Question & Answer
Question
Answer
サポート・ケースにおける QRadar パフォーマンス支援
管理者は、ページ上部のタブを確認して、ログ・ソース、カスタム・プロパティ、またはルール・パフォーマンス・サポートの支援の詳細を確認できます。 QRadar テクニカル・サポート・チームは、次のようなエラー、質問、およびパフォーマンスの問題について管理者を支援できます。
- システム通知とドキュメントの解釈。
- サポートされているバージョンの管理者向けのトラブルシューティング。
- ログとエラーを分析して、パフォーマンスの問題が発生する場所を特定します。下記を含みます。:
- 解析パフォーマンスとログ・ソース構成の検証。
- イベントが期待どおりに解析されない理由の特定。
- パフォーマンスの問題があるカスタム・プロパティの特定。
- 検索パフォーマンスに関連する問題の特定。
- 管理者が期待どおりにルールがトリガーされない理由の特定。
- 管理者がイベント・ソースをチューニングまたは更新した後の問題に対する確認。
パフォーマンス問題におけるサポート対象外のタスク
QRadar は非常に柔軟な性質を持っているため、効果的な更新計画を策定するには、ユースケース、環境、および全体的なセキュリティー戦略を深く理解することが重要です。QRadar を初めて使用する管理者、またはカスタム・ログ・ソース開発、カスタム・プロパティーのパフォーマンス、チューニング・ルール、またはセキュリティーのユース・ケースについて支援が必要な管理者は、IBM Security Expert Labs チームに連絡して、QRadar 技術サポートの範囲外のパフォーマンス問題について話し合うことができます。 次のアクティビティは、テクニカル・サポートのケースの範囲外と見なされます。
- DSM エディターで管理者用のカスタム・ログ・ソース・タイプの作成。
- 正規表現の記述とチューニング。
- 大量のオフェンスが発生している場合のシステム・チューニング。
- 誤検知が生成されるシステム・チューニング。
- 組織のセキュリティ・ポリシーのためのルール・チューニング。
- ルール・テンプレートまたは、ルールの計画と検証のためのアクティビティの作成、維持、更新。
- 通常の更新作業中の専属サポートの提供。(オンライン状態での作業の同席)
- 更新後のシステム・ヘルス・チェックまたはパフォーマンス・チェックの実施。
ログ・ソースと解析パフォーマンスのテクニカル・サポート
QRadar には、受信イベントを解析して分類する DSM の豊富なリストがあります。QRadar のテクニカル・サポート・チームは、管理者が潜在的な解析やパフォーマンスの問題を特定して絞り込むためのお手伝いをします。
サポート・タイプ | 説明 | 責任 |
ログ・ソースのエラーと調査 |
QRadar のテクニカル・サポートでは、管理者が潜在的なログ・ソースのパフォーマンスの問題を識別して絞り込むのを支援できます。
管理者は、QRadar テクニカル・サポートを利用して次のことができます。
|
|
ログ・ソース・チューニング |
管理者は、DSM エディターで作成されたカスタム・ログ・ソース・タイプに対して責任を負います。 ログ・ソースの変更またはパフォーマンス・チューニングの支援は、IBM Security Expert Labs によって提供されます。
次のアクティビティは、テクニカル・サポートの範囲外と見なされます。
|
カスタム・プロパティのパフォーマンスに関するテクニカル・サポート
カスタム・プロパティーは、公式にサポートされている DSM や、アプリケーションで QRadar に追加されるか、管理者によって作成されます。 カスタム・プロパティは、イベント・ペイロードから特定のデータを解析して、ユーザー・インターフェイスに PropertyName( Custom )として情報を表示します。 カスタム・プロパティは、ルール・テスト、検索、レポート、またはダッシュボードで使用できます。
サポート・タイプ | 説明 | 責任 |
カスタム・プロパティ調査と分析 |
QRadar テクニカル・サポートは、管理者が潜在的なカスタム・イベント・プロパティーの問題を識別して絞り込むのを支援できます。
管理者は、QRadar テクニカル・サポートを利用して次のことができます。
|
QRadar テクニカル・サポート ケースを開くか、カスタム・プロパティー・エラーを報告するには、QRadar テクニカル・サポートに連絡してください。 |
パフォーマンス、チューニング、カスタム・プロパティ管理 | 管理者は、ユーザーが生成したカスタム・プロパティ、更新、およびセキュリティ・ポリシーに対して責任を負います。 カスタム・プロパティーのセキュリティー・ポリシーおよびユース・ケースの適用範囲に関する支援については、IBM Security Expert Labs に連絡して支援を求めてください。 次のアクティビティは、テクニカル・サポートの範囲外と見なされます。
|
ルールのパフォーマンス
IBM は、デプロイメント全体でインシデントの可視性を高めるためのさまざまなカスタム・ルールと、ビルディング・ブロックを作成して提供しています。 QRadar 技術サポートは、イベントをストレージにルーティングする高負荷なルール、イベントをディスクにバッファーするパフォーマンスの問題、および一般的なルールまたはオフェンスの問題について管理者を支援します。
サポート・タイプ | 説明 | 責任 |
ルール調査 |
QRadar テクニカル・サポートは、管理者が潜在的なルールの問題を識別して絞り込むのを支援できます。
管理者は、QRadar テクニカル・サポートを利用して次のことができます。
|
QRadar サポート ケースを開くか、ルール・エラーを報告するには、QRadar テクニカル・サポートに連絡してください。 |
ルールのチューニングとユースケース |
管理者は、ユーザーが変更したルール、更新、およびセキュリティ・ポリシーに責任を負います。誤検知を減らすためのルールの修正やルールのチューニングの支援については、IBM Security Expert Labs に連絡して、セキュリティ・ポリシーやユース・ケースの適用範囲についての支援を受けることができます。
次のアクティビティは、テクニカル・サポートの範囲外と見なされます。
|
Related Information
Was this topic helpful?
Document Information
Modified date:
30 November 2020
UID
ibm16348538