Investigación de las reglas de User Behavior Analytics

Las reglas de User Behavior Analytics pueden ayudarle a identificar potenciales amenazas internas en la red. Después de que las reglas de análisis de usuario de IBM® QRadar® User Behavior Analytics 4.1.0 o posterior estén integradas en IBM QRadar Use Case Manager 3.2.0 o posterior, puede gestionarlas y ajustarlas para que se ajusten mejor a las necesidades de su organización. A continuación, los datos se muestran automáticamente en los paneles de control de QRadar User Behavior Analytics para que pueda visualizar los riesgos para la red.

1. En la página Explorador de casos prácticos , pulse el icono de lista y elija una de las plantillas siguientes para utilizar:

   Todas las reglas de User Behavior Analytics

   Muestra la puntuación de riesgo de todas las reglas de User Behavior Analytics instaladas y no instaladas.

   Reglas de User Behavior Analytics instaladas

   Muestra la puntuación de riesgo de las reglas de User Behavior Analytics instaladas.

   Sugerencia: Para utilizar filtros similares a la página Reglas y ajustes en QRadar User Behavior Analytics, seleccione esta plantilla. Para ver la información de categoría, añada la columna Categoría de contenido. QRadar Use Case Manager no contiene información de cadena de terminación.

   Reglas de User Behavior Analytics no instaladas

   Para las extensiones de contenido no instaladas, esta plantilla muestra las reglas de User Behavior Analytics que están disponibles cuando se instalan las extensiones.

2. Para modificar la puntuación de riesgo para una regla QRadar User Behavior Analytics predefinida, pulse el nombre de la regla, expanda la sección Puntuación de riesgo de análisis de comportamiento de usuario y ajuste el número. La puntuación de riesgo de usuario en QRadar User Behavior Analytics se actualiza automáticamente.
   Una puntuación de riesgo es la suma de todos los sucesos de riesgo detectados por las reglas de QRadar User Behavior Analytics . Cuanto más alta sea la puntuación de riesgo, más probable será que un usuario interno sea un riesgo de seguridad y esto avalará continuar revisando la actividad de red del usuario. La puntuación de riesgo se reduce a lo largo del tiempo si no se producen nuevos sucesos. Las reglas que se integran desde la aplicación QRadar User Behavior Analytics normalmente tienen una puntuación de riesgo en el rango de 5 a 25. Puede visualizar la puntuación de riesgo en cualquier informe añadiendo la columna Atributos de regla: riesgo de User Behavior Analytics a su plantilla actual. Para obtener más información, consulte Configuración de valores de aplicación.
3. Para añadir una puntuación de riesgo a una regla y asociarla con QRadar User Behavior Analytics, siga estos pasos:
   1. Abra la regla seleccionada en el asistente de reglas y expanda la sección Puntuación de riesgo de análisis de comportamiento de usuario .
   2. Si la opción Asignar nuevo suceso no está seleccionada en la sección Respuesta de regla , pulse Editar en asistente de regla y complete ese paso ahora.
   3. Asigne una puntuación de riesgo a la regla.
   La aplicación QRadar User Behavior Analytics realiza un seguimiento de los sucesos que genera la regla y considera la puntuación de riesgo en su análisis.
4. Si ya no desea que una regla se asocie con QRadar User Behavior Analytics, siga estos pasos:
   1. Abra la regla seleccionada en el asistente de reglas y expanda la sección Puntuación de riesgo de análisis de comportamiento de usuario .
   2. Siga las instrucciones de la ayuda contextual para desconectar la regla de QRadar User Behavior Analytics.
   Cuando elimina las referencias a la regla de la tabla de referencia en QRadar User Behavior Analytics, los sucesos desencadenados por la regla dejan de contribuir a la puntuación de riesgo del usuario.