QRadar User Behavior Analytics
IBM® QRadar® User Behavior Analytics uygulaması, ağınızın içindeki kullanıcıların risk profillerini belirlemenize ve uygulama sizi tehdit etme konusunda sizi uyarırken harekete geçmenize yardımcı olur.
QRadar User Behavior Analytics (UBA) uygulaması, kuruluşunuzda içeriden gelen tehditleri algılamak için kullanılan bir araçtır. Kullanıcılar ve risk çevresinde yeni kavrayışlar oluşturmak için QRadar ' nizde var olan verileri kullanmak üzere uygulama çerçevesinin üst kısmında oluşturulmuştur. UBA , QRadar' a iki büyük işlev ekler: risk profili oluşturma ve birleşik kullanıcı kimlikleri.
Risk profilleme, farklı güvenlik kullanım senaryolarına risk atayarak yapılır. Örnekler, basit kuralları içerebilir ve kötü web siteleri ya da makine öğrenimini kullanan daha gelişmiş durumlu analitik gibi denetler içerebilir. Risk, algılanan olayın önem derecesine ve güvenilirliğine bağlı olarak her birine atanır. UBA , kullanıcıların bu öngörüleri ve profil risklerini oluşturmak için QRadar sisteminizde var olan olay ve akış verilerini kullanır.
- Erişim, kimlik doğrulama ve hesap değişiklikleri çevresindeki trafik değişiklikleri.
- Ağ üzerindeki kullanıcı davranışı, bu nedenle, yetkili sunucular, güvenlik duvarları, IPS ve VPN ' ler gibi aygıtlar.
- Windows ya da Linux®ve SaaS uygulamalarından gibi uç nokta ve uygulama günlükleri.
Kullanıcı kimliklerinin birleştirilmesi, QRadariçindeki bir kullanıcı için ayrı hesaplar birleştirilerek gerçekleştirilir. By importing data from an Active Directory, an LDAP server, Reference table, or CSV file, UBA can be taught what accounts belong to a user identity. This helps combine risk and traffic across the different user names in UBA.
Machine Learning (ML app), UBA uygulamasını genişleten bir eklenti aracıdır. Zaman serisi profili oluşturma ve kümeleme işlemlerini gerçekleştiren daha zengin ve derinlemesine kullanım senaryolarına olanak sağlar. UBA uygulaması içinden, Machine Learning ayarları sayfasında kuruludur. ML app , öğrenilmiş davranış (modeller), yürürlükteki davranış ve uyarılar gösteren, var olan UBA uygulamasına görselleştirme ekler. Modeller, tahmine dayalı modelleri ve bir kullanıcı için normal olan temel çizgilerinin temel çizgileriyle QRadar ' te dört haftadan uzun bir geçmişe sahip veri kullanabilir.
ML appuygulamasını kullanma hakkında daha fazla bilgi için bkz. Machine Learning Analytics uygulaması.
Kullanıcıların ve kullanıcı verilerinin içe aktarılması
Kullanıcıları ve kullanıcı verilerini Kullanıcı içe aktarma sihirbayla içe aktarabilirsiniz. Kullanıcı içe aktarma sihirbazı, kullanıcıları bir LDAP sunucusundan, bir Active Directory Server sunucusundan, başvuru tablolarından ve CSV dosyalarından içe aktarmanıza yardımcı olur. Kullanıcı içe aktarma sihirbazında özel öznitelikler de yaratabilirsiniz.
Kullanıcı verilerinin kullanıcı içe aktarma sihirbazına aktarılması hakkında daha fazla bilgi için Kullanıcı içe aktarmanın yapılandırılmasıbaşlıklı konuya bakın.
Kurallar ve Ayarlama
- Uygulama yapılandırıldıktan sonraUBA kural içeriği kurulur.
- Kurallar, QRadar Use Case Manager uygulamasında düzenlenmelidir.
- Kullanıcılar için risk puanı üretecek olan kurallar UBA: Kural Verileri tablosuna eklenir. Risk puanı oluşturmayan yapı taşları ve kurallar eklenmez.
- Olay tanımlamasında 'senseValue= #' karakterini içeren kullanıcılar tarafından yaratılan yeni kuralları ekleyen bir yoklama görevi çalıştırılır.
- Var olan kurallar düzenlenmemelidir. Kopyaları çıkarmalı ve eventname ' nin de değiştiğinden emin olmanız gerekir.
Daha fazla bilgi için bakınız: Rules and tuning for the UBA app.
Tarayıcı uyumluluğu
- Tarayıcınıza ilişkin açılan pencere engelleyicisini devre dışı bırakın
- Tarayıcınızın QRadar Console IP adresinden gelen açılır pencerelerden gelen kural dışı durumlara izin verecek şekilde yapılandırılması