ドメインの作成

IBM QRadar 入力ソースに基づいてドメインを作成するには、 「ドメイン管理」 ウィンドウを使用します。

このタスクについて

ドメインの作成時には次のガイドラインを使用してください。
  • ユーザー定義ドメインに割り当てられていないものはすべて、自動的にデフォルト・ドメインに割り当てられます。 管理特権はすべてのドメインに対する無制限のアクセス権限を付与するため、ドメイン・アクセスが制限されているユーザーには管理特権を付与しないでください。
  • 同じカスタム・プロパティーを 2 つの異なるドメインにマップすることは可能ですが、キャプチャー結果はドメインごとに異なっている必要があります。
  • 1 つのログ・ソース、ログ・ソース・グループ、イベント・コレクター、またはデータ・ゲートウェイを 2つの異なるドメインに割り当てることはできません。 ログ・ソース・グループがドメインに割り当てられている場合は、マップされた各属性が「ドメイン管理」ウィンドウに表示されます。

セキュリティー・プロファイルを、関連付けたドメインで更新する必要があります。 ドメイン・レベルの制限は、セキュリティー・プロファイルが更新され、変更がデプロイされるまで適用されません。

手順

  1. ナビゲーション・メニュー ( ナビゲーション・メニュー・アイコン ) で、 管理者をクリックします。
  2. システム構成 セクションで、 ドメイン管理をクリックします。
  3. ドメインを追加するには、 追加 をクリックし、ドメインの固有の名前と説明を入力します。
    ヒント: ドメイン名の入力 検索ボックスに名前を入力することで、固有の名前を確認できます。
  4. 定義するドメイン基準に応じて、適切なタブをクリックします。
    • カスタム・プロパティー、ログ・ソース・グループ、ログ・ソース、イベント・コレクター、またはデータ・ゲートウェイに基づいてドメインを定義するには、「イベント」タブをクリックします。
    • フロー・ソースに基づいてドメインを定義するには、「フロー」タブをクリックします。
    • スキャナー ( IBM QRadar Vulnerability Manager スキャナーを含む) に基づいてドメインを定義するには、 「スキャナー」 タブをクリックします。
      重要: IBM QRadar Vulnerability Manager スキャナーは、 7.5.0 Update Package 6 の耐用年数終了 (EOL) であり、どのバージョンの IBM QRadarでもサポートされなくなりました。 詳しくは、 QRadar Vulnerability Manager: End of service product notification (https://www.ibm.com/support/pages/node/6853425) を参照してください。
  5. カスタム・プロパティーをドメインに割り当てるには、 キャプチャー結果 ボックスに、正規表現 (regex) フィルターの結果と一致するテキストを入力します。
    重要: カスタム・イベント・プロパティーを解析して保管するには、「 カスタム・イベント・プロパティー 」ウィンドウの「 ルール、レポート、および検索の構文解析の最適化 」チェック・ボックスを選択する必要があります。 このオプションにチェック・マークが付いていない場合、ドメインのセグメンテーションは行われません。
  6. リストからドメイン基準を選択し、 追加をクリックします。
  7. ソース項目をドメインに追加した後、 作成をクリックします。

次に実行するタスク

セキュリティー・プロファイルを作成 して、ドメインにアクセスできるユーザーを定義します。 現在の環境内で最初のドメインを作成したら、すべての非管理ユーザーのセキュリティー・プロファイルを更新して、ドメイン割り当てを指定する必要があります。 ドメイン認識環境の場合、セキュリティー・プロファイルにドメイン割り当てが指定されていない非管理ユーザーに対しては、ログ・アクティビティーもネットワーク・アクティビティーも表示されません。

ネットワークの階層構成を確認して、既存の IP アドレスを適切なドメインに割り当てます。 詳しくは、 ネットワーク階層を参照してください。