Configuración de la aplicación Importación de datos de referencia - LDAP

Al instalar la aplicación IBM® QRadar® User Behavior Analytics (UBA), se instala también la aplicación Importación de datos de referencia - LDAP (versiones 3.5.0 o anteriores). Puede utilizar la aplicación LDAP para importar datos de usuario desde un servidor LDAP/AD o un archivo CSV en una tabla de referencia de QRadar. A continuación, la tabla de referencia es consumida por la aplicación UBA o puede ser utilizada en reglas o búsquedas de QRadar.

Antes de empezar

Atención:

A partir de la versión 3.6.0, la aplicación Importación de datos de referencia - LDAP deja de instalarse con la aplicación UBA. Sin embargo, puede seguir utilizando la aplicación LDAP.

Acerca de esta tarea

Nota: Asegúrese de anotar el nombre de la tabla de referencia si especifica un alias personalizado para cualquiera de los atributos. Cuando configure la aplicación UBA, seleccione la tabla de referencia que ha creado en la aplicación Importación de datos de referencia - LDAP.

Para obtener más información sobre la aplicación Importación de datos de referencia - LDAP, consulte la siguiente sección de IBM® Knowledge Center: http://www.ibm.com/support/knowledgecenter/SS42VS_SHR/com.ibm.apps.doc/c_Qapps_LDAP_intro.html

Procedimiento

  1. En el menú de navegación (icono del menú de navegación), pulse Admin para abrir el separador de administrador.
  2. Pulse el icono Importación de datos de referencia - LDAP. (Aplicaciones > Importación de datos de referencia - LDAP > Importación de datos de referencia - LDAP).
  3. Pulse Configurar para crear una señal de servicio autorizado para LDAP. Se abre el recuadro Configurar señal de servicio autorizada.
    1. Pulse el enlace Gestionar servicios autorizados y, a continuación, pulse Añadir servicio autorizado.
    2. En el campo Nombre de servicio, especifique LDAP. Este es el usuario con el que se ejecutan las solicitudes de API desde la aplicación LDAP.
    3. En la lista Rol de usuario, seleccione el rol de usuario Admin.
    4. En la lista Perfil de seguridad, seleccione el perfil de seguridad que desee asignar a este servicio autorizado. El perfil de seguridad determina las redes y los orígenes de registro a los que este servicio puede acceder en la interfaz de QRadar.
    5. En la lista Fecha de caducidad, escriba o seleccione la fecha en la que desea que caduque este servicio. Si no se necesita una fecha de caducidad, seleccione Sin caducidad.
    6. Pulse Crear servicio.
    7. Pulse la fila que contiene el servicio LDAP que ha creado y luego seleccione y copie la serie de señal del campo Señal seleccionada de la barra de menús.
    8. En el recuadro Configurar señal de servicio autorizada, pegue la serie de señal de servicio autorizada en el campo Señal.
  4. Opcional: Para añadir un archivo de entidad emisora de certificados raíz privado, pulse Examinar archivos, abra un archivo soportado, pulse Abrir y, a continuación, pulse Cargar. Se da soporte al tipo de archivo siguiente: .pem.
  5. Pulse Aceptar.
    Pantalla Configurar señal de servicio autorizada
  6. En la ventana principal de la aplicación Importación de datos de referencia - LDAP, pulse Añadir importación. Se abrirá el recuadro de diálogo Añadir una configuración LDAP nueva.
  7. En la pestaña Configuración LDAP, añada información de conexión para el servidor LDAP. El campo Filtro se rellena automáticamente con los atributos de Active Directory.
    1. Especifique un URL que empiece por ldap:// o ldaps:// (para TLS) en el campo URL de LDAP.
    2. Especifique el punto del árbol de directorios de LDAP desde el que el servidor debe buscar usuarios en el campo DN base. Por ejemplo, si el servidor LDAP está en el dominio example.com, puede utilizar: dc=example,dc=com.
    3. Especifique el atributo o los atributos que desea utilizar para ordenar los datos importados en la tabla de referencia en el campo Filtro. Por ejemplo, cn=*; uid=*; sn=*. Los siguientes valores predeterminados funcionan con Active Directory: (&(sAMAccountName=*)(samAccountType=805306368)).
    4. Especifique el nombre de usuario utilizado para autenticar el servidor LDAP en el campo Nombre de usuario.
    5. Especifique la contraseña del servidor LDAP en el campo Contraseña.
  8. Pulse Probar conexión o Siguiente para confirmar que IBM QRadar se puede conectar al servidor LDAP. Si su intento de conexión es satisfactorio, se visualiza información del servidor LDAP en la pestaña Configuración LDAP.
    Pantalla Configuración LDAP
  9. En la pestaña Seleccionar atributos, seleccione los atributos que quiera extraer del servidor LDAP. Los valores predeterminados siguientes funcionarán con Active Directory: userPrincipalName,cn,sn,telephoneNumber,l,co,department,displayName,mail,title.
    Pantalla Seleccionar atributos
  10. Opcional: En la pestaña Correlación de atributos, establezca la clave de la tabla de referencia.
    Consejo: Para crear nuevos campos LDAP, pulse Añadir y combine dos atributos. Por ejemplo, puede utilizar la sintaxis siguiente: "Last: {ln}, First: {fn}".
    Consejo: Si desea fusionar datos LDAP de varios orígenes en la misma tabla de referencia, puede utilizar alias personalizados para diferenciar atributos de LDAP con el mismo nombre en diferentes orígenes.
    Pantalla Correlación de atributos
  11. En la pestaña Configuración de referencia, cree una correlación de referencia de correlaciones o designe una correlación de referencia de correlaciones existente a la que desea añadir datos de LDAP.
    1. En el campo Tabla de referencia, indique el nombre de la nueva tabla de referencia. Como alternativa, añada el nombre de una tabla de referencia existente a la que quiera añadir los datos de LDAP de la lista.
    2. De forma predeterminada, el recuadro de selección Generar correlación de conjuntos está inhabilitado. Si habilita el recuadro de selección, los datos se envían a un formato del conjunto de referencia para mejorar la búsqueda de QRadar, pero esto puede afectar al rendimiento.
    3. En la sección Tiempo de vida, defina durante cuánto tiempo quiere que persistan los datos en la correlación de referencia de correlaciones. De forma predeterminada, los datos que añade no caducan nunca. Cuando se supera el periodo de tiempo de vida, se desencadena un suceso ReferenceDataExpiry.
      Nota: si añade datos a una correlación de referencia de correlaciones existente, la aplicación utiliza los parámetros de tiempo de vida originales. Estos parámetros no pueden alterarse temporalmente en la pestaña Configuración de referencia.
      Pantalla Configuración de referencia
  12. En la pestaña Sondeo, defina la frecuencia con la que desea que la aplicación sondee los datos del servidor LDAP.
    1. En el campo Intervalo de sondeo en minutos, defina en minutos la frecuencia con la que desea que la aplicación sondee los datos del servidor LDAP.
      Nota: El intervalo de sondeo mínimo es de 120. También puede especificar un intervalo de sondeo de cero. Si especifica un intervalo de sondeo de cero, deberá sondear la aplicación manualmente con la opción de sondeo que se visualiza en el canal de información.
    2. En el campo Límite de recuperación de registros, especifique un valor para el número de registros que desea que el sondeo devuelva.
      De forma predeterminada, se devuelven 100.000 registros. El número máximo de registros que se pueden devolver es 200.000.
    3. Opcional: El recuadro de selección Resultados paginados se selecciona de forma predeterminada para impedir que se limite el número de registros que devuelve el servidor LDAP para cada sondeo.
      Nota: Los resultados paginados no están soportados en todos los servidores LDAP.
    Pantalla Sondeo LDAP
  13. Pulse Guardar.