Definindo configurações do aplicativo
Para visualizar informações no aplicativo IBM® QRadar® User Entity Behavior Analytics (UEBA), deve-se definir as configurações do aplicativo UEBA
Procedimento
- No menu de navegação (
), clique em Administrador. - Clique no ícone Configurações da UBA . (Aplicativos > Análise de entidade de usuário > Configurações de UBA ).
- Na seção Configurações do aplicativo, configure as definições a seguir:
Opção Descrição Monitorar somente os usuários importados Ao selecionar a configuração Monitorar somente usuários importados , o aplicativo UEBA não monitorará novos usuários que são descobertos a partir de eventos O UEBA monitorará apenas os usuários que você importou
Limite de risco do usuário
Indica o limite máximo até o qual a pontuação de risco de um usuário deve chegar para que uma ofensa seja acionada com relação a esse usuário. Uma pontuação de risco é a soma de todos os eventos de risco que as regras UEBA detectam.
Selecione uma das opções a seguir:- Dinâmico: O valor padrão é 4.0. Quanto maior for o valor, maior será o limite dinâmico, resultando em menos ofensas. Desative Gerar uma ofensa para usuários de alto risco até que as configurações tenham sido executadas por pelo menos um dia O
valor do limite dinâmico é atualizado de hora em hora com base na distribuição de pontuação de risco no sistema. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados Consulte a Dica para obter mais informações.Nota: Se não houver variedade suficiente em suas pontuações, a pontuação de risco será configurada para +10 do usuário de maior risco. Ele permanece dessa maneira para evitar que muitas ofensas sejam geradas desnecessariamente
- Estático: o valor padrão é 100.000. O valor é configurado para um valor alto por padrão para evitar que delitos sejam acionados antes de o ambiente ser analisado. É possível ativar a opção Gerar uma ofensa para usuários de alto risco para abrir uma ofensa com um tipo de nome de usuário para usuários acima do limite de risco. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados
Dica: considere configurar UEBA e deixar o valor padrão. Permita que as configurações sejam executadas por pelo menos um dia para ver o tipo das pontuações que são retornadas. Após alguns dias, revise os resultados no painel para determinar um padrão. É possível então ajustar o limite. Por exemplo, se você vê uma ou duas pessoas com pontuações no 500, mas a maioria está no 100, considere configurar o limite para 200 ou 300. Portanto, "normal" para seu ambiente pode ser aproximadamente 100 e qualquer pontuação acima que possa requerer sua atenção.Limite de risco da entidade
Indica o nível que uma pontuação de risco de entidade deve atingir antes que uma ofensa seja acionada contra essa entidade. Uma pontuação de risco é a soma de todos os eventos de risco que as regras UEBA detectam.
Selecione uma das opções a seguir:- Dinâmico: O valor padrão é 4.0. Quanto maior for o valor, maior será o limite dinâmico, resultando em menos ofensas. Desative a opção Gerar uma ofensa para usuários e entidades de alto risco até que as configurações tenham sido executadas por pelo menos um dia. O
valor do limite dinâmico é atualizado de hora em hora com base na distribuição de pontuação de risco no sistema. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados Consulte a Dica para obter mais informações.Nota: Se não houver variedade suficiente em suas pontuações, a pontuação de risco será configurada para +10 do usuário de maior risco. Ele permanece dessa maneira para evitar que muitas ofensas sejam geradas desnecessariamente
- Estático: o valor padrão é 100.000. O valor é configurado para um valor alto por padrão para evitar que delitos sejam acionados antes de o ambiente ser analisado.
Dica: considere configurar UEBA e deixar o valor padrão. Permita que as configurações sejam executadas por pelo menos um dia para ver o tipo das pontuações que são retornadas. Após alguns dias, revise os resultados no painel para determinar um padrão. É possível então ajustar o limite. Por exemplo, se você vê uma ou duas pessoas com pontuações no 500, mas a maioria está no 100, considere configurar o limite para 200 ou 300. Portanto, "normal" para seu ambiente pode ser aproximadamente 100 e qualquer pontuação acima que possa requerer sua atenção.Reduzir risco por este fator por hora
Declínio de risco é a porcentagem que a pontuação de risco é reduzida a cada hora. O valor padrão é 0,5.Dica: quanto maior o número, mais rápido a pontuação de risco decai; quanto menor o número, mais lenta a pontuação de risco decai. Um valor zero desativará o recurso.Intervalo de Data para Gráficos de Detalhes do Usuário
O intervalo de datas que é exibido para os gráficos de detalhes do usuário na página Detalhes do usuário. O valor padrão é 1.
Duração do status de investigação O número de horas (1 - 10.000) designado para que uma investigação seja concluída.
Intervalo de inatividade do usuário A página Detalhes do usuário mostra uma linha de tempo com a atividade agrupada por sessões. Se um usuário estiver inativo pela quantia de tempo inserida no campo Intervalo de inatividade do usuário, a sessão terminará. O valor-padrão é de 15 minutos.
Limite de conta ociosa O número de dias que os usuários ficam inativos antes de serem considerados inativos. O valor padrão é 14 dias. Para obter mais informações, consulte Contas inativas.
Pontuação máxima de risco Insira um valor para configurar o limite da pontuação máxima de risco na página Regras e ajustes. As pontuações de risco atuais não são afetadas por mudanças nessa configuração. Nota: as regras que são entregues com o aplicativo UEBA geralmente têm uma pontuação de risco no intervalo de 5 a 25..
Procurar ativos para nome do usuário, quando o nome do usuário não está disponível para dados de evento ou de fluxo
Selecione a caixa de seleção para procurar por nomes de usuários na tabela de ativos. O app UEBA usa ativos para consultar um usuário para um endereço IP quando nenhum usuário é listado em um eventoImportante: esse recurso pode causar problemas de desempenho no app UEBA e no sistema QRadar .Importante: a ativação da caixa de seleção Procurar ativos para o nome do usuário, quando o nome do usuário não estiver disponível para dados de evento ou de fluxo na página Configurações do UBA pode fazer com que a página Detalhes do usuário não seja carregada Revise as páginas de Regras para determinar se as regras ativadas requerem essa configuração Isso deve estar desativado caso não seja necessário.Dica: Se o limite de tempo limite da consulta for excedido, o app não retornará nenhum dado. Se você receber uma mensagem de erro no Painel do UEBA , desmarque a caixa de seleção e clique em AtualizarExibir bandeiras do país/região para endereços IP Desmarque a caixa de seleção se você não desejar exibir sinalizações de país e região para endereços IP.
Entidades monitoradas Desmarque a caixa de seleção se não quiser monitorar entidades.


- Dinâmico: O valor padrão é 4.0. Quanto maior for o valor, maior será o limite dinâmico, resultando em menos ofensas. Desative Gerar uma ofensa para usuários de alto risco até que as configurações tenham sido executadas por pelo menos um dia O
valor do limite dinâmico é atualizado de hora em hora com base na distribuição de pontuação de risco no sistema. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados Consulte a Dica para obter mais informações.
O que fazer a seguir
É possível importar usuários por meio do assistente Importação de usuário. Para obter mais informações, consulte Importação de usuários.