Instalando o aplicativo User Entity Behavior Analytics

Use a ferramenta IBM® QRadar® Extension Management para fazer upload e instalar seu archive de app diretamente em seu QRadar Console

Antes de iniciar

Conclua os Pré-requisitos para instalar o aplicativo User Entity Behavior Analytics.

Antes de instalar o aplicativo, assegure-se de que o IBM QRadar atenda aos requisitos mínimos de memória (RAM). O app UEBA requer 1 GB de memória livre do conjunto de aplicativos de memória. O aplicativo UEBA falhará ao ser instalado se o conjunto de aplicativos não tiver memória livre suficiente

Se o UEBA falhar ao instalar, seu conjunto de aplicativos não terá memória livre suficiente para executar o app IBM QRadar UEBA . Considere incluir um host de app em sua implementação do QRadar . Devido ao tamanho de UEBA com Machine Learning, deve-se instalar ou fazer upgrade para um ambiente de implementação médio no mínimo

O QRadar usa um App Host, que é um host gerenciado, dedicado à execução de apps. Os hosts de aplicativo fornecem recursos adicionais de armazenamento, memória e CPU para os aplicativos sem afetar a capacidade de processamento do QRadar Console. Para obter mais informações, consulte Host do aplicativo

Importante:
  • Se estiver tendo problemas de desempenho relacionados a regras ou à pesquisa no console ou em qualquer um dos processadores de eventos ou nós de dados, corrija os problemas antes de instalar o UEBA , pois a instalação do UEBA pode aumentar o processamento de regras e a carga de pesquisa.
  • Ajuste QRadar ativos. Para obter mais informações, consulte Ajustando ativos de entidades

Sobre esta tarefa

Os pacotes de conteúdo específicos do UBA, que contêm regras para o acionamento de ofensas, agora são instalados como extensões separadas. Os pacotes de conteúdo são instalados por padrão. Se você optar por criar suas próprias regras customizadas para acionar ofensas no UEBA, será possível mudar a configuração Instalar e fazer upgrade de pacotes de conteúdo ao configurar UEBA Configurações.
Atenção: após o aplicativo ser instalado, deve-se:
  • Ativar índices
  • Implemente a configuração integral.
  • Limpe o seu cache do navegador e atualize a janela do navegador.
  • Configure as permissões para os usuários que precisam de acesso para visualizar a guia User Entity Analytics. As permissões a seguir devem ser designadas para cada função de usuário que requer acesso ao aplicativo:
    • Análise de entidade de usuário
    • Ofensas
    • Atividade do Log
  • Conclua os procedimentos em Tuning.
  • Conclua os procedimentos nos desafios comuns da UEBA.

Procedimento

  1. Escolha um dos métodos a seguir para fazer download do seu aplicativo:
    • Se o aplicativo IBM QRadar Hub estiver configurado em QRadar, use as instruções a seguir para instalar o User Behavior Analytics : IBM QRadar Hub ( https://www.ibm.com/support/knowledgecenter/SS42VS_SHR/com.ibm.apps.doc/t_qradar_adm_assistant_download.html ).
    • Se o aplicativo IBM QRadar Hub não estiver configurado, faça o download do arquivo do aplicativo User Behavior Analytics do IBM Security App Exchange ( https://apps.xforce.ibmcloud.com/ ) para o seu computador local. Deve-se ter um ID do IBM para acessar o App Exchange.
  2. Se você tiver transferido por download o aplicativo no App Exchange, conclua as etapas a seguir:
    1. No Console QRadar , clique em Admin > Extensions Management.
    2. Na janela Gerenciamento de extensão , clique em Incluir e selecione o archive do aplicativo UBA que você deseja fazer upload para o console.
    3. Selecione a caixa de seleção Instalar imediatamente .
      Importante: pode ser necessário aguardar vários minutos antes que seu app se torne ativo...
    4. Para visualizar o conteúdo de um aplicativo após ele ser incluído e antes de ele ser instalado, selecione-o na lista de extensões e clique em Mais detalhes. Expanda as pastas para visualizar os itens de conteúdo individuais em cada grupo.
    Se a instalação do aplicativo for bem-sucedida, ele será listado como 'Instalado' na página Gerenciamento de extensões da guia Administrador. Se o aplicativo não foi instalado corretamente, consulte QRadar solução de problemas de aplicativos.
  3. Nas configurações do administrador, clique em Configuração do sistema > Gerenciamento de índices e, em seguida, ative os seguintes índices:
    • Categoria de Alto Nível
    • Categoria de Baixo Nível
    • Nome do usuário
    • senseValue
  4. Nas configurações de administrador, clique em Advanced > Deploy Full Configuration.
    Nota: os pacotes de conteúdo são instalados após a instalação do UEBA ser concluída e UEBA ser configurado. Para obter mais informações, consulte o resumo do pacote de conteúdo do UEBA.

O que fazer a seguir

  • Quando a instalação estiver concluída, limpe o cache do navegador e atualize a janela do navegador antes de usar o aplicativo.
  • Gerenciar permissões para funções de usuário do aplicativo UEBA .