Investigando ameaças no QRadar

O IBM® QRadar® usa regras para monitorar os eventos e fluxos em sua rede para detectar ameaças de segurança Quando os eventos e os fluxos atendem aos critérios de teste definidos nas regras, é criada uma ofensa para mostrar a suspeita de um ataque de segurança ou de uma violação de política. Saber que ocorreu um delito é apenas o primeiro passo. Também deve-se identificar como ele ocorreu, onde ocorreu e quem o causou.

Sobre esta tarefa

A janela Resumo do delito fornece contexto para ajudá-lo a entender o que aconteceu e determinar como isolar e resolver o problema.

Figura 1. Visualização de Resumo da ofensa
Imagem da janela do Resumo de Ofícios.

Nem todos os eventos acionam regras que criam um delito. Para ver todos os eventos, é possível executar a procura salva para a simulação de ameaça que está sendo investigada. Todas as procuras salvas para o app IBM QRadar Experience Center fazem parte do grupo Experience Center no Procuras Salvas

Procedimento

  1. Para visualizar a janela de resumo da ofensa, clique na guia Ofensas e, em seguida, dê um clique duplo na ofensa que deseja revisar.
    Dica: Você também pode visualizar a janela Resumo do Crime clicando no ícone de ofensa no início da linha do evento na aba Atividade de Registro .
  2. Na janela Resumo do Crime , é possível analisar rapidamente a ofensa, revisando os seguintes tipos de informações:
    • Detalhes sobre o delito, como a magnitude, a descrição e os endereços IP de origem e de destino.
    • Informações sobre quando a ameaça foi iniciada, como quando o primeiro evento relacionado foi detectado e sua duração.
    • As 5 principais categorias que contribuem com o delito.
    • As 5 principais origens de log que contribuem com o delito.
    A origem de log para eventos que são criados pelo QRadar, como uma ação de resposta de regra, é o Mecanismo de regras customizado.
  3. Para visualizar os eventos que estão associados com a ofensa, clique em Eventos.
    1. Para visualizar eventos que ocorreram dentro de um cronograma específico, especifique o Horário de Início, Horário de encerramentoe as opções Visualização .
    2. Para classificar a lista de eventos, clique no cabeçalho da coluna Nome do Evento .
    3. Para reduzir o número de eventos a serem revisados, clique com o botão direito no nome do evento na lista de eventos para aplicar opções de filtro rápido.
  4. Para visualizar detalhes sobre um evento específico, vá até a janela Lista de Eventos e dê um clique duplo no nome do evento.
    1. Revise a janela Informações do Evento e a Informações de Origem e Destino .

      Apenas as informações que são conhecidas sobre o evento são mostradas. Dependendo do tipo de evento, alguns campos podem estar vazios.

    2. Na caixa Informações de carga útil , revise o evento bruto para obter informações que o QRadar não normalizou.

      Informações que não são normalizadas não aparecem na interface QRadar , mas podem ser valiosas para sua investigação.

    3. Revise seguintes campos de tempo para o evento:
      • O Horário de início é o horário em que o QRadar recebeu o evento bruto da origem do log
      • O Tempo de Armazenamento é o horário em que o QRadar armazenou o evento normalizado
      • O Horário da origem de log é o horário que está registrado no evento bruto da origem de log.
  5. Para visualizar a lista de regras que contribuem para a ofensa, vá até a janela Resumo do Crime e clique em Exibição > Regras.
    1. Na lista de regras, dê um clique duplo no nome da regra que você deseja analisar.
    2. Percorra o assistente de regras para visualizar informações sobre os testes de regras, a ação de regra e a resposta de regra.

      Geralmente, a resposta de regra é configurada para despachar um novo evento e associá-lo a um delito.

    3. Verifique o Ação de Regra para ver se a ofensa está indexada.

      O QRadar usa o recurso de indexação de ofensa para determinar quais ofensas serão encadeadas.

      Por exemplo, uma ofensa que tem somente um endereço IP de origem e vários endereços IP de destino pode indicar que a ameaça tem um único invasor e várias vítimas. Se você indexar esse tipo de ofensa pelo endereço IP de origem, todos os eventos e fluxos originados do mesmo endereço IP serão incluídos na mesma ofensa.

O que fazer a seguir

Para obter mais informações sobre investigar ofensas, eventos e fluxos, consulte Investigações de crimes no IBM Centro de Conhecimento.