Creazione di un modello personalizzato

Creare un modello personalizzato per misurare e basare una funzione numerica per una persona all'ora.

Prima di iniziare

Esaminare i seguenti dettagli del modello per ciascun modello:

Informazioni su questa attività

È possibile creare un modello personalizzato in modo da poter esaminare il comportamento appreso e i dati effettivi per gli utenti. Se vengono rilevate modifiche significative dal comportamento della baseline, si riceveranno avvisi che il punteggio di rischio dell'utente viene generato. Esempi di modelli che è possibile creare includono: la visualizzazione della quantità di dati scaricati da un utente, il numero di applicazioni eseguite da un utente o il numero di email inviate da un utente all'ora.

Attenzione: dopo aver configurato o modificato le impostazioni, è necessario un minimo di 1 ora per inserire i dati, creare un modello iniziale e visualizzare i risultati iniziali per gli utenti.

Gli utenti attivi vengono monitorati continuamente. Se un utente non ha alcuna attività per 28 giorni, l'utente e i dati dell'utente vengono rimossi dal modello. Se l'utente è nuovamente attivo, verrà restituito come nuovo utente.

Procedura

  1. Sul menu di navigazione ( Icona menu di navigazione ), fare clic su Admin.
  2. Fare clic su Applicazioni > User Entity Analytics > Impostazioni Machine Learning.
  3. Nella pagina Impostazioni diMachine Learning , fare clic su Crea modello
  4. Nella scheda Definizione modello , è possibile selezionare un modello per popolare il campo AQL oppure è possibile creare una query AQL personalizzata.
  5. Fare clic su Avanti.
    Schermata Impostazioni modello personalizzato
  6. Nella scheda Impostazioni generali , immettere un nome e una descrizione.
  7. Nel campo Valore di rischio dell'evento sense , immettere la quantità per aumentare il punteggio di rischio dell'utente quando viene attivato un evento sense. Il valore predefinito è 5.
  8. Abilita la scalabilità del valore di rischio. Quando questa opzione è abilitata, il valore del rischio di base viene moltiplicato per un fattore (intervallo 1 - 10). Questo fattore è determinato da quanto l'utente devia dal comportamento previsto e non solo da quanto ha deviato.
  9. Nel campo Intervallo di confidenza per attivare l'anomalia , immettere la percentuale di confidenza che l'algoritmo di machine learning deve avere prima di attivare un evento anomalo. Il valore predefinito è 0.95.
  10. Nel campo Periodo di conservazione dei dati , impostare il numero di giorni per cui si desidera salvare i dati del modello. Il valore predefinito è 30.
  11. L'attivazione Mostra grafico nella pagina Dettagli utente è disabilitata per impostazione predefinita. Se si desidera visualizzare il grafico del modello personalizzato nella pagina Dettagli utente , fare clic sul pulsante di attivazione / disattivazione.
  12. Facoltativo: nel campo Filtro di ricerca AQL , è possibile aggiungere un filtro AQL per restringere i dati per cui l'analitica esegue la query in QRadar. Filtrando con una query AQL, è possibile ridurre il numero di utenti o i tipi di dati che l'analitica sta analizzando. Prima di salvare le impostazioni, fare clic su Convalida query per avviare una query AQL completa in QRadar in modo da poter esaminare la query e verificare i risultati.
    Importante: se si modifica il filtro AQL, il modello esistente viene contrassegnato come non valido e viene quindi rigenerato. La durata della rigenerazione dipende dalla quantità di dati restituita dal filtro modificato.
    È possibile filtrare in base a specifiche origini log, nomi di rete o serie di riferimento che contengono utenti specifici. Consultare i seguenti esempi:
    • REFERENCESETCONTAINS('Important People', username)
    • LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
    • INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
    Per ulteriori informazioni, consultare Ariel Query Language.
  13. Fare clic su Salva.
    Scheda Impostazioni generali per creare un modello

Eventi applicazione

Procedura

  • Nome evento: UBA: Anomalia analitica personalizzata
  • senseValue = 5
  • Configurazione richiesta: il sistema sta monitorando gli eventi che hanno la categoria di alto livello QRadar dell'applicazione.
  • Tipi di origine dei log: APC UPS, Apache HTTP Server, Application Security DbProtect, Array Networks SSL VPN Access Gateway, Aruba ClearPass Policy Manager, Aruba Mobility Controller, Avaya VPN Gateway, Barracuda Web Application Firewall, Barracuda Web Filter, Blue Coat Web Security Service, BlueCat Networks Adonis, CRE System, Centrify Infrastructure Services, Check Point, Cilasoft QJRN/400, Cisco Call Manager, Cisco CatOS for Catalyst Switches, Cisco FireSIGHT Management Center, Cisco IOS, Cisco Identity Services Engine, Cisco Intrusion Prevention System (IPS), Cisco IronPort, Cisco Meraki, Cisco Nexus, Cisco PIX Firewall, Cisco Stealthwatch, Cisco Umbrella, Cisco Wireless Services Module ( WiSM ), Citrix Access Gateway, Citrix NetScaler, Custom Rule Engine, Cyber-Ark Vault, DG Technology MEAS, EMC VMWare, Event CRE Injected, Extreme Matrix K/N/S Series Switch, Extreme Stackable and Standalone Switches, F5 Networks BIG-IP AFM, F5 Networks BIG-IP ASM, F5 Networks BIG-IP LTM, Fidelis XPS, FireEye, Flow Classification Engine, Flow Device Type, Forcepoint Sidewinder, Forcepoint V Series, Fortinet FortiGate Security Gateway, FreeRADIUS, H3C Comware Platform, Huawei S Series Switch, HyTrust CloudControl, IBM AIX Audit, IBM AIX Server, IBM DB2, IBM DataPower, IBM Lotus Domino, IBM Proventia Network Intrusion Prevention System (IPS), IBM Resource Access Control Facility ( RACF ), IBM Security Directory Server, IBM Tivoli Access Manager for e-business, IBM i, IBM z/OS, ISC BIND, Imperva SecureSphere, Infoblox NIOS, Juniper Junos OS Platform, Juniper MX Series Ethernet Services Router, Juniper Networks AVT, Juniper Networks Firewall e VPN, Juniper Networks Intrusion Detection and Prevention (IDP), Juniper WirelessLAN, Kisco Information Systems SafeNet/i, Linux DHCP Server, McAfee Network Security Platform, McAfee Web Gateway, Metainfo MetaIP, Microsoft DHCP Server, Microsoft DNS Debug, Microsoft Exchange Server, Microsoft IIS, Microsoft Office 365, Microsoft Operations Manager, Microsoft Windows Security Event Log, Motorola SymbolAP, NGINX HTTP Server, Nortel Contivity VPN Switch, Nortel VPN Gateway, OS Services Qidmap, OSSEC, ObserveIT, Okta, Open LDAP Software, OpenBSD OS, Oracle BEA WebLogic, Oracle Database Listener, PostFix MailTransferAgent, ProFTPD Server, Proofpoint Enterprise Protection/Enterprise Privacy, Pulse Secure Pulse Connect Secure, RSA Authentication Manager, Radware DefensePro, SSH CryptoAuditor, Skyhigh Networks Cloud Security Platform, Messaggi di autenticazione del sistema operativo Solaris, Log DHCP del sistema operativo Solaris, SonicWALL SonicOS, Sophos Astaro Security Gateway, Sophos Web Security Appliance, Squid Web Proxy, Starent Networks Home Agent (HA), Stonesoft Management Center, Sun ONE LDAP, Symantec Critical System Protection, Symantec Encryption Management Server, Symantec Endpoint Protection, TippingPoint Intrusion Prevention System (IPS), Top Layer IPS, Trend InterScan VirusWall, Trend Micro Deep Security, Universal DSM, Venustech Venusense Security Platform, Verdasys Digital Guardian, WatchGuard Fireware OS, genua genugate, iT-CUBE agileSI

SourceIP

Procedura

  • Nome evento: UBA: Anomalia analitica personalizzata
  • valoresense: 5
  • Tipi di origine log: qualsiasi origine log che contiene nome utente e IP di origine negli eventi.

Porta di destinazione

Procedura

  • Nome evento: UBA: Anomalia analitica personalizzata
  • valoresense: 5
  • Tipi di origine log: qualsiasi origine log che contiene nome utente e porta di destinazione negli eventi

Accesso file Office

Procedura

  • Nome evento: UBA: Anomalia analitica personalizzata
  • valoresense: 5
  • Configurazione obbligatoria: il sistema sta monitorando un evento che ha nomi evento QRadar che includono la parola "file".
  • Tipo di origine log: Microsoft Office 365

Accesso AWS

Procedura

  • Nome evento: UBA: Anomalia analitica personalizzata
  • valoresense: 5
  • Configurazione obbligatoria: il sistema sta monitorando eventi che contengono nomi evento QRadar che includono la parola "bucket".
  • Tipi di origine log: Amazon AWS Cloudtrail

Processo

Procedura

  • Nome evento: UBA: Anomalia analitica personalizzata
  • valoresense: 5
  • Configurazione richiesta: la proprietà evento personalizzata 'Processo' deve esistere per il tipo di origine log desiderato.
  • Tipi di origine log: Microsoft Windows Security Event Log; Linux OS

Sito web

Procedura

  • Nome evento: UBA: Anomalia analitica personalizzata
  • valoresense: 5
  • Regole di supporto: 'UBA: Sito Web di intrattenimento', 'UBA: Sito Web LifeStyle ', 'UBA: Sito Web di business / servizi', 'UBA: Sito Web di comunicazioni'
  • Configurazione richiesta: la proprietà dell'evento personalizzato 'Categoria Web' deve esistere per il tipo di origine log desiderato.
  • Tipi di origine dei log: Blue Coat SG Appliance, Cisco IronPort, McAfee Web Gateway, Check Point, Squid Web Proxy, Palo Alto Serie PA; Forcepoint Serie V, Fortinet FortiGate Security Gateway

IP rischioso

Procedura

  • Nome evento: UBA: Anomalia analitica personalizzata
  • valoresense: 5
  • Configurazione richiesta: Impostare "Abilita feed X-Force Threat Intelligence " Su Sì in Impostazioni amministratore > Impostazioni di sistema
  • Tipi di origine log: qualsiasi origine log con eventi con un nome utente.