Definindo as configurações do app QRadar DNS Analyzer

Antes de usar o app DNS Analyzer IBM® QRadar , deve-se criar um token de autenticação para o app QRadar DNS Analyzer antes de poder configurar as configurações do QRadar DNS Analyzer .

Antes de iniciar

Deve-se ter privilégios de administrador do QRadar® para configurar o aplicativo QRadar DNS Analyzer.

Procedimento

  1. Abra as configurações Admin :
    • Em IBM QRadar V7.3.0 ou anterior, clique na guia Administrador ..
    • No IBM QRadar V7.3.1 e posterior, clique no menu de navegação (Ícone para o menu principal de navegação) e, em seguida, clique em Admin para abrir a guia do administrador.
  2. Clique no ícone IBM QRadar DNS Analyzer Configurações na seção Plug-ins
    A caixa de diálogo Configurações do IBM QRadar DNS Analyzer é aberta.
  3. Na seção QRadar Configurações , clique em Gerenciar Serviços Autorizados
  4. Clique na linha que contém o serviço criado e, em seguida, selecione e copie a string do token a partir do campo Token Selecionado na barra de menus.
  5. Na janela IBM QRadar DNS Analyzer , cole a sequência do token de serviço autorizado no campo Token
  6. Opcional: Na seção Configurações do Proxy , configure as configurações a seguir.
    Opção Descrição

    Utilizar Proxy

    Selecione para ativar Proxy.

    HTTPS/SOCKS5

    Selecione o tipo de protocolo seguro que você deseja usar para o proxy.

    Nome do Host

    Se o servidor de aplicativos usar um servidor proxy para se conectar à internet, digite a URL para o servidor proxy.

    Porta

    Digite o número da porta para o servidor proxy.

    Ativar autenticação

    Se o seu servidor proxy requer um nome de usuário e uma senha, selecione essa opção.

    • Nome de usuário - digite o nome de usuário para o servidor proxy. Deve-se usar o nome do usuário para usar um proxy autenticado.
    • Senha: -Digite a senha para o servidor proxy. Deve-se usar uma senha para usar um proxy autenticado.
  7. Opcional: Na seção Configurações analíticas , configure as configurações a seguir:
    Opção Descrição

    Squatting

    • Processando - detecta nomes de domínio que estão estreitamente relacionados a uma marca comercial, brand ou website popular.
    • Eventos locais - cria eventos de squatting de domínio.

    DGA

    • Processando - detecta o nome de domínio gerado pelo algoritmo (DGA). O DGA é comumente usado em kits de phishing para gerar um nome de domínio aleatório e exclusivo. Por padrão, ele é sempre ativada.
    • Eventos locais - ative esta opção para criar eventos de DGA.

    Lista de negações

    • Processando - detecta nomes de domínio com reputação negativa. Por padrão, ele é sempre ativada.
    • Eventos locais - Cria eventos da Lista de negações.

    Tunelamento

    • Processamento - Detecta nomes de Domínio usando dados codificados em consultas e respostas de DNS.
    • Eventos locais - Cria eventos de Tunelamento.
  8. Opcional: Na seção Configurações de Tunneling , configure as configurações a seguir:
    Opção Descrição

    Limite de ocorrência

    Configura o valor de quantos subdomínios subsequentes diferentes para um determinado hash devem ser detectados para gerar um evento de tunelamento.

    Comprimento mínimo do subdomínio

    Configura o comprimento mínimo de caracteres que um subdomínio deve ter para ser processado pela analítica de tunelamento.
  9. Clique em Salvar Configuração.