QRadar User Entity Behavior Analytics
La aplicación IBM® QRadar® User Entity Behavior Analytics le ayuda a determinar los perfiles de riesgo de los usuarios y entidades de su red y a tomar medidas cuando la aplicación le alerta de un comportamiento amenazador.
La aplicación QRadar User Entity Behavior Analytics (UEBA) es una herramienta para detectar amenazas internas en su organización. Se basa en el marco de la aplicación para utilizar los datos existentes en QRadar y generar nuevas perspectivas sobre los usuarios y el riesgo de las entidades. UEBA añade dos funciones principales a QRadar: riesgo de usuario y entidad, e identidades de usuario unificadas.
Para ejecutar la creación de perfiles de riesgo, se asignan riesgos a distintos casos de uso de seguridad. Entre los ejemplos, se pueden incluir comprobaciones y reglas simples, como sitios web maliciosos, o analíticas avanzadas de estado que utilizan aprendizaje de máquina. El riesgo se asigna en cada caso en función de la gravedad y la fiabilidad del incidente detectado. UEBA utiliza los datos de sucesos y flujos existentes en el sistema QRadar para generar estos conocimientos y riesgos de perfil de los usuarios.
- Tráfico de acceso, autenticación y cambios en las cuentas.
- Comportamiento del usuario en la red, en dispositivos como: proxies, cortafuegos, IPS y VPN.
- Registros de punto final y de aplicación, como por ejemplo de aplicaciones Windows o Linux®y SaaS .
Para unificar las identidades de usuario, se combinan las distintas cuentas de un usuario en QRadar. Al importar datos de un Active Directory, un servidor LDAP, una tabla de referencia o un archivo CSV, se puede enseñar a UEBA qué cuentas pertenecen a una identidad de usuario. Esto ayuda a combinar el riesgo y el tráfico entre los distintos nombres de usuario en UEBA.
Machine Learning (ML app) es una herramienta complementaria que aumenta la aplicación UEBA . Permite casos de uso más valiosos y detallados, que ejecutan clústeres y perfilados de series temporales. Se instala desde dentro de la aplicación UEBA , en la página de valores de Machine Learning . ML app añade visualizaciones a la aplicación UEBA existente que muestran el comportamiento aprendido (modelos), el comportamiento actual y las alertas. Los modelos pueden utilizar más de cuatro semanas de datos históricos en QRadar para crear modelos predictivos y líneas base de la normalidad de un usuario.
Para obtener más información sobre cómo utilizar la ML app, consulte AplicaciónMachine Learning Analytics.
Importación de usuarios y datos de usuario
Puede importar usuarios y datos de usuario con el asistente Importación de usuarios. El asistente Importación de usuarios le ayuda a importar usuarios desde un servidor LDAP, un servidor de Active Directory, tablas de referencia y archivos CSV. También puede crear atributos personalizados con el asistente de importación de usuarios
Para obtener más información sobre la importación de datos de usuario con el asistente de importación de usuarios, consulte Configurar importación de usuarios.
Reglas y ajustes
- El contenido de la regla UEBA se instala después de configurar la aplicación.
- Las reglas deben editarse en la aplicación QRadar Use Case Manager
- Las reglas que producirán una puntuación de riesgo para los usuarios se añaden a la tabla UBA: Datos de regla. No se añaden los bloques y las reglas de construcción que no producen puntuación de riesgo.
- Se ejecuta una tarea de sondeo que añade nuevas reglas creadas por los usuarios que contienen 'senseValue=#' en la descripción del suceso.
- Las reglas existentes no se deben editar. Debe realizar copias y asegurarse de que el nombre de suceso también se cambie.
Para más información, consulte Reglas y puesta a punto de la aplicación UEBA.
Conformidad del navegador
- Inhabilitar el bloqueador de ventanas emergentes del navegador.
- Configure el navegador para permitir excepciones para las ventanas emergentes procedentes de la dirección IP de QRadar Console