Utilize a rede remota e grupos de serviço para representar a atividade de tráfego em sua rede para um perfil específico. Grupos de redes remotas exibem o tráfego do usuário que se origina de redes remoto nomeado.
Todos os grupos de rede remota e grupo de serviços têm grupos de serviços e níveis de foha de objetos. É possível editar a rede remota e grupos de serviços ao incluir objetos em grupos existentes ou alterando as propriedades pré-existentes para adequar ao seu ambiente.
Se um objeto existente for movido para outro grupo, o nome do objeto é movido do grupo existente para o grupo recém-selecionado. No entanto, quando as alterações de configuração são implementadas, os dados do objeto que está armazenado no banco de dados for perdida e o objeto deixa de funcionar. Para resolver esse problema, crie uma nova visualização e recrie o objeto que existe com outro grupo.
Na guia Admin, é possível agrupar remoto de redes e serviços para uso no mecanismo de regras customizadas, fluxo e procuras de eventos. É possível também agrupar as redes e serviços em IBM Security QRadar Risk Manager, se estiver disponível.
Grupos de rede remota padrão
IBM Security QRadar SIEMIncluem grupos de rede remota padrão: As tabelas a seguir descrevem os grupos de redes remotas padrão
Tabela 55. Grupos de rede remota padrão
Grupo Descrição
BOT Especifica o tráfego que se origina a partir de aplicativos BOT. Bogon Especifica o tráfego proveniente de endereços IP não-designado.
Para obter informações adicionais, consulte a referência bogon no website Team CYMRU (http://www.team-cymru.org/Services/ Bogons).
HostileNets Especifica o tráfego que origina-se de redes nocivas conhecidas. Os HostileNets têm uma configuração de 20 (rank 1 - 20 inclusive) faixas CIDR configuráveis.
Vizinhos Este grupo fica em branco por padrão. Você deve configurar esse grupo para classificar o tráfego que se origina de redes vizinhas. Smurfs Especifica o tráfego que se origina de ataques de smurf.
Um ataque smurf é um tipo de ataque de negação que inunda um sistema da destino com transmissão falsa de mensagens ping. Superflows Esse grupo é não configurável.
Um superflow é um fluxo que seja um agregado de um número de fluxos de mensagens que possuem um conjunto de elementos semelhantes predeterminado.
TrustedNetworks Este grupo fica em branco por padrão.
Você deve configurar esse grupo para classificar o tráfego que se origina de redes confiáveis.
Watchlists Este grupo fica em branco por padrão.
Você pode configurar esse grupo para classificar o tráfego que se origina de redes que deseja monitorar.
Grupos e objetos que incluem superflows são apenas para fins informativos e não pode ser editado. Grupos e objetos que incluem bogons são configurados pela função de atualização automática.
Padrão de grupos de serviço remoto
IBM Security QRadar SIEM incluem os grupos de serviço remoto padrão. A tabela a seguir descreve os grupos padrões de serviço remoto.
Tabela 56. Grupos de rede remota padrão
Parâmetro Descrição
IRC_Servers Especifica o tráfego que se origina de endereços comumente conhecido como servidores de bate-papo.
Serviços_Online Especifica origina a partir de endereços online comumente conhecido que o tráfego de serviços que podem envolver a perda de dados.
pornografia Especifica o tráfego que se origina de endereços explícito comumente conhecido para conter material pornográfico. Proxies Especifica trafego que é originado dos servidores de proxy
conhecidos comumente abertos.
Reserved_IP_ Intervalos Especifica o tráfego que se origina em intervalos de endereços IP reservado.
Spam Especifica o tráfego que se origina comumente conhecido para produzir SPAM ou endereços de email indesejadas. Spy_Adware Especifica o tráfego que se origina de spyware ou adware
comumente conhecido para conter endereços.
Superflows Especifica o tráfego originado de endereços comumente conhecido para produzir que superflows.
Warez Especifica o tráfego que se origina de endereços comumente conhecido para conter software pirateados.
Recomendações para recursos de rede
Dar as complexibilidades e recursos de rede que são solicitadas pelo IBM Security QRadar SIEM em grandes redes de estruração, siga as orientações sugeridas. A lista a seguir descreve algumas das práticas que podem ser seguidas:
v Use Objetos do pacote configurável e as guias Atividade de rede e Atividade de
logpara analizar a sua rede. data.
Poucos objetos criam menos entrada/saída em seu disco.
v Normamlmente, para requirimentos do sistema padrão, não exceda mais de 200
objetos por grupo.
Mais objetos devem impactar a energia de processo quando você investigar seu trafego.
Gerenciando objetos redes remotas
Depois de criar grupos de rede remota, é possível agregar resultados da procura de fluxo e eventos no grupo de rede remora. Você também pode criar regras que testam a atividade em grupos de rede remota.
Utilize a janela de Redes Remotas, onde é possível incluir ou editar um objeto redes remotas.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração de Redes e Serviços
3. Clique no ícone Networks Remoto.
4. Para incluir um objeto redes remotas, clique em Incluir e digite valores para os
parâmetros.
5. Para editar objeto redes remotas, clique no grupo que você deseja que sejam
exibidas, clique em Editare, em seguida, alterar os valores.
6. Clique em Salvar.
7. Clique em Retornar.
8. Feche a janela Networks Remoto.
9. No menu da guia Admin, clique em Implementar Mudanças.
Gerenciando objetos de serviços remotos
organizar grupos de serviços que se originam de intervalos de tráfego de rede remota definidos pelo usuário ou o servidor de atualização automática do IBM. Depois de criar grupos de serviço remoto, será possível agregar fluxo e resultados da procura de eventos, e criar regras que testam a atividade em grupos de serviço remoto.
Utilize a janela Remote Services para incluir ou editar um objeto serviços remotos.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração de Redes e Serviços
Remotos.
3. Clique no ícone Remote Services.
4. Para incluir um objeto serviços remotos, clique em Incluir e digite os valores de
parâmetro.
5. Para editar um objeto serviços remotos, clique no grupo que você deseja exibir,
clique no ícone Editar e alterar os valores.
6. Clique em Salvar.
7. Clique em Retornar.
8. Feche a janela Remote Services.
9. No menu da guia Admin, clique em Implementar Mudanças.
Visão geral do mapa QID
Use o utilitário de mapa QRadar Identifier (QID) para criar, exportar, importar ou modificar entradas de mapa QID definidas pelo usuário.
O mapa QID associa um evento em um dispositivo externo a um (QID). Consulte as tarefas a seguir para o gerenciamento de QID:
v “Criando uma entrada de mapa QID” na página 154
v “Modificando uma entrada de mapa QID” na página 154
v “Importando entradas do mapa Qid” na página 155
v “Exportando as entradas do mapa QID” na página 156
Para executar o utilitário, utilize a seguinte sintaxe:
qidmap_cli.sh [-l|-c|-m|-i[-f <filename>]|-e[-f <filename>]|-d]
A tabela a seguir descreve as opções da linha de comandos para o utilitário de mapa QID.
Tabela 57. Opções de utilitário de mapa QID
Opções Descrição
-l Lista a categoria de nível inferior. -c Cria uma entrada de mapa QID
-m Modifica uma entrada de mapa QID existente definida pelo usuário. -i Importa entradas de mapa QID.
-e Exporta entradas de mapa QID existentes definidas pelo usuário.
-f <filename> Se você incluir a opção -i ou -e, especifica um nome de arquivo para importar ou exportar as entradas de mapa QID.
-d Se você incluir a opção -i ou -e, especifica um delimitador para o arquivo de importação ou exportação. O padrão é uma vírgula.
-h Exibe as opções de ajuda.
Criando uma entrada de mapa QID
Crie uma Entrada de Mapa QRadar Identifier (QID) para mapear um evento de um dispositivo externo para QID.
Procedimento
1. Usando o SSH, efetue login no QRadar como o usuário raiz.
2. Para localizar a categoria de nível inferior para a entrada de mapa QID que
você deseja criar, digite o seguinte comando: /opt/qradar/bin/qidmap_cli.sh -l
Se você deseja procurar uma categoria de nível inferior específica, é possível usar o comando grep para filtrar os resultados:
/opt/qradar/bin/qidmap_cli.sh -l | grep <text>
3. Digite o comando a seguir:
qidmap_cli.sh -c --qname <name> --qdescription <description> --severity <severity> --lowlevelcategoryid <ID>
A tabela a seguir descreve as opções da linha de comandos para o utilitário de mapa QID:
Opções Descrição
-c Cria uma entrada de mapa QID.
--qname <name> O nome que você deseja associar a esta entrada de mapa QID. O nome pode ter até 255 caracteres de comprimento, sem espaços.
--qdescription <description> A descrição para esta entrada de mapa QID. A descrição pode ter até 2048 caracteres de comprimento sem espaços.
--severity <severity> O nível de severidade que você deseja designar a esta entrada de mapa QID. O intervalo válido é 0-10.
--lowlevelcategoryid <ID> O ID da categoria de nível inferior que você deseja designar a esta entrada de mapa QID. Para obter mais informações, consulte o Guia de Administração QRadar.
Modificando uma entrada de mapa QID
Modifique uma entrada de mapa QRadar Identifier (QID) existente definida pelo usuário.
Procedimento
1. Usando o SSH, efetue login no QRadar como o usuário raiz.
2. Digite o comando a seguir:
qidmap_cli.sh -m --qid<QID> --qname <name> --qdescription <description> --severity <severity>
A tabela a seguir descreve as opções da linha de comandos para o utilitário de mapa QID:
Opções Descrição
-m Modifica uma entrada de mapa QID
existente definida pelo usuário.
--qid<QID> O QID que deseja modificar.
--qname <name> O nome que você deseja associar a esta entrada de mapa QID. O nome pode ter até 255 caracteres de comprimento sem espaços.
--qdescription <description> A descrição para esta entrada de mapa QID. A descrição pode ter até 2048 caracteres de comprimento sem espaços.
--severity <severity> O nível de severidade que você deseja designar a esta entrada de mapa QID. O intervalo válido é 0-10.
Importando entradas do mapa Qid
Usando o utilitário de mapa QRadar Identifier (QID), é possível importar entradas de mapa QID de um arquivo .txt.
Procedimento
1. Crie um arquivo .txt que inclua as entradas de mapa QID definidas pelo
usuário que você deseja importar. Certifique-se de que cada entrada no arquivo seja separada por uma vírgula. Escolha uma das seguintes opções:
v Se você deseja importar uma nova lista de entradas de mapa QID definidas
pelo usuário, crie o arquivo com o seguinte formato para cada entrada: ,<name>,<description>,<severity>,<category>
Exemplo:
,buffer,buffer_QID,7,18401 ,malware,malware_misc,8,18403
v Se você deseja importar uma lista existente de entradas de mapa QID
definidas pelo usuário, crie o arquivo com o seguinte formato para cada entrada:
<qid>,<name>,<description>,<severity>
Exemplo: 2000002,buffer,buffer_QID,7 2000001,malware,malware_misc
A tabela a seguir descreve as opções de linha de comandos do utilitário QID.
Opções Descrição
<qid> O QID existente para a entrada. Essa opção
será requerida se você quiser importar uma lista exportada existentes de entradas QID. Para importar novas entradas QID, não use essa opção. O utilitário de mapa QID designa um identificador (QID) para cada entrada no arquivo.
--qname <name> O nome que você deseja associar a esta entrada de mapa QID. O nome pode ter até 255 caracteres de comprimento sem espaços.
--qdescription <description> A descrição para esta entrada de mapa QID. A descrição pode ter até 2048 caracteres de comprimento sem espaços.
--severity <severity> O nível de severidade que você deseja designar a esta entrada de mapa QID. O intervalo válido é 0-10.
--lowlevelcategoryid <ID> O ID da categoria de nível inferior que você deseja designar a esta entrada de mapa QID. Essa opção é necessária apenas se você deseja importar uma nova lista de entradas QID.
2. Salve e feche o arquivo.
3. Usando SSH, efetue login no QRadar como usuário raiz:
4. Para importar o arquivo de mapa QID, digite o seguinte comando:
/opt/qradar/bin/qidmap_cli.sh -i -f
<filename.txt>
A opção <filename.txt> é o caminho do diretório e o nome do arquivo que contém as entradas de mapa QID. Se qualquer uma das entradas no arquivo causar um erro, nenhuma entrada no arquivo será aplicada.
Exportando as entradas do mapa QID
Usando o utilitário de mapa QRadar Identifier (QID), é possível exportar entradas de mapa QID definidas pelo usuário para um arquivo .txt .
Procedimento
1. Usando o SSH, efetue login no QRadar como o usuário raiz.
2. Para exportar o arquivo de mapa QID, digite o seguinte comando:
/opt/qradar/bin/qidmap_cli.sh -e -f
<filename.txt>
A opção <filename.txt> é o caminho do diretório e o nome do arquivo que você deseja que contenha as entradas do mapa QID.