Definindo configurações do aplicativo

Para visualizar informações no aplicativo IBM® QRadar® User Entity Behavior Analytics (UEBA), deve-se definir as configurações do aplicativo UEBA

Procedimento

  1. No menu de navegação ( Ícone do menu de navegação ), clique em Administrador.
  2. Clique no ícone Configurações da UBA . (Aplicativos > Análise de entidade de usuário > Configurações de UBA ).
  3. Na seção Configurações do aplicativo, configure as definições a seguir:
    Opção Descrição
    Monitorar somente os usuários importados

    Ao selecionar a configuração Monitorar somente usuários importados , o aplicativo UEBA não monitorará novos usuários que são descobertos a partir de eventos O UEBA monitorará apenas os usuários que você importou

    Limite de risco do usuário

    Indica o limite máximo até o qual a pontuação de risco de um usuário deve chegar para que uma ofensa seja acionada com relação a esse usuário. Uma pontuação de risco é a soma de todos os eventos de risco que as regras UEBA detectam.

    Selecione uma das opções a seguir:
    • Dinâmico: O valor padrão é 4.0. Quanto maior for o valor, maior será o limite dinâmico, resultando em menos ofensas. Desative Gerar uma ofensa para usuários de alto risco até que as configurações tenham sido executadas por pelo menos um dia O valor do limite dinâmico é atualizado de hora em hora com base na distribuição de pontuação de risco no sistema. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados Consulte a Dica para obter mais informações.
      Nota: Se não houver variedade suficiente em suas pontuações, a pontuação de risco será configurada para +10 do usuário de maior risco. Ele permanece dessa maneira para evitar que muitas ofensas sejam geradas desnecessariamente
    • Estático: o valor padrão é 100.000. O valor é configurado para um valor alto por padrão para evitar que delitos sejam acionados antes de o ambiente ser analisado. É possível ativar a opção Gerar uma ofensa para usuários de alto risco para abrir uma ofensa com um tipo de nome de usuário para usuários acima do limite de risco. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados
    Dica: considere configurar UEBA e deixar o valor padrão. Permita que as configurações sejam executadas por pelo menos um dia para ver o tipo das pontuações que são retornadas. Após alguns dias, revise os resultados no painel para determinar um padrão. É possível então ajustar o limite. Por exemplo, se você vê uma ou duas pessoas com pontuações no 500, mas a maioria está no 100, considere configurar o limite para 200 ou 300. Portanto, "normal" para seu ambiente pode ser aproximadamente 100 e qualquer pontuação acima que possa requerer sua atenção.

    Limite de risco da entidade

    Indica o nível que uma pontuação de risco de entidade deve atingir antes que uma ofensa seja acionada contra essa entidade. Uma pontuação de risco é a soma de todos os eventos de risco que as regras UEBA detectam.

    Selecione uma das opções a seguir:
    • Dinâmico: O valor padrão é 4.0. Quanto maior for o valor, maior será o limite dinâmico, resultando em menos ofensas. Desative a opção Gerar uma ofensa para usuários e entidades de alto risco até que as configurações tenham sido executadas por pelo menos um dia. O valor do limite dinâmico é atualizado de hora em hora com base na distribuição de pontuação de risco no sistema. É possível determinar se você deseja ativar a configuração com base no número de ofensas que podem ser acionados Consulte a Dica para obter mais informações.
      Nota: Se não houver variedade suficiente em suas pontuações, a pontuação de risco será configurada para +10 do usuário de maior risco. Ele permanece dessa maneira para evitar que muitas ofensas sejam geradas desnecessariamente
    • Estático: o valor padrão é 100.000. O valor é configurado para um valor alto por padrão para evitar que delitos sejam acionados antes de o ambiente ser analisado.
    Dica: considere configurar UEBA e deixar o valor padrão. Permita que as configurações sejam executadas por pelo menos um dia para ver o tipo das pontuações que são retornadas. Após alguns dias, revise os resultados no painel para determinar um padrão. É possível então ajustar o limite. Por exemplo, se você vê uma ou duas pessoas com pontuações no 500, mas a maioria está no 100, considere configurar o limite para 200 ou 300. Portanto, "normal" para seu ambiente pode ser aproximadamente 100 e qualquer pontuação acima que possa requerer sua atenção.

    Reduzir risco por este fator por hora

    Declínio de risco é a porcentagem que a pontuação de risco é reduzida a cada hora. O valor padrão é 0,5.
    Dica: quanto maior o número, mais rápido a pontuação de risco decai; quanto menor o número, mais lenta a pontuação de risco decai. Um valor zero desativará o recurso.

    Intervalo de Data para Gráficos de Detalhes do Usuário

    O intervalo de datas que é exibido para os gráficos de detalhes do usuário na página Detalhes do usuário. O valor padrão é 1.

    Duração do status de investigação

    O número de horas (1 - 10.000) designado para que uma investigação seja concluída.

    Intervalo de inatividade do usuário

    A página Detalhes do usuário mostra uma linha de tempo com a atividade agrupada por sessões. Se um usuário estiver inativo pela quantia de tempo inserida no campo Intervalo de inatividade do usuário, a sessão terminará. O valor-padrão é de 15 minutos.

    Limite de conta ociosa

    O número de dias que os usuários ficam inativos antes de serem considerados inativos. O valor padrão é 14 dias. Para obter mais informações, consulte Contas inativas.

    Pontuação máxima de risco

    Insira um valor para configurar o limite da pontuação máxima de risco na página Regras e ajustes. As pontuações de risco atuais não são afetadas por mudanças nessa configuração. Nota: as regras que são entregues com o aplicativo UEBA geralmente têm uma pontuação de risco no intervalo de 5 a 25..

    Procurar ativos para nome do usuário, quando o nome do usuário não está disponível para dados de evento ou de fluxo

    Selecione a caixa de seleção para procurar por nomes de usuários na tabela de ativos. O app UEBA usa ativos para consultar um usuário para um endereço IP quando nenhum usuário é listado em um evento
    Importante: esse recurso pode causar problemas de desempenho no app UEBA e no sistema QRadar .
    Importante: a ativação da caixa de seleção Procurar ativos para o nome do usuário, quando o nome do usuário não estiver disponível para dados de evento ou de fluxo na página Configurações do UBA pode fazer com que a página Detalhes do usuário não seja carregada Revise as páginas de Regras para determinar se as regras ativadas requerem essa configuração Isso deve estar desativado caso não seja necessário.
    Dica: Se o limite de tempo limite da consulta for excedido, o app não retornará nenhum dado. Se você receber uma mensagem de erro no Painel do UEBA , desmarque a caixa de seleção e clique em Atualizar
    Exibir bandeiras do país/região para endereços IP

    Desmarque a caixa de seleção se você não desejar exibir sinalizações de país e região para endereços IP.

    Entidades monitoradas

    Desmarque a caixa de seleção se não quiser monitorar entidades.

    Monitorar apenas entidades importadas

    Quando ativado, apenas as entidades importadas por meio de CSV ou da importação de tabelas de referência são monitoradas. Por padrão, essa configuração está desativada. Esse recurso funciona apenas quando a opção “Monitorar Entidades” está ativada.

    Monitoramento de dispositivos de rede, endereços IP e hosts que não tenham um ativo associado

    Quando ativado, apenas os ativos não identificados são monitorados. Por padrão, essa configuração está desativada. Esse recurso funciona apenas quando a opção “Monitorar Entidades” está ativada.

    Tela de Configurações do aplicativo
    Importação de entidades

O que fazer a seguir

É possível importar usuários por meio do assistente Importação de usuário. Para obter mais informações, consulte “Importação de usuários ”.