Configure seu sistema IBM Security QRadar para coletar informações sobre o grupo e o usuário nos terminais Identidade e Gerenciamento de Acesso.
IBM Security QRadar SIEM utiliza as informações que são coletadas dos terminais para agregar valor às informações sobre o usuário que estão associadas ao tráfego e aos eventos que ocorrem em sua rede.
Visão geral de origem de informações do usuário
Você pode configurar uma fonte de informações sobre o usuário para ativar a coleta de informações do usuário a partir de um nó de extremidade de Gerenciamento de Identidade e Acesso.
Um terminal de Gerenciamento de Identidade e Acesso é um produto que coleta e gerencia as identidades do usuário eletrônico, associações de grupo e permissões de acesso. Esses terminais são chamados origens de informações do usuário.
Utilize os utilitários a seguir para configurar e gerenciar origens de informações do usuário :
v Tivoli Directory Integrator– É necessário instalar e configurar um Tivoli Directory Integrator em um não-QRadar do host.
v UISConfigUtil.sh– Utilize este utilitário para criar, recuperar, atualizar ou excluir origens de informações do usuário. Você pode utilizar origens de informações do usuário para integrar QRadar SIEM utilizando um Tivoli Directory Integrator remoto.
v GetUserInfo.sh– Use esse utilitário para coletar informações do usuário a partir de uma fonte de informações sobre o usuário e armazenar as informações em uma coleta de dados de referência. Você pode utilizar este utilitário para coletar informações do usuário on demand ou em um planejamento.
fontes de informações do usuário
Uma fonte de informações sobre o usuário é um componente configurável que permite a comunicação com um nó de extremidade para recuperar as informações sobre o usuário e o grupo.
Tabela 12. origens de informações suportadas.
Origem das Informações Informações que são coletadas
Microsoft Windows Active Directory (AD) versão 2008 - Microsoft Windows AD é um serviço de diretório que autentica e autoriza todos os usuários e computadores que usam sua rede Windows.
v nome_completo v nome_usuário v nome_usuário_principal v nome_da_familia v nome_informado v Conta_desativada v Conta_bloqueada v Senha_expirada v Senha_não_pode_ser_aterada v Senha_não_expirada v Senha_não_expira IBM Security Access Manager (ISAM), version 7.0 – ISAM é uma
solução a autenticação e a autorização para Web corporativa, cliente / servidor, e aplicativos existentes. Para obter informações adicionais, consulte o IBM Security Access Manager (ISAM) a documentação do. v Nome_no_rgy v Nome v Sobrenome v Conta_válida v Senha_válida IBM Segurança Identity Manager (ISIM), version 6.0 – ISIM fornece
o software e os serviços para a implementação de soluções de fornecimento baseado em. Este produto automatiza o processo de provisionamento de funcionários, contratados e parceiros de negócios com direitos de acesso IBM para os aplicativos que necessitam, seja em um ambiente corporativo fechado ou em toda uma empresa virtual ou estendida. Para obter informações adicionais, consulte o IBM Security Integration Manager (ISIM) a documentação.
v Nome completo v DN
Coletas de dados de referência para obter informações do
usuário
Este tópico fornece informações sobre como as coletas de dados de referência armazenam dados coletados a partir de origens de informações do usuário.
Quando QRadar SIEM a coleta de informações de um usuário de uma fonte de informações, ele automaticamente cria uma coleção de dados de referências para armazenar informações. O nome da coleção de dados de referência é derivado do nome do grupo de fonte de informações sobre o usuário. Por exemplo, uma coleção de dados de referência que é coletada a partir da Microsoft Windows AD pode ser chamada Admins do Domínio.
O tipo de coleta de dados de referência é um Mapa de Mapas. Em um Mapa de Referência de Mapas, os dados são armazenados em registros que mapear uma tecla para outra chave, que é, então, mapeado para um valor único.
Por exemplo: v #
v Domain Admins v # key1,key2,
v smith_j, Nome Completo,John Smith v smith_j,account_is_disabled,0 v smith_j,account_is_locked
v smith_j,password_does_not_expire,1
Para obter informações adicionais sobre as coletas de dados de referência, consulte o Nota Técnica Coletas de Dados de Referência.
Exemplo de integração de fluxo de trabalho
Depois que as informações de usuário e grupo são coletadas e armazenadas em uma coleção de dados de referência, há muitas maneiras em que você pode utilizar os dados IBM Security QRadar SIEM.
É possível criar relatórios significativos e alertas que caracterizam usuário aderência a políticas de segurança de sua empresa.
Considere o exemplo a seguir:
garantir que as atividades que são executadas por usuários, ISIM privilegiado de acordo com suas políticas de segurança, você pode concluir as seguintes tarefas:
Criar uma origem de log para coletar e analisar dados de auditoria para cada servidor ISIM a partir do qual os logs são coletados. Para obter informações adicionais sobre como criar uma origem de log, consulte o Guia de Gerenciamento de
Fontes de Log.
1. Criar uma origem de informações do usuário para o servidor de ISIM e coletar ISIM de informações do grupo de Administradores do usuário. Esta etapa cria uma coleta de dados de referência que é chamada Administradores ISIM. Consulte o “Criando uma Fonte de Informações Sobre o Usuário” na página 44. 2. Configure um bloco de construção para testar acontecimentos na qual a fonte
de Endereço IP é o servidor ISIM e o nome do usuário é listado na ISIM coleta de dados de referência de administrador. Para obter informações adicionais sobre blocos de construção, consulte o Guia do Usuário para seu produto. 3. Criar uma procura de evento que utiliza o bloco de construção customizado
como um filtro. Para obter informações adicionais sobre pesquisas de eventos, consulte o Guia do Usuário para seu produto.
4. Crie um relatório customizado que utiliza a procura de evento customizado para gerar relatórios diários sobre a atividade de auditoria dos usuários ISIM privilegiado. Esses relatórios indicam se qualquer atividade de administrador ISMI viola sua política de segurança. Para mais informações sobre relatórios, consulte o Guia de Usuário de seu produto.
Nota: Se quiser coletar logs de segurança do aplicativo, você deve criar um Módulo de Suporte de Dispositivo (DSM). Para obter informações adicionais, consulte Guia de Configuração do IBM Security QRadar DSM.
Visão geral configurações de Fonte de informações de
usuário e tarefas de gerenciamento
Para inicialmente integrar origens de informações do usuário, você deve executar as seguintes tarefas:
1. Configure um Tivoli Directory Integrator remoto. Consulte o “Configurando o Tivoli Directory Integrator Server” na página 42.
2. Criar e gerenciar origens de informações do usuário. Consulte o “Criando e gerenciando fonte de informações sobre o usuário” na página 44.
3. Coletar informações do usuário. Consulte o “Coletando informações do usuário” na página 47.
Configurando o Tivoli Directory Integrator Server
Para o QRadar SIEM integrar-se com as fontes de informações sobre o usuário, você deve instalar e configurar um Tivoli Directory Integrator em um host não QRadar.
Sobre Esta Tarefa
Nenhuma configuração é necessária em seu sistema; no entanto, você deve acessar seu Console para obter o arquivo QRadarIAM_TDI.zip. Em seguida, instale e configure um servidor Tivoli Directory Integrator em um host separado. Se necessário, você também deve criar e importar um certificado autoassinado.
Quando você extrai o arquivo QRadarIAM_TDI.zip no servidor Tivoli Directory Integrator, o diretório TDI é criado automaticamente. O diretório TDI inclui os seguintes arquivos:
v QradarIAM.sh, que é o script de inicialização do TDI para Linux
v QradarIAM.bat, que é o script de inicializar do TDI para Microsoft Windows v QradarIAM.xml, que é o script xml do TDI e deve ser armazenado no mesmo
local que o arquivo QradarIAM.properties
v QradarIAM.properties, que é o arquivo de propriedades para o script xml do TDI
Quando você instala o Tivoli Directory Integrator, você deve configurar um nome para o diretório Solutions. Esta tarefa requer que você acesse o diretório Solutions. Portanto, nas etapas da tarefa, <solution_directory> refere-se ao nome que você forneceu ao diretório.
Os seguintes parâmetros são utilizados para criar e importar certificados: Tabela 13. Parâmetros de Configuração de Certificação
Parâmetro Descrição
<server_ip_address> Define o endereço IP do servidor Tivoli Directory Integrator. <days_valid> Define o número de dias em que o certificado é válido. <keystore_file> Define o nome do arquivo keystore.
-storepass <senha> Define a senha para o keystore.
- keypass <senha> Define a senha para o par de chaves pública/privada. <alias> Define o alias para um certificado exportado. <certificate_file> Define o nome do arquivo do certificado.
Procedimento
1. Instale o Tivoli Directory Integrator em um host não QRadar. Para obter informações adicionais sobre como instalar e configurar o Tivoli Directory Integrator, consulte sua documentação do Tivoli Directory Integrator (TDI). 2. Utilizando o SSH, efetue login em seu Console como o usuário raiz.
a. Nome de usuário: raiz b. Senha: <senha>
3. Copie o arquivo QRadarIAM_TDI.zip no servidor Tivoli Directory Integrator. 4. No servidor Tivoli Directory Integrator, extraia o arquivo QRadarIAM_TDI.zip
no diretório Solutions.
5. Configure seu servidor Tivoli Directory Integrator para integração com o QRadar.
a. Abra o arquivo <solution_directory>/solution.properties do Tivoli Directory Integrator.
b. Remova o comentário da propriedade com.ibm.di.server.autoload. Se esta propriedade já estiver com o comentário removido, anote o valor da propriedade.
c. Escolha uma das seguintes opções:
v Altere os diretórios para o diretório autoload.tdi, que contém a propriedade com.ibm.di.server.autoload por padrão.
v Crie um diretório autoload.tdi no <solution_directory> para armazenar a propriedade com.ibm.di.server.autoload.
d. Mova os arquivos TDI/QRadarIAM.xml e TDI/QRadarIAM.property do diretório do Tivoli Directory Integrator para o diretório
<solution_directory>/autoload.tdi ou o diretório que você criou na etapa anterior.
e. Mova os scripts QradarIAM.bat e QradarIAM.sh do diretório do Tivoli Directory Integrator para o local a partir do qual você deseja iniciar o Tivoli Directory Integrator.
6. Se a autenticação baseada em certificado for necessária para seu sistema autenticar no Tivoli Directory Integrator, selecione uma das seguintes opções: v Para criar e importar um certificado autoassinado, consulte a Etapa 7. v Para importar um certificado de CA, consulte a Etapa 8.
7. Crie e importe o certificado autoassinado no armazenamento confiável do Tivoli Directory Integrator.
a. Para gerar um keystore e um par de chaves pública/privada, digite o seguinte comando:
v keytool -genkey -dname cn=<server_ip_address> -validity
<days_valid> -keystore <keystore_file> -storepass <password> - keypass <password>
v Por exemplo, keytool -genkey -dname cn=192.168.1.1 -validity 365 -keystore server.jks -storepass secret -keypass secret
b. Para exportar o certificado a partir do keystore, digite o seguinte comando: v keytool -export -alias <alias> -file <certificate_file> -
keystore <keystore_file> - storepass <password>
v Por exemplo, keytool -export -alias mykey -file server.cert -keystore server.jks -storepass secret
c. Para importar o certificado primário de volta para o keystore como o certificado de CA autoassinado, digite o seguinte comando:
v keytool -import -trustcacerts -file <certificate_file> -keystore <keystore_file> -storepass <password> -alias <alias>.
v Por exemplo, keytool -import -trustcacerts -file server.cert -keystore server.jks -storepass secret -alias mytrustedkey d. Copie o arquivo do certificado para /opt/qradar/conf/
trusted_certificatesno QRadar SIEM Console.
8. Importe o certificado da CA no armazenamento confiável do Tivoli Directory Integrator.
a. Para importar o certificado da CA no keystore como o certificado da CA autoassinado, digite o seguinte comando:
v keytool -import -trustcacerts -file <certificate_file> -keystore <keystore_file> -storepass <password> -alias <alias>.
v Por exemplo, keytool -import -trustcacerts -file server.cert -keystore server.jks -storepass secret -alias mytrustedkey b. Copie o arquivo de certificado da CA para /opt/qradar/conf/
trusted_certificatesno QRadar SIEM Console.
9. Edite o arquivo <solution_directory>/solution.properties para remover o comentário e configure as seguintes propriedades:
v javax.net.ssl.trustStore=<keystore_file>
v {protect}-javax.net.ssl.trustStorePassword=<password> v javax.net.ssl.keyStore=<keystore_file>
v {protect}-javax.net.ssl.keyStorePassword=<password>
Nota: A senha não modificada do padrão atual poderá ser exibida no seguinte formato: {encr}EyHbak. Insira a senha como texto simples. A senha é
criptografada na primeira vez que você inicia o Tivoli Directory Integrator. 10. Use um dos scripts a seguir para iniciar o Tivoli Directory Integrator:
v QradarIAM.sh para Linux
v QradarIAM.bat para Microsoft Windows
Criando e gerenciando fonte de informações sobre o usuário
Use o utilitário UISConfigUtli para criar, recuperar, atualizar ou excluir fontes de informações sobre o usuário.
Use o utilitário UISConfigUtli para criar, recuperar, atualizar ou excluir fontes de informações sobre o usuário.
Criando uma Fonte de Informações Sobre o Usuário
Utilize o utilitário UISConfigUtli para criar uma fonte de informações sobre o usuário.
Antes de Iniciar
Antes de criar uma fonte de informações sobre o usuário, você deve instalar e configurar o servidor Tivoli Directory Integrator. Para obter informações adicionais, consulte “Configurando o Tivoli Directory Integrator Server” na página 42.
Sobre Esta Tarefa
Ao criar uma fonte de informações sobre o usuário, você deve identificar os valores de propriedade necessários para configurar a origem de informações sobre o usuário. A tabela a seguir descreve os valores da propriedade suportados:
Tabela 14. Valores de Propriedade da Interface com o Usuário Suportados
Propriedade Descrição
tdiserver Define o nome do host do servidor Tivoli Directory Integrator. tdiport Define a porta de atendimento para o conector HTTP no servidor
Tivoli Directory Integrator.
hostname Define o nome do host de fonte de informações sobre o usuário. port Define a porta de atendimento para o registro de Gerenciamento de Identidade e Acesso no host de informações sobre o usuário. username Define o nome de usuário que o QRadar SIEM usa para
autenticar-se no registro de Gerenciamento de Identidade e Acesso. password Define a senha que é necessária para a autenticação no registro de
Gerenciamento de Identidade e Acesso.
Tabela 14. Valores de Propriedade da Interface com o Usuário Suportados (continuação)
Propriedade Descrição
search filter Define o filtro de procura que é necessário para filtrar as informações do usuário que são recuperadas do registro de Gerenciamento de Identidade e Acesso.
Procedimento
1. Utilizando o SSH, efetue login em seu Console como o usuário raiz. a. Nome de usuário: raiz
b. Senha: <senha>
2. Para incluir uma fonte de informações sobre o usuário, digite o comando a seguir: UISConfigUtil.sh add <name> -t <AD|ISAM|ISIM|ISFIM> [-d description] [-p prop1=value1,prop2=value2...,propn=valuen] Em que:
v <name>É o nome da fonte de informações sobre o usuário que você deseja incluir.
v <AD|ISAM|ISIM|ISFIM>Indica o tipo de fonte de informações sobre o usuário. v [-d description] É uma descrição da fonte de informações sobre o usuário.
Esse parâmetro é opcional.
v [-p prop1=value1,prop2=value2,...,propn=valuen] Identifica os valores de propriedade necessários para a fonte de informações sobre o usuário. Para obter informações adicionais sobre os parâmetros suportados, consulte “Criando uma Fonte de Informações Sobre o Usuário” na página 44. Por exemplo:
v /UISConfigUtil.sh add "UIS_ISIM" -t ISIM -d "UIS for ISIM" -p "tdiserver=nc9053113023.tivlab.austin.ibm.com,tdiport=8080, hostname=vmibm7094.ottawa.ibm.com,port=389,
username=cn=root,password=password,\"searchbase=ou=org,DC=COM\",\ "searchfilter=(|(objectClass=erPersonItem)(objectClass=erBPPersonItem) (objectClass=erSystemUser))\""
Recuperando Fontes de Informações do Usuário
Utilize o utilitário UISConfigUtli para recuperar fontes de informações do usuário.
Procedimento
1. Utilizando o SSH, efetue login em seu Console como o usuário raiz. a. Nome de usuário: raiz
b. Senha: <senha>
2. Escolha uma das seguintes opções:
a. Digite o seguinte comando para recuperar todas as fontes de informações do usuário: UISConfigUtil.sh get <name>
b. Digite o seguinte comando para recuperar uma fonte de informações sobre o usuário específica: UISConfigUtil.sh get <name>
Em que <name> é o nome da fonte de informações sobre o usuário que você deseja recuperar.
Por exemplo:
[root@vmibm7089 bin]#.UISConfigUtil.sh get "UIS_AD"
Editando uma Origem de Informações sobre o Usuário
Utilize o utilitário UISConfigUtli para editar uma fonte de informações sobre o usuário.
Procedimento
1. Utilizando o SSH, efetue login em seu Console como o usuário raiz. a. Nome de usuário: raiz
b. Senha: <senha>
2. Digite o comando a seguir para editar uma fonte de informações sobre o usuário: UISConfigUtil.sh update <name> -t <AD|ISAM|ISIM|ISFIM> [-d description] [-p prop1=value1,prop2=value2,...,propn=valuen] Em que:
v <name>É o nome da fonte de informações sobre o usuário que você deseja editar.
v <AD|ISAM|ISIM|ISFIM>Indica o tipo de fonte de informações sobre o usuário. Para atualizar esse parâmetro, insira um novo valor.
v [-d description] É uma descrição da fonte de informações sobre o usuário. Esse parâmetro é opcional. Para atualizar esse parâmetro, digite uma nova descrição.
v [-p prop1=value1,prop2=value2,...,propn=valuen] Identifica os valores de propriedade necessários para a fonte de informações sobre o usuário. Para atualizar esse parâmetro, digite novas propriedades. Para obter informações adicionais sobre os parâmetros suportados, consulte “Criando uma Fonte de Informações Sobre o Usuário” na página 44.
Por exemplo:
./UISConfigUtil.sh update "UIS_AD_update" -t AD -d "UIS for AD" -p "searchbase=DC=local"
Excluindo uma Fonte de Informações sobre o Usuário
Utilize o utilitário UISConfigUtli para editar uma fonte de informações sobre o usuário.
Procedimento
1. Utilizando o SSH, efetue login em seu Console como o usuário raiz. a. Nome de usuário: raiz
b. Senha: <senha>
2. Digite o seguinte comando para excluir uma fonte de informações sobre o usuário:
UISConfigUtil.sh delete <name>
Em que <name> é o nome da fonte de informações sobre o usuário que você deseja excluir.
O que Fazer Depois
As informações sobre o usuário coletadas são armazenadas em uma coleção de dados de referência no banco de dados do IBM Security QRadar SIEM. Se nenhuma coleção de dados de referência existir, uma nova coleção de dados de referência será criada. Se uma coleção de dados de referência foi criada
anteriormente para esta fonte de informações sobre o usuário, o mapa de referência será limpo de dados anteriores e as novas informações sobre o usuário serão armazenadas. Para obter informações adicionais sobre as coleções de dados de referência, consulte Coleções de Dados de Referência para obter informações sobre o usuário.
Coletando informações do usuário
Utilize as informações de usuários do utilitário GetUserInfo, de uma fonte de informações de usuário e armazenar os dados em uma coleção de dados de referência.
Sobre Esta Tarefa
Use essa tarefa para coletar informações de usuários on demand. se desejas criar informações de usuários automáticos em um planejamento, crie uma entrada de tarefa cron. create a cron job entry. Para obter informações adicionais sobre as