SS42VS_SHR - Documentation Index
Table of Contents
Bem-vindo
Visão geral do Apps do
Perguntas mais frequentes sobre apps
Resolução de problemas do QRadar apps
Executando a ferramenta recon
IBM QRadar Aplicativo Hub
O que há de novo no aplicativo IBM QRadar Hub
Problemas conhecidos
Configuração do aplicativo IBM QRadar Hub
Gerenciando extensões instaladas
Gerenciando apps de diversos locatários
Configurando o QRadar para criar várias instâncias
Criando uma Instância
Gerenciando instâncias
Fazendo download de aplicativos
Configurando Definições de Atualização Automática
Telefone residencial
Requisitos de URL do firewall
Executando o aplicativo IBM QRadar Hub no modo off-line
Instalando extensões usando um token de serviço autorizado em nível de administrador
QRadar Advisor com aplicativo Watson
O que há de novo no app QRadar Advisor with Watson
Versões anteriores do QRadar Advisor with Watson
Introdução ao app QRadar Advisor with Watson
Vídeos e recursos de suporte
Multitenancy no app QRadar Advisor with Watson
Integrações com o app QRadar Advisor with Watson
Instalando o app QRadar Advisor with Watson
QRadar Advisor with Watson informações de assinatura
Como atribuir capacidades do usuário para o app QRadar Advisor with Watson
Atualizando o app QRadar Advisor with Watson
Configurando o app QRadar Advisor with Watson
Configurando o app QRadar Advisor with Watson com o Assistente de Configuração
Configurando um servidor proxy seguro
Submetendo X-Force Exchange credenciais
Criando tokens de serviços autorizados
Mapeando propriedades customizadas
Configurando configurações opcionais para o app QRadar Advisor with Watson
Investigando ofensas automaticamente
Configurando a identificação de ativo
Mapeamento de prioridades de motivos de fechamento
Exportando conjuntos de referência
Configurando a política de retenção para armazenar resultados da análise
Mapeando inteligência de ameaça
Otimizando seu sistema QRadar
Mostrando hashes de malware e de arquivo executados e bloqueados
Configurando webhooks
Análise de disposição de ofensa
Configurando o encaminhamento de log
Configurando parâmetros de ajuste avançados
Investigando ofensas
Visualizando resultados da investigação
Visualizando o gráfico de relacionamento
Visualizando detalhes para a detecção ou o relacionamento selecionado
Investigando os usuários do aplicativo UBA
Exportando os resultados da análise para STIX
Exportando os resultados da análise para CSV
Pesquisa Watson para tipos de indicadores únicos
Pesquisa Watson para vários tipos de indicadores
Indexando as melhores práticas
Desinstalando seu app
Cyber Adversary Framework Mapping Application
Customizando o Cyber Adversary Framework Mapping Application
Configurando o Cyber Adversary Framework Mapping Application
Watson placa de pontuação
Versão do QRadar
Funcionamento do sistema
Ofensas
Direção do evento
Alimentação de ameaça do X-Force
Proxy
Importância do ativo
Verificação de Fechamento de Delitos
Verificação de instalação do User Behavior Analytics
Modelo de priorização de ofensas do Watson
Práticas recomendadas para ajustar seu sistema QRadar
Resolução de Problemas e Suporte para o app QRadar Advisor with Watson
O proxy falha ao validar
Mensagens de erro e resolução de problemas de credenciais do XFE
Os dados não são enviados para análise
Visualizando Logs para Investigações com Falha
Possíveis configurações de privacidade
QRadar Aplicativo Cloud Visibility
O que há de novo em QRadar Cloud Visibility
Versões anteriores
Ambientes compatíveis com o QRadar Cloud Visibility
Lista de verificação de instalação e configuração para QRadar Cloud Visibility
Instalação de extensões de conteúdo para uso no QRadar Cloud Visibility
Instalação do QRadar Cloud Visibility
Criando um token de serviço autorizado
Atualizando QRadar Visibilidade na nuvem
Configurando manualmente o acesso de conta cruzada da Amazon AWS usando o serviço IAM da AWS
Permissões do Amazon AWS e recursos do QRadar Cloud Visibility
Configurando uma conta confiante do AWS
Configurando uma conta confiável do AWS
Atualização da configuração da conta do Amazon AWS em QRadar Cloud Visibility
Modificando a configuração entre contas do AWS
Integração do AWS Security Hub
Integração do Amazon Detective
Configuração de provedores de serviços de nuvem para se comunicarem com o QRadar Cloud Visibility
Requisitos de URL de firewall para a Amazon AWS
Configuração do serviço Amazon AWS para se comunicar com o QRadar Cloud Visibility
Configuração do serviço Microsoft Azure para se comunicar com o QRadar Cloud Visibility
Configuração do serviço IBM Cloud para se comunicar com o QRadar Cloud Visibility
Configurando o painel Todas as ofensas em nuvem
Atribuição de recursos de usuário para QRadar Cloud Visibility
Configuração avançada da Amazon AWS
Integrando ao AWS Security Hub
Integrando ao Amazon Detective
Incluindo uma propriedade de evento customizado para o GuardDuty FindingID
Melhores práticas do IAM no AWS
Utilitários para configurar os serviços AWS para QRadar Cloud Visibility
Criando e editando origens de log do CloudTrail
Criando e editando origens de log do GuardDuty
Criando e editando origens de log de Fluxo de VPC
Importação de intervalos CIDR para AWS na hierarquia de rede QRadar
Visualização de dados de ofensa em nuvem da Amazon AWS
Enviando ofensas para o AWS Security Hub
Investigando recursos do AWS relacionados à ofensa na Amazon Detective
Atividade de fluxo de VPC no AWS
Filtrando a visualização de logs de fluxo do VPC
Visualização de dados de ofensa em nuvem
Visualização de dados de ofensa em nuvem da Azure
Visualização dos dados de ofensas do site IBM Cloud
QRadar Data Synchronization aplicativo
O que há de novo no aplicativo Data Synchronization
Problemas Conhecidos
Ambientes suportados para QRadar Data Synchronization
Atualizando o app
Instalando o app QRadar Data Synchronization
Criando um token de serviço autorizado
Definindo as configurações do site principal
Definindo as configurações do site de destino
Emparelhando hosts gerenciados
Sincronizando dados do Ariel
Status de sincronização do Ariel
Desinstalando o app
Editando a configuração do site principal e do site de destino
Como alterar a largura de banda para hosts pareados
Ativando o site de destino após uma falha do site principal
Restaurando o site principal
Sincronizando a configuração do site principal ao site de destino
Ressincronizando dados que foram copiados anteriormente no site principal
Implementando uma reconfiguração de fábrica
Desemparelhando hosts
Painel de recuperação de desastres
DR somente no console QRadar
Configuração e emparelhamento QRadar Console-only DR
Restaurar detalhes da configuração do grupo
Ativação do site de destino
Reativar o site principal
QRadar Configuração híbrida
Configuração de emparelhamento
Configurando e emparelhando um híbrido d QRadar (emparelhamento parcial) Configuração
Restaurar detalhes da configuração do grupo
Ativação do site de destino
Reativar o site principal
App QRadar Deployment Intelligence
O que há de novo no QRadar Deployment Intelligence
Casos de uso para o QRadar Deployment Intelligence
Ambientes suportados para o QRadar Deployment Intelligence
Instalando o QRadar Deployment Intelligence
Criando um token de serviço autorizado para o QRadar Deployment Intelligence
Configuração das definições de dados e do Ariel
Customizando seus gráficos e painéis
Customização de gráficos e demonstração de painel
Interação com diagramas e gráficos
Painel de visão geral
Visualização do status de hosts do QRadar
Visualizando o funcionamento de implementação
Ajustando o QRadar Deployment Intelligence para melhorar o desempenho
Gerando um relatório do QRadar Deployment Intelligence
Resolução de problemas do QRadar Deployment Intelligence
Aplicativo Qradar DNS Analyzer
O que há de novo no app QRadar DNS Analyzer
Ambientes suportados para QRadar DNS Analyzer
Visualizando dados de analítica de DNS no painel
Propriedades de evento customizado no app Analyzer DNS QRadar
Avaliação de privacidade para o QRadar DNS Analyzer
Instalando o aplicativo QRadar DNS Analyzer
Desinstalando o app QRadar DNS Analyzer
Atualizando o aplicativo QRadar DNS Analyzer
Criando um token de serviço autorizado
Definindo as configurações do app QRadar DNS Analyzer
Ativando o suporte do QRadar DNS Analyzer para INDEXAÇÃO
Otimizando o processamento de fluxo de QNI
Gerenciando permissões para o app QRadar DNS Analyzer
Gerenciando a Lista de permissões e a Lista de negações do domínio
Aplicativo QRadar Experience Center
O que há de novo no app do Centro de Experiência do App
Instalação do app do Business Experience Center
Ambientes suportados para o app do Centro de Experiência do Google
Instalando o app do Centro de Experiência do
Desinstalando seu app
Simulações de ameaça
Mineração de criptomoedas
GDPR: dados pessoais transferidos para um país terceiro
Ataque de e-mail de phishing
Ameaça de vários hosts
Modificação de conta suspeita
Sysmon: PowerShell
Ataque de nuvem do AWS
Ataque direcionado
Investigando ameaças no QRadar
Analisando seus próprios eventos de log do QRadar
App QRadar Incident Overview
O que há de novo no aplicativo Incident Overview
Investigando ofensas
Criando um token de serviço autorizado
Configurando a pesquisa
Filtros de API de ofensas
Configurando o local de IP do aplicativo Incident Overview do QRadar
QRadar Aplicativo Investigation Assistant
O que há de novo no aplicativo QRadar Investigation Assistant
Instalação do aplicativo Investigation Assistant
Atualização do aplicativo Investigation Assistant
Inscrevendo-se em IBM watsonx
Criando o projeto IBM watsonx
Criando IBM watsonx API Key
Configuração do aplicativo Investigation Assistant
Ocupação variada
Histórico da sessão
Resumo de uma ofensa
Ferramentas do Assistente de Investigação
Geração do AQL e Explicação do AQL
Perguntas frequentes sobre o Investigation Assistant
QRadar Aplicativo de gerenciamento de fontes de registro
O que há de novo no aplicativo QRadar Log Source Management
Navegadores Suportados
Tempo limite do evento do sistema
Instalação do aplicativo QRadar Log Source Management
Atualizando o aplicativo QRadar Log Source Management
Desinstalando seu app
Incluindo uma origem de log para receber eventos
Incluindo uma origem de log rápida
Incluindo várias origens do log ao mesmo tempo
Adição de um grupo de fontes de registro
Filtrando origens de log
Editando uma origem do log
Editando várias origens do log ao mesmo tempo
Testando origens de log
Protocolos disponíveis para teste
Excluindo uma origem de log
Fazendo download das informações de origem de log
Status da fonte de registro
Protocolos não documentados
Coletores de log desconectados
Registrando um Disconnected Log Collector
Importando um Disconnected Log Collector
Aplicativo Validação Prévia do QRadar
O que há de novo no aplicativo Validação Prévia do QRadar
Problemas conhecidos
Ambientes suportados para o app QRadar Pre-Validation
Instalando o aplicativo Validação Prévia do QRadar
Configurando o aplicativo Validação Prévia do QRadar
Validando um pacote de extensão
Lendo um relatório de validação
Desinstalando o aplicativo Validação Prévia do QRadar
Aplicativo QRadar Operations
O que há de novo no aplicativo Operations
Ambientes compatíveis com o QRadar Operations
Instalando o aplicativo Operations
Criação de um token de serviço autorizado para o QRadar Operations
Definições de configuração do aplicativo IBM QRadar Operations
Configurando o intervalo de tempo e os filtros
Investigando a atividade geral do usuário
Exemplo: investigando uma queda na taxa de eventos
Exemplo: investigando um aumento no número de ofensas
Exemplo: investigando o número máximo de ofensas atingido
Rastreando a atividade de um usuário individual
Exemplo: rastreando a atividade de um usuário em um intervalo de tempo específico
Exemplo: rastreando um usuário que fez com que eventos fossem roteados para o armazenamento
Investigando mudanças recentes no sistema
Investigando procuras do usuário
Gerenciando ofensas por usuário
Propriedades de eventos customizados no aplicativo Operations
App QRadar Pulse
O que há de novo no QRadar Pulse
Versões anteriores
Problemas conhecidos
Instalando o aplicativo Pulse do QRadar
Navegadores suportados para o QRadar Pulse
Versões mínimas do produto QRadar para QRadar Pulse
Designando recursos do usuário para o QRadar Pulse
Fazendo upgrade do QRadar Pulse
Instalando extensões de conteúdo para usar no QRadar Pulse
Sincronizando modelos de painel a partir de extensões de conteúdo
Desinstalando o app Threat Globe
Desinstalando o QRadar Pulse
QRadar Componentes e áreas de trabalho do painel Pulse
Criando Painéis
Instalando modelos de painel em sua área de trabalho
Compartilhando links de painéis com outros
Abrindo links de painéis compartilhados
Exportando painéis para enviar aos outros
Importando painéis
Mudando o tema da área de trabalho e a marca
Widgets
Criando widgets por meio de uma origem de dados de ofensa
Criando widgets por meio de uma origem de dados de AQL
Dicas para criar consultas AQL para gráficos de painel
Evento de amostra, origem de log e instruções AQL de uso de armazenamento
Criando widgets por meio de uma origem de dados de consulta dinâmica
Criando widgets por meio de uma origem de dados de API genérica
Dicas para criar consultas de API genéricas para gráficos de painel
Criando parâmetros para seus painéis
Casos de uso para parâmetros em widgets baseados em AQL
Incluindo parâmetros em widgets baseados em AQL
Tipos de gráficos de widget
Criando um gráfico de barras
Criando um gráfico de número grande
Criando um gráfico geográfico
Criando um Gráfico de Setores Circulares
Criando um gráfico de dispersão
Criando um gráfico tabular
Criando um gráfico de série temporal
Gráficos de séries temporais no QRadar Pulse
Rastreando os cinco principais dispositivos mais ativos nos últimos dez minutos
Rastreando tendências de dados de fluxo por mais de 24 horas
Agregando dados para criar um gráfico de séries temporais
Parte 1: criando uma visualização de dados agregados na guia Atividade de log
Parte 2: verificando a visualização global na guia Administrador
Parte 3: criando uma consulta com a Visualização global no Pulse
Exibindo Painéis
Mudando a visualização de dados do widget
Visualizando a magnitude média de um evento em um gráfico geográfico
Resolução de problemas do QRadar Pulse
Como obtenho os arquivos de log para análise?
Não é possível ver os dados nos itens do painel
O painel do DNS Analyzer não aparece no QRadar Pulse
Avaliação de privacidade
Aplicativo do QRadar Network Threat Analytics
O que há de novo
Novas funcionalidades
Problemas conhecidos
Instalações do QRadar Network Threat Analytics
Requisitos mínimos do sistema
Instalando o app
Criando um token de serviço autorizado
Configurar o aplicativo
Desinstalando o app
Busca de ameaças
Monitoramento de tráfego
Linha de base da rede
Atualizando a linha de base de rede manualmente
Pagina inicial
Visualização geográfica
Descobertas
Configurando a Visualização Geográfica
Colaboradores da pontuação de fluxo
Direção do fluxo
Geração de eventos
Fluxos de Trabalho
Furando-se em uma descoberta
Caça às ameaças
Investigando Eventos
Resolução de problemas
A criação de linha de base de rede falha
A página inicial não mostra nenhuma descoberta
O status de criação da linha de base não mostra o percentual concluído
O tráfego é originado de um local desconhecido
Dados de linha de base não são recuperados
Removendo dados do remnant
Configurando permissões para consultas de visualização global
Glossário
QRadar SOAR Aplicativo de plug-in
O que há de novo
Problemas conhecidos
Software
instalações
Requisitos mínimos do sistema
Instalando o app
Atualizando o app
Desinstalando o app
Configuração
Configurando o Acesso aos Destinos de Entrada
Criando um token de serviço autorizado
Configurar o aplicativo
Configurando diversos locatários no aplicativo Plug-in QRadar SOAR
Testando o status da conexão.
Fazendo download de arquivos de log e de configuração.
Escalações de ofensa
Escalações automáticas
Configurando o fluxo de trabalho de escalação
Escalando um caso manualmente
Incluindo artefatos em um caso manualmente
Mapeamento de modelo.
Campos de caso.
Artefatos de caso..
Criando modelos no aplicativo
Criando modelos manualmente
expressões de filtro
Ações customizadas
Procurando o banco de dados Ariel
Incluindo dados em um conjunto de referência
Atualizações automáticas de caso
Sincronizando notas
Fechando ofensas automaticamente
Encerramento automático de casos
Backup e retrocesso do banco de dados
Fazendo backup do banco de dados
Restaurando o Banco de Dados
Resolução de problemas
App QRadar para Encaminhamento de Dados Splunk
O que há de novo no QRadar App for Splunk Data Forwarding
Problemas conhecidos
Ambientes Suportados
Instalando o QRadar App for Splunk Data Forwarding
Criando um token de autenticação
Designando os recursos necessários para seu aplicativo
Configurar o aplicativo
Incluindo instâncias do Splunk no app
Encaminhadores universais e pesados
Encaminhando dados de encaminhamentos universais do Splunk para o QRadar
Encaminhando dados de encaminhadores pesados Splunk para o QRadar
Eventos de auditoria
Desinstalando o app
Aplicativo QRadar Threat Intelligence
O que há de novo no QRadar Threat Intelligence.
Problemas conhecidos
Especificações e linguagens de ameaça suportadas
Lista de verificação de instalação do QRadar Threat Intelligence
Instalando o QRadar Threat Intelligence
Criando um token de serviço autorizado
Incluindo um servidor proxy
Incluindo uma autoridade de certificação raiz privada
Fazendo upgrade do QRadar Threat Intelligence
Desinstalando o QRadar Threat Intelligence
Painel do Threat Intelligence
Configurando o painel do Threat Intelligence
Configurando o token de autorização
Configurando um servidor proxy seguro
Configurando o licenciamento do Advanced Threat Protection Feed
Definindo as configurações de Sou Afetado?
Visualizando destaques da coleção
Visualizando coleções públicas
Visualizando o Advanced Threat Protection Feeds
Feeds de inteligência de ameaça
Configurando o assistente de download de feeds de ameaças
Incluindo feeds de inteligência de ameaças
Editando feeds de inteligência de ameaça configurados
Feeds de inteligência de ameaça
Incluindo feeds de inteligência de ameaças
Editando feeds de inteligência de ameaça
Criando ações de regra
Editando ações de regras configuradas
Pesquisando feeds TAXII
Buscando novamente dados de coletas de dados TAXII
Resolução de problemas do QRadar Threat Intelligence.
O QRadar Threat Intelligence não reconhece o certificado
Como incluir mais logs no aplicativo?
Não é possível se conectar ao servidor de feed TAXII
Erro de licença inválida não autorizada
Como configurar o acesso de URL em firewalls no app
QRadar Análise do comportamento da entidade do usuário
O que há de novo no aplicativo QRadar User Entity Behavior Analytics
Versões anteriores
Problemas conhecidos
Visão Geral do Processo
Visão geral da entidade
Visão geral do UEBA e detalhes do usuário
Gerenciar as exibições do painel do UEBA
Investigando os usuários no QRadar Advisor com o Watson
Pré-requisitos para instalar o aplicativo User Entity Behavior Analytics
Tipos de fontes de registro relevantes para o aplicativo UEBA
Excluindo usuários ou entidades do UEBA
Instalando e Desinstalando
Instalação do aplicativo User Entity Behavior Analytics
Desinstalação do aplicativo UEBA
Atualizando o aplicativo UEBA
Configuração do aplicativo User Entity Behavior Analytics
Configuração das definições do UEBA
Configurando o token de autorização nas configurações do QRadar
Configurando Definições do Pacote de Conteúdo
Definindo configurações do aplicativo
Configurar importação de usuário
Importando Usuários
Importando usuários com LDAP ou Active Directory
Importando usuários de uma tabela de referência
Importando usuários de um arquivo CSV
Ajustando configurações de importação de usuário
Como as importações do usuário no UEBA sincronizam os dados importados com uma tabela de referência
Administrando
Funções Administrativas
Atribuição de recursos de usuário para o aplicativo QRadar User Entity Behavior Analytics
Criando watchlists
Visualizando a lista de usuários confiáveis
Gerenciando ferramentas de monitoramento de rede
Gerenciando programas restritos
Incluindo origens de log no grupo de origens de log confiáveis
Novas contas
Contas inativas
Redefinindo o modelo de aprendizado de máquina
Investigação ativa no aplicativo Análise de Comportamento da Entidade do Usuário
Ajustando
Ativando índices para melhorar o desempenho
Integração de conteúdo novo ou existente do site QRadar com o aplicativo UEBA
Ajustando os ativos da entidade
Desafios comuns da UEBA
Conjuntos de referência
Multitenancy na UEBA
QRadar configurações para configurar a multilocação no UEBA
Instalação e configuração de instâncias do UEBA para oferecer suporte a multilocação
Instalando e configurando o Machine Learning em ocupação variada
Funções de usuário UEBA para multitenancy
Regras e ajustes para multitenancy no UEBA
Regras e ajustes para o aplicativo UEBA
Resumo do pacote de conteúdo do UEBA
UEBA 5.x regras
Acesso e autenticação
UEBA: tentativas de autenticação por força bruta
UEBA: Atividade detectada de uma máquina bloqueada
UEBA: ativo somente para executivos acessado por usuário não executivo a partir de uma rede externa
UEBA: ativo somente para executivos acessado por usuário não executivo a partir da rede interna
UEBA: acesso de usuários de alto risco a ativos críticos
UEBA: grande número de eventos de acesso negado para o domínio externo
UEBA: Falha no login de várias contas VPN a partir de um único IP
UEBA: várias contas VPN conectadas a partir de um único IP
UEBA: brecha de acesso remoto no firewall corporativo
UEBA: Repetição de acesso não autorizado
UBA: atividade do usuário finalizada
UBA: acesso não autorizado
UEBA: Sistema Unix/ Linux e acessado com conta de serviço ou máquina
UEBA: Acesso do usuário - Falha no acesso a ativos críticos
UEBA: Primeiro acesso a ativos críticos
UBA: acesso do usuário a partir de múltiplos hosts
UEBA: Acesso do usuário ao servidor interno a partir do servidor Jump
UBA: anomalia no login
UEBA: Acesso à conta por usuário de fonte anônima
UEBA: Acesso do usuário em horários incomuns
UBA: acesso à VPN por conta de máquina ou de serviço
UBA: compartilhamento de certificado do VPN
UBA: acesso ao Windows com a conta de máquina ou serviço
Contas e Privilégios
UBA: conta ou grupo ou privilégios incluídos
UEBA: Conta, grupo ou privilégios modificados
UBA: ataque DoS por exclusão de conta
UEBA: conta de usuário criada e excluída em um curto período de tempo
UEBA: Conta inativa utilizada
UEBA: Tentativa de uso de conta inativa
UEBA: Conta expirada usada
UEBA: Primeira escalada de privilégios
UBA: uso de nova conta detectado
UEBA: atividade privilegiada suspeita (primeiro uso de privilégio observado)
UEBA: atividade privilegiada suspeita (privilégio raramente usado)
UEBA: Tentativa de usuário de usar conta desativada
UEBA: Tentativa do usuário de usar uma conta suspensa
Comportamento de navegação
UBA: procurado para o website de negócios/serviço
UBA: Procura para o Website de Comunicações
UBA: procura por website educacional
UBA : Procura para Website de Entretenimento
UEBA: Navegou em site de apostas
UBA: procura por website governamental
UBA : Procura para Website de Tecnologia da Informação
UBA : Procura para Website de Procura por Emprego
UEBA: Acessou o site LifeStyle
UBA : Procura para Website Malicioso
UBA : Procura para Website de Conteúdo Misto/Potencialmente Adulto
UBA : Procura para Website de Phishing
UEBA: Navegou em site pornográfico
UBA: procura por website religioso
UBA : Procura para Website de Fraude/Questionável/Ilegal
UBA: procura por website de rede social
UEBA: Navegou para o site sem categoria
UBA: usuário acessando URL arriscada
Controlador de
UEBA: Usuário anônimo acessou um recurso
UBA: console do AWS acessado por usuário não autorizado
UBA: usuário externo com falha de login da caixa de e-mail
UBA: falha ao configurar o bypass de criação de log de auditoria de caixa de e-mail
UEBA: Caixa de entrada configurada para encaminhar para caixa de entrada externa
UBA: falha de login da caixa de e-mail do usuário interno seguida por sucesso
UBA: permissão da caixa de e-mail incluída e excluída em um curto período de tempo
UBA: usuário não padrão acessando recursos do AWS
UBA: link de compartilhamento enviado para Guest
UBA: política de compartilhamento mudada ou compartilhado externamente (SharePoint/OneDrive)
UBA: usuário incluído em um grupo no SharePoint ou OneDrive pelo administrador do site
UBA: falha na inclusão do usuário na função
Controlador do domínio
UBA: tentativa de recuperação de chave mestra de backup DPAPI
UEBA: Detectada enumeração de contas no Kerberos
UBA: diversas falhas de autenticação Kerberos do mesmo usuário
UBA: acesso que não é de administrador ao controlador de domínio
UBA: passar o hash
UBA: possível enumeração de serviços de diretório
UBA: possível enumeração de sessão SMB em um controlador de domínio
UBA: possível falsificação de TGT
UBA: possível falsificação de TGT PAC
UBA: solicitação de replicação de um controlador não de domínio
UEBA: Bilhete TGT utilizado por vários hosts
Terminal
UEBA: Detectar protocolos inseguros ou não padronizados
UEBA: Detectar sessão SSH persistente
UBA: configurações da Internet modificadas
UBA: atividade de malware - registro modificado em massa
UBA: detecção de processo Netcat (Linux)
UBA: detecção de processo Netcat (Windows)
UBA: Processo Executado Fora Do Gold Disk Allowlist (Linux)
UBA: Processo Executado Fora Do Gold Disk Allowlist (Windows)
UEBA: Comportamento de ransomware detectado
UEBA: Uso restrito do programa
UBA: usuário instalando aplicativo suspeito
UBA: cópia de sombra de volume criada
Exfiltração
UEBA: Exfiltração de dados por serviços em nuvem
UEBA: Exfiltração de dados por impressão
UEBA: Exfiltração de dados por mídia removível
UEBA: Possibilidade de perda de dados
UEBA: acesso inicial seguido de atividade suspeita
UEBA: Grande transferência de saída por usuário de alto risco
UEBA: várias transferências de arquivos bloqueadas seguidas de uma transferência de arquivos
UEBA: Vários uploads de arquivos bloqueados seguidos de um upload bem-sucedido
UEBA: conta potencialmente comprometida
UEBA: acesso suspeito seguido de vazamento de dados
UEBA: atividade suspeita seguida de exfiltração
UEBA: usuário potencialmente vítima de phishing
Geografia
UBA : Conta defeituosa criada a partir de um novo local
UBA : Conta em nuvem defeituosa criada a partir de um novo local
UBA: acesso de usuário de diversos locais
UEBA: Acesso do usuário a partir de local proibido
UEBA: Acesso do usuário a partir de local restrito
UEBA: Alteração da localização geográfica do usuário
UBA: acesso de usuário de locais incomuns
MaaS360 Security
UBA: dispositivo do MaaS360 detectado com baixo nível de criptografia
UBA: dispositivo do MaaS360 fora de conformidade devido ao uso de dados que não são de roaming
UBA: dispositivo do MaaS360 fora de conformidade porque o dispositivo está enraizado
UBA: dispositivo do MaaS360 fora de conformidade devido ao nível de criptografia
UBA: dispositivo do MaaS360 fora de conformidade devido à versão do S.O.
UBA: SMS malicioso do MaaS360 recebido
UBA: e-mail malicioso do MaaS360 recebido
UBA: acesso à URL do MaaS360 bloqueado
UBA: aplicativo de malware do MaaS360 instalado
UBA: URL maliciosa do MaaS360 acessada
Tráfego e ataques de rede
UEBA: Detectado ataque de autenticação de usuário não autorizado ( D/DoS )
UEBA: Atividade do Honeytoken
UBA: tráfego de rede: capturar monitoramento e análise de uso do programa
UBA: movimento lateral potencial
QRadar DNS Analyzer
UBA: acesso potencial a domínio de lista de bloqueios
UBA : Acesso Potencial para Domínio DGA
UBA : Acesso Potencial para Domínio Squatting
UBA : Possível acesso ao domínio de tunelamento
Inteligência de ameaça
UBA : Detectar IOCs para Locky
UEBA: Detectar IOCs para WannaCry
UBA: múltiplas sessões para origens de log monitoradas (diretiva NIS)
UBA : ShellBags Modificados por Ransomware
UEBA: Anonimização de IPs de risco acessados por usuários
UBA: usuário acessando botnet de IP arriscado
UEBA: Acesso do usuário a IPs dinâmicos de risco
UEBA: Usuário acessando malware IP perigoso
UEBA: Acesso do usuário a IPs de risco Spam
Conteúdo suportado do QRadar
Mudança na implementação para regras
App Machine Learning Analytics
Problemas conhecidos para o Machine Learning Analytics
Pré-requisitos para instalar o aplicativo Machine Learning Analytics
Instalando o aplicativo Machine Learning Analytics
Painel de controle da UEBA com Machine Learning
Desinstalando o aplicativo Machine Learning Analytics
Modelos de usuário de aprendizado de máquina
Modelos de usuários individuais (numéricos)
Atividade de acesso
Atividade agregada
Atividade de autenticação
Dados transferidos por download
Dados transferidos por upload para redes remotas
Eventos de DDL
eventos DML
Atividade de transferência de dados de HTTP
Tentativas de transferência de saída
Variação de risco
Atividade bem-sucedida de acesso e de autenticação
Atividade Suspeita
Modelos de usuários individuais (observáveis)
Movimento lateral: uso de ativo interno
Movimento lateral: atividade de porta de destino interna
Movimento lateral: atividade de zona de rede
Uso do Processo
Modelos de grupo de peers
Distribuição de atividade
Grupo de peers definido
Acesso de ativo interno por grupo peers
Portas de destino internas por Grupo de peers
Grupo de peers aprendido
Zonas de rede por grupo de peers
Execução do processo por grupo de peers
Criando um modelo personalizado
Requisitos de agrupamento do modelo de grupo de peers
Requisitos analíticos de aprendizagem de máquina
Resolução de problemas e suporte
Página de ajuda e suporte do UEBA
Solicitações de Serviço
Machine Learning status supervisionorctl mostra EXITED
O status do app Machine Learning mostra um aviso no painel
O status do aprendizado de máquina não mostra progresso para a ingestão de dados
O status do aplicativo ML está em um estado de erro
Download dos registros UEBA e Machine Learning
APIs para UEBA
Documentação da API pública para UEBA
Usuário acima do limite
Informações sobre usuários
Usuários investigados
Os 10 principais usuários de risco
Os 10 principais usuários anômalos
Informações sobre o usuário único
Informações de pontuação de risco de usuário
Ofensas geradas pela UEBA
Importação de usuário
Aplicativo QRadar Use Case Manager
O que há de novo e o que mudou no QRadar Use Case Manager
Versões anteriores
Problemas conhecidos
Demonstrações de vídeo
Ambientes compatíveis com o QRadar Use Case Manager
Lista de verificação de instalação e configuração do QRadar Use Case Manager
Instalação do QRadar Use Case Manager
Criando um token de serviço autorizado
Configuração do QRadar Use Case Manager
Atribuição de permissões de usuário para o QRadar Use Case Manager
Customizando as preferências do usuário
Modelos de conteúdo de relatório predefinidos
Customizando modelos de conteúdo de relatório
Atributos de regras customizadas
Criando atributos de regras customizadas
Exportando e importando atributos de regra customizada
Atualizando o QRadar Use Case Manager
Desinstalação do QRadar Use Case Manager
Mapeamento e visualização do MITRE ATT&CK
Editando mapeamentos do MITRE em uma regra ou um bloco de construção
Editando mapeamentos do MITRE em diversas regras ou blocos de construção
Compartilhando arquivos de mapeamento do MITRE
Visualizando a cobertura de táticas e técnicas do MITRE em seu ambiente
Visualizando o resumo e tendências de cobertura do MITRE
Visualizando táticas e técnicas do MITRE que são detectadas em um intervalo de tempo específico
Cálculos de mapa de utilização MITRE
Investigando regras e blocos de construção do QRadar
Filtrando regras e blocos de construção por suas propriedades
Identificação de lacunas na cobertura de regras QRadar a partir de extensões de conteúdo
Investigando regras de análise de comportamento do usuário
Duplicando regras para customização adicional
Exportando regras
Excluindo regras
Apresentação de relatório de regra
Visualizando regras e blocos de construção
Visualizando a cobertura de tipo de origem de log por regra
Tabela de resumo de cobertura de tipo de origem de log de exemplo
Investigando apurações de ajustes
Ajuste QRadar
Ajustando as regras ativas que geram ofensas
Ajustando as regras ativas que geram eventos do CRE
Revisando a Hierarquia de Rede
Revisando os blocos de construção
Acessando dados do relatório usando APIs
Terminais de API públicos
Fluxos de trabalho públicos da API do Use Case Manager
Download de dados do relatório
Script de fluxo de trabalho da API de exemplo
Filtros do Explorador de caso de uso
Códigos de coluna do relatório para APIs de relatório
Aplicativo QRadar Vulnerability Insights
Instalando o aplicativo QRadar Vulnerability Insights
Criando um token de serviço autorizado
Criando procuras salvas
Configurando o aplicativo QRadar Vulnerability Insights
Lendo dados de vulnerabilidade no painel do QRadar Vulnerability Insights
Aplicativo QRadar YARA Rule Manager
O que há de novo no aplicativo IBM Security QRadar Manager for YARA e SIGMA Rules?
Lista de verificação de instalação
Instalando o aplicativo Manager for YARA and Sigma Rules
Criando um token de serviço autorizado
Designando recursos do usuário para o Manager for YARA and Sigma Rules
Desinstalando seu app
Criando regras
Importando regras do GitHub
Detectando ameaças com o YARA Rule Manager
QRadar App Framework
Versão do app do QRadar versão 1
Versão do app do QRadar versão 2
Editor do App do Visual
extensões de conteúdo do QRadar
Instalando as extensões utilizando o Extensions Management
Akamai Kona
Amazon AWS
Apache
Funções de codec da AQL (linguagem de consulta Ariel)
Azure
Bad Rabbit (descontinuado)
Baseline Maintenance
Bit9 Security Platform
Blue Coat
Boxplot
Carbon Black Protection
Carbon Black Response
Ponto de verificação
Cisco AMP
Cisco Firepower
Cisco Firepower Syslog
Cisco Ironport
Cisco ISE
Conformidade
Container
Crowdstrike
Cryptomining
Dicionário de propriedades customizadas
Exfiltração de Dados
Terminal
Configurar terminais do Linux
Configurar terminais do Windows
F5 Networks Big IP
Federal Information Security Modernization Act (FISMA)
FireEye MPS
Forcepoint
Fortinet FortiAnalyzer
General Data Protection Regulamento (PIBR) de conformidade
IA generativa
Gramm-Leach-Bliley Act (GLBA)
Plataforma de nuvem Google
Guia de Boa prática 13 (GPG13)
Health Insurance Portability and Accountability Act (HIPAA)
Casos de uso de nuvem híbrida
IBM Cloud
IBM Db2
IBM Guardium
IBM Security Access Manager for Enterprise Single Sign-On
IBM Security Access Manager For Mobile
IBM Security QRadar AQL Plugin
Instalando o IBM Security QRadar AQL Plugin na instância do Grafana
Configurando uma origem de dados QRadar em Grafana
Importando painéis de amostra
Incluindo um painel
Grafana macros
Configurando uma variável do painel
Construtor de Consultas do Painel
Resolução de problemas do IBM Security QRadar AQL Plugin ..
IBM Security QRadar AQL Plugin Perguntas Frenquentes
IBM Security Privileged Identity Manager
IBM Security Privileged Session Recorder
IBM z/OS
Intrusões
ISO 27001
Kubernetes
Juniper Junos OS
Lastline Enterprise
Linux
Consultas
McAfee ePolicy Orchestrator (EPO)
McAfee Web Gateway
Microsoft 365 Defender
Microsoft Exchange
Microsoft IAS
Microsoft IIS
Microsoft ISA
Microsoft Office 365
Microsoft Sharepoint
Microsoft Windows
Microsoft Windows (alemão)
Microsoft Windows (italiano)
NIST (National Institute of Standards and Technology)
Anomalia de rede
North American Electric Reliability Corp (NERC)
NGINX
NotPetya (descontinuado)
ObserveIT
osquery
Palo Alto PA Series
Payment Card Industry
Phishing and Email
Postfix
Proofpoint
QRadar Network Insights Extensão de Conteúdo
Extensão de conteúdo QRadar Network Visibility
O que há de novo no QRadar Network Visibility
Casos de uso e personas de usuário
Instalando a extensão de conteúdo do QRadar Network Visibility
Configuração do QRadar
Configurando parâmetros para seus painéis do QRadar Network Visibility
Customização do painel do QRadar Network Visibility
Widgets
Dicas e truques para otimizar seus painéis
Painéis do QRadar Network Visibility
Painel de visão geral
Painel de Detalhes do aplicativo/protocolo
Painel de Detalhes do IP
Randori
Ransomware (descontinuado)
ReaQta
Reconhecimento
Resource Access Control Facility (RACF)
RFISI
Detecção de SAP Enterprise Threat
Lei Sarbanes-Oxley (SOX)
Acesso seguro à Juniper Networks
Security Analytics Self Monitoring
Snort
Squid
STEALTHbits
Symantec Endpoint Protection
Symantec PPD
SysFlow
Sysmon
Configurando um Sysmon
Monitoramento de ameaça
Ativando o X-Force Threat Intelligence no QRadar
Turla
VMware
WannaCry (descontinuado)
Zscaler
zSecure Alert for RACF
Corner Development: Tech Blog Spot
Dicas e truques para personalizar os modelos de e-mail
Dispositivo Parou de Enviar Eventos
Removendo dados do banco de dados Ariel
Um guia prático para limitar a largura de banda no seu
Coletor de logs desconectado
O que há de novo no Coletor de Log Desconectado
Visão geral do Coletor de logs desconectado
Cenários de negócios para uso do Coletor de Log Desconectado
Requisitos do sistema para Coletor de Log Desconectado
Instalação de Coletor de Log Desconectado
Instalando Java no RHEL ouCentOSLinux
Instalando ou atualizando o Disconnected Log Collector no RHEL ouCentOSLinux
Instalando Java em Ubuntu Linux
Instalando ou atualizando o Disconnected Log Collector emUbuntuLinux
Abertura de portas necessárias no firewall Linux
Mudando a porta de destino do servidor QRadar
Comunicação entre o Coletor de Log Desconectado do QRadar
Configurando a comunicação TLS sobre TCP com o QRadar
Como configurar a autenticação baseada em certificado no Coletor de Log Desconectado
Configurando a autenticação baseada em certificado no QRadar
Configurando a comunicação TLS sobre TCP com o QRadar
Configurando a comunicação de proxy TLS com QRadar
Configurando a comunicação UDP com o QRadar
Incluir Coletor de Log Desconectado como uma origem de log no QRadar
Incluindo a origem de log do Coletor de log desconectado no QRadar ..
Registrando o Coletor de logs desconectado com o QRadar usando o aplicativo QRadar Log Source Management
Configurando uma fonte de log para coleta por um Coletor de Log Desconectado
Como transferir a configuração de origem do log quando você não estiver conectado à internet
Como transferir a configuração de origem do log quando você está conectado à internet
Adicionando fontes de log para Coletor de Log Desconectado
Eventos Encaminhados
Instalando um certificado para um protocolo de origem de log
Configurando a taxa máxima de EPS
Mudando as configurações de memória excedente e uso de disco
Enviando métricas de funcionamento do Coletor de logs desconectado para o QRadar
Atualizando permissões do conjunto de cifras para o Coletor de logs desconectado
Disaster Recovery e Coletor de Log Desconectado
Migrando dados do Coletor de logs desconectado para o site QRadar de destino
Fazendo backup e restaurando o Coletor de logs desconectado usando scripts
O que há de novo
Releases anteriores
O que há de novo na 7.4.3
O que há de novo no 7.4.2
O que há de novo no 7.4.1
O que há de novo na 7.4.0
O que há de novo em 7.3.2
O que há de novo no 7.3.1
Administração
QRadar Network Packet Capture contas do usuário e configuração de autenticação
Criando um novo usuário local
Mudando senhas como um administrador
Mudando senhas como um usuário não administrador
Reconfigurando a senha do administrador usando a linha de comandos
Configurando o Active Directory ou um servidor LDAP para autenticação do usuário
Ativando o login remoto usando SSH
Verificação de consistência de dados durante a inicialização
Configurando data e hora
Configurando um nome de local e contato
Iniciando ou parando a captura de pacotes
Definindo a configuração de syslog remoto
Visualizando logs do sistema
Configuração de instalação SNMP
Configuração X509
Configurando o SmartNIC
Configurando pré-filtros
Configurando a retransmissão local
Limpando estatísticas ou procuras
Reiniciando o dispositivo e realizando um reset de fábrica
Monitoramento
Procuras e consultas
Procuras enfileiradas
Procuras ativas
Histórico de procura
Excluir Procura
Linguagem de Consulta do QRadar Network Packet Capture (NTQL)
Dispositivos agrupados
Acesso a grupos
Criação e modificação de grupos
Configurando um grupo do QRadar Network Packet Capture
Dispositivos empilhados
Benefícios do empilhamento de dispositivos
Considerações sobre Desempenho
Criando uma pilha
Configurando uma pilha
Incluindo um dispositivo em uma pilha ativa
Removendo um dispositivo de uma pilha
Mantendo nós de pilha existentes
Resolução de problemas
Verifique se o dispositivo QRadar Network Packet Capture está funcionando
Resolução de problemas com LEDs externos
O que há de novo
Releases anteriores
Visão geral da instalação
Instalações do QRadar Network Packet Capture em dispositivos IBM
Hardware do QRadar Network Packet Capture
Fazendo upgrade do QRadar Network Packet Capture
Instalando o QRadar Network Packet Capture no hardware IBM
Configurando o dispositivo
Configurando versões mais antigas do QRadar Network Packet Capture
Mudando a senha raiz
Atualizando o contrato de uso sob licença
Dispositivos direct-attached storage
Incluindo armazenamento em seu dispositivo IBM QRadar Network Packet Capture
Verifique a instalação do QRadar Network Packet Capture
Verificando a porta de captura
Verificando a sincronização de tempo
Verificar usando os LEDs externos
Visão geral dos Adaptadores
Tipos de adaptadores
Recursos do adaptador
Perguntas mais frequentes sobre adaptador
Instalando adaptadores
Desinstalando um adaptador
Métodos para incluir dispositivos de rede
Resolução de problemas de descoberta e backup de dispositivo
Adaptadores suportados
Brocade vRouter
Dispositivos SecurePlatform do Ponto de Verificação
Adaptador do Check Point Security Management Server
Adaptador do Check Point Security Management Server OPSEC
Adaptador do Check Point Security Management Server HTTPS
Criar um perfil de permissão customizado do Check Point
Criar um perfil de permissão customizado do Check Point para um servidor multidomínios
Cisco CatOS
Cisco IOS
Cisco Nexus
Methods for adding VDCs for Cisco Nexus devices
Como adicionar VDCs como subdispositivos do seu dispositivo Cisco Nexus
Incluindo VDCs como dispositivos individuais
Cisco NGIPS
dispositivos de segurança Cisco
F5 BIG-IP
Fortinet FortiOS
Adaptador SNMP genérico
ProVision HP Networking
Juniper Networks JUNOS
Juniper Networks NSM
Juniper Networks ScreenOS
Palo Alto
Sidewinder
Sourcefire 3D Sensor
Adaptador IPS TippingPoint
WinCollect visão geral
O que há de novo no WinCollect .
Protocolo MSEVEN6
WinCollect planejamento de implementação
Caso de USO: Grande coleta de Pontos de venda (POS) a varejo
Caso de USO: Implementação de terminal grande
Pré-requisitos de Instalação para o WinCollect
Comunicação entre agentes do WinCollect e QRadar
Como ativar o gerenciamento de log remoto no Windows
Requisitos de hardware e software para o host WinCollect
Pré-requisitos para fazer upgrade de agentes WinCollect em uma implementação gerenciada
Instalações do WinCollect
Instalações WinCollect gerenciadas
Instalando e fazendo upgrade do aplicativo WinCollect em dispositivos QRadar
Criando um token de autenticação para agentes WinCollect
Incluindo diversos destinos em agentes WinCollect
Migrando agentes do WinCollect após um upgrade de hardware do QRadar
Migrando do Adaptive Log Exporter para o WinCollect
Instalações WinCollect Independentes
Visão geral do Console de Configuração do WinCollect
Instalando o console de configuração
Instalando, fazendo upgrade e desinstalando silenciosamente o software WinCollect
Configurando um parâmetro XPath durante a instalação automatizada
Instalando o agente WinCollect em um host Windows
Instalando um agente WinCollect a partir do prompt de comandos
Desinstalando um agente WinCollect do prompt de comandos
Desinstalando um agente WinCollect a partir do Painel de Controle
Configurando agentes WinCollect após a instalação
Configurando agentes gerenciados do WinCollect
Incluindo manualmente um agente WinCollect
Excluindo um agente WinCollect
Destinos do WinCollect
Incluindo um destino
Incluindo um destino secundário
Excluindo um destino do WinCollect ..
Planejando o encaminhamento de eventos e armazenamento de eventos
Incluindo entradas customizadas nas mensagens de status WinCollect
Identificador de eventos encaminhados
Configurando agentes WinCollect independentes com o Console de Configuração
Criando uma credencial WinCollect
Incluindo um destino no Console de Configuração do WinCollect
Configurando um destino com TLS no WinCollect Configuration Console
Incluindo um dispositivo no Console de Configuração do WinCollect
Enviando eventos criptografados para o QRadar
Aumentando o tamanho da carga útil do UDP
Incluir milissegundos no registro de data e hora do Log de Eventos
Coletando logs do Windows local
Coletando logs do Windows remoto
Mudando a configuração com modelos em uma implementação independente
Caso de uso 1: mudar intervalo de pulsação
Caso de uso 2: modificar a configuração de armazenamento de dados do evento
Caso de uso 3: enviar TCP em vez de UDP
Caso de uso 4: incluir filtragem de NSA em uma origem de log existente
As políticas restritas para controladores de domínio
Mudando a configuração do WinCollect a partir do prompt de comandos
Instalações locais, sem pesquisa remota
Configurando o acesso ao registro para a pesquisa remota
Inscrições de eventos do Windows para agentes WinCollect
Configurando inscrições de eventos da Microsoft
Fontes de log para agentes WinCollect
Logs de eventos do Windows
Log de eventos do Windows de filtragem
Parâmetros de origem de log do Windows
Aplicativos e Serviços de logs
Criando uma visualização customizada
Exemplos de consulta de XPath
Origem de log do Microsoft DHCP
Origem de log do Microsoft Exchange Server
Configuração de depuração de DNS
Habilitando a depuração de DNS no Windows Server
Coletando logs analíticos de DNS usando o XPath
Arquivo de origem de log Forwarder
Microsoft IAS origem de log
WinCollect Opções de configuração de origem de log Microsoft IIS
Microsoft ISA de origem de log
Opções de configuração de origem de log do Juniper Steel-Belted Radius
Microsoft SQL da origem de log
NetApp Data ONTAP fonte de log
Configurando uma origem de log TLS
Criando um destino de origem de log TLS para agentes gerenciados
Incluindo uma origem de log em um agente WinCollect
Origens de log em massa para a coleção de eventos remota
Incluindo origens de log em massa para a coleção remota
Resolução de problemas de implementação do WinCollect
Problemas comuns
Substituir o certificado padrão no QRadar gera erros de PEM inválidos
O Subsistema de Estatísticas
O ID de evento 1003 divide a mensagem no QRadar
WinCollect arquivos não são restaurados durante uma restauração de configuração.
Windows 10 (1803) não pode ler o arquivo Bookmark de Segurança
Resolvendo o erro de origem de log após a atualização do WinCollect
Arquivo de log WinCollect
Logs de depuração do InfoX
WinCollect não suportado pelo aplicativo Sincronização de Dados
WinCollect 10 visão geral
O que há de novo em WinCollect 10
Comparação de desempenho entre as versões WinCollect
Instalando WinCollect 10
Requisitos de hardware e software para o host WinCollect 10
WinCollect Contas virtuais
Fazendo o upgrade de um agente WinCollect 7 para WinCollect 10
Atualização com o assistente de atualização WinCollect 10
Executando o Upgrade Silencioso
Atualização de WinCollect 10 agentes
Instalando o WinCollect 10 usando a instalação GUI Quick
Instalando o WinCollect 10 usando a linha de comando
Instalando o WinCollect 10 usando o instalador Avançado
WinCollect 10 Instalação de linha de comandos exemplos avançados
Exemplos de script de instalação para WinCollect 10
Desinstalando o WinCollect 10
Desinstalação do WinCollect 10 usando o prompt de comando
Desinstalando o WinCollect 10 usando o Painel de Controle
Desinstalando WinCollect 10 usando o menu Iniciar
WinCollect 10 console independente
Abrindo o console independente WinCollect 10 bits
Editando uma fonte
Incluindo um destino
WinCollect 10 configuração independente
Opções de configuração
Ativando mensagens de estatísticas
Credenciais
Incluindo uma Conta do Usuário
Configurando uma fonte local
Configurando uma fonte remota
Destinos
Incluindo um destino
Excluindo um destino
Testando um destino
Incluindo um destino secundário
Enviar eventos para vários destinos
Configurar um destino TLS
Método 1: Usando as lojas de certificados do Windows
Método 2: Especificando um caminho para o seu arquivo .PEM
Método 3: Copiando o conteúdo do seu arquivo .PEM
Configurando um destino mTLS
Configurando uma origem de log TLS
Configurações do agente
Coleta de arquivos de suporte
Configurando logs
IU Avançada
Status de serviço
Visualizador de Logs
Origens Principais
Aplicando mudanças pendentes
Crie uma fonte no Assistente de Fonte
Criando uma fonte local
Criando uma fonte remota
Scripts de configuração
Configurando o WinCollect 10 para coletar eventos de segurança da Microsoft
Casos de uso do script de atualização de configuração do agente
Incluir filtragem NSA em origens de eventos locais existentes do Windows
Adicionar Sysmon às suas fontes de eventos existentes do Windows
Mudando o intervalo de pulsação
Modificando a configuração de armazenamento de dados do evento
Envio de dados do Syslog para QRadar por TCP
Mude o número da porta do console
Configurando uma fonte remota com um script de atualização
Incluir o script de atualização de consulta do Active Directory
Atualizar script para incluir um destino secundário
Atualizar mensagens de aviso e de erro de arquivo de script
WinCollect Fontes
Fonte de eventos do Microsoft Windows
Filtragem de Eventos
Eventos Encaminhados
XPath
Criando uma visualização customizada
Exemplos do XPath
Microsoft IIS Source
Fonte do Microsoft Exchange Server
Fonte do Servidor Microsoft DHCP
Fonte Microsoft SQL Server
Origem Microsoft NPS
Microsoft Forefront TMG fonte
Fonte do Microsoft DNS Debug
Habilitando a depuração de DNS no Windows Server
Fonte do Netapp Data ONTAP
Fonte Forwarder do Arquivo IBM
Caso de uso - Multilinhas do File Forwarder
Informações de depuração para o File Forwarder Multiline
Configurações avançadas
Configurações avançadas do agente
Configurações avançadas de fonte
Configurações avançadas de eventos do Microsoft Windows
Configurações avançadas do IBM EVTX Forwarder
Configurações avançadas de plug-in baseadas em arquivo comum
IBM File Forwarder configurações avançadas
Configurações avançadas do Microsoft DHCP Server
Coletando logs DHCP a partir de códigos de idioma não em inglês
Configurações avançadas do Microsoft DNS Debug
Configurações avançadas do Microsoft Exchange Server
Microsoft Forefront TMG configurações avançadas
Configurações avançadas do Microsoft IIS
Configurações avançadas do Microsoft NPS
Configurações avançadas do Microsoft SQL Server
Configurações avançadas do sistema
Pasta de Dados do Usuário.
O arquivo de estatísticas WinCollect 10
WinCollect terminologia
Documentação do terminal da API e versões suportadas
Sintaxe do filtro
Sintaxe de classificação
Sintaxe de paginação
Mensagens de erro da API
Cross-origin resource sharing
Código de amostra da API
Acessando a página de documentação da API interativa