Criando um modelo customizado

Crie um modelo customizado para medir e faça a linha de base de um recurso numérico para uma pessoa por hora.

Antes de iniciar

Revise os detalhes do modelo a seguir para cada modelo:

Sobre esta tarefa

É possível criar um modelo customizado para que seja possível revisar o comportamento aprendido e os dados reais para os usuários. Se mudanças significativas do comportamento de linha de base forem detectadas, você receberá alertas de que a pontuação de risco do usuário foi aumentada. Exemplos de modelos que podem ser criados incluem: mostrar quantos dados um usuários faz download, quantos aplicativos um usuário executa ou quantos e-mails um usuário envia por hora.

Atenção: Depois de configurar ou modificar suas configurações, é preciso um mínimo de 1 hora para ingerir dados, construir um modelo inicial e ver resultados iniciais para os usuários.

Os usuários ativos são monitorados continuamente. Se um usuário não tiver atividade por 28 dias, o usuário e os dados do usuário serão removidos do modelo. Se o usuário estiver ativo novamente, ele retornará como um novo usuário.

Procedimento

  1. No menu de navegação ( Ícone do menu de navegação ), clique em Administrador.
  2. Clique em Aplicativos > Análise de entidade do usuário > Configurações Machine Learning.
  3. Na página Machine Learning Configurações , clique em Criar Modelo.
  4. Na guia Definição de Modelo , você pode selecionar um modelo para preencher o campo AQL ou pode criar uma consulta AQL personalizada.
  5. Clique em Avançar.
    Tela de configurações do modelo customizado
  6. Na guia Configurações Gerais , digite um nome e uma descrição.
  7. No campo Valor de risco de sentido , digite a quantidade para aumentar a pontuação de risco do usuário quando um evento de sentido é acionado. O valor padrão é 5.
  8. Ative a alternância para escalar o valor de risco. Quando ativado, o valor de risco base é multiplicado por um fator (intervalo de 1 a 10). Esse fator é determinado por quanto o usuário se desvia do comportamento esperado e não somente pelo fato de ter desviado.
  9. No campo Intervalo de Confiança para acionar anomalia , digite o percentual para o quão confiante o algoritmo de aprendizado de máquina deve ser antes de acionar um evento anômalo. O valor padrão é 0,95.
  10. No campo Período de Retenção de Dados , configure o número de dias que você deseja salvar os dados do modelo. O valor padrão é 30.
  11. A comutação Mostrar gráfico em Detalhes do usuário é desativada por padrão. Se você desejar exibir o gráfico do modelo customizado na página Detalhes do usuário, clique no comutador.
  12. Opcional: no campo Filtro de Procura AQL , é possível incluir um filtro AQL para limitar os dados que a analítica consulta no QRadar. Ao filtrar uma consulta AQL, é possível reduzir o número de usuários ou os tipos de dados analisados pela análise. Antes de salvar suas configurações, clique em Validar consulta para ativar uma consulta AQL integral no QRadar para que seja possível revisar a consulta e verificar os resultados.
    Importante: Se você modificar o filtro AQL, o modelo existente é marcado inválido e será então reconstruído. O período de tempo da reconstrução depende da quantidade de dados retornada pelo filtro modificado.
    É possível filtrar origens de log específicas, nomes de rede ou conjuntos de referência que contenham usuários específicos. Consulte os exemplos a seguir:
    • REFERENCESETCONTAINS('Important People', username)
    • LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
    • INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
    Para obter mais informações, consulte Ariel Query Language.
  13. Clique em Salvar.
    Guia Configurações Gerais para criação de um modelo

Eventos de Aplicativo

Procedimento

  • Nome do evento: UBA: anomalia de análise de dados customizada
  • senseValue = 5
  • Configuração necessária: o sistema está monitorando eventos que possuem uma categoria de Aplicativo de alto nível do QRadar.
  • Tipos de origem de log: APC UPS, Apache HTTP Server, Application Security DbProtect, Array Networks SSL VPN Access Gateways, Aruba ClearPass Policy Manager, Aruba Mobility Controller, Avaya VPN Gateway, Barracuda Web Application Firewall, Barracuda Web Filter, Blue Coat Web Security Service, BlueCat Networks Adonis, CRE System, Centrify Infrastructure Services, Check Point, Cilasoft QJRN/400, Cisco Call Manager, Cisco CatOS for Catalyst Switches, Cisco FireSIGHT Management Center, Cisco IOS, Cisco Identity Services Engine, Cisco Intrusion Prevention System (IPS), Cisco IronPort, Cisco Meraki, Cisco Nexus, Cisco PIX Firewall, Cisco Stealthwatch, Cisco Umbrella, Cisco Wireless Services Module (WiSM), Citrix Access Gateway, Citrix NetScaler, Custom Rule Engine, Cyber-Ark Vault, DG Technology MEAS, EMC VMWare, Event CRE Injected, Extreme Matrix K/N/S Series Switch, Extreme Stackable and Standalone Switches, F5 Networks BIG-IP AFM, F5 Networks BIG-IP ASM, F5 Networks BIG-IP LTM, Fidelis XPS, FireEye, Flow Classification Engine, Flow Device Type, Forcepoint Sidewinder, Forcepoint V Series, Fortinet FortiGate Security Gateway, FreeRADIUS, H3C Comware Platform, Huawei S Series Switch, HyTrust CloudControl, IBM AIX Audit, IBM AIX Server, IBM DB2, IBM DataPower, IBM Lotus Domino, IBM Proventia Network Intrusion Prevention System (IPS), IBM Resource Access Control Facility (RACF), IBM Security Directory Server, IBM Tivoli Access Manager for e-business, IBM i, IBM z/OS, ISC BIND, Imperva SecureSphere, Infoblox NIOS, Juniper Junos OS Platform, Juniper MX Series Ethernet Services Router, Juniper Networks AVT, Juniper Networks Firewall and VPN, Juniper Networks Intrusion Detection and Prevention (IDP), Juniper WirelessLAN, Kisco Information Systems SafeNet/i, Linux DHCP Server, McAfee Network Security Platform, McAfee Web Gateway, Metainfo MetaIP, Microsoft DHCP Server, Microsoft DNS Debug, Microsoft Exchange Server, Microsoft IIS, Microsoft Office 365, Microsoft Operations Manager, Microsoft Windows Security Event Log, Motorola SymbolAP, NGINX HTTP Server, Nortel Contivity VPN Switch, Nortel VPN Gateway, OS Services Qidmap, OSSEC, ObserveIT, Okta, Open LDAP Software, OpenBSD OS, Oracle BEA WebLogic, Oracle Database Listener, PostFix MailTransferAgent, ProFTPD Server, Proofpoint Enterprise Protection/Enterprise Privacy, Pulse Secure Pulse Connect Secure, RSA Authentication Manager, Radware DefensePro, SSH CryptoAuditor, Skyhigh Networks Cloud Security Platform, Solaris Operating System Authentication Messages, Solaris Operating System DHCP Logs, SonicWALL SonicOS, Sophos Astaro Security Gateway, Sophos Web Security Appliance, Squid Web Proxy, Starent Networks Home Agent (HA), Stonesoft Management Center, Sun ONE LDAP, Symantec Critical System Protection, Symantec Encryption Management Server, Symantec Endpoint Protection, TippingPoint Intrusion Prevention System (IPS), Top Layer IPS, Trend InterScan VirusWall, Trend Micro Deep Security, Universal DSM, Venustech Venusense Security Platform, Verdasys Digital Guardian, WatchGuard Fireware OS, genua genugate, iT-CUBE agileSI

SourceIP

Procedimento

  • Nome do evento: UBA: anomalia de análise de dados customizada
  • sensevalue: 5
  • Tipos de origem de log: qualquer origem de log que contenha nome do usuário e IP de origem nos eventos.

Porta de destino

Procedimento

  • Nome do evento: UBA: anomalia de análise de dados customizada
  • sensevalue: 5
  • Tipos de origem de log: qualquer origem de log que contenha nome do usuário e porta de destino nos eventos

Acesso ao arquivo do Office

Procedimento

  • Nome do evento: UBA: anomalia de análise de dados customizada
  • sensevalue: 5
  • Configuração necessária: o sistema está monitorando o evento que possui nomes de eventos do QRadar que incluem a palavra "arquivo".
  • Tipo de origem de log: Microsoft Office 365

Acesso à AWS

Procedimento

  • Nome do evento: UBA: anomalia de análise de dados customizada
  • sensevalue: 5
  • Configuração necessária: o sistema está monitorando eventos que contêm nomes de eventos do QRadar que incluem a palavra "depósito".
  • Tipos de origem de log: Amazon AWS Cloudtrail

Processar

Procedimento

  • Nome do evento: UBA: anomalia de análise de dados customizada
  • sensevalue: 5
  • Configuração necessária: a propriedade de evento customizada 'Process' deve existir para o tipo de origem de log desejado.
  • Tipos de origem de log: Microsoft Windows Security Event Log; Linux OS

Web site

Procedimento

  • Nome do evento: UBA: anomalia de análise de dados customizada
  • sensevalue: 5
  • Regras de suporte: 'UBA: procura por website de entretenimento', 'UBA: procura por website de estilo de vida', 'UBA: procura por website de negócios/serviços', 'UBA: procura por website de comunicações'
  • Configuração necessária: a propriedade de evento customizada 'Web Category' deve existir para o tipo de origem de log desejado.
  • Tipos de origem de log: Blue Coat SG Appliance, Cisco IronPort, McAfee Web Gateway, Check Point, Squid Web Proxy, Palo Alto PA Series; Forcepoint V Series, Fortinet FortiGate Security Gateway

IP arriscado

Procedimento

  • Nome do evento: UBA: anomalia de análise de dados customizada
  • sensevalue: 5
  • Configuração necessária: Set "Enable X-Force Threat Intelligence Feed" para Yes em Configurações Admin > Configurações do sistema.
  • Tipos de origem de log: qualquer origem de log com eventos que possuem um nome do usuário.