Beobachtungslisten erstellen

Sie können Beobachtungslisten hinzufügen und konfigurieren, die benutzerbasierte Mitglieder, entitätsbasierte Mitglieder und hybride Beobachtungslisten umfassen, die sowohl Benutzer- als auch Entitätsmitgliedschaften kombinieren.

Informationen zu dieser Task

Sie können einen Benutzer, eine Entität und eine hybride Entität zu einer neuen oder bestehenden Beobachtungsliste hinzufügen. Dies ist auf der Hauptseite „UEBA-Übersicht“ (Dashboard), der Seite „Benutzer- oder Entitätsdetails“ oder der Seite „Suchergebnisse“ möglich. Ein einzelner Benutzer oder eine einzelne Einheit kann Mitglied mehrerer Beobachtungslisten sein. Wenn ein Benutzer eine Benutzer-Beobachtungsliste erstellt, enthält diese nur Benutzer. Wenn eine Entitäts-Beobachtungsliste erstellt wird, können nur Entitäten hinzugefügt werden. Sie können sowohl Benutzer als auch Entitäten zu einer Hybrid-Beobachtungsliste hinzufügen.

Vorgehensweise

  1. Klicken Sie auf der UEBA -Hauptseite (Dashboard) oder auf der Seite Benutzerdetails auf das Symbol Beobachtungsliste .
  2. Wählen Sie im Menü Neue Beobachtungsliste erstellenaus. Klicken Sie auf Zur Beobachtungsliste hinzufügen, um einen Benutzer zu einer vorhandenen Beobachtungsliste hinzuzufügen.
  3. Geben Sie auf der Registerkarte Allgemeine Einstellungen einen Namen für die Beobachtungsliste ein.
    Wählen Sie eine der Optionen der Beobachtungsliste aus:
    • Benutzer – Wählen Sie diese Option, um eine Beobachtungsliste für Benutzer zu erstellen.
    • Entität – Wählen Sie diese Option, um eine Beobachtungsliste für Entitäten zu erstellen.
    • Hybrid – Wählen Sie diese Option, um eine kombinierte Beobachtungsliste für Benutzer und Entitäten zu erstellen.
  4. Legen Sie die Risikobewertung des Benutzers fest, indem Sie den Wert im Feld „Benutzerskala-Risiko nach Faktor “ ändern. Wenn Sie den Standardfaktor „1“ auswählen, bleibt die Risikobewertung unverändert.
  5. Legen Sie die Risikobewertung der Entität fest, indem Sie den Wert im Feld „Risiko der Entität nach Faktor skalieren“ ändern. Wenn Sie den Standardfaktor „1“ auswählen, bleibt die Risikobewertung unverändert.
  6. Wählen Sie im Abschnitt Machine Learning Tracking-Priorität die Priorität für die Überwachung von Benutzern durch die Analyse Machine Learning aus.
    • Hoch-Benutzer werden immer bis zur maximalen Anzahl Benutzer pro Machine Learning -Analyse verfolgt.
    • Normal - Benutzer werden nach dem größten Risiko überwacht, nachdem alle Benutzer mit hoher Priorität eingeschlossen wurden.
    • Nie-Benutzer werden nicht von Machine Learningüberwacht.
  7. Legen Sie das Aktualisierungsintervall (in Stunden) fest, um zu steuern, wie oft die Mitglieder der Beobachtungsliste aktualisiert werden. Ein Wert von Null bedeutet „Deaktivieren“ oder „Nur manuelle Aktualisierung“.
    Hinweis: Eine hybride Beobachtungsliste kann gleichzeitig Benutzer und Entitäten enthalten.
    Das folgende Beispiel zeigt die Einstellungen für die Beobachtungsliste.
    Anzeige "Allgemeine Einstellungen"
    Anzeige "Allgemeine Einstellungen"
  8. Konfigurieren Sie auf der Registerkarte „Benutzermitgliedschaftseinstellungen“, wie Mitglieder bestimmt werden:
    1. Optional: Suchen Sie im Feld Import aus QRadar® Referenzset nach einem Referenzset oder klicken Sie auf ein Referenzset in der Liste, um alle Einträge aus dem Referenzset zu importieren. Klicken Sie nach Auswahl eines Referenzsets zur Überprüfung auf den Link.
      Hinweis: Die Liste kann Referenzsätze enthalten, die keine Benutzernamen haben.
      Anzeige "Allgemeine Einstellungen"
    2. Optional: Im Feld „Hinzufügen aus überwachten Benutzern mit Regex-Filter “ können Sie eine Benutzereigenschaft auswählen und einen gültigen regulären Ausdruck ( POSIX ) eingeben, um Benutzer auszuwählen, die bereits in der UEBA-Datenbank gefunden wurden. Neben jedem Regex-Filter wird die Anzahl der übereinstimmenden Benutzer angezeigt, damit Administratoren den Umfang des Filters in Echtzeit sehen können.
      Anzeige "Allgemeine Einstellungen"
  9. Konfigurieren Sie auf der Registerkarte „Entity-Mitgliedschaftseinstellungen“, wie Mitglieder bestimmt werden:
    1. Optional: Suchen Sie im Feld Import aus QRadar Referenzset nach einem Referenzset oder klicken Sie auf ein Referenzset in der Liste, um alle Einträge aus dem Referenzset zu importieren. Klicken Sie nach Auswahl eines Referenzsets zur Überprüfung auf den Link.
      Hinweis: Die Liste kann Referenzsätze enthalten, die keine Benutzernamen haben.
    2. Optional: Im Feld „Hinzufügen aus überwachten Benutzern mit Regex-Filter“ können Sie Regex für Entitätseigenschaften auswählen (Beispiel: Forex). IP-Adresse, Hostname, verknüpfte Benutzer), um die Beobachtungsliste dynamisch zu füllen. Neben jedem Regex-Filter wird die Anzahl der übereinstimmenden Benutzer angezeigt, damit Administratoren den Umfang des Filters in Echtzeit sehen können. Wenn Sie „IP-Adresse (CIDR-Bereich)“ auswählen, können Sie aus einer Liste von CIDR-Bereichen wählen, die bereits im System verfügbar sind. Diese vordefinierten IP-Bereiche können nach Bedarf ausgewählt werden.
  10. Nachdem Sie die Mitgliedschaftseinstellungen konfiguriert haben, klicken Sie auf „Speichern “.
  11. Gehen Sie zum UEBA-Dashboard, um Entitäten anzuzeigen, die zu einer Beobachtungsliste hinzugefügt wurden. Überprüfen Sie die angezeigten Entitäten, die automatisch auf der Grundlage des in den Watchlist-Einstellungen konfigurierten Aktualisierungsintervalls aktualisiert werden.
    Hinweis: Das UEBA-Dashboard zeigt nur eine begrenzte Anzahl von Entitäten an.
  12. Um alle mit der Beobachtungsliste verbundenen Entitäten anzuzeigen, klicken Sie im Dashboard auf „Alle Entitäten anzeigen “. Das System navigiert zur Seite „Beobachtungsliste“, auf der die vollständige Liste der Entitäten angezeigt wird.
    Anzeige "Allgemeine Einstellungen"