Melhores práticas para ajustar o sistema QRadar

Para obter o máximo de saída do app QRadar® Advisor with Watson , revise a seguinte orientação para ajustar o seu sistema QRadar .

IBM QRadar Use Case Manager

O app QRadar Use Case Manager pode ajudar a ajustar seu sistema QRadar . Para obter mais informações, consulte QRadar Use Case Manager..

Funcionamento do sistema

Tabela 1. Verificações de funcionamento para o seu sistema QRadar
Sistema QRadar Descrição
Detalhes da plataforma A versão do QRadar é 7.3.3 ou posterior.
Ativado para XFE QRadar deve ser licenciado e habilitado para X-Force® Threat Intelligence Premium Admin > Configurações do Sistema > Habilitar X-Force Threat Intelligence Feed (Sim)
Problemas de suporte Nenhum PMR aberto relacionado à estabilidade ou ao desempenho do sistema e do hardware.
Ciclo de vida Sistema que está instalado e em execução por pelo menos 3 meses.

Gerenciamento de Ofensas

O QRadar deve estar produzindo diariamente no máximo 10 a 15 delitos de qualidade por 1.000 EPS. Ofensas de qualidade produzem campos de dados de evento e de fluxo nos quais informações observáveis externas boas podem ser dados extraídos e pesquisados pelo QRadar Advisor with Watson

Tabela 2. Ofensas de qualidade
Verificações de ofensa Considerações
Número de ofensas ativas Acesse a guia Delitos e visualize o número de delitos. O número de delitos ativos é excessivo?
Quantas ofensas são criadas por dia? Crie um intervalo de procura e designe um intervalo de tempo específico de 24 horas, como 72 horas ou 7 dias.
As ofensas são revisadas e fechadas regularmente por uma equipe local ou prestadora de serviços? Existe um processo para revisar, investigar e fechar os delitos em tempo hábil?
O ajuste de regras é necessário ou precisa ser recomendado?

Ajustar as regras mais irrelevantes pode ter um impacto significativo na redução de falsos positivos. Para obter mais informações, consulte Ajustando as regras ativas que geram ofensas.

Os Blocos de construção foram atualizados?

O QRadar usa blocos de construção para ajustar o sistema e permitir a ativação de um maior número de regras de correlação. Isso reduz o número de falsos positivos detectados pelo QRadar e ajuda a identificar ativos críticos para os negócios.

Revisando os blocos de construção

Para obter mais informações, consulte Revendo blocos de construção.

Tabela 3. Blocos de construção
Verificações de blocos de construção Considerações
Servidores autorizados

É possível incluir servidores de infraestrutura autorizados a um bloco de construção selecionado. O QRadar monitora esses servidores e suprime falsos positivos que são específicos para a categoria do servidor.

Descobrindo Servidores A função de descoberta do servidor usa o banco de dados QRadar SIEM Asset Profile para descobrir diferentes tipos de servidor com base em definições de porta. Para obter mais informações, consulte Descobrindo servidores.
A hierarquia de rede foi atualizada? A Topologia de rede do QRadar deve ser totalmente configurada e todos os registros de data e hora de eventos/fluxos devem ser sincronizados para fornecer um contexto adequado para os eventos. Nos eventos com contextos “Local para remoto” e “Remoto para local” é feita uma busca de dados para uma extração de detecção. Os campos como nome de hash e nome de vírus também são usados a partir de eventos de contexto “Local para Local”. Para obter mais informações, consulte Revisando sua hierarquia de rede.

Origens de Dados

Revisar eventos brutos e normalizados

Todas as origens de dados que podem ser alimentadas pelo QRadar para atender aos casos de uso estão sendo alimentadas e funcionando corretamente (inclusive estão extraindo propriedades customizadas). Revise a carga útil bruta e os eventos normalizados para ver se os campos que são possíveis detecções podem ser extraídos utilizando “Extrair propriedade” ou o “Editor de DSM”. Para obter mais informações, consulte o DSM Configuration Guide.

Conectividade

O QRadar Console requer acesso à internet para usar QRadar Advisor with Watson.

Restringindo acesso com firewall/proxy

Origens de log e detecções para melhores práticas

Origens de log de prioridade 1 (melhores práticas de informação)
  • Proxy – IP de destino (externo), URL, domínio, agente do usuário
  • Firewall – IP de origem (externo), IP de destino (externo)
  • Antivírus – hash de arquivo, assinatura de antivírus, nome do arquivo
  • Gateway de e-mail – IP de origem (externo), hash de arquivo, domínio, endereço de e-mail
  • Logon de usuário (RADIUS, LDAP) – IP de origem (externo), domínio
  • Terminal – hash de arquivo, nome do arquivo, URL
  • DNS – IP de origem (externo), IP de destino (externo), domínio
Origens de log de prioridade 2
  • DHCP
    • IP de origem (externo)
    • Domínio
  • IDS
    • IP de origem (externo)
    • IP de destino (externo)
    • Domínio
    • Agente do usuário
    • URL
    • Hash de arquivo
    • Nome do arquivo
  • Windows
    • Domínio
    • Nome do arquivo
    • IP de origem (externo)
    • IP de destino (externo)
Tabela 4. Propriedade (detecções)
Watson Property (Observáveis) NGFW/FW Proxy AV/Terminal HIDS DNS DLP Gateway SMTP QRadar
IP público X X X X X X X
URL X X X
Nome de domínio X X X
Hash de arquivo X X X X
QRadar Advisor with Watson propriedades do app (NOT enviadas para Watson, mas o app pode usá-las)
Porta de destino X
Agente do usuário X X
Endereço de e-mail X X
Nome do arquivo X X X
Porta de origem X
ASN de origem/destino X X
País de origem/destino X
Categorias de alto/baixo nível X
Direção/contexto X
Nome do usuário X X X X

Sugerida "pesquisa" para QRadar Advisor with Watson casos de uso

  1. Delitos acionados a partir de logs de eventos de Prioridade 1 ou 2 que fazem referência a um hash de arquivo (eventos de malware).
  2. Delitos acionados a partir de eventos de Prioridade 1 ou 2 que contêm uma combinação de detecções (IP, domínio, exploit) (atividade suspeita).