Obtención de detalles de un resultado de QRadar Network Threat Analytics

IBM® QRadar® Network Threat Analytics crea un resultado cuando detecta comunicaciones de red que se desvían del tráfico de línea base que se observaba en la red.

Utilice este flujo de trabajo para obtener información sobre cómo profundizar en un resultado generado por QRadar Network Threat Analytics. Este enfoque descendente para investigar el tráfico de red muestra cómo la aplicación recopila la información detallada que necesita para comprender realmente lo que está sucediendo en la red.

Este flujo de trabajo es sólo un ejemplo y está pensado para resaltar información concreta que puede encontrar útil al analizar un resultado. Su método de investigar los hallazgos en su propia red puede diferir de lo que se muestra aquí.

Sugerencia: Novedades en 1.3.0

Filtre los resultados con la lista de atributos de filtro para buscar resultados que cumplan criterios específicos. Estos filtros se aplican en todas las pestañas que muestran los resultados.

Procedimiento

  1. La página de inicio de QRadar Análisis de amenazas de red proporciona información de alto nivel sobre el tráfico que se observa en la red dentro del intervalo de tiempo especificado.

    La lista siguiente describe las anotaciones en la imagen anterior.

    1. El intervalo de tiempo especifica el periodo de análisis de tráfico. Se aplica a todos los widgets de la página de inicio.
    2. La primera fila muestra algunas métricas de análisis de red básicas. La Cobertura de línea base muestra el porcentaje de tráfico de red que se puede correlacionar con la línea base de red.

      En este ejemplo, el 99% del tráfico de red se correlaciona con la línea base, lo que significa que el 1% restante del tráfico nunca antes se había visto en el entorno.

    3. Estos widgets muestran las aplicaciones y los países más y menos comunes fuera del tráfico de red que se ha observado dentro del periodo de tiempo especificado.
    4. Mueva el ratón sobre distintas áreas del mapa para ver información de resumen de tráfico sobre el tráfico hacia y desde ese país o región.
  2. Revise la pestaña Resultados para decidir qué resultado investigar.

    Novedad en 1.3.0 Filtre los resultados con la lista de atributos de filtro para buscar resultados que cumplan determinados criterios.

    La lista siguiente describe las anotaciones en la imagen anterior.

    1. El resultado con la puntuación más alta aparece primero en la lista. En este ejemplo, el resultado también tiene una técnica MITRE ATT & CK que está asociada con él, por lo que es posible que desee profundizar en ella.
    2. Pulse el ID o la flecha al final de la fila para ver información detallada sobre el resultado.
    Nota: Si el gráfico Finding activity over time y la tabla Findings no muestran ningún resultado, consulte la página de inicio de QRadar Network Threat Analytics no muestra ningún resultado para explorar los posibles motivos.
  3. La página Detalle de búsqueda proporciona más información sobre el resultado.

    La lista siguiente describe las anotaciones en la imagen anterior.

    1. Puntuación de analítica de comportamiento representa la significación de un resultado. Se calcula basándose en las puntuaciones más atípicas de los flujos de contribución.
    2. En este ejemplo, el resultado incluye una técnica MITRE ATT & CK sospechosa. Pulse el nombre de la técnica para obtener más información.
    3. En el widget Red , puede ver información sobre la comunicación, incluida la dirección del flujo.
    4. El gráfico Puntuación de análisis por categoría muestra las características de flujo que se agrupan en categorías.
      Sugerencia: Pase el ratón sobre el nombre de categoría para ver el atributo de flujo de desviación más alto dentro del grupo.

      Para obtener más información sobre los atributos de cada categoría, consulte Línea base de red.

      Los grupos con las desviaciones más altas se extienden al perímetro exterior del gráfico. En este ejemplo, puede ver que el grupo Protocolo & aplicación tiene la desviación más alta.

  4. La tabla Datos de red muestra las comunicaciones de red implicadas en el hallazgo.

    La lista siguiente describe las anotaciones en la imagen anterior.

    1. Para cada comunicación, puede ver las categorías desviadas, que se ordenan por su magnitud.
    2. Cada comunicación tiene una puntuación que oscila entre 0 y 100. Las puntuaciones se agregan para derivar la Puntuación de análisis de comportamiento para el resultado.
      Importante: Una comunicación de red que tiene una puntuación de 100 nunca antes se había observado en la red.
    3. Para obtener más información sobre una única comunicación, pulse el enlace ID de flujo para ver la lista de registros de flujo en la comunicación.
      Novedad en 1.3.0 Si el registro de flujo incluye metadatos de QRadar Network Insights , puede expandir la fila para ver qué metadatos se aplican al registro.
  5. Para ver información detallada sobre el registro de flujo, en la tabla Registros de flujo , pulse la flecha al final de la fila para abrir la página Análisis de registros de flujo .

    La lista siguiente describe las anotaciones en la imagen anterior.

    1. El Puntuación de valores atípicos se calcula en función de cuánto se desvíe el registro de flujo de la línea base y de lo raro que es el registro de flujo.
    2. La aparición de línea base describe la frecuencia con la que la aplicación vio este tipo de comunicación en la red cuando se creó la línea base de red.

      Los valores posibles son Common, Rare, Very Rarey First Seen.

      Pase el ratón por encima de la puntuación de línea base para ver la frecuencia esperada para este tipo de flujo. Si la puntuación de análisis es alta y la aparición de línea base no es típica, puede decidir que el flujo requiere más investigación.

    3. Pulse ID de búsqueda para abrir la página Detalle de búsqueda para ver información sobre el resultado al que contribuye el flujo.
    4. Pulse el nombre de la técnica Behavioral MITRE ATT & CK para ver más información sobre ella.
    5. La tabla Colaboradores de puntuación muestra las características de flujo que han contribuido a la puntuación de valores atípicos del flujo.
      Algunos atributos de flujo ponderan más que otros y la longitud de la barra indica la contribución relativa del atributo a la puntuación de valores atípicos.
      • Una barra de estado verde indica que el valor de los atributos está dentro del rango normal cuando se compara con la línea base de red, pero el valor de atributo ha contribuido a la puntuación de valores atípicos.

        Los atributos no desviados siguen contribuyendo a la puntuación de valores atípicos aunque se encuentren dentro del rango normal que se encuentra en la línea base de red.

      • Una barra de estado morado indica que el valor se desvía de lo que se esperaba.
  6. En la página Análisis de registros de flujo , desplácese hacia abajo para ver la tabla Propiedades de registro de flujo .

    Utilice esta tabla para ver cómo se comparan los atributos de flujo con los valores de línea base.