IBM Security QRadar
Versión 7.3.3
Guía de administración
IBM
Nota
Antes de utilizar esta información y el producto al que da soporte, lea la información del apartado
“Avisos” en la página 279.
Información sobre el producto
Este documento corresponde a IBM® QRadar Security Intelligence Platform V7.3.3 y a todos los releases subsiguientes a
menos sea reemplazado por una versión actualizada de este documento.
© Copyright International Business Machines Corporation 2012, 2019.
Contenido
Introducción.........................................................................................................ix
Capítulo 1. Novedades para los administradores.................................................... 1
Nuevas características y mejoras en QRadar V7.3.3.................................................................................. 1
Nuevas características y mejoras en QRadar V7.3.2.................................................................................. 4
Nuevas características y mejoras en QRadar V7.3.1.................................................................................. 5
Nuevas características y mejoras en QRadar V7.3.0.................................................................................. 7
Capítulo 2. Administración de QRadar.................................................................... 9
Prestaciones en el producto IBM QRadar................................................................................................... 9
Navegadores web soportados .................................................................................................................. 10
Capítulo 3. Gestión de usuarios............................................................................ 13
Perfiles de seguridad................................................................................................................................. 13
Prioridad de permiso............................................................................................................................ 13
Creación de un perfil de seguridad...................................................................................................... 14
Edición de un perfil de seguridad........................................................................................................ 15
Duplicación de un perfil de seguridad................................................................................................. 15
Supresión de un perfil de seguridad.................................................................................................... 16
Cuentas de usuario.................................................................................................................................... 16
Ver y editar información sobre el usuario actual.................................................................................17
Visualización del historial de inicios de sesión de usuarios................................................................17
Creación de una cuenta de usuario..................................................................................................... 18
Edición de una cuenta de usuario........................................................................................................ 19
Inhabilitación de una cuenta de usuario............................................................................................. 19
Supresión de una cuenta de usuario................................................................................................... 20
Supresión de búsquedas guardadas de un usuario suprimido........................................................... 20
Autenticación de inicio de sesión único.................................................................................................... 21
Configuración de la autenticación de SAML........................................................................................ 21
Importar un nuevo certificado para la firma y el descifrado...............................................................23
Configuración de SAML con Microsoft Active Directory Federation Services.....................................23
Instalación de archivos de política de JCE de SDK sin restricciones................................................. 24
Resolución de problemas de autenticación de SAML......................................................................... 24
Capítulo 4. Gestión del sistema............................................................................ 29
Ver información de estado del sistema.....................................................................................................29
Tipos de componentes de QRadar............................................................................................................ 29
Nodos de datos.......................................................................................................................................... 31
Hora del sistema de QRadar......................................................................................................................31
Redes habilitado para NAT ....................................................................................................................... 32
Hosts gestionados..................................................................................................................................... 32
Consideraciones de ancho de banda para hosts gestionados............................................................33
Cifrado.................................................................................................................................................. 33
Hacer cambios en su entorno QRadar...................................................................................................... 34
Cambios que afectan a la recopilación de sucesos.............................................................................35
Configuración de un Recopilador de sucesos......................................................................................35
Despliegue de cambios........................................................................................................................ 36
Reinicio del servicio de recopilación de sucesos................................................................................ 37
Restablecimiento de SIM.......................................................................................................................... 37
iii
Capítulo 5. Configurar QRadar..............................................................................39
Jerarquía de red.........................................................................................................................................39
Directrices para definir la jerarquía de red.......................................................................................... 39
Valores de CIDR aceptables.................................................................................................................40
Definición de la jerarquía de red.......................................................................................................... 42
Certificados de servidor IF-MAP............................................................................................................... 43
Configuración del certificado del servidor IF-MAP para la autenticación básica...............................43
certificados SSL..........................................................................................................................................43
Conexiones SSL entre los componentes de QRadar........................................................................... 44
Direccionamiento IPv6 en los despliegues de QRadar.............................................................................44
Ejemplos de reglas de iptables avanzadas............................................................................................... 45
Configuración de reglas de iptables.................................................................................................... 46
Retención de datos.................................................................................................................................... 47
Configuración de los grupos de retención........................................................................................... 48
Gestión de la secuencia de los grupos de retención...........................................................................49
Habilitación e inhabilitación de un grupo de retención.......................................................................50
Supresión de un grupo de retención....................................................................................................50
Notificaciones del sistema........................................................................................................................ 50
Configuración de notificaciones de sistema........................................................................................51
Configuración de notificaciones de correo electrónico de sucesos y flujos personalizadas............. 52
Configuración de notificaciones de correo electrónico de delitos personalizadas............................ 56
Razones de cierre de infracción personalizadas.......................................................................................59
Adición de una razón de cierre de infracción personalizada.............................................................. 59
Edición de una razón de cierre de infracción personalizada...............................................................59
Supresión de una razón de cierre de infracción personalizada.......................................................... 59
Configuración de una propiedad de activo personalizada........................................................................60
Adición de acciones personalizadas......................................................................................................... 60
Probar la acción personalizada............................................................................................................ 61
Pasar parámetros a un script de acción personalizada...................................................................... 62
Gestión de vistas de datos agregados.......................................................................................................64
Capítulo 6. Proceso de datos de sucesos en QRadar.............................................. 67
Visión general Editor de DSM.................................................................................................................... 67
Propiedades en el Editor de DSM.............................................................................................................. 68
Configuración de propiedades en el Editor de DSM................................................................................. 69
Escribir una serie de formato para utilizar series de captura............................................................. 70
Escribir una expresión regular para registros bien estructurados......................................................70
Escribir expresiones regulares para registros de lenguaje natural.................................................... 71
Escribir una expresión para datos estructurados con formato JSON.................................................71
Escribir una expresión de vía de acceso clave JSON.......................................................................... 72
Escribir una expresión para datos estructurados con formato LEEF..................................................74
Escribir una expresión para datos estructurados con formato CEF................................................... 75
Escribir una expresión para datos estructurados con formato Par nombre-valor............................. 76
Escritura de una expresión para datos estructurados en formato Lista genérica............................. 76
Abrir el Editor de DSM................................................................................................................................77
Configuración de un tipo de origen de registro......................................................................................... 77
Configuración de la detección automática de propiedades para tipos de origen de registro................. 78
Configuración de la detección automática de origen de registro para tipos de origen de registro.........78
Tipos de origen de registro personalizados.............................................................................................. 80
Creación de un tipo de origen de registro personalizado para analizar sucesos............................... 81
Definiciones de propiedad personalizada en el Editor de DSM................................................................82
Selectividad.......................................................................................................................................... 82
Expresiones.......................................................................................................................................... 82
Creación de una propiedad personalizada.......................................................................................... 83
Correlación de sucesos..............................................................................................................................85
Creación de una correlación y una categorización de sucesos...........................................................85
iv
Capítulo 7. Uso de datos de referencia en QRadar................................................. 87
Tipo de recopilaciones de datos de referencia......................................................................................... 87
Visión general de los conjuntos de referencia.......................................................................................... 89
Adición, edición y supresión de conjuntos de referencia....................................................................89
Visualización del contenido de un conjunto de referencia................................................................. 91
Adición de elementos a un conjunto de referencia.............................................................................92
Exportación de elementos de un conjunto de referencia................................................................... 93
Supresión de elementos de un conjunto de referencia...................................................................... 93
Crear recopilaciones de datos de referencia con las API.........................................................................93
Ejemplos de recopilaciones de datos de referencia................................................................................. 96
Seguimiento de las cuentas de usuario caducadas............................................................................ 96
Integración dinámica de datos de orígenes externos ........................................................................ 97
Capítulo 8. Configuración del origen de información de usuario.............................99
Visión general de los orígenes de información de usuario....................................................................... 99
Orígenes de información de usuario.................................................................................................... 99
Recopilaciones de datos de referencia para la información de usuario...........................................100
Ejemplo de flujo de trabajo de integración........................................................................................101
Capítulo 9. Integración de IBM X-Force.............................................................. 103
Canal de información de X-Force Threat Intelligence ........................................................................... 103
Datos de X-Force en el panel de control.................................................................................................103
Aplicación IBM Security Threat Content.................................................................................................104
Instalación de la aplicación IBM Security Threat Content............................................................... 104
Plugin IBM X-Force Exchange para QRadar............................................................................................105
Capítulo 10. Orígenes de flujo............................................................................ 107
Tipos de orígenes de flujo....................................................................................................................... 108
NetFlow.............................................................................................................................................. 108
IPFIX...................................................................................................................................................109
sFlow.................................................................................................................................................. 111
J-Flow.................................................................................................................................................111
Packeteer........................................................................................................................................... 112
Archivo de registro de flujos.............................................................................................................. 112
Interfaz de Napatech ........................................................................................................................ 112
Adición o edición de un origen de flujo................................................................................................... 112
Habilitación e inhabilitación de un origen de flujo..................................................................................113
Supresión de un origen de flujo...............................................................................................................113
Alias de origen de flujo............................................................................................................................ 113
Añadir un alias de origen de flujo...................................................................................................... 114
Supresión de un alias de origen de flujo............................................................................................114
Capítulo 11. Configuración de redes remotas y servicios remotos........................115
Grupos de redes remotas predeterminados...........................................................................................115
Grupos de servicios remotos predeterminados..................................................................................... 117
Directrices para los recursos de red....................................................................................................... 117
Gestión de objetos de redes remotas..................................................................................................... 118
Gestión de objetos de servicios remotos................................................................................................118
Capítulo 12. Descubrimiento de servidores.........................................................119
Descubrimiento de servidores................................................................................................................ 119
Capítulo 13. Segmentación en dominios............................................................. 121
Direcciones IP solapadas........................................................................................................................ 121
Definición y etiquetado de dominio........................................................................................................ 122
v
Creación de dominios.............................................................................................................................. 125
Creación de dominios para flujos de VLAN............................................................................................. 126
Privilegios de dominio derivados de perfiles de seguridad.................................................................... 127
Reglas e infracciones específicas del dominio....................................................................................... 129
Ejemplo: Asignaciones de privilegio de dominio según propiedades personalizadas.......................... 131
Capítulo 14. Gestión multiarrendatario.............................................................. 133
Roles de usuario...................................................................................................................................... 133
Dominios y orígenes de registro..............................................................................................................134
Suministro de un nuevo arrendatario......................................................................................................135
Supervisión del uso de licencias............................................................................................................. 136
Gestión de reglas en despliegues multiarrendatario............................................................................. 136
Actualizaciones de la jerarquía de red en un despliegue multiarrendatario......................................... 137
Capítulo 15. Gestión de activos.......................................................................... 139
Orígenes de datos de activos.................................................................................................................. 139
Flujo de trabajo de datos de activos entrantes.......................................................................................140
Actualizaciones de los datos de activos................................................................................................. 142
Reglas de exclusión de conciliación de activos.................................................................................142
Fusión de activos................................................................................................................................143
Identificación de desviaciones de crecimiento de activos.....................................................................144
Notificaciones del sistema que indican desviaciones de crecimiento de activos............................145
Ejemplo: Cómo los errores de configuración de las extensiones de origen de registro pueden
provocar desviaciones de crecimiento de activos....................................................................... 145
Resolución de problemas con perfiles de activo que sobrepasan el umbral de tamaño normal....145
Los datos de activos nuevos se añaden a las listas negras de activos.............................................146
Prevención de las desviaciones de crecimiento de activos................................................................... 147
Datos de activos obsoletos................................................................................................................ 147
Listas negras y listas blancas de activos........................................................................................... 148
Búsquedas de exclusión de identidades........................................................................................... 152
Ajuste avanzado de reglas de exclusión de conciliación de activos.................................................153
Ejemplo: Reglas de exclusión de activos que se ajustan para excluir direcciones IP de la lista
negra..............................................................................................................................................154
Limpieza de datos de activos después de desviaciones de crecimiento...............................................155
Supresión de entradas de las listas negras.......................................................................................155
Capítulo 16. Almacenamiento y reenvío de sucesos ........................................... 157
Capítulo 17. Contenido de seguridad.................................................................. 159
Tipos de contenido de seguridad............................................................................................................ 159
Métodos de importación y exportación de contenido............................................................................ 160
Instalación de extensiones mediante la Gestión de extensiones.................................................... 160
Desinstalación de una extensión de contenido................................................................................ 161
Identificadores de tipo de contenido para exportar contenido personalizado..................................... 162
Capítulo 18. Configuración de condiciones de excepción de SNMP...................... 163
Capítulo 19. Protección de datos confidenciales................................................. 165
¿Cómo funciona la ofuscación de datos?................................................................................................ 165
Perfiles de ofuscación de datos.............................................................................................................. 166
Expresiones de ofuscación de datos.......................................................................................................166
Escenario: Ocultación de nombres de usuario....................................................................................... 168
Creación de un perfil de ofuscación de datos................................................................................... 168
Creación de expresiones de ofuscación de datos.............................................................................169
Desofuscación de datos para que se puedan ver en la consola....................................................... 169
vi
Capítulo 20. Categorías de sucesos.................................................................... 171
Categorías de sucesos de nivel alto........................................................................................................ 171
Reconocimiento.......................................................................................................................................173
Denegación de servicio............................................................................................................................174
Autenticación...........................................................................................................................................179
Acceso......................................................................................................................................................189
Explotación.............................................................................................................................................. 192
Programa malicioso................................................................................................................................. 195
Actividad sospechosa..............................................................................................................................196
Sistema.................................................................................................................................................... 201
Política..................................................................................................................................................... 208
Desconocido............................................................................................................................................ 209
CRE...........................................................................................................................................................210
Explotación potencial.............................................................................................................................. 211
Flujo..........................................................................................................................................................212
Definido por el usuario............................................................................................................................ 214
Auditoría de SIM...................................................................................................................................... 217
Descubrimiento de host de VIS...............................................................................................................218
Aplicación................................................................................................................................................ 219
Auditoría...................................................................................................................................................250
Control......................................................................................................................................................254
Perfilador de activos................................................................................................................................ 257
Percepción............................................................................................................................................... 263
Capítulo 21. Servidores y puertos comunes utilizados por QRadar.......................265
Utilización de puertos de QRadar ...........................................................................................................265
Servidores públicos de QRadar............................................................................................................... 273
Capítulo 22. API RESTful ...................................................................................277
Acceso a la página de documentación de la API interactiva..................................................................277
Avisos............................................................................................................... 279
Marcas registradas.................................................................................................................................. 280
Términos y condiciones de la documentación de producto...................................................................280
Declaración de privacidad en línea de IBM.............................................................................................281
Normativa general de protección de datos.............................................................................................282
Glosario............................................................................................................ 283
A............................................................................................................................................................... 283
C............................................................................................................................................................... 283
D............................................................................................................................................................... 285
E............................................................................................................................................................... 285
F................................................................................................................................................................285
G............................................................................................................................................................... 286
H............................................................................................................................................................... 286
I................................................................................................................................................................ 286
J................................................................................................................................................................287
L................................................................................................................................................................287
M...............................................................................................................................................................287
N............................................................................................................................................................... 288
O............................................................................................................................................................... 288
P............................................................................................................................................................... 288
R............................................................................................................................................................... 289
S............................................................................................................................................................... 290
T................................................................................................................................................................291
V............................................................................................................................................................... 291
vii
Índice............................................................................................................... 293
viii
Introducción a la administración de productos de QRadar
Los administradores utilizan IBM QRadar SIEM para gestionar los paneles de control, las infracciones, la
actividad de registro, la actividad de la red, los activos y los informes.
Público al que se dirige
Esta guía está dirigida a todos los usuarios de QRadar SIEM responsables de investigar y gestionar la
seguridad de la red. Esta guía presupone que tiene acceso a QRadar SIEM y que conoce la red corporativa
y las tecnologías de red.
Documentación técnica
Para buscar documentación del producto IBM QRadar en la web, incluida toda la documentación
traducida, acceda a IBM Knowledge Center (http://www.ibm.com/support/knowledgecenter/SS42VS/
welcome).
Para obtener información sobre el acceso a más documentación técnica en la biblioteca de productos de
QRadar, consulte QRadar Support – Assistance 101 (https://ibm.biz/qradarsupport).
Cómo ponerse en contacto con el servicio de soporte al cliente
Para obtener información acerca de cómo ponerse en contacto con el servicio de soporte al cliente,
consulte la nota técnica sobre soporte y descarga (http://www.ibm.com/support/docview.wss?
rs=0&uid=swg21612861).
Declaración de buenas prácticas de seguridad
La seguridad de los sistemas de TI implica la protección de los sistemas y la información mediante la
prevención, la detección y la respuesta a accesos indebidos desde dentro o fuera de la empresa. Un
acceso indebido puede alterar, destruir o dar un uso inapropiado a la información o puede ocasionar
daños o un uso erróneo de los sistemas, incluidos los ataques a terceros. Ningún sistema o producto de
TI debe ser considerado completamente seguro y ningún producto, servicio o medida de seguridad puede
ser completamente efectivo para impedir el acceso o uso inadecuado. Los sistemas, productos y servicios
de IBM están diseñados para formar parte de un procedimiento global de seguridad de acuerdo con la
legalidad vigente, lo que implica necesariamente procedimientos operativos adicionales y puede requerir
otros sistemas, productos o servicios para ser más eficaces. IBM NO GARANTIZA QUE LOS SISTEMAS,
PRODUCTOS O SERVICIOS SEAN INMUNES, NI QUE HAGAN QUE SU EMPRESA SEA INMUNE, A LAS
CONDUCTAS MALINTENCIONADAS O ILEGALES DE TERCEROS.
Tenga en cuenta lo siguiente:
El uso de este programa puede estar sujeto a diversas leyes o regulaciones, incluidas las relacionadas
con la privacidad, la protección de datos, el empleo y las comunicaciones y el almacenamiento
electrónicos. IBM QRadar solamente se puede utilizar con fines legales y de forma legal. El cliente se
compromete a utilizar este programa en conformidad con las leyes, regulaciones y políticas aplicables y
asume toda la responsabilidad de su cumplimiento. El licenciatario declara que obtendrá o ha obtenido
los consentimientos, permisos o licencias necesarios para permitir el uso legal de IBM QRadar.
© Copyright IBM Corp. 2012, 2019
ix
x IBM Security QRadar: Guía de administración de QRadar
Capítulo 1. Novedades para los administradores
Conozca las nuevas funciones y prestaciones que le permitirán configurar y administrar de manera más
sencilla el despliegue de IBM QRadar.
Nuevas características y mejoras en QRadar V7.3.3
Las siguientes características y mejoras hacen que les resulte más fácil a los administradores gestionar
su despliegue de IBM QRadar V7.3.3.
Para ver una lista de las características nuevas del este release, consulte el documento Novedades en el
IBM Knowledge Center (www.ibm.com/support/knowledgecenter/SS42VS_7.3.3/com.ibm.qradar.doc/
c_pdf_launch.html).
Soporte de análisis mejorado para sucesos de Par nombre-valor en el Editor de DSM
En el Editor de DSM, ahora puede analizar fácilmente las propiedades estándar y personalizadas de los
sucesos en el formato de Par nombre-valor sin escribir expresiones regulares (regex). Cuando se habilita
el descubrimiento automático de Propiedades para los tipos de origen de registro que consumen
sucesos de Par nombre-valor, todos los campos disponibles se analizan como propiedades
personalizadas. Con estas nuevas prestaciones, los administradores y los usuarios que tienen permiso
para crear propiedades personalizadas, pueden analizar estos sucesos de forma rápida y sencilla.
Utilice el Editor de DSM para crear un tipo de origen de registro personalizado para manejar los sucesos
de Par nombre-valor en IBM QRadar. Añada propiedades personalizadas para ayudar a analizar un tipo de
origen de registro existente. Utilice expresiones de Par nombre-valor simples en lugar de expresión
regular para definir cómo analizar propiedades personalizadas. El editor de DSM proporciona expresiones
automáticamente para propiedades del sistema basadas en sus claves predeterminadas en la
especificación de Par nombre-valor.
Active el descubrimiento automático de propiedades de Par nombre-valor para descubrir las propiedades
personalizadas para todos los campos de Par nombre-valor en cualquier suceso que se haya recibido
para el tipo de origen de registro. También puede utilizar expresiones de Par nombre-valor en el Editor de
propiedades de sucesos personalizadas y cuando crea manualmente extensiones de origen de registro.
La figura siguiente muestra dónde se analizan los sucesos de Par nombre-valor en el Editor de DSM.
© Copyright IBM Corp. 2012, 2019
1
Figura 1. Tipo de datos estructurado de Par nombre-valor
Más información sobre el soporte de análisis mejorado para sucesos de Par nombre-valor...
Soporte de análisis mejorado para sucesos de Lista genérica
En el Editor de DSM, ahora puede analizar fácilmente las propiedades estándar y personalizadas de los
sucesos en el formato de Lista genérica sin escribir expresiones regulares (regex). Cuando se habilita el
descubrimiento automático de Propiedades para los tipos de origen de registro que consumen sucesos
de Lista genérica, todos los campos disponibles se analizan como propiedades personalizadas. Con estas
nuevas prestaciones, los administradores y los usuarios que tienen permiso para crear propiedades
personalizadas, pueden analizar estos sucesos de forma rápida y sencilla. Con estas nuevas prestaciones,
los administradores y los usuarios que tienen permiso para crear propiedades personalizadas, pueden
analizar estos sucesos de forma rápida y sencilla.
Utilice el Editor de DSM para crear un tipo de origen de registro personalizado para manejar los sucesos
de Lista genérica en IBM QRadar. También puede agregar propiedades personalizadas para ayudar a
analizar un tipo de origen de registro existente en el editor DSM. Utilice expresiones de Lista genérica
simples en lugar de expresión regular para definir cómo analizar propiedades personalizadas. El editor de
DSM proporciona expresiones automáticamente para propiedades del sistema basadas en sus claves
predeterminadas en la especificación de Lista genérica.
Active el descubrimiento automático de propiedades de Lista genérica para descubrir las propiedades
personalizadas para todos los campos de Lista genérica en cualquier suceso que se haya recibido para el
tipo de origen de registro. También puede utilizar expresiones de Lista genérica en el Editor de
propiedades de sucesos personalizadas y cuando crea manualmente extensiones de origen de registro.
La figura siguiente muestra dónde se analizan los sucesos de Lista genérica en el Editor de DSM.
2 IBM Security QRadar: Guía de administración de QRadar
Figura 2. Tipo de datos estructurado de Lista genérica
Más información sobre el soporte de análisis mejorado para sucesos de Lista genérica...
Eliminación de datos de referencia cuando se desinstala una extensión de contenido
Cuando desinstala una extensión de contenido en IBM QRadar V7.3.3, los datos de referencia instalados
por la extensión de contenido se eliminan o se devuelven al estado anterior correspondiente. Ahora,
cuando desinstala una extensión de contenido, los datos de referencia se eliminan, lo que libera espacio
de disco en el sistema.
Anteriormente, QRadar eliminaba aplicaciones, reglas, propiedades personalizadas y búsquedas
guardadas, pero no eliminaba datos de referencia, lo que podía afectar al rendimiento.
Más información sobre la desinstalación de extensiones de contenido...
Exportación de contenido más rápida en el Editor de DSM
IBM QRadar V7.3.3 acelera la exportación del contenido personalizado en el Editor de DSM. Utilice el
botón Exportar para exportar fácilmente el contenido de un despliegue de QRadar a otro o a un soporte
externo. Anteriormente, solo se podía exportar contenido personalizado mediante un script de
herramientas de gestión de contenido.
La figura siguiente muestra dónde se analiza el contenido de exportación en el Editor de DSM.
Capítulo 1. Novedades para los administradores 3
Figura 3. Exportación de contenido desde el Editor de DSM
Más información sobre la exportación de contenido desde el Editor de DSM...
Nuevas características y mejoras en QRadar V7.3.2
Las siguientes características y mejoras hacen que les resulte más fácil a los administradores gestionar
su despliegue de IBM QRadar V7.3.2.
Para ver una lista de todas las características nuevas de este release, consulte el documento Novedades
en el IBM Knowledge Center (www.ibm.com/support/knowledgecenter/SS42VS_7.3.2/
com.ibm.qradar.doc/c_pdf_launch.html).
Fácil de supervisar con sucesos de auditoría consolidados
De forma predeterminada, cada elemento de datos de referencia caducado se registra como un suceso
de auditoría independiente cuando se elimina del conjunto de referencia. Un gran número de elementos
caducados puede atorar el archivo qradar.log.
En QRadar V7.3.2, puede registrar elementos de datos de referencia caducados que se eliminan al mismo
tiempo que un suceso de auditoría u optar por no registrarlos en absoluto. Cuantos menos sucesos de
auditoría halla, más fácil será supervisar otros cambios importantes que se realizan en QRadar.
Más información sobre las opciones de conjunto de referencia...
Supervisión más completa con sucesos de auditoría para nuevas infracciones
Cuando se crea una infracción, desencadena un suceso de auditoría con el identificador de QRadar (QID)
28250369, que se puede utilizar en búsquedas, filtros y condiciones de prueba de reglas de QRadar.
Por ejemplo, puede planificar un informe diario que muestre las infracciones que se han creado en las
últimas 24 horas.
4 IBM Security QRadar: Guía de administración de QRadar
Más información sobre las acciones que se han registrado...
Ofuscación de datos configurada por dominio o arrendatario
En QRadar V7.3.2, puede configurar la ofuscación para cada dominio o arrendatario.
La ofuscación de datos impide el acceso no autorizado a información confidencial o de identificación
personal que se almacena en QRadar.
Anteriormente, la ofuscación no se configuraba para un tipo de origen de registro por dominio o
arrendatario. El método alternativo era configurar la ofuscación para cada origen de registro individual, lo
que no era práctico si tenía muchos orígenes de registro.
Más información sobre la creación de expresiones de ofuscación de datos...
Autenticación de inicio de sesión único con SAML 2.0
IBM QRadar V7.3.2 incluye el soporte para el formato del inicio de sesión único de Security Assertion
Markup Language (SAML) 2.0.
Al utilizar la característica de autenticación de SAML, puede integrar fácilmente QRadar con el servidor de
identidad corporativo para proporcionar el inicio de sesión único. SAML elimina la necesidad de mantener
usuarios locales para QRadar.
Con la autenticación de inicio de sesión único de SAML, los usuarios que se autentican en el servidor de
identidad se pueden autenticar automáticamente en QRadar. Estos usuarios no necesitan recordar
contraseñas por separado ni escribir las credenciales cada vez que acceden a QRadar.
Más información sobre SAML en QRadar...
Nuevas características y mejoras en QRadar V7.3.1
Las siguientes características y mejoras hacen que les resulte más fácil a los administradores gestionar
su despliegue de IBM QRadar V7.3.3.
Para ver una lista de todas las características nuevas de este release, consulte el documento Novedades
en el IBM Knowledge Center (www.ibm.com/support/knowledgecenter/SS42VS_7.3.1/
com.ibm.qradar.doc/c_pdf_launch.html).
Menor tiempo de inactividad para los servicios de recopilación de sucesos
En las versiones anteriores, al implementar los cambios en el sistema QRadar producía tiempos muertos
en la recopilación de datos mientras se reiniciaba el servicio hostcontext. Para reducir al máximo estas
interrupciones, el servicio de recopilación de sucesos se gestionar aparte de los demás servicios de
QRadar. El nuevo servicio de recopilación de sucesos, ecs-ec-ingress, escucha en el puerto 7787.
Con la nueva separación de los servicios, el servicio de recopilación de sucesos no se reinicia de forma
automática cada que se implementan los cambios. El servicio solo se reinicia cuando los cambios
implementados afectan directamente al servicio de recopilación de sucesos.
Esta mejora reduce de forma significativa las interrupciones en la recopilación de los datos y hace que a
su empresa le resulte más sencillo alcanzar los objetivos de recopilación de datos.
Más información sobre la realización de cambios en el despliegue de QRadar...
Recopilación continua de sucesos durante las actualizaciones de parches poco importantes
Las interrupciones en la recopilación de sucesos serán probablemente menores si aplica parches futuros
a QRadar V7.3.1 o versiones posteriores. Los parches poco importantes no requieren que el sistema se
reinicie no reiniciarán tampoco el servicio de recopilación de sucesos.
Capítulo 1. Novedades para los administradores 5
Capacidad para reiniciar solo la recopilación de sucesos de servicio
En la interfaz de producto de QRadar, puede reiniciar el servicio de recopilación de sucesos en todos los
hosts gestionados en el despliegue.
Esta nueva funcionalidad es útil si desea reiniciar el servicio de recopilación de sucesos sin afectar a otros
servicios de QRadar. Por ejemplo, después de restaurar una copia de seguridad de configuración, puede
retrasar el reinicio de un servicio a la hora que le resulte más conveniente.
Más información sobre el reinicio del servicio de recopilación de sucesos...
La recopilación de sucesos continúa cuando se instala o actualiza un protocolo RPM
Antes de QRadar V7.3.1, la instalación o actualización de un protocolo RPM exigía un despliegue
completo, lo que hacía que la recopilación de sucesos se interrumpiera durante varios minutos en todos
los protocolos instalados.
Ahora, los protocolos se cargan de forma dinámica cuando se implementan los cambios. Solo los
protocolos que se habían actualizado experimentan una breve parada (en segundos).
Nuevo menú de navegación desplegable con pestañas de favoritos
A medida que aumenten las aplicaciones instaladas en el despliegue, también lo hará el número de
pestañas visibles. El nuevo menú de navegación deslizable hace que le resulte más sencillo encontrar las
aplicaciones que utiliza con más frecuencia gestionando las pestañas que pueden verse en QRadar.
Cuando actualice a QRadar V7.3.3, todas las pestañas de QRadar estarán disponibles desde el menú
deslizable ( ). Cada elemento de menú se marca como favorito y esto hace que esté también disponible
como pestaña. Puede controlar las pestañas que se verán seleccionando o anulando la selección de la
estrella situada junto al elemento de menú.
Para acceder a los ajustes que estaban en la pestaña Admin en las versiones de QRadar anteriores, haga
clic en Admin en la parte inferior del menú de navegación deslizable.
soporte de IPv6
QRadar utiliza los objetos y grupos de jerarquía de red para visualizar la actividad de red y supervisar los
grupos o servicios de la red. Se puede definir la jerarquía de red mediante un rango de dirección IP en
formato IPv6 y también IPv4. Además de la jerarquía de red, la gestión de infracciones solo daba soporte
al indexado IPv6, pero ahora actualiza y muestra los campos adecuados para una infracción con datos
IPv6.
Obtenga más información acerca de direcciones IPv6 en despliegues de QRadar...
Supervisar los sucesos de inicio de sesión satisfactorio ejecutando informes en QRadar
Supervise fácilmente los sucesos de inicio de sesión satisfactorio en el periodo de tiempo que se
configura ejecutando la plantilla de informe Sucesos de inicio de sesión satisfactorio semanales en la
pestaña Informes de QRadar.
Dos nuevas aplicaciones preinstaladas en QRadar V7.3.1
Gestor de autorizaciones de aplicación
La aplicación Gestor de autorizaciones proporciona más seguridad a las señales de autorización de
la aplicación. Los usuarios que tengan los permisos adecuados pueden suprimir señales de
autorización, o cambiar el nivel de autorización asignado al usuario.
Aplicación Asistente de QRadar
La aplicación Asistente de QRadar proporciona las siguientes funciones en la pestaña Panel de
control:
• Aplicaciones y extensiones de contenido recomendadas basadas en las preferencias configuradas.
6 IBM Security QRadar: Guía de administración de QRadar
• Widget del panel de control Centro de ayuda de QRadar que le permite acceder a información útil
sobre QRadar.
• El estado de actualización de contenidos se resalta y, a continuación, los usuarios pueden descargar
las actualizaciones desde QRadar.
• Canal de información de Twitter de IBM Security Support.
Configuración del descubrimiento de propiedades automático para tipos de origen de registro y
nueva pestaña Configuración en el Editor de DSM
Puede configurar el descubrimiento automático de nuevas propiedades para un tipo de origen de registro.
La opción de descubrimiento automático de propiedades para un tipo de origen de registro está
inhabilitada de forma predeterminada. Cuando se habilita la opción en la nueva pestaña Configuración
del Editor de DSM, se generan de forma automática las nuevas propiedades. Las nuevas propiedades
capturan todos los campos que están presentes en los sucesos recibidos por el tipo de origen de registro
seleccionado. Las propiedades recientemente descubiertas pasan a estar disponibles en la pestaña
Propiedades de Editor de DSM.
Obtenga más información acerca de la configuración de propiedades en el editor DSM....
Extensiones de orígenes de registro puede extraer sucesos de valores en formato JSON por
referencia de clave.
Extensiones de orígenes de registro ahora puede extraer valores con JsonKeypath.
Para los datos de suceso en formato JSON anidado, una expresión JSON válida tiene el siguiente
formato: /"<nombre de campo de nivel superior>"/"<nombre de
subcampo_1>".../"<nombre de campo_n de subnivel>".
Los dos ejemplos siguientes muestran cómo extraer datos de un registro de JSON:
• Caso simple de un suceso de un registro de JSON sin formato: {"action": "login", "user":
"John Doe"}
Para extraer el campo 'user', utilice esta expresión: /"user".
• Caso complejo de un suceso para un registro de JSON con objetos anidados: { "action": "login",
"user": { "first_name": "John", "last_name": "Doe" } }
Para extraer solo el valor 'last_name' del subobjeto 'user', utilice esta
expresión: /"user"/"last_name".
Nuevas características y mejoras en QRadar V7.3.0
IBM QRadar V7.3.0 introduce nuevas prestaciones para usuarios arrendatarios, mejoras en la seguridad,
más flexibilidad al gestionar las licencias y un Nodo de aplicaciones dedicado para compartir
aplicaciones.
Se eliminan los límites de los orígenes de registro
Las mejoras en el modelo de licencias de QRadar V7.3.0 hacen que ahora sea más fácil gestionar los
orígenes de registro. Se eliminan los límites de los orígenes de registro y ya no es necesario adquirir
licencias para los orígenes de registro.
Al actualizarse a QRadar V7.3.0, se eliminan los límites de orígenes de registro anteriores.
Los usuarios arrendatarios pueden crear propiedades personalizadas
Los usuarios arrendatarios pueden crear propiedades personalizadas para extraer o calcular información
importante de la carga útil del suceso o flujo sin ayuda de un administrador de MSSP (proveedor de
servicios de seguridad gestionados). Con esta prestación, los usuarios arrendatarios pueden ver y buscar
datos que QRadar normalmente no normaliza ni muestra.
Capítulo 1. Novedades para los administradores 7
Como administrador de MSSP tiene permisos de escritura sobre todas las propiedades personalizadas
creadas por usuarios arrendatarios. Para mejorar el rendimiento de búsqueda puede optimizar las
propiedades personalizadas de un arrendatario cuando las propiedades se utilizan frecuentemente en
reglas e informes. Los usuarios arrendatarios no pueden optimizar las propiedades que crean.
Para obtener información sobre el trabajo con propiedades personalizadas de suceso y flujo, consulte la
IBM QRadar User Guide.
Los usuarios arrendatarios pueden crear recopilaciones de datos de referencia
En QRadar V7.2.8, los usuarios arrendatarios pueden ver datos de referencia creados por su
administrador de MSSP. Ahora en V7.3.0, los usuarios arrendatarios con el rol Administración delegada
> Gestionar datos de referencia pueden crear y gestionar sus propias recopilaciones de datos de
referencia sin la ayuda de un administrador de MSSP.
Con esta prestación, los usuarios arrendatarios pueden hacer un seguimiento de datos de negocio de
referencia o datos de orígenes externos, que se pueden utilizar entonces en búsquedas, filtros,
condiciones de prueba de regla y respuestas de regla de QRadar. Por ejemplo, un conjunto de referencia
que contiene los ID de usuario de empleados despedidos se puede utilizar para impedir que los
empleados inicien sesión en la red.
Más información sobre la creación y gestión de recopilaciones de datos de referencia...
Actualizaciones de seguridad
QRadar V7.3.0 utiliza TLS 1.2 (Transport Layer Security) para las comunicaciones seguras. Los protocolos
SSL (Secure Socket Layer) y TLS 1.1 no están soportados.
Hay un pequeño cambio en los pasos para actualizar el certificado de autoridad emisora de certificados
predeterminado cuando las actualizaciones automáticas van a través de un servidor proxy.
8 IBM Security QRadar: Guía de administración de QRadar
Capítulo 2. Administración de QRadar
Como administrador de IBM QRadar, tiene una variedad de herramientas disponibles para ayudarle a
configurar y gestionar el despliegue de QRadar.
Por ejemplo, utilizando las herramientas de la pestaña Admin, puede llevar a cabo las siguientes tareas.
• Desplegar y gestionar hosts y licencias de QRadar.
• Configurar cuentas de usuario y autenticación.
• Crear una jerarquía de red.
• Configurar dominios y configurar un entorno de varios arrendatarios.
• Definir y gestionar orígenes de datos de registros y de flujos.
• Gestionar la retención de datos de QRadar.
• Gestionar activos y datos de referencia.
• Planificar copias de seguridad regulares de los datos de configuración de QRadar.
• Supervisar el estado del sistema de los hosts gestionados.
Prestaciones en el producto IBM QRadar
La documentación del producto IBM QRadar describe funciones tales como infracciones, flujos, activos y
correlación histórica, que pueden no estar disponibles en todos los productos de QRadar. Dependiendo
del producto que esté utilizando, algunas de las características documentadas podrían no estar
disponibles en su despliegue.
IBM QRadar Log Manager
QRadar Log Manager es una solución básica, escalable y de alto rendimiento para recopilar, analizar,
almacenar y crear informes sobre grandes volúmenes de registros de redes y de sucesos de
seguridad.
IBM QRadar SIEM
QRadar SIEM es una oferta avanzada que incluye la gama completa de prestaciones de inteligencia y
seguridad para los despliegues locales. Consolida el origen de registro y los datos de flujo de red de
miles de activos, dispositivos, puntos finales y aplicaciones que están distribuidos por la red, y realiza
actividades de normalización y correlación inmediata en los datos en bruto para distinguir las hebras
reales de los falsos positivos.
IBM QRadar on Cloud
QRadar on Cloud proporciona profesionales de seguridad de IBM para gestionar la infraestructura,
mientras que los analistas de seguridad realizan la detección de amenazas y tareas de gestión. Puede
proteger la red y cumplir los requisitos de supervisión de conformidad y de creación de informes con
un coste total de propiedad reducido.
Prestaciones del producto QRadar
Revise la tabla siguiente para comparar las prestaciones de cada producto de QRadar.
Tabla 1. Comparación de prestaciones de QRadar
Prestación
QRadar SIEM
IBM QRadar on
Cloud
IBM QRadar Log
Manager
Prestaciones administrativas completas
Sí
No
Sí
Da soporte a despliegues alojados
No
Sí
No
© Copyright IBM Corp. 2012, 2019
9
Tabla 1. Comparación de prestaciones de QRadar (continuación)
Prestación
QRadar SIEM
IBM QRadar on
Cloud
IBM QRadar Log
Manager
Paneles de control personalizables
Sí
Sí
Sí
Motor de reglas personalizadas
Sí
Sí
Sí
Gestionar sucesos de red y seguridad
Sí
Sí
Sí
Gestionar registros de aplicación y host
Sí
Sí
Sí
Alertas basadas en umbral
Sí
Sí
Sí
Plantillas de conformidad
Sí
Sí
Sí
Archivado de datos
Sí
Sí
Sí
Integración de canales de información de
reputación de IP de IBM Security X-Force
Threat Intelligence
Sí
Sí
Sí
Despliegues autónomos de WinCollect
Sí
Sí
Sí
Despliegues gestionados de WinCollect
Sí
No
Sí
Supervisión de la actividad de red
Sí
Sí
No
Perfilado de activos
Sí
Sí
No 1
Gestión de infracciones
Sí
Sí
No
Captura y análisis de flujo de red
Sí
Sí
No
Correlación histórica
Sí
Sí
No
Integración de QRadar Network Insights
Sí
Sí
No
Integración de QRadar Vulnerability Manager
Sí
Sí
Sí
Integración de QRadar Risk Manager
Sí
No
No
Integración de QRadar Incident Forensics
Sí
No
No
Sí
Sí
Exploradores de evaluación de vulnerabilidades Sí
1
QRadar Log Manager hace un seguimiento de datos de activos sólo si QRadar Vulnerability Manager
está instalado.
Alguna documentación, como por ejemplo la Guía de administración y la Guía de usuario, es común para
varios productos y puede describir prestaciones que no están disponibles en su despliegue. Por ejemplo,
los usuarios de IBM QRadar on Cloud no tiene plenas capacidades administrativas, como se describe en
la IBM QRadar Administration Guide.
Navegadores web soportados
Para que las características de los productos de IBM QRadar funcionen correctamente, debe utilizar un
navegador web soportado.
En la tabla siguiente se enumeran las versiones soportadas de los navegadores web.
10 IBM Security QRadar: Guía de administración de QRadar
Tabla 2. Navegadores web soportados para los productos de QRadar
Navegador web
Versiones soportadas
Mozilla Firefox de 64 bits
60 Extended Support Release y posteriores
Microsoft Edge de 64 bits
38.14393 y posteriores
Microsoft Internet Explorer
11.0
Google Chrome de 64 bits
Más reciente
Excepciones y certificados de seguridad
Si está utilizando el navegador web Mozilla Firefox, debe añadir una excepción a Mozilla Firefox para
iniciar una sesión en QRadar SIEM. Para obtener más información, consulte la documentación del
navegador web Mozilla Firefox.
Si está utilizando el navegador web Microsoft Internet Explorer, se muestra un mensaje de certificado de
seguridad de sitio web cuando accede al sistema de QRadar SIEM. Debe seleccionar la opción Continuar
en este sitio web para iniciar una sesión en QRadar SIEM.
Navegación por la aplicación basada en la web
Cuando utilice QRadar SIEM, utilice las opciones de navegación existentes en la interfaz de usuario de
QRadar SIEM en lugar del botón Atrás del navegador web.
Capítulo 2. Administración de QRadar 11
12 IBM Security QRadar: Guía de administración de QRadar
Capítulo 3. Gestión de usuarios
Puede definir roles de usuario, perfiles de seguridad y cuentas de usuario para controlar quién tiene
acceso a IBM QRadar, qué tareas pueden realizar y a qué datos tienen acceso.
Al configurar inicialmente QRadar, utilice la función Gestión de usuarios de la pestaña Admin para
configurar y gestionar cuentas de usuario para todos los usuarios que necesiten acceder a QRadar.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Perfiles de seguridad
Los perfiles de seguridad definen a qué redes, orígenes de registro y dominios puede acceder un usuario.
QRadar contiene un perfil de seguridad predeterminado para los usuarios administrativos. El perfil de
seguridad Admin incluye acceso a todas las redes, a todos los orígenes de registro y a todos los dominios.
Antes de añadir cuentas de usuario, debe crear más perfiles de seguridad para cumplir los requisitos de
acceso específicos de los usuarios.
Dominios
Los perfiles de seguridad se deben actualizar con un dominio asociado. Debe definir los dominios en la
ventana Gestión de dominios antes de que se muestre la pestaña Dominios en la ventana Gestión de
perfiles de seguridad. Las restricciones de nivel de dominio no se aplican hasta que se actualizan los
perfiles de seguridad y se despliegan los cambios.
Las asignaciones de dominio tienen prioridad sobre todos los valores de las pestañas Prioridad de
permiso, Redes y Orígenes de registro.
Si el dominio está asignado a un arrendatario, el nombre del arrendatario aparece entre corchetes junto al
nombre de dominio en la ventana Dominios asignados.
Prioridad de permiso
La prioridad de permiso determina qué componentes del perfil de seguridad deben tenerse en cuenta
cuando el sistema muestra sucesos en la pestaña Actividad de registro y flujos en la pestaña Actividad
de red.
Elija entre las restricciones siguientes cuando cree un perfil de seguridad:
• Ninguna restricción: Esta opción no aplica restricciones sobre los sucesos que se visualizan en la
pestaña Actividad de registro y los flujos que se visualizan en la pestaña Actividad de red.
• Solo red: Esta opción hace que el usuario pueda ver solamente los sucesos y los flujos que están
asociados con las redes especificadas en este perfil de seguridad.
• Solo orígenes de registro: Esta opción hace que el usuario pueda ver solamente los sucesos que están
asociados con los orígenes de registro especificados en este perfil de seguridad.
• Redes y orígenes de registro: Esta opción hace que el usuario pueda ver solamente los sucesos y los
flujos que están asociados con los orígenes de registro y las redes especificados en este perfil de
seguridad.
Por ejemplo, si el perfil de seguridad permite el acceso a sucesos de un origen de registro pero la red de
destino está restringida, el suceso no se visualiza en la pestaña Actividad de registro. El suceso debe
cumplir ambos requisitos.
• Redes u orígenes de registro: Esta opción hace que el usuario pueda ver los sucesos y los flujos que
están asociados con los orígenes de registro o las redes especificados en este perfil de seguridad.
© Copyright IBM Corp. 2012, 2019
13
Por ejemplo, si un perfil de seguridad permite el acceso a sucesos de un origen de registro pero la red de
destino está restringida, el suceso se visualiza en la pestaña Actividad de registro si la prioridad de
permiso está establecida en Redes u orígenes de registro. Si la prioridad de permiso está establecida en
Redes y orígenes de registro, el suceso no se visualiza en la pestaña Actividad de registro .
Prioridad de permiso para datos de infracción
Los perfiles de seguridad utilizan automáticamente el permiso de Redes u orígenes de registro cuando
se muestran datos de infracción. Por ejemplo, si una infracción tiene una dirección IP de destino que el
perfil de seguridad le permite ver, pero el perfil de seguridad no otorga permisos para la dirección IP de
origen, la ventana Resumen de infracciones muestra las direcciones IP de origen y de destino.
Creación de un perfil de seguridad
Para añadir cuentas de usuario, primero debe crear perfiles de seguridad para cumplir los requisitos de
acceso específicos de los usuarios.
Acerca de esta tarea
IBM QRadar SIEM contiene un perfil de seguridad predeterminado para los usuarios administrativos. El
perfil de seguridad Admin incluye acceso a todas las redes, a todos los orígenes de registro y a todos los
dominios.
Para seleccionar varios elementos en la ventana Gestión de perfiles de seguridad, mantenga pulsada la
tecla Control mientras selecciona cada red o grupo de redes que desea añadir.
Si después de añadir redes, orígenes de registro o dominios quiere eliminar uno o varios de los elementos
que ha añadido antes de guardar la configuración, puede seleccionar el elemento y pulsar el icono
Eliminar (<). Para eliminar todos los elementos, pulse Eliminar todo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse el icono Perfiles de seguridad.
4. En la barra de herramientas de la ventana Gestión de perfiles de seguridad, pulse Nuevo.
5. Configure los siguientes parámetros:
a) En el campo Nombre del perfil de seguridad, escriba un nombre exclusivo para el perfil de
seguridad. El nombre del perfil de seguridad debe cumplir los requisitos siguientes: 3 caracteres
como mínimo y 30 caracteres como máximo.
b) Opcional Escriba una descripción del perfil de seguridad. El número máximo de caracteres es de
255.
6. Pulse la pestaña Prioridad de permiso.
7. En el panel Configuración de prioridades de permiso, seleccione una opción de prioridad de permiso.
Consulte el apartado “Prioridad de permiso” en la página 13.
8. Configure las redes que desee asignar al perfil de seguridad:
a) Pulse la pestaña Redes.
b) En el árbol de navegación del panel izquierdo de la pestaña Redes, seleccione la red a la que
desea que este perfil de seguridad tenga acceso.
c) Pulse el icono Añadir (>) para añadir la red al panel Redes asignadas.
d) Repita este procedimiento por cada red que desee añadir.
9. Configure los orígenes de registro que desee asignar al perfil de seguridad:
a) Pulse la pestaña Orígenes de registro.
b) En el árbol de navegación del panel izquierdo, seleccione el grupo de orígenes de registro o el
origen de registro al que desea que este perfil de seguridad tenga acceso.
14 IBM Security QRadar: Guía de administración de QRadar
c) Pulse el icono Añadir (>) para añadir el origen de registro al panel Orígenes de registro asignados.
d) Repita este procedimiento por cada origen de registro que desee añadir.
10. Configure los dominios que desee asignar al perfil de seguridad:
a) Pulse la pestaña Dominios.
b) En el árbol de navegación del panel izquierdo, seleccione el dominio al que desea que este perfil
de seguridad tenga acceso.
c) Pulse el icono Añadir (>) para añadir el dominio red al panel Dominios asignados.
d) Repita este procedimiento para cada dominio que desee añadir.
11. Pulse Guardar.
Nota: Los orígenes de registro y los dominios asignados al perfil de seguridad deben coincidir. No
puede guardar el perfil de seguridad si los orígenes de registro y los dominios no coinciden.
12. Cierre la ventana Gestión de perfiles de seguridad.
13. En la pestaña Admin, pulse en Desplegar cambios.
Edición de un perfil de seguridad
Puede editar un perfil de seguridad existente para actualizar las redes y los orígenes de registro a los que
puede acceder un usuario y la prioridad de permiso.
Acerca de esta tarea
Para localizar rápidamente el perfil de seguridad que desea editar en la ventana Gestión de perfiles de
seguridad, escriba el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar. Se halla
encima del panel izquierdo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse el icono Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee editar.
5. En la barra de herramientas, pulse Editar.
6. Actualice los parámetros como sea necesario.
7. Pulse Guardar.
8. Si se abre la ventana El perfil de seguridad tiene datos de serie temporal, seleccione una de las
opciones siguientes:
Opción
Descripción
Conservar datos
antiguos y guardar
Seleccione esta opción para conservar los datos de serie temporal
acumulados anteriormente. Si elige esta opción, es posible que los usuarios
con este perfil de seguridad vean datos anteriores que ya no están
autorizados a ver cuando ven gráficos de serie temporal.
Ocultar datos
antiguos y guardar
Seleccione esta opción para ocultar los datos de serie temporal. Si elige esta
opción, la acumulación de datos de serie temporal se reinicia después de
desplegar los cambios de configuración.
9. Cierre la ventana Gestión de perfiles de seguridad.
10. En la pestaña Admin, pulse en Desplegar cambios.
Duplicación de un perfil de seguridad
Si desea crear un nuevo perfil de seguridad que sea bastante parecido a un perfil de seguridad ya
existente, puede duplicar el perfil de seguridad existente y, a continuación, modificar los parámetros.
Capítulo 3. Gestión de usuarios 15
Acerca de esta tarea
Para localizar rápidamente el perfil de seguridad que desea duplicar en la ventana Gestión de perfiles de
seguridad, puede escribir el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar, que se
halla encima del panel izquierdo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee duplicar.
5. En la barra de herramientas, pulse Duplicar.
6. En la ventana de confirmación, escriba un nombre exclusivo para el perfil de seguridad duplicado.
7. Pulse Aceptar.
8. Actualice los parámetros como sea necesario.
9. Cierre la ventana Gestión de perfiles de seguridad.
10. En la pestaña Admin, pulse en Desplegar cambios.
Supresión de un perfil de seguridad
Si un perfil de seguridad ya no es necesario, puede suprimirlo.
Acerca de esta tarea
Si hay cuentas de usuario asignadas a los perfiles de seguridad que desea suprimir, debe volver a asignar
las cuentas de usuario a otro perfil de seguridad. IBM QRadar SIEM detecta automáticamente esta
condición y le solicitará que actualice las cuentas de usuario.
Para localizar rápidamente el perfil de seguridad que desea suprimir en la ventana Gestión de perfiles de
seguridad, puede escribir el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar. Se
halla encima del panel izquierdo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee suprimir.
5. En la barra de herramientas, pulse Suprimir.
6. Pulse Aceptar.
7. Vuelva a asignar las cuentas de usuario de la lista a otro perfil de seguridad:
a) En el cuadro de lista Perfil de seguridad de usuario para asignar, seleccione un perfil de
seguridad.
b) Pulse Confirmar.
8. Cierre la ventana Gestión de perfiles de seguridad.
9. En la pestaña Admin, pulse en Desplegar cambios.
Cuentas de usuario
La cuenta de usuario define el nombre de usuario exclusivo utilizado para iniciar la sesión en IBM QRadar
y especifica a qué rol de usuario, perfil de seguridad y arrendatario está asignado el usuario.
16 IBM Security QRadar: Guía de administración de QRadar
Cuando configura inicialmente el sistema, debe crear cuentas de usuario para cada usuario que necesita
acceso a QRadar.
Ver y editar información sobre el usuario actual
Puede ver y editar la información de cuenta del usuario actual a través de la interfaz principal del
producto.
Procedimiento
1. Haga clic en el icono de usuario en la esquina superior derecha de la interfaz de producto principal.
2. Pulse en Preferencias de usuario.
3. Actualice los detalles de usuario configurables.
Parámetro
Descripción
Correo electrónico
Introduzca una dirección de correo electrónico
para asociar con este usuario. La dirección no
puede contener más de 255 caracteres y no
puede incluir espacios.
Contraseña actual
Introduzca su contraseña actual.
Contraseña nueva
Escriba una nueva contraseña para dar acceso al
usuario. La contraseña debe cumplir con la
longitud mínima y los requisitos de complejidad
obligatorios que impone la política de
contraseñas.
Confirmar nueva contraseña
Vuelva a escribir la nueva contraseña.
Entorno local
Seleccione el idioma preferido en la lista.
Habilitar notificaciones emergentes
Cuando se habilita, los mensajes de notificación
del sistema se muestran. Para inhabilitar las
notificaciones del sistema, establézcalo en off.
4. Pulse Guardar.
Visualización del historial de inicios de sesión de usuarios
Puede ver el historial de inicio de sesión de los usuarios para determinar si se ha producido un acceso no
autorizado a sus cuentas. Puede habilitar e inhabilitar el seguimiento de los intentos de inicio de sesión y
especificar el periodo de retención para el seguimiento de los intentos de inicio de sesión.
Acerca de esta tarea
Si habilita la visualización del historial de inicio de sesión, una ventana Historial de inicio de sesión
muestra la fecha, la hora y la dirección IP del último inicio de sesión correcto, así como el número de
intentos de inicio de sesión no satisfactorios de un usuario desde el último inicio de sesión correcto.
Si especifica un periodo de retención para el seguimiento de los intentos de inicio de sesión, QRadar
conserva el historial de inicio de sesión para los días seleccionados.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Valores del sistema.
3. Seleccione True en el campo Mostrar historial de inicios de sesión.
4. En el campo Retención de historial de inicio de sesión (en días), seleccione el número de días que se
conservará el historial de intentos de inicio de sesión no satisfactorios de un usuario.
Capítulo 3. Gestión de usuarios 17
Nota: El valor predeterminado es 0, que conserva todo el historial de inicios de sesión.
5. Pulse Guardar.
6. Cierre la ventana Valores del sistema.
7. En la pestaña Admin, pulse en Desplegar cambios.
Creación de una cuenta de usuario
Cuando cree una cuenta de usuario, debe asignar credenciales de acceso, un rol de usuario y un perfil de
seguridad al usuario. Los roles de usuario definen qué acciones puede realizar el usuario. Los perfiles de
seguridad definen a qué datos puede acceder el usuario.
Antes de empezar
Antes de crear una cuenta de usuario, debe asegurarse de que el rol de usuario y el perfil de seguridad
necesarios estén creados.
Acerca de esta tarea
Puede crear varias cuentas de usuario que incluyan privilegios administrativos; sin embargo, cualquier rol
de usuario que tenga privilegios de gestor administrador puede crear otras cuentas de usuario
administrativo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Gestión de usuarios, haga clic en Usuarios.
Se abre la ventana Gestión de usuarios.
3. Pulse Añadir.
4. Especifique los valores de los parámetros siguientes:
Parámetro
Descripción
Nombre de usuario
Introduzca un nombre de usuario exclusivo para
el usuario nuevo. El nombre de usuario debe
incluir de 1 a 60 caracteres.
Descripción del usuario
Escriba una descripción del usuario. La
descripción no puede contener más de 2048
caracteres.
Correo electrónico
Introduzca una dirección de correo electrónico
para asociar con este usuario. La dirección no
puede contener más de 255 caracteres y no
puede incluir espacios.
Contraseña nueva
Escriba una nueva contraseña para dar acceso al
usuario. La contraseña debe cumplir con la
longitud mínima y los requisitos de complejidad
obligatorios que impone la política de
contraseñas.
Confirmar nueva contraseña
Vuelva a escribir la nueva contraseña.
Rol de usuario
Seleccione un rol para este usuario en la lista.
Perfil de seguridad
Seleccione un perfil de seguridad para este
usuario en la lista.
5. Pulse Guardar.
6. Cierre la ventana Gestión de usuarios.
18 IBM Security QRadar: Guía de administración de QRadar
7. En la pestaña Admin, pulse en Desplegar cambios.
Edición de una cuenta de usuario
Puede editar la información de cuenta del usuario actual a través de la interfaz principal del producto.
Para localizar rápidamente la cuenta de usuario que desea editar en la ventana Gestión de usuarios,
escriba el nombre del usuario en el cuadro de texto Buscar usuario de la barra de herramientas.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Gestión de usuarios, haga clic en Usuarios.
3. En la ventana Gestión de usuarios, seleccione el usuario que desee editar.
Puede usar el Filtro avanzado para buscar por rol de usuario o perfil de seguridad.
4. En la ventana Detalles de usuario, haga clic en Editar.
5. Edite la información de cuenta del usuario.
Parámetro
Descripción
Descripción del usuario
Escriba una descripción del usuario. La
descripción no puede contener más de 2048
caracteres.
Correo electrónico
Introduzca una dirección de correo electrónico
para asociar con este usuario. La dirección no
puede contener más de 255 caracteres y no
puede incluir espacios.
Contraseña nueva
Escriba una nueva contraseña para dar acceso al
usuario. La contraseña debe cumplir con la
longitud mínima y los requisitos de complejidad
obligatorios que impone la política de
contraseñas.
Confirmar nueva contraseña
Vuelva a escribir la nueva contraseña.
Rol de usuario
Seleccione un rol para este usuario en la lista.
Perfil de seguridad
Seleccione un perfil de seguridad para este
usuario en la lista.
6. Pulse Guardar.
7. Cierre la ventana Gestión de usuarios.
8. En la pestaña Admin, pulse en Desplegar cambios.
Inhabilitación de una cuenta de usuario
Puede inhabilitar una cuenta de usuario para impedir que un usuario acceda a QRadar. La opción de
inhabilitar una cuenta de usuario temporalmente revoca el acceso de un usuario sin suprimir la cuenta.
Acerca de esta tarea
Si el usuario con la cuenta inhabilitada intenta iniciar sesión, un mensaje informa de que el nombre de
usuario y la contraseña ya no son válidos. Los elementos creados por el usuario, como por ejemplo las
búsquedas y los informes guardados, permanecen asociados al usuario.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Gestión de usuarios, haga clic en Usuarios.
Capítulo 3. Gestión de usuarios 19
3. En la ventana Gestión de usuarios, seleccione el usuario que desee inhabilitar.
Puede usar el Filtro avanzado para buscar por rol de usuario o perfil de seguridad.
4. Pulse Editar.
5. En la ventana Detalles de usuario, seleccione Inhabilitado en la lista Rol de usuario.
6. Pulse Guardar.
7. Cierre la ventana Gestión de usuarios.
8. En la pestaña Admin, pulse en Desplegar cambios.
Supresión de una cuenta de usuario
Si una cuenta de usuario ya no es necesaria, puede suprimirla. Después de suprimir un usuario, el usuario
ya no tendrá acceso a la interfaz de usuario. Si el usuario intenta iniciar sesión, se visualiza un mensaje
para informar al usuario de que el nombre de usuario y la contraseña ya no son válidos.
Acerca de esta tarea
Para localizar rápidamente la cuenta de usuario que desea editar en la ventana Gestión de usuarios,
escriba el nombre del usuario en el cuadro de texto Buscar del cuadro de texto.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Gestión de usuarios, haga clic en Usuarios.
3. En la ventana Gestión de usuarios, seleccione el usuario que desee eliminar.
Puede usar el Filtro avanzado para buscar por rol de usuario o perfil de seguridad.
4. En la ventana Detalles de usuario, haga clic en Eliminar.
Se inicia una búsqueda de dependientes.
5. En la ventana Dependientes encontrados, elimine o reasigne dependientes.
6. Cuando el usuario no tenga ningún dependiente, haga clic en Eliminar usuario.
7. En la ventana Confirmar eliminación, haga clic en Eliminar > Aceptar.
8. Haga clic en Eliminar usuario.
9. Cierre la ventana Gestión de usuarios.
10. En la pestaña Admin, pulse en Desplegar cambios.
Supresión de búsquedas guardadas de un usuario suprimido
Si ya no se necesitan las búsquedas guardadas de un usuario suprimido, puede suprimir las búsquedas.
Acerca de esta tarea
Las búsquedas guardadas que ha creado un usuario suprimido permanecen asociadas con el usuario
hasta que se suprimen las búsquedas.
Procedimiento
1. En el menú de navegación ( ), pulse Actividad de registro o Actividad de red.
2. Pulse Buscar > Gestionar resultados de búsqueda.
3. Pulse la columna Estado para ordenar las búsquedas guardadas.
4. Seleccione las búsquedas guardadas con un estado de "ERROR!" y pulse Suprimir.
20 IBM Security QRadar: Guía de administración de QRadar
Autenticación de inicio de sesión único
Security Assertion Markup Language (SAML) es una infraestructura para la autenticación y la autorización
entre un proveedor de servicios (SP) y un proveedor de identidades (IDP) en el que se intercambia la
autenticación utilizando documentos XML firmados digitalmente. El proveedor de servicios acepta confiar
en el proveedor de identidades para autenticar a los usuarios. A cambio, el proveedor de identidades
genera una aserción de autenticación, que indica que un usuario se ha autenticado.
Al utilizar la característica de autenticación de SAML, puede integrar fácilmente QRadar con el servidor de
identidad corporativo para proporcionar el inicio de sesión único, y elimina la necesidad de mantener
usuarios locales de QRadar. Los usuarios que se autentican en el servidor de identidad se pueden
autenticar automáticamente en QRadar. No necesitan recordar contraseñas por separado ni escribir las
credenciales cada vez que acceden a QRadar.
QRadar es completamente compatible con el perfil SSO web de SAML 2.0 como proveedor de servicios.
Admite el inicio y cierre de sesión únicos iniciados tanto por SP como por IDP.
Configuración de la autenticación de SAML
Puede configurar IBM QRadar para que utilice la infraestructura de inicio de sesión único Security
Assertion Markup Language (SAML) 2.0 para la autenticación y autorización de usuarios.
Antes de empezar
Para completar la configuración SAML en QRadar, debe generar un archivo de metadatos XML en su
servidor de Identity Provider (SAML).
Acerca de esta tarea
Siga estos pasos para configurar la autenticación de SAML en su host de QRadar. Después de completar
esta tarea, debe configurar el proveedor de identidades para que funcione con QRadar.
Procedimiento
1. En la pestaña Admin, pulse Autenticación.
2. En la ventana Valores de autenticación general, seleccione SAML 2.0 como el Módulo de
autenticación.
3. En la sección Configuración de proveedor de identidades, pulse Seleccionar archivo de
metadatos, vaya al archivo de metadatos XML que ha creado el proveedor de identidades y, a
continuación, pulse Abrir.
4. En la sección Configuración de proveedor de servicios, escriba el URL de ID de entidad.
5. Seleccione un Formato de NameID:
•
Sin especificar (predeterminado)
•
Persistente
•
email
•
X509SubjectName
•
WindowsDomainQualifiedName
•
kerberos
Consejo: Utilice Sin especificar a menos que el proveedor de identidades no lo admita.
6. Seleccione Solicitar protocolo de vínculo:
•
HTTP-POST
•
HTTP-Redirect
Capítulo 3. Gestión de usuarios 21
7. Si desea que la aserción devuelta sea firmada por el proveedor de identidades, seleccione Sí para
Solicitar aserción firmada.
8. Si desea que la aserción devuelta por el proveedor de identidades se cifre utilizando un certificado de
QRadar, seleccione Sí para Solicitar aserción cifrada.
Nota: La habilitación del cifrado requiere “Instalación de archivos de política de JCE de SDK sin
restricciones” en la página 24.
9. Si desea firmar la solicitud de autenticación utilizando un certificado de QRadar, seleccione Sí para
Firmar solicitud de autenticación.
10. Si desea cerrar automáticamente la sesión de los usuarios en el proveedor de identidades cuando se
desconectan de QRadar, seleccione Sí en Habilitar cierre de sesión único iniciado por proveedor
de servicios.
Consejo: Esta opción solo está disponible si su proveedor de identidades la admite.
11. Utilice uno de los métodos siguientes para configurar un certificado para la firma y el descifrado:
Opción
Descripción
Utilice el certificado de Utilice los enlaces de la ayuda contextual para descargar los archivos CA
QRadar_SAML
raíz, CA raíz CRL, CA intermedia de CA CRL intermedia del certificado, que
se deben cargar en el almacén de certificados de confianza del servidor
de proveedor de identidades.
Añadir un nuevo
certificado
Pulse Añadir y siga las instrucciones de este tema para agregar un
certificado personalizado: “Importar un nuevo certificado para la firma y
el descifrado” en la página 23
Renovar o actualizar
un certificado
existente
Pulse Renovar para renovar el certificado de QRadar_SAML si ha
caducado o caduca pronto. Pulse Actualizar para actualizar un certificado
personalizado que ha caducado o que caduca pronto. Estas opciones
aparecen según el certificado que esté utilizando.
12. Seleccione uno de los métodos siguientes para autorizar a los usuarios:
Opción
Descripción
Local
Debe crear usuarios de QRadar locales y configurar sus roles y perfiles de seguridad
en Gestor de usuarios.
Atributos
de usuario
QRadar utiliza los atributos proporcionados en las aserciones SAML para crear
usuarios locales automáticamente al recibir solicitudes de autenticación. Los roles y
los perfiles de seguridad se asignan de acuerdo con el valor del atributo de rol y el
atributo de perfil de seguridad. Estos atributos se deben proporcionar en las
aserciones, y los roles y los perfiles de seguridad deben existir previamente en
QRadar.
Nota: Cuando se utiliza un rol con funciones de administrador, el valor del atributo de
perfil de seguridad debe ser Admin.
Consejo: En un entorno de multitenencia, debe configurar el atributo Tenant para
asignar usuarios a arrendatarios. Si no se proporciona el atributo de arrendatario, el
usuario que se crea no se asigna a ningún arrendatario.
13. Pulse Guardar módulo de autenticación.
El archivo de metadatos SAML de QRadar se descarga automáticamente.
14. En la pestaña Admin, pulse en Desplegar cambios.
Qué hacer a continuación
Si ha seleccionado la autorización Local, acceda a Capítulo 3, “Gestión de usuarios”, en la página 13 para
crear usuarios locales. Si ha seleccionado Atributos de usuario, cree roles, perfiles de seguridad y
arrendatarios según sea necesario y, a continuación, despliegue.
22 IBM Security QRadar: Guía de administración de QRadar
Después de configurar QRadar, debe configurar el proveedor de identidades utilizando el archivo de
metadatos XML guardado.
Importar un nuevo certificado para la firma y el descifrado
La característica SAML 2.0 de QRadar tiene opciones para utilizar un certificado x509 que no sea el
certificado de QRadar_SAML proporcionado para la firma y el cifrado.
Procedimiento
1. Para Certificado para la firma y el cifrado, pulse Añadir.
2. En la ventana Importar certificado nuevo, escriba un Nombre descriptivo para el certificado.
3. Pulse Examinar para seleccionar un Archivo de clave privada y, a continuación, pulse Abrir.
4. Pulse Examinar para seleccionar un Archivo de certificado y, a continuación, pulse Abrir.
5. Si el certificado a subir tiene una CA Intermediate, pulse Examinar para seleccionar el Archivo de CA
Intermediate y, a continuación, pulse Abrir.
6. Si la entidad emisora de certificados raíz no es una CA raíz común preinstalada con el sistema
operativo, pulse Examinar para seleccionar el Archivo de CA raíz y, a continuación, pulse Abrir.
7. Pulse Cargar para cargar el certificado.
Configuración de SAML con Microsoft Active Directory Federation Services
Tras configurar su SAML en QRadar, puede configurar su proveedor de identidades utilizando el archivo
de metadatos XML que ha creado durante dicho proceso. En este ejemplo se incluyen instrucciones para
configurar Microsoft Active Directory Federation Services (AD FS) para la comunicación con QRadar
utilizando la infraestructura de inicio de sesión único de SAML 2.0 .
Antes de empezar
Para configurar el servidor AD FS, antes debe configurar SAML en QRadar. A continuación, copie el archivo
de metadatos XML de SAML de QRadar que ha creado durante ese proceso en una ubicación accesible
para el servidor de AD FS.
Procedimiento
1. En la consola de gestión de FS de AD, seleccione la carpeta Confianza de parte dependiente
(Relying Party Trusts).
2. En la barra lateral de Acciones, pulse Confianza de parte dependiente Estándar y pulse Iniciar.
Esto abre el asistente Añadir confianza de parte.
3. En la ventana Seleccionar origen de datos, seleccione Importar desde un archivo los datos sobre
la parte dependiente, vaya al archivo de metadatos XML de SAML de QRadar y pulse Abrir.
4. Pulse Siguiente.
5. Escriba un Nombre de visualización, añada Notas y, a continuación, pulse Siguiente.
6. Seleccione una política de control de acceso y pulse Siguiente.
7. Configure las opciones adicionales que necesite y pulse Siguiente.
8. Pulse Cerrar.
9. En la carpeta Confianza de parte dependiente, seleccione la confianza nueva que ha creado y, a
continuación, pulse Editar política de emisión de reclamaciones.
10. Pulse Añadir regla.
11. Seleccione Enviar atributos LDAP como reclamaciones en el menú Plantilla de regla de
reclamación y, a continuación, pulse Siguiente.
12. Escriba un Nombre de regla de reclamación y seleccione el Almacén de atributos.
13. Seleccione los atributos que se deben enviar en la aserción, establezca la correlación con el Tipo de
reclamación saliente y pulse Finalizar.
14. Pulse Añadir regla.
Capítulo 3. Gestión de usuarios 23
15. Seleccione Transformar una reclamación entrante en el menú Plantilla de regla de reclamación y,
a continuación, pulse Siguiente.
16. Configure las opciones siguientes:
•
Nombre de regla de reclamación
•
Tipo de reclamación entrante: usar valor UPN
•
Tipo de reclamación saliente, como NameID
• Formato del NameID saliente
17. Seleccione Paso a través de todos los valores de reclamación y, a continuación, pulse Finalizar.
18. Si ha configurado QRadar para que utilice el certificado QRadar_SAML proporcionado para SAML,
copie los archivos de CA raíz, CA intermedia y CRL previamente descargados en un directorio en el
servidor Windows. A continuación, abra una ventana de línea de mandatos como administrador en el
SO Windows y escriba los mandatos siguientes:
certutil
certutil
certutil
certutil
-addstore
-addstore
-addstore
-addstore
-f
-f
-f
-f
ROOT <vía_acceso_local>vault-qrd_ca.pem
CA <vía_acceso_local>QRadarSAML_ca.crt
ROOT <vía_acceso_local>QRadarSAML_ca.crl
Root <vía_acceso_local>vault-qrd_ca.crl
Los archivos se encuentran en /opt/qradar/ca/www.
Instalación de archivos de política de JCE de SDK sin restricciones
El uso de la tecnología de cifrado está controlado por las leyes de EE.UU. Los SDK (Solution Developer
Kits) de IBM Java incluyen archivos de política estrictos aunque de jurisdicción limitada. Para dar soporte
a las aserciones de SAML cifradas, con IBM QRadar, primero debe obtener los archivos de política de JCE
(Java Cryptography Extension) de jurisdicción ilimitada.
Procedimiento
1. Descargue los archivos de política de JCE (Java Cryptography Extension) sin restricciones:
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk
2. Seleccione "Java 5.0 SR16, Java 6 SR13, Java 6 SR5 (J9 VM2.6), Java 7 SR4, Java 8 GA, y todos
los release posteriores.
3. Seleccione IBM SDK Policy Files.
Nota: Se le redirige al archivo de política del SDK que es compatible con la versión de Java. QRadar
v7.3.2 utiliza SDK 1.8.
4. Inicie sesión utilizando su ID de usuario y contraseña de IBM.
Si no tiene un ID de usuario y una contraseña de IBM, se deberá registrar. Siga el enlace de registro de
la página de inicio de sesión.
5. Cuando se le solicite, seleccione el archivo comprimido para la versión de Java que está utilizando.
6. Pulse Continue para iniciar la descarga.
7. Desempaquete el archivo comprimido.
Seleccione los archivos JAR siguientes:
• local_policy.jar
• US_export_policy.jar
8. Coloque los archivos en el siguiente directorio:
/store/configservices/staging/globalconfig/java_security
9. Pulse Desplegar cambios.
Resolución de problemas de autenticación de SAML
Utilice la información siguiente para resolver problemas y errores al utilizar SAML 2.0 con QRadar.
24 IBM Security QRadar: Guía de administración de QRadar
Error de inicio o cierre de sesión
Cuando falla el inicio o cierre de sesión único, asegúrese de que los metadatos SAML de QRadar que ha
subido para identificar el proveedor de identidades coincide con los metadatos desplegados más
recientemente en https://<nombre_host_servidor_qradar>/console/SAMLMetadata.
Además, asegúrese de haber cargado los archivos de CA raíz, CA CRL raíz, CA intermedia, CA CRL
intermedia de los certificados seleccionados en la ubicación correcta de los almacenes de certificados del
servidor IDP. Cuando se utiliza el certificado QRadar_SAML proporcionado, puede descargar estos
archivos en:
http://<nombre_host_servidor_qradar>:9381/vault-qrd_ca.pem
http://<nombre_host_servidor_qradar>:9381/QRadarSAML_ca.crt
http://<nombre_host_servidor_qradar>:9381/vault-qrd_ca.crl
http://<nombre_host_servidor_qradar>:9381/QRadarSAML_ca.crl
Nota: Si está utilizando el certificado QRadar_SAML proporcionado, los pasos anteriores son necesarios
después de restaurar QRadar desde una copia de seguridad.
Cuenta no autorizada
Determinados problemas de configuración pueden producir este error:
Esta cuenta no tiene autorización para acceder a QRadar.
Cierre la sesión desde el proveedor de identidades de SAML y utilice una cuenta autorizada para
iniciar la sesión.
Si utiliza una autorización Local, asegúrese de que el NameID en la aserción SAML coincide con un
usuario de QRadar existente y que el usuario esté desplegado.
Si está utilizando la autorización de Atributo de usuario, asegúrese de que la aserción SAML contiene los
atributos de rol y de perfil de seguridad configurados con valores que coinciden con un rol desplegado
existente y un perfil de seguridad en QRadar. Cuando se utiliza un rol con funciones de administrador, el
valor del atributo de perfil de seguridad debe ser Admin. Si la aserción contiene un atributo de
arrendatario en un entorno de multitenencia, asegúrese de que el valor del atributo coincide con un
arrendatario existente en QRadar.
Archivos de registro
Puede diagnosticar muchos otros problemas utilizando los registros del servidor de proveedor de
identidades y el registro /var/log/qradar.error.
Restaurar inicio de sesión del sistema para investigación
Para investigar problemas con SAML 2.0, puede restaurar QRadar para que utilice el inicio de sesión del
sistema predeterminado.
Copie el contenido de /opt/qradar/conf/templates/login.conf en /opt/qradar/conf/
login.conf
En QRadar V7.3.2 Fixpack 2 y versiones anteriores, también puede editar el archivo /opt/qradar/
conf/login.conf y cambiar
ModuleClass=com.q1labs.uiframeworks.auth.SAMLLoginModule
a
ModuleClass=com.q1labs.uiframeworks.auth.UserConfLoginModule
En QRadar V7.3.2 Fixpack 3 y versiones posteriores: edite el archivo /opt/qradar/conf/login.conf
y cambie
ModuleClass=com.q1labs.uiframeworks.auth.configuration.SamlLoginConfiguration
a
Capítulo 3. Gestión de usuarios 25
ModuleClass=com.q1labs.uiframeworks.auth.configuration.LocalPasswordLoginConfiguration
Borre la memoria caché del navegador e inicie la sesión como usuario administrador. Después de
completar la investigación, vuelva a cambiar el atributo por SAMLLoginModule y vuelva a borrar la
memoria caché del navegador.
No se puede acceder a la consola de QRadar después de iniciar sesión con un proveedor de
identidades
Asegúrese de que el nombre de host de la consola de QRadar pueda ser resuelto por el servidor DNS
local. Además, asegúrese de que el sistema puede establecer contacto con la consola de QRadar
utilizando el nombre de host.
Errores de inicio y cierre de sesión en el servidor IDP
Compruebe los registros del servidor IDP para determinar si las anomalías están causadas por errores en
las comprobaciones de revocación de CRL. De ser así, importe las CRL de certificado de QRadar_SAML en
el servidor IDP, o asegúrese de que el servidor IDP puede establecer contacto con la consola de QRadar
mediante una conexión HTTP.
El certificado de proveedor de identidades ha caducado
Cuando el certificado del archivo de metadatos de los proveedores de identidad ha caducado, no puede
iniciar la sesión en QRadar, y aparece el error siguiente en el archivo /var/log/qradar.error:
com.q1labs.uiframeworks.auth.saml.metadata.DefaultMetadataServiceImpl:
[ERROR] NotAfter: <fecha>
java.security.cert.CertificateExpiredException: NotAfter:
Para resolver este problema, solicite a su proveedor de identidad que actualice el certificado en el archivo
de metadatos y, a continuación, vuelva a configurar SAML en QRadar para que utilice el nuevo archivo de
metadatos de IDP.
El certificado QRadar_SAML ha caducado
Cuando queda poco para que caduque el certificado QRadar_SAML, se muestra una notificación del
sistema QRadar.
Antes de que caduque el certificado, debe renovarlo.
1. En la pestaña Admin, pulse Autenticación.
2. En la ventana Valores de autenticación general, seleccione SAML 2.0 como el Módulo de
autenticación.
3. Pulse Renovar para renovar el certificado de QRadar_SAML.
4. Pulse Guardar módulo de autenticación.
El archivo de metadatos SAML de QRadar se descarga automáticamente.
5. Pulse los enlaces de la ayuda contextual para descargar el CA raíz de QRadar y el certificado de CA
intermedio, así como los archivos de CRL.
6. En la pestaña Admin, pulse en Desplegar cambios.
7. Envíe los archivos siguientes al servidor de IDP para desplegar los cambios.
• Archivo de metadatos de QRadar
• Certificado de CA raíz de QRadar
• Certificado de CA intermedio de QRadar
• Archivos CRL
26 IBM Security QRadar: Guía de administración de QRadar
El certificado de terceros ha caducado
No es necesario utilizar el certificado de QRadar_SAML que se proporciona con QRadar; puede utilizar su
propio certificado de terceros. Cuando el certificado está a punto de caducar, se muestra una notificación
del sistema de QRadar.
Antes de que caduque el certificado de terceros, debe actualizar el certificado existente o añadir un
nuevo certificado.
1. En la pestaña Admin, pulse Autenticación.
2. En la ventana Valores de autenticación general, seleccione SAML 2.0 como el Módulo de
autenticación.
3. Pulse Añadir o Actualizar.
4. Pulse Guardar módulo de autenticación.
El archivo de metadatos SAML de QRadar se descarga automáticamente.
5. Pulse los enlaces de la ayuda contextual para descargar el CA raíz de QRadar y el certificado de CA
intermedio, así como los archivos de CRL para el certificado.
6. En la pestaña Admin, pulse en Desplegar cambios.
7. Envíe los archivos siguientes al servidor de IDP para desplegar los cambios.
• Archivo de metadatos de QRadar
• Certificado de CA raíz de QRadar
• Certificado de CA intermedio de QRadar
• Archivos CRL
Capítulo 3. Gestión de usuarios 27
28 IBM Security QRadar: Guía de administración de QRadar
Capítulo 4. Gestión del sistema
IBM QRadar tiene una arquitectura modular que admite despliegues de diversos tamaños y topologías.
En un despliegue de un solo host, todos los componentes de software se ejecutan en un solo dispositivo,
y la QRadar Console proporciona la interfaz de usuario, las vistas de sucesos flujos en tiempo real,
informes, delitos, información de activos y funciones administrativas.
Para escalar QRadar, puede añadir hosts gestionados no de consola al despliegue. Puede configurar un
tipo de componente específico, como por ejemplo pasarelas de datos, procesadores y nodos de datos,
para cada host gestionado, proporcionando una mayor flexibilidad para gestionar la recopilación y el
proceso de datos en un entorno distribuido.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Ver información de estado del sistema
La aplicación Datos de despliegue de QRadar es una potente aplicación de supervisión que consolida
datos de estado históricos para cada host gestionado en el despliegue. Utilice la aplicación para
supervisar el estado del despliegue de QRadar.
Descripción general del estado del host del panel de control Datos de despliegue de QRadar muestra el
estado de cada dispositivo (activo, en espera, fuera de línea o desconocido) y el número de notificaciones
de cada host, el nombre del host y el tipo de dispositivo, el uso del disco, el estado y la modificación de
hora. En Descripción general del estado del host, puede profundizar para ver más información visual
sobre el estado del host gestionado, como las tasas de sucesos y flujos, las notificaciones del sistema e
información del disco.
Para ayudarle a resolver problemas relacionados con el despliegue, utilice la función Obtener registros
para recopilar archivos de registro desde la QRadar Console y otros hosts gestionados en el despliegue.
La aplicación Datos de despliegue de QRadar está disponible en IBM Security App Exchange. Debe
instalar la aplicación y, a continuación, crear una señal de servicio autorizado para permitir que la
aplicación utilice la API de QRadar para solicitar datos a los hosts gestionados.
La aplicación QRadar Deployment Intelligence utiliza las métricas de estado de QRadar para supervisar
su despliegue. Las métricas de estado son pequeños sucesos del sistema esenciales que no cuentan para
su licencia.
Tipos de componentes de QRadar
Cada dispositivo de IBM QRadar que se añade al despliegue tiene componentes configurables que
especifican la forma en que el host gestionado se comporta en QRadar.
© Copyright IBM Corp. 2012, 2019
29
Consola de QRadar
Procesador de sucesos
Procesador de flujos
Nodos de datos
Recopilador de sucesos
Recopilador de flujo
Figura 4. Componentes de sucesos y de flujos de QRadar
QRadar Console
La QRadar Console proporciona la interfaz de producto de QRadar, vistas de sucesos y de flujos en tiempo
real, informes, infracciones, información de activos y funciones administrativas. En entornos distribuidos,
la QRadar Console se utiliza para gestionar los demás componentes del despliegue.
Recopilador de sucesos
El Recopilador de sucesos recopila sucesos de orígenes de registro locales y remotos, y normaliza los
datos de sucesos en bruto de forma que los pueda utilizar QRadar. Para conservar los recursos del
sistema, el Recopilador de sucesos empaqueta juntos los sucesos idénticos y envía los datos al
Procesador de sucesos.
Procesador de sucesos
El Procesador de sucesos procesa sucesos recopilados de uno o más componentes de Recopilador de
sucesos. Si los sucesos se ajustan a las reglas personalizadas definidas en la Consola, el Procesador de
sucesos realiza la acción que se ha definido en la respuesta de regla.
Cada Procesador de sucesos dispone de almacenamiento local. Los datos de sucesos se almacenan en el
procesador, o se pueden almacenar en un Nodo de datos.
QRadar QFlow Collector
QRadar QFlow Collector recopila los flujos de red procedentes de los dispositivos de la red. Se incluyen
los canales de información en directo y grabados, como los registros de flujo de TAP de red, puertos
SPAN, NetFlow y QRadar.
Restricción: QRadar Log Manager no da soporte a la recopilación de flujos
30 IBM Security QRadar: Guía de administración de QRadar
Procesador de flujos
El Procesador de flujos procesa flujos de uno o más dispositivos QRadar QFlow Collector. El dispositivo
Procesador de flujos también puede recopilar flujos de red externa, como por ejemplo NetFlow, J-Flow y
sFlow directamente desde direccionadores de su red.
Los Procesadores de flujos incluyen un procesador incorporado y almacenamiento interno para los datos
de flujo.
Nodo de datos
El Nodo de datos recibe sucesos de seguridad y flujos procedentes de procesadores de sucesos y de
flujos y almacena los datos en disco.
El Nodo de datos siempre está conectado a un Procesador de sucesos o a un Procesador de flujos.
Dispositivos de origen y destino externos
Un dispositivo externo es un dispositivo de QRadar que no forma parte del despliegue y que está
supervisado por la QRadar Console.
Un dispositivo de origen externo reenvía los datos normalizados a un Recopilador de sucesos. Puede
configurar un origen externo para que cifre los datos antes de reenviarlos.
Un dispositivo de destino externo recibe los datos normalizados de sucesos o de flujos de cualquier
Recopilador de sucesos o de cualquier procesador del despliegue.
Las últimas versiones de sistemas QRadar pueden recibir datos de versiones anteriores de sistemas
QRadar, pero las versiones anteriores no pueden recibir datos de las posteriores. Para evitar problemas,
actualice todos los receptores antes de actualizar los emisores.
Nodos de datos
Un nodo de datos es un dispositivo que puede añadir a sus procesadores de sucesos y flujos para
aumentar la capacidad de almacenamiento y mejorar el rendimiento de las búsquedas. Puede añadir un
número ilimitado de nodos de datos para su despliegue de IBM QRadar, y se pueden añadir en cualquier
momento. Cada nodo de datos se puede conectar únicamente a un procesador, pero un procesador
puede dar soporte a varios nodos de datos.
Para obtener más información sobre cómo planificar el despliegue, consulte la publicación IBM QRadar
Architecture and Deployment Guide.
Hora del sistema de QRadar
Cuando el despliegue abarque varios husos horarios, configure todos los dispositivos para que utilicen el
mismo huso horario que la consola de IBM QRadar. También puede configurar todos los dispositivos para
que utilicen la hora media de Greenwich (GMT).
Configure la hora del sistema de IBM QRadar desde la interfaz de usuario de QRadar. Puede configurar la
hora manualmente o configurando los servidores de protocolo de hora en red (NTP) para mantener la
hora del sistema.
La hora se sincroniza automáticamente entre la QRadar Console y los hosts gestionados.
Problemas provocados por la discrepancia de husos horarios
Para asegurarse de que las búsquedas y las funciones relacionadas con datos funcionan adecuadamente,
todos los dispositivos deben sincronizar los valores de hora con el dispositivo de QRadar Console. Cuando
los valores de huso horario sean discrepantes, puede que vea resultados incoherentes entre los datos de
informe y de búsqueda de QRadar.
Capítulo 4. Gestión del sistema 31
El servicio de acumulador se ejecuta en todos los dispositivos con almacenamiento local para crear
acumulaciones minuto a minuto y resúmenes horarios y diarios. QRadar utiliza los datos acumulados en
informes y en gráficos de series temporales. Cuando los husos horarios son discrepantes en un
despliegue distribuido, es posible que el informe y los gráficos de series temporales muestren resultados
incoherentes comparados con los resultados de consulta de AQL debido a la forma en que se agregan los
datos acumulados.
Las búsquedas de QRadar se ejecutan contra datos que se almacenan en las bases de datos de Ariel, que
utilizan una estructura de fecha (AAAA/MM/DD/HH/MM) para almacenar archivos en el disco. Cambiar el
huso horario después de que los datos se hayan grabado en disco, interrumpe la secuencia de
denominación de archivos en las bases de datos de Ariel y puede provocar problemas de integridad.
Redes habilitado para NAT
NAT (conversión de direcciones de red) convierte una dirección IP en una red a una dirección IP diferente
en otra red. NAT proporciona una mayor seguridad para su despliegue de IBM QRadar puesto que las
solicitudes se gestionan a través del proceso de conversión y las direcciones IP internas están ocultas.
Con NAT, los sistemas que se encuentran en una red privada interna se convierten con un dispositivo de
red, normalmente un cortafuegos, y pueden comunicarse con la Internet pública a través de esa red.
Utilice NAT para correlacionar direcciones IP internas individuales con direcciones IP externas
individuales.
La configuración de NAT de QRadar requiere una NAT estática y permite únicamente una dirección IP por
cada host gestionado.
Cualquier host de QRadar que no esté en el mismo grupo NAT que su igual, o que esté en un grupo NAT
distinto, se configura para que utilice la dirección IP pública de ese host para llegar al mismo. Por
ejemplo, cuando se configura una dirección IP pública en la QRadar Console, cualquier host que se
ubique en el mismo grupo NAT utiliza la dirección IP privada de QRadar Console para comunicarse.
Cualquier host gestionado que se ubique en un grupo NAT diferente utiliza la dirección IP pública de
QRadar Console para comunicarse.
Si tiene un host en una de estas ubicaciones de grupo NAT que no requiere una conversión externa,
especifique la dirección IP privada en los campos IP privada e IP pública. Los sistemas en ubicaciones
remotas con un grupo NAT distinto al de la consola continuarán necesitando una dirección IP externa y
NAT, ya que deberán poder establecer conexiones con la consola. Solo los hosts que se encuentren en el
mismo grupo NAT que la consola podrán utilizar las mismas direcciones IP públicas y privadas.
Hosts gestionados
Para obtener una mayor flexibilidad sobre la recopilación de datos y el proceso de sucesos y flujos, cree
un despliegue de IBM QRadar distribuido añadiendo hosts gestionados que no sean de consola, como por
ejemplo, pasarelas, procesadores y nodos de datos.
Para obtener más información sobre cómo planificar y crear un entorno de QRadar consulte el apartado
IBM QRadar Architecture and Deployment Guide.
Requisitos de compatibilidad de software
Las versiones de software de todos los dispositivos del despliegue de IBM QRadar ser de la misma
versión y nivel de fixpack. No se da soporte a despliegues que utilicen versiones distintas de software
porque los entornos de software mixto pueden hacer que las reglas no se activen, que no se creen o
actualicen las infracciones o que se produzcan errores en los resultados de búsqueda.
Cuando un host gestionado utiliza una versión de software distinta a la de la consola de QRadar, es
posible que pueda ver los componentes que ya estaban asignados al host, pero no podrá configurar el
componente ni añadir o asignar nuevos componentes.
32 IBM Security QRadar: Guía de administración de QRadar
Requisitos del Protocolo Internet (IP)
Se permiten varias combinaciones de protocolos IP a la hora de añadir hosts que no están gestionados
por consola, según se describe en la tabla siguiente:
Tabla 3. Combinaciones admitidas de protocolos IP al añadir hosts gestionados que no son de consola
Hosts gestionados
QRadar Console
(IPv6, único)
QRadar Console
(IPv6, HA)
QRadar Console
(pila dual, único)
QRadar Console
(pila dual, HA)
IPv4, único
×
×
✓*
×
IPv4, HA
×
×
×
×
IPv6, único
✓
✓
✓
×
IPv6, HA
✓
✓
✓
×
Restricción: *De forma predeterminada, no puede añadir un host gestionado solo IPv4 a una consola
IPv6 y de modalidad de pila dual IPv4. Debe ejecutar un script para habilitar un host gestionado solo
IPv4. Para obtener más información, consulte Adición de un host gestionado solo IPv4 en un entorno de
pila dual.
Una consola de pila dual da soporte tanto a IPv4 como a IPv6.
No puede añadir un host gestionado a una consola de alta disponibilidad (HA) de pila dual.
Puede añadir un host gestionado con IPv6 a una consola única de pila dual o a una consola de solo IPv6.
Solo puede añadir un host gestionado con IPv4 a una consola única de pila dual.
Consideraciones de ancho de banda para hosts gestionados
Para replicar datos de estado y configuración, asegúrese de tener un ancho de banda 100 Mbps como
mínimo entre la consola de IBM QRadar y todos los hosts gestionados. El ancho de banda más elevado es
necesario cuando realiza búsquedas en la actividad de registro y de red y tiene más de 10.000 sucesos
por segundo (EPS).
Un Recopilador de sucesos configurado para almacenar y reenviar datos a un Procesador de sucesos
reenvía los datos de acuerdo con la planificación que haya definido. Asegúrese de tener suficiente ancho
de banda para cubrir la cantidad de datos que se recopilen, de lo contrario, el dispositivo de reenvío no
podrá mantener el ritmo planificado.
Utilice los métodos siguientes para mitigar las limitaciones de ancho de banda entre centros de datos:
Procese y envíe datos a hosts en el centro de datos primario
Diseñe el despliegue para procesar y enviar datos a medida que se recopilan a hosts del centro de
datos primario donde reside la consola. En este diseño, todas las búsquedas basadas en usuario
consultan los datos del centro de datos local en lugar de esperar a que los sitios remotos devuelvan
datos.
Puede desplegar un recopilador de sucesos de almacén y reenvío, como por ejemplo un dispositivo
QRadar 15XX físico o virtual en ubicaciones remotas para controlar ráfagas de datos en la red. El
ancho de banda se utiliza en las ubicaciones remotas y las búsquedas de datos tienen lugar en el
centro de datos en vez de en la ubicación remota.
No ejecute búsquedas de datos intensivas a través de conexiones con un ancho de banda limitado
Asegúrese de que los usuarios no ejecutan búsquedas de datos intensivas sobre enlaces que tengan
un ancho de banda limitado. Especificar filtros precisos sobre la búsqueda limita la cantidad de datos
que se recuperan de las ubicaciones remotas y reduce el ancho de banda necesario para devolver los
resultados de la consulta.
Cifrado
Para proporcionar una transferencia de datos segura entre cada uno de los dispositivos del entorno, IBM
QRadar dispone de soporte integrado de cifrado que utiliza OpenSSH. El cifrado tiene lugar entre los
hosts gestionados: por lo tanto, debe tener al menos un host gestionado para poder habilitar el cifrado.
Capítulo 4. Gestión del sistema 33
Cuando el cifrado está habilitado, se crea un túnel seguro en el cliente que inicia la conexión, utilizando
una conexión de protocolo SSH. Cuando se habilita el cifrado en un host gestionado, se crea el túnel SSH
para todas las aplicaciones cliente del host gestionado. Cuando se habilita el cifrado en un host
gestionado no de consola, se crean túneles de cifrado automáticamente para las bases de datos y otras
conexiones de servicio de soporte a la consola. Para asegurarse de que todos los datos entre hosts
gestionados están cifrados, habilite el cifrado.
Por ejemplo, con el cifrado habilitado en un Procesador de sucesos, la conexión entre el Procesador de
sucesos y el Recopilador de sucesos está cifrada, y la conexión entre el Procesador de sucesos y el
Magistrado está cifrada.
El túnel SSH entre dos hosts gestionados se puede iniciar desde el host remoto en lugar del host local.
Por ejemplo, si tiene una conexión de un Procesador de sucesos en un entorno seguro a un Recopilador
de sucesos que está fuera del entorno seguro, y tiene una regla de cortafuegos que impediría que un host
situado fuera del entorno seguro se conectara con un host del entorno seguro, puede conmutar qué host
crea el túnel para que la conexión se establezca desde el Procesador de sucesos marcando el recuadro
de selección Inicio de túnel remoto para el Recopilador de sucesos.
No puede invertir los túneles de la consola a los hosts gestionados.
Hacer cambios en su entorno QRadar
Al realizar cambios de configuración en IBM QRadar, los cambios se guardan en un área de transferencia
y el banner de despliegue de la pestaña Admin se actualiza para indicar que es necesario implementar
los cambios. La implementación de los cambios puede requerir un reinicio de los servicios de QRadar.
QRadar tiene dos métodos para implementar cambios: configuración estándar y completa. El tipo de
despliegue necesario depende del tipo de cambios que se hayan realizado.
Implementación estándar
Este método de implementación reinicia únicamente aquellos servicios que están directamente
afectados por los cambios que se han realizado. Para iniciar una implementación estándar, haga clic en
Implementar cambios en el banner de la pestaña Admin.
La lista siguiente muestra algunos ejemplos de cambios que requieren una implementación estándar:
• Añadir o editar un usuario o un rol de usuario nuevos.
• Configurar una contraseña para otro usuario.
• Cambiar el rol de un usuario o su perfil de seguridad.
Implementación de la configuración completa
Los cambios que afecten a todo el despliegue de QRadar deben implementarse utilizando el método de
despliegue de configuración completa. Para comenzar un despliegue de configuración completa, haga clic
en Desplegar configuración completa en el menú Opciones avanzadas de la pestaña Admin.
Este método vuelve a crear todos los archivos de configuración en cada uno de los hosts gestionados.
Para garantizar que la nueva configuración se ha cargado correctamente, todos los servicios de los hosts
gestionados se reinician automáticamente, excepto el servicio de recopilación de sucesos. Mientras se
reinician otros servicios, QRadar continúa recopilando sucesos y los guarda en un almacenamiento
intermedio hasta que los hosts gestionados vuelven a estar en línea.
La lista siguiente muestra algunos ejemplos de cambios que requieren un despliegue de configuración
completa:
• Añadir un host gestionado.
• Cambiar la configuración de un host gestionado.
• Configurar hosts externos para enviar o recibir datos de QRadar Console.
34 IBM Security QRadar: Guía de administración de QRadar
• Restaurar una copia de seguridad de la configuración.
Cambios que afectan a la recopilación de sucesos
Los sucesos entran en QRadar a través del servicio de recopilación de sucesos ecs-ec-ingress. A
partir de QRadar V7.3.1, el servicio se gestiona de forma independiente de otros servicios de QRadar.
Para reducir al máximo las interrupciones en la recopilación de datos de suceso, el servicio no se reinicia
automáticamente cuando se reinicia el servicio hostcontext.
Las siguientes situaciones pueden ocasionar una interrupción en la recopilación de sucesos:
• Arrancar un dispositivo que recopila sucesos.
• Añadir un host gestionado de alta disponibilidad.
• Durante una migración tras error de alta disponibilidad.
• Restaurar una copia de seguridad de la configuración.
• Añadir o eliminar una conexión de origen externo
• Siempre que una partición de uso de disco supera el umbral máximo.
Cuando implemente cambios después de restaurar una copia de seguridad de configuración, puede
reiniciar el servicio de recopilación de sucesos en ese momento o más adelante. Si opta por reiniciar el
servicio más tarde, QRadar implementará todos los cambios que no dependan del servicio de
recopilación de sucesos y seguirá recopilando sucesos mientras se reinician los demás servicios. El
banner de despliegue seguirá mostrando los cambios sin implementar y aparecerá el mensaje Debe
reiniciarse el servicio de recopilación de sucesos cuando vea los detalles.
Configuración de un Recopilador de sucesos
Añada un Recopilador de sucesos de QRadar cuando desee expandir el despliegue, ya sea para recopilar
más sucesos localmente o para recopilar sucesos de una ubicación remota.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. Pulse Configuración del sistema > Gestión del sistema y licencias.
3. Seleccione el host gestionado que desea configurar.
4. Pulse Acciones de despliegue > Editar host.
5. Pulse Gestión de componentes.
6. Especifique los valores de los parámetros siguientes:
Parámetro
Descripción
Event Forwarding Listen Port
Puerto de reenvío de sucesos del Recopilador de
sucesos.
Flow Forwarding Listen Port
Puerto de reenvío de flujos del Recopilador de
sucesos.
Capítulo 4. Gestión del sistema 35
Parámetro
Descripción
Autodetection Enabled
True permite que el Recopilador de sucesos
analice y acepte automáticamente el tráfico
procedente de orígenes de registro desconocidos
anteriormente. Los puertos de cortafuegos
adecuados se abren para permitir que la
detección automática reciba sucesos. Esta es la
opción predeterminada.
False impide que el Recopilador de sucesos
analice y acepte automáticamente el tráfico
procedente de orígenes de registro desconocidos
anteriormente.
Para obtener más información, consulte la
publicación Managing Log Sources Guide.
Detección automática: utilizar valores globales True especifica que el Recopilador de sucesos
utiliza valores globales para la detección
automática del origen de registro.
False especifica que el Recopilador de sucesos
utiliza configuración local, individual (archivo de
configuración XML) para la detección automática
del origen de registro.
Flow Deduplication Enabled
Flow Deduplication Filter Time
Tiempo, en segundos, que los flujos están en el
almacenamiento intermedio antes de que se
reenvíen.
Asymmetric Flow Filter Time
Cantidad de tiempo, en segundos, que el flujo
asimétrico está en el almacenamiento intermedio
antes de que se reenvíe.
Forward Events Already Seen
True permite que el Recopilador de sucesos
reenvíe los sucesos que se han detectado en el
sistema.
False impide que el Recopilador de sucesos
reenvíe los sucesos que se han detectado en el
sistema. Esta opción evita los bucles de sucesos
en el sistema.
Compress Event Processor Traffic
7. Pulse Guardar.
8. Repita esta acción para todos los QRadar Event Collectors del despliegue que desee configurar.
Despliegue de cambios
Los cambios que se realicen en el despliegue de IBM QRadar deben moverse del área de transferencia al
área de producción.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. Compruebe el banner de despliegue para determinar si es necesario implementar los cambios.
3. Pulse en Ver detalles para ver información acerca de los cambios de configuración no desplegados.
36 IBM Security QRadar: Guía de administración de QRadar
4. Elija el método de despliegue:
a) Para implementar los cambios y reiniciar solo los servicios afectados, haga clic en Desplegar
cambios en el banner de despliegue.
b) Para volver a crear los archivos de configuración y reiniciar todos los servicios en cada host
gestionado, pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando
el servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente.
Se mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Reinicio del servicio de recopilación de sucesos
Puede haber situaciones en las que desee reiniciar solo el servicio de recopilación de sucesos en todos
los hosts gestionados de su entorno de IBM QRadar. Por ejemplo, cuando una nueva versión del servicio
ecs-ec-ingress está disponible para actualizar o cuando aplace el reinicio del servicio durante un
despliegue anterior.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En el menú Avanzado, pulse Reiniciar servicios de recopilación de sucesos.La recopilación de
sucesos se interrumpirá de forma breve mientras se reinicia el servicio.
Restablecimiento de SIM
Después de ajustar el despliegue, evite recibir información adicional de falsos positivos restableciendo la
SIM para eliminar todas las infracciones y las direcciones IP de destino de la base de datos y del disco.
Acerca de esta tarea
El proceso de restablecimiento de SIM puede tardar varios minutos, en función de la cantidad de datos
del sistema. Si intenta ir a otras áreas de la interfaz de usuario de IBM QRadar durante el proceso de
restablecimiento de SIM, se visualiza un mensaje de error.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En el menú Avanzado, seleccione Limpiar modelo SIM.
3. Lea la información en la ventana Restablecer modelo de datos SIM .
4. Seleccione una de las siguientes opciones.
Opción
Descripción
Limpieza
parcial
Cierra todas las infracciones de la base de datos. Si selecciona la opción Limpieza
parcial, podrá seleccionar también la casilla de verificación Desactivar todas las
infracciones.
Limpieza total
Purga todos los datos de SIM actuales e históricos de la base de datos, incluidos
las infracciones protegidas, las direcciones IP de origen y las direcciones IP de
destino.
5. Si desea continuar, seleccione la casilla de verificación ¿Está seguro de que desea restablecer el
modelo de datos?.
6. Pulse Continuar.
7. Cuando haya finalizado el proceso de restablecimiento de SIM, pulse Cerrar.
8. Refresque el navegador web.
Capítulo 4. Gestión del sistema 37
38 IBM Security QRadar: Guía de administración de QRadar
Capítulo 5. Configurar QRadar
Utilice los valores de la pestaña de administración para configurar el despliegue de IBM QRadar, incluidos
la jerarquía de red, las actualizaciones automáticas, los valores del sistema, los grupos de retención de
sucesos, las notificaciones del sistema, los valores de la consola y la gestión de índices.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Jerarquía de red
IBM QRadar utiliza los objetos y grupos de jerarquía de red para visualizar la actividad de red y supervisar
los grupos o servicios de la red.
Cuando cree la jerarquía de red, considere el método más eficaz para ver la actividad de red. No es
necesario que la jerarquía de red se parezca al despliegue físico de la red. QRadar da soporte a cualquier
jerarquía de red que pueda definirse mediante un rango de direcciones IP. Puede basar la red en muchas
variables diferentes, incluidas las unidades de negocio o geográficas.
Conceptos relacionados
Actualizaciones de la jerarquía de red en un despliegue multiarrendatario
Directrices para definir la jerarquía de red
La creación de una jerarquía de red en IBM QRadar es un primer paso esencial en la configuración de un
despliegue. Sin una jerarquía de red bien configurada, QRadar no puede determinar las direcciones de
flujo, ni crear una base de datos de activos fiable, ni beneficiarse de los bloques de construcción de las
reglas.
Tenga en cuenta las directrices siguientes al definir la jerarquía de red:
• Organice los sistemas y redes por rol o patrones de red similares.
Por ejemplo, puede organizar la red para que incluya grupos para servidores de correo, usuarios de los
departamentos, laboratorios o grupos de desarrollo. Con esta organización, puede diferenciar el
comportamiento de red y aplicar políticas de seguridad de gestión de red basadas en comportamiento.
Sin embargo, no debe agrupar con otros servidores en la red un servidor que tenga un comportamiento
exclusivo. La colocación de un servidor exclusivo sin otros servidores le da mayor visibilidad en QRadar
y facilita crear políticas de seguridad específicas para el servidor.
• Coloque servidores con grandes volúmenes de tráfico, como los servidores de correo, en la parte
superior del grupo. Esta jerarquía le proporciona una representación visual cuando se produce una
discrepancia.
• No configure un grupo de red con más de 15 objetos.
Los grupos de red grandes pueden dificultar ver la información detallada de cada objeto. Si el
despliegue procesa más de 600.000 flujos, considere la posibilidad de crear varios grupos de nivel
superior.
• Ahorre espacio en disco combinando varios CIDR (direccionamiento entre dominios sin uso de clases) o
varias subredes en un solo grupo de red.
Por ejemplo, añada los servidores clave como objetos individuales y agrupe otros servidores
importantes pero relacionados en objetos de varios CIDR.
Tabla 4. Ejemplo de varios CIDR y subredes en un solo grupo de red
Grupo
Descripción
Direcciones IP
1
Marketing
10.10.5.0/24
© Copyright IBM Corp. 2012, 2019
39
Tabla 4. Ejemplo de varios CIDR y subredes en un solo grupo de red (continuación)
Grupo
Descripción
Direcciones IP
2
Ventas
10.10.8.0/21
3
Clúster de base de
datos
10.10.1.3/32
10.10.1.4/32
10.10.1.5/32
• Defina un grupo integral que lo incluya todo para que, cuando defina nuevas redes, se apliquen las
políticas y los supervisores de comportamiento adecuados.
En el ejemplo siguiente si añade una red del departamento de recursos humanos, como por ejemplo
10.10.50.0/24, al grupo Cleveland, el tráfico se visualiza como basado en Cleveland y se aplican de
forma predeterminada las reglas que se aplican al grupo Cleveland.
Tabla 5. Ejemplo de un grupo integral
Grupo
Subgrupo
Dirección IP
Cleveland
Varios - Cleveland
10.10.0.0/16
Cleveland
Ventas - Cleveland
10.10.8.0/21
Cleveland
Marketing - Cleveland
10.10.1.0/24
• En un entorno habilitado para dominio, asegúrese de que cada dirección IP se asigna al dominio
adecuado.
Información relacionada
Preguntas más frecuentes sobre datos geográficos en el soporte de QRadar
Valores de CIDR aceptables
IBM QRadar acepta valores de CIDR específicos.
En la tabla siguiente se proporciona una lista de los valores de CIDR que QRadar acepta:
Tabla 6. Valores de CIDR aceptables
Longitud de CIDR
Máscara
Número de redes
Hosts
/1
128.0.0.0
128 A
2,147,483,392
/2
192.0.0.0
64 A
1,073,741,696
/3
224.0.0.0
32 A
536,870,848
/4
240.0.0.0
16 A
268,435,424
/5
248.0.0.0
8A
134,217,712
/6
252.0.0.0
4A
67,108,856
/7
254.0.0.0
2A
33,554,428
/8
255.0.0.0
1A
16,777,214
/9
255.128.0.0
128 B
8,388,352
/10
255.192.0.0
64 B
4,194,176
/11
255.224.0.0
32 B
2,097,088
/12
255.240.0.0
16 B
1,048,544
40 IBM Security QRadar: Guía de administración de QRadar
Tabla 6. Valores de CIDR aceptables (continuación)
Longitud de CIDR
Máscara
Número de redes
Hosts
/13
255.248.0.0
8B
524,272
/14
255.252.0.0
4B
262,136
/15
255.254.0.0
2B
131,068
/16
255.255.0.0
1B
65,534
/17
255.255.128.0
128 C
32,512
/18
255.255.192.0
64 C
16,256
/19
255.255.224.0
32 C
8,128
/20
255.255.240.0
16 C
4,064
/21
255.255.248.0
8C
2,032
/22
255.255.252.0
4C
1,016
/23
255.255.254.0
2C
508
/24
255.255.255.0
1C
254
/25
255.255.255.128
2 subredes
124
/26
255.255.255.192
4 subredes
62
/27
255.255.255.224
8 subredes
30
/28
255.255.255.240
16 subredes
14
/29
255.255.255.248
32 subredes
6
/30
255.255.255.252
64 subredes
2
/31
255.255.255.254
ninguno
ninguno
/32
255.255.255.255
1/256 C
1
Por ejemplo, una red se llama superred cuando el límite de prefijo contiene menos bits que la máscara
natural (o con clases, "classful") de la red. Por ejemplo, una red se llama subred cuando el límite de
prefijo contiene más bits que la máscara natural de la red:
• 209.60.128.0 es una dirección de red de clase C con una máscara de /24.
• 209.60.128.0 /22 es un superred que produce:
– 209.60.128.0 /24
– 209.60.129.0 /24
– 209.60.130.0 /24
– 209.60.131.0 /24
• 192.0.0.0 /25
Rango de hosts de subred
0 192.0.0.1-192.0.0.126
1 192.0.0.129-192.0.0.254
• 192.0.0.0 /26
Rango de hosts de subred
0 192.0.0.1 - 192.0.0.62
Capítulo 5. Configurar QRadar 41
1 192.0.0.65 - 192.0.0.126
2 192.0.0.129 - 192.0.0.190
3 192.0.0.193 - 192.0.0.254
• 192.0.0.0 /27
Rango de hosts de subred
0 192.0.0.1 - 192.0.0.30
1 192.0.0.33 - 192.0.0.62
2 192.0.0.65 - 192.0.0.94
3 192.0.0.97 - 192.0.0.126
4 192.0.0.129 - 192.0.0.158
5 192.0.0.161 - 192.0.0.190
6 192.0.0.193 - 192.0.0.222
7 192.0.0.225 - 192.0.0.254
Tareas relacionadas
Definición de la jerarquía de red
En IBM QRadar se incluye una jerarquía de red predeterminada que contiene grupos de red predefinidos.
Puede editar los objetos predefinidos de la jerarquía de red o puede crear nuevos grupos u objetos de red.
Definición de la jerarquía de red
En IBM QRadar se incluye una jerarquía de red predeterminada que contiene grupos de red predefinidos.
Puede editar los objetos predefinidos de la jerarquía de red o puede crear nuevos grupos u objetos de red.
Acerca de esta tarea
Los objetos de red son contenedores de direcciones de Direccionamiento entre dominios sin uso de
clases (CIDR). Toda dirección IP definida en un rango CIDR en la jerarquía de red se considera una
dirección local. Toda dirección IP que no esté definida en un rango CIDR en la jerarquía de red se
considera una dirección remota. Un CIDR solo puede pertenecer a un objeto de red, aunque los
subconjuntos de un rango de CIDR pueden pertenecer a otro objeto de red. El tráfico de red coincide con
el CIDR más exacto. Un objeto de red puede tener varios rangos de CIDR asignados.
Algunos de los bloques y reglas de construcción por omisión de QRadar utilizan los objetos de jerarquía
de red predeterminados. Antes de cambiar un objeto predeterminado de jerarquía de red, busque en las
reglas y en los bloques de construcción para entender cómo se utiliza el objeto y qué reglas y bloques de
construcción pueden requerir ajustes después de modificar el objeto. Es importante mantener la jerarquía
de red, las reglas y los bloques de construcción actualizados para evitar infracciones falsas.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Jerarquía de red.
3. En el árbol de menús de la ventana Vistas de red, seleccione el área de la red en la que desea
trabajar.
4. Para añadir objetos de red, pulse Añadir y complete los campos siguientes:
Opción
Descripción
Nombre
El nombre exclusivo del objeto de red.
Consejo: Puede utilizar puntos en los nombres de objeto de red para definir
jerarquías de objetos de red. Por ejemplo, si especifica el nombre de objeto
42 IBM Security QRadar: Guía de administración de QRadar
Opción
Descripción
D.E.F, crea una jerarquía de tres niveles con E como subnodo de D y F como
subnodo de E.
Grupo
El grupo de red en el que se añade el objeto de red. Puede seleccionarlo en la lista
Grupo o pulsar Añadir un grupo nuevo.
Consejo: Cuando añade un grupo de red, puede utilizar puntos en los nombres de
grupo de red para definir jerarquías de grupos de red. Por ejemplo, si especifica el
nombre de grupo A.B.C, crea una jerarquía de tres niveles con B como subnodo
de A y C como subnodo de B.
IP/CIDR(s)
Especifique una dirección IP o un rango de CIDR para el objeto de red y pulse
Añadir. Puede añadir varias direcciones IP y rangos de CIDR.
Descripción
Una descripción del objeto de red. Este campo es opcional.
País/Región
País o región donde que se encuentra el objeto de red. Este campo es opcional.
Longitud y
latitud
La ubicación geográfica (longitud y latitud) del objeto de red. Estos campos son
codependientes y opcionales.
5. Pulse Crear.
6. Repita los pasos para añadir más objetos de red o pulse Editar o Suprimir para trabajar con los
objetos de red existentes.
Conceptos relacionados
Valores de CIDR aceptables
IBM QRadar acepta valores de CIDR específicos.
Certificados de servidor IF-MAP
La respuesta de la regla Interfaz para puntos de acceso de metadatos (IF-MAP) habilita a la consola de
IBM QRadar para publicar datos de alertas e infracciones derivadas de sucesos, flujos e infracciones para
un servidor IF-MAP.
Configuración del certificado del servidor IF-MAP para la autenticación básica
Esta tarea proporciona instrucciones para la configuración del certificado de IF-MAP para la autenticación
básica.
Antes de empezar
Póngase en contacto con el administrador del servidor IF-MAP para obtener una copia del certificado
público del servidor IF-MAP. El certificado debe tener la extensión de archivo .cert.
Procedimiento
1. Inicie, mediante SSH, la sesión en IBM QRadar como usuario root.
2. Copie el certificado en el directorio /opt/qradar/conf/trusted_certificates.
certificados SSL
La capa de sockets seguros (SSL) es un protocolo de seguridad estándar del sector que se utiliza en los
sitios web para proteger las transacciones en línea. Proporciona privacidad en las comunicaciones, por lo
que permite a las aplicaciones de cliente/servidor comunicarse de una forma diseñada para impedir las
escuchas no deseadas, la manipulación indebida y la falsificación de mensajes. Para generar un enlace
SSL, un servidor web necesita un certificado SSL. Los certificados SSL los emiten las entidades de
certificación de terceros de confianza.
Capítulo 5. Configurar QRadar 43
Los navegadores y los sistemas operativos incluyen una lista preinstalada de certificados de confianza,
que se instala en el almacén de entidades de certificación de raíz de confianza.
Certificados autofirmados
Un certificado autofirmado proporciona una seguridad básica, que permite el cifrado de datos entre el
usuario y la aplicación. Como los certificados autofirmados no pueden autenticarse con ninguna
entidad emisora de certificados raíz conocida existente, se avisa a los usuarios de este certificado
desconocido y deben aceptarlo para poder continuar.
Certificados firmados de CA interna
Las organizaciones que tienen su propia entidad emisora de certificados (CA) raíz interna pueden
crear un certificado utilizando dicha CA interna. Este certificado está soportado por QRadar y la CA
raíz interna se importa también al entorno de QRadar.
Firmado de CA pública/CA intermedia
Los certificados firmados por las CA públicas conocidas y los certificados intermedios están
soportados por QRadar.
Los certificados firmados públicos se pueden utilizar directamente en QRadar y los certificados
firmados por una CA intermedia se instalan utilizando el certificado firmado y el certificado intermedio
para proporcionar funciones de certificado válidas.
Nota: Normalmente, las organizaciones utilizan un certificado intermedio para crear varias claves SSL
en su entorno que desean que estén firmadas por un proveedor de certificados conocido o comercial.
Cuando utilizan la clave intermedia pueden crear subclaves a partir de esta clave intermedia. Cuando
se utiliza esta configuración, se debe configurar QRadar con el certificado intermedio y con el
certificado SSL de host, de modo que las conexiones con el host puedan verificar la vía de acceso
completa del certificado.
Conexiones SSL entre los componentes de QRadar
Para establecer todas las conexiones SSL internas entre los componentes, QRadar utiliza el certificado de
servidor web que está preinstalado en la consola de QRadar.
Todos los certificados de confianza para QRadar deben cumplir los requisitos siguientes:
• El certificado debe ser un certificado X.509 y tener una codificación PEM base64.
• El certificado debe tener una extensión de archivo .cert, .crt, .pem o .der.
• Los archivos de almacén de claves que contienen certificados deben tener la extensión .truststore.
• El archivo de certificado debe estar almacenado en el directorio /opt/qradar/conf/
trusted_certificates.
Direccionamiento IPv6 en los despliegues de QRadar
El direccionamiento IPv4 e IPv6 está soportado para la conectividad de red y la gestión de los
dispositivos y el software de IBM QRadar. Cuando se instala QRadar, se le solicitará que especifique si el
protocolo Internet es IPv4 o IPv6.
Componentes de QRadar que dan soporte al direccionamiento IPv6
Los componentes de QRadar siguientes admiten el direccionamiento IPv6.
Pestaña Actividad de red
Puesto que Dirección de origen - IPv6 y Dirección de destino - IPv6 no son columnas
predeterminadas, no se visualizan de forma automática. Para visualizar estas columnas, debe
seleccionarlas al configurar los parámetros de búsqueda (definición de columna).
Para ahorrar espacio y reducir la indexación en un entorno de origen IPv4 o IPv6, los campos de
dirección IP adicionales no se almacenan ni se visualizan. En un entorno mixto IPv4 e IPv6, un
registro de flujo contiene las direcciones IPv4 e IPv6.
44 IBM Security QRadar: Guía de administración de QRadar
Las direcciones IPv6 están soportadas tanto para los datos de paquete, incluido sFlow, como para los
datos de NetFlow V9. Sin embargo, las versiones anteriores de NetFlow podrían no dar soporte a
IPv6.
Pestaña Actividad de registro
Puesto que Dirección de origen - IPv6 y Dirección de destino - IPv6 no son columnas
predeterminadas, no se visualizan de forma automática. Para visualizar estas columnas, debe
seleccionarlas al configurar los parámetros de búsqueda (definición de columna).
Los DSM pueden analizar las direcciones IPv6 a partir de la carga útil de suceso. Si algún DSM no
puede analizar las direcciones IPv6, puede analizarlas una extensión de origen de registro. Para
obtener más información sobre las extensiones de origen de registro, consulte la publicación DSM
Configuration Guide.
Búsqueda, agrupación y creación de informes sobre los campos de IPv6
Puede buscar sucesos y flujos mediante los parámetros de IPv6 en los criterios de búsqueda.
También puede agrupar y ordenar registros de sucesos y flujos que están basados en parámetros de
IPv6.
Puede crear informes que se basen en datos procedentes de las búsquedas basadas en IPv6.
Reglas personalizadas
En las reglas personalizadas y los componentes básicos, los parámetros IP soportan direcciones IPv4
e IPv6, a menos que los parámetros estén etiquetados como una cosa u otra, por ejemplo, SRC IPv6
solo da soporte a direcciones IPv6.
Módulos de soporte de dispositivos (DSM)
Los DSM pueden analizar la dirección IPv6 de origen y de destino de las cargas útiles de sucesos.
Despliegue de QRadar en entornos IPv6 o mixtos
Para iniciar la sesión en QRadar en un entorno IPv6 o mixto, escriba la dirección IP entre corchetes. Por
ejemplo, https://[<IP Address>]
Ambos entornos IPv4 e IPv6 pueden utilizar un archivo hosts para la conversión de direcciones. En un
entorno IPv6 o mixto, el cliente resuelve la dirección de la consola por su nombre de host. Debe añadir la
dirección IP de la consola IPv6 al archivo /etc/hosts en el cliente.
Los orígenes de flujo, como NetFlow y sFlow, se aceptan desde direcciones IPv4 e IPv6.Los orígenes de
sucesos, como syslog y SNMP, se aceptan desde direcciones IPv4 e IPv6. Puede inhabilitar los
superflujos y el empaquetado de flujos en un entorno IPv6.
Restricción: De forma predeterminada, no puede añadir un host gestionado solo IPv4 a una consola IPv6
y de modalidad mixta IPv4. Debe ejecutar un script para habilitar un host gestionado solo IPv4.
Limitaciones del direccionamiento IPv6
Cuando QRadar se despliega en un entorno IPv6, existen las limitaciones siguientes:
• Algunas partes del despliegue de QRadar no utilizan las ventajas de la jerarquía de red habilitada para
IPv6, incluidas las funciones de vigilancia, búsqueda y análisis.
• No se comprueban los perfiles de host en las reglas personalizadas de las direcciones IPv6.
• No hay optimización ni indexación especializada de las direcciones IPv6.
Ejemplos de reglas de iptables avanzadas
Puede configurar las reglas de iptables para controlar mejor el acceso a QRadar, restringir orígenes de
datos de entrada y redirigir el tráfico. Los ejemplos siguientes pueden ayudarle a conocer mejor la red
mediante el ajuste manual de las iptables.
Capítulo 5. Configurar QRadar 45
Bloqueo del acceso de iptables a SSH
Las consolas y los hosts no gestionados permiten SSH desde cualquier solicitud de entrada. Cuando se
añade un host al despliegue, las consolas permiten el acceso a SSH desde QRadar Console y la consola
mantiene el puerto 22 abierto para conexiones de entrada. Puede limitar las conexiones de entrada en el
puerto 22 modificando las reglas de iptables de un host.
Puede bloquear el acceso SSH desde otros hosts gestionados en su consola, acceso que puede violar
conexiones cifradas.
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP
Habilitación de ICMP para sistemas QRadar
Puede habilitar respuestas de ping desde el sistema QRadar añadiendo la regla siguiente al
archivo /opt/qradar/conf/iptables.pre.
-A INPUT -p icmp -j ACCEPT
Ejecute el script siguiente para crear una entrada en el archivo /etc/sysconfig/iptables.
Importante: Puede limitar esta regla a un host específico añadiendo el campo -s
source.ip.address.
Bloqueo de orígenes de datos no deseados
Puede bloquear un origen de datos como por ejemplo un origen de registro o un origen de datos de
NetFlow durante un tiempo breve en lugar de inhabilitar el dispositivo original. Para bloquear un host
determinado puede añadir una entrada parecida a la siguiente a /opt/qradar/conf/iptables.pre.
Bloquear un netflow desde el direccionador:
-A INPUT -p udp -s <dirección IP> --dport 2055 -j REJECT
Bloquear un syslog desde otro origen:
-A INPUT -p tcp -s <dirección IP> --dport 514 -j REJECT
-A INPUT -p udp -s <dirección IP> --dport 514 -j REJECT
Bloquear un syslog desde una subred específica:
-A INPUT -p tcp -s <dirección IP> --dport 514 -j REJECT
-A INPUT -p udp -s <dirección IP> --dport 514 -j REJECT
Configuración de reglas de iptables
El acceso a los servicios de red de QRadar se controla primero en los hosts con iptables. Las reglas de
iptables se ajustan y configuran en función de los requisitos del despliegue. Los puertos para la búsqueda
de Ariel, la modalidad continua y las veces que utiliza el cifrado (ejecución en túnel) pueden actualizar
varias reglas de iptables.
Acerca de esta tarea
Puede configurar y comprobar reglas de iptables para IPv4 y IPv6. El procedimiento siguiente indica
cómo puede ajustar manualmente las iptables.
Procedimiento
1. Inicie la sesión en QRadar como usuario root mediante SSH.
46 IBM Security QRadar: Guía de administración de QRadar
Iniciar sesión: <root>
Contraseña: <contraseña>
2. Escriba el mandato siguiente para editar el archivo .pre de iptables de reglas:
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
Se visualiza el archivo de configuración iptables.pre.
3. Escriba el mandato siguiente para editar el archivo .post de iptables de reglas:
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
Se visualiza el archivo de configuración iptables.post.
4. Añada la regla siguiente para QRadar para acceder a un número de puerto específico, donde
número_puerto es el número de puerto:
Para aceptar tráfico de UDP para una entrada de puerto específica:
-A INPUT -m udp -p udp --dport <número_puerto> -j ACCEPT
Para aceptar tráfico de TCP para una entrada de puerto específica:
-A INPUT -m state --state NEW -m tcp -p tcp --dport <número_puerto> -j
ACCEPT
5. Guarde la configuración de iptables.
6. Ejecute el script siguiente para propagar los cambios:
/opt/qradar/bin/iptables_update.pl
7. Escriba los mandatos siguientes para comprobar la existencia de iptables:
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v
Retención de datos
Los grupos de retención definen cómo se retienen los datos de sucesos y flujos grandes en IBM QRadar.
Conforme QRadar recibe sucesos y flujos, cada uno se compara con los criterios de filtro de grupos de
retención. Cuando un suceso o un flujo coincide con un filtro de grupo de retención, se almacena en ese
grupo de retención hasta que se agota el periodo de tiempo de la política de supresión. El periodo de
retención predeterminado es 30 días, después de los cuales los datos se suprimen inmediatamente.
Los grupos de retención se ordenan por prioridad de la fila superior a la fila inferior. En el grupo se
almacena un registro que se corresponde con los criterios de filtro con la prioridad más alta. Si el registro
no coincide con ninguno de los grupos de retención configurados, el registro se almacena en el grupo de
retención predeterminado, que siempre se encuentra bajo la lista de los grupos de retención
configurables.
Capítulo 5. Configurar QRadar 47
Datos de arrendatario
Puede configurar 10 grupos de retención como máximo para datos compartidos y 10 grupos de retención
como máximo para cada arrendatario.
Cuando entran datos en el sistema, los datos se evalúan para determinar si son datos compartidos o si
pertenecen a un arrendatario. Los datos específicos de arrendatario se comparan con los filtros de grupo
de retención definidos para ese arrendatario. Cuando los datos coinciden con un filtro de grupos de
retención, se almacenan en ese grupo de retención hasta que se agota el periodo de tiempo de la política
de retención.
Si no configura grupos de retención para el arrendatario, los datos se colocan automáticamente en el
grupo de retención predeterminado del arrendatario. El periodo de retención predeterminado es 30 días,
a menos que configure un grupo de retención específico del arrendatario.
Configuración de los grupos de retención
Configurar políticas de retención para definir durante cuánto tiempo debe IBM QRadar conservar los
datos de sucesos y flujos, y qué hacer cuando esos datos alcanzan una cierta edad.
Acerca de esta tarea
Los cambios en los filtros de grupos de retención de aplican inmediatamente solo a los datos entrantes.
Por ejemplo, si ha configurado un grupo de retención para retener durante un 1 día todos los datos de la
dirección IP de origen 10.0.0.0/8 y posteriormente edita el filtro para retener datos de la IP de origen
192.168.0.1, el cambio no es retroactivo. Inmediatamente después de cambiar el filtro, el grupo de
retención tiene 24 horas de datos de 10.0.0.0/8 y todos los datos que se recopilan después del cambio
de filtro son datos de 192.168.0.1.
La política de retención del grupo se aplica a todos los datos del grupo, independientemente de los
criterios de filtro. Utilizando el ejemplo anterior, si ha cambiado la política de retención de 1 a 7 días,
tanto los datos de 10.0.0.0/8 como los datos de 192.168.0.1 del grupo se retienen durante 7 días.
La Distribución de un grupo de retención indica el uso del grupo de retención como un porcentaje de la
retención de datos total de todos los grupos de retención. La distribución se calcula por arrendatario.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, pulse Retención de sucesos o Retención de flujos.
3. Si ha configurado arrendatarios, en la lista Arrendatario seleccione el arrendatario al que desea que
se aplique el grupo de retención.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
4. Para configurar un grupo de retención nuevo, siga estos pasos:
a) Efectúe una doble pulsación sobre la primera fila vacía de la tabla para abrir la ventana
Propiedades de retención.
b) Configure los parámetros del grupo de retención.
Más información sobre parámetros de grupo de retención:
Propiedades
Descripción
Nombre
Escriba un nombre exclusivo para el grupo de retención.
Conservar los datos El periodo de retención que especifica durante cuánto tiempo se deben
colocados en este
conservar los datos. Cuando el periodo de retención se acaba, los datos se
grupo durante
suprimen según el parámetro Suprimir datos en este grupo.
QRadar no suprime datos dentro del periodo de retención.
48 IBM Security QRadar: Guía de administración de QRadar
Propiedades
Descripción
Suprimir datos en
este grupo
Seleccione Inmediatamente después de transcurrir el periodo de
retención para suprimir datos inmediatamente cuando se alcance el valor
del parámetro Conservar los datos colocados en este grupo
durante. Los datos se suprimen en el siguiente proceso de
mantenimiento de disco planificado, independientemente de los requisitos
de almacenamiento de disco.
Seleccione Cuando se necesite espacio de almacenamiento para
conservar en el almacenamiento los datos que han alcanzado el valor del
parámetro Conservar los datos colocados en este grupo
durante hasta que este sistema de supervisión detecte que se necesita
almacenamiento.
Las supresiones basadas en espacio de almacenamiento empiezan cuando
el espacio de disco libre cae al 15% o menos y continúan hasta que el
espacio de disco libre es el 18% o ya ha transcurrido el tiempo establecido
en el campo Conservar los datos colocados en este grupo durante. Por
ejemplo, si el espacio de disco utilizado alcanza el 85% para registros, se
suprimen los datos hasta que el porcentaje utilizado caiga al 82%. Cuando
se necesita el almacenamiento, solo se suprimen los datos que han
alcanzado el valor del campo Conservar los datos colocados en este
grupo durante.
Si el grupo está establecido en Suprimir datos en este grupo:
inmediatamente después de transcurrir el periodo de retención, no se
realizan comprobaciones de espacio y la tarea de supresión elimina
inmediatamente los datos pasados en la retención.
Descripción
Escriba una descripción para el grupo.
Filtros actuales
Configure los criterios de filtro con los que se comparan los datos.
c) Pulse Añadir filtro después de especificar cada conjunto de criterios de filtro.
d) Pulse Guardar.
5. Para editar un grupo de retención existente, seleccione la fila de la tabla y pulse Editar.
6. Para suprimir un grupo de retención, seleccione la fila de la tabla y pulse Suprimir.
7. Pulse Guardar.
Los datos entrantes que cumplen las propiedades de la política de retención se almacenan
inmediatamente en el grupo de retención.
Gestión de la secuencia de los grupos de retención
Puede cambiar el orden de los grupos de retención para asegurarse de que los datos se comparan con los
grupos de retención en el orden exigido por sus requisitos.
Acerca de esta tarea
Los grupos de retención se ordenan por prioridad de la fila superior a la fila inferior en las ventanas
Retención de sucesos y Retención de flujos. Se almacena un registro en el primer grupo de retención
que se corresponde con los parámetros de registro.
No puede mover el grupo de retención predeterminado. Siempre se encuentra al final de la lista.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, pulse Retención de sucesos o Retención de flujos.
Capítulo 5. Configurar QRadar 49
3. Si ha configurado arrendatarios, en la lista Arrendatario, seleccione el arrendatario para los grupos de
retención que desea reordenar.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
4. Seleccione la fila que corresponde al grupo de retención que desea mover y pulse Subir o Bajar para
moverla a la ubicación correcta.
5. Pulse Guardar.
Habilitación e inhabilitación de un grupo de retención
Al configurar y guardar un grupo de retención, está habilitado de forma predeterminada. Puede inhabilitar
un grupo para ajustar la retención de sucesos o de flujos.
Acerca de esta tarea
Cuando se inhabilita un grupo, todos los sucesos o flujos nuevos que coincidan con los requisitos del
grupo inhabilitado se almacenan en el siguiente grupo que coincida con las propiedades de sucesos o
flujos.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, pulse Retención de sucesos o Retención de flujos.
3. Si ha configurado arrendatarios, en la lista Arrendatario, seleccione el arrendatario para el grupo de
retención que desea cambiar.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
4. Seleccione el grupo de retención que desee inhabilitar y, a continuación, pulse Habilitar/inhabilitar.
Supresión de un grupo de retención
Cuando suprime un grupo de retención, solo se suprimen los criterios que definen el grupo. Los sucesos o
los flujos que se almacenaron en el grupo los recopila el grupo de retención predeterminado. El periodo
de retención predeterminado es 30 días, después de los cuales los datos se suprimen inmediatamente.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, pulse Retención de sucesos o Retención de flujos.
3. Si ha configurado arrendatarios, en la lista Arrendatario, seleccione el arrendatario para el grupo de
retención que desea suprimir.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
4. Seleccione el grupo de retención que desee suprimir y, a continuación, pulse Suprimir.
Notificaciones del sistema
IBM QRadar supervisa de forma continua todos los dispositivos y proporciona información, avisos y
notificaciones de error a la QRadar Console. De esta manera, le resultará más sencillo supervisar el
estado y la corrección del despliegue.
Para mostrar notificaciones del sistema en la pantalla, debe configurar el navegador para permitir las
ventanas emergentes y asegurarse de que la ventana emergente Activar notificaciones emergentes esté
50 IBM Security QRadar: Guía de administración de QRadar
seleccionada en las preferencias de usuario (
). Si inhabilita las notificaciones de escritorio de QRadar,
podrá seguir viendo las notificaciones del sistema en el menú de notificaciones (
).
Nota: Las notificaciones de navegador son compatibles con Mozilla Firefox, Google Chrome y Microsoft
Edge 10. Microsoft Internet Explorer no admite notificaciones basadas en navegador. Las notificaciones
en Internet Explorer ahora aparecen en un cuadro de notificación de QRadar. El modo en que las
notificaciones aparecen y el tiempo que los mensajes permanecen en la pantalla puede variar entre los
diferentes navegadores.
Configuración de notificaciones de sistema
Puede configurar umbrales para alertas de rendimiento del sistema.
Acerca de esta tarea
En la tabla siguiente se describen los parámetros de la ventana Notificaciones globales del sistema.
Tabla 7. Parámetros de la ventana Notificaciones globales del sistema
Parámetro
Descripción
Carga del sistema durante 1 minuto
Escriba el promedio de carga del sistema del
umbral durante el último minuto.
Carga del sistema durante 5 minutos
Escriba el promedio de carga del sistema del
umbral durante los 5 últimos minutos.
Carga del sistema durante 15 minutos
Escriba el promedio de carga del sistema del
umbral durante los 15 últimos minutos.
Tiempo promedio en ms para solicitudes de E/S
para el dispositivo
Escriba el umbral de tiempo en ms para solicitudes
de E/S
Porcentaje de paginación utilizado
Escriba el porcentaje del umbral de espacio de
paginación utilizado.
Paquetes recibidos por segundo
Escriba el número para el umbral de paquetes
recibidos por segundo.
Paquetes transmitidos por segundo
Escriba el número para el umbral de paquetes
transmitidos por segundo.
Bytes recibidos por segundo
Escriba el número para el umbral de bytes
recibidos por segundo.
Bytes transmitidos por segundo
Escriba el número para el umbral de bytes
transmitidos por segundo.
Errores de recepción
Escriba el número para el umbral de paquetes
dañados recibidos por segundo.
Errores de transmisión
Escriba el número para el umbral de paquetes
dañados transmitidos por segundo.
Colisiones de paquetes
Escriba el número para el umbral de colisiones que
se producen por segundo al transmitir paquetes.
Paquetes recibidos descartados
Escriba el número para el umbral de paquetes
recibidos que se han descartado por segundo
debido a falta de espacio en los almacenamientos
intermedios.
Capítulo 5. Configurar QRadar 51
Tabla 7. Parámetros de la ventana Notificaciones globales del sistema (continuación)
Parámetro
Descripción
Paquetes transmitidos descartados
Escriba el número para el umbral de paquetes
transmitidos que se han descartado por segundo
debido a falta de espacio en los almacenamientos
intermedios.
Errores de portadora en transmisión
Escriba el número para el umbral de errores de
portadora que se producen por segundo al
transmitir paquetes.
Errores de trama de recepción
Escriba el número para el umbral de errores de
alineación de tramas que se producen por segundo
en los paquetes recibidos.
Desbordamientos FIFO de recepción
Escriba el número para el umbral de errores de
desbordamiento FIFO (primero en entrar, primero
en salir) que se producen por segundo en los
paquetes recibidos.
Desbordamientos FIFO de transmisión
Escriba el número para el umbral de errores de
desbordamiento FIFO (primero en entrar, primero
en salir) que se producen por segundo en los
paquetes transmitidos.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Notificaciones globales del sistema.
3. Escriba valores para cada parámetro que desee configurar.
4. Por cada parámetro, seleccione Habilitado y Criterios de respuesta y luego seleccione una de las
opciones siguientes:
Opción
Descripción
Mayor que
Se genera una alerta si el valor del parámetro sobrepasa el valor configurado.
Menor que
Se genera una alerta si el valor del parámetro es inferior al valor configurado.
5. Escriba una descripción de la resolución preferida a la alerta.
6. Pulse Guardar.
7. En la pestaña Admin, pulse en Desplegar cambios.
Configuración de notificaciones de correo electrónico de sucesos y flujos personalizadas
Cuando configure reglas en IBM QRadar, especifique que cada vez que la regla genere una respuesta, se
envíe una notificación por correo electrónico a los destinatarios. La notificación por correo electrónico
proporciona información útil, como las propiedades de sucesos o flujos.
Acerca de esta tarea
Puede personalizar el contenido de las notificaciones por correo electrónico acerca de las respuestas de
las reglas; para ello, edite el archivo alert-config.xml.
Nota: las referencias a los flujos no se aplican a IBM QRadar Log Manager.
Debe crear un directorio temporal en el que pueda editar con seguridad las copias de los archivos, sin
peligro de sobrescribir los archivos predeterminados. Después de editar y guardar el archivo alertconfig.xml, debe ejecutar un script que valide los cambios. El script de validación aplica
52 IBM Security QRadar: Guía de administración de QRadar
automáticamente los cambios a un área de transferencia. Debe desplegar la configuración completa para
volver a crear los archivos de configuración para todos los dispositivos.
Para IBM QRadar on Cloud debe abrir un tíquet con el soporte de IBM para obtener una copia del archivo
alert-config.xml. Debe abrir otro tíquet para aplicar el archivo alert-config.xml actualizado a la
instancia de QRadar on Cloud.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar Console como el usuario root.
2. Cree un nuevo directorio temporal que se utilizará para editar de forma segura las copias de los
archivos predeterminados.
3. Para copiar los archivos que están almacenados en el directorio custom_alerts en el directorio
temporal, escriba el mandato siguiente:
cp /store/configservices/staging/globalconfig/templates/custom_alerts/*.*
<nombre_directorio>
<nombre_directorio> es el nombre del directorio temporal que ha creado.
4. Confirme que los archivos se han copiado satisfactoriamente:
a) Para listar los archivos en el directorio, escriba ls -lah.
b) Compruebe que el archivo alert-config.xml está en la lista.
5. Abra el archivo alert-config.xml para su edición.
6. Edite el contenido del elemento <template>.
a) Necesario: Especifique el tipo de plantilla que desea utilizar. Las opciones válidas son suceso o
flujo.
<templatetype>event</templatetype>
<templatetype>flow</templatetype>
b) Escriba un nombre para la plantilla de correo electrónico:
<templatename>Default flow template</templatename>
Si tiene más de una plantilla, asegúrese de que el nombre de la plantilla sea exclusivo.
c) Defina el elemento <active> como true:
<active>true</active>
d) Edite los parámetros de los elementos <body> o <subject> para incluir la información que
desee ver.
Importante: La propiedad <active></active> se debe establecer en True para cada tipo de
plantilla de suceso y flujo que desee que aparezca como una opción en QRadar. Debe haber como
mínimo una plantilla activa para cada tipo.
También debe asegurarse de que la propiedad <filename>></filename> se deje vacía.
Parámetros de notificación que puede utilizar en la plantilla:
Tabla 8. Parámetros de notificación aceptados
Parámetros comunes
Parámetros de suceso
Parámetros de flujo
AppName
EventCollectorID
Type
RuleName
DeviceId
CompoundAppID
RuleDescription
DeviceName
FlowSourceIDs
EventName
DeviceTime
SourceASNList
Capítulo 5. Configurar QRadar 53
Tabla 8. Parámetros de notificación aceptados (continuación)
Parámetros comunes
Parámetros de suceso
Parámetros de flujo
EventDescription
DstPostNATPort
DestinationASNList
EventProcessorId
SrcPostNATPort
InputIFIndexList
Qid
DstMACAddress
OutputIFIndexList
Category
DstPostNATIPAddress
AppId
RemoteDestinationIP
DstPreNATIPAddress
Host
Payload
SrcMACAddress
Port
Credibility
SrcPostNATIPAddress
SourceBytes
Relevance
SrcPreNATIPAddress
SourcePackets
Source
SrcPreNATPor
Direction
SourcePort
DstPreNATPort
SourceTOS
SourceIP
SourceDSCP
Destination
SourcePrecedence
DestinationPort
DestinationTOS
DestinationIP
DestinationDSCP
DestinationUserName
SourceASN
Protocol
DestinationASN
StartTime
InputIFIndex
Duration
OutputIFIndex
StopTime
FirstPacketTime
EventCount
LastPacketTime
SourceV6
TotalSourceBytes
DestinationV6
TotalDestinationBytes
UserName
TotalSourcePackets
DestinationNetwork
TotalDestinationPackets
SourceNetwork
SourceQOS
Severity
DestinationQOS
CustomProperty
SourcePayload
CustomPropertiesList
CalculatedProperty
CalculatedPropertiesList
AQLCustomProperty
AqlCustomPropertiesList
LogSourceId
LogSourceName
54 IBM Security QRadar: Guía de administración de QRadar
Nota: Si no desea recuperar la lista completa cuando utiliza el parámetro CustomProperties,
CalculatedProperties o AqlCustomProperties, puede seleccionar una propiedad específica
utilizando los códigos siguientes:
• Propiedad personalizada: $
{body.CustomProperty("<nombre.propiedad.personalizada>")}
• Propiedad calculada: $
{body.CalculatedProperty("<nombre_propiedad_calculada>")}
• Propiedad personalizada de AQL: $
{body.AqlCustomProperty("<nombre_propiedad_personalizada_AQL>")}
7. Para crear varias plantillas de correo electrónico, copie y pegue la siguiente plantilla de correo
electrónico de ejemplo del elemento <template> en el archivo alert-config.xml. Repita el paso
6 con cada plantilla que añada.
Plantilla de correo electrónico de ejemplo:
<template>
<templatename>Flujo predeterminado</templatename>
<templatetype>flow</templatetype>
<active>true</active>
<filename></filename>
<subject>${RuleName} Fired </subject>
<body>
Motor de reglas personalizado de suceso de ${AppName}
enviado como respuesta automática:
${StartTime}
Nombre de regla:
Descripción de la regla:
IP de origen:
Puerto de origen:
Nombre de usuario de origen (desde suceso):
Red de origen:
${RuleName}
${RuleDescription}
${SourceIP}
${SourcePort}
${UserName}
${SourceNetwork}
IP de destino:
${DestinationIP}
Puerto de destino:
${DestinationPort}
Nombre de usuario de dest (de ident de activo):${DestinationUserName}
Red de destino:
${DestinationNetwork}
Protocolo:
QID:
${Protocol}
${Qid}
Nombre de suceso:
Descripción de suceso:
Categoría:
${EventName}
${EventDescription}
${Category}
ID de origen de registro:
Nombre de origen de registro:
${LogSourceId}
${LogSourceName}
Carga útil:
${Payload}
CustomPropertiesList:
${CustomPropertiesList}
AQL Custom Property, CEP_aql_1:
${body.AqlCustomProperty("CEP_aql_1")}
Calculated Property, CEP_calc_2:
${body.CalculatedProperty("CEP_calc_2")}
Regex Property, CEP_reg_3:
${body.CustomProperty("CEP_reg_3")}
</body>
<from></from>
<to></to>
<cc></cc>
<bcc></bcc>
</template>
Nota: Actualmente, el DomainID para direcciones IP solapadas o multitenencia no está disponible
en las plantillas de correo electrónico personalizadas.
8. Guarde y cierre el archivo alert-config.xml.
9. Para validar los cambios, escriba el siguiente mandato:
Capítulo 5. Configurar QRadar 55
/opt/qradar/bin/runCustAlertValidator.sh <nombre_directorio>
El parámetro <nombre_directorio> es el nombre del directorio temporal que ha creado.
Si el script valida los cambios, se mostrará el siguiente mensaje: File alert-config.xml was
deployed successfully to staging!
10. Implemente los cambios en QRadar.
a) Inicie la sesión en QRadar.
b) En el menú de navegación (
), pulse Admin.
c) Pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando
el servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente.
Se mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Configuración de notificaciones de correo electrónico de delitos personalizadas
Puede crear plantillas para notificaciones de correo electrónico desencadenadas por delitos
Puede personalizar el contenido incluido en la notificación de correo electrónico editando el archivo
alert-config.xml.
Debe crear un directorio temporal en el que pueda editar con seguridad las copias de los archivos, sin
peligro de sobrescribir los archivos predeterminados. Después de editar y guardar el archivo alertconfig.xml, debe ejecutar un script que valide los cambios. El script de validación aplica
automáticamente los cambios a un área de transferencia. Debe desplegar la configuración completa para
volver a crear los archivos de configuración para todos los dispositivos.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar Console como el usuario root.
2. Cree un nuevo directorio temporal que se utilizará para editar de forma segura las copias de los
archivos predeterminados.
3. Teclee el mandato siguiente para copiar los archivos almacenados en el directorio custom_alerts
en el directorio temporal:
cp /store/configservices/staging/globalconfig/templates/custom_alerts/*.* <nombre_directorio>
<nombre_directorio> es el nombre del directorio temporal que ha creado.
Si el archivo no existe en el directorio staging, lo encontrará en el directorio /opt/qradar/conf/
templates/custom_alerts.
4. Confirme que los archivos se han copiado satisfactoriamente:
a) Para listar los archivos en el directorio, escriba ls -lah.
b) Compruebe que el archivo alert-config.xml está en la lista.
5. Abra el archivo alert-config.xml para su edición.
6. Añada un elemento <template> nuevo a la plantilla de delito nueva.
a) Necesario: Especifique offense para el valor de tipo de plantilla.
<templatetype>offense</templatetype>
b) Teclee un nombre para la plantilla de delito.
Por ejemplo, <templatename>Plantilla de delito predeterminada</templatename>
Si tiene más de una plantilla, asegúrese de que el nombre de la plantilla sea exclusivo.
c) Establezca el elemento <active> en true.
56 IBM Security QRadar: Guía de administración de QRadar
<active>true</active>
Importante: La propiedad <active></active> se debe establecer en true para cada tipo de
plantilla que desee que aparezca como opción en QRadar. Debe haber como mínimo una plantilla
activa para cada tipo.
d) Edite los parámetros de los elementos <body> o <subject> para incluir la información que desee
ver.
La lista siguiente proporciona los valores que puede utilizar en la plantilla de delito. Los valores
$Label proporcionan la etiqueta del elemento y los valores $Value proporcionan los datos.
Parámetros de delitos
$Value.DefaultSubject
$Value.Intro
$Value.OffenseId
$Value.OffenseStartTime
$Value.OffenseUrl
$Value.OffenseMRSC
$Value.OffenseDescription
$Value.EventCounts
$Label.OffenseSourceSummary
$Value.OffenseSourceSummary
$Label.TopSourceIPs
$Value.TopSourceIPs
$Label.TopDestinationIPs
$Value.TopDestinationIPs
$Label.TopLogSources
$Value.TopLogSources
$Label.TopUsers
$Value.TopUsers
$Label.TopCategories
$Value.TopCategories
$Label.TopAnnotations
$Value.TopAnnotations
$Label.ContributingCreRules
$Value.ContributingCreRules
Capítulo 5. Configurar QRadar 57
También puede hacer un bucle sobre algunos valores utilizando la sintaxis siguiente en la plantilla:
#foreach( $item in $Value.X )
$item
#end
Donde X es uno de los valores siguientes:
• OffenseSourceSummaryList
• TopSourceIPsList
• TopDestinationIPsList
• TopLogSourcesList
• TopUsersList
• TopCategoriesList
• TopAnnotationsList
• ContributingCreRulesList
Puede incluir las propiedades siguientes utilizando ${X}, donde X es uno de los valores siguientes:
• OffenseID
• OffenseRuleID
• OffenseRuleName
• Magnitude
• Relevance
• Severity
• Credibility
• Domain ("N/A" si no se encuentra)
• Tenant ("N/A" si no se encuentra)
• OffenseType
Por ejemplo, si un delito tiene una magnitud 7 e incluye ${Magnitude} en la plantilla, el valor de $
{Magnitude} aparece como 7 en el correo electrónico.
7. Guarde y cierre el archivo alert-config.xml.
8. Para validar los cambios, escriba el siguiente mandato:
/opt/qradar/bin/runCustAlertValidator.sh <nombre_directorio>
<nombre_directorio> es el nombre del directorio temporal que ha creado.
Si el script valida los cambios, se mostrará el siguiente mensaje: File alert-config.xml was
deployed successfully to staging!
9. Implemente los cambios en QRadar.
a) Inicie la sesión en QRadar.
b) En el menú de navegación (
), pulse Admin.
c) Pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando
el servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente.
Se mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
58 IBM Security QRadar: Guía de administración de QRadar
Razones de cierre de infracción personalizadas
Puede gestionar las opciones que figuran en el cuadro de lista Razón del cierre de la pestaña
Infracciones.
Cuando un usuario cierra una infracción en la pestaña Infracciones, se visualiza la ventana Cerrar
infracción. Se solicita al usuario que seleccione una razón en el cuadro de lista Razón del cierre.
Aparecen en la lista tres opciones predeterminadas:
• Ajuste de falsos positivos
• Irrelevante
• Violación de política
Los administradores pueden añadir, editar y suprimir razones de cierre de infracción en la pestaña
Admin.
Adición de una razón de cierre de infracción personalizada
Cuando se añade una razón de cierre de infracción personalizada, la razón nueva aparece listada en la
ventana Razones de cierre de infracción personalizada y en el cuadro de lista Razón del cierre en la
ventana Cerrar infracción de la pestaña Infracciones.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Razones de cierre de infracción personalizada.
3. Pulse Añadir.
4. Escriba una razón exclusiva del cierre de las infracciones. Las razones deben tener entre 5 y 60
caracteres de longitud.
5. Pulse Aceptar.
La nueva razón de cierre de infracción personalizada aparecerá ahora listada en la ventana Razones
de cierre de infracción personalizada. En el cuadro de lista Razón del cierre de la pestaña
Infracciones de la ventana Cerrar infracción también se muestra la razón personalizada.
Edición de una razón de cierre de infracción personalizada
La edición de una razón de cierre de infracción personalizada actualiza la razón en la ventana Razones de
cierre de infracción personalizada y en el cuadro de lista Razón del cierre de la ventana Cerrar
infracción, pestaña Infracciones.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Razones de cierre de infracción personalizada.
3. Seleccione la razón de cierre de la infracción que desee editar.
4. Pulse Editar.
5. Escriba una razón exclusiva del cierre de las infracciones. Las razones deben tener entre 5 y 60
caracteres de longitud.
6. Pulse Aceptar.
Supresión de una razón de cierre de infracción personalizada
La supresión de una razón de cierre de infracción personalizada elimina la razón de la ventana Razones
de cierre de infracción personalizada y del cuadro de lista Razón del cierre de la ventana Cerrar
infracción, pestaña Infracciones.
Capítulo 5. Configurar QRadar 59
Procedimiento
), pulse Admin.
1. En el menú de navegación (
2. En la sección Configuración del sistema, pulse Razones de cierre de infracción personalizada.
3. Seleccione la razón de cierre de la infracción que desee suprimir.
4. Pulse Suprimir.
5. Pulse Aceptar.
Configuración de una propiedad de activo personalizada
Las propiedades de activo personalizadas ofrecen más opciones de consulta cuando ejecute consultas en
los activos que tenga en IBM QRadar.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Propiedades de activos personalizadas.
3. En el campo Nombre, escriba un descriptor para la propiedad de activo personalizada.
Nota: El nombre solo puede contener caracteres alfanuméricos, espacios o guiones bajos. No se
permiten caracteres especiales.
4. En la lista Tipo, seleccione Numérico o Texto para definir el tipo de información para la propiedad de
activo personalizada.
5. Pulse Aceptar.
6. Pulse la pestaña Activos.
7. Pulse Editar activo > Propiedades de activos personalizadas.
8. Especifique la información necesaria en el campo de valor.
9. Pulse Aceptar.
Adición de acciones personalizadas
Conecte scripts a reglas personalizadas para realizar acciones personalizadas en respuesta a los sucesos
de red. Utilice la ventana Acción personalizada para gestionar los scripts de acción personalizada.
Utilice acciones personalizadas para seleccionar o definir el valor que se pasa al script y la acción
resultante.
Por ejemplo, puede escribir un script para crear una regla de cortafuegos que bloquee una dirección IP de
origen de la red en respuesta a una regla que se desencadena mediante un número definido de intentos
de inicio de sesión fallidos.
Los ejemplos siguientes son acciones personalizadas resultantes de pasar valores a un script:
• Bloquear usuarios y dominios.
• Iniciar flujos de trabajo y actualizaciones en sistemas externos.
• Actualizar servidores TAXI con una representación STIX de una amenaza.
Las acciones personalizadas funcionan mejor con sucesos de reglas personalizadas de bajo volumen y
con reglas personalizadas que tienen un valor limitador de respuesta bajo.
1. En el menú de navegación (
), pulse Admin.
2. En la pestaña Acciones personalizadas, pulse Definir acciones.
3. Para cargar los scripts, pulse Añadir. Las versiones de lenguajes de programación soportadas por el
producto se indican en la lista Intérprete.
60 IBM Security QRadar: Guía de administración de QRadar
Para poder garantizar la seguridad del despliegue, QRadar no da soporte a la gama completa de
funciones de script suministradas por los lenguajes Python, Perl o Bash.
4. Especifique los parámetros que desee pasar al script que ha cargado.
Tabla 9. Parámetros de acción personalizada
Parámetro
Descripción
Propiedad fija
Los valores que se pasan al script de acción personalizada.
Estas propiedades no se basan en los sucesos o en el flujo en sí
mismos, sino que cubren otros valores definidos en los que puede
utilizar el script para actuar sobre ellos. Por ejemplo, pase las
propiedades fijas username y password para un sistema de
terceros a un script para enviar una alerta SMS.
Cifre propiedades fijas marcando el recuadro Valor de cifrado.
Propiedad de suceso de
red
Propiedades Ariel dinámicas generadas por sucesos. Efectúe la
selección en la lista Propiedad.
Por ejemplo, la propiedad de suceso de red sourceip proporciona
un parámetro que coincide con la dirección IP de origen del suceso
desencadenado.
Para obtener más información sobre propiedades de Ariel, consulte
IBM QRadar Ariel Query Language Guide.
Los parámetros se pasan al script por el orden en el que los haya añadido en la ventana Acciones
personalizadas.
Cuando se ejecutan los scripts de acción personalizada, se configura un chroot jail en el
directorio /opt/qradar/bin/ca_jail/. Los scripts pueden modificar y escribir en cualquier contenido
del directorio /opt/qradar/bin/ca_jail/. También se puede modificar el directorio de inicio del
usuario (/home/customactionuser).
Un script solo se puede ejecutar desde dentro del entorno jail, de forma que no interfiera con el entorno
de ejecución de QRadar. Todo el acceso de archivos durante la ejecución de acciones personalizadas es
relativo al directorio /opt/qradar/bin/ca_jail/.
Es posible que la cuenta de usuario de acción personalizada no tenga permiso para ejecutar mandatos de
seguimiento, tales como iniciar sesión en un cortafuegos y bloquear una dirección IP. Pruebe si el script
se ejecuta satisfactoriamente antes de asociarlo a una regla.
Nota: El tipo de acción personalizada que se implementa dependerá de su infraestructura de red y de sus
componentes. Por ejemplo, puede configurar las API REST en dispositivos Cisco para bloquear
direcciones IP sospechosas. Es posible que otros proveedores terceros no proporcionen una interfaz
REST, por lo que tendría que desarrollar su propia solución de servicios web para ejecutar acciones
personalizadas.
Debe ejecutar el programa de utilidad dos2unix en los scripts que se originan en un sistema Windows o
DOS. Los sistemas Windows o DOS normalmente añaden caracteres de control. Para probar
correctamente los scripts de acciones personalizadas utilizando la función de script Ejecución de prueba
en QRadar, debe eliminar los caracteres de control.
Información relacionada
Introducción a scripts de acción personalizados
Probar la acción personalizada
Pruebe si el script se ejecuta satisfactoriamente y arroja el resultado deseado antes de asociarlo con una
regla.
Capítulo 5. Configurar QRadar 61
Acerca de esta tarea
Los scripts de acción personalizados se ejecutan en un entorno de prueba, aislado del entorno de
producción. Los scripts de acción personalizados se ejecutan en el host gestionado que ejecuta el
procesador de sucesos. Sin embargo, si tiene un dispositivo All-In-One, las acciones personalizadas se
ejecutan en la QRadar Console.
La Ejecución de prueba sólo está soportada en QRadar Console y no está soportada en hosts
gestionados.
Si tiene que grabar en disco desde un script de acción personalizada, debe utilizar el directorio
siguiente: /home/customactionuser.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Acciones personalizadas, pulse Definir acciones.
3. Seleccione una acción personalizada y pulse Ejecución de prueba > Ejecutar para probar el script. Se
devolverá el resultado de la prueba y cualquier salida generada por el script.
4. Después de configurar y probar la acción personalizada, utilice el Asistente de reglas para crear una
regla de suceso nueva y asociar la acción personalizada con ella.
Para obtener más información sobre reglas de suceso, consulte IBM QRadar User Guide.
Pasar parámetros a un script de acción personalizada
Los scripts de ejemplo de Bash, Python y Perl muestran cómo pasar parámetros a scripts de acción
personalizada.
Los scripts de ejemplo simples siguientes muestran cómo consultar la API de modelo de activo para un
activo con la dirección IP de origen de infracción proporcionada. Para este ejemplo, la salida de los scripts
es el JSON devuelto por el punto final.
Los scripts necesitan tres parámetros:
• Dirección IP de la consola
• Señal de API
• Dirección IP de origen
Estos parámetros de configuran en el área Parámetros de script de la ventana Definir una acción
personalizada:
62 IBM Security QRadar: Guía de administración de QRadar
Figura 5. Parámetros de script de acción personalizada
Cada parámetro se pasa al script en el orden en el que se ha añadido en la ventana Definir acción
personalizada. En este caso:
1. console_ip
2. api_token
3. offense_source_ip
Las variables que se han definido al principio de cada uno de los scripts de ejemplo utilizan los nombres
de parámetro de ejemplo que se han añadido en la ventana Definir acción personalizada.
#!/bin/bash
console_ip=$1
api_token=$2
offense_source_ip=$3
auth_header="SEC:$api_token"
output=$(curl -k -H $auth_header https://$console_ip/console/restapi/api/
asset_model/assets?filter=interfaces%20contains%20%28%20ip_addresses
%20contains%20%28%20value%20%3D%20%22$offense_source_ip%22%29%29)
# Impresión básica de la salida del mandato
echo $output
Figura 6. call_asset_model.sh
Capítulo 5. Configurar QRadar 63
#!/usr/bin/python
import sys
import requests
console_ip = sys.argv[1]
api_token = sys.argv[2]
offense_source_ip = sys.argv[3]
auth_header = {'SEC' : api_token }
endpoint = "https://{0}/console/restapi/api/asset_model/
assets?filter=interfaces%20contains%20%28%20ip_addresses
%20contains%20%28%20value%20%3D%20%22{1}%22%29%29"
.format(console_ip, offense_source_ip)
response = requests.get(endpoint, headers=auth_header, verify=False)
# Impresión básica de la salida del mandato
print(response.json())
Figura 7. call_asset_model.py
#!/usr/bin/perl
use strict;
use warnings;
use LWP::UserAgent;
my $console_ip = $ARGV[0];
my $api_token = $ARGV[1];
my $offense_source_ip = $ARGV[2];
my $endpoint = "https://$console_ip/console/restapi/api/asset_model/
assets?filter=interfaces%20contains%20%28%20ip_addresses
%20contains%20%28%20value%20%3D%20%22$offense_source_ip%22%29%29";
my $client = LWP::UserAgent -> new(ssl_opts => { verify_hostname => 0 });
my $response = $client -> get($endpoint, "SEC" => $api_token);
# Impresión básica de la salida del mandato
print $response -> decoded_content;
Figura 8. call_asset_model.pl
Gestión de vistas de datos agregados
Un gran volumen de agregación de datos puede degradar su rendimiento del sistema. La función Ariel
utiliza una base de datos aparte para datos agregados para mejorar el rendimiento del sistema y hacer
que los datos estén disponibles con más rapidez. Puede inhabilitar, habilitar o suprimir vistas de datos
agregados. Las gráficas de series temporales, las gráficas de informe y las reglas de anomalía utilizan
vistas de datos agregados.
Acerca de esta tarea
Los elementos que aparecen en la lista Visualizar ordenan los datos.
La Vista de datos agregados debe generar datos para las reglas de ADE, los gráficos de series temporales
y los informes.
Inhabilite o suprima vistas si se alcanza el número máximo de vistas.
En la columna ID de datos agregados pueden aparecer vistas duplicadas porque una vista de datos
agregados puede incluir varias búsquedas.
Procedimiento
), pulse Admin.
1. En el menú de navegación (
2. En la sección Configuración del sistema, pulse Gestión de datos agregados.
64 IBM Security QRadar: Guía de administración de QRadar
3. Para filtrar la lista de vistas de datos agregados, lleve a cabo lo indicado en una de las siguientes
opciones:
•
Seleccione una opción de la lista Vista, Base de datos, Mostrar o Visualizar.
•
Escriba un ID de datos agregados, un nombre de informe, un nombre de gráfica o nombre de
búsqueda guardada en el campo de búsqueda.
4. Para gestionar una vista de datos agregados, seleccione la vista y luego pulse la acción adecuada en la
barra de herramientas.
•
Si se selecciona Inhabilitar vista o Suprimir vista, se visualizan las dependencias de contenido de
la vista de datos agregados. Una vez inhabilitada o suprimida la vista, los componentes
dependientes ya no utilizarán datos agregados.
•
Habilite una vista de datos agregados inhabilitados anteriormente para restaurar la vista.
Tabla 10. Descripciones de las columnas de la vista Gestión de datos agregados
Columna
Descripción
ID de datos agregados
Identificador de los datos agregados
Nombre de búsqueda guardada
Nombre definido para la búsqueda guardada
Nombre de columna
Identificador de columna
Veces que se ha buscado
Recuento de búsqueda
Datos escritos
Tamaño de los datos escritos
Nombre de base de datos
Base de datos en la que se ha escrito el archivo
Hora de la última modificación
Indicación de fecha y hora de la última
modificación de los datos
Recuento exclusivo habilitado
True o False; los resultados de búsqueda
mostrarán recuentos de sucesos y flujos
exclusivos en lugar de recuentos promedio a lo
largo del tiempo.
Capítulo 5. Configurar QRadar 65
66 IBM Security QRadar: Guía de administración de QRadar
Capítulo 6. Proceso de datos de sucesos en QRadar
En IBM QRadar, puede utilizar el Editor de DSM para resolver problemas de análisis y añadir un análisis
personalizado.
El Editor de DSM proporciona información en tiempo real para que sepa si la personalización funciona tal
como se espera.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Visión general Editor de DSM
En lugar de crear manualmente una extensión de origen de registro para arreglar problemas de análisis o
ampliar el soporte para tipos de origen de registro nuevos, utilice el Editor de DSM. El Editor de DSM
proporciona vistas diferentes de los datos. Puede utilizar el Editor de DSM para extraer campos, definir
propiedades personalizadas, categorizar sucesos y definir un definición de QID nueva.
El Editor de DSM proporciona las vistas siguientes:
Espacio de trabajo
El Espacio de trabajo muestra datos de sucesos en bruto. Puede utilizar cargas útiles de suceso para
probar el comportamiento del tipo de o después el área Espacio de trabajo muestra los datos que
captura en tiempo real..
Todos los sucesos de ejemplo se envían desde el espacio de trabajo al Simulador de DSM, donde se
analizan las propiedades y se realizan búsquedas en las correlaciones de QIDup. Los resultados se
muestran en la sección Vista previa de la actividad de registro. Haga clic en el icono de edición para
abrir el modo de edición.
En la modalidad de edición, puede pegar directamente hasta 100.000 caracteres de datos de sucesos en
el espacio de trabajo o editar los datos directamente. Al editar las propiedades en la pestaña de
Propiedades, las coincidencias de la carga útil se resaltan en el espacio de trabajo. Las propiedades
personalizadas y las propiedades del sistema alteradas temporalmente también se resaltan en el Espacio
de trabajo.
Vista previa de la actividad de registro
La Vista previa de la actividad de registro simula el aspecto que las cargas útiles del espacio de trabajo
tienen en el visor de Actividad de registro. Se visualiza cada propiedad estándar soportada. Los campos
marcados con un asterisco (*), por ejemplo, Nombre de suceso, Gravedad, Categoría de nivel
inferior y QID se llenan desde la correlación de QID. Los campos que se llenan desde la correlación de
QID no se pueden analizar al pie de la letra a partir de los datos de sucesos en bruto del espacio de
trabajo, de forma que no se pueden definir ni editar. Puede ajustar los valores correspondientes
seleccionando la combinación de ID y categoría de suceso correspondiente en la pestaña Correlaciones
de sucesos. A continuación, haga clic en Editar para volver a correlacionar un suceso con un registro QID
que existe en el sistema o en un QID recientemente creado.
Pulse en el icono de configuración para seleccionar qué columnas desea mostrar u ocultar en la Vista
previa de la actividad de registro y para reordenar las columnas.
Propiedades
La pestaña Propiedades contiene el conjunto combinado de propiedades del sistema y propiedades
personalizadas que conforman la configuración de un DSM. La configuración de una propiedad del
sistema difiere de la de una propiedad personalizada. Puede sustituir una propiedad marcando el
© Copyright IBM Corp. 2012, 2019
67
recuadro de selección Alterar temporalmente el comportamiento del sistema y definiendo la
expresión.
Nota: Si altera temporalmente la propiedad Categoría de suceso, también de alterar temporalmente la
propiedad ID de suceso.
Las coincidencias de la carga útil se resaltan en los datos de suceso del espacio de trabajo. El color del
resaltado es de dos tonos, según lo que se captura. Por ejemplo, el resaltado naranja representa el valor
de grupo de captura mientras que el resaltado amarillo brillante representa el resto de la expresión
regular especificada. El comentario del espacio de trabajo muestra si tiene la expresión regular correcta.
Si una expresión está en el foco, el resaltado del espacio de trabajo solo refleja lo que puede coincidir con
esa expresión. Si la propiedad general está en el foco, el resaltado se vuelve verde y muestra lo que
puede coincidir con el conjunto de expresiones agregadas teniendo en cuenta el orden de prioridad.
En el campo Serie de formato, los grupos de capturas se representan utilizando la anotación $<número>.
Por ejemplo, $1 representa el primer grupo de capturas de la expresión regular, $2 es el segundo grupo
de capturas, etc.
Puede añadir varias expresiones regulares a la misma propiedad y puede asignar la preferencia
arrastrando y soltando las expresiones en la parte superior de la lista.
Un icono de aviso junto a cualquiera de las propiedades indica que se ha añadido ninguna expresión.
Pestaña Correlaciones de sucesos
En la pestaña Correlaciones de sucesos se visualizan todas las combinaciones de ID y categoría de
suceso que existen en el sistema para un tipo de origen de registro seleccionado. Si se crea una
correlación de suceso nueva, se añade a la lista de combinaciones de ID y categoría de suceso que se
muestra en la pestaña Correlaciones de sucesos. En general, la pestaña Correlaciones de sucesos
muestra todas las combinaciones de ID y categoría de suceso y los registros de QID con los que están
correlacionadas.
Pestaña Configuración
Puede configurar el descubrimiento de propiedades automático para datos estructurados que están en
formato JSON. Los tipos de origen de registro tienen el descubrimiento de propiedades automático
desactivado de forma predeterminada.
Cuando habilite el Descubrimiento de propiedades automático en la pestaña Configuración, el motor
de descubrimiento de propiedades generará de forma automática propiedades nuevas para capturar
todos los campos que están presentas en los sucesos recibidos por un tipo de origen de datos. Puede
configurar el número de sucesos consecutivos que se inspeccionarán para las nuevas propiedades en el
campo Umbral de finalización de descubrimiento. Las propiedades recientemente descubiertas
aparecen en la pestaña Propiedades y se ponen a disposición para poder utilizarlas en las reglas e
índices de búsqueda. Sin embargo, si no se descubre ninguna propiedad nueva antes del umbral, el
proceso de descubrimiento se considera como finalizado y el Descubrimiento de propiedades
automático de ese tipo de origen de registro se inhabilita. Puede habilitar de forma manual el
descubrimiento de propiedades automático en la pestaña Configuración en cualquier momento.
Nota: Para inspeccionar sucesos para un tipo de origen de registro, debe asegurarse de establecer el
valor de Umbral de finalización de descubrimiento como 0.
Conceptos relacionados
Propiedades en el Editor de DSM
En el Editor de DSM, las propiedades del sistema normalizadas se combinan con las propiedades
personalizadas y están ordenadas alfabéticamente.
Propiedades en el Editor de DSM
En el Editor de DSM, las propiedades del sistema normalizadas se combinan con las propiedades
personalizadas y están ordenadas alfabéticamente.
68 IBM Security QRadar: Guía de administración de QRadar
Un DSM no puede tener varias propiedades con el mismo nombre.
La configuración de una propiedad del sistema difiere de la de una propiedad personalizada.
Propiedades del sistema
Las propiedades del sistema no se pueden suprimir pero puede alterar temporalmente el
comportamiento predeterminado. Hay dos tipos de propiedades del sistema:
Propiedad del sistema predefinida
Visualiza el comportamiento de QRadar predeterminado que se utiliza para el DSM.
Propiedad del sistema de alteración temporal
Las propiedades del sistema con una alteración temporal configurada (extensión de origen de
registro) muestran Alteración temporalmente en la línea de estado. Cuando una propiedad del
sistema tiene una alteración temporal, una extensión de origen de registro para ese DSM utiliza las
expresiones regulares especificadas para la configuración.
Propiedades personalizadas
Las propiedades personalizadas muestran Personalizado en la línea de estado.
Las propiedades personalizadas difieren de las propiedades del sistema de estas formas:
• En las propiedades personalizadas, se muestra Personalizada debajo del nombre.
• Las propiedades personalizadas no tienen el recuadro de selección Alterar temporalmente
comportamiento del sistema.
• Para hacer que una propiedad personalizada esté disponible para las reglas y la indexación de
búsquedas, seleccione el recuadro Habilitar esta propiedad para utilizarla en la indexación de
búsquedas y en reglas al crear una propiedad personalizada.
Nota: Cuando selecciona esta opción, QRadar intenta extraer la propiedad de los sucesos en cuanto
entran en el conducto. La información de propiedad extraída y el resto del registro de sucesos
persisten. No es necesario volver a extraer la propiedad cuando se utiliza en una búsqueda o informe.
Este proceso mejora el rendimiento cuando se recupera la propiedad, pero puede tener un impacto
negativo sobre el rendimiento durante la recopilación y el almacenamiento de sucesos.
• Las propiedades personalizadas deben tener una o más expresiones para ser válidas.
Conceptos relacionados
Visión general Editor de DSM
En lugar de crear manualmente una extensión de origen de registro para arreglar problemas de análisis o
ampliar el soporte para tipos de origen de registro nuevos, utilice el Editor de DSM. El Editor de DSM
proporciona vistas diferentes de los datos. Puede utilizar el Editor de DSM para extraer campos, definir
propiedades personalizadas, categorizar sucesos y definir un definición de QID nueva.
Definiciones de propiedad personalizada en el Editor de DSM
Puede definir una propiedad personalizada y reutilizar la misma propiedad en un DSM distinto. Utilice
estas propiedades en búsquedas, reglas y para especificar comportamiento definido por el usuario para
analizar valores en esos campos.
Configuración de propiedades en el Editor de DSM
Puede configurar propiedades en el Editor de DSM para modificar el comportamiento de una propiedad
de sistema alterada temporalmente o de la propiedad personalizada de un DSM.
Cuando sustituya el comportamiento de una propiedad del sistema, debe proporcionar una expression
válida en la pestaña Propiedades. El campo Serie de formato es una combinación de grupos de
captura de expresión regular y caracteres literales. Esta serie se utiliza para cumplimentar propiedades
del sistema con uno o varios valores capturados de sucesos y con más caracteres de formato o
información inyectada. Por ejemplo, puede analizar una dirección IP y un puerto para combinarlos en una
Capítulo 6. Proceso de datos de sucesos en QRadar 69
serie. Si la expresión regular tiene dos grupos de captura, puede combinarlos mediante esta serie de
formato: $1:$2.
Atención: El Editor de DSM permite capturar referencias de grupo del 1 al 9 en cualquier
coincidencia específica dada. Si hace referencia a cualquier grupo por encima del 9, la extensión
de origen de registro no funcionará correctamente.
Debe configurar cada propiedad personalizada que crea. Debe proporcionar una expresión y un grupo de
captura válidos para una propiedad personalizada en la pestaña Propiedades. También puede definir la
selectividad y habilitar o inhabilitar su expresión.
Conceptos relacionados
“Definiciones de propiedad personalizada en el Editor de DSM” en la página 82
Puede definir una propiedad personalizada y reutilizar la misma propiedad en un DSM distinto. Utilice
estas propiedades en búsquedas, reglas y para especificar comportamiento definido por el usuario para
analizar valores en esos campos.
Escribir una serie de formato para utilizar series de captura
Utilice el campo Serie de formato en la pestaña Configuración de propiedad para hacer referencia a
grupos de capturas definidos en la expresión regular. La referencia a los grupos de capturas se hace por
orden de prioridad.
Acerca de esta tarea
Un grupo de capturas es cualquier expresión regular encerrada entre paréntesis. Para hacer referencia a
un grupo de capturas se utiliza una notación $n, donde n es un número de grupo que contiene una
expresión regular (regex). Puede definir varios grupos de capturas.
Por ejemplo, tiene una carga útil con las variables company y hostname.
"company":"ibm", "hostname":"localhost.com"
"company":"ibm", "hostname":"johndoe.com"
Puede personalizar el nombre de host de la carga útil para que visualice ibm.hostname.com mediante
grupos de capturas.
Procedimiento
1. En el campo regex, especifique la siguiente expresión regular:
"company":"(.*?)".*"hostname":"(.*?)"
2. En el campo Serie de formato, especifique el grupo de capturas $1.$2 donde $1 es el valor de la
variable company (en este caso ibm) y $2 es el valor del nombre de host de la carga útil. Se mostrará
la siguiente salida:
ibm.localhost.com ibm.johndoe.com
Escribir una expresión regular para registros bien estructurados
Los registros bien estructurados son un estilo de formato de sucesos que consta de un conjunto de
propiedades y se presenta de la forma siguiente:
<nombre_de_propiedad_1><carácter_de_asignación>
<valor_de_propiedad_1><carácter_delimitador>
<nombre_de_propiedad_2><carácter_de_asignación>
<valor_de_propiedad_2><carácter_delimitador>
<nombre_de_propiedad_3><carácter_de_asignación>
<valor_de_propiedad_3><carácter_delimitador>...
Utilice las siguientes directrices generales:
• El <carácter_de_asignación> es '=' o ':' o una secuencia de varios caracteres como por ejemplo '->'.
• El <carácter_delimitador> es un carácter de espacio en blanco (espacio o tabulador) o un delimitador de
lista, como por ejemplo una coma o un punto y coma.
70 IBM Security QRadar: Guía de administración de QRadar
• El <valor_de_propiedad> y a veces el <nombre_de_propiedad> se ponen entre comillas u otros
caracteres de encapsulado.
Por ejemplo, considere un suceso de inicio de sesión simple generado por un dispositivo o una aplicación.
El dispositivo puede informar de la cuenta de usuario que ha iniciado la sesión, la hora a la que se ha
producido el inicio de sesión y la dirección IP del sistema desde el que el usuario ha iniciado la sesión. Un
suceso de estilo par nombre/valor tendrá el aspecto del fragmento siguiente:
<13>Sep 09 22:40:40 192.0.2.12 action=login
timestamp=01/09/2016 22:40:39 UTC
accountname=JohnDoe
clientIP=192.0.2.24
Nota: La serie "<13>Sep 09 22:40:40 192.0.2.12" es una cabecera de syslog. La serie no forma parte del
cuerpo del suceso.
La tabla siguiente muestra cómo se pueden capturar las propiedades del ejemplo de registro bien
estructurado especificado más arriba:
Tabla 11. Expresión regular para capturar propiedades de un registro bien estructurado
Propiedad
Expresión regular
action
action=(.*?)\t
accountname
accountname=(.*?)\t
clientIP
clientIP=(.*?)\t
timestamp
timestamp=(.*?)\t
Los patrones que están encerrados entre corchetes denotan el grupo de capturas. Cada expresión regular
de la tabla captura todo después del signo igual (=) y antes del siguiente carácter de tabulación.
Escribir expresiones regulares para registros de lenguaje natural
Los registros en lenguaje natural se presentan en un formato de frases y cada tipo de suceso puede ser
tener diferente aspecto.
Por ejemplo, un suceso de inicio de sesión simple se puede presentar en el formato siguiente:
<13>Sep 09 22:40:40 192.0.2.12 Account JohnDoe initiated a login action
from 192.0.2.24 at 01/09/2016 22:40:39 UTC
En la tabla siguiente se muestra cómo se pueden capturar las propiedades de los registros en lenguaje
natural de ejemplo especificados más arriba:
Tabla 12. Expresión regular para capturar propiedades de un registro en lenguaje natural
Propiedad
Regex
se ha iniciado una acción (.*?)
accountname
Cuenta (.*?) que se ha iniciado
clientIP
desde (.*?) a
timestamp
a las (.*?)
Nota: Escribir expresiones regulares para los registros en lenguaje natural requiere que mire la
información estática que rodea al valor que desea capturar antes de crear el grupo de capturas.
Escribir una expresión para datos estructurados con formato JSON
Los datos estructurados en formato JSON contienen una o varias propiedades, que se representan como
un par clave-valor.
Capítulo 6. Proceso de datos de sucesos en QRadar 71
Acerca de esta tarea
Puede extraer propiedades de datos de suceso que se presentan en formato JSON escribiendo una
expresión JSON que coincida con la propiedad. La expresión JSON debe ser una ruta con el
formato /"<nombre de campo de nivel superior>".
Por ejemplo, tiene datos de suceso con formato JSON:
{ "action": "login", "user": "John Doe" }
o un suceso que tiene un formato JSON anidado, como por ejemplo:
{ "action": "login", "user": { "first_name": "John", "last_name": "Doe" } }
Procedimiento
Para extraer propiedades de datos de suceso, elija uno de los métodos siguientes:
•
Para extraer la propiedad 'user' para datos de sucesos con formato JSON, escriba la
expresión /"user" en el campo Expresión.
•
Para extraer el 'last_name' del usuario para un suceso que tiene un formato JSON anidado, escriba la
expresión /"user"/"last_name" en el campo Expresión.
Escribir una expresión de vía de acceso clave JSON
Para identificar de forma exclusiva los campos que desea extraer de un objeto JSON, la expresión JSON
debe seguir las convenciones de vía de acceso de clave JSON específicas.
Utilice las directrices siguientes para las expresiones de vía de acceso de clave JSON:
• Al principio de todas las vías de acceso de clave de JSON debe haber una barra inclinada (/). Todas las
vías de acceso deben empezar al principio del objeto JSON raíz. Las barras inclinadas posteriores en la
vía de acceso de clave indican el acceso a los campos anidados en el objeto JSON.
• Los nombres de campo deben estar encerrados entre comillas dobles.
Una vía de acceso válida puede ser similar a la del ejemplo siguiente:
/"object"/"nestedObject"/"furtherNestedObject"/"desiredPropertyName"
• Los corchetes indican el manejo de las matrices JSON.
Si no proporciona un índice en los corchetes, se extrae el cuerpo completo de la matriz. Si proporciona
un índice en el corchete, dicho índice en la matriz se extrae o anida. Las matrices empiezan a un índice
cero, donde 0 es el primer índice de la matriz, 1 es el segundo índice en la matriz, y así sucesivamente.
En la vía de acceso clave de ejemplo siguiente, el analizador de JSON revisa el segundo índice de la
matriz de JSON "object", y en el índice de esa matriz, busca un campo llamado "desiredPropertyName".
/"object"[1]/"desiredPropertyName"
• Dentro de las extensiones de origen de registro, puede proporcionar y combinar varias vías de acceso
de claves JSON para dar un único resultado; este convenio excluye las propiedades personalizadas.
También puede optar por incluir texto literal. Cada una de las vías de acceso de claves JSON debe estar
encerrada entre llaves.
Observe el ejemplo siguiente:
{/"object"/"nestedObject"/"desiredPropertyName1"} {/"object"/"nestedObject"/"desiredPropertyName2"}
Obtendrá un valor analizado de la primera vía de acceso de clave JSON, un espacio de texto literal y, a
continuación, un valor analizado a partir de la segunda vía de acceso de claves JSON.
Ejemplo: Los dos ejemplos siguientes muestran cómo extraer datos de un objeto JSON:
72 IBM Security QRadar: Guía de administración de QRadar
• Caso sencillo de un objeto JSON:
[{"name":"object1","field1":"value1"}, {"name":"object2","field2":"value2"},
{"name":"object3","field3":"value3"}]
En la tabla siguiente se muestran los valores extraíbles de las vías de acceso de claves de ese objeto de
ejemplo:
Tabla 13. Vías de acceso de claves del objeto JSON simple
Vías de acceso de
claves
Descripción
Valor
/[]
Extrae la matriz JSON completa de
la raíz del objeto JSON.
/[1]/"name"
Extrae el valor del atributo llamado object2
"name" del objeto JSON en el índice
1 de la matriz JSON raíz.
[{"name":"object1","field1":"value1"}
,
{"name":"object2","field2":"value2"},
{"name":"object3","field3":"value3"}]
• Caso complejo de un objeto JSON:
<13>May 22 10:15:41 log.test.com {"module":"CPHalo","version":"1.0","user_name":"user123",
"event_type":"File integrity scan request created",
"event_category":"File Integrity Scanning Management","srcName":"domain-lab-123",
"timestamp":"2018-12-02T15:36:17.486","user":
{"email":"user123@example.com","first_name":"fname",
"last_name":"lname","alias":["alias name","alias1","name"]},"client_ip":"12.12.12.12",
"server_id":"12317412471421274","server_reported_fqdn":"None","actor_country":"USA",
"server_group_name":"Example Server","server_platform":"Linux",
"message":"A file integrity monitoring scan was requested for Linux server domain-lab-123
(13.13.13.13) by Halo user user123@example.com from IP address 12.12.12.12 (USA).",
"type":"fim_scan_request_created","id":"c2e8bf72-b74f-11e2-9055-870a490fcfb6"}
En la tabla siguiente se muestran los valores extraíbles de las vías de acceso de claves de ese objeto de
ejemplo:
Tabla 14. Vías de acceso de claves del objeto JSON complejo
Vías de acceso de claves
Descripción
Valor
/"user_name"
Extrae el valor del atributo
"user_name" de la raíz del objeto
JSON.
user123
/"user"/"alias"[]
Extrae toda la matriz JSON
["alias
denominada "alias" que está
name","alias1","name"]
anidada bajo el objeto JSON "user".
/"user"/"alias"[0]
Extrae el valor del índice 0 dentro
nombre de alias
de la matriz JSON "alias" que está
anidada bajo el objeto JSON "user".
/"user"/'first_name"
Extrae el valor de la propiedad
"first_name" que está anidada bajo
el objeto JSON "user".
fname
Capítulo 6. Proceso de datos de sucesos en QRadar 73
Tabla 14. Vías de acceso de claves del objeto JSON complejo (continuación)
Vías de acceso de claves
Descripción
Valor
{/"user"/"first_name"}.
{/"user"/"last_name"}
Extrae el valor de la propiedad
fname.lname
"first_name" que está anidada bajo
el objeto JSON "user", e inserta un
carácter '.' literal para, a
continuación, extraer el valor de la
propiedad "second_name" que está
anidado bajo el objeto JSON "user".
Sólo se refiere a las extensiones de
origen de registro y las propiedades
no personalizadas dentro del Editor
de DSM. Esta operación no es
posible en las propiedades
personalizadas.
{/"user"/"alias"[1]}@{/"client_ip"}
Extrae el valor del índice 1 de la
alias1@12.12.12.12
matriz JSON "alias" que está
anidada bajo el objeto JSON "user",
inserta un carácter '@' literal y, a
continuación, extrae el valor de la
propiedad "client_ip" bajo el objeto
JSON raíz.
Sólo se refiere a las extensiones de
origen de registro y las propiedades
no personalizadas dentro del Editor
de DSM. Esta operación no es
posible en las propiedades
personalizadas.
Escribir una expresión para datos estructurados con formato LEEF
Los datos estructurados en formato LEEF contienen una o varias propiedades, que se representan como
pares clave-valor.
Acerca de esta tarea
Puede extraer las propiedades de un suceso presentado en formato LEEF escribiendo una expresión LEEF
que coincida con la propiedad. Las expresiones LEEF válidas están en el formato de una sola referencia
de clave o una referencia de campo de cabecera LEEF especial.
Por ejemplo, tiene un suceso con formato en LEEF V1.0, como por ejemplo:
LEEF:1.0|ABC Company|SystemDefender|1.13|console_login|devTimeFormat=yyyy-MMdd'T'HH:mm:ss.SSSZ
devTime=2017-10-18T11:26:03.060+0200
usrName=flastname
name=Firstname Lastname
authType=interactivePassword
src=192.168.0.1
o un suceso con formato en LEEF V2.0 con el carácter separador de caret (^), como por ejemplo:
LEEF:2.0|ABC Company|SystemDefender|1.13|console_login|^|devTimeFormat=yyyyMMdd'T'HH:mm:ss.SSSZ^
devTime=2017-10-18T11:26:03.060+0200^usrName=flastname^name=Firstname Lastname
^authType=interactivePassword^src=192.168.0.1
74 IBM Security QRadar: Guía de administración de QRadar
Procedimiento
Puede extraer una propiedad o una propiedad de clave de cabecera para el suceso eligiendo uno de los
métodos siguientes:
•
Para extraer la propiedad 'usrName', especifique usrName en el campo Clave LEEF.
Las claves posibles que se pueden extraer son:
– devTimeFormat
– devTime
– usrName
– name
– authType
– src
•
Para extraer una propiedad clave de cabecera, escriba la clave en el formato siguiente en el campo
Clave LEEF:
$eventid$
Los valores de la cabecera LEEF se pueden extraer con las expresiones siguientes:
– $leefversion$
– $vendor$
– $product$
– $version$
– $eventid$
Escribir una expresión para datos estructurados con formato CEF
Los datos estructurados en formato CEF contienen una o varias propiedades, que se representan como
pares clave-valor.
Acerca de esta tarea
Puede extraer las propiedades de un suceso presentado en formato CEF escribiendo una expresión CEF
que coincida con la propiedad. Las expresiones CEF válidas están en el formato de una sola referencia de
clave o una referencia de campo de cabecera CEF especial.
Por ejemplo, supongamos tiene un suceso que tiene el formato en CEF:
CEF:0|ABC Company|SystemDefender|1.13|console_login|Console Login|1|start=Oct 18 2017 11:26:03
duser=jsmith cs1=John Smith cs1Label=Person Name cs2=interactivePassword cs2Label=authType
src=1.1.1.1
Procedimiento
Puede extraer una propiedad o una propiedad de clave de cabecera para el suceso eligiendo uno de los
métodos siguientes:
•
Para extraer la propiedad 'cs1', escriba cs1 en el campo Clave CEF.
Las claves posibles que se pueden extraer son:
– start
– duser
– cs1
– cs1Label
– cs2
Capítulo 6. Proceso de datos de sucesos en QRadar 75
– cs2Label
– src
•
Para extraer una propiedad clave de cabecera, escriba la clave en el formato siguiente en el campo
Clave CEF:
$id$
Los valores de la cabecera CEF se pueden extraer con las expresiones siguientes:
– $cefversion$
– $vendor$
– $product$
– $version$
– $id$
– $name$
– $severity$
Escribir una expresión para datos estructurados con formato Par nombre-valor
Los datos estructurados en formato Par nombre-valor contienen una o varias propiedades, que se
representan como pares clave-valor.
Acerca de esta tarea
Puede extraer las propiedades de un suceso que esté en formato Par nombre-valor escribiendo una
expresión que coincida con la propiedad. Las expresiones de par nombre valor válidas tienen el formato
de una referencia de clave única.
El ejemplo siguiente muestra un suceso cuyo formato es par nombre valor:
Company=ABC
Company;Product=SystemDefender;Version=1.13;EventID=console_login;Username=jsmith;Name=John
Smith;authType=interactivePassword;
Procedimiento
1. Para extraer la propiedad Username, escriba Username en el campo Expresión.
2. En el campo Delimitador de valor especifique el delimitador de clave-valor específico de la carga. En
este ejemplo, el delimitador de valor de clave es un signo igual (=).
3. En el campo Delimitador especifique el delimitador entre pares clave-valor específico de la carga. En
este ejemplo el delimitador entre pares clave-valor es un signo de punto y coma (;).
Resultados
Las coincidencias de la carga útil se resaltan en los datos de suceso, en el Espacio de trabajo del Editor
de DSM.
Escritura de una expresión para datos estructurados en formato Lista genérica
Los datos estructurados en formato Lista genérica contienen una o varias propiedades, que se
representan como elementos de lista.
Acerca de esta tarea
Puede extraer las propiedades de un suceso que esté en formato Lista genérica escribiendo una
expresión que coincida con la propiedad. Las expresiones de lista genérica tienen el formato de una
notación $<número>. Por ejemplo, $0 representa la primera propiedad de la lista, $1 es la segunda
propiedad, etc.
76 IBM Security QRadar: Guía de administración de QRadar
El ejemplo siguiente muestra un suceso cuyo formato es lista genérica.
ABC Company;1.13;console_login;jsmith;John Smith;interactivePassword;
Procedimiento
1. Para extraer la primera propiedad de la lista, teclee $0 en el campo Expresión.
2. En el campo Delimitador especifique el delimitador entre elementos de lista específico de la carga
útil. En este ejemplo, el delimitador entre elementos de lista es un signo de punto y coma (;).
Resultados
Las coincidencias de la carga útil se resaltan en los datos de suceso, en el Espacio de trabajo del Editor
de DSM.
Abrir el Editor de DSM
Puede abrir el editor de DSM desde la pestaña Actividad de registro o, si es administrador, puede abrirlo
desde la pestaña Admin. Por ejemplo si los sucesos que se envían al sistema no se manejan
adecuadamente, puede seleccionar los datos de suceso en la pestaña Actividad de registro y enviarlos al
Editor de DSM. Para sucesos que todavía no se han enviado al sistema, debe ser un administrador y
acceder al Editor de DSM desde la pestaña Admin.
Procedimiento
1. Para abrir el Editor de DSM desde la pestaña Admin, siga estos pasos:
a) En el menú de navegación (
), pulse Admin.
b) En la sección Orígenes de datos, pulse Editor de DSM.
2. Para abrir el Editor de DSM desde la pestaña Actividad de registro, siga estos pasos:
a) Pulse la pestaña Actividad de registro.
b) Ponga en pausa los resultados entrantes y, a continuación, resalte uno o varios sucesos.
Importante: Si se selecciona más de un suceso de dos o más orígenes de registro, se le solicita
que seleccione en qué tipo de origen de registro desea operar. Solo puede seleccionar un único tipo
de origen de registro y solo los sucesos de la actividad de registro que coinciden con el tipo de
origen de registro seleccionado se añaden automáticamente al espacio de trabajo.
c) En el menú de navegación, seleccione Acciones > Editor de DSM
Configuración de un tipo de origen de registro
Con el Editor de DSM, puede configurar un nuevo tipo de origen de registro o utilizar uno existente en IBM
QRadar.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, pulse Editor de DSM.
3. Crear un tipo de origen de registro o seleccione un tipo de origen de registro existente:
•
Para crear un tipo de origen de registro nuevo, pulse en Crear nuevo y siga las solicitudes.
•
Para buscar un tipo de origen de registro existente, utilice el campo Filtro y después pulse
Seleccionar.
Capítulo 6. Proceso de datos de sucesos en QRadar 77
Configuración de la detección automática de propiedades para tipos de
origen de registro
Cuando se habilita la Detección automática de propiedades, se generan de forma automática nuevas
propiedades para capturar todos los campos que están presentes en los sucesos que recibe el tipo de
origen de registro seleccionado. Configure la detección automática de propiedades de propiedades
nuevas para un tipo de origen de registro de modo que no es necesario crear manualmente una propiedad
personalizada para cada instancia.
Acerca de esta tarea
De forma predeterminada, la Detección automática de propiedades para un tipo de origen de registro
está inhabilitada.
Procedimiento
1. En el Editor de DSM seleccione un tipo de origen de registro o cree uno en la página Seleccionar tipo
de origen de registro.
2. Haga clic en el separador Configuración.
3. Restricción: La detección automática de propiedades solo funciona para datos estructurados que
están en formato JSON, CEF, LEEF o Par nombre-valor.
Pulse Habilitar detección automática de propiedades.
4. Seleccione el formato de datos estructurados para el tipo de origen de registro en la lista Formato de
detección de propiedades.
Si elije Par nombre-valor, en la sección Delimitador en pares de nombre-valor, especifique el
delimitador utilizado para separar cada nombre y valor y el delimitador utilizado para separar cada Par
nombre-valor. Se crean automáticamente delimitadores para cada par.
5. Para habilitar las nuevas propiedades para utilizarlas en reglas y búsquedas, pulse Habilitar esta
propiedad para utilizarla en la indexación de búsquedas y en reglas.
6. En el campo Umbral de finalización de detección automática, establezca el número de sucesos
consecutivos que se inspeccionarán para nuevas propiedades.
Si no se descubre ninguna propiedad nueva después de inspeccionar el número de sucesos
consecutivos, el proceso de descubrimiento se considera como finalizado y se inhabilita la Detección
automática de propiedades. Puede volver a habilitar la Detección automática de propiedades de
forma manual en cualquier momento. Un valor de umbral 0 significa que el proceso de descubrimiento
inspecciona siempre los sucesos del tipo de origen de registro seleccionado.
7. Pulse Guardar.
Resultados
Las propiedades recientemente descubiertas aparecen en la pestaña Propiedades de Editor de DSM.
Configuración de la detección automática de origen de registro para tipos de
origen de registro
Configurar la detección automática de origen de registro para un tipo de origen de registro de modo que
no sea necesario crear manualmente un origen de registro para cada instancia. La configuración de la
detección automática de origen de registro también ayuda a mejorar la precisión de detección de
dispositivos que comparten un formato común, y puede mejorar el rendimiento de la interconexión
evitando la creación de dispositivos detectados incorrectamente.
78 IBM Security QRadar: Guía de administración de QRadar
Antes de empezar
En QRadar V7.3.2, las actualizaciones de las versiones anteriores habilitan los valores de configuración
globales, que se almacenan en la base de datos de QRadar. Los valores globales se establece
inicialmente según el contenido del archivo TrafficAnalysisConfig.xml en el directorio /opt/qradar/
conf/ de QRadar Console. Si este archivo se ha personalizado antes de actualizar a v7.3.2, dicha
personalización se conserva. Si hay distintas personalizaciones en otros hosts gestionados en el
despliegue, dichas personalizaciones no se trasladan a los valores globales. Puede habilitar los valores de
detección automática del procesador por suceso utilizando el método de archivo de configuración.
Inhabilite los valores de detección automática globales en Admin > Gestión del sistema y licencias >
Editar host gestionado > Gestión de componentes.
Acerca de esta tarea
Cuando la Detección automática de origen de registro está habilitada, si crea un tipo de origen de registro
personalizado que tiene muchas instancias en la red, no es necesario crear manualmente un origen de
registro para cada instancia.
También puede utilizar la API REST de QRadar o un script de línea de mandatos para habilitar e inhabilitar
los tipos de origen de registro que se detectan automáticamente. Si utiliza un número pequeño de tipos
de origen de registro, puede configurar los orígenes de registro que se detectan automáticamente, para
mejorar la velocidad de detección.
Si opta por revertir a los valores basados en archivo (no globales), sólo puede configurar la detección
automática utilizando el archivo de configuración. El editor DSM y la API de REST solo funcionan con
valores globales. Mueva las configuraciones de autodetección personalizadas a los valores globales y al
Editor de DSM.
Ajustar el motor de autodetección para que los orígenes de registro no se identifiquen con un tipo
incorrecto. Dicha detección incorrecta se produce cuando un DSM no reconoce correctamente los
sucesos como propios, aunque no se originan en el tipo de sistema al que corresponde el DSM. Por
ejemplo, si los sucesos se formatean de forma similar a los sucesos a los que el DSM da soporte, o si
contienen las mismas palabras clave que está buscando el DSM. También puede suceder incluso si existe
un DSM para el sistema que está generando los sucesos, si los sucesos son tan similares que el DSM
incorrecto logra analizar los sucesos como el DSM correcto. Dicho DSM reconoce incorrectamente los
sucesos como propios, y el motor de detección automática crea un origen de registro que no es del tipo
correcto.
Por ejemplo, si tiene sistemas Linux y AIX en su despliegue de QRadar, y la mayoría son Linux. Puede
reducir el parámetro Mínimo de sucesos satisfactorios para la detección automática o el Mínimo de
sucesos satisfactorios para la detección automática para Linux. También puede aumentar los
parámetros Mínimo de sucesos satisfactorios para la detección automática o Mínimo de sucesos
satisfactorios para la detección automática para AIX.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, pulse Editor de DSM.
3. Seleccione un tipo de origen de registro o cree uno en la ventana Seleccionar tipo de origen de
registro.
4. Pulse la pestaña Configuración y, a continuación, pulse Habilitar detección automática de origen de
registro.
5. Configure los siguientes parámetros:
Parámetro
Descripción
Plantilla de nombre de origen de registro
Especifique la plantilla para establecer el nombre
de los orígenes de registro detectados
automáticamente.
Capítulo 6. Proceso de datos de sucesos en QRadar 79
Parámetro
Descripción
Se pueden utilizar dos variables:
• $$DEVICE_TYPE$$ se corresponde con el
nombre de tipo de origen de registro.
• $$SOURCE_ADDRESS$$ se corresponde con
la dirección de origen desde la que se originan
los sucesos.
Plantilla de descripción de origen de registro
Especifique la plantilla para establecer la
descripción de los orígenes de registro
detectados automáticamente.
Se pueden utilizar dos variables:
• $$DEVICE_TYPE$$ se corresponde con el
nombre de tipo de origen de registro.
• $$SOURCE_ADDRESS$$ se corresponde con
la dirección de origen desde la que se originan
los sucesos.
Mínimo de sucesos satisfactorios para la
detección automática
El número mínimo de sucesos de un origen
desconocido que se deben analizar
correctamente para que se produzca la detección
automática.
Tasa de éxito mínima para la detección
automática
El porcentaje mínimo de éxito de análisis para
que se produzca la detección automática de los
sucesos de un origen desconocido.
Límite de análisis intentados
El número máximo de intentos de sucesos de un
origen desconocido antes de abandonar la
detección automática.
Límite de análisis fallidos consecutivos
El número de sucesos fallidos consecutivos de un
origen desconocido antes abandonar la detección
automática.
6. Pulse Guardar.
Tipos de origen de registro personalizados
Utilice el Editor de DSM para crear y configurar un tipo de origen de registro para analizar los sucesos. Si
crea un tipo de origen de registro para las aplicaciones y los sistemas personalizados que no tienen un
DSM soportado, QRadar analiza los datos de la misma manera que lo hace para los DSMs soportados.
Puede seleccionar sucesos de la pestaña Actividad de registro y enviarlos directamente al Editor de DSM
para su análisis. También puede abrir el Editor de DSM de la pestaña Admin para crear y configurar un
tipo de origen de registro nuevo.
Complete los campos del Editor de DSM con los datos estructurados para analizar la información
relevante para los sucesos. QRadar utiliza los campos Categoría de suceso e ID de suceso para
correlacionar un significado con el suceso. El ID de suceso es un campo obligatorio que define el suceso y
la categoría desglosa aún más el suceso. Puede establecer la Categoría de suceso en el nombre Tipo de
dispositivo o puede dejarla como desconocida. Si deja la Categoría de suceso como desconocida, debe
establecerla como desconocida para cualquier correlación de sucesos que cree para este tipo de origen
de registro.
Utilice el Editor de DSM para correlacionar las combinaciones ID de suceso/Categoría de suceso que está
analizando de los sucesos. Especifique la combinación ID de suceso/Categoría de suceso en la entrada
80 IBM Security QRadar: Guía de administración de QRadar
nueva de la pestaña Correlación de sucesos. Puede elegir una categorización de la entrada de
correlación de QID relevante para el suceso o pulse Elegir QID para crear una entrada de correlación
nueva.
Tareas relacionadas
“Creación de una correlación y una categorización de sucesos” en la página 85
Una correlación de sucesos es una combinación de ID y categoría de suceso que se utiliza para
correlacionar un suceso con un QID. Con el Editor de DSM, puede crear una correlación de sucesos nueva
para correlacionar todos los sucesos desconocidos con una entrada en la correlación de QID. Además,
puede correlacionar los sucesos existentes con una categorización de sucesos recién creada (QIDs) o con
una existente en el sistema.
Creación de un tipo de origen de registro personalizado para analizar sucesos
Si tiene sucesos que se importan en QRadar, puede seleccionar los sucesos en los que desea basar el tipo
de origen de registro personalizado y enviarlos directamente al Editor de DSM.
Procedimiento
1. Pulse la pestaña Actividad de registro.
2. Ponga en pausa los resultados entrantes y, a continuación, resalte uno o varios sucesos.
Importante: Solo puede seleccionar un único tipo de origen de registro y solo los sucesos de la
actividad de registro que coinciden con el tipo de origen de registro seleccionado se añaden
automáticamente al espacio de trabajo.
3. En el menú de navegación, seleccione Acciones > Editor de DSM y elija una de las opciones
siguientes:
•
Si está analizando sucesos conocidos, seleccione el tipo de origen de registro de la lista.
•
Si está analizando sucesos almacenados, pulse Crear nuevo. Especifique un nombre para el tipo de
origen de registro en el campo Nombre de tipo de origen de registro y pulse Guardar.
4. En la pestaña Propiedades marque el recuadro de selección Alterar temporalmente propiedades del
sistema para las propiedades que desea editar.
Qué hacer a continuación
“Configuración de propiedades en el Editor de DSM” en la página 69
Tareas relacionadas
“Creación de una correlación y una categorización de sucesos” en la página 85
Una correlación de sucesos es una combinación de ID y categoría de suceso que se utiliza para
correlacionar un suceso con un QID. Con el Editor de DSM, puede crear una correlación de sucesos nueva
para correlacionar todos los sucesos desconocidos con una entrada en la correlación de QID. Además,
puede correlacionar los sucesos existentes con una categorización de sucesos recién creada (QIDs) o con
una existente en el sistema.
“Configuración de la detección automática de propiedades para tipos de origen de registro” en la página
78
Cuando se habilita la Detección automática de propiedades, se generan de forma automática nuevas
propiedades para capturar todos los campos que están presentes en los sucesos que recibe el tipo de
origen de registro seleccionado. Configure la detección automática de propiedades de propiedades
nuevas para un tipo de origen de registro de modo que no es necesario crear manualmente una propiedad
personalizada para cada instancia.
“Configuración de la detección automática de origen de registro para tipos de origen de registro” en la
página 78
Configurar la detección automática de origen de registro para un tipo de origen de registro de modo que
no sea necesario crear manualmente un origen de registro para cada instancia. La configuración de la
detección automática de origen de registro también ayuda a mejorar la precisión de detección de
dispositivos que comparten un formato común, y puede mejorar el rendimiento de la interconexión
evitando la creación de dispositivos detectados incorrectamente.
Capítulo 6. Proceso de datos de sucesos en QRadar 81
“Creación de una propiedad personalizada” en la página 83
En el Editor de DSM, puede definir una propiedad personalizada para uno o varios tipos de orígenes de
registro cuyos sucesos no se ajusten al modelo de sucesos normalizados de IBM QRadar. Por ejemplo, el
conjunto de propiedades del sistema podría no ser capaz de capturar datos de algunas aplicaciones,
sistemas operativos, bases de datos y otros sistemas.
Definiciones de propiedad personalizada en el Editor de DSM
Puede definir una propiedad personalizada y reutilizar la misma propiedad en un DSM distinto. Utilice
estas propiedades en búsquedas, reglas y para especificar comportamiento definido por el usuario para
analizar valores en esos campos.
Donde sea relevante, cada propiedad personalizada tiene un conjunto de opciones de configuración que
incluyen selectividad y análisis de fechas. Cada definición de propiedad personalizada dentro de una
configuración de DSM es un grupo ordenado que consta de un tipo de expresión, una expresión, un grupo
de capturas, una configuración de selectividad opcional y un botón de conmutador habilitada/
inhabilitada. No puede modificar los campos Nombre, Tipo de campo, Descripción, optimizar ni
ninguna opción avanzada para una propiedad personalizada en la pestaña Propiedades del Editor de
DSM.
Una propiedad personalizada está compartida entre todos los DSMs, mientras que las implementaciones
específicas para leer valores de cargas útiles están en el nivel de DSM.
La selectividad se especifica cuando configura una expresión para que se ejecute solo cuando se cumplen
ciertas condiciones.
Nota: Al campo Grupo de capturas de una propiedad personalizada no se le puede asignar un valor
mayor que el número de grupos de capturas de la expresión regular.
Conceptos relacionados
Propiedades en el Editor de DSM
En el Editor de DSM, las propiedades del sistema normalizadas se combinan con las propiedades
personalizadas y están ordenadas alfabéticamente.
Selectividad
En el Editor de DSM puede restringir la ejecución de una propiedad personalizada a ciertos criterios para
un mejor rendimiento.
Los tipos de restricciones son los siguientes:
Por categoría de nivel superior y de nivel inferior
Solo se evalúa una propiedad cuando las categorías de nivel superior y nivel inferior coinciden con
una combinación específica. Por ejemplo, una propiedad solo se evalúa cuando se sabe que el suceso
tiene categoría de nivel superior Autenticación y una categoría de nivel inferior Cierre de
sesión de administrador.
Por QID específico
Una propiedad se evalúa solo cuando el suceso visto se correlaciona con un QID específico. Por
ejemplo, cuando el suceso se correlaciona con un QID Inicio de sesión fallido, la propiedad
se evalúa.
Expresiones
Puede definir expresiones para propiedades personalizadas en el Editor de DSM. Las expresiones son el
mecanismo que define el comportamiento de una propiedad. El componente principal de una expresión
es una expresión regular o json válida. Los datos que conforman una expresión dependen del tipo de
propiedad.
Para una propiedad personalizada, solo puede elegir un grupo de capturas de la expresión regular.
82 IBM Security QRadar: Guía de administración de QRadar
Creación de una propiedad personalizada
En el Editor de DSM, puede definir una propiedad personalizada para uno o varios tipos de orígenes de
registro cuyos sucesos no se ajusten al modelo de sucesos normalizados de IBM QRadar. Por ejemplo, el
conjunto de propiedades del sistema podría no ser capaz de capturar datos de algunas aplicaciones,
sistemas operativos, bases de datos y otros sistemas.
Acerca de esta tarea
Puede crear una propiedad personalizada para aquellos datos que no se ajusten a las propiedades del
sistema de QRadar. Utilice las propiedades personalizadas en búsquedas y pruébelas comparándolas en
reglas.
Tabla 15. Parámetros de propiedades personalizadas
Parámetro
Descripción
Nombre
Nombre descriptivo de la propiedad personalizada
que crea.
Tipo de campo
El valor predeterminado es Texto.
Nota: Cuando seleccione Número o Fecha en la
lista Tipo de campo, se muestran campos extra.
Habilitar esta propiedad para utilizarla en la
indexación de búsquedas y en reglas
Cuando se habilita, durante la fase de análisis del
conducto de sucesos, QRadar intenta extraer la
propiedad de los sucesos en cuanto entran en el
sistema. Otros componentes en sentido
descendente del conducto como, por ejemplo, las
reglas, los perfiles de reenvío y la indexación
pueden utilizar los valores extraídos. La
información de la propiedad se conserva junto con
el resto del registro de sucesos y no necesita
volver a extraerse cuando se obtiene como parte
de una búsqueda o de un informe. Esta opción
mejora el rendimiento cuando se recupera la
propiedad, pero puede afectar negativamente al
rendimiento durante el proceso de análisis de
sucesos y afecta al almacenamiento.
Cuando no está habilitada, QRadar solo extrae la
propiedad de los sucesos cuando se recuperan o
se ven.
Nota: Para que las Propiedades personalizadas se
utilicen en pruebas de reglas, perfiles de reenvío o
para la indexación de búsquedas, este recuadro de
selección debe estar marcado porque la evaluación
de reglas, el reenvío de sucesos y la indexación se
producen antes de que los sucesos se escriban en
el disco, así que los valores se deben extraer en la
fase de análisis.
Utilizar formato de número de un entorno local
Este campo se muestra cuando se selecciona
Número en la lista Tipo de campo. Si marca la
casilla de verificación Utilizar formato de número
de entorno local, debe seleccionar un Formato de
número extraído en la lista.
Capítulo 6. Proceso de datos de sucesos en QRadar 83
Tabla 15. Parámetros de propiedades personalizadas (continuación)
Parámetro
Descripción
Formato de fecha/hora extraído
Este campo se muestra cuando se selecciona
Fecha en la lista Tipo de campo. Debe
proporcionar un patrón de fecha y hora que
coincida con la forma en que la fecha y la hora
aparecen en el suceso original.
Por ejemplo, 'MMM dd YYYY HH:mm:ss' es un
patrón de fecha y hora válido para una indicación
de fecha y hora, como 'Apr 17 2017 11:29:00'.
Entorno local
Este campo se muestra cuando se selecciona
Fecha en la lista Tipo de campo. Debe seleccionar
el entorno local del suceso.
Por ejemplo, si el entorno local es Inglés, reconoce
'Apr' como abreviatura del mes 'April'. Pero si el
suceso se presenta en francés y el token del mes
es 'Avr' (por Avril), establezca el entorno local
como Francés o el código no se reconoce como
una fecha válida.
Procedimiento
1. Para añadir una propiedad personalizada, pulse Añadir (+) en la pestaña Propiedades del Editor de
DSM.
2. Para crear una definición de propiedad personalizada nueva, utilice los pasos siguientes:
a) Seleccione Crear nuevo en la página Elegir una definición de propiedad personalizada a
expresar.
b) En la página Crear una definición de propiedad personalizada nueva, especifique valores para
los campos Nombre, Tipo de campo y Descripción.
Nota: Cuando seleccione Número o Fecha en la lista Tipo de campo, se muestran campos extra.
c) Si desea extraer la propiedad de los sucesos conforme entran en el sistema, marque el recuadro de
selección Habilitar esta propiedad para utilizarla en la indexación de búsquedas y en reglas.
d) Pulse Guardar.
3. Para utilizar una propiedad personalizada existente, utilice estos pasos:
a) En la página Elegir una definición de propiedad personalizada a expresar busque una propiedad
personalizada existente en el campo Definiciones de filtro.
b) Pulse Seleccionar para añadir la propiedad personalizada.
4. Para configurar una propiedad personalizada, siga estos pasos:
a) Busque y seleccione la propiedad personalizada en la pestaña Propiedades. Las propiedades
personalizadas muestran la palabra Personalizado junto a ellas para diferenciarlas de las
propiedades del sistema.
b) Seleccione un tipo de expresión en la lista Tipo de expresión.
c) Defina una expresión válida para la propiedad personalizada tomando como base el tipo de
expresión que se ha seleccionado en el paso b.
Nota:
• En Regex, la expresión debe ser una expresión regular compatible con java válida. La
coincidencia de mayúsculas y minúsculas solo es compatible si se utiliza el token (?i) al
comienzo de la expresión. El token (?i) se guarda en el archivo .xml de extensión de origen de
84 IBM Security QRadar: Guía de administración de QRadar
registro. Para utilizar otras expresiones, como (?s), edite manualmente el archivo .xml de
extensión de origen de registro.
• En JSON, la expresión debe ser una ruta con el formato /"<nombre de campo de nivel
superior>" con un /"<nombre de subcampo>" adicional para capturar los subcampos si hay
alguno.
• En el caso de LEEF y CEF, para capturar el valor de un par de valor clave, establezca la expresión
en la clave. Para capturar el valor de un campo de cabecera, establezca la expresión en la palabra
reservada correspondiente para ese campo de cabecera.
d) Si el tipo de expresión es Regex, seleccione un grupo de captura.
e) Opcional: Para limitar una expresión para que se ejecuta con una determinada categoría, pulse
Editar para añadir la selectividad a la propiedad personalizada y seleccione una Categoría de nivel
alto y una Categoría de nivel bajo.
f) Opcional: Para limitar una expresión para que se ejecute solo con un determinado suceso o QID,
haga clic en Seleccionar suceso para buscar un QID concreto.
g) En la ventana Expresión, pulse Aceptar.
5. Para añadir varias expresiones y reordenarlas, siga estos pasos:
a) Pulse Añadir (+) en la parte superior de la lista de expresiones.
b) Arrastre expresiones en el orden en el que desee ejecutarlas.
Información relacionada
Instrucciones sobre cómo definir un patrón de fecha y hora
Correlación de sucesos
En el Editor de DSM, la correlación de sucesos muestra todas las combinaciones de ID y categoría de
suceso que hay en el sistema.
Una correlación de sucesos representa una asociación entre una combinación de ID y categoría de
suceso y un registro QID (llamado categorización de suceso). Los valores de ID y categoría de suceso los
extraen los DSM de los sucesos y se utilizan a continuación para buscar las categorización de suceso o
QID correlacionados. Las categorizaciones de suceso almacenan metadatos adicionales para sucesos que
quizás no existan al pie de la letra en los datos de suceso en bruto, como por ejemplo un nombre y una
descripción legibles para una persona, un valor de gravedad o una asignación de categoría de nivel bajo.
La categorización de nivel bajo y la gravedad son útiles para la búsqueda y las definiciones de reglas.
Aviso: Para entornos de varios arrendatarios, cualquier información de correlación o de
categorización de sucesos definida por el usuario que se defina en el Editor de DSM resulta visible
para todos los arrendatarios. Debe asegurarse de que no se pongan datos específicos de
arrendatario en ningún nombre o descripción de categorización de suceso.
Creación de una correlación y una categorización de sucesos
Una correlación de sucesos es una combinación de ID y categoría de suceso que se utiliza para
correlacionar un suceso con un QID. Con el Editor de DSM, puede crear una correlación de sucesos nueva
para correlacionar todos los sucesos desconocidos con una entrada en la correlación de QID. Además,
puede correlacionar los sucesos existentes con una categorización de sucesos recién creada (QIDs) o con
una existente en el sistema.
Procedimiento
1. Para añadir una correlación de sucesos, pulse en el icono Añadir (+) en la pestaña Correlación de
sucesos del Editor de DSM.
2. Especifique valores para los campos ID de suceso y categoría.
3. Para crear una categorización de suceso, utilice los pasos siguientes:
a) En la ventana Crear una correlación de sucesos nueva, pulse Elegir suceso.
Capítulo 6. Proceso de datos de sucesos en QRadar 85
b) En la página Categorizaciones de suceso, pulse Crear registro QID nuevo.
c) Especifique el valor para los campos Nombre, Descripción y seleccione un Tipo de origen
de registro, una Categoría de nivel alto, una Categoría de nivel bajo y una
Gravedad.
d) Pulse Guardar para crear la categorización de suceso nueva.
4. Para utilizar una categorización de suceso existente, utilice estos pasos:
a) En la ventana Crear una correlación de sucesos nueva, pulse Elegir suceso.
b) Busque una Categorización de suceso existente en la ventana Categorización de suceso.
c) Seleccione una Categoría de nivel alto, una Categoría de nivel bajo, un Tipo de
origen de registro o un QID. Los resultados se muestran en el panel Resultados de
búsqueda.
d) Pulse Aceptar para añadir la categoría de suceso.
86 IBM Security QRadar: Guía de administración de QRadar
Capítulo 7. Uso de datos de referencia en QRadar
Utilice las recopilaciones de datos de referencia para almacenar y gestionar datos de negocio con los que
desea correlacionar los sucesos y los flujos de su entorno de IBM QRadar. Puede añadir datos de negocio
o datos de orígenes externos a una recopilación de datos de referencia y a continuación utilizar los datos
de búsquedas, filtros, condiciones de prueba de regla y respuestas de regla de QRadar,
Las recopilaciones de datos de referencia se almacenan en la consola de QRadar, pero las recopilaciones
se copian regularmente en cada host gestionado. Para un mejor rendimiento en las búsquedas de datos,
el host gestionado guarda en la memoria caché los valores de datos referidos con más frecuencia.
Datos de inteligencia de amenaza externa
Puede utilizar recopilaciones de datos de referencia para integrar el indicador de datos de compromiso
(IOC) de proveedores de terceros en QRadar. QRadar utiliza datos de IOC para detectar más rápidamente
un comportamiento sospechoso, lo que ayuda a los analistas de seguridad a investigar amenazas y
responder a incidentes con más rapidez.
Por ejemplo, puede importar datos de IOC, como por ejemplo direcciones IP, nombres de DNS, URLs y
MD5s, de proveedores de datos de amenazas basados en suscripción y correlacionarlos con sucesos e
incidentes que se están produciendo en su red.
Datos de negocio
Las recopilaciones de datos de referencia pueden contener datos de negocio que sean específicos de su
organización, como por ejemplo una lista de usuarios con privilegios de acceso al sistema. Utilice los
datos de negocio para crear listas negras y listas blancas.
Por ejemplo, puede utilizar un conjunto de referencia que contiene los ID de usuario de empleados
despedidos para impedir que inicien sesión en la red. O puede utilizar datos de negocio para crear una
lista blanca que solo permita a un conjunto limitado de direcciones IP realizar funciones específicas.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Tipo de recopilaciones de datos de referencia
Hay diferentes tipos de recopilaciones de datos de referencia y cada tipo puede gestionar niveles
diferentes de complejidad de datos. Los tipos más comunes son conjuntos de referencia y correlaciones
de referencia.
Tabla 16. Tipo de recopilaciones de datos de referencia
Tipo de
recopilación
Descripción
Uso
Conjunto de
referencia
Una recopilación de valores exclusivos
sin un orden determinado.
Utilice un conjunto de referencia para
comparar un valor de propiedad contra una
lista, como por ejemplo direcciones IP o
nombres de usuario.
Puede crear un conjunto de referencia
utilizando QRadar, la línea de mandatos
o la API RESTful.
Por ejemplo, puede verificar si el LoginID
que se ha utilizado para iniciar la sesión
está asignado a un usuario.
© Copyright IBM Corp. 2012, 2019
87
Tabla 16. Tipo de recopilaciones de datos de referencia (continuación)
Tipo de
recopilación
Descripción
Uso
Correlación de
referencia
Una recopilación de datos que
correlaciona una clave exclusiva con un
valor.
Utilice una correlación de referencia para
verificar una combinación exclusiva de dos
valores de propiedad.
Cree una correlación de referencias
utilizando la línea de mandatos o la API
RESTful.
Por ejemplo, para correlacionar la actividad
de usuario en su red puede crear una
correlación de referencia que utiliza el
parámetro LoginID como una clave y el
Nombre de usuario como un valor.
Una recopilación de datos que
correlaciona una clave con varios
valores. Cada clave es exclusiva y se
correlaciona con un conjunto de
referencia.
Utilice una correlación de referencia de
conjuntos para verificar una combinación
de dos valores de propiedad contra una
lista.
Correlación de
referencia de
conjuntos
Puede crear una correlación de
referencia de conjuntos utilizando la
línea de mandatos o la API RESTful.
Correlación de
referencia de
correlaciones
Una recopilación de datos que
correlaciona una clave con otra clave
que después se correlaciona con un
solo valor. Cada clave es exclusiva y se
correlaciona con una correlación de
referencia.
Cree una correlación de referencias
utilizando la línea de mandatos o la API
RESTful.
Tabla de
referencia
Similar a una correlación de
correlaciones pero la segunda clave se
asigna a un tipo de datos.
Por ejemplo, para comprobar el acceso
autorizado a una patente, puede crear una
correlación de conjuntos que utiliza una
propiedad de suceso personalizada para
ID de patente como la clave y el
parámetro Nombre de usuario como
valor. Utilice la correlación de conjuntos
para llenar una lista de usuarios
autorizados.
Utilice una correlación de referencia de
correlaciones para verificar una
combinación de tres valores de propiedad.
Por ejemplo, en el caso de violaciones de
banda ancha de red, puede crear una
correlación de correlaciones que utiliza el
parámetro IP de origen como la
primera clave, el parámetro Aplicación
como la segunda clave y el parámetro
Bytes totales como valor.
Utilice una tabla de referencia para
verificar una combinación de tres valores
de propiedad, cuando una de las
propiedades es un tipo de datos específico.
Cree una tabla de referencias utilizando
la línea de mandatos o la API RESTful.
Por ejemplo, puede crear una tabla de
referencia que almacena Nombre de
usuario como primera clave, IP de
origen como la segunda clave con un tipo
de datos asignado cidr y Puerto de
origen como valor.
Si desea utilizar los mismos datos de referencia en QRadar SIEM y QRadar Risk Manager, utilice un
conjunto de referencia. No puede utilizar otros tipos de recopilaciones de datos de referencia con QRadar
Risk Manager.
88 IBM Security QRadar: Guía de administración de QRadar
Visión general de los conjuntos de referencia
Utilice los conjuntos de referencia de IBM QRadar para almacenar datos en formato de lista simple.
Puede llenar el conjunto de referencia con datos externos, como por ejemplo indicadores de compromiso
(IOCs) o puede utilizarlo para almacenar datos de negocio, tales como direcciones IP y nombres de
usuario, que se recopilan de los sucesos y flujos que se producen en la red.
Un conjunto de referencia contiene valores exclusivos que se pueden utilizar en búsquedas, filtros,
condiciones de prueba de regla y respuestas de regla. Utilice las reglas para probar si un conjunto de
referencia contiene un elemento de datos o configure la respuesta de regla para añadir datos a un
conjunto de referencia. Por ejemplo, puede crear una regla que detecta cuándo un empleado accede a un
sitio web prohibido y configurar la respuesta de regla para añadir la dirección IP o el nombre de usuario
del empleado a un conjunto de referencia.
Para obtener más información sobre la configuración de respuestas de regla para añadir datos a un
conjunto de referencia, consulte IBM QRadar User Guide.
Tareas relacionadas
Crear recopilaciones de datos de referencia con las API
Puede utilizar API (Application Program Interface) para gestionar las recopilaciones d datos de referencia
de IBM QRadar.
Adición, edición y supresión de conjuntos de referencia
Utilice un conjunto de referencia para comparar un valor de propiedad, como por ejemplo una dirección
IP o un nombre de usuario con una lista. Puede utilizar conjuntos de referencia con reglas para mantener
listas de observación. Por ejemplo, puede crear una regla para detectar cuándo un empleado accede a un
sitio web prohibido y a continuación, añadir la dirección IP de ese empleado a un conjunto de referencia.
Acerca de esta tarea
Después de añadir datos al conjunto de referencia, los parámetros Número de elementos y Reglas
asociadas se actualizan automáticamente.
Cuando edita un conjunto de referencia, puede cambiar los valores de datos pero no puede cambiar el
tipo de datos que el conjunto de referencia contiene.
Antes de suprimir un conjunto de referencia, QRadar ejecuta una comprobación de dependencia para ver
si el conjunto de referencia tiene reglas asociadas.
Nota: Si utiliza técnicas para ocultar datos sobre las propiedades de sucesos que desea comparar con los
datos del conjunto de referencia, utilice un conjunto de referencia alfanumérico y añada los valores de los
datos ocultos.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Para añadir un conjunto de referencia:
a) Pulse Añadir y configure los parámetros.
Más información sobre parámetros de conjunto de referencia:
La tabla siguiente describe cada uno de los parámetros utilizados para configurar un conjunto de
referencia.
Capítulo 7. Uso de datos de referencia en QRadar 89
Tabla 17. Parámetros de conjunto de referencia
Parámetro
Descripción
Nombre
La longitud máxima del nombre del conjunto de referencia es 255
caracteres.
Tipo
Seleccione los tipos de datos de los elementos de referencia. No se
puede editar el parámetro Tipo después de crear un conjunto de
referencia.
El tipo IP almacena direcciones IPv4. El tipo Alfanumérico (sin
distinguir mayúsculas y minúsculas) cambia automáticamente
cualquier valor alfanumérico a minúsculas.
Para comparar propiedades ofuscadas de suceso y flujo con los datos
de referencia, debe utilizar un conjunto de referencia alfanumérico.
Tiempo de vida de
elementos
Especifica cuándo caducan los elementos de referencia. Si selecciona el
valor predeterminado Sin caducidad (Lives Forever), los elementos de
referencia no caducan.
Si especifica una cantidad de tiempo, indique si el intervalo de tiempo
de vida está basado en la primera o la última vez que se vieron los
datos.
QRadar elimina periódicamente los elementos caducados del conjunto
de referencia (de forma predeterminada, cada 5 minutos).
Cuando los elementos
caducan
Especifica cómo se registran los elementos de referencia caducados en
el archivo qradar.log cuando se eliminan del conjunto de referencia.
La opción Registrar cada elemento en una entrada de registro
independiente desencadena un suceso de registro del Elemento
ReferenceData caducado para cada elemento de referencia que se
elimina. El suceso contiene el nombre del conjunto de datos de
referencia y el valor del elemento.
La opción Registrar elementos en una entrada de registro
desencadena un suceso de registro Elemento ReferenceData
caducado para todos los elementos de referencia que se eliminan al
mismo tiempo. El suceso contiene el nombre del conjunto de datos de
referencia y los valores del elemento.
La opción No registrar elemento no activa un suceso de registro para
los elementos de referencia eliminados.
b) Pulse Crear.
4. Pulse Editar o Suprimir para trabajar con los conjuntos de referencia existentes.
Consejo: Para suprimir varios conjuntos de referencia, utilice el cuadro de texto Búsqueda rápida
para buscar los conjuntos de referencia que desea suprimir y a continuación pulse Suprimir listados.
Tareas relacionadas
Visualización del contenido de un conjunto de referencia
Seguimiento de las cuentas de usuario caducadas
Puede utilizar las recopilaciones de datos de referencia para identificar datos obsoletos, tales como
cuentas de usuario caducadas, en el entorno de IBM QRadar.
90 IBM Security QRadar: Guía de administración de QRadar
Visualización del contenido de un conjunto de referencia
Puede ver información sobre los elementos de datos del conjunto de referencia, como por ejemplo la
asignación de dominio, la caducidad de los datos y cuándo se ha visto el elemento por última vez en la
red.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Seleccione un conjunto de referencia y pulse Ver contenido.
4. Pulse la pestaña Contenido para ver información sobre cada elemento de datos.
Consejo: Utilice el campo de búsqueda para filtrar todos los elementos que coincidan con una palabra
clave. No se puede hacer búsquedas de datos en la columna Tiempo de vida.
Más información sobre los elementos de datos:
La tabla siguiente describe la información que se muestra para cada elemento de datos en el conjunto
de referencia.
Tabla 18. Información sobre los elementos de datos de conjunto de referencia
Parámetro
Descripción
Dominio
Los usuarios arrendatarios que tienen acceso a un dominio,
los administradores de MSSP, y los usuarios que no tienen
una asignación de arrendatario pueden ver los datos de
referencia específicos de ese dominio, Los usuarios de todos
los arrendatarios pueden ver los datos de referencia
compartidos.
Valor
El elemento de datos que se almacena en el conjunto de
referencia. Por ejemplo, el valor puede mostrar nombres de
usuario o direcciones IP.
Origen
Muestra el nombre de usuario cuando el elemento de datos
se añade manualmente y el nombre de archivo cuando los
datos se añaden importándolos desde un archivo externo.
Muestra el nombre de regla cuando se añade el elemento de
datos como respuesta a una regla.
Tiempo de vida
Tiempo que queda hasta que este elemento se elimine del
conjunto de referencia.
Fecha de última aparición
Fecha y hora en que este elemento se ha detectado por
última vez en la red.
5. Pulse en la pestaña Referencias para ver las reglas que utilizan el conjunto de referencia en una
prueba de regla o una respuesta de regla.
Tabla 19. Parámetros de la pestaña Contenido
Parámetro
Descripción
Nombre de regla
Nombre de la regla configurada para utilizar el conjunto de
referencia.
Grupo
El grupo al que pertenece la regla.
Categoría
Muestra si la regla es una regla personalizada o una regla de
detección de anomalías.
Capítulo 7. Uso de datos de referencia en QRadar 91
Tabla 19. Parámetros de la pestaña Contenido (continuación)
Parámetro
Descripción
Tipo
Muestra suceso, flujo, común o infracción para indicar el tipo
de datos contra el que se prueba la regla.
Habilitado
Una regla debe estar habilitada para que el motor de reglas
personalizadas la evalúe.
Respuesta
Respuestas que se han configurado para esta regla.
Origen
Sistema indica que se trata de una regla predeterminada.
Modificado indica que una regla predeterminada se ha
personalizado.
Usuario indica que se trata de una regla creada por el usuario.
6. Para ver o editar una regla asociada, efectúe una doble pulsación sobre la regla en la lista Referencias
y complete el asistente de regla.
Adición de elementos a un conjunto de referencia
Añada elementos a un conjunto de referencia cuando desee que IBM QRadar compare una propiedad con
el valor del elemento. Utilice QRadar para añadir manualmente elementos a un conjunto de referencia o
para importar elementos de un archivo .csv.
Antes de empezar
Para importar elementos, asegúrese de que el archivo .csv está almacenado localmente.
Acerca de esta tarea
Puede asignar datos de referencia a un dominio específico. Los usuarios arrendatarios que tienen acceso
a un dominio, los administradores de MSSP, y los usuarios que no tienen una asignación de arrendatario
pueden ver los datos de referencia específicos de ese dominio, Los usuarios de todos los arrendatarios
pueden ver los datos de referencia compartidos. Por ejemplo, los usuarios de MSSP que no son
administradores pueden ver datos de referencia asignados a un dominio.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Seleccione el conjunto de referencia que desea añadir a los elementos y pulse Ver contenido.
4. Pulse la pestaña Contenido.
5. Para añadir manualmente elementos de datos, siga estos pasos:
a) Pulse Añadir y configure los parámetros.
Los valores de puerto válidos son 0 - 65535. Las direcciones IP válidas van de 0 a
255.255.255.255.
Nota: Si utiliza técnicas de ofuscación de datos en las propiedades de suceso que desea comparar
con los datos de conjunto de referencia, debe utilizar un conjunto de referencia alfanumérico que
contenga los valores de datos ofuscados.
b) Pulse Añadir.
6. Para añadir elementos de un archivo .csv, siga estos pasos:
a) Pulse Importar.
b) Pulse Seleccionar archivo y examine para seleccionar el archivo .csv que desea importar.
92 IBM Security QRadar: Guía de administración de QRadar
El archivo .csv debe tener todos los elementos separados por comas en una sola línea o cada
elemento en una línea aparte. No se necesita un delimitador cuando cada elemento está en una
línea aparte.
c) Seleccione el Dominio al que desea añadir los datos de conjunto de referencia.
d) Pulse Importar.
La importación añade el contenido del archivo de texto al conjunto de referencia.
Exportación de elementos de un conjunto de referencia
Exporte elementos de conjunto de referencia a un archivo .csv cuando desee incluir la información en
informes o compartir la información con personas que no utilizan IBM QRadar.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Seleccione el conjunto de referencia que desea exportar y pulse Ver contenido.
4. Pulse la pestaña Contenido y pulse Exportar.
5. Elija si desea abrir el archivo inmediatamente o guardarlo y pulse Aceptar.
Supresión de elementos de un conjunto de referencia
Puede que tenga que suprimir elementos de un conjunto de referencia cuando se añada un elemento a un
conjunto de referencia con un error, o cuando ya no necesite comparar el elemento con otras
propiedades de IBM QRadar. Por ejemplo, deberá eliminar un activo que se haya añadido por error a una
lista negra de exclusión de activos.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Seleccione el conjunto de referencia que contiene los elementos que desea suprimir y pulse Ver
contenido.
4. Pulse la pestaña Contenido y elija una de las opciones siguientes:
•
Para suprimir un elemento, seleccione el elemento de la lista y pulse Suprimir.
•
Para suprimir varios elementos, utilice el cuadro de búsqueda para filtrar la lista y mostrar solo los
elementos que desea suprimir y a continuación pulse Suprimir listados.
Crear recopilaciones de datos de referencia con las API
Puede utilizar API (Application Program Interface) para gestionar las recopilaciones d datos de referencia
de IBM QRadar.
Procedimiento
1. Utilice un navegador web para acceder a https://<IP de consola>/api_doc e iniciar la sesión
como administrador.
2. Seleccione la última iteración de la API de IBM QRadar.
3. Seleccione el directorio /reference_data.
4. Para crear un nuevo conjunto de referencia, siga estos pasos:
a) Seleccione /sets.
b) Pulse en POST y especifique la información relevante en los campos Valor.
Más información sobre los parámetros para crear un conjunto de referencia:
Capítulo 7. Uso de datos de referencia en QRadar 93
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear un
conjunto de referencia:
Tabla 20. Parámetros - Conjunto de referencia
Parámetro
Tipo
Valor
Tipo de datos
Tipo de MIME
Ejemplo
element_type
consulta
(obligatorio)
String
text/plain
String <una de
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
name
consulta
(obligatorio)
String
text/plain
String
fields
consulta
(opcional)
String
text/plain
field_one
(field_two,
field_three),
field_four
time_to_live
consulta
(opcional)
String
text/plain
String
timeout_type
consulta
(opcional)
String
text/plain
String <una de
las siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
c) Pulse en ¡Inténtelo!. para terminar de crear la recopilación de datos de referencia y ver los
resultados.
5. Para crear una nueva correlación de referencia, siga estos pasos.
a) Pulse en /maps.
b) Pulse en POST y especifique la información relevante en los campos Valor.
Más información sobre los parámetros para crear una correlación de referencia:
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear una
correlación de referencia:
Tabla 21. Parámetros - Correlación de referencia
Parámetro
Tipo
Valor
Tipo de datos
Tipo de MIME
Ejemplo
element_type
consulta
(obligatorio)
String
text/plain
String <una de
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
name
consulta
(obligatorio)
String
text/plain
String
fields
consulta
(opcional)
String
text/plain
field_one
(field_two,
field_three),
field_four
key_label
consulta
(opcional)
String
text/plain
String
time_to_live
consulta
(opcional)
String
text/plain
String
94 IBM Security QRadar: Guía de administración de QRadar
Tabla 21. Parámetros - Correlación de referencia (continuación)
Parámetro
Tipo
Valor
Tipo de datos
Tipo de MIME
Ejemplo
timeout_type
consulta
(opcional)
String
text/plain
String <una de
las siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
value_label
consulta
(opcional)
String
text/plain
String
c) Pulse en ¡Inténtelo!. para terminar de crear la recopilación de datos de referencia y ver los
resultados.
6. Para crear una nueva correlación de referencia de conjuntos, siga estos pasos.
a) Seleccione /map_of_sets.
b) Pulse en POST y especifique la información relevante en los campos Valor.
Más información sobre los parámetros para crear una correlación de referencia de conjuntos:
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear una
correlación de referencia de conjuntos:
Tabla 22. Parámetros - Correlación de referencia de conjuntos
Parámetro
Tipo
Valor
Tipo de datos
Tipo de MIME
Ejemplo
element_type
consulta
(obligatorio)
String
text/plain
String <una de
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
name
consulta
(obligatorio)
String
text/plain
String
fields
consulta
(opcional)
String
text/plain
field_one
(field_two,
field_three),
field_four
key_label
consulta
(opcional)
String
text/plain
String
time_to_live
consulta
(opcional)
String
text/plain
String
timeout_type
consulta
(opcional)
String
text/plain
String <una de
las siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
value_label
consulta
(opcional)
String
text/plain
String
c) Pulse en ¡Inténtelo!. para terminar de crear la recopilación de datos de referencia y ver los
resultados.
7. Para crear una nueva tabla de referencia o correlación de correlaciones, siga estos pasos:
a) Pulse en /tables.
b) Pulse en POST y especifique la información relevante en los campos Valor.
Más información sobre los parámetros para crear una tabla de referencia o una correlación de
correlaciones:
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear una
tabla de referencia o una correlación de correlaciones:
Capítulo 7. Uso de datos de referencia en QRadar 95
Tabla 23. Parámetros - Tabla de referencia
Parámetro
Tipo
Valor
Tipo de datos
Tipo de
MIME
Ejemplo
element_type
consulta
(obligatorio)
String
text/plain
String <una de
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
name
consulta
(obligatorio)
String
text/plain
String
fields
consulta
(opcional)
String
text/plain
field_one
(field_two,
field_three),
field_four
key_name_types
consulta
(opcional)
Array
application/
json
[ { "element_typ
e": "String <una
de las
siguientes: ALN,
NUM, IP, PORT,
ALNIC, DATE>",
"key_name":
"String" }]
outer_key_label
consulta
(opcional)
String
text/plain
String
time_to_live
consulta
(opcional)
String
text/plain
String
timeout_type
consulta
(opcional)
String
text/plain
String <una de
las siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
c) Pulse en ¡Inténtelo!. para terminar de crear la recopilación de datos de referencia y ver los
resultados.
Conceptos relacionados
Visión general de los conjuntos de referencia
Ejemplos para utilizar recopilaciones de datos de referencia
En estos ejemplos se muestra cómo puede utilizar recopilaciones de datos de referencia para hacer un
seguimiento y almacenar datos que desee utilizar en búsquedas, filtros, condiciones de prueba de reglas
y respuestas de reglas de QRadar.
Seguimiento de las cuentas de usuario caducadas
Puede utilizar las recopilaciones de datos de referencia para identificar datos obsoletos, tales como
cuentas de usuario caducadas, en el entorno de IBM QRadar.
Acerca de esta tarea
De forma predeterminada, los datos de referencia permanecen en QRadar hasta que se eliminan. Sin
embargo, cuando crea una recopilación de datos de referencia, puede configurar QRadar para eliminar los
datos después de un periodo de tiempo especificado.
Cuando los elementos de datos caducan, QRadar suprime automáticamente el valor de la recopilación de
datos de referencia y desencadena un suceso para hacer un seguimiento de la caducidad.
96 IBM Security QRadar: Guía de administración de QRadar
Procedimiento
1. Cree un conjunto de referencia para hacer un seguimiento del tiempo transcurrido desde la última vez
que un usuario inició la sesión.
a) Establezca el Tiempo de vida de elementos para representar el periodo de tiempo después de el
cuál una cuenta de usuario se considera caducada.
b) Seleccione el botón Desde el último visto.
2. Cree una regla de suceso personalizado para añadir datos de inicio de sesión, como por ejemplo
username, al conjunto de referencia.
Nota: QRadar hace un seguimiento de la Fecha de última aparición para cada elemento de datos. Si
no se han añadido datos para un usuario concreto dentro del periodo de tiempo de vida, el elemento
del conjunto de referencia caduca y se desencadena un suceso de Caducidad de datos de referencia.
El suceso contiene el nombre de conjunto de referencia y el nombre de usuario que ha caducado.
3. Utilice la pestaña Actividad de registro para hacer un seguimiento de los sucesos de Caducidad de
datos de referencia.
Qué hacer a continuación
Utilice los datos de conjunto de referencia en búsquedas, filtros, condiciones de prueba de regla y
respuestas de regla.
Tareas relacionadas
Adición, edición y supresión de conjuntos de referencia
Integración dinámica de datos de orígenes externos
Las grandes organizaciones empresariales pueden utilizar recopilaciones de datos de referencia para
consultar información sobre sus activos de TI con los equipos de seguridad que gestionan el despliegue
de IBM QRadar.
Por ejemplo, el equipo de TI (tecnologías de la información) mantiene una base de datos de gestión que
incluye información sobre todos los activos de la red. Parte de la información como por ejemplo las
direcciones de IP de los servidores web, cambia con frecuencia.
Una vez a la semana, el equipo de TI exporta la lista de direcciones IP de todos los servidores web
desplegados en la red y proporciona la lista al equipo de seguridad. El equipo de seguridad importa la
lista a un conjunto de referencia que se puede utilizar en reglas, búsquedas e informes para proporcionar
más contexto a los sucesos y flujos procesados por QRadar.
Capítulo 7. Uso de datos de referencia en QRadar 97
98 IBM Security QRadar: Guía de administración de QRadar
Capítulo 8. Configuración del origen de información
de usuario
Configure el sistema de IBM QRadar para recopilar información de usuarios y grupos de los puntos finales
de gestión de acceso e identidad.
QRadar utiliza la información que se recopila de los puntos finales para enriquecer la información del
usuario que está asociada con el tráfico y los sucesos que se producen en la red.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Visión general de los orígenes de información de usuario
Puede configurar un origen de información de usuario para habilitar la recopilación de información de
usuario de un punto final de gestión de acceso e identidad.
Un punto final de gestión de acceso e identidad es un producto que recopila y gestiona las identidades de
usuarios electrónicos, las pertenencias a grupo y los permisos de acceso. Estos puntos finales se
denominan orígenes de información de usuario.
Utilice los programas de utilidad siguientes para configurar y gestionar los orígenes de información de
usuario:
• Tivoli Directory Integrator: Debe instalar y configurar Tivoli Directory Integrator en un host que no sea
de IBM QRadar.
• UISConfigUtil.sh: Utilice este programa de utilidad para crear, recuperar, actualizar o suprimir orígenes
de información de usuario. Puede utilizar orígenes de información de usuario para integrar IBM QRadar
SIEM utilizando un servidor de Tivoli Directory Integrator.
• GetUserInfo.sh: Utilice este programa de utilidad para recopilar información de usuario de un origen de
información de usuario y almacenar la información en una recopilación de datos de referencia. Puede
utilizar este programa de utilidad para recopilar información de usuario bajo demanda o según una
planificación.
Orígenes de información de usuario
Un origen de información de usuario es un componente configurable que permite la comunicación con un
punto final para recuperar información de usuarios y de grupos.
Los sistemas de IBM QRadar dan soporte a los siguientes orígenes de información de usuario:
© Copyright IBM Corp. 2012, 2019
99
Tabla 24. Orígenes de información soportados
Origen de información
Información que se recopila
Microsoft Windows Active Directory (AD), versión
• full_name
2008: Microsoft Windows AD es un servicio de
• user_name
directorio que autentica y autoriza a todos los
usuarios y sistemas que utilizan la red de Windows. • user_principal_name
• family_name
• given_name
• account_is_disabled
• account_is_locked
• password_is_expired
• password_can_not_be_changed
• no_password_expired
• password_does_not_expire
IBM Security Access Manager (ISAM), versión 7.0:
ISAM es una solución de autenticación y
autorización para aplicaciones existentes,
aplicaciones web corporativas y aplicaciones de
cliente/servidor. Para obtener más información,
consulte la documentación de IBM Security Access
Manager (ISAM).
• name_in_rgy
• first-name
• last-name
• account_valid
• password_valid
IBM Security Identity Manager (ISIM), versión 6.0: • Nombre completo
ISIM proporciona el software y los servicios
• DN
necesarios para desplegar soluciones de
suministro basadas en políticas. Este producto
automatiza el proceso de suministro de
empleados, contratistas y Business Partners de
IBM con derechos de acceso a las aplicaciones que
necesitan, ya sea en un entorno empresarial
cerrado o a través de una empresa virtual o
ampliada. Para obtener más información, consulte
la documentación de IBM Security Integration
Manager (ISIM).
Recopilaciones de datos de referencia para la información de usuario
En este tema se proporciona información sobre cómo las recopilaciones de datos de referencia
almacenan los datos recopilados de los orígenes de información de usuario.
Cuando IBM QRadar SIEM recopila información de un origen de información de usuario, crea de forma
automática una recopilación de datos de referencia para almacenar la información. El nombre de la
recopilación de datos de referencia se deriva del nombre del grupo de origen de información de usuario.
Por ejemplo, una recopilación de datos de referencia que se recopile desde Microsoft Windows AD puede
llamarse Domain Admins.
El tipo de recopilación de datos de referencia es un correlación de correlaciones. En una correlación de
referencia de correlaciones, los datos se almacenan en registros que correlacionan una clave con otra
clave, que a su vez se correlaciona con un solo valor.
Por ejemplo:
• #
• # Domain Admins
• # key1,key2,data
100 IBM Security QRadar: Guía de administración de QRadar
• smith_j,Full Name,John Smith
• smith_j,account_is_disabled,0
• smith_j,account_is_locked,0
• smith_j,account_is_locked,1
• smith_j,password_does_not_expire,1
Para obtener más información sobre las recopilaciones de datos de referencia, consulte la nota técnica
referente a las recopilaciones de datos de referencia (Reference Data Collections Technical Note).
Ejemplo de flujo de trabajo de integración
Después de que la información de usuarios y grupos se haya recopilado y almacenado en una
recopilación de datos de referencia, hay muchas formas en las que puede utilizar los datos en IBM
QRadar SIEM.
Puede crear alertas e informes significativos que muestren el cumplimiento de las políticas de seguridad
de la compañía por parte del usuario.
Observe el ejemplo siguiente:
Para asegurarse de que las actividades realizadas por usuarios de ISIM con privilegios cumplen las
políticas de seguridad, puede realizar las tareas siguientes:
Cree un origen de registro para recopilar y analizar los datos de auditoría correspondientes a cada
servidor de ISIM cuyos registros se han recopilado. Para obtener más información sobre la creación de un
origen de registro, consulte la publicación Managing Log Sources Guide.
1. Cree un origen de información de usuario para el servidor de ISIM y recopile la información del grupo
de usuarios ISIM Administrators. Este paso crea una recopilación de datos de referencia que se llama
ISIM Administrators.
2. Configure un componente básico para comprobar si hay sucesos en los que la dirección IP de origen
es el servidor de ISIM y el nombre de usuario figura en la recopilación de datos de referencia de
administrador de ISIM. Para obtener más información sobre los componentes básicos, consulte la
guía del usuario de su producto.
3. Cree una búsqueda de sucesos que utilice el componente básico personalizado como filtro. Para
obtener más información sobre las búsquedas de sucesos, consulte el documento IBM QRadar User
Guide correspondiente a su producto.
4. Cree un informe personalizado que utilice la búsqueda de sucesos personalizada para generar
informes diarios sobre la actividad de auditoría de los usuarios de ISIM con privilegios. Estos informes
generados indican si alguna actividad de administrador de ISIM infringe la política de seguridad. Para
obtener más información sobre los informes, consulte el documento IBM QRadar User Guide
correspondiente a su producto.
Nota: Si desea recopilar registros de seguridad de aplicaciones, debe crear un módulo de soporte de
dispositivo (DSM). Para obtener más información, consulte la publicación IBM QRadar DSM Configuration
Guide.
Capítulo 8. Configuración del origen de información de usuario 101
102 IBM Security QRadar: Guía de administración de QRadar
Capítulo 9. Integración de IBM X-Force
Los expertos de seguridad de IBMX-Force utilizan una serie de centros de datos internacionales para
recopilar decenas de miles de ejemplos de programas maliciosos, analizar páginas web y URLs y ejecutar
análisis para categorizar direcciones IP y URLs potencialmente maliciosas. IBM X-Force Exchange es la
plataforma para compartir estos datos, que puede utilizarse en IBM QRadar.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Canal de información de X-Force Threat Intelligence
Puede integrar los datos de IBM X-Force Exchange en IBM QRadar para ayudar a la organización a
adelantarse a las amenazas emergentes identificando y remediando actividad no deseable en el entorno
antes de que amenace la estabilidad de la red.
Por ejemplo, puede identificar y priorizar estos tipos de incidentes.
• Una serie de inicios de sesión intentados para un rango dinámico de direcciones IP
• Una conexión proxy anónima a un portal de Business Partner
• Una conexión entre un punto final interno y un mandato y control de botnet conocido
• Comunicación entre un punto final y un sitio distribución de programas maliciosos conocido
Nota: La integración de IBM X-Force permite utilizar los datos de X-Force Threat Intelligence en las
consultas de AQL y las reglas de correlación de QRadar. No se incluye el acceso a la API REST de IBM XForce Exchange.
Datos de X-Force en el panel de control
El widget Internet Threat Information Center del panel de control Supervisión de amenazas y
seguridad utiliza datos de X-Force para proporcionarle avisos sobre problemas de seguridad,
evaluaciones diarias sobre amenazas, noticias relacionadas con la seguridad y repositorios de amenazas.
El widget del panel de control utiliza un canal de información RSS para visualizar datos de X-Force en el
widget del panel de control. QRadar Console debe tener acceso a internet para recibir datos del servidor
de actualizaciones X-Force (www.iss.net).
El panel de control utiliza cuatro imágenes de nivel de amenaza de AlertCon para proporcionar un
indicador visual del nivel de amenaza actual.
Tabla 25. Niveles de amenaza de AlertCon
Nivel
Tipo
Descripción
1
Amenazas normales
Actividad ordinaria que compromete las redes no protegidas
minutos u horas después de que QRadar se conecte a Internet.
2
Vigilancia aumentada
Vulnerabilidades o amenazas en línea para redes de sistemas
que necesitan evaluación de vulnerabilidad y acciones
correctoras.
3
Ataques centrados
Debilidades y vulnerabilidades específicas que son objeto de
ataques de Internet y que necesitan una acción defensiva
inmediata.
4
Amenazas
catastróficas
Situaciones de seguridad críticas en una red que imponen una
acción defensiva inmediata y centrada. Esta condición puede
ser inminente o estar en curso.
© Copyright IBM Corp. 2012, 2019
103
Para obtener más información sobre el nivel de amenaza actual, pulse el enlace Más información para
abrir la página Actividad de amenaza actual en el sitio web IBM X-Force Exchange.
Para ver un resumen de los avisos actuales, pulse el icono de flecha junto al aviso. Para investigar el aviso
completo, pulse el enlace de aviso.
Aplicación IBM Security Threat Content
La aplicación IBM Security Threat Content de IBM Security App Exchange (https://
exchange.xforce.ibmcloud.com/hub) contiene reglas, bloques de construcción y propiedades
personalizadas pensadas para su uso con datos de canal de información de X-Force.
Los datos de X-Force incluyen una lista de direcciones IP y URLs potencialmente maliciosos con una
puntuación de amenaza correspondiente. Puede utilizar las reglas de X-Force para marcar
automáticamente cualquier suceso de seguridad o cualesquiera datos de actividad de red que incluya las
direcciones y para priorizar los incidentes antes de empezar a investigarlos.
La lista siguiente muestra ejemplos de los tipos de incidente que puede identificar mediante las reglas de
X-Force:
• when [IP de origen|destinationIP|anyIP] is part of any of the following [ubicaciones de red remota]
• when [esta propiedad de host] is categorized by X-Force as [Anonymization Servers|Botnet C&C|
DynamicIPs|Malware|ScanningIPs|Spam] with confidence value [igual a] [esta cantidad]
• when [esta propiedad de URL] is categorized by X-Force as [Gambling|Auctions|Job Search|Alcohol|
Social Networking|Dating]
QRadar descarga aproximadamente 30 MB de datos de reputación de IP por día cuando habilita el canal
de información de X-Force Threat Intelligence para utilizarlo con la aplicación IBM Security Threat
Content.
Instalación de la aplicación IBM Security Threat Content
La aplicación IBM Security Threat Content tiene contenido de IBM QRadar, como por ejemplo reglas,
bloques de construcción y propiedades personalizadas diseñadas específicamente para utilizarlas con
datos de X-Force. El contenido mejorado puede ayudarle a identificar y a remediar actividades
indeseadas en su entorno antes de que amenacen la estabilidad de su red.
Antes de empezar
Descargue la aplicación IBM Security Threat Content de IBM Security App Exchange (https://
exchange.xforce.ibmcloud.com/hub).
Acerca de esta tarea
Para utilizar datos de X-Force en reglas, infracciones y sucesos de QRadar, debe configurar IBM QRadar
para cargar datos automáticamente de los servidores de X-Force en su dispositivo QRadar.
Para cargar localmente datos de X-Force, habilite el canal de información de X-Force Threat Intelligence
en los valores del sistema. Si hay información nueva disponible cuando se inicia X-Force, se actualiza la
reputación de la dirección IP o la base de datos de URL. Estas actualizaciones se fusionan en sus propias
bases de datos y el contenido se replica desde QRadar Console en todos los hosts gestionados del
despliegue.
Las reglas de X-Force son visibles en el producto incluso aunque la aplicación IBM Security Threat
Content se desinstale posteriormente.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de extensiones.
104 IBM Security QRadar: Guía de administración de QRadar
3. Cargue la aplicación IBM Security Threat Content en la consola de QRadar siguiendo estos pasos:
a) Pulse Añadir.
b) Pulse Examinar para encontrar la extensión.
c) Pulse Instalar inmediatamente para instalar la extensión sin visualizar el contenido.
d) Pulse Añadir.
4. Para ver el contenido de la extensión, selecciónela en la lista de extensiones y pulse Más detalles.
5. Para instalar la extensión, siga estos pasos:
a) Seleccione la extensión en la lista y pulse Instalar.
b) Si la extensión no incluye una firma digital, o si está firmada, pero la firma no está asociado con la
Autoridad de certificación (CA) de IBM Security), debe confirmar que sigue deseando instalarla.
Pulse Instalar para continuar con la instalación.
c) Revise los cambios realizados por la instalación en el sistema.
d) Seleccione Sobrescribir o Conservar datos existentes para especificar cómo deben manejarse los
elementos de contenido existentes.
e) Pulse Instalar.
f) Revise el resumen de instalación y pulse Aceptar.
Las reglas aparecen bajo el grupo Amenazas de la ventana Lista de reglas. Deben estar habilitadas
para poder utilizarse.
Plugin IBM X-Force Exchange para QRadar
IBM X-Force Exchange es una plataforma de compartición para inteligencia sobre amenazas utilizada por
analistas de seguridad, especialistas en seguridad de red y equipos de centro de operaciones de
seguridad.
El plug-in de IBM X-Force Exchange (XFE) proporciona la opción de buscar la información en el sitio web
de IBM X-Force Exchange para las direcciones IP, los URL, los CVE y las aplicaciones web que se
encuentran en QRadar.
Por ejemplo, puede pulsar con el botón derecho un URL de un suceso de QRadar para ver qué datos
contiene X-Force Exchange sobre le URL.
También puede utilizar la opción de búsqueda que aparece al pulsar con el botón derecho para enviar
direcciones IP o datos de URL desde búsquedas de QRadar, infracciones y reglas a una recopilación
pública o privada. La recopilación almacena la información en un lugar mientras utiliza los datos para
continuar la investigación.
Las recopilaciones contienen también una sección que sirve como un área de notas de estilo wiki, donde
puede añadir comentarios o cualquier texto libre que sea relevante. Puede utilizar la recopilación para
guardar informes de X-Force, comentarios de texto o cualquier otro contenido. Un informe de X-Force
tiene tanto una versión del informe de la hora en la que se guardó y un enlace a la versión actual del
informe.
Capítulo 9. Integración de IBM X-Force 105
106 IBM Security QRadar: Guía de administración de QRadar
Capítulo 10. Orígenes de flujo
Para los dispositivos IBM QRadar, QRadar añade de forma automática orígenes de flujo para los puertos
físicos de los dispositivo e incluye un origen de flujo predeterminado de NetFlow.
Si ha instalado QRadar en su hardware, QRadar intenta detectar y añadir automáticamente los orígenes
de flujo predeterminados para todos los dispositivos físicos, como, por ejemplo, una tarjeta de interfaz de
red (NIC). Cuando se asigna un IBM QRadar QFlow Collector, QRadar incluye un origen de flujo de
NetFlow predeterminado.
Los orígenes de flujo pueden ser internos o externos:
Orígenes de flujo internos
Incluye el hardware adicional que se instala en un host gestionado, como una tarjeta de interfaz de
red (NIC). En función de la configuración de hardware del host gestionado, los orígenes de flujo
internos podrían incluir los orígenes siguientes:
• Tarjeta de interfaz de red
• Interfaz de Napatech
Orígenes de flujo externos
Incluye cualquier origen de flujo externo que envíe a QRadar QFlow Collector. Si QRadar QFlow
Collector recibe varios orígenes de flujo, puede asignar a cada origen de flujo un nombre diferenciado.
Cuando los datos de flujo externos son recibidos por un mismo QRadar QFlow Collector, un nombre
diferenciado ayuda a distinguir los datos de origen de flujo externos entre sí.
Los orígenes de flujo externos pueden incluir los orígenes siguientes:
• NetFlow
• IPFIX
• sFlow
• J-Flow
• Packeteer
• Archivo de registro de flujos
QRadar SIEM puede reenviar datos de origen de flujo externo con el método de suplantación o de no
suplantación:
Suplantación
Reenvía los datos de entrada recibidos de los orígenes de flujo a un destino secundario. Para
garantizar que los datos de origen de flujo se envían a un destino secundario, configure el parámetro
Interfaz de supervisión en la configuración del origen de flujo con el puerto en el que se reciben los
datos (puerto de gestión). Cuando se utiliza una interfaz específica, QRadar QFlow Collector utiliza
una captura de modalidad promiscua para obtener datos de origen de flujo, en lugar del puerto de
escucha UDP predeterminado en el puerto 2055. Como resultado, QRadar QFlow Collector puede
capturar paquetes de origen de flujo y reenviar los datos.
No suplantación
Para el método de no suplantación, configure el parámetro Interfaz de supervisión en la
configuración del origen de flujo como Cualquiera. QRadar QFlow Collector abre el puerto de
escucha, que es el puerto que está configurado como Puerto de supervisión para aceptar datos de
origen de flujo. Los datos se procesan y se reenvían a otro destino de origen de flujo. La dirección IP
de origen de los datos de origen de flujo se convierte en la dirección IP del sistema de QRadar SIEM,
no en el direccionador original que envió los datos.
© Copyright IBM Corp. 2012, 2019
107
Tipos de orígenes de flujo
IBM QRadar QFlow Collector puede procesar flujos con diferentes orígenes, que se clasifican como
orígenes internos o externos.
Orígenes de flujo internos
Los orígenes que incluyen datos de paquete a través de una conexión a un puerto SPAN o una TAP se
consideran orígenes internos. Estos orígenes proporciona datos de paquete en bruto a un puerto de
supervisión del Recopilador de flujo, que convierte los detalles del paquete en registros de flujo.
QRadar no mantiene toda la carga útil del paquete. En su lugar, captura una instantánea del flujo,
denominada carga útil o captura de contenido, que incluye paquetes desde el inicio de la comunicación.
La recopilación de flujos procedentes de orígenes internos por lo general requiere un Recopilador de flujo
dedicado.
Orígenes de flujo externos
QRadar también admite orígenes de flujo externos, como los direccionadores que envían datos de
NetFlow, sFlow, J-Flow y Packeteer.
Los orígenes externos no requieren tanto uso de la CPU para su proceso por lo que puede enviarlos
directamente a un Procesador de flujos. En esta configuración puede tener un recopilador de flujos
dedicado y un procesador de flujos, y ambos recibiendo y creando datos de flujo.
NetFlow
NetFlow es una tecnología propietaria de contabilidad desarrollada por Cisco Systems. NetFlow supervisa
el tráfico de flujos a través de un conmutador o un direccionador, interpreta el cliente, el servidor, el
protocolo y el puerto que se utiliza, cuenta el número de bytes y paquetes, y envía los datos a un
recopilador de NetFlow.
Al proceso de enviar datos desde NetFlow se le suele llamar NDE (exportación de datos de NetFlow).
Puede configurar IBM QRadar para aceptar las NDE y así convertirse en un recopilador de NetFlow.
QRadar da soporte a NetFlow versiones 1, 5, 7 y 9. Para obtener más información sobre NetFlow,
consulte el sitio web de Cisco (http://www.cisco.com).
Mientras NetFlow amplía la cantidad de red que se supervisa, NetFlow utiliza un protocolo sin conexión
(UDP) para ofrecer las NDE. Después de que una NDE se envíe desde un conmutador o un direccionador,
el registro de NetFlow se purga. Como se utiliza UDP para enviar esta información y no se garantiza la
entrega de los datos, NetFlow registra los registros inexactos y las funciones de alerta reducidas. El
resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos bidireccionales.
Cuando configure un origen de flujo externo para NetFlow, debe realizar las tareas siguientes:
• Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas. Si cambia el parámetro
External Flow Source Monitoring Port en la configuración de IBM QRadar QFlow Collector, también
debe actualizar la configuración del acceso de cortafuegos.
• Asegúrese de que estén configurados los puertos adecuados para QRadar QFlow Collector.
Si utiliza NetFlow versión 9, asegúrese de que la plantilla de NetFlow del origen de NetFlow contenga los
campos siguientes:
• FIRST_SWITCHED
• LAST_SWITCHED
• PROTOCOL
• IPV4_SRC_ADDR
• IPV4_DST_ADDR
• L4_SRC_PORT
108 IBM Security QRadar: Guía de administración de QRadar
• L4_DST_PORT
• IN_BYTES o OUT_BYTES
• IN_PKTS o OUT_PKTS
• TCP_FLAGS (flujos TCP solamente)
En la versión 9 de NetFlow, se admiten los campos VLAN siguientes.
• vlanId
• postVlanId
• dot1qVlanId
• dot1qPriority
• dot1qCustomerVlanId
• dot1qCustomerPriority
• postDot1qVlanId
• postDotqCustomerVlanId
• dot1qDEI
• dot1qCustomerDEI
IPFIX
Internet Protocol Flow Information Export (IPFIX) es una tecnología de contabilidad. IPFIX supervisa el
tráfico de flujos a través de un conmutador o un direccionador, interpreta el cliente, el servidor, el
protocolo y el puerto que se utiliza, cuenta el número de bytes y paquetes y envía los datos a un
recopilador de IPFIX.
IBM Security Network Protection XGS 5000, un sistema de protección frente a intrusiones (IPS) de
próxima generación, es un ejemplo de dispositivo que envía tráfico de flujo en formato de flujo IPFIX.
Al proceso de enviar datos de IPFIX se le suele llamar NDE (exportación de datos de NetFlow). IPFIX
proporciona más información de flujo y una información más exhaustiva que NetFlow v9. Puede
configurar IBM QRadar para que acepte las NDE y así convertirse en un recopilador de IPFIX. IPFIX utiliza
UPD (User Datagram Protocol) para distribuir las NDE. Después de que una NDE se envíe desde el
dispositivo de reenvío de IPFIX, el registro de IPFIX podría purgarse.
Para configurar QRadar para que acepte tráfico de flujo de IPFIX, debe añadir un origen de flujo de
NetFlow. El origen de flujo de NetFlow procesa los flujos de IPFIX utilizando el mismo proceso.
El sistema de QRadar podría incluir un origen de flujo de NetFlow predeterminado; por lo tanto, no tendría
que configurar un origen de flujo de NetFlow. Para confirmar que el sistema incluye un origen de flujo de
NetFlow predeterminado, en la pestaña Admin, seleccione Orígenes de flujo. Si en la lista de orígenes de
flujo aparece default_Netflow, IPFIX ya está configurado.
Cuando configure un origen de flujo externo para IPFIX, debe realizar las tareas siguientes:
• Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas. Si cambia el parámetro
External Flow Source Monitoring Port en la configuración de IBM QRadar QFlow Collector, también
debe actualizar la configuración del acceso de cortafuegos.
• Asegúrese de que estén configurados los puertos adecuados para QRadar QFlow Collector.
• Asegúrese de que la plantilla de IPFIX del origen IPFIX incluye los siguientes elementos de información
listados en IANA:
– protocolIdentifier (4)
– sourceIPv4Address (8)
– destinationIPv4Address (12)
– sourceTransportPort (7)
– destinationTransportPort (11)
Capítulo 10. Orígenes de flujo 109
– octetDeltaCount (1) o postOctetDeltaCount (23)
– packetDeltaCount (2) o postPacketDeltaCount (24)
– tcpControlBits (6) (solo flujos TCP)
– flowStartSeconds (150) o flowStartMilliseconds (152) o flowStartDeltaMicroseconds (158)
– flowEndSeconds (151) o flowEndMilliseconds (153) o flowEndDeltaMicroseconds (159)
En IPFIX se admiten los campos VLAN siguientes.
• vlanId
• postVlanId
• dot1qVlanId
• dot1qPriority
• dot1qCustomerVlanId
• dot1qCustomerPriority
• postDot1qVlanId
• postDotqCustomerVlanId
• dot1qDEI
• dot1qCustomerDEI
En IPFIX se admiten los campos MPLS siguientes.
• mplsTopLabelType
• mplsTopLabelIPv4Address
• mplsTopLabelStackSection
• mplsLabelStackSection2
• mplsLabelStackSection3
• mplsLabelStackSection4
• mplsLabelStackSection5
• mplsLabelStackSection6
• mplsLabelStackSection7
• mplsLabelStackSection8
• mplsLabelStackSection9
• mplsLabelStackSection10
• mplsVpnRouteDistinguisher
• mplsTopLabelPrefixLength
• mplsTopLabelIPv6Address
• mplsPayloadLength
• mplsTopLabelTTL
• mplsLabelStackLength
• mplsLabelStackDepth
• mplstopLabelExp
• postMplsTopLabelExp
• pseudoWireType
• pseudoWireControlWord
• mplsLabelStackSection
• mplsPayloadPacketSection
• sectionOffset
110 IBM Security QRadar: Guía de administración de QRadar
• sectionExportedOctets
Para obtener más información sobre estos campos MPLS, consulte Entidades IP Flow Information Export
(IPFIX) (https://www.iana.org/assignments/ipfix/ipfix.xhtml).
sFlow
sFlow es un estándar de múltiples proveedores y usuarios de la tecnología de muestreo que proporciona
una supervisión continua de los flujos de tráfico en el nivel de aplicación en todas las interfaces
simultáneamente.
sFlow combina las muestras de flujos y los contadores de interfaz en datagramas sFlow que se envían a
través de la red a un recopilador de sFlow. IBM QRadar da soporte a las versiones 2, 4 y 5 de sFlow. El
tráfico de sFlow se basa en datos de muestreo y, por lo tanto, podría no representar todo el tráfico de la
red. Para obtener más información, consulte el sitio web de sFlow (www.sflow.org).
sFlow utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de sFlow se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, sFlow registra los registros inexactos y las funciones de alerta
reducidas. El resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Cuando configure un origen de flujo externo para sFlow, debe realizar las tareas siguientes:
• Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas.
• Asegúrese de que estén configurados los puertos adecuados para QRadar VFlow Collector.
J-Flow
Tecnología de contabilidad propietaria utilizada por Juniper Networks que permite recopilar estadísticas
de los flujos de tráfico de IP. J-Flow permite exportar datos a un puerto UDP en un recopilador J-Flow.
También puede habilitar J-Flow en un direccionador o una interfaz para recopilar estadísticas de red de
ubicaciones específicas de la red.
Tenga en cuenta que el tráfico de J-Flow se basa en datos de muestreo y, por lo tanto, podría no
representar todo el tráfico de la red. Para obtener más información sobre J-Flow, consulte el sitio web de
Juniper Networks (www.juniper.net).
J-Flow utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de J-Flow se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, J-Flow registra los registros inexactos y las funciones de alerta
reducidas. El resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Cuando configure un origen de flujo externo para J-Flow, debe realizar las tareas siguientes:
• Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas.
• Asegúrese de que estén configurados los puertos adecuados para IBM QRadar QFlow Collector.
En J-Flow se admiten los campos VLAN siguientes.
• vlanId
• postVlanId
• dot1qVlanId
• dot1qPriority
• dot1qCustomerVlanId
• dot1qCustomerPriority
• postDot1qVlanId
• postDotqCustomerVlanId
• dot1qDEI
• dot1qCustomerDEI
Capítulo 10. Orígenes de flujo 111
Packeteer
Los dispositivos Packeteer recopilan, agregan y almacenan los datos de rendimiento de la red. Después
de configurar un origen de flujo externo para Packeteer, puede enviar información de flujo desde un
dispositivo Packeteer a IBM QRadar.
Packeteer utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de Packeteer se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, Packeteer registra los registros inexactos y las funciones de alerta
reducidas. Podrían darse presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Para configurar Packeteer como un origen de flujo externo, debe realizar las tareas siguientes:
• Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas.
• Asegúrese de configurar los dispositivos Packeteer para exportar los registros de detalle de flujo y de
configurar IBM QRadar QFlow Collector como destino de la exportación de datos.
• Asegúrese de que estén configurados los puertos adecuados para QRadar QFlow Collector.
• Asegúrese de que los ID de clase de los dispositivos Packeteer pueden ser detectados
automáticamente por QRadar QFlow Collector.
• Para obtener más información, consulte Mapping Packeteer Applications into QRadar Technical Note.
Archivo de registro de flujos
Un archivo de registro de flujos se genera a partir de los registros de flujos de IBM QRadar.
Interfaz de Napatech
Si ha instalado un adaptador de red Napatech en el sistema de IBM QRadar, la opción Interfaz Napatech
se muestra como origen de flujo basado en paquetes configurable en QRadar. El adaptador de red
Napatech es un adaptador de red inteligente y programable de próxima generación para la red. Para
obtener más información, consulte la documentación de Napatech .
Adición o edición de un origen de flujo
Utilice la ventana Origen de flujo para añadir un origen de flujo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, en Flujos, haga clic en Orígenes de flujo.
3. Realice una de estas acciones:
•
Para añadir un origen de flujo, pulse Añadir.
• Para editar un origen de flujo, seleccione el origen de flujo y pulse Editar.
4. Para crear este origen de flujo a partir de un origen de flujo existente, seleccione la casilla de
verificación Crear a partir de origen de flujo existente y seleccione un origen de flujo de la lista
Utilizar como plantilla.
5. Especifique el nombre en Nombre de origen de flujo.
Consejo: Si el origen de flujo externo también es un dispositivo físico, utilice el nombre de dispositivo
como nombre del origen de flujo. Si el origen de flujo no es un dispositivo físico, utilice un nombre
reconocible.
Por ejemplo, si desea utilizar tráfico de IPFIX, especifique ipf1. Si desea utilizar tráfico de NetFlow,
especifique nf1.
6. Seleccione un origen de flujo de la lista Tipo de origen de flujo y configure las propiedades.
112 IBM Security QRadar: Guía de administración de QRadar
•
Si selecciona la opción Archivo de registro de flujos, asegúrese de configurar la ubicación del
archivo de registro de flujos en el parámetro Vía de acceso de archivo de origen.
•
Si selecciona las opciones JFlow, NetFlow, Packeteer FDR o sFlow en el parámetro Tipo de
origen de flujo, asegúrese de configurar un puerto disponible en el parámetro Puerto de
supervisión.
El puerto predeterminado del primer origen de flujo de NetFlow configurado en la red es 2055. Por
cada origen de flujo de NetFlow adicional, el número de puerto predeterminado se incrementa en
1. Por ejemplo, el origen de flujo de NetFlow predeterminado del segundo origen de flujo de
NetFlow es 2056.
•
Si selecciona la opción Interfaz Napatech, especifique en Interfaz de flujo la interfaz de flujo que
desee asignar al origen de flujo.
Restricción: La opción Interfaz Napatech se visualiza solamente si ha instalado el adaptador de
red Napatech en el sistema.
•
Si selecciona la opción Interfaz de red, en Interfaz de flujo configure solamente un origen de
registro para cada interfaz Ethernet.
Restricción: No se pueden enviar distintos tipos de flujo al mismo puerto.
7. Si el tráfico de la red está configurado para seguir rutas alternativas para el tráficos de entrada y el de
salida, seleccione la casilla de verificación Habilitar flujos asimétricos.
8. Pulse Guardar.
9. En la pestaña Admin, pulse en Desplegar cambios.
Habilitación e inhabilitación de un origen de flujo
Con la ventana Origen de flujo puede habilitar o inhabilitar un origen de flujo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, en Flujos, haga clic en Orígenes de flujo.
3. Seleccione el origen de flujo que desee habilitar o inhabilitar y, a continuación, pulse Habilitar/
inhabilitar.
4. En la pestaña Admin, pulse en Desplegar cambios.
Supresión de un origen de flujo
Utilice la ventana Origen de flujo para suprimir un origen de flujo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, en Flujos, haga clic en Orígenes de flujo.
3. Seleccione el origen de flujo que desee suprimir y, a continuación, pulse Suprimir.
4. En la pestaña Admin, pulse en Desplegar cambios.
Alias de origen de flujo
Los alias de origen de flujo utilizan un nombre virtual para identificar flujos externos que se envían al
mismo puerto en un recopilador de flujos. Por ejemplo, el IBM QRadar QFlow Collector puede tener un
solo origen de flujo NetFlow que escuche en el puerto 2055, y puede tener varios orígenes de NetFlow
Capítulo 10. Orígenes de flujo 113
realizando envíos al mismo QRadar QFlow Collector. Si utiliza alias de origen de flujo, podrá identificar los
diferentes orígenes de NetFlow en función de sus direcciones IP.
Cuando QRadar QFlow Collector recibe el tráfico de un dispositivo que tiene una dirección IP, pero no
tiene un alias actual, QRadar QFlow Collector intenta una búsqueda DNS inversa. La búsqueda se utiliza
para determinar el nombre de host del dispositivo.
Puede configurar el QRadar QFlow Collector para crear automáticamente los alias de origen de flujo de
trabajo. Cuando QRadar QFlow Collector recibe el tráfico de un dispositivo con una dirección IP, pero sin
alias actual, intenta una búsqueda DNS inversa para determinar el nombre de host del dispositivo.
Si la búsqueda es satisfactoria, QRadar QFlow Collector añade esta información a la base de datos y
notifica la información a todos los componentes QRadar QFlow Collector del despliegue. Si la búsqueda
falla, QRadar crea un alias predeterminado para el origen de flujo basado en el nombre del origen de flujo
y la dirección IP de origen. Por ejemplo, el alias predeterminado puede aparecer como
default_NetFlow_172.16.10.139.
Añadir un alias de origen de flujo
Utilice la ventana Alias de origen de flujo para añadir un alias de origen de flujo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, en Flujos, haga clic en Alias de origen de flujo.
3. Realice una de estas acciones:
•
Para añadir un alias de origen de flujo, pulse Añadir y especifique los valores de los parámetros.
•
Para editar un alias existente de origen de flujo, seleccione el alias del origen de flujo, pulse Editar
y actualice los parámetros.
4. Pulse Guardar.
5. En la pestaña Admin, pulse en Desplegar cambios.
Nota: Si cambia el nombre de un alias de origen de flujo, debe utilizar el nombre original para realizar
una búsqueda histórica.
Supresión de un alias de origen de flujo
Utilice la ventana Alias de origen de flujo para suprimir un alias de origen de flujo.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, en Flujos, haga clic en Alias de origen de flujo.
3. Seleccione el alias de origen de flujo que desee suprimir y, a continuación, pulse Suprimir.
4. En el menú de la pestaña Admin, pulse Desplegar cambios.
114 IBM Security QRadar: Guía de administración de QRadar
Capítulo 11. Configuración de redes remotas y
servicios remotos
Utilice los grupos de redes remotas y servicios remotos para representar la actividad de tráfico en la red
para un perfil específico. Los grupos de redes remotas muestran el tráfico de usuario que se origina en las
redes remotas denominadas.
Todos los grupos de redes remotas y servicios remotos tienen niveles de grupo y niveles de objeto de
hoja. Puede editar los grupos de redes remotas y servicios remotos añadiendo objetos a los grupos
existentes o cambiando las propiedades ya existentes para adaptarlos a su entorno.
Si mueve un objeto existente a otro grupo, el nombre del objeto se mueve desde el grupo existente hasta
el grupo recién seleccionado. Sin embargo, cuando los cambios de configuración se despliegan, los datos
del objeto que están almacenados en la base de datos se pierden y el objeto deja de funcionar. Para
resolver este problema, cree una vista nueva y vuelva a crear el objeto que existe con otro grupo.
Puede agrupar las redes remotas y los servicios remotos para su uso en las búsquedas de sucesos, flujos
y el motor de reglas personalizadas. Puede también agrupar las redes y los servicios en IBM QRadar Risk
Manager, si está disponible.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Grupos de redes remotas predeterminados
IBM QRadar incluye grupos de redes remotas predeterminados.
En la tabla siguiente se describen los grupos de redes remotas predeterminados.
Tabla 26. Grupos de redes remotas predeterminados
Grupo
Descripción
BOT
Especifica el tráfico que se origina en las
aplicaciones BOT.
Para obtener más información consulte Botnet
Command and Control drop rules en el sitio web
Emerging Threats (http://
rules.emergingthreats.net/blockrules/emergingbotcc.rules)
Bogon
Especifica el tráfico que se origina en direcciones
IP no asignadas.
Para obtener más información, consulte el material
de referencia de bogon en el sitio web de Team
CYMRU (http://www.team-cymru.org/Services/
Bogons/bogon-bn-nonagg.txt).
© Copyright IBM Corp. 2012, 2019
115
Tabla 26. Grupos de redes remotas predeterminados (continuación)
Grupo
Descripción
RedesHostiles
Especifica el tráfico que se origina en redes
hostiles conocidas.
RedesHostiles tiene un conjunto de 20 rangos de
CIDR configurables (del rango 1 al 20, ambos
inclusive).
Para obtener más información, consulte la
referencia de HostileNets en el sitio web DShield
(http://www.dshield.org/ipsascii.html?limit=20)
Neighbours
Especifica tráfico originado en redes cercanas con
las que su organización tiene acuerdos de igualdad
de red.
Este grupo está en blanco de forma
predeterminada. Debe configurar este grupo para
clasificar el tráfico que se origina en las redes
vecinas.
Smurfs
Especifica el tráfico que se origina en los ataques
smurf.
Un ataque smurf es un tipo de ataque de
denegación de servicio que colapsa un sistema de
destino con mensajes ping de difusión con
suplantación.
Superflows
Este grupo no es configurable.
Un superflujo es un flujo que es un agregado de un
número de flujos que tienen un conjunto de
elementos similar predeterminado.
RedesDeConfianza
Especifica el tráfico de redes de confianza,
incluidos los business partners que tienen acceso
remoto a sus aplicaciones y servicios críticos.
Este grupo está en blanco de forma
predeterminada.
Debe configurar este grupo para clasificar el tráfico
que se origina en las redes de confianza.
Listas de supervisión
Clasifica el tráfico que se origina en redes que
desea supervisar.
Este grupo está en blanco de forma
predeterminada.
Los grupos y objetos que incluyen superflujos son solamente para fines informativos y no se pueden
editar. Los grupos y los objetos que incluyen bogons se configuran mediante la función de actualización
automática.
Nota: Puede utilizar conjuntos de referencia en lugar de redes remotas para proporcionar parte de la
funcionalidad. Aunque no puede asignar un nivel de confianza a un valor de IP en una tabla de referencia,
los conjuntos de referencia solo se utilizan con IPs individuales y no se pueden utilizar con rangos de
116 IBM Security QRadar: Guía de administración de QRadar
CIDR. Puede utilizar un valor de CIDR después de una actualización de red remota pero no con niveles de
peso o confianza.
Conceptos relacionados
“Tipo de recopilaciones de datos de referencia” en la página 87
Hay diferentes tipos de recopilaciones de datos de referencia y cada tipo puede gestionar niveles
diferentes de complejidad de datos. Los tipos más comunes son conjuntos de referencia y correlaciones
de referencia.
Grupos de servicios remotos predeterminados
IBM QRadar incluye los grupos de servicios remotos predeterminados.
En la tabla siguiente se describen los grupos de servicios remotos predeterminados.
Tabla 27. Grupos de redes remotas predeterminados
Parámetro
Descripción
Servidores_IRC
Especifica el tráfico que se origina en direcciones
comúnmente conocidas como servidores de chat.
Servicios_Enlinea
Especifica el tráfico que se origina en direcciones
conocidas comúnmente como servicios en línea
que podrían implicar la pérdida de datos.
Porno
Especifica el tráfico que se origina en direcciones
comúnmente conocidas por contener material
pornográfico explícito.
Proxys
Especifica el tráfico que se origina en servidores
proxy abiertos comúnmente conocidos.
Rangos_IP_Reservados
Especifica el tráfico que se origina en los rangos de
direcciones IP reservadas.
Spam
Especifica el tráfico que se origina en direcciones
comúnmente conocidas por generar correo no
deseado (spam).
Spy_Adware
Especifica el tráfico que se origina en direcciones
comúnmente conocidas por contener spyware o
adware.
Superflows
Especifica el tráfico que se origina en direcciones
comúnmente conocidas por generar superflujos.
Warez
Especifica el tráfico que se origina en direcciones
comúnmente conocidas por contener software
pirateado.
Directrices para los recursos de red
Dados la complejidad y los recursos de red que se necesitan para IBM QRadar SIEM en las grandes redes
estructuradas, siga las directrices sugeridas.
En la lista siguiente se describen algunas de las prácticas sugeridas que puede seguir:
• Empaquete los objetos y utilice las pestañas Actividad de red y Actividad de registro para analizar los
datos de la red.
Un número menor de objetos crea menos entrada y menos salida en el disco.
Capítulo 11. Configuración de redes remotas y servicios remotos 117
• Normalmente, para los requisitos estándares del sistema, no supere los 200 objetos por grupo.
Más objetos pueden afectar a la potencia de proceso cuando se investigue el tráfico.
Gestión de objetos de redes remotas
Después de crear grupos de redes remotas, puede agregar resultados de búsqueda de flujos y sucesos en
los grupos de redes remotas. También puede crear reglas que comprueben la actividad en los grupos de
redes remotas.
Utilice la ventana Redes remotas para añadir o editar un objeto de redes remotas.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración de redes remotas y servicios remotos, haga clic en Servicios y redes
remotas.
3. Para añadir un objeto de redes remotas, pulse Añadir y especifique los valores de los parámetros.
4. Para editar un objeto de redes remotas, siga estos pasos:
a) Pulse dos veces el nombre del grupo.
b) Seleccione el perfil y pulse el icono Editar ( ) para editar el perfil remoto.
5. Pulse Guardar.
6. Pulse el icono anterior ( ) para volver a la ventana Redes remotas y servicios remotos.
7. En la pestaña Admin, pulse en Desplegar cambios.
Gestión de objetos de servicios remotos
Los grupos de servicios remotos organizan el tráfico que se origina en los rangos de red definidos por el
usuario o en el servidor de actualizaciones automáticas de IBM. Después de crear grupos de redes
remotas, puede agregar resultados de búsqueda de flujos y sucesos y crear reglas que comprueben la
actividad en los grupos de servicios remotos.
Utilice la ventana Servicios remotos para añadir o editar un objeto de servicios remotos.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración de redes remotas y servicios remotos, haga clic en Servicios y redes
remotas.
3. Para añadir un objeto de servicios remotos, pulse Añadir y especifique los valores de los parámetros.
4. Para editar un objeto de servicios remotos, pulse el grupo que desea visualizar, pulse el icono Editar y
cambie los valores.
5. Pulse Guardar.
6. Pulse Volver.
7. Cierre la ventana Servicios remotos.
8. En el menú de la pestaña Admin, pulse Desplegar cambios.
118 IBM Security QRadar: Guía de administración de QRadar
Capítulo 12. Descubrimiento de servidores
La función Descubrimiento de servidores utiliza la base de datos de perfiles de activos para descubrir los
distintos tipos de servidor que están basados en definiciones de puerto. A continuación, puede
seleccionar los servidores para añadirlos a un componente básico de tipo servidor para las reglas.
La función Descubrimiento de servidores está basada en componentes básicos de tipo servidor. Se
utilizan puertos para definir el tipo de servidor. Así, el componente básico de tipo servidor funciona como
un filtro basado en puertos cuando se realiza una búsqueda en la base de datos de perfiles de activo.
Para obtener más información sobre los componentes básicos, consulte la publicación IBM QRadar User
Guide.
Utilice la función Descubrimiento de servidores con IBM QRadar Vulnerability Manager para crear reglas
de excepción para vulnerabilidades benignas. Reduzca el número de vulnerabilidades visualizadas para
los siguientes Tipos de servidor:
Tabla 28. Vulnerabilidades de tipos de servidor
Tipo de servidor
Vulnerabilidad
Servidores FTP
Servidor FTP presente
Servidores DNS
Servidor DNS en ejecución
Servidores de correo
Servidor SMTP detectado
Servidores web
Servicio web en ejecución
Para obtener más información sobre vulnerabilidades de falso positivo, consulte la IBM QRadar
Vulnerability Manager User Guide.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Descubrimiento de servidores
Utilice la pestaña Activos para descubrir servidores en la red.
Procedimiento
1. En el de navegación ( ), pulse Activos para abrir la pestaña Activos.
2. En el menú de navegación Activos, pulse Descubrimiento de servidores.
3. En la lista Tipo de servidor, seleccione el tipo de servidor que desee descubrir.
4. Seleccione una de las opciones siguientes para determinar los servidores que desea descubrir:
•
Para utilizar el tipo seleccionado actualmente en Tipo de servidor para buscar en todos los
servidores del despliegue, seleccione Todos.
•
Para buscar en los servidores del despliegue que estaban asignados al tipo seleccionado
actualmente en Tipo de servidor, seleccione Asignados.
• Para buscar en los servidores del despliegue que no están asignados, seleccione Sin asignar.
5. Para editar la lista de puertos de servidor estándar, pulse Editar puertos.
6. En la lista Red, seleccione la red en la que desea buscar.
7. Pulse Descubrir servidores.
8. En la tabla Servidores coincidentes, seleccione las casillas de verificación de todos los servidores que
desee asignar al rol de servidor.
© Copyright IBM Corp. 2012, 2019
119
9. Pulse Aprobar servidores seleccionados.
120 IBM Security QRadar: Guía de administración de QRadar
Capítulo 13. Segmentación en dominios
La segmentación de la red en diferentes dominios permite garantizar que la información relevante está a
disposición solamente de aquellos usuarios que la necesitan.
Puede crear perfiles de seguridad para limitar la información que está disponible para un grupo de
usuarios dentro de ese dominio. Los perfiles de seguridad proporcionan a los usuarios acceso únicamente
a la información que se necesita para completar sus tareas diarias. Se modifica solamente el perfil de
seguridad de los usuarios afectados, no cada usuario de forma individual.
También puede utilizar dominios para gestionar los rangos de direcciones IP solapados. Este método es
útil cuando se utiliza una infraestructura de IBM QRadar compartida para recopilar datos a partir de varias
redes. Al crear dominios que representan un espacio de direcciones determinado en la red, varios
dispositivos que se encuentran en dominios diferentes pueden tener la misma dirección IP pero se
tratarán como dispositivos independientes.
QRadar
División amarilla División verde
IPs: a.b.5.0/24
IPs: a.b.0.0/16
192.168.x.x/1 192.168.y.x/24
Fabricación
Automoción
Producción
Admin
CRM y ventas
RR.HH.
QRadar
Servicios
financieros
Figura 9. Segmentación en dominios
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Direcciones IP solapadas
Una dirección IP solapada es una dirección IP que se ha asignado a más de un dispositivo o unidad lógica,
como un tipo de origen de sucesos, en una red. Los rangos de direcciones IP solapados pueden causar
problemas significativos a las empresas que fusionan redes después de adquisiciones corporativas o a los
proveedores de servicios de seguridad gestionados (MSSP) que incorporan nuevos clientes.
© Copyright IBM Corp. 2012, 2019
121
IBM QRadar debe ser capaz de diferenciar los sucesos y los flujos que proceden de distintos dispositivos
y que tienen la misma dirección IP. Si la misma dirección IP se ha asignado a más de un origen de
sucesos, puede crear dominios para distinguirlos.
Por ejemplo, supongamos un caso en el que la empresa A adquiere la empresa B y desea utilizar una
instancia compartida de QRadar para supervisar los activos de la empresa nueva. La adquisición tiene una
estructura de red similar que hace que se utilice la misma dirección IP para diferentes orígenes de
registro en cada empresa. Los orígenes de registro con la misma dirección IP provocan problemas de
correlación, creación de informes, búsqueda y creación de perfiles de activo.
Para distinguir el origen de los sucesos y los flujos que llegan a QRadar desde el origen de registro, puede
crear dos dominios y asignar cada origen de registro a un dominio diferente. Si es necesario, también
puede asignar cada recopilador de sucesos, recopilador de flujo o pasarela de datos al mismo dominio
que el origen de registro que les envía sucesos.
Para ver los sucesos entrantes por dominio, cree una búsqueda e incluya la información de dominio en los
resultados de la búsqueda.
Definición y etiquetado de dominio
Los dominios se definen basándose en los orígenes de entrada de IBM QRadar. Cuando llegan sucesos y
flujos a QRadar, las definiciones de dominios se evalúan y los sucesos y los flujos se etiquetan con la
información de dominio.
Especificación de dominios para los sucesos
El diagrama siguiente muestra el orden de prioridad para evaluar los criterios de dominio de los sucesos.
nva.conf: DOMAIN_CEP_FALLTHROUGH=true
CEP definido pero el valor no coincide
Propiedades de
suceso personalizado
n/d nva.conf: DOMAIN_CEP_FALLTHROUGH=true
Origen de registro
CEP definido
y el valor
coincide
n/d
asignado
Grupo de orígenes
de registro
asignado
asignado
n/d
Recopilador de
sucesos
Dominio
n/d
Dominio
predeterminado
Figura 10. Orden de prioridad para sucesos
A continuación se indican las maneras de especificar dominios para los sucesos:
Recopiladores de sucesos y pasarelas de datos
Si un recopilador de sucesos o pasarela de datos está dedicado a un segmento de red o un rango de
direcciones IP específico, puede marcar el recopilador de sucesos o pasarela de datos entero como
parte de dicho dominio.
Todos los orígenes de registro que llegan a ese recopilador de sucesos o pasarela de datos
pertenecen al dominio; por consiguiente, los nuevos orígenes de registro detectados
automáticamente se añaden al dominio de forma automática.
122 IBM Security QRadar: Guía de administración de QRadar
Importante:
Si un origen de sucesos se redirige de un recopilador de sucesos o pasarela de datos a otro en un
dominio diferente, debe actualizar el origen de registro de una de las maneras siguientes:
• Edite el origen de registro para actualizar la información de recopilador de sucesos o pasarela de
datos .
• Suprima el origen de registro y despliegue la configuración completa para que el origen de sucesos
se detecte automáticamente en el nuevo recopilador de sucesos o pasarela de datos.
A menos que se actualice el origen de registro, es posible que los usuarios no administradores con
restricciones de dominio no vean infracciones que están asociadas con el origen de registro.
Orígenes de registro
Puede configurar orígenes de registro específicos para que pertenezcan a un dominio.
Este método de etiquetado de dominios es una opción para despliegues en los que un recopilador de
sucesos o pasarela de datos puede recibir sucesos de varios dominios.
Grupos de orígenes de registro
Puede asignar grupos de orígenes de registro a un dominio específico. Esta opción brinda un mayor
control sobre la configuración de los orígenes de registro.
Los orígenes de registro nuevos que se añadan al grupo de orígenes de registro reciben
automáticamente el etiquetado de dominio que está asociado con el grupo de orígenes de registro.
Propiedades personalizadas
Puede aplicar propiedades personalizadas a los mensajes de registro que proceden de un origen de
registro.
Para determinar a qué dominio pertenece cada mensaje de registro, el valor de la propiedad
personalizada se busca en una correlación que esté definida en el editor Gestión de dominios.
Esta opción se utiliza para los orígenes de registro con varios rangos de direcciones o varios
arrendatarios, como los servidores de archivos y los repositorios de documentos.
Especificación de dominios para los flujos
El diagrama siguiente muestra el orden de prioridad para evaluar los criterios de dominio de los flujos.
Etiqueta VLAN (7.3.2)
n/d
asignado
Origen de flujo
n/d
asignado
Recopilador de flujo
asignado
n/d
Dominio
Dominio predeterminado
Figura 11. Orden de prioridad para flujos
A continuación se indican las maneras de especificar dominios para los flujos:
Recopiladores de flujo y pasarelas de datos
Puede asignar pasarelas de datos específicas a un dominio.
Capítulo 13. Segmentación en dominios 123
Todos los orígenes de flujo que llegan a ese recopilador de flujo o pasarela de datos pertenecen al
dominio; por lo tanto, todos los nuevos orígenes de flujo detectados automáticamente se añaden al
dominio de forma automática.
Orígenes de flujo
Puede designar orígenes de flujo específicos para un dominio.
Esta opción es útil cuando un solo recopilador de flujo o pasarela de datos está recopilando flujos de
varios segmentos de red o direccionadores que contienen rangos de direcciones IP solapados.
ID de VLAN de flujo
Puede designar VLAN específicas para un dominio.
Esta opción es útil cuando se recopila tráfico de varios segmentos de red, a menudo con rangos de IP
solapados. Esta definición de VLAN se basa en los ID de VLAN de empresa y cliente.
Los elementos de la información siguiente se envían de QFlow cuando se analizan los flujos que
contienen información VLAN. Estos dos campos se pueden asignar en una definición de dominio:
• PEN 2 (IBM), ID de elemento 82: ID de VLAN de empresa
• PEN 2 (IBM), ID de elemento 83: ID de VLAN de cliente
Especificación de dominios para los resultados de la exploración
También puede asignar exploradores de vulnerabilidades a un dominio específico para que los resultados
de la exploración estén adecuadamente marcados como pertenecientes a ese dominio. Una definición de
dominio puede constar de todos los orígenes de entrada de QRadar.
Para obtener información sobre la asignación de la red a dominios preconfigurados, consulte el apartado
“Jerarquía de red” en la página 39.
Orden de precedencia para evaluar los criterios de dominio
Cuando llegan sucesos y flujos al sistema de QRadar, los criterios de dominio se evalúan en función de la
granularidad de la definición de dominio.
Si la definición de dominio se basa en un suceso, primero se comprueba si el suceso entrante tiene
propiedades personalizadas que se correlacionen con la definición de dominio. Si el resultado de una
expresión regular que se define en una propiedad personalizada no coincide con una correlación de
dominio, el suceso se asigna automáticamente al dominio predeterminado.
Si el suceso no coincide con la definición de dominio de las propiedades personalizadas, se aplica el
orden de prioridad siguiente:
1. Origen de registro
2. Grupo de orígenes de registro
3. Recopilador de sucesos o pasarela de datos
Si el dominio está definido según un flujo, se aplica el orden de prioridad siguiente:
1. Origen de flujo
2. Recopilador de flujo o pasarela de datos
Si un explorador tiene un dominio asociado, todos los activos que el explorador descubra se asignan
automáticamente al mismo dominio que el explorador.
Reenvío de datos a otro sistema de QRadar
La información de dominio se elimina cuando los datos se reenvían a otro sistema de QRadar. Los
sucesos y los flujos que contienen información de dominio se asignan automáticamente al dominio
predeterminado en el sistema de QRadar receptor. Para identificar qué sucesos y flujos están asignados
al dominio predeterminado, puede crear una búsqueda personalizada en el sistema receptor. Tal ver
prefiera volver a asignar estos sucesos y flujos a un dominio definido por el usuario.
124 IBM Security QRadar: Guía de administración de QRadar
Creación de dominios
Utilice la ventana Gestión de dominios para crear dominios basados en los orígenes de entrada de IBM
QRadar.
Acerca de esta tarea
Utilice las directrices siguientes al crear dominios:
• Todo lo que no esté asignado a un dominio definido por el usuario se asigna automáticamente al
dominio predeterminado. Los usuarios que tienen acceso limitado a los dominios no deben tener
privilegios administrativos, ya que este privilegio otorga acceso ilimitado a todos los dominios.
• Puede correlacionar la misma propiedad personalizada a dos dominios distintos; sin embargo, el
resultado de la captura debe ser diferente para cada uno.
• No puede asignar un origen de registro, un grupo de origen de registro, un recopilador de sucesos o una
pasarela de datos a dos dominios diferentes. Cuando un grupo de orígenes de registro se asigna a un
dominio, cada uno de los atributos correlacionados es visible en la ventana Gestión de dominios.
Los perfiles de seguridad se deben actualizar con un dominio asociado. Las restricciones de nivel de
dominio no se aplican hasta que se actualizan los perfiles de seguridad y se despliegan los cambios.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de dominios.
3. Para añadir un dominio, pulse Añadir y escriba un nombre exclusivo y una descripción para el dominio.
Consejo: Puede comprobar si un nombre es exclusivo escribiendo el nombre en el recuadro de
búsqueda Nombre de dominio de entrada.
4. Pulse la pestaña correspondiente al criterio de dominio que se vaya a definir.
•
Para definir el dominio basado en una propiedad personalizada, un grupo de origen de registro, un
origen de registro, un recopilador de sucesos o una pasarela de datos, pulse la pestaña Sucesos.
•
Para definir el dominio basado en un origen de flujo, pulse la pestaña Flujos.
•
Para definir el dominio basado en un explorador, incluidos los de IBM QRadar Vulnerability
Manager, pulse la pestaña Exploradores.
5. Para asignar una propiedad personalizada a un dominio, en el recuadro Resultados de la captura,
escriba el texto que coincida con el resultado del filtro de la expresión regular.
Importante: Debe marcar el recuadro de selección Optimizar el análisis de reglas, informes y
búsquedas en la ventana Propiedades de sucesos personalizadas para analizar y almacenar la
propiedad de suceso personalizada. La segmentación en dominios no se producirá si esta opción no
está seleccionada.
6. En la lista, seleccione el criterio de dominio y pulse Añadir.
7. Después de añadir los elementos de origen al dominio, pulse Crear.
Qué hacer a continuación
Cree perfiles de seguridad para definir qué usuarios tienen acceso a los dominios. Después de crear el
primer dominio en su entorno, debe actualizar los perfiles de seguridad para todos los usuarios no
administrativos para especificar la asignación de dominio. En los entornos que tienen en cuenta el
dominio, los usuarios no administrativo cuyo perfil de seguridad no especifique una asignación de
dominio no verán ninguna actividad de registro ni actividad de red.
Revise la configuración de la jerarquía de la red y asigne direcciones IP existentes a los dominios
adecuados. Para obtener más información, consulte “Jerarquía de red” en la página 39.
Capítulo 13. Segmentación en dominios 125
Creación de dominios para flujos de VLAN
Utilice la ventana Gestión de dominios para crear dominios basados en los orígenes de flujo de VLAN de
IBM QRadar.
Acerca de esta tarea
En QRadar, puede asignar dominios a los flujos entrantes basándose en la información de VLAN que está
contenida en el flujo. Los flujos entrantes se correlacionan con dominios que contienen la misma
definición de VLAN.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de dominios.
3. Pulse Añadir y escriba un nombre exclusivo y una descripción para el dominio.
Consejo: Puede comprobar si un nombre es exclusivo escribiendo el nombre en el recuadro de
búsqueda Nombre de dominio de entrada.
Figura 12. Nombre de dominio de entrada
4. Pulse la pestaña Flujos y, a continuación, seleccione ID de VLAN de flujo.
5. Seleccione el ID de VLAN de empresa y los valores de ID de VLAN de cliente que coinciden con los
valores de los flujos entrantes y, a continuación, pulse Añadir.
Notas:
• El ID de VLAN de empresa (IE): 82 se especifica mediante el Número de empresa privada (PEN): 2,
el elemento de información (IE) en los flujos entrantes.
• El ID de VLAN de cliente se especifica mediante PEN: 2 e IE: 83 en los flujos entrantes.
126 IBM Security QRadar: Guía de administración de QRadar
Figura 13. Nuevo dominio
6. En el campo Nombre, escriba un nombre exclusivo para el dominio y, a continuación, pulse Crear.
Resultados
Se crea la definición de dominio y se correlacionan los flujos entrantes. La asignación de arrendatario a un
dominio se produce de forma normal.
Figura 14. Definición de dominio creada
Privilegios de dominio derivados de perfiles de seguridad
Puede utilizar perfiles de seguridad para otorgar privilegios de dominio y asegurarse de que se respeten
las restricciones de dominio en todo el sistema de IBM QRadar. Los perfiles de seguridad también
facilitan la gestión de los privilegios para un grupo de usuarios de gran tamaño cuando los requisitos
empresariales cambian de pronto.
Los usuarios pueden ver únicamente los datos que están dentro de los límites del dominio que está
configurado para los perfiles de seguridad que tienen asignados. Los perfiles de seguridad incluyen los
dominios como uno de los primeros criterios que se evalúan para restringir el acceso al sistema. Cuando
un dominio se asigna a un perfil de seguridad, tiene prioridad sobre otros permisos de seguridad.
Después de evaluar las restricciones de dominio, se evalúa cada perfil de seguridad para determinar los
permisos de red y de registro para cada uno de ellos.
Capítulo 13. Segmentación en dominios 127
Por ejemplo, a un usuario se le otorgan privilegios a Dominio_2 y acceso a la red 10.0.0.0/8. Dicho
usuario puede ver solamente los sucesos, las infracciones, los activos y los flujos que proceden de
Dominio_2 y que contienen una dirección de la red 10.0.0.0/8.
Como administrador de QRadar, puede ver todos los dominios y puede asignar dominios a los usuarios no
administrativos. No asigne privilegios administrativos a los usuarios a los que desea restringir a un
dominio determinado.
Los perfiles de seguridad se deben actualizar con un dominio asociado. Las restricciones de nivel de
dominio no se aplican hasta que se actualizan los perfiles de seguridad y se despliegan los cambios.
Cuando asigne dominios a un perfil de seguridad, puede otorgar acceso a los siguientes tipos de
dominios:
Dominios definidos por el usuario
Puede crear dominios que están basados en orígenes de entrada mediante la herramienta Gestión de
dominios. Para obtener más información, consulte Creación de dominios.
Dominio predeterminado
Todo lo que no esté asignado a un dominio definido por el usuario se asigna automáticamente al
dominio predeterminado. El dominio predeterminado contiene los sucesos de todo el sistema.
Nota: Los usuarios que tienen acceso al dominio predeterminado pueden ver sucesos de todo el
sistema sin restricciones. Asegúrese de que este acceso es aceptable antes de asignar a los usuarios
acceso al dominio predeterminado. Todos los administradores tienen acceso al dominio
predeterminado.
Cualquier origen de registro que se descubra automáticamente en un recopilador de sucesos o
pasarela de datos compartido (que no está asignado explícitamente a un dominio), se descubre
automáticamente en el dominio predeterminado. Estos orígenes de registro requieren intervención
manual. Para identificar estos orígenes de registro, debe ejecutar periódicamente una búsqueda en el
dominio predeterminado que se agrupe por origen de registro.
Todos los dominios
Los usuarios a los que se les asigna un perfil de seguridad que tenga acceso a Todos los dominios
pueden ver todos los dominios activos del sistema, el dominio predeterminado y todos los dominios
que se hayan suprimido anteriormente en todo el sistema. También podrán ver todos los dominios
que se creen en el futuro.
Si suprime un dominio, no se puede asignar a un perfil de seguridad. Si el usuario tiene asignado Todos
los dominios o si el dominio se asignó al usuario antes de que se suprimiese, el dominio suprimido se
devuelve en los resultados históricos de la búsqueda de sucesos, flujos, activos e infracciones. No se
puede filtrar por dominios suprimidos cuando se ejecuta una búsqueda.
Los usuarios administrativos pueden ver qué dominios están asignados a los perfiles de seguridad en la
pestaña Resumen de la ventana Gestión de dominios.
Modificaciones de reglas en entornos que tienen en cuenta el dominio
Las reglas las puede ver, modificar o inhabilitar cualquier usuario que tenga los permisos Mantener
reglas personalizadas y Ver reglas personalizadas, independientemente de a qué dominio pertenezca
el usuario.
Importante: cuando se añade la prestación de Actividad de registro a un rol de usuario, los permisos
Mantener reglas personalizadas y Ver reglas personalizadas se otorgan automáticamente. Los usuarios
que tienen estos permisos tienen acceso a todos los datos de registro de todos los dominios y pueden
editar reglas en todos los dominios, incluso si sus valores de perfil de seguridad tienen restricciones a
nivel de dominio. Para evitar que los usuarios del dominio puedan acceder a los datos de registro y
modificar las reglas de otros dominios, edite el rol de usuario y elimine los permisos Mantener reglas
personalizadas y Ver reglas personalizadas.
128 IBM Security QRadar: Guía de administración de QRadar
Búsquedas que tienen en cuenta el dominio
Puede utilizar dominios como criterio de búsqueda en las búsquedas personalizadas. El perfil de
seguridad controla en qué dominios puede realizar búsquedas.
Los sucesos de todo el sistema y los sucesos que no estén asignados a un dominio definido por el usuario
se asignan automáticamente al dominio predeterminado. Los administradores o los usuarios que tengan
un perfil de seguridad que proporcione acceso al dominio predeterminado pueden crear una búsqueda
personalizada para ver todos los sucesos que no están asignados a un dominio definido por el usuario.
El administrador de dominios personalizado puede compartir una búsqueda guardada con otros usuarios
de dominio. Cuando el usuario de dominio ejecuta esa búsqueda guardada, los resultados se limitan a su
dominio.
Reglas e infracciones específicas del dominio
Una regla puede aplicarse en el contexto de un solo dominio o en el contexto de todos los dominios. Las
reglas que tienen en cuenta el dominio proporcionan la opción de incluir la prueba And Domain Is.
El diagrama siguiente muestra un ejemplo que utiliza varios dominios.
Conjunto de reglas
Banco principal / Banco secundario
Banco verde
6
5
Banco secundario
Delito
Conducto de sucesos
3
Banco principal
Figura 15. Reglas que tienen en cuenta el dominio
Puede restringir una regla para que se aplique solamente a los sucesos que se producen en un dominio
determinado. Un suceso que tenga una etiqueta de dominio que es diferente del dominio que está
establecido en la regla no desencadena una respuesta de suceso.
En un sistema de IBM QRadar que no tenga dominios definidos por el usuario, una regla crea una
infracción y sigue contribuyendo a ella cada vez que la regla se activa. En un entorno que tiene en cuenta
el dominio, una regla crea una infracción nueva cada vez que la regla se desencadena en el contexto de
un dominio diferente.
Las reglas que funcionan en el contexto de todos los dominios se denominan de reglas de todo el
sistema. Para crear una regla de todo el sistema que pruebe las condiciones en el sistema entero,
seleccione Cualquier dominio en la lista de dominios de la prueba And Domain Is. Una regla Cualquier
dominio crea una infracción de Cualquier dominio.
Regla de un solo dominio
Si la regla es una regla con estados, los estados se mantienen por separado para cada dominio. La
regla se desencadena por separado para cada dominio. Cuando la regla se desencadena, se crean
infracciones por separado para cada dominio involucrado y las infracciones se etiquetan con esos
dominios.
Capítulo 13. Segmentación en dominios 129
Infracción de un solo dominio
La infracción se etiqueta con el nombre de dominio correspondiente. Puede contener solamente
sucesos que están etiquetados con ese dominio.
Regla de todo el sistema
Si la regla es una regla con estados, se mantiene un solo estado para el sistema completo y las
etiquetas de dominio se pasan por alto. Cuando la regla se ejecuta, crea o contribuye a una única
infracción de todo el sistema.
Infracción de todo el sistema
La infracción se etiqueta con Cualquier dominio. Contiene solamente sucesos que están etiquetados
con todos los dominios.
En la tabla siguiente se proporcionan ejemplos de reglas que tienen en cuenta el dominio. En el ejemplo
se utiliza un sistema que tiene tres dominios definidos: Dominio_A, Dominio_B y Dominio_C.
Los ejemplos de regla de la tabla siguiente pueden no ser aplicables en su entorno de QRadar. Por
ejemplo, las reglas que utilizan flujos e infracciones no se pueden aplicar en IBM QRadar Log Manager.
Tabla 29. Reglas que tienen en cuenta el dominio
Texto de dominio
Explicación
el dominio es uno de:
Dominio_A
Busca solamente los sucesos que
Crea o contribuye a una infracción
están etiquetados con Dominio_A que está etiquetada con
y pasa por alto las reglas que están Dominio_A.
etiquetadas con otros dominios.
el dominio es uno de:
Dominio_A y una prueba con
estado que se define como
cuando se detecta flujo
HTTP 10 veces en 1 minuto
Busca solamente los sucesos que
están etiquetados con Dominio_A
y pasa por alto las reglas que están
etiquetadas con otros dominios.
Crea o contribuye a una infracción
que está etiquetada con
Dominio_A. Se mantiene un
contador de flujos HTTP con un
solo estado para Dominio_A.
el dominio es uno de:
Dominio_A, Dominio_B
Busca solamente los sucesos que
están etiquetados con Dominio_A
y Dominio_B y pasa por alto los
sucesos que están etiquetados con
Dominio_C.
Para los datos que están
etiquetados con Dominio_A, crea
o contribuye a una sola infracción
de dominio que está etiquetada
con Dominio_A.
Esta regla se comporta como dos
instancias independientes de una
misma regla de dominio y crea
infracciones por separado para los
distintos dominios.
Para los datos que están
etiquetados con Dominio_B, crea
o contribuye a una sola infracción
de dominio que está etiquetada
con Dominio_B.
Busca solamente los sucesos que
están etiquetados con Dominio_A
y Dominio_B y pasa por alto los
sucesos que están etiquetados con
Dominio_C.
Cuando la regla detecta 10 flujos
HTTP que están etiquetados con
Dominio_A en un minuto, crea o
contribuye a una infracción que
está etiquetada con Dominio_A.
Esta regla se comporta como dos
instancias independientes de una
misma regla de dominio y
mantiene dos estados por
separado (contadores de flujos
HTTP) para dos dominios
diferentes.
Cuando la regla detecta 10 flujos
HTTP que están etiquetados con
Dominio_B en un minuto, crea o
contribuye a una infracción que
está etiquetado con Dominio_B.
el dominio es uno de:
Dominio_A, Dominio_B y un
prueba con estado que se
define como cuando se
detecta flujo HTTP 10 veces
en 1 minuto
130 IBM Security QRadar: Guía de administración de QRadar
Respuesta de regla
Tabla 29. Reglas que tienen en cuenta el dominio (continuación)
Texto de dominio
Explicación
Respuesta de regla
No hay definida ninguna
prueba de dominio
Busca los sucesos que están
etiquetados con todos los
dominios y crea o contribuye a las
infracciones por dominio.
Cada dominio independiente tiene
infracciones que se generan para
ella, pero las infracciones no
contienen contribuciones de otros
dominios.
Una regla tiene una prueba
con estado que se define
como cuando se detecta
flujo HTTP 10 veces en 1
minuto y no se ha definido
ninguna prueba de dominio
Busca los sucesos que están
etiquetados con Dominio_A,
Dominio_B o Dominio_C.
Mantiene estados por separado y
crea infracciones por separado
para cada dominio.
el dominio es uno de:
Cualquier dominio
Busca todos los sucesos,
independientemente de con qué
dominio esté etiquetado.
Crea o contribuye a una sola
infracciones de todo el sistema que
está etiquetada con Cualquier
dominio.
el dominio es uno de:
Cualquier dominio y una
prueba con estado que se
define como cuando se
detecta flujo HTTP 10 veces
en 1 minuto
Busca todos los sucesos,
independientemente de con qué
dominio esté etiquetado, y
mantiene un solo estado para
todos los dominios.
Crea o contribuye a una sola
infracción de todo el sistema que
está etiquetada con Cualquier
dominio.
el dominio es uno de:
Cualquier dominio,
Dominio_A
Funciona igual que una regla que
tiene el dominio es uno de:
Cualquier dominio.
Por ejemplo, si detecta tres
sucesos que están etiquetados con
Dominio_A, tres sucesos que
están etiquetados con Dominio_B
y cuatro sucesos que están
etiquetados con Dominio_C, crea
una infracción porque ha
detectado 10 sucesos en total.
Cuando la prueba de dominio
incluye Cualquier dominio, los
dominios individuales que figuran
en la lista se pasan por alto.
Cuando vea la tabla de infracciones, puede ordenar las infracciones pulsando la columna Dominio.
Dominio predeterminado no se incluye en la función de ordenación, por lo que no aparece en orden
alfabético. Sin embargo, aparece en la parte superior o inferior de la lista Dominio, en función de si la
columna se ordena en orden ascendente o descendente. Cualquier dominio no aparece en la lista de
infracciones.
Ejemplo: Asignaciones de privilegio de dominio según propiedades
personalizadas
Si los archivos de registro contienen información que desea utilizar en una definición de dominio, puede
exponer la información como propiedad de suceso personalizada.
Una propiedad personalizada se asigna a un dominio en función del resultado de la captura. Puede
asignar la misma propiedad personalizada a varios dominios, pero los resultados de captura deben ser
diferentes.
Por ejemplo, una propiedad de suceso personalizada, como userID, puede dar como resultado un
usuario individual o una lista de usuarios. Cada usuario puede pertenecer a un solo dominio.
Capítulo 13. Segmentación en dominios 131
En el diagrama siguiente, los orígenes de registro contienen información de identificación de usuario que
se expone como propiedad personalizada, userID. El recopilador de sucesos o pasarela de datos
devuelve dos archivos de usuario y cada usuario se asigna a un solo dominio. En este caso, un usuario se
asigna al Dominio: 9 y el otro usuario se asigna al Dominio: 12.
Origen de registro
QRadar
Event Collector
o Data Gateway
QRadar Console
Suceso
Archivo accedido
Usuario1
Propiedad personalizada
UserID
Dominio: 9
/files/usuario1/cc_num
Archivo accedido
Usuario2 Dominio: 12
/files/usuario2/cc_num.doc
Figura 16. Asignación de dominios utilizando una propiedad de suceso personalizada
Si los resultados de captura devuelven un usuario que no está asignado a un dominio definido por el
usuario específico, dicho usuario se asigna automáticamente al dominio predeterminado. Las
asignaciones de dominio predeterminado requieren la intervención manual. Realice búsquedas
periódicas para asegurarse de que todas las entidades en el dominio predeterminado están asignadas
correctamente.
Importante: Antes de utilizar una propiedad personalizada en una definición de dominio, asegúrese de
que se ha seleccionado Optimizar el análisis de reglas, informes y búsquedas en la ventana
Propiedades de sucesos personalizadas. Esta opción garantiza que la propiedad de suceso
personalizada se analiza y se almacena cuando IBM QRadar recibe el suceso por primera vez. La
segmentación en dominios no produce producirá si esta opción no está seleccionada.
132 IBM Security QRadar: Guía de administración de QRadar
Capítulo 14. Gestión multiarrendatario
Los entornos multiarrendatario permiten a los proveedores de servicios de seguridad gestionados (MSSP)
y a las organizaciones de varias divisiones proporcionar servicios de seguridad a varias organizaciones
cliente desde un único despliegue de IBM QRadar compartido. No es necesario desplegar una instancia
de QRadar exclusiva para cada cliente.
QRadar
Banco amarillo
Automoción
Banco verde
QRadar
Vegetales
Servicios
financieros
Figura 17. Entornos multiarrendatario
En un despliegue multiarrendatario, se asegura de que los clientes sólo ven sus datos mediante la
creación de dominios que están basados en sus orígenes de entrada de QRadar. A continuación, utilice
perfiles de seguridad y los roles de usuario para gestionar privilegios para grupos de usuarios de gran
tamaño dentro del dominio. Los perfiles de seguridad y los roles de usuario garantizan que los usuarios
sólo tengan acceso a la información que están autorizados a ver.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Roles de usuario en un entorno multiarrendatario
Los entornos multiarrendatario incluyen un proveedor de servicios y varios arrendatarios. Cada rol tiene
responsabilidades y actividades asociadas distintas.
Proveedor de servicios
El proveedor de servicios es propietario del sistema y gestiona su utilización por parte de varios
arrendatarios. El proveedor de servicios puede ver los datos de todos los arrendatarios. El administrador
de MSSP (proveedor de servicios de seguridad gestionados) es normalmente responsable de las
actividades siguientes:
• Administra y supervisa el estado del sistema del despliegue de IBM QRadar.
© Copyright IBM Corp. 2012, 2019
133
• Suministra arrendatarios nuevos.
• Crea roles y perfiles de seguridad para administradores y usuarios de arrendatario.
• Protege el sistema contra el acceso no autorizado.
• Crea dominios para aislar datos de arrendatario.
• Despliega los cambios que el administrador de arrendatario ha realizado en el entorno de arrendatario.
• Supervisa las licencias de QRadar.
• Colabora con el administrador del arrendatario.
Arrendatarios
Cada arrendamiento incluye un administrador de arrendatario y usuarios de arrendatario. El
administrador de arrendatario puede ser un empleado de la organización arrendataria, o el proveedor de
servicios puede administrar el arrendatario en nombre del cliente.
El administrador de arrendatario es responsable de las actividades siguientes:
• Configura las definiciones de la Jerarquía de red dentro de su propio arrendamiento.
• Configura y gestiona datos de arrendatario.
• Visualiza los orígenes de registro. Puede editar el origen de registro para fusionar datos y puede
inhabilitar orígenes de registro.
• Colabora con el administrador de MSSP.
El administrador de arrendatario puede configurar despliegues específicos de arrendatario, pero no
puede acceder a ni modificar la configuración de otro arrendatario. Debe ponerse en contacto con el
administrador de MSSP para desplegar los cambios en el entorno de QRadar, incluidos los cambios en la
jerarquía de red dentro de su propio arrendatario.
Los usuarios de arrendatario no tienen privilegios administrativos y sólo pueden ver los datos a los que
tienen acceso. Por ejemplo, un usuario puede tener privilegios para ver los datos de sólo 1 de origen de
registro dentro de un dominio que tiene varios orígenes de registro.
Dominios y orígenes de registro en entornos multiarrendatario
Utilice dominios para separar direcciones IP solapadas y para asignar orígenes de datos, como por
ejemplo sucesos y flujos, a conjuntos de datos específicos del arrendatario.
Cuando llegan sucesos o flujos a IBM QRadar, QRadar evalúa las definiciones de dominio que están
configuradas, y los sucesos y flujos se asignan a un dominio. Un arrendatario puede tener más de un
dominio. Si no se han configurado dominios, los sucesos y los flujos se asignan al dominio
predeterminado.
Segmentación en dominios
Los dominios son grupos virtuales que se utilizan para segregar datos en función del origen de los datos.
Son los bloques de construcción de los entornos multiarrendatario. Se configuran dominios de los
siguientes orígenes de entrada:
• Recopiladores de sucesos y flujos
• Orígenes de flujo
• Orígenes de registro y grupos de orígenes de registro
• Propiedades personalizadas
• Exploradores
Un despliegue multiarrendatario puede consistir en una configuración de hardware básica que incluye
una consola de QRadar, un procesador de sucesos centralizado y un recopilador de sucesos para cada
134 IBM Security QRadar: Guía de administración de QRadar
cliente. En esta configuración, puede definir dominios en el nivel de recopilador, que a continuación
asigna automáticamente los datos recibidos por QRadar a un dominio.
Para consolidar la configuración de hardware aún más, puede utilizar un recopilador para varios clientes.
Si el mismo recopilador añade orígenes de registro o flujo que pertenecen a diferentes arrendatarios,
puede asignar los orígenes a dominios diferentes. Cuando se utilizan definiciones de dominio en el nivel
de origen de registro, cada nombre de origen de registro debe ser exclusivo en todo el despliegue de
QRadar.
Si es necesario separar los datos de un solo origen de registro y asignarlos a dominios diferentes, puede
configurar dominios desde propiedades personalizadas. QRadar busca la propiedad personalizada en la
carga útil y la asigna al dominio correcto. Por ejemplo, si ha configurado QRadar para integrarse con un
dispositivo Check Point Provider-1, puede utilizar propiedades personalizadas para asignar los datos de
ese origen de registro a distintos dominios.
Detección automática de origen de registro
Cuando los dominios están definidos en el nivel de recopilador y el recopilador de sucesos dedicado se
asigna a un solo dominio, los orígenes de registro nuevos que se detectan automáticamente se asignan a
ese dominio. Por ejemplo, todos los orígenes de registro que se detectan en Recopilador_sucesos_1
se asignan a Dominio_A. Todos los orígenes de registro que se recopilan automáticamente en
Recopilador_sucesos_2 se asignan a Dominio_B.
Cuando los dominios están definidos en el nivel de origen de registro o de propiedad personalizada, los
orígenes de registro que se detectan automáticamente y no están ya asignados a un dominio se asignan
automáticamente al dominio predeterminado. El administrador de MSSP deben revisar los orígenes de
registro del dominio predeterminado y asignarlos a los dominios de cliente correctos. En un entorno
multiarrendatario, la asignación de orígenes de registro a un dominio específico impide la fuga de datos y
aplica la separación de datos en los dominios.
Suministro de un nuevo arrendatario
Como administrador de MSSP (proveedor de servicios de seguridad gestionados), está utilizando una sola
instancia de IBM QRadar para proporcionar a varios clientes una arquitectura unificada para la detección
y priorización de amenazas.
En este escenario, está incorporando un nuevo cliente. Debe suministrar un nuevo arrendatario y crear
una cuenta de administrador de arrendatario con derechos administrativos limitados dentro de su propio
arrendatario. Debe limitar el acceso del administrador del arrendatario de modo que no pueda ver ni
editar la información de otros arrendatarios.
Antes de suministrar un nuevo arrendatario, debe crear los orígenes de datos, como por ejemplo orígenes
de registro o recopiladores de flujo, para el cliente y asignarlos a un dominio.
Lleve a cabo las tareas siguientes utilizando las herramientas de la pestaña Admin para suministrar el
nuevo arrendatario en QRadar:
1. Para crear el arrendatario, pulse Gestión de arrendatarios.
Para obtener información sobre cómo establecer los límites de sucesos por segundo (EPS) y flujos por
minuto (FPM) para cada arrendatario, consulte “Supervisión del uso de licencias en despliegues
multiarrendatario” en la página 136.
2. Para asignar dominios al arrendatario, pulse Gestión de dominios.
3. Para crear el rol de administrador de arrendatario y otorgar los permisos de Administración delegada,
pulse Roles de usuario.
En un entorno multiarrendatario, los usuarios de arrendatario con permisos de Administración
delegada sólo pueden ver datos de su propio entorno de arrendatario. Si asigna otros permisos
administrativos que no forman parte de la Administración delegada, el acceso dejará de estar
restringido a ese dominio.
Capítulo 14. Gestión multiarrendatario 135
4. Para crear los perfiles de seguridad de arrendatario y restringir el acceso a los datos especificando los
dominios del arrendatario, pulse Perfiles de seguridad.
5. Para crear los usuarios arrendatarios y asignar el rol de usuario, el perfil de seguridad y el arrendatario,
pulse Usuarios.
Supervisión del uso de licencias en despliegues multiarrendatario
Como administrador de MSSP (proveedor de servicios de seguridad gestionados), puede supervisar las
tasas de sucesos y flujos en todo el despliegue de IBM QRadar.
Cuando se crea un arrendatario, puede establecer límites para los sucesos por segundo (EPS) y los flujos
por minuto (FPM). Al establecer límites de EPS y FPM para cada arrendatario, se puede gestionar mejor la
capacidad de licencia en varios clientes. Si tiene un procesador que está recopilando sucesos o flujos
para un solo cliente, no es necesario asignar límites de EPS y FPM de arrendatario. Si tiene un único
procesador que recopila sucesos o flujos de varios clientes, puede establecer límites de EPS y FPM para
cada arrendatario.
Si establece los límites de EPS y FPM en valores que superan los límites de sus licencias de software o del
hardware de dispositivo, el sistema disminuye automáticamente los sucesos y flujos de ese arrendatario
para asegurarse de que no se superen los límites. Si no establece límites de EPS y FPM para los
arrendatarios, cada arrendatario recibe sucesos y flujos hasta que se alcanzan los límites de la licencia o
el dispositivo. Los límites de licencia se aplican host gestionado. Si supera regularmente los límites de la
licencia, puede obtener una licencia diferente que sea más adecuado para su despliegue.
Visualización de tasas EPS por origen de registro
Utilice el campo Búsqueda avanzada para especificar una consulta AQL (Ariel Query Language) para ver
las tasas de EPS para orígenes de registro.
1. En la pestaña Actividad de registro, seleccione Búsqueda avanzada en la lista de la barra de
herramientas Buscar.
2. Para ver el EPS por origen de registro, escriba la consulta de AQL siguiente en el campo Búsqueda
avanzada:
select logsourcename(logsourceid) as LogSource, sum(eventcount) / 24*60*60 as EPS from events
group by logsourceid order by EPS desc last 24 hours
Visualización de tasas EPS por dominio
Utilice el campo Búsqueda avanzada para especificar una consulta AQL (Ariel Query Language) para ver
las tasas de EPS para dominios.
1. En la pestaña Actividad de registro, seleccione Búsqueda avanzada en el cuadro de lista
desplegable de la barra de herramientas Buscar.
2. Para ver el EPS por dominio, escriba la consulta de AQL siguiente en el campo Búsqueda avanzada:
select DOMAINNAME(domainid) as LogSource, sum(eventcount) / 24*60*60 as EPS from events
group by domainid order by EPS desc last 24 hours
Si desea ver los promedios de frecuencia de EPS sólo para orígenes de registro, pulse Orígenes de
registro en el panel Orígenes de datos de la pestaña Admin. Puede utilizarlo para identificar
rápidamente problemas de configuración de orígenes de registro que no están informando.
Gestión de reglas en despliegues multiarrendatario
En un entorno multiarrendatario, debe personalizar las reglas para que sean conscientes de los
arrendatarios. Las reglas conscientes de arrendatario utilizan la prueba de regla cuando el dominio es
uno de los siguientes, pero el modificador de dominio determina el ámbito de aplicación de la regla.
136 IBM Security QRadar: Guía de administración de QRadar
La tabla siguiente muestra cómo puede utilizar el modificador de dominio para cambiar el ámbito de las
reglas en un despliegue multiarrendatario.
Tabla 30. Ámbito de reglas en un entorno multiarrendatario
Ámbito de regla
Descripción
Ejemplo de prueba de regla
Reglas de dominio
único
Estas reglas incluyen sólo 1
modificador de dominio.
y cuando el dominio es uno de los
siguientes: manufacturing
Reglas de
arrendatario único
Estas reglas incluyen todos los
dominios que están asignados al
arrendatario. Utilice reglas de
arrendatario único para
correlacionar los sucesos de
varios dominios dentro de un
único arrendatario.
y cuando el dominio es uno de los
siguientes: manufacturing, finance, legal
Reglas globales
Estas reglas utilizan el
modificador Cualquier dominio y
se ejecutan en todos los
arrendatarios.
y cuando el dominio es uno de los
siguientes:Cualquier dominio
Al ser consciente del dominio, el motor de reglas personalizadas (CRE) aísla automáticamente las
correlaciones de sucesos de arrendatarios diferentes utilizando sus respectivos dominios. Para obtener
más información sobre cómo trabajar con reglas en una red segmentada por dominios, consulte Capítulo
13, “Segmentación en dominios”, en la página 121.
Actualizaciones de la jerarquía de red en un despliegue multiarrendatario
IBM QRadar utiliza la jerarquía de red para comprender y analizar el tráfico de red del entorno. Los
administradores de arrendatarios que tienen el permiso Definir jerarquía de red pueden cambiar la
jerarquía de red dentro de su propio arrendatario.
Los cambios en la jerarquía de red requieren un despliegue de configuración completo para aplicar las
actualizaciones en el entorno de QRadar. Los despliegues de configuración completos reinician todos los
servicios de QRadar, y la recopilación de datos para los sucesos y flujos se detiene hasta que finaliza el
despliegue. Los administradores de arrendatarios deben ponerse en contacto con el administrador de
MSSP (Managed Security Service Provider) para desplegar los cambios. Los administradores de MSSP
pueden planificar el despliegue durante una parada planificada y notificar a todos los administradores de
arrendatarios por adelantado.
En un entorno de multiarrendatario, el nombre de objeto de red debe ser exclusivo en todo el despliegue.
No puede utilizar objetos de red que tengan el mismo nombre, aunque estén asignados a dominios
diferentes.
Conceptos relacionados
Jerarquía de red
IBM QRadar utiliza los objetos y grupos de jerarquía de red para visualizar la actividad de red y supervisar
los grupos o servicios de la red.
Capítulo 14. Gestión multiarrendatario 137
138 IBM Security QRadar: Guía de administración de QRadar
Capítulo 15. Gestión de activos
Los activos y perfiles de activo creados para servidores y hosts de la red proporcionan información
importante para resolver problemas de seguridad. Utilizando los datos de activos, puede conectar las
infracciones desencadenadas en el sistema a activos físicos o virtuales para proporcionar un punto de
partida en una investigación de seguridad.
La pestaña Activos de IBM QRadar proporciona una vista unificada de la información conocida acerca de
los activos de la red. A medida que QRadar descubre más información, el sistema actualiza el perfil de
activo y crea de forma incremental una imagen completa sobre el activo.
Los perfiles de activo se crean dinámicamente a partir de la información de identidad que se absorbe
pasivamente a partir de datos de suceso o flujo, o a partir de los datos que QRadar busca activamente
durante una exploración de vulnerabilidades. También puede importar datos de activos o editar el perfil
de activo manualmente. Para obtener más información, consulte los temas Importación de perfiles de
activos y Adición o edición de un perfil de activo del documento IBM QRadar User Guide.
Restricción: IBM QRadar Log Manager solo hace un seguimiento de datos de activo si IBM QRadar
Vulnerability Manager está instalado. Para obtener más información acerca de las diferencias entre
QRadar SIEM y QRadar Log Manager, consulte “Prestaciones en el producto IBM QRadar” en la página 9.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Orígenes de datos de activos
Se reciben datos de activos de diversos orígenes en el despliegue de IBM QRadar.
Los datos de activos se escriben en la base de datos de activos de forma incremental, normalmente 2 o 3
datos a la vez. A excepción de las actualizaciones de los exploradores de vulnerabilidades de red, cada
actualización de activo contiene información sobre un solo activo.
Los datos de activos generalmente provienen de uno de los orígenes de datos de activos siguientes:
Sucesos
Las cargas útiles de sucesos, tales como las creadas por DHCP o servidores de autenticación, a
menudo contienen inicios de sesión de usuario, direcciones IP, nombres de hosts, direcciones MAC y
otro tipo de información de activos. Estos datos se proporcionan inmediatamente a la base de datos
de activos para ayudar a determinar a qué activo se aplica la actualización de activo.
Los sucesos son la causa principal de las desviaciones de crecimiento de activos.
Flujos
Las cargas útiles de flujo contienen información de comunicación, como la dirección IP, el puerto y el
protocolo, que se recopila a intervalos regulares configurables. Al final de cada intervalo, los datos se
proporcionan a la base de datos de activos, una dirección IP cada vez.
Puesto que los datos de activos de los flujos están emparejados con un activo según un solo
identificador, la dirección IP, los datos de flujo nunca son la causa de las desviaciones de crecimiento
de activos.
Exploradores de vulnerabilidades
QRadar se integra tanto con exploradores de vulnerabilidades de IBM como de terceros que puedan
proporcionar datos de activos tales como el sistema operativo, el software instalado y la información
de parches. El tipo de datos varía de un explorador a otro y puede variar de una exploración a otra. A
medida que se descubren nuevos activos, nueva información de puertos y nuevas vulnerabilidades,
los datos se llevan al perfil de activo en función de los rangos de CIDR que están definidos en la
exploración.
Los exploradores pueden añadir desviaciones de crecimiento de activos, pero no es habitual.
© Copyright IBM Corp. 2012, 2019
139
Interfaz de usuario
Los usuarios que tienen el rol de activos pueden importar o proporcionar información de activos
directamente a la base de datos de activos. Las actualizaciones de activos proporcionadas
directamente por un usuario son para un activo específico. Por lo tanto, la etapa de conciliación de
activos se omite.
Las actualizaciones de activos proporcionadas por los usuarios no añaden desviaciones de
crecimiento de activos.
Datos de activos que tienen en cuenta el dominio
Cuando un origen de datos de activos está configurado con información de dominio, todos los datos de
activos que provienen de ese origen de datos se etiquetan automáticamente con el mismo dominio.
Puesto que los datos del modelo de activos tienen en cuenta el dominio, la información de dominio se
aplica a todos los componentes de QRadar, incluidos las identidades, las infracciones, los perfiles de
activo y el descubrimiento de servidores.
Cuando vea el perfil de activo, algunos campos podrían estar en blanco. Los campos en blanco existen
cuando el sistema no ha recibido esta información en una actualización de activo o la información ha
sobrepasado el periodo de retención de activos. El periodo predeterminado de retención es 120 días. Una
dirección IP que aparezca como 0.0.0.0 indica que el activo no contiene información de dirección IP.
Flujo de trabajo de datos de activos entrantes
IBM QRadar utiliza la información de identidad en una carga útil de suceso para determinar si se crea un
nuevo activo o si se actualiza un activo existente.
140 IBM Security QRadar: Guía de administración de QRadar
Entrada:
actualización
de activos
Inicio
¿La actualización
No
contiene dirección
MAC?
¿La actualización
contiene nombre
NetBIOS?
Sí
¿La dirección
MAC está en la
base de datos?
¿La actualización
contiene nombre
DNS?
No
Sí
No
No
¿La dirección
IP está en la
base de datos?
Sí
Añadir activo
con coincidencia
a la lista de
coincidencias
potenciales
No
¿La actualización
contiene
dirección IP?
No
Sí
¿El nombre
DNS está
en la base
de datos?
No
Sí
Correlacionar
coincidencias
con un único
activo
No
Sí
¿El nombre
NetBIOS está
en la base
de datos?
Sí
Añadir activo
con coincidencia
a la lista de
coincidencias
potenciales
Crear listas vacías con
coincidencias potenciales
No
Sí
Añadir activo
con coincidencia
a la lista de
coincidencias
potenciales
Añadir activo
con coincidencia
a la lista de
coincidencias
potenciales
¿La lista
de coincidencias
potenciales está
vacía?
Sí
Crear un nuevo activo
Salida:
activo de destino
Fin
Figura 18. Diagrama de flujo de trabajo de datos de activos
1. QRadar recibe el suceso. El perfilador de activos examina la carga útil del suceso para obtener la
información de identidad.
Capítulo 15. Gestión de activos 141
2. Si la información de identidad incluye una dirección MAC, un nombre de host NetBIOS o un nombre de
host DNS que ya están asociados con un activo en la base de datos de activos, entonces ese activo se
actualiza con la información nueva.
3. Si la única información de identidad disponible es una dirección IP, el sistema concilia la actualización
del activo existente que tenga la misma dirección IP.
4. Si una actualización de activo tiene una dirección IP que coincide con un activo existente, pero el resto
de información de identidad no coincide, el sistema utiliza otra información para descartar un falso
positivo en la coincidencia antes de que el activo existente se actualice.
5. Si la información de identidad no coincide con un activo existente en la base de datos, entonces se
crea un nuevo activo basado en la información de la carga útil del suceso.
Actualizaciones de los datos de activos
IBM QRadar utiliza la información de identidad en una carga útil de suceso para determinar si se crea un
nuevo activo o si se actualiza un activo existente.
Cada actualización de activo debe contener información de confianza acerca de un único activo. Cuando
QRadar recibe una actualización de activo, el sistema determina a qué activo se aplica la actualización.
La conciliación de activos es el proceso mediante el cual se determina la relación entre las
actualizaciones de activos y el activo relacionado en la base de datos de activos. La conciliación de
activos se produce después de que QRadar reciba la actualización, pero antes de que la información se
escriba en la base de datos de activos.
Información de identidad
Cada activo debe contener al menos un dato de identidad. Las actualizaciones posteriores que contengan
un dato o más de los mismos datos de identidad se concilian con el activo propietario de los datos. Las
actualizaciones que se basan en las direcciones IP se manejan con cuidado para evitar coincidencias de
activos que sean falsos positivos. Los falsos positivos en las coincidencias de activos se producen cuando
a un activo físico se le asigna la propiedad de una dirección IP que anteriormente era propiedad de otro
activo del sistema.
Cuando se proporcionan varios datos de identidad, el perfilador de activos da prioridad a la información,
de la más a la menos determinista, en el orden siguiente:
• Dirección MAC
• Nombre de host NetBIOS
• Nombre de host DNS
• Dirección IP
Las direcciones MAC, los nombres de host NetBIOS y los nombres de host DNS son exclusivos y, por lo
tanto, se consideran datos de identidad definitivos. Las actualizaciones entrantes cuyas coincidencias con
un activo existente solamente sean la dirección IP se manejan de forma diferente que las actualizaciones
que coincidan con los datos de identidad más definitivos.
Reglas de exclusión de conciliación de activos
Con cada actualización de activo que entra en IBM QRadar, las reglas de exclusión de conciliación de
activos aplican pruebas a la dirección MAC, el nombre de host NetBIOS, el nombre de host DNS y la
dirección IP en la actualización de activo.
De forma predeterminada, se hace un seguimiento de cada dato de activos durante un periodo de dos
horas. Si algún dato de identidad de la actualización de activo muestra un comportamiento sospechoso
dos o más veces en un plazo de dos horas, ese dato se añade a las listas negras de activos. Cada tipo de
datos de activos de identidad que se prueba genera una lista negra nueva.
En los entornos que tienen en cuenta el dominio, las reglas de exclusión de conciliación de activos hacen
un seguimiento del comportamiento de los datos de activos por separado en cada dominio.
142 IBM Security QRadar: Guía de administración de QRadar
Las reglas de exclusión de conciliación de activos prueban los escenarios siguientes:
Tabla 31. Pruebas y respuestas de reglas
Escenario
Respuesta de regla
Cuando una dirección MAC se asocia a tres o más
direcciones IP diferentes en un plazo de dos horas
o menos
Añadir la dirección MAC a la lista negra de MAC del
dominio de conciliación de activos
Cuando un nombre de host DNS se asocia a tres o
más direcciones IP diferentes en un plazo de dos
horas o menos
Añadir el nombre de host DNS a la lista negra de
DNS del dominio de conciliación de activos
Cuando un nombre de host NetBIOS se asocia a
Añadir el nombre de host NetBIOS a la lista negra
tres o más direcciones IP diferentes en un plazo de de NetBIOS del dominio de conciliación de activos
dos horas o menos
Cuando una dirección IPv4 se asocia a tres o más
direcciones MAC diferentes en un plazo de dos
horas o menos
Añadir la dirección IP a la lista negra de IPv4 del
dominio de conciliación de activos
Cuando un nombre de host NetBIOS se asocia a
tres o más direcciones MAC diferentes en un plazo
de dos horas o menos
Añadir el nombre de host NetBIOS a la lista negra
de NetBIOS del dominio de conciliación de activos
Cuando un nombre de host DNS se asocia a tres o
más direcciones MAC diferentes en un plazo de
dos horas o menos
Añadir el nombre de host DNS a la lista negra de
DNS del dominio de conciliación de activos
Cuando una dirección IPv4 se asocia a tres o más
nombres de host DNS diferentes en un plazo de
dos horas o menos
Añadir la dirección IP a la lista negra de IPv4 del
dominio de conciliación de activos
Cuando un nombre de host NetBIOS se asocia a
tres o más nombres de host DNS diferentes en un
plazo de dos horas o menos
Añadir el nombre de host NetBIOS a la lista negra
de NetBIOS del dominio de conciliación de activos
Cuando una dirección MAC se asocia a tres o más
nombres de host DNS diferentes en un plazo de
dos horas o menos
Añadir la dirección MAC a la lista negra de MAC del
dominio de conciliación de activos
Cuando una dirección IPv4 se asocia a tres o más
nombres de host NetBIOS diferentes en un plazo
de dos horas o menos
Añadir la dirección IP a la lista negra de IPv4 del
dominio de conciliación de activos
Cuando un nombre de host DNS se asocia a tres o
más nombres de host NetBIOS diferentes en un
plazo de dos horas o menos
Añadir el nombre de host DNS a la lista negra de
DNS del dominio de conciliación de activos
Cuando una dirección MAC se asocia a tres o más
nombres de host NetBIOS diferentes en un plazo
de dos horas o menos
Añadir la dirección MAC a la lista negra de MAC del
dominio de conciliación de activos
Puede ver estas reglas en la pestaña Infracciones pulsando Reglas y, a continuación, seleccionando el
grupo Exclusión de conciliación de activos en la lista desplegable.
Fusión de activos
La fusión de activos es el proceso según el cual la información de un activo se combina con la información
de otro activo bajo la premisa de que son realmente el mismo activo físico.
La fusión de activos se produce cuando una actualización de activo contiene datos de identidad que
coinciden con dos perfiles de activo diferentes. Por ejemplo, una única actualización que contiene un
Capítulo 15. Gestión de activos 143
nombre de host NetBIOS que coincide con un perfil de activo y una dirección MAC que coincide con otro
perfil de activo diferente podría desencadenar una fusión de activos.
En algunos sistemas se puede observar un gran volumen de fusión de activos porque tienen orígenes de
datos de activos que inadvertidamente combinan en una misma actualización de activo información de
identidad de dos activos físicos diferentes. Como ejemplos de estos sistemas cabe citar los entornos
siguientes:
• Servidores syslog centrales que actúan como proxy de sucesos
• Máquinas virtuales
• Entornos de instalación automatizada
• Nombres de host no exclusivos, frecuentes con activos como iPads y iPhones.
• Redes privadas virtuales que tienen direcciones MAC compartidas
• Extensiones de origen de registro cuyo campo de identidad es OverrideAndAlwaysSend=true
Los activos que tienen muchas direcciones IP, direcciones MAC o nombres de host presentan
desviaciones en el crecimiento de los activos y pueden desencadenar notificaciones del sistema.
Identificación de desviaciones de crecimiento de activos
A veces, los orígenes de datos de activos generan actualizaciones que IBM QRadar no puede manejar
correctamente sin intervención manual. En función de la causa del crecimiento anormal de los activos,
puede arreglar el origen de datos de activos que está causando el problema o puede bloquear las
actualizaciones de activos que provienen de ese origen de datos.
Las desviaciones de crecimiento de activos se dan cuando el número de actualizaciones de activos de un
único dispositivo supera el límite establecido en el umbral de retención para un tipo concreto de
información de identidad. El manejo adecuado de las desviaciones de crecimiento de activos es de vital
importancia para mantener un modelo de activos preciso.
En la base de cada desviación de crecimiento de activos se encuentra un origen de datos de activos cuyos
datos no son de confianza para actualizar el modelo de activos. Cuando se identifica una desviación
potencial del crecimiento de los activos, debe examinar el origen de la información para determinar si hay
una explicación razonable para que un activo acumule grandes cantidades de datos de identidad. La
causa de una desviación de crecimiento de activos es específica de un entorno.
Ejemplo del servidor DHCP de crecimiento de activo anormal en un perfil de activo
Supongamos que hay un servidor de VPN (red privada virtual) en una red DHCP (Protocolo de
configuración dinámica de hosts). El servidor de VPN está configurado para asignar direcciones IP a los
clientes de VPN entrantes enviando mediante un proxy las solicitudes DHCP en nombre del cliente al
servidor DHCP de la red.
Desde la perspectiva del servidor DHCP, la misma dirección MAC solicita muchas asignaciones de
direcciones IP en repetidas ocasiones. En el contexto de las operaciones de red, el servidor VPN delega
las direcciones IP a los clientes, pero el servidor DHCP no puede distinguir cuándo una solicitud la realiza
un activo en nombre de otro.
El registro del servidor DHCP, que está configurado como un origen de registro de QRadar, genera un
suceso de acuse de recibo DHCP (DHCP ACK) que asocia la dirección MAC del servidor VPN con la
dirección IP que se asigna al cliente de VPN. Cuando se produce la conciliación de activos, el sistema
concilia este evento por dirección MAC, lo que da como resultado un activo existente único que crece con
una dirección IP cada vez que se analiza un suceso DHCP ACK.
Finalmente, un solo perfil de activo contiene todas las direcciones IP que se han asignado al servidor de
VPN. Esta desviación de crecimiento de activos está causada por las actualizaciones de activos que
contienen información acerca de más de un activo.
144 IBM Security QRadar: Guía de administración de QRadar
Valores de umbral
Cuando un activo de la base de datos alcanza un número determinado de propiedades, tales como varias
direcciones IP o direcciones MAC, QRadar bloquea ese activo para que no reciba más actualizaciones.
Los valores de umbral del perfilador de activos indican las condiciones bajo las cuales un activo está
bloqueado frente a las actualizaciones. El activo se actualiza normalmente hasta el valor del umbral.
Cuando el sistema recopila datos suficientes para superar el umbral, el activo muestra una desviación de
crecimiento de activo. Las futuras actualizaciones del activo se bloquean hasta que la desviación de
crecimiento se corrija.
Notificaciones del sistema que indican desviaciones de crecimiento de activos
IBM QRadar genera notificaciones del sistema para ayudarle a identificar y gestionar las desviaciones de
crecimiento de activos en su entorno.
Los siguientes mensajes del sistema indican que QRadar ha identificado posibles desviaciones de
crecimiento de activos:
• El sistema ha detectado perfiles de activo que sobrepasan el umbral de tamaño
normal
• Las reglas de listas negras de activos han añadido datos de activo nuevos a
las listas negras de activos
Los mensajes de notificación del sistema incluyen enlaces a los informes para que sea más fácil
identificar los activos que presentan desviaciones de crecimiento.
Datos de activos que cambian con frecuencia
El crecimiento de activos puede estar causado por grandes volúmenes de datos de activos que cambian
de forma correcta, como en las situaciones siguientes:
• Un dispositivo móvil que va de una oficina a otra con frecuencia al que se le asigna una dirección IP
nueva cada vez que inicia sesión.
• Un dispositivo que se conecta a una wifi pública con cesiones breves de direcciones IP, como por
ejemplo en un campus universitario, puede recopilar grandes volúmenes de datos de activos durante un
semestre.
Ejemplo: Cómo los errores de configuración de las extensiones de origen de registro
pueden provocar desviaciones de crecimiento de activos
Las extensiones de origen de registro personalizado que están configuradas incorrectamente pueden
provocar desviaciones de crecimiento de activos.
El usuario configura una extensión de origen de registro personalizado para proporcionar actualizaciones
de activos a IBM QRadar mediante el análisis de los nombres de usuario de la carga útil de suceso que se
encuentra en un servidor de registro central. Configura la extensión de origen de registro para alterar
temporalmente la propiedad de nombre de host de sucesos para que las actualizaciones de activos
generadas por el origen de registro personalizado siempre especifiquen el nombre del host DNS del
servidor de registro central.
En lugar de que QRadar reciba una actualización que tiene el nombre de host del activo en el que el
usuario ha iniciado sesión, el origen de registro genera muchas actualizaciones de activos que tienen el
mismo nombre de host.
En esta situación, la desviación de crecimiento de activos está causada por un solo perfil de activo que
contiene muchas direcciones IP y muchos nombres de usuario.
Resolución de problemas con perfiles de activo que sobrepasan el umbral de tamaño
normal
IBM QRadar genera la notificación del sistema siguiente cuando la acumulación de datos bajo un único
activo supera los límites de umbral configurados para los datos de identidad.
Capítulo 15. Gestión de activos 145
El sistema ha detectado perfiles de activo que sobrepasan el umbral de tamaño normal
Explicación
La carga útil muestra una lista de los cinco activos que presentan desviaciones con más frecuencia y
proporciona información sobre por qué el sistema ha marcado cada activo como una desviación de
crecimiento. Tal como se muestra en el ejemplo siguiente, la carga útil también muestra el número de
veces que el activo ha intentado crecer más allá del umbral del tamaño de activo.
Feb 13 20:13:23 127.0.0.1 [AssetProfilerLogTimer]
com.q1labs.assetprofile.updateresolution.UpdateResolutionManager:
[INFO] [NOT:0010006101][192.0.2.83/- -] [-/- -]
Los cinco activos que presentan desviaciones con más frecuencia entre
el 13 de febrero de 2015 8:10:23 PM AST y el 13 de febrero de 2015 8:13:23 PM AST:
[ASSET ID:1003, REASON:Too Many IPs, COUNT:508],
[ASSET ID:1002, REASON:Too many DNS Names, COUNT:93],
[ASSET ID:1001, REASON:Too many MAC Addresses, COUNT:62]
Cuando los datos de activos exceden el umbral configurado, QRadar bloquea el activo frente a
actualizaciones futuras. Esta intervención evita que el sistema reciba más datos dañados y mitiga el
impacto en el rendimiento que podría producirse si el sistema intenta conciliar las actualizaciones de
entrada con un perfil de activo anormalmente grande.
Acción del usuario necesaria
Utilice la información de la carga útil de la notificación para identificar los activos que contribuyen a la
desviación de crecimiento de activo y determinar qué está provocando el crecimiento anormal. La
notificación proporciona un enlace a un informe de todos los activos que han experimentado una
desviación del crecimiento durante las últimas 24 horas.
Después de resolver la desviación de crecimiento de activo en su entorno, puede ejecutar el informe de
nuevo.
1. Pulse la pestaña Actividad de registro y pulse Buscar > Nueva búsqueda.
2. Seleccione la búsqueda guardada Desviación de crecimiento de activos: Informe de activos.
3. Utilice el informe para identificar y reparar los datos de activos inexactos que se han creado durante la
desviación.
Conceptos relacionados
Datos de activos obsoletos
Los datos de activos obsoletos pueden provocar problemas cuando la velocidad a la que se crean nuevos
registros de activos supera la velocidad a la que se eliminan los datos de activos obsoletos. Controlar y
gestionar los umbrales de retención de activos es la clave para dar respuesta a las desviaciones de
crecimiento de activos provocadas por los datos de activos obsoletos.
Los datos de activos nuevos se añaden a las listas negras de activos
IBM QRadar genera la notificación del sistema siguiente cuando un dato de activos concreto presenta un
comportamiento que puede deberse a la desviación del crecimiento de activos.
Las reglas de lis. neg. act. han añadido datos de activo nuevos a las lis. neg. act.
Explicación
Las reglas de exclusión de activos supervisan los datos de activos para comprobar la coherencia y la
integridad. Las reglas hacen un seguimiento de datos de activos concretos a lo largo del tiempo para
asegurarse de que están siendo observados siempre con el mismo subconjunto de datos dentro de un
plazo de tiempo razonable.
Por ejemplo, si una actualización de activo incluye una dirección MAC y un nombre de host DNS, la
dirección MAC está asociada con ese nombre de host DNS durante un periodo de tiempo concreto. Las
actualizaciones de activos posteriores que contengan esa dirección MAC también contienen ese nombre
146 IBM Security QRadar: Guía de administración de QRadar
de host DNS si se incluye alguno en la actualización de activo. Si la dirección MAC de repente se asocia
con un nombre de host DNS diferente durante un periodo breve de tiempo, el cambio se supervisa. Si la
dirección MAC cambia de nuevo dentro de un periodo breve, la dirección MAC se marca para indicar que
contribuye a una instancia de crecimiento de activo anormal o con desviaciones.
Acción del usuario necesaria
Utilice la información de la carga útil de la notificación para identificar las reglas que se utilizan para
supervisar los datos de activos. Pulse el enlace Desviaciones de activo por origen de registro en la
notificación para ver las desviaciones de activo que se han producido en las últimas 24 horas.
Si los datos de activos son válidos, los administradores de QRadar pueden configurar QRadar para
resolver el problema.
• Si las listas negras se llenan demasiado rápido, puede ajustar las reglas de exclusión de conciliación de
activos que las llenan.
• Si desea añadir los datos a la base de datos de activos, puede eliminar los datos de activos de la lista
negra y añadirlos a la lista blanca de activos correspondiente. Al añadir datos de un activo a la lista
blanca se impide que reaparezcan inadvertidamente en la lista negra.
Conceptos relacionados
Ajuste avanzado de reglas de exclusión de conciliación de activos
Puede ajustar las reglas de exclusión de conciliación de activos para refinar la definición de la desviación
de crecimiento de activos en una o varias reglas.
Prevención de las desviaciones de crecimiento de activos
Después de confirmar que el crecimiento notificado de un activo es correcto, hay varias maneras de evitar
que IBM QRadar desencadene mensajes de desviación de crecimiento para ese activo.
Utilice la lista siguiente como ayuda para decidir cómo evitar las desviaciones de crecimiento de activos:
• Averigüe cómo QRadar maneja los datos de activos obsoletos.
• Cree búsquedas de exclusión de identidades para hacer que determinados sucesos no proporcionen
actualizaciones de activos.
• Ajuste las reglas de exclusión de conciliación de activos para refinar la definición de la desviación de
crecimiento de activos.
• Cree listas blancas de activos para impedir que los datos vuelvan a aparecer en las listas negras de
activos.
• Modifique las entradas en las listas negras y las listas blancas de activos.
• Asegúrese de que los DSM estén actualizados. QRadar proporciona una actualización automática
semanal que puede contener actualizaciones de DSM y correcciones para los problemas de análisis.
Datos de activos obsoletos
Los datos de activos obsoletos pueden provocar problemas cuando la velocidad a la que se crean nuevos
registros de activos supera la velocidad a la que se eliminan los datos de activos obsoletos. Controlar y
gestionar los umbrales de retención de activos es la clave para dar respuesta a las desviaciones de
crecimiento de activos provocadas por los datos de activos obsoletos.
Los datos de activos obsoletos son los datos de activos históricos que no han observado de forma activa ni
pasiva dentro de un plazo de tiempo específico. Los datos de activos obsoletos se suprimen cuando
exceden el periodo de retención configurado.
Los registros históricos se activan de nuevo si IBM QRadar los observa de forma pasiva, a través de
sucesos y flujos o de forma activa, a través de exploradores de vulnerabilidades y puertos.
Para evitar las desviaciones de crecimiento de activos es necesario encontrar el equilibrio adecuado entre
el número de direcciones IP permitidas para un activo y la cantidad de tiempo que QRadar conserva los
Capítulo 15. Gestión de activos 147
datos de activos. Debe tener en cuenta las compensaciones de rendimiento y gestión antes de configurar
QRadar para dar cabida a altos niveles de retención de datos de activos. Si bien unos periodos de
retención más largos y unos umbrales por activo superiores pueden parecer deseables en todo momento,
un enfoque más adecuado es determinar una configuración básica que sea aceptable para el entorno y
probar dicha configuración. A continuación, puede ampliar los umbrales de retención en pequeños
incrementos hasta lograr el equilibrio adecuado.
Listas negras y listas blancas de activos
IBM QRadar utiliza un grupo de reglas de conciliación de activos para determinar si los datos de activos
son de confianza. Cuando los datos de activos son cuestionables, QRadar utiliza listas negras y listas
blancas de activos para determinar si deben actualizarse los perfiles de activo con los datos de activos.
Una lista negra de activos es un conjunto de datos que QRadar considera no fiables. Los datos de la lista
negra de activos pueden contribuir a la aparición de desviaciones de crecimiento de activos y QRadar
impide que los datos se añadan a la base de datos de activos.
Una lista blanca de activos es un conjunto de datos de activos que altera la lógica del motor de
conciliación de activos con la que se añaden datos a una lista negra de activos. Cuando el sistema
identifica una coincidencia en la lista negra, comprueba la lista blanca para ver si el valor existe. Si la
actualización de activo coincide con datos que están en la lista blanca, el cambio se concilia y el activo se
actualiza. Los datos de activos en listas blancas se aplican globalmente en todos los dominios.
Las listas negras y las listas blancas de activos son conjuntos de referencia. Puede ver y modificar los
datos de las listas negras y las listas blancas de activos mediante la herramienta Gestión de conjuntos
de referencia en QRadar Console. Para obtener más información sobre el trabajo con conjuntos de
referencia, consulte el apartado “Visión general de los conjuntos de referencia” en la página 89.
Listas negras de activos
Una lista negra de activos es un conjunto de datos que IBM QRadar considera no fiables según las reglas
de exclusión de conciliación de activos. Los datos de la lista negra de activos pueden contribuir a la
aparición de desviaciones de crecimiento de activos y QRadar impide que los datos se añadan a la base
de datos de activos.
Cada actualización de activo en QRadar se compara con las listas negras de activos. Los datos de activos
en listas negras se aplican globalmente en todos los dominios. Si la actualización de activo contiene
información de identidad (dirección MAC, nombre de host NetBIOS, nombre de host DNS o dirección IP)
que se encuentra en una lista negra, la actualización de entrada se descarta y la base de datos de activos
no se actualiza.
En la tabla siguiente se muestra el nombre y el tipo de recopilación de referencia para cada tipo de datos
de activos de identidad.
Tabla 32. Nombres de recopilación de referencia para los datos de las listas negras de activos
Tipo de datos de
identidad
Nombre de recopilación de referencia
Tipo de recopilación de referencia
Direcciones IP (v4) Lista negra de IPv4 de conciliación de
activos
Conjunto de referencia [Tipo de
conjunto: IP]
Nombres de host
DNS
Lista negra de DNS de conciliación de
activos
Conjunto de referencia [Tipo de
conjunto: ALNIC*]
Nombres de host
NetBIOS
Lista negra de NetBIOS de conciliación
de activos
Conjunto de referencia [Tipo de
conjunto: ALNIC*]
Direcciones MAC
Lista negra de MAC de conciliación de
activos
Conjunto de referencia [Tipo de
conjunto: ALNIC*]
* ALNIC es un tipo alfanumérico que puede dar cabida tanto al nombre de host como a los valores de
dirección MAC.
148 IBM Security QRadar: Guía de administración de QRadar
Puede utilizar la herramienta Gestión de conjuntos de referencia para editar las entradas de la lista
negra. Para obtener información sobre el trabajo con conjuntos de referencia, consulte el apartado
Gestión de conjuntos de referencia (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/
com.ibm.qradar.doc/c_qradar_adm_mge_ref_set.html).
Conceptos relacionados
Listas blancas de activos
Listas blancas de activos
Puede utilizar listas blancas de activos para evitar que los datos de activos de IBM QRadar reaparezcan
inadvertidamente en las listas negras de activos.
Una lista blanca de activos es un conjunto de datos de activos que altera la lógica del motor de
conciliación de activos con la que se añaden datos a una lista negra de activos. Cuando el sistema
identifica una coincidencia en la lista negra, comprueba la lista blanca para ver si el valor existe. Si la
actualización de activo coincide con datos que están en la lista blanca, el cambio se concilia y el activo se
actualiza. Los datos de activos en listas blancas se aplican globalmente en todos los dominios.
Puede utilizar la herramienta Gestión de conjuntos de referencia para editar las entradas de la lista
blanca. Para obtener información sobre el trabajo con conjuntos de referencia, consulte Gestión de
conjuntos de referencia.
Ejemplo de caso práctico de lista blanca
La lista blanca es útil si tiene datos de activos que siguen apareciendo en las listas negras aunque se trate
de una actualización de activo válido. Por ejemplo, podría tener un equilibrador de carga DNS con rotación
que está configurado para rotar en un conjunto de cinco direcciones IP. Las reglas de exclusión de
conciliación de activos podrían determinar que el hecho de que haya varias direcciones IP asociadas con
el mismo nombre de host DNS es una indicación de que existe una desviación de crecimiento de activos,
y el sistema podría añadir el equilibrador de carga DNS a la lista negra. Para resolver este problema,
puede añadir el nombre de host DNS a la lista blanca de DNS de conciliación de activos.
Entradas en masa a la lista blanca de activos
Una base de datos de activos precisa facilita la conexión de las Infracciones que se desencadenan en el
sistema a activos físicos o virtuales en la red. Pasar por alto las desviaciones de activos añadiendo
entradas en masa a la lista blanca de activos no es útil para la creación de una base de datos de activos
precisa. En lugar de añadir entradas en masa a la lista blanca, revise la lista negra de activos para
determinar qué está contribuyendo a la desviación de crecimiento de activos y luego determine cómo
solucionar el problema.
Tipos de listas blancas de activos
Cada tipo de datos de identidad se mantiene en una lista blanca por separado. En la tabla siguiente se
muestra el nombre y el tipo de recopilación de referencia para cada tipo de datos de activos de identidad.
Tabla 33. Nombre de recopilación de referencia para los datos de las listas blancas de activos
Tipo de datos
Nombre de recopilación de referencia
Tipo de recopilación de referencia
Direcciones IP
Lista blanca de IPv4 de conciliación de
activos
Conjunto de referencia [Tipo de
conjunto: IP]
Nombres de host
DNS
Lista blanca de DNS de conciliación de
activos
Conjunto de referencia [Tipo de
conjunto: ALNIC*]
Nombres de host
NetBIOS
Lista blanca de NetBIOS de conciliación
de activos
Conjunto de referencia [Tipo de
conjunto: ALNIC*]
Direcciones MAC
Lista blanca de MAC de conciliación de
activos
Conjunto de referencia [Tipo de
conjunto: ALNIC*]
Capítulo 15. Gestión de activos 149
* ALNIC es un tipo alfanumérico que puede dar cabida al nombre de host y a valores de dirección MAC.
Conceptos relacionados
Listas negras de activos
Una lista negra de activos es un conjunto de datos que IBM QRadar considera no fiables según las reglas
de exclusión de conciliación de activos. Los datos de la lista negra de activos pueden contribuir a la
aparición de desviaciones de crecimiento de activos y QRadar impide que los datos se añadan a la base
de datos de activos.
Actualización de las listas negras y listas blancas de activos mediante el programa de utilidad de
conjunto de referencia
Puede utilizar el programa de utilidad de conjunto de referencia de IBM QRadar para añadir o modificar
las entradas que se encuentran en las listas negras y las listas blancas de activos.
Para gestionar los conjuntos de referencia, ejecute el programa de utilidad ReferenceDataUtil.sh
desde /opt/qradar/bin en QRadar Console.
Los mandatos para añadir valores nuevos a cada lista se describen en la tabla siguiente. Los valores de
los parámetros deben coincidir exactamente con los valores de actualización de los activos
proporcionados por el origen de datos de activos de donde proceden.
Tabla 34. Sintaxis de mandatos para modificar los datos de las listas negras y las listas blancas de
activos
Nombre
Sintaxis del mandato
Lista negra de ReferenceDataUtil.sh add "Lista negra de IPv4 de conciliación de
IPv4 de
activos" IP
conciliación de
Por ejemplo, este mandato añade la dirección IP 192.168.3.56 a la lista negra:
activos
ReferenceDataUtil.sh add "Lista negra de IPv4 de conciliación de
activos" 192.168.3.56
Lista negra de ReferenceDataUtil.sh add "Lista negra de DNS de conciliación de
DNS de
activos" DNS
conciliación de
Por ejemplo, este mandato añade el nombre de dominio
activos
'misbehaving.asset.company.com' a la lista negra:
ReferenceDataUtil.sh add "Lista negra de DNS de conciliación de
activos" "misbehaving.asset.company.com"
Lista negra de ReferenceDataUtil.sh add "Lista negra de NetBIOS de conciliación
NetBIOS de
de activos" NETBIOS
conciliación de
Por ejemplo, este mandato elimina el nombre de host NetBIOS
activos
'deviantGrowthAsset-156384' de la lista negra:
ReferenceDataUtil.sh delete "Lista negra de NetBIOS de
conciliación de activos" "deviantGrowthAsset-156384"
Lista negra de ReferenceDataUtil.sh add "Lista negra de MAC de conciliación de
MAC de
activos" MACADDR
conciliación de
Por ejemplo, este mandato añade la dirección MAC '00:a0:1a:2b:3c:4d' a la lista negra:
activos
ReferenceDataUtil.sh add "Lista negra de MAC de conciliación de
activos" "00:a0:1a:2b:3c:4d"
150 IBM Security QRadar: Guía de administración de QRadar
Tabla 34. Sintaxis de mandatos para modificar los datos de las listas negras y las listas blancas de
activos (continuación)
Nombre
Sintaxis del mandato
Lista blanca de ReferenceDataUtil.sh add "Lista blanca de IPv4 de conciliación de
IPv4 de
activos" IP
conciliación de
Por ejemplo, este mandato suprime la dirección IP 10.1.95.142 de la lista blanca:
activos
ReferenceDataUtil.sh delete "Lista blanca de IPv4 de conciliación
de activos" 10.1.95.142
Lista blanca de ReferenceDataUtil.sh add "Lista blanca de DNS de conciliación de
DNS de
activos" DNS
conciliación de
Por ejemplo, este mandato añade el nombre de dominio 'loadbalancer.company.com' a
activos
la lista blanca:
ReferenceDataUtil.sh add "Lista blanca de DNS de conciliación de
activos" "loadbalancer.company.com"
Lista blanca de ReferenceDataUtil.sh add "Lista blanca de NetBIOS de conciliación
NetBIOS de
de activos" NETBIOS
conciliación de
Por ejemplo, este mandato añade el nombre NetBIOS 'assetName-156384' a la lista
activos
blanca:
ReferenceDataUtil.sh add "Lista blanca de NetBIOS de conciliación
de activos" "assetName-156384"
Lista blanca de ReferenceDataUtil.sh add "Lista blanca de MAC de conciliación de
MAC de
activos" MACADDR
conciliación de
Por ejemplo, este mandato añade la dirección MAC '00:a0:1a:2b:3c:4d' a la lista
activos
blanca:
ReferenceDataUtil.sh add "Lista blanca de MAC de conciliación de
activos" "00:a0:1a:2b:3c:4d"
Tareas relacionadas
Actualización de listas negras y listas blancas mediante la API RESTful
Actualización de listas negras y listas blancas mediante la API RESTful
Puede utilizar la API RESTful de IBM QRadar para personalizar el contenido de las listas negras y las listas
blancas de activos.
Acerca de esta tarea
Debe especificar el nombre exacto del conjunto de referencia que desea ver o actualizar.
• Lista negra de IPv4 de conciliación de activos
• Lista negra de DNS de conciliación de activos
• Lista negra de NetBIOS de conciliación de activos
• Lista negra de MAC de conciliación de activos
• Lista blanca de IPv4 de conciliación de activos
• Lista blanca de DNS de conciliación de activos
• Lista blanca de NetBIOS de conciliación de activos
• Lista blanca de MAC de conciliación de activos
Capítulo 15. Gestión de activos 151
Procedimiento
1. Escriba el URL siguiente en el navegador web para acceder a la interfaz de API RESTful:
https://dirección_IP_consola/api_doc
2. En el panel de navegación de la izquierda, busque 4.0>/reference_data >/sets > /{nombre}.
3. Para ver el contenido de una lista negra o blanca de activos, siga estos pasos:
a) Pulse la pestaña GET y desplácese hacia abajo hasta la sección Parámetros.
b) En el campo Valor correspondiente al parámetro Nombre, escriba el nombre de la lista negra o
blanca de activos que desea ver.
c) Pulse Inténtelo; los resultados aparecen en la parte inferior de la pantalla.
4. Para añadir un valor a una lista negra o blanca de activos, siga estos pasos:
a) Pulse la pestaña POST y desplácese hacia abajo hasta la sección Parámetros.
b) Escriba los valores de los parámetros siguientes:
Tabla 35. Parámetros que son necesarios para añadir nuevos datos de activos
Nombre del
parámetro
Descripción del parámetro
name
Representa el nombre de la recopilación de referencia que desea
actualizar.
value
Representa el dato que desea añadir a la lista negra o blanca de activos.
Debe coincidir exactamente con los valores de actualización de los
activos proporcionados por el origen de datos de activos de donde
proceden.
c) Pulse Inténtelo para añadir el nuevo valor a la lista negra o blanca de activos.
Qué hacer a continuación
Para obtener más información sobre el uso de la API RESTful para cambiar los conjuntos de referencia,
consulte la publicación IBM QRadar API Guide.
Conceptos relacionados
Actualización de las listas negras y listas blancas de activos mediante el programa de utilidad de conjunto
de referencia
Puede utilizar el programa de utilidad de conjunto de referencia de IBM QRadar para añadir o modificar
las entradas que se encuentran en las listas negras y las listas blancas de activos.
Búsquedas de exclusión de identidades
Las búsquedas de exclusión de identidades se pueden utilizar para gestionar activos individuales que
acumulan grandes volúmenes de información de identidad similar por motivos conocidos y válidos.
Por ejemplo, los orígenes de datos pueden proporcionar grandes volúmenes de información de identidad
de activo a la base de datos de activos. Proporcionan a IBM QRadar los cambios en la información de
activos en tiempo casi real y pueden mantener actualizada la base de datos de activos. Sin embargo, los
orígenes de registro suelen ser la fuente más frecuente de las desviaciones del crecimiento de activos y
otras anomalías relacionadas con los activos.
Cuando un origen de registro envía datos de activos incorrectos a QRadar, intente corregir el origen de
registro para que los datos que envía se puedan utilizar en la base de datos de activos. Si el origen de
registro no se puede arreglar, puede crear una búsqueda de exclusión de identidades que impida que la
información de activos se incorpore a la base de datos de activos.
También puede utilizar una búsqueda de exclusión de identidades en la que
nombre_usuario_identidad + es cualquiera de + inicio de sesión anónimo para
asegurarse de que no se actualizan los activos que están relacionados con las cuentas de servicio o con
servicios automatizados.
152 IBM Security QRadar: Guía de administración de QRadar
Diferencias entre las búsquedas de exclusión de identidades y las listas negras
Si bien las búsquedas de exclusión de identidades parecen tener una funcionalidad similar a la de las
listas negras de activos, existen diferencias significativas.
Las listas negras solamente pueden especificar los datos de activos en bruto, tales como direcciones MAC
y nombres de host, que se van a excluir. Las búsquedas de exclusión de identidades filtran los datos de
activos según campos de búsqueda tales como el origen de registro, la categoría y el nombre de suceso.
Las listas negras no tienen en cuenta el tipo de origen de datos que proporciona los datos, mientras que
las búsquedas de exclusión de identidades se pueden aplicar únicamente a los sucesos. Las búsquedas
de exclusión de identidades pueden bloquear las actualizaciones de activos basándose en los campos de
búsqueda de sucesos comunes, como tipo de suceso, nombre de suceso, categoría y origen de registro.
Ajuste avanzado de reglas de exclusión de conciliación de activos
Puede ajustar las reglas de exclusión de conciliación de activos para refinar la definición de la desviación
de crecimiento de activos en una o varias reglas.
Por ejemplo, considere esta plantilla normalizada de una regla de exclusión de conciliación de activos.
Aplicar AssetExclusion: Excluir Nombre DNS por IP en sucesos detectados
por el sistema Local y NO cuando cualquiera de
Nombre de host de identidad está contenido en cualquiera de
Lista blanca de DNS de conciliación de activos - Alfanumérico (sin
distinción de mayúsculas/minúsculas),
Lista negra de DNS de
conciliación de activos - Alfanumérico (sin distinción de mayúsculas/minúsculas)
y cuando al menos N1 sucesos se han visto con el mismo
Nombre de host de identidad y diferente IP de identidad en N2
En esta tabla se enumeran las variables de la plantilla de regla que pueden ajustarse y el resultado del
cambio. No cambie otras variables de la plantilla.
Tabla 36. Opciones para ajustar las reglas de conciliación de activos
Variable
Valor
predeterm.
N1
3
Resultado del ajuste
Si se ajusta esta variable en un valor inferior, el resultado es que se
añaden más datos a la lista negra debido a que se necesitan menos
sucesos con datos conflictivos para que la regla se desencadene.
Si se ajusta esta variable en un valor superior, el resultado es que se
añaden menos datos a la lista negra debido a que se necesitan más
sucesos con datos conflictivos para que la regla se desencadene.
N2
2 horas
Si se ajusta esta variable en un valor inferior, se reduce el intervalo de
tiempo en el que los sucesos N1 deben verse para que la regla se
desencadene. El tiempo necesario para observar los datos coincidentes
se reduce, lo que da como resultado que se añadan menos datos a la
lista negra.
Si se ajusta esta variable en un valor superior, se incrementa el tiempo
que los sucesos N1 deben verse para que la regla se desencadene. El
tiempo necesario para observar los datos coincidentes aumenta, lo que
da como resultado que se añadan más datos a la lista negra.
El incremento del periodo de tiempo puede afectar los recursos de
memoria del sistema, ya que se hace un seguimiento de los datos
durante periodos de tiempo más largos.
Las reglas de exclusión de conciliación de activos son reglas de todo el sistema. Los cambios en las reglas
afectan el comportamiento de la regla en todo el sistema.
Capítulo 15. Gestión de activos 153
Aplicación de ajustes diferentes para las reglas
Puede que sea necesario aplicar ajustes diferentes para las reglas en distintas partes del sistema. Para
aplicar diferentes ajustes para las reglas, debe duplicar las reglas de exclusión de conciliación de activos
que desea ajustar y añadir una o más pruebas para restringir las reglas de modo que se prueben
solamente determinadas partes del sistema. Por ejemplo, puede que desee crear reglas que prueben
solamente las redes, los orígenes de registro o los tipos de sucesos.
Acerca de esta tarea
Tenga siempre cuidado cuando añada nuevas reglas al sistema, ya que algunas tareas y reglas de CRE
puede afectar al rendimiento del sistema. Puede resultar beneficioso añadir las reglas nuevas al principio
de cada pila de pruebas para que el sistema puede omitir el resto de la lógica de pruebas en el caso de
que una actualización de activo cumpla los criterios de la regla nueva.
Procedimiento
1. Duplique la regla.
a) En la pestaña Infracciones, pulse Reglas y seleccione la regla que desea copiar.
b) Pulse Acciones > Duplicar.
Puede ser útil que el nombre de la regla nueva indique el motivo de la duplicación.
2. Añada una prueba a la regla.
Determine el filtro que desea utilizar para aplicar la regla solamente a un subconjunto de datos del
sistema. Por ejemplo, puede añadir una prueba que coincida solo con sucesos de un origen de registro
específico.
3. Ajuste las variables de la regla para conseguir el comportamiento deseado.
4. Actualice la regla original.
a) Añada a la regla original la misma prueba que ha añadido a la regla duplicada, pero invirtiendo los
operadores AND y AND NOT de la regla.
Al invertir los operadores se impide que se desencadenen sucesos en ambas reglas.
Ejemplo: Reglas de exclusión de activos que se ajustan para excluir direcciones IP de la
lista negra
Puede excluir direcciones IP de las listas negras ajustando las reglas de exclusión de activos.
Como administrador de seguridad de red, gestiona una red corporativa que incluye un segmento de red
wifi pública en el que las cesiones de direcciones IP son generalmente breves y frecuentes. Los activos en
este segmento de la red tienden a ser transitorios, principalmente sistemas portátiles y dispositivos
portátiles que inician y finalizan sesión en la wifi pública con frecuencia. Normalmente, una dirección IP
individual la utilizan varias veces distintos dispositivos durante un breve periodo de tiempo.
En el resto del despliegue tiene una red cuidadosamente gestionada que consta únicamente de
dispositivos de la empresa con nombres correctos e inventariados. Las cesiones de direcciones IP duran
mucho más tiempo en esta parte de la red y a las direcciones IP se accede únicamente a través de la
autenticación. En este segmento de red, desea saber inmediatamente cuando hay desviaciones de
crecimiento de activos y desea conservar los valores predeterminados para las reglas de exclusión de
conciliación de activos.
Elaboración de la lista negra de direcciones IP
En este entorno, las reglas de exclusión de conciliación de activos predeterminadas incluyen
inadvertidamente en una lista negra la red entera durante un breve periodo de tiempo.
Su equipo de seguridad observa que las notificaciones relacionadas con el activo generadas por el
segmento de wifi son una molestia. Desea evitar que la wifi desencadene más notificaciones de
desviaciones del crecimiento de activos.
154 IBM Security QRadar: Guía de administración de QRadar
Ajuste de las reglas de conciliación de activos para ignorar algunas actualizaciones de activos
Revisa el informe Desviaciones de activo por origen de registro en la última notificación del sistema.
Determina que los datos de la lista negra proceden del servidor DHCP de la wifi.
Los valores de la columna Recuento de sucesos, la columna Recuento de flujos y la columna
Infracciones de la fila correspondiente a la regla AssetExclusion: Excluir IP por dirección MAC indican
que el servidor DHCP de la wifi desencadena esta regla.
Añade una prueba a las reglas de conciliación de activos existentes para hacer que las reglas dejen de
añadir datos de la wifi a la lista negra.
Aplicar AssetExclusion:Excluir IP por Dirección MAC en sucesos detectados por
el sistema Local y NO cuando los sucesos los ha detectado uno o varios
MicrosoftDHCP @ microsoft.dhcp.test.com
y NO cuando cualquiera de Dominio es la clave y cualquiera de IP de identidad es el valor en
cualquiera de Lista blanca de IPv4 del dominio de conciliación de activos
- Lista negra de IPv4 del dominio de conciliación de activos - IP
y cuando al menos 3 sucesos se han visto con la misma IP de identidad y
diferente MAC de identidad en 2 horas.
La regla actualizada prueba solamente los sucesos de los orígenes de registro que no están en el servidor
DHCP de la wifi. Para evitar que los sucesos DHCP de la wifi pasen más pruebas costosas de análisis de
comportamiento y conjunto de referencia, también ha movido esta prueba al principio de la pila de
pruebas.
Limpieza de datos de activos después de desviaciones de crecimiento
IBM QRadar utiliza el modelo de activos para conectar las infracciones del despliegue con los activos
físicos o virtuales de la red. La capacidad de recopilar y ver datos relevantes sobre cómo se utilizan los
activos es un paso importante en la resolución de problemas de seguridad. Es importante mantener la
base de datos de activos para asegurarse de que los datos son actuales y precisos.
Tanto si soluciona el origen del problema como si bloquea las actualizaciones de activos, debe limpiar la
base de datos de activos mediante la eliminación de los datos de activos no válidos y las entradas de las
listas negras de activos.
Supresión de entradas de las listas negras
Una vez solucionada la causa de las entradas de las listas negras, debe limpiar las entradas restantes.
Puede eliminar entradas individuales de las listas negras, pero es mejor depurar todas las entradas de las
listas negras y permitir que se vuelvan a generar los valores de lista negra que no estén relacionados con
la desviación de crecimiento de activos.
Procedimiento
Para depurar una lista negra mediante la consola de IBM QRadar:
a) En el menú de navegación (
), pulse Admin.
b) En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
c) Seleccione un conjunto de referencia y después pulse Suprimir.
d) Utilice el cuadro de texto de búsqueda rápida para buscar los conjuntos de referencia que desee
suprimir y luego pulse Suprimir listados.
Resultados
La depuración de una lista negra elimina todas las entradas de la lista negra, incluidas aquellas que se
hayan añadido manualmente. Las entradas de la lista negra que se han añadido manualmente deben
añadirse de nuevo.
Capítulo 15. Gestión de activos 155
156 IBM Security QRadar: Guía de administración de QRadar
Capítulo 16. Almacenamiento y reenvío de sucesos
Utilice la función Almacenar y reenviar para gestionar las planificaciones para el reenvío de sucesos
desde los dispositivos Recopilador de sucesos dedicados a los componentes Procesador de sucesos del
despliegue.
La función Almacenar y reenviar está soportada en Event Collector 1501 y Event Collector 1590. Para
obtener más información sobre estos dispositivos, consulte la publicación IBM QRadar Hardware Guide.
Un Recopilador de sucesos dedicado no procesa sucesos y no incluye un Procesador de sucesos en placa.
De forma predeterminada, un Recopilador de sucesos dedicado reenvía continuamente sucesos a un
Procesador de sucesos que está conectado a QRadar.
Puede planificar un rango de tiempo para cuando desee que el Recopilador de sucesos reenvíe sucesos al
Procesador de sucesos. Al reenviar los sucesos durante las horas no laborables, puede asegurarse de que
la transmisión no afecte negativamente al ancho de banda de la red. Cuando el reenvío de sucesos está
planificado, los sucesos se almacenan localmente en el Recopilador de sucesos hasta que se inicia la
planificación de reenvío. Durante este tiempo, no puede ver los sucesos en la consola de IBM QRadar.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
© Copyright IBM Corp. 2012, 2019
157
158 IBM Security QRadar: Guía de administración de QRadar
Capítulo 17. Contenido de seguridad
Se utilizan las herramientas de gestión de contenido de IBM QRadar para importar contenido de
seguridad, como por ejemplo reglas, informes, paneles de control y aplicaciones, en QRadar. El contenido
de seguridad pueden proceder de otros sistemas de QRadar, o puede desarrollarse de forma
independiente para ampliar las prestaciones de QRadar existentes.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Tipos de contenido de seguridad
El contenido de IBM QRadar se empaqueta en dos tipos: paquetes de contenido y extensiones.
Paquetes de contenido
Los paquetes de contenido de seguridad contienen mejoras para tipos específicos de contenido de
seguridad. A menudo incluyen contenido para integraciones o sistemas operativos de terceros. Por
ejemplo, un paquete de contenido de seguridad para una integración de terceros puede contener
nuevas propiedades de suceso personalizadas que permiten buscar el origen de registro en la
información de la carga útil del suceso y que esta información esté disponible para la creación de
informes.
Los paquetes de contenido de seguridad están disponibles en IBM Fix Central (http://www.ibm.com/
support/fixcentral). Los paquetes de contenido no están disponibles como parte de una actualización
automática.
Extensiones
IBM y otros proveedores graban extensiones de seguridad que mejoran o amplían las prestaciones de
QRadar. Una extensión puede contener aplicaciones, elementos de contenido, como por ejemplo
reglas personalizadas, plantillas de informes, búsquedas guardadas, o contener actualizaciones de
los elementos de contenido existentes. Por ejemplo, una extensión puede incluir una aplicación para
añadir una pestaña a QRadar que proporcione visualizaciones para una infracción.
En IBM Security App Exchange, las extensiones se conocen como aplicaciones. Puede descargar
aplicaciones de QRadar desde IBM Security App Exchange y utilizar la herramienta de Gestión de
extensiones para instalarlas. Las aplicaciones no están disponibles como parte de una actualización
automática.
Orígenes de contenido de seguridad
El contenido de QRadar está disponible en las siguientes fuentes:
IBM Security App Exchange
IBM Security App Exchange (https://apps.xforce.ibmcloud.com) es una tienda de aplicaciones y portal
donde puede examinar y descargar extensiones de QRadar. Se trata de una nueva forma de compartir
código, visualizaciones, informes, reglas y aplicaciones.
IBM Fix Central
IBM Fix Central (www.ibm.com/support/fixcentral) proporciona arreglos y actualizaciones para el
software, el hardware y el sistema operativo del sistema. Puede descargar paquetes de contenido de
seguridad y extensiones desde IBM Fix Central.
Despliegues de QRadar
El contenido personalizado se exporta desde un despliegue de QRadar como una extensión y se
importa en otro sistema cuando se desea reutilizar el contenido. Por ejemplo, puede exportar
contenido desde el entorno de desarrollo al entorno de producción. Puede utilizar el script de gestión
de contenidos de la línea de mandatos para exportar todo el contenido u optar por exportar sólo parte
del contenido personalizado.
© Copyright IBM Corp. 2012, 2019
159
Métodos de importación y exportación de contenido
Puede utilizar las herramientas siguientes para importar y exportar contenido en el despliegue de IBM
QRadar.
Herramienta Gestión de extensiones
Utilice la herramienta Gestión de extensiones para añadir extensiones a su despliegue de QRadar. Al
importar contenido mediante la herramienta Gestión de extensiones, puede ver el contenido antes de
instalarlo. Si los elementos de contenido existen en el sistema, puede especificar si desea reemplazar el
elemento de contenido o pasar por alto la actualización.
No puede utilizar la herramienta Gestión de extensiones para exportar contenido.
Editor de DSM
En QRadar V7.3.3 y versiones posteriores puede exportar el contenido personalizado que se crea en el
Editor de DSM. Pulse el botón Exportar en el Editor de DSM para exportar el contenido de un despliegue
de QRadar a otro o a soportes externos.
Nota: Puede exportar contenido de una versión anterior de QRadar e importarlo a una versión posterior.
Sin embargo, no puede importar contenido de una versión posterior a una versión anterior.
Nota: Si mueve reglas alteradas temporalmente de un despliegue de QRadar a otro, utilice la opción
Sustituir elementos de contenido existentes para asegurarse de que las reglas se importan
correctamente.
Instalación de extensiones mediante la Gestión de extensiones
Utilice la herramienta Gestión de extensiones para añadir extensiones de seguridad a IBM QRadar. La
herramienta Gestión de extensiones le permite ver los elementos de contenido de la extensión y
especificar el método de manejo de las actualizaciones de contenido antes de instalar la extensión.
Antes de empezar
Las extensiones deben estar en el sistema local antes de instalarlas en QRadar.
Puede descargar extensiones de QRadar desde IBM Security App Exchange (https://
apps.xforce.ibmcloud.com/) y desde IBM Fix Central (www.ibm.com/support/fixcentral/).
Acerca de esta tarea
Una extensión es un paquete de funciones de QRadar. Una extensión puede incluir contenido como
reglas, informes, búsquedas, conjuntos de referencia y paneles de control. También puede incluir
aplicaciones que mejoran las funciones de QRadar.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de extensiones.
3. Para cargar una nueva extensión en la consola de QRadar, siga estos pasos:
a) Pulse Añadir.
b) Pulse Examinar y busque la extensión.
c) Pulse Instalar inmediatamente para instalar la extensión sin visualizar el contenido. Vaya al
apartado “5.b” en la página 161.
d) Pulse Añadir.
4. Para ver el contenido de la extensión, selecciónela en la lista de extensiones y pulse Más detalles.
5. Para instalar la extensión, siga estos pasos:
160 IBM Security QRadar: Guía de administración de QRadar
a) Seleccione la extensión en la lista y pulse Instalar.
b) Para asignar un usuario a la app, haga clic en Selección de usuario en el menú y, a continuación,
elija un usuario.
Por ejemplo, puede que desee asociar la app a un determinado usuario que aparece listado en el
menú Selección de usuarios que tiene los permisos definidos.
Nota:
Esta pantalla solo aparece si alguna de las apps en la extensión que va a instalar está configurada
para solicitar la autenticación de los procesos en segundo plano.
c) Si la extensión no incluye una firma digital, o si está firmada, pero la firma no está asociado con la
Autoridad de certificación (CA) de IBM Security), debe confirmar que sigue deseando instalarla.
Pulse Instalar para continuar con la instalación.
d) Revise los cambios realizados por la instalación en el sistema.
e) Seleccione Conservar elementos existentes o Sustituir elementos existentes para especificar
cómo gestionar los elementos de contenido existentes.
Nota: Si la extensión contiene reglas del sistema alteradas temporalmente, seleccione Sustituir
elementos existentes para asegurarse de que las reglas se importan correctamente.
f) Pulse Instalar.
g) Revise el resumen de instalación y pulse Aceptar.
Desinstalación de una extensión de contenido
Eliminar una extensión de contenido que ya no es útil o que afecta negativamente al sistema. Puede
eliminar reglas, propiedades personalizadas, datos de referencia y búsquedas guardadas. Es posible que
no pueda eliminar algún contenido si otro elemento de contenido depende de él.
Acerca de esta tarea
Cuando se desinstala una extensión de contenido, las reglas, las propiedades personalizadas y los datos
de referencia instalados por la extensión de contenido se eliminan o se restablecen en su estado
anterior.Las búsquedas guardadas no se pueden revertir. Sólo se pueden eliminar.
Por ejemplo, si ha editado reglas personalizadas en una aplicación que ahora desea desinstalar, puede
conservar los cambios que ha realizado para cada regla personalizada. Si la regla personalizada ya existía
anteriormente en el sistema, puede revertirla a su estado anterior. Si la regla personalizada no existía
previamente, puede eliminarla.
Nota:
Si ha introducido una dependencia externa en una extensión de contenido instalada por la aplicación,
QRadar no elimina esa parte del contenido cuando desinstala la aplicación. Por ejemplo, si crea una regla
personalizada que utiliza una de las propiedades personalizadas de la aplicación, esa propiedad
personalizada no se elimina cuando se desinstala la aplicación.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Configuración del sistema, pulse Gestión de extensiones.
3. Seleccione la extensión que desea desinstalar y pulse Desinstalar.
QRadar comprueba las aplicaciones, las reglas, las propiedades personalizadas, los datos de
referencia y las búsquedas guardadas instalados por la extensión de contenido que se pueden
eliminar.
4. Si ha modificado manualmente reglas, propiedades personalizadas o datos de referencia después de
instalar la aplicación, seleccione si desea Conservar o Eliminar/Revertir dicha extensión de
contenido.
5. Pulse Desinstalar y, a continuación, pulse Aceptar.
Capítulo 17. Contenido de seguridad 161
Identificadores de tipo de contenido para exportar contenido personalizado
Al exportar un tipo específico de contenido personalizado de IBM QRadar, debe especificar el tipo de
contenido. Debe utilizar el identificador de texto o el identificador numérico del tipo de contenido.
Al exportar contenido desde un dispositivo de QRadar, el script de gestión de contenido comprueba las
dependencias del contenido y después incluye el contenido asociado en la exportación.
Por ejemplo, cuando el script de gestión de contenido detecta que una búsqueda guardada está asociada
con un informe que desea exportar, la búsqueda guardada también se exporta. No puede exportar
búsquedas guardadas de infracción, activo o vulnerabilidad.
Debe utilizar el identificador de tipo de contenido cuando desee exportar todo el contenido personalizado
de un tipo específico. Si desea exportar un elemento de contenido específico del despliegue de QRadar,
debe conocer el identificador exclusivo de dicho elemento de contenido específico.
La tabla siguiente describe los identificadores de tipo de contenido que se pasan al script
contentManagement.pl para el parámetro -c.
Tabla 37. Identificadores de tipo de contenido para exportar contenido personalizado
Tipo de contenido personalizado
Identificador de texto
Identificador numérico
Todo el contenido personalizado
all
No aplicable
Lista de contenido personalizado
package
No aplicable
Paneles de control
dashboard
4
Informes
report
10
Búsquedas guardadas
search
1
FGroups 1
fgroup
12
Tipos de FGroup
fgrouptype
13
Reglas personalizadas
customrule
3
Propiedades personalizadas
customproperty
6
Orígenes de registro
sensordevice
17
Tipos de origen de registro
sensordevicetype
24
Categorías de origen de registro
sensordevicecategory
18
Extensiones de origen de registro
deviceextension
16
Recopilaciones de datos de
referencia
referencedata
28
Entradas de correlaciones de QID
personalizadas
qidmap
27
Perfiles de correlación histórica
historicalsearch
25
Funciones personalizadas
custom_function
77
Acciones personalizadas
custom_action
78
Aplicaciones
installed_application
100
1Un
FGroup es un grupo de contenido, como por ejemplo un grupo de orígenes de registro, un grupo de
informes o un grupo de búsqueda.
162 IBM Security QRadar: Guía de administración de QRadar
Capítulo 18. Configuración de condiciones de
excepción de SNMP
IBM QRadar utiliza el agente de Net-SNMP, que da soporte a diversas MIB de supervisión de recursos del
sistema. Se pueden sondear con soluciones de Gestión de red para la supervisión y la generación de
alertas de los recursos del sistema. Para obtener más información sobre Net-SNMP, consulte la
documentación de Net-SNMP.
En IBM QRadar, puede configurar una regla para generar una respuesta de regla que envíe una condición
de excepción de SNMP cuando se cumplen las condiciones configuradas. QRadar actúa como agente para
enviar las condiciones de excepción de SNMP a otro sistema.
Una excepción de SNMP (protocolo simple de gestión de red) es una notificación de un suceso o una
infracción que QRadar envía a un host SNMP configurado para efectuar un proceso adicional.
Personalice los parámetros de configuración de SNMP en el asistente de reglas personalizadas y
modifique las condiciones de excepción de SNMP que el motor de reglas personalizadas envía a otro
software para su gestión. QRadar proporciona dos condiciones de excepción predeterminadas. Sin
embargo, puede añadir condiciones de excepción personalizadas o modificar las condiciones de
excepción existentes para utilizar nuevos parámetros.
Para obtener más información sobre SNMP, consulte el sitio web The Internet Engineering Task Force
(http://www.ietf.org/) y escriba RFC 1157 en el campo de búsqueda.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
© Copyright IBM Corp. 2012, 2019
163
164 IBM Security QRadar: Guía de administración de QRadar
Capítulo 19. Protección de datos confidenciales
Configure un perfil de ofuscación de datos para impedir el acceso no autorizado a información
confidencial o que permita identificar a usuarios en IBM QRadar.
Ofuscación de datos es el proceso de ocultar estratégicamente datos de los usuarios de QRadar. Puede
ocultar propiedades personalizadas, propiedades normalizadas, como por ejemplo los nombres de
usuario, o puede ocultar el contenido de una carga útil, como por ejemplo los números de tarjeta de
crédito y de la seguridad social.
Las expresiones del perfil de ofuscación de datos se evalúan contra las propiedades de carga útil y
normalizadas. Si los datos coinciden con la expresión de ofuscación, se ocultan en QRadar. Es posible que
los datos estén ocultos a todos los usuarios, o sólo a usuarios que pertenecen a dominios o arrendatarios
determinados. Los usuarios afectados que intentan consultar la base de datos directamente no pueden
ver los datos confidenciales. Los datos se deben revertir al formato original cargando la clave privada
generada cuando se creó el perfil de ofuscación de datos.
Para garantizar que QRadar pueda seguir correlacionado los valores de datos ocultos, el proceso de
ofuscación es determinista. Visualiza el mismo conjunto de caracteres cada vez que se encuentra el valor
de datos.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
¿Cómo funciona la ofuscación de datos?
Antes de configurar la ofuscación de datos en el despliegue de IBM QRadar, debe entender cómo
funciona para infracciones, activos, reglas y extensiones de origen de registro nuevos y existentes.
Datos de suceso existentes
Cuando un perfil de ofuscación de datos está habilitado, el sistema enmascara los datos de cada suceso
conforme QRadar los recibe. Los sucesos recibidos por el dispositivo antes de la configuración de la
ofuscación de datos permanecen en el estado no ofuscado original. Los datos de suceso más antiguos no
se enmascaran y los usuarios pueden ver la información.
Activos
Cuando la ofuscación de datos está configurada, el modelo de activo acumula datos enmascarados
mientras los datos de modelo de activo preexistente permanecen enmascarados.
Para impedir que alguien utilice datos enmascarados para rastrear la información ofuscada, depure los
datos de modelo de activo para eliminar los datos enmascarados. QRadar repoblará las bases de datos
activos con valores ofuscados.
Delitos
Para asegurarse de que las infracciones no visualicen datos enmascarados previamente, cierre todas las
infracciones existentes restableciendo el modelo SIM. Para obtener más información, consulte el
documento “Restablecimiento de SIM” en la página 37.
Reglas
Debe actualizar reglas que dependen de datos enmascarados anteriormente. Por ejemplo, las reglas
basadas en un nombre de usuario no se activan cuando el nombre de usuario está ofuscado.
© Copyright IBM Corp. 2012, 2019
165
Extensiones de origen de registro
Las extensiones de origen de registro que cambian el formato de la carga útil de suceso pueden provocar
problemas con la ofuscación de datos.
Perfiles de ofuscación de datos
El perfil de ofuscación de datos contiene información sobre qué datos enmascarar. También hace un
seguimiento del almacén de claves necesario para descifrar los datos.
Perfiles habilitados
Habilite un perfil solo cuando esté seguro de que las expresiones se dirigen correctamente a los datos
que desea ofuscar. Si desea probar la expresión regular antes de habilitar el perfil de ofuscación de
datos, puede crear una propiedad personalizada basada en una expresión regular.
Un perfil habilitado empieza inmediatamente a ofuscar datos según la definición de las expresiones
habilitadas en el perfil. El perfil habilitado queda automáticamente bloqueado. Solo el usuario que
tiene la clave privada puede inhabilitar o cambiar el perfil una vez que éste se ha habilitado.
Para garantizar que los datos ocultos puedan volver a rastrearse en un perfil de ofuscación, no puede
suprimir un perfil habilitado, incluso aunque lo inhabilite.
Perfiles bloqueados
Un perfil queda automáticamente bloqueado cuando lo habilita o puede bloquearlo manualmente.
Un perfil bloqueado tiene las restricciones siguientes:
• No puede editarlo.
• No puede habilitarlo o inhabilitarlo. Debe proporcionar el almacén de claves y desbloquear el perfil
para poder cambiarlo.
• No puede suprimirlo, incluso después de haberlo desbloqueado.
• Si se utiliza un almacén de claves con un perfil bloqueado, el resto de perfiles que utilizan el
almacén de claves se bloquea automáticamente.
La tabla siguiente muestra ejemplos de perfiles bloqueados o desbloqueados:
Tabla 38. Ejemplos de perfil bloqueado
Escenario
Resultado
El perfil A está bloqueado. Se creó mediante el almacén de
claves A.
El perfil B queda automáticamente
bloqueado.
El perfil B también se creó mediante el almacén de claves A.
El perfil A se ha creado y habilitado.
El perfil A queda automáticamente
bloqueado.
El perfil A, el perfil B y el perfil C están actualmente
bloqueados. Todos se crearon mediante el almacén de
claves A.
El perfil A, el perfil B y el perfil C
quedan todos desbloqueados.
El perfil B está seleccionado y se pulsa Bloquear/
desbloquear.
Expresiones de ofuscación de datos
Las expresiones de ofuscación de datos identifican los datos a ocultar. Puede crear expresiones de
ofuscación de datos basadas en propiedades basadas en campo o utilizar expresiones regulares.
166 IBM Security QRadar: Guía de administración de QRadar
Propiedades basadas en campo
Utilice una propiedad basada en campo para ocultar nombres de usuario, nombres de grupo y nombres
de NetBIOS. Las expresiones que utilizan propiedades basadas en campo ofuscan todas las instancias de
la serie de datos. Los datos se ocultan independientemente de su origen de datos, el tipo de origen de
registro, el nombre de suceso o la categoría de suceso.
Si el mismo valor de datos está presente en más de uno de los campos, los datos se ofuscan en todos los
campos que los contienen, incluso si ha configurado el perfil para ofuscar solo uno de los cuatro campos.
Por ejemplo, si tiene un host denominado IBMHost y un grupo denominado IBMHost, el valor IBMHost
se oculta tanto en el campo de nombre de host como en el campo de nombre de grupo aunque el perfil de
ofuscación de datos esté configurado para ocultar sólo nombres de host.
Expresiones regulares
Utilice una expresión regular para ocultar una serie de datos de la carga útil. Los datos sólo se ocultan si
coinciden con el origen de registro, el tipo de origen de registro, el nombre de suceso o la categoría
definidos en la expresión.
Puede utilizar categorías de alto y de bajo nivel para crear una expresión regular que se más específica
que una propiedad basada en campo. Por ejemplo, puede utilizar los patrones de regex siguientes para
analizar nombres de usuario:
Tabla 39. Análisis de nombre de usuario de expresión regular
Ejemplo de patrones de expresión regular
Coincide con
usrName=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z])*@([0-9
a-zA-Z][-\w]*[0-9a-zA-Z]\.)+[a-zA-Z]{2,20})$
john_smith@EXAMPLE.com,
jon@example.com,jon@us.ex
ample.com
usrName=(^([\w]+[^\W])([^\W]\.?)([\w]+[^\W]$))
john.smith, John.Smith,
john, jon_smith
usrName=^([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\S]$|^([a
-zA-Z])[0-9_-]*[\S]$|^[a-zA-Z]*[\S]$
johnsmith, Johnsmith123,
john_smith123,
john123_smith, john-smith
usrName=(/S+)
Coincide con cualquier carácter
que no sea un espacio en blanco
después del signo igual, =. Esta
expresión regular no es específica
y puede generar problemas de
rendimiento del sistema.
msg=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z]))*@\b(([01]
?\d?\d|2[0-4]\d|25[0-5])\.){3}([01]?\d?\d|2[0-4
]\d|25[0-5])\b
Coincide con los usuarios que
tienen dirección IP. Por ejemplo,
john.smith@192.0.2.0
src=\b(([01]?\d?\d|2[0-4]\d|25[0-5])\.){3}([01]
?\d?\d|2[0-4]\d|25[0-5])\b
Coincide con los formatos de
dirección IP.
host=^(([a-zA-Z0-9]|[a-zA-Z0-9][a-zA-Z0-9\-]*[a
-zA-Z0-9])\.)*([A-Za-z0-9]|[A-Za-z0-9][A-Za-z09\-]*[A-Za-z0-9])$
hostname.example.com,
hostname.co.uk
Capítulo 19. Protección de datos confidenciales 167
Escenario: Ocultación de nombres de usuario
El usuario es administrador de IBM QRadar. Su organización tiene un acuerdo con el sindicato de
trabajadores que estipula que toda la información identificable del personal debe quedar oculta a los
usuarios de QRadar. El usuario desea configurar QRadar para que oculte todos los nombres de usuario.
Utilice la función Gestión de ofuscación de datos de la pestaña Admin para configurar QRadar a fin de
ocultar los datos:
1. Cree un perfil de ofuscación de datos y descargue la clave privada generada por el sistema. Guarde la
clave en una ubicación segura.
2. Cree las expresiones de ofuscación de datos destinadas a los datos que desea ocultar.
3. Habilite el perfil de modo que el sistema empiece a ofuscar los datos.
4. Para leer los datos en QRadar, cargue la clave privada para desofuscar los datos.
Creación de un perfil de ofuscación de datos
IBM QRadar utiliza los perfiles de ofuscación de datos para determinar qué datos se enmascaran y para
asegurarse de que se utiliza el almacén de datos correcto para desenmascarar los datos.
Acerca de esta tarea
Puede crear un perfil que cree un almacén de claves o puede utilizar un almacén de claves existente. Si
crea un almacén de claves, debe descargarlo y almacenarlo en una ubicación segura. Elimine el almacén
de claves del sistema local y almacénelo en una ubicación a la que solo puedan acceder los usuarios
autorizados para ver los datos desenmascarados.
La configuración de perfiles que utilizan diferentes almacenes de claves diferentes es útil cuando desea
limitar el acceso a los datos a diferentes grupos de usuarios. Por ejemplo, cree dos perfiles que utilicen
diferentes almacenes de claves cuando desee que un grupo de usuarios vea nombres de usuario y que
otro grupo de usuarios vea nombres de host.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, pulse Gestión de ofuscación de datos.
3. Para crear un perfil nuevo, pulse Añadir y teclee un nombre exclusivo y una descripción para el perfil.
4. Para crear un almacén de claves para el perfil, siga estos pasos:
a) Pulse Almacén de claves generado por el sistema.
b) En el cuadro de lista Proveedor, seleccione IBMJCE.
c) En el cuadro de lista Algoritmo, seleccione JCE y seleccione si desea generar claves de cifrado de
512 bit o 1024 bits.
En el cuadro Nombre común de certificado de almacén de claves, el nombre de dominio
totalmente calificado para el servidor QRadar se llena automáticamente.
d) En el cuadro Contraseña de almacén de claves, especifique la contraseña del almacén de claves.
La contraseña de almacén de claves es necesaria para proteger la integridad de éste. La contraseña
debe tener 8 caracteres de longitud como mínimo.
e) En Verificar contraseña de almacén de claves, vuelva a teclear la contraseña.
5. Para utilizar un almacén de claves existente con el perfil, siga estos pasos:
a) Pulse Almacén de claves de carga.
b) Pulse Examinar y seleccione el archivo de almacén de claves.
c) En el cuadro Contraseña de almacén de claves, teclee la contraseña para el almacén de claves.
6. Pulse Enviar.
168 IBM Security QRadar: Guía de administración de QRadar
7. Descargue el almacén de claves.
Elimine el almacén de claves del sistema y almacénelo en una ubicación segura.
Qué hacer a continuación
Cree las expresiones de ofuscación de datos destinadas a los datos que desea enmascarar.
Creación de expresiones de ofuscación de datos
El perfil de ofuscación de datos utiliza expresiones para especificar los datos que deben ocultarse a los
usuarios de IBM QRadar. Las expresiones pueden utilizar propiedades basadas en campo o expresiones
regulares.
Acerca de esta tarea
Una vez creada una expresión, no puede cambiar el tipo. Por ejemplo, no puede crear una expresión
basada en propiedad y cambiarla posteriormente por una expresión regular.
No puede ocultar un campo numérico normalizado como por ejemplo un número de puerto o una
dirección IP.
Varias expresiones que ocultan los mismos datos hacen que los datos se oculten dos veces. Para
descifrar datos que se han ocultado varias veces, cada almacén de claves que se utiliza en el proceso de
ofuscación se debe aplicar por el orden en el que se ha producido la ofuscación.
Procedimiento
1. En el menú de navegación (
), pulse Admin.
2. En la sección Orígenes de datos, pulse Gestión de ofuscación de datos.
3. Pulse el perfil que desea configurar y pulse Ver contenido.
No puede configurar perfiles que estén bloqueados.
4. Para crear una expresión de ofuscación de datos nueva, pulse Añadir y teclee un nombre exclusivo y
una descripción para el perfil.
5. Marque el recuadro de selección Habilitado para habilitar el perfil.
6. Opcional: Para aplicar la expresión de ofuscación a dominios o arrendatarios específicos,
selecciónelos en el campo Dominio. O seleccione Todos los dominios para aplicar la expresión de
ofuscación a todos los dominios y arrendatarios.
7. Para crear una expresión basada en campo, pulse Basado en campo y seleccione el tipo a ofuscar.
8. Para crear una expresión regular, pulse RegEx y configure las propiedades de regex.
9. Pulse Guardar.
Desofuscación de datos para que se puedan ver en la consola
Cuando la ofuscación de datos está configurada en un sistema de IBM QRadar, se muestra la versión
enmascarada de los datos en toda la aplicación. Debe tener tanto el almacén de claves como la
contraseña correspondientes para desofuscar los datos de modo que puedan verse.
Antes de empezar
Debe ser administrador y tener la clave privada y la contraseña de la clave para poder desenmascarar los
datos. La clave privada debe estar en el sistema local.
Acerca de esta tarea
Para poder ver los datos ofuscados, debe cargar la clave privada. Una vez cargada la clave, permanece
disponible en el sistema durante la sesión actual. La sesión finaliza cuando el usuario concluye QRadar,
cuando se borra la memoria caché en la QRadar Console o cuando hay un periodo de inactividad
Capítulo 19. Protección de datos confidenciales 169
prolongado. Cuando la sesión finaliza, las claves privadas cargadas en la sesión anterior ya no son
visibles.
QRadar puede utilizar las claves disponibles en la sesión actual para desofuscar los datos
automáticamente. Con la desofuscación automática habilitada, no tiene que seleccionar repetidamente la
clave privada en la ventana Clave de sesión de ofuscación cada vez que desea ver los datos. La
desofuscación automática está inhabilitada automáticamente cuando termina la sesión actual.
Procedimiento
1. En la página Detalles del suceso, busque los datos que desea desofuscar.
2. Para desofuscar datos basados en identidad:
a) Pulse el icono del candado situado junto a los datos que desea desofuscar.
b) En la sección Clave de carga, pulse Seleccionar archivo y seleccione el almacén de claves a
cargar.
c) En el recuadro Contraseña, teclee la contraseña que coincide con el almacén de claves.
d) Pulse Cargar.
La ventana Desofuscación muestra la carga útil de suceso, los nombres de perfil asociados con el
almacén de claves, el texto ofuscado y el texto desofuscado.
e) Opcional: Pulse Conmutar desofuscación automática para habilitar la desofuscación automática.
Después de conmutar el valor de desofuscación automática, debe renovar la ventana del
navegador y volver a cargar la página de detalles de suceso para que los cambios aparezcan.
3. Para desofuscar datos de carga útil no basados en la identidad:
a) En la barra de herramientas de la página Detalles del suceso, pulse Ofuscación > Claves de
desofuscación.
b) En la sección Clave de carga, pulse Seleccionar archivo y seleccione la clave privada a cargar.
c) En el recuadro Contraseña, teclee la contraseña que coincide con la clave privada y pulse Cargar.
d) En el recuadro Información de carga útil, seleccione y copie el texto ofuscado en el portapapeles.
e) En la barra de herramientas de la página Detalles del suceso, pulse Ofuscación > Desofuscación.
f) Pegue el texto ofuscado en el cuadro de diálogo.
g) Seleccione el perfil de ofuscación en la lista desplegable y pulse Desofuscar.
170 IBM Security QRadar: Guía de administración de QRadar
Capítulo 20. Categorías de sucesos
Las categorías de sucesos se utilizan para agrupar los sucesos de entrada para que IBM QRadar los
procese. En las categorías de sucesos se pueden realizar búsquedas; estas categorías le ayudan a
supervisar la red.
Los sucesos que se producen en la red se agregan a categorías de nivel alto y bajo. Cada categoría de
nivel alto contiene categorías de nivel bajo y un nivel de gravedad y un número de ID asociados.
Puede revisar los niveles de gravedad que están asignados a los sucesos y ajustarlos para que se adapten
a las necesidades de su política corporativa.
Puede ejecutar una consulta AQL mediante IDs de categoría de suceso de nivel alto y de nivel bajo. Los
IDs de categoría de los nombres de categoría asociados se pueden recuperar de las tablas de categoría
de sucesos.
Por ejemplo, si está desarrollando aplicaciones en QRadar, puede ejecutar una búsqueda de AQL similar a
la consulta siguiente desde la línea de mandatos para recopilar datos de Ariel:
select qidname(qid) as 'Event', username as 'Username', devicetime as 'Time'
from events where '<ID de categoría de nivel alto>' and '<ID de categoría de
nivel bajo>' and LOGSOURCENAME(logsourceid) like "%Nombre de categoría de nivel
bajo%" last 3 days
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Categorías de sucesos de nivel alto
Los sucesos de los orígenes de registro de IBM QRadar se agrupan en categorías de nivel alto. Cada
suceso se asigna a una categoría de nivel alto determinada.
La categorización de los sucesos entrantes hace que las búsquedas en los datos sean más fáciles de
hacer.
En la tabla siguiente se describen las categorías de sucesos de nivel alto.
Tabla 40. Categorías de sucesos de nivel alto
Categoría
ID de categoría
Descripción
“Reconocimiento” en la
página 173
1000
Sucesos que están relacionados con la exploración y
otras técnicas que se utilizan para identificar los
recursos de la red; por ejemplo, exploraciones de
puertos de host o de red.
“Denegación de servicio”
en la página 174
2000
Sucesos que están relacionados con los ataques de
denegación de servicio (DoS) o de denegación de
servicio distribuido (DDoS) contra servicios o hosts;
por ejemplo, ataques de denegación de servicio de
red por la fuerza.
“Autenticación” en la
página 179
3000
Sucesos que están relacionados con los controles de
autenticación, grupo o cambio de privilegios; por
ejemplo, inicio o cierre de sesión.
“Acceso” en la página 189 4000
© Copyright IBM Corp. 2012, 2019
Sucesos que son consecuencia de un intento de
acceder a los recursos de la red; por ejemplo,
aceptación o denegación de cortafuegos.
171
Tabla 40. Categorías de sucesos de nivel alto (continuación)
Categoría
ID de categoría
Descripción
“Explotación” en la página 5000
192
Sucesos que están relacionados con explotaciones
de aplicación e intentos de desbordamiento de
almacenamiento intermedio; por ejemplo,
desbordamiento de almacenamiento intermedio o
explotaciones de aplicación web.
“Programa malicioso” en
la página 195
6000
Sucesos que están relacionados con virus, troyanos,
puertas traseras y otras formas de software hostil.
Los sucesos de programas maliciosos pueden incluir
un virus, un troyano, software malicioso o spyware.
“Actividad sospechosa” en 7000
la página 196
La naturaleza de la amenaza es desconocida pero el
comportamiento es sospechoso. La amenaza puede
incluir anomalías de protocolo que potencialmente
indican técnicas evasivas; por ejemplo, las técnicas
de evasión de IDS (sistema de detección de
intrusiones) conocidas o la fragmentación de
paquetes.
“Sistema” en la página
201
8000
Sucesos que están relacionados con los cambios del
sistema, la instalación de software o los mensajes de
estado.
“Política” en la página 208 9000
Sucesos relativos al uso indebido o las violaciones de
políticas corporativas.
“Desconocido” en la
página 209
10000
Sucesos que están relacionados con actividad
desconocida en el sistema.
“CRE” en la página 210
12000
Sucesos que se generan a partir de una regla de
infracción o de suceso.
“Explotación potencial” en 13000
la página 211
Sucesos relacionados con explotaciones potenciales
de aplicación e intentos de desbordamiento de
almacenamiento intermedio.
Flujo
14000
Sucesos que están relacionados con acciones de
flujo.
“Definido por el usuario”
en la página 214
15000
Sucesos que están relacionados con objetos
definidos por el usuario.
“Auditoría de SIM” en la
página 217
16000
Sucesos que están relacionados con la interacción
del usuario con la consola y las funciones
administrativas.
“Descubrimiento de host
de VIS” en la página 218
17000
Sucesos que están relacionados con el host, los
puertos o las vulnerabilidades que el componente
VIS descubre.
“Aplicación” en la página
219
18000
Sucesos que están relacionados con la actividad de
las aplicaciones.
“Auditoría” en la página
250
19000
Sucesos que están relacionados con la actividad de
auditoría.
“Control” en la página 254 22000
Sucesos que están relacionados con el sistema de
hardware.
172 IBM Security QRadar: Guía de administración de QRadar
Tabla 40. Categorías de sucesos de nivel alto (continuación)
Categoría
ID de categoría
Descripción
“Perfilador de activos” en
la página 257
23000
Sucesos que están relacionados con los perfiles de
activo.
Percepción
24000
Sucesos que están relacionados con UBA.
Reconocimiento
La categoría Reconocimiento contiene sucesos que están relacionados con la exploración y otras técnicas
que se utilizan para identificar los recursos de la red.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Reconocimiento.
Tabla 41. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos
Reconocimiento
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Formulario de
reconocimiento
desconocido
1001
Un formulario
desconocido de
reconocimiento.
2
Consulta de aplicación
1002
Reconocimiento para las 3
aplicaciones del
sistema.
Consulta de host
1003
Reconocimiento para un 3
host de la red.
Barrido de red
1004
Reconocimiento en la
red.
4
Reconocimiento de
correo
1005
Reconocimiento en el
sistema de correo.
3
Reconocimiento de
Windows
1006
Reconocimiento para el
sistema operativo
Windows.
3
Solicitud de correlación
de puertos / RPC
1007
Reconocimiento en la
solicitud de correlación
de puertos o RPC.
3
Exploración de puertos
de host
1008
Indica que se ha llevado 4
a cabo una exploración
en los puertos de host.
Vuelco de RPC
1009
Indica que la
información de RPC
(llamada a
procedimiento remoto)
se ha eliminado.
3
Reconocimiento de DNS
1010
Reconocimiento en el
servidor DNS.
3
Suceso de
reconocimiento diverso
1011
Suceso de
reconocimiento diverso.
2
Capítulo 20. Categorías de sucesos 173
Tabla 41. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos
Reconocimiento (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Reconocimiento de web
1012
Reconocimiento de web
en la red.
3
Reconocimiento de base 1013
de datos
Reconocimiento de base 3
de datos en la red.
Reconocimiento de
ICMP
1014
Reconocimiento del
tráfico ICMP.
3
Reconocimiento de UDP
1015
Reconocimiento del
tráfico UDP.
3
Reconocimiento de
SNMP
1016
Reconocimiento del
tráfico SNMP.
3
Consulta de host de
ICMP
1017
Indica una consulta de
host de ICMP.
3
Consulta de host de UDP 1018
Indica una consulta de
host de UDP.
3
Reconocimiento de
NMAP
1019
Indica el reconocimiento 3
de NMAP.
Reconocimiento de TCP
1020
Indica el reconocimiento 3
de TCP en la red.
Reconocimiento de
UNIX
1021
Reconocimiento en la
red UNIX.
Reconocimiento de FTP
1022
Indica el reconocimiento 3
de FTP.
3
Denegación de servicio
La categoría de denegación de servicio contiene sucesos que están relacionados con los ataques de
denegación de servicio (DoS) contra servicios o hosts.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de ataque de denegación de servicio.
Tabla 42. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
ataque de denegación de servicio
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Ataque desconocido de
denegación de servicio
2001
Indica un ataque de
denegación de servicio
desconocido.
8
Ataque de denegación
de servicio de ICMP
2002
Indica un ataque de
denegación de servicio
de ICMP.
9
174 IBM Security QRadar: Guía de administración de QRadar
Tabla 42. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
ataque de denegación de servicio (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Ataque de denegación
de servicio de TCP
2003
Indica un ataque de
denegación de servicio
de TCP.
9
Ataque de denegación
de servicio de UDP
2004
Indica un ataque de
denegación de servicio
de UDP.
9
Ataque de denegación
de servicio de DNS
2005
Indica un ataque de
denegación de servicio
de DNS.
8
Ataque de denegación
de servicio web
2006
Indica un ataque de
denegación de servicio
de un servicio web.
8
Ataque de denegación
de servicio de correo
2007
Indica un ataque de
denegación de servicio
del servidor de correo.
8
Ataque de denegación
de servicio distribuido
2008
Indica un ataque de
denegación de servicio
distribuido.
9
Ataque de denegación
de servicio diverso
2009
Indica un ataque de
denegación de servicio
diverso.
8
Ataque de denegación
de servicio de UNIX
2010
Indica un ataque de
denegación de servicio
de UNIX.
8
Ataque de denegación
de servicio de Windows
2011
Indica un ataque de
denegación de servicio
de Windows.
8
Ataque de denegación
de servicio de base de
datos
2012
Indica un ataque de
denegación de servicio
de base de datos.
8
Ataque de denegación
de servicio de FTP
2013
Indica un ataque de
denegación de servicio
de FTP.
8
Ataque de denegación
de servicio de
infraestructura
2014
Indica un ataque de
denegación de servicio
en la infraestructura.
8
Ataque de denegación
de servicio de Telnet
2015
Indica un ataque de
denegación de servicio
de Telnet.
8
Inicio de sesión por la
fuerza
2016
Indica el acceso al
8
sistema mediante
métodos no autorizados.
Capítulo 20. Categorías de sucesos 175
Tabla 42. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
ataque de denegación de servicio (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Ataque de denegación
de servicio de TCP de
velocidad alta
2017
Indica un ataque de
denegación de servicio
de TCP de velocidad
alta.
8
Ataque de denegación
de servicio de UDP de
velocidad alta
2018
Indica un ataque de
denegación de servicio
de UDP de velocidad
alta.
8
Ataque de denegación
de servicio de ICMP de
velocidad alta
2019
Indica un ataque de
denegación de servicio
de ICMP de velocidad
alta.
8
Ataque de denegación
de servicio de velocidad
alta
2020
Indica un ataque de
denegación de servicio
de velocidad alta.
8
Ataque de denegación
de servicio de TCP de
velocidad media
2021
Indica un ataque de TCP 8
de velocidad media.
Ataque de denegación
de servicio de UDP de
velocidad media
2022
Indica un ataque de UDP 8
de velocidad media.
Ataque de denegación
de servicio de ICMP de
velocidad media
2023
Indica un ataque de
ICMP de velocidad
media.
8
Ataque de denegación
de servicio de velocidad
media
2024
Indica un ataque de
denegación de servicio
de velocidad media.
8
Ataque de denegación
de servicio de TCP de
velocidad baja
2025
Indica un ataque de
denegación de servicio
de TCP de velocidad
baja.
8
Ataque de denegación
de servicio de UDP de
velocidad baja
2026
Indica un ataque de
denegación de servicio
de UDP de velocidad
baja.
8
Ataque de denegación
de servicio de ICMP de
velocidad baja
2027
Indica un ataque de
denegación de servicio
de ICMP de velocidad
baja.
8
Ataque de denegación
de servicio de velocidad
baja
2028
Indica un ataque de
denegación de servicio
de velocidad baja.
8
176 IBM Security QRadar: Guía de administración de QRadar
Tabla 42. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
ataque de denegación de servicio (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Ataque de denegación
de servicio de TCP de
velocidad alta
distribuido
2029
Indica un ataque de
8
denegación de servicio
de TCP de velocidad alta
distribuido.
Ataque de denegación
de servicio de UDP de
velocidad alta
distribuido
2030
Indica un ataque de
denegación de servicio
de UDP de velocidad
alta distribuido.
8
Ataque de denegación
de servicio de ICMP de
velocidad alta
distribuido
2031
Indica un ataque de
denegación de servicio
de ICMP de velocidad
alta distribuido.
8
Ataque de denegación
de servicio de velocidad
alta distribuido
2032
Indica un ataque de
denegación de servicio
de velocidad alta
distribuido.
8
Ataque de denegación
de servicio de TCP de
velocidad media
distribuido
2033
Indica un ataque de
denegación de servicio
de TCP de velocidad
media distribuido.
8
Ataque de denegación
de servicio de UDP de
velocidad media
distribuido
2034
Indica un ataque de
denegación de servicio
de UDP de velocidad
media distribuido.
8
Ataque de denegación
de servicio de ICMP de
velocidad media
distribuido
2035
Indica un ataque de
denegación de servicio
de ICMP de velocidad
media distribuido.
8
Ataque de denegación
de servicio de velocidad
media distribuido
2036
Indica un ataque de
denegación de servicio
de velocidad media
distribuido.
8
Ataque de denegación
de servicio de TCP de
velocidad baja
distribuido
2037
Indica un ataque de
denegación de servicio
de TCP de velocidad
baja distribuido.
8
Ataque de denegación
de servicio de UDP de
velocidad baja
distribuido
2038
Indica un ataque de
denegación de servicio
de UDP de velocidad
baja distribuido.
8
Ataque de denegación
de servicio de ICMP de
velocidad baja
distribuido
2039
Indica un ataque de
denegación de servicio
de ICMP de velocidad
baja distribuido.
8
Capítulo 20. Categorías de sucesos 177
Tabla 42. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
ataque de denegación de servicio (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Ataque de denegación
de servicio de velocidad
baja distribuido
2040
Indica un ataque de
denegación de servicio
de velocidad baja
distribuido.
8
Exploración de TCP de
velocidad alta
2041
Indica una exploración
de TCP de velocidad
alta.
8
Exploración de UDP de
velocidad alta
2042
Indica una exploración
de UDP de velocidad
alta.
8
Exploración de ICMP de
velocidad alta
2043
Indica una exploración
de ICMP de velocidad
alta.
8
Exploración de
velocidad alta
2044
Indica una exploración
de velocidad alta.
8
Exploración de TCP de
velocidad media
2045
Indica una exploración
de TCP de velocidad
media.
8
Exploración de UDP de
velocidad media
2046
Indica una exploración
de UDP de velocidad
media.
8
Exploración de ICMP de
velocidad media
2047
Indica una exploración
de ICMP de velocidad
media.
8
Exploración de
velocidad media
2048
Indica una exploración
de velocidad media.
8
Exploración de TCP de
velocidad baja
2049
Indica una exploración
de TCP de velocidad
baja.
8
Exploración de UDP de
velocidad baja
2050
Indica una exploración
de UDP de velocidad
baja.
8
Exploración de ICMP de
velocidad baja
2051
Indica una exploración
de ICMP de velocidad
baja.
8
Exploración de
velocidad baja
2052
Indica una exploración
de velocidad baja.
8
Ataque de denegación
de servicio de VoIP
2053
Indica un ataque de
denegación de servicio
de VoIP.
8
Inundación
2054
Indica un ataque de
inundación.
8
178 IBM Security QRadar: Guía de administración de QRadar
Tabla 42. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
ataque de denegación de servicio (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Inundación de TCP
2055
Indica un ataque de
inundación de TCP.
8
Inundación de UDP
2056
Indica un ataque de
inundación de UDP.
8
Inundación de ICMP
2057
Indica un ataque de
inundación de ICMP.
8
Inundación de SYN
2058
Indica un ataque de
inundación de SYN.
8
Inundación de URG
2059
Indica un ataque de
inundación con el
distintivo de urgente
(URG) activado.
8
Inundación de SYN URG
2060
Indica un ataque de
inundación SYN con el
distintivo de urgente
(URG) activado.
8
Inundación de SYN FIN
2061
Indica un ataque de
inundación de SYN FIN.
8
Inundación de SYN ACK
2062
Indica un ataque de
inundación de SYN ACK.
8
Autenticación
La categoría de autenticación contiene sucesos que están relacionados con la autenticación, las sesiones
y los controles de acceso que supervisan a los usuarios de la red.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de autenticación.
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Autenticación
desconocida
3001
Indica que la
autenticación es
desconocida.
1
Inicio de sesión de host
satisfactorio
3002
Indica un inicio de
sesión de host
satisfactorio.
1
Inicio de sesión de host
fallido
3003
Indica que el inicio de
sesión de host ha
fallado.
3
Capítulo 20. Categorías de sucesos 179
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Inicio de sesión diverso
satisfactorio
3004
Indica que la secuencia
de inicio de sesión ha
sido satisfactoria.
1
Inicio de sesión diverso
fallido
3005
Indica que la secuencia
de inicio de sesión ha
fallado.
3
Escalamiento de
privilegios fallido
3006
Indica que el
escalamiento de
privilegios ha fallado.
3
Escalamiento de
privilegios satisfactorio
3007
Indica que el
escalamiento de
privilegios ha sido
satisfactorio.
1
Inicio de sesión de
servicio de correo
satisfactorio
3008
Indica que el inicio de
sesión en el servicio de
correo ha sido
satisfactorio.
1
Inicio de sesión de
3009
servicio de correo fallido
Indica que el inicio de
sesión en el servicio de
correo ha fallado.
3
Inicio de sesión de
servidor de
autenticación fallido
3010
Indica que el inicio de
3
sesión en el servidor de
autenticación ha fallado.
Inicio de sesión de
servidor de
autenticación
satisfactorio
3011
Indica que el inicio de
sesión en el servidor de
autenticación ha sido
satisfactorio.
1
Inicio de sesión de
servicio web
satisfactorio
3012
Indica que el inicio de
sesión del servicio web
ha sido satisfactorio.
1
Inicio de sesión de
servicio web fallido
3013
Indica que el inicio de
sesión del servicio web
ha fallado.
3
Inicio de sesión de
administrador
satisfactorio
3014
Indica que un inicio de
1
sesión administrativa ha
sido satisfactorio.
Anomalía de inicio de
sesión de administrador
3015
Indica que el inicio de
3
sesión administrativa ha
fallado.
Nombre de usuario
sospechoso
3016
Indica que un usuario ha 4
intentado acceder a la
red utilizando un
nombre de usuario
incorrecto.
180 IBM Security QRadar: Guía de administración de QRadar
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Inicio de sesión con
nombre de usuario/
contraseña
predeterminados
satisfactorio
3017
Indica que un usuario ha 4
accedido a la red
utilizando el nombre de
usuario y la contraseña
predeterminados.
Inicio de sesión con
nombre de usuario/
contraseña
predeterminados fallido
3018
Indica que un usuario no 4
ha podido acceder a la
red utilizando el nombre
de usuario y la
contraseña
predeterminados.
Inicio de sesión de FTP
satisfactorio
3019
Indica que un inicio de
sesión de FTP ha sido
satisfactorio.
1
Inicio de sesión de FTP
fallido
3020
Indica que el inicio de
sesión de FTP ha
fallado.
3
Inicio de sesión de SSH
satisfactorio
3021
Indica que un inicio de
sesión de SSH ha sido
satisfactorio.
1
Inicio de sesión de SSH
fallido
3022
Indica que el inicio de
sesión de SSH ha
fallado.
2
Derecho de usuario
asignado
3023
Indica que el acceso del 1
usuario a los recursos de
red se ha otorgado
satisfactoriamente.
Derecho de usuario
eliminado
3024
Indica que el acceso del 1
usuario a los recursos de
red se ha eliminado
satisfactoriamente.
Dominio de confianza
añadido
3025
Indica que un dominio
de confianza se ha
añadido
satisfactoriamente al
despliegue.
1
Dominio de confianza
eliminado
3026
Indica que un dominio
de confianza se ha
eliminado del
despliegue.
1
Acceso de seguridad del 3027
sistema otorgado
Nivel de gravedad (0 –
10)
Indica que el acceso de 1
seguridad del sistema se
ha otorgado
satisfactoriamente.
Capítulo 20. Categorías de sucesos 181
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Acceso de seguridad del 3028
sistema eliminado
Indica que el acceso de 1
seguridad del sistema se
ha eliminado
satisfactoriamente.
Política añadida
3029
Indica que una política
se ha añadido
satisfactoriamente.
1
Cambio de política
3030
Indica que una política
se ha cambiado
satisfactoriamente.
1
Cuenta de usuario
añadida
3031
Indica que una cuenta
de usuario se ha
añadido
satisfactoriamente.
1
Cuenta de usuario
cambiada
3032
Indica que se ha
aplicado un cambio a
una cuenta de usuario
existente.
1
Cambio de contraseña
fallido
3033
Indica que un intento de 3
cambiar una contraseña
existente ha fallado.
Cambio de contraseña
satisfactorio
3034
Indica que un cambio de 1
contraseña ha sido
satisfactorio.
Cuenta de usuario
eliminada
3035
Indica que una cuenta
de usuario se ha
eliminado
satisfactoriamente.
1
Miembro de grupo
añadido
3036
Indica que un miembro
de grupo se ha añadido
satisfactoriamente.
1
Miembro de grupo
eliminado
3037
Indica que un miembro
de grupo se ha
eliminado.
1
Grupo añadido
3038
Indica que un grupo se
ha añadido
satisfactoriamente.
1
Grupo cambiado
3039
Indica que se ha
1
aplicado un cambio a un
grupo existente.
Grupo eliminado
3040
Indica que un grupo se
ha eliminado.
182 IBM Security QRadar: Guía de administración de QRadar
1
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Cuenta de sistema
añadida
3041
Indica que una cuenta
de sistema se ha
añadido
satisfactoriamente.
1
Cuenta de sistema
cambiada
3042
Indica que se ha
aplicado un cambio a
una cuenta de sistema
existente.
1
Cuenta de sistema
eliminada
3043
Indica que una cuenta
de sistema se ha
eliminado
satisfactoriamente.
1
Inicio de sesión de
acceso remoto
satisfactorio
3044
Indica que el acceso a la 1
red utilizando un inicio
de sesión remoto ha
sido satisfactorio.
Inicio de sesión de
acceso remoto fallido
3045
Indica que un intento de 3
acceder a la red
utilizando un inicio de
sesión remoto ha
fallado.
Autenticación general
satisfactoria
3046
Indica que el proceso de 1
autenticación ha sido
satisfactorio.
Autenticación general
fallida
3047
Indica que el proceso de 3
autenticación ha fallado.
Inicio de sesión de
Telnet satisfactorio
3048
Indica que el inicio de
sesión de telnet ha sido
satisfactorio.
1
Inicio de sesión de
Telnet fallido
3049
Indica que el inicio de
sesión de telnet ha
fallado.
3
Contraseña sospechosa
3050
Indica que un usuario ha 4
intentado iniciar sesión
utilizando una
contraseña sospechosa.
Inicio de sesión de
Samba satisfactorio
3051
Indica que un usuario ha 1
iniciado la sesión
satisfactoriamente
utilizando Samba.
Inicio de sesión de
Samba fallido
3052
Indica que un usuario no 3
ha podido iniciar la
sesión utilizando Samba.
Capítulo 20. Categorías de sucesos 183
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Sesión de servidor de
autenticación abierta
3053
Indica que se ha iniciado 1
una sesión de
comunicación con el
servidor de
autenticación.
Sesión de servidor de
autenticación cerrada
3054
Indica que se ha cerrado 1
una sesión de
comunicación con el
servidor de
autenticación.
Sesión de cortafuegos
cerrada
3055
Indica que una sesión
de cortafuegos se ha
cerrado.
1
Cierre de sesión de host
3056
Indica que un host ha
cerrado la sesión
satisfactoriamente.
1
Cierre de sesión diverso
3057
Indica que un usuario ha 1
cerrado la sesión
satisfactoriamente.
Cierre de sesión de
servidor de
autenticación
3058
Indica que el proceso
para cerrar la sesión del
servidor de
autenticación ha sido
satisfactorio.
1
Cierre de sesión de
servicio web
3059
Indica que el proceso
para cerrar la sesión del
servicio web ha sido
satisfactorio.
1
Cierre de sesión de
administrador
3060
Indica que el usuario
administrativo ha
cerrado la sesión
satisfactoriamente.
1
Cierre de sesión de FTP
3061
Indica que el proceso
para cerrar la sesión del
servicio FTP ha sido
satisfactorio.
1
Cierre de sesión de SSH
3062
Indica que el proceso
para cerrar la sesión de
SSH ha sido
satisfactorio.
1
Cierre de sesión de
acceso remoto
3063
Indica que el proceso
para cerrar la sesión
mediante el acceso
remoto ha sido
satisfactorio.
1
184 IBM Security QRadar: Guía de administración de QRadar
Nivel de gravedad (0 –
10)
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Cierre de sesión de
Telnet
3064
Indica que el proceso
para cerrar la sesión de
Telnet ha sido
satisfactorio.
1
Cierre de sesión de
Samba
3065
Indica que el proceso
para cerrar la sesión de
Samba ha sido
satisfactorio.
1
Sesión de SSH iniciada
3066
Indica que la sesión de
conexión de SSH se ha
iniciado en un host.
1
Sesión de SSH finalizada 3067
Indica que una sesión
de conexión de SSH en
un host ha terminado.
1
Sesión de Admin
iniciada
3068
Indica que un usuario
administrativo o
privilegiado ha iniciado
una sesión de conexión
en un host.
1
Sesión de Admin
finalizada
3069
Indica que la sesión de
conexión de un usuario
administrativo o
privilegiado en un host
ha terminado.
1
Inicio de sesión de VoIP
satisfactorio
3070
Indica un inicio de
sesión de VoIP
satisfactorio.
1
Inicio de sesión de VoIP
fallido
3071
Indica un intento no
satisfactorio de acceder
al servicio de VoIP.
1
Finalización de sesión
de VoIP
3072
Indica el cierre de la
sesión de un usuario.
1
Sesión de VoIP iniciada
3073
Indica el comienzo de
una sesión de VoIP.
1
Sesión de VoIP
terminada
3074
Indica el final de una
sesión de VoIP.
1
Inicio de sesión de base
de datos satisfactorio
3075
Indica un inicio de
sesión de base de datos
satisfactorio.
1
Inicio de sesión de base
de datos fallido
3076
Indica que un intento de 3
inicio de sesión de base
de datos ha fallado.
Capítulo 20. Categorías de sucesos 185
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Autenticación de IKE
fallida
3077
Indica que se ha
3
detectado una
autenticación de IKE
(Internet Key Exchange)
fallida.
Autenticación de IKE
satisfactoria
3078
Indica que se ha
detectado una
autenticación de IKE
satisfactoria.
1
Sesión de IKE iniciada
3079
Indica que se ha abierto
una sesión de IKE.
1
Sesión de IKE finalizada
3080
Indica que ha finalizado
una sesión de IKE.
1
Error de IKE
3081
Indica que hay un
1
mensaje de error de IKE.
Estado de IKE
3082
Indica que hay un
mensaje de estado de
IKE.
1
Sesión de RADIUS
iniciada
3083
Indica que se ha abierto
una sesión de RADIUS.
1
Sesión de RADIUS
finalizada
3084
Indica que ha finalizado
una sesión de RADIUS.
1
Sesión de RADIUS
denegada
3085
Indica que se ha
1
denegado una sesión de
RADIUS.
Estado de sesión de
RADIUS
3086
Indica que hay un
1
mensaje de estado de la
sesión de RADIUS.
Autenticación de
RADIUS fallida
3087
Indica un error de
autenticación de
RADIUS.
3
Autenticación de
RADIUS satisfactoria
3088
Indica que una
autenticación de
RADIUS ha sido
satisfactoria.
1
Sesión de TACACS
iniciada
3089
Indica que se ha abierto
una sesión de TACACS.
1
Sesión de TACACS
finalizada
3090
Indica que ha finalizado
una sesión de TACACS.
1
Sesión de TACACS
denegada
3091
Indica que se ha
1
denegado una sesión de
TACACS.
186 IBM Security QRadar: Guía de administración de QRadar
Nivel de gravedad (0 –
10)
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Estado de sesión de
TACACS
3092
Indica que hay un
1
mensaje de estado de la
sesión de TACACS.
Autenticación de
TACACS satisfactoria
3093
Indica que una
autenticación de
TACACS ha sido
satisfactoria.
1
Autenticación de
TACACS fallida
3094
Indica un error de
autenticación de
TACACS.
1
Desautenticación de
host satisfactoria
3095
Indica que la
desautenticación de un
host ha sido
satisfactoria.
1
Desautenticación de
host fallida
3096
Indica que la
desautenticación de un
host ha fallado.
3
Autenticación de
estación satisfactoria
3097
Indica que la
autenticación de
estación ha sido
satisfactoria.
1
Autenticación de
estación fallida
3098
Indica que la
autenticación de
estación de un host ha
fallado.
3
Asociación de estación
satisfactoria
3099
Indica que la asociación
de estación ha sido
satisfactoria.
1
Asociación de estación
fallida
3100
Indica que la asociación
de estación ha fallado.
3
Reasociación de
estación satisfactoria
3101
Indica que la
1
reasociación de estación
ha sido satisfactoria.
Reasociación de
estación fallida
3102
Indica que la asociación
de estación ha fallado.
3
Desasociación de host
satisfactoria
3103
Indica que la
desasociación de un
host ha sido
satisfactoria.
1
Desasociación de host
fallida
3104
Indica que la
desasociación de un
host ha fallado.
3
Capítulo 20. Categorías de sucesos 187
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Error de SA
3105
Indica que hay un
mensaje de error de SA
(asociación de
seguridad).
5
Anomalía de creación de 3106
SA
Indica que se ha
producido un error en la
creación de SA
(asociación de
seguridad).
3
SA establecido
3107
Indica que se ha
establecido una
conexión de SA
(asociación de
seguridad).
1
SA rechazado
3108
Indica que se ha
3
rechazado una conexión
de SA (asociación de
seguridad).
Suprimiendo SA
3109
Indica la supresión de
una asociación de
seguridad (SA).
1
Creando SA
3110
Indica la creación de
una asociación de
seguridad (SA).
1
Discrepancia de
certificado
3111
Indica una discrepancia
de certificado.
3
Discrepancia de
credenciales
3112
Indica una discrepancia
de credenciales.
3
Intento de inicio de
sesión de administrador
3113
Indica que ha habido un 2
intento de inicio de
sesión de administrador.
Intento de inicio de
sesión de usuario
3114
Indica que ha habido un
intento de inicio de
sesión de usuario.
2
Inicio de sesión de
usuario satisfactorio
3115
Indica un inicio de
sesión de usuario
satisfactorio.
1
Inicio de sesión de
usuario fallido
3116
Indica que un inicio de
sesión de usuario ha
fallado.
3
188 IBM Security QRadar: Guía de administración de QRadar
Tabla 43. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Inicio de sesión de SFTP 3117
satisfactorio
Indica un inicio de
sesión de SFTP
(protocolo de
transferencia de
archivos SSH)
satisfactorio.
1
Inicio de sesión de SFTP 3118
fallido
Indica que un inicio de
3
sesión de SFTP
(protocolo de
transferencia de
archivos SSH) ha fallado.
Finalización de sesión
de SFTP
3119
Indica que se ha cerrado 1
una sesión de SFTP
(protocolo de
transferencia de
archivos SSH).
Identidad otorgada
3120
Indica que se ha
otorgado una identidad.
Identidad eliminada
3121
Indica que se ha
1
eliminado una identidad.
Identidad revocada
3122
Indica que se ha
revocado una identidad.
1
Política eliminada
3123
Indica que una política
se ha eliminado.
1
Bloqueo de cuenta de
usuario
3124
Indica que una cuenta
de usuario se ha
bloqueado.
1
Desbloqueo de cuenta
de usuario
3125
Indica que una cuenta
de usuario se ha
desbloqueado.
1
Cuenta de usuario
caducada
3126
Indica que una cuenta
de usuario ha caducado
1
1
Acceso
La categoría de acceso contiene controles de autenticación y acceso que se utilizan para la supervisión de
los sucesos de red.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de acceso.
Capítulo 20. Categorías de sucesos 189
Tabla 44. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
acceso
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Suceso de comunicación 4001
de red desconocido
Indica un suceso de
comunicación de red
desconocido.
3
Permiso de cortafuegos
4002
Indica que se ha
permitido el acceso al
cortafuegos.
0
Denegación de
cortafuegos
4003
Indica que se ha
denegado el acceso al
cortafuegos.
4
Respuesta de contexto
de flujo (solo QRadar
SIEM)
4004
Indica sucesos del
motor de clasificación
en respuesta a una
petición de SIM.
5
Suceso de comunicación 4005
de red diverso
Indica un suceso de
comunicación de red
diverso.
3
Denegación de IPS
4006
Indica que hay tráfico
4
denegado de IPS
(sistemas de prevención
de intrusiones).
Sesión de cortafuegos
abierta
4007
Indica que la sesión de
cortafuegos se ha
abierto.
0
Sesión de cortafuegos
cerrada
4008
Indica que la sesión de
cortafuegos se ha
cerrado.
0
Conversión dinámica de
dirección satisfactoria
4009
Indica que la conversión 0
dinámica de dirección
ha sido satisfactoria.
No se ha encontrado
ningún grupo de
conversión
4010
Indica que no se ha
encontrado ningún
grupo de conversión.
2
Autorización diversa
4011
Indica que se ha
otorgado acceso a un
servidor de
autenticación diverso.
2
Permiso de ACL
4012
Indica que una lista de
0
control de accesos (ACL)
ha permitido el acceso.
Denegación de ACL
4013
Indica que una lista de
4
control de accesos (ACL)
ha denegado el acceso.
Acceso permitido
4014
Indica que el acceso se
ha permitido.
190 IBM Security QRadar: Guía de administración de QRadar
0
Tabla 44. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
acceso (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Acceso denegado
4015
Indica que el acceso se
ha denegado.
4
Sesión abierta
4016
Indica que se ha abierto
una sesión.
1
Sesión cerrada
4017
Indica que se ha cerrado 1
una sesión.
Sesión restablecida
4018
Indica que se ha
3
restablecido una sesión.
Sesión terminada
4019
Indica que se ha
permitido una sesión.
4
Sesión denegada
4020
Indica que se ha
denegado una sesión.
5
Sesión en curso
4021
Indica que hay una
sesión en curso.
1
Sesión retardada
4022
Indica que una sesión se 3
ha retardado.
Sesión en cola
4023
Indica que una sesión se 1
ha puesto en cola.
Sesión de entrada
4024
Indica que una sesión es 1
de entrada.
Sesión de salida
4025
Indica que una sesión es 1
de salida.
Intento de acceso no
autorizado
4026
Indica que se ha
detectado un intento de
acceso no autorizado.
6
Acción de aplicación
variada permitida
4027
Indica que se ha
permitido una acción de
aplicación.
1
Acción de aplicación
variada denegada
4028
Indica que se ha
3
denegado una acción de
aplicación.
Acción de base de datos 4029
permitida
Indica que se ha
permitido una acción de
base de datos.
1
Acción de base de datos 4030
denegada
Indica que se ha
3
denegado una acción de
base de datos.
Acción de FTP permitida 4031
Indica que se ha
permitido una acción de
FTP.
1
Capítulo 20. Categorías de sucesos 191
Tabla 44. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
acceso (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Acción de FTP denegada 4032
Indica que se ha
3
denegado una acción de
FTP.
Objeto en memoria
caché
4033
Indica que un objeto se
ha almacenado en la
memoria caché.
1
Objeto no en memoria
caché
4034
Indica que un objeto no
se ha almacenado en la
memoria caché.
1
Limitación de tasa
4035
Indica que la red limita
la velocidad del tráfico.
4
Sin limitación de
velocidad
4036
Indica que la red no
limita la velocidad del
tráfico.
0
Acceso P11 permitido
4037
Indica que el acceso
P11 está permitido.
8
Acceso P11 denegado
4038
Indica que se ha
intentado y se ha
denegado el acceso
P11.
8
Permiso IPS
4039
Indica un permiso IPS.
0
Explotación
La categoría de explotación contiene sucesos en los que se ha producido una explotación (ataque) de
acceso o de comunicación.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de explotación.
Tabla 45. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
explotación
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Ataque de Explotación
desconocido
5001
Indica un ataque de
explotación
desconocido.
9
Desbordamiento de
almacenamiento
intermedio
5002
Indica un
desbordamiento de
almacenamiento
intermedio.
9
Explotación de DNS
5003
Indica una explotación
de DNS.
9
192 IBM Security QRadar: Guía de administración de QRadar
Tabla 45. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
explotación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Explotación de Telnet
5004
Indica una explotación
de Telnet.
9
Explotación de Linux
5005
Indica una explotación
de Linux.
9
Explotación de UNIX
5006
Indica una explotación
de UNIX.
9
Explotación de Windows 5007
Indica una explotación
de Microsoft Windows.
9
Explotación de correo
5008
Indica una explotación
del servidor de correo.
9
Explotación de
infraestructura
5009
Indica una explotación
de la infraestructura.
9
Explotación diversa
5010
Indica una explotación
diversa.
9
Explotación de web
5011
Indica una explotación
de web.
9
Apropiación de sesión
5012
Indica que se ha
intervenido en una
sesión de la red.
9
Gusano activo
5013
Indica que hay un
gusano activo.
10
Adivinación/
recuperación de
contraseña
5014
Indica que un usuario ha 9
solicitado acceso a su
información de
contraseña en la base
de datos.
Explotación de FTP
5015
Indica una explotación
de FTP.
9
Explotación de RPC
5016
Indica una explotación
de RPC.
9
Explotación de SNMP
5017
Indica una explotación
de SNMP.
9
Explotación de NOOP
5018
Indica una explotación
de NOOP.
9
Explotación de Samba
5019
Indica una explotación
de Samba.
9
Explotación de SSH
5020
Indica una explotación
de SSH.
9
Explotación de base de
datos
5021
Indica una explotación
de base de datos.
9
Capítulo 20. Categorías de sucesos 193
Tabla 45. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
explotación (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Explotación de ICMP
5022
Indica una explotación
de ICMP.
9
Explotación de UDP
5023
Indica una explotación
de UDP.
9
Explotación de
explorador
5024
Indica una explotación
en el navegador.
9
Explotación de DHCP
5025
Indica una explotación
de DHCP.
9
Explotación de acceso
remoto
5026
Indica una explotación
de acceso remoto.
9
Explotación de ActiveX
5027
Indica una explotación a 9
través de una aplicación
ActiveX.
Inyección de SQL
5028
Indica que se ha
9
efectuado una inyección
de SQL.
Scripts entre sitios
5029
Indica una
9
vulnerabilidad de scripts
entre sitios.
Vulnerabilidad de serie
de formato
5030
Indica una
vulnerabilidad de serie
de formato.
9
Explotación de
validación de entrada
5031
Indica que se ha
detectado un intento de
explotación de
validación de entrada.
9
Ejecución remota de
código
5032
Indica que se ha
detectado un intento de
ejecución remota de
código.
9
Daño en la memoria
5033
Indica que se ha
detectado una
explotación de daño en
la memoria.
9
Ejecución de mandato
5034
Indica que se ha
detectado un intento de
ejecución de mandato
remota.
9
Inyección de código
5035
Indica que se ha
9
detectado una inyección
de código.
Ataque de reproducción
5036
Indica que se ha
detectado un ataque de
reproducción.
194 IBM Security QRadar: Guía de administración de QRadar
9
Programa malicioso
La categoría de programa malicioso (software malicioso o malware) contiene sucesos que están
relacionados con los intentos de explotaciones de aplicación y de desbordamiento de almacenamiento
intermedio.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de programa malicioso.
Tabla 46. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
programa malicioso
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Programa malicioso
desconocido
6001
Indica un virus
desconocido.
4
Puerta trasera
detectada
6002
Indica que se ha
detectado una puerta
trasera en el sistema.
9
Archivo adjunto de
correo hostil
6003
Indica un archivo
6
adjunto de correo hostil.
Software malicioso
6004
Indica un virus.
6
Descarga de software
hostil
6005
Indica una descarga de
software hostil a la red.
6
Virus detectado
6006
Indica que se ha
detectado un virus.
8
Programa malicioso
diverso
6007
Indica software
malicioso diverso.
4
Troyano detectado
6008
Indica que se ha
detectado un troyano.
7
Spyware detectado
6009
Indica que se ha
6
detectado spyware en el
sistema.
Exploración de
contenido
6010
Indica que se ha
detectado un intento de
exploración del
contenido.
3
Exploración de
contenido fallida
6011
Indica que una
exploración del
contenido ha fallado.
8
Exploración de
contenido satisfactoria
6012
Indica que una
exploración del
contenido ha sido
satisfactoria.
3
Exploración de
contenido en curso
6013
Indica que hay una
exploración del
contenido en curso.
3
Capítulo 20. Categorías de sucesos 195
Tabla 46. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
programa malicioso (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Registrador de claves
6014
Indica que se ha
7
detectado un registrador
de claves.
Adware detectado
6015
Indica que se ha
detectado adware.
4
Cuarentena satisfactoria 6016
Indica que una acción
de cuarentena se ha
completado
satisfactoriamente.
3
Cuarentena fallida
6017
Indica que una acción
de cuarentena ha
fallado.
8
Infección de programa
malicioso
6018
Indica que se ha
detectado una infección
de programa malicioso.
10
Eliminación satisfactoria 6019
Indica que la
eliminación ha sido
satisfactoria.
3
Eliminación fallida
Indica que la
eliminación ha fallado.
8
6020
Nivel de gravedad (0 –
10)
Actividad sospechosa
La categoría Sospechoso contiene sucesos que están relacionados con virus, troyanos, ataques por
puertas traseras y otras formas de software hostil.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de actividad sospechosa.
Tabla 47. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
actividad sospechosa
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Suceso sospechoso
desconocido
7001
Indica un suceso
sospechoso
desconocido.
3
Patrón sospechoso
detectado
7002
Indica que se ha
detectado un patrón
sospechoso.
3
Contenido modificado
por cortafuegos
7003
Indica que el
3
cortafuegos ha
modificado el contenido.
Mandato o datos no
válidos
7004
Indica un mandato o
datos que no son
válidos.
196 IBM Security QRadar: Guía de administración de QRadar
3
Tabla 47. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
actividad sospechosa (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Paquete sospechoso
7005
Indica un paquete
sospechoso.
3
Actividad sospechosa
7006
Indica actividad
sospechosa.
3
Nombre de archivo
sospechoso
7007
Indica un nombre de
archivo sospechoso.
3
Actividad de puerto
sospechosa
7008
Indica actividad de
puerto sospechosa.
3
Direccionamiento
sospechoso
7009
Indica un
direccionamiento
sospechoso.
3
Vulnerabilidad de web
potencial
7010
Indica una
vulnerabilidad de web
potencial.
3
Suceso de evasión
desconocido
7011
Indica un suceso de
evasión desconocido.
5
Suplantación de IP
7012
Indica una suplantación
de IP.
5
Fragmentación de IP
7013
Indica una
fragmentación de IP.
3
Fragmentos de IP
solapados
7014
Indica fragmentos de IP
solapados.
5
Evasión de IDS
7015
Indica una evasión de
IDS.
5
Anomalía de protocolo
de DNS
7016
Indica una anomalía de
protocolo de DNS.
3
Anomalía de protocolo
de FTP
7017
Indica una anomalía de
protocolo de FTP.
3
Anomalía de protocolo
de correo
7018
Indica una anomalía de
protocolo de correo.
3
Anomalía de protocolo
de direccionamiento
7019
Indica una anomalía de
protocolo de
direccionamiento.
3
Anomalía de protocolo
de web
7020
Indica una anomalía de
protocolo de web.
3
Anomalía de protocolo
de SQL
7021
Indica una anomalía de
protocolo de SQL.
3
Código ejecutable
detectado
7022
Indica que se ha
detectado código
ejecutable.
5
Capítulo 20. Categorías de sucesos 197
Tabla 47. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
actividad sospechosa (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Suceso sospechoso
diverso
7023
Indica un suceso
sospechoso diverso.
3
Filtración de
información
7024
Indica una filtración de
información.
1
Vulnerabilidad de correo 7025
potencial
Indica una
vulnerabilidad potencial
en el servidor de correo.
4
Vulnerabilidad de
versión potencial
7026
Indica una
vulnerabilidad potencial
en la versión de IBM
QRadar.
4
Vulnerabilidad de FTP
potencial
7027
Indica una
vulnerabilidad potencial
de FTP.
4
Vulnerabilidad de SSH
potencial
7028
Indica una
vulnerabilidad potencial
de SSH.
4
Vulnerabilidad de DNS
potencial
7029
Indica una
vulnerabilidad potencial
en el servidor DNS.
4
Vulnerabilidad de SMB
potencial
7030
Indica una
vulnerabilidad potencial
de SMB (Samba).
4
Vulnerabilidad de base
de datos potencial
7031
Indica una
vulnerabilidad potencial
en la base de datos.
4
Anomalía de protocolo
IP
7032
Indica una anomalía de
protocolo IP potencial.
3
Dirección IP sospechosa 7033
Indica que se ha
detectado una dirección
IP sospechosa.
2
Uso de protocolo IP no
válido
7034
Indica un protocolo IP
no válido.
2
Protocolo no válido
7035
Indica un protocolo no
válido.
4
Sucesos de Windows
sospechosos
7036
Indica un suceso
sospechoso con una
pantalla del escritorio.
2
Actividad de ICMP
sospechosa
7037
Indica actividad de
ICMP sospechosa.
2
198 IBM Security QRadar: Guía de administración de QRadar
Tabla 47. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
actividad sospechosa (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Vulnerabilidad de NFS
potencial
7038
Indica una
vulnerabilidad potencial
de NFS (Network File
System).
4
Vulnerabilidad de NNTP
potencial
7039
Indica una
4
vulnerabilidad potencial
de NNTP (protocolo para
la transferencia de
noticias en red).
Vulnerabilidad de RPC
potencial
7040
Indica una
vulnerabilidad potencial
de RPC.
4
Vulnerabilidad de Telnet 7041
potencial
Indica una
vulnerabilidad potencial
de Telnet en el sistema.
4
Vulnerabilidad de SNMP
potencial
7042
Indica una
vulnerabilidad potencial
de SNMP.
4
Combinación de
distintivos de TCP no
permitida
7043
Indica que se ha
detectado una
combinación de
distintivos de TCP no
válida.
5
Combinación de
distintivos de TCP
sospechosa
7044
Indica que se ha
detectado una
combinación de
distintivos de TCP
potencialmente no
válida.
4
Uso no permitido de
protocolo ICMP
7045
Indica que se ha
detectado un uso no
válido del protocolo
ICMP.
5
Uso sospechoso de
protocolo ICMP
7046
Indica que se ha
detectado un uso
potencialmente no
válido del protocolo
ICMP.
4
Tipo de ICMP no
permitido
7047
Indica que se ha
detectado un tipo de
ICMP no válido.
5
Código de ICMP no
permitido
7048
Indica que se ha
detectado un código de
ICMP no válido.
5
Capítulo 20. Categorías de sucesos 199
Tabla 47. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
actividad sospechosa (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Tipo de ICMP
sospechoso
7049
Indica que se ha
4
detectado un tipo de
ICMP potencialmente no
válido.
Código de ICMP
sospechoso
7050
Indica que se ha
4
detectado un código de
ICMP potencialmente no
válido.
Puerto TCP 0
7051
Indica que un paquete
TCP utiliza un puerto
reservado (0) como
origen o destino.
4
Puerto UDP 0
7052
Indica que un paquete
UDP utiliza un puerto
reservado (0) como
origen o destino.
4
IP hostil
7053
Indica el uso de una
dirección IP hostil
conocida.
4
IP de lista de
observación
7054
Indica el uso de una
dirección IP incluida en
una lista de observación
de direcciones IP.
4
IP de delincuente
conocido
7055
Indica el uso de una
dirección IP de un
delincuente conocido.
4
IP de RFC 1918
(privado)
7056
Indica el uso de una
dirección IP incluida en
un rango de direcciones
IP privadas.
4
Vulnerabilidad de VoIP
potencial
7057
Indica una
vulnerabilidad potencial
de VoIP.
4
Dirección de lista negra
7058
Indica que una dirección 8
IP está en la lista negra.
Dirección de lista de
observación
7059
Indica que la dirección
IP está en la lista de
direcciones IP que se
están supervisando.
7
Dirección de red oscura
7060
Indica que la dirección
IP forma parte de una
red oscura.
5
Dirección de botnet
7061
Indica que la dirección
forma parte de un
botnet.
7
200 IBM Security QRadar: Guía de administración de QRadar
Nivel de gravedad (0 –
10)
Tabla 47. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
actividad sospechosa (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Dirección sospechosa
7062
Indica que la dirección
5
IP debe ser supervisada.
Contenido erróneo
7063
Indica que se ha
detectado contenido
erróneo.
Certificación no válida
7064
Indica que se ha
7
detectado un certificado
no válido.
Actividad de usuario
7065
Indica que se ha
detectado actividad de
usuario.
7
Uso de protocolo
sospechoso
7066
Indica que se ha
detectado el uso de un
protocolo sospechoso.
5
Actividad de BGP
sospechosa
7067
Indica que se ha
detectado un uso
sospechoso de BGP
(protocolo de pasarela
fronteriza).
5
Envenenamiento de ruta 7068
Indica que se han
detectado daños en la
ruta.
5
Envenenamiento de ARP 7069
Indica que se ha
detectado el
envenenamiento de la
memoria caché de ARP.
5
Dispositivo
malintencionado
detectado
7070
Indica que se ha
5
detectado un dispositivo
malintencionado.
Dirección de agencia de
gobierno
7071
Indica que se ha
detectado una dirección
de agencia de gobierno.
7
3
Sistema
La categoría de sistema contiene sucesos que están relacionados con los cambios del sistema, la
instalación de software o los mensajes de estado.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de sistema.
Capítulo 20. Categorías de sucesos 201
Tabla 48. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
sistema
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Suceso del sistema
desconocido
8001
Indica un suceso de
sistema desconocido.
1
Arranque del sistema
8002
Indica un reinicio del
sistema.
1
Configuración del
sistema
8003
Indica que se ha
1
aplicado un cambio en la
configuración del
sistema.
Detención del sistema
8004
Indica que el sistema se 1
ha detenido.
Anomalía del sistema
8005
Indica una anomalía del
sistema.
6
Estado del sistema
8006
Indica cualquier suceso
de información.
1
Error del sistema
8007
Indica un error del
sistema.
3
Suceso del sistema
diverso
8008
Indica un suceso de
sistema diverso.
1
Servicio iniciado
8009
Indica que se han
iniciado servicios del
sistema.
1
Servicio detenido
8010
Indica que se han
detenido servicios del
sistema.
1
Anomalía de servicio
8011
Indica una anomalía del
sistema.
6
Modificación
8012
satisfactoria del registro
Indica que una
modificación aplicada al
registro ha sido
satisfactoria.
1
Modificación
satisfactoria de la
política de host
8013
Indica que una
modificación aplicada a
la política de host ha
sido satisfactoria.
1
Modificación
satisfactoria de archivo
8014
Indica que una
modificación aplicada a
un archivo ha sido
satisfactoria.
1
Modificación
satisfactoria de pila
8015
Indica que una
modificación aplicada a
la pila ha sido
satisfactoria.
1
202 IBM Security QRadar: Guía de administración de QRadar
Tabla 48. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
sistema (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Modificación
satisfactoria de
aplicación
8016
Indica que una
modificación aplicada a
la aplicación ha sido
satisfactoria.
1
Modificación
satisfactoria de
configuración
8017
Indica que una
modificación aplicada a
la configuración ha sido
satisfactoria.
1
Modificación
satisfactoria de servicio
8018
Indica que una
modificación aplicada a
un servicio ha sido
satisfactoria.
1
Modificación fallida del
registro
8019
Indica que una
modificación aplicada al
registro ha fallado.
1
Modificación fallida de la 8020
política de host
Indica que una
modificación aplicada a
la política de host ha
fallado.
1
Modificación fallida de
archivo
8021
Indica que una
modificación aplicada a
un archivo ha fallado.
1
Modificación fallida de
pila
8022
Indica que una
modificación aplicada a
la pila ha fallado.
1
Modificación fallida de
aplicación
8023
Indica que una
modificación aplicada a
una aplicación ha
fallado.
1
Modificación fallida de
configuración
8024
Indica que una
modificación aplicada a
la configuración ha
fallado.
1
Modificación fallida de
servicio
8025
Indica que una
modificación aplicada al
servicio ha fallado.
1
Adición de registro
8026
Indica que se ha
añadido un nuevo
elemento al registro.
1
Política de host creada
8027
Indica que se ha
añadido una nueva
entrada al registro.
1
Archivo creado
8028
Indica que se ha creado
un nuevo archivo en el
sistema.
1
Capítulo 20. Categorías de sucesos 203
Tabla 48. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
sistema (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Aplicación instalada
8029
Indica que se ha
instalado una aplicación
nueva en el sistema.
1
Servicio instalado
8030
Indica que se ha
instalado un servicio
nuevo en el sistema.
1
Supresión del registro
8031
Indica que se ha
suprimido una entrada
de registro.
1
Política de host
suprimida
8032
Indica que se ha
suprimido una entrada
de política de host.
1
Archivo suprimido
8033
Indica que se ha
suprimido un archivo.
1
Aplicación desinstalada
8034
Indica que una
aplicación se ha
desinstalado.
1
Servicio desinstalado
8035
Indica que un servicio se 1
ha desinstalado.
Información del sistema 8036
Indica información del
sistema.
3
Acción del sistema
Permitir
8037
Indica que se ha
autorizado una acción
intentada en el sistema.
3
Acción del sistema
Denegar
8038
Indica que se ha
denegado una acción
intentada en el sistema.
4
Cron
8039
Indica que hay un
mensaje de crontab.
1
Estado de Cron
8040
Indica que hay un
mensaje de estado de
crontab.
1
Cron fallido
8041
Indica que hay un
mensaje de error de
crontab.
4
Cron satisfactorio
8042
Indica que hay un
mensaje de éxito de
crontab.
1
Daemon
8043
Indica que hay un
mensaje de daemon.
1
Estado de daemon
8044
Indica que hay un
mensaje de estado de
daemon.
1
204 IBM Security QRadar: Guía de administración de QRadar
Tabla 48. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
sistema (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Daemon fallido
8045
Indica que hay un
mensaje de error de
daemon.
4
Daemon satisfactorio
8046
Indica que hay un
mensaje de éxito de
daemon.
1
Kernel
8047
Indica que hay un
mensaje de kernel.
1
Estado de kernel
8048
Indica que hay un
mensaje de estado de
kernel.
1
Kernel fallido
8049
Indica que hay un
mensaje de error de
kernel.
Kernel satisfactorio
8050
Indica que hay un
mensaje de éxito de
kernel.
1
Autenticación
8051
Indica que hay un
mensaje de
autenticación.
1
Información
8052
Indica que hay un
mensaje informativo.
2
Aviso
8053
Indica que hay un
mensaje de aviso.
3
Advertencia
8054
Indica que hay un
5
mensaje de advertencia.
Error
8055
Indica que hay un
mensaje de error.
7
Crítico
8056
Indica que hay un
mensaje crítico.
9
Depuración
8057
Indica que hay un
mensaje de depuración.
1
Mensajes
8058
Indica que hay un
mensaje genérico.
1
Acceso de privilegio
8059
Indica que se ha
intentado el acceso de
privilegio.
3
Alerta
8060
Indica que hay un
mensaje de alerta.
9
Emergencia
8061
Indica que hay un
9
mensaje de emergencia.
Capítulo 20. Categorías de sucesos 205
Tabla 48. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
sistema (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Estado SNMP
8062
Indica que hay un
mensaje de estado de
SNMP.
1
Estado FTP
8063
Indica que hay un
mensaje de estado de
FTP.
1
Estado de NTP
8064
Indica que hay un
mensaje de estado de
NTP.
1
Anomalía de radio de
punto de acceso
8065
Indica una anomalía de
radio de punto de
acceso.
3
Discrepancia de
configuración de
protocolo de cifrado
8066
Indica una discrepancia
de configuración de
protocolo de cifrado.
3
Dispositivo de cliente o
servidor de
autenticación mal
configurado
8067
Indica que un
dispositivo de cliente o
un servidor de
autenticación no se ha
configurado
correctamente.
5
Habilitación de espera
activa fallida
8068
Indica un error de
habilitación de espera
activa.
5
Inhabilitación de espera 8069
activa fallida
Indica un error de
inhabilitación de espera
activa.
5
La espera activa se ha
habilitado
satisfactoriamente
8070
Indica que la espera
activa se ha habilitado
satisfactoriamente.
1
Asociación de espera
activa perdida
8071
Indica que la asociación
de espera activa se ha
perdido.
5
Anomalía de iniciación
de modalidad principal
8072
Indica una anomalía de
iniciación de modalidad
principal.
5
Iniciación de modalidad
principal satisfactoria
8073
Indica que la iniciación
de modalidad principal
ha sido satisfactoria.
1
Estado de modalidad
principal
8074
Indica que se ha
notificado un mensaje
de estado de modalidad
principal.
1
206 IBM Security QRadar: Guía de administración de QRadar
Tabla 48. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
sistema (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Anomalía de iniciación
de modalidad rápida
8075
Indica que la iniciación
de modalidad rápida ha
fallado.
5
Iniciación de modalidad
rápida satisfactoria
8076
Indica que la iniciación
de modalidad rápida ha
sido satisfactoria.
1
Estado de modalidad
rápida
8077
Indica que se ha
notificado un mensaje
de estado de modalidad
rápida.
1
Licencia no válida
8078
Indica una licencia no
válida.
3
Licencia caducada
8079
Indica una licencia
caducada.
3
Licencia nueva aplicada
8080
Indica que se ha
aplicado una licencia
nueva.
1
Error de licencia
8081
Indica un error de
licencia.
5
Estado de licencia
8082
Indica que hay un
mensaje de estado de
licencia.
1
Error de configuración
8083
Indica que se ha
detectado un error de
configuración.
5
Interrupción de servicio
8084
Indica que se ha
detectado una
interrupción en el
servicio.
5
Se ha superado la
asignación de EPS o
FPM
8085
Indica que se han
superado las
asignaciones de
agrupación de licencias
para EPS o FPM.
3
Estado de rendimiento
8086
Indica que se ha
notificado el estado de
rendimiento.
1
Degradación de
rendimiento
8087
Indica que se ha
degradado el
rendimiento.
4
Configuración errónea
8088
Indica que se ha
5
detectado una
configuración incorrecta.
Capítulo 20. Categorías de sucesos 207
Política
La categoría de política contiene sucesos que están relacionados con la administración de la política de
red y la supervisión de los recursos de la red para comprobar si se producen violaciones de la política.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de política.
Tabla 49. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de política
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Violación de política
desconocida
9001
Indica una violación de
política desconocida.
2
Violación de política de
web
9002
Indica una violación de
política de web.
2
Violación de política de
acceso remoto
9003
Indica una violación de
política de acceso
remoto.
2
Violación de política de
IRC/IM
9004
Indica una violación de
política de mensajería
instantánea.
2
Violación de política de
P2P
9005
Indica una violación de
política de P2P (de igual
a igual).
2
Violación de política de
acceso de IP
9006
Indica una violación de
política de acceso de IP.
2
Violación de política de
aplicación
9007
Indica una violación de
política de aplicación.
2
Violación de política de
base de datos
9008
Indica una violación de
política de base de
datos.
2
Violación de política de
umbral de red
9009
Indica una violación de
política de umbral de
red.
2
Violación de política de
contenido para adultos
9010
Indica una violación de
contenido para adultos.
2
Violación de política de
juegos
9011
Indica una violación de
política de juegos.
2
Violación de política
diversa
9012
Indica una violación de
política diversa.
2
Violación de política de
conformidad
9013
Indica una violación de
2
política de conformidad.
Violación de política de
correo
9014
Indica una violación de
política de correo.
2
Violación de política de
IRC
9015
Indica una violación de
política de IRC.
2
208 IBM Security QRadar: Guía de administración de QRadar
Tabla 49. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de política
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Violación de política de
IM
9016
Indica una violación de
política que está
relacionada con
actividades de
mensajería instantánea
(IM).
2
Violación de política de
VoIP
9017
Indica una violación de
política de VoIP.
2
Satisfactorio
9018
Indica un mensaje de
éxito de la política.
1
Anómalo
9019
Indica un mensaje de
error de la política.
4
Violación de política de
prevención de pérdida
de datos
9020
Indica una violación de
política de prevención
de pérdida de datos.
2
Lista de observación
9021
Indica un objeto de lista
de observación.
2
Concesión de política de 9022
web
Indica una concesión de 1
política de web nueva.
Desconocido
La categoría Desconocido contiene sucesos que no se analizan y, por lo tanto, no se pueden asignar a
ninguna categoría.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Desconocido.
Tabla 50. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Desconocido
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Desconocido
10001
Indica un suceso
desconocido.
3
Suceso de Snort
desconocido
10002
Indica un suceso de
Snort desconocido.
3
Suceso de Dragon
desconocido
10003
Indica un suceso de
Dragon desconocido.
3
Suceso de cortafuegos
Pix desconocido
10004
Indica un suceso de
Cisco Private Internet
Exchange (PIX) Firewall
desconocido.
3
Suceso de punto crítico
desconocido
10005
Indica un suceso de HP
TippingPoint
desconocido.
3
Capítulo 20. Categorías de sucesos 209
Tabla 50. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Desconocido
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Suceso de servidor de
autenticación de
Windows desconocido
10006
Indica un suceso de
Windows Auth Server
desconocido.
3
Suceso de Nortel
desconocido
10007
Indica un suceso de
Nortel desconocido.
3
Almacenado
10009
Indica un suceso
almacenado
desconocido.
3
Conductual
11001
Indica un suceso de
comportamiento
desconocido.
3
Umbral
11002
Indica un suceso de
umbral desconocido.
3
Anomalía
11003
Indica un suceso de
anomalía desconocido.
3
CRE
La categoría de suceso de regla personalizada (CRE) contiene sucesos que se generan a partir de una
regla personalizada de infracción, flujo o suceso.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de CRE.
Tabla 51. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de CRE
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Suceso de CRE
desconocido
12001
Indica un suceso de
motor de reglas
personalizadas
desconocido.
5
Coincidencia de regla de 12002
suceso individual
Indica una coincidencia
de regla de suceso
individual.
5
Coincidencia de regla de 12003
secuencia de sucesos
Indica una coincidencia 5
de regla de secuencia de
sucesos.
Coincidencia de regla de 12004
secuencia de sucesos de
infracción cruzada
Indica una coincidencia 5
de regla de secuencia de
sucesos de infracción
cruzada.
Coincidencia de regla de 12005
infracción
Indica una coincidencia
de regla de infracción.
210 IBM Security QRadar: Guía de administración de QRadar
5
Explotación potencial
La categoría de explotación potencial contiene sucesos que están relacionados con intentos de
explotaciones potenciales de aplicación y de desbordamiento de almacenamiento intermedio.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de explotación potencial.
Tabla 52. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de explotación
potencial
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Ataque de explotación
potencial desconocido
13001
Indica que se ha
detectado un ataque de
explotación potencial.
7
Desbordamiento de
almacenamiento
intermedio potencial
13002
Indica que se ha
detectado un
desbordamiento de
almacenamiento
intermedio potencial.
7
Explotación de DNS
potencial
13003
Indica que se ha
detectado un ataque de
explotación potencial a
través del servidor DNS.
7
Explotación de Telnet
potencial
13004
Indica que se ha
detectado un ataque de
explotación potencial a
través de Telnet.
7
Explotación de Linux
potencial
13005
Indica que se ha
detectado un ataque de
explotación potencial a
través de Linux.
7
Explotación de UNIX
potencial
13006
Indica que se ha
detectado un ataque de
explotación potencial a
través de UNIX.
7
Explotación de Windows 13007
potencial
Indica que se ha
detectado un ataque de
explotación potencial a
través de Windows.
7
Explotación de correo
potencial
Indica que se ha
detectado un ataque de
explotación potencial a
través del correo.
7
13008
Explotación de
13009
infraestructura potencial
Indica que se ha
7
detectado un ataque de
explotación potencial en
la infraestructura del
sistema.
Capítulo 20. Categorías de sucesos 211
Tabla 52. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de explotación
potencial (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Explotación diversa
potencial
13010
Indica que se ha
detectado un ataque de
explotación potencial.
7
Explotación de web
potencial
13011
Indica que se ha
detectado un ataque de
explotación potencial a
través de la Web.
7
Conexión del Botnet
potencial
13012
Indica un ataque de
explotación potencial
que utiliza botnet.
6
Actividad de gusano
potencial
13013
Indica que se ha
detectado un ataque
potencial que utiliza
actividad de gusano.
6
Flujo
La categoría de flujo incluye sucesos relacionados con acciones de flujo.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de flujo.
Tabla 53. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de flujo
Categoría de sucesos de
nivel bajo
ID de categoría
Descripción
Nivel de gravedad
(0 – 10)
Flujo unidireccional
14001
Indica un flujo de sucesos
unidireccional.
5
Número bajo de flujos
unidireccionales
14002
Indica un número bajo de
flujos unidireccionales de
sucesos.
5
Número medio de flujos
unidireccionales
14003
Indica un número medio de
flujos unidireccionales de
sucesos.
5
Número alto de flujos
unidireccionales
14004
Indica un número alto de flujos 5
unidireccionales de sucesos.
Flujo de TCP
unidireccional
14005
Indica un flujo de TCP
unidireccional.
5
Número bajo de flujos de
TCP unidireccionales
14006
Indica un número bajo de
flujos unidireccionales de TCP.
5
Número medio de flujos
de TCP unidireccionales
14007
Indica un número medio de
flujos unidireccionales de TCP.
5
Número alto de flujos de
TCP unidireccionales
14008
Indica un número alto de flujos 5
unidireccionales de TCP.
212 IBM Security QRadar: Guía de administración de QRadar
Tabla 53. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de flujo
(continuación)
Categoría de sucesos de
nivel bajo
ID de categoría
Descripción
Nivel de gravedad
(0 – 10)
Flujo de ICMP
unidireccional
14009
Indica un flujo de ICMP
unidireccional.
5
Número bajo de flujos de
ICMP unidireccionales
14010
Indica un número bajo de
flujos unidireccionales de
ICMP.
5
Número medio de flujos
de ICMP unidireccionales
14011
Indica un número medio de
flujos unidireccionales de
ICMP.
5
Número alto de flujos
unidireccionales de ICMP
14012
Indica un número alto de flujos 5
unidireccionales de ICMP.
Flujo de ICMP
sospechoso
14013
Indica un flujo de ICMP
sospechoso.
5
Flujo de UDP sospechoso
14014
Indica un flujo de UDP
sospechoso.
5
Flujo de TCP sospechoso
14015
Indica un flujo de TCP
sospechoso.
5
Flujo sospechoso
14016
Indica un flujo sospechoso.
5
Flujo de paquetes vacíos
14017
Indica flujos de paquetes
vacíos.
5
Número bajo de flujos de
paquetes vacíos
14018
Indica un número bajo de
flujos de paquetes vacíos.
5
Número medio de flujos
de paquetes vacíos
14019
Indica un número medio de
flujos de paquetes vacíos.
5
Número alto de flujos de
paquetes vacíos
14020
Indica un número alto de flujos 5
de paquetes vacíos.
Flujos de carga grande
14021
Indica una carga grande de
flujos.
5
Número bajo de flujos de
carga grande
14022
Indica un número bajo de
flujos de carga grande.
5
Número medio de flujos
de carga grande
14023
Indica un número alto de flujos 5
de carga grande.
Número alto de flujos de
carga grande
14024
Indica un número alto de flujos 5
de carga grande.
Un atacante a muchos
flujos de destino
14025
Indica que un atacante está
dirigiéndose a muchos flujos.
5
Muchos atacantes a un
flujo de destino
14026
Indica que muchos atacantes
se están dirigiendo a un flujo.
5
Flujo desconocido
14027
Indica un flujo desconocido.
5
Registro de Netflow
14028
Indica un registro de Netflow.
5
Registro de QFlow
14029
Indica un registro de QFlow.
5
Capítulo 20. Categorías de sucesos 213
Tabla 53. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de flujo
(continuación)
Categoría de sucesos de
nivel bajo
ID de categoría
Descripción
Nivel de gravedad
(0 – 10)
Registro de SFlow
14030
Indica un registro de SFlow.
5
Registro de Packeteer
14031
Indica un registro de
Packeteer.
5
Flujo diverso
14032
Indica un flujo diverso.
5
Transferencia de datos
grande
14033
Indica una transferencia de
datos grande
5
Transferencia de datos
grande de salida
14034
Indica una transferencia
grande de datos de salida.
5
Flujos de VoIP
14035
Indica flujos de VoIP.
5
Definido por el usuario
La categoría Definido por el usuario contiene sucesos que están relacionados con objetos definidos por el
usuario.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Definido por el usuario.
Tabla 54. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Definido por el
usuario
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sentry personalizado
bajo
15001
Indica un suceso de
anomalía personalizado
de gravedad baja.
3
Sentry personalizado
medio
15002
Indica un suceso de
anomalía personalizado
de gravedad media.
5
Sentry personalizado
alto
15003
Indica un suceso de
anomalía personalizado
de gravedad alta.
7
Sentry personalizado 1
15004
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
1.
1
Sentry personalizado 2
15005
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
2.
2
Sentry personalizado 3
15006
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
3.
3
214 IBM Security QRadar: Guía de administración de QRadar
Tabla 54. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Definido por el
usuario (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sentry personalizado 4
15007
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
4.
4
Sentry personalizado 5
15008
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
5.
5
Sentry personalizado 6
15009
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
6.
6
Sentry personalizado 7
15010
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
7.
7
Sentry personalizado 8
15011
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
8.
8
Sentry personalizado 9
15012
Indica un suceso de
anomalía personalizado
con el nivel de gravedad
9.
9
Política personalizada
baja
15013
Indica un suceso de
3
política personalizado
con un nivel de gravedad
bajo.
Política personalizada
media
15014
Indica un suceso de
5
política personalizado
con un nivel de gravedad
medio.
Política personalizada
alta
15015
Indica un suceso de
7
política personalizado
con un nivel de gravedad
alto.
Política personalizada 1
15016
Indica un suceso de
política personalizado
con el nivel de gravedad
1.
1
Política personalizada 2
15017
Indica un suceso de
política personalizado
con el nivel de gravedad
2.
2
Capítulo 20. Categorías de sucesos 215
Tabla 54. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Definido por el
usuario (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Política personalizada 3
15018
Indica un suceso de
política personalizado
con el nivel de gravedad
3.
3
Política personalizada 4
15019
Indica un suceso de
política personalizado
con el nivel de gravedad
4.
4
Política personalizada 5
15020
Indica un suceso de
política personalizado
con el nivel de gravedad
5.
5
Política personalizada 6
15021
Indica un suceso de
política personalizado
con el nivel de gravedad
6.
6
Política personalizada 7
15022
Indica un suceso de
política personalizado
con el nivel de gravedad
7.
7
Política personalizada 8
15023
Indica un suceso de
política personalizado
con el nivel de gravedad
8.
8
Política personalizada 9
15024
Indica un suceso de
política personalizado
con el nivel de gravedad
9.
9
Usuario personalizado
bajo
15025
Indica un suceso de
3
usuario personalizado
con un nivel de gravedad
bajo.
Usuario personalizado
medio
15026
Indica un suceso de
5
usuario personalizado
con un nivel de gravedad
medio.
Usuario personalizado
alto
15027
Indica un suceso de
7
usuario personalizado
con un nivel de gravedad
alto.
Usuario personalizado 1
15028
Indica un suceso de
usuario personalizado
con el nivel de gravedad
1.
216 IBM Security QRadar: Guía de administración de QRadar
1
Tabla 54. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Definido por el
usuario (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Usuario personalizado 2
15029
Indica un suceso de
usuario personalizado
con el nivel de gravedad
2.
2
Usuario personalizado 3
15030
Indica un suceso de
usuario personalizado
con el nivel de gravedad
3.
3
Usuario personalizado 4
15031
Indica un suceso de
usuario personalizado
con el nivel de gravedad
4.
4
Usuario personalizado 5
15032
Indica un suceso de
usuario personalizado
con el nivel de gravedad
5.
5
Usuario personalizado 6
15033
Indica un suceso de
usuario personalizado
con el nivel de gravedad
6.
6
Usuario personalizado 7
15034
Indica un suceso de
usuario personalizado
con el nivel de gravedad
7.
7
Usuario personalizado 8
15035
Indica un suceso de
usuario personalizado
con el nivel de gravedad
8.
8
Usuario personalizado 9
15036
Indica un suceso de
usuario personalizado
con el nivel de gravedad
9.
9
Auditoría de SIM
La categoría Auditoría de SIM contiene sucesos que están relacionados con la interacción del usuario con
la consola de IBM QRadar y las funciones administrativas.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Auditoría de SIM.
Capítulo 20. Categorías de sucesos 217
Tabla 55. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Auditoría de
SIM
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Autenticación de usuario 16001
de SIM
Indica un inicio o un
cierre de sesión del
usuario en la consola.
5
Cambio de configuración 16002
de SIM
Indica que un usuario ha 3
cambiado el despliegue
o la configuración de
SIM.
Acción de usuario de
SIM
16003
Indica que un usuario ha 3
iniciado un proceso
como, por ejemplo,
iniciar una copia de
seguridad o generar un
informe, en el módulo
SIM.
Sesión creada
16004
Indica que se ha creado
una sesión de usuario.
3
Sesión destruida
16005
Indica que se ha
destruido una sesión de
usuario.
3
Sesión de Admin creada
16006
Indica que se ha creado
una sesión de
administrador.
Sesión de Admin
destruida
16007
Indica que se ha
destruido una sesión de
administrador.
3
Sesión de autenticación
no válida
16008
Indica una sesión de
autenticación no válida.
5
Sesión de autenticación
caducada
16009
Indica que la
autenticación de una
sesión ha caducado.
3
Configuración de Risk
Manager
16010
Indica que un usuario ha 3
cambiado la
configuración de IBM
QRadar Risk Manager.
Descubrimiento de host de VIS
Cuando el componente VIS descubre y almacena nuevos hosts, puertos o vulnerabilidades que se han
detectado en la red, el componente VIS genera sucesos. Estos sucesos se envían al Recopilador de
sucesos para correlacionarlos con otros sucesos de seguridad.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de descubrimiento de host de VIS.
218 IBM Security QRadar: Guía de administración de QRadar
Tabla 56. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de
descubrimiento de host de VIS
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Host nuevo descubierto
17001
Indica que el
componente VIS ha
detectado un host
nuevo.
3
Puerto nuevo
descubierto
17002
Indica que el
componente VIS ha
detectado un puerto
abierto nuevo.
3
Vuln. nueva descubierta
17003
Indica que el
componente VIS ha
detectado una
vulnerabilidad nueva.
3
SO nuevo descubierto
17004
Indica que el
componente VIS ha
detectado un sistema
operativo nuevo en un
host.
3
Host masivo descubierto 17005
Indica que el
3
componente VIS ha
detectado demasiados
hosts nuevos en un
periodo corto de tiempo.
Aplicación
La categoría de aplicación contiene sucesos que están relacionados con la actividad de auditoría, como el
correo electrónico o la actividad de FTP.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de aplicación.
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Correo abierto
18001
Indica que se ha
establecido una
conexión de correo
electrónico.
1
Correo cerrado
18002
Indica que se ha cerrado 1
una conexión de correo
electrónico.
Correo restablecido
18003
Indica que se ha
restablecido una
conexión de correo
electrónico.
3
Capítulo 20. Categorías de sucesos 219
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Correo terminado
18004
Indica que se ha
terminado una conexión
de correo electrónico.
4
Correo denegado
18005
Indica que se ha
denegado una conexión
de correo electrónico.
4
Correo en curso
18006
Indica que se está
1
intentando una conexión
de correo electrónico.
Correo retardado
18007
Indica que se ha
retardado una conexión
de correo electrónico.
4
Correo en cola
18008
Indica que se ha puesto
en cola una conexión de
correo electrónico.
3
Correo redirigido
18009
Indica que se ha
redirigido una conexión
de correo electrónico.
1
FTP abierto
18010
Indica que se ha abierto
una conexión de FTP.
1
FTP cerrado
18011
Indica que se ha cerrado 1
una conexión de FTP.
FTP restablecido
18012
Indica que se ha
restablecido una
conexión de FTP.
3
FTP terminado
18013
Indica que se ha
terminado una conexión
de FTP.
4
FTP denegado
18014
Indica que se ha
denegado una conexión
de FTP.
4
FTP en curso
18015
Indica que hay una
conexión de FTP en
curso.
1
FTP redirigido
18016
Indica que se ha
redirigido una conexión
de FTP.
3
HTTP abierto
18017
Indica que se ha
establecido una
conexión de HTTP.
1
HTTP cerrado
18018
Indica que se ha cerrado 1
una conexión de HTTP.
220 IBM Security QRadar: Guía de administración de QRadar
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
HTTP restablecido
18019
Indica que se ha
restablecido una
conexión de HTTP.
3
HTTP terminado
18020
Indica que se ha
terminado una conexión
de HTTP.
4
HTTP denegado
18021
Indica que se ha
denegado una conexión
de HTTP.
4
HTTP en curso
18022
Indica que hay una
conexión de HTTP en
curso.
1
HTTP retardado
18023
Indica que se ha
retardado una conexión
de HTTP.
3
HTTP en cola
18024
Indica que se ha puesto
en cola una conexión de
HTTP.
1
HTTP redirigido
18025
Indica que se ha
redirigido una conexión
de HTTP.
1
Proxy HTTP
18026
Indica que una conexión 1
de HTTP se está
pasando a través de un
proxy.
HTTPS abierto
18027
Indica que se ha
establecido una
conexión de HTTPS.
HTTPS cerrado
18028
Indica que se ha cerrado 1
una conexión de HTTPS.
HTTPS restablecido
18029
Indica que se ha
restablecido una
conexión de HTTPS.
3
HTTPS terminado
18030
Indica que se ha
terminado una conexión
de HTTPS.
4
HTTPS denegado
18031
Indica que se ha
denegado una conexión
de HTTPS.
4
HTTPS en curso
18032
Indica que hay una
conexión de HTTPS en
curso.
1
1
Capítulo 20. Categorías de sucesos 221
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
HTTPS retardado
18033
Indica que se ha
retardado una conexión
de HTTPS.
3
HTTPS en cola
18034
Indica que se ha puesto
en cola una conexión de
HTTPS.
3
HTTPS redirigido
18035
Indica que se ha
redirigido una conexión
de HTTPS.
3
HTTPS Proxy
18036
Indica que una conexión 1
de HTTPS pasa a través
de un proxy.
SSH abierto
18037
Indica que se ha
establecido una
conexión de SSH.
SSH cerrado
18038
Indica que se ha cerrado 1
una conexión de SSH.
SSH restablecido
18039
Indica que se ha
restablecido una
conexión de SSH.
3
SSH terminado
18040
Indica que se ha
terminado una conexión
de SSH.
4
SSH denegado
18041
Indica que se ha
4
denegado una sesión de
SSH.
SSH en curso
18042
Indica que hay una
sesión de SSH en curso.
1
Acceso remoto abierto
18043
Indica que se ha
establecido una
conexión de acceso
remoto.
1
Acceso remoto cerrado
18044
Indica que se ha cerrado 1
una conexión de acceso
remoto.
Acceso remoto
restablecido
18045
Indica que se ha
restablecido una
conexión de acceso
remoto.
3
Acceso remoto
terminado
18046
Indica que se ha
terminado una conexión
de acceso remoto.
4
222 IBM Security QRadar: Guía de administración de QRadar
1
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Acceso remoto
denegado
18047
Indica que se ha
denegado una conexión
de acceso remoto.
4
Acceso remoto en curso
18048
Indica que hay una
conexión de acceso
remoto en curso.
1
Acceso remoto
retardado
18049
Indica que se ha
retardado una conexión
de acceso remoto.
3
Acceso remoto
redirigido
18050
Indica que se ha
redirigido una conexión
de acceso remoto.
3
VPN abierta
18051
Indica que se ha abierto
una conexión de VPN.
1
VPN cerrada
18052
Indica que se ha cerrado 1
una conexión de VPN.
VPN restablecida
18053
Indica que se ha
restablecido una
conexión de VPN.
3
VPN terminada
18054
Indica que se ha
terminado una conexión
de VPN.
4
VPN denegada
18055
Indica que se ha
denegado una conexión
de VPN.
4
VPN en curso
18056
Indica que hay una
conexión de VPN en
curso.
1
VPN retardada
18057
Indica que una conexión 3
de VPN se ha retardado.
VPN en cola
18058
Indica que se ha puesto
en cola una conexión de
VPN.
3
VPN redirigida
18059
Indica que se ha
redirigido una conexión
de VPN.
3
RDP abierto
18060
Indica que se ha
establecido una
conexión de RDP.
1
RDP cerrado
18061
Indica que se ha cerrado 1
una conexión de RDP.
Capítulo 20. Categorías de sucesos 223
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
RDP restablecido
18062
Indica que se ha
restablecido una
conexión de RDP.
3
RDP terminado
18063
Indica que se ha
terminado una conexión
de RDP.
4
RDP denegado
18064
Indica que se ha
denegado una conexión
de RDP.
4
RDP en curso
18065
Indica que hay una
conexión de RDP en
curso.
1
RDP redirigido
18066
Indica que se ha
redirigido una conexión
de RDP.
3
Transferencia de
archivos abierta
18067
Indica que se ha
establecido una
conexión de
transferencia de
archivos.
1
Transferencia de
archivos cerrada
18068
Indica que se ha cerrado 1
una conexión de
transferencia de
archivos.
Transferencia de
archivos restablecida
18069
Indica que se ha
restablecido una
conexión de
transferencia de
archivos.
3
Transferencia de
archivos terminada
18070
Indica que se ha
terminado una conexión
de transferencia de
archivos.
4
Transferencia de
archivos denegada
18071
Indica que se ha
denegado una conexión
de transferencia de
archivos.
4
Transferencia de
archivos en curso
18072
Indica que hay una
conexión de
transferencia de
archivos en curso.
1
Transferencia de
archivos retardada
18073
Indica que se ha
retardado una conexión
de transferencia de
archivos.
3
224 IBM Security QRadar: Guía de administración de QRadar
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Transferencia de
archivos en cola
18074
Indica que se ha puesto
en cola una conexión de
transferencia de
archivos.
3
Transferencia de
archivos redirigida
18075
Indica que se ha
redirigido una conexión
de transferencia de
archivos.
3
DNS abierto
18076
Indica que se ha
establecido una
conexión de DNS.
1
DNS cerrado
18077
Indica que se ha cerrado 1
una conexión de DNS.
DNS restablecido
18078
Indica que se ha
restablecido una
conexión de DNS.
5
DNS terminado
18079
Indica que se ha
terminado una conexión
de DNS.
5
DNS denegado
18080
Indica que se ha
denegado una conexión
de DNS.
5
DNS en curso
18081
Indica que hay una
conexión de DNS en
curso.
1
DNS retardado
18082
Indica que se ha
retardado una conexión
de DNS.
5
DNS redirigido
18083
Indica que se ha
redirigido una conexión
de DNS.
4
Conversación abierta
18084
Indica que se ha abierto
una conexión de
conversación.
1
Conversación cerrada
18085
Indica que se ha cerrado 1
una conexión de
conversación.
Conversación
restablecida
18086
Indica que se ha
restablecido una
conexión de
conversación.
3
Indica que se ha
terminado una conexión
de conversación.
3
Conversación terminada 18087
Capítulo 20. Categorías de sucesos 225
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Conversación denegada
18088
Indica que se ha
denegado una conexión
de conversación.
3
Conversación en curso
18089
Indica que hay una
conexión de
conversación en curso.
1
Conversación redirigida
18090
Indica que se ha
redirigido una conexión
de conversación.
1
Base de datos abierta
18091
Indica que se ha
establecido una
conexión a base de
datos.
1
Base de datos cerrada
18092
Indica que se ha cerrado 1
una conexión a base de
datos.
Base de datos
restablecida
18093
Indica que se ha
restablecido una
conexión a base de
datos.
5
Base de datos
terminada
18094
Indica que se ha
terminado una conexión
a base de datos.
5
Base de datos denegada 18095
Indica que se ha
denegado una conexión
a base de datos.
5
Base de datos en curso
18096
Indica que hay una
conexión a base de
datos en curso.
1
Base de datos redirigida
18097
Indica que se ha
redirigido una conexión
a base de datos.
3
SMTP abierto
18098
Indica que se ha
establecido una
conexión de SMTP.
1
SMTP cerrado
18099
Indica que se ha cerrado 1
una conexión de SMTP.
SMTP restablecido
18100
Indica que se ha
restablecido una
conexión de SMTP.
3
SMTP terminado
18101
Indica que se ha
terminado una conexión
de SMTP.
5
226 IBM Security QRadar: Guía de administración de QRadar
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
SMTP denegado
18102
Indica que se ha
denegado una conexión
de SMTP.
5
SMTP en curso
18103
Indica que hay una
conexión de SMTP en
curso.
1
SMTP retardado
18104
Indica que se ha
retardado una conexión
de SMTP.
3
SMTP en cola
18105
Indica que se ha puesto
en cola una conexión de
SMTP.
3
SMTP redirigido
18106
Indica que se ha
redirigido una conexión
de SMTP.
3
Autenticación abierta
18107
Indica que se ha
1
establecido una
conexión con el servidor
de autorizaciones.
Autenticación cerrada
18108
Indica que se ha cerrado 1
una conexión con el
servidor de
autorizaciones.
Autenticación
restablecida
18109
Indica que se ha
3
restablecido una
conexión con el servidor
de autorizaciones.
Autenticación terminada 18110
Indica que se ha
terminado una conexión
con el servidor de
autorizaciones.
4
Autenticación denegado 18111
Indica que se ha
denegado una conexión
con el servidor de
autorizaciones.
4
Autenticación en curso
18112
Indica que hay una
1
conexión con el servidor
de autorizaciones en
curso.
Autenticación retardada
18113
Indica que se ha
retardado una conexión
con el servidor de
autorizaciones.
3
Capítulo 20. Categorías de sucesos 227
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Autenticación en cola
18114
Indica que se ha puesto
en cola una conexión
con el servidor de
autorizaciones.
3
Autenticación redirigida
18115
Indica que se ha
redirigido una conexión
con el servidor de
autorizaciones.
2
P2P abierto
18116
Indica que se ha
establecido una
conexión de P2P (de
igual a igual).
1
P2P cerrado
18117
Indica que se ha cerrado 1
una conexión de P2P.
P2P restablecido
18118
Indica que se ha
restablecido una
conexión de P2P.
4
P2P terminado
18119
Indica que se ha
terminado una conexión
de P2P.
4
P2P denegado
18120
Indica que se ha
denegado una conexión
de P2P.
3
P2P en curso
18121
Indica que hay una
conexión de P2P en
curso.
1
Web abierta
18122
Indica que se ha
establecido una
conexión web.
1
Web cerrada
18123
Indica que se ha cerrado 1
una conexión web.
Web restablecida
18124
Indica que se ha
restablecido una
conexión web.
4
Web terminada
18125
Indica que se ha
terminado una conexión
web.
4
Web denegada
18126
Indica que se ha
denegado una conexión
web.
4
Web en curso
18127
Indica que hay una
conexión web en curso.
1
228 IBM Security QRadar: Guía de administración de QRadar
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Web retardada
18128
Indica que se ha
retardado una conexión
web.
3
Web en cola
18129
Indica que se ha puesto
en cola una conexión
web.
1
Web redirigida
18130
Indica que se ha
redirigido una conexión
web.
1
Proxy web
18131
Indica que una conexión 1
web ha pasado a través
de un proxy.
VoIP abierto
18132
Indica que se ha
establecido una
conexión VoIP (voz
sobre IP).
VoIP cerrado
18133
Indica que se ha cerrado 1
una conexión de VoIP.
VoIP restablecido
18134
Indica que se ha
restablecido una
conexión de VoIP.
3
VoIP terminado
18135
Indica que se ha
terminado una conexión
de VoIP.
3
VoIP denegado
18136
Indica que se ha
denegado una conexión
de VoIP.
3
VoIP en curso
18137
Indica que hay una
conexión de VoIP en
curso.
1
VoIP retardado
18138
Indica que se ha
retardado una conexión
de VoIP.
3
VoIP redirigido
18139
Indica que se ha
redirigido una conexión
de VoIP.
3
Sesión de LDAP iniciada
18140
Indica que se ha iniciado 1
una sesión de LDAP.
Sesión de LDAP
finalizada
18141
Indica que ha finalizado
una sesión de LDAP.
Sesión de LDAP
denegada
18142
Indica que se ha
3
denegado una sesión de
LDAP.
1
1
Capítulo 20. Categorías de sucesos 229
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Estado de sesión LDAP
18143
Indica que se ha
notificado un mensaje
de estado de sesión de
LDAP.
1
Autenticación de LDAP
fallida
18144
Indica que una
autenticación de LDAP
ha fallado.
4
Autenticación de LDAP
satisfactoria
18145
Indica que una
autenticación de LDAP
ha sido satisfactoria.
1
Sesión de AAA iniciada
18146
Indica que se ha iniciado 1
una sesión de AAA
(autenticación,
autorización y
contabilidad).
Sesión de AAA finalizada 18147
Indica que ha finalizado
una sesión de AAA.
1
Sesión de AAA
denegada
18148
Indica que se ha
3
denegado una sesión de
AAA.
Estado de sesión AAA
18149
Indica que se ha
notificado un mensaje
de estado de sesión de
AAA.
Autenticación de AAA
fallida
18150
Indica que una
4
autenticación de AAA ha
fallado.
Autenticación de AAA
satisfactoria
18151
Indica que una
1
autenticación de AAA ha
sido satisfactoria.
Autenticación de IPSec
fallida
18152
Indica que una
autenticación de IPSEC
(seguridad de protocolo
de Internet, Internet
Protocol Security) ha
fallado.
4
Autenticación de IPSec
satisfactoria
18153
Indica que una
autenticación de IPSEC
ha sido satisfactoria.
1
1
Sesión de IPSec iniciada 18154
Indica que se ha iniciado 1
una sesión de IPSEC.
Sesión de IPSec
finalizada
Indica que ha finalizado
una sesión de IPSEC.
18155
230 IBM Security QRadar: Guía de administración de QRadar
1
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Error de IPSec
18156
Indica que se ha
notificado un mensaje
de error de IPSEC.
5
Estado de IPSEC
18157
Indica que se ha
notificado un mensaje
de estado de sesión de
IPSEC.
1
Sesión de IM abierta
18158
Indica que se ha
establecido una sesión
de mensajería
instantánea (IM).
1
Sesión de IM cerrada
18159
Indica que se ha cerrado 1
una sesión de IM.
Sesión de IM
restablecida
18160
Indica que se ha
restablecido una sesión
de IM.
Sesión de IM terminada
18161
Indica que se ha
3
terminado una sesión de
IM.
Sesión de IM denegada
18162
Indica que se ha
3
denegado una sesión de
IM.
Sesión de IM en curso
18163
Indica que hay una
sesión de IM en curso.
1
Sesión de IM retardada
18164
Indica que se ha
retardado una sesión de
IM.
3
Sesión de IM redirigida
18165
Indica que se ha
redirigido una sesión de
IM.
3
Sesión de Whois abierta
18166
Indica que se ha
establecido una sesión
de WHOIS.
1
3
Sesión de Whois cerrada 18167
Indica que se ha cerrado 1
una sesión de WHOIS.
Sesión de Whois
restablecida
18168
Indica que se ha
restablecido una sesión
de WHOIS.
Sesión de Whois
terminada
18169
Indica que se ha
3
terminado una sesión de
WHOIS.
Sesión de Whois
denegada
18170
Indica que se ha
3
denegado una sesión de
WHOIS.
3
Capítulo 20. Categorías de sucesos 231
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de Whois en
curso
18171
Indica que hay una
sesión de WHOIS en
curso.
1
Sesión de Whois
redirigida
18172
Indica que se ha
redirigido una sesión de
WHOIS.
3
Sesión de Traceroute
abierta
18173
Indica que se ha
establecido una sesión
de Traceroute.
1
Sesión de Traceroute
cerrada
18174
Indica que se ha cerrado 1
una sesión de
Traceroute.
Sesión de Traceroute
denegada
18175
Indica que se ha
3
denegado una sesión de
Traceroute.
Sesión de Traceroute en 18176
curso
Indica que hay una
sesión de Traceroute en
curso.
Sesión de TN3270
abierta
18177
TN3270 es un programa 1
de emulación de
terminal que se utiliza
para conectar con un
terminal IBM 3270. Esta
categoría indica que se
ha establecido una
sesión de TN3270.
Sesión de TN3270
cerrada
18178
Indica que se ha cerrado 1
una sesión de TN3270.
Sesión de TN3270
restablecida
18179
Indica que se ha
restablecido una sesión
de TN3270.
Sesión de TN3270
terminada
18180
Indica que se ha
3
terminado una sesión de
TN3270.
Sesión de TN3270
denegada
18181
Indica que se ha
3
denegado una sesión de
TN3270.
Sesión de TN3270 en
curso
18182
Indica que hay una
sesión de TN3270 en
curso.
1
Sesión de TFTP abierta
18183
Indica que se ha
establecido una sesión
de TFTP.
1
232 IBM Security QRadar: Guía de administración de QRadar
1
3
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de TFTP cerrada
18184
Indica que se ha cerrado 1
una sesión de TFTP.
Sesión de TFTP
restablecida
18185
Indica que se ha
restablecido una sesión
de TFTP.
Sesión de TFTP
terminada
18186
Indica que se ha
3
terminado una sesión de
TFTP.
Sesión de TFTP
denegada
18187
Indica que se ha
3
denegado una sesión de
TFTP.
3
Sesión de TFTP en curso 18188
Indica que hay una
sesión de TFTP en
curso.
1
Sesión de Telnet abierta 18189
Indica que se ha
establecido una sesión
de Telnet.
1
Sesión de Telnet cerrada 18190
Indica que se ha cerrado 1
una sesión de Telnet.
Sesión de Telnet
restablecida
18191
Indica que se ha
restablecido una sesión
de Telnet.
Sesión de Telnet
terminada
18192
Indica que se ha
3
terminado una sesión de
Telnet.
Sesión de Telnet
denegada
18193
Indica que se ha
3
denegado una sesión de
Telnet.
Sesión de Telnet en
curso
18194
Indica que hay una
sesión de Telnet en
curso.
1
Sesión de Syslog abierta 18201
Indica que se ha
establecido una sesión
de syslog.
1
Sesión de Syslog
cerrada
18202
Indica que se ha cerrado 1
una sesión de syslog.
Sesión de Syslog
denegada
18203
Indica que se ha
3
denegado una sesión de
syslog.
Sesión de Syslog en
curso
18204
Indica que hay una
sesión de syslog en
curso.
3
1
Capítulo 20. Categorías de sucesos 233
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de SSL abierta
18205
Indica que se ha
establecido una sesión
de SSL (capa de sockets
seguros).
1
Sesión de SSL cerrada
18206
Indica que se ha cerrado 1
una sesión de SSL.
Sesión de SSL
restablecida
18207
Indica que se ha
restablecido una sesión
de SSL.
3
Sesión de SSL terminada 18208
Indica que se ha
3
terminado una sesión de
SSL.
Sesión de SSL denegada 18209
Indica que se ha
3
denegado una sesión de
SSL.
Sesión de SSL en curso
18210
Indica que hay una
sesión de SSL en curso.
1
Sesión de SNMP abierta
18211
Indica que se ha
establecido una sesión
de SNMP (protocolo
simple de gestión de
red).
1
Sesión de SNMP cerrada 18212
Indica que se ha cerrado 1
una sesión de SNMP.
Sesión de SNMP
denegada
18213
Indica que se ha
3
denegado una sesión de
SNMP.
Sesión de SNMP en
curso
18214
Indica que hay una
sesión de SNMP en
curso.
1
Sesión de SMB abierta
18215
Indica que se ha
establecido una sesión
de SMB (bloque de
mensajes de servidor,
Server Message Block).
1
Sesión de SMB cerrada
18216
Indica que se ha cerrado 1
una sesión de SMB.
Sesión de SMB
restablecida
18217
Indica que se ha
restablecido una sesión
de SMB.
Sesión de SMB
terminada
18218
Indica que se ha
3
terminado una sesión de
SMB.
234 IBM Security QRadar: Guía de administración de QRadar
3
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de SMB
denegada
18219
Indica que se ha
3
denegado una sesión de
SMB.
Sesión de SMB en curso
18220
Indica que hay una
1
sesión de SMB en curso.
Sesión de medios en
modalidad continua
abierta
18221
Indica que se ha
1
establecido una sesión
de medios en modalidad
continua.
Sesión de medios en
modalidad continua
cerrada
18222
Indica que se ha cerrado 1
una sesión de medios en
modalidad continua.
Sesión de medios en
modalidad continua
restablecida
18223
Indica que se ha
3
restablecido una sesión
de medios en modalidad
continua.
Sesión de medios en
modalidad continua
terminada
18224
Indica que se ha
3
terminado una sesión de
medios en modalidad
continua.
Sesión de medios en
modalidad continua
denegada
18225
Indica que se ha
3
denegado una sesión de
medios en modalidad
continua.
Sesión de medios en
modalidad continua en
curso
18226
Indica que hay una
sesión de medios en
modalidad continua en
curso.
1
Sesión de RUSERS
abierta
18227
Indica que se ha
establecido una sesión
de RUSERS (usuarios
remotos).
1
Sesión de RUSERS
cerrada
18228
Indica que se ha cerrado 1
una sesión de RUSERS.
Sesión de RUSERS
denegada
18229
Indica que se ha
3
denegado una sesión de
RUSERS.
Sesión de RUSERS en
curso
18230
Indica que hay una
sesión de RUSERS en
curso.
1
Sesión de RSH abierta
18231
Indica que se ha
establecido una sesión
de rsh (shell remoto).
1
Capítulo 20. Categorías de sucesos 235
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Sesión de RSH cerrada
18232
Indica que se ha cerrado 1
una sesión de rsh.
Sesión de RSH
restablecida
18233
Indica que se ha
restablecido una sesión
de rsh.
Sesión de RSH
terminada
18234
Indica que se ha
3
terminado una sesión de
rsh.
Sesión de RSH
denegada
18235
Indica que se ha
3
denegado una sesión de
rsh.
Sesión de RSH en curso
18236
Indica que hay una
sesión de rsh en curso.
1
Sesión de RLOGIN
abierta
18237
Indica que se ha
establecido una sesión
de RLOGIN (inicio de
sesión remoto).
1
Sesión de RLOGIN
cerrada
18238
Indica que se ha cerrado 1
una sesión de RLOGIN.
Sesión de RLOGIN
restablecida
18239
Indica que se ha
restablecido una sesión
de RLOGIN.
Sesión de RLOGIN
terminada
18240
Indica que se ha
3
terminado una sesión de
RLOGIN.
Sesión de RLOGIN
denegada
18241
Indica que se ha
3
denegado una sesión de
RLOGIN.
Sesión de RLOGIN en
curso
18242
Indica que hay una
sesión de RLOGIN en
curso.
1
Sesión de REXEC abierta 18243
Indica que se ha
establecido una sesión
de REXEC (ejecución
remota).
1
Sesión de REXEC
cerrada
18244
Indica que se ha cerrado 1
una sesión de REXEC.
Sesión de REXEC
restablecida
18245
Indica que se ha
restablecido una sesión
de REXEC.
Sesión de REXEC
terminada
18246
Indica que se ha
3
terminado una sesión de
REXEC.
236 IBM Security QRadar: Guía de administración de QRadar
Nivel de gravedad (0 –
10)
3
3
3
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Sesión de REXEC
denegada
18247
Indica que se ha
3
denegado una sesión de
REXEC.
Sesión de REXEC en
curso
18248
Indica que hay una
sesión de REXEC en
curso.
1
Sesión de RPC abierta
18249
Indica que se ha
establecido una sesión
de RPC (llamada a
procedimiento remoto).
1
Sesión de RPC cerrada
18250
Indica que se ha cerrado 1
una sesión de RPC.
Sesión de RPC
restablecida
18251
Indica que se ha
restablecido una sesión
de RPC.
Sesión de RPC
terminada
18252
Indica que se ha
3
terminado una sesión de
RPC.
Sesión de RPC denegada 18253
Indica que se ha
3
denegado una sesión de
RPC.
Sesión de RPC en curso
18254
Indica que hay una
sesión de RPC en curso.
1
Sesión de NTP abierta
18255
Indica que se ha
establecido una sesión
de NTP (protocolo de
hora en red).
1
Sesión de NTP cerrada
18256
Indica que se ha cerrado 1
una sesión de NTP.
Sesión de NTP
restablecida
18257
Indica que se ha
restablecido una sesión
de NTP.
Sesión de NTP
terminada
18258
Indica que se ha
3
terminado una sesión de
NTP.
Sesión de NTP denegada 18259
Indica que se ha
3
denegado una sesión de
NTP.
Sesión de NTP en curso
Indica que hay una
sesión de NTP en curso.
18260
Nivel de gravedad (0 –
10)
3
3
1
Capítulo 20. Categorías de sucesos 237
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Sesión de NNTP abierta
18261
Indica que se ha
1
establecido una sesión
de NNTP (protocolo para
la transferencia de
noticias en red).
Sesión de NNTP cerrada 18262
Indica que se ha cerrado 1
una sesión de NNTP.
Sesión de NNTP
restablecida
18263
Indica que se ha
restablecido una sesión
de NNTP.
Sesión de NNTP
terminada
18264
Indica que se ha
3
terminado una sesión de
NNTP.
Sesión de NNTP
denegada
18265
Indica que se ha
3
denegado una sesión de
NNTP.
Sesión de NNTP en
curso
18266
Indica que hay una
sesión de NNTP en
curso.
1
Sesión de NFS abierta
18267
Indica que se ha
establecido una sesión
de NFS (Network File
System).
1
Sesión de NFS cerrada
18268
Indica que se ha cerrado 1
una sesión de NFS.
Sesión de NFS
restablecida
18269
Indica que se ha
restablecido una sesión
de NFS.
Sesión de NFS
terminada
18270
Indica que se ha
3
terminado una sesión de
NFS.
Sesión de NFS denegada 18271
Indica que se ha
3
denegado una sesión de
NFS.
Sesión de NFS en curso
18272
Indica que hay una
sesión de NFS en curso.
1
Sesión de NCP abierta
18273
Indica que se ha
establecido una sesión
de NCP (Network
Control Program).
1
Sesión de NCP cerrada
18274
Indica que se ha cerrado 1
una sesión de NCP.
238 IBM Security QRadar: Guía de administración de QRadar
Nivel de gravedad (0 –
10)
3
3
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de NCP
restablecida
18275
Indica que se ha
restablecido una sesión
de NCP.
3
Sesión de NCP
terminada
18276
Indica que se ha
3
terminado una sesión de
NCP.
Sesión de NCP
denegada
18277
Indica que se ha
3
denegado una sesión de
NCP.
Sesión de NCP en curso
18278
Indica que hay una
sesión de NCP en curso.
1
Sesión de NetBIOS
abierta
18279
Indica que se ha
establecido una sesión
de NetBIOS.
1
Sesión de NetBIOS
cerrada
18280
Indica que se ha cerrado 1
una sesión de NetBIOS.
Sesión de NetBIOS
restablecida
18281
Indica que se ha
restablecido una sesión
de NetBIOS.
Sesión de NetBIOS
terminada
18282
Indica que se ha
3
terminado una sesión de
NetBIOS.
Sesión de NetBIOS
denegada
18283
Indica que se ha
3
denegado una sesión de
NetBIOS.
Sesión de NetBIOS en
curso
18284
Indica que hay una
sesión de NetBIOS en
curso.
1
Sesión de MODBUS
abierta
18285
Indica que se ha
establecido una sesión
de MODBUS.
1
Sesión de MODBUS
cerrada
18286
Indica que se ha cerrado 1
una sesión de MODBUS.
Sesión de MODBUS
restablecida
18287
Indica que se ha
restablecido una sesión
de MODBUS.
Sesión de MODBUS
terminada
18288
Indica que se ha
3
terminado una sesión de
MODBUS.
Sesión de MODBUS
denegada
18289
Indica que se ha
3
denegado una sesión de
MODBUS.
3
3
Capítulo 20. Categorías de sucesos 239
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de MODBUS en
curso
18290
Indica que hay una
sesión de MODBUS en
curso.
1
Sesión de LPD abierta
18291
Indica que se ha
establecido una sesión
de LPD (daemon de
impresora de líneas).
1
Sesión de LPD cerrada
18292
Indica que se ha cerrado 1
una sesión de LPD.
Sesión de LPD
restablecida
18293
Indica que se ha
restablecido una sesión
de LPD.
Sesión de LPD
terminada
18294
Indica que se ha
3
terminado una sesión de
LPD.
Sesión de LPD denegada 18295
Indica que se ha
3
denegado una sesión de
LPD.
Sesión de LPD en curso
18296
Indica que hay una
sesión de LPD en curso.
1
Sesión de Lotus Notes
abierta
18297
Indica que se ha
establecido una sesión
de Lotus Notes.
1
Sesión de Lotus Notes
cerrada
18298
Indica que se ha cerrado 1
una sesión de Lotus
Notes.
Sesión de Lotus Notes
restablecida
18299
Indica que se ha
restablecido una sesión
de Lotus Notes.
Sesión de Lotus Notes
terminada
18300
Indica que se ha
3
terminado una sesión de
Lotus Notes.
Sesión de Lotus Notes
denegada
18301
Indica que se ha
3
denegado una sesión de
Lotus Notes.
Sesión de Lotus Notes
en curso
18302
Indica que hay una
sesión de Lotus Notes
en curso.
1
Sesión de Kerberos
abierta
18303
Indica que se ha
establecido una sesión
de Kerberos.
1
Sesión de Kerberos
cerrada
18304
Indica que se ha cerrado 1
una sesión de Kerberos.
240 IBM Security QRadar: Guía de administración de QRadar
3
3
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de Kerberos
restablecida
18305
Indica que se ha
restablecido una sesión
de Kerberos.
3
Sesión de Kerberos
terminada
18306
Indica que se ha
3
terminado una sesión de
Kerberos.
Sesión de Kerberos
denegada
18307
Indica que se ha
3
denegado una sesión de
Kerberos.
Sesión de Kerberos en
curso
18308
Indica que hay una
sesión de Kerberos en
curso.
1
Sesión de IRC abierta
18309
Indica que se ha
establecido una sesión
de IRC (Internet Relay
Chat).
1
Sesión de IRC cerrada
18310
Indica que se ha cerrado 1
una sesión de IRC.
Sesión de IRC
restablecida
18311
Indica que se ha
restablecido una sesión
de IRC.
3
Sesión de IRC terminada 18312
Indica que se ha
3
terminado una sesión de
IRC.
Sesión de IRC denegada 18313
Indica que se ha
3
denegado una sesión de
IRC.
Sesión de IRC en curso
18314
Indica que hay una
sesión de IRC en curso.
1
Sesión de IEC 104
abierta
18315
Indica que se ha
establecido una sesión
de IEC 104.
1
Sesión de IEC 104
cerrada
18316
Indica que se ha cerrado 1
una sesión de IEC 104.
Sesión de IEC 104
restablecida
18317
Indica que se ha
restablecido una sesión
de IEC 104.
Sesión de IEC 104
terminada
18318
Indica que se ha
3
terminado una sesión de
IEC 104.
Sesión de IEC 104
denegada
18319
Indica que se ha
3
denegado una sesión de
IEC 104.
3
Capítulo 20. Categorías de sucesos 241
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de IEC 104 en
curso
18320
Indica que hay una
sesión de IEC 104 en
curso.
1
Sesión de Ident abierta
18321
Indica que se ha
establecido una sesión
de Ident (protocolo de
identidad de cliente
TCP).
1
Sesión de Ident cerrada
18322
Indica que se ha cerrado 1
una sesión de Ident.
Sesión de Ident
restablecida
18323
Indica que se ha
restablecido una sesión
de Ident.
Sesión de Ident
terminada
18324
Indica que se ha
3
terminado una sesión de
Ident.
Sesión de Ident
denegada
18325
Indica que se ha
3
denegado una sesión de
Ident.
3
Sesión de Ident en curso 18326
Indica que hay una
sesión de Ident en
curso.
1
Sesión de ICCP abierta
18327
Indica que se ha
establecido una sesión
de ICCP (Inter-Control
Center Communications
Protocol).
1
Sesión de ICCP cerrada
18328
Indica que se ha cerrado 1
una sesión de ICCP.
Sesión de ICCP
restablecida
18329
Indica que se ha
restablecido una sesión
de ICCP.
Sesión de ICCP
terminada
18330
Indica que se ha
3
terminado una sesión de
ICCP.
Sesión de ICCP
denegada
18331
Indica que se ha
3
denegado una sesión de
ICCP.
Sesión de ICCP en curso 18332
Indica que hay una
1
sesión de ICCP en curso.
Sesión de
GroupWiseSession
abierta
Indica que se ha
establecido una sesión
de GroupWise.
18333
242 IBM Security QRadar: Guía de administración de QRadar
3
1
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de GroupWise
cerrada
18334
Indica que se ha cerrado 1
una sesión de
GroupWise.
Sesión de GroupWise
restablecida
18335
Indica que se ha
restablecido una sesión
de GroupWise.
Sesión de GroupWise
terminada
18336
Indica que se ha
3
terminado una sesión de
GroupWise.
Sesión de GroupWise
denegada
18337
Indica que se ha
3
denegado una sesión de
GroupWise.
3
Sesión de GroupWise en 18338
curso
Indica que hay una
sesión de GroupWise en
curso.
1
Sesión de Gopher
abierta
183398
Indica que se ha
establecido una sesión
de Gopher.
1
Sesión de Gopher
cerrada
18340
Indica que se ha cerrado 1
una sesión de Gopher.
Sesión de Gopher
restablecida
18341
Indica que se ha
restablecido una sesión
de Gopher.
Sesión de Gopher
terminada
18342
Indica que se ha
3
terminado una sesión de
Gopher.
Sesión de Gopher
denegada
18343
Indica que se ha
3
denegado una sesión de
Gopher.
Sesión de Gopher en
curso
18344
Indica que hay una
sesión de Gopher en
curso.
1
Sesión de GIOP abierta
18345
Indica que se ha
establecido una sesión
de GIOP (protocolo
Inter-ORB general).
1
Sesión de GIOP cerrada
18346
Indica que se ha cerrado 1
una sesión de GIOP.
Sesión de GIOP
restablecida
18347
Indica que se ha
restablecido una sesión
de GIOP.
Sesión de GIOP
terminada
18348
Indica que se ha
3
terminado una sesión de
GIOP.
3
3
Capítulo 20. Categorías de sucesos 243
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de GIOP
denegada
18349
Indica que se ha
3
denegado una sesión de
GIOP.
Sesión de GIOP en curso 18350
Indica que hay una
sesión de GIOP en
curso.
1
Sesión de Finger abierta
Indica que se ha
establecido una sesión
de Finger.
1
18351
Sesión de Finger cerrada 18352
Indica que se ha cerrado 1
una sesión de Finger.
Sesión de Finger
restablecida
18353
Indica que se ha
restablecido una sesión
de Finger.
Sesión de Finger
terminada
18354
Indica que se ha
3
terminado una sesión de
Finger.
Sesión de Finger
denegada
18355
Indica que se ha
3
denegado una sesión de
Finger.
Sesión de Finger en
curso
18356
Indica que hay una
sesión de Finger en
curso.
1
Sesión de Echo abierta
18357
Indica que se ha
establecido una sesión
de Echo.
1
Sesión de Echo cerrada
18358
Indica que se ha cerrado 1
una sesión de Echo.
Sesión de Echo
denegada
18359
Indica que se ha
3
denegado una sesión de
Echo.
Sesión de Echo en curso 18360
Indica que hay una
1
sesión de Echo en curso.
Sesión de .NET remota
abierta
18361
Indica que se ha
establecido una sesión
de .NET remota.
Sesión de .NET remota
cerrada
18362
Indica que se ha cerrado 1
una sesión de .NET
remota.
Sesión de .NET remota
restablecida
18363
Indica que se ha
restablecido una sesión
de .NET remota.
244 IBM Security QRadar: Guía de administración de QRadar
3
1
3
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de .NET remota
terminada
18364
Indica que se ha
terminado una sesión
de .NET remota.
3
Sesión de .NET remota
denegada
18365
Indica que se ha
denegado una sesión
de .NET remota.
3
Sesión de .NET remota
en curso
18366
Indica que hay una
sesión de .NET remota
en curso.
1
Sesión de DNP3 abierta
18367
Indica que se ha
establecido una sesión
de DNP3 (Distributed
Network Proctologic).
1
Sesión de DNP3 cerrada
18368
Indica que se ha cerrado 1
una sesión de DNP3.
Sesión de DNP3
restablecida
18369
Indica que se ha
restablecido una sesión
de DNP3.
Sesión de DNP3
terminada
18370
Indica que se ha
3
terminado una sesión de
DNP3.
Sesión de DNP3
denegada
18371
Indica que se ha
3
denegado una sesión de
DNP3.
Sesión de DNP3 en
curso
18372
Indica que hay una
sesión de DNP3 en
curso.
1
Sesión de descarte
abierta
18373
Indica que se ha
establecido una sesión
de descarte.
1
Sesión de descarte
cerrada
18374
Indica que se ha cerrado 1
una sesión de descarte.
Sesión de descarte
restablecida
18375
Indica que se ha
restablecido una sesión
de descarte.
Sesión de descarte
terminada
18376
Indica que se ha
3
terminado una sesión de
descarte.
Sesión de descarte
denegada
18377
Indica que se ha
3
denegado una sesión de
descarte.
Sesión de descarte en
curso
18378
Indica que hay una
sesión de descarte en
curso.
3
3
1
Capítulo 20. Categorías de sucesos 245
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de DHCP abierta
18379
Indica que se ha
establecido una sesión
de DHCP (protocolo de
configuración dinámica
de hosts).
1
Sesión de DHCP cerrada 18380
Indica que se ha cerrado 1
una sesión de DHCP.
Sesión de DHCP
denegada
18381
Indica que se ha
3
denegado una sesión de
DHCP.
Sesión de DHCP en
curso
18382
Indica que hay una
sesión de DHCP en
curso.
Éxito de DHCP
18383
Indica que se ha
1
obtenido un
arrendamiento de DHCP
satisfactoriamente.
Anomalía de DHCP
18384
Indica que se ha podido 3
obtener un
arrendamiento de DHCP.
Sesión de CVS abierta
18385
Indica que se ha
establecido una sesión
de CVS (sistema de
versiones simultáneas).
Sesión de CVS cerrada
18386
Indica que se ha cerrado 1
una sesión de CVS.
Sesión de CVS
restablecida
18387
Indica que se ha
restablecido una sesión
de CVS.
Sesión de CVS
terminada
18388
Indica que se ha
3
terminado una sesión de
CVS.
Sesión de CVS denegada 18389
Indica que se ha
3
denegado una sesión de
CVS.
Sesión de CVS en curso
18390
Indica que hay una
sesión de CVS en curso.
Sesión de CUPS abierta
18391
Indica que se ha
1
establecido una sesión
de CUPS (Common UNIX
Printing System).
Sesión de CUPS cerrada
18392
Indica que se ha cerrado 1
una sesión de CUPS.
246 IBM Security QRadar: Guía de administración de QRadar
1
1
3
1
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de CUPS
restablecida
18393
Indica que se ha
restablecido una sesión
de CUPS.
3
Sesión de CUPS
terminada
18394
Indica que se ha
3
terminado una sesión de
CUPS.
Sesión de CUPS
denegada
18395
Indica que se ha
3
denegado una sesión de
CUPS.
Sesión de CUPS en
curso
18396
Indica que hay una
sesión de CUPS en
curso.
Sesión de Chargen
iniciada
18397
Indica que se ha iniciado 1
una sesión de Chargen
(generador de
caracteres).
Sesión de Chargen
cerrada
18398
Indica que se ha cerrado 1
una sesión de Chargen.
Sesión de Chargen
restablecida
18399
Indica que se ha
restablecido una sesión
de Chargen.
Sesión de Chargen
terminada
18400
Indica que se ha
3
terminado una sesión de
Chargen.
Sesión de Chargen
denegada
18401
Indica que se ha
3
denegado una sesión de
Chargen.
Sesión de Chargen en
curso
18402
Indica que hay una
sesión de Chargen en
curso.
VPN variada
18403
Indica que se ha
1
detectado una sesión de
VPN variada.
Sesión de DAP iniciada
18404
Indica que se ha
establecido una sesión
de DAP.
1
Sesión de DAP finalizada 18405
Indica que ha finalizado
una sesión de DAP.
1
Sesión de DAP
denegada
Indica que se ha
3
denegado una sesión de
DAP.
18406
1
3
1
Capítulo 20. Categorías de sucesos 247
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Estado de sesión de DAP 18407
Indica que se ha
realizado una solicitud
de estado de sesión de
DAP.
1
Sesión de DAP en curso
18408
Indica que hay una
sesión de DAP en curso.
1
Autenticación de DAP
fallida
18409
Indica que una
4
autenticación de DAP ha
fallado.
Autenticación de DAP
satisfactoria
18410
Indica que una
1
autenticación de DAP ha
sido satisfactoria.
Sesión de TOR iniciada
18411
Indica que se ha
establecido una sesión
de TOR.
Sesión de TOR cerrada
18412
Indica que se ha cerrado 1
una sesión de TOR.
Sesión de TOR
restablecida
18413
Indica que se ha
restablecido una sesión
de TOR.
Sesión de TOR
terminada
18414
Indica que se ha
3
terminado una sesión de
TOR.
Sesión de TOR
denegada
18415
Indica que se ha
3
denegado una sesión de
TOR.
Sesión de TOR en curso
18416
Indica que hay una
sesión de TOR en curso.
1
3
1
Sesión de Game iniciada 18417
Indica que se ha iniciado 1
una sesión de juego.
Sesión de Game cerrada 18418
Indica que se ha cerrado 1
una sesión de juego.
Sesión de Game
restablecida
18419
Indica que se ha
restablecido una sesión
de juego.
Sesión de Game
terminada
18420
Indica que se ha
3
terminado una sesión de
juego.
Sesión de Game
denegada
18421
Indica que se ha
3
denegado una sesión de
juego.
248 IBM Security QRadar: Guía de administración de QRadar
3
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sesión de Game en
curso
18422
Indica que hay una
sesión de juego en
curso.
1
Intento de inicio de
sesión de administrador
18423
Indica que se ha
detectado un intento de
iniciar una sesión como
usuario administrativo.
2
Intento de inicio de
sesión de usuario
18424
Indica que se ha
detectado un intento de
iniciar una sesión como
usuario no
administrativo.
2
Servidor de cliente
18425
Indica actividad de
cliente/servidor.
1
Entrega de contenido
18426
Indica actividad de
entrega de contenido.
1
Transferencia de Datos
18427
Indica un transferencia
de datos.
3
Depósito de datos
18428
Indica actividad de
depósito de datos.
3
Servicios de directorio
18429
Indica actividad de
servicios de directorio.
2
Impresión de archivos
18430
Indica actividad de
impresión de archivos.
1
Transferencia de
archivos
18431
Indica transferencia de
archivos.
2
Juegos
18432
Indica actividad de
juegos.
4
Asistencia médica
18433
Indica actividad de
asistencia médica.
1
Sistema interno
18434
Indica actividad de un
sistema interno.
1
Protocolo Internet
18435
Indica actividad del
protocolo Internet.
1
Legado
18436
Indica actividad de
legado.
1
Correo
18437
Indica actividad de
correo.
1
Misc
18438
Indica actividad varia.
2
Multimedia
18439
Indica actividad
multimedia.
2
Capítulo 20. Categorías de sucesos 249
Tabla 57. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Gestión de red
18440
Indica actividad de
gestión de red.
P2P
18441
Indica actividad P2P (de 4
igual a igual).
Acceso remoto
18442
Indica actividad de
acceso remoto.
3
Protocolos de
direccionamiento
18443
Indica actividad de los
protocolos de
direccionamiento.
1
Protocolo de seguridad
18444
Indica actividad del
protocolo de seguridad.
2
Modalidad continua
18445
Indica actividad de
modalidad continua.
2
Protocolo no común
18446
Indica actividad de
protocolo no común.
3
VoIP
18447
Indica actividad de VoIP. 1
Web
18448
Indica actividad web.
1
ICMP
18449
Indica actividad de
ICMP.
1
Auditoría
La categoría de auditoría contiene sucesos que están relacionados con la actividad de auditoría, como el
correo electrónico o la actividad de FTP.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de auditoría.
Tabla 58. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Suceso de auditoría
general
19001
Indica que ha
comenzado un suceso
de auditoría general.
1
Ejecución incorporada
19002
Indica que se ha
ejecutado una tarea de
auditoría incorporada.
1
Copia masiva
19003
Indica que se ha
detectado una copia
masiva de datos.
1
Vuelco de datos
19004
Indica que se ha
detectado un vuelco de
datos.
1
250 IBM Security QRadar: Guía de administración de QRadar
Tabla 58. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Importación de datos
19005
Indica que se ha
detectado una
importación de datos.
1
Selección de datos
19006
Indica que se ha
1
detectado un proceso de
selección de datos.
Recorte de datos
19007
Indica que se ha
1
detectado un proceso de
recorte de datos.
Actualización de datos
19008
Indica que se ha
1
detectado un proceso de
actualización de datos.
Ejecución
desencadenante/
procedimiento
19009
Indica que se ha
detectado la ejecución
de un procedimiento de
base de datos o de un
desencadenante.
1
Cambio de esquema
19010
Indica que se ha
alterado el esquema de
la ejecución de un
procedimiento o de un
desencadenante.
1
Actividad de creación
intentada
19011
Indica que se ha
intentado una actividad
de creación.
1
Actividad de creación
satisfactoria
19012
Indica que la actividad
de creación ha sido
satisfactoria.
1
Actividad de creación
fallida
19013
Indica que la actividad
de creación ha fallado.
3
Actividad de lectura
intentada
19014
Indica que se ha
intentado una actividad
de lectura.
1
Actividad de lectura
satisfactoria
19015
Indica que se una
actividad de lectura ha
sido satisfactoria.
1
Actividad de lectura
fallida
19016
Indica que la actividad
de lectura ha fallado.
3
Actividad de
actualización intentada
19017
Indica que se ha
intentado una actividad
de actualización.
1
Actividad de
actualización
satisfactoria
19018
Indica que la actividad
de actualización ha sido
satisfactoria.
1
Capítulo 20. Categorías de sucesos 251
Tabla 58. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Actividad de
actualización fallida
19019
Indica que la actividad
de actualización ha
fallado.
3
Actividad de supresión
intentada
19020
Indica que se ha
intentado una actividad
de supresión.
1
Actividad de supresión
satisfactoria
19021
Indica que la actividad
de supresión ha sido
satisfactoria.
1
Actividad de supresión
fallida
19022
Indica que la actividad
de supresión ha fallado.
3
Actividad de copia de
seguridad intentada
19023
Indica que se ha
intentado una actividad
de copia de seguridad.
1
Actividad de copia de
seguridad satisfactoria
19024
Indica que la actividad
de copia de seguridad
ha sido satisfactoria.
1
Actividad de copia de
seguridad fallida
19025
Indica que la actividad
de copia de seguridad
ha fallado.
3
Actividad de captura
intentada
19026
Indica que se ha
intentado una actividad
de captura.
1
Actividad de captura
satisfactoria
19027
Indica que la actividad
de captura ha sido
satisfactoria.
1
Actividad de captura
fallida
19028
Indica que la actividad
de captura ha fallado.
3
Actividad de
configuración intentada
19029
Indica que se ha
intentado una actividad
de configuración.
1
Actividad de
configuración
satisfactoria
19030
Indica que la actividad
1
de configuración ha sido
satisfactoria.
Actividad de
configuración fallida
19031
Indica que la actividad
de configuración ha
fallado.
3
Actividad de despliegue
intentada
19032
Indica que se ha
intentado una actividad
de despliegue.
1
Actividad de despliegue
satisfactoria
19033
Indica que la actividad
de despliegue ha sido
satisfactoria.
1
252 IBM Security QRadar: Guía de administración de QRadar
Tabla 58. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Actividad de despliegue
fallida
19034
Indica que la actividad
de despliegue ha
fallado.
3
Actividad de
inhabilitación intentada
19035
Indica que se ha
intentado una actividad
de inhabilitación.
1
Actividad de
inhabilitación
satisfactoria
19036
Indica que la actividad
1
de inhabilitación ha sido
satisfactoria.
Actividad de
inhabilitación fallida
19037
Indica que la actividad
de inhabilitación ha
fallado.
3
Actividad de habilitación 19038
intentada
Indica que se ha
intentado una actividad
de habilitación.
1
Actividad de habilitación 19039
satisfactoria
Indica que la actividad
de habilitación ha sido
satisfactoria.
1
Actividad de habilitación 19040
fallida
Indica que la actividad
de habilitación ha
fallado.
3
Actividad de supervisión 19041
intentada
Indica que se ha
intentado una actividad
de supervisión.
1
Actividad de supervisión 19042
satisfactoria
Indica que la actividad
de supervisión ha sido
satisfactoria.
1
Actividad de supervisión 19043
fallida
Indica que la actividad
de supervisión ha
fallado.
3
Actividad de
restauración intentada
19044
Indica que se ha
intentado una actividad
de restauración.
1
Actividad de
restauración
satisfactoria
19045
Indica que la actividad
de restauración ha sido
satisfactoria.
1
Actividad de
restauración fallida
19046
Indica que la actividad
de restauración ha
fallado.
3
Actividad de inicio
intentada
19047
Indica que se ha
intentado una actividad
de inicio.
1
Capítulo 20. Categorías de sucesos 253
Tabla 58. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Actividad de inicio
satisfactoria
19048
Indica que la actividad
de inicio ha sido
satisfactoria.
1
Actividad de inicio
fallida
19049
Indica que la actividad
de inicio ha fallado.
3
Actividad de detención
intentada
19050
Indica que se ha
intentado una actividad
de detención.
1
Actividad de detención
satisfactoria
19051
Indica que la actividad
de detención ha sido
satisfactoria.
1
Actividad de detención
fallida
19052
Indica que la actividad
de detención ha fallado.
3
Actividad de no
despliegue intentada
19053
Indica que se ha
intentado una actividad
de no despliegue.
1
Actividad de no
despliegue satisfactoria
19054
Indica que la actividad
1
de no despliegue ha sido
satisfactoria.
Actividad de no
despliegue fallida
19055
Indica que la actividad
de no despliegue ha
fallado.
3
Actividad de recepción
intentada
19056
Indica que se ha
intentado una actividad
de recepción.
1
Actividad de recepción
satisfactoria
19057
Indica que la actividad
de recepción ha sido
satisfactoria.
1
Actividad de recepción
intentada
19058
Indica que la actividad
de recepción ha fallado
3
Actividad de envío
intentada
19059
Indica que se ha
intentado una actividad
de envío.
1
Actividad de envío
satisfactoria
19060
Indica que la actividad
de envío ha sido
satisfactoria.
1
Actividad de envío
fallida
19061
Indica que la actividad
de envío ha fallado.
3
Control
La categoría de control contiene sucesos que están relacionados con el sistema de hardware.
254 IBM Security QRadar: Guía de administración de QRadar
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de control.
Tabla 59. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de control
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Lectura de dispositivo
22001
Indica que un
dispositivo se ha leído.
1
Comunicación de
dispositivo
22002
Indica la comunicación
con un dispositivo.
1
Auditoría de dispositivo
22003
Indica que se ha
efectuado una auditoría
de dispositivo.
1
Suceso de dispositivo
22004
Indica que se ha
producido un suceso de
dispositivo.
1
Ping de dispositivo
22005
Indica que se ha
efectuado una acción
ping a un dispositivo.
1
Configuración de
dispositivo
22006
Indica que un
dispositivo se ha
configurado.
1
Registro de dispositivo
22007
Indica que un
dispositivo se ha
registrado.
1
Ruta de dispositivo
22008
Indica que se ha
1
efectuado una acción de
ruta de dispositivo.
Importación de
dispositivo
22009
Indica que se ha
efectuado una
importación de
dispositivo.
Información de
dispositivo
22010
Indica que se ha
1
efectuado una acción de
información de
dispositivo.
Aviso de dispositivo
22011
Indica que se ha
1
generado un aviso sobre
un dispositivo.
Error de dispositivo
22012
Indica que se ha
generado un error sobre
un dispositivo.
1
Suceso de relé
22013
Indica un suceso de
relé.
1
Suceso de NIC
22014
Indica un suceso de
1
tarjeta de interfaz de red
(NIC).
1
Capítulo 20. Categorías de sucesos 255
Tabla 59. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de control
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Suceso de UIQ
22015
Indica un suceso en un
dispositivo móvil.
1
Suceso de IMU
22016
Indica un suceso en una 1
unidad de gestión
integrada (IMU).
Suceso de facturación
22017
Indica un suceso de
facturación.
1
Suceso de DBMS
22018
Indica un suceso en el
sistema de gestión de
bases de datos (DBMS).
1
Suceso de importación
22019
Indica que se ha
efectuado una
importación.
1
Importación de
ubicación
22020
Indica que se ha
efectuado una
importación de
ubicación.
1
Importación de ruta
22021
Indica que se ha
efectuado una
importación de ruta.
1
Suceso de exportación
22022
Indica que se ha
efectuado una
exportación.
1
Señalización remota
22023
Indica señalización
remota.
1
Estado de pasarela
22024
Indica el estado de
pasarela.
1
Suceso de trabajo
22025
Indica que se ha
efectuado un trabajo.
1
Suceso de seguridad
22026
Indica que se ha
producido un suceso de
seguridad.
1
Detección de alteración
de dispositivo
22027
Indica que el sistema ha 1
detectado una acción de
manipulación indebida.
Suceso de tiempo
22028
Indica que se ha
producido un suceso de
tiempo.
1
Comportamiento
sospechoso
22029
Indica que se ha
producido un
comportamiento
sospechoso.
1
256 IBM Security QRadar: Guía de administración de QRadar
Tabla 59. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de control
(continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Corte de alimentación
22030
Indica que se ha
1
producido un corte en la
alimentación.
Restauración de
alimentación
22031
Indica que la
alimentación se ha
restaurado.
Pulsación
22032
Indica que se ha
1
efectuado una acción de
ping de pulsaciones.
Suceso de conexión
remota
22033
Indica una conexión
remota con el sistema.
1
1
Perfilador de activos
La categoría de perfilador de activos contiene sucesos que están relacionados con los perfiles de los
activos.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de perfilador de activos.
Tabla 60. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de
activos
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Activo creado
23001
Indica que se ha creado
un activo.
1
Activo actualizado
23002
Indica que un activo se
ha actualizado.
1
Activo observado
23003
Indica que un activo se
ha observado.
1
Activo movido
23004
Indica que se ha movido 1
un activo.
Activo suprimido
23005
Indica que un activo se
ha suprimido.
1
Nombre de host de
activo limpiado
23006
Indica que un nombre
de host se ha limpiado.
1
Nombre de host de
activo creado
23007
Indica que se ha creado
un nombre de host.
1
Nombre de host de
activo actualizado
23008
Indica que se ha
actualizado un nombre
de host.
1
Nombre de host de
activo observado
23009
Indica que un nombre
1
de host se ha observado.
Capítulo 20. Categorías de sucesos 257
Tabla 60. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de
activos (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nombre de host de
activo movido
23010
Indica que se ha movido 1
un nombre de host.
Nombre de host de
activo suprimido
23011
Indica que se ha
1
suprimido un nombre de
host.
Puerto de activo
limpiado
23012
Indica que un nombre
de puerto se ha
limpiado.
1
Puerto de activo creado
23013
Indica que se ha creado
un puerto.
1
Puerto de activo
actualizado
23014
Indica que se ha
actualizado un puerto.
1
Puerto de activo
observado
23015
Indica que un puerto se
ha observado.
1
Puerto de activo movido
23016
Indica que se ha movido 1
un puerto.
Puerto de activo
suprimido
23017
Indica que se ha
suprimido un puerto.
Instancia de
vulnerabilidad de activo
limpiado
23018
Indica que una instancia 1
de vulnerabilidad se ha
limpiado.
Instancia de
vulnerabilidad de activo
creado
23019
Indica que se ha creado
una instancia de
vulnerabilidad.
Instancia de
vulnerabilidad de activo
actualizado
23020
Indica que una instancia 1
de vulnerabilidad se ha
actualizado.
Instancia de
vulnerabilidad de activo
observado
23021
Indica que una instancia 1
de vulnerabilidad se ha
observado.
Instancia de
vulnerabilidad de activo
movido
23022
Indica que se ha movido 1
una instancia de
vulnerabilidad.
Instancia de
vulnerabilidad de activo
suprimido
23023
Indica que se ha
suprimido una instancia
de vulnerabilidad.
1
Sistema operativo de
activo limpiado
23024
Indica que un sistema
operativo se ha
limpiado.
1
Sistema operativo de
activo creado
23025
Indica que se ha creado
un sistema operativo.
1
258 IBM Security QRadar: Guía de administración de QRadar
Nivel de gravedad (0 –
10)
1
1
Tabla 60. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de
activos (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Sistema operativo de
activo actualizado
23026
Indica que sistema
operativo se ha
actualizado.
1
Sistema operativo de
activo observado
23027
Indica que un sistema
operativo se ha
observado.
1
Sistema operativo de
activo movido
23028
Indica que se ha movido 1
sistema operativo.
Sistema operativo de
activo suprimido
23029
Indica que un sistema
operativo se ha
suprimido.
1
Propiedad de activo
limpiada
23030
Indica que una
propiedad se ha
limpiado.
1
Propiedad de activo
creada
23031
Indica que se ha creado
una propiedad.
1
Propiedad de activo
actualizada
23032
Indica que se ha
actualizado una
propiedad.
1
Propiedad de activo
observada
23033
Indica que una
propiedad se ha
observado.
1
Propiedad de activo
movida
23034
Indica que se ha movido 1
una propiedad.
Propiedad de activo
suprimida
23035
Indica que se ha movido 1
una propiedad.
Dirección de IP de activo 23036
limpiada
Indica que una dirección 1
IP se ha limpiado.
Dirección de IP de activo 23037
creada
Indica que se ha creado
una dirección IP.
Dirección de IP de activo 23038
actualizada
Indica que una dirección 1
IP se ha actualizado.
Dirección de IP de activo 23039
observada
Indica que una dirección 1
IP se ha observado.
Dirección de IP de activo 23040
movida
Indica que se ha movido 1
una dirección IP.
Dirección de IP de activo 23041
suprimida
Indica que una dirección 1
IP se ha suprimido.
Interfaz de activo
limpiada
Indica que una interfaz
se ha limpiado.
1
Indica que se ha creado
una interfaz.
1
23042
Interfaz de activo creada 23043
1
Capítulo 20. Categorías de sucesos 259
Tabla 60. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de
activos (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Interfaz de activo
actualizada
23044
Indica que una interfaz
se ha actualizado.
1
Interfaz de activo
observada
23045
Indica que una interfaz
se ha observado.
1
Interfaz de activo
movida
23046
Indica que se ha movido 1
una interfaz.
Interfaz de activo
fusionada
23047
Indica que una interfaz
se ha fusionado.
1
Interfaz de activo
suprimida
23048
Indica que una interfaz
se ha suprimido.
1
Usuario de activo
limpiado
23049
Indica que se ha
limpiado un usuario.
1
Usuario de activo
observado
23050
Indica que un usuario se 1
ha observado.
Usuario de activo
movido
23051
Indica que se ha movido 1
un usuario.
Usuario de activo
suprimido
23052
Indica que se ha
suprimido un usuario.
1
Política explorada de
activo limpiada
23053
Indica que una política
explorada se ha
limpiado.
1
Política explorada de
activo observada
23054
Indica que una política
explorada se ha
observado.
1
Política explorada de
activo movida
23055
Indica que se ha movido 1
una política explorada.
Política explorada de
activo suprimida
23056
Indica que se ha
suprimido una política
explorada.
1
Aplicación de Windows
de activo limpiada
23057
Indica que una
aplicación de Windows
se ha limpiado.
1
Aplicación de Windows
de activo observada
23058
Indica que una
aplicación de Windows
se ha observado.
1
Aplicación de Windows
de activo movida
23059
Indica que se ha movido 1
una aplicación de
Windows.
Aplicación de Windows
de activo suprimida
23060
Indica que se ha
suprimido una
aplicación de Windows.
260 IBM Security QRadar: Guía de administración de QRadar
1
Tabla 60. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de
activos (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Servicio explorado de
activo limpiado
23061
Indica que un servicio
explorado se ha
limpiado.
1
Servicio explorado de
activo observado
23062
Indica que un servicio
explorado se ha
observado.
1
Servicio explorado de
activo movido
23063
Indica que se ha movido 1
un servicio explorado.
Servicio explorado de
activo suprimido
23064
Indica que se ha
suprimido un servicio
explorado.
Parche de Windows de
activo limpiado
23065
Indica que un parche de 1
Windows se ha limpiado.
Parche de Windows de
activo observado
23066
Indica que un parche de
Windows se ha
observado.
1
Parche de Windows de
activo movido
23067
Indica que un parche de
Windows se ha movido.
1
Parche de Windows de
activo suprimido
23068
Indica que se ha
suprimido un parche de
Windows.
1
Parche de UNIX de
activo limpiado
23069
Indica que un parche de
UNIX se ha limpiado.
1
Parche de UNIX de
activo observado
23070
Indica que un parche de
UNIX se ha observado.
1
Parche de UNIX de
activo movido
23071
Indica que un parche de
UNIX se ha movido.
1
Parche de UNIX de
activo suprimido
23072
Indica que se ha
suprimido un parche de
UNIX.
1
Exploración de parche
de activo limpiada
23073
Indica que una
exploración de parche
se ha limpiado.
1
Exploración de parche
de activo creada
23074
Indica que se ha creado
una exploración de
parche.
1
Exploración de parche
de activo movida
23075
Indica que se ha movido 1
una exploración de
parche.
Exploración de parche
de activo suprimida
23076
Indica que se ha
suprimido una
exploración de parche.
1
1
Capítulo 20. Categorías de sucesos 261
Tabla 60. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de
activos (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Exploración de puerto
de activo limpiada
23077
Indica que una
1
exploración de puerto se
ha limpiado.
Exploración de puerto
de activo creada
23078
Indica que una
1
exploración de puerto se
ha limpiado.
Exploración de puerto
de activo movida
23079
Indica que se ha movido 1
una exploración de
parche.
Exploración de puerto
de activo suprimida
23080
Indica que se ha
suprimido una
exploración de parche.
1
Aplicación de cliente de
activo limpiada
23081
Indica que una
aplicación de cliente se
ha limpiado.
1
Aplicación de cliente de
activo observada
23082
Indica que una
aplicación de cliente se
ha observado.
1
Aplicación de cliente de
activo movida
23083
Indica que se ha movido 1
una aplicación de
cliente.
Aplicación de cliente de
activo suprimida
23084
Indica que se ha
suprimido una
aplicación de cliente.
1
Exploración de parche
de activo observada
23085
Indica que una
exploración de parche
se ha observado.
1
Exploración de puerto
de activo observada
23086
Indica que una
1
exploración de puerto se
ha observado.
Grupo de NetBIOS
creado
23087
Indica que se ha creado
un grupo de NetBIOS.
1
Grupo de NetBIOS
actualizado
23088
Indica que se ha
actualizado un grupo de
NetBIOS.
1
Grupo de NetBIOS
observado
23089
Indica que se ha
observado un grupo de
NetBIOS.
1
Grupo de NetBIOS
suprimido
23090
Indica que se ha
suprimido un grupo de
NetBIOS.
1
Grupo de NetBIOS
limpiado
23091
Indica que se ha
limpiado un grupo de
NetBIOS.
1
262 IBM Security QRadar: Guía de administración de QRadar
Nivel de gravedad (0 –
10)
Tabla 60. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de
activos (continuación)
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Grupo de NetBIOS
movido
23092
Indica que se ha movido 1
un grupo de NetBIOS.
Percepción
La categoría de percepción contiene sucesos que están relacionados con el análisis del comportamiento
de usuario de percepción.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de percepción.
Tabla 61.
Categoría de sucesos
de nivel bajo
ID de categoría
Descripción
Nivel de gravedad (0 –
10)
Comportamiento del
usuario
24001
Indica el
comportamiento del
usuario.
5
Ubicación geográfica del 24002
usuario
Indica la ubicación
geográfica del usuario.
5
Huso horario del usuario 24003
Indica el huso horario
del usuario.
5
Acceso del usuario
24004
Indica el acceso del
usuario.
5
Privilegio del usuario
24005
Indica el privilegio del
usuario.
5
Riesgo del usuario
24006
Indica el riesgo del
usuario.
5
Percepción de la
infracción
24007
Indica que se ha
producido una
percepción de la
infracción.
5
Riesgo del recurso
24008
Indica los recursos en
riesgo.
5
Capítulo 20. Categorías de sucesos 263
264 IBM Security QRadar: Guía de administración de QRadar
Capítulo 21. Servidores y puertos comunes utilizados
por QRadar
IBM QRadar requiere que determinados puertos estén preparados para recibir información de los
componentes y la infraestructura externa de QRadar. Para asegurarse de que QRadar está utilizando la
información de seguridad más reciente, también necesita acceso a los servidores públicos y canales de
información RSS.
Comunicación SSH en el puerto 22
Todos los puertos que se describen en la consola de QRadar pueden ser túneles, mediante cifrado, a
través del puerto 22 sobre SSH.
La consola conecta con los hosts gestionados mediante una sesión SSH cifrada para comunicarse de
forma segura. Estas sesiones de SSH se inician desde la consola para proporcionar datos al host
gestionado. Por ejemplo, QRadar Console puede iniciar varias sesiones de SSH en los dispositivos de
Procesador de sucesos para establecer una comunicación segura. Esta comunicación puede incluir
puertos túnel sobre SSH, como los datos HTTPS para el puerto 443 y los datos de consulta de Ariel para
el puerto 32006. Los IBM QRadar QFlow Collector que utilizan cifrado pueden iniciar sesiones de SSH
para los dispositivos de procesador de flujo que necesitan datos.
Puertos abiertos que no son necesarios para QRadar
Es posible que encuentre más puertos abiertos en las siguientes situaciones:
• Cuando instala QRadar en su propio hardware, puede ver puertos abiertos utilizados por servicios,
daemons y programas incluidos en Red Hat Enterprise Linux.
• Cuando monta o exporta un comportamiento de archivos de red puede ver puertos asignados
dinámicamente necesarios para servicios RPC, como por ejemplo rpc.mountd y rpc.rquotad.
Conceptos relacionados
Prestaciones en el producto IBM QRadar
Utilización de puertos de QRadar
Revise la lista de puertos comunes que los servicios y componentes de IBM QRadar utilizan para
comunicarse a través de la red. Puede utilizar la lista de puertos para determinar qué puertos deben estar
abiertos en la red. Por ejemplo, puede determinar los puertos que deben estar abiertos para que QRadar
Console se comunique con los procesadores de sucesos remotos.
Sondeo remoto de WinCollect
Los agentes de WinCollect que sondean remotamente otros sistemas operativos Microsoft Windows
podrían requerir asignaciones de puerto adicionales.
Para obtener más información, consulte la Guía del usuario de IBM QRadar WinCollect.
Puertos de escucha de QRadar
En la tabla siguiente se muestran los puertos de QRadar que están abiertos y en un estado de escucha
(LISTEN). Los puertos LISTEN sólo son válidos cuando iptables está habilitado en el sistema. A menos
que se indique lo contrario, la información sobre el número de puerto asignado se aplica a todos los
productos de QRadar.
© Copyright IBM Corp. 2012, 2019
265
Tabla 62. Puertos de escucha utilizados por los servicios y componentes de QRadar
Puerto
Descripción
Protocolo
Dirección
Requisito
22
SSH
TCP
Bidireccional desde QRadar Console
a todos los demás componentes
Acceso de gestión remota.
Adición de un sistema
remoto como host
gestionado.
Protocolos de origen de
registro para recuperar
archivos de los dispositivos
externos; por ejemplo, el
protocolo de archivo de
registro.
Usuarios que utilizan la
interfaz de línea de
mandatos para comunicarse
desde los escritorios con la
consola.
Alta disponibilidad (HA).
25
SMTP
TCP
Desde todos los hosts gestionados a
la pasarela SMTP.
Correos electrónicos desde
QRadar a una pasarela
SMTP.
Envío de mensajes de correo
electrónico de error y de
aviso a un contacto de
correo electrónico
administrativo.
111
Correlacionador de puertos
TCP/UDP
Hosts gestionados que se comunican Llamadas a procedimiento
con QRadar Console.
remoto (RPC) para los
servicios necesarios, como
Usuarios que se conectan a QRadar
Network File System (NFS).
Console.
123
Protocolo de hora en red
(NTP)
TCP/UDP
QRadar Console hacia el servidor
NTP.
De HA primario a secundario y
viceversa.
135 y los
puertos
asignados de
forma
dinámica por
encima de
1024 para las
llamadas RPC
DCOM
TCP
Tráfico bidireccional entre los
agentes de WinCollect y los sistemas
operativos Windows que se sondean
de forma remota para comprobar si
hay sucesos.
Tráfico bidireccional entre los
componentes de QRadar Console o
recopiladores de sucesos de IBM
QRadar que utilizan agentes de
Microsoft Security Event Log
Protocol o Adaptive Log Exporter y
los sistemas operativos Windows
que se sondean de forma remota
para comprobar si hay sucesos.
266 IBM Security QRadar: Guía de administración de QRadar
Sincronización de hora entre
los pares HA de QRadar, y
entre QRadar Console y el
servidor NTP.
Este tráfico lo genera
WinCollect, Microsoft
Security Event Log Protocol
o Adaptive Log Exporter.
Nota: DCOM normalmente
asigna un rango de puertos
aleatorio para la
comunicación. Puede
configurar los productos de
Microsoft Windows para que
utilicen un puerto
determinado. Para obtener
más información, consulte la
documentación de Microsoft
Windows.
Tabla 62. Puertos de escucha utilizados por los servicios y componentes de QRadar (continuación)
Puerto
Descripción
Protocolo
Dirección
Requisito
137
Servicio de nombres de
NetBIOS de Windows
UDP
Tráfico bidireccional entre los
agentes de WinCollect y los sistemas
operativos Windows que se sondean
de forma remota para comprobar si
hay sucesos.
Este tráfico lo genera
WinCollect, Microsoft
Security Event Log Protocol
o Adaptive Log Exporter.
Tráfico bidireccional entre los
componentes de QRadar Console o
QRadar Event Collectors que utilizan
agentes de Microsoft Security Event
Log Protocol o Adaptive Log Exporter
y los sistemas operativos Windows
que se sondean de forma remota
para comprobar si hay sucesos.
138
Servicio de datagramas de
NetBIOS de Windows
UDP
Tráfico bidireccional entre los
agentes de WinCollect y los sistemas
operativos Windows que se sondean
de forma remota para comprobar si
hay sucesos.
Este tráfico lo genera
WinCollect, Microsoft
Security Event Log Protocol
o Adaptive Log Exporter.
Tráfico bidireccional entre los
componentes de QRadar Console o
QRadar Event Collectors que utilizan
agentes de Microsoft Security Event
Log Protocol o Adaptive Log Exporter
y los sistemas operativos Windows
que se sondean de forma remota
para comprobar si hay sucesos.
139
Servicio de sesión de
NetBIOS de Windows
TCP
Tráfico bidireccional entre los
agentes de WinCollect y los sistemas
operativos Windows que se sondean
de forma remota para comprobar si
hay sucesos.
Este tráfico lo genera
WinCollect, Microsoft
Security Event Log Protocol
o Adaptive Log Exporter.
Tráfico bidireccional entre los
componentes de QRadar Console o
QRadar Event Collectors que utilizan
agentes de Microsoft Security Event
Log Protocol o Adaptive Log Exporter
y los sistemas operativos Windows
que se sondean de forma remota
para comprobar si hay sucesos.
162
NetSNMP
UDP
Hosts gestionados de QRadar que se
conectan a QRadar Console.
Orígenes de registro externos hacia
QRadar Event Collectors.
199
NetSNMP
TCP
Hosts gestionados de QRadar que se
conectan a QRadar Console.
Orígenes de registro externos hacia
QRadar Event Collectors.
427
Protocolo de ubicación de
servicios (SLP)
UDP/TCP
Puerto UDP para el daemon
NetSNMP que está a la
escucha de las
comunicaciones (v1, v2c y
v3) desde orígenes de
registro externos. El puerto
sólo está abierto si el agente
SNMP está habilitado.
Puerto TCP para el daemon
NetSNMP que está a la
escucha de las
comunicaciones (v1, v2c y
v3) desde orígenes de
registro externos. El puerto
sólo está abierto si el agente
SNMP está habilitado.
El módulo de gestión
integrada utiliza el puerto
para localizar servicios en
una LAN.
Capítulo 21. Servidores y puertos comunes utilizados por QRadar 267
Tabla 62. Puertos de escucha utilizados por los servicios y componentes de QRadar (continuación)
Puerto
Descripción
Protocolo
Dirección
Requisito
443
Apache/HTTPS
TCP
Tráfico bidireccional para las
comunicaciones seguras desde
todos los productos hacia QRadar
Console.
Descargas de configuración
en los hosts gestionados
desde QRadar Console.
Hosts gestionados de
QRadar que se conectan a
QRadar Console.
Usuarios que tienen acceso
de inicio de sesión a QRadar.
QRadar Console que
gestiona y proporciona
actualizaciones de
configuración para los
agentes de WinCollect.
445
Microsoft Directory Service
TCP
Tráfico bidireccional entre los
agentes de WinCollect y los sistemas
operativos Windows que se sondean
de forma remota para comprobar si
hay sucesos.
Este tráfico lo genera
WinCollect, Microsoft
Security Event Log Protocol
o Adaptive Log Exporter.
Tráfico bidireccional entre los
componentes de QRadar Console o
QRadar Event Collectors que utilizan
Microsoft Security Event Log
Protocol y los sistemas operativos
Windows que se sondean de forma
remota para comprobar si hay
sucesos
Tráfico bidireccional entre los
agentes de Adaptive Log Exporter y
los sistemas operativos Windows
que se sondean de forma remota
para comprobar si hay sucesos
514
Syslog
UDP/TCP
Los dispositivos de red externos que
proporcionan sucesos de syslog de
TCP utilizan tráfico bidireccional.
Orígenes de registro
externos para enviar datos a
los componentes de QRadar.
Los dispositivos de red externos que
proporcionan sucesos de syslog de
UDP utilizan tráfico unidireccional.
El tráfico de syslog incluye
agentes de WinCollect,
recopiladores de sucesos y
agentes de Adaptive Log
Exporter que puedan enviar
sucesos de UDP o TCP a
QRadar.
El tráfico de syslog interno de hosts
de QRadar a la QRadar Console.
762
Daemon de montaje de NFS
(Network File System)
(mountd)
TCP/UDP
Conexiones entre QRadar Console y
el servidor NFS.
Daemon de montaje de NFS
(Network File System), que
procesa las solicitudes de
montaje de un sistema de
archivos en una ubicación
especificada.
1514
Syslog-ng
TCP/UDP
Conexión entre el componente
Recopilador de sucesos local y el
componente Procesador de sucesos
local con el daemon syslog-ng para
el registro.
Puerto de registro interno
para syslog-ng.
2049
NFS
TCP
Conexiones entre QRadar Console y
el servidor NFS.
Protocolo NFS (Network File
System) para compartir
archivos o datos entre
componentes.
2055
Datos de NetFlow
UDP
Desde la interfaz de gestión en el
origen de flujo (normalmente un
direccionador) hasta IBM QRadar
QFlow Collector
Datagrama de NetFlow de
componentes, tales como
los direccionadores.
268 IBM Security QRadar: Guía de administración de QRadar
Tabla 62. Puertos de escucha utilizados por los servicios y componentes de QRadar (continuación)
Puerto
Descripción
Protocolo
Dirección
Requisito
2375
Puerto de mandatos de
Docker
TCP
Comunicaciones internas. Este
puerto no está disponible
externamente.
Se utiliza para gestionar
recursos del marco de
aplicaciones de QRadar.
3389
El protocolo de escritorio
remoto (RDP) y Ethernet
sobre USB están habilitados.
TCP/UDP
Si el sistema operativo
Microsoft Windows está
configurado para dar soporte
a RDP y Ethernet sobre USB,
un usuario puede iniciar una
sesión con el servidor sobre
la red de gestión. Esto
significa que el puerto
predeterminado para RDP,
que es 3389, debe estar
abierto.
3900
Puerto de presencia remota
del Módulo de gestión
integrada
TCP/UDP
Utilice este puerto para
interactuar con la consola de
QRadar a través del Módulo
de gestión integrada.
4333
Puerto de redirección
TCP
Este puerto está asignado
como puerto de redirección
para las solicitudes de ARP
(protocolo de resolución de
direcciones) en la resolución
de infracciones de QRadar.
5000
Se utiliza para permitir la
TCP
comunicación con el registrosi de docker si se ejecuta en
la consola. Esto permite a
todos los hosts gestionados
extraer imágenes de la
consola que se utilizarán para
crear contenedores locales.
Unidireccional desde el host
gestionado de QRadar a QRadar
Console. El puerto solo se abre en la
Consola. Los hosts gestionados
deben extraer de la consola.
Es necesario para las
aplicaciones que se ejecutan
en un host de aplicaciones.
5432
Postgres
TCP
Comunicación para el host
gestionado que se utiliza para
acceder a la instancia de base de
datos local.
Necesario para el suministro
de hosts gestionados desde
la pestaña Admin.
6514
Syslog
TCP
Los dispositivos de red externos que
proporcionan sucesos de syslog de
TCP cifrados utilizan tráfico
bidireccional.
Orígenes de registro
externos para enviar datos
de suceso cifrados a los
componentes de QRadar.
7676, 7677 y
cuatro puertos
enlazados
aleatoriament
e por encima
de 32000
Conexiones de mensajería
(IMQ)
TCP
Comunicaciones de cola de
mensajes entre los componentes de
un host gestionado
Intermediario de cola de
mensajes para las
comunicaciones entre los
componentes de un host
gestionado.
Nota: Debe permitir el
acceso a estos puertos
desde la consola QRadar a
hosts sin cifrar.
Los puertos 7676 y 7677
son puertos TCP estáticos, y
se crean cuatro conexiones
adicionales en puertos
aleatorios.
Capítulo 21. Servidores y puertos comunes utilizados por QRadar 269
Tabla 62. Puertos de escucha utilizados por los servicios y componentes de QRadar (continuación)
Puerto
Descripción
Protocolo
Dirección
Requisito
7777, 7778,
7779, 7780,
7781, 7782,
7783, 7788,
7790, 7791,
7792, 7793,
7795, 7799 y
8989.
Puertos de servidor JMX
TCP
Comunicaciones internas. Estos
puertos no están disponibles
externamente.
Supervisión de servidor JMX
(Java Management Beans)
de todos los procesos
internos de QRadar para
exponer medidas de
soportabilidad.
7789
Dispositivo de bloqueo
replicado distribuido
TCP/UDP
Bidireccional entre el host
secundario y el host primario en un
clúster de alta disponibilidad.
El Dispositivo de bloqueo
replicado distribuido se
utiliza para mantener las
unidades sincronizadas
entre los hosts primario y
secundario en las
configuraciones de alta
disponibilidad.
7800
Apache Tomcat
TCP
Desde el Procesador de sucesos
hacia QRadar Console.
En tiempo real (modalidad
continua) para sucesos.
7801
Apache Tomcat
TCP
Desde el Procesador de sucesos
hacia QRadar Console.
En tiempo real (modalidad
continua) para flujos.
7803
Motor de detección de
anomalías
TCP
Desde el Procesador de sucesos
hacia QRadar Console.
Puerto de motor de
detección de anomalías.
7804
Constructor Arc de QRM
TCP
Comunicaciones de control interno
entre procesos de QRadar y el
constructor ARC.
Este puerto se utiliza sólo
para QRadar Risk Manager.
No está disponible
externamente.
8000
ECS (servicio de recopilación
de sucesos)
TCP
Desde el Recopilador de sucesos
hacia QRadar Console.
Puerto de escucha para el
servicio de recopilación de
sucesos (ECS) específico.
8001
Puerto del daemon SNMP
TCP
Sistemas SNMP externos que
solicitan información de condiciones
de excepción SNMP de QRadar
Console.
Puerto de escucha para
solicitudes de datos SNMP
externas.
8005
Apache Tomcat
TCP
Comunicaciones internas. No está
disponible externamente.
Abierto para control de
Tomcat.
estos puertos los utiliza el
personal de soporte de
QRadar.
Este puerto está enlazado y
sólo acepta conexiones
desde el host local.
8009
Apache Tomcat
TCP
Desde el proceso del daemon HTTP
(HTTPd) hacia Tomcat.
Conector Tomcat, donde la
solicitud se utiliza y se pasa
a través de un proxy para el
servicio web.
8080
Apache Tomcat
TCP
Desde el proceso del daemon HTTP
(HTTPd) hacia Tomcat.
Conector Tomcat, donde la
solicitud se utiliza y se pasa
a través de un proxy para el
servicio web.
8082
Tunel seguro para QRadar
Risk Manager
TCP
Tráfico bidireccional entre QRadar
Console y QRadar Risk Manager.
Necesario cuando se utiliza
el cifrado entre QRadar Risk
Manager y QRadar Console.
270 IBM Security QRadar: Guía de administración de QRadar
Tabla 62. Puertos de escucha utilizados por los servicios y componentes de QRadar (continuación)
Puerto
Descripción
Protocolo
Dirección
Requisito
8413
Agentes de WinCollect
TCP
Tráfico bidireccional entre el agente
de WinCollect y QRadar Console.
Este tráfico lo genera el
agente de WinCollect para
reenviar sucesos de
WinCollect y la
comunicación está cifrada.
Es necesario para
proporcionar actualizaciones
de configuración al agente
de WinCollect y para utilizar
WinCollect en modalidad
conectada.
8844
Apache Tomcat
TCP
Unidireccional de QRadar Console al
dispositivo que está ejecutando el
procesador de QRadar Vulnerability
Manager.
Utilizado por Apache Tomcat
para leer canales de
información RSS del host
que está ejecutando el
procesador de QRadar
Vulnerability Manager.
9000
Conman
TCP
Unidireccional de QRadar Console a
un host de aplicaciones de QRadar.
Se utiliza con un host de
aplicaciones. Permite a la
consola desplegar
aplicaciones en un host de
aplicaciones y gestionar
esas aplicaciones.
9090
Base de datos y servidor de
reputación de IP XForce
TCP
Comunicaciones internas. No está
disponible externamente.
Comunicaciones entre los
procesos de QRadar y la
base de datos de reputación
de IP XForce.
9381
Descarga de archivos de
certificado
TCP
Unidireccional desde el host
gestionado de QRadar o red externa
a QRadar Console
Descarga de certificados de
CA y de archivos CRL de
QRadar, que se pueden
utilizar para validar los
certificados generados por
QRadar.
9913 más un
puerto
asignado
dinámicament
e
Contenedor de aplicación
web
TCP
Comunicación de Invocación a
método remoto (RMI) Java
bidireccional entre máquinas
virtuales Java
Una vez registrada la
aplicación web, se asigna
dinámicamente un puerto
adicional.
9995
Datos de NetFlow
UDP
Desde la interfaz de gestión en el
origen de flujo (normalmente un
direccionador) hasta QRadar QFlow
Collector
Datagrama de NetFlow de
componentes, tales como
los direccionadores.
9999
Procesador IBM QRadar
Vulnerability Manager
TCP
Unidireccional del explorador al
dispositivo que está ejecutando el
procesador de QRadar Vulnerability
Manager
Se utiliza para información
de mandatos de QRadar
Vulnerability Manager
(QVM). QRadar Console
conecta con este puerto en
el host que está ejecutando
el procesador de QRadar
Vulnerability Manager. Este
puerto solo se utiliza cuando
QVM está habilitado.
10000
Interfaz de administración de TCP/UDP
sistema de QRadar basada en
web
Sistemas de sobremesa de usuario
hacia todos los hosts de QRadar.
En QRadar V7.2.5 y
anteriores, este puerto se
utiliza para cambios en el
servidor, como por ejemplo
la contraseña de root de los
hosts y el acceso de
cortafuegos.
El puerto 10000 está
inhabilitado en V7.2.6.
Capítulo 21. Servidores y puertos comunes utilizados por QRadar 271
Tabla 62. Puertos de escucha utilizados por los servicios y componentes de QRadar (continuación)
Puerto
Descripción
Protocolo
Dirección
Requisito
10101, 10102
Mandato de latido
TCP
Tráfico bidireccional entre los nodos
de alta disponibilidad primario y
secundario.
Necesario para garantizar
que los nodos HA siguen
activos.
15433
Postgres
TCP
Comunicación para el host
gestionado que se utiliza para
acceder a la instancia de base de
datos local.
Se utiliza para la
configuración y
almacenamiento de QRadar
Vulnerability Manager
(QVM). Este puerto solo se
utiliza cuando QVM está
habilitado.
20000-23000
Túnel SSH
TCP
Bidireccional desde la consola de
QRadar a todos los demás hosts
gestionados cifrados.
Punto de escucha local para
los túneles SSH utilizados
para la comunicación de
Java Message Service (JMS)
con hosts gestionados
cifrados. Se utiliza para
realizar tareas asíncronas de
larga ejecución, tales como
la actualización de la
configuración de red
mediante el sistema y la
gestión de licencias.
23111
Servidor web SOAP
TCP
23333
Canal de fibra Emulex
TCP
Sistemas de sobremesa de usuario
que se conectan a los dispositivos
QRadar con una tarjeta de canal de
fibra.
Servicio de gestión remota
de HBAnywhere de canal de
fibra Emulex (elxmgmt).
32000
Reenvío de flujos
normalizados
TCP
Bidireccional entre los componentes
de QRadar.
Datos de flujos normalizados
que se comunican desde un
origen externo o entre
QRadar QFlow Collectors.
32004
Reenvío de sucesos
normalizados
TCP
Bidireccional entre los componentes
de QRadar.
Datos de sucesos
normalizados que se
comunican desde un origen
externo o entre QRadar
Event Collectors.
32005
Flujo de datos
TCP
Bidireccional entre los componentes
de QRadar.
Puerto de comunicación de
flujo de datos entre los
QRadar Event Collectors
cuando están en hosts
gestionados diferentes.
32006
Consultas de Ariel
TCP
Bidireccional entre los componentes
de QRadar.
Puerto de comunicación
entre el servidor proxy de
Ariel y el servidor de
consulta de Ariel.
32007
Datos de la infracción
TCP
Bidireccional entre los componentes
de QRadar.
Sucesos y flujos que hacen
aportaciones a una
infracción o están
implicados en una
correlación global.
32009
Datos de identidad
TCP
Bidireccional entre los componentes
de QRadar.
Datos de identidad que se
comunican entre el servicio
de información de
vulnerabilidades (VIS) y el
servicio de recopilación de
sucesos (ECS).
Puerto del servidor web
SOAP para el servicio de
recopilación de sucesos
(ECS).
272 IBM Security QRadar: Guía de administración de QRadar
Tabla 62. Puertos de escucha utilizados por los servicios y componentes de QRadar (continuación)
Puerto
Descripción
Protocolo
Dirección
Requisito
32010
Puerto de origen de escucha
de flujo
TCP
Bidireccional entre los componentes
de QRadar.
Puerto de escucha de flujo
para recopilar datos de
QRadar QFlow Collectors.
32011
Puerto de escucha de Ariel
TCP
Bidireccional entre los componentes
de QRadar.
Puerto de escucha de Ariel
para las búsquedas de base
de datos, la información de
progreso y otros mandatos
asociados.
32000-33999
Flujo de datos (flujos,
sucesos, contexto de flujo)
TCP
Bidireccional entre los componentes
de QRadar.
Flujos de datos, como
sucesos, flujos, contexto de
flujo y consultas de
búsqueda de sucesos.
40799
Datos de PCAP
UDP
Desde los dispositivos Juniper
Networks SRX Series hacia QRadar.
Recopilación de datos de
captura de paquete (PCAP)
entrantes procedentes de
dispositivos Juniper
Networks SRX Series
Nota: La captura de paquete
puede utilizar un puerto
diferente en su dispositivo.
Para obtener más
información sobre la
configuración de la captura
de paquete, consulte la
documentación de su
dispositivo Juniper Networks
SRX Series.
ICMP
ICMP
Tráfico bidireccional entre el host
secundario y el host primario en un
clúster de alta disponibilidad.
Prueba de la conexión de red
entre el host secundario y el
host primario en un clúster
de alta disponibilidad
mediante ICMP (protocolo
de mensajes de control de
Internet).
Servidores públicos de QRadar
Para proporcionarle la información de seguridad más actual, IBM QRadar necesita acceder a algunos
servidores públicos y canales de información RSS.
Servidores públicos
Tabla 63. Servidores públicos a los que QRadar debe acceder. En esta tabla se proporcionan las
descripciones de las direcciones IP o los nombres de host a los que QRadar accede.
Dirección IP o nombre de host
Descripción
194.153.113.31
Explorador de zona desmilitarizada de IBM QRadar
Vulnerability Manager
194.153.113.32
Explorador de zona desmilitarizada de QRadar
Vulnerability Manager
Capítulo 21. Servidores y puertos comunes utilizados por QRadar 273
Tabla 63. Servidores públicos a los que QRadar debe acceder. En esta tabla se proporcionan las
descripciones de las direcciones IP o los nombres de host a los que QRadar accede. (continuación)
Dirección IP o nombre de host
Descripción
qmmunity.q1labs.com
Servidores de actualizaciones automáticas de
QRadar.
Para obtener más información sobre los servidores
de actualizaciones automáticas, consulte
www.ibm.com/support (http://www-01.ibm.com/
support/docview.wss?uid=swg21958881).
qmmunity-eu.q1labs.com
Servidores de actualizaciones automáticas de
QRadar.
Para obtener más información sobre los servidores
de actualizaciones automáticas, consulte
www.ibm.com/support (http://www-01.ibm.com/
support/docview.wss?uid=swg21958881).
update.xforce-security.com
Servidor de actualizaciones de los canales de
información de X-Force Threat
license.xforce-security.com
Servidor de licencias de canales de información de
X-Force Threat
Canales de información RSS para los productos de QRadar
Tabla 64. Canales de información RSS . En la lista siguiente se describen los requisitos para los canales
de información RSS que QRadar utiliza. Copie los URL en un editor de texto y elimine los saltos de
página antes de pegarlos en un navegador.
Título
URL
Requisitos
Security
Intelligence
http://feeds.feedburner.com/
SecurityIntelligence
QRadar y una conexión a Internet
Security
Intelligence
Vulns / Threats
http://securityintelligence.com/topics/
vulnerabilities-threats/feed
QRadar y una conexión a Internet
IBM My
Notifications
http://www-945.events.ibm.com/systems/
QRadar y una conexión a Internet
support/myfeed/xmlfeeder.wss?feeder.requid=
feeder.create_feed&feeder.feedtype=RSS&feed
er.uid=270006EH0R&feeder.subscrid=
S14b5f284d32&feeder.subdefkey=swgother&f
eeder.maxfeed=25
Security News
http://dirección_IP_procesador_QVM
:8844/rss/research/news.rss
Security
Advisories
Latest Published
Vulnerabilities
http://dirección_IP_procesador_QVM
:8844/rss/research/advisories.rss
http://dirección_IP_procesador_QVM
:8844/rss/research/vulnerabilities.rss
274 IBM Security QRadar: Guía de administración de QRadar
Procesador de IBM QRadar
Vulnerability Manager desplegado
Procesador de QRadar
Vulnerability Manager desplegado
Procesador de QRadar
Vulnerability Manager desplegado
Tabla 64. Canales de información RSS . En la lista siguiente se describen los requisitos para los canales
de información RSS que QRadar utiliza. Copie los URL en un editor de texto y elimine los saltos de
página antes de pegarlos en un navegador. (continuación)
Título
URL
Requisitos
Scans
Completed
http://dirección_IP_procesador_QVM
Procesador de QRadar
Vulnerability Manager desplegado
Scans In
Progress
http://dirección_IP_procesador_QVM
:8844/rss/scanresults/completedScans.rss
:8844/rss/scanresults/runningScans.rss
Procesador de QRadar
Vulnerability Manager desplegado
Capítulo 21. Servidores y puertos comunes utilizados por QRadar 275
276 IBM Security QRadar: Guía de administración de QRadar
Capítulo 22. API RESTful
La interfaz de programación de aplicaciones (API) REST (Representational State Transfer) resulta útil
cuando desea integrar IBM QRadar con otras soluciones. Puede llevar a cabo acciones en la QRadar
Console enviando solicitudes HTTPS a puntos finales específicos (URL) de la QRadar Console.
Cada punto final contiene el URL del recurso al que desea acceder y la acción que desea completar en ese
recurso. La acción se indica mediante el método HTTP de la solicitar: GET, POST, PUT o DELETE. Para
obtener más información sobre los parámetros y las respuestas, consulte la publicación IBM QRadar API
Guide.
Foro de API de QRadar y ejemplos de código
El foro de API proporciona más información acerca de la API REST, que incluye las respuestas a las
preguntas más frecuentes y ejemplos de código con anotaciones que puede utilizar en un entorno de
prueba. Para obtener más información, consulte el Foro de API (https://ibm.biz/qradarforums).
Acceso a la página de documentación de la API interactiva
Utilice la página interactiva de documentación de la API para acceder a detalles técnicos de las API
RESTful cómo realizar y experimentar cómo realizar solicitudes de API al servidor.
Acerca de esta tarea
La interfaz de usuario de documentación de la API proporciona descripciones y la capacidad de utilizar
las siguientes interfaces de API REST:
Tabla 65. Interfaces de la API REST
API REST
Descripción
/api/analytics
Crear, actualizar y eliminar acciones
personalizadas para las reglas.
/api/ariel
Ver las propiedades de sucesos y flujos, crear
búsquedas de sucesos y flujos y gestionar las
búsquedas.
/api/asset_model
Devuelve una lista de todos los activos del modelo.
También puede listar todos los tipos de propiedad
de activo disponibles y búsquedas guardadas, así
como actualizar un activo.
/api/auth
Cerrar e invalidar la sesión actual.
/api/config
Ver y gestionar los arrendatarios, dominios y
extensiones de QRadar.
/api/data_classification
Ver todas las categorías de nivel inferior y superior,
QRadar registros de Identifier (QID) y
correlaciones de sucesos. También puede crear o
editar registros de QID y correlaciones.
/api/forensics
Gestionar recuperaciones y casos de capturas.
/api/gui_app_framework
Instalar y gestionar las aplicaciones que se crean
utilizando la GUI del kit de desarrollo de software
del marco de aplicaciones.
© Copyright IBM Corp. 2012, 2019
277
Tabla 65. Interfaces de la API REST (continuación)
API REST
Descripción
/api/help
Devuelve una lista de funciones de la API.
/api/qrm
Gestionar grupos de búsquedas guardadas de
QRM, grupos de preguntas, grupos de
simulaciones, grupos de búsquedas guardadas de
topología y grupos de modelos.
/api/qvm
Recupera activos, vulnerabilidades, redes,
servicios abiertos y filtros. También puede crear o
actualizar tíquets de remediación.
/api/reference_data
Ver y gestionar las recopilaciones de datos de
referencia.
/api/scanner
Ver, crear o iniciar una exploración remota que
está relacionada con un perfil de exploración.
/api/services
Realizar tareas como búsquedas de WHOIS,
búsquedas de exploración de puertos, búsquedas
de DNS y búsquedas de DIG. También puede
recuperar los datos de una ubicación física de una
dirección IP o un conjunto de direcciones IP.
/api/siem
Ver, actualizar y cerrar infracciones. También
puede añadir notas y gestionar razones de cierre
de infracciones.
/api/staged_config
Recuperar la configuración transitoria de usuarios,
hosts, notificaciones, redes remotas y servicios
remotos. También puede iniciar o ver el estado de
una acción de despliegue y actualizar y suprimir
reglas de Yara.
/api/system
Gestionar hosts de servidores, interfaces de red, y
reglas de cortafuegos.
Procedimiento
1. Para acceder a la interfaz interactiva de documentación de la API, escriba la siguiente URL en el
navegador web: https://ConsoleIPaddress/api_doc/.
2. Pulse en el icono de flecha junto a la versión de la API que desea utilizar.
3. Vaya al punto final al que desea acceder.
4. Lea la documentación del punto final y complete los parámetros de solicitud.
5. Pulse en Inténtelo para enviar la solicitud de la API a la consola y recibir una respuesta HTTPS con el
formato correcto.
Nota: Al pulsar Inténtelo, se lleva a cabo la acción en el sistema QRadar. No todas las acciones se
pueden deshacer, por ejemplo, no puede reabrir una infracción una vez cerrada.
6. Revise y recopile la información que necesite integrar a QRadar.
278 IBM Security QRadar: Guía de administración de QRadar
Avisos
Esta información se ha desarrollado para productos y servicios ofrecidos en Estados Unidos.
Es posible que IBM no ofrezca en otros países los productos, servicios o características que se describen
en este documento. Póngase en contacto con el representante local de IBM, que le informará sobre los
productos y servicios disponibles actualmente en su área. Cualquier referencia a un producto, programa o
servicio de IBM no pretende indicar ni implicar que solo pueda utilizarse dicho producto, programa o
servicio de IBM. En su lugar, puede utilizarse cualquier producto, programa o servicio funcionalmente
equivalente que no infrinja ninguno de los derechos de propiedad intelectual de IBM. No obstante, es
responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier producto, programa o
servicio que no sea de IBM.
IBM puede tener patentes o solicitudes de patente en tramitación que abarquen la materia descrita en
este documento. La posesión de este documento no le confiere ninguna licencia sobre dichas patentes.
Puede enviar consultas sobre licencias, por escrito, a:
IBM Director of Licensing
IBM Corporation
North Castle Drive
Armonk, NY 10504-1785, EE. UU.
Para consultas sobre licencias en las que se solicite información sobre el juego de caracteres de doble
byte (DBCS), póngase en contacto con el departamento de Propiedad intelectual de IBM de su país o
envíe las consultas, por escrito, a:
Intellectual Property Licensing
Legal and Intellectual Property Law
IBM Japan Ltd.
19-21, Nihonbashi-Hakozakicho, Chuo-ku
Tokio 103-8510, Japón
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN "TAL
CUAL", SIN GARANTÍAS DE NINGÚN TIPO, NI EXPLÍCITAS NI IMPLÍCITAS, INCLUIDAS, PERO SIN
LIMITARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN DE DERECHOS,
COMERCIABILIDAD O IDONEIDAD PARA UN FIN DETERMINADO. Algunas legislaciones no contemplan la
declaración de limitación de responsabilidad, ni implícita ni explícita, en determinadas transacciones, por
lo que cabe la posibilidad de que esta declaración no sea aplicable en su caso.
Esta información podría incluir imprecisiones técnicas o errores tipográficos. Periódicamente se realizan
cambios en la información aquí contenida; estos cambios se incorporarán en nuevas ediciones de la
publicación. IBM puede efectuar mejoras o cambios en los productos o programas descritos en esta
publicación en cualquier momento y sin previo aviso.
Las referencias hechas en esta publicación a sitios web que no son de IBM se proporcionan sólo para la
comodidad del usuario y no constituyen un aval de estos sitios web. Los materiales de estos sitios web no
forman parte de los materiales de IBM para este producto, y el uso que se haga de estos sitios web será
responsabilidad del usuario.
IBM puede utilizar o distribuir la información que se le proporcione de cualquier modo que considere
adecuado sin incurrir por ello en ninguna obligación con el remitente.
Los titulares de licencias de este programa que deseen obtener información sobre el mismo con el fin de
permitir:(i) el intercambio de información entre programas creados de forma independiente y otros
programas (incluido éste) y (ii) el uso mutuo de la información que se haya intercambiado, deberán
ponerse en contacto con:
IBM Director of Licensing
IBM Corporation
© Copyright IBM Corp. 2012, 2019
279
North Castle Drive, MD-NC119
Armonk, NY 10504-1785
EE.UU.
Esta información puede estar disponible, sujeta a los términos y condiciones adecuados, incluido, en
algunos casos, el pago de una tarifa.
IBM proporciona el programa bajo licencia descrito en este documento y todo el material bajo licencia
disponible para el mismo bajo los términos del contrato de cliente IBM, el contrato internacional de
licencia de programa de IBM o cualquier acuerdo equivalente entre las partes.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solamente a efectos
ilustrativos. Los resultados de rendimiento reales pueden variar en función de las configuraciones y las
condiciones operativas específicas.
La información relacionada con productos que no son de IBM se ha obtenido de los proveedores de
dichos productos, de sus anuncios publicados o de otras fuentes disponibles públicamente. IBM no ha
probado esos productos y no puede confirmar la precisión del rendimiento, compatibilidad o cualquier
otra declaración relacionada con los productos que no son de IBM. Las preguntas relativas a las
prestaciones de los productos que no son de IBM deberán dirigirse a los proveedores de dichos
productos.
Las declaraciones relativas a la dirección o intenciones futuras de IBM pueden cambiar o ser retiradas sin
previo aviso, y sólo representan propósitos y objetivos.
Todos los precios de IBM mostrados son precios de venta al público sugeridos por IBM, son actuales y
están sujetos a cambio sin previo aviso. Los precios de los distribuidores pueden variar.
Esta información contiene ejemplos de datos e informes utilizados en operaciones empresariales
cotidianas. Para ilustrarlos de la manera más completa posible, los ejemplos incluyen los nombres de
personas, empresas, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con
nombres reales de personas o empresas es pura coincidencia.
Marcas registradas
IBM, el logotipo de IBM e ibm.com son marcas registradas o marcas comerciales registradas de
International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros
nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Hay
disponible una lista actual de marcas registradas de IBM en la web, en sección "Copyright and trademark
information" de www.ibm.com/legal/copytrade.shtml.
Linux es una marca registrada de Linus Torvalds en Estados Unidos y/o en otros países.
UNIX es una marca registrada de The Open Group en Estados Unidos y en otros países.
Java y todas las marcas registradas y logotipos basados en Java son marcas registradas de Oracle y/o sus
afiliados.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft
Corporation en Estados Unidos o en otros países.
Términos y condiciones de la documentación de producto
Se otorga permiso para el uso de estas publicaciones si se cumplen estos términos y condiciones.
280 Avisos
Aplicabilidad
Estos términos y condiciones se añaden a los términos de uso del sitio web de IBM.
Uso personal
Puede reproducir estas publicaciones para su uso personal, no comercial, siempre que se conserven
todos los avisos sobre derechos de propiedad. No puede realizar trabajos derivados de estas
publicaciones, ni de partes de las mismas, ni reproducirlas, distribuirlas o visualizarlas, sin el
consentimiento expreso de IBM.
Uso comercial
Puede reproducir, distribuir y visualizar estas publicaciones únicamente dentro de la empresa a condición
de que se conserven todos los avisos de propiedad. No puede realizar trabajos derivados de estas
publicaciones, ni de partes de las mismas, ni reproducirlas, distribuirlas o visualizarlas fuera de la
empresa, sin el consentimiento expreso de IBM.
Derechos
Salvo lo aquí permitido de forma expresa, no se conceden otros permisos, licencias o derechos, ni
implícitos ni explícitos, para las publicaciones o cualquier información, datos software u otra propiedad
intelectual que en ellas se incluya.
IBM se reserva el derecho de retirar los permisos que se hayan proporcionado siempre que, bajo su
discreción, el uso de las publicaciones sea perjudicial para sus intereses o, según determine IBM, no se
estén siguiendo adecuadamente las instrucciones detalladas anteriormente.
No se puede descargar, exportar o reexportar si no es en total cumplimiento con todas las leyes y
reglamentos aplicables, incluidas las leyes y reglamentos de los EE.UU. en materia de exportación.
IBM NO GARANTIZA EL CONTENIDO DE ESTAS PUBLICACIONES. LAS PUBLICACIONES SE
PROPORCIONAN "TAL CUAL", SIN GARANTÍAS DE NINGUNA CLASE, YA SEAN EXPLÍCITAS O
IMPLÍCITAS, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE
COMERCIALIZACIÓN, NO INFRACCIÓN Y ADECUACIÓN A UN FIN DETERMINADO.
Declaración de privacidad en línea de IBM
Los productos de software de IBM, incluido el software ofrecido como soluciones de servicio (“Ofertas de
software”), pueden utilizar cookies u otras tecnologías para recopilar información de uso del producto,
ayudar a mejorar la experiencia del usuario final, adaptar las interacciones con el usuario final o para
otros fines. En muchos casos, las Ofertas de software no recopilan información de identificación personal.
Algunas de nuestras Ofertas de software pueden ayudarle a recopilar información de identificación
personal. Si esta Oferta de software utiliza cookies para recopilar información de identificación personal,
más adelante se proporciona información específica sobre el uso de cookies por parte de la oferta de
software.
En función de las configuraciones desplegadas, esta Oferta de software puede utilizar cookies de sesión
que recopilan el ID de sesión de cada usuario para la gestión y autenticación de sesiones. Estas cookies
se pueden inhabilitar, pero si se inhabilitan también se elimina la función que estas cookies habilitan.
Si las configuraciones desplegadas para esta Oferta de software le ofrecen como cliente la posibilidad de
recopilar información de identificación personal de los usuarios finales mediante cookies y otras
tecnologías, debe buscar asesoramiento jurídico sobre la legislación aplicable a esa recopilación de
datos, que incluye cualquier requisito de aviso y consentimiento.
Para obtener más información sobre el uso de diversas tecnologías, incluidos los cookies, para estos
fines, consulte la política de privacidad de IBM en http://www.ibm.com/privacy y la declaración de
privacidad en línea de IBM en http://www.ibm.com/privacy/details, la sección “Cookies, Web Beacons
and Other Technologies” y la declaración “IBM Software Products and Software-as-a-Service Privacy
Statement” en http://www.ibm.com/software/info/product-privacy.
Avisos 281
Normativa general de protección de datos
Los clientes son responsables de garantizar su propio cumplimiento de las leyes y normativas aplicables,
incluyendo la Normativa general de protección de datos de la Unión Europea. Los clientes son los únicos
responsables de obtener asesoramiento legal competente respecto a la identificación y la interpretación
de cualquier normativa y ley que pueda afectar a los negocios de los clientes y a cualquier acción que los
clientes puedan deber emprender para cumplir con dichas normativas y leyes. Los productos, servicios y
otras funcionalidades descritas en este documento no son los indicados para todas las situaciones del
cliente y podrían estar sujetos a disponibilidad. IBM no proporciona recomendaciones legales, contables
o de auditoría ni garantiza que sus servicios o productos garantizarán que los clientes cumplan ninguna
legislación o normativa.
Puede obtener más información sobre la preparación para el cumplimiento del Reglamento general de
protección de datos de IBM, así como de nuestras prestaciones y ofertas en relación con el Reglamento
general de protección de datos aquí: https://ibm.com/gdpr
282 IBM Security QRadar: Guía de administración de QRadar
Glosario
Este glosario proporciona términos y definiciones para el software y productos de IBM QRadar SIEM.
En este glosario se utilizan las referencias cruzadas siguientes:
• Véase le remite de un término no preferido al término preferido o de un acrónimo o abreviatura a la
forma completa.
• Véase también le remite a un término relacionado u opuesto.
Para otros términos y definiciones, consulte el sitio web de terminología de IBM (se abre en una ventana
nueva).
A
activo
Objeto gestionable que se ha desplegado o que se debe desplegar en un entorno operativo.
acumulador
Registro en el que un operando de una operación se puede almacenar y posteriormente sustituir por
el resultado de esa operación.
agregación de enlaces
Agrupación de tarjetas de interfaz de red física, como cables o puertos, en una única interfaz de red
lógica. La agregación de enlaces se utiliza para aumentar el ancho de banda y la disponibilidad de red.
alta disponibilidad (HA)
Relativo a un sistema dispuesto en clúster que se reconfigura cuando se producen errores de nodo o
de daemon para que las cargas de trabajo se puedan redistribuir hacia los nodos restantes del clúster.
anomalía
Desviación del comportamiento esperado de la red.
archivo de almacén de confianza
Archivo de base de datos de claves que contiene las claves públicas para una entidad de confianza.
archivo de claves
En seguridad de sistemas, archivo que contiene claves públicas, claves privadas, raíces de confianza y
certificados.
ARP
Véase Protocolo de resolución de direcciones.
ASN
Véase número de sistema autónomo.
C
capa de red
En la arquitectura OSI, capa que proporciona servicios para establecer una vía de acceso entre
sistemas abiertos con una calidad de servicio predecible.
captura de contenido
Proceso que captura una cantidad configurable de carga útil y, a continuación, almacena los datos en
un registro de flujo.
CIDR
Véase Classless Inter-Domain Routing.
© Copyright IBM Corp. 2012, 2019
283
cifrado
En seguridad informática, proceso de transformar datos en un formato ininteligible de manera que no
se puedan obtener los datos originales o sólo se puedan obtener utilizando un proceso de descifrado.
Classless Inter-Domain Routing (CIDR)
Método para añadir direcciones de Protocolo Internet (IP) de la clase C. Las direcciones se
proporcionan a los proveedores de servicios de Internet (ISP) para que las utilicen sus clientes. Las
direcciones CIDR reducen el tamaño de las tablas de direccionamiento y permiten la existencia de
más direcciones IP disponibles dentro de las empresas.
cliente
Programa de software o sistema que solicita servicios a un servidor.
clúster de alta disponibilidad
Una configuración de alta disponibilidad que consta de un servidor primario y un servidor secundario.
código de autenticación de mensaje basado en hash (HMAC)
Código criptográfico que utiliza una función hash críptica y una clave secreta.
Common Vulnerability Scoring System (CVSS)
Sistema de puntuación para medir la gravedad de una vulnerabilidad.
compartimiento administrativo
Recurso de red que se oculta a los usuarios sin privilegios administrativos. Los compartimientos
administrativos proporcionan a los administradores acceso a todos los recursos en un sistema de red.
comportamiento
Efectos observables de una operación o suceso, incluidos los resultados.
conjunto de referencia
Lista de elementos únicos que se derivan de sucesos o flujos en una red. Por ejemplo, una lista de
direcciones IP o una lista de nombres de usuario.
consola
Estación de pantalla en la que un operador puede controlar y observar el funcionamiento del sistema.
contexto de host
Servicio que supervisa los componentes para asegurarse de que cada componente está funcionando
como se esperaba.
conversión de direcciones de red (NAT)
En un cortafuegos, conversión de las direcciones seguras del protocolo de Internet (IP) en
direcciones registradas externas. Esto permite las comunicaciones con redes externas pero
enmascara las direcciones IP que se utilizan dentro del cortafuegos.
Correlación de QID
Taxonomía que identifica cada suceso exclusivo y correlaciona los sucesos con categorías de bajo
nivel y alto nivel para determinar cómo se debe correlacionar y organizar un suceso.
correlación de referencia
Registro de datos de la correlación directa de una clave con un valor, por ejemplo un nombre de
usuario con un ID global.
correlación de referencia de conjuntos
Registro de datos de una clave correlacionada con muchos valores. Por ejemplo, la correlación de una
lista de usuarios privilegiados con un host.
correlación de referencia de correlaciones
Registro de datos de dos claves correlacionadas con muchos valores. Por ejemplo, la correlación de
los bytes totales de una aplicación con una IP de origen.
credencial
Conjunto de información que otorga a un usuario o proceso determinados derechos de acceso.
credibilidad
Calificación numérica entre 0 y 10 que se utiliza para determinar la integridad de un suceso o un
delito. La credibilidad aumenta a medida que varios orígenes informan el mismo suceso o delito.
CVSS
Véase Common Vulnerability Scoring System.
284 IBM Security QRadar: Guía de administración de QRadar
D
datos de carga útil
Datos de aplicación contenidos en un flujo de IP, excluyendo la cabecera y la información
administrativa.
delito
Mensaje enviado o suceso generado en respuesta a una condición supervisada. Por ejemplo, un delito
proporcionará información sobre si se ha vulnerado una política o la red está bajo ataque.
destino de reenvío
Uno o varios sistemas de proveedores que reciben datos en bruto y normalizados de orígenes de
registro y orígenes de flujo.
destino externo
Dispositivo que está fuera del sitio primario que recibe el flujo de sucesos o datos de un recopilador
de sucesos.
DHCP
Véase Protocolo de configuración dinámica de hosts.
dirección IP virtual de clúster
Dirección IP que se comparte entre el host primario o secundario y el clúster de alta disponibilidad.
dispositivo de exploración externa
Máquina que está conectada a la red para recopilar información de vulnerabilidad sobre los activos de
la red.
DNS
Véase Sistema de nombres de dominio.
DSM
Véase Módulo de soporte de dispositivos.
E
exploración en tiempo real
Exploración de vulnerabilidad que genera datos de informe a partir de los resultados de exploración
basándose en el nombre de sesión.
explorador
Programa de seguridad automático que busca vulnerabilidades de software dentro de las
aplicaciones web.
extensión de origen de registro
Archivo XML que incluye todos los patrones de expresión regular necesarios para identificar y
categorizar sucesos de la carga útil de sucesos.
F
firma de aplicación
Conjunto exclusivo de características que se derivan mediante el examen de la carga útil de paquete
y, a continuación, se utilizan para identificar una aplicación específica.
flujo
Transmisión única de datos que pasan a través de un enlace durante una conversación.
flujo duplicado
Varias instancias de la misma transmisión de datos recibida de orígenes de flujo diferentes.
FQDN
Véase nombre de dominio completo.
Glosario 285
FQNN
Véase nombre de red completo.
G
gravedad
Medida de la amenaza relativa que un origen plantea en un destino.
H
HA
Véase alta disponibilidad.
HMAC
Véase Código de autenticación de mensaje basado en hash.
hoja
En un árbol, entrada o nodo que no tiene hijos.
host primario de alta disponibilidad
Sistema principal que está conectado al clúster de alta disponibilidad.
host secundario de alta disponibilidad
Sistema en espera que está conectado al clúster de alta disponibilidad. El host secundario de alta
disponibilidad asume la responsabilidad del host primario de alta disponibilidad si el host primario de
alta disponibilidad falla.
I
ICMP
Véase protocolo de mensajes de control de Internet.
identidad
Colección de atributos de un origen de datos que representan una persona, una organización, un lugar
o un elemento.
IDS
Véase sistema de detección de intrusiones.
informe
En gestión de consultas, datos formateados que se obtienen al ejecutar una consulta y aplicarle un
formato.
interconexión de sistemas abiertos (OSI)
Interconexión de sistemas abiertos de acuerdo con los estándares de la ISO (International
Organization for Standardization) para el intercambio de información.
interfaz enlazada
Véase agregación de enlaces.
intervalo de fusión
Intervalo en el que se empaquetan los sucesos. El empaquetado de sucesos se produce a intervalos
de 10 segundos y empieza con el primer suceso que no coincide con ningún suceso de fusión
simultánea. En el intervalo de fusión, los tres primeros sucesos coincidentes se empaquetan y envían
al procesador de sucesos.
intervalo de informe
Intervalo de tiempo configurable al final del cual el procesador de sucesos debe enviar todos los
datos de sucesos y flujos capturados a la consola.
IP
Véase Protocolo Internet.
286 IBM Security QRadar: Guía de administración de QRadar
IPS
Véase sistema de prevención de intrusiones.
ISP
Véase proveedor de servicios de Internet.
J
jerarquía de red
Tipo de contenedor que es una colección jerárquica de objetos de red.
L
LAN
Véase red de área local.
LDAP
Véase Lightweight Directory Access Protocol.
Lightweight Directory Access Protocol (LDAP)
Protocolo abierto que utiliza TCP/IP para proporcionar acceso a directorios que soportan un modelo
X.500, y que no está sujeto a los requisitos de recursos del protocolo de acceso a directorios (DAP)
X.500 más complejo. Por ejemplo, se puede utilizar LDAP para localizar personas, organizaciones y
otros recursos en un directorio de Internet o de intranet.
Local a local (L2L)
Relativo al tráfico interno de una red local a otra red local.
Local a remoto (L2R)
Relativo al tráfico interno de una red local a otra red remota.
L2R
Véase Local a remoto.
L2L
Véase Local a local.
M
Magistrado
Componente interno que analiza el tráfico de red y los sucesos de seguridad respecto a las reglas
personalizadas definidas.
magnitud
Medida de la importancia relativa de un determinado delito. Magnitud es un valor ponderado
calculado a partir de pertinencia, gravedad y credibilidad.
máscara de subred
Para la gestión de subredes de internet, máscara de 32 bits utilizada para identificar los bits de
dirección de subred de la parte de host de una dirección IP.
Módulo de soporte de dispositivo (DSM)
Archivo de configuración que analiza los sucesos recibidos de varios orígenes de registro y los
convierte a un formato de taxonomía estándar que puede visualizarse como salida.
multidifusión IP
Transmisión de un datagrama de Protocolo Internet (IP) para establecer un conjunto de sistemas que
forman un grupo de multidifusión único.
Glosario 287
N
NAT
Véase conversión de direcciones de red.
NetFlow
Protocolo de red Cisco que supervisa datos de flujo de tráfico de red. Los datos de NetFlow incluyen la
información de cliente y servidor, los puertos que se utilizan y el número de bytes y paquetes que
fluyen a través de los conmutadores y direccionadores conectados a una red. Los datos se envían a
recopiladores de NetFlow donde se realiza el análisis de datos.
nombre de dominio completo (FQDN)
En comunicaciones de Internet, nombre de un sistema host que incluye todos los subnombres del
nombre de dominio. Un ejemplo de nombre de dominio completo es rchland.vnet.ibm.com.
nombre de red completo (FQNN)
En una jerarquía de red, nombre de un objeto que incluye todos los departamentos. Un ejemplo de un
nombre de red completo es CompanyA.Department.Marketing.
número de sistema autónomo (ASN)
En TCP/IP, número asignado a un sistema autónomo por la misma autoridad central que asigna
direcciones IP. El número de sistema autónomo hace posible que los algoritmos de direccionamiento
automáticos distingan los sistemas autónomos.
O
objeto de hoja de base de datos
Nodo u objeto de terminal en una jerarquía de base de datos.
objeto de red
Componente de una jerarquía de red.
Open Source Vulnerability Database (OSVDB)
Creado por la comunidad de seguridad de red para la comunidad de seguridad de red, base de datos
de código abierto que proporciona información técnica sobre las vulnerabilidades de seguridad de la
red.
orden de análisis
Una definición de origen de registro en la que el usuario puede definir el orden de importancia para
los orígenes de registro que comparten una dirección IP o un nombre de host comunes.
origen de registro
Equipo de seguridad o equipo de red desde el que se origina une registro de sucesos.
orígenes de flujo
Origen del que se captura el flujo. Un origen de flujo se clasifica como interno cuando el flujo procede
del hardware instalado en un host gestionado o se clasifica como externo cuando el flujo se envía a un
recopilador de flujo.
origen externo
Dispositivo que está fuera del sitio primario que reenvía datos normalizados a un recopilador de
sucesos.
OSI
Véase interconexión de sistemas abiertos.
OSVDB
Véase Open Source Vulnerability Database.
P
pasarela
Dispositivo o programa utilizado para conectar redes o sistemas con diferentes arquitecturas de red.
288 IBM Security QRadar: Guía de administración de QRadar
pertinencia
Medida de impacto relativo de un suceso, una categoría o un delito en la red.
positivo falso
Un suceso o un flujo que según el usuario no debería crear un delito o un delito que según el usuario
no es un incidente de seguridad.
protocolo
Conjunto de reglas que controlan la comunicación y la transferencia de datos entre dos o varios
dispositivos o sistemas en una red de comunicaciones.
Protocolo de configuración dinámica de hosts (DHCP)
Protocolo de comunicación que se utiliza para gestionar de forma central información de
configuración. Por ejemplo, DHCP asigna automáticamente direcciones IP a sistemas de una red.
Protocolo de control de transmisiones (TCP)
Protocolo de comunicación utilizado en Internet y en todas las redes que siguen los estándares de la
IETF (Internet Engineering Task Force) para el protocolo de interconexión de redes. TCP proporciona
un protocolo fiable de host a host en redes de comunicación de conmutación de paquetes y en
sistemas interconectados de esas redes. Véase también Protocolo Internet.
Protocolo de mensajes de control de Internet (ICMP)
Protocolo de Internet utilizado por una pasarela para comunicarse con un host de origen, por
ejemplo, para informar de un error en un datagrama.
Protocolo de resolución de direcciones (ARP)
Protocolo que correlaciona dinámicamente una dirección IP con una dirección de adaptador de red en
una red de área local.
Protocolo Internet (IP)
Protocolo que direcciona datos a través de una red o redes interconectadas. Este protocolo actúa
como intermediario entre las capas de protocolo superiores y la red física. Vea también Protocolo de
control de transmisiones.
Protocolo simple de gestión de red (SNMP)
Conjunto de protocolos para supervisar sistemas y dispositivos en redes complejas. La información
sobre dispositivos gestionados se define y almacena en una Base de información de gestión (MIB).
proveedor de servicios de Internet (ISP)
Organización que proporciona acceso a Internet.
punto de datos
Valor calculado de una medida en un punto en el tiempo.
punto final
Dirección de una API o un servicio en un entorno. Una API expone un punto final y al mismo tiempo
invoca los puntos finales de otros servicios.
R
ráfaga
Incremento brusco repentino en la tasa de sucesos o flujos entrantes de modo que se supera el límite
de la tasa de sucesos o flujos con licencia.
recon
Véase reconocimiento.
reconocimiento (recon)
Método mediante el cual se recopila información que pertenece a la identidad de los recursos de red.
Se utilizan técnicas de exploración de red y otras para compilar una lista de sucesos de recursos de
red a los que entonces se les asigna un nivel de gravedad.
red de área local (LAN)
Red que conecta varios dispositivos en un área limitada (como un único edificio o campus) y que se
puede conectar a una red más grande.
Glosario 289
Redirección de ARP
Método ARP para notificar al host si existe un problema en una red.
registro de flujo
Colección de registros de flujo.
regla
Conjunto de sentencias condicionales que permiten a los sistemas identificar relaciones y ejecutar
respuestas automáticas como corresponda.
regla de direccionamiento
Condición en la que, cuando los datos de sucesos satisfacen sus criterios, se ejecutan un conjunto de
condiciones y el direccionamiento consecuente.
Remoto a local (R2L)
Tráfico externo desde una red remota a una red local.
Remoto a remoto (R2R)
Tráfico externo desde una red remota a otra red remota.
R2L
Véase Remoto a local.
R2R
Véase Remoto a remoto.
S
servidor whois
Servidor que se utiliza para recuperar información sobre un recurso de Internet registrado, por
ejemplo nombres de dominio y asignaciones de dirección IP.
sistema activo
En un clúster de alta disponibilidad (HA), sistema que tiene todos los servicios en ejecución.
sistema de detección de intrusiones (IDS)
Software que detecta los intentos o los ataques satisfactorios en los recursos supervisados que
forman parte de una red o un sistema host.
Sistema de nombres de dominio (DNS)
Sistema de bases de datos distribuidas que correlaciona nombres de dominio con direcciones IP.
sistema de prevención de intrusiones (IPS)
Sistema que intenta denegar la actividad potencialmente maliciosa. Los mecanismos de denegación
pueden implicar el filtrado, seguimiento o establecimiento de límites de velocidad.
sistema en espera
Sistema que se activa automáticamente cuando el sistema activo falla. Si se ha habilitado la
replicación de disco, replica los datos del sistema activo.
SNMP
Véase Protocolo simple de gestión de red.
SOAP
Protocolo ligero basado en XML para intercambiar información en un entorno distribuido
descentralizado. Se puede utilizar SOAP para consultar y devolver información e invocar servicios en
Internet.
sub-búsqueda
Función que permite realizar una consulta de búsqueda en un conjunto de resultados de búsqueda
completada.
subred
Véase subred.
subred
Red que se divide en subgrupos independientes más pequeños, que siguen estando interconectados.
290 IBM Security QRadar: Guía de administración de QRadar
superflujo
Flujo único que consta de varios flujos con propiedades similares con el fin de aumentar la capacidad
de proceso reduciendo las restricciones de almacenamiento.
T
tabla de referencia
Tabla donde el registro de datos correlaciona claves que tienen un tipo asignado con otras claves, que
a continuación se correlacionan con un único valor.
TCP
Véase Protocolo de control de transmisiones.
temporizador de renovación
Dispositivo interno que se desencadena manual o automáticamente a intervalos temporizados que
actualiza los datos de actividad de red actuales.
V
violación
Acto que ignora o contraviene la política corporativa.
vista de sistema
Representación visual de hosts primarios y gestionados que componen un sistema.
vulnerabilidad
Riesgo de seguridad en un sistema operativo, software del sistema o componente de software de
aplicación.
Glosario 291
292 IBM Security QRadar: Guía de administración de QRadar
Índice
A
acerca de 13
administrador de red ix
archivo de registro de flujos 112
autenticación
SAML 21
B
buscar
en entornos que tienen en cuenta el dominio 127
C
cambios
desplegar 36
características nuevas
Versión 7.3.0 7
Versión 7.3.1 5
Versión 7.3.2 4
Versión 7.3.3 1
categoría Auditoría de SIM 217
categoría de acceso
descripción 189
categoría de aplicación
descripción 219
categoría de auditoría
descripción 250
categoría de autenticación
descripción 179
categoría de CRE
descripción 210
suceso de regla personalizada, Véase CRE
categoría de denegación de servicio
descripción 174
categoría de descubrimiento de host de VIS
descripción 218
categoría de explotación 192
categoría de explotación potencial
descripción 211
categoría de política
descripción 208
categoría de programa malicioso
descripción 195
categoría de reconocimiento
descripción 173
categoría Definido por el usuario
descripción 214
categoría del sistema
descripción 201
categoría Desconocido
descripción 209
categoría Sospechoso
descripción 196
categorías de nivel alto
descripción 171
categorías de sucesos
descripción 171
cifrado
tecnología 24
condiciones de excepción de SNMP
visión general de la configuración 163
configuración 99
configuración de flujo 112
configuración del servidor de horas 31
configurar 21
conjuntos de referencia
añadir 89
añadir elementos 92
exportar elementos 93
suprimir elementos 93
ver 89
ver contenido 91
contenido
importar 160
Conversión de direcciones de red. 32
correlación de categorías de sucesos
categoría de acceso 189
categoría de aplicación 219
categoría de auditoría 250
categoría de autenticación 179
categoría de CRE 210
categoría de denegación de servicio 174
categoría de descubrimiento de host de VIS 218
categoría de explotación
descripción 192
categoría de explotación potencial 211
categoría de política 208
categoría de programa malicioso 195
categoría de reconocimiento 173
categoría de sucesos Auditoría de SIM 217
categoría Definido por el usuario 214
categoría del sistema 201
categoría Desconocido 209
categoría Sospechoso 196
categorías de nivel alto 171
correo electrónico, notificación personalizada 52, 56
crear 14
crear cuenta 18
cuentas de usuario 16
D
datos
enmascaramiento
descifrar 169
desplegar cambios 36
destinos de reenvío
en entornos que tienen en cuenta el dominio 122
direcciones IP solapadas
segmentación en dominios 121
dominios
búsquedas que tienen en cuenta el dominio 127
Índice 293
dominios (continuación)
crear 125, 126
direcciones IP solapadas 121
dominio predeterminado 127
dominios definidos por el usuario 127
etiquetar sucesos y flujos 122
reglas e infracciones 129
segmentar la red 121
utilizar perfiles de seguridad 127
duplicar un perfil de seguridad 15
E
editar 15
enmascaramiento
datos
descifrar 169
enmascaramiento de datos, Véase ofuscación de datos
estado del sistema 29
extensiones
importar 160
G
gestión de sistemas 29
gestionar 13, 16
glosario 283
grupos de redes remotas
descripción 115
grupos de retención 47
grupos de servicios remotos
descripción 117
H
herramienta de gestión de contenido
buscar contenido personalizado 77, 81, 83, 85
historial de inicio de sesión 17
hora del sistema 31
hosts gestionados
soporte de IPv6 44
I
importar contenido 160
información de usuario 100
infracciones
que tienen en cuenta el dominio 129
inhabilitar cuenta 19, 20
interfaz de usuario 9
introducción ix
IPv6
soporte y limitaciones 44
J
J-Flow 111
jerarquía de red
crear 39
N
NAT
utilizar con QRadar 32
NetFlow 108
novedades 1, 4, 5, 7
O
objeto de redes remotas
añadir 118
objeto de servicios remotos
añadir 118
objetos de servicios remotos
configurar 118
ocultación de datos, Véase ofuscación de datos
ofuscación de datos
creación de expresiones 169
creación de un perfil 168
visión general 165
origen de flujo
acerca de 107
añadir alias 114
añadir origen de flujo 112
editar alias 114
etiquetado de dominio 122
externo 107
gestionar alias 113
habilitar o inhabilitar 113
interno 107
nombre virtual 113
suprimir alias 114
suprimir origen de flujo 113
orígenes de flujo
creación de dominios 125, 126
orígenes de flujo externos 107
orígenes de flujo internos 107
orígenes de información de usuario 99
P
Packeteer 112
perfil de seguridad 14–16
perfiles de seguridad
privilegios de dominio 127
pestaña Admin 9
PKCS#12
cifrado, actualizar 24
política de criptografía, actualizar 24
Procesador de sucesos
acerca de 29
R
razón de cierre de la infracción 59
recopilación de datos de referencia 100
recopilaciones de datos de referencia 87
Recopilador de sucesos
acerca de 29
configurar 35
recursos de red
directrices sugeridas 117
red
294 IBM Security QRadar: Guía de administración de QRadar
red (continuación)
dominios 121
redes remotas y servicios remotos
descripción 115
reglas
que tienen en cuenta el dominio 129
restablecer SIM 37
retención de flujos
configurar 48
gestionar 49
habilitar e inhabilitar 50
secuencia 49
suprimir 50
retención de sucesos
configurar 48
gestionar 49
habilitar e inhabilitar 50
secuencia 49
suprimir 50
roles 13
S
SAML
autenticación 21
servidor de Tivoli Directory Integrator 99
servidores
descubrir 119
sFlow 111
SIM
restablecer 37
sucesos
almacenamiento y reenvío 157
almacenamiento y reenvío de sucesos 157
creación de dominios 125, 126
etiquetado de dominio 122
suprimir un perfil de seguridad 16
U
umbrales 51
usuarios 13, 17–20
V
visión general 99
vista de sucesos
crear 29
vistas de datos agregados
gestionar 64
habilitar 64
inhabilitar 64
suprimir 64
Índice 295
296 IBM Security QRadar: Guía de administración de QRadar
IBM®