Criando watchlists

É possível incluir um usuário em uma nova lista de observação ou em uma lista de observação existente.

Sobre esta tarefa

É possível incluir um usuário em uma nova lista de observação ou em uma lista de observação existente na página principal UBA Visão geral (Painel), na página Detalhes do usuário ou na página Procurar Resultados. Um único usuário pode ser um membro de várias listas de observação.

Para incluir o usuário em uma lista de observação ou criar uma lista de observação, clique no ícone Lista de observação.

Procedimento

  1. Na página principal UBA Visão geral (Painel) ou na página Detalhes do usuário clique no ícone Lista de observação .
  2. No menu, selecione Criar nova lista de observação. Para incluir um usuário em uma lista de observação existente, clique em Incluir em em sua lista de observação.
  3. Na guia Configurações Gerais , insira um nome da lista de observação
  4. É possível aumentar ou diminuir artificialmente a pontuação de risco do usuário mudando o valor no campo Escala de risco por fator . O fator padrão de '1' deixa a pontuação de risco inalterada.
    Nota: se um usuário estiver em mais de uma lista de observação, o maior fator de escala será aplicado
  5. Na seção Machine Learning , selecione a prioridade para como os usuários são controlados pela analítica Machine Learning .
    • Usuários altos são sempre rastreados até o máximo de usuários por analítica do Machine Learning .
    • Normal - Os usuários são rastreados por risco mais alto após todos os usuários altos serem incluídos.
    • Nunca-Usuários não são controlados por Machine Learning.
  6. Clique em Avançar.
    O exemplo a seguir mostra 4.0.0 com IU de tema claro.
    Tela Configurações Gerais
  7. Na guia Configurações de associação , é possível preencher automaticamente a lista de observação com usuários de um conjunto de referência, uma expressão regular ou ambos.
  8. Opcional: No campo Importar do QRadar® conjunto de referências , procure um conjunto de referências ou clique para selecionar um conjunto de referências na lista para importar todas as entradas do conjunto de referências... Observação: a lista pode conter conjuntos de referência que não têm nomes de usuário. Depois de selecionar um conjunto de referência, clique no link para revisar.
  9. Opcional: no campo Incluir de usuários monitorados com filtro de expressão regular , é possível selecionar uma propriedade do usuário e inserir uma expressão regular Python válida para selecionar usuários que já estão localizados no banco de dados do UBA.
  10. No campo Intervalo de Atualização , insira o número de horas com que frequência você deseja que a lista de usuários seja atualizada.
    Por exemplo, se você inserir 10, a lista de usuários será atualizada a cada 10 horas.
    Se o Intervalo de atualização for configurado para um valor de 0 (zero), será possível atualizar manualmente a lista de observação clicando em Atualizar.
  11. Clique em Salvar
    O exemplo a seguir mostra 4.0.0 com IU de tema claro.
    Tela Configurações de Associação