围 SOC关键绩效指标数据范围 QLEAN执行参数中的控件。如果未定义,或者 重置时间范围 按下按钮,将收集最近31天的数据。

每个用户关闭的金鲨银鲨游戏下载数(STAT)

分析师在过去31天内或自定义时间范围内关闭的违规分布。

用法:跟踪分析师活动,评估SOC绩效。

组态: 通过定义自定义时间范围 SOC关键绩效指标数据范围 QLEAN执行参数中的控件。如果未定义,或者 重置时间范围 按下按钮,将收集最近31天的数据。

检测到的金鲨银鲨游戏下载 (STAT)

Number of new offenses for the 最近31天或自定义时间范围内。

用法:评估相关调整的质量。

组态: 通过定义自定义时间范围 SOC关键绩效指标数据范围 QLEAN执行参数中的控件。如果未定义,或者 重置时间范围 按下按钮,将收集最近31天的数据。

金鲨银鲨游戏下载严重性 (STAT)

的严重程度 最近31天或自定义时间范围内。

用法:评估相关调整的质量。

组态: 通过定义自定义时间范围 SOC关键绩效指标数据范围 QLEAN执行参数中的控件。如果未定义,或者 重置时间范围 按下按钮,将收集最近31天的数据。

系统调整动作 (STAT)

最近31天内或在自定义时间范围内执行的修改次数(参考集,规则,日志源等)。

用法:跟踪分析师活动,评估SOC绩效。

组态: 通过定义自定义时间范围 SOC关键绩效指标数据范围 QLEAN执行参数中的控件。如果未定义,或者 重置时间范围 按下按钮,将收集最近31天的数据。

微调

Untuned building blocks (STAT / TRBL)

活动系统列表(未修改),主要是构建基块 主机定义,其中包含默认IP地址占位符(127.0.0.2)。

用法:识别默认的BB,以适当的值进行更新。

在QRadar UI中可用:通过单击构件块名称来打开“规则向导”。

未调整的网络层次结构元素 (STAT/TRBL)

包含默认CIDR的系统网络列表。

用法:确定默认网络以适当的值进行更新。

在QRadar UI中可用:通过单击条目名称打开网络层次结构界面。

未调整的网络层次结构关联规则 (STAT/TRBL)

利用默认网络层次结构元素的关联规则的列表。

用法: 请参阅该列表以更改规则过滤器或更新相应的网络层次结构条目,以免出现误报或遗漏金鲨银鲨游戏下载。

自定义DSM未知金鲨银鲨游戏下载 (STAT/TRBL)

显示从自定义DSM日志源收到的未知金鲨银鲨游戏下载的数量。

用法:假定自定义DSM可以识别所有金鲨银鲨游戏下载,因此不应有任何未知数。找出以前未见过的金鲨银鲨游戏下载类型,其中可能包含重要的安全信息,并通过DSM编辑器为其创建匹配项。

Flow sources (STAT)

最近24小时每个流源的入站流统计信息。

用法:确定大多数已加载的流量捕获接口以进行平衡和调整。

未分配的日志源 (STAT/TRBL)

未分配给任何日志源组的日志源列表。

用法:检查列表,以确保在其逻辑中利用日志源组的规则捕获所有必需的数据。

性能

全局观看效果 (STAT/TRBL)

collectGvStats支持脚本的输出,显示保存的搜索速度以及日志数据和网络活动的报告。

用法:识别和优化执行时间过长的搜索。

正则表达式的相对表现 (STAT/TRBL)

通过对有效负载执行多次匹配来评估正则表达式的速度。没有有效负载的属性(“自定义属性”中的“测试字段”)将被省略。

用法:确定并修复使金鲨银鲨游戏下载处理变慢的自定义属性。

在QRadar UI中可用。