Investigando eventos do QRadar Network Threat Analytics

IBM® QRadar® Network Threat Analytics gera eventos com base em descobertas em seu tráfego de rede. Usando esses eventos, é possível escrever regras e criar pesquisas e relatórios sobre a atividade anômala que é detectada pelo aplicativo.

Use este fluxo de trabalho para aprender como é possível usar o IBM QRadar Analyst Workflow para investigar eventos do QRadar Network Threat Analytics e as ofensas criadas a partir deles.

Este fluxo de trabalho é um exemplo apenas e tem como objetivo destacar informações particulares que você pode encontrar úteis ao longo da investigação. Seu método de investigar eventos e ofensas em sua própria rede pode diferir do que é mostrado aqui. Esse fluxo de trabalho não fornece instruções passo a passo sobre como usar o QRadar Analyst Workflow (Fluxo de trabalho de analista) Para obter mais informações sobre como usar o aplicativo QRadar Analyst Workflow , Consulte QRadar Analyst Workflow no IBM QRadar User Guide

Atenção: as imagens que são mostradas neste workflow foram capturadas com uma versão anterior do QRadar Network Threat Analytics. Embora a interface possa ser diferente, o fluxo de trabalho ainda é válido..

Procedimento

  1. No IBM QRadar Analyst Workflow, comece procurando eventos que foram criados pelo IBM QRadar Network Threat Analytics.

    Usando o QRadar Analyst Workflow para localizar eventos que são criados pelo QRadar Network Threat Analytics

    A lista a seguir descreve as anotações sobre a imagem precedente.

    1. Use uma condição do filtro para localizar eventos nos quais o tipo de origem de log é IBM QRadar Análise de Ameaça de Rede
    2. Configure o cronograma para a pesquisa e clique em Executar pesquisa.
    3. Na coluna Nome do evento , visualize os eventos que foram criados pelo QRadar Network Threat Analytics.
      Os resultados da consulta podem incluir eventos Anomalia De Rede Observada, Anomalia De Rede Detectadaou Anomalia De Rede Atualizada .
  2. Revise as informações na tabela de eventos para decidir quais eventos do QRadar Network Threat Analytics investigar mais.

    Uma tabela no QRadar Analyst Workflow mostra mais informações sobre os eventos do QRadar Network Threat Analytics.

    A lista a seguir descreve as anotações sobre a imagem precedente.

    1. Use as colunas IP de Origem e IP de Destino para identificar quais dispositivos trocaram informações.
    2. O Pontuação Da Ameaça representa o significado da constatação. A pontuação é calculada com base na pontuação outlier de cada registro de fluxo que contribuiu para o evento.
    3. A coluna Contagem De Fluxo NTA mostra o número de fluxos que contribuem para a constatação. Números mais altos podem indicar um nível de ameaça maior.
    4. O Direção De Fluxo NTA mostra a direção da comunicação, em que L indica a rede local e R indica uma rede remota.
    5. A coluna Técnica mostra ATT & CK técnicas que são suspeitas na constatação.
  3. Usando as informações sobre os eventos, é possível escrever regras que criam ofensas quando condições específicas são atendidas.

    Para obter mais informações sobre como gravar regras, consulte Regras customizadas em IBM QRadar no IBM QRadar User Guide.

  4. Também é possível usar QRadar Analyst Workflow para visualizar informações sobre ofensas que foram criadas a partir de eventos do QRadar Network Threat Analytics .

    Usando o QRadar Analyst Workflow para visualizar informações sobre uma ofensa.
    1. Na janela Ofensa , sob Insights, é possível ver qual regra acionada para criar a ofensa.
      Clique no nome da regra para visualizar mais informações sobre os testes de regras e saber por que a ofensa foi criada.

    As informações sobre os testes de regra que acionaram uma ofensa são apresentadas no QRadar Analyst Workflow.

    A lista a seguir descreve as anotações sobre a imagem precedente.

    1. A seção Testes mostra as condições que foram testadas contra o evento.
    2. A seção Ações mostra as ações de regras que foram tomadas quando as condições foram atendidas.
  5. Reveja o restante das informações sobre a ofensa.

    Usando o QRadar Analyst Workflow para visualizar mais informações sobre uma ofensa

    A lista a seguir descreve as anotações sobre a imagem precedente.

    1. Tipo de Crime mostra que a ofensa foi criada com base em uma constatação.
    2. Início mostra o tempo em que a anomalia da rede foi observada pela primeira vez e a descoberta foi criada.
    3. Duração mostra o comprimento do tempo desde que a constatação foi observada pela primeira vez.
    4. O gráfico Eventos recentes mostra os eventos que ocorreram dentro do cronograma. Você pode usar a barra de escovação para dar zoom em horários específicos e picos de eventos.

      Neste exemplo, você pode ver que os eventos foram criados perto da meia-noite de junho de 4-6. Padrões de comportamento ao longo do tempo podem indicar trafego que mantem mais investigação.

    5. Origem da Of mostra o ID Finding.
      O ID de descoberta é o mesmo identificador exclusivo usado no QRadar Network Threat Analytics e no QRadar Analyst Workflow.
  6. No QRadar Network Threat Analytics, use o ID de Descoberta para continuar a investigação.

    A lista a seguir descreve as anotações sobre a imagem precedente.

    1. Na página inicial, configure o prazo para corresponder ao prazo que foi usado para o gráfico Eventos recentes no QRadar Analyst Workflow.
    2. Use o ID de Descoberta para localizar a descoberta que deseja investigar mais.

      Novo em 1.2.0 Para visualizar descobertas que não aparecem mais na tabela Descobertas , clique em Carregar descoberta por ID e digite o ID de Descoberta.