Versões anteriores

Caso você tenha perdido uma liberação, revise uma lista de recursos de versões anteriores do QRadar® Use Case Manager.

Versão 4.0.0

  • Adicionado suporte para MITRE ATT&CK Industry Control Systems (ICS), que identifica, avalia e mitiga ataques cibernéticos em redes industriais.
  • Adicionada a capacidade de ativar ou desativar regras (incluindo suas dependências) em massa, facilitando o gerenciamento das regras em tempo hábil.
  • Adicionada a capacidade de editar notas para regras individuais.
  • Pacotes atualizados com vulnerabilidades conhecidas.

Versão 3.10.0

  • QRadar Use Case Manager 3 3.10.0 só é compatível com o ' QRadar 7 7.5.0 UP8 ou posterior.
  • Adicionado suporte ao MITRE ATT&CK v15.1.
  • Pacotes atualizados com vulnerabilidades conhecidas.
  • Adição de novas APIs públicas para os gráficos Ofensas encerradas por motivo e Visão geral das regras ativas na página Regras ativas. Para obter mais informações, consulte Pontos finais da API pública.

Versão 3.9.0

  • Adicionado suporte ao MITRE ATT&CK v14.1.
  • Pacotes atualizados com vulnerabilidades conhecidas.
  • QRadar Use Case Manager agora só é compatível com IBM QRadar 7.5.0 ou posterior.

Versão 3.8.1

  • Pacotes atualizados com vulnerabilidades conhecidas.
  • Incluída uma opção para visualizar métricas somente para regras ativadas no relatório Sumário de cobertura do MITRE A ativação dessa opção ajusta o relatório para filtrar regras desativadas e exibe o número total de regras ativadas, excluindo blocos de construção.

Versão 3.8.0

  • Foi incluído suporte para o MITRE ATT & CK v13.1, que atualiza Técnicas, Grupos, Campanhas e Software para Empresas. As maiores mudanças no ATT & CK v13 são a adição de orientação de detecção detalhada para algumas Técnicas no ATT & CK for Enterprise, Origens de Dados Móveis e dois novos tipos de logs de mudanças para ajudar a identificar mais precisamente o que mudou no ATT & CK. Para mais informações, consulte https://attack.mitre.org/resources/updates/updates-april-2023/index.html.
  • Aprimorado o desempenho da API de contribuição de ofensa de regra para reduzir problemas de falta de memória
  • Foi incluída uma condição para configurar o número de elementos do conjunto de referência que acionam uma descoberta se o número for excedido Para obter mais informações, consulte Configurando QRadar o uso Case Manager.

Versão 3.7.0

  • Incluído suporte para o MITRE ATT & CK v12.1, que atualiza técnicas, grupos e software para Enterprise. Para mais informações, consulte https://attack.mitre.org/resources/updates/updates-october-2022/index.html.
  • Ativou a descoberta de ajuste Conjunto de Referência Vazio após a correção do produto
  • Na página Detalhes da regra , a coloração das setas do diagrama foi alterada para tornar mais claro quando os operadores AND e AND NOT são usados para definições de teste.
  • Correções de defeito e de desempenho

Versão 3.6.0

aprimoramentos do MITRE ATT & CK

PRE incluído como um filtro de plataforma padrão do MITRE ATT & CK. Agora, quaisquer táticas de plataforma relacionadas são incluídas nos relatórios Detectado no intervalo de tempo e Mapa de cobertura do MITRE ATT & CK por padrão.

Incluído suporte para o MITRE ATT & CK v11.2, que atualiza técnicas, grupos e software para Enterprise e inclui uma versão beta do Sub-Tehniques for Mobile. Para mais informações, consulte https://attack.mitre.org/resources/updates/updates-april-2022/index.html.

Aprimoramentos de gráfico..

Incluída uma opção no gráfico Tendência de tipo de origem de log para visualizar os dados por frequência diária ou semanal. Só é possível visualizar tendências semanais se o intervalo de data for maior que 14 dias Para obter mais informações, consulte Visualizando a cobertura do tipo de fonte de log por regra.

Incluída cobertura para o gráfico Detectado no intervalo de tempo para filtrar ofensas por nome de domínio Se houver mais de um domínio em seu ambiente, eles serão incluídos na lista de filtros. Para obter mais informações, consulte Visualizando táticas e técnicas MITRE detectadas em um período específico.

Novas descobertas de ajuste incluídas

Incluídas as seguintes descobertas de ajuste para fornecer mais contexto:
  • A definição de host usa apenas o valor padrão para IP de destino.
  • A definição de host usa apenas o valor padrão para IP de origem.
  • A definição de host usa apenas o valor IP padrão.
Para obter mais informações, consulte Investigando os resultados do ajuste.

Novas definições de configuração de administrador para descobertas de desempenho e ajuste

Para configurar contribuições de regra avançadas para ofensas, ou para limitar o número de dias que uma regra contribui para uma ofensa, expanda a seção Configuração de desempenho

Se você tiver problemas de desempenho inesperados que são causados pela geração de descobertas de ajuste, como um longo tempo para carregar o QRadar Use Case Manager ou o aplicativo parar de responder, será possível desativar descobertas de ajuste individuais na seção Configuração de descobertas de ajuste .

Desempenho melhorado desativando a descoberta de ajuste Conjunto de Referência Não Utilizado

Desativou a descoberta de ajuste Conjunto de Referência Vazio devido a falsos positivos

Versão 3.5.0

Relatório de descoberta de ajustes

O Relatório de Ajuste de Ajustes lista as descobertas para vários erros de definição de regra. Use o relatório para investigar se a regra ou o bloco de construção precisa ser editado para obter informações mais robustas ou se a regra está funcionando como projetada. Para obter mais informações, consulte Investigando os resultados do ajuste.
Relatório de descoberta de ajustes

Aprimoramentos da tabela de regra

Adicionada uma opção de filtro Unassigned para os filtros de Tipo de Fonte de Log, Tático e Técnica. O filtro Não designado ajuda a ver quais regras não pertencem a nenhum grupo.

APIs publicamente disponíveis

APIs incluídas para as seguintes capacidades:
  • Terminais MITRE: Crie grupos de adversário personalizados, e mapeá-los em táticas e técnicas. Em seguida, é possível acessar os grupos no mapa de cobertura na lista Grupo Highlight , juntamente com os grupos predefinidos.

    Faça o upload de arquivos que contenham grupos MITRE personalizados e mapeamentos de regras desses grupos para táticas, técnicas e sub-técnicas. Para obter mais informações, consulte Acessando dados de relatórios usando APIs.

  • Ajustes Provas: Obtenha informações sobre apurações de ajustes.

Suporte MITRE

Suporte incluído para MITRE v11.1, que atualiza técnicas, grupos e software para Empresa, e adiciula uma versão beta de Sub-Tehniques para Mobile. Para mais informações, consulte https://attack.mitre.org/resources/updates/updates-april-2022/index.html.

Versão 3.4.1

Esta liberação inclui as mudanças a seguir:
  • Suporte incluído para o MITRE v10.1.
  • Pacotes atualizados com vulnerabilidades conhecidas.

Versão 3.4.0

Ajustando melhorias de regras ativas

O gráfico Tendência de criação de ofensa por regra foi incluído na página Regras ativas. Para cada regra que atenda às condições do filtro de data selecionado, este gráfico de tendência mostra o número de ofensas que a regra começou a contribuir em um dia específico. Por exemplo, uma regra começou a contribuir para três ofensas ontem, portanto, o gráfico exibe três ofensas para essa regra e a data de ontem. Hoje, essa mesma regra começou a contribuir para quatro novas ofensas e continuou contribuindo para duas ofensas de ontem. O gráfico exibe quatro ofensas para essa regra e a data de hoje. Como somente quatro ofensas são novas para a regra, somente quatro são mostradas no gráfico em vez de seis.
Relatório para tendência de criação de ofensa por regra
Nota: o gráfico é suportado apenas no QRadar 7.4.1 Fix Pack 2 ou posterior.

Na página de detalhes da regra para uma regra selecionada, é possível mudar o intervalo de data para a tendência da regra selecionada no gráfico Criação de ofensa por regra atual em um determinado tempo. Nas versões anteriores, o limite de tempo era somente os dos últimos três dias.

O gráfico Tendência de contagem de eventos por regra foi incluído na página Regras ativas. Para cada regra que atenda às condições do filtro de data selecionado, este gráfico de tendência mostra o número de eventos por ofensa que a regra começou a contribuir em um dia específico. Por exemplo, uma regra começou a contribuir para três ofensas com 100 eventos ontem, portanto, o gráfico exibe 100 eventos para essa regra e a data de ontem. Hoje, essa mesma regra começou a contribuir para quatro novas ofensas com 200 eventos e continuou contribuindo para duas ofensas com 50 eventos de ontem. O gráfico exibe 200 eventos para essa regra e a data de hoje. Como somente 200 eventos são novos para a regra, somente 200 são mostrados no gráfico em vez de 250.
Relatório para contagem de eventos tendência por regra

A exibição de gráficos de barras foi melhorada na página Regras ativas, classificando barras com o valor mais alto em ordem decrescente. Para melhor clareza visual, foram incluídas limitações no número de barras que são exibidas: um máximo de 15 barras em um gráfico pequeno e um máximo de 30 barras quando o gráfico é expandido para tela cheia.

Os recursos de visualização foram aprimorados em gráficos de barras e linha de tempo nas páginas Regras ativas, Relatório do CRE, Resumo e tendência de cobertura do MITRE e Resumo e tendência de cobertura de tipo de origem de log de regra. Agora é possível visualizar os dados em formato tabular, expandir os gráficos para tela cheia e fazer download dos gráficos em formatos PNG, JPB ou CSV.

Exporte regras como documentos HTML para visualizar off-line.

Exporte regras selecionadas para um relatório HTML formatado que você pode visualizar off-line. Por padrão, é possível exportar as dependências, dependentes e visualizações para as regras selecionadas. Compartilhe o arquivo .zip com os colegas ou com o gerenciamento que não tem acesso ao QRadar ou QRadar Use Case Manager. Para obter mais informações, consulte Regras de exportação.

Aprimoramentos da tabela de regra

Uma opção de filtro Não designado foi incluída nos filtros Grupo, Ação e Resposta. O filtro Não designado ajuda a ver quais regras não pertencem a nenhum grupo.
Filtros não atribuídos para regras
Uma coluna Test: Log source foi incluída no relatório de tabela Explorador de caso de uso que retorna referências específicas a origens de log que são usadas em testes de regras.
Relatório com o teste: coluna de logsource

Criar regras de ofensa no assistente de regra

Incluída a capacidade de criar regras de ofensa no assistente de regra. Clique no ícone de sinal de mais na barra de menus do relatório para acessar o assistente de regra.

Aprimoramentos do MITRE

Foi incluído suporte para o MITRE v10, que atualiza Técnicas, grupos e software para empresa, dispositivo móvel e ICS. A versão 10 descontinua a subtécnica Scheduled Task/Job: Launchd. Como resultado, o QRadar Use Case Manager redireciona esse mapeamento para a técnica pai. Para obter mais informações, consulte Atualizações - Outubro de 2021.

Aprimoramentos de atributos de regra customizada

Exporte ou importe dados do atributo de regra customizada, incluindo mapeamentos de regras, em um arquivo JSON. O compartilhamento dos dados entre colegas ou implementações do QRadar ajuda a aperfeiçoar seu fluxo de trabalho, eliminando o esforço de trabalho. Para obter mais informações, consulte Exportando e importando atributos de regras personalizadas e Exportando regras.

Versão 3.3.0

Conformidade FIPS

O QRadar Use Case Manager é compatível com o Federal Information Processing Standard 140-2 (FIPS), que ajuda a assegurar a segurança de dados. O QRadar Use Case Manager 3.3.0 e posterior funciona com versões compatíveis do QRadar , independentemente de o QRadar SIEM Console estar ativado para FIPS ou não.

Atributos de regras customizadas

Um atributo de regra customizada representa uma informação específica que você pode anexar a uma regra que não se encaixa em atributos de regras existentes. Por exemplo, o caso de uso ao qual a regra pertence, a equipe que é responsável por criar ou manter a regra ou que a revisou. Agora é possível definir qualquer atributo de regra customizada e seus valores, atribuir os valores de atributo customizado a uma regra e incluir o atributo customizado como uma coluna em Usar o Case Explorer. Para obter mais informações, consulte Atributos de regras personalizadas.

Melhorias de gerenciamento de regras

Foram incluídas verificações extras quando as regras são habilitadas ou desabilitadas, para que você não possa habilitar uma regra que desabilitou dependências ou desabilitou uma regra que habilitou dependentes.

Agora é possível excluir regras do IBM QRadar usando o IBM QRadar Use Case Manager. As mesmas restrições se aplicam quando você exclui regras no QRadar. Para obter mais informações, consulte Excluindo regras.

Ao exportar dados de regra para um arquivo para importar para outra implementação do QRadar, agora é possível escolher inserir detalhes sobre a exportação, como nome da extensão e descrição. Esses detalhes são incluídos no arquivo manifest.txt correspondente e exibidos na ferramenta Extensions Management após a importação. Para obter mais informações, consulte Regras de exportação.

Melhorias do MITRE

Filtragem de relatório aprimorada com base em plataformas MITRE ATT&CK selecionadas para que nenhum relatório contenha resultados relacionados a plataformas não selecionadas. Para mudar as plataformas selecionadas, modifique suas preferências do usuário. Para obter mais informações, consulte Personalizar preferências do usuário.

Foi incluído o suporte para MITRE v9, que atualiza táticas, técnicas, grupos, software e plataformas.

Ajustando melhorias de regras ativas

Uma nova coluna Contagem de evento indica quantos eventos a regra associou ao número de ofensas contadas na coluna Contagem de ofensas.
Importante: a coluna é suportada no QRadar 7.4.1 Fix Pack 2 ou posterior.

O gráfico Total de ofensas por motivo de fechamento e regra é renomeado para Ofensas encerradas por motivo e regra para descrever o conteúdo com mais precisão.

Detalhes da investigação de regra detalha aprimoramentos da página

Foi incluído um ícone Atualizar para atualizar as edições da página.

Foi aprimorada a exibição das tags MITRE na seção MITRE ATT&CK da página. Anteriormente, o nível de confiança era expresso apenas por meio do sombreamento de cor, mas uma forma foi incluída por motivos de acessibilidade e uma legenda foi incluída para maiores explicações.
Mitre tags e legenda de confiança

Extensões de conteúdo

Depois de instalar novas extensões de conteúdo, a página Usar Case Explorer atualiza os dados em 15 minutos. Nas versões anteriores, a atualização só ocorreu durante a madrugada ou ao limpar o cache do QRadar Use Case Manager na página Configuração da guia Administrador.

Versão 3.2.0

Aprimoramentos de regra

Agora é possível relatar sobre regras que designam eventos a ofensas que não estão ativas em um período de tempo específico ou desde a instalação. Regras que não são acionadas em um determinado prazo podem estar configuradas incorretamente e você pode não estar obtendo o máximo valor de sua implementação do IBM QRadar. Revise suas regras inativas para obter as possíveis opções de ajuste. A filtragem de regras inativas é suportada no Fix Pack 2 do QRadar 7.4.1 ou mais recente. Para obter mais informações, consulte Filtrando regras e blocos de construção por suas propriedades.

As APIs estão disponíveis para que seja possível fazer download de dados do relatório de regra nos formatos CSV ou JSON em qualquer configuração que seja possível na página Explorador de caso de uso. Para obter mais informações, consulte Acessando dados de relatórios usando APIs.

Integração de regra com IBM QRadar User Behavior Analytics 4.1.0

Se você usa o QRadar User Behavior Analytics 4.1.0 em seu ambiente, agora você gerencia as regras de analítica do usuário no QRadar Use Case Manager 3.2.0 em vez de na página Regras e ajustes no QRadar User Behavior Analytics.

Durante o upgrade de ambos os aplicativos, eles se comunicam entre si e as regras são integradas automaticamente. Depois de ajustar as regras no aplicativo QRadar Use Case Manager , as modificações são enviadas de volta para o IBM QRadar User Behavior Analytics para usar nos painéis, que visualizam os riscos do usuário para sua rede

Para obter mais informações, consulte Investigando regras de análise de comportamento do usuário.

Regras ativas de ajuste aprimorado

Um novo gráfico foi incluído na página Regras ativas para filtrar ofensas pelo motivo de encerramento e regra relacionada. Por exemplo, é possível filtrar para ver quais regras geraram as ofensas que foram encerradas como falsas positivas. Para obter mais informações, consulte Ajustando as regras ativas que geram infrações.
Imagem mostrando gráfico para ofensas totais por motivo de fechamento e regra relacionada

Agora é possível exportar dados de regra da página Regras ativas que geram ofensas e da página Regras ativas que geram eventos de CRE para o formato CSV.

Aprimoramentos do MITRE

Agora é possível excluir as ofensas do gráfico Detectado no intervalo de tempo com base nos motivos de encerramento dele. Por exemplo, é possível excluir as regras que geraram ofensas que foram encerradas como falsas positivas. As regras com muitos falsos positivos provavelmente precisam de ajuste. As ofensas encerradas como não problema geralmente são consideradas não críticas para sua organização. Você pode optar por não incluir essas ofensas ao revisar as táticas e as técnicas detectadas do MITRE.

Foi incluído suporte para o MITRE v8.2, que atualiza técnicas, grupos e software para a empresa.

Também foi incluído suporte para que todas as plataformas MITRE filtrem os relatórios Detectado no intervalo de tempo e Mapa de cobertura do MITRE. Por padrão, há suporte para as plataformas Linux®, macOS, e Windows. A mudança da seleção da plataforma afeta os mapas de calor, a seleção tática e técnica nos filtros, e a página de edição MITRE ATT & CK Mappings . Para obter mais informações, consulte Personalizar preferências do usuário.

Exporte os mapas de cobertura e os gráficos de resumo e de tendência de cobertura do MITRE como imagens PNG. Em seguida, é possível compartilhar a imagem com colegas ou executivos que não têm acesso ao aplicativo QRadar Use Case Manager.

Melhorias do fluxo de trabalho

A janela para incluir colunas nos relatórios da tabela foi projetada novamente para facilitar a inclusão de colunas e organizar a ordem em que são exibidas no relatório. Agora é possível pesquisar as colunas ou rolar pela janela para encontrar a coluna que você deseja incluir.
Imagem mostrando janela de seleção da coluna
Na página de detalhes da regra, o nome do bloco de construção no teste de regra agora vincula e exibe as informações de teste para investigação adicional.
Imagem mostrando link do bloco de construção na página Detalhes da Regra

Versão 3.1.0

Capacidades de exportação de regras melhoradas

Incluída a capacidade de exportar regras e suas dependências como XML que podem, então, ser importadas para outra implementação do QRadar usando a função Gerenciamento de extensão na guia Administrador . Esse recurso é suportado no QRadar 7.4.0 ou mais recente Para obter mais informações, consulte Regras de exportação.

Aprimoramentos de cobertura do MITRE

Foi incluído suporte para o MITRE v8.1. Todos os mapeamentos customizados que foram criados em versões anteriores do aplicativo são migrados automaticamente para a nova versão. Os mapeamentos a técnicas que agora são descontinuados ou não existem sob uma determinada tática serão excluídos e incluídos no relatório de migração. É possível revisar um relatório de migração para ver os mapeamentos afetados para poder considerar a criação de novos mapeamentos para essas regras. Para obter mais informações sobre a descontinuação de técnicas, consulte https://attack.mitre.org/resources/updates/.

Incluído suporte para subtécnicas do MITRE em relatórios, filtros e modelos. As subtécnicas fornecem uma descrição mais específica do comportamento usado por um adversário para atingir o objetivo dele, tal como fazer dump de credenciais ao acessar os Segredos da Autoridade de Segurança Local (LSA). As subtécnicas são incluídas nos mapas de utilização do MITRE para os gráficos Detectado no intervalo de tempo e Mapa de cobertura e relatório.
Figura 1. Mapa de utilização que mostra a cobertura de táticas e técnicas do MITRE, incluindo subtécnicas
Mapa de utilização que mostra a cobertura de táticas e técnicas do MITRE,
incluindo subtécnicas

Aprimoradas as exibições do gráfico do mapa de utilização do MITRE, incluindo dicas de ferramentas que listam as seleções de software ou de grupo quando é o mouse é passado sobre as linhas verticais no gráfico. Os cálculos do mapa de utilização foram ajustados para cada técnica; todos os mapeamentos para suas subtécnicas são contados como se fossem mapeamentos para essa técnica. Os números no cabeçalho do gráfico e nas células indicam o número de regras ativadas que são mapeadas para cada tática, técnica e subtécnica. As dicas de ferramentas foram incluídas para explicar como a cor correlaciona-se com o cálculo do mapa de utilização. Também é possível escolher como você vê as táticas e técnicas que são exibidas no gráfico, mostrando seu nome, ID ou uma combinação de ambos. Para obter mais informações, consulte Visualizando táticas e técnicas MITRE detectadas em um período específico e Visualizando a cobertura de táticas e técnicas MITRE em seu ambiente.

Ao editar mapeamentos do MITRE em várias regras ou blocos de construção, agora é possível incluir ou remover subtécnicas para cada técnica. Para obter mais informações, consulte Editando mapeamentos MITRE em várias regras ou blocos de construção.

Agora é possível exportar mapeamentos do MITRE para um arquivo JSON que pode ser importado como uma camada para o MITRE ATT&CK Navigator. Para obter mais informações, consulte Compartilhamento de arquivos de mapeamento MITRE.

Aprimoramentos de cobertura de origem de log

O gráfico Resumo de cobertura de tipo de origem de log exibe o número de regras que fornecem cobertura para cada tipo de origem de log e quando o tipo de origem de log contribuiu pela última vez para uma ofensa, com base na data da última atualização. Use a tabela para revisar o número de eventos para origens de log desse tipo. Se a última data atualizada de uma ofensa for antiga, tente ajustar algumas das regras para o tipo de origem de log relacionada. Para obter mais informações, consulte Visualizando a cobertura do tipo de fonte de log por regra.
Figura 2 Gráficos de resumo de cobertura do tipo de origem de log
Gráfico que mostra a cobertura do tipo de fonte de log atual por regra
O gráfico Tendência de tipo de origem de log exibe o número de ofensas que para as quais os tipos de origem contribuíram ao longo do tempo desde que o aplicativo foi instalado pela primeira vez. É possível otimizar o gráfico por tipo de origem de log específico, clicando nas caixas de seleção abaixo do gráfico.
Figura 3. Gráfico de tendência de tipo de origem de log
Tendência de origem do log

Incluída a data da última atualização no gráfico Regras por tipos de origem de log usados. A data pode ajudá-lo a decidir se irá atualizar os dados da regra ou esperar que a atualização automatizada ocorra.

Para obter mais informações, consulte Visualizando a cobertura do tipo de fonte de log por regra.

Integrações

Empacotado um modelo de painel do Pulse QRadar . QRadar Os usuários do Pulse podem importar esse modelo como um painel em sua área de trabalho Pulse para visualizar os gráficos a seguir:
  • Mapeamentos de regras do MITRE por tática
  • Tendência de mapeamentos de regras do MITRE por tática
  • Regras atuais e potenciais por tipo de origem de log usado
  • Cobertura de tipo de origem de log e atividade
Para obter mais informações, consulte Sincronização de modelos de painel a partir de extensões de conteúdo. (https://www.ibm.com/support/knowledgecenter/SS42VS_SHR/com.ibm.Pulseapp.doc/t_Qapps_PulseDashboard_synchronize_templates.html)

Quaisquer links para ofensas agora vinculam à página de ofensas no QRadar Analyst Workflow, se ela estiver instalada em seu ambiente. Quando o QRadar Use Case Manager é aberto a partir do QRadar Analyst Workflow, ele aparece no tema selecionado no fluxo de trabalho Analyst.

Quaisquer links para conjuntos de referência agora serão vinculados aos conjuntos de referência no aplicativo QRadar Reference Data Management , se o aplicativo estiver instalado em seu ambiente

Modelos e dados da coluna do relatório aprimorados

É possível editar o nome e a descrição de modelos customizados. Para obter mais informações, consulte Personalizar modelos de conteúdo de relatórios.

Mude o modelo padrão a qualquer momento. O modelo padrão agora é executado quando a página do explorador de caso de uso é carregada pela primeira vez.

Use a nova coluna Teste: conjunto de referência (número de elementos) para obter uma referência rápida a regras que dependem de conjuntos de referências que estão vazios ou têm muitos elementos. Por exemplo, selecione o modelo Regras por conjunto de referência e, em seguida, use a opção de customização de coluna para substituir a coluna Conjunto de referência pela coluna Conjunto de referência (número de elementos).

Versão 3.0.0

Trabalhe de maneira mais eficiente

As preferências customizáveis do usuário incluem a opção de usar um tema claro ou escuro e uma opção para reduzir ou aumentar a altura de linha da tabela do relatório de regras. A altura de linha padrão é agora menor do que antes para economizar espaço. Para obter mais informações, consulte Personalizar preferências do usuário.

O suporte para vários idiomas foi incluído com base nas preferências do usuário do QRadar. Os idiomas suportados incluem inglês, chinês simplificado, chinês tradicional, francês, alemão, coreano, português, russo, espanhol, italiano e japonês.

É possível expandir o gráfico de relacionamento e os mapas de utilização de cobertura do MITRE para ajustar a janela inteira e aumentar ou diminuir o zoom para focar os detalhes. Qualquer filtragem aplicada à área de janela expandida será mantida quando você retornar para a página Explorador de caso de uso.

Também é possível customizar ainda mais os agrupamentos de tabelas no relatório de regras escolhendo para mostrar as linhas filhas ou somente a contagem de linhas filhas no modo agrupado do relatório. Clique na seta no ícone de estrutura em árvore. Em seguida, selecione uma das colunas agrupáveis que são exibidas atualmente ou mostre apenas o número de linhas filhas no relatório, em vez das linhas reais. Depois de ter o número de itens na coluna do relatório, clique no número para ver a lista de itens filhas reais. Para obter mais informações, consulte Apresentação do relatório de regras.

Economize tempo e esforço de criação de novas regras duplicando as regras existentes. Em seguida, é possível customizar as regras duplicadas para atender às necessidades do seu ambiente. Para obter mais informações, consulte Regras de duplicação para personalização adicional.

Visualizar a cobertura do MITRE de novas maneiras

Os relatórios Resumo de cobertura do MITRE e Tendência de cobertura do MITRE fornece novas maneiras de visualizar a cobertura do MITRE ATT&CK. No relatório de resumo de cobertura, é possível verificar o número e a porcentagem atuais para ver onde está faltando cobertura de regra e planejar o aumento de cobertura para algumas táticas. O relatório de tendências mostra a tendência de cobertura total de regras ao longo do tempo. Para obter mais informações, consulte Visualizando a cobertura de táticas e técnicas do MITRE em seu ambiente.
Gráfico mostrando resumo de cobertura do MITRE e tendências

Nos mapas de utilização de cobertura do MITRE, é possível identificar técnicas que são usadas por grupos ou softwares que são identificados pelo MITRE. Também é possível filtrar (ocultar) técnicas no gráfico que não estão relacionadas às técnicas atualmente selecionadas no filtro para relatório. Para obter mais informações, consulte Visualizando a cobertura de táticas e técnicas do MITRE em seu ambiente.

Melhorar a sua cobertura de regra incluindo extensões de conteúdo a partir do IBM Security App Exchange

Os recursos de reconhecimento de conteúdo ajudam a ver de qual extensão de conteúdo as regras se originam. Filtre por extensões de conteúdo para regras instaladas e regras desinstaladas disponíveis em extensões de conteúdo no IBM Security App Exchange Link de nomes de extensão de conteúdo no relatório para a caixa de diálogo correspondente no aplicativo QRadar Assistant para facilitar a instalação ou atualização. Novos modelos predefinidos recomendam extensões de conteúdo do IBM Security App Exchange com base em uma maior origem de log e cobertura MITRE.
Gráficos que mostram a cobertura do tipo de origem de log atual e potencial por regra

Novos gráficos mostram uma visão geral da cobertura da origem de log e cobertura MITRE pelas regras atualmente instaladas e regras desinstaladas que podem ser instaladas a partir de IBM Security App Exchange. Para obter mais informações, consulte Identificando lacunas na cobertura QRadar das regras a partir de extensões de conteúdo.

Aplicar filtros de regra e de bloco de construção mais facilmente

Anteriormente, o botão Aplicar era visível na parte inferior da área de janela, mas muitas vezes era difícil perceber que você tinha que clicar nele para aplicar os filtros. Agora, ele aparece somente quando você seleciona pelo menos um filtro na área de janela. Conforme você seleciona os filtros, eles aparecem em uma cor diferente na linha do filtro, mas mudam de cor depois que você clica em Aplicar filtros.
Aplicar filtros para reportar relatório

Um novo filtro de procura no teste de regra de origem do log facilita a filtragem quando a lista contém muitas origens de log. Também é possível filtrar regras que estão relacionadas a somente tipos de origens de log usados ou tipos de origem de log não usados.

O assistente de regra contém mais dados e é mais fácil de ler

Os aprimoramentos a seguir foram feitos para melhorar o ajuste no assistente de regra:
  • Todas as partes de ação de regra e a resposta de regra foram incluídas na página de detalhes de regra. Duas novas colunas também foram incluídas: Atributo de regra: detalhes de ação de regra e Atributo de regra: detalhes de reposta de regra que contêm informações completas de ação de regra e de resposta de regra.
  • As informações de escopo de regra foram incluídas antes da seção de definição de teste para indicar se a regra é global ou local.
  • A seção de tipo de origem de log é agora classificada e inclui o número de tipos de origem de log.
  • Os detalhes de regra agora são atualizados automaticamente após a edição de mapeamentos do MITRE para a regra.
  • O layout da página de detalhes de regra foi melhorado por meio da reorganizando de seções e da expansão de algumas seções por padrão.
Melhorias de layout do assistente de regra para ajuste de regras e blocos de construção

Configure um Proxy

Agora é possível configurar um proxy para que o QRadar Use Case Manager possa acessar o IBM Security App Exchange para obter informações atualizadas sobre extensões de conteúdo não instaladas e mapeamentos MITRE para todas as extensões de conteúdo. Se você não configurar o proxy, ainda será possível ver as informações no app, mas esteja ciente de que elas podem ficar desatualizadas.

Versão 2.3.1

Aprimoramentos do Desempenho

O desempenho foi melhorado para a geração de relatórios relacionados ao MITRE e a visualização de cobertura de mapa de utilização, bem como a geração de relatórios gerais.

Versão 2.3.0

Os recursos de mapeamento do MITRE foram movidos para o app

Os recursos de mapeamento MITRE foram movidos para o QRadar Use Case Manager. Isso aperfeiçoa o processo de edição de mapeamentos de regra do MITRE. O Cyber Adversary Framework Mapping app não é mais incluído no pacote de instalação do QRadar Use Case Manager. Se o Cyber Adversary Framework Mapping app já está instalado, o QRadar Use Case Manager reúne todos os mapeamentos existentes durante a instalação. Depois disso, é possível excluir o Cyber Adversary Framework Mapping app e usar o QRadar Use Case Manager em vez disso para ajudar a garantir que todos os seus mapeamentos de regras estejam atualizados no aplicativo.

Requisito de memória reduzido

O requisito de memória do app foi reduzido para 500 MB.

Editar mapeamentos de regra do MITRE

Economize tempo e esforço selecionando várias regras e editando os mapeamentos do MITRE para todas elas de uma só vez. Se necessário, também é possível exportar os mapeamentos selecionados que você editou.

Figura 4. Editar mapeamentos MITRE
Edição de mapeamentos MITRE para táticas, técnicas e níveis de confiança

Recursos de exportação aprimorados

Foram incluídas opções para exportar somente os mapeamentos do MITRE para as regras na visualização de relatório atual ou para exportar todos os mapeamentos de regra no app. Compartilhe o arquivo JSON com suas outras instâncias do QRadar Use Case Manager.

Figura 5. Exportar mapeamentos do MITRE para todas as regras ou apenas as regras na visualização atual
Menu de exportação para regras

Aprimoramentos do Rules Explorer

As novas colunas ID de tática do MITRE e ID de técnica do MITRE agora estão disponíveis como opções no relatório de regra para fornecer mais contexto.

Selecione diversas regras e abra-as no Assistente de regra para investigação simultânea.
Figura 6. Selecionar diversas regras para editar ou investigar simultaneamente
Regras multi-select em relatório de tabela

Aprimoramento de visualização de regra

Foram incluídas opções para mostrar conjuntos de referência relacionados, propriedades customizadas e tipos de origem de log.
Figura 7. Opções para mostrar conjuntos de referência relacionados, propriedades customizadas e tipos de origem de log para regras
Opções para mostrar conjuntos de referência relacionados, propriedades customizadas e
tipos de origem de log para regras

Problema corrigido

Foi corrigido um problema no qual o Trap SNMP não era visível na página de detalhes de regra quando Trap SNMP era selecionado como um atributo de resposta de regra na página de detalhes de regra.

Versão 2.2.0

Melhorias do MITRE

Agora, é possível ver quais táticas e técnicas do MITRE ATT&CK foram detectadas em seu ambiente em um período específico. Um mapa de utilização e relatórios flexíveis mostram as táticas e técnicas detectadas e as regras e ofensas relacionadas. Para obter mais informações, consulte Visualizando táticas e técnicas MITRE detectadas em um período específico.
Mapa de calor que mostra táticas e técnicas que foram detectadas em um período de tempo específico.

As opções de ATT&CK estão agora mais visíveis no Rule Explorer

Um menu ATT&CK Actions torna mais fácil acessar os heat maps para ver a cobertura de regra e táticas e técnicas detectadas. Uma chave para o heat map de cobertura filtra a coloração da tabela com base apenas nos mapeamentos de regras no relatório atual ou por todas as regras em seu ambiente.
Cardápio de Ações ATT & CK e relatório de regra de comutação

O cabeçalho da tabela de táticas do MITRE permanece fixo para facilitar a rolagem

O cabeçalho de táticas no mapa de utilização agora está em um estado fixo enquanto você rola para baixo na tabela, tornando mais fácil rastrear as táticas e técnicas que estão sendo revisadas.

Aprimoramentos do Rule Explorer

Os domínios agora são representados pelos filtros de teste de regra. O grupo de filtros de domínio lista todos os domínios em um ambiente multidomínios. Para obter mais informações, consulte Filtrando regras e blocos de construção por suas propriedades.

Uma nova coluna Resposta de regra: descrição do evento está disponível como uma opção no relatório de regras para fornecer mais contexto.

Aprimoramento do assistente de regra

Uma tag do MITRE na tela de detalhes de regra do assistente de regra agora mostra o BB de origem ou a regra da qual o mapeamento se origina. Essas informações também são exibidas como uma coluna no relatório de regras.
Dica de ferramentas MITRE em assistente de regra

Problemas Corrigidos

  • Problemas relacionados à renomeação de regras do sistema quando um nome antigo ou duplicado é mostrado no Rule Explorer
  • Problemas em correções iniciais do QRadar 7.3.1 em que QRadar Use Case Manager 2.1.0 não funcionaram.

Versão 2.1.0

  • Foi incluída uma opção para agrupar propriedades de dados relacionadas na tabela de relatório. Para obter mais informações, consulte Apresentação do relatório de regras.
  • Crie modelos customizados no Rules Explorer através de modelos existentes ou crie novos modelos. Para obter mais informações, consulte Personalizar modelos de conteúdo de relatórios.
  • Foi incluída uma opção "Selecionar todos" no filtro de atributos de regra para facilitar a seleção de todos os grupos na lista.
  • Foi incluído um filtro Notas na página Atributos de regra para procurar regras específicas com notas.
  • O aplicativo agora detecta quando novas versões estão disponíveis para download no IBM Security App Exchange.
  • Foram implementadas as melhorias de usabilidade a seguir relacionadas ao MITRE ATT&CK:
    • Foi incluído um link de ícone exploratório na documentação do MITRE para cada tática e técnica no mapa de utilização de cobertura de técnica.
    • Incluída uma coluna Mapeamento ativado nos filtros e no relatório, o que indica que o mapeamento entre o Cyber Adversary Framework Mapping app e o QRadar está ativado. Os mapeamentos desativados não são incluídos no mapa de utilização de cobertura de técnica.
    • Foram incluídos recursos no assistente de regras para abrir a regra diretamente no Cyber Adversary Framework Mapping app para edição
    • Foi recalibrada a fórmula do mapa de utilização para usar somente regras ativadas para calcular as cores do mapa de utilização.
    • Incluída uma dica de ferramenta na página de filtro MITRE ATT&CK para lembrar os usuários de definir um token de autenticação para o Cyber Adversary Framework Mapping app.
    • Foi incluída uma opção de seleção de coluna para Tática (no nível de regra) e Técnica (no nível de regra) para mostrar apenas valores mapeados diretamente para a regra.
    • Corrigido um problema no QRadar on Cloud para permitir que um usuário administrativo do SaaS acesse todos os recursos relacionados ao MITRE.
  • Corrigido um problema em que a maneira que o QRadar lida com regras incompletas faz com que algumas APIs em algumas versões de produto falhem e isso causa inconsistências de dados no QRadar Use Case Manager.
  • Foi corrigido um problema que fazia com que o filtro de tipo de origem de log não tivesse nenhum valor nos casos nos quais havia mais de 50.000 origens de log.

Versão 2.0.0

  • Incluído um Rule Explorer para filtrar regras por propriedades diferentes, como atributos, testes de regras, táticas e técnicas do MITRE ATT&CK. Use filtros para assegurar que as regras estejam definidas e funcionando como desejado, incluindo a cobertura de origem de log. Determine quais regras você pode precisar editar no QRadar ou investigue mais em IBM QRadar Use Case Manager
  • O Cyber Adversary Framework Mapping appfoi incluído Com o Cyber Adversary Framework Mapping app, é possível mapear suas regras customizadas e blocos de construção para táticas e técnicas MITRE ATT&CK e substituir os mapeamentos de regras padrão do QRadar.
  • Incluída a visualização das táticas MITRE ATT&CK e a capacidade de customizar seus mapeamentos com o Cyber Adversary Framework Mapping app.
  • As melhorias secundárias a seguir foram realizadas na IU:
    • Incluído um ícone de chave inglesa em quaisquer links e botões que levam ao assistente de investigação.
    • Incluídos links para conjuntos de referência para abrir no QRadar.

Versão 1.1.0

  • Faça download automaticamente das regras no IBM QRadar 7.3.2 ou mais recente
  • Incluída a capacidade de editar endereços IP de conjuntos de referência na guia IPs e Portas da página Definições de host. Suportado no IBM QRadar 7.3.1 ou mais recente
  • Incluída a capacidade de editar portas de blocos de construção e regras na guia IPs e portas da página Definições de Host. Suportado no IBM QRadar 7.3.2 ou mais recente

Versão 1.0.1

O limite de upload de arquivo do rules.xml foi aumentado para 50 MB.