Definindo as configurações do app QRadar DNS Analyzer
Antes de usar o app DNS Analyzer IBM® QRadar , deve-se criar um token de autenticação para o app QRadar DNS Analyzer antes de poder configurar as configurações do QRadar DNS Analyzer .
Antes de iniciar
Procedimento
- Abra as configurações Admin :
- Em IBM QRadar V7.3.0 ou anterior, clique na guia Administrador ..
- No IBM QRadar V7.3.1 e posterior, clique no menu de navegação (
) e, em seguida, clique em Admin para abrir a guia do administrador.
- Clique no ícone IBM QRadar DNS Analyzer Configurações na seção Plug-insA caixa de diálogo Configurações do IBM QRadar DNS Analyzer é aberta.
- Na seção QRadar Configurações , clique em Gerenciar Serviços Autorizados
- Clique na linha que contém o serviço criado e, em seguida, selecione e copie a string do token a partir do campo Token Selecionado na barra de menus.
- Na janela IBM QRadar DNS Analyzer , cole a sequência do token de serviço autorizado no campo Token
- Opcional: Na seção Configurações do Proxy , configure as configurações a seguir.
Opção Descrição Utilizar Proxy
Selecione para ativar Proxy.
HTTPS/SOCKS5
Selecione o tipo de protocolo seguro que você deseja usar para o proxy.
Nome do Host
Se o servidor de aplicativos usar um servidor proxy para se conectar à internet, digite a URL para o servidor proxy.
Porta
Digite o número da porta para o servidor proxy.
Ativar autenticação
Se o seu servidor proxy requer um nome de usuário e uma senha, selecione essa opção.
- Nome de usuário - digite o nome de usuário para o servidor proxy. Deve-se usar o nome do usuário para usar um proxy autenticado.
- Senha: -Digite a senha para o servidor proxy. Deve-se usar uma senha para usar um proxy autenticado.
- Opcional: Na seção Configurações analíticas , configure as configurações a seguir:
Opção Descrição Squatting
- Processando - detecta nomes de domínio que estão estreitamente relacionados a uma marca comercial, brand ou website popular.
- Eventos locais - cria eventos de squatting de domínio.
DGA
- Processando - detecta o nome de domínio gerado pelo algoritmo (DGA). O DGA é comumente usado em kits de phishing para gerar um nome de domínio aleatório e exclusivo. Por padrão, ele é sempre ativada.
- Eventos locais - ative esta opção para criar eventos de DGA.
Lista de negações
- Processando - detecta nomes de domínio com reputação negativa. Por padrão, ele é sempre ativada.
- Eventos locais - Cria eventos da Lista de negações.
Tunelamento
- Processamento - Detecta nomes de Domínio usando dados codificados em consultas e respostas de DNS.
- Eventos locais - Cria eventos de Tunelamento.
- Opcional: Na seção Configurações de Tunneling , configure as configurações a seguir:
Opção Descrição Limite de ocorrência
Configura o valor de quantos subdomínios subsequentes diferentes para um determinado hash devem ser detectados para gerar um evento de tunelamento. Comprimento mínimo do subdomínio
Configura o comprimento mínimo de caracteres que um subdomínio deve ter para ser processado pela analítica de tunelamento. - Clique em Salvar Configuração.