Etude des règles d'analyse de comportement utilisateur

Les règles d'analyse du comportement utilisateur peuvent vous aider à identifier les éventuelles menaces internes à l'intérieur de votre réseau. Une fois que les règles d'analyse utilisateur d' IBM® QRadar® User Behavior Analytics 4.1.0 ou version ultérieure ont été intégrées dans IBM QRadar Use Case Manager 3.2.0 ou version ultérieure, vous pouvez les gérer et les adapter aux besoins de votre organisation. Ensuite, les données s'affichent automatiquement dans les tableaux de bord QRadar User Behavior Analytics pour que vous puissiez visualiser les risques sur votre réseau.

1. Dans la page Explorateur de cas d'utilisation , cliquez sur l'icône de liste et sélectionnez l'un des modèles suivants à utiliser:

   Toutes les règles User Behavior Analytics

   Affiche le score de risque pour toutes les règles d'analyse du comportement utilisateur installées et non installées.

   Règles User Behavior Analytics installées

   Affiche le score de risque pour les règles d'analyse du comportement utilisateur installées.

   Astuce: Pour utiliser des filtres similaires à la page Règles et réglages dans QRadar User Behavior Analytics, sélectionnez ce modèle. Pour afficher les informations de catégorie, ajoutez la colonne Catégorie de contenu. QRadar Use Case Manager ne contient pas d'informations sur la chaîne d'arrêt.

   Règles User Behavior Analytics non installées

   Pour les extensions de contenu non installées, ce modèle affiche les règles d'analyse de comportement utilisateur disponibles lors de l'installation des extensions.

2. Pour modifier le score de risque d'une règle QRadar User Behavior Analytics prédéfinie, cliquez sur le nom de la règle, développez la section Score de risque User Behavior Analytics et ajustez le nombre. Le score de risque utilisateur dans QRadar User Behavior Analytics est automatiquement mis à jour.
   Un score de risque est la somme de tous les événements de risque détectés par les règles QRadar User Behavior Analytics. Plus le score de risque est élevé, plus un utilisateur interne est susceptible d'être un risque de sécurité et un examen plus approfondi de l'activité réseau de votre utilisateur est nécessaire. Le score de risque diminue au fil du temps si aucun nouvel événement ne se produit. Les règles intégrées à partir de l'application QRadar User Behavior Analytics ont généralement un score de risque dans la plage de 5 à 25. Vous pouvez afficher le score de risque dans n'importe quel rapport en ajoutant la colonne Attributs de règle : risque User Behavior Analytics à votre modèle actuel. Pour plus d'informations, voir Configuration des paramètres d'application.
3. Pour ajouter un score de risque à une règle et l'associer à QRadar User Behavior Analytics, procédez comme suit:
   1. Ouvrez la règle sélectionnée dans l'assistant de règle et développez la section User Behavior Analytics-Score de risque .
   2. Si l'option Dispatch New Event n'est pas sélectionnée dans la section Rule response , cliquez sur Edit in rule wizard et effectuez cette étape maintenant.
   3. Attribuez une note de risque à la règle.
   L'application QRadar User Behavior Analytics suit les événements générés par la règle et considère le score de risque dans son analyse.
4. Si vous ne souhaitez plus qu'une règle soit associée à QRadar User Behavior Analytics, procédez comme suit:
   1. Ouvrez la règle sélectionnée dans l'assistant de règle et développez la section User Behavior Analytics-Score de risque .
   2. Suivez les instructions de l'infobulle pour déconnecter la règle de QRadar User Behavior Analytics.
   Lorsque vous supprimez les références à la règle de la table de référence dans QRadar User Behavior Analytics, tous les événements déclenchés par la règle cessent de contribuer au score de risque de l'utilisateur.