IBM® QRadar® Network Threat Analytics gera eventos com base em descobertas em seu tráfego de rede. Usando esses eventos, é possível escrever regras e criar pesquisas e relatórios sobre a atividade anômala que é detectada pelo aplicativo.
Use este fluxo de trabalho para aprender como é possível usar o IBM QRadar Analyst Workflow para investigar eventos do QRadar Network Threat Analytics e as ofensas criadas a partir deles.
Este fluxo de trabalho é um exemplo apenas e tem como objetivo destacar informações particulares que você pode encontrar úteis ao longo da investigação. Seu método de investigar eventos e ofensas em sua própria rede pode diferir do que é mostrado aqui. Esse fluxo de trabalho não fornece instruções passo a passo sobre como usar o QRadar Analyst Workflow (Fluxo de trabalho de analista) Para obter mais informações sobre como usar o aplicativo QRadar Analyst Workflow , Consulte QRadar Analyst Workflow no IBM QRadar User Guide
Atenção: as imagens que são mostradas neste workflow foram capturadas com uma versão anterior do QRadar Network Threat Analytics. Embora a interface possa ser diferente, o fluxo de trabalho ainda é válido..
Procedimento
- No IBM QRadar Analyst Workflow, comece procurando eventos que foram criados pelo IBM QRadar Network Threat Analytics.
A lista a seguir descreve as anotações sobre a imagem precedente.
- Use uma condição do filtro para localizar eventos nos quais o tipo de origem de log é IBM QRadar Análise de Ameaça de Rede
- Configure o cronograma para a pesquisa e clique em Executar pesquisa.
- Na coluna Nome do evento , visualize os eventos que foram criados pelo QRadar Network Threat Analytics.
Os resultados da consulta podem incluir eventos Anomalia De Rede Observada, Anomalia De Rede Detectadaou Anomalia De Rede Atualizada .
- Revise as informações na tabela de eventos para decidir quais eventos do QRadar Network Threat Analytics investigar mais.
A lista a seguir descreve as anotações sobre a imagem precedente.
- Use as colunas IP de Origem e IP de Destino para identificar quais dispositivos trocaram informações.
- O Pontuação Da Ameaça representa o significado da constatação. A pontuação é calculada com base na pontuação outlier de cada registro de fluxo que contribuiu para o evento.
- A coluna Contagem De Fluxo NTA mostra o número de fluxos que contribuem para a constatação. Números mais altos podem indicar um nível de ameaça maior.
- O Direção De Fluxo NTA mostra a direção da comunicação, em que L indica a rede local e R indica uma rede remota.
- A coluna Técnica mostra ATT & CK técnicas que são suspeitas na constatação.
- Usando as informações sobre os eventos, é possível escrever regras que criam ofensas quando condições específicas são atendidas.
- Também é possível usar QRadar Analyst Workflow para visualizar informações sobre ofensas que foram criadas a partir de eventos do QRadar Network Threat Analytics .
- Na janela Ofensa , sob Insights, é possível ver qual regra acionada para criar a ofensa.
Clique no nome da regra para visualizar mais informações sobre os testes de regras e saber por que a ofensa foi criada.
A lista a seguir descreve as anotações sobre a imagem precedente.
- A seção Testes mostra as condições que foram testadas contra o evento.
- A seção Ações mostra as ações de regras que foram tomadas quando as condições foram atendidas.
- Reveja o restante das informações sobre a ofensa.
A lista a seguir descreve as anotações sobre a imagem precedente.
- Tipo de Crime mostra que a ofensa foi criada com base em uma constatação.
- Início mostra o tempo em que a anomalia da rede foi observada pela primeira vez e a descoberta foi criada.
- Duração mostra o comprimento do tempo desde que a constatação foi observada pela primeira vez.
- O gráfico Eventos recentes mostra os eventos que ocorreram dentro do cronograma. Você pode usar a barra de escovação para dar zoom em horários específicos e picos de eventos.
Neste exemplo, você pode ver que os eventos foram criados perto da meia-noite de junho de 4-6. Padrões de comportamento ao longo do tempo podem indicar trafego que mantem mais investigação.
- Origem da Of mostra o ID Finding.
O ID de descoberta é o mesmo identificador exclusivo usado no QRadar Network Threat Analytics e no QRadar Analyst Workflow.
- No QRadar Network Threat Analytics, use o ID de Descoberta para continuar a investigação.
A lista a seguir descreve as anotações sobre a imagem precedente.
- Na página inicial, configure o prazo para corresponder ao prazo que foi usado para o gráfico Eventos recentes no QRadar Analyst Workflow.
- Use o ID de Descoberta para localizar a descoberta que deseja investigar mais.
Novo em 1.2.0 Para visualizar descobertas que não aparecem mais na tabela Descobertas , clique em Carregar descoberta por ID e digite o ID de Descoberta.