QRadar User Behavior Analytics
La aplicación IBM® QRadar® User Behavior Analytics le ayuda a determinar los perfiles de riesgo de los usuarios dentro de la red y a tomar medidas cuando la aplicación le avisa de un comportamiento amenazante.
La aplicación QRadar User Behavior Analytics (UBA) es una herramienta para detectar amenazas internas en su organización. Se basa en la mejor infraestructura de aplicaciones para utilizar los datos existentes en QRadar a fin de generar nueva información sobre usuarios y riesgos. UBA añade dos funciones principales a QRadar: perfiles de riesgo e identidades de usuario unificadas.
Para ejecutar la creación de perfiles de riesgo, se asignan riesgos a distintos casos de uso de seguridad. Entre los ejemplos, se pueden incluir comprobaciones y reglas simples, como sitios web maliciosos, o analíticas avanzadas de estado que utilizan aprendizaje de máquina. El riesgo se asigna en cada caso en función de la gravedad y la fiabilidad del incidente detectado. UBA utiliza los datos de sucesos y flujos existentes en el sistema QRadar para generar estos conocimientos y riesgos de perfil de los usuarios.
- Tráfico de acceso, autenticación y cambios en las cuentas.
- Comportamiento del usuario en la red, en dispositivos como: proxies, cortafuegos, IPS y VPN.
- Registros de punto final y de aplicación, como por ejemplo de aplicaciones Windows o Linux®y SaaS .
Para unificar las identidades de usuario, se combinan las distintas cuentas de un usuario en QRadar. Al importar datos de un Active Directory, un servidor LDAP, una tabla de referencia o un archivo CSV, se puede enseñar a UBA qué cuentas pertenecen a una identidad de usuario. Esto ayuda a combinar el riesgo y el tráfico entre los distintos nombres de usuario en UBA.
Machine Learning (ML app) es una herramienta complementaria que aumenta la aplicación UBA . Permite casos de uso más valiosos y detallados, que ejecutan clústeres y perfilados de series temporales. Se instala desde dentro de la aplicación UBA , en la página de valores de Machine Learning . ML app añade visualizaciones a la aplicación UBA existente que muestran el comportamiento aprendido (modelos), el comportamiento actual y las alertas. Los modelos pueden utilizar más de cuatro semanas de datos históricos en QRadar para crear modelos predictivos y líneas base de la normalidad de un usuario.
Para obtener más información sobre cómo utilizar la ML app, consulte AplicaciónMachine Learning Analytics.
Importación de usuarios y datos de usuario
Puede importar usuarios y datos de usuario con el asistente Importación de usuarios. El asistente Importación de usuarios le ayuda a importar usuarios desde un servidor LDAP, un servidor de Active Directory, tablas de referencia y archivos CSV. También puede crear atributos personalizados con el asistente de importación de usuarios
Para obtener más información sobre la importación de datos de usuario con el asistente de importación de usuarios, consulte Configurar importación de usuarios.
Reglas y ajustes
- El contenido de la regla UBA se instala después de configurar la aplicación.
- Las reglas deben editarse en la aplicación QRadar Use Case Manager
- Las reglas que producirán una puntuación de riesgo para los usuarios se añaden a la tabla UBA: Datos de regla. No se añaden los bloques y las reglas de construcción que no producen puntuación de riesgo.
- Se ejecuta una tarea de sondeo que añade nuevas reglas creadas por los usuarios que contienen 'senseValue=#' en la descripción del suceso.
- Las reglas existentes no se deben editar. Debe realizar copias y asegurarse de que el nombre de suceso también se cambie.
Para obtener más información, consulte Reglas y ajuste para la aplicación UBA.
Conformidad del navegador
- Inhabilitar el bloqueador de ventanas emergentes del navegador.
- Configure el navegador para permitir excepciones para las ventanas emergentes procedentes de la dirección IP de QRadar Console