Security Analytics Self Monitoring
Use a IBM Segurança QRadar Security Analytics Self Monitoring Content Extension para monitorar de perto sua QRadar implantação.
Esta extensão de conteúdo inclui um ou mais painéis do Pulse. Para obter mais informações sobre painéis Pulse, consulte QRadar Pulse app.
IBM QRadar de segurança Análise de segurança Auto monitoramento Extensão de conteúdo
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.2
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.1
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.0
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.1.0
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.0.1
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.0.0
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.2.0
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.1.1
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.1.0
- IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.0.0
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.2
A tabela a seguir mostra as regras que são novas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.2.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Uma propriedade customizada foi desativada | É acionado quando uma expressão de propriedade customizada é desativada devido a problemas de desempenho Nota: essa regra pode ser ajustada para ativar as notificações por e-mail
|
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.1
Os widgets Pulse a seguir são novos ou atualizados no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.1.
- monitoramento de QRadar
- QRadar Monitoramento-Ofensas
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.2.0
A tabela a seguir mostra as regras que são novas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | QRadar Auditoria: Regras Caras de CRE | Acionadores quando as regras do QRadar são caras. Otimize essas regras para reduzir a carga no CRE e reduza uma chance de que alguns eventos não serão correlacionados pelo CRE. |
| Regra | QRadar Auditoria: Propriedades Customizadas Caras | É acionado quando as propriedades customizadas do QRadar são caras Otimize essas propriedades customizadas para reduzir a carga na análise e redução de uma chance de eventos não analisados. |
| Regra | QRadar : origens de log caras | Acionadores quando origens de log do QRadar são caras. Otimize essas fontes de log / log de fontes de log para reduzir a carga na análise e reduzir uma chance de eventos não analisados. |
| Regra | QRadar Auditoria: Alta Utilização de CRE | Aciona quando alta utilização de CRE é atingida. Se a carga de CRE continuar crescendo então um ponto de saturação será alcançado e alguns eventos não serão correlacionados pelo CRE. |
| Regra | QRadar Auditoria: Alta Utilização de Análise | Acionamentos quando a utilização de alta análise é atingida. Se a carga de Parsing continuar crescendo então um ponto de saturação será alcançado e alguns eventos não serão analisados e normalizados. |
A tabela a seguir mostra as propriedades customizadas que são novas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Elemento | Sim | 1 | Elemento = (\S +) |
| ID da métrica | Sim | 1 | MetricID=(\S+) |
Um painel Pulse denominado Parsing and CRE Monitoring foi incluído no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.2.0. Este painel é uma representação visual da utilização de CRE e Parsing por hosts.
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.1.0
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.1.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| ID da ofensa | Sim | 1 | ofensa: (\d +) |
| Proprietário da Infração | Não | 1 | User: \s (. *?) \shas\ssido |
- Ofensa Designada
- ID de ofensa coluna foi adicionada ao widget Infração Encerrada
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.0.1
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.1.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| CRE Name | Sim | 1 | Regra Name= \" ([^ \\\\"]) +) |
| Total de eventos descartados | Não | 1 | Total de eventos descartados:\s+(\d +) |
| Total de eventos encaminhados | Não | 1 | Total eventos encaminhados:\s+(\d +) |
| Total de eventos não correlacionados | Não | 1 | Total de eventos não correlacionados:\s+(\d +) |
- Auditoria - Regras de roteamento - Eventos descartados
- Auditoria - Regras de roteamento - Eventos encaminhados
- Auditoria - Regras de roteamento - Eventos não correlacionados
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 2.0.0
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 2.0.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Versão do agente | Não | 1 | IBM\|WinCollect\|([^\.]+) |
| Versão do agente principal | Não | 1 | IBM\|WinCollect\|([^\.]+) |
| ID da Máquina | Sim | LEEF | src. |
| Nome de S.O. | Não | LEEF | os |
- Taxa média de eventos EPS
- Taxa máx. de eventos EPS
- Eventos gerados pelo CRE Doughnut
- Eventos gerados pela CRE Table
- Principais versões do agente WinCollect
- Versão do agente WinCollect
- Versões do sistema operacional WinCollect
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.2.0
O QID foi atualizado para o widget Pulso de Falha de autenticação .
A propriedade customizada Status do host foi removida e substituída pela propriedade customizada Status do sistema .
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension V1.2.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Filtros de regras anteriores | Não | 1 | Previous Rule Description="([^"]+) |
| Notas de regras anteriores | Não | 1 | Previous Rule Notes="([^"]+) |
| QidMap Descrição | Não | 1 | qDescription="([^"]+) qdescription=(.*?)\scatpipename |
| QidMap ID | Não | 1 | qId="(\d+)" qid=(\d+) |
| QidMap Nome | Não | 1 | qName="([^"]+) qname=(.*?)\srateshortwindow |
| Filtros de Regra | Não | 1 | Updated Rule Description="([^\"]+) Rule Description="([^"]+) |
| ID de Regra | Não | 1 | id="(\d+)" ruleId="(\d+)" |
| Notas de Regra | Não | 1 | Notas de regra atualizadas=" ([^ "] +) Notas de regra="([^"]+) |
| Status do Sistema | Não | 1 | Sent\supdate\sstatus\sof\shost\s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sto\s([^$]+) |
A tabela a seguir mostra as regras que são atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.2.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Auditoria do QRadar: Host do QRadar Indisponível | Atualizado para usar a propriedade customizada Status do sistema em vez de Status do host. |
A tabela a seguir mostra as procuras salvas que são novas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.2.0.
| Nome | Descrição |
|---|---|
| Detalhes de modificação de regra customizada | Recupera a modificação feita em regras customizadas (criação, atualização, exclusão) e exibe as informações anteriores/posteriores relevantes. |
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.1.1
O QID foi atualizado para a regra customizada Auditoria do QRadar: várias falhas de Login da mesma origem e a procura salva Auditoria - Falha de autenticação por nome do usuário.
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.1.0
A tabela a seguir mostra as propriedades customizadas que são novas ou atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Comando | Sim | 1 | CommandExecuted\]\s\:\s+([^\r\n]+) |
| CRE Name | Sim | 1 2 |
Rule Name="([^\"]+) (\s+|Updated\s+)Rule Name="([^\"]+) |
| Status do Host | Sim | 1 | Sent\supdate\sstatus\sof\shost\s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sto\s([^$]+) |
| Comentário da ofensa encerrada | Sim | 1 | Notes:\s((?:[^(\s+]|\s(?!\s*\())*) |
| Razão da ofensa encerrada | Sim | 1 | Essa ofensa foi encerrada com razão:\s ([^.] *) |
| ID da ofensa | Sim | 1 | Properties\([\s]id="(\d+)" Properties\s\([\s]id="(\d+)" |
| Nome CRE Anterior | Sim | 1 | Previous Rule Name="([^\"]+) |
A tabela a seguir mostra as regras que são novas ou atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Auditoria do QRadar: número incomum de ofensas criadas | É acionada quando o número de ofensas criadas é mais alto ou mais baixo por uma diferença de 40% em um período de 24 horas. A diferença pode ser ajustada para corresponder ao limite desejado. |
A tabela a seguir mostra os relatórios que são novos ou atualizados no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.
| Nome do Relatório | Nome da Procura e Dependências |
|---|---|
| Auditoria do QRadar - Relatório de encerramento de ofensa | Esse relatório mostra a razão pela qual as ofensas foram encerradas no QRadar. O conteúdo do relatório é intercalado usando as procuras de Atividade de log e de Atividade de rede a seguir:
Nota: Editar esta pesquisa e quaisquer dependências de pesquisa relevantes para refinar os resultados.
|
A tabela a seguir mostra os dados de referência novos ou atualizados no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Dados de referência | pulse_imports | Parte do painel Pulse. |
A tabela a seguir mostra as procuras salvas que são novas ou atualizadas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.1.0.
| Nome | Descrição |
|---|---|
| Número de Ofensas Criadas | Procura recuperando o número total de ofensas encerradas dentro de um prazo de 24 horas. |
| Auditoria do QRadar: razão de ofensas encerradas | Procura recuperando o motivo pelo qual as ofensas foram encerrados no QRadar |
| Auditoria do QRadar: razão de ofensas principais encerradas | Procura agrupada pela razão pela qual as ofensas foram encerradas. |
IBM Segurança QRadar Análise de segurança Auto monitoramento Extensão de conteúdo 1.0.0
A tabela a seguir mostra as propriedades customizadas n IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| CRE Name | Sim Sim |
1 2 |
Rule Name="([^\"]+) (\s+|Updated\s+)Rule Name="([^\"]+) |
| Nome CRE Anterior | Sim | 1 | Previous Rule Name="([^\"]+) |
| Comando | Sim | 1 | CommandExecuted\]\s\:\s+([^\r\n]+) |
| Status do host | Sim | 1 | Sent\supdate\sstatus\sof\shost\s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\sto\s([^$]+) |
| ID de pesquisa da API | Sim | 1 | PathInfo=\/ariel\/searches\/(\S{36})\/results |
| Pesquisa executada | Sim | 1 | Filters:(.*?)\,\s+Columns |
A tabela a seguir mostra as regras no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Auditoria do QRadar: Carga Útil Excluída ou Modificada | Detecta quando um comando pode modificar arquivos de log. |
| Regra | Auditoria do QRadar: Falhas Múltiplas de Login da Mesma Origem | Detecta falhas de autenticação repetidas do mesmo endereço IP de origem na interface da web do QRadar ou na CLI. |
| Regra | Auditoria do QRadar: Potencial Modificação de Arquivo Sensível | Detecta quando um arquivo sensível é acessado com um editor de texto ou é movido ou removido por meio da CLI do QRadar . Edite essa regra para monitorar arquivos sensíveis e dispositivos. |
| Regra | Auditoria do QRadar: Hosts do QRadar | Inclui endereços IP do QRadar no conjunto de referência Implementação do QRadar – IP. |
| Regra | QRadar Auditoria: Conta Compartilhada | Detecta quando há uma conta compartilhada em potencial conectada ao QRadar. Inclua endereços IP QRadar no conjunto de referência QRadar Deployment-IP para excluí-los como endereços IP de origem. |
| Regra | Auditoria do QRadar: Host do QRadar Indisponível | Monitora o status de hosts gerenciados do QRadar |
A tabela a seguir mostra os relatórios no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0.
| Nome do Relatório | Nome da Procura e Dependências |
|---|---|
| Auditoria do QRadar - Visão Geral de Modificações | Procuras Salvas: Auditoria do SIEM - Modificação de Regra Customizada e Auditoria do SIEM - Modificação de Configuração |
| Auditoria do QRadar - Atividade de autenticação do usuário | Procuras Salvas: Auditoria do SIEM - Sucesso de Autenticação por Nome de Usuário, Auditoria do SIEM - Falha de Autenticação por Nome de Usuário e Auditoria do SIEM - Atividade de Autenticação do Usuário |
| Auditoria do QRadar - Avisos e Erros do Sistema | Procura Salva: Auditoria do SIEM - Notificações do Sistema |
| Auditoria do QRadar - Procuras Executadas | Procuras Salvas: Auditoria - Atividades de Processamento do Usuário e Auditoria - Atividades de Processamento do Usuário através de API. |
A tabela a seguir mostra os dados de referência no IBM Security QRadar QRadar Security Analytics Self Monitoring Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Implementação do QRadar | Lista de endereços IP do QRadar , de Auditoria do SIEM: QRadar. Usado em Auditoria do SIEM: Conta Compartilhada. Essa lista também contém a 127.0.0.1 por padrão e o intervalo designado aos aplicativos (169.254.3.1 a 169.254.3.10). Edite essa lista conforme necessário. |
A tabela a seguir mostra as procuras salvas no IBM Security QRadar Security Analytics Self Monitoring Content Extension 1.0.0.
| Nome | Descrição |
|---|---|
| Auditoria-Atividade de Autenticação do Usuário | Esta procura mostra os eventos de autenticação no sistema QRadar (Web e SSH). |
| Auditoria - Sucesso de Autenticação por Nome de Usuário | Esta procura mostra os êxitos de autenticação no sistema QRadar (Web e SSH). |
| Auditoria - Falha de Autenticação por Nome de Usuário | Esta procura mostra as falhas de autenticação no sistema QRadar (web e SSH). |
| Auditoria - Modificação de Configuração | Essa procura mostra as atualizações de configuração que foram feitas no sistema QRadar .. |
| Notificações de Auditoria-Sistema | Esta procura mostra os avisos e erros no sistema QRadar .. |
| Auditoria-Atividades de Processamento de Usuários | Esta procura mostra as procuras executadas pelos usuários. |
| Auditoria - Atividades de Processamento do Usuário através de API | Esta procura mostra as procuras executadas com relação a /ariel/searches. |