Definindo configurações do aplicativo

Para visualizar informações no aplicativo IBM® QRadar® User Entity Behavior Analytics (UEBA), deve-se definir as configurações do aplicativo UEBA

Procedimento

  1. No menu de navegação ( Ícone do menu de navegação ), clique em Administrador.
  2. Clique no ícone Configurações da UBA . (Aplicativos > Análise de entidade de usuário > Configurações de UBA ).
  3. Na seção Configurações do aplicativo, configure as definições a seguir:
    Opção Descrição
    Monitorar somente os usuários importados

    Ao selecionar a configuração Monitorar somente usuários importados , o aplicativo UEBA não monitorará novos usuários que são descobertos a partir de eventos O UEBA monitorará apenas os usuários que você importou

    Limite de risco do usuário

    Indica o limite máximo até o qual a pontuação de risco de um usuário deve chegar para que uma ofensa seja acionada com relação a esse usuário. Uma pontuação de risco é a soma de todos os eventos de risco que as regras UEBA detectam.

    Selecione uma das opções a seguir:
    • Dinâmico: O valor padrão é 4.0. Quanto maior for o valor, maior será o limite dinâmico, resultando em menos ofensas. Desative Gerar uma ofensa para usuários de alto risco até que as configurações tenham sido executadas por pelo menos um dia O valor do limite dinâmico é atualizado de hora em hora com base na distribuição de pontuação de risco no sistema. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados Consulte a Dica para obter mais informações.
      Nota: Se não houver variedade suficiente em suas pontuações, a pontuação de risco será configurada para +10 do usuário de maior risco. Ele permanece dessa maneira para evitar que muitas ofensas sejam geradas desnecessariamente
    • Estático: o valor padrão é 100.000. O valor é configurado para um valor alto por padrão para evitar que delitos sejam acionados antes de o ambiente ser analisado. É possível ativar a opção Gerar uma ofensa para usuários de alto risco para abrir uma ofensa com um tipo de nome de usuário para usuários acima do limite de risco. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados
    Dica: considere configurar UEBA e deixar o valor padrão. Permita que as configurações sejam executadas por pelo menos um dia para ver o tipo das pontuações que são retornadas. Após alguns dias, revise os resultados no painel para determinar um padrão. É possível então ajustar o limite. Por exemplo, se você vê uma ou duas pessoas com pontuações no 500, mas a maioria está no 100, considere configurar o limite para 200 ou 300. Portanto, "normal" para seu ambiente pode ser aproximadamente 100 e qualquer pontuação acima que possa requerer sua atenção.

    Limite de risco da entidade

    Indica o nível que uma pontuação de risco de entidade deve atingir antes que uma ofensa seja acionada contra essa entidade. Uma pontuação de risco é a soma de todos os eventos de risco que as regras UEBA detectam.

    Selecione uma das opções a seguir:
    • Dinâmico: O valor padrão é 4.0. Quanto maior for o valor, maior será o limite dinâmico, resultando em menos ofensas. Desative a opção Gerar uma ofensa para usuários e entidades de alto risco até que as configurações tenham sido executadas por pelo menos um dia. O valor do limite dinâmico é atualizado de hora em hora com base na distribuição de pontuação de risco no sistema. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados Consulte a Dica para obter mais informações.
      Nota: Se não houver variedade suficiente em suas pontuações, a pontuação de risco será configurada para +10 do usuário de maior risco. Ele permanece dessa maneira para evitar que muitas ofensas sejam geradas desnecessariamente
    • Estático: o valor padrão é 100.000. O valor é configurado para um valor alto por padrão para evitar que delitos sejam acionados antes de o ambiente ser analisado.
    Dica: considere configurar UEBA e deixar o valor padrão. Permita que as configurações sejam executadas por pelo menos um dia para ver o tipo das pontuações que são retornadas. Após alguns dias, revise os resultados no painel para determinar um padrão. É possível então ajustar o limite. Por exemplo, se você vê uma ou duas pessoas com pontuações no 500, mas a maioria está no 100, considere configurar o limite para 200 ou 300. Portanto, "normal" para seu ambiente pode ser aproximadamente 100 e qualquer pontuação acima que possa requerer sua atenção.

    Reduzir risco por este fator por hora

    Declínio de risco é a porcentagem que a pontuação de risco é reduzida a cada hora. O valor padrão é 0,5.
    Dica: quanto maior o número, mais rápido a pontuação de risco decai; quanto menor o número, mais lenta a pontuação de risco decai. Um valor zero desativará o recurso.

    Intervalo de Data para Gráficos de Detalhes do Usuário

    O intervalo de datas que é exibido para os gráficos de detalhes do usuário na página Detalhes do usuário. O valor padrão é 1.

    Duração do status de investigação

    O número de horas (1 - 10.000) designado para que uma investigação seja concluída.

    Intervalo de inatividade do usuário

    A página Detalhes do usuário mostra uma linha de tempo com a atividade agrupada por sessões. Se um usuário estiver inativo pela quantia de tempo inserida no campo Intervalo de inatividade do usuário, a sessão terminará. O valor-padrão é de 15 minutos.

    Limite de conta ociosa

    O número de dias que os usuários ficam inativos antes de serem considerados inativos. O valor padrão é 14 dias. Para obter mais informações, consulte Contas inativas.

    Pontuação máxima de risco

    Insira um valor para configurar o limite da pontuação máxima de risco na página Regras e ajustes. As pontuações de risco atuais não são afetadas por mudanças nessa configuração. Nota: as regras que são entregues com o aplicativo UEBA geralmente têm uma pontuação de risco no intervalo de 5 a 25..

    Procurar ativos para nome do usuário, quando o nome do usuário não está disponível para dados de evento ou de fluxo

    Selecione a caixa de seleção para procurar por nomes de usuários na tabela de ativos. O app UEBA usa ativos para consultar um usuário para um endereço IP quando nenhum usuário é listado em um evento
    Importante: esse recurso pode causar problemas de desempenho no app UEBA e no sistema QRadar .
    Importante: a ativação da caixa de seleção Procurar ativos para o nome do usuário, quando o nome do usuário não estiver disponível para dados de evento ou de fluxo na página Configurações do UBA pode fazer com que a página Detalhes do usuário não seja carregada Revise as páginas de Regras para determinar se as regras ativadas requerem essa configuração Isso deve estar desativado caso não seja necessário.
    Dica: Se o limite de tempo limite da consulta for excedido, o app não retornará nenhum dado. Se você receber uma mensagem de erro no Painel do UEBA , desmarque a caixa de seleção e clique em Atualizar
    Exibir bandeiras do país/região para endereços IP

    Desmarque a caixa de seleção se você não desejar exibir sinalizações de país e região para endereços IP.

    Entidades monitoradas

    Desmarque a caixa de seleção se não quiser monitorar entidades.

    Tela de Configurações do aplicativo
    Tela de Configurações do aplicativo

O que fazer a seguir

É possível importar usuários por meio do assistente Importação de usuário. Para obter mais informações, consulte Importação de usuários.