O IBM® QRadar® usa regras para monitorar os eventos e fluxos em sua rede para detectar ameaças de segurança Quando os eventos e
os fluxos atendem aos critérios de teste definidos nas regras, é criada uma ofensa para mostrar a
suspeita de um ataque de segurança ou de uma violação de política. Saber que ocorreu um delito é apenas
o primeiro passo. Também deve-se identificar como ele ocorreu, onde ocorreu e quem o causou.
Sobre esta tarefa
A janela Resumo do delito fornece contexto para ajudá-lo a entender o
que aconteceu e determinar como isolar e resolver o problema.
Figura 1. Visualização de Resumo da ofensa
Nem todos os eventos acionam regras que criam um delito. Para ver todos os eventos,
é possível executar a procura salva para a simulação de ameaça que está sendo investigada. Todas as procuras salvas para o app IBM QRadar Experience Center fazem parte do grupo Experience Center no Procuras Salvas
Procedimento
Para visualizar a janela de resumo da ofensa, clique na guia Ofensas e, em seguida, dê um clique duplo na ofensa que deseja revisar.
Dica: Você também pode visualizar a janela Resumo do Crime clicando no ícone de ofensa no início da linha do evento na aba Atividade de Registro .
Na janela Resumo do Crime , é possível analisar rapidamente a ofensa, revisando os seguintes tipos de informações:
Detalhes sobre o delito, como a magnitude, a descrição e os endereços IP de origem e de destino.
Informações sobre quando a ameaça foi iniciada, como quando o primeiro evento relacionado foi detectado e sua duração.
As 5 principais categorias que contribuem com o delito.
As 5 principais origens de log que contribuem com o delito.
A origem de log para eventos que são criados pelo QRadar, como uma ação de resposta de regra, é o Mecanismo de regras customizado.
Para visualizar os eventos que estão associados com a ofensa, clique em Eventos.
Para visualizar eventos que ocorreram dentro de um cronograma específico, especifique o Horário de Início, Horário de encerramentoe as opções Visualização .
Para classificar a lista de eventos, clique no cabeçalho da coluna Nome do Evento .
Para reduzir o número de eventos a serem revisados, clique com o botão direito no nome do
evento na lista de eventos para aplicar opções de filtro rápido.
Para visualizar detalhes sobre um evento específico, vá até a janela Lista de Eventos e dê um clique duplo no nome do evento.
Revise a janela Informações do Evento e a Informações de Origem e Destino .
Apenas as informações que são conhecidas sobre o evento são mostradas. Dependendo do
tipo de evento, alguns campos podem estar vazios.
Na caixa Informações de carga útil , revise o evento bruto para obter informações que o QRadar não normalizou.
Informações que não são normalizadas não aparecem na interface QRadar , mas podem ser valiosas para sua investigação.
Revise seguintes campos de tempo para o evento:
O Horário de início é o horário em que o QRadar recebeu o evento bruto da origem do log
O Tempo de Armazenamento é o horário em que o QRadar armazenou o evento normalizado
O Horário da origem de log é o horário que está registrado no evento bruto da
origem de log.
Para visualizar a lista de regras que contribuem para a ofensa, vá até a janela Resumo do Crime e clique em Exibição > Regras.
Na lista de regras, dê um clique duplo no nome da regra que você deseja analisar.
Percorra o assistente de regras para visualizar informações sobre os testes de regras, a ação de regra e a
resposta de regra.
Geralmente, a resposta de regra é configurada para despachar um novo evento e associá-lo
a um delito.
Verifique o Ação de Regra para ver se a ofensa está indexada.
O QRadar usa o recurso de indexação de ofensa para determinar quais ofensas serão encadeadas.
Por exemplo, uma ofensa que tem somente um endereço IP de origem e vários endereços IP de destino
pode indicar que a ameaça tem um único invasor e várias vítimas. Se você indexar esse tipo de
ofensa pelo endereço IP de origem, todos os eventos e fluxos originados do mesmo endereço IP serão
incluídos na mesma ofensa.
O que fazer a seguir
Para obter mais informações sobre investigar ofensas, eventos e fluxos, consulte Investigações de crimes no IBM Centro de Conhecimento.