1. Event(事件)
从日志源接收到的原始或解析后的安全事件。
- Raw Event — 原始日志文本
- Normalized Event — 归一化后的结构化事件(含 QID、类别、子类别等)
- Common Event Format — QRadar 内部统一格式
Event 关键字段
| 字段 | 说明 | 示例 |
|---|---|---|
Event Name | 事件名称 | Failed Login |
QID | 事件类型 ID | 38750004 |
Category | 高阶类别 | Authentication |
Log Source | 来源设备 | Linux Server |
Source IP | 源地址 | 192.168.1.100 |
Destination IP | 目标地址 | 10.0.0.1 |
Username | 用户名 | admin |
Severity | 严重性 | 5 |
Magnitude | 综合严重度 | 7 |
2. Flow(网络流)
网络流量元数据,描述 "谁在什么时间跟谁通信"。
| 字段 | 说明 |
|---|---|
| Source IP / Port | 源地址和端口 |
| Destination IP / Port | 目标地址和端口 |
| Protocol | 协议(TCP/UDP/ICMP) |
| Application | 识别的应用(如 DNS、HTTP) |
| Bytes / Packets | 流量大小和包数 |
| First Packet Time | 首次通信时间 |
| Last Packet Time | 最后通信时间 |
Flow 不是原始包内容,而是 NetFlow/sFlow/IPFIX 等导出的元数据。类比:Flow 是 "通话记录",不是 "通话录音"。
3. Offense(攻击)
QRadar 通过规则关联多个 Event/Flow 后生成的安全告警。
Magnitude 计算
Magnitude = f(Credibility, Relevance, Severity)
| 指标 | 范围 | 说明 |
|---|---|---|
| Credibility | 1-10 | 日志源的可靠程度 |
| Relevance | 1-10 | 与组织资产的相关程度 |
| Severity | 1-10 | 事件本身的危害程度 |
示例计算:
Credibility = 8 (Windows 域控日志很可靠)
Relevance = 9 (目标是核心数据库服务器)
Severity = 7 (数据外泄事件)
Magnitude ≈ 8 (高优先级,需立即处理)
4. Rule(规则)
定义何时触发 Offense 的逻辑条件。
- CRE Rule — Custom Rule Engine 规则,实时关联,可生成 Offense
- Building Block — 可复用的规则片段,不直接产生 Offense
规则逻辑示例:
IF (sourceip = '192.168.1.100' AND
eventname = 'Failed Login' AND
count > 5 in 5 minutes)
THEN generate_offense("Brute Force Detected")
5. Asset(资产)
网络中的设备/主机,QRadar 自动发现并维护。
- Asset Profile — 资产画像(IP、MAC、操作系统、开放端口、漏洞等)
- Vulnerability — 关联漏洞扫描结果
6. Log Source(日志源)
向 QRadar 发送日志的设备或系统。
| 协议 | 适用场景 |
|---|---|
| Syslog | 大多数网络设备、Linux 系统 |
| WinCollect | Windows 事件日志收集 |
| JDBC | 数据库日志(Oracle、MySQL) |
| SNMP | 网络设备陷阱 |
| OPSEC/LEA | Check Point 防火墙 |
| Log File | 本地文件读取 |
- Protocol — 接收协议(Syslog、SNMP、JDBC、OPSEC 等)
- DSM — Device Support Module,负责解析特定厂商的日志格式
7. QID(QRadar Identifier)
每个 Normalized Event 都有 QID,标识事件类型。
- 格式:
QID-XXX或数字 ID - 分为 Category 和 Sub-Category
查看 QID 的方法:
1. 打开 Log Activity
2. 双击任意事件
3. 在详情面板中查看 QID 字段
4. 点击 QID 可查看所有同类事件
概念关系全景图
小练习
- 查看 QID:打开 Log Activity,观察一条 Event 的 QID 和 Category
- 分析 Magnitude:打开 Offenses,查看一个 Offense 的 Magnitude 构成
Offense > Summary > Magnitude 饼图 - 查看 Flow:打开 Network Activity,查看 Flow 的五元组信息
Network Activity > 选择一条 Flow > 查看 Source/Destination IP/Port
配套资源
- 📄
00-official-docs/7.5/IBM_QRadar_7.5_User_Guide.pdf第 2 章 - 📄
00-official-docs/7.5/IBM_QRadar_7.5_Getting_Started_Guide.pdf
上一章:03 - 首次登录与界面导览 下一章:05 - 日志活动基础