Modelos de conteúdo de relatório predefinidos

Os modelos de conteúdo predefinidos definem os filtros e as colunas dos relatórios de regra, incluindo ordem da coluna e opções de classificação.

Dependências de regra

As regras executam testes em eventos, fluxos ou ofensas e se todas as condições de um teste forem atendidas, a regra gerará uma resposta. Os testes em cada regra também podem referenciar outros blocos de construção e regras; esses relacionamentos são chamados de dependências.

Nome Descrição
Modelo padrão - Todas as regras Veja uma visualização padrão de suas regras no QRadar; blocos de construção não estão incluídos nesta exibição.
Conjuntos de referência por regra Para cada regra que usa conjuntos de referência em um teste de regra, mostre os conjuntos de referência.
Conjuntos de referência por regra, incluindo definição de teste Para cada regra que usa conjuntos de referência em um teste de regra, mostre os conjuntos de referência e os testes de regra.
Número de conjuntos de referência por regra Consulte quantos conjuntos de referência são referenciados por cada regra.
Regras por conjunto de referência Para cada conjunto de referência que é usado por uma regra, mostre as regras que o usam e os testes de regra.
Regras por propriedade customizada Para cada propriedade customizada usada por uma regra, mostre as regras que a usam e os testes de regra. Use esse relatório para identificar as propriedades customizadas que têm o mesmo propósito, mas um nome diferente. Ou consulte se sua nova origem de log pode ser expandida pelas regras que usam uma propriedade customizada aplicável à nova origem de log.
Cobertura de origem de log por regras - apenas minhas origens de log Para cada tipo de origem de log, mostre quais regras estão relacionadas a ele. Use esse relatório para ajudar a determinar quais origens de log precisam de mais cobertura.
Cobertura de origem de log por regras Para cada tipo de origem de log, mostre quais regras estão relacionadas a ele.
Cobertura de origem de log por regras, incluindo testes Para cada tipo de origem de log, mostre quais regras estão relacionadas a ele e quais testes vinculam a regra ao tipo de origem de log. Use esse relatório para ajudar a determinar quais dispositivos precisam de mais cobertura. A definição de teste explica por que a regra está relacionada ao tipo de origem de log específico.
Tipos de origem de log por regra Para cada regra, veja para quais tipos de origem de log cada regra funciona. Use esse relatório para ajudar a determinar qual cobertura de log é necessária para uma regra específica ou se as regras estão cobrindo menos do que o desejado. É possível incluir na definição de teste de tipo de origem de log neste relatório para ver como a regra está relacionada a uma origem de log específica.
Tipos de origem de log por propriedade customizada Para cada propriedade customizada referenciada por uma regra, mostre os tipos de origem de log relacionados à regra. Use esse relatório para identificar os tipos de origem do log que precisam de uma propriedade customizada definida.

Cobertura do MITRE ATT&CK

As táticas representam o objetivo de uma técnica ou subtécnica de ATT&CK. Por exemplo, um adversário talvez queira obter acesso de credencial à sua rede. As técnicas representam como um adversário alcança seu objetivo. Por exemplo, um adversário pode fazer dump de credenciais para obter acesso de credencial à sua rede. Use os modelos predefinidos para criar ou modificar os mapeamentos das regras e do bloco de construção.

Nome Descrição
Táticas e técnicas do MITRE ATT&CK mapeadas para regras Mostre todas as táticas e suas técnicas que estão mapeadas para regras.
Regras mapeadas para táticas e técnicas do MITRE ATT&CK Mostre todas as regras que são mapeadas para pelo menos uma tática e visualize suas técnicas.

Extensões de conteúdo instaladas

Veja a lista de todas as extensões de conteúdo que são instaladas por meio do IBM® Security App Exchange e a lista de regras para cada uma delas.

Nome Descrição
Extensões de conteúdo instaladas por meio do IBM Security App Exchange Veja a lista de todas as extensões de conteúdo que são instaladas por meio do IBM Security App Exchange e a lista de regras para cada uma delas.

Extensões de conteúdo recomendadas não instaladas

As extensões de conteúdo atualizam informações de segurança do IBM QRadar ou incluem novo conteúdo, como regras, relatórios, procuras, conjuntos de referência e propriedades customizadas. Use os modelos predefinidos para ver como é possível aumentar a cobertura de regra para origens de log ou táticas e técnicas MITRE em seu ambiente, instalando extensões de conteúdo do IBM Security App Exchange.

Nome Descrição
Conteúdo não instalado recomendado com base nas minhas origens de log Explore como a inclusão de um novo conteúdo não instalado do IBM Security App Exchange pode expandir a cobertura com base no número de regras por tipo de orige de log em cada extensão de conteúdo.
Conteúdo não instalado recomendado com base na cobertura do MITRE Explore como a inclusão de novos conteúdos não instalados do IBM Security App Exchange pode expandir a cobertura para táticas e técnicas MITRE.
Origens de log não usadas recomendadas Explore como a inclusão de novas origens de log pode expandir a cobertura para casos de uso.
Todo o conteúdo não instalado Consulte a lista de todas as extensões de conteúdo não instaladas e suas regras. A lista é exibida em um formato de tabela não agrupado.

User Behavior Analytics

As regras do User Behavior Analytics podem ajudar a identificar as possíveis ameaças dentro de sua rede.

Nome Descrição
Todas as regras do User Behavior Analytics Para todas as regras instaladas e não instaladas do User Behavior Analytics, mostre a pontuação de risco.
Regras instaladas do User Behavior Analytics Para as regras instaladas do User Behavior Analytics, mostre a pontuação de risco.
Regras não instaladas do User Behavior Analytics Para as extensões de conteúdo não instaladas, mostre as regras do User Behavior Analytics que estão disponíveis quando as extensões são instaladas.

Regras inativas

Regras que não são acionadas em um determinado período de tempo podem estar configuradas incorretamente e você pode não estar obtendo o máximo valor de sua implementação do IBM QRadar®. Revise suas regras inativas para obter as possíveis opções de ajuste.

Nome Descrição
Regras não ativas na semana passada Consulte a lista de regras que não designaram um evento a uma ofensa na semana passada.
Regras não ativas desde a instalação Consulte a lista de regras que nunca designaram um evento para uma ofensa desde a data em que eles foram instalados no QRadar