Security Analytics Self Monitoring

Use a IBM Segurança QRadar Security Analytics Self Monitoring Content Extension para monitorar de perto sua QRadar implantação.

Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

Esta extensão de conteúdo inclui um ou mais painéis do Pulse. Para obter mais informações sobre painéis Pulse, consulte QRadar Pulse app.

IBM QRadar de segurança Análise de segurança Auto monitoramento Extensão de conteúdo

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.2

A tabela a seguir mostra as regras que são novas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.2.

Tabela 1. Novas regras no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.2
Tipo Nome Descrição
Regra Uma propriedade customizada foi desativada É acionado quando uma expressão de propriedade customizada é desativada devido a problemas de desempenho
Nota: essa regra pode ser ajustada para ativar as notificações por e-mail

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.1

Os widgets Pulse a seguir são novos ou atualizados no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.1.

  • monitoramento de QRadar
  • QRadar Monitoramento-Ofensas

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.0

A tabela a seguir mostra as regras que são novas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.0.

Tabela 2. Novas regras no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.0
Tipo Nome Descrição
Regra QRadar Auditoria: Regras Caras de CRE Acionadores quando as regras do QRadar são caras. Otimize essas regras para reduzir a carga no CRE e reduza uma chance de que alguns eventos não serão correlacionados pelo CRE.
Regra QRadar Auditoria: Propriedades Customizadas Caras É acionado quando as propriedades customizadas do QRadar são caras Otimize essas propriedades customizadas para reduzir a carga na análise e redução de uma chance de eventos não analisados.
Regra QRadar : origens de log caras Acionadores quando origens de log do QRadar são caras. Otimize essas fontes de log / log de fontes de log para reduzir a carga na análise e reduzir uma chance de eventos não analisados.
Regra QRadar Auditoria: Alta Utilização de CRE Aciona quando alta utilização de CRE é atingida. Se a carga de CRE continuar crescendo então um ponto de saturação será alcançado e alguns eventos não serão correlacionados pelo CRE.
Regra QRadar Auditoria: Alta Utilização de Análise Acionamentos quando a utilização de alta análise é atingida. Se a carga de Parsing continuar crescendo então um ponto de saturação será alcançado e alguns eventos não serão analisados e normalizados.

A tabela a seguir mostra as propriedades customizadas que são novas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.0.

Tabela 3. Novas propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.0
Nome Otimizada Grupo de Captura Expressão regular
Elemento Sim 1 Elemento = (\S +)
ID da métrica Sim 1 MetricID=(\S+)

Um painel Pulse denominado Parsing and CRE Monitoring foi incluído no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.0. Este painel é uma representação visual da utilização de CRE e Parsing por hosts.

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.1.0

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.1.0.

Tabela 4. Propriedades customizadas novas e atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.1.0
Nome Otimizada Grupo de Captura Expressão regular
ID da ofensa Sim 1 ofensa: (\d +)
Proprietário da Infração Não 1 User: \s (. *?) \shas\ssido
Os widgets Pulse a seguir são novos ou atualizados no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.1.0.
  • Ofensa Designada
  • ID de ofensa coluna foi adicionada ao widget Infração Encerrada

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.0.1

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.1.

Tabela 5. Propriedades Customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.1
Nome Otimizada Grupo de Captura Expressão regular
CRE Name Sim 1 Regra Name= \" ([^ \\\\"]) +)
Total de eventos descartados Não 1 Total de eventos descartados:\s+(\d +)
Total de eventos encaminhados Não 1 Total eventos encaminhados:\s+(\d +)
Total de eventos não correlacionados Não 1 Total de eventos não correlacionados:\s+(\d +)
Os widgets Pulse a seguir são novos no IBM Security QRadar Product Name Content Extension 2.0.1.
  • Auditoria - Regras de roteamento - Eventos descartados
  • Auditoria - Regras de roteamento - Eventos encaminhados
  • Auditoria - Regras de roteamento - Eventos não correlacionados

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.0.0

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.0.

Tabela 6. Propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.0
Nome Otimizada Grupo de Captura Expressão regular
Versão do agente Não 1 IBM\|WinCollect\|([^\.]+)
Versão do agente principal Não 1 IBM\|WinCollect\|([^\.]+)
ID da Máquina Sim LEEF src.
Nome de S.O. Não LEEF os
Os widgets Pulse a seguir são novos no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.0.
  • Taxa média de eventos EPS
  • Taxa máx. de eventos EPS
  • Eventos gerados pelo CRE Doughnut
  • Eventos gerados pela CRE Table
  • Principais versões do agente WinCollect
  • Versão do agente WinCollect
  • Versões do sistema operacional WinCollect

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.2.0

O QID foi atualizado para o widget Pulso de Falha de autenticação .

A propriedade customizada Status do host foi removida e substituída pela propriedade customizada Status do sistema .

A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension V1.2.0.

Tabela 7. Propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension V1.2.0
Nome Otimizada Grupo de Captura Expressão regular
Filtros de regras anteriores Não 1 Previous Rule Description="([^"]+)
Notas de regras anteriores Não 1 Previous Rule Notes="([^"]+)
QidMap Descrição Não 1 qDescription="([^"]+)

qdescription=(.*?)\scatpipename

QidMap ID Não 1 qId="(\d+)"

qid=(\d+)

QidMap Nome Não 1 qName="([^"]+)

qname=(.*?)\srateshortwindow

Filtros de Regra Não 1 Updated Rule Description="([^\"]+)

Rule Description="([^"]+)

ID de Regra Não 1 id="(\d+)"

ruleId="(\d+)"

Notas de Regra Não 1 Notas de regra atualizadas=" ([^ "] +)

Notas de regra="([^"]+)

Status do Sistema Não 1 Sent\supdate\sstatus\sof\shost\s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sto\s([^$]+)

A tabela a seguir mostra as regras que são atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.2.0.

Tabela 8. Regras no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.2.0
Tipo Nome Descrição
Regra Auditoria do QRadar: Host do QRadar Indisponível Atualizado para usar a propriedade customizada Status do sistema em vez de Status do host.

A tabela a seguir mostra as procuras salvas que são novas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.2.0.

Tabela 9. Procuras Salvas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.2.0
Nome Descrição
Detalhes de modificação de regra customizada Recupera a modificação feita em regras customizadas (criação, atualização, exclusão) e exibe as informações anteriores/posteriores relevantes.

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.1.1

O QID foi atualizado para a regra customizada Auditoria do QRadar: várias falhas de Login da mesma origem e a procura salva Auditoria - Falha de autenticação por nome do usuário.

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.1.0

A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.

Tabela 10. Propriedades Customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0
Nome Otimizada Grupo de Captura Expressão regular
Comando Sim 1 CommandExecuted\]\s\:\s+([^\r\n]+)
CRE Name Sim 1

2

Rule Name="([^\"]+)

(\s+|Updated\s+)Rule Name="([^\"]+)

Status do Host Sim 1 Sent\supdate\sstatus\sof\shost\s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sto\s([^$]+)
Comentário da ofensa encerrada Sim 1 Notes:\s((?:[^(\s+]|\s(?!\s*\())*)
Razão da ofensa encerrada Sim 1 Essa ofensa foi encerrada com razão:\s ([^.] *)
ID da ofensa Sim 1 Properties\([\s]id="(\d+)"

Properties\s\([\s]id="(\d+)"

Nome CRE Anterior Sim 1 Previous Rule Name="([^\"]+)

A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.

Tabela 11. Regras no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0
Tipo Nome Descrição
Regra Auditoria do QRadar: número incomum de ofensas criadas É acionada quando o número de ofensas criadas é mais alto ou mais baixo por uma diferença de 40% em um período de 24 horas. A diferença pode ser ajustada para corresponder ao limite desejado.

A tabela a seguir mostra os relatórios que são novos ou atualizados no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.

Tabela 12. Relatórios no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0
Nome do Relatório Nome da Procura e Dependências
Auditoria do QRadar - Relatório de encerramento de ofensa Esse relatório mostra a razão pela qual as ofensas foram encerradas no QRadar. O conteúdo do relatório é intercalado usando as procuras de Atividade de log e de Atividade de rede a seguir:
  • Auditoria do QRadar: razão de ofensas encerradas
  • Auditoria do QRadar: razão de ofensas principais encerradas
Nota: Editar esta pesquisa e quaisquer dependências de pesquisa relevantes para refinar os resultados.

A tabela a seguir mostra os dados de referência novos ou atualizados no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.

Tabela 13. Dados de referência no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0
Tipo Nome Descrição
Dados de referência pulse_imports Parte do painel Pulse.

A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.

Tabela 14. Procuras salvas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0
Nome Descrição
Número de Ofensas Criadas Procura recuperando o número total de ofensas encerradas dentro de um prazo de 24 horas.
Auditoria do QRadar: razão de ofensas encerradas Procura recuperando o motivo pelo qual as ofensas foram encerrados no QRadar
Auditoria do QRadar: razão de ofensas principais encerradas Procura agrupada pela razão pela qual as ofensas foram encerradas.

(Voltar para o topo)

IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.0.0

A tabela a seguir mostra as propriedades customizadas n IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0.

Tabela 15. Propriedades Customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0
Nome Otimizada Grupo de Captura Expressão regular
CRE Name Sim

Sim

1

2

Rule Name="([^\"]+)

(\s+|Updated\s+)Rule Name="([^\"]+)

Nome CRE Anterior Sim 1 Previous Rule Name="([^\"]+)
Comando Sim 1 CommandExecuted\]\s\:\s+([^\r\n]+)
Status do host Sim 1 Sent\supdate\sstatus\sof\shost\s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sto\s([^$]+)
ID de pesquisa da API Sim 1 PathInfo=\/ariel\/searches\/(\S{36})\/results
Pesquisa executada Sim 1 Filters:(.*?)\,\s+Columns

A tabela a seguir mostra as regras no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0.

Tabela 16. Regras no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0
Tipo Nome Descrição
Regra Auditoria do QRadar: Carga Útil Excluída ou Modificada Detecta quando um comando pode modificar arquivos de log.
Regra Auditoria do QRadar: Falhas Múltiplas de Login da Mesma Origem Detecta falhas de autenticação repetidas do mesmo endereço IP de origem na interface da web do QRadar ou na CLI.
Regra Auditoria do QRadar: Potencial Modificação de Arquivo Sensível Detecta quando um arquivo sensível é acessado com um editor de texto ou é movido ou removido por meio da CLI do QRadar . Edite essa regra para monitorar arquivos sensíveis e dispositivos.
Regra Auditoria do QRadar: Hosts do QRadar Inclui endereços IP do QRadar no conjunto de referência Implementação do QRadar – IP.
Regra QRadar Auditoria: Conta Compartilhada Detecta quando há uma conta compartilhada em potencial conectada ao QRadar. Inclua endereços IP QRadar no conjunto de referência QRadar Deployment-IP para excluí-los como endereços IP de origem.
Regra Auditoria do QRadar: Host do QRadar Indisponível Monitora o status de hosts gerenciados do QRadar

A tabela a seguir mostra os relatórios no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0.

Tabela 17. Relatórios no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0
Nome do Relatório Nome da Procura e Dependências
Auditoria do QRadar - Visão Geral de Modificações Procuras Salvas: Auditoria do SIEM - Modificação de Regra Customizada e Auditoria do SIEM - Modificação de Configuração
Auditoria do QRadar - Atividade de autenticação do usuário Procuras Salvas: Auditoria do SIEM - Sucesso de Autenticação por Nome de Usuário, Auditoria do SIEM - Falha de Autenticação por Nome de Usuário e Auditoria do SIEM - Atividade de Autenticação do Usuário
Auditoria do QRadar - Avisos e Erros do Sistema Procura Salva: Auditoria do SIEM - Notificações do Sistema
Auditoria do QRadar - Procuras Executadas Procuras Salvas: Auditoria - Atividades de Processamento do Usuário e Auditoria - Atividades de Processamento do Usuário através de API.

A tabela a seguir mostra os dados de referência no IBM Security QRadar QRadar Security Analytics Self Monitoring Content Extension 1.0.0.

Tabela 18. Dados de referência no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0
Tipo Nome Descrição
Conjunto de Referências Implementação do QRadar Lista de endereços IP do QRadar , de Auditoria do SIEM: QRadar. Usado em Auditoria do SIEM: Conta Compartilhada. Essa lista também contém a 127.0.0.1 por padrão e o intervalo designado aos aplicativos (169.254.3.1 a 169.254.3.10). Edite essa lista conforme necessário.

A tabela a seguir mostra as procuras salvas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0.

Tabela 19.. Procuras salvas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0
Nome Descrição
Auditoria-Atividade de Autenticação do Usuário Esta procura mostra os eventos de autenticação no sistema QRadar (Web e SSH).
Auditoria - Sucesso de Autenticação por Nome de Usuário Esta procura mostra os êxitos de autenticação no sistema QRadar (Web e SSH).
Auditoria - Falha de Autenticação por Nome de Usuário Esta procura mostra as falhas de autenticação no sistema QRadar (web e SSH).
Auditoria - Modificação de Configuração Essa procura mostra as atualizações de configuração que foram feitas no sistema QRadar ..
Notificações de Auditoria-Sistema Esta procura mostra os avisos e erros no sistema QRadar ..
Auditoria-Atividades de Processamento de Usuários Esta procura mostra as procuras executadas pelos usuários.
Auditoria - Atividades de Processamento do Usuário através de API Esta procura mostra as procuras executadas com relação a /ariel/searches.

(Voltar para o topo)