当前位置：首页 > 报告详情

2010 - 充分利用您的 SIEM：QRadar 数据采集、搜索和检测专家指南.pdf

上传人：竿*** 编号：982424 2025-11-29 PDF PDF 17页 1.02MB

该报告所属合集： IBM TechXchange 2025嘉宾演讲PPT合集-云

打包下载报告合集

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载报告到电脑，查找使用更方便

VIP专享文档

书签

分享

收藏

已收藏

版权投诉

/17

立即下载

word格式文档无特别注明外均可编辑修改，预览文件经过压缩，下载原文更清晰！

三个皮匠报告文库所有资源均是客户上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作商用。

《2010 - 充分利用您的 SIEM：QRadar 数据采集、搜索和检测专家指南.pdf》由会员分享，可在线阅读，更多相关《2010 - 充分利用您的 SIEM：QRadar 数据采集、搜索和检测专家指南.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、Orlando,FLOctober 69IBM TechXchange 2025Session code 2010Colin Hay,Nick Antonov IBMFrank Eargle GlassHouse SystemsGetting the most from Getting the most from your SIEM:an expert your SIEM:an expert guide to data guide to data ingestion,search,and ingestion,search,and detection in QRadardetection in

2、QRadarAgenda0102030405OverviewData IngestionDetection and ResponseSearch and InvestigationQ&A(please hold till end)IBM TechXchange|2025 IBM CorporationData Ingestion:Event PipelineIBM TechXchange|2025 IBM Corporation3Data Ingestion:CluesWhat to ingestHow to“best practices”ingest TCP always over UDP

3、Use DictionaryAt LEAST get the events with security information!Check SIM Generic log source Search for unparsed eventsIBM TechXchange|2025 IBM Corporation41756212047262 10.1.1.1 LEEF:1.0|EMC|VMWare|1|UserLoginSessionEvent|usrName=vpxuser src=172.16.1.1 identSrc=127.0.0.1 devTime=1756212047262 msg=U

4、ser vpxuser127.0.0.1 logged in as VMware-client/8.0.3Aug 26 12:01:01 hostname CROND911033:(root)CMD(run-parts/etc/cron.hourly)Aug 27 10:12:07 hostname enterpriseAgent.pl6188:Use of uninitialized value in numeric ne(!=)at/home/install/sbin/enterpriseAgent.pl line 399,line 130.Aug 27 10:50:40 hostname

5、 systemd-journald521:Forwarding to syslog missed 7 messages.Aug 27 13:20:20 L-CMH-E3/14-2B60 kernel:*08/27/2025 12:50:20.4610 Aug 27 10:50:02 hostname dns-agent16741:Error:Using domain server:Name:10.2.2.2 Address:10.3.3.3#53 Aliases:Host somehost.somedomain not found:3(NXDOMAIN)IBM TechXchange|2025

6、 IBM Corporation51756212047262 172.20.10.23 LEEF:1.0|EMC|VMWare|1|UserLoginSessionEvent|usrName=vpxuser src=172.20.10.23 identSrc=127.0.0.1 devTime=1756212047262 msg=User vpxuser127.0.0.1 logged in as VMware-client/8.0.3 1756212047262 172.20.10.23 LEEF:1.0|EMC|VMWare|1|UserLoginSessionEvent|usrName=

根据《Data》标记中的内容，全文主要内容概括如下： - **会议信息**：IBM TechXchange 2025，会议代码2010，主题为“从SIEM获取最大价值：QRadar中的数据采集、搜索和检测专家指南”。 - **数据采集**： - 使用TCP而非UDP进行数据采集。 - 至少获取包含安全信息的日志事件。 - 使用字典，搜索未解析的事件。 - 对于结构化数据格式（如JSON、LEEF、CEF、XML、CSV、NVP等），使用结构化数据表达式类型，而不是正则表达式。 - **检测和响应**： - 创建构建块以重复使用常见测试。 - 测试序列很重要，无状态测试应首先执行。 - 最快的测试是针对属性（如严重性或可信度）的数值检查和标准属性的引用检查。 - **搜索和调查**： - 优化默认搜索布局，保存常用搜索为快速搜索。 - 限制搜索范围，利用索引提高搜索速度。 - 考虑使用延迟搜索和分层存储以提高搜索性能。

"数据采集最佳实践" "QRadar检测与响应技巧" "高效搜索策略揭秘"

全行业研究报告分享下载平台

0731-84720580
商务合作：really158d
友链申请 (QQ)：1737380874

关于我们

更多

关于我们

三个皮匠报告微信公众号

三个皮匠报告微信小程序

扫码咨询网站充值下载问题

友情链接：

营销自动化亿欧智库微播易阿里妈妈

copyright@2008-2013 长沙景略智创信息技术有限公司版权所有网站备案/许可证号：湘B2-20190120 | 工信部备案号：湘ICP备17000430号-2 | 公安备案号：湘公网安备43010402001071号

客服

小程序

服务号

折叠