Melhores práticas para ajustar o sistema QRadar
Para obter o máximo de saída do app QRadar® Advisor with Watson , revise a seguinte orientação para ajustar o seu sistema QRadar .
IBM QRadar Use Case Manager
O app QRadar Use Case Manager pode ajudar a ajustar seu sistema QRadar . Para obter mais informações, consulte QRadar Use Case Manager..
Funcionamento do sistema
| Sistema QRadar | Descrição |
|---|---|
| Detalhes da plataforma | A versão do QRadar é 7.3.3 ou posterior. |
| Ativado para XFE | QRadar deve ser licenciado e habilitado para X-Force® Threat Intelligence Premium |
| Problemas de suporte | Nenhum PMR aberto relacionado à estabilidade ou ao desempenho do sistema e do hardware. |
| Ciclo de vida | Sistema que está instalado e em execução por pelo menos 3 meses. |
Gerenciamento de Ofensas
O QRadar deve estar produzindo diariamente no máximo 10 a 15 delitos de qualidade por 1.000 EPS. Ofensas de qualidade produzem campos de dados de evento e de fluxo nos quais informações observáveis externas boas podem ser dados extraídos e pesquisados pelo QRadar Advisor with Watson
| Verificações de ofensa | Considerações |
|---|---|
| Número de ofensas ativas | Acesse a guia Delitos e visualize o número de delitos. O número de delitos ativos é excessivo? |
| Quantas ofensas são criadas por dia? | Crie um intervalo de procura e designe um intervalo de tempo específico de 24 horas, como 72 horas ou 7 dias. |
| As ofensas são revisadas e fechadas regularmente por uma equipe local ou prestadora de serviços? | Existe um processo para revisar, investigar e fechar os delitos em tempo hábil? |
| O ajuste de regras é necessário ou precisa ser recomendado? | Ajustar as regras mais irrelevantes pode ter um impacto significativo na redução de falsos positivos. Para obter mais informações, consulte Ajustando as regras ativas que geram ofensas. |
Os Blocos de construção foram atualizados?
O QRadar usa blocos de construção para ajustar o sistema e permitir a ativação de um maior número de regras de correlação. Isso reduz o número de falsos positivos detectados pelo QRadar e ajuda a identificar ativos críticos para os negócios.
Revisando os blocos de construção
Para obter mais informações, consulte Revendo blocos de construção.
| Verificações de blocos de construção | Considerações |
|---|---|
| Servidores autorizados | É possível incluir servidores de infraestrutura autorizados a um bloco de construção selecionado. O QRadar monitora esses servidores e suprime falsos positivos que são específicos para a categoria do servidor. |
| Descobrindo Servidores | A função de descoberta do servidor usa o banco de dados QRadar SIEM Asset Profile para descobrir diferentes tipos de servidor com base em definições de porta. Para obter mais informações, consulte Descobrindo servidores. |
| A hierarquia de rede foi atualizada? | A Topologia de rede do QRadar deve ser totalmente configurada e todos os registros de data e hora de eventos/fluxos devem ser sincronizados para fornecer um contexto adequado para os eventos. Nos eventos com contextos “Local para remoto” e “Remoto para local” é feita uma busca de dados para uma extração de detecção. Os campos como nome de hash e nome de vírus também são usados a partir de eventos de contexto “Local para Local”. Para obter mais informações, consulte Revisando sua hierarquia de rede. |
Origens de Dados
Revisar eventos brutos e normalizados
Todas as origens de dados que podem ser alimentadas pelo QRadar para atender aos casos de uso estão sendo alimentadas e funcionando corretamente (inclusive estão extraindo propriedades customizadas). Revise a carga útil bruta e os eventos normalizados para ver se os campos que são possíveis detecções podem ser extraídos utilizando “Extrair propriedade” ou o “Editor de DSM”. Para obter mais informações, consulte o DSM Configuration Guide.
Conectividade
O QRadar Console requer acesso à internet para usar QRadar Advisor with Watson.
- Portas: 443 (SSL)
- Endereços IP:
- 104.16.55.23
- 104.16.54.23
- Cloudflare- https://www.cloudflare.com/ips
- Domínios: api.xforce.ibmcloud.com
Origens de log e detecções para melhores práticas
- Proxy – IP de destino (externo), URL, domínio, agente do usuário
- Firewall – IP de origem (externo), IP de destino (externo)
- Antivírus – hash de arquivo, assinatura de antivírus, nome do arquivo
- Gateway de e-mail – IP de origem (externo), hash de arquivo, domínio, endereço de e-mail
- Logon de usuário (RADIUS, LDAP) – IP de origem (externo), domínio
- Terminal – hash de arquivo, nome do arquivo, URL
- DNS – IP de origem (externo), IP de destino (externo), domínio
- DHCP
- IP de origem (externo)
- Domínio
- IDS
- IP de origem (externo)
- IP de destino (externo)
- Domínio
- Agente do usuário
- URL
- Hash de arquivo
- Nome do arquivo
- Windows
- Domínio
- Nome do arquivo
- IP de origem (externo)
- IP de destino (externo)
| Watson Property (Observáveis) | NGFW/FW | Proxy | AV/Terminal | HIDS | DNS | DLP | Gateway SMTP | QRadar |
|---|---|---|---|---|---|---|---|---|
| IP público | X | X | X | X | X | X | X | |
| URL | X | X | X | |||||
| Nome de domínio | X | X | X | |||||
| Hash de arquivo | X | X | X | X | ||||
| QRadar Advisor with Watson propriedades do app (NOT enviadas para Watson, mas o app pode usá-las) | ||||||||
| Porta de destino | X | |||||||
| Agente do usuário | X | X | ||||||
| Endereço de e-mail | X | X | ||||||
| Nome do arquivo | X | X | X | |||||
| Porta de origem | X | |||||||
| ASN de origem/destino | X | X | ||||||
| País de origem/destino | X | |||||||
| Categorias de alto/baixo nível | X | |||||||
| Direção/contexto | X | |||||||
| Nome do usuário | X | X | X | X | ||||
Sugerida "pesquisa" para QRadar Advisor with Watson casos de uso
- Delitos acionados a partir de logs de eventos de Prioridade 1 ou 2 que fazem referência a um hash de arquivo (eventos de malware).
- Delitos acionados a partir de eventos de Prioridade 1 ou 2 que contêm uma combinação de detecções (IP, domínio, exploit) (atividade suspeita).