Ameaça de vários hosts
Simulando a ameaça
A simulação Threat from multiple hosts mostra como o QRadar detecta uma ameaça correlacionando eventos identificados como comportamento malicioso repetitivo.
Para obter mais conteúdo do QRadar que suporte casos de uso adicionais, faça download do pacote IBM Security Threat Content no IBM Security App Exchange.
- Na guia Atividade de log, clique em Mostrar Experience Center.
- Clique em Simulador de ameaça.
- Localize a simulação Ameaça de vários hosts e clique em Executar.
Você pode ver os eventos que estão entrando no QRadar contêm endereços e anexos potencialmente maliciosos URL.
Detectando a ameaça: QRadar em ação
Nesta simulação, o Custom Rule Engine (CRE) processa os eventos recebidos e determina que uma atividade potencialmente ameaçadora está ocorrendo em vários hosts em sua rede. Para avisar sobre a ameaça potencial, o CRE cria um novo evento que fornece mais contexto para a atividade que foi encontrada. Por exemplo, se o evento recebido for Detecção de URL - phishing e o evento gerado pelo CRE for Mesma ameaça detectada em hosts diferentes da mesma rede, será possível ver rapidamente em qual área de sua rede está ocorrendo a ameaça.
O CRE cria um delito que é indexado com base na propriedade customizada Nome da ameaça do EC, que assegura que todos os eventos que contribuem com a mesma ameaça estão associados ao mesmo delito.
Investigando a ameaça
O conteúdo IBM QRadar a seguir é criado pela simulação Threat from multiple hosts . Depois de executar a simulação, é possível usar este conteúdo para rastrear e investigar a ameaça.
| Conteúdo | Nome |
|---|---|
| Pesquisa salva | EC: ameaça de vários hosts |
| Evento recebido |
A origem de log para o evento recebido é Trend Micro Deep Discovery. |
| Regra | EC: mesma ameaça detectada em vários hosts |
| Eventos gerados | O principal evento criado é Mesma ameaça detectada em vários hosts (Exp
Center). Os eventos a seguir também são criados como parte do cenário de simulação de ameaça:
A origem de log para eventos que são gerados pelo QRadar é o Custom Rule Engine (CRE). |
| Ofensa | Mesma ameaça detectada em vários hosts (Exp Center) O delito é indexado com base na propriedade customizada Nome da ameaça do EC, significando que todos os eventos que acionam esta regra e contribuem com a mesma ameaça fazem parte do mesmo delito. Dependendo dos eventos e das regras existentes em seu ambiente antes de executar o caso de uso, o nome do delito pode incluir precedido por <offense name> ou contendo <offense name>. |