IBM QRadar
7.4.3
Guia de introdução
IBM
Nota
Antes de usar estas informações e o produto que elas suportam, leia as informações em “Avisos” na
página 33.
© Copyright International Business Machines Corporation 2012, 2021.
Índice
Introdução ao QRadar............................................................................................v
Capítulo 1. Visão geral do QRadar.......................................................................... 1
Atividade de log............................................................................................................................................1
Atividade da rede......................................................................................................................................... 1
Ativos............................................................................................................................................................2
Ofensas.........................................................................................................................................................2
Relatórios..................................................................................................................................................... 2
Coleta de Dados........................................................................................................................................... 3
Coleção de Dados do Evento..................................................................................................................3
Coleção de Dados de Fluxo.................................................................................................................... 3
Informações de avaliação de vulnerabilidade (VA)............................................................................... 4
QRadarRegras.............................................................................................................................................. 4
Navegadores da web suportados................................................................................................................ 4
Visão geral de apps...................................................................................................................................... 5
Os aplicativos que são instalados por padrão com o QRadar.....................................................................7
Capítulo 2. Introdução à Implementação do QRadar...............................................9
Instalando o Dispositivo QRadar................................................................................................................. 9
Configuração do QRadar............................................................................................................................ 10
Hierarquia de Rede...............................................................................................................................10
Atualizações automáticas.................................................................................................................... 12
Coletando Eventos............................................................................................................................... 13
Coletando Fluxos..................................................................................................................................14
Importando as Informações de Avaliação de Vulnerabilidade...........................................................14
Ajuste do QRadar....................................................................................................................................... 15
Indexação de Carga Útil....................................................................................................................... 15
Servidores e Blocos de Construção..................................................................................................... 16
Configurando Regras............................................................................................................................ 17
Limpando o modelo de dados do SIM................................................................................................. 17
Capítulo 3. Introdução ao QRadar........................................................................ 19
Introdução aos Administradores...............................................................................................................19
Introdução para arquitetos........................................................................................................................22
Introdução para analistas de segurança...................................................................................................24
Procurando Eventos...................................................................................................................................26
Salvando Critérios de Procura de Eventos................................................................................................ 26
Configurando Um Gráfico de Série Temporal............................................................................................27
Procurando Fluxos..................................................................................................................................... 28
Salvando Critérios de Procura de Fluxo.................................................................................................... 28
Criando Um Item de Painel........................................................................................................................29
Procurando Recursos.................................................................................................................................29
Investigações de ofensa............................................................................................................................ 30
Visualizando Ofensas........................................................................................................................... 30
Exemplo: Ativando os Modelos de Relatório de PCI.................................................................................30
Exemplo: Criando Um Relatório Customizado com Base em Uma Procura Salva................................... 31
Avisos................................................................................................................. 33
Marcas........................................................................................................................................................ 34
Termos e condições da documentação do produto..................................................................................34
iii
Declaração de privacidade on-line da IBM............................................................................................... 35
Regulamento Geral sobre a Proteção de Dados....................................................................................... 35
Glossário.............................................................................................................37
A................................................................................................................................................................. 37
B................................................................................................................................................................. 37
C..................................................................................................................................................................38
D................................................................................................................................................................. 38
E..................................................................................................................................................................39
F..................................................................................................................................................................39
G................................................................................................................................................................. 39
H................................................................................................................................................................. 40
I.................................................................................................................................................................. 40
K..................................................................................................................................................................41
L.................................................................................................................................................................. 41
M.................................................................................................................................................................41
N................................................................................................................................................................. 42
O................................................................................................................................................................. 42
P..................................................................................................................................................................42
Q................................................................................................................................................................. 43
R................................................................................................................................................................. 43
S..................................................................................................................................................................44
T..................................................................................................................................................................45
V..................................................................................................................................................................45
W.................................................................................................................................................................45
Índice remissivo.................................................................................................. 47
iv
Introdução ao QRadar
O Guia de Introdução ao IBM® QRadar apresenta os principais conceitos, uma visão geral do processo de
instalação e as tarefas básicas que você pode executar na interface com o usuário.
Público desejado
Essas informações são destinadas ao uso pelos administradores de segurança que são responsáveis pela
investigação e gerenciamento de segurança de rede. Para usar este guia, você deve ter um conhecimento
de sua infraestrutura de rede corporativa e tecnologias de rede.
Documentação técnica
Para obter informações sobre como acessar outras documentações técnicas, notas técnicas e notas
sobre a liberação, consulte Acessando a nota técnica da documentação do IBM Security (https://
www.ibm.com/support/pages/node/479617).
Entrando em contato com o suporte ao cliente
Para obter informações sobre como entrar em contato com o suporte ao cliente, consulte a Nota técnica
de suporte e download (http://www.ibm.com/support/docview.wss?rs=0&uid=swg21612861).
Declaração de boas práticas de segurança
A segurança do sistema de TI envolve a proteção de sistemas e das informações por meio de prevenção,
detecção e resposta a acesso incorreto de dentro e de fora da empresa. O acesso incorreto pode resultar
em informações alteradas, destruídas, desapropriadas ou usadas impropriamente ou pode resultar em
danos ou uso incorreto dos sistemas, inclusive para uso em ataques em outros sistemas. Nenhum
sistema ou produto de TI deve ser considerado completamente seguro e nenhum produto, serviço ou
medida de segurança pode ser completamente efetivo(a) na prevenção de uso ou acesso impróprios. Os
sistemas, produtos e serviços IBM são projetados para fazerem parte de uma abrangente abordagem de
segurança legal, que envolve necessariamente procedimentos operacionais adicionais e pode exigir que
outros sistemas, produtos ou serviços sejam mais efetivos. A IBM NÃO GARANTE QUE OS SISTEMAS,
PRODUTOS OU SERVIÇOS SEJAM IMUNES OU TORNEM SUA EMPRESA IMUNE CONTRA A CONDUTA
MALICIOSA OU ILEGAL DE QUALQUER PESSOA.
Observe que:
O uso desse programa pode implicar em várias leis ou regulamentações, incluindo aquelas relacionadas à
privacidade, proteção de dados, emprego, e armazenamento e comunicações eletrônicas. O IBM QRadar
só poderá ser usado com propósitos legais e de forma legal. O cliente concorda em usar este Programa
de acordo com leis, regulamentos e políticas e assume toda a responsabilidade pelo seu cumprimento. O
licenciado declara que obterá ou obteve quaisquer consentimentos, permissões ou licenças necessários
para permitir o uso legal do IBM QRadar.
© Copyright IBM Corp. 2012, 2021
v
vi IBM QRadar: Guia de introdução do QRadar
Capítulo 1. Visão geral do QRadar
O IBM QRadar é uma plataforma de gerenciamento de segurança de rede que fornece reconhecimento
situacional e suporte de conformidade. O QRadar usa uma combinação de conhecimento de rede
baseados em fluxo, correlação de eventos de segurança e avaliação de vulnerabilidades baseada em
ativo.
Comece explorando o app IBM QRadar Experience Center
Uma ótima maneira de começar é experimentar o app IBM QRadar Experience Center, suportado no
QRadar V7.3.1 ou mais recente. O app é fornecido com diversos casos de uso de segurança predefinidos
que podem ser executados para demonstrar como o QRadar pode ajudá-lo a detectar ameaças de
segurança. Observe o QRadar em ação enquanto os dados de simulação são enviados ao QRadar do app.
Depois de assistir ao tutorial em vídeo que explica o caso de uso, explore o conteúdo correspondente do
QRadar e veja como é possível investigar essa ameaça em seu próprio ambiente.
Use o app para fazer upload e reproduzir seus próprios logs no QRadar. Acesse o IBM Security Learning
Academy e outros recursos para explorar como é possível usar os poderosos recursos de detecção de
ameaças do QRadar para proteger sua rede.
Importante: Esse app não é adequado para sistemas de produção, pois envia eventos que não podem ser
removidos do sistema. Em vez disso, use-o em um ambiente de teste.
Faça download do app IBM QRadar Experience Center no IBM Security App Exchange (https://
exchange.xforce.ibmcloud.com/hub/extension/4b8a49187611ae8f746c27c8da4727e3).
Informações relacionadas
Usando o IBM QRadar SIEM
Atividade de log
No IBM QRadar, é possível monitorar e exibir eventos de rede em tempo real ou executar procuras
avançadas.
A guia Atividade de Log guia exibe informações de evento como registros de uma origem de log, como
um dispositivo de firewall ou roteador. Use a guia Atividade de log para executar as tarefas a seguir:
• Investigar dados do evento.
• Investigar logs de eventos que são enviados para o QRadar em tempo real.
• Eventos de procura.
• Monitorar atividade de log usando gráficos de série temporal configuráveis.
• Identificar positivos falsos para ajustar o QRadar.
Para obter informações adicionais, consulte IBM QRadar Guia do Usuário.
Atividade da rede
No IBM QRadar, é possível investigar as sessões de comunicação entre dois hosts.
Se a opção de captura de conteúdo estiver ativada, a guia Atividade de rede exibirá informações sobre
como o tráfego de rede é comunicado e o que foi comunicado. Usando a guia Atividade de Rede, é
possível executar as tarefas a seguir:
• Investigar os fluxos enviados ao QRadar em tempo real.
• Procurar fluxos de rede.
• Monitorar atividade de rede usando gráficos de série temporal configuráveis.
© Copyright IBM Corp. 2012, 2021
1
Para obter informações adicionais, consulte IBM QRadar Guia do Usuário.
Ativos
O IBM QRadar cria automaticamente perfis de ativos usando dados de fluxo e dados de vulnerabilidade
passivos para descobrir os hosts e servidores de rede.
Os perfis de ativos fornecem informações sobre cada ativo conhecido na rede, incluindo os serviços em
execução. As informações do perfil de ativos são usadas para fins de correlação, que ajuda a reduzir
positivos falsos.
Use a guia Ativos para executar as tarefas a seguir:
• Procurar ativos.
• Visualizar todos os ativos aprendidos.
• Visualizar informações de identidade para ativos aprendidos.
• Ajustar vulnerabilidades de positivo falso.
Para obter informações adicionais, consulte IBM QRadar Guia do Usuário.
Ofensas
No IBM QRadar, é possível investigar ofensas para determinar a causa raiz de um problema de rede.
Use a guia Ofensas para visualizar todas as ofensas que ocorrerem em sua rede e conclua as tarefas a
seguir:
• Investigar ofensas, origem e endereços IP de destino, comportamentos de rede e anomalias na rede.
• Correlacionar eventos e fluxos que são originados de várias redes para o mesmo endereço IP de
destino.
• Acesse as várias páginas da guia Ofensas para investigar os detalhes do evento e do fluxo.
• Determinar os eventos exclusivos que causaram uma ofensa.
Para obter informações adicionais, consulte IBM QRadar Guia do Usuário.
Relatórios
No IBM QRadar, é possível criar relatórios customizados ou usar relatórios padrão.
O QRadar fornece modelos de relatórios padrão que você pode customizar, remarcar e distribuir aos
usuários do QRadar.
Os modelos de relatórios são agrupados em tipos de relatórios, como conformidade, dispositivo,
executivo e relatórios da rede. Use a guia Relatórios para concluir as tarefas a seguir:
• Criar, distribuir e gerenciar relatórios para dados do QRadar.
• Criar relatórios customizados para uso operacional e executivo.
• Combinar informações de segurança e de rede em um único relatório.
• Usar ou editar modelos de relatórios pré-instalados.
• Marcar seus relatórios com logotipos customizados. A marca é benéfica para distribuir relatórios a
públicos diferentes.
• Configurar um planejamento para gerar ambos os relatórios, customizado e padrão.
• Publicar relatórios em vários formatos.
Para obter informações adicionais, consulte IBM QRadar Guia do Usuário.
2 IBM QRadar: Guia de introdução do QRadar
Coleta de Dados
O IBM QRadar aceita informações em vários formatos e de uma ampla gama de dispositivos, incluindo
eventos de segurança, tráfego de rede e resultados de varredura.
Os dados coletados são categorizados em três seções principais: eventos, fluxos e informações de
avaliação de vulnerabilidade (VA).
Coleção de Dados do Evento
Os eventos são gerados por origens de log, como firewalls, roteadores, servidores e sistemas de detecção
de intrusão (IDS) ou sistemas de prevenção de intrusão (IPS).
A maioria das origens de log envia informações para o IBM QRadar usando o protocolo syslog. O QRadar
também suporta os protocolos a seguir:
• Protocolo Simples de Gerenciamento de Rede (SNMP)
• Java™ Database Connectivity (JDBC)
• Security Device Event Exchange (SDEE)
Por padrão, o QRadar detecta automaticamente as origens de log após um número específico de logs
identificáveis serem recebidos dentro de um período de tempo determinado. Após as origens de log
serem detectadas com êxito, o QRadar incluirá o módulo de suporte de dispositivo (DSM) adequado na
janela Origens de Log na guia Admin.
Embora a maioria dos DSMs inclua o recurso de envio de log nativo, vários DSMs requerem configuração
extra ou um agente, ou ambos, para enviar logs. A configuração varia entre os tipos de DSM. Você deve
assegurar que os DSMs estejam configurados para enviar logs em um formato que o QRadar suporta. Para
obter mais informações, consulte Incluindo uma origem de log.Para obter mais informações sobre como
configurar os DSMs, consulte o Guia de configuração do DSM.
Determinados tipos de origem de log, como roteadores e comutadores, não enviam logs suficientes ao
QRadar para detectar e incluí-los rapidamente na lista Origem de Log. É possível incluir manualmente
essas origens de log. Para mais informações, consulte Incluindo um DSM. Para obter mais informações
sobre como incluir origens de log manualmente, consulte o Guia de configuração do DSM.
Os dados coletados são categorizados em três seções principais: eventos, fluxos e informações de
avaliação de vulnerabilidade (VA).
Coleção de Dados de Fluxo
Os fluxos fornecem informações sobre tráfego de rede e podem ser enviados ao IBM QRadar em vários
formatos, incluindo Arquivos Flowlog, NetFlow, J-Flow, sFlow e Packeteer.
Ao aceitar diversos formatos de fluxo simultaneamente, o QRadar poderá detectar as ameaças
e atividades que, de outra forma, serão perdidas, contando estritamente em eventos para obter
informações.
O QRadar QFlow Collectors fornece a detecção completa de aplicativo do tráfego de rede,
independentemente da porta na qual o aplicativo está funcionando. Por exemplo, se o protocolo Internet
Relay Chat (IRC) estiver se comunicando na porta 7500 (TCP), um QRadar QFlow Collector identificará
o tráfego como IRC e fornecerá uma captura de pacote do início da conversa. O NetFlow e o J-Flow
notificam somente que a porta 7500 (TCP) tem tráfego sem fornecer qualquer contexto para qual
protocolo está sendo usado.
Os locais de porta de espelho comuns incluem núcleo, DMZ, servidor e comutadores de aplicativo, com
NetFlow que fornece informações complementares a partir de roteadores e comutadores de borda.
Por padrão, os QRadar QFlow Collectors são ativados e requerem um espelho, span ou grampo para
ser conectado a uma interface disponível no dispositivo QRadar. A análise de fluxo será iniciada
automaticamente quando a porta do espelho for conectada a uma das interfaces de rede no dispositivo
QRadar. Por padrão, o QRadar monitora a interface de gerenciamento para o tráfego do NetFlow na porta
2055 (UDP). Será possível designar portas NetFlow extras, se necessário.
Capítulo 1. Visão geral do QRadar 3
Para obter informações adicionais, consulte IBM QRadar Guia do Usuário.
Informações de avaliação de vulnerabilidade (VA)
O IBM QRadar pode importar informações de avaliação de vulnerabilidade de vários scanners de
terceiros.
As informações de avaliação de vulnerabilidade ajudam o QRadar Risk Manager a identificar hosts ativos,
portas abertas e vulnerabilidades potenciais.
O QRadar Risk Manager usa informações de avaliação de vulnerabilidade para classificar a magnitude das
ofensas na rede.
Dependendo do tipo de scanner de VA, o QRadar Risk Manager pode importar resultados de varredura do
servidor de scanner ou iniciar remotamente uma varredura.
Para obter mais informações, consulte “Importando as Informações de Avaliação de Vulnerabilidade” na
página 14.
QRadarRegras
As regras executam testes em eventos, fluxos ou ofensas. Se todas as condições de um teste forem
atendidas, a regra gerará uma resposta.
O IBM QRadar inclui regras que detectam uma grande variedade de atividades, incluindo negações
excessivas de firewall, diversas tentativas de login com falha e atividade botnet potencial. Para obter mais
informações sobre as regras, consulte o IBM QRadar Administration Guide.
A lista a seguir descreve as duas categorias de regra:
• As regras customizadas executam testes em eventos, fluxos e ofensas para detectar atividade incomum
na rede.
• As regras de detecção de anomalia executam testes nos resultados das pesquisas salvas de fluxo ou
evento para detectar quando os padrões de tráfego incomum ocorrem na rede.
Importante: Um usuário com acesso não administrativo pode criar regras para as áreas da rede que
podem ser acessadas. Você deve ter as permissões de função apropriada para gerenciar as regras. Para
obter mais informações sobre permissões de função de usuário, consulte o IBM QRadar Administration
Guide.
Navegadores da web suportados
Para que os recursos em produtos IBM QRadar funcionem corretamente, deve-se usar um navegador da
web suportado.
A tabela a seguir lista as versões suportadas de navegadores da web.
Tabela 1. Navegadores da web suportados para produtos QRadar
Navegador da web
Versões Suportadas
64 bitsMozilla Firefox
Liberação de suporte estendido 60 e mais recente
Microsoft Edge de 64 bits
38,14393 e posterior
64 bitsGoogle Chrome
Mais recente
O navegador da web Microsoft Internet Explorer não é mais suportado no QRadar 7.4.0 ou mais recente.
4 IBM QRadar: Guia de introdução do QRadar
Exceções e certificados de segurança
Se estiver usando o navegador da web Mozilla Firefox, deverá incluir uma exceção para o Mozilla Firefox
para efetuar login no QRadar. Para obter mais informações, consulte a documentação do navegador da
web Mozilla Firefox.
Navegar no aplicativo baseado na web
Ao usar o QRadar, use as opções de navegação disponíveis no QRadar Console em vez do botão Voltar do
navegador da web.
Visão geral de apps
Os aplicativos do IBM QRadar são criados por desenvolvedores. Após um desenvolvedor criar um
aplicativo, a IBM o certifica e o publica no IBM Security App Exchange. Os administradores do QRadar
podem, então, navegar e fazer download dos aplicativos e, em seguida, instalar os aplicativos no QRadar
para lidar com requisitos de segurança específicos.
O IBM Security App Exchange é um hub de compartilhamento baseado em comunidade que é usado
para compartilhar apps entre produtos IBM Security. Participando do App Exchange, é possível usar os
fluxos de trabalho, visualizações, analíticas e casos de uso inovadores e rapidamente montados que são
empacotados em apps para atender aos requisitos específicos de segurança. Soluções fáceis de usar
são desenvolvidas por parceiros, consultores e desenvolvedores para lidar com os principais desafios
de segurança. Para detectar e corrigir ameaças, use estes componentes de segurança compartilhados,
de correlação em tempo real e modelagem comportamental a respostas customizadas e dados de
referência.
Nota: Os requisitos de memória combinados de todos os apps instalados em um QRadar Console não
podem exceder 10% da memória total disponível ou os apps não funcionarão. Se você exceder a alocação
de memória de 10 por cento e desejar executar mais apps, use um dispositivo dedicado para seus apps
(dispositivo AppNode para o QRadar V7.3.1 ou o dispositivo AppHost para o QRadar V7.3.2 ou mais
recente).
O app IBM QRadar Assistant ajuda você a gerenciar e atualizar seu inventário de apps e extensões
de conteúdo, visualizar recomendações de apps e extensões de conteúdo, seguir o feed do QRadar no
Twitter e obter links para informações úteis. O app é instalado automaticamente com o QRadar V7.3.2 ou
mais recente.
O diagrama a seguir mostra o fluxo de trabalho para um aplicativo e a função que normalmente é
responsável pelo trabalho.
Capítulo 1. Visão geral do QRadar 5
Figura 1. Fluxo de trabalho do app
Perguntas Frenquentes
O que é um aplicativo?
Os apps criam ou incluem novas funções no QRadar, fornecendo novas guias, métodos de API,
itens de painel, menus, botões da barra de ferramentas, páginas de configuração e outros dentro da
interface com o usuário do QRadar. É possível fazer download dos aplicativos do IBM Security App
Exchange. Os apps que são criados usando o GUI Application Framework Software Development Kit
são integrados à interface com o usuário do QRadar para entregar novos recursos de inteligência de
segurança ou ampliar as funções atuais.
Cada arquivo transferido por download do IBM Security App Exchange é conhecido como uma
extensão. Uma extensão pode consistir em um aprimoramento de produto do aplicativo ou de
segurança (extensão de conteúdo) que é empacotado como um arquivo archive (.zip), que você pode
implementar no QRadar usando a ferramenta Extension Management na guia Administrador.
Quem pode criar um aplicativo?
É possível usar o GUI Application Framework Software Development Kit para criar aplicativos. Para
obter mais informações sobre o GUI Application Framework Software Development Kit, consulte o
Guia do IBM Security QRadar App Framework.
Você faz download (https://developer.ibm.com/qradar/) do SDK em IBM developerWorks.
Como posso compartilhar meu aplicativo?
Somente conteúdo certificado é compartilhado no IBM Security App Exchange, uma nova
plataforma para colaboração que você pode responder rapidamente e lidar com seus requisitos de
aprimoramento de segurança e aprimoramento. No IBM Security App Exchange, é possível localizar
aplicativos disponíveis, descobrir seu propósito e como eles se parecem e aprender o que outros
usuários dizem sobre os aplicativos.
6 IBM QRadar: Guia de introdução do QRadar
Como coloco um aplicativo transferido por download no QRadar?
Um administrador do QRadar faz download de uma extensão e a importa para o QRadar usando a
ferramenta Extensions Management, que é usada para fazer upload da extensão transferida por
download de uma origem local.
Onde posso obter ajuda para um aplicativo?
É possível ver informações sobre um aplicativo no seção de visão geral quando o aplicativo
é transferido por download do IBM Security App Exchange. Para aplicativos desenvolvidos
exclusivamente pela IBM, é possível localizar informações no IBM Knowledge Center.
De quanta memória um app precisa?
Os requisitos de memória combinados de todos os aplicativos que estão instalados em um QRadar
Console não podem exceder 10 por cento do total da memória disponível. Se você instalar um
aplicativo que faz o limite de memória de 10 por cento ser excedido, o aplicativo não funcionará.
Se o app requer uma alocação mínima de memória, deve-se especificar essa alocação como parte do
manifesto do app. A alocação padrão é 200 MB.
Qual é a diferença entre um aplicativo, uma extensão de conteúdo e um pacote de conteúdo?
Extensão
De dentro do QRadar, uma extensão é um termo usado para qualquer coisa que é transferida
por download do IBM Security App Exchange. Às vezes essa extensão contém itens de conteúdo
individuais, tais como funções AQL customizadas ou ações customizadas; às vezes, a extensão
contém um aplicativo que é desenvolvido usando o GUI App Framework Software Development Kit.
Use a ferramenta Extension Management para instalar as extensões.
Aplicativo
Um aplicativo é o conteúdo criado quando você usa o GUI App Framework Software Development Kit.
O app amplia ou cria novas funções no QRadar.
Extensão de conteúdo
Uma extensão de conteúdo é normalmente usada para atualizar as informações de modelo de
segurança do QRadar ou incluir novo conteúdo como regras, relatórios, procuras, logotipos, conjuntos
de referência, propriedades customizadas. As extensões de conteúdo não são criadas usando o GUI
Application Framework Software Development Kit.
Faça o download dos pacotes de conteúdo no IBM Fix Central em formato RPM.
Geralmente, as extensões de conteúdo diferem dos pacotes de conteúdo porque você transfere por
download pacotes de conteúdo (arquivos RPM) no IBM Fix Central (www.ibm.com/support/fixcentral).
Os aplicativos que são instalados por padrão com o QRadar
Para melhorar o fluxo de trabalho, alguns aplicativos que antes estavam disponíveis somente no IBM
Security App Exchange são agora instalados por padrão.
A tabela a seguir descreve os apps instalados e seus benefícios.
Aplicativo
Instalado em versões do IBM QRadar
IBM QRadar Assistant
• Fix pack 6 da 7.3.3 ou mais recente
Use o app IBM QRadar Assistant para gerenciar o
seu app e o inventário de extensão de conteúdo,
visualizar recomendações de extensão de app e
de conteúdo, seguir o feed do Twitter do QRadar
e obter links para outras informações. Para obter
mais informações, consulte Aplicativo QRadar
Assistant.
• Fix pack 2 da versão 7.4.1 ou mais recente
• 7.4.2 GA ou mais recente
Capítulo 1. Visão geral do QRadar 7
Aplicativo
Instalado em versões do IBM QRadar
IBM QRadar Pulse
7.4.0 ou mais recente
O IBM QRadar Pulse é um aplicativo de painel
que pode ser usado para comunicar insights e
análises sobre sua rede. Tome o pulso de seu
SOC com painéis dinâmicos em tempo real que
fornecem insights significativos para sua variação
de segurança e cenário de ameaça. Visualize
ofensas, dados de rede, ameaças, comportamento
de usuário malicioso e ambientes de nuvem
de todo o mundo em mapas geográficos, um
globo de ameaças 3D integrado e gráficos de
atualização automática. Importe e exporte painéis
para compartilhar com colegas. Veja as ofensas se
desdobrarem em tempo quase real e rastreie suas
ameaças de segurança de todo o globo. Para obter
mais informações, veja Aplicativo QRadar Pulse.
IBM QRadar Log Source Management
7.4.0 ou mais recente
O app IBM QRadar Log Source Management
fornece um fluxo de trabalho fácil de usar que
ajuda você a localizar, criar, editar e excluir
rapidamente os origens de log. Use o fluxo de
trabalho simplificado para mudar parâmetros para
uma série de origens de log ao mesmo tempo. Para
configurar as origens de log no 7.4.0, deve-se usar
o app IBM QRadar Log Source Management . Para
obter mais informações, veja Aplicativo QRadar Log
Source Management.
IBM QRadar Use Case Manager
Use as dicas orientadas no QRadar Use Case
Manager para ajudar a garantir que o QRadar
seja configurado de forma otimizada para detectar
com precisão as ameaças em toda a cadeia
de ataque. O QRadar Use Case Manager inclui
um explorador de regras que oferece relatórios
flexíveis que estão relacionados às suas regras.
O QRadar Use Case Manager também expõe
mapeamentos predefinidos para as regras do
sistema e para ajudá-lo a mapear suas próprias
regras customizadas para as táticas e técnicas
MITRE ATT & CK. Para obter mais informações,
consulte App QRadar Use Case Manager.
8 IBM QRadar: Guia de introdução do QRadar
7.4.1 ou mais recente
Capítulo 2. Introdução à Implementação do QRadar
Antes de poder avaliar recursos principais do IBM QRadar, um administrador deve implementar o QRadar.
Para implementar o QRadar, os administradores devem executar as tarefas a seguir:
• Instalar o dispositivo QRadar.
• Configure sua instalação do QRadar.
• Coletar dados do evento, fluxo e avaliação de vulnerabilidade (VA).
• Ajustar a instalação do QRadar.
Instalando o Dispositivo QRadar
Os administradores devem instalar o dispositivo IBM QRadar para ativar o acesso à interface com o
usuário.
Antes de começar
Antes de instalar o dispositivo QRadar, assegure-se de que os requisitos a seguir sejam atendidos:
• O hardware requerido está instalado. Para obter mais informações, consulte o IBM QRadar Installation
Guide.
• Um teclado e monitor estão conectados usando a conexão VGA.
• Seu login esteja efetuado como usuário raiz.
Procedimento
1. Acessar o Software e a Documentação.
a) Revise as notas sobre a liberação para o componente QRadar que você deseja instalar.
b) Siga as instruções no Documento de download (https://www.ibm.com/support/pages/node/
6435171) para fazer o download do QRadar do IBM Passport Advantage.
2. Revise as informações sobre os recursos dos painéis dianteiro e traseiro dos dispositivos para
confirmar a devida conectividade e funcionalidade. Para obter mais informações sobre recursos de
painel dianteiro e traseiro para dispositivos, consulte o Guia de Hardware do IBM QRadar.
No painel traseiro de cada tipo de dispositivo, o conector serial e os conectores Ethernet podem
ser gerenciados usando o Integrated Management Module. Para obter mais informações sobre o
Integrated Management Module, consulte o Guia do usuário do Integrated Management Module no CD
que é enviado com o seu dispositivo.
3. Instalar o dispositivo QRadar.
a) Crie o diretório /media/cdrom digitando o comando a seguir: mkdir /media/cdrom
b) Monte a imagem ISO do QRadar digitando o comando a seguir: mount -o loop
<path_to_the_QRadar_ISO> /media/cdrom
c) Para iniciar a instalação, digite o comando a seguir: /media/cdrom/setup.
d) Selecione Instalação do dispositivo para o tipo de dispositivo.
e) Selecione o tipo de dispositivo na lista.
f) Para o tipo de configuração, selecione normal.
g) Configure a data e hora.
h) Selecione o tipo de endereço IP.
i) No assistente, insira um nome completo do domínio, no campo Nome do host.
j) No campo Endereço IP, insira um endereço IP estático ou use o endereço IP atribuído pelo DHCP.
© Copyright IBM Corp. 2012, 2021
9
Sugestão: Para obter informações sobre a configuração do host IPv6 primário ou secundário,
consulte o IBM QRadar High Availability Guide.
k) Se você não tiver um servidor de email, insira localhost no campo Nome do servidor de email.
l) Insira uma senha raiz que atenda aos critérios a seguir:
• Conter pelo menos 5 caracteres
• Não conter espaços
• Pode incluir os seguintes caracteres especiais: @, #, ^ e *.
m) Siga as instruções no assistente de instalação para concluir a instalação. O processo de instalação
pode demorar vários minutos.
4. Aplique sua chave de licença.
a) Efetue login no QRadar como usuário administrativo: https://<QRadar_IP_Address>
b) Clique na guia Admin.
c) Clique no ícone Gerenciamento de Sistema e Licença.
d) Clique em Fazer Upload da Licença, e faça upload de sua chave de licença.
e) Selecione a licença e clique em Alocar sistema para a licença.
f) Na lista de licenças, selecione uma licença e clique em Alocar Licença para o Sistema.
Configuração do QRadar
Ao configurar o IBM QRadar, é possível revisar sua hierarquia de rede e customizar atualizações
automáticas.
Procedimento
1. Certifique-se de que o Java Runtime Environment (JRE) versão 1.7 ou o IBM 64-bit Runtime
Environment for Java V7.0 esteja instalado em todos os sistemas de área de trabalho que você usa
para acessar a interface com o usuário do produto QRadar.
2. Assegure-se de estar usando um navegador da web suportado. Consulte o “Navegadores da web
suportados” na página 4.
3. Efetue login na interface com o usuário do QRadar digitando a URL a seguir com o endereço IP do
QRadar Console:
https://Endereço IP
Conceitos relacionados
Navegadores da web suportados
Para que os recursos em produtos IBM QRadar funcionem corretamente, deve-se usar um navegador da
web suportado.
Hierarquia de Rede
É possível visualizar diferentes áreas de sua rede organizadas pela função de negócios e priorizar
informações de ameaça e política de acordo com o risco de valor de negócios.
O IBM QRadar usa a hierarquia de rede para executar as tarefas a seguir:
• Entender o tráfego de rede e visualizar a atividade de rede.
• Monitorar serviços ou grupos lógicos específicos na rede, como marketing, DMZ ou VoIP.
• Monitorar o tráfego e perfilar o comportamento de cada grupo e host no grupo.
• Determinar e identificar os hosts locais e remotos.
Quando você desenvolve sua rede hierarquia, considere o método mais eficaz para visualizar atividade de
rede. A hierarquia de rede não precisa ser parecida com a implementação física de sua rede. O QRadar
10 IBM QRadar: Guia de introdução do QRadar
suporta qualquer hierarquia de rede que possa ser definida por um intervalo de endereços IP. Você pode
basear sua rede em muitas diferentes variáveis, inclusive geográficas ou unidades de negócios.
Os objetos definidos em sua hierarquia de rede não devem estar fisicamente em seu ambiente. Todos os
intervalos de rede lógica pertencentes a sua infraestrutura devem ser definidos como um objeto de rede.
Para obter informações adicionais, consulte IBM QRadar Administration Guide.
Definindo sua Hierarquia de Rede
Uma hierarquia de rede padrão que contém grupos de rede predefinidos está incluído no IBM QRadar. É
possível editar os objetos da hierarquia de rede predefinidos ou é possível criar novos grupos ou objetos
de rede.
Sobre esta tarefa
Os objetos de rede são contêineres para endereços do Classless Inter-Domain Routing (CIDR). Qualquer
endereço IP que esteja definido em um intervalo do CIDR na hierarquia de rede é considerado como um
endereço local. Qualquer endereço IP que não esteja definido em um intervalo do CIDR na hierarquia de
rede é considerado como um endereço remoto. Um CIDR pode pertencer apenas a um objeto de rede,
mas os subconjuntos de um intervalo do CIDR podem pertencer a outro objeto de rede. O tráfego de rede
corresponde o CIDR mais exato. Um objeto de rede pode ter vários intervalos CIDR designados a ele.
Alguns dos blocos de construção e regras padrão no QRadar usam os objetos da hierarquia de rede
padrão. Antes de mudar um objeto da hierarquia de rede padrão, procure as regras e blocos de
construção para entender como o objeto é usado e quais regras e blocos de construção podem precisar
de ajustes após você modificar o objeto. É importante manter a hierarquia de rede, as regras e os blocos
de construção atualizados para evitar falsas ofensas.
Procedimento
1. No menu de navegação (
), clique em Administração.
2. Na seção Configuração do sistema, clique em Hierarquia de rede.
3. Na árvore de menus na janela Visualizações de rede, selecione a área da rede na qual você deseja
trabalhar.
4. Para incluir objetos de rede, clique em Incluir e preencha os campos a seguir:
Opção
Descrição
Nome
O nome exclusivo do objeto de rede.
Sugestão: É possível usar períodos em nomes de objetos de rede para definir
hierarquias de objeto de rede. Por exemplo, se você inserir o nome do objeto D.E.F,
criará uma hierarquia de três camadas com E como um subnó de D e F como um
subnó de E.
grupo
O grupo de rede no qual incluir o objeto de rede. Selecione na lista de Grupos ou
clique em Incluir um novo grupo.
Sugestão: Ao incluir um grupo de rede, é possível usar períodos em nomes de
grupos de rede para definir hierarquias de grupo de rede. Por exemplo, se você
inserir o nome do grupo A.B.C, criará uma hierarquia de três camadas com B como
um subnó de A e C como um subnó de B.
IP/CIDR(s)
Digite um endereço IP ou intervalo do CIDR para o objeto de rede e clique em
Incluir. É possível incluir múltiplos endereços IP e intervalos do CIDR.
Descrição
Uma descrição do objeto de rede. Esse campo é opcional.
País/Região
O país ou a região na qual o objeto de rede está localizado. Esse campo é opcional.
Capítulo 2. Introdução à Implementação do QRadar 11
Opção
Descrição
Longitude e
Latitude
O local geográfico (longitude e latitude) do objeto de rede. Esses campos são
codependentes e opcionais.
5. Clique em Criar.
6. Repita as etapas para incluir mais objetos de rede ou clique em Editar ou Excluir para trabalhar com
objetos de rede existentes.
Atualizações automáticas
Usando o IBM QRadar, é possível substituir os arquivos de configuração existentes ou integrar os arquivos
atualizados aos arquivos existentes.
O console do QRadar deve estar conectado à Internet para receber atualizações. Se o console não está
conectado à Internet, deve-se configurar um servidor de atualização interno. Para obter informações
sobre como configurar um servidor atualização automática, consulte o IBM QRadar Guia do Usuário.
Faça download de atualizações de software a partir do IBM Fix Central (www.ibm.com/support/
fixcentral/).
Os arquivos de atualização podem incluir as atualizações a seguir:
• As atualizações de configuração, que incluem mudanças no arquivo de configuração, vulnerabilidade,
mapa QID e atualização de informações de ameaça de segurança.
• Atualizações de DSM, que incluem correções para problemas de análise, mudanças do scanner e
atualizações de protocolos.
• Atualizações maiores, que incluem itens, como arquivos JAR atualizados.
• Atualizações menores, que incluem itens, como conteúdo de ajuda online extra ou scripts atualizados.
Configurando Definições de Atualização Automática
É possível customizar a frequência de atualizações, tipos de atualização, configuração do servidor e
configurações de backup do IBM QRadar.
Sobre esta tarefa
Você pode selecionar o AutoDeploy implementação automaticamente as atualizações. Se o AutoDeploy
não for selecionado, então você deve implementar manualmente as alterações, na guia Painel , após as
atualizações estiverem instaladas.
Restrição: No ambiente de alta disponibilidade (HA), as atualizações automáticas não são instaladas
quando um host secundário está ativo. As atualizações são instaladas somente depois que o host
primário se torna o nó ativo.
É possível selecionar Reinicialização Automática do Serviço para permitir atualizações automáticas que
requerem a interface com o usuário para reiniciar. Uma interrupção na interface com o usuário ocorre
quando o serviço é reiniciado. Como alternativa, você pode instalar manualmente o atualizado a partir de
Verificar Atualizações janela.
Procedimento
1. No menu de navegação (
), clique em Administração.
2. Na seção Configuração do sistema, clique em Atualização automática.
3. Clique em Alterar Configurações.
4. Na guia Básica , selecione o planejamento para atualizações.
a) Na seção Atualizações de Configuração , selecione o método que você deseja utilizar para
atualizar os arquivos de configuração.
12 IBM QRadar: Guia de introdução do QRadar
• Para mesclar os arquivos de configuração existentes com as atualizações do servidor sem
afetar suas assinaturas customizadas, entradas customizadas e configurações de rede remota,
selecione Integração automática.
• Para substituir suas customizações por configurações do servidor, selecione Atualização
automática.
b) Na seção Atualizações de DSM, Scanner, Protocolo, selecione uma opção para instalar as
atualizações.
c) Na seção , Atualizações , selecione uma opção para receber atualizações importantes para novos
releases.
d) Na seção Atualizações menores, selecione uma opção para receber correções para problemas
menores do sistema.
e) Se você desejar implementar as mudanças de atualização automaticamente após as atualizações
serem instaladas, marque a caixa de seleção Implementar automaticamente.
f) Se você desejar reiniciar o serviço de interface com o usuário automaticamente após as
atualizações serem instaladas, marque a caixa de seleção Reiniciar serviço automaticamente.
5. Clique na guia Avançado para configurar o servidor de atualização e as configurações de backup.
a) No campo Servidor da Web, digite o servidor da web a partir do qual você deseja obter as
atualizações.
O servidor da Web padrão é https://auto-update.qradar.ibmcloud.com/.
b) No campo Diretório, digite o local do diretório no qual o servidor da Web armazena as atualizações.
O diretório padrão é autoupdates/.
c) Opcional: Configure as definições para o servidor proxy.
Se o servidor de aplicativos usar um servidor proxy para se conectar à Internet, o servidor proxy
deverá ser configurado. Se você estiver usando um proxy autenticado, deverá fornecer o nome de
usuário e a senha para o servidor proxy.
d) Na lista Período de Retenção de Backup, digite ou selecione o número de dias que você deseja
armazenar arquivos que são substituídas durante o processo de atualização.
Os arquivos são armazenados no local que está especificado no Local de Backup. O mínimo é um
dia, e o máximo é 65535 anos.
e) No campo Local de Backup , digite o local no qual você deseja armazenar os arquivos de backup.
f) No campo Caminho de Download , digite o local do caminho do diretório no qual você deseja
armazenar DSM, secundários e atualizações importantes.
O caminho de diretório padrão é /store/configservices/staging/updates.
6. Clique em Salvar .
Informações relacionadas
QRadar: mudanças do servidor de atualização automática importantes para administradores
Coletando Eventos
Coletando eventos, é possível investigar os logs enviados ao IBM QRadar em tempo real.
Procedimento
1. Clique na guia Admin.
2. Na área de janela de navegação, clique em Origens de dados > Eventos.
3. Clique no ícone Origens de Log.
4. No aplicativo QRadar Log Source Management, clique em Origens de log.
5. Revise a lista de fontes de log e faça as mudanças necessárias na fonte de log.
Capítulo 2. Introdução à Implementação do QRadar 13
Para obter informações sobre como configurar origens de log, consulte o IBM QRadar DSM
Configuration Guide.
6. Salve suas mudanças e, em seguida, feche o aplicativo.
Como proceder a seguir
“Coletando Fluxos” na página 14
Coletando Fluxos
Ao coletar fluxos, será possível investigar as sessões de comunicação de rede entre os hosts.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de Dados > Fluxos.
3. Clique no ícone Fontes de Fluxo.
4. Revise a lista de fontes de fluxo e faça as mudanças necessárias nas fontes de fluxo.
Para obter mais informações sobre como configurar fontes de fluxo, consulte o IBM QRadar
Administration Guide.
5. Feche a janela Fontes de Fluxo.
6. No menu da guia Admin, clique em Implementar Mudanças.
Como proceder a seguir
“Importando as Informações de Avaliação de Vulnerabilidade” na página 14
Importando as Informações de Avaliação de Vulnerabilidade
Ao importar informações de avaliação de vulnerabilidade, você identifica hosts ativos, portas abertas e
possíveis vulnerabilidades.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de Dados > Vulnerabilidade.
3. Clique no ícone Scanners de VA.
4. Na barra de ferramentas, clique em Incluir.
5. Insira valores para os parâmetros.
Os parâmetros dependem do tipo do scanner que deseja incluir.
Importante: O intervalo CIDR especifica quais redes o IBM QRadar integra nos resultados de
varredura. Por exemplo, se desejar realizar uma varredura com relação à rede 192.168.0.0/16
e especificar 192.168.1.0/24 como o intervalo CIDR, apenas os resultados do intervalo
192.168.1.0/24 serão integrados.
6. Clique em Salvar .
7. No menu da guia Admin, clique em Implementar Mudanças.
8. Clique no ícone Planejar scanners de VA e, em seguida, clique em Incluir.
9. Especifique os critérios para a frequência que você deseja que a varredura ocorra.
Dependendo do tipo de varredura, os critérios incluem com que frequência o QRadar importa
resultados de varredura ou inicia uma nova varredura. Você também deve especificar as portas a
serem incluídas nos resultados da varredura.
10. Clique em Salvar .
14 IBM QRadar: Guia de introdução do QRadar
Conceitos relacionados
“Informações de avaliação de vulnerabilidade (VA)” na página 4
O IBM QRadar pode importar informações de avaliação de vulnerabilidade de vários scanners de
terceiros.
Ajuste do QRadar
É possível ajustar o IBM QRadar para atender às necessidades de seu ambiente.
Antes de ajustar o QRadar, aguarde um dia para ativar o QRadar para detectar os servidores na rede,
armazenar eventos e fluxos e criar ofensas baseados em regras existentes.
Os administradores podem executar as tarefas de ajuste a seguir:
• Otimize as procuras de carga útil de evento e de fluxo ativando um índice de carga útil na Atividade de
log e Atividade de rede.
• Fornecer uma implementação inicial mais rápida e um ajuste mais fácil incluindo servidores
automaticamente ou manualmente nos blocos de construção.
• Configurar respostas para condições de eventos, fluxo e ofensa criando ou modificando regras
customizadas e regras de detecção de anomalias.
• Assegurar-se de que cada host na rede crie infração com base na maioria das regras atuais, servidores
descobertos e hierarquia de rede.
Indexação de Carga Útil
Use a função Filtro Rápido, disponível nas guias Atividade do Log e Atividade de Rede, para procurar
cargas úteis de evento e de fluxo.
Para otimizar o Filtro Rápido, é possível ativar uma propriedade de Filtro Rápido de índice de carga útil.
Ativar a indexação de carga útil pode diminuir o desempenho do sistema. Monitorar as estatísticas de
índice após a ativação da indexação de carga útil na propriedade Filtro Rápido.
Para obter informações adicionais, consulte IBM QRadar Administration Guide.
Ativando Indexação de Carga Útil
É possível otimizar as procuras de carga útil de fluxo e de evento ativando um índice de carga útil na
propriedade Filtro Rápido de Atividade de Log e Atividade de Rede.
Procedimento
1. Clique na guia Admin.
2. Na seção Configuração do sistema, clique em Gerenciamento de índices.
3. No campo Procurar, digite filtro rápido.
4. Clique com o botão direito na propriedade Filtro rápido que deseja indexar.
5. Clique em Ativar Índice.
6. Clique em Salvar e, em seguida, clique em OK.
7. Para desativar um índice de carga útil, escolha uma das opções a seguir:
• Clique em Desativar Índice.
• Clique com o botão direito em uma propriedade e selecione Desativar Índice no menu.
Como proceder a seguir
Para obter informações adicionais, consulte IBM QRadar Administration Guide.
Capítulo 2. Introdução à Implementação do QRadar 15
Servidores e Blocos de Construção
O IBM QRadar descobre e classifica automaticamente os servidores na rede, fornecendo uma
implementação inicial mais rápida e ajuste mais fácil quando ocorrerem mudanças na rede.
Para assegurar que as regras apropriadas sejam aplicadas ao tipo de servidor, você pode incluir
dispositivos individuais ou intervalos de endereço completo de dispositivos. É possível inserir
manualmente os tipos de servidores que não estão em conformidade com protocolos exclusivos em
seu respectivo Bloco de construção de definição de host. Por exemplo, incluir os tipos de servidores a
seguir em blocos de construção reduz a necessidade de mais ajuste de positivo falso:
• Incluir servidores de gerenciamento de rede no bloco de construção BB:HostDefinition: Servidores de
Gerenciamento de Rede.
• Incluir servidores proxies no bloco de construção BB:HostDefinition: Servidores Proxies.
• Incluir vírus e servidores de atualização Windows no bloco de construção BB:HostDefinition: Definição
de Vírus e Outros Servidores de Atualização.
• Inclua scanners de avaliação de vulnerabilidade (VA) no bloco de construção BB-HostDefinition: IP de
origem de scanner de avaliação de vulnerabilidade.
A função Descoberta de Servidor usa o banco de dados do perfil de ativos para descobrir vários tipos de
servidores na rede. A função Descoberta de Servidor lista os servidores descobertos automaticamente e
você pode selecionar quais servidores deseja incluir nos blocos de construção.
Para obter mais informações sobre como descobrir servidores, consulte o IBM QRadar Administration
Guide.
Usando Blocos de Construção, é possível reutilizar testes de regra específica em outras regras. É possível
reduzir o número de positivos falsos, usando blocos de construção para ajustar o QRadar e ativar regras
de correlação extra.
Incluindo Servidores Automaticamente nos Blocos de Construção
A função Descoberta de servidor usa o banco de dados de perfil do ativo para descobrir diferentes tipos
de servidor que são baseados nas definições de porta. Em seguida, é possível selecionar os servidores a
serem incluídos em um bloco de construção de tipo de servidor para regras.
Procedimento
1. Clique em Ativos > Descoberta de servidor.
2. Na lista Tipo de Servidor, selecione o tipo de servidor que deseja descobrir.
Mantenha os parâmetros restantes como padrão.
3. Clique em Descobrir Servidores.
4. Na área de janela Servidores correspondentes, marque a caixa de seleção de todos os servidores que
deseja designar à função de servidor.
5. Clique em Aprovar Servidores Selecionados.
Não se esqueça: É possível clicar com o botão direito em qualquer endereço IP ou nome do host para
exibir informações de resolução de DNS.
Incluindo Servidores em Blocos de Construção Manualmente
Se um servidor não for detectado automaticamente, você poderá incluir manualmente o servidor em seu
Bloco de Construção de Definição do Host correspondente.
Procedimento
1. Clique na guia Ofensas.
2. Na área de janela de navegação, clique em Regras.
16 IBM QRadar: Guia de introdução do QRadar
3. Na lista Exibir, selecione Blocos de Construção.
4. Na lista Grupo, selecione Definições do Host.
O nome do bloco de construção corresponde ao tipo de servidor. Por exemplo, BB:HostDefinition:
Servidores Proxies se aplica a todos os servidores proxies em seu ambiente.
5. Para incluir um host ou rede manualmente, clique duas vezes no Bloco de construção de definição de
host correspondente apropriado ao seu ambiente.
6. No campo Bloco de construção, clique no valor sublinhado para o endereço IP de origem ou de
destino.
7. No campo Inserir um Endereço IP ou CIDR, digite os nomes dos hosts ou os intervalos do endereço
IP que deseja designar ao bloco de construção.
8. Clique em Incluir > Enviar.
9. Clique em Concluir.
10. Repita estas etapas para cada tipo de servidor que deseja incluir.
Configurando Regras
Na guia Atividade de Log, Atividade de Rede e Ofensas, é possível configurar regras ou blocos de
construção.
Procedimento
1. Clique na guia Ofensas.
2. Clique duas vezes na ofensa que deseja investigar.
3. Clique em Exibir > Regras.
4. Clique duas vezes em uma regra.
É possível ajustar ainda mais as regras. Para obter mais informações sobre as regras de ajuste,
consulte a documentação do app IBM QRadar Use Case Manager.
5. Feche o assistente Regras.
A propriedade Data de criação muda para a data e hora nas quais você atualizou uma regra pela
última vez.
6. Na página Regras, clique em Ações.
7. Se desejar impedir que a ofensa seja removida do banco de dados depois que o período de retenção
da ofensa tiver decorrida, selecione Proteger Ofensa.
8. Se desejar designar a ofensa a um usuário do IBM QRadar, selecione Designar.
Limpando o modelo de dados do SIM
Limpe o modelo de dados do SIM para assegurar que cada host crie ofensas baseadas nas regras mais
atuais, servidores descobertos e hierarquia de rede.
Procedimento
1. Clique na guia Admin.
2. Na barra de ferramentas, selecione Avançado > Limpar Modelo de SIM.
3. Selecione uma opção:
•
Soft Clean para configurar as ofensas para inativo.
•
Soft Clean com a caixa de seleção Desativar todas as ofensas opcional para fechar todas
as ofensas.
• Hard Clean para apagar todas as entradas.
4. Marque a caixa de seleção Tem certeza de que deseja reconfigurar o modelo de dados?.
5. Clique em Continuar.
Capítulo 2. Introdução à Implementação do QRadar 17
6. Após a conclusão do processo de reconfiguração do SIM, atualize seu navegador.
Resultados
Ao limpar o modelo SIM, todos os delitos existentes são fechados. Limpar o modelo SIM não afeta os
eventos e fluxos existentes.
18 IBM QRadar: Guia de introdução do QRadar
Capítulo 3. Introdução ao QRadar
Para iniciar no IBM QRadar, saiba mais sobre como investigar ofensas, criar relatórios e procurar eventos,
fluxos e ativos.
Por exemplo, é possível procurar informações usando o padrão salvo de procuras nas guias Atividade de
Log e Atividade de Rede. Também é possível criar e salvar suas próprias procuras customizadas.
Os administradores podem executar as tarefas a seguir:
• Procurar dados do evento usando critérios específicos e exibir eventos que correspondam aos critérios
de procura em uma lista de resultados. Selecionar, organizar e agrupar as colunas de dados do evento.
• Monitorar visualmente e investigar os dados de fluxo em tempo real ou executar procuras avançadas
para filtrar os fluxos exibidos. Visualizar as informações de fluxo para determinar como e qual tráfego
de rede é comunicado.
• Visualizar todos os ativos aprendidos ou procurar ativos específicos em seu ambiente.
• Investigar ofensas, origem e endereços IP de destino, comportamentos de rede e anomalias na rede.
• Editar, criar, planejar e distribuir relatórios padrão ou customizado.
Introdução aos Administradores
Se você for um administrador, os tópicos a seguir serão um bom lugar para começar a aprender como
usar o IBM QRadar em seu fluxo de trabalho cotidiano.
Administração
Você sabe como a Hierarquia de rede impacta a implementação do QRadar?
• Hierarquia de Rede
É possível visualizar diferentes áreas de sua rede organizadas pela função de negócios e priorizar
informações de ameaça e política de acordo com o risco de valor de negócios.
• Definindo sua Hierarquia de Rede
Uma hierarquia de rede padrão que contém grupos de rede predefinidos está incluído no QRadar. É
possível editar os objetos da hierarquia de rede predefinidos ou é possível criar novos grupos ou objetos
de rede.
Você sabe como criar integrações com soluções IBM como Guardium, AppScan, BigFix?
• Integração do IBM Guardium
O IBM® Guardium® é uma atividade de banco de dados e ferramenta de rastreamento de auditoria
para que os administradores do sistema recuperem eventos de auditoria detalhados em plataformas de
banco de dados.
• Integração do AppScan Enterprise
O QRadar recupera relatórios da HCL AppScan Enterprise com o serviço da web da Representational
State Transfer (REST) para importar dados de vulnerabilidade e gerar ofensas para a sua equipe de
segurança.
• Integração do IBM BigFix
O IBM QRadar Vulnerability Manager integra-se com o IBM BigFix® para ajudar você a filtrar e priorizar
as vulnerabilidades que podem ser corrigidas.
Você sabe como configurar múltiplos grupos de origem de log para filtragem, regras e relatórios?
• Incluindo múltiplas origens de log ao mesmo tempo
© Copyright IBM Corp. 2012, 2021
19
Use o app QRadar Log Source Management para incluir múltiplas origens de log no QRadar ao mesmo
tempo. É possível incluir quantas origens de log desejar.
• Editando múltiplas origens de log ao mesmo tempo
No app QRadar Log Source Management, visualize e edite uma série de origens de log ao mesmo tempo.
É possível editar as configurações de até 1.000 origens de log de uma vez. Edite múltiplas origens de
log ao mesmo tempo quando as origens de log tiverem configurações semelhantes que você deseja
mudar, em vez de editar cada origem de log individualmente.
Você sabe como quantificar e priorizar origens de dados em seu ambiente para assegurar a coleta de
dados adequada?
• Coleta de Dados
O QRadar aceita informações em vários formatos e de uma ampla gama de dispositivos, incluindo
eventos de segurança, tráfego de rede e resultados de varredura. Os dados coletados são categorizados
em três seções principais: eventos, fluxos e informações de avaliação de vulnerabilidade (VA).
• Incluindo um host gerenciado
Incluir hosts gerenciados, como coletores de eventos e fluxos, processadores de evento e fluxo e nós
de dados, para distribuir atividades de coleção de dados e processamento na implementação de seu
QRadar.
APIs
Você sabe como criar um token de autorização para serviços a serem usados para acesso remoto?
• Gerenciando Serviços Autorizados
É possível configurar serviços autorizados para autenticar uma chamada da API para a sua
implementação do QRadar. A API RESTful do QRadar usa serviços autorizados para autenticar
chamadas API para o QRadar Console. É possível incluir ou revogar um serviço autorizado a qualquer
momento.
• Criando um token de autenticação para agentes do WinCollect
Os aplicativos de terceiros ou externos que interagem com o QRadar requerem um token de
autenticação. Antes de você instalar agentes do WinCollect gerenciados em sua rede, deve-se criar
um token de autenticação.
Backup e restauração
Você sabe como as funções de backup e recuperação estão configuradas?
• Backup and recovery
É possível usar o recurso de backup e recuperação para fazer backup dos seus dados de evento e de
fluxo; entretanto, deve-se restaurar dados de evento e de fluxo manualmente.
• Configurações de backup e dados
Por padrão, o QRadar cria um backup archive de suas informações de configuração diariamente à
meia-noite. O backup archive inclui informações de configuração, dados, ou ambos, a partir do dia
anterior. É possível customizar esse backup noturno e criar uma configuração de backup on demand,
conforme necessário.
Alta disponibilidade/recuperação de desastre
Você sabe como criar um cluster de HA e como implementar nós de HA no QRadar, incluindo a
movimentação on-line/off-line?
• Visão geral de HA
Se o hardware ou rede falhar, o QRadar poderá continuar a coletar, armazenar e processar dados de
evento e de fluxo usando dispositivos de alta disponibilidade (HA).
20 IBM QRadar: Guia de introdução do QRadar
• Criando um Cluster HA
O emparelhamento de um host primário, de host secundário de alta disponibilidade (HA) e de um
endereço IP virtual cria um cluster de alta disponibilidade.
• Configurando um host HA on-line
É possível configurar o host de HA primário ou secundário como On-line.
• Configurando um host HA off-line
É possível configurar o host primário ou secundário de alta disponibilidade (HA) como Off-line do
estado Ativo ou Espera.
Gerenciamento de Licenças
Você sabe como medir a alocação de licença versus o uso e assegurar a cobertura adequada?
• Gerenciamento de Licenças
As chaves de licença fornecem autorização para produtos específicos do QRadar e controlam a
capacidade de evento e de fluxo para sua implementação do QRadar. É possível incluir licenças na
sua implementação para ativar outros produtos do QRadar, como o QRadar Vulnerability Manager.
• Manipulação de burst
O QRadar usa manipulação de burst para assegurar que nenhum dado seja perdido quando o sistema
exceder os limites de licença alocados de eventos por segundo (EPS) ou de fluxos por minuto (FPM).
• Distribuindo capacidade de evento e fluxo
Use a janela de Gerenciamento do conjunto de licenças para assegurar que os eventos por segundo
(EPS) e os fluxos por minuto (FPM) aos quais você está autorizado sejam totalmente usados. Além
disso, assegure-se de que o QRadar esteja configurado para manipular bursts periódicos de dados sem
descartar eventos ou fluxos ou ter EPS e FPM excessivos não usados.
Origens de log
Você sabe como criar uma nova origem de log?
• Incluindo origens de log manualmente
É possível incluir manualmente origens de log que o QRadar não detectar automaticamente.
• Incluindo uma origem de log
Use o app QRadar Log Source Management para incluir novas origens de log para receber eventos de
seus dispositivos de rede.
Você sabe como incluir origens de log usando protocolos não Syslog, como OpSec LEA e AWS S3?
• Configurando uma origem de log do OPSEC/LEA
Para integrar o Check Point OPSEC/LEA ao QRadar, deve-se criar dois arquivos Secure Internal
Communication (SIC) e inserir as informações no QRadar como uma origem de log do Check Point.
• Configurando uma origem de log do Amazon AWS CloudTrail usando o protocolo da API de REST do
Amazon AWS S3
Se você deseja coletar os logs do AWS CloudTrail por meio de depósitos do Amazon S3, configure uma
origem de log no QRadar Console para que o Amazon AWS CloudTrail possa se comunicar com o QRadar
usando o protocolo da API de REST do Amazon AWS S3.
Você sabe como obter logs de vários provedores em nuvem como o Amazon AWS ou o Microsoft Azure?
• Amazon AWS CloudTrail
O QRadar DSM for Amazon AWS CloudTrail suporta eventos de auditoria que são coletados dos
depósitos do Amazon S3 e de um Grupo de logs nos Logs do AWS CloudWatch.
• Microsoft Azure Platform
Capítulo 3. Introdução ao QRadar 21
O QRadar DSM para a Plataforma Microsoft Azure coleta eventos do Microsoft Azure Event Hubs.
Dados de referência e blocos de construção
Você sabe como ajustar o bloco de construção e o conteúdo do conjunto de referência para ajustar
efetivamente as regras do QRadar?
• Revisar os blocos de construção
Os blocos de construção são um conjunto reutilizável de testes de regras que podem ser usados
dentro de regras quando necessário. Os blocos de construção de definição de host (BB:HostDefinition)
categorizam ativos e tipos de servidor em intervalos de CIDR/IP. Preenchendo os blocos de construção
de definição de host, o QRadar pode identificar o tipo de dispositivo que pertence a um endereço ou
intervalo de endereços. Esses blocos de construção podem então ser usados em regras para excluir ou
incluir categorias inteiras de ativos em testes de regras.
Regras
Você sabe como executar regras de correlação em "modo de teste" para evitar a geração excessiva de
ofensas?
• Configurando um evento ou fluxo como positivo falso
Você pode ter tráfego de rede legítimo que aciona fluxos de falso positivo e eventos que dificultam
a identificação de incidentes de segurança verdadeiros. É possível evitar que eventos e fluxos se
correlacionem com ofensas configurando-os como falsos positivos.
• Criando uma regra customizada
O QRadar inclui regras que detectam uma grande variedade de atividades, incluindo negações
excessivas de firewall, diversas tentativas de login com falha e atividade botnet potencial. Também
é possível criar suas próprias regras para detectar atividade incomum.
Inteligência de ameaça
Você sabe como usar dados nativos de feed de ameaça do X-Force para aumentar a segurança e a
visibilidade corporativa?
• IBM Security Threat Content Extension
A extensão Threat Theme inclui conteúdo de regra e blocos de construção no QRadar focados em
eventos e detecção de ameaça. Essa extensão aprimora o conjunto de regras base do QRadar para
administradores que têm novas instalações do QRadar.
• Ativando a X-Force Threat Intelligence no QRadar
Ao ativar o X-Force Threat Intelligence no QRadar, é possível receber feeds das informações do X-Force
Threat Intelligence em seu console.
Resolução de problemas
Você sabe como coletar logs por meio da implementação do QRadar para ajudar a suportar problemas de
resolução de problemas?
• Coletando Arquivos de Log
Os arquivos de log do QRadar contêm informações detalhadas sobre a sua implementação, como
nomes do host, endereços IP e endereços de e-mail. Se você precisar de ajuda com resolução de
problemas, será possível coletar os arquivos de log e enviá-los para o Suporte IBM.
Introdução para arquitetos
Se você for um arquiteto, os tópicos a seguir serão um bom lugar para começar a aprender como usar o
IBM QRadar em seu fluxo de trabalho cotidiano.
22 IBM QRadar: Guia de introdução do QRadar
Software
Você entende a arquitetura distribuída e as funções de vários componentes do QRadar?
• Visão geral da arquitetura do QRadar
O QRadar é uma arquitetura modular que fornece visibilidade em tempo real de sua infraestrutura
de TI, que pode ser usada para detecção e priorização de ameaças. É possível escalar o QRadar
para atender às suas necessidades de análise e de coleta de log e fluxo. É possível incluir módulos
integrados na plataforma QRadar, como QRadar Risk Manager, QRadar Vulnerability Manager e QRadar
Incident Forensics .
• componentes QRadar
Use os componentes do QRadar para escalar uma implementação e para gerenciar a coleta e o
processamento de dados em redes distribuídas.
• Eventos e fluxos do QRadar
As funções principais do QRadar gerenciam a segurança de rede por meio do monitoramento de
fluxos e eventos. Uma diferença significativa entre dados de evento e de fluxo é que um evento, que
tipicamente é um log de uma ação específica como um login de usuário ou uma conexão de VPN, ocorre
em um momento específico e o evento é conectado em seguida. Um fluxo é um registro da atividade de
rede que pode demorar segundos, minutos, horas ou dias, dependendo da atividade dentro da sessão.
Você sabe como fazer o escopo de um ambiente para requisitos arquiteturais, taxas de dados e políticas
de retenção para construir de forma ideal uma implementação do QRadar?
• Retenção de dados
Os depósitos de retenção de definem por quanto tempo os dados de evento e fluxo ficam retidos no
QRadar. Quando o QRadar recebe eventos e fluxos, cada um é comparado com os critérios de filtro do
depósito de retenção. Quando um evento ou fluxo corresponde a um filtro de depósito de retenção,
ele é armazenado no depósito de retenção até que o período da política de exclusão seja atingido. O
período de retenção padrão é de 30 dias; depois disso, os dados são excluídos imediatamente.
• Distribuindo capacidade de evento e fluxo
Use a janela de Gerenciamento do conjunto de licenças para assegurar que os eventos por segundo
(EPS) e os fluxos por minuto (FPM) aos quais você está autorizado sejam totalmente usados. Além
disso, assegure-se de que o QRadar esteja configurado para manipular bursts periódicos de dados sem
descartar eventos ou fluxos ou ter EPS e FPM excessivos não usados.
Fontes de fluxo
Você sabe como instrumentar segmentos de rede para aprimorar a visibilidade e a segurança?
• Coleção de pacotes forenses e completos
Use o IBM QRadar Incident Forensics em sua implementação para rastrear novamente as ações passo
a passo de um invasor potencial e conduzir uma investigação forense detalhada de incidentes de
segurança de rede maliciosos suspeitos.
• Encaminhando pacotes para o QRadar Packet Capture
É possível monitorar o tráfego de rede, enviando pacotes de dados brutos para um dispositivo IBM
QRadar QFlow Collector 1310. O QRadar QFlow Collector usa um cartão de monitoramento dedicado
do Napatech para copiar os pacotes recebidos de uma porta no cartão para uma segunda porta que se
conecta a um dispositivo do IBM QRadar Packet Capture.
Você sabe como determinar quais segmentos de rede estão relatando para o QRadar?
• Diretrizes para definir sua hierarquia de rede
Construir uma hierarquia de rede no QRadar é uma primeira etapa essencial na configuração da sua
implementação. Sem uma hierarquia de rede configurada, o QRadar não pode determinar direções de
fluxo, construir um banco de dados de ativo confiável ou beneficiar-se dos úteis blocos de construção
nas regras.
Capítulo 3. Introdução ao QRadar 23
• Definindo sua Hierarquia de Rede
Uma hierarquia de rede padrão que contém grupos de rede predefinidos está incluído no QRadar. É
possível editar os objetos da hierarquia de rede predefinidos ou é possível criar novos grupos ou objetos
de rede.
Introdução para analistas de segurança
Se você for um analista de segurança, os tópicos a seguir serão um bom lugar para começar a aprender
como usar o IBM QRadar em seu fluxo de trabalho cotidiano.
Fluxo de trabalho de ofensa
Você entende os elementos de ofensa como magnitude, hosts, usuários, envolvidos?
• Priorização da ofensa
A classificação de magnitude de uma ofensa é uma medida da importância da ofensa em seu
ambiente.O QRadar usa a classificação de magnitude para priorizar ofensas e ajudá-lo a determinar
quais ofensas investigar primeiro.
• Hosts gerenciados
Para maior flexibilidade sobre coleta de dados e processamento de evento e fluxo, construa uma
implementação distribuída do QRadar incluindo hosts gerenciados não do console, como coletores,
processadores e nós de dados.
• Designando ofensas para usuários
Por padrão, todas as novas ofensas são não designadas. É possível atribuir uma ofensa a um usuário do
QRadar para investigação.
Você sabe como investigar uma ofensa, incluindo a visualização de eventos e fluxos relacionados?
• Investigações de Ofensas
O QRadar usa regras para monitorar os eventos e fluxos em sua rede para detectar ameaças de
segurança. Quando os eventos e os fluxos atendem aos critérios de teste definidos nas regras, é criada
uma ofensa para mostrar a suspeita de um ataque de segurança ou de uma violação de política.
• Monitorando a atividade de rede
Monitore visualmente e investigue dados de fluxo em tempo real ou realize procuras avançadas para
filtrar os fluxos exibidos. Um fluxo é uma sessão de comunicação entre dois hosts.
• Monitorando a atividade de log
O QRadar exibe eventos em modo de fluxo para que você visualize eventos em tempo real.
Procurando e filtrando
Você sabe como usar colunas (como Nome do evento, Nome do usuário) para mostrar eventos
agrupados por uma dessas propriedades?
• Criando uma procura customizada
É possível procurar dados que correspondam aos seus critérios, usando opções de procura mais
específicas. Por exemplo, é possível especificar colunas para sua procura, que podem ser agrupadas e
reordenadas para procurar de modo mais eficiente seus resultados de procura.
Você sabe como usar o Filtro rápido para procurar os eventos para palavras-chave?
• Opções de procura de filtro rápido
Pesquise cargas úteis de eventos e fluxo digitando uma sequência de procura de texto que use palavras
ou frases simples.
• Ativando filtragem rápida
24 IBM QRadar: Guia de introdução do QRadar
É possível ativar a propriedade Filtro rápido para otimizar os tempos de procura de eventos e fluxos. É
possível utilizar a opção Filtro rápido para procurar cargas úteis de evento e fluxo digitando critérios de
procura de texto livre.
Você sabe como salvar critérios de procura para uso futuro, planejamento ou colocação em painel?
• Salvando critérios de procura
É possível salvar os critérios de procura configurados para que você possa reutilizar os critérios e usar
os critérios de procura salvos em outros componentes, como relatórios. Os critérios de procura salvos
não expiram.
Você sabe como especificar requisitos de conteúdo para procuras?
• Criando uma procura customizada
É possível procurar dados que correspondam aos seus critérios, usando opções de procura mais
específicas. Por exemplo, é possível especificar colunas para sua procura, que podem ser agrupadas e
reordenadas para procurar de modo mais eficiente seus resultados de procura.
Você sabe como criar gráficos de séries temporais?
• Gráficos de séries temporais no app do painel do QRadar Pulse ilustram pontos de dados em intervalos
sucessivos de tempo. Um gráfico de série temporal é usado para mostrar tendências ou comparações.
• Configurando um gráfico de série temporal no QRadar
É possível exibir gráficos de série temporal interativos que representam os registros que são
correspondidos por uma procura de intervalo de tempo específico.
Relatório e painéis
Você sabe como gerar um relatório publicado do QRadar com conteúdo preexistente?
• Gerando um relatório manualmente
Um relatório pode ser configurado para ser gerado automaticamente; no entanto, é possível gerar
manualmente um relatório a qualquer momento.
• Criando relatórios customizados
Use o assistente de Relatório para criar e customizar um novo relatório. O assistente de Relatório
fornece um guia passo a passo sobre como projetar, planejar e gerar relatórios.
Você sabe como modificar as propriedades de um painel para o que você deseja visualizar?
• Criando itens de painel do Pulse por meio de uma origem de dados do AQL
É possível usar as instruções Ariel Query Language (AQL) para criar itens do painel. AQL é uma
linguagem de consulta estruturada que você usa para extrair, filtrar e manipular dados de fluxo e de
evento extraídos do banco de dados Ariel no QRadar.
Você sabe como usar critérios de procura salvos para criar itens de painel customizados?
• Criando um painel customizado
É possível criar um painel customizado para visualizar um grupo de itens do painel que atendam a um
determinado requisito.
Regras
Você sabe como determinar quais regras estão associadas a um registro específico de log ou fluxo?
• Investigando ameaças no QRadar
O QRadar usa regras para monitorar os eventos e fluxos em sua rede para detectar ameaças de
segurança. Quando os eventos e os fluxos atendem aos critérios de teste definidos nas regras, é criada
uma ofensa para mostrar a suspeita de um ataque de segurança ou de uma violação de política. Mas
Capítulo 3. Introdução ao QRadar 25
saber que uma ofensa ocorreu é apenas a primeira etapa: identificar como aconteceu, o local em que
aconteceu e quem fez isso requer alguma investigação.
• Investigando regras com o app QRadar Use Case Manager
Ajuste suas regras filtrando diferentes propriedades para assegurar que as regras estejam definidas e
funcionando como desejado, incluindo a cobertura de origem de log. Determine quais regras você pode
precisar editar no QRadar ou investigar mais no QRadar Use Case Manager.
DSMs e uDSMs
Você sabe como visualizar dados do log bruto versus metadados normalizados em registros de logs e de
fluxo?
• Visualizando eventos brutos
Um evento é um registro de uma origem de log, como um firewall ou dispositivo de roteador, que
descreve uma ação em uma rede ou host. É possível visualizar dados do evento bruto, que são os dados
do evento não analisados do registro de origem.
• Visualizando eventos normalizados
Os eventos são coletados em formato bruto e, em seguida, normalizados para exibição. A normalização
envolve a análise de dados de evento brutos e a preparação dos dados para exibir informações legíveis
sobre a guia. Quando os eventos são normalizados, o sistema normaliza os nomes também.
Procurando Eventos
É possível procurar por todos os eventos de autenticação que o IBM QRadar recebeu nas últimas 6 horas.
Procedimento
1. Clique na guia Atividade de log.
2. Na barra de ferramentas, selecione Procura > Nova Procura.
3. Na área de janela Intervalo de Tempo, defina o intervalo de tempo para a procura de eventos:
a) Clique em Recente.
b) Na lista Recente, selecione Últimas 6 Horas.
4. Na área de janela Parâmetros de Procura, defina os parâmetros de procura:
a) Na primeira lista, selecione Categoria [indexada].
b) Na segunda lista, selecione Igual a.
c) Na lista Categoria de Alto Nível, selecione Autenticação.
d) Na lista Categoria de Baixo Nível, aceite o valor padrão de Qualquer.
e) Clique em Incluir filtro.
5. Na área de janela Definição de coluna, selecione Nome do evento na lista Exibir e arraste-o para a
lista Colunas.
6. Clique em Procurar.
Tarefas relacionadas
Exemplo: Criando Um Relatório Customizado com Base em Uma Procura Salva
É possível criar relatórios importando uma procura ou criando critérios customizados.
Salvando Critérios de Procura de Eventos
É possível salvar os critérios de procura configurados para que você possa reutilizar os critérios e usar os
critérios de procura salvos em outros componentes, como relatórios. Os critérios de procura salvos não
expiram.
26 IBM QRadar: Guia de introdução do QRadar
Procedimento
1. Clique na guia Atividade de log.
2. Na barra de ferramentas, clique em Salvar Critérios.
3. No campo Nome da Procura, digite Procura 1 de Exemplo.
4. Na área de janela Opções de Período de Tempo, clique em Recente.
5. Na lista Recente, selecione Últimas 6 Horas.
6. Clique em Incluir em Minhas Procuras Rápidas.
7. Clique em Incluir em Meu Painel.
Se Incluir em Meu Painel não for exibido, clique em Procura > Editar Procura para verificar se você
selecionou Nome do Evento na área de janela Definição de Coluna.
8. Clique em OK.
Como proceder a seguir
Configure um gráfico de série temporal. Para obter informações adicionais, consulte o “Configurando Um
Gráfico de Série Temporal” na página 27.
Tarefas relacionadas
Configurando Um Gráfico de Série Temporal
É possível exibir gráficos de série temporal interativos que representam os registros que são
correspondidos por uma procura de intervalo de tempo específico.
Configurando Um Gráfico de Série Temporal
É possível exibir gráficos de série temporal interativos que representam os registros que são
correspondidos por uma procura de intervalo de tempo específico.
Procedimento
1. Na barra de título do gráfico, clique no ícone Configurar.
2. Na lista Valor para Gráfico, selecione IP de Destino (Contagem Exclusiva).
3. Na lista Tipo de Gráfico, selecione Série Temporal.
4. Clique em Capturar Dados de Série Temporal.
5. Clique em Salvar .
6. Clique em Detalhes da Atualização.
7. Filtre os resultados da procura:
a) Clique com o botão direito no evento que deseja filtrar.
b) Clique em O filtro no nome do evento é <Event Name>.
8. Para exibir a lista de eventos que são agrupados pelo nome de usuário, selecione Username na lista
Exibir.
9. Verifique se a procura está visível na guia Painel:
a) Clique na guia Painel.
b) Clique no ícone Novo painel.
c) No campo Nome, digite Painel Customizado de Exemplo.
d) Clique em OK.
e) Na lista Incluir Item, selecione Atividade de Log > Procuras de Eventos > Procura 1 de Exemplo.
Resultados
Os resultados da procura de eventos salvos são exibidos no Painel.
Capítulo 3. Introdução ao QRadar 27
Tarefas relacionadas
Salvando Critérios de Procura de Eventos
É possível salvar os critérios de procura configurados para que você possa reutilizar os critérios e usar os
critérios de procura salvos em outros componentes, como relatórios. Os critérios de procura salvos não
expiram.
Procurando Fluxos
É possível procurar, monitorar e investigar dados de fluxo em tempo real. Também é possível executar
procuras avançadas para filtrar os fluxos exibidos. Visualizar as informações de fluxo para determinar
como e qual tráfego de rede é comunicado.
Procedimento
1. Clique na guia Atividade de rede.
2. Na barra de ferramentas, clique em Procura > Nova procura.
3. Na área de janela Intervalo de Tempo, defina o intervalo de tempo de procura de fluxo:
a) Clique em Recente.
b) Na lista Recente, selecione Últimos 30 minutos.
4. Na área de janela Parâmetros de procura, defina seu critério de procura.
a) Na primeira lista, selecione Direção de Fluxo.
b) Na segunda lista, selecione Iguais.
c) Na terceira lista, selecione R2L.
d) Clique em Incluir filtro.
5. Na lista Exibir na área de janela Definição de Coluna, selecione Aplicativo.
6. Clique em Procurar.
Resultados
Todos os fluxos com uma direção de fluxo de remoto para local (R2L) nos últimos 30 minutos são
exibidos, agrupados e classificados pelo campo Aplicativo.
Informações relacionadas
Procuras de Evento e de Fluxo
Salvando Critérios de Procura de Fluxo
É possível salvar os critérios de procura de fluxo especificados para uso futuro.
Procedimento
1. Na barra de ferramentas da guia Atividade de Rede, clique em Salvar Critérios.
2. No campo Nome da Procura, digite o nome Procura 2 de Exemplo.
3. Na lista Recente, selecione Últimas 6 Horas.
4. Clique em Incluir em Meu Painel e em Incluir em Minhas Procuras Rápidas.
5. Clique em OK.
Como proceder a seguir
Crie um item do painel. Para obter informações adicionais, consulte o “Criando Um Item de Painel” na
página 29.
Tarefas relacionadas
Criando Um Item de Painel
28 IBM QRadar: Guia de introdução do QRadar
É possível criar um item de painel usando critérios de procura de fluxo salvo.
Criando Um Item de Painel
É possível criar um item de painel usando critérios de procura de fluxo salvo.
Procedimento
1. Na barra de ferramentas Rede de Atividade, selecione Procuras Rápidas > Procura 2 de Exemplo.
2. Verifique se a procura está incluída no Painel:
a) Clique na guia Painel.
b) Na lista Mostrar Painel, selecione Painel Customizado de Exemplo.
c) Na lista Incluir Item, selecione Procuras de Fluxo > Procura 2 de Exemplo.
3. Configure o gráfico de painel:
a) Clique no ícone Configurações.
b) Usando as opções de configuração, altere o valor representado em gráfico, quantos objetos são
exibidos, o tipo de gráfico ou o intervalo de tempo exibido no gráfico.
4. Para investigar os fluxos exibidos atualmente no gráfico, clique em Visualizar na Atividade de Rede.
Resultados
A página Atividade de Rede exibe resultados que correspondem aos parâmetros do gráfico de série
temporal. Para obter mais informações sobre gráficos de séries temporais, consulte IBM QRadar Guia do
Usuário.
Tarefas relacionadas
Salvando Critérios de Procura de Fluxo
É possível salvar os critérios de procura de fluxo especificados para uso futuro.
Procurando Recursos
É possível procurar perfis do host, ativos e informações de identidade. As informações de identidade
fornecem mais detalhes, como informações de DNS, logins do usuário e endereços MAC na rede.
Sobre esta tarefa
Ao acessar a guia Ativos, a página Ativo é exibida preenchida com todos os ativos descobertos em sua
rede. Para refinar esta lista, você pode configurar os parâmetros de procura para exibir apenas os perfis
de ativos que você deseja investigar.
Procedimento
1. Clique na guia Ativos.
2. Na área de janela de navegação, clique em Perfis de Ativos.
3. Na barra de ferramentas, clique em Procura > Nova procura.
4. Caso deseje carregar uma procura salva, conclua as etapas a seguir:
a) Na lista Grupo, selecione o grupo de procura de ativos que deseja exibir na lista Procuras Salvas
Disponíveis.
b) Escolha uma das opções a seguir:
• No campo Digitar procura salva ou selecionar na lista, digite o nome da procura que você
deseja carregar.
• Na lista Procuras Salvas Disponíveis, selecione a procura salva que deseja carregar.
c) Clique em Carregar.
Capítulo 3. Introdução ao QRadar 29
5. Na área de janela Parâmetros de Procura, defina os critérios de procura:
a) Na primeira lista, selecione o parâmetro do ativo que deseja procurar.
Por exemplo, Nome do Host, Classificação de Risco de Vulnerabilidade ou Proprietário Técnico.
b) Na segunda lista, selecione o modificador que deseja usar para a procura.
c) No campo Entrada, digite as informações específicas relacionadas ao parâmetro de procura.
d) Clique em Incluir filtro.
e) Repita estas etapas para cada filtro que você deseja incluir no critério de procura.
6. Clique em Procurar.
Exemplo
Você recebe uma notificação de que CVE ID: CVE-2010-000 está sendo ativamente explorado. Para
determinar se algum host está vulnerável a esta exploração em sua implementação, conclua as etapas a
seguir:
1. Na lista de parâmetros de procura, selecione Referência Externa de Vulnerabilidade.
2. Selecione CVE.
3. Para visualizar uma lista de todos os hosts vulneráveis para esse ID CVE específico, digite o comando a
seguir:
2010-000
Para obter mais informações, consulte o Open Source Vulnerability Database (http://osvdb.org/) e o
(National Vulnerability Database (http://nvd.nist.gov/).
Investigações de ofensa
O IBM QRadar pode correlacionar eventos e fluxos com endereços IP de destino localizados entre
diversas redes na mesma ofensa e no mesmo incidente de rede. É possível investigar cada ofensa
efetivamente em sua rede.
Usando a guia Ofensas, é possível investigar ofensas, endereços IP de origem e de destino,
comportamentos de rede e anomalias na rede.
Visualizando Ofensas
É possível investigar ofensas, endereços IP de origem e de destino, comportamentos de rede e anomalias
em sua rede.
Procedimento
1. Clique na guia Ofensas.
2. Clique duas vezes na ofensa que deseja investigar.
3. Na barra de ferramentas, selecione Exibir > Destinos.
É possível investigar cada destino para determinar se o destino está comprometido ou apresentando
comportamento suspeito.
4. Na barra de ferramentas, clique em Eventos.
Resultados
A janela Lista de Eventos exibe todos os eventos associados à ofensa. É possível procurar, classificar e
filtrar eventos.
Exemplo: Ativando os Modelos de Relatório de PCI
Usando a guia Relatórios, é possível ativar, desativar e editar modelos de relatórios.
30 IBM QRadar: Guia de introdução do QRadar
Sobre esta tarefa
Ative os modelos de relatório do Payment Card Industry (PCI).
Procedimento
1. Clique na guia Relatórios.
2. Limpe a caixa de seleção Ocultar Relatórios Inativos.
3. Na lista Grupo, selecione Conformidade > PCI.
4. Selecione todos os modelos de relatório na lista.
5. Na lista Ações, selecione Executar relatório.
6. Acesse os relatórios gerados:
a) Na lista na coluna Relatórios gerados, selecione o registro de data e hora do relatório que deseja
visualizar.
b) Na coluna Formato, clique no ícone para o formato do relatório que deseja visualizar.
Exemplo: Criando Um Relatório Customizado com Base em Uma
Procura Salva
É possível criar relatórios importando uma procura ou criando critérios customizados.
Sobre esta tarefa
Crie um relatório que seja baseado nas procuras de evento e fluxo criadas no “Procurando Eventos” na
página 26.
Procedimento
1. Clique na guia Relatórios.
2. Na lista Ações, selecione Criar.
3. No assistente de relatório, clique em Avançar.
4. Configure o planejamento de relatório.
a) Selecione a opção Diário.
b) Selecione as opções Segunda-feira, Terça-feira, Quarta-feira, Quinta-feira e Sexta-feira.
c) Selecione 8h.
d) Certifique-se de que a opção Sim – gerar relatório manualmente esteja selecionada.
e) Clique em Avançar.
5. Configure o layout do relatório:
a) Na lista Orientação, selecione Paisagem.
b) Selecione o layout com dois contêineres de gráfico.
c) Clique em Avançar.
6. No campo Título de Relatório, digite Relatório de Amostra.
7. Configure o contêiner de gráfico da parte superior:
a) Na lista Tipo de Gráfico, selecione Eventos/Logs.
b) No campo Título do Gráfico, digite Procura do Evento de Amostra.
c) Na seção Planejamento diário, selecione Todos os dados anteriores (24 horas).
d) Na lista Tipo de Gráfico, selecione Barra Empilhada.
e) Na lista Limitar Eventos/Logs até o Máximo, selecione 10.
f) Na lista Procuras salvas disponíveis, selecione Procura de exemplo 1.
Capítulo 3. Introdução ao QRadar 31
Os parâmetros restantes são preenchidos automaticamente usando as configurações da procura
salva Procura 1 de Exemplo.
g) Clique em Salvar detalhes do contêiner.
8. Configure o contêiner de gráfico da parte inferior:
a) Na lista Tipo de Gráfico, selecione Fluxos.
b) No campo Título do Gráfico, digite Procura do Fluxo de Amostra.
c) Clique em Todos os dados das 24 horas anteriores.
d) Na lista Tipo de Gráfico, selecione Barra Empilhada.
e) Na lista Limitar Fluxos até o Máximo, selecione 10.
f) Na lista Procuras Salvas Disponíveis, selecione Procura 2 de Exemplo.
Os parâmetros restantes são preenchidos automaticamente usando as configurações da procura
salva Procura 2 de Exemplo.
g) Clique em Salvar detalhes do contêiner.
9. Clique em Avançar.
10. Clique em Avançar.
11. Escolha o formato do relatório:
a) Clique nas caixas de opções PDF e HTML.
b) Clique em Avançar.
12. Escolha os canais de distribuição do relatório:
a) Clique em Console de Relatório.
b) Clique em E-mail.
c) No campo Inserir o(s) endereço(s) de email de destino do relatório, digite seu endereço de
email.
d) Clique em Incluir Relatório como Anexo.
e) Clique em Avançar.
13. Complete os detalhes do assistente Relatório Final:
a) No campo Descrição de Relatório, digite uma descrição do modelo.
b) Clique em Sim – Executar este relatório quando o assistente for concluído.
c) Clique em Concluir .
14. Clique em Relatório de amostra na coluna Nome do relatório e clique em Ações > Executar
relatório.
15. Usando esta caixa de listagem na coluna Relatórios gerados, selecione o registro de data e hora do
seu relatório.
16. Na coluna Formato, clique no ícone para o formato de relatório que deseja visualizar.
Tarefas relacionadas
Procurando Eventos
É possível procurar por todos os eventos de autenticação que o IBM QRadar recebeu nas últimas 6 horas.
32 IBM QRadar: Guia de introdução do QRadar
Avisos
Estas informações foram desenvolvidas para produtos e serviços oferecidos nos Estados Unidos.
É possível que a IBM não ofereça os produtos, serviços ou recursos discutidos nesta publicação em
outros países. Consulte um representante IBM local para obter informações sobre produtos e serviços
disponíveis atualmente em sua área. Qualquer referência a produtos, programas ou serviços IBM não
significa que apenas produtos, programas ou serviços IBM possam ser utilizados. Qualquer produto,
programa ou serviço funcionalmente equivalente, que não infrinja nenhum direito de propriedade
intelectual da IBM poderá ser utilizado em substituição a este produto, programa ou serviço. No entanto,
é de responsabilidade do usuário avaliar e verificar a operação de qualquer produto, programa ou serviço
não IBM.
A IBM pode ter patentes ou solicitações de patentes pendentes relativas a assuntos tratados nesta
publicação. O fornecimento desta publicação não lhe garante direito algum sobre tais patentes. Pedidos
de licença devem ser enviados, por escrito, para:
Gerência de Relações Comerciais e Industriais da IBM Brasil
Gerência de Relações Comerciais e Industriais da IBM Brasil
Botafogo
Rio de Janeiro, RJ,CEP 22290-240
Para pedidos de licença relacionados a informações de DBCS (Conjunto de Caracteres de Byte Duplo),
entre em contato com o Departamento de Propriedade Intelectual da IBM em seu país ou envie pedidos
de licença, por escrito, para:
Intellectual Property Licensing
Legal and Intellectual Property Law
IBM Japan Ltd.
19-21, Nihonbashi-Hakozakicho, Chuo-ku
Tóquio 103-8510, Japão
A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO "NO ESTADO EM
QUE SE ENCONTRA", SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO,
MAS A ELAS NÃO SE LIMITANDO, AS GARANTIAS IMPLÍCITAS DE NÃO INFRAÇÃO, COMERCIALIZAÇÃO
OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. Alguns países não permitem a renúncia de
responsabilidade de garantias expressas ou implícitas em certas transações; portanto, essa instrução
pode não se aplicar ao Cliente.
Estas informações podem incluir imprecisões técnicas ou erros tipográficos. São feitas alterações
periódicas nas informações aqui contidas; tais alterações serão incorporadas em futuras edições desta
publicação. A IBM pode, a qualquer momento, aperfeiçoar e/ou alterar os produtos e/ou programas
descritos nesta publicação, sem aviso prévio.
Quaisquer referências nestas informações a websites não IBM são fornecidas apenas por conveniência
e não representam de forma alguma um endosso a esses websites. Os materiais contidos nesses
websites não fazem parte dos materiais desse produto IBM e a utilização desses websites é de inteira
responsabilidade do Cliente.
A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgar apropriada, sem incorrer
em qualquer obrigação para com o Cliente.
Licenciados deste programa que desejam obter informações sobre este assunto com objetivo de permitir:
(i) a troca de informações entre programas criados independentemente e outros programas (incluindo
este) e (ii) a utilização mútua das informações trocadas, devem entrar em contato com:
Gerência de Relações Comerciais e Industriais da IBM Brasil
Gerência de Relações Comerciais e Industriais da IBM Brasil
Botafogo
© Copyright IBM Corp. 2012, 2021
33
BotafogoRio de Janeiro, RJ
CEP 22290-240
Tais informações podem estar disponíveis, sujeitas a termos e condições apropriadas, incluindo em
alguns casos o pagamento de uma taxa.
O programa licenciado descrito nesta publicação e todo o material licenciado disponível são fornecidos
pela IBM sob os termos do Contrato com o Cliente IBM, do Contrato Internacional de Licença do
Programa IBM ou de qualquer outro contrato equivalente.
Os exemplos de clientes e dados de desempenho mencionados são apresentados apenas com propósitos
ilustrativos. Os resultados de desempenho reais podem variar, dependendo de configurações e condições
operacionais específicas.
As informações relativas a produtos não IBM foram obtidas junto aos fornecedores dos respectivos
produtos, de seus anúncios publicados ou de outras fontes disponíveis publicamente. A IBM não testou
esses produtos e não pode confirmar a precisão do desempenho, compatibilidade ou qualquer outra
reivindicação relacionada a produtos não IBM. Dúvidas sobre os recursos de produtos não IBM devem ser
encaminhadas diretamente aos seus fornecedores.
Declarações relacionadas à direção ou intenção futura da IBM estão sujeitas a mudança ou retirada sem
aviso e representam apenas metas e objetivos.
Todos os preços da IBM mostrados são preços de varejo sugeridos pela IBM, são atuais e estão sujeitos a
mudança sem aviso. Os preços de revendedores podem variar.
Estas informações contêm exemplos de dados e relatórios utilizados nas operações diárias de negócios.
Para ilustrá-los da forma mais completa possível, os exemplos incluem nomes de indivíduos, empresas,
marcas e produtos. Todos esses nomes são fictícios e qualquer semelhança com empresas ou pessoas
reais é mera coincidência.
Marcas
IBM, o logotipo IBM e ibm.com são marcas comerciais ou marcas registradas da International Business
Machines Corp., registradas em muitos países em todo o mundo. Outros nomes de produtos e serviços
podem ser marcas comerciais da IBM ou de outras empresas. Uma lista atual de marcas comerciais IBM
está disponível na web em "Informações de Copyright e de marca comercial" em www.ibm.com/legal/
copytrade.shtml.
Java e todas as marcas comerciais e logotipos baseados em Java são marcas comerciais ou marcas
registradas da Oracle e/ou suas afiliadas.
Microsoft, Windows, Windows NT e o logotipo Windows são marcas comerciais da Microsoft Corporation
nos Estados Unidos e/ou em outros países.
VMware, o logotipo da VMware, VMware Cloud Foundation, VMware Cloud Foundation Service, VMware
vCenter Server e VMware vSphere são marcas ou marcas registradas da VMware, Inc. ou de suas
subsidiárias nos Estados Unidos e / ou em outras jurisdições.
Termos e condições da documentação do produto
As permissões para o uso dessas publicações são concedidas sujeitas aos termos e condições a seguir.
Aplicabilidade
Esses termos e condições estão em adição a quaisquer termos de uso do website da IBM.
34 Avisos
Uso pessoal
É possível reproduzir essas publicações para seu uso pessoal e não comercial, desde que todos os avisos
do proprietário sejam preservados. O Cliente não pode distribuir, exibir ou fazer trabalho derivado destas
publicações, ou de qualquer parte delas, sem o expresso consentimento da IBM.
Uso comercial
É possível reproduzir, distribuir e exibir estas publicações unicamente dentro da empresa, desde que
todos os avisos do proprietário sejam preservados. Não é permitido fazer trabalhos derivativos destas
publicações nem reproduzir, distribuir ou exibir estas publicações ou qualquer parte delas fora da sua
empresa, sem o consentimento expresso da IBM.
Direitos
Exceto conforme concedido expressamente nesta permissão, nenhuma outra permissão, licença ou
direito é concedido, seja expresso ou implícito, às publicações ou quaisquer informações, dados, software
ou outra propriedade intelectual contida aqui.
A IBM reserva o direito de retirar as permissões aqui concedidas sempre que, a seu critério, o uso das
publicações for prejudicial para o seu interesse ou, conforme determinado pela IBM, as instruções acima
não estiverem sendo seguidas adequadamente.
O cliente não pode fazer o download, exportar ou exportar novamente estas informações, exceto em
conformidade total com todos os regulamentos e leis aplicáveis, incluindo todas as leis e regulamentos
de exportação dos Estados Unidos.
A IBM NÃO SE RESPONSABILIZA PELO CONTEÚDO DESTAS PUBLICAÇÕES. AS PUBLICAÇÕES SÃO
FORNECIDAS "NO ESTADO EM QUE SE ENCONTRAM" E SEM GARANTIA DE QUALQUER TIPO, SEJA
EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS A ELAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE
COMERCIALIZAÇÃO E DE ADEQUAÇÃO PARA UM PROPÓSITO ESPECÍFICO.
Declaração de privacidade on-line da IBM
Produtos IBM Software, incluindo soluções de software como serviço, (“Ofertas de Software”) podem
usar cookies ou outras tecnologias para coletar informações de uso do produto, para ajudar a melhorar
a experiência do usuário final, customizar interações com o usuário final ou para outros propósitos.
Em muitos casos, nenhuma informação de identificação pessoal é coletada pelas Ofertas de software.
Algumas de nossas Ofertas de Software podem ajudar na coleta de informações de identificação pessoal.
Se esta Oferta de Software usar cookies para coletar informações de identificação pessoal, informações
específicas sobre o uso de cookies desta oferta serão estabelecidas a seguir.
Dependendo das configurações implementadas, esta Oferta de Software pode usar cookies de sessão
que coletam o ID de sessão de cada usuário para propósitos de gerenciamento de sessões e
autenticação. Estes cookies podem ser desativados, mas desativá-los também eliminará a funcionalidade
que eles ativam.
Se as configurações implementadas para esta Oferta de Software permitirem que você, como cliente,
colete informações de identificação pessoal de usuários finais por meio de cookies e outras tecnologias,
você deverá consultar seu conselho jurídico sobre as leis aplicáveis a essa coleta de dados, incluindo
requisitos para aviso e consentimento.
Para obter mais informações sobre o uso de várias tecnologias, incluindo cookies, para esses propósitos,
veja a Política de Privacidade da IBM em http://www.ibm.com/privacy e a Declaração de Privacidade
On-line da IBM em http://www.ibm.com/privacy/details/ na seção com o título “Cookies, Web Beacons
and Other Technologies”.
Regulamento Geral sobre a Proteção de Dados
Os clientes são responsáveis por assegurar sua própria conformidade com várias leis e regulamentações,
incluindo o Regulamento Geral sobre a Proteção de Dados da União Europeia. Os clientes são os únicos
Avisos 35
responsáveis por obter consultoria jurídica competente para a identificação e interpretação de quaisquer
leis e regulamentos relevantes que possam afetar os negócios dos clientes e quaisquer ações que os
clientes precisem tomar para cumprir com tais leis e regulamentações. Os produtos, serviços e outras
capacidades descritos neste documento não são adequados para todas as situações dos clientes e
podem ter disponibilidade restringida. A IBM não fornece consultoria jurídica, contábil ou de auditoria,
nem representa ou assegura que seus serviços ou produtos garantirão que os clientes estejam em
conformidade com qualquer lei ou regulamentação.
Saiba mais sobre a jornada de prontidão do GDPR IBM e nossas Ofertas e recursos GDPR aqui: https://
ibm.com/gdpr
36 IBM QRadar: Guia de introdução do QRadar
Glossário
Este glossário fornece termos e definições para os produtos e o software IBM QRadar.
As referências cruzadas a seguir são utilizadas neste glossário:
• Consulte o direciona de um termo não preferencial para um preferencial ou de uma abreviação para
uma forma por extenso.
• Consulte também o leva a um termo relacionado ou contrastante.
Para obter outros termos e definições, consulte o website de Terminologia da IBM (abre em uma nova
janela).
A
acumulador
Um registro no qual um operando de uma operação pode ser armazenada e, subsequentemente,
substituído pelo resultado dessa operação.
sistema ativo
Em um cluster de alta disponibilidade (HA), o sistema que tem todos os seus serviços em execução.
ARP (Address Resolution Protocol)
Um protocolo que mapeia dinamicamente um endereço IP para um endereço de adaptador de rede
em uma rede local.
compartilhamento administrativo
Um recurso de rede que fica oculto dos usuários sem privilégios administrativos. Os
compartilhamentos administrativos fornecem aos administradores acesso a todos os recursos em
um sistema de rede.
anomalia
Um desvio do comportamento esperado da rede.
assinatura de aplicativo
Um conjunto exclusivo de características que são derivados pela análise de carga útil do pacote e, em
seguida, utilizado para identificar um aplicativo específico.
ARP
Consulte Address Resolution Protocol.
Redirecionamento do ARP
Um método ARP para notificar o host se existe um problema em uma rede.
ASN
Consulte número de sistema autônomo.
ativo
Um objeto gerenciável que é implementado ou que se pretende que seja implementado em um
ambiente operacional.
número do sistema ASN (Autonomous)
Em TCP/IP, um número que designa um sistema autônomo pela mesma central de autoridade que
designa um endereço de IP. O sistema autônomo faz com que seja possível para algoritimos de
roteamentos automatizados, a distinção desistemas autônomos.
B
comportamento
Os efeitos observados em uma operação ou evento, incluindo os resultados.
interface ligada
Consulte agregação de link.
© Copyright IBM Corp. 2012, 2021
37
burst
Um aumento agudo e repentino na taxa dos eventos ou fluxos recebidos de forma que o limite
licenciado da taxa de fluxo ou evento é excedido.
C
CIDR
Consulte Classless Inter-Domain Routing.
Classless Inter-Domain Routing (CIDR)
Um método para incluir a classe C de endereços IP (Internet Protocol). Os endereços são oferecidos
aos Provedores de Serviço Internet (ISPs) para utilização de seus clientes. Endereços CIDR reduzem
o tamanho das tabelas de roteamento e tornam disponíveis mais endereços IP nas organizações.
cliente
Um programa ou computador de software que atende os serviços a partir de um servidor.
endereço IP virtual de cluster
Um endereço IP que é compartilhado entre o host primário ou secundário e o cluster de HA.
intervalo de união
O intervalo no qual os eventos são empacotados. o pacote configurável de eventos ocorre em
intervalos de 10s. e começa com o primeiro evento que não corresponde a nenhum evento de união
atualmente. No intervalo de união, os três primeiros eventos correspondentes são empacotados e
enviados para o processador de eventos.
Sistema de Pontuação de Vulnerabilidade Comum - Common Vulnerability Scoring System (CVSS)
Um sistema de pontuação pelo qual a severidade de uma vulnerabilidade é medida.
console
Uma estação de exibição a partir da qual um operador pode controlar e observar a operação do
sistema.
captura de conteúdo
Um processo que captura uma quantia de carga útil configurável e, em seguida, armazena os dados
em um log de fluxo.
credencial
Um conjunto de informações que é concedida a um usuário ou certos processos de direitos de acesso.
credibilidade
Uma classificação numérica entre 0-10 que é utilizada para determinar a integridade de um evento ou
uma ofensa. Credibilidade aumenta à medida que várias fontes relatam o mesmo evento ou ofensa.
CVSS
Consulte Common Vulnerability Scoring System.
D
objeto folha de banco de dados
Um objeto terminal ou um nó em uma hierarquia de banco de dados.
ponto de dados
Um valor calculado de uma métrica em um momento.
Device Support Module (DSM)
Um arquivo de configuração que analisa eventos recebidos de múltiplas fontes de log e os converte
para um formato de taxonomia padrão, que pode ser exibida como saída.
DHCP
Consulte Protocolo de Configuração de Host Dinâmico.
DNS
Consulte Sistema de Nomes de Domínio.
Domain Name System (DNS)
O sistema de banco de dados distribuído que mapeia nomes de domínio para endereços IP.
38 IBM QRadar: Guia de introdução do QRadar
DSM
Consulte Módulo de Suporte de Dispositivo.
fluxo duplicado
Várias instâncias do mesmo fluxo de transmissão recebidos a partir de diferentes origens de dados.
Protocolo de configuração de host dinâmico (DHCP)
Um protocolo de comunicação utilizado para gerenciar centralmente as informações de configuração.
Por exemplo, o DHCP automaticamente designa endereços IP para computadores em uma rede.
E
encryption
Em segurança de computadores, o processo de transformar dados em um formato ininteligível,
de forma que os dados originais não possam ser obtidos ou possam ser obtidos somente com a
utilização de um processo de decriptografia.
Nó de extremidade
O endereço de uma API ou um serviço em um ambiente. Uma API expõe um terminal e ao mesmo
tempo chama os terminais de outros serviços.
dispositivo de varredura externo
Uma máquina que é conectada à rede para reunir informações de vulnerabilidade sobre ativos na
rede.
F
falso positivo
Um evento ou fluxo que o usuário pode decidir não deve criar uma ofensa ou uma ofensa que o
usuário decide não é um incidente de segurança.
Fluxo
Uma única transmissão de dados transmitidos através de um link durante uma conversação.
fluxo de log
Uma coleta de registros de fluxo.
fontes de fluxo
A origem a partir do qual o fluxo é capturado. Uma fonte de fluxo é classificada como interna, quando
o fluxo vem de um hardware instalado em um gerenciador de host ou é classificado como externo,
quando o fluxo é enviado para um coletor de fuxo.
destino de encaminhamento
Um ou mais sistemas do fornecedor que recebem dados brutos e normalizados de fontes de log e
fontes de fluxo.
FQDN
Consulte o nome completo do domínio.
FQNN
Consulte nome completo da rede.
Nome completo do domínio (FQDN)
Em comunicações da Internet, o nome de um sistema de host que inclui todos os subnomes do nome
de domínio. Um exemplo de um nome de domínio completo é rchland.vnet.ibm.com.
Nome completo da rede (FQNN)
Em uma hierarquia da rede, o nome de um objeto que inclui todos os departamentos. Um exemplo de
um nome completo de rede é CompanyA.Department.Marketing.
G
gateway
Um dispositivo ou programa usado para conectar redes ou sistemas com diferentes arquiteturas de
rede.
Glossário 39
H
HA
Consulte alta disponibilidade.
cluster de alta disponibilidade
Uma configuração de alta disponibilidade que consiste em um servidor principal e um servidor
secundário.
Hash-Based Message Authentication Code (HMAC)
Um código criptográfico que usa uma função hash de criptografia e uma chave secreta.
alta disponibilidade (HA)
Pertencente a um sistema em cluster, que é reconfigurado quando nó ou falhas daemon ocorrem,
para que as cargas de trabalho possam ser redistribuídos para os nós restantes no cluster.
HMAC
Consulte Código de autenticação Hash-Based Message .
contexto do host
Um serviço que monitora os componentes para assegurar que cada componente está operando
conforme o esperado.
I
ICMP
Consulte Internet Control Message Protocol.
identidade
Uma coleta de atributos de uma origem de dados que representa uma pessoa, organização, lugar ou
item.
IDS
Consulte sistema de detecção de intrusão.
Internet Control Message Protocol (ICMP)
Um protocolo da Internet que é utilizado por um gateway para comunicação com um outro host como,
por exemplo, relatar um erro em um datagrama.
Protocolo da Internet(IP)
Um protocolo que roteia dados através de uma rede ou redes interconectadas. Este protocolo atua
como um intermediário entre as camadas de protocolo superiores e a rede física. Consulte também
Protocolo de controle de transmissões.
Provedor de serviços de internet (ISP)
Uma organização que fornece acesso à Internet.
Sistema de detecção de intrusão (intrusion detection system) (IDS)
Software que detecta tentativas de ataques ou ataques bem-sucedidos em recursos monitorados que
são parte de uma rede ou um sistema host.
Sistema de prevenção de intrusão (IPS)
Um sistema que tenta negar a atividade potencialmente dolosa. Os mecanismos de negação podem
envolver filtragem, rastreamento ou configuração de taxa limite.
IP
Consulte Internet Protocol.
IP multicast
Transmissão de um datagrama protocolo de internet (IP), para configurar sistemas que formam um
grupo multicast único.
IPS
Consulte sistema de prevenção de intrusão.
ISP
Consulte provedor de serviços da internet.
40 IBM QRadar: Guia de introdução do QRadar
K
arquivo de chave
Em segurança de computador, um arquivo que contém chaves públicas, chaves privadas, raízes
confiáveis e certificados.
L
L2L
Consulte Local para Local.
L2R
Consulte Local para Remoto.
LAN
Consulte rede local.
LDAP
Consulte Lightweight Directory Access Protocol.
folha
Em uma árvore, uma entrada ou nó que não tem filhos.
Lightweight Directory Access Protocol (LDAP)
Um protocolo aberto que utiliza o TCP/IP para fornecer acesso a diretórios que suportam um modelo
X.500 e que não está sujeito aos requisitos de recursos do Directory Access Protocol (DAP) X.500
mais complexo. Por exemplo, o LDAP pode ser utilizado para localizar pessoas, organizações e outros
recursos em um diretório da Internet ou da intranet.
agregação de link
O agrupamento de placas da interface da rede física, tal como cabos ou portas, em uma única
interface de rede lógica. A agregação de link é usada para aumentar a disponibilidade da rede e da
largura da banda.
varredura em tempo real
Uma varredura de vulnerabilidade que gera dados do relatório a partir dos resultados da varredura
com base no nome da sessão.
LAN (Rede Local)
Uma rede que conecta vários dispositivos em uma área limitada (tal como uma única construção ou
campus) e que pode ser conectada a uma rede maior.
Local para Local (L2L)
Relativo ao tráfego interno de uma rede local para outra rede local.
Local para Remoto (L2R)
Relativo ao tráfego interno de uma rede local para outra rede remota.
origem de log
O equipamento de segurança ou o equipamento de rede a partir da qual uma origem de log de
eventos.
extensão de origem de log
Um arquivo XML que inclui todos os padrões de expressão regular necessários para identificar e
categorizar eventos da carga útil do evento.
M
Magistrate
Um componente interno que analisa o tráfego de rede e os eventos de segurança em relação às regras
customizadas definidas.
magnitude
Uma medida da importância relativa de um determinado crime. Magnitude é um valor ponderado
calculado a partir da relevância, gravidade e credibilidade.
Glossário 41
N
NAT
Consulte conversão de endereço de rede.
NetFlow
Um protocolo de rede Cisco que monitora dados de fluxo de tráfego de rede. Dados NetFlow incluem
informações do cliente e informações de servidores, cujas portas são usadas, e o número de bytes
e pacotes que fluem através de roteadores conectados a uma rede. Os dados são enviados para
coletores NetFlow onde a análise de dados ocorre.
network address translation (NAT)
Em um firewall, a conversão de endereços seguros do Protocolo da Internet (IP) para endereços
registrados externos. Isto ativa comunicações com redes externas, mas mascara os endereços IP
usados dentro do firewall.
hierarquia de rede
Um tipo de contêiner que constitui uma coleta hierárquica de objetos da rede.
camada de rede
Na arquitetura de OSI, a camada que fornece serviços para estabelecer um caminho entre os
sistemas abertos com uma qualidade de serviço previsíveis.
objeto rede
Um componente de uma hierarquia de rede.
O
crime
Uma mensagem enviada ou um evento gerado em resposta a uma condição monitorada. Por exemplo,
uma ofensa fornecerá informações sobre se uma política tiver sido infringida ou a rede está sofrendo
um ataque.
origem externa
Um dispositivo que está longe do site primário que envia dados normalizados a um coletor de
eventos.
destino externo
Um dispositivo que está fora do site primário que recebe fluxo de dados ou de eventos de um coletor
de eventos.
Open Source Vulnerability Database (OSVDB)
Criado pela comunidade de segurança de rede para a segurança da comunidade de rede, um banco de
dados aberto que fornece informações técnicas en uma rede de vulnerabilidade de segurança.
OSI (Open Systems Interconnection)
A interconexão de sistemas abertos em concordância com padrões do International Organization for
Standardization (ISO) para a troca de informações.
OSI
Consulte interconexão de sistemas abertos.
OSVDB
Consulte Abrir Origem Vulnerabilidade de Banco de Dados.
P
ordem de análise sintática
Uma definição de origem de log na qual o usuário pode definir a ordem de importância para origens de
log que compartilham um endereço IP ou um nome de host comum.
dados de carga útil
os dados do aplicativo contidos em um fluxo de IP, excluindo cabeçalho e informações
administrativas.
42 IBM QRadar: Guia de introdução do QRadar
host de HA primário
O computador principal que é conectado ao cluster de HA.
protocolo
Um conjunto de regras que controla a comunicação e a transferência de dados entre dois ou mais
dispositivos ou sistemas em uma rede de comunicação.
Q
Mapear QID
Uma taxonomia que identifica cada evento único e mapeia os eventos de categoria baixo e alto nível,
para determinar como um evento deve ser correlacionado e organizado.
R
R2L
Consulte Remoto para Local.
R2R
Consulte Remoto para Remoto.
recon
Consulte reconhecimento.
reconhecimento (recon)
O método pelo qual as informações pertencentes à identidade de recursos da rede são reunidas.
Varredura de rede e outras técnicas são usadas para compilar uma lista de eventos de recurso de
rede que são então designados com um nível de severidade.
mapa de referência
Um registro de dados de mapeamento direto de uma chave para um valor, por exemplo, um nome de
usuário para um ID global.
mapa de referência de mapas
Um registro de dados de duas chaves mapeado para muitos valores. Por exemplo, o mapeamento do
total de bytes de um aplicativo para um IP de origem.
mapa de referência de conjuntos
Um registro de dados de uma chave mapeada para muitos valores. Por exemplo, o mapeamento de
uma lista de usuários privilegiados para um host.
conjunto de referência
Uma lista de elementos únicos que são derivados de eventos ou fluxos em uma rede. Por exemplo,
uma lista de endereços IP de uma lista de nomes de usuários.
tabela de referência
Uma tabela em que o registro de dados mapeia chaves que têm um tipo designado para outras chaves
que são, em seguida, mapeadas para um único valor.
Tempo de atualização
Um dispositivo interno que é disparado manualmente ou automaticamente em intervalos de tempo
que atualiza os dados da atividade de rede atual.
relevância
Uma medida de impacto relativo de um evento, categoria ou ofensa na rede.
Remoto Para Local (R2L)
O tráfego externo a partir de uma rede remota para uma rede local.
para Remoto (Remote R2R)
O tráfego externo a partir de uma rede remota para outra rede remota.
relatório
Em um gerenciamento de consulta, os dados formatados que resultam da execução de uma consulta
e da aplicação de um formulário a ela.
Glossário 43
intervalo de relatório
Um intervalo de tempo configurável no final do qual o processador de evento deve enviar todos os
eventos capturados e fluxo de dados para o console.
regra de roteamento
Uma condição que quando seus critérios são satisfeitos por dados do evento, uma coleta de
condições e roteamento subsequente são executadas.
regra
Um conjunto de instruções condicionais que permitem que os sistemas de computador identifiquem
relacionamentos e executem respostas automatizadas adequadamente.
S
scanner
Um programa de segurança automatizada que procura por vulnerabilidades de software dentro dos
aplicativos da web.
host de HA secundário
O computador de espera que está conectado ao cluster de HA. O host de HA secundário assumirá a
responsabilidade do host de HA primário se o host de HA primário falhar.
severidade
Uma medida da ameaça relativa que uma origem coloca em um destino.
Protocolo Simples de Gerenciamento de Rede (SNMP)
Um conjunto de protocolos para sistemas e dispositivos de monitoramento em redes complexas. As
informações sobre os dispositivos gerenciados são definidas e armazenadas em uma Management
Information Base (MIB).
SNMP
Consulte Protocolo Simples de Gerenciamento de Rede.
SOAP
Um protocolo leve e com base em XML para trocar informações em um ambiente distribuído e
não-centralizado. SOAP pode ser utilizado para consultar e retornar informações e chamar os serviços
através da Internet.
sistema de espera
Um sistema que automaticamente se torna ativo quando o sistema ativo falhar. Se a replicação de
disco estiver ativado, replica dados do sistema ativo.
sub-rede
Consulte sub-rede.
máscara de sub-rede
Para sub-rede da Internet, uma máscara de 32 bits usada para identificar os bits do endereço da
sub-rede na parte do host de um endereço IP.
sub-rede
Uma rede que é dividida em subgrupos independentes menores que se mantêm interconectados.
sub-procura
Uma função que permite que uma consulta de procura seja executada em um conjunto de resultados
da procura concluída.
superfluxo
Um fluxo único que é composto por diversos fluxos com propriedades semelhantes para aumentar a
capacidade de processamento ao reduzir as restrições de armazenamento.
visualização do sistema
Uma representação visual de ambos primário e os hosts gerenciados que compõem um sistema.
44 IBM QRadar: Guia de introdução do QRadar
T
TCP
Consulte Transmission Control Protocol.
TCP (Protocolo de Controle de Transmissões)
Um protocolo de comunicação usado na Internet e em qualquer rede que segue os padrões do
Internet Engineering Task Force (IETF) do protocolo de interligação de rede. O TCP oferece um
protocolo confiável de host a host em redes de comunicação através da comutação de pacotes e em
sistemas interconectados dessas redes. Veja também Protocolo da Internet.
arquivo de armazenamento confiável
Um arquivo do banco de dados de chave que contém as chaves públicas para uma entidade confiável.
V
violação
Um ato que ignora ou desrespeita a política corporativa.
vulnerabilidade
Uma exposição de segurança em um sistema operacional, software do sistema ou componente de
software de aplicativo.
W
o servidor whois
Um servidor que é utilizado para recuperar as informações sobre uma Internet recursos registrados,
como nomes de domínio e alocações de endereço IP.
Glossário 45
46 IBM QRadar: Guia de introdução do QRadar
Índice remissivo
G
glossário 37
Índice remissivo 47
48 IBM QRadar: Guia de introdução do QRadar
IBM®