que se r eemplace por una versión actualizada de este ...public.dhe.ibm.com/.../7.3.0/es/b_qradar_users_guide.pdfCr eación de una r egla de categorización de URL para supervisar

IBM Security QRadarVersión 7.3.0

Guía del usuario

IBM

NotaAntes de utilizar esta información y el producto al que da soporte, lea la información del apartado “Avisos” en la página237.

Información sobre el producto

Este documento se aplica a IBM QRadar Security Intelligence Platform V7.3.0 y a los releases subsiguientes a menosque se reemplace por una versión actualizada de este documento.

© Copyright IBM Corporation 2012, 2017.

Contenido

Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Capítulo 1. Novedades para los usuarios de QRadar V7.3.0 . . . . . . . . . . . . . 1

Capítulo 2. Acerca de QRadar SIEM . . . . . . . . . . . . . . . . . . . . . . . . 3Prestaciones de su producto de inteligencia y seguridad . . . . . . . . . . . . . . . . . . . . . 3Navegadores web soportados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Habilitación del modo de documento y modo de explorador en Internet Explorer . . . . . . . . . . . . 5Inicio de sesión de IBM Security QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . 5API RESTful . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Pestañas de interfaz de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Pestaña Panel de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Pestaña Delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Pestaña Actividad de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Pestaña Actividad de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Pestaña Activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Pestaña Informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8IBM Security QRadar Risk Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 9Pestaña Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Procedimientos comunes de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Visualización de mensajes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Ordenación de resultados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Renovación y pausa de la interfaz de usuario . . . . . . . . . . . . . . . . . . . . . . . 12Investigación de direcciones IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Investigar nombres de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Hora del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Actualización de preferencias de usuario . . . . . . . . . . . . . . . . . . . . . . . . 15Acceder a la ayuda en línea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Redimensionar columnas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Tamaño de página . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Capítulo 3. Gestión de panel de control . . . . . . . . . . . . . . . . . . . . . 17Paneles de control predeterminados . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Paneles de control personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Personalizar el panel de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Búsqueda de flujos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Actividad de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Informes más recientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Resumen del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Panel de control de supervisión de riesgos . . . . . . . . . . . . . . . . . . . . . . . . 21Supervisar el cumplimiento de políticas . . . . . . . . . . . . . . . . . . . . . . . . . 22Supervisar el cambio de riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Elementos de Gestión de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . 25Notificación del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Centro de información de amenazas de Internet . . . . . . . . . . . . . . . . . . . . . . 27

Crear un panel de control personalizado. . . . . . . . . . . . . . . . . . . . . . . . . . 27Utilización del panel de control para investigar actividad de registro o actividad de red . . . . . . . . . . 27Configuración de gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Eliminación de elementos de panel de control . . . . . . . . . . . . . . . . . . . . . . . . 30Desconexión de un elemento del panel de control . . . . . . . . . . . . . . . . . . . . . . 30Renombrar un panel de control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Supresión de un panel de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Gestión de notificaciones del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Adición de elementos de panel de control basados en búsqueda a la lista de adición de elementos . . . . . . 31

© Copyright IBM Corp. 2012, 2017 iii

Capítulo 4. Gestión de delitos . . . . . . . . . . . . . . . . . . . . . . . . . . 33Priorización de delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Encadenamiento de delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Indexación de delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Consideraciones sobre la indexación de delitos . . . . . . . . . . . . . . . . . . . . . . 34Ejemplo: Detección de irrupciones de programas maliciosos en función de la firma MD5 . . . . . . . . 35

Retención de delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Proteger delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Desproteger delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Investigaciones de delitos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Seleccionar un delito para investigar . . . . . . . . . . . . . . . . . . . . . . . . . . 39Investigar un delito mediante la información de resumen . . . . . . . . . . . . . . . . . . . 40Investigación de sucesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Investigación de flujos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Acciones de delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Añadir notas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Ocultar delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Mostrar delitos ocultos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Cerrar delitos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Exportar delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Asignar delitos a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Enviar notificaciones de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . 50Marcado de un delito para su seguimiento . . . . . . . . . . . . . . . . . . . . . . . . 51

Capítulo 5. Investigación de la actividad de registro . . . . . . . . . . . . . . . . 53Visión general de la pestaña Actividad de registro . . . . . . . . . . . . . . . . . . . . . . 53

Barra de herramientas de pestaña Actividad de registro . . . . . . . . . . . . . . . . . . . 53Opciones del menú que aparece al pulsar el botón derecho del ratón . . . . . . . . . . . . . . . 58Barra de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Supervisión de actividad de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Visualización de sucesos en modalidad continua . . . . . . . . . . . . . . . . . . . . . . 59Visualización de sucesos normalizados . . . . . . . . . . . . . . . . . . . . . . . . . 60Visualización de sucesos en bruto . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Visualización de sucesos agrupados . . . . . . . . . . . . . . . . . . . . . . . . . . 65Visualización de detalles de suceso . . . . . . . . . . . . . . . . . . . . . . . . . . 70Barra de herramientas de detalles de suceso . . . . . . . . . . . . . . . . . . . . . . . 74

Visualización de delitos asociados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Modificación de la correlación de sucesos . . . . . . . . . . . . . . . . . . . . . . . . . 76Ajustar falsos positivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Datos de PCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Visualización de la columna de datos de PCAP . . . . . . . . . . . . . . . . . . . . . . 78Visualización de la información de PCAP . . . . . . . . . . . . . . . . . . . . . . . . 79Descarga del archivo de PCAP en el sistema . . . . . . . . . . . . . . . . . . . . . . . 79

Exportación de sucesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Capítulo 6. Investigación de la actividad de red . . . . . . . . . . . . . . . . . . 81Visión general de la pestaña Actividad de red . . . . . . . . . . . . . . . . . . . . . . . . 81

Barra de herramientas de la pestaña Actividad de red . . . . . . . . . . . . . . . . . . . . 81Opciones de menú que aparecen al pulsar el botón derecho del ratón . . . . . . . . . . . . . . . 84Barra de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Registros de desbordamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Supervisión de la actividad de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Ver flujos continuos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Ver flujos normalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Ver flujos agrupados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Detalles de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Barra de herramientas de detalles de flujo . . . . . . . . . . . . . . . . . . . . . . . . 97

Ajustar falsos positivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Exportar flujos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

iv Guía del usuario de QRadar

Capítulo 7. Gestión de activos . . . . . . . . . . . . . . . . . . . . . . . . . 101Orígenes de datos de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Flujo de trabajo de datos de activos entrantes . . . . . . . . . . . . . . . . . . . . . . . 104Actualizaciones de los datos de activos . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Reglas de exclusión de conciliación de activos . . . . . . . . . . . . . . . . . . . . . . 106Ejemplo: Reglas de exclusión de activos que se ajustan para excluir direcciones IP de la lista negra . . . . 107Fusión de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Identificación de desviaciones de crecimiento de activos . . . . . . . . . . . . . . . . . . . . 109Notificaciones del sistema que indican desviaciones de crecimiento de activos . . . . . . . . . . . . 110Ejemplo: Cómo los errores de configuración de las extensiones de origen de registro pueden provocardesviaciones de crecimiento de activos . . . . . . . . . . . . . . . . . . . . . . . . . 110Resolución de problemas con perfiles de activo que sobrepasan el umbral de tamaño normal. . . . . . . 111Los datos de activos nuevos se añaden a las listas negras de activos . . . . . . . . . . . . . . . 112

Listas negras y listas blancas de activos. . . . . . . . . . . . . . . . . . . . . . . . . . 112Listas negras de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Listas blancas de activos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Perfiles de activo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Visión general de la pestaña Activos. . . . . . . . . . . . . . . . . . . . . . . . . . 115Visualización de un perfil de activo . . . . . . . . . . . . . . . . . . . . . . . . . . 116Adición o edición de un perfil de activo . . . . . . . . . . . . . . . . . . . . . . . . 118Búsqueda de perfiles de activo . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Guardar criterios de búsqueda de activos . . . . . . . . . . . . . . . . . . . . . . . . 123Grupos de búsqueda de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

Visualización de grupos de búsqueda . . . . . . . . . . . . . . . . . . . . . . . . 124Creación de un grupo de búsqueda nuevo . . . . . . . . . . . . . . . . . . . . . . 125Edición de un grupo de búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . 125Copia de una búsqueda guardada en otro grupo . . . . . . . . . . . . . . . . . . . . 126Eliminación de un grupo o una búsqueda guardada de un grupo . . . . . . . . . . . . . . . 126

Tareas de gestión de perfiles de activo . . . . . . . . . . . . . . . . . . . . . . . . . 126Supresión de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Importación de perfiles de activo . . . . . . . . . . . . . . . . . . . . . . . . . . 127Exportación de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Investigar vulnerabilidades de activo . . . . . . . . . . . . . . . . . . . . . . . . . 128

Capítulo 8. Gestión de gráficos. . . . . . . . . . . . . . . . . . . . . . . . . 133Gestión de gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Visión general de gráfico de serie temporal . . . . . . . . . . . . . . . . . . . . . . . . 134Leyendas de gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Configuración de gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Capítulo 9. Búsquedas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Búsquedas de sucesos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Creación de una búsqueda personalizada . . . . . . . . . . . . . . . . . . . . . . . . 139Creación de un diseño de columna personalizado . . . . . . . . . . . . . . . . . . . . 144Supresión de un diseño de columna personalizado . . . . . . . . . . . . . . . . . . . . 145

Guardar criterios de búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . . . 145Búsqueda planificada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Opciones de búsqueda avanzada . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Ejemplos de cadenas de búsqueda de AQL . . . . . . . . . . . . . . . . . . . . . . 150Opciones de búsqueda de Filtro rápido. . . . . . . . . . . . . . . . . . . . . . . . . 154

Búsquedas de delitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156Buscar delitos en las páginas Mis delitos y Todos los delitos. . . . . . . . . . . . . . . . . . 157Buscar delitos en la página Por IP de origen . . . . . . . . . . . . . . . . . . . . . . . 164Buscar delitos en la página Por IP de destino . . . . . . . . . . . . . . . . . . . . . . . 165Buscar delitos en la página Por red . . . . . . . . . . . . . . . . . . . . . . . . . . 167Guardar criterios de búsqueda en la pestaña Delitos . . . . . . . . . . . . . . . . . . . . 168Buscar delitos indexados en función de una propiedad personalizada . . . . . . . . . . . . . . 169

Buscar IOCs de forma rápida con la búsqueda perezosa . . . . . . . . . . . . . . . . . . . . 170Supresión de criterios de búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Contenido v

Utilización de una sub-búsqueda para refinar los resultados de búsqueda . . . . . . . . . . . . . . 172Gestión de resultados de búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Cancelación de una búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Supresión de una búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Gestión de grupos de búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Visualización de grupos de búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . 174Creación de un grupo de búsqueda nuevo . . . . . . . . . . . . . . . . . . . . . . . 175Edición de un grupo de búsqueda . . . . . . . . . . . . . . . . . . . . . . . . . . 175Copia de una búsqueda guardada en otro grupo . . . . . . . . . . . . . . . . . . . . . 175Eliminación de un grupo o una búsqueda guardada de un grupo . . . . . . . . . . . . . . . . 176

Ejemplo de búsqueda: Informes de empleados diarios . . . . . . . . . . . . . . . . . . . . . 176

Capítulo 10. Propiedades de suceso y flujo personalizadas . . . . . . . . . . . . 179Permisos necesarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Tipos de propiedad personalizada . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Creación de una propiedad personalizada basada en expresión regular . . . . . . . . . . . . . . . 180Creación de una propiedad personalizada basada en el cálculo . . . . . . . . . . . . . . . . . . 183Modificación de una propiedad personalizada . . . . . . . . . . . . . . . . . . . . . . . 185Copia de una propiedad personalizada . . . . . . . . . . . . . . . . . . . . . . . . . . 187Supresión de una propiedad personalizada . . . . . . . . . . . . . . . . . . . . . . . . 187

Capítulo 11. Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189Reglas personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190Creación de una regla personalizada . . . . . . . . . . . . . . . . . . . . . . . . . . 192Configuración de un suceso o flujo como falso positivo . . . . . . . . . . . . . . . . . . . . 196Reglas de detección de anomalías . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Creación de una regla de detección de anomalías . . . . . . . . . . . . . . . . . . . . . 199Configuración de una respuesta de regla para añadir datos a una recopilación de datos de referencia . . . . . 204Editar componentes básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Capítulo 12. Correlación histórica . . . . . . . . . . . . . . . . . . . . . . . 207Visión general de la correlación histórica . . . . . . . . . . . . . . . . . . . . . . . . . 208Creación de un perfil de correlación histórica. . . . . . . . . . . . . . . . . . . . . . . . 209Visualización de la información sobre ejecuciones de correlación histórica . . . . . . . . . . . . . . 210

Capítulo 13. Integración de IBM X-Force . . . . . . . . . . . . . . . . . . . . . 211Widget del panel de control Information Center para amenazas de Internet . . . . . . . . . . . . . 211Aplicación IBM Security Threat Content . . . . . . . . . . . . . . . . . . . . . . . . . 212

Habilitación de reglas de X-Force en IBM Security QRadar . . . . . . . . . . . . . . . . . . 212Categorías de dirección IP y URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Búsqueda de información de direcciones IP y URL en X-Force Exchange . . . . . . . . . . . . . 213Creación de una regla de categorización de URL para supervisar el acceso a determinados tipos de sitios web 214

Factor de confianza y reputación de dirección IP . . . . . . . . . . . . . . . . . . . . . . 215Ajustar falsos positivos con el valor de factor de confianza . . . . . . . . . . . . . . . . . . 215

Buscar datos de IBM X-Force Exchange con criterios de búsqueda avanzados . . . . . . . . . . . . . 216

Capítulo 14. Gestión de informes . . . . . . . . . . . . . . . . . . . . . . . . 219Diseño de informe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Tipos de gráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Barra de herramientas de la pestaña de informes . . . . . . . . . . . . . . . . . . . . . . 222Tipos de gráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Creación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 225Edición de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Visualización de informes generados . . . . . . . . . . . . . . . . . . . . . . . . . . 230Supresión de contenido generado. . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Generación manual de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Duplicación de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Compartición de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Creación de marca de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

vi Guía del usuario de QRadar

Creación de un grupo de informes . . . . . . . . . . . . . . . . . . . . . . . . . . 233Edición de un grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Compartición de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . 234Asignar un informe a un grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . 236Copia de un informe en otro grupo . . . . . . . . . . . . . . . . . . . . . . . . . . 236Eliminación de un informe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Marcas registradas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Términos y condiciones de la documentación de producto . . . . . . . . . . . . . . . . . . . 239Declaración de privacidad en línea de IBM . . . . . . . . . . . . . . . . . . . . . . . . 240

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243I. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243J. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Contenido vii

viii Guía del usuario de QRadar

Acerca de esta guía

La Guía del usuario de IBM® Security QRadar proporciona información sobre lagestión de IBM Security QRadar SIEM, que incluye los paneles Panel de control,Delitos, Actividad de registro, Actividad de red, Activos, e Informes.

Público al que va dirigido esta guía

Esta guía está pensada para todos los usuarios de QRadar SIEM que estánencargados de investigar y gestionar la seguridad de una red. Esta guía presuponeque el usuario tiene acceso a QRadar SIEM y conocimientos sobre la redcorporativa y las tecnologías de red.

Documentación técnica

Para obtener información sobre cómo acceder a más documentación técnica, notastécnicas y notas de release, consulte Acceso a la documentación de IBM SecurityQRadar (http://www.ibm.com/support/docview.wss?rs=0&uid=swg21612861).

Cómo ponerse en contacto con el servicio de soporte al cliente

Para obtener información sobre cómo ponerse en contacto con el servicio desoporte al cliente, consulte la nota técnica de soporte y descarga(http://www.ibm.com/support/docview.wss?uid=swg21616144).

Declaración de buenas prácticas de seguridad

La seguridad de los sistemas de TI implica la protección de los sistemas y lainformación mediante la prevención, la detección y la respuesta a accesosindebidos desde dentro o fuera de la empresa. Un acceso indebido puede alterar,destruir o dar un uso inapropiado a la información o puede ocasionar daños o unuso erróneo de los sistemas, incluidos los ataques a terceros. Ningún sistema oproducto de TI debe ser considerado completamente seguro y ningún producto,servicio o medida de seguridad puede ser completamente efectivo para impedir elacceso o uso inadecuado. Los sistemas, productos y servicios de IBM estándiseñados para formar parte de un procedimiento global de seguridad de acuerdocon la legalidad vigente, lo que implica necesariamente procedimientos operativosadicionales y puede requerir otros sistemas, productos o servicios para ser máseficaces. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOSSEAN INMUNES, NI QUE HAGAN QUE SU EMPRESA SEA INMUNE, A LASCONDUCTAS MALINTENCIONADAS O ILEGALES DE TERCEROS.

Tenga en cuenta lo siguiente:

El uso de este programa puede estar sujeto a diversas leyes o regulaciones,incluidas las relacionadas con la privacidad, la protección de datos, el empleo y lascomunicaciones y el almacenamiento electrónicos. IBM Security QRadar solamentese puede utilizar con fines legales y de forma legal. El cliente se compromete autilizar este programa en conformidad con las leyes, regulaciones y políticasaplicables y asume toda la responsabilidad de su cumplimiento. El licenciatariodeclara que obtendrá o ha obtenido los consentimientos, permisos o licenciasnecesarios para permitir el uso legal de IBM Security QRadar.

© Copyright IBM Corp. 2012, 2017 ix

http://www.ibm.com/support/docview.wss?rs=0&uid=swg21614644

http://www.ibm.com/support/docview.wss?rs=0&uid=swg21614644

http://www.ibm.com/support/docview.wss?uid=swg21616144

x Guía del usuario de QRadar

Capítulo 1. Novedades para los usuarios de QRadar V7.3.0

IBM Security QRadar V7.3.0 presenta prestaciones nuevas para usuarios en unentorno de varios arrendatarios.

Los usuarios arrendatarios pueden crear propiedadespersonalizadas

Puede crear propiedades personalizadas para extraer o calcular informaciónimportante de la carga útil del suceso o flujo sin ayuda del administrador de MSSP(proveedor de servicios de seguridad gestionados). Con esta prestación, puedebuscar, ver e informar de datos que QRadar no normaliza ni visualizahabitualmente.

El administrador de MSSP puede optar por optimizar propiedades personalizasque se utilizan frecuentemente en reglas e informes.

Más información sobre la creación de propiedades personalizadas de sucesos yflujos...

Los usuarios arrendatarios puede crear recopilaciones de datosde referencia

En QRadar V7.2.8, puede ver datos de referencia creados por el Administrador deMSSP. Ahora, en V7.3.0, puede crear y gestionar sus propias recopilaciones dedatos de referencia sin ayuda del administrador de MSSP.

Con esta prestación, puede mantener listas de datos a las que desea referirse confrecuencia, como por ejemplo una lista de direcciones IP o nombres de usuario yutilizar los datos de búsquedas, filtros, condiciones de prueba de regla y respuestasde regla de QRadar. Por ejemplo, un conjunto de referencia que contiene una listade URLs prohibidos se puede utilizar para impedir que los empleados explorenciertos sitios web.

Para gestionar datos de referencia, el administrador de MSSP debe asignar el rol deusuario Administración delegada > Gestionar datos de referencia a su cuenta.

Para obtener más información sobre la creación y la gestión de recopilaciones dedatos de referencia, consulte Guía de administración de IBM Security QRadar.

© Copyright IBM Corp. 2012, 2017 1

2 Guía del usuario de QRadar

Capítulo 2. Acerca de QRadar SIEM

QRadar SIEM es una plataforma de gestión de seguridad de red que proporcionaconocimiento situacional y soporte de cumplimiento de políticas mediante lacombinación del conocimiento de los flujos de red, de la correlación de sucesos deseguridad y de la evaluación de vulnerabilidades de activos.

Clave de licencia predeterminada

La clave de licencia predeterminada proporciona acceso a la interfaz de usuariodurante de cinco semanas. Después de iniciar la sesión en QRadar SIEM, unaventana muestra la fecha en la que caducará la clave de licencia temporal. Paraobtener más información sobre la instalación de una clave de licencia, consulte elmanual Guía de administración de IBM Security QRadar.

Excepciones y certificados de seguridad

Si está utilizando el navegador web Mozilla Firefox, debe añadir una excepción aMozilla Firefox para iniciar una sesión en QRadar SIEM. Para obtener másinformación, consulte la documentación del navegador web Mozilla Firefox.

Si está utilizando el navegador web Microsoft Internet Explorer, se muestra unmensaje de certificado de seguridad de sitio web cuando accede al sistema deQRadar SIEM. Debe seleccionar la opción Continuar en este sitio web para iniciaruna sesión en QRadar SIEM.

Navegación por la aplicación basada en la web

Cuando utilice QRadar SIEM, utilice las opciones de navegación existentes en lainterfaz de usuario de QRadar SIEM en lugar del botón Atrás del navegador web.

Prestaciones de su producto de inteligencia y seguridadLa documentación del producto IBM Security QRadar describe funciones talescomo delitos, flujos, activos y correlación histórica, que pueden no estardisponibles en todos los productos de QRadar. Dependiendo del producto que estéutilizando, algunas de las características documentadas podrían no estardisponibles en su despliegue. Revise las prestaciones de cada producto como guíapara obtener la información que necesita.

IBM Security QRadar SIEM incluye la gama completa de prestaciones deinteligencia y seguridad para los despliegues locales. QRadar SIEM consolida datosde sucesos de origen de registro de aplicaciones y puntos finales de dispositivodistribuidos por la red, y realiza actividades de normalización y correlacióninmediata en los datos en bruto para distinguir hebras reales de falsos positivos.

Utilice IBM QRadar on Cloud para recopilar, analizar, archivar y almacenargrandes volúmenes de registros de sucesos de red y de seguridad en un entornoalojado. Analice los datos para proporcionar visibilidad en el desarrollo de hebras,y cumpla los requisitos de creación de informes y supervisión de la conformidad altiempo que reduce el coste total de propiedad.


Utilice IBM QRadar Log Manager para recopilar, analizar, archivar y almacenargrandes volúmenes de registros de sucesos de red y de seguridad. QRadar LogManager analiza datos para proporcionar visibilidad en el desarrollo de hebras, ypuede ayudar al cumplimiento de los requisitos de creación de informes ysupervisión.

Al buscar ayuda, utilice la tabla siguiente, que muestra las prestaciones de losproductos:

Tabla 1. Comparación de prestaciones de QRadar

Prestación QRadar SIEMIBM QRadaron Cloud

IBM QRadarLog Manager

Da soporte a despliegues alojados No Sí No

Paneles de control personalizables Sí Sí Sí

Motor de reglas personalizadas Sí Sí Sí

Gestionar sucesos de red y seguridad Sí Sí Sí

Gestionar registros de aplicación y host Sí Sí Sí

Alertas basadas en umbral Sí Sí Sí

Plantillas de conformidad Sí Sí Sí

Archivado de datos Sí Sí Sí

Integración de canales de informaciónde reputación de IP de IBM SecurityX-Force Threat Intelligence

Sí Sí Sí

Despliegues autónomos de WinCollect Sí Sí Sí

Despliegues gestionados de WinCollect Sí No Sí

Integración de QRadar VulnerabilityManager

Sí No Sí

Supervisión de la actividad de red Sí No No

Perfilado de activos Sí Sí No 1

Gestión de delitos Sí Sí No

Captura y análisis de flujo de red Sí No No

Correlación histórica Sí Sí No

Integración de QRadar Risk Manager Sí No No

Integración de QRadar IncidentForensics

Sí No No

1 QRadar Log Manager solo hace un seguimiento de datos de activos si QRadarVulnerability Manager está instalado.

Navegadores web soportadosPara que las características de los productos de IBM Security QRadar funcionencorrectamente, debe utilizar un navegador web soportado.

Al acceder al sistema de QRadar, se le solicitará un nombre de usuario y unacontraseña. El administrador debe configurar de antemano el nombre de usuario yla contraseña.

La tabla siguiente lista las versiones soportadas de navegadores web.


Tabla 2. Navegadores web soportados para productos de QRadar

Navegador web Versiones soportadas

Mozilla Firefox 45.2 Extended Support Release

Microsoft Internet Explorer de 64 bits con elmodo Microsoft Edge habilitado.

11.0

Google Chrome 54 y 55

Habilitación del modo de documento y modo de explorador en InternetExplorer

Si utiliza Microsoft Internet Explorer para acceder a productos de IBM SecurityQRadar, debe habilitar el modo de explorador y el modo de documento.

Procedimiento1. En el explorador web de Internet Explorer, pulse F12 para abrir la ventana

Herramientas de desarrollo.2. Pulse Modo de explorador y seleccione la versión del explorador web.3. Pulse Modo de documento y seleccione el Estándar Internet Explorer

correspondiente al release de Internet Explorer.

Inicio de sesión de IBM Security QRadarIBM Security QRadar es una aplicación basada en web. QRadar utiliza lainformación de inicio de sesión predeterminada para el URL, el nombre de usuarioy la contraseña.

Utilice la información de la tabla siguiente cuando inicie la sesión en la consola deIBM Security QRadar.

Tabla 3. Información de inicio de sesión predeterminada para QRadar

Información de iniciode sesión Valor predeterminado

URL https://<Dirección IP>, donde <Dirección IP> es la dirección IP dela consola de QRadar.

Para iniciar la sesión en QRadar en un entorno de IPv6 o mixto,escriba la dirección IP entre corchetes:

https://[<Dirección IP>]

Nombre de usuario admin

Contraseña La contraseña que se asigna a QRadar durante el proceso deinstalación.

Clave de licencia Una clave de licencia predeterminada le proporciona acceso alsistema durante 5 semanas.

Capítulo 2. Acerca de QRadar SIEM 5

API RESTfulUtilice la API (Interfaz de programación de aplicaciones) de REST(Representational State Transfer) para realizar consultas HTTPS e integrar IBMSecurity QRadar con otras soluciones.

Acceso y permisos de rol de usuario

Debe tener permisos de rol de usuario administrativo en QRadar para acceder yutilizar las API RESTful. Para obtener más información sobre la gestión de lospermisos del rol de usuario, consulte la publicación Guía de administración de IBMSecurity QRadar.

Acceso a la interfaz de usuario de documentación técnica de APIREST

La interfaz de usuario API proporciona descripciones y prestaciones para lassiguientes interfaces de API REST:

Tabla 4. Interfaces de API REST

API REST Descripción

/api/ariel Consultar bases de datos, búsquedas, ID debúsqueda y resultados de búsqueda.

/api/asset_model Devuelve una lista de todos los activos delmodelo. También puede listar todos los tiposde propiedad de activo disponibles y lasbúsquedas guardadas así como actualizar unactivo.

/api/auth Cerrar la sesión e invalidar la sesión actual.

/api/help Devuelve una lista de prestaciones de API.

/api/siem Devuelve una lista de todos los delitos.

/api/qvm Revisar y gestionar datos de IBM SecurityQRadar Vulnerability Manager.

/api/reference_data Ver y gestionar recopilaciones de datos dereferencia.

/api/qvm Recupera activos, vulnerabilidades, redes,servicios abiertos y filtros. También puedecrear o actualizar tíquets de remediación.

/api/scanner Ver, crear o iniciar una exploración remotaque esté relacionada con un perfil deexploración.

La interfaz de documentación técnica de la API REST proporciona unainfraestructura que puede utilizar para recopilar el código necesario que se necesitapara implementar funciones de QRadar en otros productos.1. Especifique el URL siguiente en el navegador para acceder a la interfaz de la

documentación técnica: https://dirección_IP_consola/api_doc.2. Pulse la cabecera de la API a la que desea acceder, por ejemplo /ariel.3. Pulse la subcabecera para el punto final al que desea acceder, por ejemplo

/databases.4. Pulse la subcabecera Experimental o Provisional.


Nota:

Los puntos finales de la API están anotados como experimental o estable.

ExperimentalIndica que el punto final de la API puede no estar totalmente probadoy puede cambiarse o eliminarse en el futuro sin previo aviso.

EstableIndica que el punto final de la API se ha probado y se soporta porcompleto.

5. Pulse Try it out para recibir respuestas HTTPS formateadas correctamente.6. Revise y recopile la información que necesita implementar en la solución de

terceros.

Ejemplos de código y de foro de la API de QRadar

El foro de la API proporciona más información sobre la API REST, incluidas lasrespuestas a las preguntas más frecuentes y ejemplos de código anotado que puedeutilizar en un entorno de prueba. Para obtener más información, consulte el forode la API (https://www.ibm.com/developerworks/community/forums/html/forum?id=b02461a3-9a70-4d73-94e8-c096abe263ca).

Pestañas de interfaz de usuarioLa funcionalidad se divide en pestañas. La pestaña Panel de control se visualizacuando se inicia la sesión.

Puede desplazarse fácilmente por las pestañas para localizar los datos o lafuncionalidad que necesita.

Pestaña Panel de controlLa pestaña Panel de control es la pestaña predeterminada que se visualiza cuandose inicia la sesión.

La pestaña Panel de control proporciona un entorno de espacio de trabajo quesoporta varios paneles de control en los que puede visualizar las vistas deseguridad de red, la actividad o los datos que QRadar recopila. Están disponiblescinco paneles de control predeterminados. Cada panel de control contieneelementos que proporcionan información detallada y de resumen sobre los delitosque se producen en la red. También puede crear un panel de control personalizadopara poder centrarse en las responsabilidades de las operaciones de red o deseguridad. Para obtener más información acerca de la utilización de la pestañaPanel de control, consulte Gestión de panel de control.

Pestaña DelitosLa pestaña Delitos le permite ver los delitos que se producen en la red, los cualespuede localizar mediante diversas opciones de navegación o a través de búsquedasavanzadas.

Desde la pestaña Delitos, puede investigar un delito para determinar la causa raízde un problema. También puede resolver el problema.

Para obtener más información sobre la pestaña Delitos, consulte Gestión de delitos.


https://www.ibm.com/developerworks/community/forums/html/forum?id=b02461a3-9a70-4d73-94e8-c096abe263ca

https://www.ibm.com/developerworks/community/forums/html/forum?id=b02461a3-9a70-4d73-94e8-c096abe263ca

Pestaña Actividad de registroLa pestaña Actividad de registro le permitirá investigar los registros de sucesosque se envían a QRadar en tiempo real, realizar búsquedas potentes y ver laactividad de registro utilizando gráficos de series temporales configurables.

La pestaña Actividad de registro le permitirá realizar investigaciones enprofundidad sobre datos de suceso.

Para obtener más información, consulte Investigación de actividad de registro.

Pestaña Actividad de redUtilice la pestaña Actividad de red para investigar flujos que se envían en tiemporeal, realizar búsquedas avanzadas y ver actividad de red mediante gráficos deserie temporal configurables.

Un flujo es una sesión de comunicación entre dos hosts. Visualizar información deflujo le permitirá determinar cómo se transmite el tráfico, qué se transmite (si estáhabilitada la opción de captura de contenido) y quién está transmitiendo. Los datosde flujo también incluyen detalles tales como protocolos, valores de ASN, valoresde IFIndex y prioridades.

Para obtener más información, consulte Investigación de la actividad de red.

Pestaña ActivosQRadar descubre automáticamente los activos, servidores y hosts que operan en lared.

El descubrimiento automático se basa en datos de flujo pasivos y datos devulnerabilidad, permitiendo que QRadar cree un perfil de activo.

Los perfiles de activo proporcionan información sobre cada activo conocido de lared, incluyendo información de identidad, si está disponible, y sobre qué serviciosse ejecutan en cada activo. Estos datos de perfil se utilizan para la correlación conel fin de ayudar a reducir falsos positivos.

Por ejemplo, un ataque intenta utilizar un servicio específico que se está ejecutandoen un activo específico. En esta situación, QRadar puede determinar si el activo esvulnerable a este ataque correlacionando el ataque con el perfil de activo. Mediantela pestaña Activos, puede ver los activos aprendidos o buscar activos específicospara ver los perfiles.

Pestaña InformesLa pestaña Informes le permite crear, distribuir y gestionar informes para los datosen QRadar.

La característica Informes le permitirá crear informes personalizados para usooperativo y ejecutivo. Para crear un informe, puede combinar la información (porejemplo seguridad o red) en un único informe. También puede utilizar plantillas deinforme preinstaladas que se incluyen con QRadar.

La pestaña Informes también le permitirá marcar los informes con logotipospersonalizados. Esta personalización es beneficiosa para distribuir informes adiferentes públicos.


Para obtener más información sobre informes, consulte Gestión de informes.

IBM Security QRadar Risk ManagerIBM Security QRadar Risk Manager es un dispositivo instalado por separado parasupervisar configuraciones de dispositivo, simular cambios en el entorno de red, ypriorizar riesgos y vulnerabilidades de la red.

IBM Security QRadar Risk Manager utiliza datos recogidos por dispositivos de redy de seguridad, tales como cortafuegos, direccionadores, conmutadores, sistemasde prevención de intrusiones, canales de información de vulnerabilidades yorígenes de seguridad de proveedor. Estos datos se utilizan para determinar losriesgos de seguridad existentes dentro de la infraestructura de seguridad de la redy la probabilidad de que se exploten esos riesgos.

Nota: Para obtener más información sobre IBM Security QRadar Risk Manager,consulte al representante de ventas local.

Pestaña AdminLos administradores utilizan la pestaña Admin para configurar y gestionar losusuarios, sistemas, redes, plug-ins y componentes. Los usuarios con privilegios deadministración pueden acceder a la pestaña Admin.

Las herramientas de administración a las que los administradores pueden accederen la pestaña Admin se describe en la Tabla 1.

Tabla 5. Herramientas de gestión de administración disponibles en QRadar

Herramienta de administración Descripción

Configuración del sistema Configurar opciones de gestión de sistema yusuarios.

Orígenes de datos Configurar orígenes de registro, orígenes deflujo y opciones de vulnerabilidad.

Configuración de redes remotas y servicios Configurar redes remotas y grupos deservicios.

Editor de despliegue Gestionar los componentes individuales deldespliegue de QRadar.

Todas las actualizaciones de configuración que realiza en la pestaña Admin seguardan en un área de transferencia. Cuando se hayan completado todos loscambios, puede desplegar las actualizaciones de configuración realizadas en el hostgestionado en el despliegue.

Procedimientos comunes de QRadarVarios controles de la interfaz de usuario de QRadar son comunes en la mayoríade las pestañas de interfaz de usuario.

En las secciones siguientes se describe la información sobre estos procedimientoscomunes.

Visualización de mensajesEl menú Mensajes, que se encuentra en la esquina superior derecha de la interfazde usuario, proporciona acceso a una ventana en la que puede leer y gestionar lasnotificaciones del sistema.


Antes de empezar

Para que las notificaciones del sistema se muestren en la ventana Mensajes, eladministrador debe crear una regla que se base en cada tipo de mensaje denotificación y seleccionar el recuadro de selección Notificar en el Asistente dereglas personalizadas.

Acerca de esta tarea

El menú Mensajes indica cuántas notificaciones de sistema no leídas tiene en elsistema. Este indicador incrementa el número hasta que se cierran las notificacionesde sistema. Para cada notificación de sistema, la ventana Mensajes proporciona unresumen y la indicación de fecha y hora en que se ha creado la notificación desistema. Puede pasar el puntero del ratón sobre una notificación para ver másdetalles. Utilizando las funciones de la ventana Mensajes, puede gestionar lasnotificaciones del sistema.

Las notificaciones del sistema también están disponibles en la pestaña Panel decontrol y en una ventana emergente opcional que se puede visualizar en la esquinainferior izquierda de la interfaz de usuario. Las acciones que se realizan en laventana Mensajes se propagan a la pestaña Panel de control y la ventanaemergente. Por ejemplo, si cierra una notificación de sistema de la ventanaMensajes, la notificación de sistema se elimina de todas las pantallas denotificación de sistema.

Para obtener más información sobre las notificaciones de sistema del panel decontrol, consulte Elemento de notificaciones de sistema.

La ventana Mensajes proporciona las funciones siguientes:

Tabla 6. Funciones disponibles en la ventana Mensajes

Función Descripción

Todos Pulse Todos para ver todas las notificacionesdel sistema. Esta opción es el valorpredeterminado, por lo tanto, pulse Todossólo si ha seleccionado otra opción y deseavisualizar de nuevo todas las notificacionesdel sistema.

Salud Pulse Salud para ver solo las notificacionesde sistema que tienen un nivel de gravedadde Salud.

Errores Pulse Errores para ver solo las notificacionesde sistema sólo que tienen un nivel degravedad de Error.

Avisos Pulse Avisos para ver sólo las notificacionesde sistema que tienen un nivel de gravedadde Aviso.

Información Pulse Información para ver sólo lasnotificaciones de sistema que tienen un nivelde gravedad de información.


Tabla 6. Funciones disponibles en la ventana Mensajes (continuación)


Descartar todo Pulse Descartar todo para cerrar en elsistema todas las notificaciones de sistema.Si ha filtrado la lista de notificaciones desistema utilizando los iconos de Salud,Errores, Avisos o Información, el texto en elicono Ver todos cambia a una de lasopciones siguientes:

v Descartar todos los errores

v Descartar toda la salud

v Descartar todos los avisos

v Descartar todos los avisos

v Descartar toda la información

Ver todos Pulse Ver todos para ver los sucesos denotificación de sistema en la pestañaActividad de registro. Si ha filtrado la listade notificaciones de sistema utilizando losiconos de Salud, Errores, Avisos oInformación, el texto en el icono Ver todoscambia a una de las opciones siguientes:

v Ver todos los errores

v Ver toda la salud

v Ver todos los avisos

v Ver toda la información

Descartar Pulse el icono Descartar junto a unanotificación de sistema para cerrar en elsistema la notificación de sistema.

Procedimiento1. Inicie la sesión en QRadar.2. En la esquina superior derecha de la interfaz de usuario, pulse Mensajes.3. En la ventana Mensajes, vea los detalles de la notificación de sistema.4. Opcional. Para refinar la lista de notificaciones de sistema, pulse una de las

opciones siguientes:v Errores

v Avisos

v Información

5. Opcional. Para cerrar las notificaciones de sistema, elija entre las opcionessiguientes:

Opción Descripción

Descartar todo Pulse aquí para cerrar todas lasnotificaciones de sistema.

Descartar Pulse el icono Descartar junto a lanotificación de sistema que desea cerrar.

6. Opcional. Para ver los detalles de notificación de sistema, pase el puntero deratón sobre la notificación de sistema.


Ordenación de resultadosPuede ordenar los resultados en tablas pulsando una cabecera de columna. Unaflecha en la parte superior de la columna indica la dirección de la ordenación.

Procedimiento1. Inicie la sesión en QRadar.2. Pulse la cabecera de columna una vez para ordenar la tabla en orden

descendente; pulse dos veces para ordenar la tabla en orden ascendente.

Renovación y pausa de la interfaz de usuarioPuede renovar, poner en pausa y reproducir manualmente los datos que sevisualizan en las pestañas.

Pestaña Panel de controlLa pestaña Panel de control se renueva automáticamente cada 60segundos. El temporizador, que se encuentra en la esquina superiorderecha de la interfaz, indica el tiempo que queda hasta que la pestaña serenueve automáticamente.

Pulse la barra de título de cualquier elemento de panel de control paradetener automáticamente el tiempo de renovación. El temporizadorparpadea en rojo para indicar que la visualización actual se ha puesto enpausa.

Pestañas Actividad de registro y Actividad de redLas pestañas Actividad de registro y Actividad de red se renuevanautomáticamente cada 60 segundos si está viendo la pestaña en modalidadde Último intervalo (renovación automática).

Cuando vea la pestaña Actividad de registro o Actividad de red enmodalidad de Tiempo real (modalidad continua) o de Último minuto(renovación automática), puede utilizar el icono Pausa para poner en pausala visualización actual.

Pestaña DelitosLa pestaña Delitos se debe renovar manualmente. El temporizador, que seencuentra en la esquina superior derecha de la interfaz, indica el tiempodesde que se renovaron los datos por última vez. El temporizadorparpadea en rojo cuando se detiene.

Procedimiento1. Inicie la sesión en QRadar.2. Pulse la pestaña que desea ver.3. Elija una de las siguientes opciones:


Renovar Pulse Renovar, en la esquina derecha de lapestaña, para renovar la pestaña.

Pausa Pulse aquí para poner en pausa lavisualización de la pestaña.

Reproducir Pulse aquí para reiniciar el temporizadordespués de que éste se haya puesto enpausa.


Investigación de direcciones IPPuede utilizar varios métodos para investigar la información sobre direcciones IPen las pestañas Panel de control, Actividad de registro y Actividad de red.

Procedimiento1. Inicie la sesión en QRadar.2. Pulse la pestaña que desea ver.3. Mueva el puntero de ratón sobre una dirección IP para ver la ubicación de la

dirección IP.4. Pulse el botón derecho del ratón en la dirección IP o el nombre de activo y

seleccione una de las opciones siguientes:

Tabla 7. Información de direcciones IP


Navegar > Ver por red Muestra las redes que están asociadas con ladirección IP seleccionada.

Navegar > Ver resumen de origen Muestra los delitos que están asociados conla dirección IP de origen seleccionada.

Navegar > Ver resumen de destino Muestra los delitos que están asociados conla dirección IP de destino seleccionada.

Información > Búsqueda de DNS Busca entradas DNS que están basados en ladirección IP.

Información > Búsqueda de WHOIS Busca el propietario registrado de unadirección IP remota. El servidor WHOISpredeterminado es whois.arin.net.

Información > Exploración de puertos Realiza una exploración de Network Mapper(NMAP) de la dirección IP seleccionada. Estaopción solo está disponible si NMAP estáinstalado en el sistema. Para obtener másinformación sobre la instalación de NMAP,consulte la documentación de proveedor.

Información > Perfil de activo Visualiza información de perfil de activo.

Esta opción se visualiza si se ha adquiridoIBM Security QRadar Vulnerability Managery se ha obtenido la licencia. Para obtenermás información, consulte la publicaciónGuía del usuario de IBM Security QRadarVulnerability Manager.

Esta opción de menú está disponible siQRadar ha adquirido datos de perfilactivamente a través de una exploración opasivamente a través de orígenes de flujo.

Para obtener información, consulte lapublicación Guía de administración de IBMSecurity QRadar.

Información > Sucesos de búsqueda Busca los sucesos que están asociados conesta dirección IP.

Información > Buscar flujos Busca flujos que están asociados con estadirección IP.


Tabla 7. Información de direcciones IP (continuación)


Información > Buscar en conexiones Busca las conexiones que están asociadascon esta dirección IP. Esta opción solo sevisualiza si ha adquirido IBM SecurityQRadar Risk Manager y ha conectadoQRadar y el dispositivo de IBM SecurityQRadar Risk Manager. Para obtener másinformación, consulte la publicación Guía delusuario de IBM Security QRadar Risk Manager.

Información > Switch Port Lookup Determina el puerto de conmutador en undispositivo Cisco IOS para esta dirección IP.Esta opción solo se aplica a conmutadoresque se descubren utilizando la opciónDiscover Devices en la pestaña Riesgos.Nota: Esta opción de menú no estádisponible en QRadar Log Manager

Información > Ver topología Visualiza la pestaña Riesgos, que representala topología de capa 3 de la red. Esta opciónestá disponible si ha adquirido IBM SecurityQRadar Risk Manager y ha conectadoQRadar y el dispositivo de IBM SecurityQRadar Risk Manager.

Ejecutar Exploración de vulnerabilidad Seleccione la opción Ejecutar Exploración devulnerabilidad para realizar una exploraciónde IBM Security QRadar VulnerabilityManager en esta dirección IP. Esta opciónsólo se visualiza cuando se ha adquiridoIBM Security QRadar Vulnerability Managery se ha obtenido la licencia. Para obtenermás información, consulte la publicaciónGuía del usuario de IBM Security QRadarVulnerability Manager.

Investigar nombres de usuarioPuede pulsar el botón derecho del ratón en un nombre de usuario para acceder amás opciones de menú. Use estas opciones para ver más información sobre elnombre de usuario o la dirección IP.

Puede investigar los nombres de usuario al comprar IBM Security QRadarVulnerability Manager y obtener la licencia del mismo. Para obtener másinformación, consulte la publicación Guía del usuario de IBM Security QRadarVulnerability Manager.

Al pulsar el botón derecho del ratón en un nombre de usuario, puede elegir lassiguientes opciones de menú.

Tabla 8. Opciones de menú para investigación de nombre de usuario


Ver activos Visualiza los activos actuales que estánasociados con el nombre de usuarioseleccionado.


Tabla 8. Opciones de menú para investigación de nombre de usuario (continuación)


Ver historial de usuario Visualiza todos los activos que estánasociados con el nombre de usuarioseleccionado durante las 24 horas anteriores.

Ver sucesos Visualiza los sucesos que están asociadoscon el nombre de usuario seleccionado. Paraobtener más información sobre la ventanaLista de sucesos, consulte Supervisión deactividad de registro.

Para obtener más información sobre cómo personalizar el menú que aparece alpulsar el botón derecho del ratón, consulte la publicación Guía de administración deIBM Security QRadar correspondiente al producto.

Hora del sistemaEn la esquina derecha de la interfaz de usuario de QRadar se visualiza la hora delsistema, que es la hora de la consola.

La hora de consola sincroniza los sistemas QRadar en el despliegue de QRadar. Lahora de consola se utiliza para determinar qué sucesos de hora se han recibido deotros dispositivos para la correlación de sincronización de hora correcta.

En un despliegue distribuido, la consola puede estar en un huso horario diferentedel correspondiente al del sistema.

Cuando se aplican filtros y búsquedas basadas en la hora en la pestaña Actividadde registro y la pestaña Actividad de red, debe utilizar la hora de sistema de laconsola para especificar un intervalo de tiempo.

Cuando se aplican filtros y búsquedas basados en la hora en la pestaña Actividadde registro, debe utilizar la hora de sistema de la consola para especificar unintervalo de tiempo.

Actualización de preferencias de usuarioPuede establecer las preferencias de usuario, por ejemplo entorno local, en lainterfaz de usuario de IBM Security QRadar SIEM principal.

Procedimiento1. Para acceder a la información de usuario, pulse Preferencias.2. Actualice las preferencias.


Nombre de usuario Visualiza el nombre de usuario. No puedeeditar este campo.



Contraseña Las contraseñas de usuario de QRadar sealmacenan como una serie SHA-256 salada.

La contraseña debe cumplir los siguientescriterios:

v Un mínimo de 6 caracteres

v Un máximo de 255 caracteres

v Contener al menos un carácter especial

v Contener un carácter en mayúsculas

Contraseña (Confirmar) Confirmación de la contraseña

Dirección de correo electrónico La dirección de correo electrónico debecumplir los requisitos siguientes:

v Un mínimo de 10 caracteres

v Un máximo de 255 caracteres

Entorno local QRadar está disponible en los idiomassiguientes: inglés, chino simplificado, chinotradicional, japonés, coreano, francés,alemán, italiano, español, ruso y portugués(Brasil).

Si elige otro idioma, la interfaz de usuario semuestra en inglés. Se utilizan otrosconvenios culturales asociados, como tipo decarácter, clasificación, formato de fecha yhora, unidad de moneda.

Habilitar notificaciones emergentes Marque este recuadro de selección si deseapermitir que se visualicen notificaciones desistema emergentes en la interfaz de usuario.

Acceder a la ayuda en líneaPuede acceder a la Ayuda en línea de QRadar a través de la interfaz de usuarioprincipal de QRadar.

Para acceder a la Ayuda en línea, pulse Ayuda > Contenido de la ayuda.

Redimensionar columnasPuede redimensionar las columnas en varias pestañas en QRadar.

Coloque el puntero del ratón por encima de la línea que separa las columnas yarrastre el borde de la columna a la nueva ubicación. También puederedimensionar las columnas efectuando una doble pulsación en la línea que separalas columnas para redimensionar automáticamente la columna a la anchura delcampo más grande.

Nota: El redimensionamiento de columna no funciona en los navegadores webMicrosoft Internet Explorer, Versión 7.0 cuando las pestañas visualizan registros enmodalidad continua.

Tamaño de páginaLos usuarios con privilegios administrativos pueden configurar el número máximode resultados que se visualizan en las tablas de varios separadores de QRadar.


Capítulo 3. Gestión de panel de control

La pestaña Panel de control es la vista predeterminada cuando se inicia la sesión.

Proporciona un entorno de espacio de trabajo que soporta varios paneles decontrol en los que puede visualizar las vistas de seguridad de red, la actividad olos datos que se recopilan.

Los paneles de control le permiten organizar los elementos de panel de control envistas funcionales, que le permiten centrarse en áreas específicas de la red.

Utilice la pestaña Panel de control para supervisar el comportamiento de sucesosde seguridad.

Puede personalizar el panel de control. El contenido que se visualiza en la pestañaPanel de control es específico del usuario. Los cambios que se realizan dentro deuna sesión sólo afectan el sistema.

Paneles de control predeterminadosUtilice el panel de control predeterminado para personalizar elementos y crearvistas funcionales. Estas vistas funcionales están centradas en áreas determinadasde la red.

La pestaña Panel de control proporciona cinco paneles de control predeterminadosque están centrados en la seguridad, la actividad de red, la actividad deaplicaciones, la supervisión del sistema y el cumplimiento de las normativas.

Cada panel de control muestra un conjunto predeterminado de elementos de panelde control. Los elementos de panel de control sirven de punto de partida paraacceder a datos más detallados. La tabla siguiente define los paneles de controlpredeterminados.

Paneles de control personalizadosPuede personalizar los paneles de control. El contenido que se muestra en lapestaña Panel de control es específico del usuario. Los cambios realizados dentrode una sesión de QRadar sólo afectan al sistema local del usuario.

Para personalizar la pestaña Panel de control, puede realizar las tareas siguientes:v Cree paneles de control personalizados que sean aplicables a las tareas que tenga

asignadas. Se pueden crear un máximo de 255 paneles de control por cadausuario, pero se pueden producir problemas de rendimiento si crea más de 10paneles de control.

v Añada y elimine elementos de los paneles de control predeterminados opersonalizados.

v Mueva y sitúe los elementos de acuerdo con sus necesidades. Cuando sitúaelementos, cada elemento cambia automáticamente de tamaño en proporción alpanel de control.

v Añada elementos de panel de control personalizado que están basados encualquier dato.


Por ejemplo, puede añadir un elemento de panel de control que proporciona ungráfico de serie temporal o un gráfico de barras que representa los 10 elementosprincipales de actividad de red.

Para crear elementos personalizados, puede crear búsquedas guardadas en lapestaña Actividad de red o la pestaña Actividad de registro y elegir cómo deseaque se representen los resultados en la pestaña de control. Cada gráfico de panelde control muestra datos actualizados en tiempo real. Los gráficos de serietemporal del panel de control se renuevan cada 5 minutos.

Personalizar el panel de controlPuede añadir elementos a paneles de control predeterminados o personalizados.

Puede personalizar los paneles de control para mostrar y organizar sus elementosde acuerdo con los requisitos de seguridad de la red.

Existen 5 paneles de control predeterminados, a los que puede acceder desde elcuadro de lista Mostrar panel de control de la pestaña Panel de control. Sipreviamente ha visualizado un panel de control y ha vuelto a la pestaña Panel decontrol, se muestra el último panel de control que ha visto.

Búsqueda de flujosPuede visualizar un elemento de panel de control personalizado que se basa encriterios de búsqueda guardados desde la pestaña Actividad de red.

Los elementos de búsqueda de flujos están listados en el menú Añadir elemento >Actividad de red > Búsqueda de flujos. El nombre del elemento de búsqueda deflujos coincide con el nombre de los criterios de búsqueda guardados en los queestá basado el elemento.

Puede utilizar criterios de búsqueda guardados predeterminados preconfiguradospara mostrar elementos de búsqueda de flujos en el menú de la pestaña Panel decontrol. Puede añadir más elementos de panel de control de la búsqueda de flujosal menú de la pestaña Panel de control. Para obtener más información, consulteAñadir elementos de panel de control basados en búsquedas a la lista Añadirelementos.

En un elemento de panel de control de búsqueda de flujos, los resultados de labúsqueda muestran datos actualizados en tiempo real en un gráfico. Los tipos degráfico soportados son series temporales, de tabla, circulares y de barras. El tipo degráfico predeterminado es el gráfico de barras. Estos gráficos se pueden configurar.Para obtener más información sobre la configuración de gráficos, consulteConfigurar gráficos.

Los gráficos de serie temporal son interactivos. Mediante los gráficos de serietemporal, puede aumentar el detalle de una línea temporal para investigaractividad de la red.

DelitosPuede añadir varios elementos relacionados con delitos al panel de control.

Nota: Los delitos ocultos o cerrados no se incluyen en los valores que se muestranen la pestaña Panel de control. Para obtener más información sobre delitos ocultoso cerrados, consulte Gestión de delitos.


La tabla siguiente describe los elementos de delito:

Tabla 9. Elementos de delito

Elementos de panel de control Descripción

Delitos más recientes Los cinco delitos más recientes se identificancon una barra de magnitudes parainformarle de la importancia del delito.Coloque el puntero del ratón en el nombredel delito para ver información detalladasobre la dirección IP.

Delitos más graves Los cinco delitos más graves se identificancon una barra de magnitudes parainformarle de la importancia del delito.Coloque el puntero del ratón en el nombredel delito para ver información detalladasobre la dirección IP.

Mis delitos El elemento Mis delitos muestra 5 de losdelitos más recientes que tiene asignados elusuario. Los delitos se identifican con unabarra de magnitudes para informarle de laimportancia del delito. Coloque el punterodel ratón en la dirección IP para verinformación detallada sobre la dirección IP.

Orígenes principales El elemento Delitos principales muestra losorígenes de delitos principales. Cada origense identifica con una barra de magnitudespara informarle de la importancia delorigen. Coloque el puntero del ratón en ladirección IP para ver información detalladasobre la dirección IP.

Destinos locales principales El elemento Destinos locales principalesmuestra los destinos locales principales.Cada destino se identifica con una barra demagnitudes para informarle de laimportancia del destino. Coloque el punterodel ratón en la dirección IP para verinformación detallada sobre la dirección IP.

Categorías El elemento Tipos de categorías principalesmuestra las cinco categorías principalescorrespondientes al número mayor dedelitos.

Actividad de registroLos elementos de panel de controlActividad de registro le permitirán supervisar einvestigar sucesos en tiempo real.

Nota: Los sucesos ocultos o cerrados no están incluidos en los valores que sevisualizan en la pestaña Panel de control .

Capítulo 3. Gestión de panel de control 19

Tabla 10. Elementos de actividad de registro

Elemento de panel de control Descripción

Búsquedas de suceso Puede visualizar un elemento de panel decontrol personalizado que se basa encriterios de búsqueda guardados desde lapestaña Actividad de registro. Los elementosde búsqueda de sucesos se listan en el menúAñadir elemento > Actividad de red >Búsquedas de suceso. El nombre delelemento de búsqueda de sucesos coincidecon el nombre de los criterios de búsquedaguardados en los que se basa el elemento.

QRadar incluye criterios de búsquedaguardados predeterminados que estánpreconfigurados para visualizar elementosde búsqueda de sucesos en el menú depestaña Panel de control. Puede añadir máselemento de panel de control de búsquedade sucesos en el menú de pestaña Panel decontrol. Para obtener más información,consulte Adición de elementos de panel decontrol basados en búsqueda a la lista deadición de elementos Añadir.

En un elemento de panel de controlActividad de registro, los resultados debúsqueda visualizan datos de última hora entiempo real en un gráfico. Los tipos degráfico soportados son series de tiempo,tabla, circular y de barras. El tipo de gráficopredeterminado es el gráfico de barras. Estosgráficos se pueden configurar.

Los gráficos de series temporales soninteractivos. Puede ampliar y explorar enuna línea temporal para investigar laactividad de registro.

Sucesos por gravedad El elemento de panel de control Sucesos porgravedad visualiza el número de sucesosactivos que están agrupados por gravedad.Este elemento le permitirá ver el número desucesos que se reciben por el nivel degravedad asignada. La gravedad indica lacantidad de amenaza que representa unorigen de delito en relación al grado depreparación del destino ante el ataque. Elrango de gravedad es de 0 (baja) a 10 (alta).Los tipos de gráfico soportados son tabla,circular y de barras.


Tabla 10. Elementos de actividad de registro (continuación)

Elemento de panel de control Descripción

Orígenes de registro principales El elemento de panel de control Orígenes deregistro principales visualiza los 5 orígenesde registro principales que han enviadosucesos a QRadar en los últimos 5 minutos.

El número de sucesos que se envían desde elorigen de registro especificado se indica enel gráfico circular. Este elemento le permitiráver los cambios potenciales en elcomportamiento, por ejemplo si un origende registro de cortafuegos que normalmenteno está en la lista de 10 principales ahoracontribuye en un gran porcentaje delrecuento de mensajes global, debe investigaresta aparición. Los tipos de gráficosoportados son tabla, circular y de barras.

Informes más recientesEl elemento de panel de control Informes más recientes visualiza los informesgenerados más recientemente.

La pantalla proporciona el título de informe, la hora y fecha en que se ha generadoel informe y el formato del informe.

Resumen del sistemaEl elemento de panel de control Resumen del sistema proporciona un resumen dealto nivel de la actividad dentro las últimas 24 horas.

Dentro del elemento de resumen, puede ver la información siguiente:v Flujos actuales por segundo: Visualiza la tasa de flujos por segundo.v Flujos (tras 24 horas): Visualiza el número total de flujos activos que se ven

dentro de las últimas 24 horas.v Sucesos actuales por segundo: Visualiza la tasa de sucesos por segundo.v Sucesos nuevos (pasadas 24 horas): Visualiza el número total de sucesos nuevos

que se reciben dentro de las últimas 24 horas.v Delitos nuevos (pasadas 24 horas): Visualiza el número total de delitos que se

han creado o modificado con evidencia nueva dentro de las últimas 24 horas.v Tasa de reducción de datos: Visualiza la tasa de datos reducidos basados en el

total de sucesos que se detectan dentro de las últimas 24 horas y el número dedelitos modificados dentro de las últimas 24 horas.

Panel de control de supervisión de riesgosUtilice el panel de control de Supervisión de riesgos para supervisar riesgos paraactivos, políticas y grupos de políticas.

De forma predeterminada, el panel de control Supervisión de riesgos muestra loselementos Riesgo y Cambio de riesgo que supervisan la puntuación de riesgo depolítica para activos pertenecientes a los grupos de políticas Vulnerabilidades altas,Vulnerabilidades medias y Vulnerabilidades bajas, así como las tasas decumplimiento de políticas y cambios históricos en la puntuación de riesgo depolítica del grupo de políticas CIS.


Los elementos del panel de control Supervisión de riesgos no muestra ningúnresultado a menos que se tenga una licencia de IBM Security QRadar RiskManager. Para obtener más información, consulte la Guía del usuario de QRadarRisk Manager.

Para ver el panel de control predeterminado de Supervisión de riesgos, seleccioneMostrar panel de control > Supervisión de riegos en la pestaña Panel de control.Tareas relacionadas:“Supervisar el cumplimiento de políticas”Puede crear un elemento de panel de control que muestra el nivel decumplimiento de políticas y la puntuación de riesgo de política para activos,políticas y grupos de políticas seleccionados.“Supervisar el cambio de riesgo” en la página 24Puede crear un elemento de panel de control que muestra el cambio de riesgo depolítica para activos, políticas y grupos de políticas seleccionados para cada día,semana y mes.

Supervisar el cumplimiento de políticasPuede crear un elemento de panel de control que muestra el nivel decumplimiento de políticas y la puntuación de riesgo de política para activos,políticas y grupos de políticas seleccionados.

Procedimiento1. Pulse la pestaña Panel de control.2. En la barra de herramientas, pulse Panel de control nuevo.3. Escriba un nombre y una descripción para el panel de control de

cumplimiento de políticas.4. Pulse Aceptar.5. En la barra de herramientas, seleccione Añadir elemento > Gestor de riesgos

> Riesgo.Los elementos de panel de control del Gestor de riesgos se muestransolamente cuando IBM Security QRadar Risk Manager se utiliza con unalicencia.

6. En la cabecera del elemento de panel de control nuevo, pulse el icono amarilloValores.

7. Utilice las listas Tipo de gráfico, Mostrar parte superior y Ordenar paraconfigurar el gráfico.

8. En la lista Grupo, seleccione el grupo que desee supervisar. Para obtener másinformación, consulte la tabla incluida en el paso 9.Cuando se selecciona la opción Activo, aparece un enlace a la página Riesgos> Gestión de políticas > Por activo en la parte inferior del elemento de panelde control Riesgo. En la página Por activo se muestra información másdetallada sobre todos los resultados que se han devuelto para el valor deGrupo de políticas seleccionado. Para obtener más información sobre unactivo concreto, seleccione Tabla en la lista Tipo de gráfico y pulse el enlacede la columna Activo para ver los detalles sobre el activo en la página Poractivo.Cuando se selecciona la opción Política, aparece un enlace a la página Riesgos> Gestión de políticas > Por política en la parte inferior del elemento depanel de control Riesgo. En la página Por política se muestra informaciónmás detallada sobre todos los resultados que se han devuelto para el valor deGrupo de políticas seleccionado. Para obtener más información sobre una


política concreta, seleccione Tabla en la lista Tipo de gráfico y pulse el enlacede la columna Política para ver los detalles sobre la política en la página Porpolítica.

9. En la lista Gráfico, seleccione el tipo de gráfico que desee utilizar. Paraobtener más información, consulte la tabla siguiente:

GrupoPorcentaje de activosaprobados

Porcentaje decontroles depolíticaaprobados

Porcentaje degrupos depolíticasaprobados

Puntuación deriesgo depolítica

Todo Devuelve elporcentaje promediode cumplimientopara activos, políticasy el grupo depolíticas.

Devuelve elporcentajepromedio decumplimiento decontroles depolítica paraactivos, políticasy el grupo depolíticas.

Devuelve la tasade cumplimientopromedio degrupo depolíticas paratodos los activos,políticas y elgrupo depolíticas.

Devuelve lapuntuación deriesgo promediode política paratodos los activos,políticas y elgrupo depolíticas.

Activo Indica si un activo hapasado la prueba deconformidad deactivo(100%=cumplimiento0%=nocumplimiento).

Utilice este valorpara mostrar quéactivos asociados aun grupo de políticashan pasado la pruebade conformidad.

Indica elporcentaje decontroles depolítica que unactivo hasuperado.

Utilice este valorpara mostrar elporcentaje decontroles depolítica que sehan pasado paracada activo queestá asociado alGrupo depolíticas.

Muestra elporcentaje desubgrupos depolíticas queestán asociadosal activo que hapasado laprueba deconformidad.

Devuelve lasuma de todoslos valores defactor deimportancia paracuestiones depolítica queestán asociadas acada activo.

Utilice este valorpara ver elriesgo de políticapara cada activoque estáasociado a ungrupo depolíticasseleccionado.

Política Indica si todos losactivos asociados acada política de ungrupo de políticashan pasado la pruebade conformidad.

Utilice este valorpara supervisar sitodos los activosasociados a cadapolítica de un grupode políticas pasan ono la prueba deconformidad.

Devuelve elporcentaje decontroles depolíticasuperados porcada política delgrupo depolíticas.

Utilice este valorpara supervisarcuántoscontroles depolítica fallanpara cadapolítica.

Muestra elporcentaje desubgrupos depolíticas de loscuales la políticaes una parte quepasa la pruebade conformidad.

Muestra losvalores de factorde importanciapara cadapregunta depolítica delgrupo depolíticas.

Utilice este valorpara ver elfactor deimportancia decada política deun grupo depolíticas.


GrupoPorcentaje de activosaprobados

Porcentaje decontroles depolíticaaprobados

Porcentaje degrupos depolíticasaprobados

Puntuación deriesgo depolítica

Grupo depolíticas

Devuelve elporcentaje de activosque pasan la pruebade conformidad parael grupo de políticasglobal seleccionado.

Devuelve elporcentaje decontroles depolítica que sepasan para cadapolítica delgrupo depolíticasconsideradoglobalmente.

Devuelve elporcentaje desubgrupos depolíticas dentrodel grupo depolíticas quepasan la pruebade conformidad.

Devuelve lasuma de todoslos valores defactor deimportancia paratodas laspreguntas depolítica delgrupo depolíticas.

10. En la lista Grupo de políticas, seleccione los grupos de políticas que deseesupervisar.

11. Pulse Guardar.

Supervisar el cambio de riesgoPuede crear un elemento de panel de control que muestra el cambio de riesgo depolítica para activos, políticas y grupos de políticas seleccionados para cada día,semana y mes.


Utilice este elemento de panel de control para comparar los cambios en lapuntuación de riesgo de política, controles de política y valores de política para ungrupo de políticas a lo largo del tiempo.

El elemento de panel de control Cambio de riesgo utiliza flechas para indicarcuando un riesgo de política para valores seleccionados ha aumentado, disminuidoo permanecido igual durante un periodo de tiempo seleccionado.v Un número debajo de una flecha roja indica los valores que muestran un riesgo

incrementado.v Un número debajo de una flecha gris indica los valores para los que no ha

habido cambio de riesgo.v Un número debajo de una flecha verde indica los valores que muestran un

riesgo decrementado.

Procedimiento1. Pulse la pestaña Panel de control.2. En la barra de herramientas, pulse Panel de control nuevo.3. Escriba un nombre y una descripción para el panel de control de

cumplimiento de políticas histórico.4. Pulse Aceptar.5. En la barra de herramientas, seleccione Añadir elemento > Gestor de riesgos

> Cambio de riesgo.Los elementos de panel de control del Gestor de riesgos se muestransolamente cuando IBM Security QRadar Risk Manager se utiliza con unalicencia.

6. En la cabecera del elemento de panel de control nuevo, pulse el icono amarilloValores.


7. En la lista Grupo de políticas, seleccione los grupos de políticas que deseesupervisar.

8. Seleccione una opción en la lista Valor para comparar:v Si desea ver los cambios acumulativos en el factor de importancia para

todas las preguntas de política dentro de los grupos de políticasseleccionados, seleccione Puntuación de riesgo de política.

v Si desea ver cuántos controles de política han cambiado dentro de losgrupos de políticas seleccionados, seleccione Controles de política.

v Si desea ver cuántas políticas han cambiado dentro de los grupos depolíticas seleccionados, seleccione Políticas.

9. Seleccione el período de cambio de riesgo que desee supervisar en la listaVariación de tiempo:v Si desea comparar cambios de riesgo de las 12:00 a.m. de hoy con los

cambios de riesgo de ayer, seleccione Día.v Si desea comparar cambios de riesgo de las 12:00 a.m. del lunes de esta

semana con los cambios de riesgo de la semana pasada, seleccione Semana.v Si desea comparar cambios de riesgo de las 12:00 a.m. del primer día del

mes actual con los cambios de riesgo del mes pasado, seleccione Mes.10. Pulse Guardar.

Elementos de Gestión de vulnerabilidadesLos elementos de panel de control Gestión de vulnerabilidades solo se visualizancuando se ha adquirido IBM Security QRadar Vulnerability Manager y se haobtenido la licencia.

Para obtener más información, consulte la publicación Guía del usuario de IBMSecurity QRadar Vulnerability Manager.

Puede visualizar un elemento de panel de control personalizado que se basa encriterios de búsqueda guardados desde la pestaña Vulnerabilidades. Los elementosde búsqueda se listan en el menú Añadir elemento > Gestión de vulnerabilidades> Búsqueda de vulnerabilidades. El nombre del elemento de búsqueda coincidecon el nombre de los criterios de búsqueda guardada en los que se basa elelemento.

QRadar incluye criterios de búsqueda guardada predeterminados que se hanpreconfigurado para visualizar elementos de búsqueda en el menú de la pestañaPanel de control. Puede añadir más elementos de panel de control de búsqueda enel menú de la pestaña Panel de control.

Los tipos de gráfico soportados son tabla, circular y de barras. El tipo de gráficopredeterminado es el gráfico de barras. Estos gráficos se pueden configurar.

Notificación del sistemaEl elemento de panel de control Notificación del sistema muestra notificaciones desucesos recibidas por el sistema.

Para que las notificaciones se muestren en el panel de control Notificación delsistema, el administrador debe crear una regla que se base en cada tipo de mensajede notificación y seleccione el recuadro de selección Notificar en el Asistente dereglas personalizadas.


Para obtener más información sobre cómo configurar notificaciones de sucesos ycrear reglas de suceso, consulte la publicación Guía de administración de IBMSecurity QRadar.

En el elemento de panel de control Notificaciones del sistema, puede ver lainformación siguiente:v Distintivo: Visualiza un símbolo para indicar el nivel de gravedad de la

notificación. Apunte al símbolo para ver más detalle sobre el nivel de gravedad.– Icono Salud

– Icono Información (?)– Icono Error (X)– Icono Aviso (!)

v Creado: Visualiza la cantidad de tiempo transcurrido desde que se ha creado lanotificación.

v Descripción: Visualiza información acerca de la notificación.v Icono Descartar (x): Le permitirá cerrar una notificación del sistema.

Puede apuntar el ratón sobre una notificación para ver más detalles:v IP de host: Visualiza la dirección IP del host que ha originado la notificación.v Gravedad: Visualiza el nivel de gravedad de la incidencia que ha creado esta

notificación.v Categoría de nivel bajo: Visualiza la categoría de bajo nivel que está asociada

con el incidente que ha generado esta notificación. Por ejemplo: Interrupción deservicio.

v Carga útil: Visualiza el contenido de carga útil que está asociado con elincidente que ha generado esta notificación.

v Creado: Visualiza la cantidad de tiempo transcurrido desde que se ha creado lanotificación.

Cuando se añade el elemento de panel de control Notificaciones del sistema, lasnotificaciones del sistema también se pueden visualizar como notificacionesemergentes en la interfaz de usuario de QRadar. Estas notificaciones emergentes sevisualizan en la esquina inferior derecha de la interfaz de usuario,independientemente de la pestaña seleccionada.

Las notificaciones emergentes sólo están disponibles para los usuarios conpermisos administrativos y están habilitadas de forma predeterminada. Parainhabilitar las notificaciones emergentes, seleccione Preferencias de usuario y borreel recuadro de selección Habilitar notificaciones emergentes.

En la ventana emergente Notificaciones del sistema, se resalta el número denotificaciones de la cola. Por ejemplo, si se visualiza (1 – 12) en la cabecera, lanotificación actual es de 1 de 12 de notificaciones a visualizar.

La ventana emergente Notificación del sistema proporciona las opciones siguientes:v Icono Siguiente (>): Visualiza el siguiente mensaje de notificación. Por ejemplo,

si el mensaje de notificación actual es 3 de 6, pulse el icono para ver 4 de 6.v Icono Cerrar (X) : Cierra esta ventana emergente de notificación.v (detalles): Visualiza más información acerca de esta notificación del sistema.


Centro de información de amenazas de InternetEl elemento de panel de control Centro de información de amenazas de Internet esun canal de información RSS que le proporciona avisos sobre problemas deseguridad, evaluaciones diarias sobre amenazas, noticias relacionadas con laseguridad y repositorios de amenazas.

El diagrama Nivel de peligro actual indica el nivel de peligro actual y proporcionaun enlace que conduce a la página Nivel de peligro actual en Internet,perteneciente al sitio web IBM Internet Security Systems.

El elemento de panel de control lista avisos actuales. Para ver un resumen delaviso, pulse el icono de Flecha situado junto al aviso. El aviso se expandirá paramostrar un resumen. Pulse de nuevo el icono de Flecha para ocultar el resumen.

Para investigar el aviso completo, pulse el enlace asociado. El sitio web IBMInternet Security Systems se abrirá en una ventana nueva del navegador paramostrar los detalles del aviso completo.

Crear un panel de control personalizadoPuede crear un panel de control personalizado para ver un grupo de elementos depanel de control que cumplen un requisito determinado.


Después de crear un panel de control personalizado, el nuevo panel de controlaparece en la pestaña Panel de control y en el cuadro de lista Mostrar panel decontrol. De forma predeterminada, un panel de control personalizado nuevo estávacío; por lo tanto, debe añadirle elementos.

Procedimiento1. Pulse la pestaña Panel de control.2. Pulse el icono Panel de control nuevo.3. En el campo Nombre, escriba un nombre exclusivo para el panel de control. La

longitud máxima es 65 caracteres.4. En el campo Descripción, escriba una descripción del panel de control. La

longitud máxima es de 255 caracteres. Esta descripción se muestra en la ayudacontextual para el nombre de panel de control en el cuadro de lista Mostrarpanel de control.

5. Pulse Aceptar.

Utilización del panel de control para investigar actividad de registro oactividad de red

Los elementos de búsqueda de la pestaña de control proporcionan un enlace a lospaneles Actividad de registro o Actividad de red, lo cual le permite investigar laactividad de registro o de red con más detalle.


Para investigar flujos desde un elemento de panel de control de Actividad deregistro:


1. Pulse el enlace Vista en Actividad de registro. Se abrirá la pestaña Actividadde registro, que muestra resultados y dos gráficos correspondientes a losparámetros del elemento de panel de control.

Para investigar flujos desde un elemento de panel de control de Actividad de red:1. Pulse el enlace Vista en Actividad de red. Se abrirá la pestaña Actividad de

red, que muestra resultados y dos gráficos correspondientes a los parámetrosdel elemento de panel de control.

Se abrirá la pestaña Actividad de red, que muestra resultados y dos gráficoscorrespondientes a los parámetros del elemento de panel de control. Los tipos degráfico que aparecen en la pestaña Actividad de registro o Actividad de reddependen del gráfico que esté configurado en el elemento de panel de control:

Tipo de gráfico Descripción

Barras, circular y de tabla La pestaña Actividad de registro oActividad de red muestra un gráfico debarras, un gráfico circular y una tabla dedetalles de flujo.

Serie temporal La pestaña Actividad de registro oActividad de red muestra gráficos deacuerdo con los criterios siguientes:

1. Si el rango de tiempo que ha definido esmenor o igual que 1 hora, se muestra ungráfico de serie temporal, un gráfico debarras y una tabla de detalles de sucesoo de flujo.

2. Si el rango de tiempo que ha definido esmayor que 1 hora, se muestra un gráficode serie temporal y puede pulsarActualizar detalles. Esta acción inicia unabúsqueda la cual proporciona los detallesdel suceso o flujo y genera un gráfico debarras. Cuando la búsqueda finaliza, semuestran el gráfico de barras y una tablade detalles de suceso o flujo.

Configuración de gráficosPuede configurar elementos de los paneles de control Actividad de registro,Actividad de red y Conexiones para especificar el tipo de gráfico y cuántos objetosde datos desea ver.


Tabla 11. Configuración de gráficos. Opciones de parámetros.


Valor para gráfico En el cuadro de lista, seleccione el tipo deobjeto que desee representar en el gráfico.Las opciones incluyen todos los parámetrosde suceso o de flujo normalizados ypersonalizados que se incluyen en losparámetros de búsqueda.


Tabla 11. Configuración de gráficos (continuación). Opciones de parámetros.


Tipo de gráfico En el cuadro de lista, seleccione el tipo degráfico que desee ver. Las opciones son:

1. Gráfico de barras: muestra los datos enun gráfico de barras. Esta opción soloestá disponible para sucesos o flujosagrupados.

2. Gráfico circular: muestra los datos en ungráfico circular. Esta opción solo estádisponible para sucesos o flujosagrupados.

3. Tabla: muestra los datos en una tabla.Esta opción solo está disponible parasucesos o flujos agrupados.

4. Serie temporal: muestra un gráfico delíneas interactivo que representa losregistros correspondientes a un intervalode tiempo especificado.

Mostrar parte superior En el cuadro de lista, seleccione el númerode objetos que desee ver en el gráfico. Lasopciones son 5 y 10. El valorpredeterminado es 10.

Capturar datos de serie temporal Seleccione esta casilla para habilitar lacaptura de series temporales. Cuandoselecciona esta casilla, la función derepresentación gráfica comienza a acumulardatos para gráficos de serie temporal. Deforma predeterminada, esta opción estáinhabilitada.

Rango de tiempo En el cuadro de lista, seleccione el rango detiempo que desee ver.

Las configuraciones para gráficos personalizados se conservan, por lo que semuestran como configurados cada vez que accede a la pestaña Panel de control.

Los datos se acumulan, por lo que cuando realiza una búsqueda guardada de serietemporal, existe una memoria caché de datos de suceso o de flujo para mostrar losdatos correspondientes al periodo de tiempo anterior. Los parámetros acumuladosse indican mediante un asterisco (*) en el cuadro de lista Valor para gráfico. Siselecciona un valor para representar gráficamente que no está acumulado (sinasterisco), no habrá datos de serie temporal disponibles.

Procedimiento1. Pulse la pestaña Panel de control.2. En el cuadro de lista Mostrar panel de control, seleccione el panel de control

donde reside el elemento que desee personalizar.3. En la cabecera del elemento de panel de control que desee configurar, pulse el

icono Valores.4. Configure los parámetros del gráfico.


Eliminación de elementos de panel de controlPuede eliminar elementos de un panel de control y añadir el elemento de nuevo encualquier momento.


Cuando se elimina un elemento del panel de control, el elemento no se elimina porcompleto.

Procedimiento1. Pulse la pestaña Panel de control.2. En el recuadro de lista Mostrar panel de control, seleccione el panel de control

del que desea eliminar un elemento.3. En la cabecera de elemento de panel de control, pulse el icono rojo [x] para

eliminar el elemento del panel de control.

Desconexión de un elemento del panel de controlPuede desconectar un elemento del panel de control y visualizar el elemento enuna ventana nueva en el sistema.


Al desconectar un elemento de panel de control, el elemento de panel de controloriginal permanece en la pestaña Panel de control, mientras que una ventanadesconectada con un elemento de la pestaña de control duplicado permaneceabierta y se renueva durante intervalos planificados. Si cierra la aplicación deQRadar, la ventana desconectada permanecerá abierta para supervisión y continúarenovándose hasta que se cierra manualmente la ventana o se cierra el sistema.


del que desea desconectar un elemento.3. En la cabecera de elemento de panel de control, pulse el icono verde para

desconectar el elemento de panel de control y abrirlo en una ventanaindependiente.

Renombrar un panel de controlPuede renombrar un panel de control y actualizar la descripción.


que desea editar.3. En la barra de herramientas, pulse el icono Renombrar panel de control .4. En el campo Nombre, escriba un nuevo nombre para el panel de control. La

longitud máxima es de 65 caracteres.5. En el campo Descripción, escriba una nueva descripción del panel de control.

La longitud máxima es de 255 caracteres6. Pulse Aceptar.


Supresión de un panel de controlPuede suprimir un panel de control.


Después de suprimir un panel de control, la pestaña Panel de control se renueva yse visualiza el primer panel de control que se lista en el recuadro de lista Mostrarpanel de control. El panel de control que ha suprimido ya no se visualiza en elrecuadro de lista Mostrar panel de control.


que desea suprimir.3. En la barra de herramientas, pulse Suprimir panel de control.4. Pulse Sí.

Gestión de notificaciones del sistemaPuede especificar el número de notificaciones que desea visualizar en el elementode panel de control Notificación del sistema y cerrar las notificaciones del sistemadespués de leerlas.

Antes de empezar

Asegúrese de que el elemento de panel de control Notificación del sistema seañade al panel de control.

Procedimiento1. En la cabecera de elemento de panel de control Notificación del sistema, pulse

el icono Valores.2. En el recuadro de lista Visualizar, seleccione el número de notificaciones de

sistema que desea ver.v Las opciones son 5, 10 (valor predeterminado), 20, 50 y Todos.v Para ver todas las notificaciones del sistema que se han registrado en las

últimas 24 horas, pulse Todos.3. Para cerrar una notificación del sistema, pulse el icono Suprimir.

Adición de elementos de panel de control basados en búsqueda a lalista de adición de elementos

Puede añadir elementos de panel de control basados en búsqueda al menú Añadirelementos.

Antes de empezar

Para añadir un elemento de panel de control de búsqueda de sucesos y flujos almenú Añadir elemento en la pestaña Panel de control, debe acceder a la pestañaActividad de registro o Actividad de red para crear criterios de búsqueda queespecifiquen que los resultados de búsqueda se pueden visualizar en la pestañaPanel de control. Los criterios de búsqueda también deben especificar que losresultados se agrupen en un parámetro.


Procedimiento1. Elija:v Añadir un elemento de panel de control de búsqueda de flujos, pulse la

pestaña Actividad de red.v Para añadir un elemento de panel de control de búsqueda de sucesos, pulse

la pestaña Actividad de registro.2. En el recuadro de lista Buscar, elija una de las opciones siguientes:v Para crear una búsqueda, seleccione Nueva búsqueda.v Para editar una búsqueda guardada, seleccione Editar búsqueda.

3. Configure o edite los parámetros de búsqueda, según sea necesario.v En el panel Editar búsqueda, seleccione la opción Incluir en Panel de

control.v En el panel Definición de columna, seleccione una columna y pulse el icono

Añadir columna para mover la columna a la lista Agrupar por.4. Pulse Filtro. Se visualizan los resultados de búsqueda.5. Pulse Guardar criterios. Consulte Guardar criterios de búsqueda en la pestaña

Delito.6. Pulse Aceptar.7. Verifique que los criterios de búsqueda guardados han añadido

satisfactoriamente el elemento de panel de control de búsqueda de sucesos oflujos a la lista de Añadir elementos

a. Pulse la pestaña Panel de control.b. Elija una de las siguientes opciones:a. Para verificar un elemento de búsqueda de sucesos, seleccione Añadir

elemento > Actividad de registro > Búsquedas de suceso > Añadirelemento.

b. Para verificar un elemento de búsqueda de flujo, seleccione Añadirelemento > Actividad de red > Búsquedas de flujo. El elemento de panelde control se visualiza en la lista con el mismo nombre que los criterios debúsqueda guardados.


Capítulo 4. Gestión de delitos

IBM Security QRadar reduce billones de sucesos y flujos a un número manejablede delitos procesables que se priorizan por su impacto en las operaciones denegocio. Utilice la pestaña Delitos para acceder a todos los datos necesarios paraentender incluso las amenazas más complejas.

Proporcionando un contexto inmediato para el delito, QRadar ayuda a identificarrápidamente qué delitos son los más importantes y a iniciar una investigación paraencontrar el origen del ataque o infracción de política de seguridad sospechosos.

Restricción: No puede gestionar delitos en IBM QRadar Log Manager. Paraobtener más información sobre las diferencias entre IBM Security QRadar SIEM yIBM QRadar Log Manager, consulte “Prestaciones de su producto de inteligencia yseguridad” en la página 3.

Priorización de delitosLa calificación de magnitud de un delito es una medida de la importancia deldelito en el entorno. IBM Security QRadar utiliza la calificación magnitud parapriorizar delitos y ayudarle a determinar qué delitos deben investigarse primero.

La calificación de magnitud de un delito se calcula en función de la relevancia, lagravedad y la credibilidad.v La relevancia determina el impacto del delito en la red. Por ejemplo, si un puerto

está abierto, la relevancia es alta.v La credibilidad indica la integridad del delito, según lo determinado por la

valoración de credibilidad configurada en el origen del registro. La credibilidadaumenta a medida que varios orígenes notifican el mismo suceso.

v La gravedad indica el nivel de amenaza que representa un origen en relación algrado de preparación del destino ante el ataque.

QRadar utiliza algoritmos complejos para calcular la calificación de magnitud deldelito, y la calificación se reevalúa cuando se añaden nuevos sucesos al delito ytambién a intervalos planificados. Se tiene en cuenta la información siguientecuando se calcula la magnitud del delito:v el número de sucesos y flujos que están asociados con el delitov el número de orígenes de registrov la antigüedad del delitov el peso del objeto de red asociado con el delitov las categorías, la gravedad, la relevancia y la credibilidad de los sucesos y los

flujos que contribuyen al delitov las vulnerabilidades y evaluación de la amenaza de los hosts que están

involucrados en el delito

La calificación de magnitud de un delito es diferente de la calificación de magnitudde un suceso. Puede influir en la magnitud de un delito estableciendo la magnitudde sucesos en las acciones de regla, pero no puede ignorar los algoritmos deQRadar para establecer la magnitud del delito.


Encadenamiento de delitosIBM Security QRadar encadena delitos para reducir el número de delitos quenecesita revisar, lo que reduce el tiempo necesario para investigar y remediar laamenaza.

El encadenamiento de delitos ayuda a encontrar la causa raíz de un problemaconectando varios síntomas y mostrándolos en un solo delito. Al comprender cómoha cambiado un delito a lo largo del tiempo, puede ver cosas que pueden haberseignorado durante el análisis. Algunos sucesos que no habría valido la penainvestigar por sí mismos pueden cobrar interés repentinamente cuando secorrelacionan con otros sucesos para mostrar un patrón.

El encadenamiento de delitos se basa en el campo de índice de delito que seespecifica en la regla. Por ejemplo, si la regla está configurada para utilizar ladirección IP de origen como el campo de índice de delito, sólo hay un delito quetenga esa dirección IP de origen durante el tiempo que el delito está activo.

Puede identificar un delito encadenado buscando precedido por en el campoDescripción de la página Resumen de delito. En el ejemplo siguiente, QRadar hacombinado todos los sucesos que se han desencadenado para cada una de las tresreglas en un delito y ha añadido los nombres de regla al campo Descripción:Exploit Followed By Suspicious Host Activity - Chainedpreceded by Local UDP Scanner Detectedpreceded by XForce Communication to a known Bot Command and Control

Indexación de delitosLa indexación de delitos proporciona la capacidad de agrupar sucesos o flujos dediferentes reglas indexados en la misma propiedad en un solo delito.

Por ejemplo, un delito que sólo tiene una dirección IP de origen y variasdirecciones IP de destino indica que la amenaza tiene un solo atacante y múltiplesvíctimas. Si indexa este tipo de delito por la dirección IP de origen, todos lossucesos y flujos que se originen desde la misma dirección IP se añadirán al mismodelito. IBM Security QRadar utiliza el parámetro de índice de delitos paradeterminar qué delitos deben encadenarse.

Puede configurar reglas para indexar un delito en función de cualquier parte deinformación. QRadar incluye un conjunto de campos normalizados predefinidosque puede utilizarse para indexar los delitos. Si el campo en el que desea basar laindexación no está incluido en los campos normalizados, cree un sucesopersonalizado o una propiedad de flujo personalizada para extraer los datos de lacarga útil y utilizarlos como el campo de indexación de delito en la regla. Lapropiedad personalizada en la que basar el índice puede basarse en una expresiónregular o en un cálculo.

Consideraciones sobre la indexación de delitosEs importante comprender cómo afecta la indexación de delitos al despliegue deIBM Security QRadar.


Rendimiento del sistema

Asegúrese de optimizar y habilitar todas las propiedades personalizadas que seutilizan para la indexación de delitos. La utilización de propiedades que no estánoptimizadas puede tener un efecto negativo en el rendimiento.

Al crear una regla, no puede seleccionar propiedades no optimizadas en el campoIndexar delito según. Sin embargo, si una regla existente se indexa en unapropiedad personalizada y luego la propiedad personalizada se desoptimiza, lapropiedad seguirá estando disponible en la lista de índice de delitos. Nodesoptimice propiedades personalizadas que se utilizan en reglas.

Acción y respuesta de regla

Cuando el valor de la propiedad indexada es nulo, no se crea un delito aunque semarque el recuadro de selección Asegurarse de que el suceso detectado formaparte de un delito en la acción de regla. Por ejemplo, si una regla está configuradapara crear un delito que se indexa por nombre de host, pero el nombre de host delsuceso está vacío, no se crea un delito aunque se cumplan todas las condiciones delas pruebas de regla.

Cuando el limitador de respuestas utiliza una propiedad personalizada y el valorde propiedad personalizada es nulo, el límite se aplica al valor nulo. Por ejemplo,si la respuesta es Correo electrónico, y el limitador dice Responder no más de 1vez por 1 hora por propiedad personalizada, si la regla se activa una segunda vezcon una propiedad nula dentro de una hora, no se enviará un correo electrónico.

Al indexar mediante una propiedad personalizada, las propiedades personalizadasque puede utilizar en los campos de índice de regla y limitador de respuestasdependen del tipo de regla que esté creando. Una regla de suceso aceptapropiedades de sucesos personalizadas en los campos de índice de regla ylimitador de respuestas, mientras que una regla de flujo sólo acepta propiedadesde flujos personalizadas. Una regla común acepta propiedades de sucesospersonalizadas o propiedades de flujos personalizadas en los campos de índice deregla y limitador de respuestas.

No puede utilizar propiedades personalizadas para indexar un delito creado porun suceso asignado.

Ejemplo: Detección de irrupciones de programas maliciososen función de la firma MD5

Como analista de seguridad de red de una gran organización, utiliza QRadar paradetectar irrupciones de programas maliciosos. Establece los criterios para unairrupción como una amenaza que se produce en 10 hosts durante 4 horas. Deseautilizar la firma MD5 como base para esta detección de amenazas.

Debe configurar IBM Security QRadar para evaluar los registros entrantes a fin dedeterminar si existe una amenaza, y luego agrupar todas las reglas activadas quecontienen la misma firma MD5 firma en un solo delito.1. Cree una propiedad personalizada basada en expresión regular para extraer la

firma MD5 de los registros. Asegúrese de que la propiedad personalizada estéoptimizada y habilitada.

Capítulo 4. Gestión de delitos 35

2. Cree una regla y configúrela para crear un delito que utilice la propiedadpersonalizada de firma MD5 como campo de índice de delito. Cuando se activala regla, se crea un delito. Todas las reglas activadas que tienen la misma firmaMD5 se agrupan en un delito.

3. Puede buscar por tipo de delito para encontrar los delitos que están indexadassegún la propiedad personalizada de firma MD5.

Retención de delitosEl estado de un delito determina cuánto tiempo IBM Security QRadar conserva eldelito en el sistema. El periodo de retención de delito determina cuánto tiempo seconservan los delitos inactivos y cerrados antes de que se eliminen de la consolade QRadar.

Delitos activosCuando una regla desencadena un delito, el delito está activo. En esteestado, QRadar está a la espera de evaluar nuevos sucesos o flujos conrespecto a la prueba de regla del delito. Cuando se evalúan sucesosnuevos, el reloj del delito se restablece para mantener el delito activodurante otros 30 minutos.

Delitos latentesUn delito pasa a estar latente si no se añaden sucesos o flujos nuevos aldelito durante 30 minutos, o si QRadar no ha procesado ningún sucesodurante 4 horas. Un delito permanece en estado latente durante 5 días. Sise añade un suceso mientras un delito está latente, se restablece elcontador de cinco días.

Delitos inactivosUn delito pasa a estar inactivo después de 5 días de permanecer en estadolatente. En el estado inactivo, los sucesos nuevos desencadenantes de laprueba de regla de delito no contribuyen al delito inactivo. Se añaden a undelito nuevo.

Los delitos inactivos se eliminan una vez transcurrido el periodo deretención del delito.

Delitos cerradosLos delitos cerrados se eliminan una vez transcurrido el periodo deretención del delito. Si se producen más sucesos para un delito que estácerrado, se crea un nuevo delito.

Si incluye delitos cerrados en una búsqueda y el delito no se ha eliminadode la consola de QRadar, el delito se muestra en los resultados debúsqueda.

El periodo de retención de delitos predeterminado es de 30 días. Una vezcaducado el periodo de retención de delitos, los delitos cerrados e inactivos seeliminan del sistema. Los delitos que no están cerrados o inactivos se conservanindefinidamente. Puede proteger un delito para impedir que se elimine cuandocaduque el periodo de retención.

Proteger delitosPuede haber delitos que desee conservar sin importar su periodo de retención.Puede proteger los delitos para impedir que se eliminen delitos de QRadar unavez transcurrido el periodo de retención.



De forma predeterminada, los delitos se conservan durante treinta días. Paraobtener más información sobre la personalización del período de retención dedelitos, consulte el manual Guía de administración de IBM Security QRadar.

Procedimiento1. Pulse la pestaña Delitos y, a continuación, pulse Todos los delitos.2. Elija una de las siguientes opciones:v Seleccione el delito que desee proteger y luego seleccione Proteger en la lista

Acciones.v En el cuadro de lista Acciones, seleccione Proteger listados.

3. Pulse Aceptar.

Resultados

El delito está protegido y no se eliminará de QRadar. En la ventana Delito, eldelito protegido está indicado por un icono Protegido en la columna Distintivo.

Desproteger delitosPuede desproteger delitos que anteriormente se habían protegido para impedir quese eliminaran una vez transcurrido su periodo de retención.


Para listar solamente delitos protegidos, puede realizar una búsqueda que aplicafiltros para obtener solamente delitos protegidos. Si desmarca la casilla Protegido yestán seleccionadas todas las demás opciones de la lista Excluye la opción en elpanel Parámetros de búsqueda, sólo se visualizan delitos protegidos.

Procedimiento1. Pulse la pestaña Delitos.2. Pulse Todos los delitos.3. Opcional: realice una búsqueda que muestra solamente delitos protegidos.4. Elija una de las siguientes opciones:v Seleccione el delito que ya no desea proteger y luego seleccione Desproteger

en el cuadro de lista Acciones.v En el cuadro de lista Acciones, seleccione Desproteger listados.

5. Pulse Aceptar.

Investigaciones de delitosIBM Security QRadar utiliza reglas para supervisar los sucesos y flujos de la redpara detectar amenazas de seguridad. Cuando los sucesos y los flujos cumplen loscriterios de prueba definidos en las reglas, se crea un delito para mostrar que sesospecha un ataque o infracción de la política de seguridad. Sin embargo, saberque un delito se ha producido es sólo el primer paso; identificar cómo se haproducido, dónde se ha producido y quién lo ha cometido requiere algunainvestigación.

La ventana Resumen de delito le ayuda a iniciar la investigación del delitosuministrando contexto para ayudarle a comprender qué ha sucedido y determinar


cómo aislar y resolver el problema.

QRadar no utiliza permisos de usuario a nivel de dispositivo para determinar quédelitos puede ver cada usuario. Todos los usuarios que tienen acceso a la redpueden ver todos los delitos independientemente de qué origen de registro o elorigen de flujo asociado con el delito. Para obtener más información sobre larestricción del acceso de red, consulte la documentación de perfiles de seguridaden la Guía de administración de IBM Security QRadar.

Was itsuccessful?

Who was responsible?

Are the targetsvulnerable?

Where can I find them?

How many targets are involved?

Where is the evidence?

How valuable arethe targets tothe business?

Why does QRadarconsider the event threatening?

What was the attack?

Figura 1. Vista Resumen de delito


Seleccionar un delito para investigarLa pestaña Delitos muestra los ataques de seguridad sospechados y lasinfracciones de políticas que se producen en la red. Los delitos aparecen listadoscon el delito de mayor magnitud en primer lugar. Investigue los delitos de la partesuperior de la lista en primer lugar.


Utilice las opciones de navegación de la izquierda para ver los delitos desdeperspectivas diferentes. Por ejemplo, seleccione Por IP de origen o Por IP dedestino para ver información sobre delincuentes reincidentes, direcciones IP quegeneran muchos ataques o sistemas que están constantemente bajo ataque. Puederefinar los delitos de la lista seleccionando un período de tiempo para los delitosque desea ver o cambiando los parámetros de búsqueda.

También puede buscar delitos que están basados en diversos criterios. Para obtenermás información sobre la búsqueda de delitos, consulte “Búsquedas de delitos” enla página 156.

Procedimiento1. Pulse la pestaña Delitos.2. En el menú de navegación, seleccione la categoría de delitos que desea ver.3. Opcional: Dependiendo de la categoría que haya seleccionado, podrá

seleccionar las siguientes opciones de filtrado:a. En la lista Ver delitos, seleccione una opción para filtrar la lista de delitos

para un intervalo de tiempo determinado.b. En el panel Parámetros de búsqueda actuales, pulse los enlaces Borrar

filtro para refinar la lista de delitos.4. Para ver todos los delitos que se están produciendo en la red, pulse Todos los

delitos.5. Para ver todos los delitos que tiene asignados, pulse Mis delitos.6. Para ver delitos agrupados en la categoría de alto nivel, pulse Por categoría.

a. Para ver los grupos de categoría de nivel bajo para una categoría de nivelalto, pulse el icono de flecha situado junto al nombre de la categoría denivel alto.

b. Para ver una lista de delitos para una categoría de nivel bajo, haga unadoble pulsación en la categoría de nivel bajo.Los campos de recuento, tales como Recuento de sucesos/flujos yRecuento de orígenes, no tienen en cuenta los permisos de red delusuario.

7. Para ver delitos agrupados por dirección IP de origen, pulse Por IP de origen.La lista de delitos solo muestra las direcciones IP de origen con delitosactivos.a. Efectúe una doble pulsación en el grupo IP de origen que desee ver.b. Para ver una lista de direcciones IP de destino locales para la dirección IP

de origen, pulse Destinos en la barra de herramientas de página Origen.c. Para ver una lista de delitos que están asociados a una dirección IP de

origen, pulse Delitos en la barra de herramientas de la página Origen.8. Para ver delitos agrupados por dirección IP de destino, pulse Por IP de

destino.


a. Efectúe una doble pulsación en el grupo de direcciones IP de origen quedesee ver.

b. Para ver una lista de delitos que están asociados a la dirección IP dedestino, pulse Delitos en la barra de herramientas de la página Destino.

c. Para ver una lista de direcciones IP de origen que están asociadas a ladirección IP de destino, pulse Orígenes en la barra de herramientas de lapágina Destino.

9. Para ver delitos agrupados por red, pulse Por red.a. Efectúe una doble pulsación en la Red que desee ver.b. Para ver una lista de direcciones IP de origen que están asociadas a la red,

pulse Orígenes en la barra de herramientas de la página Red.c. Para ver una lista de direcciones IP de destino que están asociadas a la

red, pulse Destinos en la barra de herramientas de la página Red.d. Para ver una lista de delitos que están asociados a la red, pulse Delitos en

la barra de herramientas de la página Red.10. Efectúe una doble pulsación en el delito para ver más información.

Qué hacer a continuación

Utilice la información del resumen del delito y los detalles para investigar el delitoy realizar las acciones necesarias.

Investigar un delito mediante la información de resumenLa ventana Resumen de delito proporciona la información necesaria para empezara investigar un delito en IBM Security QRadar. La información que es másimportante para usted durante la investigación puede ser diferente dependiendodel tipo de delito que esté investigando.

Para facilitar la investigación de un delito, la parte inferior de la página Resumende delito agrupa información acerca de los contribuyentes principales al delito, ymuestra sólo las partes de información más recientes o importantes de esacategoría. Muchos campos muestran información adicional cuando se pasa elpuntero del ratón sobre ellos. Algunos campos tienen opciones adicionales demenú contextual.

Procedimiento1. Pulse la pestaña Delitos y efectúe una doble pulsación en el delito que desee

investigar. Se abre la ventana Resumen de delito.2. Revise la primera fila de datos para conocer el nivel de importancia que

QRadar ha asignado al delito.

Más información sobre la calificación de magnitud:

Parámetro Descripción

Magnitud Indica la importancia relativa del delito. Este valor se calcula enfunción de las calificaciones de relevancia, gravedad y credibilidad.

Estado Pase el ratón por encima del icono de estado para ver el estado.

QRadar no muestra un icono de estado cuando un delito está activo.

Importancia Indica la importancia del destino.

QRadar determina la importancia por el peso que el administrador haasignado a las redes y los activos.



Gravedad Indica la amenaza que un ataque representa en relación a cuánpreparado está el destino para el ataque.

Credibilidad Indica la integridad del delito, según lo determinado por lavaloración de credibilidad configurada en el origen del registro. Lacredibilidad aumenta a medida que varios orígenes notifican elmismo suceso. Los administradores de QRadar configuran lacalificación de credibilidad de los orígenes de registro.

3. Revise la información de la parte superior de la ventana Resumen de delitopara obtener más información sobre el tipo de ataque y el marco de tiempo enque se ha producido.

Más información sobre la información de delito:


Descripción Muestra la causa del delito.

Los delitos encadenados muestran Precedido de, que indica que eldelito ha cambiado con el paso del tiempo a medida que se hanañadido nuevos sucesos y flujos a un delito.

Tipo de delito El tipo de delito está determinado por la regla que ha creado eldelito. El tipo de delito determina qué tipo de información sevisualiza en el panel Resumen de origen de delito.

Recuento desucesos/flujos

Para ver la lista de sucesos y flujos que han contribuido al delito,pulse los enlaces Suceso o Flujo.

Si el flujo muestra N/D, la fecha de inicio del delito podría seranterior a la fecha en que actualizó a IBM Security QRadar versión7.1 (MR1). Los flujos no pueden contarse, pero puede pulsar el enlaceN/D para investigar los flujos.

IP(s) de origen Especifica el dispositivo que intenta violar la seguridad de uncomponente de la red.

Los delitos de tipo IP de origen siempre se originan en una únicadirección IP de origen. Los delitos de otros tipos puede tener más deuna dirección IP de origen. Puede ver más información sobre ladirección IP de origen pasando el ratón por encima de la dirección omediante las acciones de pulsar el botón derecho y el botón izquierdodel ratón.

IP de destino Especifica el dispositivo de red al que la dirección IP de origen haintentado acceder.

Si el delito tiene un solo destino, se visualiza la dirección IP. Si eldelito tiene varios destinos, se visualiza el número de direcciones IPlocales o remotas de destino. Puede ver más información pasando elratón por encima de la dirección o mediante las acciones de pulsar elbotón derecho y el botón izquierdo del ratón.

Inicio Especifica la fecha y hora en que se produjo el primer suceso o flujopara el delito.

Duración Especifica la cantidad de tiempo que ha transcurrido desde lacreación del primer suceso o flujo asociado con el delito.



Red(es) Especifica las redes locales de las direcciones IP de destino localestablecidas como destino. QRadar considera como locales todas lasredes que están especificadas en la jerarquía de redes. El sistema noasocia redes remotas a un delito, aunque se especifiquen como unared remota o un servicio remoto en la pestaña Admin.

4. En la ventana Resumen de origen de delito, revise la información sobre elorigen del delito.La información que se muestra en la ventana Resumen de origen de delitodepende del campo Tipo de delito.

Más información sobre el resumen de origen:


Encadenado Especifica si la dirección IP de destino está encadenada.

Una dirección IP encadenada está asociada con otros delitos. Porejemplo, una dirección IP de destino puede llegar a ser la dirección IPde origen de otro delito. Si la dirección IP de destino estáencadenada, pulse Sí para ver los delitos encadenados.

IP de destino Especifica el dispositivo de red al que la dirección IP de origen haintentado acceder.

Si el delito tiene un solo destino, se visualiza la dirección IP. Si eldelito tiene varios destinos, este campo muestra el número dedirecciones IP locales o remotas de destino. Puede ver másinformación pasando el ratón por encima de la dirección o mediantelas acciones de pulsar el botón derecho y el botón izquierdo delratón.

Ubicación Especifica la ubicación de red de la dirección IP de origen o destino.Si la ubicación es local, pulse el enlace para ver las redes.

Magnitud Especifica la importancia relativa de la dirección IP de origen odestino.

La barra de magnitudes proporciona una representación visual delvalor de riesgo de CVSS del activo que está asociado a la dirección IP.Pase el puntero del ratón sobre la barra de magnitudes para mostrarla magnitud calculada.

Gravedad Especifica la gravedad del suceso o delito.

La gravedad indica el nivel de amenaza que un delito representa enrelación a cuán preparada está la dirección IP de destino para elataque. Este valor está correlacionado directamente con la categoríade suceso que está asociada al delito. Por ejemplo, un ataque dedenegación de servicio (DoS) tiene una gravedad de 10, lo que indicaun caso grave.

IP(s) de origen Especifica el dispositivo que ha intentado violar la seguridad de uncomponente de la red.

Los delitos de tipo IP de origen siempre se originan en una únicadirección IP de origen. Los delitos de otros tipos puede tener más deuna dirección IP de origen. Puede ver más información sobre ladirección IP de origen pasando el ratón por encima de la dirección omediante las acciones de pulsar el botón derecho y el botón izquierdodel ratón.



Nombre de usuario Especifica el nombre de usuario que está asociado al suceso o flujopor el que se creó el delito.

Pase el ratón por encima del nombre de usuario para ver lainformación más reciente de la base de datos de modelo de activospara el usuario.

Los sucesos que no incluyen un nombre de usuario en la carga útil, olos sucesos generados por el sistema que pertenecen a un sistemalocal o una cuenta del sistema, muestran N/A.

Vulnerabilidades Especifica el número de vulnerabilidades identificadas que estánasociadas a la dirección IP de origen o de destino. Este valor incluyetambién el número de vulnerabilidades activas y pasivas.

Cuando se visualiza la información de resumen de delitos históricos, loscampos de datos Último conocido no se llenan.

5. En la parte inferior de la ventana Resumen de delito, revise la informaciónadicional sobre los principales contribuyentes al delito, incluidas las notas yanotaciones recopiladas sobre el delito. Para ver toda la información queQRadar ha recopilado en una categoría, pulse los enlaces del lado derecho de lacabecera de categoría.

Más información sobre la información que se presenta en los detalles deldelito:

Categoría dedetalles de delito Descripción

Últimas 5 notas Se utilizan notas para el seguimiento de información importanterecopilada durante la investigación del delito. Puede añadir una notaa un delito, pero no puede editar o suprimir notas.

Resultados de labúsqueda

5 IPs de origenprincipales

Muestra las 5 principales direcciones IP con la magnitud más alta,que es donde se ha originado el presunto ataque o infracción depolítica.

Los delitos que sólo tienen una dirección IP de origen muestran sólouna entrada en la tabla.

5 IPs de destinoprincipales

Muestra las 5 principales direcciones IP locales con la magnitud másalta, que pueden indicar el destino del delito. Los delitos destinados amenos de 5 direcciones IP locales muestran menos entradas en latabla.

La columna Encadenado indica si la dirección IP de destino es ladirección IP de origen de otro delito. El valor Sí en esta columnaindica que un atacante tiene control sobre el sistema con estadirección IP y lo está utilizando para atacar a otros sistemas.

La columna Magnitud muestra la puntuación de CVSS (CommonVulnerability Scoring System) de agregado, si existe. Cuando no estádisponible la puntuación CVSS, la columna muestra la magnitud másalta de todos los delitos de los que la dirección IP forma parte.

Cuando pase el ratón sobre la dirección IP de destino, la Magnitudde destino mostrará la puntuación CVSS. Cuando no está disponiblela puntuación CVSS, se visualiza un cero.


Categoría dedetalles de delito Descripción

5 orígenes deregistro principales

Muestra los orígenes de registro que aportan más sucesos al delito.

El motor de reglas personalizadas (CRE) crea un suceso y lo añade aldelito cuando los criterios de prueba especificados en la reglapersonalizada coinciden con el suceso entrante. Un origen de registroque visualiza Motor de reglas personalizadas en el campoDescripción indica que QRadar ha creado los sucesos a partir de eseorigen de registro.

Sucesos totales muestra la suma de todos los sucesos recibidos deeste origen de registro mientras el delito estaba activo.

5 usuariosprincipales

Los sucesos deben incluir información de usuario para que QRadarllene esta tabla.

5 categoríasprincipales

Muestra las categorías de nivel inferior que contienen la mayoría delos sucesos que han contribuido al delito.

Recuento de destinos locales muestra el número de direcciones IP dedestino locales afectadas por delitos con sucesos en la categoría.Cuando todas las direcciones IP de destino son remotas, este campomuestra 0.

Últimos 10 sucesos Muestra información acerca de los últimos 10 sucesos que hancontribuido al delito.

Últimos 10 flujos Muestra información acerca de los últimos 10 flujos que hancontribuido al delito.

La columna Bytes totales muestra la suma de los bytes transferidosen ambas direcciones.

Anotaciones Las anotaciones proporcionan información sobre qué QRadarconsidera el suceso o el tráfico observado como amenazante.

QRadar puede añadir anotaciones cuando añade sucesos o flujos a undelito. La anotación más antigua muestra información que QRadar haañadido al crear el delito. Los usuarios no pueden añadir, editar osuprimir anotaciones.

6. Si ha instalado IBM Security QRadar Risk Manager, pulse Ver vía de ataquepara ver qué activos de la red se comunican para permitir que un delito viaje através de la red.

Investigación de sucesosUn suceso es un registro de un origen de registro, como un cortafuegos odispositivo de direccionador, que describe una acción en una red o un host. Lossucesos que están asociados con un delito proporcionan pruebas de que se estáproduciendo actividad sospechosa en la red. Examinando los datos de suceso,comprenderá la causa del delito y determinará la mejor manera de aislar y mitigarla amenaza.


Algunos sucesos se crean en función de un suceso en bruto entrante, mientras queotros los crea el Motor de reglas personalizadas (CRE) de QRadar. Los sucesoscreados por QRadar no tienen una carga útil porque no están basados en sucesosbrutos.


Procedimiento1. En la ventana Resumen de delito, pulse Sucesos.

La ventana Lista de sucesos muestra todos los sucesos que están asociados aldelito.

2. Especifique la Hora de inicio, la Hora de finalización y las opciones Ver paraver los sucesos que se han producido dentro de un marco de tiempo específico.

3. Pulse la cabecera de columna del suceso para ordenar la lista de sucesos.4. En la lista de sucesos, pulse el nombre de suceso con el botón derecho del

ratón para aplicar opciones de filtro rápido a fin de reducir el número desucesos a revisar.También puede aplicar filtros rápidos a otras columnas de la lista de sucesos.

5. Efectúe una doble pulsación sobre un suceso para ver los detalles del mismo.Las ventanas Información de suceso e Información de origen y destino sólomuestran la información que se conoce sobre el suceso. En función del tipo desuceso, algunos campos pueden estar vacíos.

Más información sobre los campos de hora de Información de suceso:

Campo Descripción

Hora de inicio La hora a la que QRadar ha recibido el suceso en bruto delorigen de registro.

Hora dealmacenamiento

La hora a la que QRadar ha almacenado el suceso normalizado.

Hora de origen deregistro

La hora registrada en el suceso en bruto desde el origen deregistro.

6. En el recuadro Información de carga útil, revise el suceso en bruto paraobtener información que QRadar no ha normalizado.La información que no se ha normalizado no aparece en la interfaz de QRadar,pero puede ser útil para la investigación.


Para obtener más información sobre cómo utilizar QRadar para revisar los datos desuceso, consulte “Supervisión de actividad de registro” en la página 59 yCapítulo 9, “Búsquedas”, en la página 139.

Investigación de flujosIBM Security QRadar correlaciona los flujos con un delito cuando identificaactividad sospechosa en las comunicaciones de red. El análisis de flujo proporcionavisibilidad en la capa 7, o la capa de aplicación, para aplicaciones comonavegadores web, NFS, SNMP, Telnet y FTP. Un flujo puede incluir informacióncomo, por ejemplo, direcciones IP, puertos, aplicaciones, estadísticas de tráfico ycarga útil de paquete del tráfico sin cifrar.

De forma predeterminada, QRadar intenta extraer campos normalizados ypropiedades de flujo personalizadas de los primeros 64 bytes de datos de flujo,pero los administradores pueden aumentar el tamaño de la captura de contenidopara recopilar más datos. Para obtener más información, consulte el manual Guíade administración de IBM Security QRadar.


Procedimiento1. En la ventana Resumen de delito, pulse Flujos en el menú superior derecho.

La ventana Lista de flujos muestra todos los flujos que están asociados aldelito.

2. Especifique la Hora de inicio, la Hora de finalización, y las opciones Ver paraver los flujos que se han producido dentro de un marco de tiempo específico.

3. Pulse la cabecera de columna del flujo para ordenar la lista de flujos.4. En la lista de flujos, pulse el nombre de flujo con el botón derecho del ratón

para aplicar opciones de filtro rápido a fin de reducir el número de flujos arevisar.También puede aplicar filtros rápidos a otras columnas de la lista de flujos.

5. Efectúe una doble pulsación sobre un flujo para revisar los detalles del mismo.

Más información acerca de los detalles de flujo:

Campo Descripción

Descripción del suceso Cuando la aplicación no está específicamente identificada en lacarga útil, QRadar utiliza la decodificación incorporada paradeterminar la aplicación y muestra Aplicación detectada condecodificación basada en estado en Descripción del suceso.

Carga útil de origen yCarga útil de destino

Muestra el tamaño de la carga útil.

Cuando el tamaño supera los 64 bytes, la carga útil puedecontener información adicional que no se muestra en la interfazde QRadar.

Reglas personalizadascoinciden parcialmente

Muestra las reglas para las que no se ha cumplido el valor deumbral, pero por lo demás son coincidentes.

Dirección del flujo Especifica la dirección del flujo, donde L indica red local y Rindica red remota.


Para obtener más información sobre cómo utilizar QRadar para revisar los datos deflujo, consulte Capítulo 6, “Investigación de la actividad de red”, en la página 81 y“Búsquedas de sucesos y flujos” en la página 139.

Acciones de delitosIBM Security QRadar proporciona la posibilidad de actuar sobre los delitosconforme se investigan. Para ayudarle a rastrear delitos sobre los que se haactuado, QRadar añade un icono a la columna Distintivo cuando se asigna undelito a un usuario, protege u oculta un delito, añade notas o marca el delito parasu seguimiento.

Para realizar la misma acción sobre varios delitos, pulse y mantenga pulsada latecla Control mientras selecciona cada delito sobre el que desea actuar. Para verdetalles de delito en una página nueva, pulse la tecla Control mientras hace unadoble pulsación sobre un delito.

Añadir notasAñadir notas a un delito para rastrear la información que se recopila durante unainvestigación. Las notas pueden incluir un máximo de 2000 caracteres.


Procedimiento1. Pulse la pestaña Delitos.2. Seleccione el delito al que desea añadir la nota. Para añadir la misma nota a

varios delitos, pulse la tecla Control mientras selecciona cada delito.3. En la lista Acciones, seleccione Añadir nota.4. Escriba la nota que desee incluir para el delito.5. Pulse Añadir nota.

Resultados

La nota aparecerá en el panel Últimas 5 notas de la ventanaResumen de delitos. Semostrará un icono de Notas en la columna Distintivo de la lista de delitos.

Pase el puntero del ratón sobre el indicador de notas de la columna Distintivo dela lista Delitos para ver la nota.

Ocultar delitosOcultar un delito para impedir que se visualice en la lista de delitos. Después deocultar un delito, éste ya no se visualiza en la pestaña Delitos de ninguna lista,incluyendo la lista Todos los delitos. Sin embargo, si realiza una búsqueda queincluye delitos ocultos, el delito se visualiza en los resultados de la búsqueda.

Procedimiento1. Pulse la pestaña Delitos.2. Seleccione el delito que desee ocultar. Para ocultar varios delitos, mantenga

pulsada la tecla Control mientras selecciona cada delito.3. En el cuadro de lista Acciones, seleccione Ocultar.4. Pulse Aceptar.

Mostrar delitos ocultosDe forma predeterminada, la lista de delitos de la pestaña Delitos se filtra paraexcluir delitos ocultos. Para ver delitos ocultos, borre el filtro de la pestaña Delitoso realice una búsqueda que incluya delitos ocultos. Cuando incluya delitos ocultosen la lista de delitos, los delitos muestran la columna Oculto en la columnaDistintivo.

Procedimiento1. Pulse la pestaña Delitos.2. Para borrar el filtro en la lista de delitos, pulse Borrar filtro junto al parámetro

de búsqueda Excluir delitos ocultos.3. Para crear una búsqueda nueva que incluya delitos ocultos, siga estos pasos:

a. En el cuadro de lista Buscar, seleccione Búsqueda nueva.b. En la ventana Parámetros de búsqueda, quite la marca del recuadro de

selección Delitos ocultos en la lista de opciones Excluir.c. Pulse Buscar.

4. Para eliminar el distintivo oculto de un delito, siga estos pasos:a. Seleccione el delito para el que desea eliminar el distintivo oculto. Para

seleccionar varios delitos, mantenga pulsada la tecla Control mientras pulsacada delito.

b. En el cuadro de lista Acciones, seleccione Mostrar.


El distintivo oculto se elimina y el delito aparece en la lista de delitos sin tenerque borrar el filtro Excluir delitos ocultos.

Cerrar delitosCierre un delito para eliminarlo completamente del sistema.


El periodo de retención de delitos predeterminado es de 30 días. Una vezcaducado el periodo de retención de delitos, los delitos cerrados se suprimen delsistema. Puede proteger un delito para impedir que se suprima cuando caduque elperiodo de retención.

Ya no se visualizan delitos cerrados en la pestaña Delitos de ninguna lista,incluyendo la lista Todos los delitos. Si incluye delitos cerrados en una búsqueday el delito sigue estando dentro del periodo de retención, el delito se visualiza enlos resultados de la búsqueda. Si se producen más sucesos para un delito que estácerrado, se crea un nuevo delito.

Cuando cierra un delito, debe seleccionar una razón para hacerlo. Si tiene elpermiso Gestionar cierres de delitos, puede añadir razones de cierrepersonalizadas. Para obtener más información sobre los permisos de rol de usuario,consulte la publicación Guía de administración de IBM Security QRadar.

Procedimiento1. Pulse la pestaña Delitos.2. Seleccione el delito que desee cerrar. Para cerrar varios delitos, mantenga

pulsada la tecla Control mientras selecciona cada delito.3. En la lista Acciones, seleccione Cerrar.4. En la lista Razón del cierre, especifique una razón de cierre.

Para añadir una razón de cierre, pulse el icono junto a Razón del cierre paraabrir el cuadro de diálogo Razones de cierre de delito personalizado.

5. Opcional: En el campo Notas, escriba una nota para proporcionar másinformación.El campo Notas muestra la nota que se entró para el cierre de delito anterior.Las notas pueden tener un máximo de 2.000 caracteres.

6. Pulse Aceptar.

Resultados

Después de cerrar los delitos, los recuentos que se muestran en la ventana Porcategoría de la pestaña Delitos pueden tardar varios minutos en reflejar los delitoscerrados.

Exportar delitosExporte delitos cuando desee reutilizar los datos o cuando desee almacenar losdatos externamente. Por ejemplo, puede utilizar los datos de delitos para crearinformes en una aplicación de terceros. Puede también exportar delitos comoestrategia secundaria de retención a largo plazo. El servicio de soporte al clientepuede solicitarle que exporte delitos con fines de resolución de problemas.

Puede exportar delitos en formato XML (Extensible Markup Language) o CSV(comma-separated values). El archivo XML o CSV resultante incluye los


parámetros especificados en el panel Definición de columna de los parámetros debúsqueda. El periodo de tiempo necesario para exportar los datos depende delnúmero de parámetros especificados.

Procedimiento1. Pulse la pestaña Delitos.2. Seleccione los delitos que desee exportar. Para seleccionar varios delitos,

mantenga pulsada la tecla Control mientras selecciona cada delito.3. Elija una de las siguientes opciones:v Para exportar delitos en formato XML, seleccione Acciones > Exportar a

XML.v Para exportar delitos en formato CSV, seleccione Acciones > Exportar a CSV.

4. Elija una de las siguientes opciones:v Para abrir el archivo para verlo de inmediato, seleccione Abrir con y

seleccione una aplicación de la lista.v Para guardar el archivo, seleccione Guardar archivo.

5. Pulse Aceptar.El archivo <fecha>-data_export.xml.zip, se guarda en la carpeta de descargapredeterminada del sistema.

Asignar delitos a usuariosDe forma predeterminada, ningún delito nuevo está asignado. Puede asignar undelito a un usuario de IBM Security QRadar a efectos de investigación.


Cuando un asigna un delito a un usuario, el delito se muestra en la página Misdelitos de ese usuario. Puede tener el permiso Asignar delitos a usuarios paraasignar delitos a los usuarios. Para obtener más información sobre los permisos derol de usuario, consulte la publicación Guía de administración de IBM SecurityQRadar.

Puede asignar delitos a usuarios desde las páginas Delitos o Resumen de delitos.Este procedimiento proporciona instrucciones sobre cómo asignar delitos desde lapestaña Delitos.

Procedimiento1. Pulse la pestaña Delitos.2. Seleccione el delito que desee asignar. Para asignar varios delitos, mantenga

pulsada la tecla Control mientras selecciona cada delito.3. En la lista Acciones, seleccione Asignar.4. En la lista Asignar a usuario, seleccione el usuario que desee asignar al delito.

Nota: La lista Asignar a usuario muestra sólo los usuarios que tienenprivilegios para ver la pestaña Delitos. Los valores del perfil de seguridad deusuario también se siguen.

5. Pulse Guardar.

Resultados

El delito se asignará al usuario seleccionado. Se mostrará el icono de Usuario en lacolumna Distintivo de la pestaña Delitos para indicar que el delito está asignado.


El usuario designado podrá ver el delito en la página Mis delitos.

Enviar notificaciones de correo electrónicoComparta la información de resumen de delito con otra persona enviando uncorreo electrónico.

El cuerpo del mensaje de correo electrónico incluye la información siguiente, si estádisponible:v Dirección IP origenv Nombre de usuario de origen, nombre de host o nombre de activov Número total de orígenesv Cinco primeros orígenes por magnitudv Redes de origenv Dirección IP destinov Nombre de usuario de destino, nombre de host o nombre de activov Número total de destinosv Cinco primeros destinos por magnitudv Redes de destinov Número total de sucesosv Delito o suceso que ha provocado la activación de la regla de delito o sucesov Descripción completa de la regla de delito o sucesov ID de delitov Cinco primeras categoríasv Hora de inicio del delito u hora en que se creó el sucesov Cinco primeras anotacionesv Enlace a la interfaz de usuario del delitov Reglas de CRE que intervienen

Procedimiento1. Pulse la pestaña Delitos.2. Seleccione el delito para el cual desee enviar una notificación de correo

electrónico.3. En el cuadro de lista Acciones, seleccione Enviar por correo electrónico.4. Configure los parámetros siguientes:



Para Escriba la dirección de correo electrónico delusuario al que desee informar cuando seproduce un cambio en el delito seleccionado.Utilice una coma para separar lasdirecciones de correo electrónico.

De Escriba la dirección de correo electrónico deorigen. La dirección predeterminada [email protected].

Asunto de correo electrónico Escriba el asunto para el correo electrónico.El valor predeterminado es ID de delito.



Mensaje de correo electrónico Escriba el mensaje estándar que deseaacompañar al correo electrónico denotificación.

5. Pulse Enviar.

Marcado de un delito para su seguimientoMarque un delito para su seguimiento cuando desee señalarlo para su posteriorinvestigación.

Procedimiento1. Pulse la pestaña Delitos.2. Busque el delito que desea marcar para su seguimiento.3. Efectúe una doble pulsación en el delito.4. En la lista Acciones, seleccione Seguimiento.

Resultados

El delito muestra ahora el icono de seguimiento en la columna Distintivo. Paraordenar la lista de delitos de modo que muestre los delitos señalados en la partesuperior, pulse la cabecera de columna Distintivos.



Capítulo 5. Investigación de la actividad de registro

Puede supervisar e investigar sucesos en tiempo real o realizar búsquedasavanzadas.

Utilizando la pestaña Actividad de registro, puede supervisar e investigar laactividad de registro (sucesos) en tiempo real o realizar búsquedas avanzadas.

Visión general de la pestaña Actividad de registroUn suceso es un registro de un origen de registro, como un cortafuegos odispositivo de direccionador, que describe una acción en una red o un host.

La pestaña Actividad de registro especifica qué sucesos se asocian con delitos.

Debe tener permiso para ver la pestaña Actividad de registro.

Barra de herramientas de pestaña Actividad de registroPuede acceder a varias opciones desde la barra de herramientas Actividad deregistro

Mediante la barra de herramientas, puede acceder a las siguientes opciones:

Tabla 12. Opciones de barra de herramientas Actividad de registro


Buscar Pulse Buscar para realizar búsquedasavanzadas en sucesos. Las opcionesincluyen:

v Nueva búsqueda: Seleccione esta opciónpara crear una nueva búsqueda desucesos.

v Editar búsqueda: Seleccione esta opciónpara seleccionar y editar una búsqueda desucesos.

v Gestionar resultados de búsqueda:Seleccione esta opción para ver ygestionar los resultados de búsqueda.

Búsquedas rápidas En este cuadro de lista, puede guardarbúsquedas guardadas anteriormente. Lasopciones se muestran en el recuadro delistaBúsquedas rápidas sólo cuando haguardado los criterios de búsqueda queespecifican la opción Incluir en Búsquedasrápidas.

Añadir filtro Pulse Añadir filtro para añadir un filtro alos resultados de búsqueda actuales.

Guardar criterios Pulse Guardar criterios para guardar loscriterios de búsqueda actuales.


Tabla 12. Opciones de barra de herramientas Actividad de registro (continuación)


Guardar resultados Pulse Guardar criterios para guardar losresultados de búsqueda actuales. Esta opciónsólo se visualiza después de que se hayacompletado una búsqueda. Esta opción estáinhabilitada en modalidad continua.

Cancelar Pulse Cancelar para cancelar una búsquedaen curso. Esta opción está inhabilitada enmodalidad continua.

Falso positivo Pulse Falso positivo para abrir la ventanaAjuste de falsos positivos, que le permitiráimpedir que los sucesos que se conoce queson falsos positivos creen delitos.

Esta opción está inhabilitada en modalidadcontinua. Para obtener más informaciónsobre el ajuste de falsos positivos, consulteAjuste de falsos positivos.




Reglas La opción Reglas sólo es visible si tienepermiso para ver reglas.

Pulse Reglas para configurar reglas desuceso personalizadas. Las opcionesincluyen:

v Reglas: Seleccione esta opción para ver ocrear una regla. Si solo tiene permiso paraver reglas, se visualiza la página deresumen del asistente de reglas. Si tienepermiso para mantener reglaspersonalizadas, se visualiza el asistente dereglas y puede editar la regla. Parahabilitar las opciones de regla dedetección de anomalías (Añadir regla deumbral, Añadir regla conductual y Añadirregla de anomalía), debe guardar loscriterios de búsqueda agregados porquelos criterios de búsqueda guardadosespecifican los parámetros necesarios.Nota: Las opciones de regla de detecciónde anomalías sólo están visibles si tiene elpermiso Actividad de registro >Mantener reglas personalizadas .

v Añadir regla de umbral: Seleccione estaopción para crear una regla de umbral.Una regla de umbral prueba en el tráficode sucesos la actividad que supera unumbral configurado. Los umbrales puedenbasarse en los datos que QRadar recopila.Por ejemplo, si crea una regla de umbralque indica que no pueden iniciar la sesiónen el servidor más de 220 clientes entrelas 08:00 y las 17:00, las reglas generanuna alerta cuando el cliente número 221intenta iniciar la sesión.

Cuando se selecciona la opción Añadirregla de umbral, el asistente de reglas sevisualiza, lleno con las opcionesadecuadas para crear una regla deumbral.

Capítulo 5. Investigación de la actividad de registro 55



Reglas (continuación) v Añadir regla conductual: Seleccione estaopción para crear una regla conductual.Una regla conductual prueba en el tráficode sucesos la actividad anormal como, porejemplo, la existencia de tráfico nuevo odesconocido, que es tráfico que cesa derepente o un cambio de porcentaje en lacantidad de tiempo que un objeto estáactivo. Por ejemplo, puede crear una reglaconductual para comparar el promedio devolumen de tráfico durante los últimos 5minutos con el promedio de volumen detráfico durante la última hora. Si elcambio es superior al 40%, la regla generauna respuesta.

Cuando se selecciona la opción Añadirregla conductual, el asistente de reglas sevisualiza, llenado previamente con lasopciones adecuadas para crear una reglaconductual.

v Añadir regla de anomalía: Seleccione estaopción para crear una regla de anomalía.Una regla de anomalía prueba en eltráfico de sucesos la actividad anormalcomo, por ejemplo, la existencia de tráficonuevo o desconocido, que es tráfico quecesa de repente o un cambio de porcentajeen la cantidad de tiempo que un objetoestá activo. Por ejemplo, si un área de lared que nunca se comunica con Asiaempieza a comunicarse con hosts de esepaís, una regla de anomalía genera unaalerta.

Cuando se selecciona la opción Añadirregla de anomalía, el asistente de reglasse visualiza, llenado previamente con lasopciones adecuadas para crear una reglade anomalía.




Acciones Pulse Acciones para realizar las accionessiguientes:

v Mostrar todo: Seleccione esta opción paraeliminar todos los filtros en los criteriosde búsqueda y visualizar todos lossucesos no filtrados.

v Imprimir: Seleccione esta opción paraimprimir los sucesos que se visualizan enla página.

v Exportar a XML > Columnas visibles:Seleccione esta opción para exportar sólolas columnas que son visibles en lapestaña Actividad de registro. Esta es laopción recomendada. Vea Exportación desucesos.

v Exportar a XML > Exportación completa(Todas las columnas): Seleccione estaopción para exportar todos los parámetrosde sucesos. Una exportación completapuede tardar un periodo prolongado detiempo en completarse. Vea Exportaciónde sucesos.

v Exportar a CSV >Columnas visibles:Seleccione esta opción para exportar sololas columnas que están visibles en lapestaña Actividad de registro. Esta es laopción recomendada. Vea Exportación desucesos.

v Exportar a CSV > Exportación completa(Todas las columnas): Seleccione estaopción para exportar todos los parámetrosde sucesos. Una exportación completapuede tardar un periodo prolongado detiempo en completarse. Vea Exportaciónde sucesos.

v Suprimir: Seleccione esta opción parasuprimir un resultado de búsqueda.Consulte Gestión de resultados debúsqueda de sucesos y flujos.

v Notificar: Seleccione esta opción paraespecificar que desea que se le envíe unanotificación por correo electrónico cuandoterminen las búsquedas seleccionadas.Esta opción solo está habilitada para lasbúsquedas en curso.

Nota: Las opciones Imprimir, Exportar aXML y Exportar a CSV están inhabilitadasen modalidad continua y cuando se venresultados de búsqueda parciales.




Barra de herramientas BuscarBúsqueda avanzada

Seleccione Búsqueda avanzada enel recuadro de lista para entrar unaserie de búsqueda AQL (ArielQuery Language) para especificarlos campos que desea que sedevuelvan.

Filtro rápidoSeleccione Filtro rápido en elrecuadro de lista para buscar cargasútiles utilizando palabras o frasessimples.

Ver La vista predeterminada de la pestañaActividad de registro es una corriente desucesos en tiempo real. La lista Ver contieneopciones para ver también sucesos deperiodos de tiempo específicos. Después deelegir un periodo de tiempo especificado dela lista Ver puede modificar el periodo detiempo visualizado cambiando los valores defecha y hora en los campos Hora de inicio yHora de finalización.

Opciones del menú que aparece al pulsar el botón derechodel ratón

En la pestaña Actividad de registro, puede pulsar el botón derecho del ratón enun suceso para acceder a más información de filtro de sucesos.

Las opciones del menú que aparece al pulsar el botón derecho del ratón son lassiguientes:

Tabla 13. Opciones del menú que aparece al pulsar el botón derecho del ratón


Filtro en Seleccione esta opción para filtrar en elsuceso seleccionado, en función delparámetro seleccionado del suceso.

Falso positivo Seleccione esta opción para abrir la ventanaFalso positivo, que le permitirá impedir quelos sucesos que se conoce que son falsospositivos creen delitos. Esta opción estáinhabilitada en modalidad continua.Consulte Ajustes de falsos positivos.

Más opciones: Seleccione esta opción para investigar unadirección IP o un nombre de usuario. Paraobtener más información sobre lainvestigación una dirección IP, consulteInvestigación de direcciones IP. Para obtenermás información sobre la investigación deun nombre de usuario, consulteInvestigación de nombres de usuario.Nota: Esta opción no se visualiza enmodalidad continua.


Tabla 13. Opciones del menú que aparece al pulsar el botón derecho delratón (continuación)


Filtro rápido Filtrar elementos que coinciden o nocoinciden con la selección.

Barra de estadoAl transmitir sucesos, la barra de estado visualiza el número promedio deresultados que se reciben por segundo.

Este es el número de resultados que la consola ha recibido satisfactoriamente delos procesadores de sucesos. Si este número supera los 40 resultados por segundo,sólo se visualizarán 40 resultados. El resto se acumula en el almacenamientointermedio de resultados. Para ver más información de estado, mueva el punterodel ratón sobre la barra de estado.

Cuando no se transmiten sucesos, la barra de estado muestra el número deresultados de búsqueda que se visualizan actualmente en la pestaña y la cantidadde tiempo que se necesita para procesar los resultados de búsqueda.

Supervisión de actividad de registroDe forma predeterminada, la pestaña Actividad de registro visualiza sucesos enmodalidad continua, lo que le permite ver los sucesos en tiempo real.

Para obtener más información sobre la modalidad continua, consulte Visualizaciónde sucesos de modalidad continua. Puede especificar un rango de tiempo distintopara filtrar sucesos mediante el recuadro de lista Ver.

Si anteriormente ha configurado criterios de búsqueda guardados como el valorpredeterminado, los resultados de dicha búsqueda se visualizan automáticamentecuando se accede a la pestaña Actividad de registro. Para obtener más informaciónacerca de cómo guardar criterios de búsqueda, consulte Guardar criterios debúsqueda de sucesos y flujos.

Visualización de sucesos en modalidad continuaLa modalidad continua le permitirá ver los datos de sucesos que entran en elsistema. Esta modalidad le proporciona una vista en tiempo real de la actividadactual de sucesos visualizando los últimos 50 sucesos.


Si se aplican filtros en la pestaña Actividad de registro o en los criterios debúsqueda antes de habilitar la modalidad continua, los filtros se mantienen enmodalidad continua. Sin embargo, la modalidad continua no soporta búsquedasque incluyan sucesos agrupados. Si habilita la modalidad continua en sucesosagrupados o criterios de búsqueda agrupados, la pestaña Actividad de registrovisualiza los sucesos normalizados. Consulte Visualización de sucesosnormalizados.

Cuando desea seleccionar un suceso para ver detalles o realizar una acción, debeponer en pausa la modalidad continua antes de efectuar una doble pulsación en un


suceso. Cuando la modalidad continua está en pausa, se visualizan los últimos1.000 sucesos.

Procedimiento1. Pulse la pestaña Actividad de registro.2. En el recuadro de lista Ver, seleccione Tiempo real (modalidad continua). Para

obtener información sobre las opciones de la barra de herramientas, consulte laTabla 4-1. Para obtener más información sobre los parámetros que se visualizanen modalidad continua, consulte la Tabla 4-7.

3. Opcional. Poner en pausa o reproducir los sucesos en modalidad continua. Elijauna de las siguientes opciones:v Para seleccionar un registro de sucesos, pulse el icono de Pausa para poner

en pausa la modalidad continua.v Para reiniciar la modalidad continua, pulse el icono de Reproducir.

Visualización de sucesos normalizadosLos sucesos se recopilan en formato en bruto y, a continuación, se normalizan paravisualizarse en la pestaña Actividad de registro.


La normalización implica analizar los datos de sucesos en bruto y preparar losdatos para visualizar información legible sobre la pestaña. Cuando los sucesos senormalizan, el sistema también normaliza los nombres. Por lo tanto, el nombre quese muestra en la pestaña Actividad de registro puede no coincidir con el nombreque se visualiza en el suceso.

Nota: Si ha seleccionado que se visualice un intervalo de tiempo, se visualiza ungráfico de serie temporal. Para obtener más información sobre la utilización degráficos de serie temporal, consulte Visión general de gráfico de serie temporal.

La pestaña Actividad de registro muestra los parámetros siguientes cuando sevisualizan sucesos normalizados:

Tabla 14. Parámetros de pestaña Actividad de registro - Valor predeterminado (normalizado)


Filtros actuales En la parte superior de la tabla se muestranlos detalles de los filtros que se aplican a losresultados de búsqueda. Para borrar estosvalores de filtro, pulse Borrar filtro.Nota: Este parámetro sólo se muestradespués de aplicar un filtro.

Ver En este recuadro de lista, puede seleccionarel rango de tiempo por el que desea filtrar.


Tabla 14. Parámetros de pestaña Actividad de registro - Valor predeterminado(normalizado) (continuación)


Estadísticas actuales Cuando no se está en modalidad de tiemporeal (modalidad continua) o de últimominuto (renovación automática), sevisualizan las estadísticas actuales, queincluyen:Nota: Pulse la flecha situada junto aEstadísticas actuales para visualizar uocultar las estadísticas

v Resultados totales: Especifica el númerototal de resultados que coincidían con loscriterios de búsqueda.

v Archivos de datos buscados: Especifica elnúmero total de archivos de datosbuscados durante el intervalo de tiempoespecificado.

v Archivos de datos comprimidosbuscados: Especifica el número total dearchivos de datos comprimidos buscadosdentro del intervalo de tiempoespecificado.

v Recuento de archivos de índices:Especifica el número total de archivos deíndice buscados durante el intervalo detiempo especificado.

v Duración: Especifica la duración de labúsqueda.Nota: Las estadísticas actuales son útilespara la resolución de problemas. Cuandose ponga en contacto con el soporte alcliente para solucionar los problemas desucesos, es posible que se le solicite queproporcione información estadística actual.

Gráficos Muestra gráficos configurables querepresentan los registros que se comparancon la opción de intervalo de tiempo yagrupación. Pulse Ocultar gráficos si deseaeliminar los gráficos de la pantalla. Losgráficos sólo se visualizan después deseleccionar un intervalo de tiempo deÚltimo intervalo (renovación automática) osuperior y una opción de agrupación avisualizar. Para obtener más informaciónsobre cómo configurar gráficos, consulteGestión de gráficos.Nota: Si utiliza Mozilla Firefox comonavegador y se instala una extensión denavegador de bloqueador de anuncios, losgráficos no se visualizan. Para visualizargráficos, debe eliminar la extensión denavegador de bloqueador de anuncios. Paraobtener más información, consulte ladocumentación de navegador.




Icono de delitos Pulse este icono para ver detalles del delitoque está asociado con este suceso. Paraobtener más información, consulte Gestiónde gráficos.Nota: Dependiendo del producto, es posibleque este icono no esté disponible. Debe tenerIBM Security QRadar SIEM.

Hora de inicio Especifica la hora del primer suceso, talcomo lo ha indicado el origen de registro aQRadar.

Nombre de suceso Especifica el nombre normalizado delsuceso.

Origen de registro Especifica el origen de registro que haoriginado el suceso. Si hay varios orígenesde registro que están asociados con estesuceso, este campo especifica el términoMúltiple y el número de orígenes deregistro.

Recuento de sucesos Especifica el número total de sucesos queestán empaquetados en este sucesonormalizado. Los sucesos se empaquetancuando se detectan muchos sucesos delmismo tipo para la misma dirección IP deorigen y dirección en un breve periodo detiempo.

Hora Especifica la fecha y hora en que QRadar harecibido el suceso.

Categoría de nivel bajo Especifica la categoría de bajo nivel que estáasociada con este suceso.

Para obtener más información sobrecategorías de suceso, consulte la publicaciónGuía de administración de IBM SecurityQRadar.

IP de origen Especifica la dirección IP de origen delsuceso.

Puerto de origen Especifica el puerto de origen del suceso.

IP de destino Especifica la dirección IP de destino delsuceso.

Puerto de destino Especifica el puerto de destino del suceso.

Nombre de usuario Especifica el nombre de usuario que estáasociado con este suceso. Normalmente losnombres de usuario están disponibles ensucesos relacionados con la autenticación.Para todos los demás tipos de sucesos dondeel nombre de usuario no está disponible,este campo especifica N/A.




Magnitud Especifica la magnitud de este suceso. Lasvariables incluyen credibilidad, pertinencia ygravedad. Apunte el ratón sobre la barra demagnitud para visualizar los valores y lamagnitud calculada.

Procedimiento1. Pulse la pestaña Actividad de registro.2. En el recuadro de lista Visualizar, seleccione Valor predeterminado

(normalizado).3. En el recuadro de lista Ver, seleccione el intervalo de tiempo que desea

visualizar.4. Pulse el icono Pausa para poner en pausa la modalidad continua.5. Efectúe una doble pulsación en el suceso que desea con más detalle. Para

obtener más información, consulte Detalles de suceso.

Visualización de sucesos en brutoPuede ver los datos de sucesos en bruto, que son los datos de sucesos sin analizardesde el origen de registro.


Al ver datos de sucesos en bruto, la pestaña Actividad de registro proporciona losparámetros siguientes para cada suceso.

Tabla 15. Parámetros de sucesos en bruto


Filtros actuales En la parte superior de la tabla se muestranlos detalles de los filtros que se aplican a losresultados de búsqueda. Para borrar estosvalores de filtro, pulse Borrar filtro.Nota: Este parámetro sólo se visualizadespués de aplicar un filtro.

Ver En este recuadro de lista, puede seleccionarel rango de tiempo por el que desea filtrar.


Tabla 15. Parámetros de sucesos en bruto (continuación)


Estadísticas actuales Cuando no se está en modalidad de tiemporeal (modalidad continua) o de últimominuto (renovación automática), sevisualizan las estadísticas actuales, queincluyen:Nota: Pulse la flecha situada junto aEstadísticas actuales para visualizar uocultar las estadísticas





v Duración: Especifica la duración de labúsqueda.Nota: Las estadísticas actuales son útilespara la resolución de problemas. Cuandose ponga en contacto con el soporte alcliente para solucionar los problemas desucesos, es posible que se le solicite queproporcione información estadística actual.

Gráficos Muestra gráficos configurables querepresentan los registros que se comparancon la opción de intervalo de tiempo yagrupación. Pulse Ocultar gráficos si deseaeliminar los gráficos de la pantalla. Losgráficos sólo se visualizan después deseleccionar un intervalo de tiempo deÚltimo intervalo (renovación automática) osuperior y una opción de agrupación avisualizar.Nota: Si utiliza Mozilla Firefox comonavegador y se instala una extensión denavegador de bloqueador de anuncios, losgráficos no se visualizan. Para visualizargráficos, debe eliminar la extensión denavegador de bloqueador de anuncios. Paraobtener más información, consulte ladocumentación de navegador.

Icono de delitos Pulse este icono para ver detalles del delitoque está asociado con este suceso.

Hora de inicio Especifica la hora del primer suceso, talcomo lo ha indicado el origen de registro aQRadar.


Tabla 15. Parámetros de sucesos en bruto (continuación)


Origen de registro Especifica el origen de registro que haoriginado el suceso. Si hay varios orígenesde registro que están asociados con estesuceso, este campo especifica el términoMúltiple y el número de orígenes deregistro.

Carga útil Especifica la información de carga útil desuceso original en formato UTF-8.

Procedimiento1. Pulse la pestaña Actividad de registro.2. En el recuadro de lista Visualizar, seleccione Sucesos en bruto.3. En el recuadro de lista Ver, seleccione el intervalo de tiempo que desea

visualizar.4. Efectúe una doble pulsación en el suceso que desea con más detalle. Consulte

Detalles del suceso.

Visualización de sucesos agrupadosUtilizando la pestaña Actividad de registro, puede ver sucesos que estánagrupados por diversas opciones. En el recuadro de lista Visualizar, puedeseleccionar el parámetro por el que desea agrupar los sucesos.


El recuadro de lista Visualizar no aparece en modalidad continua porque lamodalidad continua no soporta los sucesos agrupados. Si ha entrado en modalidadcontinua utilizando criterios de búsqueda no agrupados, se visualiza esta opción.

El recuadro de lista Visualizar proporciona las opciones siguientes:

Tabla 16. Opciones de sucesos agrupados

Opción de grupo Descripción

Categoría de nivel bajo Muestra una lista resumida de sucesos queestán agrupados por la categoría de bajonivel del suceso.

Para obtener más información sobre lascategorías, consulte la publicación Guía deadministración de IBM Security QRadar.

Nombre de suceso Muestra una lista resumida de sucesos queestán agrupados por el nombre normalizadodel suceso.

IP de destino Muestra una lista resumida de sucesos queestán agrupados por la dirección IP dedestino del suceso.

Puerto de destino Muestra una lista resumida de sucesos queestán agrupados por la dirección de puertode destino del suceso.


Tabla 16. Opciones de sucesos agrupados (continuación)

Opción de grupo Descripción

IP de origen Muestra una lista resumida de sucesos queestán agrupados por la dirección IP deorigen del suceso.

Regla personalizada Muestra una lista resumida de sucesos queestán agrupados por la regla personalizadaasociada.

Nombre de usuario Muestra una lista resumida de sucesos queestán agrupados por el nombre de usuarioque está asociado con los sucesos.

Origen de registro Muestra una lista resumida de sucesos queestán agrupados por los orígenes de registroque han enviado el suceso a QRadar.

Categoría de nivel superior Muestra una lista resumida de sucesos queestán agrupados por la categoría de nivelalto del suceso.

Red Muestra una lista resumida de sucesos queestán agrupados por la red que está asociadacon el suceso.

Puerto de origen Muestra una lista resumida de sucesos queestán agrupados por la dirección de puertode origen del suceso.

Después de seleccionar una opción en el cuadro de lista Visualizar, la disposiciónde las columnas de datos depende de la opción de agrupación elegida. Cada filade la tabla de sucesos representa un grupo de sucesos. La pestaña Actividad deregistro proporciona la siguiente información para cada grupo de sucesos

Tabla 17. Parámetros de sucesos agrupados


Agrupando por Especifica el parámetro para el que seagrupa la búsqueda.

Filtros actuales En la parte superior de la tabla se muestranlos detalles del filtro que se aplica a losresultados de búsqueda. Para borrar estosvalores de filtro, pulse Borrar filtro.

Ver En el cuadro de lista, seleccione el rango detiempo para el que desee aplicar el filtro.


Tabla 17. Parámetros de sucesos agrupados (continuación)


Estadísticas actuales Cuando no se está en modalidad de tiemporeal (modalidad continua) o de últimominuto (renovación automática), sevisualizan las estadísticas actuales, queincluyen:Nota: Pulse la flecha situada junto aEstadísticas actuales para mostrar u ocultarlas estadísticas.





v Duración: Especifica la duración de labúsqueda.Nota: Las estadísticas actuales son útilespara la resolución de problemas. Cuandose ponga en contacto con el soporte alcliente para resolver problemas de lossucesos, es posible que se le solicite queproporcione información estadística actual.




Gráficos Muestra gráficos configurables querepresentan los registros que se comparancon la opción de intervalo de tiempo yagrupación. Pulse Ocultar gráficos si deseaeliminar el gráfico de la pantalla.

Cada gráfico proporciona una leyenda, quees una referencia visual para ayudarle aasociar los objetos de gráfico con losparámetros que representan. Mediante lacaracterística de leyenda, puede realizar lasacciones siguientes:

v Mueva el puntero del ratón sobre unelemento de leyenda para ver másinformación sobre los parámetros querepresenta.

v Pulse el botón derecho del ratón en elelemento de leyenda para investigar elelemento adicionalmente.

v Pulse en un elemento de leyenda paraocultar el elemento en el gráfico. Pulse elelemento de leyenda de nuevo paramostrar el elemento oculto. Tambiénpuede pulsar el elemento de gráficocorrespondiente para ocultar y mostrar elelemento.

v Pulse Leyenda si desea eliminar laleyenda de la pantalla gráfica.Nota: Los gráficos sólo se visualizandespués de seleccionar un intervalo detiempo de Último intervalo (renovaciónautomática) o superior y una opción deagrupación a visualizar.Nota: Si utiliza Mozilla Firefox comonavegador y se instala una extensión denavegador de bloqueador de anuncios, losgráficos no se visualizan. Para visualizargráficos, debe eliminar la extensión denavegador de bloqueador de anuncios.Para obtener más información, consulte ladocumentación de navegador.

IP de origen (Recuento exclusivo) Especifica la dirección IP de origen que estáasociada con este suceso. Si hay variasdirecciones IP que están asociados con estesuceso, este campo especifica el términoMúltiple y el número de direcciones IP.

IP de destino (Recuento exclusivo) Especifica la dirección IP de destino que estáasociada con este suceso. Si hay variasdirecciones IP que están asociados con estesuceso, este campo especifica el términoMúltiple y el número de direcciones IP.




Puerto de destino (Recuento exclusivo) Especifica los puertos de destino que estánasociados con este suceso. Si hay variospuertos que están asociados con este suceso,este campo especifica el término Múltiple yel número de puertos.


Origen de registro (Recuento exclusivo) Especifica los orígenes de registro que hanenviado el suceso a QRadar. Si hay variosorígenes de registro que están asociados coneste suceso, este campo especifica el términoMúltiple y el número de orígenes deregistro.

Categoría de nivel alto (Recuento exclusivo) Especifica la categoría de alto nivel de estesuceso. Si hay varias categorías que estánasociadas con este suceso, este campoespecifica el término Múltiple y el númerode categorías.

Para obtener más información sobre lascategorías, consulte la publicación IBMQRadar Log Manager Administration Guide.

Categoría de nivel bajo (Recuento exclusivo) Especifica la categoría de bajo nivel de estesuceso. Si hay varias categorías que estánasociadas con este suceso, este campoespecifica el término Múltiple y el númerode categorías.

Protocolo (Recuento exclusivo) Especifica el ID de protocolo asociado coneste suceso. Si hay varios protocolos queestán asociados con este suceso, este campoespecifica el término Múltiple y el númerode ID de protocolo.

Nombre de usuario (Recuento exclusivo) Especifica el nombre de usuario que estáasociado con este suceso, si está disponible.Si hay varios nombres de usuario que estánasociados con este suceso, este campoespecifica el término Múltiple y el númerode nombres de usuario.

Magnitud (máxima) Especifica la magnitud máxima calculadapara sucesos agrupados. Las variables que seutilizan para calcular la magnitud incluyenla credibilidad, la pertinencia y la gravedad.Para obtener más información sobrecredibilidad, relevancia y gravedad, consulteel Glosario (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Recuento de sucesos (Suma) Especifica el número total de sucesos queestán empaquetados en este sucesonormalizado. Los sucesos se empaquetancuando se ven muchos sucesos del mismotipo para la misma dirección IP de origen ydestino en un corto periodo de tiempo.


http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html



Recuento Especifica el número total de sucesosnormalizados en este grupo de sucesos.

Procedimiento1. Pulse la pestaña Actividad de registro.2. En el recuadro de lista Ver, seleccione el intervalo de tiempo que desea

visualizar.3. En el recuadro de lista Visualizar, elija el parámetro por el que desea agrupar

los sucesos. Consulte la Tabla 2. Se listan los grupos de sucesos. Para obtenermás información sobre los detalles de grupo de sucesos, consulte la Tabla 1.

4. Para ver la página Lista de sucesos para un grupo, efectúe una doble pulsaciónen el grupo de sucesos que desea investigar. La página Lista de sucesos noconserva las configuraciones de gráfico que pueda haber definido en la pestañaActividad de registro. Para obtener más información sobre los parámetros depágina Lista de sucesos, consulte la Tabla 1.

5. Para ver los detalles de un suceso, efectúe una doble pulsación en el suceso quedesea investigar. Para obtener más información sobre los detalles de suceso,consulte la Tabla 2.

Visualización de detalles de sucesoPuede ver una lista de sucesos en varias modalidades, incluida la modalidadcontinua o en grupos de sucesos. Sea cual sea la modalidad que elija para versucesos, puede localizar y ver los detalles de un único suceso.

La página de detalles de suceso proporciona la siguiente información:

Tabla 18. Detalles de suceso



Categoría de nivel bajo Especifica la categoría de bajo nivel de estesuceso.

Para obtener más información sobre lascategorías, consulte la publicación Guía deadministración de IBM Security QRadar.

Descripción del suceso Especifica una descripción del suceso, si estádisponible.

Magnitud Especifica la magnitud de este suceso. Paraobtener más información sobre magnitud,consulte el Glosario (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Importancia Especifica la pertinencia de este suceso. Paraobtener más información sobre relevancia,consulte el Glosario (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).




Tabla 18. Detalles de suceso (continuación)


Gravedad Especifica la gravedad de este suceso. Paraobtener más información sobre gravedad,consulte el Glosario (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Credibilidad Especifica la credibilidad de este suceso.Para obtener más información sobrecredibilidad, consulte el Glosario(http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Nombre de usuario Especifica el nombre de usuario que estáasociado con este suceso, si está disponible.

Hora de inicio Especifica la hora en que se ha recibido elsuceso del origen de registro.

Hora de almacenamiento Especifica el tiempo que el suceso ha estadoalmacenado en la base de datos de QRadar.

Hora de origen de registro Especifica la hora de sistema indicada por elorigen de registro en la carga útil de suceso.

Información de detección de anomalía: Este panel solo se visualiza si este suceso lo hagenerado una regla de detección de anomalías. Pulse el icono Anomalía para ver losresultados de búsqueda guardados que han hecho que la regla de detección de anomalíasgenerara este suceso.

Descripción de la regla Especifica la regla de detección de anomalíasque ha generado este suceso.

Descripción de anomalía Especifica una descripción delcomportamiento anómalo que ha sidodetectada por la regla de detección deanomalías.

Valor de alerta de anomalía Especifica el valor de alerta de anomalía.

Información de origen y destino

IP de origen Especifica la dirección IP de origen delsuceso.

IP de destino Especifica la dirección IP de destino delsuceso.

Nombre de activo de origen Especifica el nombre de activo definido porel usuario del origen de suceso. Para obtenermás información sobre activos, consulteGestión de activos.

Nombre de activo de destino Especifica el nombre de activo definido porel usuario del destino de suceso. Paraobtener más información sobre activos,consulte Gestión de activos

Puerto de origen Especifica el puerto de origen de este suceso.

Puerto de destino Especifica el puerto de destino de estesuceso.






IP de origen NAT previo Para un cortafuegos u otro dispositivo concapacidad para NAT (Network AddressTranslation - Conversión de direcciones dered), este parámetro especifica la direcciónIP de origen antes de que se aplicaran losvalores de NAT. NAT convierte unadirección IP de una red en una dirección IPdiferente de otra red.

IP de destino NAT previo Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica la dirección IP de destino antes deque se aplicaran los valores de NAT.

Puerto de origen NAT previo Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica el puerto de origen antes de quese aplicaran los valores de NAT.

Puerto de destino NAT previo Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica el puerto de destino antes de quese aplicaran los valores de NAT.

IP de origen NAT posterior Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica la dirección IP de origen despuésde que se aplicaran los valores de NAT.

IP de destino NAT posterior Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica la dirección IP de destino despuésde que se aplicaran los valores de NAT.

Puerto de origen NAT posterior Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica el puerto de origen después deque se aplicaran los valores de NAT.

Puerto de destino NAT posterior Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica el puerto de destino después deque se aplicaran los valores de NAT.

Puerto de origen NAT posterior Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica el puerto de origen después deque se aplicaran los valores de NAT.

Puerto de destino NAT posterior Para un cortafuegos u otro dispositivo concapacidad para NAT, este parámetroespecifica el puerto de destino después deque se aplicaran los valores de NAT.

Origen IPv6 Especifica la dirección IPv6 de origen delsuceso.

Destino IPv6 Especifica la dirección IPv6 de destino delsuceso.

MAC de origen Especifica la dirección MAC de origen delsuceso.

MAC de destino Especifica la dirección MAC de destino delsuceso.




Información de carga útil

Carga útil Especifica el contenido de carga útil delsuceso. Este campo ofrece 3 pestañas paraver la carga útil:

v Universal Transformation Format (UTF):Pulse UTF.

v Hexadecimal: Pulse HEX.

v Base64: Pulse Base64.

Información adicional

Protocolo Especifica el protocolo que está asociado coneste suceso.

QID Especifica el QID para este suceso. Cadasuceso tiene un QID exclusivo. Para obtenermás información sobre la correlación de unQID, consulte Modificación de correlaciónde sucesos.

Origen de registro Especifica el origen de registro que haenviado el suceso a QRadar. Si hay variosorígenes de registro que están asociados coneste suceso, este campo especifica el términoMúltiple y el número de orígenes deregistro.

Recuento de sucesos Especifica el número total de sucesos queestán empaquetados en este sucesonormalizado. Los sucesos se empaquetancuando se ven muchos sucesos del mismotipo para la misma dirección IP de origen ydestino en un corto periodo de tiempo.

Reglas personalizadas Especifica las reglas personalizadas quecoinciden con este suceso. .

Reglas personalizadas coincidenparcialmente

Especifica reglas personalizadas quecoinciden parcialmente con este suceso.

Anotaciones Especifica el anotación para este suceso. Lasanotaciones son descripciones de texto quelas reglas pueden añadir automáticamente alos sucesos como parte de la respuesta deregla.

Información de identidad: QRadar recopila información de identidad, si está disponible,de los mensajes de origen de registro. La información de identidad proporciona detallesadicionales acerca de los activos en la red. Los orígenes de registro sólo generaninformación de identidad si el mensaje de registro enviado a QRadar contiene unadirección IP y al menos uno de los elementos siguientes: Nombre de usuario o DirecciónMAC. No todos los orígenes de registro generan información de identidad.

Nombre de usuario de identidad Especifica el nombre de usuario del activoque está asociado con este suceso.

IP de identidad Especifica la dirección IP del activo que estáasociado con este suceso.

Nombre de NetBios de identidad Especifica el nombre del Sistema básico deentrada/salida de red (NetBios) del activoque está asociado con este suceso.




Campo ampliado de identidad Especifica más información sobre el activoque está asociado con este suceso. Elcontenido de este campo es texto definidopor el usuario y depende de los dispositivosde la red que están disponibles paraproporcionar información de identidad. Losejemplos incluyen: ubicación física dedispositivos, políticas pertinentes,conmutador de red y nombres de puerto.

Tiene identidad (distintivo) Especifica Verdadero si QRadar harecopilado información de identificaciónpara el activo que está asociado con estesuceso.

Para obtener más información sobre quédispositivos envían información deidentidad, consulte la publicación IBMQRadar DSM Configuration Guide.

Nombre de host de identidad Especifica el nombre de host del activo queestá asociado con este suceso.

MAC de identidad Especifica la dirección MAC del activo queestá asociado con este suceso.

Nombre de grupo de identidad Especifica el nombre de grupo del activoque está asociado con este suceso.

Barra de herramientas de detalles de sucesoLa barra de herramientas de detalles de sucesos proporciona varias funciones paraver detalles de sucesos.

La barra de herramientas de detalles de suceso proporciona las siguientesfunciones:

Tabla 19. Barra de herramientas de detalles de suceso

Volver a lista de sucesos Pulse Volver a Lista de sucesos para volvera la lista de sucesos.

Delito Pulse Delito para visualizar los delitos queestán asociadas con el suceso.

Anomalía Pulse Anomalía para visualizar losresultados de búsqueda guardados que hanhecho que la regla de detección deanomalías generara este suceso.Nota: Este icono sólo se visualiza si estesuceso ha sido generado por una regla dedetección de anomalías.

Correlación de sucesos Pulse Correlación de suceso para editar lacorrelación de sucesos. Para obtener másinformación, consulte Modificación decorrelación de sucesos.

Falso positivo Pulse Falso positivo para ajustar QRadar afin de evitar que los sucesos positivos falsosgeneren delitos.


Tabla 19. Barra de herramientas de detalles de suceso (continuación)

Extraer propiedad Pulse Extraer propiedad para crear unapropiedad de suceso personalizada a partirdel suceso seleccionado.

Anterior Pulse Anterior para ver el suceso anterior enla lista de sucesos.

Siguiente Pulse Siguiente para ver el siguiente sucesoen la lista de sucesos.

Datos de PCAP Nota: Esta opción sólo se visualiza si laconsola de QRadar se ha configurado paraintegrarse con el DSM de Juniper JunOSPlatform. Para obtener más informaciónsobre cómo gestionar datos de PCAP,consulte Gestión de datos de PCAP.

v Ver información de PCAP: Seleccione estaopción para ver la información de PCAP.Para obtener más información, consulteVisualización de información de PCAP.

v Descargar archivo de PCAP: Seleccioneesta opción para descargar el archivo dePCAP en el sistema de escritorio. Paraobtener más información, consulteDescarga del archivo de PCAP en elsistema.

Imprimir Pulse Imprimir para imprimir los detallesde suceso.

Visualización de delitos asociadosEn la pestaña Actividad de registro, puede ver el delito que está asociado con elsuceso.


Si un suceso coincide con una regla, se puede generar un delito en la pestañaDelitos.

Para obtener más información sobre reglas, consulte el manual Guía deadministración de IBM Security QRadar.

Cuando vea un delito en la pestaña Actividad de registro, es posible que el delitono se visualice si el magistrado aún no se ha guardado en disco el delito que estáasociado con el suceso seleccionado o si el delito se ha depurado de la base dedatos. Si esto ocurre, el sistema se lo notificará.

Procedimiento1. Pulse la pestaña Actividad de registro.2. Opcional. Si está viendo sucesos en modalidad continua, pulse el icono de

Pausa para detener la modalidad continua.3. Pulse el icono Delito junto al suceso que desea investigar.4. Vea el delito asociado.


Modificación de la correlación de sucesosPuede correlacionar manualmente un suceso normalizado o en bruto con unacategoría de alto nivel y de bajo nivel (o QID).

Antes de empezar

Esta acción manual se utiliza para correlacionar sucesos de origen de registrodesconocidos con sucesos de QRadar conocidos para que se puedan categorizar yprocesar adecuadamente.


A efectos de normalización, QRadar correlaciona automáticamente sucesos deorígenes de registro con categorías de alto y bajo nivel.

Para obtener más información sobre categorías de suceso, consulte la publicaciónGuía de administración de IBM Security QRadar.

Si los sucesos se reciben de orígenes de registro que el sistema no puedecategorizar, los sucesos se categorizan como desconocidos. Dichos sucesos seproducen por distintos motivos, incluyendo:v Sucesos definidos por el usuario: Algunos orígenes de registro, como Snort, le

permiten crear sucesos definidos por el usuario.v Sucesos nuevos o antiguos: Los orígenes de registro de proveedor pueden

actualizar el software con releases de mantenimiento para soportar sucesosnuevos que es posible que QRadar no soporte.

Nota: El icono Correlacionar suceso está inhabilitado para los sucesos cuando lacategoría de alto nivel es Auditoría SIM o el tipo de origen de registro es Protocolode acceso a objetos simple (SOAP).


Pausa para detener la modalidad continua.3. Efectúe una doble pulsación en el suceso que desea correlacionar.4. Pulse Correlación de suceso.5. Si conoce el QID que desea correlacionar con este suceso, escriba el QID en el

campo Especifique los QID.6. Si no conoce el QID que desea correlacionar con este suceso, puede buscar un

QID específico:a. Elija una de las opciones siguientes: Para buscar un QID por categoría,

seleccione la categoría de alto nivel en el recuadro de listaCategoría de alto nivel. Para buscar un QID por categoría, seleccionela categoría de bajo nivel en el recuadro de lista Categoría de bajonivel. Para buscar un QID por tipo de origen de registro, seleccioneun tipo de origen de registro en el recuadro de lista Tipo de origende registro. Para buscar un QID por nombre, escriba un nombre en elcampo QID/Nombre.

b. Pulse Buscar.c. Seleccione QID con el que desea asociar este suceso.

7. Pulse Aceptar.


Ajustar falsos positivosPuede utilizar la función Ajuste de falsos positivos para impedir que sucesos defalso positivo generen delitos.

Antes de empezar

Puede ajustar sucesos de falso positivo en la página lista de sucesos o detalles desuceso.


Puede ajustar sucesos de falso positivo en la página lista de sucesos o detalles desuceso.

Debe tener permisos adecuados para crear reglas personalizadas para ajustar falsospositivos.

Para obtener más información sobre roles, consulte el manual Guía de administraciónde IBM Security QRadar.

Para obtener más información sobre falsos positivos, consulte el Glosario(http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).


Pausa para detener la modalidad continua.3. Seleccione el suceso que desee ajustar.4. Pulse Falso positivo.5. En el panel Propiedad de suceso/flujo de la ventana Falso positivo, seleccione

una de las opciones siguientes:v Suceso/flujo(s) con un QID específico de <Suceso>v Cualquier suceso/flujo(s) con una categoría de bajo nivel de <Suceso>v Cualquier suceso/flujo(s) con una categoría de alto nivel de <Suceso>

6. En el panel Dirección de tráfico, seleccione una de las opciones siguientes:v <Dirección IP de origen> a <Dirección IP de destino>v <Dirección IP de origen> a cualquier destinov Cualquier origen a <Dirección IP de destino>v Cualquier origen a cualquier destino

7. Pulse Ajustar.

Datos de PCAPSi la consola de QRadar se ha configurado para integrarse con el DSM JuniperJunOS Platform, Packet Capture (PCAP) se puede recibir, procesar y los datos sepueden almacenar de un origen de registro Juniper SRX-Series Services Gateway.

Para obtener más información sobre el DSM Juniper JunOS Platform, consulte lapublicación IBM QRadar DSM Configuration Guide.



Visualización de la columna de datos de PCAPLa columna Datos de PCAP no se visualiza en la pestaña Actividad de registro deforma predeterminada. Al crear criterios de búsqueda, debe seleccionar la columnaDatos de PCAP en el panel Definición de columna.

Antes de empezar

Para poder visualizar los datos de PCAP en la pestaña Actividad de registro, sedebe configurar el origen de registro de Juniper SRX-Series Services Gateway conel protocolo de combinación PCAP Syslog. Para obtener más información sobrecómo configurar protocolos de origen de registro, consulte la publicación ManagingLog Sources Guide.


Cuando se realiza una búsqueda que incluye la columna Datos de PCAP, sevisualiza un icono en la columna Datos de PCAP de los resultados de búsqueda sihay datos de PCAP disponibles para un suceso. Utilizando el icono de PCAP,puede ver los datos de PCAP o descargar el archivo PCAP en el sistema.

Procedimiento1. Pulse la pestaña Actividad de registro.2. En el recuadro de lista Buscar, seleccione Nueva búsqueda.3. Opcional. Para buscar sucesos que tienen datos de PCAP, configure los criterios

de búsqueda siguientes:a. En el primer recuadro de lista, seleccione Datos de PCAP.b. En el segundo recuadro de lista, seleccione Igual que.c. En el tercer recuadro de lista, seleccione Verdadero.d. Pulse Añadir filtro.

4. Configure las definiciones de columna para incluir la columna Datos de PCAP:a. En la lista Columnas disponibles del panel Definición de columna, pulse

Datos de PCAP.b. Pulse el icono Añadir columna en el conjunto inferior de iconos para mover

la columna Datos de PCAP a la lista Columnas.c. Opcional. Pulse el icono Añadir columna en el conjunto superior de iconos

para mover la columna Datos de PCAP a la lista Agrupar por.5. Pulse Filtro.6. Opcional. Si está viendo sucesos en modalidad continua, pulse el icono de

Pausa para detener la modalidad continua.7. Efectúe una doble pulsación en el suceso que desee investigar.


Para obtener más información sobre cómo ver y descargar datos de PCAP, consultelas secciones siguientes:v Visualización de la información de PCAPv Descarga del archivo de PCAP en el sistema


Visualización de la información de PCAPEn el menú de barra de herramientas Datos de PCAP, puede ver una versiónlegible de los datos en el archivo de PCAP o descargar el archivo de PCAP en elsistema.

Antes de empezar

Para poder ver información de PCAP, debe realizar o seleccionar una búsquedaque visualice la columna Datos de PCAP.


Antes de poder visualizar los datos de PCAP, se debe recuperar el archivo dePCAP para visualizarlo en la interfaz de usuario. Si el proceso de descarga tardaun período de tiempo prolongado, se visualiza la ventana Downloading PCAPPacket information. En la mayoría de los casos, el proceso de descarga es rápido yesta ventana no se visualiza.

Una vez recuperado el archivo, una ventana emergente proporciona una versiónlegible del archivo de PCAP. Puede leer la información que se visualiza en laventana o descargar la información en el sistema

Procedimiento1. Para el suceso que desea investigar, elija una de las opciones siguientes:v Seleccione el suceso y pulse el icono PCAP.v Pulse el botón derecho del ratón en el icono PCAP para el suceso y

seleccione Más opciones > Ver información de PCAP.v Efectúe una doble pulsación en el suceso que desea investigar y, a

continuación, seleccione Datos de PCAP > Ver información de PCAP en labarra de herramientas de detalles de suceso.

2. Si desea descargar la información en el sistema, seleccione una de las opcionessiguientes:v Pulse Descargar archivo de PCAP para descargar el archivo de PCAP

original que se debe utilizar en una aplicación externa.v Pulse Descargar texto de PCAP para descargar la información de PCAP en

formato .TXT3. Elija una de las siguientes opciones:v Si desea abrir el archivo para su visualización inmediata, seleccione la opción

Open with y seleccione una aplicación en el recuadro de lista.v Si desea guardar la lista, seleccione la opción Save File .

4. Pulse Aceptar.

Descarga del archivo de PCAP en el sistemaPuede descargar el archivo PCAP en el sistema para almacenarlo o para utilizar enotras aplicaciones.

Antes de empezar

Antes de poder ver la información de PCAP, debe realizar o seleccionar unabúsqueda que muestre la columna Datos de PCAP. consulte Visualización de lacolumna de datos de PCAP.


Procedimiento1. Para el suceso que desea investigar, elija una de las opciones siguientes:v Seleccione el suceso y pulse el icono PCAP.v Pulse el botón derecho del ratón en el icono de PCAP para el evento y

seleccione Más opciones > Descargar archivo de PCAP.v Efectúe una doble pulsación en el suceso que desea investigar, y, a

continuación, seleccione Datos de PCAP > Descargar archivo de PCAP en labarra de herramientas de detalles de suceso.

2. Elija una de las siguientes opciones:v Si desea abrir el archivo para su visualización inmediata, seleccione la opción

Open with y seleccione una aplicación en el recuadro de lista.v Si desea guardar la lista, seleccione la opción Save File .

3. Pulse Aceptar.

Exportación de sucesosPuede exportar sucesos en formato XML (Extensible Markup Language - Lenguajede marcas extensible) o CSV (Valores separados por comas).

Antes de empezar

El periodo de tiempo necesario para exportar los datos depende del número deparámetros especificados.


Pausa para detener la modalidad continua.3. En el cuadro de lista Acciones, seleccione una de las opciones siguientes:v Exportar a XML > Columnas visibles: seleccione esta opción para exportar

solo las columnas que están visibles en la pestaña Actividad de registro. Estaes la opción recomendada.

v Exportar a XML > Exportación completa (Todas las columnas): Seleccioneesta opción para exportar todos los parámetros de sucesos. Una exportacióncompleta puede tardar un periodo prolongado de tiempo en completarse.

v Exportar a CSV > Columnas visibles: Seleccione esta opción para exportarsólo las columnas que están visibles en la pestaña Actividad de registro. Estaes la opción recomendada.

v Exportar a CSV > Exportación completa (Todas las columnas): Seleccioneesta opción para exportar todos los parámetros de sucesos. Una exportacióncompleta puede tardar un periodo prolongado de tiempo en completarse.

4. Si desea reanudar las actividades mientras la exportación está en curso, pulseNotificar cuando termine.

Resultados

Cuando la exportación se haya completado, recibirá una notificación de que laexportación se ha completado. Si no ha seleccionado el icono Notificar cuandotermine, se visualiza la ventana de estado.


Capítulo 6. Investigación de la actividad de red

Puede utilizar la pestaña Actividad de red para supervisar e investigar la actividadde red (flujos) en tiempo real o realizar búsquedas avanzadas

Visión general de la pestaña Actividad de redPuede utilizar la pestaña Actividad de red para supervisar e investigar actividadde red (flujos) en tiempo real o realizar búsquedas avanzadas.

Debe tener permiso para ver la pestaña Actividad de red.

Para obtener más información sobre permisos y asignar roles, consulte el manualGuía de administración de IBM Security QRadar.

Seleccione la pestaña Actividad de red para supervisar e investigar visualmentedatos de flujo en tiempo real o realizar búsquedas avanzadas para filtrar los flujosmostrados. Un flujo es una sesión de comunicación entre dos hosts. Puede verinformación de flujo para determinar cómo se transmite el tráfico y qué se hatransmitido (si está habilitada la opción de captura de contenido). La informaciónde flujo también puede incluir detalles tales como protocolos, valores de ASN(Autonomous System Number) o valores de IFIndex (Interface Index).

Barra de herramientas de la pestaña Actividad de redPuede acceder a varias opciones desde la barra de herramientas de la pestañaActividad de red.

Puede acceder a las opciones siguientes desde la barra de herramientas de lapestaña Actividad de red:

Tabla 20. Opciones de la barra de herramientas de la pestaña Actividad de red

Opciones Descripción

Buscar Pulse Buscar para realizar búsquedas avanzadasde flujos. Las opciones de búsqueda incluyen:

v Búsqueda nueva: seleccione esta opción paracrear una búsqueda de flujos nueva.

v Editar búsqueda: seleccione esta opción paraseleccionar y editar una búsqueda de flujos.

v Gestionar resultados de búsqueda: seleccioneesta opción para ver y gestionar resultados debúsqueda.

Para obtener más información sobre la función debúsqueda, consulte Búsquedas de datos.

Búsquedas rápidas Desde este cuadro de lista, puede ejecutarbúsquedas guardadas anteriormente. Se muestranopciones en el cuadro de lista Búsquedas rápidassólo si ha guardado criterios de búsqueda queespecifican la opción Incluir en Búsquedasrápidas.

Añadir filtro Pulse Añadir filtro para añadir un filtro a losresultados de búsqueda actuales.


Tabla 20. Opciones de la barra de herramientas de la pestaña Actividad dered (continuación)


Guardar criterios Pulse Guardar criterios para guardar los criteriosde búsqueda actuales.

Guardar resultados Pulse Guardar resultados para guardar losresultados de búsqueda actuales. Esta opción sólose muestra después de realizar una búsqueda.Esta opción está inhabilitada en la modalidadcontinua.

Cancelar Pulse Cancelar para cancelar una búsqueda queestá en curso. Esta opción está inhabilitada en lamodalidad continua.

Falso positivo Pulse Falso positivo para abrir la ventana Ajustede falsos positivos, que le permite descartar losflujos que se sabe que son falsos positivos en lacreación de delitos. Para obtener más informaciónsobre falsos positivos, consulte el Glosario(http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Esta opción está inhabilitada en la modalidadcontinua. Consulte Exportar flujos.





ReglasLa opción Reglas sólo es visible si tiene permisopara ver reglas personalizadas.

Elija una de las siguientes opciones:

Reglas para ver o crear una regla. Si tienepermiso para ver reglas, se abre la página deresumen del asistente Reglas. Si tiene permisopara mantener reglas personalizadas, puede editarla regla.Nota: Las opciones para reglas de detección deanomalías son visibles solamente si tiene elpermiso Actividad de red > Mantener reglaspersonalizadas.

Para habilitar las opciones para reglas dedetección de anomalías, debe guardar criterios debúsqueda agregados. Los criterios de búsquedaguardados especifican los parámetros necesarios.Elija una de las siguientes opciones:

Añadir regla de umbral para crear una regla deumbral. Una regla de umbral comprueba si laactividad del tráfico de flujo sobrepasa un valorumbral configurado. Los umbrales pueden estarbasados en cualquier dato recogido. Por ejemplo,si crea una regla de umbral que indica que nomás de 220 clientes pueden iniciar una sesión enel servidor entre las 08:00 y las 17:00, la reglagenera una alerta cuando el cliente que hace elnúmero 221 intenta iniciar una sesión.

Añadir regla de comportamiento para crear unaregla de comportamiento. Una regla decomportamiento comprueba si hay cambios en elvolumen del tráfico de flujo que se producensegún patrones estacionales regulares. Porejemplo, si un servidor de correo normalmente secomunica con 100 hosts por segundo en la mitadde la noche y después súbitamente inicia lacomunicación con 1.000 hosts por segundo, unaregla de comportamiento genera una alerta.

Añadir regla de anomalía para crear una regla deanomalía. Una regla de anomalía comprueba sihay actividad anómala en el tráfico de flujo, talcomo tráfico nuevo o desconocido. Por ejemplo,puede crear una regla de anomalía para compararel volumen promedio de tráfico existente durantelos últimos 5 minutos con el volumen promediode tráfico existente durante la última hora. Si seproduce un cambio de más del 40%, la reglagenera un respuesta.

Para obtener más información, consulte el manualGuía de administración de IBM Security QRadar.

Capítulo 6. Investigación de la actividad de red 83




v Mostrado todos: seleccione esta opción paraeliminar todos los filtros en los criterios debúsqueda y visualizar todos los flujos sin filtrar.

v Imprimir: seleccione esta opción para imprimirlos flujos que aparecen en la página.

v Exportar a XML: seleccione esta opción paraexportar flujos en formato XML. ConsulteExportar flujos.

v Exportar a CSV: seleccione esta opción paraexportar flujos en formato CSV. ConsulteExportar flujos.

v Suprimir: seleccione esta opción para suprimirun resultado de búsqueda. Consulte Búsquedasde datos.

v Notificar: seleccione esta opción paraespecificar que desea recibir una notificaciónpor correo electrónico cuando finalicen lasbúsquedas seleccionadas. Esta opción sólo estáhabilitada para búsquedas en curso.Nota: Las opciones Imprimir, Exportar a XMLy Exportar a CSV están inhabilitadas en lamodalidad continua y cuando está viendoresultados de búsqueda parciales.

Barra de herramientas de búsquedaBúsqueda avanzada

Seleccione Búsqueda avanzada en elcuadro de lista y escriba una cadena debúsqueda de Ariel Query Language(AOL) para especificar los campos quedesee que se devuelvan.

Filtro rápidoSeleccione Filtro rápido en el cuadro delista para buscar cargas útiles mediantepalabras o frases simples.

Ver La vista predeterminada de la pestaña Actividadde red es una corriente de sucesos en tiempo real.La lista Ver contiene opciones para ver tambiénsucesos de periodos de tiempo específicos.Después de elegir un periodo de tiempoespecificado de la lista Ver puede modificar elperiodo de tiempo visualizado cambiando losvalores de fecha y hora en los campos Hora deinicio y Hora de finalización.

Opciones de menú que aparecen al pulsar el botón derechodel ratón

En la pestaña Actividad de red, puede pulsar con el botón derecho del ratón en unflujo para acceder a más criterios de filtro de flujos.


Las opciones de menú que aparecen al pulsar el botón derecho del ratón son lassiguientes:

Tabla 21. Opciones de menú que aparecen al pulsar el botón derecho del ratón


Filtrar por Seleccione esta opción para filtrar deacuerdo con el flujo seleccionado,dependiendo del parámetro seleccionado enel flujo.

Falso positivo Seleccione esta opción para abrir la ventanaAjuste de falsos positivos, que le permitedescartar los flujos que se sabe que sonfalsos positivos en la creación de delitos.Esta opción está inhabilitada en lamodalidad continua. Consulte Exportarflujos.

Más opciones: Seleccione esta opción para investigar unadirección IP. Consulte Investigar direccionesIP.Nota: Esta opción no se muestra en lamodalidad continua.

Filtro rápido Filtrar elementos que coinciden o nocoinciden con la selección.

Barra de estadoPara los flujos de modalidad continua, la barra de estado muestra el númeropromedio de resultados que se reciben por segundo.

Esto es el número de resultados que la consola ha recibido satisfactoriamenteprocedentes de los procesadores de sucesos. Si este número es mayor que 40resultados por segundo, sólo se visualizarán 40 resultados. El resto se acumula enel almacenamiento intermedio de resultados. Para ver más información de estado,coloque el puntero del ratón encima de la barra de estado.

Cuando los flujos no son de modalidad continua, la barra de estado muestra elnúmero de resultados de búsqueda que se muestran actualmente y la cantidad detiempo necesaria para procesar los resultados de la búsqueda.

Registros de desbordamientoSi tiene permisos administrativos, puede especificar el número máximo de flujosque desea enviar desde QRadar QFlow Collector a los procesadores de sucesos.

Si tiene permisos administrativos, puede especificar el número máximo de flujosque desea enviar desde QRadar QFlow Collector a los procesadores de sucesos.Todos los datos que se recogen después alcanzar el límite de flujos configurado seagrupan en un solo registro de flujo. Este registro de flujo se visualiza entonces enla pestaña Actividad de red con una dirección IP de origen de 127.0.0.4 y unadirección IP de destino de 127.0.0.5. Este registro de flujo especificaDesbordamiento en la pestaña Actividad de red.

Supervisión de la actividad de redDe forma predeterminada, la pestaña Actividad de red muestra flujos enmodalidad continua, lo que le permite ver flujos en tiempo real.


Para obtener más información sobre la modalidad continua, consulte Visualizarflujos en modalidad continua. Puede especificar un rango de tiempo diferente parafiltrar los flujos mediante el cuadro de lista Ver.

Si previamente ha configurado una búsqueda guardada predeterminada, losresultados de esa búsqueda se muestran automáticamente cuando abre la pestañaActividad de red. Para obtener más información sobre cómo guardar criterios debúsqueda, consulte Guardar criterios de búsqueda de sucesos y flujos.

Ver flujos continuosLa modalidad continua le permite ver datos de flujo a medida que entran en elsistema. Esta modalidad le proporciona una visión en tiempo real de la actividadde flujo actual al mostrar los últimos 50 flujos.


Si aplica filtros en la pestaña Actividad de red o en los criterios de búsqueda antesde habilitar la modalidad continua, los filtros se conservan en la modalidadcontinua. Pero la modalidad continua no permite realizar búsquedas que incluyenflujos agrupados. Si habilita la modalidad continua para flujos agrupados ocriterios de búsqueda agrupados, la pestaña Actividad de red muestra los flujosnormalizados. Consulte Ver flujos normalizados.

Cuando desea seleccionar un flujo para ver detalles o realizar una acción, debeponer en pausa la modalidad continua antes de seleccionar un suceso. Cuando lamodalidad continua está en pausa, se muestran los últimos 1.000 flujos.

Procedimiento1. Pulse la pestaña Actividad de red.2. En el cuadro de lista Ver, seleccione Tiempo real (modalidad continua).Para obtener más información sobre las opciones de la barra de herramientas,consulte la Tabla 5-1. Para obtener más información sobre los parámetros que sevisualizan en la modalidad continua, consulte la Tabla 5-3.3. Opcional. Ponga en pausa o inicie los flujos continuos. Elija una de las

siguientes opciones:v Para seleccionar un registro de suceso, pulse el icono Pausar para poner en

pausa la modalidad continua.v Para reiniciar la modalidad continua, pulse el icono Reproducir.

Ver flujos normalizadosEl flujo de datos se captura, normaliza y luego visualiza en la pestaña Actividadde red.


La normalización implica preparar datos de flujo para visualizar informaciónlegible en la pestaña.

Nota: Si selecciona un intervalo de tiempo para visualizar, se muestra un gráficode serie temporal. Para obtener más información sobre el uso de gráficos de serietemporal, consulte Visión general de los gráficos de serie temporal.

La pestaña Actividad de red muestra los parámetros siguientes cuando visualizaflujos normalizados:


Tabla 22. Parámetros de la pestaña Actividad de red


Filtros actuales La parte superior de la tabla muestra losdetalles de los filtros que se aplican a losresultados de la búsqueda. Para borrar estosvalores de filtro, pulse Borrar filtro.Nota: Este parámetro sólo se muestradespués de aplicar un filtro.


Estadísticas actuales Cuando no está en la modalidad de tiemporeal (modalidad continua) ni de Últimominuto (renovación automática), semuestran las estadísticas actuales, queincluyen:Nota: Pulse la flecha situada juntoEstadísticas actuales para mostrar u ocultarlas estadísticas.

v Resultados totales: especifica el númerototal de resultados que coinciden con loscriterios de búsqueda.

v Archivos de datos buscados: especifica elnúmero total de archivos de datos que sehan buscado durante el intervalo detiempo especificado.

v Archivos de datos comprimidosbuscados: especifica el número total dearchivos de datos comprimidos que sehan buscado dentro del intervalo detiempo especificado.

v Recuento de archivos de índices:especifica el número total de archivos deíndices que se han buscado durante elintervalo de tiempo especificado.

v Duración: especifica la duración de labúsqueda.

Nota: Las estadísticas actuales son útilespara la resolución de problemas. Cuando seponga en contacto con el servicio deatención al cliente para resolver problemasde flujos, se le puede solicitar queproporcione información estadística actual.


Tabla 22. Parámetros de la pestaña Actividad de red (continuación)


Gráficos Muestra gráficos configurables querepresentan los registros correspondientes alintervalo de tiempo y la opción deagrupación. Pulse Ocultar gráficos si nodesea que aparezcan los gráficos en lapantalla.

Los gráficos solo se muestran después deseleccionar un rango de tiempo de Últimointervalo (renovación automática) o superior,y una opción de agrupación para visualizar.Para obtener más información sobre laconfiguración de gráficos, consulteConfigurar gráficos.Nota: Si utiliza Mozilla Firefox comonavegador y está instalado un bloqueadorde anuncios, los gráficos no se visualizan.Para visualizar gráficos, debe desinstalar elbloqueador de anuncios. Para obtener másinformación, consulte la documentación delnavegador.

Icono Delito Pulse el icono Delitos para ver detalles deldelito que está asociado al flujo.

Tipo de flujo Especifica el tipo de flujo. Los tipos de flujose miden de acuerdo con la proporción entrela actividad de entrada y la actividad desalida. Los tipos de flujo son los siguientes:

v Estándar: tráfico bidireccional

v Tipo A: de uno a muchos (unidireccional),por ejemplo, un host que realiza unaexploración de red.

v Tipo B: de muchos a uno (unidireccional),por ejemplo, un ataque de denegación deservicio distribuido (DDoS).

v Tipo C: de uno a uno (unidireccional), porejemplo, una exploración de puertos dehost a host.

Hora de primer paquete Especifica la fecha y hora en que se recibióel flujo.

Hora de almacenamiento Especifica la hora en que se almacenó elflujo en la base de datos de QRadar.

IP de origen Especifica la dirección IP de origen del flujo.

Puerto de origen Especifica el puerto de origen del flujo.

IP de destino Especifica la dirección IP de destino delflujo.

Puerto de destino Especifica el puerto de destino del flujo.

Bytes de origen Especifica el número de bytes enviadosdesde el host de origen.

Bytes de destino Especifica el número de bytes enviadosdesde el host de destino.

Bytes totales Especifica el número total de bytes del flujo.




Paquetes de origen Especifica el número total de paquetes quese envían desde el host de origen.

Paquetes de destino Especifica el número total de paquetes quese envían desde el host de destino.

Paquetes totales Especifica el número total de paquetes queestán asociados al flujo.

Protocolo Especifica el protocolo que está asociado alflujo.

Aplicación Especifica la aplicación detectada del flujo.Para obtener más información sobre ladetección de aplicaciones, consulte elmanual IBM Security QRadar ApplicationConfiguration Guide.

Tipo/código de ICMP Especifica el tipo y código de ICMP (InternetControl Message Protocol), si es pertinente.

Si el flujo tiene un tipo y código de ICMP enun formato conocido, este campo sevisualiza como Tipo <A>. Código <B>,donde <A> y <B> son los valores numéricosdel tipo y del código.

Distintivos de origen Especifica los distintivos de TCP(Transmission Control Protocol) detectadosen el paquete de origen, si es pertinente.

Distintivos de destino Especifica los distintivos de TCP detectadosen el paquete de destino, si es pertinente.

Calidad de servicio de origen Especifica el nivel de calidad de servicio(QoS) del flujo. La calidad de serviciopermite a una red proporcionar diversosniveles de servicio para los flujos. La calidadde servicio proporciona los nivelessiguientes de servicio básico:

v Mejor esfuerzo: este nivel de servicio nogarantiza la entrega. La entrega del flujoestá considerada la mejor posible.

v Servicio diferenciado: se otorga prioridada determinados flujos con respecto a otros.Esta prioridad se otorga de acuerdo con laclasificación del tráfico.

v Servicio garantizado: este nivel deservicio garantiza la reserva de recursosde red para flujos determinados.

Calidad de servicio de destino Especifica el nivel de calidad de servicio delflujo de destino.

Origen de flujo Especifica sistema que detectó el flujo.

Interfaz de flujo Especifica la interfaz que recibió el flujo.

IFIndex de origen Especifica el número de índice de interfaz(IFIndex) del origen.

IFIndex de destino Especifica el número de índice de interfaz(IFIndex) del destino.




ASN de origen Especifica el valor de ASN (AutonomousSystem Number) del origen.

ASN de destino Especifica el valor de ASN del destino.

Procedimiento1. Pulse la pestaña Actividad de red.2. En el cuadro de lista Visualizar, seleccione Valor predeterminado

(normalizado).3. En el cuadro de lista Ver, seleccione el rango de tiempo que desee ver.4. Pulse el icono Pausar para detener la modalidad continua.5. Efectúe una doble pulsación en el flujo que desee ver con mayor detalle.

Consulte Detalles de flujo.

Ver flujos agrupadosEn la pestaña Actividad de red, puede ver flujos que están agrupados segúndiversas opciones. En el cuadro de lista Visualizar, puede seleccionar el parámetropara el que desee agrupar flujos.


El cuadro de lista Visualizar no aparece en la modalidad continua porque estamodalidad no da soporte a los flujos agrupados. Si ha entrado en la modalidadcontinua utilizando criterios de búsqueda no agrupados, esta opción se visualiza.

El cuadro de lista Visualizar proporciona las opciones siguientes:

Tabla 23. Opciones para flujos agrupados

Opción de agrupación Descripción

IP de origen o destino Muestra una lista resumida de flujos queestán agrupados por la dirección IP del flujo.

IP de origen Muestra una lista resumida de flujos queestán agrupados por la dirección IP deorigen del flujo.

IP de destino Muestra una lista resumida de flujos queestán agrupados por la dirección IP dedestino del flujo.

Puerto de origen Muestra una lista resumida de flujos queestán agrupados por el puerto de origen delflujo.

Puerto de destino Muestra una lista resumida de flujos queestán agrupados por el puerto de destino delflujo.

Red de origen Muestra una lista resumida de flujos queestán agrupados por la red de origen delflujo.

Red de destino Muestra una lista resumida de flujos queestán agrupados por la red de destino delflujo.


Tabla 23. Opciones para flujos agrupados (continuación)

Opción de agrupación Descripción

Aplicación Muestra una lista resumida de flujos queestán agrupados por la aplicación quegeneró el flujo.

Geográfico Muestra una lista resumida de flujos queestán agrupados por la ubicación geográfica.

Protocolo Muestra una lista resumida de flujos queestán agrupados por el protocolo del flujo.

Sesgo de flujo Muestra una lista resumida de flujos queestán agrupados por la dirección del flujo.

Tipo ICMP Muestra una lista resumida de flujos queestán agrupados por el tipo ICMP del flujo.

Después de seleccionar una opción en el cuadro de lista Visualizar, la disposiciónde las columnas de datos depende de la opción de agrupación elegida. Cada filade la tabla de flujos representa un grupo de flujos. La pestaña Actividad de redproporciona la información siguiente para cada grupo de flujos.

Tabla 24. Parámetros de flujos agrupados

Cabecera Descripción

Agrupación por Especifica el parámetro para el que seagrupa la búsqueda.

Filtros actuales En la parte superior de la tabla se muestranlos detalles del filtro que se aplica a losresultados de búsqueda. Para borrar estosvalores de filtro, pulse Borrar filtro.



Tabla 24. Parámetros de flujos agrupados (continuación)


Estadísticas actuales Cuando no está en la modalidad de tiemporeal (modalidad continua) ni de Últimominuto (renovación automática), semuestran las estadísticas actuales, queincluyen:Nota: Pulse la flecha situada junto aEstadísticas actuales para mostrar u ocultarlas estadísticas.

v Resultados totales: especifica el númerototal de resultados que coinciden con loscriterios de búsqueda.

v Archivos de datos buscados: especifica elnúmero total de archivos de datos que sehan buscado durante el intervalo detiempo especificado.

v Archivos de datos comprimidosbuscados: especifica el número total dearchivos de datos comprimidos que sehan buscado dentro del intervalo detiempo especificado.

v Recuento de archivos de índices:especifica el número total de archivos deíndices que se han buscado durante elintervalo de tiempo especificado.

v Duración: especifica la duración de labúsqueda.Nota: Las estadísticas actuales son útilespara la resolución de problemas. Cuandose ponga en contacto con el servicio deatención al cliente para resolver problemasde flujos, se le puede solicitar queproporcione información estadística actual.

Gráficos Muestra gráficos configurables querepresentan los registros que se asocian deacuerdo con el intervalo de tiempo y laopción de agrupación. Pulse Ocultargráficos si no desea que aparezcan losgráficos en la pantalla.

Los gráficos solo se muestran después deseleccionar un rango de tiempo de Últimointervalo (renovación automática) o superior,y una opción de agrupación para visualizar.Para obtener más información sobre laconfiguración de gráficos, consulteConfigurar gráficos.Nota: Si utiliza Mozilla Firefox comonavegador y está instalado un bloqueadorde anuncios, los gráficos no se visualizan.Para visualizar gráficos, debe desinstalar elbloqueador de anuncios. Para obtener másinformación, consulte la documentación delnavegador.

IP de origen (recuento exclusivo) Especifica la dirección IP de origen del flujo.


Tabla 24. Parámetros de flujos agrupados (continuación)


IP de destino (recuento exclusivo) Especifica la dirección IP de destino delflujo. Si hay varias direcciones IP de destinoasociadas al flujo, este campo especifica eltérmino Múltiple y el número de direccionesIP.

Puerto de origen (recuento exclusivo) Muestra el puerto de origen del flujo.

Puerto de destino (recuento exclusivo) Especifica el puerto de destino del flujo. Sihay varios puertos de destino que estánasociados al flujo, este campo contiene eltérmino Múltiple y el número de puertos.

Red de origen (recuento exclusivo) Especifica la red de origen del flujo. Si hayvarias redes de origen que están asociadas alflujo, este campo contiene el términoMúltiple y el número de redes.

Red de destino (recuento exclusivo) Especifica la red de destino del flujo. Si hayvarias redes de destino que están asociadasal flujo, este campo contiene el términoMúltiple y el número de redes.

Aplicación (recuento exclusivo) Especifica la aplicación detectada de losflujos. Si hay varias aplicaciones que estánasociadas al flujo, este campo contiene eltérmino Múltiple y el número deaplicaciones.

Bytes de origen (suma) Especifica el número de bytes procedentesdel origen.

Bytes de destino (suma) Especifica el número de bytes procedentesdel destino.

Bytes totales (suma) Especifica el número total de bytes del flujo.

Paquetes de origen (suma) Especifica el número de paquetesprocedentes del origen.



Paquetes de destino (suma) Especifica el número de paquetesprocedentes del destino.

Paquetes totales (suma) Especifica el número total de paquetes delflujo.

Recuento Especifica el número de flujos que se hanenviado o recibido.

Procedimiento1. Pulse la pestaña Actividad de red.2. En el cuadro de lista Ver, seleccione el rango de tiempo que desee ver.3. En el cuadro de lista Visualizar, seleccione el parámetro para el que desee

agrupar flujos. Consulte la Tabla 2. Los grupos de flujos aparecen listados. Paraobtener más información sobre los detalles de grupo de flujos, consulte la Tabla1.


4. Para ver la página Lista de flujos para un grupo, haga una doble pulsación enel grupo de flujos que desee investigar. La página Lista de flujos no conservalas configuraciones de gráficos que haya definido en la pestaña Actividad dered. Para obtener más información sobre los parámetros de la página Lista deflujos, consulte la Tabla 2.

5. Para ver los detalles de un flujo, haga una doble pulsación en el flujo que deseeinvestigar. Para obtener más información sobre la página Detalles de flujo,consulte la Tabla 1.

Detalles de flujoPuede ver una lista de flujos en modalidades diversas, incluida la modalidadcontinua o en grupos de flujos. En cualquier modalidad que elija para ver flujos,puede localizar y ver los detalles de un flujo individual.

La página Detalles de flujo proporciona la información siguiente:

Tabla 25. Detalles de flujo


Información de flujo

Protocolo Especifica el protocolo que está asociado alflujo.

Para obtener más información sobreprotocolos, consulte el manual IBM SecurityQRadar Application Configuration Guide.

Aplicación Especifica la aplicación detectada del flujo.Para obtener más información sobre ladetección de aplicaciones, consulte elmanual IBM Security QRadar ApplicationConfiguration Guide.

Magnitud Especifica la magnitud del flujo. Paraobtener más información sobre magnitud,consulte el Glosario (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Importancia Especifica la importancia del flujo. Paraobtener más información sobre relevancia,consulte el Glosario (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Gravedad Especifica la gravedad del flujo. Paraobtener más información sobre gravedad,consulte el Glosario (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Credibilidad Especifica la credibilidad del flujo. Paraobtener más información sobre credibilidad,consulte el Glosario (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).






Tabla 25. Detalles de flujo (continuación)


Hora de primer paquete Especifica la hora de inicio del flujo, talcomo ha sido notificada por el origen deflujo.

Para obtener más información sobre orígenesde flujo, consulte el manual Guía deadministración de IBM Security QRadar.

Hora de último paquete Especifica la hora de finalización del flujo,tal como ha sido notificada por el origen deflujo.

Hora de almacenamiento Especifica la hora en la que el flujo se haalmacenado en la base de datos de QRadar.

Nombre de suceso Especifica el nombre normalizado del flujo.

Categoría de nivel bajo Especifica la categoría de nivel bajo del flujo.

Para obtener más información sobrecategorías, consulte el manual Guía deadministración de IBM Security QRadar.

Descripción del suceso Especifica una descripción del flujo, si estádisponible.

Información sobre origen y destino

IP de origen Especifica la dirección IP de origen del flujo.

IP de destino Especifica la dirección IP de destino delflujo.

Nombre de activo de origen Especifica el nombre de activo de origen delflujo.

Nombre de activo de destino Especifica el nombre de activo de destinodel flujo.

Origen IPv6 Especifica la dirección IPv6 de origen delflujo.

Destino IPv6 Especifica la dirección IPv6 de destino delflujo.

Puerto de origen Especifica el puerto de origen del flujo.

Puerto de destino Especifica el puerto de destino del flujo.

Calidad de servicio de origen Especifica el nivel de calidad de servicio delflujo de origen.

Calidad de servicio de destino Especifica el nivel de calidad de servicio delflujo de destino.

ASN de origen Especifica el número ASN de origen.Nota: Si el flujo tiene registros duplicadosde varios orígenes de flujo, se listan loscorrespondientes números ASN de origen.

ASN de destino Especifica el número ASN de destino.Nota: Si el flujo tiene registros duplicadosde varios orígenes de flujo, se listan loscorrespondientes números ASN de destino.




IFIndex de origen Especifica el número IFIndex de origen.Nota: Si el flujo tiene registros duplicadosde varios orígenes de flujo, se listan loscorrespondientes números IFIndex deorigen.

IFIndex de destino Especifica el número IFIndex de destino.Nota: Si el flujo tiene registros duplicadosde varios orígenes de flujo, se listan loscorrespondientes números IFIndex deorigen.

Carga útil de origen Especifica el recuento de paquetes y debytes para la carga útil de origen.

Carga útil de destino Especifica el recuento de paquetes y debytes para la carga útil de destino.

Información sobre la carga útil

Carga útil de origen Especifica el contenido de la carga útil deorigen del flujo. Este campo ofrece 3formatos para ver la carga útil:

v Universal Transformation Format (UTF) -Pulse UTF.

v Hexadecimal - Pulse HEX.

v Base64 - Pulse Base64.Nota: Si el origen de flujo es Netflow v9o IPFIX, el campo Carga útil de origenpuede mostrar campos no analizadospertenecientes a esos orígenes. El formatodel campo no analizado es<nombre>=<valor>. Por ejemplo, MN_TTL=x

Carga útil de destino Especifica el contenido de la carga útil dedestino del flujo. Este campo ofrece 3formatos para ver la carga útil:

v Universal Transformation Format (UTF) -Pulse UTF.

v Hexadecimal - Pulse HEX.

v Base64 - Pulse Base64.

Información adicional

Tipo de flujo Especifica el tipo de flujo. Los tipos de flujose miden de acuerdo con la proporción entrela actividad de entrada y la actividad desalida. Los tipos de flujo son los siguientes:

v Estándar: tráfico bidireccional

v Tipo A: de uno a muchos (unidireccional)

v Tipo B: de muchos a uno (unidireccional)

v Tipo C: de uno a uno (unidireccional)




Dirección del flujo Especifica la dirección del flujo. La direccióndel flujo puede ser:

v L2L: tráfico interno desde una red local aotra red local.

v L2R: tráfico interno de una red local a unared remota.

v R2L: tráfico interno desde una red remotaa una red local.

v R2R: tráfico interno de una red remota aotra red remota.

Reglas personalizadas Especifica reglas personalizadas quecoinciden con el flujo.

Para obtener más información sobre reglas,consulte el manual Guía de administración deIBM Security QRadar.

Reglas personalizadas que coincidenparcialmente

Especifica reglas personalizadas quecoinciden parcialmente con el flujo.

Origen/interfaz de flujo Especifica el nombre de origen de flujo delsistema que detectó el flujo.Nota: Si el flujo tiene registros duplicadosde varios orígenes de flujo, se listan loscorrespondientes orígenes de flujo.

Anotaciones Especifica las anotaciones o notas del flujo.Las anotaciones son descripciones de textoque pueden ser añadidas automáticamentepor una regla como parte de la respuesta dela regla.

Barra de herramientas de detalles de flujoLa barra de herramientas de detalles de flujo proporciona diversas funciones.

La barra de herramientas de detalles de flujo proporciona las funciones siguientes

Tabla 26. Descripción de la barra de herramientas de detalles de flujo


Volver a resultados Pulse Volver a resultados para volver a lalista de flujos.

Extraer propiedad Pulse Extraer propiedad para crear unapropiedad de flujo personalizada del flujoseleccionado. Para obtener más información,consulte Propiedades de suceso y de flujopersonalizadas.

Falso positivo Pulse Falso positivo para abrir la ventanaAjuste de falsos positivos, que le permitedescartar los flujos que se sabe que sonfalsos positivos en la creación de delitos.Esta opción está inhabilitada en lamodalidad continua. Consulte Exportarflujos.


Tabla 26. Descripción de la barra de herramientas de detalles de flujo (continuación)


Anterior Pulse Anterior para ver el flujo anterior enla lista de flujos.

Siguiente Pulse Siguiente para ver el flujo siguienteen la lista de flujos.

Imprimir Pulse Imprimir para imprimir los detallesde flujo.

Delito Si la opción Delito está disponible, pulse enella para ver la página Resumen de delitos.

Ajustar falsos positivosPuede utilizar la función Ajuste de falsos positivos para impedir que flujos de falsopositivo generen delitos. Puede ajustar flujos de falso positivo en la página lista deflujos o detalles de flujo.


Nota: Puede ajustar flujos de falso positivo en la página de resumen o de detalles.

Debe tener permisos adecuados para crear reglas personalizadas para ajustar falsospositivos. Para obtener más información sobre falsos positivos, consulte el Glosario(http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/com.ibm.qradar.doc/r_qradar_siem_glossary.html).

Procedimiento1. Pulse la pestaña Actividad de red.2. Opcional. Si está viendo flujos en la modalidad continua, pulse el icono Pausar

para detener la modalidad continua.3. Seleccione el flujo que desee ajustar.4. Pulse Falso positivo.5. En el panel Propiedad de suceso/flujo de la ventana Falso positivo, seleccione

una de las opciones siguientes:v Suceso/flujo(s) con un QID específico de <Suceso>v Cualquier suceso/flujo(s) con una categoría de bajo nivel de <Suceso>v Cualquier suceso/flujo(s) con una categoría de alto nivel de <Suceso>

6. En el panel Dirección de tráfico, seleccione una de las opciones siguientes:v <Dirección IP de origen> a <Dirección IP de destino>v <Dirección IP de origen> a cualquier destinov Cualquier origen a <Dirección IP de destino>v Cualquier origen a cualquier destino

7. Pulse Ajustar.

Exportar flujosPuede exportar flujos en formato XML (Extensible Markup Language) o CSV(Comma Separated Values). El periodo de tiempo necesario para exportar los datosdepende del número de parámetros especificados.



Procedimiento1. Pulse la pestaña Actividad de red.2. Opcional. Si está viendo flujos en la modalidad continua, pulse el icono Pausar

para detener la modalidad continua.3. En el cuadro de lista Acciones, seleccione una de las opciones siguientes:v Exportar a XML > Columnas visibles: seleccione esta opción para exportar

sólo las columnas que son visibles en la pestaña Actividad de registro. Estoes la acción recomendada.

v Exportar a XML > Exportación completa (Todas las columnas): seleccioneesta opción para exportar todos los parámetros de flujo. Una exportacióncompleta puede tardar un periodo prolongado de tiempo en completarse.

v Exportar a CSV > Columnas visibles: seleccione esta opción para exportarsólo las columnas que son visibles en la pestaña Actividad de registro. Estoes la acción recomendada.

v Exportar a CSV > Exportación completa (Todas las columnas): seleccioneesta opción para exportar todos los parámetros de flujo. Una exportacióncompleta puede tardar un periodo prolongado de tiempo en completarse.

4. Si desea reanudar las actividades, pulse Notificar al terminar.

Resultados

Cuando la exportación se haya completado, recibirá una notificación de que laexportación se ha completado. Si no ha seleccionado el icono Notificar al terminar,se mostrará la ventana Estado.



Capítulo 7. Gestión de activos

La recopilación y la visualización de datos de activos le ayuda a identificar lasamenazas y las vulnerabilidades. Una base de datos de activos precisa facilita laconexión de los delitos que se desencadenan en el sistema a activos físicos ovirtuales en la red.

Restricción: QRadar Log Manager solo hace un seguimiento de datos de activo siQRadar Vulnerability Manager está instalado. Para obtener más información sobrelas diferencias entre IBM Security QRadar SIEM y IBM QRadar Log Manager,consulte “Prestaciones de su producto de inteligencia y seguridad” en la página 3.

Datos de activos

Un activo es cualquier punto final de la red que envía o recibe datos a través de lainfraestructura de la red. Por ejemplo, son activos los portátiles, los servidores, lasmáquinas virtuales y los dispositivos portátiles. A cada activo de la base de datosde activos se le asigna un identificador exclusivo para que pueda distinguirse delos demás registros de activos.

La detección de dispositivos también es útil para crear un conjunto de datos deinformación histórica sobre el activo. Hacer un seguimiento de la información deactivos a medida que cambia le ayuda a supervisar el uso de los activos en la red.

Perfiles de activo

Un perfil de activo es una recopilación de toda la información que IBM SecurityQRadar SIEM ha recogido a lo largo del tiempo acerca de un activo específico. Elperfil incluye información acerca de los servicios que se están ejecutando en elactivo y toda la información de identidad que se conozca.

QRadar SIEM crea automáticamente perfiles de activo a partir de los sucesos deidentidad y los datos de flujos bidireccionales o, si están configuradas, lasexploraciones de evaluación de vulnerabilidades. Los datos se correlacionan através de un proceso que se denomina conciliación de activos y el perfil se actualizaa medida que llega información nueva a QRadar. El nombre del activo se deriva dela información de la actualización del activo en el siguiente orden de prioridad:v Nombrev Nombre de host NETBiosv Nombre de host DNSv Dirección IP

Recopilación de datos de activos

Los perfiles de activos se construyen dinámicamente a partir de información deidentidad que se absorbe pasivamente de datos de sucesos o de flujos o de datosque QRadar busca activamente durante una exploración de vulnerabilidad.También puede importar datos de activo o editar manualmente el perfil de activo.


Orígenes de datos de activosSe reciben datos de activos de diversos orígenes en el despliegue de IBM SecurityQRadar.

Los datos de activos se escriben en la base de datos de activos de formaincremental, normalmente 2 o 3 datos a la vez. A excepción de las actualizacionesde los exploradores de vulnerabilidades de red, cada actualización de activocontiene información sobre un solo activo.

Los datos de activos generalmente provienen de uno de los orígenes de datos deactivos siguientes:

SucesosLas cargas útiles de sucesos, tales como las creadas por DHCP o servidoresde autenticación, a menudo contienen inicios de sesión de usuario,direcciones IP, nombres de hosts, direcciones MAC y otro tipo deinformación de activos. Estos datos se proporcionan inmediatamente a labase de datos de activos para ayudar a determinar a qué activo se aplica laactualización de activo.

Los sucesos son la causa principal de las desviaciones de crecimiento deactivos.

Flujos Las cargas útiles de flujo contienen información de comunicación, como ladirección IP, el puerto y el protocolo, que se recopila a intervalos regularesconfigurables. Al final de cada intervalo, los datos se proporcionan a labase de datos de activos, una dirección IP cada vez.

Puesto que los datos de activos de los flujos están emparejados con unactivo según un solo identificador, la dirección IP, los datos de flujo nuncason la causa de las desviaciones de crecimiento de activos.

Exploradores de vulnerabilidadesQRadar se integra tanto con exploradores de vulnerabilidades de IBMcomo de terceros que puedan proporcionar datos de activos tales como elsistema operativo, el software instalado y la información de parches. Eltipo de datos varía de un explorador a otro y puede variar de unaexploración a otra. A medida que se descubren nuevos activos, nuevainformación de puertos y nuevas vulnerabilidades, los datos se llevan alperfil de activo en función de los rangos de CIDR que están definidos en laexploración.

Los exploradores pueden añadir desviaciones de crecimiento de activos,pero no es habitual.

Interfaz de usuarioLos usuarios que tienen el rol de activos pueden importar o proporcionarinformación de activos directamente a la base de datos de activos. Lasactualizaciones de activos proporcionadas directamente por un usuario sonpara un activo específico. Por lo tanto, la etapa de conciliación de activosse omite.

Las actualizaciones de activos proporcionadas por los usuarios no añadendesviaciones de crecimiento de activos.

Datos de activos que tienen en cuenta el dominio

Cuando un origen de datos de activos está configurado con información dedominio, todos los datos de activos que provienen de ese origen de datos se


etiquetan automáticamente con el mismo dominio. Puesto que los datos delmodelo de activos tienen en cuenta el dominio, la información de dominio seaplica a todos los componentes de QRadar, incluidos las identidades, los delitos,los perfiles de activo y el descubrimiento de servidores.

Cuando vea el perfil de activo, algunos campos podrían estar en blanco. Loscampos en blanco existen cuando el sistema no ha recibido esta información enuna actualización de activo o la información ha sobrepasado el periodo deretención de activos. El periodo predeterminado de retención es 120 días. Unadirección IP que aparezca como 0.0.0.0 indica que el activo no contiene informaciónde dirección IP.

Capítulo 7. Gestión de activos 103

Flujo de trabajo de datos de activos entrantesIBM Security QRadar utiliza la información de identidad en una carga útil desuceso para determinar si se crea un nuevo activo o si se actualiza un activoexistente.

Inicio

Entrada:

actualización

de activo

Crear lista vacía de

posibles coincidencias

¿Hay nombre

DNS en la base

de datos?

Salida:

activo de destino

Correlacionar

coincidencias en

mismo activo

de destino

Fin

¿La actualiz.

contiene dirección

MAC?

¿Hay direcc.

IP en la base

de datos?

¿Está la lista

de coincidencias

posibles vacía?

No No No No

Crear activo nuevo

Sí

No

No

Sí

Añadir activo

coincidente

a lista de

coincidencias

posibles

¿La actualiz.

contiene dirección

IP?

No

Sí

¿La actualiz.

contiene nombre

DNS?

Añadir activo

coincidente

a lista de

coincidencias

posibles

Sí

No

Añadir activo

coincidente

a lista de

coincidencias

posibles

¿Hay nombre

NetBIOS en la base

de datos?

¿La actualiz.

contiene nombre

NetBIOS?

No

Sí

Sí

¿Hay direcc.

MAC en la base

de datos?

Añadir activo

coincidente

a lista de

coincidencias

posibles

Sí Sí Sí

Figura 2. Diagrama de flujo de trabajo de datos de activos104 Guía del usuario de QRadar

1. QRadar recibe el suceso. El perfilador de activos examina la carga útil delsuceso para obtener la información de identidad.

2. Si la información de identidad incluye una dirección MAC, un nombre de hostNetBIOS o un nombre de host DNS que ya están asociados con un activo en labase de datos de activos, entonces ese activo se actualiza con la informaciónnueva.

3. Si la única información de identidad disponible es una dirección IP, el sistemaconcilia la actualización del activo existente que tenga la misma dirección IP.

4. Si una actualización de activo tiene una dirección IP que coincide con un activoexistente, pero también el resto de información de identidad no coincide, elsistema utiliza otra información para descartar un falso positivo en lacoincidencia antes de que el activo existente se actualice.

5. Si la información de identidad no coincide con un activo existente en la base dedatos, entonces se crea un nuevo activo basado en la información de la cargaútil del suceso.

Actualizaciones de los datos de activosIBM Security QRadar utiliza la información de identidad en una carga útil desuceso para determinar si se crea un nuevo activo o si se actualiza un activoexistente.

Cada actualización de activo debe contener información de confianza acerca de unúnico activo. Cuando QRadar recibe una actualización de activo, el sistemadetermina a qué activo se aplica la actualización.

La conciliación de activos es el proceso mediante el cual se determina la relaciónentre las actualizaciones de activos y el activo relacionado en la base de datos deactivos. La conciliación de activos se produce después de que QRadar reciba laactualización, pero antes de que la información se escriba en la base de datos deactivos.

Información de identidad

Cada activo debe contener al menos un dato de identidad. Las actualizacionesposteriores que contengan un dato o más de los mismos datos de identidad seconcilian con el activo propietario de los datos. Las actualizaciones que se basan enlas direcciones IP se manejan con cuidado para evitar coincidencias de activos quesean falsos positivos. Los falsos positivos en las coincidencias de activos seproducen cuando a un activo físico se le asigna la propiedad de una dirección IPque anteriormente era propiedad de otro activo del sistema.

Cuando se proporcionan varios datos de identidad, el perfilador de activos daprioridad a la información, de la más a la menos determinista, en el ordensiguiente:v Dirección MACv Nombre de host NetBIOSv Nombre de host DNSv Dirección IP

Las direcciones MAC, los nombres de host NetBIOS y los nombres de host DNSson exclusivos y, por lo tanto, se consideran datos de identidad definitivos. Lasactualizaciones entrantes cuyas coincidencias con un activo existente solamentesean la dirección IP se manejan de forma diferente que las actualizaciones que


coincidan con los datos de identidad más definitivos.Conceptos relacionados:“Reglas de exclusión de conciliación de activos”Con cada actualización de activo que entra en IBM Security QRadar, las reglas deexclusión de conciliación de activos aplican pruebas a la dirección MAC, el nombrede host NetBIOS, el nombre de host DNS y la dirección IP en la actualización deactivo.

Reglas de exclusión de conciliación de activosCon cada actualización de activo que entra en IBM Security QRadar, las reglas deexclusión de conciliación de activos aplican pruebas a la dirección MAC, el nombrede host NetBIOS, el nombre de host DNS y la dirección IP en la actualización deactivo.

De forma predeterminada, se hace un seguimiento de cada dato de activos duranteun periodo de dos horas. Si algún dato de identidad de la actualización de activomuestra un comportamiento sospechoso dos o más veces en un plazo de doshoras, ese dato se añade a las listas negras de activos. Cada tipo de datos deactivos de identidad que se prueba genera una lista negra nueva.

En los entornos que tienen en cuenta el dominio, las reglas de exclusión deconciliación de activos hacen un seguimiento del comportamiento de los datos deactivos por separado en cada dominio.

Las reglas de exclusión de conciliación de activos prueban los escenariossiguientes:

Tabla 27. Pruebas y respuestas de Regla

Escenario Respuesta de regla

Cuando una dirección MAC se asocia a treso más direcciones IP diferentes en un plazode dos horas o menos

Añadir la dirección MAC a la lista negra deMAC del dominio de conciliación de activos

Cuando un nombre de host DNS se asocia atres o más direcciones IP diferentes en unplazo de dos horas o menos

Añadir el nombre de host DNS a la listanegra de DNS del dominio de conciliaciónde activos

Cuando un nombre de host NetBIOS seasocia a tres o más direcciones IP diferentesen un plazo de dos horas o menos

Añadir el nombre de host NetBIOS a la listanegra de NetBIOS del dominio deconciliación de activos

Cuando una dirección IPv4 se asocia a tres omás direcciones MAC diferentes en un plazode dos horas o menos

Añadir la dirección IP a la lista negra deIPv4 del dominio de conciliación de activos

Cuando un nombre de host NetBIOS seasocia a tres o más direcciones MACdiferentes en un plazo de dos horas o menos


Cuando un nombre de host DNS se asocia atres o más direcciones MAC diferentes en unplazo de dos horas o menos


Cuando una dirección IPv4 se asocia a tres omás nombres de host DNS diferentes en unplazo de dos horas o menos


Cuando un nombre de host NetBIOS seasocia a tres o más nombres de host DNSdiferentes en un plazo de dos horas o menos



Tabla 27. Pruebas y respuestas de Regla (continuación)

Escenario Respuesta de regla

Cuando una dirección MAC se asocia a treso más nombres de host DNS diferentes enun plazo de dos horas o menos


Cuando una dirección IPv4 se asocia a tres omás nombres de host NetBIOS diferentes enun plazo de dos horas o menos


Cuando un nombre de host DNS se asocia atres o más nombres de host NetBIOSdiferentes en un plazo de dos horas o menos


Cuando una dirección MAC se asocia a treso más nombres de host NetBIOS diferentesen un plazo de dos horas o menos


Puede ver estas reglas en la pestaña Delitos pulsando Reglas y, a continuación,seleccionando el grupo Exclusión de conciliación de activos en la listadesplegable.Conceptos relacionados:“Ejemplo: Reglas de exclusión de activos que se ajustan para excluir direcciones IPde la lista negra”Puede excluir direcciones IP de las listas negras ajustando las reglas de exclusiónde activos.

Ejemplo: Reglas de exclusión de activos que se ajustan paraexcluir direcciones IP de la lista negra

Puede excluir direcciones IP de las listas negras ajustando las reglas de exclusiónde activos.

Como administrador de seguridad de red, gestiona una red corporativa queincluye un segmento de red wifi pública en el que las cesiones de direcciones IPson generalmente breves y frecuentes. Los activos en este segmento de la redtienden a ser transitorios, principalmente sistemas portátiles y dispositivosportátiles que inician y finalizan sesión en la wifi pública con frecuencia.Normalmente, una dirección IP individual la utilizan varias veces distintosdispositivos durante un breve periodo de tiempo.

En el resto del despliegue tiene una red cuidadosamente gestionada que constaúnicamente de dispositivos de la empresa con nombres correctos e inventariados.Las cesiones de direcciones IP duran mucho más tiempo en esta parte de la red y alas direcciones IP se accede únicamente a través de la autenticación. En estesegmento de red, desea saber inmediatamente cuando hay desviaciones decrecimiento de activos y desea conservar los valores predeterminados para lasreglas de exclusión de conciliación de activos.

Elaboración de la lista negra de direcciones IP

En este entorno, las reglas de exclusión de conciliación de activos predeterminadasincluyen inadvertidamente en una lista negra la red entera durante un breveperiodo de tiempo.

Su equipo de seguridad observa que las notificaciones relacionadas con el activogeneradas por el segmento de wifi son una molestia. Desea evitar que la wifi


desencadene más notificaciones de desviaciones del crecimiento de activos.

Ajuste de las reglas de conciliación de activos para ignoraralgunas actualizaciones de activos

Revisa el informe Desviaciones de activo por origen de registro en la últimanotificación del sistema. Determina que los datos de la lista negra proceden delservidor DHCP de la wifi.

Los valores de la columna Recuento de sucesos, la columna Recuento de flujos yla columna Delitos de la fila correspondiente a la regla AssetExclusion: Excluir IPpor dirección MAC indican que el servidor DHCP de la wifi desencadena estaregla.

Añade una prueba a las reglas de conciliación de activos existentes para hacer quelas reglas dejen de añadir datos de la wifi a la lista negra.Aplicar AssetExclusion:Excluir IP por Dirección MAC en sucesos detectados porel sistema Local y NO cuando los sucesos los ha detectado uno o variosMicrosoftDHCP @ microsoft.dhcp.test.comy NO cuando cualquiera de Dominio es la clave y cualquiera de IP de identidades el valor encualquiera de Lista blanca de IPv4 del dominio de conciliaciónde activos- Lista negra de IPv4 del dominio de conciliación de activos - IPy cuando al menos 3 sucesos se han visto con la misma IP de identidad ydiferente MAC de identidad en 2 horas.

La regla actualizada prueba solamente los sucesos de los orígenes de registro queno están en el servidor DHCP de la wifi. Para evitar que los sucesos DHCP de lawifi pasen más pruebas costosas de análisis de comportamiento y conjunto dereferencia, también ha movido esta prueba al principio de la pila de pruebas.

Fusión de activosLa fusión de activos es el proceso según el cual la información de un activo secombina con la información de otro activo bajo la premisa de que son realmente elmismo activo físico.

La fusión de activos se produce cuando una actualización de activo contiene datosde identidad que coinciden con dos perfiles de activo diferentes. Por ejemplo, unaúnica actualización que contiene un nombre de host NetBIOS que coincide con unperfil de activo y una dirección MAC que coincide con otro perfil de activodiferente podría desencadenar una fusión de activos.

En algunos sistemas se puede observar un gran volumen de fusión de activosporque tienen orígenes de datos de activos que inadvertidamente combinan en unamisma actualización de activo información de identidad de dos activos físicosdiferentes. Como ejemplos de estos sistemas cabe citar los entornos siguientes:v Servidores syslog centrales que actúan como proxy de sucesosv Máquinas virtualesv Entornos de instalación automatizadav Nombres de host no exclusivos, frecuentes con activos como iPads y iPhones.v Redes privadas virtuales que tienen direcciones MAC compartidasv Extensiones de origen de registro cuyo campo de identidad es

OverrideAndAlwaysSend=true


Los activos que tienen muchas direcciones IP, direcciones MAC o nombres de hostpresentan desviaciones en el crecimiento de los activos y pueden desencadenarnotificaciones del sistema.Conceptos relacionados:“Identificación de desviaciones de crecimiento de activos”A veces los orígenes de datos de activos generan actualizaciones que IBM SecurityQRadar no puede manejar correctamente sin intervención manual. En función de lacausa del crecimiento anormal de los activos, puede arreglar el origen de datos deactivos que está causando el problema o puede bloquear las actualizaciones deactivos que provienen de ese origen de datos.

Identificación de desviaciones de crecimiento de activosA veces los orígenes de datos de activos generan actualizaciones que IBM SecurityQRadar no puede manejar correctamente sin intervención manual. En función de lacausa del crecimiento anormal de los activos, puede arreglar el origen de datos deactivos que está causando el problema o puede bloquear las actualizaciones deactivos que provienen de ese origen de datos.

Las desviaciones de crecimiento de activos se dan cuando el número de actualizacionesde activos de un único dispositivo supera el límite establecido en el umbral deretención para un tipo concreto de información de identidad. El manejo adecuadode las desviaciones de crecimiento de activos es de vital importancia paramantener un modelo de activos preciso.

En la base de cada desviación de crecimiento de activos se encuentra un origen dedatos de activos cuyos datos no son de confianza para actualizar el modelo deactivos. Cuando se identifica una desviación potencial del crecimiento de losactivos, debe examinar el origen de la información para determinar si hay unaexplicación razonable para que un activo acumule grandes cantidades de datos deidentidad. La causa de una desviación de crecimiento de activos es específica deun entorno.

Ejemplo del servidor DHCP de crecimiento de activo anormal enun perfil de activo

Supongamos que hay un servidor de VPN (red privada virtual) en una red DHCP(Protocolo de configuración dinámica de hosts). El servidor de VPN estáconfigurado para asignar direcciones IP a los clientes de VPN entrantes enviandomediante un proxy las solicitudes DHCP en nombre del cliente al servidor DHCPde la red.

Desde la perspectiva del servidor DHCP, la misma dirección MAC solicita muchasasignaciones de direcciones IP en repetidas ocasiones. En el contexto de lasoperaciones de red, el servidor VPN delega las direcciones IP a los clientes, pero elservidor DHCP no puede distinguir cuándo una solicitud la realiza un activo ennombre de otro.

El registro del servidor DHCP, que está configurado como un origen de registro deQRadar, genera un suceso de acuse de recibo DHCP (DHCP ACK) que asocia ladirección MAC del servidor VPN con la dirección IP que se asigna al cliente deVPN. Cuando se produce la conciliación de activos, el sistema concilia este eventopor dirección MAC, lo que da como resultado un activo existente único que crececon una dirección IP cada vez que se analiza un suceso DHCP ACK.


Finalmente, un solo perfil de activo contiene todas las direcciones IP que se hanasignado al servidor de VPN. Esta desviación de crecimiento de activos estácausada por las actualizaciones de activos que contienen información acerca demás de un activo.

Valores de umbral

Cuando un activo de la base de datos alcanza un número determinado depropiedades, tales como varias direcciones IP o direcciones MAC, QRadar bloqueaese activo para que no reciba más actualizaciones.

Los valores de umbral del perfilador de activos indican las condiciones bajo lascuales un activo está bloqueado frente a las actualizaciones. El activo se actualizanormalmente hasta el valor del umbral. Cuando el sistema recopila datossuficientes para superar el umbral, el activo muestra una desviación de crecimientode activo. Las futuras actualizaciones del activo se bloquean hasta que ladesviación de crecimiento se corrija.

Notificaciones del sistema que indican desviaciones decrecimiento de activos

IBM Security QRadar genera notificaciones del sistema para ayudarle a identificary gestionar las desviaciones de crecimiento de activos en su entorno.

Los siguientes mensajes del sistema indican que QRadar ha identificado posiblesdesviaciones de crecimiento de activos:v El sistema ha detectado perfiles de activo que sobrepasan el umbral de

tamaño normal

v Las reglas de listas negras de activos han añadido datos de activo nuevosa las listas negras de activos

Los mensajes de notificación del sistema incluyen enlaces a los informes para quesea más fácil identificar los activos que presentan desviaciones de crecimiento.

Datos de activos que cambian con frecuencia

El crecimiento de activos puede estar causado por grandes volúmenes de datos deactivos que cambian de forma correcta, como en las situaciones siguientes:v Un dispositivo móvil que va de una oficina a otra con frecuencia al que se le

asigna una dirección IP nueva cada vez que inicia sesión.v Un dispositivo que se conecta a una wifi pública con cesiones breves de

direcciones IP, como por ejemplo en un campus universitario, puede recopilargrandes volúmenes de datos de activos durante un semestre.

Ejemplo: Cómo los errores de configuración de lasextensiones de origen de registro pueden provocardesviaciones de crecimiento de activos

Las extensiones de origen de registro personalizado que están configuradasincorrectamente pueden provocar desviaciones de crecimiento de activos.

Configura una extensión de origen de registro personalizado para proporcionaractualizaciones de activos a IBM Security QRadar mediante el análisis de losnombres de usuario de la carga útil de suceso que se encuentra en un servidor deregistro central. Configura la extensión de origen de registro para alterar


temporalmente la propiedad de nombre de host de sucesos para que lasactualizaciones de activos generadas por el origen de registro personalizadosiempre especifiquen el nombre del host DNS del servidor de registro central.

En lugar de que QRadar reciba una actualización que tiene el nombre de host delactivo en el que el usuario ha iniciado sesión, el origen de registro genera muchasactualizaciones de activos que tienen el mismo nombre de host.

En esta situación, la desviación de crecimiento de activos está causada por un soloperfil de activo que contiene muchas direcciones IP y muchos nombres de usuario.

Resolución de problemas con perfiles de activo quesobrepasan el umbral de tamaño normal

IBM Security QRadar genera la notificación del sistema siguiente cuando laacumulación de datos bajo un único activo supera los límites de umbralconfigurados para los datos de identidad.El sistema ha detectado perfiles de activo que sobrepasan el umbral de tamaño normal

Explicación

La carga útil muestra una lista de los cinco activos que presentan desviaciones conmás frecuencia y proporciona información sobre por qué el sistema ha marcadocada activo como una desviación de crecimiento. Tal como se muestra en elejemplo siguiente, la carga útil también muestra el número de veces que el activoha intentado crecer más allá del umbral del tamaño de activo.Feb 13 20:13:23 127.0.0.1 [AssetProfilerLogTimer]com.q1labs.assetprofile.updateresolution.UpdateResolutionManager:[INFO] [NOT:0010006101][9.21.118.83/- -] [-/- -]Los cinco activos que presentan desviaciones con más frecuencia entreel 13 de febrero de 2015 8:10:23 PM AST y el 13 de febrero de 2015 8:13:23 PM AST:[ASSET ID:1003, REASON:Too Many IPs, COUNT:508],[ASSET ID:1002, REASON:Too many DNS Names, COUNT:93],[ASSET ID:1001, REASON:Too many MAC Addresses, COUNT:62]

Cuando los datos de activos exceden el umbral configurado, QRadar bloquea elactivo frente a actualizaciones futuras. Esta intervención evita que el sistema recibamás datos dañados y mitiga el impacto en el rendimiento que podría producirse siel sistema intenta conciliar las actualizaciones de entrada con un perfil de activoanormalmente grande.

Acción del usuario necesaria

Utilice la información de la carga útil de la notificación para identificar los activosque contribuyen a la desviación de crecimiento de activo y determinar qué estáprovocando el crecimiento anormal. La notificación proporciona un enlace a uninforme de todos los activos que han experimentado una desviación delcrecimiento durante las últimas 24 horas.

Después de resolver la desviación de crecimiento de activo en su entorno, puedeejecutar el informe de nuevo.1. Pulse la pestaña Actividad de registro y pulse Buscar > Nueva búsqueda.2. Seleccione la búsqueda guardada Desviación de crecimiento de activos:

Informe de activos.3. Utilice el informe para identificar y reparar los datos de activos inexactos que

se han creado durante la desviación.


Si los datos de activos son válidos, los administradores de QRadar puedenaumentar los límites de umbral para las direcciones IP, las direcciones MAC, losnombres de host NetBIOS y los nombres de host DNS en Configuración delperfilador de activos en la pestaña Admin de QRadar.

Los datos de activos nuevos se añaden a las listas negras deactivos

IBM Security QRadar genera la notificación del sistema siguiente cuando un datode activos concreto presenta un comportamiento que puede deberse a la desviacióndel crecimiento de activos.Las reglas de lis. neg. act. han añadido datos de activo nuevos a las lis. neg. act.

Explicación

Las reglas de exclusión de activos supervisan los datos de activos para comprobarla coherencia y la integridad. Las reglas hacen un seguimiento de datos de activosconcretos a lo largo del tiempo para asegurarse de que están siendo observadossiempre con el mismo subconjunto de datos dentro de un plazo de tiemporazonable.

Por ejemplo, si una actualización de activo incluye una dirección MAC y unnombre de host DNS, la dirección MAC está asociada con ese nombre de host DNSdurante un periodo de tiempo concreto. Las actualizaciones de activos posterioresque contengan esa dirección MAC también contienen ese nombre de host DNS sise incluye alguno en la actualización de activo. Si la dirección MAC de repente seasocia con un nombre de host DNS diferente durante un periodo breve de tiempo,el cambio se supervisa. Si la dirección MAC cambia de nuevo dentro de unperiodo breve, la dirección MAC se marca para indicar que contribuye a unainstancia de crecimiento de activo anormal o con desviaciones.

Acción del usuario necesaria

Utilice la información de la carga útil de la notificación para identificar las reglasque se utilizan para supervisar los datos de activos. Pulse el enlace Desviacionesde activo por origen de registro en la notificación para ver las desviaciones deactivo que se han producido en las últimas 24 horas.

Si los datos de activos son válidos, los administradores de QRadar puedenconfigurar QRadar para resolver el problema.v Si las listas negras se llenan demasiado rápido, puede ajustar las reglas de

exclusión de conciliación de activos que las llenan.v Si desea añadir los datos a la base de datos de activos, puede eliminar los datos

de activos de la lista negra y añadirlos a la lista blanca de activoscorrespondiente. Al añadir datos de un activo a la lista blanca se impide quereaparezcan inadvertidamente en la lista negra.

Listas negras y listas blancas de activosIBM Security QRadar utiliza un grupo de reglas de conciliación de activos paradeterminar si los datos de activos son de confianza. Cuando los datos de activosson cuestionables, QRadar utiliza listas negras y listas blancas de activos paradeterminar si deben actualizarse los perfiles de activo con los datos de activos.


Una lista negra de activos es un conjunto de datos que IBM Security QRadarconsidera no fiables. Los datos de la lista negra de activos pueden contribuir a laaparición de desviaciones de crecimiento de activos y QRadar impide que los datosse añadan a la base de datos de activos.

Una lista blanca de activos es un conjunto de datos de activos que altera la lógica delmotor de conciliación de activos con la que se añaden datos a una lista negra deactivos. Cuando el sistema identifica una coincidencia en la lista negra, compruebala lista blanca para ver si el valor existe. Si la actualización de activo coincide condatos que están en la lista blanca, el cambio se concilia y el activo se actualiza. Losdatos de activos en listas blancas se aplican globalmente en todos los dominios.

El administrador de QRadar puede modificar los datos de la lista negra y la listablanca de activos para evitar futuras desviaciones de crecimiento de activos.

Listas negras de activosUna lista negra de activos es un conjunto de datos que IBM Security QRadarconsidera no fiables según las reglas de exclusión de conciliación de activos. Losdatos de la lista negra de activos pueden contribuir a la aparición de desviacionesde crecimiento de activos y QRadar impide que los datos se añadan a la base dedatos de activos.

Cada actualización de activo en QRadar se compara con las listas negras deactivos. Los datos de activos en listas negras se aplican globalmente en todos losdominios. Si la actualización de activo contiene información de identidad(dirección MAC, nombre de host NetBIOS, nombre de host DNS o dirección IP)que se encuentra en una lista negra, la actualización de entrada se descarta y labase de datos de activos no se actualiza.

En la tabla siguiente se muestra el nombre y el tipo de recopilación de referenciapara cada tipo de datos de activos de identidad.

Tabla 28. Nombres de recopilación de referencia para los datos de las listas negras deactivos

Tipo de datos deidentidad

Nombre de recopilación dereferencia Tipo de recopilación de referencia

Direcciones IP(v4)

Lista negra de IPv4 de conciliaciónde activos

Conjunto de referencia [Tipo deconjunto: IP]

Nombres de hostDNS

Lista negra de DNS de conciliaciónde activos

Conjunto de referencia [Tipo deconjunto: ALNIC*]

Nombres de hostNetBIOS

Lista negra de NetBIOS deconciliación de activos


Direcciones MAC Lista negra de MAC deconciliación de activos


* ALNIC es un tipo alfanumérico que puede dar cabida tanto al nombre de host como a losvalores de dirección MAC.

El administrador de QRadar puede modificar las entradas de lista negra paraasegurarse de que los nuevos datos de activos se manejan correctamente.

Listas blancas de activosPuede utilizar listas blancas de activos para evitar que los datos de activos de IBMSecurity QRadar reaparezcan inadvertidamente en las listas negras de activos.


Una lista blanca de activos es un conjunto de datos de activos que altera la lógica delmotor de conciliación de activos con la que se añaden datos a una lista negra deactivos. Cuando el sistema identifica una coincidencia en la lista negra, compruebala lista blanca para ver si el valor existe. Si la actualización de activo coincide condatos que están en la lista blanca, el cambio se concilia y el activo se actualiza. Losdatos de activos en listas blancas se aplican globalmente en todos los dominios.

El administrador de QRadar puede modificar las entradas de lista blanca paraasegurarse de que los nuevos datos de activos se manejan correctamente.

Ejemplo de caso práctico de lista blanca

La lista blanca es útil si tiene datos de activos que siguen apareciendo en las listasnegras aunque se trate de una actualización de activo válido. Por ejemplo, podríatener un equilibrador de carga DNS con rotación que está configurado para rotaren un conjunto de cinco direcciones IP. Las reglas de exclusión de conciliación deactivos podrían determinar que el hecho de que haya varias direcciones IPasociadas con el mismo nombre de host DNS es una indicación de que existe unadesviación de crecimiento de activos, y el sistema podría añadir el equilibrador decarga DNS a la lista negra. Para resolver este problema, puede añadir el nombre dehost DNS a la lista blanca de DNS de conciliación de activos.

Entradas en masa a la lista blanca de activos

Una base de datos de activos precisa facilita la conexión de los delitos que sedesencadenan en el sistema a activos físicos o virtuales en la red. Pasar por alto lasdesviaciones de activos añadiendo entradas en masa a la lista blanca de activos noes útil para la creación de una base de datos de activos precisa. En lugar de añadirentradas en masa a la lista blanca, revise la lista negra de activos para determinarqué está contribuyendo a la desviación de crecimiento de activos y luegodetermine cómo solucionar el problema.

Tipos de listas blancas de activos

Cada tipo de datos de identidad se mantiene en una lista blanca por separado. Enla tabla siguiente se muestra el nombre y el tipo de recopilación de referencia paracada tipo de datos de activos de identidad.

Tabla 29. Nombre de recopilación de referencia para los datos de las listas blancas deactivos

Tipo de datosNombre de recopilación dereferencia Tipo de recopilación de referencia

Direcciones IP Lista blanca de IPv4 deconciliación de activos

Conjunto de referencia [Tipo deconjunto: IP]

Nombres de hostDNS

Lista blanca de DNS deconciliación de activos


Nombres de hostNetBIOS

Lista blanca de NetBIOS deconciliación de activos


Direcciones MAC Lista blanca de MAC deconciliación de activos


* ALNIC es un tipo alfanumérico que puede dar cabida al nombre de host y a valores dedirección MAC.


Perfiles de activoLos perfiles de activo proporcionan información sobre cada activo conocido en lared, incluyendo qué servicios se ejecutan en cada activo.

La información del perfil de activo se utiliza a efectos de correlación para ayudar areducir los falsos positivos. Por ejemplo, si un origen intenta atacar un servicioespecífico que se ejecuta en un activo, QRadar determina si el activo es vulnerablea este ataque correlacionando el ataque con el perfil de activo.

Los perfiles de activo se descubren automáticamente si tiene exploraciones dedatos de flujo o de evaluación de vulnerabilidad (VA) configuradas. Para que losdatos de flujo llenen los perfiles de activo, se necesitan flujos bidireccionales. Losperfiles de activo también se pueden crear automáticamente a partir de los sucesosde identidad. Para obtener más información sobre la VA, consulte Guía deconfiguración de evaluación de vulnerabilidades de IBM QRadar.

Para tener más información sobre los orígenes de flujo, consulte la publicaciónGuía de administración de IBM Security QRadar.

VulnerabilidadesPuede utilizar exploradores de QRadar Vulnerability Manager y de terceros paraidentificar vulnerabilidades.

Los exploradores de terceros identifican e informan de las vulnerabilidadesdescubiertas utilizando referencias externas, como Open Source VulnerabilityDatabase (OSVDB), National Vulnerability Database (NVDB) y Critical Watch. Losexploradores de terceros incluyen, por ejemplo, QualysGuard y nCircle ip360.OSVDB asigna un identificador de referencia exclusiva (OSVDB ID) a cadavulnerabilidad. Las referencias externas asignan un identificador de referenciaexclusiva a cada vulnerabilidad. Los ID de referencia de datos externos incluyen,por ejemplo, el ID de Common Vulnerability and Exposures (CVE) o el ID deBugtraq. Para obtener más información sobre exploradores y evaluación devulnerabilidad, consulte la publicación Guía del usuario de IBM Security QRadarVulnerability Manager.

QRadar Vulnerability Manager es un componente que puede comprar porseparado y habilitar utilizando una clave de licencia. QRadar VulnerabilityManager es una plataforma de exploración de red que proporciona conocimientode las vulnerabilidades que existen en las aplicaciones, sistemas o dispositivos dela red. Después de que las exploraciones identifiquen las vulnerabilidades, puedebuscar y revisar datos de vulnerabilidad, remediar vulnerabilidades y volver aejecutar exploraciones para evaluar el nuevo nivel de riesgo.

Cuando se habilita QRadar Vulnerability Manager, puede realizar tareas deevaluación de vulnerabilidades en la pestaña Vulnerabilidades. En la pestañaActivos, puede ejecutar exploraciones en los activos seleccionados.

Para obtener más información, consulte la publicación Guía del usuario de IBMSecurity QRadar Vulnerability Manager

Visión general de la pestaña ActivosLa pestaña Activos le proporciona un espacio de trabajo desde el que puedegestionar los activos de red e investigar las vulnerabilidades de un activo, lospuertos, las aplicaciones, el historial y otras asociaciones.


Mediante el uso de la pestaña Activos, puede:v Ver todos los activos descubiertos.v Añadir manualmente perfiles de activo.v Buscar activos específicos.v Ver información sobre activos descubiertos.v Editar perfiles de activo para activos añadidos o descubiertos manualmente.v Ajustar vulnerabilidades positivas falsas.v Importar activos.v Imprimir o exportar perfiles de activo.v Descubrir activos.v Configurar y gestionar exploración de volumen de terceros.v Iniciar exploraciones de QRadar Vulnerability Manager.

Para obtener información sobre la opción de descubrimiento de servidores en elpanel de navegación, consulte la publicación Guía de administración de IBM SecurityQRadar

Para obtener más información sobre la opción de Exploración de VA en el panel denavegación, consulte la publicación Guía del usuario de IBM Security QRadar RiskManager.

Visualización de un perfil de activoEn la lista de activos de la pestaña Activos, puede seleccionar y ver un perfil deactivo. Un perfil de activo proporciona información sobre cada perfil.


La información de perfil de activo se descubre automáticamente a través delservidor de descubrimiento o se configura manualmente. Puede editar lainformación de perfil de activo generada automáticamente.

La página Perfil de activo proporciona la información sobre el activo que seorganiza en varios paneles. Para ver un panel, puede pulsar la flecha (>) en elpanel para ver más detalles o seleccionar el panel en el recuadro de lista Visualizaren la barra de herramientas.

La barra de herramientas de página Perfil de activo proporciona las funcionessiguientes:

Tabla 30. Funciones de barra de herramientas de página Perfil de activo


Volver a lista de activos Pulse esta opción para volver a la lista de activos.

Visualizar En el recuadro de lista, puede seleccionar el panel quedesea ver en el panel Perfil de activo. Los panelesResumen de activo y Resumen de interfaz de red sevisualizan siempre.

Editar activo Pulse esta opción para editar el Perfil de activo.Consulte “Adición o edición de un perfil de activo” enla página 118.


Tabla 30. Funciones de barra de herramientas de página Perfil de activo (continuación)


Ver por red Si este activo está asociado con un delito, esta opción lepermitirá ver la lista de redes que están asociadas coneste activo. Al pulsar Ver por red, se visualiza laventana Lista de redes.

Ver resumen de origen Si este activo es el origen de un delito, esta opción lepermitirá ver la información de resumen de origen. Alpulsar Ver resumen de origen, se visualiza la ventanaLista de delitos.

Ver resumen de destinoSi este activo es el destino de un delito, esta opción lepermitirá ver información de resumen de destino.

Al pulsar Ver resumen de destino, se visualiza laventana Lista de destinos.

HistorialPulse Historial para ver información de historial desucesos para este activo. Al pulsar el icono Historial, sevisualiza la ventana Búsqueda de sucesos, previamenterellenada con los criterios de búsqueda de sucesos:

Si es necesario, puede personalizar los parámetros debúsqueda. Pulse Buscar para ver información dehistorial de sucesos.

Aplicaciones Pulse Aplicaciones para ver información de aplicaciónpara este activo. Al pulsar el icono Aplicaciones, sevisualiza la ventana Búsqueda de flujos, previamenterellenada con criterios de búsqueda de sucesos.

Si es necesario, puede personalizar los parámetros debúsqueda. Pulse Buscar para ver la información deaplicación.

Buscar en conexiones Pulse Buscar en conexiones para buscar conexiones. Sevisualiza la ventana Búsqueda de conexión.

Esta opción sólo se visualiza cuando se ha adquiridoIBM Security QRadar Risk Manager y se ha obtenido lalicencia. Para obtener más información, consulte lapublicación Guía del usuario de IBM Security QRadar RiskManager.

Ver topología Pulse Ver topología para investigar el activoadicionalmente. Se visualiza la ventana Topologíaactual.


Acciones En la lista Acciones, seleccione Historial devulnerabilidades.



Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo

3. Efectúe una doble pulsación en el activo que desea ver.4. Utilice las opciones de la barra de herramientas para visualizar los diversos

paneles de información de perfil de activo. Consulte Edición de un perfil deactivo.

5. Para investigar las vulnerabilidades asociadas, pulse cada vulnerabilidad en elpanel Vulnerabilidades. Consulte la Tabla 10-10

6. Si es necesario, edite el perfil de activo. Consulte Edición de un perfil de activo.7. Pulse Volver a lista de activos para seleccionar y ver otro activo, si es

necesario.

Adición o edición de un perfil de activoLos perfiles de activo se descubren y añaden automáticamente; sin embargo, puedeser necesario añadir manualmente un perfil


Cuando se descubren activos mediante la utilización de la opción Descubrimientode servidores, algunos detalles de perfil de activo se rellenan automáticamente. Sepuede añadir manualmente información al perfil de activo y se pueden editardeterminados parámetros.

Sólo se pueden editar los parámetros que se han entrado manualmente. Losparámetros generados por el sistema aparecen en cursiva y no son editables. Losparámetros generados por el sistema pueden suprimirse, si es necesario.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Elija una de las siguientes opciones:v Para añadir un activo, pulse Añadir activo y escriba la dirección IP o el

rango de CIDR del activo en el campo Nueva dirección IP.v Para editar un activo, efectúe una doble pulsación en el activo que desea ver

y pulse Editar activo.4. Configure los parámetros del panel MAC y dirección MAC. Configure una o

varias de las opciones siguientes:v Pulse el icono Nueva dirección MAC y escriba una dirección MAC en el

recuadro de diálogo.v Pulse el icono Nueva dirección IP y escriba una dirección IP en el recuadro

de diálogo.v Si se lista NIC desconocido, puede seleccionar este elemento, pulsar el icono

Editar y escribir una nueva dirección MAC en el recuadro de diálogo.v Seleccione una dirección MAC o IP en la lista, pulse el icono Editar y escriba

una dirección MAC nueva en el recuadro de diálogo.v Seleccione una dirección MAC o IP en la lista y pulse el icono Eliminar.

5. Configure los parámetros del panel Nombres y descripción. Configure una ovarias de las opciones siguientes:



DNSElija una de las siguientes opciones:

v Escriba un nombre DNS y pulse Añadir.

v Seleccione un nombre de DNS en la lista ypulse Editar.

v Seleccione un nombre de DNS en la lista ypulse Eliminar.

NetBIOSElija una de las siguientes opciones:

v Escriba un nombre NetBIOS y pulseAñadir.

v Seleccione un nombre de NetBIOS en lalista y pulse Editar.

v Seleccione un nombre de NetBIOS en lalista y pulse Eliminar.

Nombre Escriba un nombre para este perfil de activo.

Ubicación Escriba una ubicación para este perfil deactivo.

Descripción Escriba una descripción para este perfil deactivo.

AP inalámbrico Escriba el punto de acceso (AP) inalámbricopara este perfil de activo.

SSID inalámbrico Escriba el identificador de conjunto deservicios (SSID) inalámbrico para este perfilde activo.

ID de conmutador Escriba el ID de conmutador para este perfilde activo.

ID de puerto de conmutador Escriba el ID de puerto de conmutador paraeste perfil de activo.

6. Configure los parámetros del panel Sistema operativo:a. En el recuadro de lista Proveedor, seleccione un proveedor de sistema

operativo.b. En el recuadro de lista Producto, seleccione el sistema operativo para el

perfil de activo.c. En el recuadro de lista Versión, seleccione la versión del sistema operativo

seleccionado.d. Pulse el icono Añadir.e. En el recuadro de lista Alterar temporalmente, seleccione una de las

opciones siguientes:v Hasta próxima exploración: Seleccione esta opción para especificar que

el explorador proporciona información de sistema operativo y lainformación se puede editar temporalmente. Si edita los parámetros desistema operativo, el explorador restaura la información en su próximaexploración.

v Siempre: Seleccione esta opción para especificar que desea entrarmanualmente la información del sistema operativo e impedir que elexplorador actualice información.

f. Seleccione un sistema operativo de la lista.


g. Seleccione un sistema operativo y pulse en el icono Conmutar alteracióntemporal.

7. Configure los parámetros del panel CVSS y peso. Configure una o varias de lasopciones siguientes:


Potencial de daños colateralesConfigure este parámetro para indicar laposibilidad de pérdida de vidas humanas oactivos físicos a través de daños o robo deeste activo. También puede utilizar esteparámetro para indicar el potencial depérdida económica de productividad oingresos. El mayor potencial de dañoscolaterales aumenta el valor calculado en elparámetro de puntuación de CVSS.

En el recuadro de lista Potencial de dañoscolaterales, seleccione una de las opcionessiguientes:

v Ninguno

v Bajo

v Medio bajo

v Medio alto

v Alto

v No definido

Al configurar el parámetro Potencial dedaños colaterales, el parámetro Peso seactualizar automáticamente.

Requisito de confidencialidad Configure este parámetro para indicar elimpacto en la confidencialidad de unavulnerabilidad atacada con éxito en esteactivo. Un mayor impacto deconfidencialidad aumenta el valor calculadoen el parámetro Puntuación de CVSS.

En el recuadro de lista Requisito deconfidencialidad, seleccione una de lasopciones siguientes:

v Bajo

v Medio

v Alto

v No definido



Requisito de disponibilidad Configure este parámetro para indicar elimpacto en la disponibilidad del activocuando una vulnerabilidad se ataca conéxito. Los ataques que consumen ancho debanda de red, ciclos de procesador o espaciode disco impactan la disponibilidad de unactivo. Un mayor impacto de disponibilidadaumenta el valor calculado en el parámetroPuntuación de CVSS.

En el recuadro de lista Requisito dedisponibilidad, seleccione una de lasopciones siguientes:

v Bajo

v Medio

v Alto

v No definido

Requisito de integridadConfigure este parámetro para indicar que elimpacto en la integridad del activo cuandouna vulnerabilidad se ataca con éxito. Laintegridad hace referencia a la fiabilidad y laveracidad garantizada de la información. Unmayor impacto de integridad aumenta elvalor calculado en el parámetro Puntuaciónde CVSS.

En el recuadro de lista Requisito deintegridad, seleccione una de las opcionessiguientes:

v Bajo

v Medio

v Alto

v No definido

PesoEn el recuadro de lista Peso , seleccione unpeso para este perfil de activo. El rango devalores es de 0 a 10.

Cuando configure el parámetro Peso, elparámetro Potencial de daños colaterales seactualiza automáticamente.

8. Configure los parámetros del panel Propietario. Elija una o varias de lasopciones siguientes:


Propietario del negocio Escriba el nombre del propietario delnegocio del activo. Un propietario denegocio es, por ejemplo, un director dedepartamento. La longitud máxima es de255 caracteres.

Contacto del propietario del negocio Escriba la información de contacto para elpropietario de negocio. La longitud máximaes de 255 caracteres.



Propietario técnico Escriba el propietario técnico del activo. Unpropietario técnico es, por ejemplo, eldirector o gestor de TI. La longitud máximaes de 255 caracteres.

Contacto de propietario técnico Escriba la información de contacto para elpropietario técnico. La longitud máxima esde 255 caracteres.

Usuario técnico En el recuadro de lista, seleccione el nombrede usuario que desea asociar con este perfilde activo.

También puede utilizar este parámetro parahabilitar la remediación de vulnerabilidadautomática para IBM Security QRadarVulnerability Manager. Para obtener másinformación sobre la remediaciónautomática, consulte la publicación Guía delusuario de IBM QRadar Vulnerability Manager.

9. Pulse Guardar.

Búsqueda de perfiles de activoPuede configurar parámetros de búsqueda para mostrar sólo los perfiles de activoque desea investigar en la página Activo en la pestaña Activos.


Al acceder a la pestaña Activos, se visualiza la página Activo llena con todos losactivos descubiertos en la red. Para refinar esta lista, puede configurar parámetrosde búsqueda para visualizar solo los perfiles de activo que desea investigar.

En la página Búsqueda de activo, puede gestionar Grupos de búsqueda de activos.Para obtener más información sobre Grupos de búsqueda de activos, consulteGrupos de búsqueda de activos.

La característica de búsqueda le permitirá buscar perfiles de host, activos einformación de identidad. La información de identidad proporciona más detallessobre los orígenes de registro en la red, incluyendo información de DNS, inicios desesión de usuario y direcciones MAC.

Mediante la característica de búsqueda de activos, puede buscar activos porreferencias de datos externas para determinar si existen vulnerabilidades conocidasen el despliegue.

Por ejemplo:

Recibe una notificación de que el ID de CVE: CVE-2010-000 está siendo utilizadoactivamente en el campo. Para verificar si los hosts del despliegue son vulnerablesa este ataque, puede seleccionar Referencia externa de vulnerabilidad en la listade parámetros de búsqueda, seleccionar CVE y, a continuación, escribir2010-000

para ver una lista de todos los hosts que son vulnerables a ese ID de CVEespecífico.


Nota: Para obtener más información acerca de OSVDB, consulte http://osvdb.org/.Para obtener más información acerca de NVDB, consulte http://nvd.nist.gov/.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. En la barra de herramientas, pulse Buscar > Nueva búsqueda.4. Elija una de las siguientes opciones:v Para cargar una búsqueda guardada anteriormente, vaya al Paso 5.v Para crear una nueva búsqueda, vaya al Paso 6.

5. Seleccione una búsqueda guardada anteriormente:a. Elija una de las siguientes opciones:v Opcional. En el recuadro de lista Grupo, seleccione el grupo de búsqueda

de activos que desea visualizar en la lista Búsquedas guardadasdisponibles.

v En la lista Búsquedas guardadas disponibles, seleccione la búsquedaguardada que desea cargar.

v En el campo Escriba la búsqueda guardada o seleccione en la lista,escriba el nombre de la búsqueda que desea cargar.

b. Pulse Cargar.6. En el panel Parámetros de búsqueda, defina los criterios de búsqueda:

a. En el primer recuadro de lista, seleccione el parámetro de activo que deseabuscar. Por ejemplo, Nombre de host, Clasificación de riesgo devulnerabilidad o Propietario técnico.

b. En el segundo recuadro de lista, seleccione el modificador que desea utilizarpara la búsqueda.

c. En el campo de entrada, escriba información específica que está relacionadacon el parámetro de búsqueda.

d. Pulse Añadir filtro.e. Repita estos pasos para cada filtro que desee añadir a los criterios de

búsqueda.7. Pulse Buscar.

Resultados

Puede guardar los criterios de búsqueda de activos. Consulte Guardar criterios debúsqueda de activos.

Guardar criterios de búsqueda de activosEn la pestaña Activo, puede guardar criterios de búsqueda configurados parapoder reutilizar los criterios. Los criterios de búsqueda guardados no caducan.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Realice una búsqueda.4. Pulse Guardar criterios.5. Entre valores para los parámetros:


http://osvdb.org/

http://nvd.nist.gov/


Especifique el nombre de esta búsqueda Escriba el nombre exclusivo que deseeasignar a este criterio de búsqueda.

Gestionar grupos Pulse Gestionar grupos para gestionargrupos de búsqueda. Esta opción sólo sevisualiza si tiene permisos administrativos.

Asignar búsqueda a grupo(s) Marque el recuadro de selección para elgrupo al que desea asignar esta búsquedaguardada. Si no selecciona un grupo, estabúsqueda guardada se asigna al grupo Otrosde forma predeterminada.

Incluir en Búsquedas rápidas Marque este recuadro de selección paraincluir esta búsqueda en el recuadro de listaBúsqueda rápida, que se encuentra en labarra de herramientas de la pestaña Activos.

Establecer como valor predeterminado Marque este recuadro de selección paraestablecer esta búsqueda como búsquedapredeterminada cuando accede a la pestañaActivos.

Compartir con todos Marque este recuadro de selección paracompartir estos requisitos de búsqueda contodos los usuarios.

Grupos de búsqueda de activosUtilizando la ventana Grupos de búsqueda de activos, puede crear y gestionargrupos de búsqueda de activos.

Estos grupos le permiten localizar fácilmente criterios de búsqueda guardados enla pestaña Activos.

Visualización de grupos de búsquedaUtilice la ventana Grupos de búsqueda de activos para ver una lista de grupos ysubgrupos.


En la ventana Grupos de búsqueda de activos, puede ver detalles acerca de cadagrupo, incluyendo una descripción y la fecha en que se ha modificado por últimavez el grupo.

Todas las búsquedas guardadas que no se asignan a un grupo están en el grupoOtros.

La ventana Grupos de búsqueda de activos muestra los parámetros siguientes paracada grupo:

Tabla 31. Funciones de barra de herramientas de ventanas Grupos de búsqueda de activos


Grupo nuevo Para crear un nuevo grupo de búsqueda,puede pulsar Grupo nuevo. ConsulteCreación de un grupo de búsqueda nuevo.


Tabla 31. Funciones de barra de herramientas de ventanas Grupos de búsqueda deactivos (continuación)


Editar Para editar un grupo de búsqueda existente,puede pulsar en Editar. Consulte Edición deun grupo de búsqueda.

Copiar Para copiar una búsqueda guardada en otrogrupo de búsqueda, puede pulsar en Copiar.Consulte Copia de una búsqueda guardadaen otro grupo.

Eliminar Para eliminar un grupo de búsqueda o unabúsqueda guardada de un grupo debúsqueda, seleccione el elemento que deseaeliminar y luego pulse Eliminar. ConsulteEliminación de un grupo o una búsquedaguardada de un grupo.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Seleccione Buscar > Nueva búsqueda.4. Pulse Gestionar grupos.5. Vea los grupos de búsqueda.

Creación de un grupo de búsqueda nuevoEn la ventana Grupos de búsqueda de activos, puede crear un nuevo grupo debúsqueda.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Seleccione Buscar > Nueva búsqueda.4. Pulse Gestionar grupos.5. Seleccione la carpeta para el grupo donde desea crear el nuevo grupo.6. Pulse Grupo nuevo.7. En el campo Nombre, escriba un nombre exclusivo para el nuevo grupo.8. Opcional. En el campo Descripción, escriba una descripción.9. Pulse Aceptar.

Edición de un grupo de búsquedaPuede editar los campos Nombre y Descripción de un grupo de búsqueda.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Seleccione Buscar > Nueva búsqueda.4. Pulse Gestionar grupos.5. Seleccione el grupo que desea editar.6. Pulse Editar.


7. Escriba un nombre nuevo en el campo Nombre.8. Escriba una nueva descripción en el campo Descripción.9. Pulse Aceptar.

Copia de una búsqueda guardada en otro grupoPuede copiar una búsqueda guardada en otro grupo. También puede copiar labúsqueda guardada en más de un grupo.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Seleccione Buscar > Nueva búsqueda.4. Pulse Gestionar grupos.5. Seleccione la búsqueda guardada que desea copiar.6. Pulse Copiar.7. En la ventana Grupos de elementos, marque el recuadro de selección para el

grupo en el que desea copiar la búsqueda guardada.8. Pulse Asignar grupos.

Eliminación de un grupo o una búsqueda guardada de un grupoPuede utilizar el icono Eliminar para eliminar una búsqueda de un grupo oeliminar un grupo de búsqueda.


Cuando se elimina una búsqueda guardada de un grupo, la búsqueda guardada nose suprime del sistema. La búsqueda guardada se elimina del grupo y se mueveautomáticamente al grupo Otros.

No puede eliminar los grupos siguientes del sistema:v Grupos de búsqueda de activosv Otros

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Seleccione Buscar > Nueva búsqueda.4. Pulse Gestionar grupos.5. Seleccione la búsqueda guardada que desea eliminar del grupo:v Seleccione la búsqueda guardada que desea eliminar del grupo.v Seleccione el grupo que desea eliminar.

Tareas de gestión de perfiles de activoPuede suprimir, importar y exportar perfiles de activos utilizando la pestañaActivos.


Utilizando la pestaña Activos, puede suprimir, importar y exportar perfiles deactivos.


Supresión de activosPuede suprimir activos específicos o todos los perfiles de activo listados.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Seleccione el activo que desea suprimir y, a continuación, seleccione Suprimir

activo en el recuadro de lista Acciones.4. Pulse Aceptar.

Importación de perfiles de activoPuede importar información de perfil de activo.

Antes de empezar

El archivo importado debe ser un archivo CSV con el formato siguiente:ip,nombre,peso,descripción

Donde:v IP: Especifica cualquier dirección IP válida en formato decimal con puntos. Por

ejemplo: 192.168.5.34.v Nombre: Especifica el nombre de este activo con una longitud de hasta 255

caracteres. Las comas no son válidas en este campo e invalidan el proceso deimportación. Por ejemplo: WebServer01 es correcto.

v Peso: Especifica un número de 0 a 10, que indica la importancia de este activoen la red. Un valor de 0 indica una importancia baja y 10 es muy alta.

v Descripción: Especifica una descripción textual para este activo con unalongitud de hasta 255 caracteres. Este valor es opcional.

Por ejemplo, las siguientes entradas se pueden incluir en un archivo CSV:v

192.168.5.34,WebServer01,5,Main Production Web Server

v192.168.5.35,MailServ01,0,

El proceso de importación fusiona los perfiles de activo importados con lainformación de perfil de activo que está actualmente almacenada en el sistema.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. En el recuadro de lista Acciones, seleccione Importar activos.4. Pulse Examinar para localizar y seleccionar el archivo CSV que desea importar.5. Pulse Importar activos para empezar el proceso de importación.

Exportación de activosPuede exportar perfiles de activo listados a un archivo XML (Extended MarkupLanguage - Lenguaje de marcado extensible) o CSV (Comma-Separated Value -Valor separado por comas).


Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. En el cuadro de lista Acciones, seleccione una de las opciones siguientes:v Exportar a XMLv Exportar a CSV

4. Vea la ventana de estado para el estado del proceso de exportación.5. Opcional: Si desea utilizar otras pestañas y páginas mientras la exportación está

en curso, pulse el enlace Notificar cuando termine.Cuando la exportación se haya completado, se visualizará la ventana Descargade archivo.

6. En la ventana Descarga de archivo, elija una de las opciones siguientes:v Abrir: Seleccione esta opción para abrir los resultados de exportación en el

navegador que haya elegido.v Guardar: Seleccione esta opción para guardar los resultados en el escritorio.

7. Pulse Aceptar.

Investigar vulnerabilidades de activoEl panel Vulnerabilidades en la página Perfil de activo visualiza una lista devulnerabilidades descubiertas para el activo.


Puede efectuar una doble pulsación en la vulnerabilidad a mostrar más detalles devulnerabilidad.

La ventana Investigar detalles de vulnerabilidad proporciona los detallessiguientes:


ID de vulnerabilidad Especifica el ID de la vulnerabilidad. El IDde vulnerabilidad es un identificadorexclusivo generado por VIS (VulnerabilityInformation System - Sistema deinformación de vulnerabilidad).

Fecha de publicación Especifica la fecha en la que los detalles devulnerabilidad se han publicado en laOSVDB.

Nombre Especifica el nombre de la vulnerabilidad.

Activos Especifica el número de activos de la redque tienen esta vulnerabilidad. Pulse elenlace para ver la lista de activos.

Activos, incluyendo excepciones Especifica el número de activos de la redque tienen excepciones de vulnerabilidad.Pulse el enlace para ver la lista de activos.



CVE Especifica el identificador de CVE para lavulnerabilidad. Los identificadores de CVElos proporciona la NVDB.

Pulse el enlace para obtener másinformación. Al pulsar en el enlace, el sitioweb NVDB se visualiza en una ventana denavegador nueva.

xforce Especifica el identificador de X-Force para lavulnerabilidad.

Pulse el enlace para obtener másinformación. Al pulsar el enlace, el sitio webde IBM Internet Security Systems sevisualiza en una ventana de navegadornueva.

OSVDB Especifica el identificador de OSVDB para lavulnerabilidad.

Pulse el enlace para obtener másinformación. Al pulsar el enlace, el sitio webOSVDB se visualiza en una ventana denavegador nueva.

Detalles de plug-in Especifica el ID de QRadar VulnerabilityManager.

Pulse el enlace para ver definiciones deOval, entradas de Windows Knowledge Baseo avisos de UNIX para la vulnerabilidad.

Esta característica proporciona informaciónsobre cómo QRadar Vulnerability Managercomprueba los detalles de vulnerabilidaddurante una exploración de parches. Puedeutilizarla para identificar por qué se hagenerado una vulnerabilidad en un activo opor qué no se ha generado.



Puntuación base CVSSVisualiza la puntuación de CVSS (CommonVulnerability Scoring System) de agregadode las vulnerabilidades en este activo. Unapuntuación de CVSS es una medida deevaluación de la gravedad de unavulnerabilidad. Puede utilizar puntuacionesde CVSS para medir el grado depreocupación garantizada por unavulnerabilidad en comparación con otrasvulnerabilidades.

La puntuación de CVSS se calcula utilizandolos siguientes parámetros definidos por elusuario:

v Potencial de daños colaterales

v Requisito de confidencialidad

v Requisito de disponibilidad

v Requisito de integridad

Para obtener más información sobre cómoconfigurar estos parámetros, consulte“Adición o edición de un perfil de activo”en la página 118.

Para obtener más información acerca deCVSS, consulte http://www.first.org/cvss/.

Impacto Visualiza el tipo de daño o perjuicio que sepuede esperar si se aprovecha estavulnerabilidad.

Medidas base de CVSSMuestra las medidas que se utilizan paracalcular la puntuación base de CVSS,incluyendo:

v Vector de acceso

v Complejidad de acceso

v Autenticación

v Impacto de confidencialidad

v Impacto de integridad

v Impacto de disponibilidad

Descripción Especifica una descripción de lavulnerabilidad detectada. Este valor sóloestá disponible cuando el sistema integraherramientas de VA.

Problema Especifica los efectos que la vulnerabilidadpuede tener en la red.

Solución Siga las instrucciones que se proporcionanpara resolver la vulnerabilidad.


http://www.first.org/cvss/


Parcheo virtual Visualiza la información de parche virtualasociada con esta vulnerabilidad, si estádisponible. Un parche virtual es unasolución de mitigación a corto plazo parauna vulnerabilidad descubiertarecientemente. Esta información se deriva delos sucesos de IPS (Intrusion ProtectionSystem - Sistema de prevención deintrusiones). Si desea instalar el parchevirtual, consulte la información deproveedor de IPS.

ReferenciaVisualiza una lista de referencias externas,incluyendo:

v Tipo de referencia: Especifica el tipo dereferencia que se lista, por ejemplo unalista de envío de correo o URL deadvertencia.

v URL: Especifica el URL que puede pulsarpara ver la referencia.

Pulse el enlace para obtener másinformación. Al pulsar el enlace, el recursoexterno se visualiza en una ventana denavegador nueva.

ProductosVisualiza una lista de productos que estánasociados con esta vulnerabilidad.

v Proveedor: Especifica el proveedor delproducto.

v Producto: Especifica el nombre deproducto.

v Versión: Especifica el número de versióndel producto.

Procedimiento1. Pulse la pestaña Activos.2. En el menú de navegación, pulse Perfiles de activo.3. Seleccione un perfil de activo.4. En el panel de vulnerabilidades, pulse el valor de parámetro ID o

Vulnerabilidad para la vulnerabilidad que desea investigar.



Capítulo 8. Gestión de gráficos

Puede ver los datos utilizando diversas opciones de configuración para gráficos.

Mediante los gráficos de la pestaña Actividad de registro y la pestaña Actividadde red puede ver los datos utilizando diversas opciones de configuración paragráficos.

Gestión de gráficosPuede utilizar varias opciones de configuración de gráficos para ver los datos.

Si selecciona un intervalo de tiempo o una opción de agrupación para ver losdatos, los gráficos se visualizan sobre la lista de sucesos o de flujos.

Los gráficos no se visualizan mientras se está en modalidad continua.

Puede configurar un gráfico para seleccionar los datos que desea trazar. Puedeconfigurar gráficos independientemente el uno del otro para visualizar losresultados de búsqueda desde diferentes perspectivas.

Los tipos de gráfico incluyen:v Gráfico de barras: Visualiza los datos en un gráfico de barras. Esta opción solo

está disponible para sucesos agrupados.v Gráfico circular: Visualiza datos en un gráfico circular. Esta opción solo está

disponible para sucesos agrupados.v Tabla: Visualiza datos en una tabla. Esta opción solo está disponible para sucesos

agrupados.v Serie temporal: Visualiza un gráfico de líneas interactivo que representa los

registros que se comparan por un intervalo de tiempo especificado. Para obtenerinformación sobre cómo configurar criterios de búsqueda de serie temporal,consulte Visión general de gráfico de serie temporal.

Después de configurar un gráfico, las configuraciones de gráfico se conservan al:v Cambiar la vista utilizando el recuadro de lista Visualizar.v Aplicar un filtro.v Guardar criterios de búsqueda.

Las configuraciones de gráfico no se conservan al:v Iniciar una búsqueda nueva.v Acceder a una búsqueda rápida.v Ver los resultados agrupados en una ventana de rama.v Guarde los resultados de búsqueda.

Nota: Si utiliza el navegador web Mozilla Firefox y se instala una extensión denavegador de bloqueador de anuncios, no se visualizan gráficos. Para visualizargráficos, debe eliminar la extensión de navegador de bloqueador de anuncios.Para obtener más información, consulte la documentación de navegador.


Visión general de gráfico de serie temporalLos gráficos de serie temporal son representaciones gráficas de la actividad a lolargo del tiempo.

Los picos y valles que se visualizan en los gráficos describen la actividad devolumen alto y bajo. Los gráficos de serie temporal son útiles para las tendenciasde corto plazo y largo plazo de los datos.

Mediante el uso de gráficos de serie temporal, puede acceder, navegar e investigarla actividad de registro o de red desde diversas vistas y perspectivas.

Nota: Debe tener los permisos de rol adecuados para gestionar y ver gráficos deserie temporal.

Para visualizar gráficos de serie temporal, debe crear y guardar una búsqueda queincluya opciones de agrupación y serie temporal. Puede guardar hasta 100búsquedas de serie temporal.

Las búsquedas guardadas de serie temporal predeterminadas son accesibles desdela lista de búsquedas disponibles en la página de búsqueda de sucesos o flujos.

Puede identificar fácilmente las búsquedas de serie temporal guardadas en el menúBúsquedas rápidas, porque el nombre de búsqueda se añade con el rango detiempo especificado en los criterios de búsqueda.

Si los parámetros de búsqueda coinciden con una búsqueda guardadaanteriormente para las opciones de agrupación y definición de columna, es posibleque se visualice automáticamente un gráfico de serie temporal para los resultadosde búsqueda. Si no se visualiza automáticamente un gráfico de series temporalpara los criterios de búsqueda no guardados, no existen criterios de búsquedaguardados anteriormente que coincidan con los parámetros de búsqueda. Si estoocurre, debe habilitar la captura de datos de serie temporal y guardar los criteriosde búsqueda.

Puede ampliar y explorar una línea temporal en un gráfico de series temporal parainvestigar la actividad. La tabla siguiente proporciona funciones que puede utilizarpara ver gráficos de serie temporal.


Tabla 32. Funciones de gráficos de serie temporal


Ver datos con mayor detalle Utilizando la característica de zoom, puedeinvestigar segmentos de tiempo máspequeños del tráfico de sucesos.

v Mueva el puntero del ratón sobre elgráfico y, a continuación, utilice la ruedadel ratón para ampliar el gráfico (girar larueda del ratón hacia arriba).

v Resalte el área del gráfico que deseaampliar. Cuando suelte el botón del ratón,el gráfico muestra un segmento de tiempomás pequeño. Ahora puede pulsar yarrastrar el gráfico para explorar elgráfico.

Al ampliar un gráfico de series temporal, elgráfico se renueva para mostrar unsegmento de tiempo más pequeños.

Ver un intervalo de tiempo mayor de datos Utilizando la característica de zoom, puedeinvestigar segmentos de tiempo más grandeso volver al rango de tiempo máximo. Puedeexpandir un rango de tiempo utilizando unade las opciones siguientes:

v Pulsar en el restablecimiento de zoom enla esquina superior izquierda del gráfico.

v Mover el puntero de ratón sobre el gráficoy, a continuación, utilizar la rueda delratón para expandir la vista (girar larueda del ratón hacia abajo).

Explorar el gráfico Cuando haya aumentado un gráfico deseries temporal, puede pulsar y arrastrar elgráfico a la izquierda o a la derecha paraexplorar la línea temporal.

Leyendas de gráficosCada gráfico proporciona una leyenda, que es una referencia visual para ayudarlea asociar los objetos de gráfico con los parámetros que representan.

Mediante la característica de leyenda, puede realizar las acciones siguientes:v Mueva el puntero del ratón sobre un elemento de leyenda o el bloque de color

de leyenda para ver más información sobre los parámetros que representa.v Pulse el botón derecho del ratón en el elemento de leyenda para investigar el

elemento adicionalmente.v Pulse un elemento de leyenda de gráfico circular o de barras para ocultar el

elemento en el gráfico. Pulse el elemento de leyenda de nuevo para mostrar elelemento oculto. También puede pulsar el elemento de gráfico correspondientepara ocultar y mostrar el elemento.

v Pulse Leyenda, o la flecha que se encuentra junto a ella, si desea eliminar laleyenda de la pantalla de gráfico.

Capítulo 8. Gestión de gráficos 135

Configuración de gráficosPuede utilizar opciones de configuración para cambiar el tipo de gráfico, el tipo deobjeto del que desea crear el gráfico y el número de objetos que se representan enel gráfico. Para gráficos de serie temporal, también puede seleccionar un intervalode tiempo y habilitar la captura de datos de serie temporal.


Los datos se pueden acumular para que cuando se realice una búsqueda de serietemporal, esté disponible una memoria caché de datos para visualizar datos para elperiodo de tiempo anterior. Después de habilitar la captura de datos de serietemporal para un parámetro seleccionado, se visualiza un asterisco (*) junto alparámetro en el recuadro de lista Valor para gráfico.

Restricción: Los gráficos no se visualizan cuando se visualizan sucesos o flujos enmodalidad de tiempo real (modalidad continua). Para visualizar gráficos, debeacceder a la pestaña Actividad de registro o Actividad de red y realizar unabúsqueda agrupada que especifica un rango de tiempo.

Procedimiento1. Pulse la pestaña Actividad de registro o Actividad de red.2. Para crear una búsqueda agrupada, siga estos pasos:

a. En la barra de herramientas, pulse Buscar > Nueva búsqueda.b. En Búsquedas guardadas disponibles, seleccione una búsqueda y pulse

Cargar.c. Vaya al panel Definición de columna y si el cuadro de lista Agrupar por

está vacío, en la lista Columnas disponibles seleccione una columna.d. Pulse Buscar.

3. Para utilizar una búsqueda agrupada, en la barra de herramientas pulseBúsquedas rápidas y seleccione una búsqueda agrupada.

4. En el panel Gráficos, pulse el icono Configurar ( ).5. Configure los parámetros siguientes:


Valor para gráfico El tipo de objeto que desea trazar en el eje Ydel gráfico.

Las opciones incluyen todos los parámetrosde suceso o de flujo normalizados ypersonalizados que se incluyen en losparámetros de búsqueda.

Mostrar parte superior El número de objetos que desea ver en elgráfico. El valor predeterminado es 10. Siincluye más de 10 elementos en el gráfico,los datos serán ilegibles.

Tipo de gráfico Si el gráfico de barras, circular o de tabla sebasa en criterios de búsqueda guardados conun rango de tiempo de más de 1 hora, debepulsar Actualizar detalles para actualizar elgráfico y llenar los detalles de suceso.



Capturar datos de serie temporal Habilita la captura de datos de seriestemporales. Cuando se selecciona esterecuadro de selección, el gráfico empieza aacumular datos para gráficos de serietemporal. De forma predeterminada, estaopción está inhabilitada.

Esta opción solo está disponible en losgráficos de Serie temporal.

Rango de tiempo El rango de tiempo que desea ver.

Esta opción solo está disponible en gráficosde serie temporal.

6. Si ha seleccionado la opción de gráfico Serie temporal y ha habilitado la opciónCapturar datos de serie temporal, en el panel Gráficos, pulse Guardar .

7. Para ver la lista de sucesos o flujos si el rango de tiempo es mayor que 1 hora,pulse Actualizar detalles.

Capítulo 8. Gestión de gráficos 137


Capítulo 9. Búsquedas

Utilice las opciones de búsqueda e índice de IBM Security QRadar que mejoran elrendimiento de la búsqueda y devuelven resultados con más rapidez. Para buscarcriterios específicos, las búsquedas avanzadas utilizan series de búsqueda de AQL.

En las pestañas Actividad de registro, Actividad de red y Delitos, puedeespecificar criterios de filtro para buscar sucesos, flujos y delitos.

Búsquedas de sucesos y flujosPuede realizar búsquedas en las pestañas Actividad de registro, Actividad de redy Delitos.

Si el administrador de QRadar ha configurado restricciones de recurso paraestablecer limitaciones de tiempo o de datos sobre búsquedas de sucesos y de flujo,

el icono de restricción de recurso ( ) aparece junto al criterio de búsqueda.

Después de realizar una búsqueda, puede guardar los criterios de búsqueda y losresultados de la búsqueda.

Creación de una búsqueda personalizadaPuede buscar datos que coincidan con sus criterios utilizando opciones debúsqueda más específicas. Por ejemplo, puede especificar columnas para subúsqueda, que puede agrupar y reordenar para navegar más eficazmente por losresultados de la búsqueda.


La duración de la búsqueda varía dependiendo del tamaño de la base de datos.

Puede añadir nuevas opciones de búsqueda para filtrar los resultados de búsqueday encontrar el suceso o flujo específico que desea.

La tabla siguiente describe las opciones de búsqueda que puede utilizar parabuscar datos de suceso y de flujo:

Tabla 33. Opciones de búsqueda


Grupo Seleccione un grupo de búsqueda de sucesoso un grupo de búsqueda de flujos para verloen la lista Búsquedas guardadasdisponibles.

Escriba la búsqueda guardada o seleccioneen la lista

Escriba el nombre de una búsquedaguardada o una palabra clave para filtrar lalista Búsquedas guardadas disponibles.


Tabla 33. Opciones de búsqueda (continuación)


Búsquedas guardadas disponibles Esta lista muestra todas las búsquedasdisponibles, a menos que utilice las opcionesAgrupe o Escriba la búsqueda guardada oSeleccione en la lista para aplicar un filtro ala lista. Puede seleccionar una búsquedaguardada en esta lista para visualizarla oeditarla.

Buscar El icono Buscar está disponible en variospaneles de la página de búsqueda. Puedepulsar Buscar cuando haya terminado deconfigurar la búsqueda y desee ver losresultados.

Incluir en Búsquedas rápidas Marque este recuadro de selección paraincluir esta búsqueda en el menú Búsquedarápida.

Incluir en Panel de control Marque este recuadro de selección paraincluir los datos de la búsqueda guardadaen la pestaña Panel de control. Para obtenermás información sobre la pestaña Panel decontrol, consulte Gestión de panel decontrol.Nota: Este parámetro sólo se visualiza si seagrupa la búsqueda.

Establecer como valor predeterminado Marque este recuadro de selección paraestablecer esta búsqueda como búsquedapredeterminada.

Compartir con todos Marque este recuadro de selección paracompartir esta búsqueda con todos losdemás usuarios.

Tiempo real (modalidad continua) Visualiza resultados en modalidad continua.

Nota: Cuando se habilita Tiempo real(modalidad continua), no puede agrupar losresultados de búsqueda. Si seleccionacualquier opción de agrupación en el panelDefinición de columna, se abre un mensajede error.

Último intervalo (renovación automática) Se produce una renovación de la pestañaActividad de registro y de la pestañaActividad de red a intervalos de un minutopara visualizar la información más reciente.

Reciente Después de seleccionar esta opción, debeseleccionar una opción de rango de tiempoen la lista.

Nota: Es posible que los resultados delúltimo minuto no estén disponibles.Seleccione la opción <Intervalo específico> sidesea ver todos los resultados.

Intervalo específico Después de seleccionar esta opción, debeseleccionar el rango de fecha y hora en loscalendarios Hora de inicio y Hora definalización.




Acumulación de datos Se visualiza cuando se carga una búsquedaguardada.

Si no se acumulan datos para esta búsquedaguardada, se visualiza el siguientebúsqueda: No se están acumulando datospara esta búsqueda.

Si se acumulan datos se acumulan para estabúsqueda guardada, se visualizan lasopciones siguientes:

Al pulsar el enlace de columna o pasar elpuntero del ratón sobre él, se abre una listade las columnas que están acumulandodatos.

Utilice el enlace Habilitar recuentosexclusivos/Inhabilitar recuentos exclusivospara visualizar recuentos de sucesos y flujosexclusivos en lugar de promedios derecuentos a lo largo del tiempo. Después depulsar el enlace Habilitar recuentosexclusivos, se abre un recuadro de diálogoque indica qué informes y búsquedasguardadas comparten los datos acumulados.

Utilice el enlace Habilitar recuentosexclusivos/Inhabilitar recuentos exclusivospara visualizar recuentos de sucesosexclusivos en lugar de promedios derecuentos a lo largo del tiempo. Después depulsar el enlace Habilitar recuentosexclusivos, se abre un recuadro de diálogoque indica qué informes y búsquedasguardadas comparten los datos acumulados.

Filtros actuales Muestra los filtros que se aplican a estabúsqueda.

Guardar resultados cuando finalice labúsqueda

Guarda los resultados de búsqueda.

Visualizar Especifica una columna predefinida que seha establecido para visualizarse en losresultados de búsqueda.

Nombre El nombre del diseño de columnapersonalizado.

Guardar diseño de columna Guarda un diseño de columna personalizadoque se ha modificado.

Suprimir diseño de columna Suprime un diseño de columnapersonalizado que se ha guardado.

Escriba la columna o seleccione en la lista Filtra las columnas que figuran en la listaColumnas disponibles.

Por ejemplo, escriba Device para visualizaruna lista de columnas que incluyan Deviceen el nombre de columna.

Capítulo 9. Búsquedas 141



Columnas disponibles Las columnas que se están utilizandoactualmente para esta búsqueda guardada seresaltan y se visualizan en la lista deColumnas.

Añadir y eliminar flechas de columna(conjunto superior)

Utilice el conjunto superior de flechas parapersonalizar la lista Agrupar por.

v Para añadir una columna, seleccione unao más columnas de la lista Columnasdisponibles y pulse la flecha derecha.

v Para eliminar una columna, seleccione unao más columnas de la lista Agrupar por ypulse la flecha izquierda.

Añadir y eliminar flechas de columna(conjunto inferior)

Utilice el conjunto inferior de flechas parapersonalizar la lista Columnas.

v Para añadir una columna, seleccione unao más columnas de la lista Columnasdisponibles y pulse la flecha derecha.

v Para eliminar una columna, seleccioneuna o más columnas de la lista Columnasy pulse la flecha izquierda.

Agrupar por Especifica las columnas en las que labúsqueda guardada agrupa los resultados.

v Para subir una columna en la lista deprioridad, seleccione una columna y pulsela flecha arriba. También puede arrastrarla columna hacia arriba en la lista.

v Para bajar una columna en la lista deprioridad, seleccione una columna y pulsela flecha abajo. También puede arrastrar lacolumna hacia abajo en la lista.

La lista de prioridad especifica en qué ordense agrupan los resultados. Los resultados debúsqueda se agrupan por la primeracolumna de la lista Agrupar por y, acontinuación, se agrupan por la columnasiguiente de la lista.




Columnas Especifica las columnas que se han elegidopara la búsqueda. Puede seleccionar máscolumnas de la lista Columnas disponibles.Puede personalizar adicionalmente la listaColumnas utilizando las opciones siguientes:

v Para subir una columna en la lista deprioridad, seleccione una columna y pulsela flecha arriba. También puede arrastrarla columna hacia arriba en la lista.

v Para bajar una columna en la lista deprioridad, seleccione una columna y pulsela flecha abajo. También puede arrastrar lacolumna hacia abajo en la lista.

Si el tipo de columna es numérico o estábasado en el tiempo y hay una entrada en lalista Agrupar por, la columna incluye unalista. Utilice el cuadro de lista para elegircómo desea agrupar la columna.

Si el tipo de columna es grupo, la columnaincluye una lista para elegir cuántos nivelesdesea incluir para el grupo.

Mover columnas entre la lista Agrupar por yla lista Columnas

Mueva columnas entre la lista Agrupar pory la lista Columnas seleccionando unacolumna de una lista y arrastrándola a laotra.

Ordenar por En la primera lista, seleccione la columnapor la que desee ordenar los resultados debúsqueda. A continuación, en la segundalista, seleccione el orden que desea paravisualizar para los resultados de búsqueda.

Límite de resultados Especifique el número de filas que unabúsqueda devuelve en la ventana Editarbúsqueda. El campo Límite de resultadostambién aparece en la ventana Resultados .

v Para una búsqueda guardada, el límite sealmacena en la búsqueda guardada y sevuelve a aplicar al cargar la búsqueda.

v Cuando ordena una columna delresultado de búsqueda que tiene un límitede filas, la ordenación se realiza dentro delas filas limitadas que se muestran en lacuadrícula de datos.

v En el caso de una búsqueda agrupada porcon el gráfico de serie temporal activado,el límite de filas sólo se aplica a lacuadrícula de datos. La lista N principalesdel gráfico de serie temporal controlacuántas series temporales se dibujan en elgráfico.


Procedimiento1. Elija una opción de búsqueda:v Para buscar sucesos, pulse la pestaña Actividad de registro.v Para buscar flujos, pulse la pestaña Actividad de red.

2. En la lista Buscar, seleccione Búsqueda nueva.3. Seleccione una búsqueda guardada anteriormente.4. Para crear una búsqueda, en el panel Rango de tiempo, seleccione las opciones

para el rango de tiempo que desea capturar para esta búsqueda.

Nota: El rango de tiempo que selecciona puede afectar al rendimiento, cuandoel rango de tiempo es grande.

5. Habilite recuentos exclusivos en el panel Acumulación de datos.

Nota: La habilitación de recuentos exclusivos en datos acumulados que secomparten con muchos otros informes y búsquedas guardadas puede disminuirel rendimiento del sistema.

6. En el panel Parámetros de búsqueda, defina los criterios de búsqueda.a. En la primera lista, seleccione un parámetro que desee buscar.b. En la segunda lista, seleccione el modificador que desea utilizar para la

búsqueda.c. Desde el campo de entrada, escriba información específica que está

relacionada con el parámetro de búsqueda.d. Pulse Añadir filtro.e. Repita estos pasos para cada filtro que vaya a añadir a los criterios de

búsqueda.7. Para guardar automáticamente los resultados de búsqueda cuando la búsqueda

se ha completado, marque el recuadro de selección Guarde los resultadoscuando finalice la búsqueda y, a continuación, escriba un nombre para labúsqueda guardada.

8. En el panel Definición de columna, defina las columnas y el diseño de columnaque desea utilizar para ver los resultados:a. En la lista Visualizar, seleccione la columna preconfigurada establecida para

asociarse con esta búsqueda.b. Pulse la flecha situada junto a Definición de vista avanzada para visualizar

parámetros de búsqueda avanzada.c. Personalice las columnas que se visualizarán en los resultados de búsqueda.d. En el campo Límite de resultados, escriba el número de filas que desea que

devuelva la búsqueda.9. Pulse Filtro.

Creación de un diseño de columna personalizadoCrear un diseño de columna personalizado añadiendo o eliminando columnas enun diseño existente.

Procedimiento1. En la pestaña Actividad de registro o la pestaña Actividad de red, pulse

Buscar > Editar búsqueda.2. En el panel Definición de columna, seleccione un diseño de columna existente

en la lista Visualizar.


Cuando modifica el diseño, el nombre de la lista Visualizar se cambiaautomáticamente por Personalizado.

3. Modifique el agrupamiento de búsquedas.a. Para añadir una columna al grupo de búsquedas, seleccione una columna

de la lista Columnas disponibles y pulse la flecha derecha para mover lacolumna a la lista Agrupar por.

b. Para mover una columna de la lista Columnas al grupo de búsquedas,seleccione una columna de la lista Columnas y arrástrela a la lista Agruparpor.

c. Para eliminar una columna del grupo de búsquedas, seleccione la columnade la lista Agrupar por y pulse la flecha izquierda.

d. Para cambiar el orden de los agrupamientos de columna, utilice las flechasarriba y abajo o arrastre las columnas a su sitio.

4. Modifique el diseño de la columna.a. Para añadir una columna a su diseño personalizado, seleccione una

columna de la lista Columnas disponibles y pulse la flecha derecha paramover la columna a la lista Columnas.

b. Para mover una columna de la lista Agrupar por a su diseño personalizado,seleccione una columna en la lista Agrupar por y arrástrela a la listaColumnas.

c. Para eliminar una columna del diseño personalizado, seleccione la columnade la lista Columnas y pulse la flecha izquierda.

d. Para cambiar el orden de sus columnas, utilice las flechas arriba y abajo oarrastre las columnas a su sitio.

5. En el campo Nombre, especifique el nombre de su diseño de columnapersonalizado.

6. Pulse Guardar diseño de columna.

Supresión de un diseño de columna personalizadoPuede suprimir un diseño de columna creado por el usuario existente.

Procedimiento1. En la pestaña Actividad de registro o la pestaña Actividad de red, pulse

Buscar > Editar búsqueda.2. En el panel Definición de columna, seleccione un diseño de columna creado

por el usuario existente en la lista Visualizar.3. Pulse Suprimir diseño de columna.

Guardar criterios de búsquedaPuede guardar los criterios de búsqueda configurados para poder reutilizar loscriterios y utilizar los criterios de búsqueda guardados en otros componentescomo, por ejemplo, informes. Los criterios de búsqueda guardados no caducan.


Si se especifica un rango temporal para la búsqueda, el nombre de búsqueda seañade con el rango de tiempo especificado. Por ejemplo, una búsqueda guardadadenominada Explotaciones por origen con un rango de tiempo de Últimos 5minutos se convierte en Explotaciones por origen - Últimos 5 minutos.

Si cambia una columna establecida en una búsqueda guardada anteriormente yluego guarda los criterios de búsqueda utilizando el mismo nombre, se perderán


las acumulaciones anteriores de gráficos de series temporales.

Procedimiento1. Elija una de las siguientes opciones:v Pulse la pestaña Actividad de registro.v Pulse la pestaña Actividad de red.

2. Realice una búsqueda.3. Pulse Guardar criterios.4. Entre valores para los parámetros:



Nombre de búsqueda Escriba el nombre exclusivo que deseeasignar a este criterio de búsqueda.

Asignar búsqueda a grupo(s) Marque el recuadro de selección para elgrupo al que desea asignar esta búsquedaguardada. Si no selecciona un grupo, estabúsqueda guardada se asigna al grupo Otrosde forma predeterminada. Para obtener másinformación, consulte Gestión de grupos debúsqueda.

Gestionar grupos Pulse Gestionar grupos para gestionargrupos de búsqueda. Para obtener másinformación, consulte Gestión de grupos debúsqueda.

Opciones de intervalo de tiempo: Elija una de las siguientes opciones:

v Tiempo real (modalidad continua):Seleccione esta opción para filtrar losresultados de búsqueda mientras se estáen modalidad continua.

v Último intervalo (renovación automática):Seleccione esta opción para filtrar losresultados de búsqueda mientras se estáen modalidad de renovación automática.Se produce una renovación de la pestañaActividad de registro y de la pestañaActividad de red a intervalos de unminuto para visualizar la información másreciente.

v Reciente: Seleccione esta opción y, desdeeste recuadro de lista, seleccione el rangode tiempo por el que desea filtrar.

v Intervalo específico: Seleccione estaopción y, en el calendario, seleccione elrango de fecha y hora por el que deseafiltrar.

Incluir en Búsquedas rápidas Marque este recuadro de selección paraincluir esta búsqueda en el recuadro de listaBúsqueda rápida en la barra deherramientas.



Incluir en Panel de control Marque este recuadro de selección paraincluir los datos de la búsqueda guardadaen la pestaña Panel de control. Para obtenermás información sobre la pestaña Panel decontrol, consulte Gestión de panel decontrol.Nota: Este parámetro sólo se visualiza si seagrupa la búsqueda.


Compartir con todos Marque este recuadro de selección paracompartir estos requisitos de búsqueda contodos los usuarios.

5. Pulse Aceptar.

Búsqueda planificadaUtilice la opción de búsqueda planificada para planificar una búsqueda y ver losresultados.

Puede planificar que una búsqueda se ejecute a una hora específica del día o de lanoche.

Ejemplo:Si planifica que una búsqueda se ejecute por la noche, puede investigar por lamañana. A diferencia de los informes, tiene la opción de agrupar los resultados debúsqueda e investigar adicionalmente. Puede buscar el número de inicios de sesiónanómalos en el grupo de red. Si el resultado es generalmente 10 y el resultado dela búsqueda es 100, puede agrupar los resultados de búsqueda para facilitar lainvestigación. Para ver qué usuario tiene la mayoría de inicios de sesión anómalos,puede agruparlos por nombre de usuario. Puede continuar investigandoadicionalmente.

Puede planificar una búsqueda en sucesos o flujos desde la pestaña Informes.Debe seleccionar un conjunto de criterios de búsqueda previamente guardado parala planificación.1. Cree un informe

Especifique la siguiente información en la ventana Asistente de informes:v El tipo de gráfico es Sucesos/Archivos de registro o Flujos.v El informe se basa en una búsqueda guardada.v Genere un delito.

Puede elegir la opción Crear un delito individual o la opción Añadirresultado a un delito existente.También puede generar una búsqueda manual.

2. Vea los resultados de búsqueda

Puede ver los resultados de la búsqueda planificada desde la pestaña Delitos.v Los delitos de búsqueda planificada se identifican por la columna Tipo de

delito.


Si crea un delito individual, se genera un delito cada vez que se ejecuta elinforme. Si añade el resultado de búsqueda guardada en un delito existente, secrea un delito la primera vez que se ejecuta el informe. Las ejecuciones deinforme subsiguientes se añaden a este delito. Si no se devuelven resultados, elsistema no añade o crea un delito.

v Para ver el resultado de búsqueda más reciente en la ventana Resumen dedelitos, efectúe una doble pulsación en un delito de búsqueda planificada de lalista de delitos. Para ver la lista de todas las ejecuciones de búsquedaplanificada, pulse Resultados de búsqueda en el panel Últimos 5 resultados debúsqueda.

Puede asignar un delito de búsqueda planificada a un usuario.Tareas relacionadas:“Creación de una búsqueda personalizada” en la página 139Puede buscar datos que coincidan con sus criterios utilizando opciones debúsqueda más específicas. Por ejemplo, puede especificar columnas para subúsqueda, que puede agrupar y reordenar para navegar más eficazmente por losresultados de la búsqueda.“Asignar delitos a usuarios” en la página 49De forma predeterminada, ningún delito nuevo está asignado. Puede asignar undelito a un usuario de IBM Security QRadar a efectos de investigación.

Opciones de búsqueda avanzadaUtilizar el campo Búsqueda avanzada para entrar un lenguaje de consulta de Ariel(AQL) que especifique los campos que desea y cómo desea agruparlos paraejecutar una consulta.

Nota: Cuando teclee una consulta de AQL, utilice apóstrofos para unacomparación de series y comillas para una comparación de valor de propiedad.

El campo Búsqueda avanzada tiene finalización automática y resaltado de sintaxis.

Utilice la finalización automática y el resaltado de sintaxis para ayudar a crearconsultas. Para obtener información sobre los navegadores web soportados,consulte “Navegadores web soportados” en la página 4

Nota: Si utiliza un filtro rápido en la pestaña Actividad de registro, debe renovarla ventana del navegador antes de ejecutar una búsqueda avanzada.

Acceso a búsqueda avanzada

Acceda a la opción Búsqueda avanzada desde la barra de herramientas Buscar queestá en las pestañas Actividad de red y Actividad de registro para escribir unaconsulta de AQL.

Seleccione Búsqueda avanzada desde el recuadro de lista de la barra deherramientas Buscar.

Expanda el campo Búsqueda avanzada siguiendo estos pasos:1. Arrastre el icono de expansión que se encuentra a la derecha del campo.2. Pulse Mayús + Intro para ir a la línea siguiente.3. Pulse Intro.


Puede pulsar el botón derecho del ratón en cualquier valor del resultado debúsqueda y filtrar por ese valor.

Efectúe una doble pulsación en cualquier fila del resultado de búsqueda para vermás detalles.

Todas las búsquedas, incluidas las búsquedas de AOL, se incluyen en el registro deauditoría.

Ejemplos de serie de búsqueda de AQL

La tabla siguiente proporciona ejemplos de las series de búsqueda de AOL.

Tabla 34. Ejemplos de series de búsqueda de AOL

Descripción Ejemplo

Seleccionar columnas predeterminadas ensucesos.

Seleccionar columnas predeterminados enflujos.

SELECT * FROM events

SELECT * FROM flows

Seleccionar columnas específicas. SELECT sourceip, destinationip FROMevents

Seleccionar columnas específicas y ordenarlos resultados.

SELECT sourceip, destinationip FROMevents ORDER BY destinationip

Ejecutar una consulta de búsquedaagregada.

SELECT sourceip, SUM(magnitude) ASmagsum FROM events GROUP BY sourceip

Ejecutar una llamada de función en unacláusula SELECT.

SELECT CATEGORYNAME(category) ASnamedCategory FROM events

Filtrar los resultados de búsqueda utilizandouna cláusula WHERE.

SELECT CATEGORYNAME(category) ASnamedCategory, magnitude FROM eventsWHERE magnitude > 1

Buscar sucesos que han desencadenado unaregla específica, que se basa en el nombre deregla o el texto parcial en el nombre deregla.

SELECT LOGSOURCENAME(logsourceid), *from events where RULENAME(creeventlist)ILIKE '%suspicious%'

Hacer referencia a nombres de campo quecontienen caracteres especiales, por ejemplocaracteres aritméticos o espacios, poniendoel nombre de campo entre comillas.

SELECT sourceip, destinationip,"+field/name+" FROM events WHERE"+field/name+" LIKE '%test%'

La tabla siguiente proporciona ejemplos de las series de búsqueda de AQL paraX-Force.

Tabla 35. Ejemplos de series de búsqueda de AQL para X-Force


Comparar una dirección IP con unacategoría de X-Force con un valor deconfianza.

select * from events whereXFORCE_IP_CONFIDENCE('Spam',sourceip)>3

Buscar las categorías de URL de X-Forceasociadas con un URL.

select url, XFORCE_URL_CATEGORY(url) asmyCategories from events whereXFORCE_URL_CATEGORY(url) IS NOT NULL


Tabla 35. Ejemplos de series de búsqueda de AQL para X-Force (continuación)


Recuperar las categorías de IP de X-Forceque están asociadas con una IP.

select sourceip,XFORCE_IP_CATEGORY(sourceip) asIPcategories from events whereXFORCE_IP_CATEGORY(sourceip) IS NOT NULL

Para obtener más información acerca de las funciones y los campos y operadoresde búsqueda, consulte la publicación Ariel Query Language guide.

Ejemplos de cadenas de búsqueda de AQLUtilice Ariel Query Language (AQL) para recuperar campos determinados de lossucesos, flujos y tablas simarc contenidos en la base de datos Ariel.

Nota: Cuando construye una consulta AQL, si copia texto que contiene apóstrofosde cualquier documento y lo pega en IBM Security QRadar, la consulta no seanalizará. Como solución, puede pegar el texto en QRadar y volver a teclear losapóstrofos o puede copiar y pegar el texto de IBM Knowledge Center.

Informes de uso de cuenta

Comunidades de usuarios diferentes pueden tener indicadores de amenazas y deuso diferentes.

Utilice datos de referencia para informar sobre diversas propiedades de usuario,tales como departamento, ubicación o gestor. Puede utilizar datos de referenciaexternos.

La consulta siguiente devuelve información de metadatos sobre el usuario a partirde sucesos de inicio de sesión.SELECTREFERENCETABLE(’user_data’,’FullName’,username) as ’Full Name’,REFERENCETABLE(’user_data’,’Location’,username) as ’Location’,REFERENCETABLE(’user_data’,’Manager’,username) as ’Manager’,UNIQUECOUNT(username) as ’Userid Count’,UNIQUECOUNT(sourceip) as ’Source IP Count’,COUNT(*) as ’Event Count’FROM eventsWHERE qidname(qid) ILIKE ’%logon%’GROUP BY ’Full Name’, ’Location’, ’Manager’LAST 1 days

Identificadores de cuenta múltiples

En este ejemplo, los usuarios tienen varias cuentas en la red. La empresa necesitatener una vista individual de la actividad de un usuario.

Utilice datos de referencia para correlacionar un ID de usuario local con un IDglobal.

La consulta siguiente devuelve las cuentas de usuario que son utilizadas por un IDglobal en sucesos que están marcados como sospechosos.SELECTREFERENCEMAP(’GlobalID Mapping’,username) as ’Global ID’,REFERENCETABLE(’user_data’,’FullName’, ’Global ID’) as ’Full Name’,UNIQUECOUNT(username),COUNT(*) as ’Event count’


FROM eventsWHERE RULENAME(creEventlist) ILIKE ’%suspicious%’GROUP BY ’Global ID’LAST 1 days

La consulta siguiente muestra las actividades que se han realizado mediante un IDglobal.SELECTQIDNAME(qid) as ’Event name’,starttime as ’Time’,sourceip as ’Source IP’, destinationip as ’Destination IP’,username as ’Event Username’,REFERENCEMAP(’GlobalID_Mapping’, username)as ’Global User’FROM eventsWHERE ’Global User’ = ’John Doe’LAST 1 days

Identificar una emisión larga de señales de baliza sospechosa

Muchas amenazas utilizan mandato y control para transmitir periódicamentedurante días, semanas y meses.

Las búsquedas avanzadas pueden identificar patrones de conexión a lo largo deltiempo. Por ejemplo, puede investigar conexiones breves, constantes y de pequeñovolumen que se realizan cada día/semana/mes entre direcciones IP o entre unadirección IP y una ubicación geográfica.

La consulta siguiente detecta posibles casos de emisiones de señales de balizarealizadas cada hora.SELECT sourceip, destinationip,UNIQUECOUNT(DATEFORMAT(starttime,’HH’)) as ’different hours’,COUNT(*) as ’total flows’FROM flowsWHERE flowdirection = ’L2R’GROUP BY sourceip, destinationipHAVING "different hours" > 20AND "total flows" < 25LAST 24 hours

Consejo: Puede modificar esta consulta para trabajar en archivos de registro deproxy y otros tipos de sucesos.

La consulta siguiente detecta posibles casos de emisiones diarias de señales debaliza.SELECT sourceip, destinationip,UNIQUECOUNT(DATEFORMAT(starttime,’dd’))as ’different days’,COUNT(*) as ’total flows’FROM flowsWHERE flowdirection=’L2R’GROUP BY sourceip, destinationipHAVING "different days" > 4AND "total flows" < 14LAST 7 days

La consulta siguiente detecta la emisión diaria de señales de baliza entre unadirección IP de origen y una dirección IP de destino. Las horas de emisión deseñales de baliza no son las mismas cada día. El intervalo de tiempo entreemisiones es corto.


SELECTsourceip,LONG(DATEFORMAT(starttime,’hh’)) as hourofday,(AVG( hourofday*hourofday) - (AVG(hourofday)^2))as variance,COUNT(*) as ’total flows’FROM flowsGROUP BY sourceip, destinationipHAVING variance < 01 and "total flows" < 10LAST 7 days

La consulta siguiente detecta la emisión diaria de señales de baliza hacia undominio utilizando sucesos de registro de proxy. Las horas de emisión de señalesde baliza no son las mismas cada día. El intervalo de tiempo entre emisiones escorto.SELECT sourceip,LONG(DATEFORMAT(starttime,’hh’)) as hourofday,(AVG(hourofday*hourofday) - (AVG(hourofday)^2)) as variance,COUNT(*) as ’total events’FROM eventsWHERE LOGSOURCEGROUPNAME(devicegrouplist) ILIKE ’%proxy%’GROUP BY url_domainHAVING variance < 0.1 and "total events" < 10LAST 7 days

La propiedad url_domain es una propiedad personalizada de los archivos deregistro de proxy.

Datos de inteligencia sobre amenazas externas

Los datos de uso y de seguridad que están correlacionados con datos deinteligencia sobre amenazas externas pueden proporcionar indicadores importantessobre amenazas.

Las búsquedas avanzadas pueden asociar indicadores de amenazas externas conotros sucesos de seguridad y datos de uso.

Esta consulta muestra cómo puede analizar datos de amenazas externas durantemuchos días, semanas o meses para identificar y priorizar el nivel de riesgo deactivos y cuentas.SelectREFERENCETABLE(’ip_threat_data’,’Category’,destinationip) as ’Category’,REFERENCETABLE(’ip_threat_data’,’Rating’, destinationip) as ’Threat Rating’,UNIQUECOUNT(sourceip) as ’Source IP Count’,UNIQUECOUNT(destinationip) as ’Destination IP Count’FROM eventsGROUP BY ’Category’, ’Threat Rating’LAST 1 days

Inteligencia y configuración de activos

Los indicadores de amenazas y de uso varían según el tipo de activo, sistemaoperativo, vulnerabilidad, tipo de servidor, clasificación y otros parámetros.

La consulta siguiente utiliza búsquedas avanzadas y el modelo de activos paraobtener conocimientos operativos respecto a una ubicación.

La función Assetproperty obtiene valores de propiedad de activos, lo cual permiteincluir datos de activos en los resultados.


SELECTASSETPROPERTY(’Location’,sourceip) as location,COUNT(*) as ’event count’FROM eventsGROUP BY locationLAST 1 days

La consulta siguiente muestra cómo puede utilizar búsquedas avanzadas y elseguimiento de identidades de usuario en el modelo de activos.

La función AssetUser obtiene el nombre de usuario a partir de la base de datos deactivos.SELECTAPPLICATIONNAME(applicationid) as App,ASSETUSER(sourceip, now()) as srcAssetUser,COUNT(*) as ’Total Flows’FROM flowsWHERE srcAssetUser IS NOT NULLGROUP BY App, srcAssetUserORDER BY "Total Flows" DESCLAST 3 HOURS

Función de búsqueda de red

Puede utilizar la función de búsqueda de red para obtener el nombre de red queestá asociado a una dirección IP.SELECT NETWORKNAME(sourceip) as srcnet,NETWORKNAME(destinationip) as dstnetFROM events

Función de búsqueda de regla

Puede utilizar la función de búsqueda de regla para obtener el nombre de unaregla por su identificador.SELECT RULENAME(123) FROM events

La consulta siguiente devuelve los sucesos que activaron un nombre de regladeterminado.SELECT * FROM eventsWHERE RULENAME(creEventList) ILIKE ’%my rule name%’

Búsqueda de texto completo TEXT SEARCH

Puede utilizar el operador TEXT SEARCH para realizar búsquedas de textocompleto mediante la opción Búsqueda avanzada.

En este ejemplo, hay un número de sucesos que contienen la palabra "firewall" enla carga útil. Puede buscar estos sucesos con la opción Filtro rápido y la opciónBúsqueda avanzada en la pestaña Actividad de registro.v Para utilizar la opción Filtro rápido, escriba el texto siguiente en el cuadro Filtro

rápido: 'firewall'v Para utilizar la opción Búsqueda avanzada, escriba la consulta siguiente en el

cuadro Búsqueda avanzada:SELECT QIDNAME(qid) AS EventName, * from events where TEXT SEARCH ’firewall’


Propiedad personalizada

Puede acceder a las propiedades personalizadas para sucesos y flujos cuandoutiliza la opción Búsqueda avanzada.

La consulta siguiente utiliza la propiedad personalizada "MyWebsiteUrl" paraordenar sucesos por un URL web determinada:SELECT "MyWebsiteUrl", * FROM events ORDER BY "MyWebsiteUrl"

Tareas relacionadas:“Creación de una propiedad personalizada basada en expresión regular” en lapágina 180Puede crear una propiedad personalizada basada en expresión regular paracomparar cargas útiles de sucesos o flujos con una expresión regular.

Opciones de búsqueda de Filtro rápidoBuscar cargas útiles de sucesos y flujos escribiendo una serie de búsqueda de textoque utilice palabras o frases simples.

El filtro rápido es uno de los métodos más rápidos que puede utilizar para datosespecíficos en cargas útiles de sucesos o flujos. Por ejemplo, puede utilizar el filtrorápido para buscar el tipo de información siguiente:v Cada dispositivo de cortafuegos asignado a un rango de direcciones específico

durante la semana pasadav Una serie de archivos PDF enviados por una cuenta de Gmail en los últimos

cinco díasv Todos los registros de un periodo de dos meses que coinciden exactamente con

un nombre de usuario con guionesv Una lista de direcciones de sitios web que terminan en .ca

Puede filtrar las búsquedas desde estas ubicaciones:

Barra de herramientas Actividad de registro y barras de herramientas Actividadde red Seleccione Filtro rápido en el recuadro de lista de la barra de herramientas

Buscar para escribir una serie de búsqueda de texto. Pulse el icono Filtrorápido para aplicar el Filtro rápido a la lista de sucesos o flujos.

Recuadro de diálogo Añadir filtroPulse el icono Añadir filtro en la pestaña Actividad de registro oActividad de red.

Seleccione Filtro rápido como parámetro de filtro y escriba una serie debúsqueda de texto.

Páginas de búsqueda de flujosAñada un filtro rápido a la lista de filtros.

Cuando vea flujos en tiempo real (modalidad continua) o modalidad del últimointervalo, puede escribir sólo palabras o frases simples en el campo Filtro rápido.Cuando vea sucesos o flujos en un rango de tiempo, siga estas directrices desintaxis:

Tabla 36. Directrices de sintaxis de filtro rápido


Incluir cualquier texto sin formato que seespera encontrar en la carga útil.

Firewall


Tabla 36. Directrices de sintaxis de filtro rápido (continuación)


Buscar frases exactas incluyendo variostérminos entre comillas.

“Denegación de cortafuegos"

Incluir caracteres comodín individuales ymúltiples. El término de búsqueda no puedeempezar con un comodín.

F?rewall o F??ew*

Agrupar términos con expresiones lógicas,por ejemplo AND, OR y NOT. Para que sereconozca como expresiones lógicas y nocomo términos de búsqueda, la sintaxis y losoperadores deben estar en mayúsculas.

(%PIX* AND ("Accessed URL" OR "Deny udpsrc") AND 10.100.100.*)

Al crear criterios de búsqueda que incluyenla expresión lógica NOT, debe incluir almenos otro tipo de expresión lógica, de locontrario, no se devuelven resultados.

(%PIX* AND ("Accessed URL" OR "Deny udpsrc") NOT 10.100.100.*)

Preceder los siguientes caracteres por unabarra inclinada invertida para indicar que elcarácter es parte del término de búsqueda: +- && || ! () {} [] ^ " ~ * ? : \.

"%PIX\-5\-304001"

Limitaciones

Las búsquedas de filtro rápido funcionan sobre datos de sucesos o flujos en brutoy no distinguen entre campos. Por ejemplo, las búsquedas de filtro rápidodevuelven coincidencias tanto para direcciones IP de origen como para direccionesIP de destino, a menos que incluya términos que puedan restringir los resultados.

Los términos de búsqueda se comparan en secuencia desde el primer carácter de lapalabra o frase de carga útil. El término de búsqueda user coincide con user_1 yuser_2, pero no coincide con las frases siguientes: ruser, myuser o anyuser.

Las búsquedas de Filtro rápido utilizan el entorno local inglés. El entorno local esun valor que identifica el idioma o la geografía y determina los convenios deformato como ordenación, conversión de mayúsculas y minúsculas, clasificación decaracteres, idioma de los mensajes, representación de la fecha y la hora yrepresentación numérica.

El entorno local lo establece el sistema operativo. Puede configurar QRadar paraalterar temporalmente el valor del entorno local del sistema operativo. Porejemplo, puede establecer el entorno local en Inglés y QRadar Console puedeestablecerse en Italiano.

Si utiliza caracteres Unicode en la consulta de búsqueda de filtro rápido, podríandevolverse resultados de búsqueda inesperados.

Si elige un entorno local que no sea inglés, puede utilizar la opción Búsquedaavanzada en QRadar para realizar búsquedas en los datos de sucesos y carga útil.

¿Cómo funcionan la búsqueda de filtro rápido y las señales decarga útil?

El texto de la carga útil se divide en palabras, frases, símbolos u otros elementos.Estas señales se delimitan por espacio y puntuación. Las señales no coinciden


siempre con los términos de búsqueda especificados por el usuario lo que hace quealgunos términos no se encuentren cuando no coinciden con la señal generada. Loscaracteres delimitadores se descartan pero existen excepciones como por ejemplolas siguientes:v Los periodos que no van seguidos por un espacio en blanco se incluyen como

parte de la señal.Por ejemplo, 1.2.3.4:56 se señaliza como la señal de host 1.2.3.4 y la señal depuerto 56.

v Las palabras se dividen en los guiones, a menos que la palabra contenga unnúmero, en cuyo caso la señal no se divide y los números y los guiones seretienen como una señal.

v Los nombres de dominio de internet y las direcciones de correo electrónico seconservan como una sola señal.1.2.3.4/home/www se señaliza como una señal y el URL no se separa.1.2.3.7:/calling1/www2/scp4/path5/fff se señaliza como el host 1.2.3.7 y elresto es una señal /calling1/www2/scp4/path5/fff

Los nombres de archivo y los nombres de URL que contienen más de un signo desubrayado se dividen antes de un punto (.).

Ejemplo de varios signos de subrayado en un nombre de archivo:

Si utiliza hurricane_katrina_ladm118.jpg como término de búsqueda, se divide enlas señales siguientes:v hurricane

v katrina_ladm118.jpg

Busque el término de búsqueda completo en la carga útil poniendo comillasalrededor del término de búsqueda: "hurricane_katrina_ladm118.jpg"

Ejemplo de varios signos de subrayado en una vía de acceso de archivo relativa:

thumb.ladm1180830/thumb.ladm11808301806.hurricane_katrina_ladm118.jpg sedivide en las señales siguientes:v thumb.ladm1180830/thumb.ladm11808301806.hurricane

v katrina_ladm118.jpg

Para buscar hurricane_katrina_ladm118.jpg, que consta de una señal parcial y unaseñal completa, ponga un asterisco frente al término de consulta*hurricane_katrina_ladm118.jpg

Conceptos relacionados:Capítulo 9, “Búsquedas”, en la página 139Utilice las opciones de búsqueda e índice de IBM Security QRadar que mejoran elrendimiento de la búsqueda y devuelven resultados con más rapidez. Para buscarcriterios específicos, las búsquedas avanzadas utilizan series de búsqueda de AQL.

Búsquedas de delitosPuede buscar delitos utilizando criterios específicos para visualizar, en una lista deresultados, los delitos que coinciden con los criterios de búsqueda.


Puede crear una búsqueda nueva o cargar un conjunto de criterios de búsquedaque previamente se han guardado.

Buscar delitos en las páginas Mis delitos y Todos los delitosEn las páginas Mis delitos y Todos los delitos de la pestaña Delito, puede buscardelitos que coinciden con los criterios de búsqueda especificados.


La tabla siguiente describe las opciones de búsqueda que puede utilizar parabuscar datos de delito en las páginas Mis delitos y Todos los delitos.

Para obtener información sobre las categorías, consulte la publicación Guía deadministración de IBM Security QRadar.

Tabla 37. Opciones de búsqueda de las páginas Mis delitos y Todos los delitos


Grupo Este cuadro de lista le permite seleccionarun grupo de búsqueda de delito en la listaBúsquedas guardadas disponibles para suvisualización.

Escriba la búsqueda guardada o seleccioneen la lista

Este campo le permite escribir el nombre deuna búsqueda guardada o una palabra clavepara filtrar la lista Búsquedas guardadasdisponibles.

Búsquedas guardadas disponibles Esta lista muestra todas las búsquedasdisponibles, a menos que aplique un filtro ala lista utilizando las opciones Grupo oEscriba la búsqueda guardada o seleccioneen la lista. Puede seleccionar una búsquedaguardada en esta lista para visualizarla oeditarla.

Todos los delitos Esta opción le permite buscar todos losdelitos sin importar el rango de tiempo.

Reciente Esta opción le permite seleccionar un rangode tiempo predefinido que desee utilizarcomo filtro. Después de seleccionar estaopción, debe seleccionar una opción derango de tiempo en el cuadro de lista.


Tabla 37. Opciones de búsqueda de las páginas Mis delitos y Todos losdelitos (continuación)


Intervalo específico Esta opción le permite definir un rango detiempo personalizado para la búsqueda.Después de seleccionar esta opción, debeseleccionar una de las opciones siguientes.

v Fecha de inicio entre: seleccione estacasilla para buscar delitos que se iniciarondurante un periodo de tiempodeterminado. Después de seleccionar estacasilla, utilice los cuadros de lista paraseleccionar las fechas para las que deseebuscar.

v Último suceso/flujo entre: seleccione estacasilla para buscar delitos para los que elúltimo suceso detectado se produjo dentrode un periodo de tiempo determinado.Después de seleccionar esta casilla, utilicelos cuadros de lista para seleccionar lasfechas para las que desee buscar.

Buscar El icono Buscar está disponible en variospaneles de la página de búsqueda. Puedepulsar Buscar cuando termine de configurarla búsqueda y desee ver los resultados.

ID de delito En este campo, puede escribir el ID de delitoque desee buscar.

Descripción En este campo, puede escribir la descripciónpara la que desee buscar.

Asignado a usuario En este cuadro de lista, puede seleccionar elnombre de usuario para el que desee buscar.

Dirección En este cuadro de lista, puede seleccionar ladirección de delito para la que desee buscar.Las opciones son:

v Local a local

v Local a remoto

v Remoto a local

v Remoto a remoto

v Local a remoto o local

v Remoto a remoto o local

IP de origen En este campo, puede escribir la dirección IPde origen o rango de CIDR para el quedesee buscar.

IP de destino En este campo, puede escribir la dirección IPde destino o rango de CIDR para el quedesee buscar.

Magnitud En este cuadro de lista, puede especificar unvalor de magnitud y luego seleccionar quesolamente se muestren los delitos cuyamagnitud sea igual, menor o mayor que elvalor configurado. El rango de valores es 0 -10.




Gravedad En este cuadro de lista, puede especificar unvalor de gravedad y luego seleccionar quesolamente se muestren los delitos cuyagravedad sea igual, menor o mayor que elvalor configurado. El rango de valores es 0 -10.

Credibilidad En este cuadro de lista, puede especificar unvalor de credibilidad y luego seleccionar quesolamente se muestren los delitos cuyacredibilidad sea igual, menor o mayor que elvalor configurado. El rango de valores es 0 -10.

Importancia En este cuadro de lista, puede especificar unvalor de importancia y luego seleccionar quesolamente se muestren los delitos cuyaimportancia sea igual, menor o mayor que elvalor configurado. El rango de valores es 0 -10.

Contiene nombre de usuario En este campo, puede escribir una sentenciade expresión regular (regex) para buscardelitos que contienen un nombre de usuariodeterminado. Cuando defina patrones deexpresión de regular personalizados, siga lasreglas de expresión regular tal como estándefinidas por el lenguaje de programaciónJava™. Para obtener más información, puedeconsultar las guías de aprendizaje sobreexpresiones regulares que encontrará en laweb.

Red de origen En este cuadro de lista, puede seleccionar lared de origen para la que desee buscar.

Red de destino En este cuadro de lista, puede seleccionar lared de destino para la que desee buscar.

Categoría de nivel alto En este cuadro de lista, puede seleccionar lacategoría de nivel alto para la que deseebuscar. .

Categoría de nivel bajo En este cuadro de lista, puede seleccionar lacategoría de nivel bajo para la que deseebuscar.

Excluir Las opciones de este panel le permitenexcluir delitos en los resultados debúsqueda. Las opciones son:

v Delitos activos

v Delitos ocultos

v Delitos cerrados

v Delitos inactivos

v Delitos protegidos




Cerrado por usuario Este parámetro sólo se muestra cuando lacasilla Delitos cerrados está en blanco en elpanel Excluir.

En este cuadro de lista, puede seleccionar elnombre de usuario para el que desee buscardelitos cerrados, o seleccionar Cualquierapara mostrar todos los delitos cerrados.

Razón del cierre Este parámetro sólo se muestra cuando lacasilla Delitos cerrados está en blanco en elpanel Excluir.

En este cuadro de lista, puede seleccionaruna razón para la que desee buscar delitoscerrados, o seleccionar Cualquiera paramostrar todos los delitos cerrados.

Sucesos En este cuadro de lista, puede especificar unvalor de recuento de sucesos y luegoseleccionar que solamente se muestren losdelitos cuyo recuento de sucesos sea igual,menor o mayor que el valor configurado.

Flujos En este cuadro de lista, puede especificar unvalor de recuento de flujos y luegoseleccionar que solamente se muestren losdelitos cuyo recuento de flujos sea igual,menor o mayor que el valor configurado.

Sucesos/flujos totales En este cuadro de lista, puede especificar unvalor de recuento total de sucesosy flujos yluego seleccionar que solamente se muestrenlos delitos cuyo recuento total de sucesosyflujos sea igual, menor o mayor que el valorconfigurado.

Destinos En este cuadro de lista, puede especificar unvalor de recuento de direcciones IP dedestino y luego seleccionar que solamente semuestren los delitos cuyo recuento dedirecciones IP de destino sea igual, menor omayor que el valor configurado.

Grupo de origen de registro En este cuadro de lista, puede seleccionar ungrupo de origen de registro que contiene elorigen de registro para el que desee buscar.El cuadro de lista Origen de registromuestra todos los orígenes de registro quese han asignado al grupo de origen deregistro seleccionado.

Origen de registro En este cuadro de lista, puede seleccionar elorigen de registro para el que desee buscar.

Grupo de reglas En este cuadro de lista, puede seleccionar ungrupo de reglas que contiene la reglacontribuyente para la que desee buscar. Elcuadro de lista Regla muestra todas lasreglas que están asignadas al grupo dereglas seleccionado.




Regla En este cuadro de lista, puede seleccionar laregla contribuyente para la que desee buscar.

Tipo de delito En este cuadro de lista, puede seleccionar untipo de delito para el que desee buscar. Paraobtener más información sobre las opcionesdel cuadro de lista Tipo de delito, consultela Tabla 2.

La tabla siguiente describe las opciones disponibles en el cuadro de lista Tipo dedelito:

Tabla 38. Opciones de tipo de delito

Tipos de delito Descripción

Cualquiera Esta opción busca todos los orígenes deregistro.

IP de origen Para buscar delitos con una dirección IP deorigen determinada, puede seleccionar estaopción y luego escribir la dirección IP deorigen para la que desee buscar.

IP de destino Para buscar delitos con una dirección IP dedestino determinada, puede seleccionar estaopción y luego escribir la dirección IP dedestino para la que desee buscar.

Nombre de suceso Para buscar delitos con un nombre desuceso determinado, puede pulsar el iconoExaminar para abrir el Explorador desucesos y seleccionar el nombre de suceso(QID) para el que desee buscar.

Puede buscar un QID determinadoutilizando una de las opciones siguientes:

v Para buscar un QID por categoría,seleccione la casilla Examinar porcategoría y seleccione la categoría de nivelalto o bajo en los cuadros de lista.

v Para buscar un QID por tipo de origen deregistro, seleccione la casilla Examinar pororigen de registro y seleccione un tipo deorigen de registro en el cuadro de listaTipo de origen de registro.

v Para buscar un QID por tipo de origen deregistro, seleccione la casilla Examinar portipo de origen de registro y seleccione untipo de origen de registro en el cuadro delista Tipo de origen de registro.

v Para buscar un QID por nombre,seleccione la casilla Búsqueda de QID yescriba un nombre en el campoQID/Nombre.


Tabla 38. Opciones de tipo de delito (continuación)


Nombre de usuario Para buscar delitos con un nombre deusuario determinado, puede seleccionar estaopción y luego escribir el nombre de usuariopara el que desee buscar.

Dirección MAC de origen Para buscar delitos con una dirección MACde origen determinada, puede seleccionaresta opción y luego escribir la direcciónMAC de origen para la que desee buscar.

Dirección MAC de destino Para buscar delitos con una dirección MACde destino determinada, puede seleccionaresta opción y luego escribir la direcciónMAC de destino para la que desee buscar.

Origen de registro En el cuadro de lista Grupo de origen deregistro, puede seleccionar el grupo deorigen de registro que contiene el origen deregistro para el que desee buscar. El cuadrode lista Origen de registro muestra todoslos orígenes de registro que se han asignadoal grupo de origen de registro seleccionado.

En el cuadro de lista Origen de registro,seleccione el origen de registro para el quedesee buscar.

Nombre de host Para buscar delitos con un nombre de hostdeterminado, puede seleccionar esta opcióny luego escribir el nombre de host para elque desee buscar.

Puerto de origen Para buscar delitos con un puerto de origendeterminado, puede seleccionar esta opcióny luego escribir el puerto de origen para elque desee buscar.

Puerto de destino Para buscar delitos con un puerto de destinodeterminado, puede seleccionar esta opcióny luego escribir el puerto de destino para elque desee buscar.

IPv6 de origen Para buscar delitos con una dirección IPv6de origen determinada, puede seleccionaresta opción y luego escribir la dirección IPv6de origen para la que desee buscar.

IPv6 de destino Para buscar delitos con una dirección IPv6de destino determinada, puede seleccionaresta opción y luego escribir la dirección IPv6de destino para la que desee buscar.

ASN de origen Para buscar delitos con un ASN de origendeterminado, puede seleccionar el ASN deorigen en el cuadro de lista ASN de origen.

ASN de destino Para buscar delitos con un ASN de destinodeterminado, puede seleccionar el ASN dedestino en el cuadro de lista ASN dedestino.


Tabla 38. Opciones de tipo de delito (continuación)


Regla Para buscar delitos que están asociados auna regla determinada, puede seleccionar elgrupo de reglas donde reside la regla quedesee buscar en el cuadro de lista Grupo dereglas. El cuadro de lista Grupo de reglasmuestra todas las reglas que están asignadasal grupo de la reglas seleccionado. En elcuadro de lista Regla, seleccione la reglapara la que desee buscar.

ID de aplicación Para buscar delitos con un ID de aplicación,puede seleccionar el ID de aplicación en elcuadro de lista ID de aplicación.

Procedimiento1. Pulse la pestaña Delitos.2. En el cuadro de lista Buscar, seleccione Búsqueda nueva.3. Elija una de las siguientes opciones:v Para cargar una búsqueda guardada anteriormente, vaya al Paso 4.v Para crear una búsqueda nueva, vaya al Paso 7.

4. Seleccione una búsqueda guardada anteriormente utilizando una de estasopciones:v En la lista Búsquedas guardadas disponibles, seleccione la búsqueda

guardada que desee cargar.v En el campo Escriba la búsqueda guardada o Seleccione en la lista, escriba

el nombre de la búsqueda que desee cargar.5. Pulse Cargar.6. Opcional. Seleccione la casilla Establecer como valor predeterminado en el

panel Editar búsqueda para establecer la búsqueda actual como búsquedapredeterminada. Si establece esta búsqueda como búsqueda predeterminada,la búsqueda se ejecutará automáticamente y mostrará resultados cada vez queacceda a la pestaña Delitos.

7. En el panel Rango de tiempo, seleccione una opción para el rango de tiempoque desee capturar para esta búsqueda. Consulte la Tabla 1.

8. En el panel Parámetros de búsqueda, defina los criterios de búsquedaespecíficos. Consulte la Tabla 1.

9. En el panel Origen de delito, especifique el tipo de delito y origen de delitoque desee buscar:a. En el cuadro de lista, seleccione el tipo de delito para el que desee buscar.b. Escriba los parámetros de búsqueda. Consulte la Tabla 2.

10. En el panel Definición de columna, defina el orden en el que desee ordenarlos resultados:a. En el primer cuadro de lista, seleccione la columna por la que desee

ordenar los resultados de búsqueda.b. En el segundo cuadro de lista, seleccione el orden en el que desee mostrar

los resultados de búsqueda. Las opciones son Ascendente y Descendente.11. Pulse Buscar.



Guardar criterios de búsqueda en la pestaña Delito

Buscar delitos en la página Por IP de origenEste tema describe cómo buscar delitos en la página Por IP de origen de la pestañaDelito.


La tabla siguiente describe las opciones de búsqueda que puede utilizar parabuscar datos de delito en la página Por IP de origen:

Tabla 39. Opciones de búsqueda de la página Por IP de origen


Todos los delitos Puede seleccionar esta opción para buscartodas las direcciones IP de origen sinimportar el rango de tiempo.

Reciente Puede seleccionar esta opción y, desde estecuadro de lista, seleccionar el rango detiempo para el que desee buscar.

Intervalo específico Para especificar un intervalo para el quebuscar, puede seleccionar la opción Intervaloespecífico y luego seleccionar una de lasopciones siguientes:

v Fecha de inicio entre: seleccione estacasilla para buscar direcciones IP deorigen asociadas a delitos que se iniciarondurante un periodo de tiempodeterminado. Después de seleccionar estacasilla, utilice los cuadros de lista paraseleccionar las fechas para las que deseebuscar.

v Último suceso/flujo entre: seleccione estacasilla para buscar direcciones IP deorigen asociadas con delitos para los queel último suceso detectado se produjodentro de un periodo de tiempodeterminado. Después de seleccionar estacasilla, utilice los cuadros de lista paraseleccionar las fechas para las que deseebuscar.


IP de origen En este campo, puede escribir la dirección IPde origen o rango de CIDR para el quedesee buscar.

Magnitud En este cuadro de lista, puede especificar unvalor de magnitud y luego seleccionar quesolamente se muestren los delitos cuyamagnitud sea igual, menor o mayor que elvalor configurado. El rango de valores es 0 -10.


Tabla 39. Opciones de búsqueda de la página Por IP de origen (continuación)


Riesgo de VA En este cuadro de lista, puede especificar unvalor de riesgo de VA y luego seleccionarque solamente se muestren los delitos cuyoriesgo de VA sea igual, menor o mayor queel valor configurado. El rango de valores es0 - 10.

Sucesos/flujos En este cuadro de lista, puede especificar unvalor de recuento de sucesos o flujos y luegoseleccionar que solamente se muestren losdelitos cuyo recuento de sucesos o flujos seaigual, menor o mayor que el valorconfigurado.

Excluir Puede seleccionar las casillascorrespondientes a los delitos que deseeexcluir de los resultados de búsqueda. Lasopciones son:

v Delitos activos

v Delitos ocultos

v Delitos cerrados

v Delitos inactivos

v Delitos protegidos

Procedimiento1. Pulse la pestaña Delitos.2. Pulse Por IP de origen.3. En el cuadro de lista Buscar, seleccione Búsqueda nueva.4. En el panel Rango de tiempo, seleccione una opción para el rango de tiempo

que desee capturar para esta búsqueda. Consulte la Tabla 1.5. En el panel Parámetros de búsqueda, defina los criterios de búsqueda

específicos. Consulte la Tabla 1.6. En el panel Definición de columna, defina el orden en el que desee ordenar los

resultados:a. En el primer cuadro de lista, seleccione la columna por la que desee ordenar

los resultados de búsqueda.b. En el segundo cuadro de lista, seleccione el orden en el que desee mostrar

los resultados de búsqueda. Las opciones son Descendente y Ascendente.7. Pulse Buscar.



Buscar delitos en la página Por IP de destinoEn la página Por IP de destino de la pestaña Delito, puede buscar delitos queestán agrupados por la dirección IP de destino.



La tabla siguiente describe las opciones de búsqueda que puede utilizar parabuscar datos de delito en la página Por IP de destino:

Tabla 40. Opciones de búsqueda de la página Por IP de destino


Todos los delitos Puede seleccionar esta opción para buscartodas las direcciones IP de destino sinimportar el rango de tiempo.

Reciente Puede seleccionar esta opción y, desde estecuadro de lista, seleccionar el rango detiempo para el que desee buscar.

Intervalo específico Para especificar un intervalo determinadopara el que buscar, puede seleccionar laopción Intervalo específico y luegoseleccionar una de las opciones siguientes:

v Para especificar un intervalo determinadopara el que buscar, puede seleccionar laopción Intervalo específico y luegoseleccionar una de las opciones siguientes:

v Último suceso/flujo entre: seleccione estacasilla para buscar direcciones IP dedestino asociadas con delitos para los queel último suceso detectado se produjodentro de un periodo de tiempodeterminado. Después de seleccionar estacasilla, utilice los cuadros de lista paraseleccionar las fechas para las que deseebuscar


IP de destino Puede escribir la dirección IP de destino orango de CIDR para el que desee buscar.

Magnitud En este cuadro de lista, puede especificar unvalor de magnitud y luego seleccionar quesolamente se muestren los delitos cuyamagnitud sea igual, menor o mayor que elvalor configurado.

Riesgo de VA En este cuadro de lista, puede especificar unvalor de riesgo de VA y luego seleccionarque solamente se muestren los delitos cuyoriesgo de VA sea igual, menor o mayor queel valor configurado. El rango de valores es0 - 10.

Sucesos/flujos En este cuadro de lista puede especificar unamagnitud de recuento de suceso o flujo yseleccionar que solamente se visualicen losdelitos cuyo recuento de sucesos o flujos seaigual, menor o mayor que el valorconfigurado.


Procedimiento1. Pulse la pestaña Delitos.2. En el menú de navegación, pulse Por IP de destino.3. En el cuadro de lista Buscar, seleccione Búsqueda nueva.4. En el panel Rango de tiempo, seleccione una opción para el rango de tiempo

que desee capturar para esta búsqueda. Consulte la Tabla 1.5. En el panel Parámetros de búsqueda, defina los criterios de búsqueda







Buscar delitos en la página Por redEn la página Por red de la pestaña Delito, puede buscar delitos que estánagrupados por la red asociada.


La tabla siguiente describe las opciones de búsqueda que puede utilizar parabuscar datos de delito en la página Por Red:

Tabla 41. Opciones de búsqueda para buscar datos de delito en la página Por red


Red En este cuadro de lista, puede seleccionar lared para la que desee buscar.

Magnitud En este cuadro de lista, puede especificar unvalor de magnitud y luego seleccionar quesolamente se muestren los delitos cuyamagnitud sea igual, menor o mayor que elvalor configurado.

Riesgo de VA En este cuadro de lista, puede especificar unvalor de riesgo de VA y luego seleccionarque solamente se muestren los delitos cuyoriesgo de VA sea igual, menor o mayor queel valor configurado.

Suceso/flujo En este cuadro de lista puede especificar unrecuento de suceso o flujo y seleccionar quesolamente se visualicen los delitos cuyorecuento de sucesos o flujos sea igual, menoro mayor que el valor configurado.

Procedimiento1. Pulse la pestaña Delitos.2. Pulse Por red.


3. En el cuadro de lista Buscar, seleccione Búsqueda nueva.4. En el panel Parámetros de búsqueda, defina los criterios de búsqueda







Guardar criterios de búsqueda en la pestaña DelitosEn la pestaña Delitos, puede guardar criterios de búsqueda configurados parareutilizarlos en búsquedas futuras. Los criterios de búsqueda guardados nocaducan.

Procedimiento1. Procedimiento2. Realice una búsqueda. Consulte Búsquedas de delitos.3. Pulse Guardar criterios.4. Escriba valores para los parámetros siguientes:



Nombre de búsqueda Escriba un nombre que desee asignar a loscriterios de búsqueda.

Gestionar grupos Pulse Gestionar grupos para gestionargrupos de búsqueda. Consulte Gestionargrupos de búsqueda.



Opciones de rango de tiempo: Elija una de las siguientes opciones:

v Todos los delitos: seleccione esta opciónpara buscar todos los delitos sin importarel rango de tiempo.

v Reciente: seleccione esta opción y, desdeeste cuadro de lista, seleccione el rango detiempo para el que desee buscar.

v Intervalo específico: para especificar unintervalo determinado para el que buscar,seleccione la opción Intervalo específico yluego seleccione una de las opcionessiguientes: Fecha de inicio entre:seleccione esta casilla para buscardelitos que se iniciaron durante unperiodo de tiempo determinado. Despuésde seleccionar esta casilla, utilicelos cuadros de lista para seleccionarlas fechas para las que desee buscar.Último suceso/flujo entre: seleccioneesta casilla para buscar delitos paralos que el último suceso detectado seprodujo dentro de un periodo de tiempodeterminado. Después de marcar esterecuadro de selección, utilice loscuadros de lista para seleccionar lasfechas en las que desea buscar.Últimosuceso entre: marque este recuadro deselección para buscar delitos para losque el último suceso detectado seprodujo dentro de un periodo de tiempodeterminado. Después de seleccionaresta casilla, utilice los cuadros delista para seleccionar las fechas paralas que desee buscar.


5. Pulse Aceptar.

Buscar delitos indexados en función de una propiedadpersonalizada

Defina criterios de búsqueda para filtrar la lista de delitos y facilitar la decisión dequé delitos es necesario investigar. Puede utilizar el tipo de delito en los criteriosde búsqueda para buscar todos los delitos que se basan en una propiedadpersonalizada. Puede filtrar los resultados de la consulta para mostrar los delitosque tienen un resultado captura de propiedad personalizada específica.

Antes de empezar

La propiedad personalizada debe utilizarse como índice de regla. Para obtener másinformación, consulte “Indexación de delitos” en la página 34.


Procedimiento1. Pulse la pestaña Delitos.2. En la lista Buscar, seleccione Búsqueda nueva.3. En el panel Origen de delito, seleccione la propiedad personalizada en la lista

Tipo de delito.La lista Tipo de delito muestra sólo los campos normalizados y propiedadespersonalizadas que se utilizan como índices de regla. No puede utilizar Origende delito para buscar en las propiedades DateTime.

4. Opcional: Para buscar delitos que tienen un valor específico en el resultado dela captura de propiedad personalizada, escriba el valor que desea buscar en elrecuadro de filtro.

5. Configure otros parámetros de búsqueda para satisfacer los requisitos de labúsqueda.

6. Pulse Buscar.

Resultados

Todos los delitos que cumplan los criterios de búsqueda se mostrarán en la lista dedelitos. Cuando visualice el resumen del delito, la propiedad personalizada en laque ha basado la búsqueda se mostrará en el campo Tipo de delito. El resultadode la captura de propiedad personalizada se muestra en el campo Valor depropiedad personalizada del panel Resumen de origen de delito.

Buscar IOCs de forma rápida con la búsqueda perezosaPuede utilizar la búsqueda perezosa de IBM Security QRadar para buscar unindicador de compromiso (IOC), como por ejemplo tráfico de red de salida inusualo anomalías en la actividad de cuentas de usuario con privilegios.

Antes de empezar

La búsqueda perezosa devuelve los primeros 1000 sucesos que están relacionados conel criterio de búsqueda. Por ejemplo, si necesita buscar un MD5 determinado comoparte de una investigación de irrupción de programa malicioso, no es necesariorevisar todos los sucesos relacionados. Realice una búsqueda perezosa para devolverrápidamente un conjunto de resultados limitado.

Para aprovechar la búsqueda perezosa, debe tener el perfil de seguridad Admin o unperfil de seguridad de no administrador que esté configurado de la siguientemanera:v Prioridad de permiso establecida en Sin restricciones.v Acceso a todas las redes y orígenes de registro.

La búsqueda perezosa no puede ser utilizada por usuarios con perfiles deseguridad de no administrador en redes en las que haya dominios configurados.

Procedimiento1. Para realizar una búsqueda perezosa para filtros rápidos, siga estos pasos:

a. En la pestaña Actividad de registro, en el campo Filtro rápido, especifiqueun valor.

b. En la lista Ver, seleccione un rango de tiempo.2. Para realizar una búsqueda perezosa para búsquedas básicas, siga estos pasos:


a. En la pestaña Actividad de registro, pulse Buscar > Nueva búsqueda.b. Seleccione un rango de tiempo Reciente o establezca un Intervalo

específico.c. Asegúrese de que el valor del campo Ordenar por esté establecido en Hora

de inicio y el valor del campo Límite de resultados sea 1000 comomáximo. Las columnas agregadas no deben incluirse en la búsqueda.

d. Especifique un valor para el parámetro Filtro rápido y pulse Añadir filtro.3. Para inhabilitar completamente la búsqueda perezosa, siga estos pasos:

a. Pulse Valores del sistema en la pestaña Admin.b. En la ventana Valores del sistema, elimine los valores del campo Límite de

búsqueda predeterminado.

Supresión de criterios de búsquedaPuede suprimir criterios de búsqueda.


Al suprimir una búsqueda guardada, es posible que los objetos que estánasociados con la búsqueda guardada no funcionen. Los informes y las reglas dedetección de anomalías son objetos de QRadar que utilizan criterios de búsquedaguardada. Después de suprimir una búsqueda guardada, edite los objetosasociados para asegurarse de que siguen funcionando.


2. En el recuadro de lista Buscar, seleccione Nueva búsqueda o Editar búsqueda.3. En el panel Búsquedas guardadas, seleccione una búsqueda guardada en el

recuadro de lista Búsquedas guardadas disponibles.4. Pulse Suprimir.v Si los criterios de búsqueda guardada no están asociado con otros objetos de

QRadar, se visualiza una ventana de confirmación.v Si los criterios de búsqueda guardada están asociado con otros objetos, se

visualiza la ventana Suprimir búsqueda guardada. La ventana lista objetosque están asociados con la búsqueda guardada que desea suprimir. Tomenota de los objetos asociados.

5. Pulse Aceptar.6. Elija una de las siguientes opciones:v Pulse Aceptar para continuar.v Pulse Cancelar para cerrar la ventana Suprimir búsqueda guardada.


Si los criterios de búsqueda guardada estaban asociados con otros objetos deQRadar, acceda a los objetos asociados que ha anotado y edite los objetos paraeliminar o sustituir la asociación con la búsqueda guardada suprimida.


Utilización de una sub-búsqueda para refinar los resultados debúsqueda

Puede utilizar una sub-búsqueda para buscar en un conjunto de resultados debúsqueda completada. La sub-búsqueda se utiliza para refinar los resultados debúsqueda, sin buscar de nuevo en la base de datos.

Antes de empezar

Al definir una búsqueda que desea utilizar como base para realizar unasub-búsqueda, asegúrese de que la opción Tiempo real (modalidad continua) estáinhabilitada y la búsqueda no se ha agrupado.


Esta característica no está disponible para búsquedas agrupados, búsquedas encurso o en modalidad continua.


2. Realice una búsqueda.3. Cuando la búsqueda se haya completado, añada otro filtro:

a. Pulse Añadir filtro.b. En el primer recuadro de lista, seleccione un parámetro que desee buscar.c. En el segundo recuadro de lista, seleccione el modificador que desea utilizar

para la búsqueda. La lista de modificadores que están disponibles dependedel atributo que se ha seleccionado en la primera lista.

d. En el campo de entrada, escriba información específica que esté relacionadacon la búsqueda.

e. Pulse Añadir filtro.

Resultados

El panel Filtros originales especifica los filtros originales que se aplican a labúsqueda de base. El panel Filtros actuales especifica los filtros que se aplican a lasub-búsqueda. Puede borrar filtros de sub-búsqueda sin reiniciar la búsqueda debase. Pulse el enlace Borrar filtro junto al filtro que desea borrar. Si borra un filtroen el panel Filtros originales, se reinicia la búsqueda de base.

Si suprime los criterios de búsqueda de base para los criterios de sub-búsquedaguardados, seguirá teniendo acceso a los criterios de sub-búsqueda guardados. Siañade un filtro, la sub-búsqueda busca en la base de datos entera porque lafunción de búsqueda ya no basa la búsqueda en un conjunto de datos buscadopreviamente.


Guardar criterios de búsqueda


Gestión de resultados de búsquedaPuede iniciar varias búsquedas y, a continuación, ir a otras pestañas para realizarotras tareas mientras las búsquedas se completan en segundo plano.

Puede configurar una búsqueda para que, al finalizarse, envíe una notificación porcorreo electrónico.

En cualquier momento mientras una búsqueda está en curso, puede volver a lapestaña Actividad de registro o la pestaña Actividad de red para ver resultadosde búsqueda parciales o completos.

Cancelación de una búsquedaMientras una búsqueda está en cola o en curso, puede cancelar la búsqueda en lapágina Gestionar resultados de búsqueda.


Si la búsqueda está en curso cuando se cancela, se mantienen los resultados que sehan acumulado hasta que la cancelación.


2. En el menú Buscar, seleccione Gestionar resultados de búsqueda.3. Seleccione el resultado de búsqueda en cola o en curso que desea cancelar.4. Pulse Cancelar.5. Pulse Sí.

Supresión de una búsquedaSi un resultado de búsqueda ya no es necesario, puede suprimir el resultado debúsqueda de la página Gestionar resultados de búsqueda.


2. En el menú Buscar, seleccione Gestionar resultados de búsqueda.3. Seleccione el resultado de búsqueda que desea suprimir.4. Pulse Suprimir.5. Pulse Sí.

Gestión de grupos de búsquedaUtilizando la ventana Grupos de búsqueda, puede crear y gestionar grupos debúsqueda de sucesos, flujos y delitos.

Estos grupos le permiten localizar fácilmente criterios de búsqueda guardados enlas pestañasActividad de registro, Actividad de red y Delitos y en el asistente deinformes.


Visualización de grupos de búsquedaEstá disponible un conjunto predeterminado de grupos y subgrupos.


Puede ver grupos de búsqueda en las ventanas Grupos de búsqueda de sucesos,Grupos de búsqueda de flujos o Grupos de búsqueda de delitos.

Todas las búsquedas guardadas que no se asignan a un grupo están en el grupoOtros.

Las ventanas Grupos de búsqueda de sucesos, Grupos de búsqueda de flujos yGrupos de búsqueda de delitos muestran los parámetros siguientes para cadagrupo.

Tabla 42. Parámetros de ventanas de grupos de búsqueda


Nombre Especifica el nombre del grupo de búsqueda.

Usuario Especifica el nombre del usuario que hacreado el grupo de búsqueda.

Descripción Especifica la descripción del grupo debúsqueda.

Fecha de modificación Especifica la fecha en que se ha modificadoel grupo de búsqueda.

Las barras de herramienta de las ventanas Grupos de búsqueda de sucesos,Grupos de búsqueda de flujos y Grupos de búsqueda de delitos proporcionan lasfunciones siguientes.

Tabla 43. Funciones de barra de herramientas de ventanas de grupos de búsqueda


Grupo nuevo Para crear un nuevo grupo de búsqueda,puede pulsar Grupo nuevo. ConsulteCreación de un grupo de búsqueda nuevo.

Editar Para editar un grupo de búsqueda existente,puede pulsar en Editar. Consulte Edición deun grupo de búsqueda.

Copiar Para copiar una búsqueda guardada en otrogrupo de búsqueda, puede pulsar en Copiar.Consulte Copia de una búsqueda guardadaen otro grupo.

Eliminar Para eliminar un grupo de búsqueda o unabúsqueda guardada de un grupo debúsqueda, seleccione el elemento que deseaeliminar y luego pulse Eliminar. ConsulteEliminación de un grupo o una búsquedaguardada de un grupo.



2. Seleccionar búsqueda >Editar búsqueda.3. Pulse Gestionar grupos.4. Vea los grupos de búsqueda.

Creación de un grupo de búsqueda nuevoPuede crear un grupo de búsqueda nuevo.


2. Seleccionar búsqueda Editar búsqueda.3. Pulse Gestionar grupos.4. Seleccione la carpeta para el grupo donde desea crear el nuevo grupo.5. Pulse Grupo nuevo.6. En el campo Nombre, escriba un nombre exclusivo para el nuevo grupo.7. Opcional. En el campo Descripción, escriba una descripción.8. Pulse Aceptar.

Edición de un grupo de búsquedaPuede editar los campos Nombre y Descripción de un grupo de búsqueda.


2. Seleccione Buscar > Editar búsqueda.3. Pulse Gestionar grupos.4. Seleccione el grupo que desea editar.5. Pulse Editar.6. Edite los parámetros:v Escriba un nombre nuevo en el campo Nombre.v Escriba una nueva descripción en el campo Descripción.

7. Pulse Aceptar.

Copia de una búsqueda guardada en otro grupoPuede copiar una búsqueda guardada en uno o varios grupos.


2. Seleccione Buscar > Editar búsqueda.3. Pulse Gestionar grupos.4. Seleccione la búsqueda guardada que desea copiar.5. Pulse Copiar.


6. En la ventana Grupos de elementos, marque el recuadro de selección para elgrupo en el que desea copiar la búsqueda guardada.

7. Pulse Asignar grupos.

Eliminación de un grupo o una búsqueda guardada de ungrupo

Puede utilizar el icono Eliminar para eliminar una búsqueda de un grupo oeliminar un grupo de búsqueda.


Cuando se elimina una búsqueda guardada de un grupo, la búsqueda guardada nose suprime del sistema. La búsqueda guardada se elimina del grupo y se mueveautomáticamente al grupo Otros.

No puede eliminar los grupos siguientes del sistema:v Grupos de búsqueda de sucesosv Grupos de búsqueda de flujosv Grupos de búsqueda de delitosv Otros


2. Seleccione Buscar > Editar búsqueda.3. Pulse Gestionar grupos.4. Elija una de las siguientes opciones:v Seleccione la búsqueda guardada que desea eliminar del grupo.v Seleccione el grupo que desea eliminar.

5. Pulse Eliminar.6. Pulse Aceptar.

Ejemplo de búsqueda: Informes de empleados diariosEl ejemplo siguiente describe cómo utilizar una consulta de búsqueda avanzadapara consultar información de empleado específica.

Para la gestión de identidades, puede optar por generar un informe diario de laactividad de usuario en QRadar. El informe debe incluir información sobre elempleado, como por ejemplo el nombre de usuario, el número de serie, el jefe y laactividad.

Un empleado puede tener varios nombres de usuario en QRadar. Puede utilizar laAPI RESTful para construir una correlación de referencia que devuelve todos losnombres de usuario del nombre del empleado Global_User. Para el número deserie y el nombre del gestor, puede crear otro conjunto de datos de referencia yañadirlo a la correlación de referencia.

Las actividades del empleado pueden ir desde anomalías de inicio de sesión atareas de QRadar, como por ejemplo la supresión de objetos. Estos sucesos los


registra QRadar. Especificando la frecuencia de los sucesos en la correlación, puedecalibrar las actividades sospechosas. Puede agrupar los datos por nombre deempleado y nombre de suceso y después ordenarlos por la frecuencia más elevadadentro de un periodo de 24 horas.

Para ver este informe diario, puede iniciar la sesión en QRadar Console. En elrecuadro de texto Búsqueda avanzada de la pestaña Actividad de registro, puedeteclear la consulta de búsqueda siguiente:

select REFERENCEMAP('GlobalID_Mapping', username) as Global_User,QIDNAME(qid) as 'Nombre de suceso', count(*) as 'Recuento de sucesos',FIRST(username) as UserId, REFERENCETABLE('employee_data','SerialNum',Global_user) as 'Serial Number',REFERENCETABLE('employee_data','Manager',Global_User) as Manager fromevents where (Global_User IS NOT NULL) GROUP BY Global_user,'Nombre desuceso' ORDER BY 'Recuento de sucesos' DESC last 1 DAYS



Capítulo 10. Propiedades de suceso y flujo personalizadas

Utilice Propiedades de suceso y de flujo personalizadas para buscar, ver y informarsobre la información contenida en archivos de registro que QRadar generalmenteno normaliza y visualiza.

Puede crear propiedades de suceso y flujo personalizadas desde varias ubicacionesen la pestaña Actividad de registro o la pestaña Actividad de red:v En la pestaña Actividad de registro, haga una doble pulsación en un suceso y

seleccione Extraer propiedad.v En la pestaña Actividad de red, haga una doble pulsación en un flujo y

seleccione Extraer propiedad.v Puede crear o editar una propiedad de suceso o de flujopersonalizada desde la

página Buscar. Cuando crea una propiedad personalizada en la página Buscar, lapropiedad no deriva de ningún suceso ni flujo determinado; por lo tanto, laventana Propiedades de suceso personalizadas no se llena de antemano. Puedecopiar y pegar información de carga útil procedente de otro origen.

Permisos necesariosCrear propiedades personalizadas si tiene el permiso correcto.

Debe tener el permiso de Propiedades de suceso definidas por el usuario o dePropiedades de flujo definidas por el usuario.

Si tiene permisos administrativos, también puede crear y modificar las propiedadespersonalizadas de la pestaña Admin.

Pulse Admin > Orígenes de datos > Propiedades de sucesos personalizadas > oAdmin > Orígenes de datos > Propiedades de flujos personalizadas.

Consulte con el administrador para asegurarse de que tiene los permisos correctos.

Para obtener más información, consulte el manual Guía de administración de IBMSecurity QRadar.

Tipos de propiedad personalizadaPuede crear un tipo de propiedad personalizada.

Cuando se crea una propiedad personalizada, puede optar por crear una expresiónregular o un tipo de propiedad calculado.

Utilizando sentencias de expresión regular (Regex), puede extraer datos nonormalizados de cargas útiles de sucesos o flujos.

Por ejemplo, un informe se crea para informar a todos los usuarios que realizancambios de permiso de usuario en un servidor Oracle. Se informa de una lista deusuarios y del número de veces que realizan un cambio en el permiso de otracuenta. Sin embargo, normalmente el permiso o la cuenta de usuario real que se hacambiado no se puede visualizar. Puede crear una propiedad personalizada paraextraer esta información de los registros y, a continuación, utilizar la propiedad en


las búsquedas y los informes. El uso de esta característica requiere conocimientosavanzados de expresiones regulares (regex).

La expresión regular define el campo que desea que se convierta en la propiedadpersonalizada. Después de entrar una sentencia de expresión regular, puedevalidarla para la carga útil. Cuando defina patrones de expresión regularpersonalizados, respete las reglas de expresión regular definidas por el lenguaje deprogramación Java.

Para obtener más información, puede consultar las guías de aprendizaje deexpresión regular disponibles en la web. Una propiedad personalizada puedeasociarse con varias expresiones regulares.

Cuando se analiza un suceso o flujo, se prueba cada patrón de expresión regularen el suceso o flujo hasta que un patrón de expresión regular coincide con la cargaútil. El primer patrón de expresión regular que coincide con la carga útil de sucesoo flujo determina los datos que se deben extraer.

Utilizando propiedades personalizadas basadas en cálculo, puede realizar cálculosen las propiedades de suceso numérico o flujo existentes para producir unapropiedad calculada.

Por ejemplo, puede crear una propiedad que visualice un porcentaje dividiendouna propiedad numérica por otra propiedad numérica.

Creación de una propiedad personalizada basada en expresión regularPuede crear una propiedad personalizada basada en expresión regular paracomparar cargas útiles de sucesos o flujos con una expresión regular.


Cuando se configura una propiedad personalizada basada en expresión regular, lasventanas Propiedades de sucesos personalizadas o Propiedades de flujospersonalizadas proporcionan parámetros. La tabla siguiente describe algunos deestos parámetros.

Tabla 44. Parámetros de ventana Propiedades personalizadas (expresión regular)


Campo de prueba Especifica la carga útil que se ha extraídodel suceso o flujo no normalizado.


Tabla 44. Parámetros de ventana Propiedades personalizadas (expresiónregular) (continuación)


Propiedad nueva El nombre de propiedad nueva no puede serel nombre de una propiedad normalizada,por ejemplo nombre de usuario, IP deorigen o IP de destino.

Nota: Los caracteres siguientes provocan unerror si se utilizan al crear un nombre depropiedad:

Barra inclinada invertida ( \ ), coma (,),punto (.), carácter ampersand (&), comillasimple ( ' ), comillas ( " ), paréntesis (()) ycorchetes ([]).

Importante: Para CEP y CFP que incluyenlos caracteres indicados, debe crear unduplicado de la propiedad y guardar elnuevo nombre de propiedad utilizando loscaracteres indicados. A continuación, cambietodos los dependientes de la propiedadantigua para que hagan referencia a lapropiedad nueva. Finalmente, suprima lapropiedad antigua.

Optimizar el análisis de reglas, informes ybúsquedas

Analiza y almacena la propiedad la primeravez que se recibe el suceso o flujo. Al marcarel recuadro de selección, la propiedad nonecesita más análisis para el informe, labúsqueda y la prueba de regla.

Si se elimina la marca de este recuadro deselección, la propiedad se analiza cada vezque se aplica un informe, una búsqueda ouna prueba de regla.

Origen de registro Si se asocian varios orígenes de registro coneste suceso, este campo especifica el términoMúltiple y el número de orígenes deregistro.

Capítulo 10. Propiedades de suceso y flujo personalizadas 181

Tabla 44. Parámetros de ventana Propiedades personalizadas (expresiónregular) (continuación)


Expresión regular La expresión regular que desea utilizar paraextraer los datos de la carga útil. Lasexpresiones regulares son sensibles a lasmayúsculas y minúsculas.

A continuación, se muestran expresionesregulares de ejemplo:

v Correo electrónico: (.+@[^\.].*\.[a-z]{2,}$)

v URL: (http\://[a-zA-Z0-9\-\.]+\.[a-zA-Z]{2,3}(/\S*)?$)

v Nombre de dominio: (http[s]?://(.+?)["/?:])

v Número de coma flotante:([-+]?\d*\.?\d*$)

v Entero: ([-+]?\d*$)

v Dirección IP: (\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b)

Los grupos de capturas deben estar entreparéntesis.

Grupo de capturas Los grupos de capturas tratan varioscaracteres como una sola unidad. En ungrupo de capturas, los caracteres se agrupanen un conjunto de paréntesis.

Habilitado Si quita la marca del recuadro de selección,esta propiedad personalizada no se visualizaen los filtros de búsqueda o las listas decolumna y la propiedad no se analiza desdelas cargas útiles.

Procedimiento1. Pulse la pestaña Actividad de registro.2. Si está viendo sucesos en modalidad continua, pulse el icono de Pausa para

detener la modalidad continua.3. Efectúe una doble pulsación en el suceso en el que desea basar la propiedad

personalizada.4. Pulse Extraer propiedad.5. En el panel Selección de tipo de propiedad, seleccione la opción Basado en

expresión regular.6. Configure los parámetros de propiedad personalizada.7. Pulse Probar para probar la expresión regular en la carga útil.8. Pulse Guardar.

Resultados

La propiedad personalizada se visualiza como una opción en la lista de columnasdisponibles de la página de búsqueda. Para incluir una propiedad personalizadaen una lista de sucesos o flujos, debe seleccionar la propiedad personalizada en lalista de columnas disponibles cuando cree una búsqueda.


Conceptos relacionados:“Ejemplos de cadenas de búsqueda de AQL” en la página 150Utilice Ariel Query Language (AQL) para recuperar campos determinados de lossucesos, flujos y tablas simarc contenidos en la base de datos Ariel.

Creación de una propiedad personalizada basada en el cálculoPuede crear una propiedad de cliente basada en cálculo para comparar las cargasútiles con una expresión regular.


Cuando configure una propiedad personalizada basada en cálculo, en la ventanaPropiedad de suceso personalizada o en la ventana Propiedad de flujopersonalizada se proporcionan los parámetros listados en la tabla 1:

Tabla 45. Parámetros de ventana de definición de propiedad personalizada (cálculo)


Definición de propiedad

Nombre de propiedad Escriba un nombre exclusivo para estapropiedad personalizada. El nuevo nombrede propiedad no puede ser el nombre deuna propiedad normalizada, por ejemploNombre de usuario, IP de origen o IP dedestino.

Nota: Los caracteres siguientes provocan unerror si se utilizan al crear un nombre depropiedad:

Barra inclinada invertida ( \ ), coma (,),punto (.), carácter ampersand (&), comillasimple ( ' ), comillas ( " ), paréntesis (()) ycorchetes ([]).

Importante: Para CEP y CFP que incluyenlos caracteres indicados, debe crear unduplicado de la propiedad y guardar elnuevo nombre de propiedad utilizando loscaracteres indicados. A continuación, cambietodos los dependientes de la propiedadantigua para que hagan referencia a lapropiedad nueva. Finalmente, suprima lapropiedad antigua.

Descripción Escriba una descripción de esta propiedadpersonalizada.

Definición de cálculo de propiedad


Tabla 45. Parámetros de ventana de definición de propiedad personalizada(cálculo) (continuación)


Propiedad 1En el recuadro de lista, seleccione la primerapropiedad que desee utilizar en el cálculo.Las opciones incluyen todas las propiedadespersonalizadas numéricas y normalizadasnuméricas.

También puede especificar un valornumérico específico. En el recuadro de listaPropiedad 1, seleccione la opción Definidopor el usuario. Se visualiza el parámetroPropiedad numérica. Escriba un valornumérico específico.

OperadorEn el recuadro de lista, seleccione eloperador que desea aplicar a laspropiedades seleccionadas en el cálculo. Lasopciones incluyen:

v Sumar

v Restar

v Multiplicar

v Dividir

Propiedad 2En el recuadro de lista, seleccione lasegunda propiedad que desee utilizar en elcálculo. Las opciones incluyen todas laspropiedades personalizadas numéricas ynormalizadas numéricas.

También puede especificar un valornumérico específico. En el recuadro de listaPropiedad 1, seleccione la opción Definidopor el usuario. Se visualiza el parámetroPropiedad numérica. Escriba un valornumérico específico.

HabilitadoSeleccione este recuadro de selección parahabilitar esta propiedad personalizada.

Si quita la marca del recuadro de selección,esta propiedad personalizada no se visualizaen los filtros de búsqueda de sucesos oflujos o las listas de columna y la propiedadde suceso o flujo no se analiza en las cargasútiles.

Procedimiento1. Elija una de las opciones siguientes: Pulse la pestaña Actividad de registro.2. Opcional. Si está viendo sucesos o flujos en modalidad continua, pulse el icono

Pausa para poner en pausa la modalidad continua.3. Efectúe una doble pulsación en el suceso o flujo en el que desea basar la

propiedad personalizada.4. Pulse Extraer propiedad.


5. En el panel Selección de tipo de propiedad, seleccione la opción Basado encálculo.

6. Configure los parámetros de propiedad personalizada.7. Pulse Probar para probar la expresión regular en la carga útil.8. Pulse Guardar.

Resultados

Ahora la propiedad personalizada se visualiza como una opción en la lista decolumnas disponibles en la página de búsqueda. Para incluir una propiedadpersonalizada en una lista de sucesos o flujos, debe seleccionar la propiedadpersonalizada en la lista de columnas disponibles cuando cree una búsqueda.

Modificación de una propiedad personalizadaPuede modificar una propiedad personalizada.


Puede utilizar la ventana Propiedades de sucesos personalizadas o Propiedades deflujos personalizadas para modificar una propiedad personalizada.

Las propiedades personalizadas se describen en la tabla siguiente.

Tabla 46. Columnas de ventana de propiedades personalizadas

Columna Descripción

Nombre de propiedad Especifica un nombre exclusivo para estapropiedad personalizada.

TipoEspecifica el tipo para esta propiedadpersonalizada.

Descripción de propiedad Especifica una descripción para estapropiedad personalizada.

Tipo de origen de registroEspecifica el nombre del tipo de origen deregistro al que se aplica esta propiedadpersonalizada.

Esta columna sólo se visualiza en la ventanaPropiedades de sucesos personalizadas.

Origen de registroEspecifica el origen de registro al que seaplica esta propiedad personalizada.

Si hay varios orígenes de registro que estánasociados con este suceso o flujo, este campoespecifica el término Múltiple y el número deorígenes de registro.

Esta columna sólo se visualiza en la ventanaPropiedades de sucesos personalizadas.


Tabla 46. Columnas de ventana de propiedades personalizadas (continuación)

Columna Descripción

ExpresiónEspecifica la expresión para esta propiedadpersonalizada. La expresión depende del tipode propiedad personalizada:

Para una propiedad personalizada basada enexpresión regular, este parámetro especificala expresión regular que desea utilizar paraextraer los datos de la carga útil.

Para una propiedad personalizada basada encálculo, este parámetro especifica el cálculoque desea utilizar para crear el valor depropiedad personalizada.

Nombre de usuario Especifica el nombre del usuario que hacreado esta propiedad personalizada.

Habilitado Especifica si esta propiedad personalizadaestá habilitada. Este campo especificaVerdadero o Falso.

Fecha de creación Especifica la fecha en que se ha creado estapropiedad personalizada.

Fecha de modificación Especifica la hora en que se ha modificadopor última vez esta propiedad personalizada.

En la barra de herramientas Propiedades de sucesos personalizadas y Propiedadesde flujos personalizadas se proporcionan las funciones siguientes:

Tabla 47. Opciones de barra de herramientas de propiedades personalizadas


Añadir Pulse Añadir para añadir una nuevapropiedad personalizada.

Editar Pulse Editar para editar la propiedadpersonalizada seleccionada.

Copiar Pulse Copiar para copiar propiedadespersonalizadas seleccionadas.

Suprimir Pulse Suprimir para suprimir propiedadespersonalizadas seleccionadas.

Habilitar/Inhabilitar Pulse Habilitar/Inhabilitar para habilitar oinhabilitar las propiedades personalizadasseleccionadas para el análisis y lavisualización en los filtros de búsqueda o laslistas de columna.

Procedimiento1. Elija una de las opciones siguientes:v Pulse la pestaña Actividad de registro.v Pulse la pestaña Actividad de red.

2. En el recuadro de lista Buscar, seleccione Editar búsqueda.3. Pulse Gestionar propiedades personalizadas.4. Seleccione la propiedad personalizada que desea editar y pulse Editar.


5. Edite los parámetros necesarios.6. Opcional. Si ha editado la expresión regular, pulse Probar para probar la

expresión regular en la carga útil.7. Pulse Guardar.

Copia de una propiedad personalizadaPara crear una nueva propiedad personalizada que esté basada en una propiedadpersonalizada existente, puede copiar la propiedad personalizada existente y, acontinuación, modificar los parámetros.


2. En el recuadro de lista Buscar, seleccione Editar búsqueda.3. Pulse Gestionar propiedades personalizadas.4. Seleccione la propiedad personalizada que desea copiar y pulse Copiar.5. Edite los parámetros necesarios.6. Opcional. Si ha editado la expresión regular, pulse Probar para probar la

expresión regular en la carga útil.7. Pulse Guardar.

Supresión de una propiedad personalizadaPuede suprimir cualquier propiedad personalizada, a condición de que lapropiedad no tenga dependencias.


2. Pulse la pestaña Actividad de registro.3. En el recuadro de lista Buscar, seleccione Editar búsqueda.4. Pulse Gestionar propiedades personalizadas.5. Seleccione la propiedad personalizada que desea suprimir y pulse Suprimir.6. Pulse Sí.



Capítulo 11. Reglas

Las reglas, a veces llamadas reglas de correlación, se aplican a los sucesos, flujos odelitos para buscar o detectar anomalías. Si se cumplen todas las condiciones deuna prueba, la regla genera una respuesta.

¿Qué son las reglas?

Las reglas personalizadas realizan pruebas sobre sucesos, flujos y delitos paradetectar actividad inusual en la red. Las reglas nuevas se crean mediantecombinaciones AND y OR de reglas existentes. La reglas de detección deanomalías realizan pruebas sobre los resultados de búsquedas guardadas de flujoso de sucesos para detectar patrones de tráfico inusuales en la red. Las reglas dedetección de anomalías requieren una búsqueda guardada agrupada alrededor deun parámetro común.

Los recopiladores de sucesos de QRadar recopilan sucesos de orígenes locales yremotos, normalizan estos sucesos y los clasifican en categorías de nivel y bajonivel. Para los flujos, los QRadar QFlow Collectors leen paquetes desde la conexióno reciben flujos de otros dispositivos y luego convierten los datos de red enregistros de flujo. Cada Procesador de sucesos procesa sucesos o datos de flujo delos recopiladores de sucesos de QRadar. Los Procesadores de sucesos examinan ycorrelacionan la información para indicar cambios de comportamiento oviolaciones de políticas. El motor de reglas personalizadas (CRE) procesa sucesos ylos compara con las reglas definidas para buscar anomalías. Cuando se cumple unacondición de regla, el Procesador de sucesos genera una acción que se define en larespuesta de regla. El CRE realiza un seguimiento de los sistemas que estáninvolucrados en incidentes, aporta sucesos a los delitos y genera notificaciones.

¿Qué son los componentes básicos?

Un componente básico es una recopilación de pruebas que no dan como resultadouna respuesta o una acción.

Un componente básico agrupa pruebas utilizadas habitualmente para construir unalógica compleja, de modo que se pueda reutilizar en las reglas. Con frecuencia, uncomponente básico prueba direcciones IP, nombres de usuario privilegiados orecopilaciones de nombres de suceso. Por ejemplo, un componente básico puedeincluir las direcciones IP de todos los servidores DNS. Posteriormente, las reglaspueden utilizar este componente básico.

QRadar contiene reglas predeterminadas, y también puede descargar más reglasdesde IBM Security App Exchange para crear nuevas reglas.

¿Cómo funcionan las reglas?

Los recopiladores de sucesos de QRadar recopilan sucesos de orígenes locales yremotos, normalizan estos sucesos y los clasifican en categorías de nivel y bajonivel. Para los flujos, los QRadar QFlow Collectors leen paquetes desde la conexióno reciben flujos de otros dispositivos y luego convierten los datos de red enregistros de flujo. Cada Procesador de sucesos procesa sucesos o datos de flujo delos recopiladores de sucesos de QRadar. Los Procesadores de flujos examinan ycorrelacionan la información para indicar cambios de comportamiento o


http://www-03.ibm.com/security/engage/app-exchange/

violaciones de políticas. El motor de reglas personalizadas (CRE) procesa sucesos ylos compara con las reglas definidas para buscar anomalías. Cuando se cumple unacondición de regla, el Procesador de sucesos genera una acción que se define en larespuesta de regla. El CRE realiza un seguimiento de los sistemas que estáninvolucrados en incidentes, aporta sucesos a los delitos y genera notificaciones.

¿Cómo se crea un delito a partir de una regla?

QRadar crea un delito cuando los sucesos, flujos o ambos cumplen los criterios deprueba que se especifica en las reglas.

QRadar analiza la información siguiente:v Sucesos y flujos entrantesv Información de activosv Vulnerabilidades conocidas

La regla que ha creado el delito determina el tipo de delito.

El magistrado prioriza los delitos y asigna el valor de magnitud en función devarios factores, que incluyen el número de sucesos, la gravedad, la relevancia y lacredibilidad.

Reglas personalizadasIBM Security QRadar incluye reglas que detectan una amplia gama de actividades,tales como denegaciones de cortafuegos excesivas, múltiples intentos fallidos deinicio de sesión y una posible actividad de red de robots. También puede crear suspropias reglas para detectar actividad inusual.

¿Qué son las reglas personalizadas?

Personalice las reglas predeterminadas para detectar actividad inusual en la red.

Tipos de reglas

Cada uno de los tipos de regla de suceso, flujo, comunes y de delito se pruebacontra los datos entrantes de diferentes orígenes en tiempo real. Hay varios tiposde pruebas de regla. Algunas comprueban propiedades simples del conjunto dedatos. Otras pruebas de regla son más complicadas. Rastrean múltiples secuenciasde suceso, flujo y delito durante un periodo de tiempo y utilizan un "contador",formado por uno o varios parámetros, antes de que se desencadene una respuestade regla.

Reglas de sucesoRealizar pruebas en datos de origen de registro entrantes que el Procesadorde sucesos de QRadar procesa en tiempo real. Se crea una regla de sucesopara detectar un suceso individual o secuencias de sucesos. Por ejemplo,para supervisar la red para detectar intentos fallidos de inicio de sesión, elacceso a varios hosts o un suceso de reconocimiento seguido de unaexplotación, debe crear una regla de suceso. Es habitual que las reglas desuceso creen delitos como respuesta.

Reglas de flujoRealizan pruebas en los datos de flujo de entrada procesados por elProcesador de flujos de QRadar. Puede crear una regla de flujo para


detectar un flujo individual o secuencias de flujos. Es habitual que lasreglas de flujo creen delitos como respuesta.

Reglas comunesRealizan pruebas en datos de sucesos y flujos. Por ejemplo, puede crearuna regla común para detectar sucesos y flujos que tienen una dirección IPde origen determinada. Es habitual que las reglas comunes creen delitoscomo respuesta.

Reglas de delitoPrueban los parámetros de un delito para desencadenar más respuestas.Por ejemplo, se genera una respuesta cuando un delito se produce en unafecha y hora específicas. Una regla de delito procesa delitos sólo cuando serealizan cambios en el delito. Por ejemplo, cuando se añaden nuevossucesos o el sistema ha planificado la reevaluación del delito. Es habitualque las reglas de delito envíen una notificación de correo electrónico comorespuesta.

Gestionar reglas

Puede crear, editar, asignar reglas a grupos y suprimir grupos de reglas. Lacategorización de reglas y componentes básicos en grupos permite ver las reglas yrealizar su seguimiento de forma eficiente. Por ejemplo, puede ver todas las reglasque están relacionados con la conformidad.

Reglas específicas de dominio

Si una regla tiene una prueba de dominio, puede restringir esa regla para que seaplique solo a los sucesos que están ocurriendo dentro de un dominio especificado.Un suceso que tenga una etiqueta de dominio que es diferente del dominio queestá establecido en la regla no desencadena una respuesta.

Para crear una regla que prueba condiciones en todo el sistema, establezca lacondición de dominio en Cualquier dominio.

Condiciones de regla

La mayoría de las pruebas de regla evalúan una sola condición, como por ejemplola existencia de un elemento en una recopilación de datos de consulta o la pruebade un valor contra una propiedad de un suceso. Para comparaciones complejas,puede probar reglas de suceso creando una consulta de Ariel Query Language(AQL) con condiciones de cláusula WHERE. Puede utilizar todas las funciones decláusula WHERE para escribir criterios complejos que pueden eliminar lanecesidad de ejecutar numerosas pruebas individuales. Por ejemplo, utilice unaclausula WHERE de AQL para comprobar si se está realizando un seguimiento deltráfico web o SSL entrante en un conjunto de referencia.

Puede ejecutar pruebas en la propiedad de un suceso, flujo o delito, por ejemplodirección IP de origen, gravedad de suceso o análisis de ritmo.

Con las funciones, puede utilizar componentes básicos y otras reglas para crearuna función de varios sucesos, varios flujos o varios delitos. Puede conectar reglasutilizando funciones que soportan operadores booleanos, por ejemplo OR y AND.Por ejemplo, si desea conectar reglas de suceso, puede utilizar la función cuandoun suceso coincide con alguna|todas las reglas siguientes.

Capítulo 11. Reglas 191

Creación de una regla personalizadaIBM Security QRadar incluye reglas que detectan una amplia gama de actividades,tales como denegaciones de cortafuegos excesivas, múltiples intentos fallidos deinicio de sesión y una posible actividad de red de robots. También puede crear suspropias reglas para detectar actividad inusual.

Antes de empezar

Antes de empezar a crear una regla nueva, debe tener el permiso Delitos >Mantener reglas personalizadas.


Cuando defina pruebas de regla, realice pruebas con el volumen de datos máspequeño posible. Al realizar las pruebas de esta manera, se obtiene un mejorrendimiento de las pruebas de regla y se asegura de no crear reglas costosas. Paraoptimizar el rendimiento, empiece con categorías amplias que restrinjan los datosque evalúa la prueba de regla. Por ejemplo, empiece con una prueba de regla paraun tipo de origen de registro, una ubicación de red, un origen de flujo o uncontexto (R2L, L2R, L2L) específico. Las pruebas de nivel medio serán direccionesIP, tráfico de puerto u otras pruebas asociadas. Las pruebas de carga útil y deexpresión regular deben ser la última prueba de regla.

Las reglas similares se agrupan por categorías. Por ejemplo, Auditoría, Explotación,Denegación de servicio distribuido (DDoS), Reconocimiento, etc. Cuando sesuprime un elemento de un grupo, la regla o el componente básico sólo se suprimedel grupo; sigue estando disponible en la página Reglas. Cuando se suprime ungrupo, las reglas o los componentes básicos de ese grupo permanecen disponiblesen la página Reglas.

Procedimiento1. En Delitos, pestañas Actividad de registro o Actividad de red, pulse Reglas.2. En la lista Visualizar, seleccione Reglas para crear una nueva regla.3. Opcional: En la lista Visualizar, seleccione Componentes básicos para crear

una nueva regla utilizando componentes básicos.4. En la lista Acciones, seleccione un tipo de regla.

Cada tipo de regla se prueba contra los datos entrantes de diferentes orígenesen tiempo real. Por ejemplo, las reglas de suceso prueban datos de origen deregistro entrante y las reglas de delito prueban los parámetros de un delito paradesencadenar más respuestas.

5. En la página Editor de pila de prueba de regla, en el panel Regla, teclee unnombre exclusivo que desee para asignar a esta regla en el cuadro de textoAplicar.

6. En el recuadro de lista, seleccione Local o Global.v Si selecciona Local, todas las reglas se procesan en el Procesador de sucesos

en el que se recibieron y sólo se crean delitos para los sucesos que seprocesan localmente.

v Si selecciona Global, todos los sucesos coincidentes se envían a la QRadarConsole para su proceso y, por tanto, la QRadar Console utiliza más anchode banda y recursos de proceso.

Más información sobre las reglas locales y globales:


Pruebas de regla globalesUtilice reglas globales para detectar cosas como "varias anomalías deinicio de sesión de usuario", donde los sucesos de ese usuario puedenaparecer en varios Procesadores de sucesos . Por ejemplo, si haconfigurado esta regla para 5 anomalías de inicio de sesión en 10minutos desde el mismo nombre de usuario, y lo establece como reglaLocal, esas 5 anomalías de inicio de sesión deben aparecer en el mismoProcesador de sucesos. Por tanto, si 3 anomalías de inicio de sesiónestaban en un Procesador de sucesos y 2 en otro, no se genera ningúndelito. Sin embargo, si establece esta regla como Global, se genera undelito.

7. En la lista Grupo de pruebas, seleccione una o varias pruebas que desea añadira esta regla. El CRE evalúa las pruebas de regla en orden, línea por línea. Laprimera prueba se evalúa y cuando es verdadera, se evalúa la línea siguientehasta que se alcanza la prueba final.Si selecciona la prueba cuando el suceso coincide con esta consulta de filtrode AQL para una regla de suceso nueva, especifique una consulta de cláusulaWHERE de AQL en el cuadro de texto Especifique una consulta de filtro deAQL.

Obtenga más información sobre la utilización de reglas para sucesos que nose detectan:

Las pruebas de regla siguiente se pueden desencadenar individualmente perono se actúa sobre las pruebas de regla subsiguientes de la misma pila depruebas de reglas.v cuando uno o varios de estos tipos de origen de registro no han detectado

los sucesos durante este número de segundos

v cuando uno o varios de estos orígenes de registro no han detectado lossucesos durante este número de segundos

v cuando uno o varios de estos grupos de origen de registro no handetectado los sucesos durante este número de segundos

Estas pruebas de regla no se ven activadas por un suceso entrante, sino que seactivan cuando no se ve un suceso específico durante un intervalo de tiempoespecífico configurado. QRadar utiliza una tarea observadora que consultaperiódicamente la última vez que se vio un suceso (hora de últimavisualización) y almacena esta hora del suceso para cada origen de registro. Laregla se desencadena cuando la diferencia entre la hora de última visualizacióny la hora actual sobrepasa el número de segundos configurado en la regla.

8. Para exportar la regla configurada como un bloque básico a utilizar con otrasreglas, pulse Exportar como componente básico.

9. En la página Respuestas de regla, configure las respuestas que desea quegenere esta regla.

Obtenga más información sobre los parámetros de la página de respuesta deregla:


Tabla 48. Parámetros de página Respuesta de regla de suceso, flujo, común y delito


Descartar el suceso detectado Fuerza que un suceso, que normalmente se envía almagistrado, se envíe a la base de datos de Ariel para lacreación de informes o la realización de búsquedas. Elsuceso descartado se graba en el almacenamiento e ignoralas pruebas de reglas.

Este suceso no se visualiza en la pestaña Delitos.

Asignar suceso nuevo Marque este recuadro de selección para asignar un sucesonuevo además del suceso o flujo original, que se procesaigual que todos los demás sucesos en el sistema.

Asigna un suceso nuevo con el suceso original, y seprocesa como todos los demás sucesos del sistema.

Los parámetros Asignar suceso nuevo se visualizancuando se marca este recuadro de selección. De formapredeterminada, el recuadro de selección no está marcado.

Gravedad Nivel de gravedad que desea asignar al suceso. El rango esde 0 (el más bajo) a 10 (el más alto) y el valorpredeterminado es 0. La Gravedad se visualiza en el panelAnotación de los detalles de suceso.

Credibilidad La credibilidad que desee asignar al origen de registro. Porejemplo, ¿es el origen de registro ruidoso o caro? El rangoes de 0 (el más bajo) a 10 (el más alto) y el valorpredeterminado es 10. La credibilidad se visualiza en elpanel Anotación de los detalles de suceso.

Pertinencia La relevancia que desea asignar al peso del activo. Porejemplo, ¿cuánto le importa el activo? El rango es de 0 (elmás bajo) a 10 (el más alto) y el valor predeterminado es10. La pertinencia se visualiza en el panel Anotación de losdetalles de suceso.

Correo electrónico Para cambiar el valor Entorno local del correo electrónico,seleccione Valores del sistema en la pestaña Admin.

Especifique las direcciones decorreo electrónico que sedeben notificar:

Utilice una coma para separar varias direcciones de correoelectrónico.

Condición de excepción deSNMP

Habilite esta regla para enviar una notificación de SNMP(condición de excepción).

La salida de condición de excepción SNMP incluye la horadel sistema, el OID de condición de excepción y los datosde notificación, como los define el MIB. Puede acceder a laMIB desde /opt/qradar/conf/Q1LABS-MIB.txt.

Enviar a SysLog Local Marque este recuadro de selección si desea registrar elsuceso o flujo localmente.

De forma predeterminada, este recuadro de selección noestá marcado.Nota: Sólo los sucesos normalizados se pueden registrarlocalmente en un dispositivo. Si desea enviar datos desucesos en bruto, debe utilizar la opción Enviar a destinosde reenvío para enviar los datos a un host de syslogremoto.


Tabla 48. Parámetros de página Respuesta de regla de suceso, flujo, común ydelito (continuación)


Enviar a destinos de reenvío Este recuadro de selección sólo se visualiza para las reglasde suceso.

Marque este recuadro de selección si desea registrar elsuceso o flujo en un destino de reenvío. Un destino dereenvío es un sistema de proveedor, por ejemplo SIEM,tíquets o sistemas de alerta. Al marcar este recuadro deselección, se visualiza una lista de destinos de reenvío.

Para añadir, editar o suprimir un destino de reenvío, pulseel enlace Gestionar destinos.

Notificar Visualiza los sucesos que se generan como resultado deesta regla en el elemento Notificaciones del sistema en lapestaña Panel de control.

Si habilita las notificaciones, configure el parámetroLimitador de respuestas.

Añadir a un conjunto dereferencia

Añade los sucesos que se generan como resultado de estaregla a un conjunto de referencia. Debe ser administradorpara añadir datos a un conjunto de referencia.

Para añadir datos a un conjunto de referencia, siga estospasos:

1. En la primera lista, seleccione la propiedad del suceso oflujo que desea añadir.

2. En la segunda lista, seleccione el conjunto de referenciaal que desea añadir los datos especificados.

Añadir a datos de referencia Para utilizar esta respuesta de regla, debe crear larecopilación de datos de referencia.

Eliminar de conjunto dereferencia

Marque este recuadro de selección si desea que esta reglaelimine datos de un conjunto de referencia.

Para eliminar datos de un conjunto de referencia:

1. En el primer recuadro de lista, seleccione la propiedaddel suceso o flujo que desea eliminar. Las opcionesincluyen todos los datos normalizados opersonalizados.

2. En el segundo recuadro de lista, seleccione el conjuntode referencia del que desea eliminar los datosespecificados.

La respuesta de la regla Eliminar de conjunto dereferencia proporciona las funciones siguientes:

RenovarPulse Renovar para renovar el primer recuadro delista para asegurarse de que la lista es actual.

Eliminar de datos dereferencia

Para utilizar esta respuesta de regla, debe tener unarecopilación de datos de referencia.


Tabla 48. Parámetros de página Respuesta de regla de suceso, flujo, común ydelito (continuación)


Ejecutar una acciónpersonalizada

Puede escribir scripts que realizan acciones específicas enrespuesta a los sucesos de red. Por ejemplo, puede escribirun script para crear una regla de cortafuegos que bloqueauna dirección IP de origen concreta de la red en respuestaa repetidos intentos fallidos de inicio de sesión.

Puede añadir y configurar acciones personalizadasutilizando el icono Definir acciones en la pestaña Admin.

Publicar en el servidorIF-MAP

Si los parámetros IF-MAP están configurados ydesplegados en los valores del sistema, seleccione estaopción para publicar la información de suceso sobre elservidor IF-MAP.

Limitador de respuestas Configura la frecuencia con la que desea que responda estaregla.

Nombre del delito Si desea que la información de Nombre de sucesocontribuya al nombre del delito, seleccione la opción Estainformación debe contribuir al nombre del delito.

Si desea que el Nombre de suceso configurado sea elnombre del delito, seleccione la opción Esta informacióndebe establecer o sustituir el nombre del delito.

Una notificación SNMP puede tener el aspecto siguiente:"Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification -Rule ’SNMPTRAPTst’ Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name:ICMP Destination Unreachable Communication with Destination Host isAdministratively Prohibited, QID: 1000156, Category: 1014, Notes:Offense description"

Una salida de syslog puede tener este aspecto:Sep 28 12:39:01 localhost.localdomain ECS:Rule ’Name of Rule’ Fired: 172.16.60.219:12642-> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID:1000398, Category: 1011, Notes: Event description

Configuración de un suceso o flujo como falso positivoPuede tener tráfico de red legítimo que desencadene sucesos y flujos de falsospositivos que dificulte identificar verdaderos incidentes de seguridad. Puedeimpedir que los sucesos y los flujos se correlacionen con delitos configurándoloscomo falsos positivos.

Procedimiento1. En las pestañas Actividad de registro o Actividad de red, pulse la pausa en la

parte superior derecha para detener la modalidad continua en tiempo real desucesos o flujos.

2. Seleccione el suceso que desee ajustar.3. Pulse Falso positivo.4. Seleccione una opción de propiedad de suceso o flujo.5. Seleccione una opción de dirección de tráfico.6. Pulse Ajustar.


Resultados

El suceso o flujo que coincida con los criterios especificados ya no se correlacionarácon los delitos. Para editar el ajuste de falsos positivos, utilice el componentebásico User-BB_FalsePositive: Ajustes de positivos definidos por el usuario de lasección Reglas de la pestaña Delitos.

Reglas de detección de anomalíasLa reglas de detección de anomalías realizan pruebas sobre los resultados debúsquedas guardadas de flujos o de sucesos para detectar patrones de tráficoinusuales en la red.

Las reglas de detección de anomalías requieren una búsqueda guardada agrupadaalrededor de un parámetro común y un gráfico de serie temporal habilitado.Generalmente, la búsqueda necesita acumular datos antes de que la regla deanomalía devuelva resultados que identifiquen patrones de anomalías, umbrales ocambios de comportamiento.

Reglas de anomalía

Puede probar el tráfico de sucesos y flujos para detectar los cambios en los sucesosa corto plazo en comparación con una intervalo más largo. Por ejemplo, nuevosservicios o aplicaciones que aparecen en una red, un servidor web que se bloqueao cortafuegos que empiezan a denegar el tráfico.

Ejemplo: Puede que desee que se le notifique cuando uno de los dispositivos decortafuegos informa más a menudo de lo normal, porque la red podría estar bajoataque. Desea que se le notifique cuando se reciba el doble de sucesos en 1 hora.Debe seguir estos pasos:1. Cree y guarde una búsqueda que agrupe por origen de registro y muestre sólo

la columna de recuento.2. Aplique la búsqueda guardada a una regla de anomalía y añada la prueba de

regla y cuando el valor promedio (por intervalo) del recuento durante laúltima 1 hora sea como mínimo 100% diferente del valor promedio (porintervalo) de la misma propiedad durante las últimas 24 horas.

Reglas de umbral

Puede probar sucesos o flujos con respecto a una actividad que sea superior oinferior a un rango especificado. Utilice estas reglas para detectar cambios en eluso de ancho de banda en las aplicaciones, servicios anómalos, el número deusuarios conectados a una VPN y detectar grandes transferencias de salida.

Ejemplo: Un usuario que ha estado implicado en un incidente anterior tiene unatransferencia de salida de grandes dimensiones.

Cuando un usuario está involucrado en un delito anterior, establezcaautomáticamente la respuesta de regla para añadirla al conjunto de referencia. Sitiene una lista de observación de usuarios, añádalos al conjunto de referencia.Ajuste límites aceptables en la regla de umbral.

Son necesarios un conjunto de referencia, WatchUsers, y Key:username para labúsqueda.


Realice la búsqueda siguiente y luego aplíquela a una regla de umbral.select assetuser(sourceip, now()) as ’srcAssetUser’,Aplicationname(applicationid)as ’AppName’, long)sum(sourcebytes+destinationbytes)) as ’flowsum’ from flows where flowdirection = ’L2R’ andREFERENCESETCONTAINS(’Watchusers’, username)group by ’srcAssetUser’,applicationid order by ’flowsum’ desc last 24 hours

Reglas conductuales

Puede probar sucesos o flujos para detectar cambios de volumen que se producenen patrones regulares para detectar valores atípicos. Por ejemplo, un servidor decorreo que tiene una retransmisión abierta y que de repente se comunica conmuchos hosts o un IPS (sistema de prevención de intrusiones) que empieza agenerar numerosas actividades de alerta.

Una regla conductual que aprende la frecuencia o volumen de una propiedaddurante un periodo predefinido. El período define la línea temporal decomparación de línea base para lo que se está evaluando. Si se establece unperíodo de 1 semana, el comportamiento de la propiedad durante esa semana seaprende y, a continuación, puede utilizar pruebas de regla para recibir alertas delos cambios.

Una vez establecida una regla conductual, los períodos se ajustanautomáticamente. Dado que los datos del período se aprenden y se evalúancontinuamente para perfilar el crecimiento empresarial dentro del período, no esnecesario hacer cambios en las reglas. Cuanto más tiempo se ejecute una reglaconductual, más precisa será lo largo del tiempo. A continuación, puede ajustar lasrespuestas de regla para capturar cambios más sutiles.

Desea detectar cambios en el tráfico o las propiedades que siempre están presentes,como el tráfico de correo, el tráfico de cortafuegos, los bytes transferidos porprotocolos comunes, por por ejemplo el tráfico 443, o aplicaciones que soncomunes en la red. Defina un patrón, el tipo de tráfico o el tipo de datos quepuede rastrear para generar una tendencia global o análisis históricos. Asignepruebas de regla con respecto a ese patrón para avisarle de condiciones especiales.

Ejemplo: Añade y cuando la importancia del nivel de tráfico actual (en unaescala del 0 al 100) es 70 en comparación con las tendencias de tráfico aprendidasy el comportamiento de la regla de prueba, el sistema envía una alerta cuando eltráfico establecido en el intervalo de tiempo del período es +70 o -70 delcomportamiento aprendido.

La tabla siguiente describe las opciones de parámetro de prueba de reglaconductual.


Tabla 49. Definiciones de prueba de regla conductual

Parámetro de prueba de regla Descripción

Período El valor más importante. El período defineel comportamiento de línea base de lapropiedad que está probando, y que utilizanlas otras pruebas de regla. Para definir unperíodo, considere el tipo de tráfico que estásupervisando. Por ejemplo, para tráfico dered o procesos que incluyan interacciónhumana, 1 semana es un buen intervalo deperíodo. Para el seguimiento de serviciosautomatizados donde los patrones soncoherentes, puede que desee crear unperíodo únicamente de 1 día para definir esepatrón de comportamiento.

Nivel de tráfico actual Peso de los datos originales contabilizandolos cambios periódicos y los erroresaleatorios. Esta prueba de regla plantea lapregunta: "¿son los datos iguales que ayer ala misma hora"?

Tendencia de tráfico actual Peso de los cambios en los datos para cadaintervalo de tiempo. Esta prueba de reglaplantea la pregunta: "¿en qué medidacambian los datos al comparar este minutocon el minuto anterior"?

Comportamiento de tráfico actual Peso del efecto estacional para cada período.Esta prueba de regla plantea la pregunta:"¿han aumentado los datos en la mismacantidad de la semana 2 a la semana 3, quede la semana 1 a la semana 2?"

Valor pronosticado Utilice valores pronosticados para escalarlíneas base para hacer que las alertas seanmás o menos sensibles.

Creación de una regla de detección de anomalíasLa reglas de detección de anomalías prueban el resultado de búsquedas guardadasde flujos o de sucesos para buscar patrones de tráfico inusuales que se producenen la red. Las reglas conductuales prueban el tráfico de sucesos y flujos segúntendencias y niveles de tráfico "estacionales". Las reglas de umbral realizan pruebassobre el tráfico de sucesos y de flujos para detectar actividad que es menor, igual omayor que un valor umbral configurado, o que está dentro de un rangoespecificado.

Antes de empezar

Para crear reglas de detección de anomalías en la pestaña Actividad de registro,debe tener el permiso de rol de Actividad de registro Mantener reglaspersonalizadas.

Para crear reglas de detección de anomalías en la pestaña Actividad de red, debetener el permiso de rol de Actividad de red Mantener reglas personalizadas.

Para gestionar reglas de detección de anomalías predeterminadas y creadasanteriormente, utilice la página Reglas en la pestaña Delitos.



Cuando se crea una regla de detección de anomalías, la regla se rellena con unapila de prueba predeterminada en función de los criterios de búsqueda guardada.Puede editar las pruebas predeterminadas o añadir pruebas a la pila de prueba. Almenos se debe incluir una prueba de Propiedad acumulada en la pila de prueba.

De forma predeterminada, la opción Probar el valor [Propiedad acumuladaseleccionada] de cada [grupo] por separado está seleccionada en la página Editorde pila de prueba de regla.

Una regla de detección de anomalías prueba la propiedad acumulada seleccionadapara cada grupo de sucesos o flujos por separado. Por ejemplo, si el valoracumulado seleccionado es UniqueCount(sourceIP), la regla prueba cada direcciónIP de origen exclusiva para cada grupo de sucesos o flujos.

La opción Probar el valor [Propiedad acumulada seleccionada] de cada [grupo]por separado es dinámica. El valor [Propiedad acumulada seleccionada] dependede la opción que seleccione para el campo esta prueba de propiedad acumuladade la pila de prueba predeterminada. El valor [grupo] depende de las opciones deagrupación que se han especificado en los criterios de búsqueda guardados. Si seincluyen varias opciones de agrupación, es posible que el texto se trunque. Muevael puntero del ratón sobre el texto para ver todos los grupos.

Procedimiento1. Pulse la pestaña Actividad de registro o Actividad de red.2. Realice una búsqueda agrupada.

Puede añadir una propiedad a agrupar por en una búsqueda histórica nuevao seleccionar una propiedad de la lista Visualizar en la página de búsquedaactual.

3. En la página de resultados de búsqueda, pulse Configurar y luego configurelas opciones siguientes:a. Seleccione una propiedad de la lista Valor para gráfico.b. Seleccione serie temporal como tipo de gráfico en la lista Valor para

gráfico

c. Habilite el recuadro de selección Capturar datos de serie temporal.d. Pulse Guardar y, a continuación, especifique un nombre para la búsqueda.e. Pulse Aceptar.f. Seleccione los últimos 5 minutos en la lista Rango de tiempo, mientras

espera que se cargue el gráfico de serie temporal.

Debe tener datos de serie temporal para la propiedad que ha seleccionado enla lista Valor para gráfico para ejecutar una prueba de regla en esa propiedadacumulada.

4. En el menú Reglas, seleccione el tipo de regla que desea crear.v Añadir regla de anomalíav Añadir regla de umbralv Añadir regla conductual

5. En el campo especifique aquí el nombre de la regla de la página Editor depila de prueba de regla, escriba un nombre exclusivo que desee asignar a estaregla.


6. Para aplicar la regla mediante la prueba predeterminada, seleccione la primeraregla en la lista Grupo de pruebas de anomalía.Puede que tenga que establecer el parámetro de propiedad acumulada en lapropiedad que ha seleccionado en la lista Valor para gráfico que ha guardadoen los criterios de búsqueda. Si desea ver el resultado antes, establezca elporcentaje en un valor inferior, por ejemplo, 10%. Cambie últimas 24 horaspor un período de tiempo inferior, por ejemplo 1 hora. Debido a que unadetección de anomalías realiza pruebas en campos agregados en tiempo realpara notificar actividad anómala en la red, es posible que desee aumentar odisminuir los eventos o flujos del tráfico de red.

7. Añada una prueba a una regla.a. Para filtrar las opciones de la lista Grupo de pruebas, escriba el texto por

el que desea filtrar en el campo Tipo por filtrar.b. En la lista Grupo de pruebas, seleccione el tipo de prueba que desea

añadir a esta regla.c. Opcional: Para identificar una prueba como prueba excluida, pulse and al

principio de la prueba en el panel Regla. and se visualiza como and not.d. Pulse los parámetros configurables subrayados para personalizar las

variables de la prueba.e. En el recuadro de diálogo, seleccione valores para la variable y, a

continuación, pulse Enviar.8. Para probar las propiedades acumuladas seleccionadas totales para cada

grupo de sucesos o flujos, inhabilite el recuadro de selección Probar el valor[Propiedad acumulada seleccionada] de cada [grupo] por separado.

9. En el panel Grupos, habilite los grupos a los que desea asignar esta regla.10. En el campo Notas, escriba las notas que desee incluir para esta regla y pulse

Siguiente.11. En la página Respuestas de regla, configure las respuestas que desea que

genere esta regla.

Obtenga más información sobre los parámetros de la página de reglas dedetección de anomalías:

La tabla siguiente proporciona los parámetros de página Respuesta de regla siel tipo de regla es Anomalía.

Tabla 50. Parámetros de página de respuesta de regla de detección de anomalías


Asignar suceso nuevo Especifica que esta regla asigna un suceso nuevo con elsuceso o flujo original, que se procesa como todos losdemás sucesos del sistema. De forma predeterminada, esterecuadro de selección está seleccionado y no se puedeborrar.


Tabla 50. Parámetros de página de respuesta de regla de detección deanomalías (continuación)


Denominación de delito Si desea que la información de Nombre de sucesocontribuya al nombre del delito, seleccione la opción Estainformación debe contribuir al nombre de los delitosasociados.

Si desea que el Nombre de suceso configurado contribuyaal delito, seleccione la opción Esta información debeestablecer o sustituir el nombre de los delitos asociados.

Nota: Una vez sustituido el nombre del delito, éste nocambiará hasta que se cierre el delito. Por ejemplo, si undelito está asociado a más de una regla y el último sucesono desencadena la regla configurada para sustituirtemporalmente el nombre del delito, el último suceso noactualizará el nombre del delito. En lugar de esto, elnombre del delito sigue siendo el nombre establecido por laregla de alteración temporal.

Gravedad Nivel de gravedad que desea asignar al suceso. El rango esde 0 (el más bajo) a 10 (el más alto) y el valorpredeterminado es 5. La Gravedad se visualiza en el panelAnotaciones de los detalles de suceso.

Credibilidad La credibilidad que desee asignar al origen de registro. Porejemplo, ¿es el origen de registro ruidoso o caro? Utilizandolos recuadros de lista, seleccione la credibilidad del suceso.El rango es de 0 (el más bajo) a 10 (el más alto) y el valorpredeterminado es 5. La Credibilidad se visualiza en elpanel Anotaciones de los detalles de suceso.

Pertinencia La relevancia que desea asignar al peso del activo. Porejemplo, ¿cuánto le importa el activo? Utilizando losrecuadros de lista, seleccione la pertinencia del suceso. Elrango es de 0 (el más bajo) a 10 (el más alto) y el valorpredeterminado es 5. La Pertinencia se visualiza en el panelAnotaciones de los detalles de suceso.

Asegúrese de que el sucesoasignado forma parte de undelito

Como resultado de esta regla, el suceso se reenvía almagistrado. Si existe un delito, se añade este suceso. Si nose ha creado ningún delito en la pestaña Delitos, se crea undelito nuevo.

Notificar Los sucesos que se generan como resultado de esta regla sevisualizan en el elemento Notificaciones del sistema de lapestaña Panel de control. Si habilita las notificaciones,configure el parámetro Limitador de respuestas.

Enviar a SysLog Local Marque este recuadro de selección si desea registrar elsuceso o flujo localmente. De forma predeterminada, elrecuadro de selección no está marcado.Nota: Solo los sucesos normalizados se pueden registrarlocalmente en un dispositivo de QRadar. Si desea enviardatos de sucesos en bruto, debe utilizar la opción Enviar adestinos de reenvío para enviar los datos a un host desyslog remoto.


Tabla 50. Parámetros de página de respuesta de regla de detección deanomalías (continuación)


Añadir a un conjunto dereferencia

Añade los sucesos que se generan como resultado de estaregla a un conjunto de referencia. Debe ser administradorpara añadir datos a un conjunto de referencia.

Para añadir datos a un conjunto de referencia, siga estospasos:

1. En la primera lista, seleccione la propiedad del suceso oflujo que desea añadir.

2. En la segunda lista, seleccione el conjunto de referenciaal que desea añadir los datos especificados.

Añadir a datos de referencia Para utilizar esta respuesta de regla, debe crear larecopilación de datos de referencia.

Eliminar de conjunto dereferencia

Marque este recuadro de selección si desea que esta reglaelimine datos de un conjunto de referencia.

Para eliminar datos de un conjunto de referencia, siga estospasos:

1. En la primera lista, seleccione la propiedad del suceso oflujo que desea eliminar.

2. En la segunda lista, seleccione el conjunto de referenciadel que desea eliminar los datos especificados.

Eliminar de datos dereferencia

Para utilizar esta respuesta de regla, debe tener unarecopilación de datos de referencia.

Ejecutar una acciónpersonalizada

Puede escribir scripts que realizan acciones específicas enrespuesta a los sucesos de red. Por ejemplo, puede escribirun script para crear una regla de cortafuegos que bloqueauna dirección IP de origen concreta de la red en respuesta arepetidos intentos fallidos de inicio de sesión.

Marque este recuadro de selección y seleccione una acciónpersonalizada de la lista Acción personalizada a ejecutar.

Puede añadir y configurar acciones personalizadasutilizando el icono Definir acciones en la pestaña Admin.

Publicar en el servidorIF-MAP

Si los parámetros IF-MAP están configurados ydesplegados en los valores del sistema, seleccione estaopción para publicar la información de delito sobre elservidor IF-MAP.

Limitador de respuestas Marque este recuadro de selección y utilice los recuadros delista para configurar la frecuencia con la que desea queresponda esta regla

Habilitar regla Marque este recuadro de selección para habilitar esta regla.De manera predeterminada, el recuadro de selecciónaparece seleccionado.

Una notificación SNMP puede tener el aspecto siguiente:"Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification -Rule ’SNMPTRAPTst’ Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name:ICMP Destination Unreachable Communication with Destination Host isAdministratively Prohibited, QID: 1000156, Category: 1014, Notes:Offense description"


Una salida de syslog puede tener este aspecto:Sep 28 12:39:01 localhost.localdomain ECS:Rule ’Name of Rule’ Fired: 172.16.60.219:12642-> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID:1000398, Category: 1011, Notes: Event description

12. Pulse Siguiente.13. Pulse Finalizar.

Configuración de una respuesta de regla para añadir datos a unarecopilación de datos de referencia

Configure reglas que utilicen datos de referencia para avisarle de actividadsospechosa. Por ejemplo, incluya una lista de usuarios privilegiados en los datosde referencia y luego configure una regla que se desencadene para avisarle cuandose produzcan anomalías de usuario privilegiado.

Antes de empezar

Antes de enviar datos a un conjunto de referencia, el administrador de QRadardebe crear el conjunto de referencias.


QRadar soporta los siguientes tipos de recopilación de datos:

Conjunto de referenciaUn conjunto de elementos, por ejemplo una lista de direcciones IP onombres de usuario, que se derivan de los sucesos y flujos que seproducen en la red.

Correlación de referenciaLos datos se almacenan en registros que correlacionan una clave con unvalor. Por ejemplo, para correlacionar la actividad de usuario en la red,cree una correlación de referencia que utiliza el parámetro Nombre deusuario como clave y el ID global del usuario como valor.

Correlación de referencia de conjuntosLos datos se almacenan en registros que correlacionan una clave con variosvalores. Por ejemplo, para probar el acceso autorizado a una patente,utilice una propiedad de suceso personalizada para ID de patente comoclave y el parámetro Nombre de usuario como valor. Utilice una correlaciónde conjuntos para llenar una lista de usuarios autorizados.

Correlación de referencia de correlacionesLos datos se almacenan en registros que correlacionan una clave a otraclave, que a continuación se correlaciona con un valor único. Por ejemplo,para probar las violaciones de ancho de banda de red, debe crear unacorrelación de correlaciones. Utilice el parámetro IP de origen como laprimera clave, el parámetro Aplicación como segunda clave y el parámetroBytes totales como valor.

Tabla de referenciaEn una tabla de referencia, los datos se almacenan en una tabla quecorrelaciona una clave con otra clave, que a continuación se correlacionacon un valor único. La segunda clave tiene un tipo asignado. Estacorrelación es similar a una tabla de base de datos donde cada columna dela tabla está asociada con un tipo. Por ejemplo, debe crear una tabla dereferencia que almacena el parámetro Nombre de usuario como primera


clave y tiene varias claves secundarias que tienen un tipo asignadodefinido por el usuario como Tipo de IP con el parámetro IP de origen oPuerto de origen como valor. Puede configurar una respuesta de reglapara añadir una o más claves definidas en la tabla. También puede añadirvalores personalizados a la respuesta de regla. El valor personalizado debeser válido para el tipo de la clave secundaria.

Procedimiento1. Cree la recopilación de datos de referencia utilizando el widget Gestión de

conjuntos de referencia de la pestaña Admin.También puede crear una recopilación de datos de referencia utilizando elscript ReferenceDataUtil.sh.

2. Cree una regla utilizando el asistente Reglas.3. Cree una respuesta de regla que envíe datos a una recopilación de datos de

referencia. Puede añadir los datos como datos compartidos o datos específicosde dominio.

Más información sobre los parámetros de Añadir a datos de referencia:

Añadir a una correlación de referenciaEnvía datos a una recopilación de pares de clave única/múltiplesvalores. Debe seleccionar la clave y el valor para el registro de datos y,a continuación, seleccione la correlación de referencia a la que deseaañadir el registro de datos.

Añadir a una correlación de referencia de conjuntosEnvía datos a una recopilación de pares de clave/valor único. Debeseleccionar la clave y el valor para el registro de datos y, acontinuación, seleccionar la correlación de referencia de conjuntos a losque desea añadir el registro de datos.

Añadir a una correlación de referencia de correlacionesEnvía datos a una recopilación de pares de varias claves/valor único.Debe seleccionar una clave para la primera correlación, una clave parala segunda correlación y, a continuación, el valor para el registro dedatos. También debe seleccionar la correlación de referencia decorrelaciones a la que desea añadir el registro de datos.

Añadir a una tabla de referenciaEnvía datos a una recopilación de pares de múltiples claves/valorúnico, donde se ha asignado un tipo a las claves secundarios.Seleccione la tabla de referencia a la que desea añadir datos y, acontinuación, seleccione una clave primaria. Seleccione las clavesinternas (claves secundarias) y sus valores para los registros de datos.

Editar componentes básicosPuede editar cualquiera de los componentes básicos predeterminados parautilizarlo en varias reglas o para crear reglas complejas o lógica. Puede guardar ungrupo de pruebas como componentes básicos para utilizarlas con reglas.

Por ejemplo, puede editar el componente básico BB:HostDefinition: Servidores decorreo para identificar todos los servidores de correo del despliegue. Acontinuación, puede configurar cualquier regla para excluir los servidores decorreo de las pruebas de regla.


Procedimiento1. Pulse la pestaña Delitos o Actividad de red.2. Pulse Reglas.3. En la lista Visualizar, seleccione Componentes básicos.4. Efectúe una doble pulsación en el componente básico que desea editar.5. Actualice el componente básico, como sea necesario.6. Pulse Siguiente.7. Continúe con el asistente.8. Pulse Finalizar.


Capítulo 12. Correlación histórica

Utilice la correlación histórica para ejecutar sucesos y flujos pasados a través delmotor de reglas personalizadas (CRE) para identificar amenazas o incidentes deseguridad que ya se han producido.

Restricción: No puede utilizar la correlación histórica en IBM QRadar LogManager. Para obtener más información sobre las diferencias entre IBM SecurityQRadar SIEM y IBM QRadar Log Manager, consulte “Prestaciones de su productode inteligencia y seguridad” en la página 3.

De forma predeterminada, un despliegue de IBM Security QRadar SIEM analiza lainformación que se recopila de los orígenes de registro y los orígenes de flujo entiempo casi real. Con la correlación histórica, puede crear correlaciones por la horade inicio o por la hora de dispositivo. La hora de inicio es la hora a la que el sucesose ha recibido en QRadar. La hora de dispositivo es la hora a la que se produjo elsuceso en el dispositivo.

La correlación histórica puede resultar útil en las situaciones siguientes:

Análisis de datos en masaSi carga datos en masa en el despliegue de QRadar, puede utilizar lacorrelación histórica para correlacionar los datos contra los datos que serecopilaron en tiempo real. Por ejemplo, para evitar la degradación delrendimiento durante las horas de negocio normales, puede cargar sucesosde varios orígenes de registro cada día a media noche. Puede utilizar lacorrelación histórica para correlacionar los datos por hora de dispositivopara ver la secuencia de sucesos de red conforme se han producido en lasúltimas 24 horas.

Probar reglas nuevasPuede ejecutar la correlación histórica para probar reglas nuevas. Porejemplo, uno de sus servidores ha sufrido recientemente un ataque de unprograma malicioso nuevo para el cual no tiene reglas implementadas.Puede crear una regla para comprobar la existencia de ese programamalicioso. Después, puede utilizar la correlación histórica para comprobarla regla con datos históricos para ver si la regla desencadenaría unarespuesta si estuviese implementada en el momento del ataque. De formasimilar, puede utilizar la correlación histórica para determinar cuándo seha producido el ataque o la frecuencia del ataque. Puede seguir ajustandola regla y después pasarla a un entorno de producción.

Volver a crear delitos que se habían perdido o depurado

Si el sistema ha perdido delitos debido a un interrupción en la actividad oa cualquier otro motivo, puede volver a crear los delitos ejecutando lacorrelación histórica sobre los sucesos y los flujos que se recibieron duranteese tiempo.

Identificar hebras ocultas anteriormenteConforme se conoce información sobre las amenazas de seguridad másrecientes, puede utilizar la correlación histórica para identificar sucesos dered que ya se han producido paro que no han desencadenando un suceso.Puede realizar pruebas rápidamente para amenazas que ya hayancomprometido el sistema o los datos de su organización.


Visión general de la correlación históricaPuede configurar un perfil de correlación histórica para especificar los datoshistóricos que desea analizar y el conjunto de reglas contra el que desea probar.Cuando se desencadena una regla, se crea un delito. Debe asignar el delito para lainvestigación y la corrección.

Selección de datos

El perfil utiliza una búsqueda guardada para recopilar los datos históricos desucesos y flujos a utilizar en la ejecución. Asegúrese de que el perfil de seguridadotorga permiso para ver los sucesos y los flujos que desea incluir en la correlaciónhistórica ejecutada.

Selección y manejo de reglas

La consola de QRadar procesa datos solo contra las reglas especificadas en el perfilde correlación.

Las reglas comunes prueban datos en sucesos y flujos. Debe tener permiso para versucesos y flujos para poder añadir reglas comunes al perfil. Cuando un usuarioque carece de permiso para ver sucesos y flujos edita un perfil, las reglas comunesse eliminan automáticamente del perfil.

Puede incluir reglas inhabilitadas en un perfil de correlación histórica. Cuando seejecuta el perfil, la regla inhabilitada se evalúa contra los sucesos y flujos entrantes.Si la regla se desencadena y la acción de regla es generar un delito, el delito se creaincluso aunque la regla esté inhabilitada. Para evitar la generación de distraccionesinnecesarias, las respuestas de regla, como por ejemplo la generación de informes ylas notificaciones de correo se ignoran durante la correlación histórica.

Puesto que el proceso de correlación histórica se produce en una sola ubicación, lasreglas que están incluidas en el perfil se tratan como reglas globales. El proceso nohace que una regla local se convierta en global, pero maneja la regla como si fueraglobal durante la ejecución de la correlación histórica. Algunas reglas, como porejemplo las reglas con estados, podrían no desencadenar la misma respuesta queen una correlación normal que se ejecuta en un procesador de sucesos local. Porejemplo, una regla con estados local que hace el seguimiento de cinco inicios desesión fallidos en un periodo de cinco minutos con el mismo nombre de usuario secomporta de forma diferente en las ejecuciones de correlación normal e histórica.En una correlación normal, esta regla local mantiene un contador para el númerode inicios de sesión fallidos que recibe cada procesador de sucesos local. En lacorrelación histórica, esta regla mantiene un solo contador para todo el sistemaQRadar. En esta situación, se pueden crear delitos de forma diferente encomparación con una ejecución de correlación normal.

Creación de delitos

Las ejecuciones de correlación histórica crean delitos solo cuando se desencadenauna regla y la acción de regla especifica que se debe crear un delito. Unacorrelación histórica no contribuye a un delito en tiempo real ni a un delito creadoa partir de una correlación histórica anterior ejecutada, incluso cuando se utiliza elmismo perfil.


El número máximo de delitos que se pueden crear mediante una ejecución decorrelación histórica es 100. La ejecución de correlación histórica se detiene cuandose alcanza el límite.

Puede ver delitos históricos en el panel de control Supervisión de amenazas yseguridad y en la pestaña Delitos al mismo tiempo que revisa los delitos entiempo real.

Creación de un perfil de correlación históricaPuede crear un perfil de correlación histórica para volver a ejecutar sucesos y flujospasados a través del motor de reglas personalizadas (CRE). El perfil incluyeinformación sobre el conjunto de datos y las reglas a utilizar durante la ejecución.

Restricción: Puede crear perfiles históricos solamente en IBM Security QRadarSIEM. No puede crear perfiles históricos en IBM QRadar Log Manager.

Antes de empezar

Las reglas comunes prueban datos en sucesos y flujos. Debe tener permiso para versucesos y flujos para poder añadir reglas comunes al perfil. Cuando un usuarioque carece de permiso para ver sucesos y flujos edita un perfil, las reglas comunesse eliminan automáticamente del perfil.


Puede configurar un perfil para correlacionar por hora de inicio u hora dedispositivo. La hora de inicio es la hora a la que los sucesos llegan al recopilador desucesos. La hora de dispositivo es la hora a la que se produjo el suceso en eldispositivo. Los sucesos se pueden correlacionar por hora de inicio o por hora dedispositivo. Los flujos se pueden correlacionar por hora de inicio únicamente.

Puede incluir reglas inhabilitadas en el perfil. Las reglas inhabilitadas se indican enla lista de reglas con (Inhabilitado) después del nombre de regla.

Una correlación histórica no contribuye a un delito en tiempo real ni a un delitocreado a partir de una correlación histórica anterior ejecutada, incluso cuando seutiliza el mismo perfil.

Procedimiento1. Abra el cuadro de diálogo Correlación histórica.v En la pestaña Actividad de registro, pulse Acciones > Correlación histórica.v En la pestaña Actividad de red, pulse Acciones > Correlación histórica.v En la pestaña Delitos, pulse Reglas > Acciones > Correlación histórica.

2. Pulse Añadir y seleccione Perfil de suceso o Perfil de flujo.3. Teclee un nombre para el perfil y seleccione una búsqueda guardada. Solo

puede utilizar búsquedas guardadas no agregadas.4. En la pestaña Reglas, seleccione las reglas a ejecutar contra los datos históricos

y elija la hora de correlación.Si marca el recuadro de selección Utilizar todas las reglas habilitadas, nopuede incluir reglas inhabilitadas en el perfil. Si desea incluir reglas habilitadase inhabilitadas en el perfil, debe seleccionarlas individualmente de la lista dereglas y pulsar Añadir seleccionado.

Capítulo 12. Correlación histórica 209

5. En la pestaña Planificar, especifique el rango de horas para la búsquedaguardada y establezca los valores de planificación de perfil.

6. En la pestaña Resumen, revise la configuración y elija si desea ejecutar el perfilinmediatamente.

7. Pulse Guardar.El perfil se pone en cola para su proceso. Los perfiles en cola basados en unaplanificación tienen prioridad sobre las ejecuciones manuales.

Visualización de la información sobre ejecuciones de correlaciónhistórica

Puede ver el historial de un perfil de correlación histórica para ver informaciónsobre ejecuciones pasadas del perfil. Puede ver la lista de delitos creados durantela ejecución y el catálogo de sucesos o flujos que coinciden con las reglasdesencadenadas del perfil. Puede ver el historial de ejecuciones de correlacioneshistóricas en cola, en ejecución, completadas, completadas con errores y canceladas.


Se crea un catálogo de correlación histórica para cada regla desencadenada paracada dirección IP de origen exclusiva durante la ejecución, incluso si no se creó undelito. El catálogo contiene todos los sucesos o flujos que coinciden parcial ototalmente con la regla desencadenada.

No puede crear informes sobre datos de correlación histórica directamente desdeQRadar. Si desea utilizar programas de terceros para crear informes, puedeexportar los datos desde QRadar.

Procedimiento1. Abra el cuadro de diálogo Correlación histórica.v En la pestaña Actividad de registro, pulse Acciones > Correlación histórica.v En la pestaña Actividad de red, pulse Acciones > Correlación histórica.v En la pestaña Delitos, pulse Reglas > Acciones > Correlación histórica.

2. Seleccione un perfil y pulse Ver historial.a. Si el estado de ejecución de correlación histórica es Completado y Recuento

de delitos es 0, las reglas de perfil no han desencadenado delitos.b. Si la ejecución de la correlación histórica ha creado delitos, en la columna

Recuento de delitos pulse el enlace para ver una lista de los delitos que sehan creado. Si solo se ha creado un delito, se muestra el resumen de delitos.

3. En la columna Catálogos, pulse los enlaces para ver la lista de sucesos quecoinciden completa o parcialmente con las reglas de perfil.La columna StartTime en la lista de sucesos representa la hora en que QRadarha recibido el suceso.

4. Pulse Cerrar.


Capítulo 13. Integración de IBM X-Force

Los expertos de seguridad de IBM X-Force utilizan una serie de centros de datosinternacionales para recopilar decenas de miles de ejemplos de programasmaliciosos, para analizar páginas web y URLs y para ejecutar análisis paracategorizar posibles direcciones IP y URLs maliciosos. Puede utilizar estos datospara identificar y remediar actividad no deseada en su entorno antes de queamenace la estabilidad de su red.

Por ejemplo, puede identificar y priorizar estos tipos de incidentes.v Una serie de inicios de sesión intentados para un rango dinámico de direcciones

IPv Una conexión proxy anónima a un portal de Business Partnerv Una conexión entre un punto final interno y un mandato y control de botnet

conocidov Comunicación entre un punto final y un sitio distribución de programas

maliciosos conocido

Widget del panel de control Information Center para amenazas deInternet

El widget Internet Threat Information Center del panel de control Supervisión deamenazas y seguridad utiliza datos de X-Force para proporcionarle avisos sobreproblemas de seguridad, evaluaciones diarias sobre amenazas, noticias relacionadascon la seguridad y repositorios de amenazas.

El widget del panel de control utiliza un canal de información RSS para visualizardatos de X-Force en el widget del panel de control. QRadar Console debe teneracceso a internet para recibir datos del servidor de actualizaciones X-Force(www.iss.net).

El panel de control utiliza cuatro imágenes de nivel de amenaza de AlertCon paraproporcionar un indicador visual del nivel de amenaza actual.

Tabla 51. Niveles de amenaza de AlertCon

Nivel Tipo Descripción

1 Amenazas normales Actividad ordinaria que compromete las redes noprotegidas minutos u horas después de que QRadar seconecte a Internet.

2 Vigilanciaaumentada

Vulnerabilidades o amenazas en línea para redes desistemas que necesitan evaluación de vulnerabilidad yacciones correctoras.

3 Ataques centrados Debilidades y vulnerabilidades específicas que sonobjeto de ataques de Internet y que necesitan unaacción defensiva inmediata.

4 Amenazascatastróficas

Situaciones de seguridad críticas en una red queimponen una acción defensiva inmediata y centrada.Esta condición puede ser inminente o estar en curso.

Para obtener más información sobre el nivel de amenaza actual, pulse el enlace


Más información para abrir la página Actividad de amenaza actual en el sitio webIBM X-Force Exchange.

Para ver un resumen de los avisos actuales, pulse el icono de flecha junto al aviso.Para investigar el aviso completo, pulse el enlace de aviso.

Aplicación IBM Security Threat ContentLa aplicación IBM Security Threat Content de IBM Security App Exchange(https://exchange.xforce.ibmcloud.com/hub) contiene reglas, bloques deconstrucción y propiedades personalizadas pensadas para su uso con X-Force.

Los datos de X-Force incluyen una lista de direcciones IP y URLs potencialmentemaliciosos con una puntuación de amenaza correspondiente. Puede utilizar lasreglas de X-Force para marcar automáticamente cualquier suceso de seguridad ocualesquiera datos de actividad de red que incluya las direcciones y para priorizarlos incidentes antes de empezar a investigarlos.

La lista siguiente muestra ejemplos de los tipos de incidente que puede identificarmediante las reglas de X-Force:v when [IP de origen|destinationIP|anyIP] is part of any of the following

[ubicaciones de red remota]

v when [esta propiedad de host] is categorized by X-Force as [AnonymizationServers|Botnet C&C|DynamicIPs|Malware|ScanningIPs|Spam] withconfidence value [igual a] [esta cantidad]

v when [esta propiedad de URL] is categorized by X-Force as[Gambling|Auctions|Job Search|Alcohol|Social Networking|Dating]

El administrador de QRadar debe instalar la aplicación IBM Security ThreatContent para que las reglas aparezcan en el grupo Amenazas de la ventana Listade reglas. Las reglas deben estar habilitadas para poder utilizarlas.

Habilitación de reglas de X-Force en IBM Security QRadarAl añadir la aplicación IBM Security Threat Content al sistema QRadar, se añadenreglas de X-Force a la Lista de reglas. Las reglas deben estar habilitadas para poderutilizarlas.

Procedimiento1. Pulse la pestaña Actividad de registro.2. En la barra de herramientas, pulse Reglas > Reglas.3. En el menú Grupo, pulse Amenazas.

La columna Grupo puede mostrar las reglas de legado y mejoradas. De formapredeterminada, las reglas de legado de X-Force están inhabilitadas. Sinembargo, puede ver las reglas de legado que están habilitadas. Utilice las reglasmejoradas más recientes en el grupo Amenaza y no las reglas de legado queutilizan las redes remotas.

4. Seleccione las reglas de X-Force en el grupo Amenaza y pulse Acciones >Habilitar/inhabilitar.


Categorías de dirección IP y URLX-Force Threat Intelligence categoriza la información de dirección IP y URL.

Las direcciones IP se agrupan en las categorías siguientes:v Hosts de programas maliciososv Orígenes de correo no deseadov Direcciones IP dinámicasv Proxies anónimosv Mandato y control de Botnetv Exploración de direcciones IP

El canal de información de X-Force Threat Intelligence también categorizadirecciones URL. Por ejemplo, las direcciones URL pueden categorizarse comositios de citas, apuestas o pornografía. Para ver la lista completa de categorías parala clasificación de URL, consulte el sitio web IBM X-Force Exchange(https://exchange.xforce.ibmcloud.com/faq).

Búsqueda de información de direcciones IP y URL en X-ForceExchange

Utilice las opciones del menú contextual de IBM Security QRadar para buscarinformación sobre las direcciones IP y URL que se encuentra en IBM SecurityX-Force Exchange. Puede utilizar la información de las búsquedas, los delitos y lasreglas de QRadar para investigar más o para añadir información sobre direccionesIP o URL a una recopilación de X-Force Exchange.


Puede proporcionar información pública o privada para hacer un seguimiento delos datos de las recopilaciones cuando investigue problemas de seguridad.

Una recopilación es un repositorio donde se almacena la información que seencuentra durante una investigación. Puede utilizar una recopilación para guardarinformes, comentarios o cualquier otro contenido de X-Force Exchange. Un informede X-Force Exchange contiene una versión del informe del momento en que seguardó y un enlace a la versión actual del informe. La recopilación contiene unasección que tiene un área de notas con estilo wiki en la que puede añadircomentarios que son relevantes para la recopilación.

Para obtener más información acerca de X-Force Exchange, consulte X-ForceExchange (https://exchange.xforce.ibmcloud.com/).

Procedimiento1. Para buscar una dirección IP en X-Force Exchange desde QRadar, siga estos

pasos:a. Seleccione la pestaña Actividad de registro o Actividad de red.b. Pulse el botón derecho del ratón en la dirección IP que desea ver en X-Force

Exchange y seleccione Más opciones > Opciones de plugin > Búsqueda deX-Force Exchange para abrir la interfaz de X-Force Exchange.

2. Para buscar un URL en X-Force Exchange desde QRadar, siga estos pasos:a. Seleccione la pestaña Delitos o las ventanas de detalles de sucesos

disponibles en Delitos.

Capítulo 13. Integración de IBM X-Force 213

https://exchange.xforce.ibmcloud.com/faq

https://exchange.xforce.ibmcloud.com/

https://exchange.xforce.ibmcloud.com/

b. Pulse el botón derecho del ratón en el URL que desea ver en X-ForceExchange y seleccione Opciones de plugin > Búsqueda de X-ForceExchange para abrir la interfaz de X-Force Exchange.

Creación de una regla de categorización de URL parasupervisar el acceso a determinados tipos de sitios web

Puede crear una regla que envíe una notificación de correo electrónico si losusuarios de la red interna acceden a direcciones de URL que están categorizadascomo sitios web de apuestas.

Antes de empezar

Para utilizar datos de X-Force en reglas, el administrador debe configurar QRadarpara cargar datos de los servidores de X-Force.

Para crear una regla nueva, debe tener el permiso Delitos > Mantener reglaspersonalizadas.

Procedimiento1. Pulse la pestaña Delitos.2. En el menú de navegación, pulse Reglas.3. En el recuadro de lista Acciones, seleccione Nueva regla de sucesos.4. Lea el texto introductorio en el asistente de reglas y pulse Siguiente.5. Pulse Sucesos y pulse Siguiente.6. En el recuadro de lista Grupo de pruebas, seleccione X-Force Tests.7. Pulse el signo más (+) junto a la prueba when URL (custom) is categorized

by X-Force as one of the following categories.8. En el campo especifique aquí el nombre de la regla en el panel Regla, escriba

un nombre exclusivo que desee asignar a esta regla.9. En el recuadro de lista, seleccione Local o Global.

10. Pulse los parámetros configurables subrayados para personalizar las variablesde la prueba.a. Pulse URL (personalizado).b. Seleccione la propiedad de URL que contiene el URL que se ha extraído de

la carga útil y pulse Enviar.c. Pulse una de las siguientes categorías.d. Seleccione Gambling / Lottery en las categorías de URL de X-Force, pulse

Añadir + y pulse Enviar.11. Para exportar la regla configurada como un componente básico para utilizarlo

con otras reglas:a. Pulse Exportar como componente básico.b. Escriba un nombre exclusivo para este componente básico.c. Pulse Guardar.

12. En el panel Grupos, seleccione los recuadros de selección de los grupos a losque desea asignar esta regla.

13. En el campo Notas, escriba una nota que desee incluir para esta regla y pulseSiguiente.

14. En la página Respuestas de regla, pulse Correo electrónico y escriba lasdirecciones de correo electrónico que recibirán la notificación.

15. Pulse Siguiente.


16. Si la regla es precisa, pulse Finalizar.

Factor de confianza y reputación de dirección IPLos datos de reputación de dirección IP se evalúan en función del tiempo que seve y del volumen de mensajes o datos. X-Force categoriza los datos de reputaciónde dirección IP y asigna un factor de confianza de 0 a 100, donde 0 representaninguna confianza y 100 representa la certeza. Por ejemplo, X-Force puedecategorizar una dirección IP de origen como una IP de exploración con un factorde confianza de 75, que es un nivel de confianza moderadamente elevado.

Determinación de un umbral

A modo de ejemplo, los mensajes de correo no deseado con una entrada dereputación de dirección IP de 0 indican que el tráfico de IP de origen no es correono deseado mientras que una entrada de 100 indica que definitivamente se trata detráfico de correo no deseado. Así, los valores inferiores a 50 indican menorprobabilidad de que el mensaje sea correo no deseado y los valores superiores a 50indican una mayor probabilidad de que el mensaje sea correo no deseado. Unvalor de 50 o superior es el umbral para el que establecer una acción en una regladesencadenada.

Estas probabilidades están basadas en datos actuales basados en web que IBMSecurity X-Force Threat Intelligence recopila y analiza continuamente en todo elmundo, en centros de datos de X-Force. Conforme se recopilan los datos, el sistemavalúa cuando correo no deseado se recibe de una dirección IP determinada o conqué frecuencia la dirección IP marcada está en la categoría de reputación dedirección IP. Cuantas más veces, mayor es la puntuación del sistema en el factor deconfianza.

Ajustar falsos positivos con el valor de factor de confianzaUtilice el factor de confianza para limitar el número de delitos creados por reglasdesencadenadas. En función del nivel de protección que desea, puede ajustar losvalores de confianza al nivel que mejor se ajuste a su entorno de red.


Cuando ajusta las reglas, considere una escala en la que 50 es el punto crítico. Enactivos de menor importancia, puede ponderar una regla de X-Force para quedesencadene en un factor de confianza más elevado para categorías específicas,como por ejemplo correo no deseado. Por ejemplo, ajustar una regla a un factor deconfianza de 75 significa que la regla se desencadena solo cuando X-Force ve unadirección IP con un factor de confianza igual o superior a 75. Este ajuste reduce elnúmero de delitos generados en sistemas de prioridad más baja y activos nocríticos. Sin embargo, un sistema importante o un activo de negocio crítico con unfactor de confianza de 50 desdencadena un delito en un nivel más bajo y reclamala atención sobre un problema más rápidamente.

Para la DMZ, elija un valor de confianza superior como `por ejemplo 95% osuperior. No es necesario investigar muchos delitos en este área. Con un nivel deconfianza alto, es más probable que las direcciones IP coincidan con la categoríalistada. Si hay un 95% de certidumbre de que un host esté proporcionandomalware, debe saberlo.


Para áreas más seguras de la red, como por ejemplo una agrupación de servidores,baje el valor de confianza. Se identifican más amenazas potenciales y dedica menosesfuerzo a investigar porque la amenaza pertenece a un segmento de redespecífico.

Para un ajuste de falso positivo, gestione sus desencadenantes de regla porsegmento. Busque en su infraestructura de red y decida qué activos necesitan unnivel de protección alto y qué activos no. Puede aplicar diferentes valores deconfianza para los diferentes segmentos de red. Utilice los bloques básicos paraagrupar las pruebas utilizada más habitualmente de modo que se puedan utilizaren reglas.

Procedimiento1. Pulse la pestaña Actividad de registro.2. En la barra de herramientas, pulse Reglas > Reglas.3. Efectúe una doble pulsación sobre una regla para iniciar el asistente Regla.4. En el recuadro de filtro, escriba lo siguiente:

cuando esta propiedad de host está categorizada por X-Force como estacategoría con un valor de confianza igual a esta cantidad

5. Pulse el icono Añadir prueba a regla (+).6. En la sección Regla, pulse el enlace esta cantidad.7. Especifique un valor de confianza.8. Pulse Enviar.9. Pulse Finalizar para asalir del asistente Reglas.

Buscar datos de IBM X-Force Exchange con criterios de búsquedaavanzados

Para consultas complejas, puede buscar y filtrar datos de X-Force Exchangemediante expresiones de Búsqueda avanzada.


Las búsquedas avanzadas devuelven datos de la pestaña Actividad de registro oActividad de red en QRadar.

Las búsquedas de URL no se pueden devolver de la pestaña Actividad de redporque la información de URL la proporcionan los datos de suceso.

Procedimiento1. Pulse la pestaña Actividad de registro.2. En la barra de herramientas Buscar, seleccione Búsqueda avanzada.3. Teclee una expresión de consulta de AQL.

Obtenga más información sobre las expresiones de búsqueda:

La tabla siguiente describe algunas expresiones de búsqueda comunes.

Tabla 52. Expresiones de búsqueda avanzada de X-Force


Busca direcciones IP de origen cuyo factorde confianza es superior a 50.

select * from events whereXFORCE_IP_CONFIDENCE(’Spam’,sourceip)>50


Tabla 52. Expresiones de búsqueda avanzada de X-Force (continuación)


Búsquedas asociadas a un URL. select url,XFORCE_URL_CATEGORY(url)as myCategories from events whereXFORCE_URL_CATEGORY(url) IS NOT NULL

Búsquedas asociadas a una dirección IP deorigen.

select sourceip,XFORCE_IP_CATEGORY(sourceip)as IPcategories from events whereXFORCE_IP_CATEGORY(sourceip) IS NOT NULL

4. Pulse Buscar.



Capítulo 14. Gestión de informes

Puede utilizar la pestaña Informes para crear, editar, distribuir y gestionarinformes.

Unas opciones de creación de informes detalladas y flexibles satisfacen diversosestándares normativos como, por ejemplo, la conformidad con PCI.

Puede crear sus propios informes personalizados o utilizar informespredeterminados. Puede personalizar y cambiar el nombre de informespredeterminados y distribuirlos a otros usuarios.

La pestaña Informes puede necesitar un largo periodo de tiempo para renovarse siel sistema incluye muchos informes.

Nota: Si ejecuta Microsoft Exchange Server 5.5, es posible que aparezcan caracteresde tipos no disponibles en la línea del asunto de los informes enviados por correoelectrónico. Para resolver este problema, descargue e instale el Service Pack 4 deMicrosoft Exchange Server 5.5. Para obtener más información, póngase en contactocon el soporte de Microsoft.

Consideraciones sobre el huso horario

Para asegurarse de que la característica de creación de informes utiliza la fecha yhora correctas para crear informes de datos, la sesión debe estar sincronizada conel huso horario.

Durante la instalación y configuración de los productos de QRadar, se configura elhuso horario. Consulte con el administrador para asegurarse de que la sesión deQRadar está sincronizada con el huso horario.

Permisos de la pestaña de informes

Los usuarios administrativos pueden ver todos los informes creados por otrosusuarios.

Los usuarios no administrativos solo pueden ver los informes que ellos han creadoo los informes compartidos por otros usuarios.

Parámetros de la pestaña de informes

La pestaña Informes muestra una lista de informes personalizados ypredeterminados.

En la pestaña Informes, puede ver información estadística acerca de la plantilla deinformes, realizar acciones en las plantillas de informes, ver los informes generadosy suprimir el contenido generado.

Si un informe no especifica una planificación de intervalo, debe generarmanualmente el informe.

Puede pasar el puntero del ratón sobre cualquier informe para previsualizar unresumen de informe en una ayuda contextual. El resumen especifica la


configuración del informe y el tipo de contenido que genera el informe.

Diseño de informeUn informe puede constar de varios elementos de datos y puede representar datosde red y de seguridad en diversos estilos, tales como tablas, gráficos de línea,gráficos circulares y gráficos de barras.

Al seleccionar el diseño de un informe, tenga en cuenta el tipo de informe quedesea crear. Por ejemplo, no elija un contenedor de gráfico pequeño para uncontenido de gráfico que muestra muchos objetos. Cada gráfico incluye unaleyenda y una lista de redes de las que se deriva el contenido; elija un contenedorsuficientemente grande para contener los datos. Para ver previamente cómovisualiza cada gráfico los datos, consulte Tipos de gráfico.

Tipos de gráficoCuando se crea un informe, debe elegir un tipo de gráfico para cada gráfico queincluya en el informe.

El tipo de gráfico determina cómo aparecen en el informe generado los datos yobjetos de red.

Puede utilizar cualquiera de los tipos de gráficos siguientes:

Tabla 53. Tipos de gráfico


Ninguno Utilice esta opción si necesita un espacio enblanco en el informe. Si selecciona la opciónNinguno para cualquier contenedor, no esnecesario realizar ninguna configuraciónadicional para dicho contenedor.

Vulnerabilidades de activos Utilice este gráfico para ver los datos devulnerabilidad para cada activo definido enel despliegue. Puede generar gráficos devulnerabilidad de activos cuando unaexploración de VA ha detectadovulnerabilidades. Este gráfico está disponibledespués de instalar IBM Security QRadarVulnerability Manager.

Conexiones Esta opción de gráfico solo se visualiza si haadquirido IBM Security QRadar RiskManager y dispone de la licenciacorrespondiente. Para obtener másinformación, consulte la publicación Guía delusuario de IBM Security QRadar Risk Manager.

Reglas de dispositivo Esta opción de gráfico solo se visualiza si haadquirido IBM Security QRadar RiskManager y dispone de la licenciacorrespondiente. Para obtener másinformación, consulte la publicación Guía delusuario de IBM Security QRadar Risk Manager.


Tabla 53. Tipos de gráfico (continuación)


Objetos no utilizados de dispositivo Esta opción de gráfico solo se visualiza si haadquirido IBM Security QRadar RiskManager y dispone de la licenciacorrespondiente. Para obtener másinformación, consulte la publicación Guía delusuario de IBM Security QRadar Risk Manager.

Sucesos/Registros Utilice este gráfico para ver información desuceso. Puede basar un gráfico en datos debúsquedas guardadas en la pestañaActividad de registro. Puede configurar elgráfico para trazar datos durante un periodode tiempo configurable para detectartendencias de sucesos. Para obtener másinformación sobre las búsquedas guardadas,consulte Búsquedas de datos.

Orígenes de registro Utilice este gráfico para exportar o informesobre los orígenes de registro. Seleccione losorígenes de registro y los grupos de orígenesde registro que desea que aparezcan en elinforme. Ordene los orígenes de registro porcolumnas de informe. Incluya orígenes deregistro de los que no se ha informadodurante un periodo de tiempo definido.Incluya orígenes de registro que se hancreado en un periodo de tiempoespecificado.

Flujos Utilice este gráfico para ver información deflujo. Puede basar un gráfico en datos debúsquedas guardadas en la pestañaActividad de red. Puede configurar elgráfico para trazar datos de flujo durante unperiodo de tiempo configurable paradetectar tendencias de flujo. Para obtenermás información sobre las búsquedasguardadas, consulte Búsquedas de datos.

IP de destino principales Utilice este gráfico para visualizar lasdirecciones IP de destino principales en lasubicaciones de red que seleccione.

Delitos principales Utilice este gráfico para visualizar los delitosprincipales que se producen en el momentoactual para las ubicaciones de red queseleccione.

Delitos a lo largo del tiempo Utilice este gráfico para visualizar todos losdelitos cuya hora de inicio está dentro de unintervalo de tiempo definido para lasubicaciones de red que seleccione.

IP de origen principales Utilice este gráfico para visualizar y ordenarlos principales orígenes de delito(direcciones IP) que atacan la red o losactivos de la empresa.

Capítulo 14. Gestión de informes 221



Vulnerabilidades La opción Vulnerabilidades sólo se visualizacuando se ha adquirido IBM SecurityQRadar Vulnerability Manager y se disponede licencia para el mismo. Para obtener másinformación, consulte la publicación Guía delusuario de IBM Security QRadar VulnerabilityManager.



Ninguno Utilice esta opción si necesita un espacio enblanco en el informe. Si selecciona la opciónNinguno para cualquier contenedor, no esnecesario realizar ninguna configuraciónadicional para dicho contenedor.

Vulnerabilidades de activos Utilice este gráfico para ver los datos devulnerabilidad para cada activo definido enel despliegue. Puede generar gráficos devulnerabilidad de activos cuando unaexploración de VA ha detectadovulnerabilidades. Este gráfico está disponibledespués de instalar IBM Security QRadarVulnerability Manager.

Vulnerabilidades La opción Vulnerabilidades sólo se visualizacuando se ha adquirido IBM SecurityQRadar Vulnerability Manager y se disponede licencia para el mismo. Para obtener másinformación, consulte la publicación Guía delusuario de IBM Security QRadar VulnerabilityManager.

Barra de herramientas de la pestaña de informesPuede utilizar la barra de herramientas para realizar una serie de acciones en losinformes.

La tabla siguiente identifica y describe las opciones de la barra de herramientas deInformes.

Tabla 55. Opciones de barra de herramientas de Informes


Grupo

Gestionar grupos Pulse Gestionar grupos para gestionargrupos de informes. Mediante el uso de lacaracterística Gestionar grupos, puedeorganizar los informes en gruposfuncionales. Puede compartir los grupos deinformes con otros usuarios.


Tabla 55. Opciones de barra de herramientas de Informes (continuación)



v Crear: Seleccione esta opción para crearun informe nuevo.

v Editar: Seleccione esta opción para editarel informe seleccionado. También puedeefectuar una doble pulsación en uninforme para editar el contenido.

v Duplicar: Seleccione esta opción paraduplicar o renombrar el informeseleccionado.

v Asignar grupos: Seleccione esta opciónpara asignar el informe seleccionado a ungrupo de informes.

v Compartir: Seleccione esta opción paracompartir el informe seleccionado conotros usuarios. Debe tener privilegiosadministrativos para compartir informes.

v Conmutar planificación: Seleccione estaopción para conmutar el informeseleccionado al estado Activo o Inactivo.

v Ejecutar informe: Seleccione esta opciónpara generar el informe seleccionado. Paragenerar varios informes, mantengapulsada la tecla Control y pulse losinformes que desea generar.

v Ejecutar informe para datos en bruto:Seleccione esta opción para generar elinforme seleccionado utilizando datos enbruto. Esta opción es útil si desea generarun informe antes de que estén disponibleslos datos acumulados necesarios. Porejemplo, si desea ejecutar un informesemanal antes de que haya transcurridouna semana completa desde que creó elinforme, puede generar el informeutilizando esta opción.

v Suprimir informe: Seleccione esta opciónpara suprimir el informe seleccionado.Para suprimir varios informes, mantengapulsada la tecla Control y pulse losinformes que desea suprimir.

v Suprimir contenido generado: Seleccioneesta opción para suprimir todo elcontenido generado para las filasseleccionadas. Para suprimir variosinformes generados, mantenga pulsada latecla Control y pulse los informesgenerados que desea suprimir.


Tabla 55. Opciones de barra de herramientas de Informes (continuación)


Ocultar informes inactivos Seleccione este recuadro de selección paraocultar las plantillas de informes inactivos.La pestaña Informes se renuevaautomáticamente y muestra sólo losinformes de activos. Quite la marca delrecuadro de selección para mostrar losinformes inactivos ocultos.

Buscar en informes Escriba los criterios de búsqueda en elcampo Buscar en informes y pulse el iconoBuscar en informes. Se ejecuta unabúsqueda en los parámetros siguientes paradeterminar cuáles coinciden con los criteriosespecificados:

v Título de informe

v Descripción de informe

v Grupo de informes

v Grupos de informes

v Nombre de usuario de autor de informes

Tipos de gráficoCada tipo de diagrama soporta varios tipos de gráfico que puede utilizar paravisualizar datos.

Los archivos de configuración de red determinan los colores que los diagramasutilizan para representar el tráfico de red. Cada dirección IP se representa medianteun color exclusivo. La tabla siguiente proporciona ejemplos de cómo se utilizan losdatos de red y de seguridad en los diagramas. La tabla describe los tipos dediagrama que están disponibles para cada tipo de gráfico.


Tipo de gráfico Tipos de diagrama disponibles

Línea v Sucesos/Registros

v Flujos

v Conexiones

v Vulnerabilidades

Línea apilada v Sucesos/Registros

v Flujos

v Conexiones

v Vulnerabilidades

Barra v Sucesos/Registros

v Flujos

v Conexiones de vulnerabilidades de activos

v Conexiones

v Vulnerabilidades



Tipo de gráfico Tipos de diagrama disponibles

Barra horizontal v IP de origen principales

v Delitos principales

v Delitos a lo largo del tiempo

v IP de destino principales

Barra apilada v Sucesos/Registros

v Flujos

v Conexiones

Circular v Sucesos/Registros

v Flujos

v Vulnerabilidades de activos

v Conexiones

v Vulnerabilidades

Tabla v Sucesos/Registros

v Flujos

v IP de origen principales

v Delitos principales

v Delitos a lo largo del tiempo

v IP de destino principales

v Conexiones

v Vulnerabilidades

Para visualizar el contenido en una tabla, debe diseñar elinforme con un contenedor de ancho de página completa.

Tabla de agregación Disponible con el diagrama de Vulnerabilidades de activos.

Para visualizar el contenido en una tabla, debe diseñar elinforme con un contenedor de ancho de página completa.

Están disponibles los siguientes tipos de gráfico para informes de QRadar LogManager:v Líneav Línea apiladav Barrav Barra apiladav Circularv Tabla

Nota: Cuando crea informes de gráficos de barras y barras apiladas, la leyenda sepresenta en formato fijo y las barras o las secciones de barras se representan poretiquetes codificadas por colores en la mayoría de los casos. Si selecciona el tiempocomo el valor del eje x, puede crear intervalos de tiempo en el eje x.

Creación de informes personalizadosUtilice el Asistente de informes para crear un nuevo informe y personalizarlo.


Antes de empezar

Debe tener los permisos de red apropiados para compartir un informe generadocon otros usuarios.

Para obtener más información sobre los permisos, consulte la publicación Guía deadministración de IBM Security QRadar.


El Asistente de informes proporciona una guía paso a paso sobre cómo diseñar,planificar y generar informes.

El asistente utiliza los siguientes elementos clave para ayudarle a crear un informe:v Diseño: Posición y tamaño de cada contenedorv Contenedor: Marcador para el contenido presentadov Contenido: Definición del gráfico que se coloca en el contenedor

Después de crear un informe que se genera semanal o mensualmente, debetranscurrir el tiempo planificado antes de que el informe generado devuelvaresultados. Para un informe planificado, debe esperar el periodo de tiempoplanificado para que se creen los resultados. Por ejemplo, una búsqueda semanalnecesita siete días para crear los datos. Esta búsqueda devolverá resultados trassiete días.

Cuando especifique el formato de salida para el informe, tenga en cuenta que eltamaño de archivo de los informes generados puede tener de uno a dosmegabytes, dependiendo del formato de salida seleccionado. El formato PDF esmenor de tamaño y no utiliza una gran cantidad de espacio de almacenamiento dedisco.

Procedimiento1. Pulse en la pestaña Informes.2. En el cuadro de lista Acciones, seleccione Crear.3. En la ventana Bienvenido al Asistente de informes, pulse Siguiente.4. Seleccione una de las opciones siguientes:


Manualmente De forma predeterminada, el informe segenera una vez. Puede generar el informecon la frecuencia que desee.

Cada hora Planifica que el informe se genere al final decada hora. Se utilizan los datos de la horaanterior.

En los recuadros de lista, seleccione unintervalo de tiempo para empezar y finalizarel ciclo del informe. Se genera un informepara cada hora dentro de este intervalo detiempo. El tiempo está disponible enincrementos de media hora. El valorpredeterminado es 1:00 a.m. para los camposDesde y Hasta.



Diariamente Planifica que el informe se genere al final decada día. Se utilizan los datos del díaanterior.

En los cuadros de lista, seleccione la hora ylos días de la semana que desea que seejecute el informe.

Semanalmente Planifica que el informe se generesemanalmente utilizando los datos de lasemana anterior.

Seleccione el día que desea generar elinforme. El valor predeterminado es Lunes.En el recuadro de lista, seleccione una horapara empezar el ciclo del informe. El tiempoestá disponible en incrementos de mediahora. El valor predeterminado es 1:00 a.m.

Mensualmente Planifica el informe para generarmensualmente utilizando los datos del mesanterior.

En el recuadro de lista, seleccione la fecha enla que desea generar el informe. El valorpredeterminado es el primer día del mes.Seleccione una hora para empezar el ciclodel informe. El tiempo está disponible enincrementos de media hora. El valorpredeterminado es 1:00 a.m.

5. En el panel Permitir que este informe se genere manualmente, seleccione Sío No.

6. Configure el diseño del informe:a. En el recuadro de lista Orientación, seleccione Vertical u Horizontal para

la orientación de página.b. Seleccione una de las seis opciones de diseño que se muestran en el

asistente de informes.c. Pulse Siguiente.

7. Especifique valores para los parámetros siguientes:

Parámetro Valores

Título de informe El título puede tener una longitud máximade 100 caracteres. No utilice caracteresespeciales.

Logotipo En el recuadro de lista, seleccione unlogotipo.

Opciones de paginación En el recuadro de lista, seleccione laubicación en el informe en la que seaparecerán los números de página. Puedeoptar por no mostrar números de página.


Parámetro Valores

Clasificación de informe Escriba una clasificación para este informe.Puede escribir un máximo de 75 caracteres.Puede utilizar espacios iniciales, caracteresespeciales y caracteres de doble byte. Laclasificación del informe se muestra en lacabecera y el pie de página del informe. Silo desea, puede clasificar el informe comoconfidencial, muy confidencial, sensible ointerno.

8. Configure cada contenedor en el informe:a. En el recuadro de lista Tipo de gráfico, seleccione un tipo de gráfico.b. En la ventana Detalles de contenedor, configure los parámetros de gráfico.

Nota: También puede crear búsquedas guardadas de activos. En el cuadrode lista Buscar para utilizar, seleccione la búsqueda guardada.

c. Pulse Guardar detalles de contenedor.d. Si ha seleccionado más de un contenedor, repita los pasos del a al c.e. Pulse Siguiente.

9. Vea previamente la página Vista previa del diseño y, a continuación, pulseSiguiente.

10. Marque los recuadros de selección para los formatos de informe que deseagenerar y pulse Siguiente.

Importante: Extensible Markup Language sólo está disponible para tablas.11. Seleccione los canales de distribución para el informe y, a continuación, pulse

Siguiente. Las opciones incluyen los siguientes canales de distribución:


Consola de informes Marque este recuadro de selección paraenviar el informe generado a la pestañaInformes. Consola de informes es el canalde distribución predeterminado.

Seleccione los usuarios que deben poderver el informe generado.

Esta opción se muestra después deseleccionar el recuadro de selección Consolade informes.

En la lista de usuarios, seleccione losusuarios a los que desea otorgar permisopara ver los informes generados.

Seleccionar todos los usuarios Esta opción sólo se visualiza después deseleccionar el recuadro de selección Consolade informes. Marque este recuadro deselección si desea otorgar permiso a todoslos usuarios para ver los informesgenerados.

Debe tener permisos de red apropiados paracompartir el informe generado con otrosusuarios.

Correo electrónico Marque este recuadro de selección si deseadistribuir el informe generado por correoelectrónico.



Escriba la dirección o direcciones de correoelectrónico de destino del informe:

Esta opción sólo se visualiza después deseleccionar el recuadro de selección Correoelectrónico.

Escriba la dirección de correo electrónicopara cada destinatario de informe generado;separe una lista de direcciones de correoelectrónico con comas. El máximo decaracteres para este parámetro es de 255.

Los destinatarios de correo electrónicoreciben este correo electrónico desdeno_reply_reports@qradar.

Incluir informe como archivo adjunto (sólono HTML)

Esta opción sólo se visualiza después deseleccionar el recuadro de selección Correoelectrónico. Marque este recuadro deselección para enviar el informe generadocomo un archivo adjunto.

Incluir enlace a consola de informes Esta opción sólo se visualiza después deseleccionar el recuadro de selección Correoelectrónico. Marque este recuadro deselección para incluir un enlace a la Consolade informes en el correo electrónico.

12. En la página Se está terminando, entre valores para los parámetros siguientes.


Descripción de informe Escriba una descripción para este informe.La descripción se visualiza en la páginaResumen de informe y en el correoelectrónico de distribución de informesgenerados.

Seleccione los grupos a los que debapertenecer este informe

Seleccione los grupos a los que deseaasignar este informe. Para obtener másinformación sobre grupos, consulte Gruposde informes.

¿Desea ejecutar el informe ahora? Marque este recuadro de selección si deseagenerar el informe cuando se complete elasistente. De manera predeterminada, elrecuadro de selección aparece seleccionado.

13. Pulse Siguiente para ver el resumen de informe.14. En la página Resumen de informe, seleccione las pestañas disponibles en el

informe de resumen para previsualizar la configuración de informe.

Resultados

El informe se genera inmediatamente. Si ha borrado el recuadro de selección¿Desea ejecutar el informe ahora? en la página final del asistente, el informe seguarda y se genera a la hora planificada. El título de informe es el títulopredeterminado para el informe generado. Si reconfigura un informe para entrartítulo de informe nuevo, el informe se guarda como un informe nuevo con elnombre nuevo; sin embargo, el informe original sigue siendo el mismo.


Edición de un informeUtilizando el asistente de informes, puede editar cualquier informe personalizado opredeterminado para cambiarlo.


Puede utilizar o personalizar un número significativo de informespredeterminados. La pestaña Informes predeterminada visualiza la lista deinformes. Cada informe captura y visualiza los datos existentes.

Nota: Cuando personaliza un informe planificado para que se generemanualmente, seleccione el intervalo de tiempo Fecha de finalización antes deseleccionar el valor de Fecha de inicio.

Procedimiento1. Pulse en la pestaña Informes.2. Efectúe una doble pulsación en el informe que desea personalizar.3. En el asistente de informes, cambie los parámetros para personalizar el

informe para generar el contenido que necesita.

Resultados

Si reconfigura un informe para entrar título de informe nuevo, el informe seguarda como un informe nuevo con el nombre nuevo; sin embargo, el informeoriginal sigue siendo el mismo.

Visualización de informes generadosEn la pestaña Informes, se visualiza un icono en la columna Formatos si uninforme ha generado contenido. Puede pulsar el icono para ver el informe.


Cuando un informe ha generado contenido, la columna Informes generadosvisualiza un recuadro de lista. El recuadro de lista muestra todo el contenidogenerado, que se organiza por la indicación de fecha y hora del informe. Losinformes más recientes se muestran en la parte superior de la lista. Si un informeno tiene ningún contenido generado, se visualiza el valor Ninguno en la columnaInformes generados.

Los iconos que representan el formato del informe generado se visualizan en lacolumna Formatos.

Los informes pueden generarse en los formatos PDF, HTML, RTF, XML y XLS.

Nota: Los formatos XML y XLS sólo están disponibles para los informes queutilizan un formato de tabla de un solo gráfico (vertical u horizontal).

Puede ver sólo los informes a los que se le ha dado acceso desde el administrador.Los usuarios administrativos pueden acceder a todos los informes.

Si utiliza el navegador web Mozilla Firefox y selecciona el formato de informe RTF,el navegador web Mozilla Firefox inicia una nueva ventana de navegador. Estenuevo inicio de ventana es el resultado de la configuración de navegador web


Mozilla Firefox y no afecta a QRadar. Puede cerrar la ventana y continuar con lasesión de QRadar.

Procedimiento1. Pulse en la pestaña Informes.2. En el recuadro de lista de la columna Informes generados, seleccione la

indicación de fecha y hora del informe desea ver.3. Pulse el icono correspondiente al formato que desea ver.

Supresión de contenido generadoCuando suprime el contenido generado, todos los informes que se han generado apartir de la plantilla de informe se suprimen, pero la plantilla de informe seconserva.

Procedimiento1. Pulse la pestaña Informe.2. Seleccione los informes para los que desea suprimir el contenido generado.3. En el recuadro de lista Acciones, pulse Suprimir contenido generado.

Generación manual de un informeUn informe puede configurarse para que se genere automáticamente, sin embargo,el usuario puede generar manualmente un informe en cualquier momento.


Mientras se genera un informe, la columna Próxima hora de ejecución visualizauno de los tres mensajes siguientes:v Generando: El informe se está generando.v En cola (posición en la cola): El informe se pone en cola para generarse. El

mensaje indica la posición en la que está el informe en la cola. Por ejemplo, 1 de3.

v (x hora(s) x min(s) y seg(s)): Está planificado que el informe se ejecute. Elmensaje es un temporizador de cuenta atrás que especifica cuándo se ejecutaráel informe la próxima vez.

Puede seleccionar el icono Renovar para renovar la vista, incluida la informaciónde la columna Próxima hora de ejecución.

Procedimiento1. Pulse en la pestaña Informes.2. Seleccione el informe que desea generar.3. Pulse Ejecutar informe.


Una vez que se ha generado el informe, puede ver el informe generado desde lacolumna Informes generados.


Duplicación de un informePara crear un informe que se parezca detenidamente a un informe existente, puededuplicar el informe que desea modelar y, a continuación, personalizarlo.

Procedimiento1. Pulse en la pestaña Informes.2. Seleccione el informe que desea duplicar.3. En el recuadro de lista Acciones, pulse Duplicar.4. Escriba un nuevo nombre, sin espacios, para el informe.


Puede personalizar el informe duplicado.

Compartición de un informePuede compartir informes con otros usuarios. Cuando se comparte un informe, seproporciona una copia del informe seleccionado a otro usuario para editarlo oplanificarlo.


Las actualizaciones que el usuario realiza en un informe compartido no afectan a laversión original del informe.

Debe tener privilegios administrativos para compartir informes. Además, para queun usuario nuevo vea y acceda a los informes, un usuario administrativo debecompartir todos los informes necesarios con el nuevo usuario.

Sólo puede compartir el informe con los usuarios que tienen el acceso adecuado.

Procedimiento1. Pulse en la pestaña Informes.2. Seleccione los informes que desea compartir.3. En el recuadro de lista Acciones, pulse Compartir.4. En la lista de usuarios, seleccione los usuarios con los que desea compartir este

informe.

Creación de marca de informesPara marcar de informes, puede importar logotipos e imágenes específicas. Paramarcar informes con logotipos personalizados, debe cargar y configurar loslogotipos antes de empezar a utilizar el asistente de informes.

Antes de empezar

Asegúrese de que el gráfico que desea utilizar tiene 144 x 50 píxeles con un fondoen blanco.

Para asegurarse de que el navegador visualice el nuevo logotipo, borre la caché denavegador.



La creación de marcas de informe es beneficiosa para la empresa cuando se soportamás de un logotipo. Cuando se carga una imagen, esta imagen se guarda de formaautomática en formato PNG (Portable Network Graphic).

Cuando se carga una nueva imagen y se establece la imagen como valorpredeterminado, la nueva imagen predeterminada no se aplica a los informes quese han generado anteriormente. Para actualizar el logotipo en informes generadospreviamente es necesario generar manualmente contenido nuevo desde el informe.

Si carga una imagen que tiene una longitud mayor que la que puede soportar lacabecera del informe, la imagen se redimensiona automáticamente para ajustarse ala cabecera; esto tiene aproximadamente una altura de 50 píxeles.

Procedimiento1. Pulse en la pestaña Informes.2. En el menú de navegación, pulse Creación de una identidad visual.3. Pulse Examinar para examinar los archivos que están ubicados en el sistema.4. Seleccione el archivo que contiene el logotipo que desea cargar. Pulse Abrir.5. Pulse Cargar imagen.6. Seleccione el logotipo que desea utilizar como valor predeterminado y pulse

Establecer imagen predeterminada.

Grupos de informesLos informes pueden ordenarse en grupos funcionales. Si se categorizan losinformes por grupos, puede organizar y buscar informes de forma eficiente.

Por ejemplo, puede ver todos los informes relacionados con la conformidad con elestándar PCIDSS (Payment Card Industry Data Security Standard).

De forma predeterminada, la pestaña Informes muestra la lista de todos losinformes, sin embargo, puede categorizar los informes en grupos tales como:v Conformidadv Ejecutivov Orígenes de registrov Gestión de redv Seguridadv VoIPv Otros

Cuando se crea un informe nuevo, se puede asignar el informe a un grupoexistente o crear un grupo nuevo. Debe tener acceso administrativo para crear,editar o suprimir grupos.

Para obtener más información sobre los roles de usuario, consulte la publicaciónGuía de administración de IBM Security QRadar.

Creación de un grupo de informesPuede crear grupos nuevos.


Procedimiento1. Pulse en la pestaña Informes.2. Pulse Gestionar grupos.3. Utilizando el árbol de navegación, seleccione el grupo en el que desea crear un

nuevo grupo.4. Pulse Grupo nuevo.5. Escriba valores para los parámetros siguientes:v Nombre: Escriba el nombre del nuevo grupo. El nombre puede tener hasta

255 caracteres de longitud.v Descripción: Opcional. Escriba una descripción para este grupo. La

descripción puede tener un máximo 255 caracteres de longitud.6. Pulse Aceptar.7. Para cambiar la ubicación del nuevo grupo, pulse el nuevo grupo y arrastre la

carpeta a la nueva ubicación en el árbol de navegación.8. Cierre la ventana Grupos de informes.

Edición de un grupoPuede editar un grupo de informes para cambiar el nombre o la descripción.

Procedimiento1. Pulse en la pestaña Informes.2. Pulse Gestionar grupos.3. En el árbol de navegación, seleccione el grupo que desea editar.4. Pulse Editar.5. Actualice los valores de los parámetros, según sea necesario:v Nombre: Escriba el nombre del nuevo grupo. El nombre puede tener hasta

255 caracteres de longitud.v Descripción: Opcional. Escriba una descripción para este grupo. La

descripción puede tener un máximo 255 caracteres de longitud. Este campoes opcional.

6. Pulse Aceptar.7. Cierre la ventana Grupos de informes.

Compartición de grupos de informesPuede compartir los grupos de informes con otros usuarios.

Antes de empezar

Debe tener permisos administrativos para compartir un grupo de informes conotros usuarios.

Para obtener más información sobre los permisos, consulte la publicación Guía deadministración de IBM Security QRadar.

No puede utilizar la herramienta de gestión de contenido (CMT) para compartirgrupos de informes.

Para obtener más información sobre la herramienta CMT, consulte la publicaciónGuía de administración de IBM Security QRadar.



En la ventana Grupos de informes, los usuarios compartidos pueden ver el grupode informes en la lista de informes.

Las actualizaciones que el usuario realiza en un grupo de informes compartido noafectan a la versión original del informe. Solamente el propietario puede realizaroperaciones de supresión o modificación.

Se crea una copia del informe cuando un usuario duplica o ejecuta el informecompartido. El usuario puede editar o planificar informes en el grupo de informescopiado.

La opción de compartición de grupo altera temporalmente las opciones decompartición de informe anteriores que se configuraron para los informes delgrupo.

Procedimiento1. Pulse en la pestaña Informes.2. En la ventana Informes, pulse Gestionar grupos.3. En la ventana Grupos de informes, seleccione el grupo de informes que desea

compartir y pulse Compartir.4. En la ventana Opciones para compartir, seleccione una de las opciones

siguientes.


Valor predeterminado (heredar del padre)El grupo de informes no está compartido.

Todos los grupos de informes copiados otodos los informes generados permanecen enla lista de informes del usuario.

A cada informe del grupo se le asignantodas las opciones de compartición deinforme padre que se hayan configurado.

Compartir con todos El grupo de informes se comparte con todoslos usuarios.

Compartir con usuarios que coinciden conlos criterios siguientes...

El grupo de informes se comparte conusuarios determinados.

Roles de usuarioEfectúe una selección de la lista deroles de usuario y pulse el iconoañadir (+).

Perfiles de seguridadEfectúe una selección de la lista deperfiles de seguridad y pulse elicono añadir (+).

5. Pulse Guardar.


Resultados

En la ventana Grupos de informes, los usuarios compartidos ven el grupo deinformes en la lista de informes. Los informes generados muestran el contenido enfunción del valor del perfil de seguridad.

Asignar un informe a un grupoPuede utilizar la opción Asignar grupos para asignar un informe a otro grupo.

Procedimiento1. Pulse en la pestaña Informes.2. Seleccione el informe que desea asignar a un grupo.3. En el recuadro de lista Acciones, seleccione Asignar grupos.4. En la lista Grupos de elementos, seleccione el recuadro de selección del grupo

que desee asignar a este informe.5. Pulse Asignar grupos.

Copia de un informe en otro grupoUtilice el icono Copiar para copiar un informe en uno o más grupos de informes.

Procedimiento1. Pulse en la pestaña Informes.2. Pulse Gestionar grupos.3. En el árbol de navegación, seleccione el informe que desea copiar.4. Pulse Copiar.5. Seleccione el grupo o los grupos en los que desea copiar el informe.6. Pulse Asignar grupos.7. Cierre la ventana Grupos de informes.

Eliminación de un informeUtilice el icono Eliminar para eliminar un informe de un grupo.


Cuando se elimina un informe de un grupo, el informe sigue existiendo en lapestaña Informes. El informe no se elimina del sistema.

Procedimiento1. Pulse en la pestaña Informes.2. Pulse Gestionar grupos.3. En el árbol de navegación, vaya a la carpeta que contiene el informe que desea

eliminar.4. En la lista de grupos, seleccione el informe que desea eliminar.5. Pulse Eliminar.6. Pulse Aceptar.7. Cierre la ventana Grupos de informes.


Avisos

Esta información se ha desarrollado para productos y servicios ofrecidos enEstados Unidos.

Es posible que IBM no ofrezca en otros países los productos, servicios ocaracterísticas que se describen en este documento. Póngase en contacto con elrepresentante local de IBM, que le informará sobre los productos y serviciosdisponibles actualmente en su área. Cualquier referencia a un producto, programao servicio de IBM no pretende indicar ni implicar que solo pueda utilizarse dichoproducto, programa o servicio de IBM. En su lugar, puede utilizarse cualquierproducto, programa o servicio funcionalmente equivalente que no infrinja ningunode los derechos de propiedad intelectual de IBM. Pero corresponde al usuarioevaluar y verificar el funcionamiento de cualquier producto, programa o servicioque no sea de IBM.

IBM puede tener patentes o solicitudes de patente en tramitación que abarquen lamateria descrita en este documento. La posesión de este documento no le confiereninguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, porescrito, a:

IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785 EE.UU.

Para consultas sobre licencias en las que se solicite información sobre el juego decaracteres de doble byte (DBCS), póngase en contacto con el departamento dePropiedad intelectual de IBM de su país o envíe las consultas, por escrito, a:

Intellectual Property LicensingLegal and Intellectual Property LawIBM Japan Ltd.19-21, Nihonbashi-Hakozakicho, Chuo-kuTokio 103-8510, Japón

INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONAESTA PUBLICACIÓN "TAL CUAL", SIN GARANTÍAS DE NINGÚN TIPO, NIEXPLÍCITAS NI IMPLÍCITAS, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LASGARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN DE DERECHOS,COMERCIABILIDAD O IDONEIDAD PARA UN FIN DETERMINADO. Algunaslegislaciones no contemplan la declaración de limitación de responsabilidad, niimplícita ni explícita, en determinadas transacciones, por lo que cabe la posibilidadde que esta declaración no sea aplicable en su caso.

Esta información puede contener inexactitudes técnicas o errores tipográficos.Periódicamente se realizan cambios en la información incluida en este documento;estos cambios se incorporarán en las nuevas ediciones de la publicación. IBMpuede efectuar mejoras o cambios en los productos o programas descritos en estapublicación en cualquier momento y sin previo aviso.

Las referencias hechas en esta publicación a sitios web que no son de IBM seproporcionan sólo para la comodidad del usuario y no constituyen un aval de


estos sitios web. Los materiales de estos sitios web no forman parte de losmateriales de IBM para este producto, y el uso que se haga de estos sitios web seráresponsabilidad del usuario.

IBM puede utilizar o distribuir la información que se le proporcione de cualquiermodo que considere adecuado sin incurrir por ello en ninguna obligación con elremitente.

Los licenciatarios de este programa que deseen obtener información sobre él con elfin de permitir: (i) el intercambio de información entre programas creadosindependientemente y otros programas (incluido éste) y (ii) el uso mutuo de lainformación que se ha intercambiado, se deben poner en contacto con:

IBM Director of LicensingIBM CorporationNorth Castle Drive, MD-NC119Armonk, NY 10504-1785EE.UU.

Esta información puede estar disponible, de acuerdo con los términos ycondiciones apropiados, incluido en algunos casos el pago de una tarifa.

IBM proporciona el programa bajo licencia descrito en este documento y todo elmaterial bajo licencia disponible para el mismo bajo los términos del contrato decliente IBM, el contrato internacional de licencia de programa de IBM o cualquieracuerdo equivalente entre las partes.

Los datos de rendimiento y los ejemplos de clientes citados se presentan solamentea efectos ilustrativos. Los resultados de rendimiento reales pueden variar enfunción de las configuraciones y las condiciones operativas específicas.

La información relacionada con productos que no son de IBM se ha obtenido delos proveedores de dichos productos, de sus anuncios publicados o de otrasfuentes disponibles públicamente. IBM no ha probado esos productos y no puedeconfirmar la precisión del rendimiento, compatibilidad o cualquier otra declaraciónrelacionada con los productos que no son de IBM. Las consultas acerca deprestaciones de productos que no son de IBM se deben dirigir a los proveedores deesos productos.

Las declaraciones relativas a la dirección o intenciones futuras de IBM puedencambiar o ser retiradas sin previo aviso, y sólo representan propósitos y objetivos.

Todos los precios de IBM mostrados son precios de venta al público sugeridos porIBM, son actuales y están sujetos a cambio sin previo aviso. Los precios de losdistribuidores pueden variar.

Esta información contiene ejemplos de datos e informes utilizados en operacionescomerciales diarias. Para ilustrarlas de la forma más completa posible, los ejemplosincluyen nombres de personas, empresas, marcas y productos. Todos estosnombres son ficticios y cualquier similitud con nombres reales de personas oempresas es pura coincidencia.


Marcas registradasIBM, el logotipo de IBM e ibm.com son marcas registradas o marcas comercialesregistradas de International Business Machines Corp., registradas en muchasjurisdicciones de todo el mundo. Otros nombres de productos y servicios puedenser marcas registradas de IBM u otras empresas. Hay disponible una lista actual demarcas registradas de IBM en la web, en sección "Copyright and trademarkinformation" de www.ibm.com/legal/copytrade.shtml.

UNIX es una marca registrada de The Open Group en Estados Unidos y en otrospaíses.

Java y todas las marcas y logotipos basados en Java son marcas comerciales omarcas registradas de Oracle y/o de sus filiales.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcasregistradas de Microsoft Corporation en Estados Unidos o en otros países.

Términos y condiciones de la documentación de productoSe otorga permiso para el uso de estas publicaciones si se cumplen estos términosy condiciones.

Aplicabilidad

Estos términos y condiciones se añaden a los términos de uso del sitio web deIBM.

Uso personal

Puede reproducir estas publicaciones para su uso personal, no comercial, siempreque se conserven todos los avisos sobre derechos de propiedad. No puede realizartrabajos derivados de estas publicaciones, ni de partes de las mismas, nireproducirlas, distribuirlas o visualizarlas, sin el consentimiento expreso de IBM.

Uso comercial

Puede reproducir, distribuir y visualizar estas publicaciones únicamente dentro dela empresa a condición de que se conserven todos los avisos de propiedad. Nopuede realizar trabajos derivados de estas publicaciones, ni de partes de lasmismas, ni reproducirlas, distribuirlas o visualizarlas fuera de la empresa, sin elconsentimiento expreso de IBM.

Derechos

Salvo lo aquí permitido de forma expresa, no se conceden otros permisos, licenciaso derechos, ni implícitos ni explícitos, para las publicaciones o cualquierinformación, datos software u otra propiedad intelectual que en ellas se incluya.

Avisos 239

http://www.ibm.com/legal/copytrade.shtml

IBM se reserva el derecho de retirar los permisos que se hayan proporcionadosiempre que, bajo su discreción, el uso de las publicaciones sea perjudicial para susintereses o, según determine IBM, no se estén siguiendo adecuadamente lasinstrucciones detalladas anteriormente.

No se puede descargar, exportar o reexportar si no es en total cumplimiento contodas las leyes y reglamentos aplicables, incluidas las leyes y reglamentos de losEE.UU. en materia de exportación.

IBM NO GARANTIZA EL CONTENIDO DE ESTAS PUBLICACIONES. LASPUBLICACIONES SE PROPORCIONAN "TAL CUAL", SIN GARANTÍAS DENINGUNA CLASE, YA SEAN EXPLÍCITAS O IMPLÍCITAS, INCLUYENDO, PEROSIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE COMERCIALIZACIÓN,NO INFRACCIÓN Y ADECUACIÓN A UN FIN DETERMINADO.

Declaración de privacidad en línea de IBMLos productos de software de IBM, incluido el software ofrecido como solucionesde servicio (“Ofertas de software”), pueden utilizar cookies u otras tecnologíaspara recopilar información de uso del producto, ayudar a mejorar la experienciadel usuario final, adaptar las interacciones con el usuario final o para otros fines.En muchos casos, las ofertas de software no recopilan información de identificaciónpersonal. Algunas de nuestras ofertas de software pueden ayudarle a recopilarinformación de identificación personal. Si esta Oferta de software utiliza cookiespara recopilar información de identificación personal, a continuación se describeinformación específica sobre la utilización de cookies por parte de esta oferta.

Dependiendo de las configuraciones desplegadas, esta oferta de software puedeutilizar cookies de sesión que recogen el ID de sesión de cada usuario con fines degestión y autenticación de sesiones. Estos cookies se pueden inhabilitar, pero si seinhabilitan también se pierde la función que los cookies hacen posible.

Si las configuraciones desplegadas para esta oferta de software le proporcionancomo cliente la capacidad de recopilar información de identificación personal delos usuarios finales mediante cookies y otras tecnologías, debe buscarasesoramiento jurídico sobre la legislación aplicable a esa recopilación de datos,incluido cualquier requisito de aviso y consentimiento.

Para obtener más información sobre el uso de diversas tecnologías, incluidas lascookies, para estos fines, consulte la política de privacidad de IBM enhttp://www.ibm.com/privacy y la declaración de privacidad en línea de IBM enhttp://www.ibm.com/privacy/details, la sección titulada “Cookies, Web Beaconsand Other Technologies” y la declaración “IBM Software Products andSoftware-as-a-Service Privacy Statement” en http://www.ibm.com/software/info/product-privacy.


http://www.ibm.com/privacy

http://www.ibm.com/privacy/details/us/en/

http://www.ibm.com/software/info/product-privacy

http://www.ibm.com/software/info/product-privacy

Glosario

Este glosario incluye términos y definiciones paraproductos y software de IBM Security QRadarSIEM.

En este glosario se utilizan las siguientesreferencias cruzadas:v Véase le remite de un término no preferido al

término preferido o de un acrónimo oabreviatura a la forma completa.

v Véase también le remite a un términorelacionado u opuesto.

Para otros términos y definiciones, consulte elsitio web de terminología de IBM (se abre en unaventana nueva).

Aactivo Objeto gestionable que se despliega o se

tiene previsto desplegar en un entornooperativo.

acumuladorRegistro en el que un operando de unaoperación se puede almacenar yposteriormente sustituir por el resultadode esa operación.

agregación de enlacesAgrupación de tarjetas de interfaz de redfísica, como cables o puertos, en unaúnica interfaz de red lógica. La agregaciónde enlaces se utiliza para aumentar elancho de banda y la disponibilidad dered.

alta disponibilidad (HA)Relativo a un sistema en clúster que sevuelve a configurar cuando se producenanomalías de nodo o daemon para quelas cargas de trabajo se puedanredistribuir en los nodos restantes delclúster.

anomalíaDesviación del comportamiento esperadode la red.

archivo de almacén de confianzaArchivo de base de datos de claves quecontiene las claves públicas para unaentidad de confianza.

archivo de clavesEn seguridad de sistemas, archivo quecontiene claves públicas, claves privadas,raíces de confianza y certificados.

ARP Véase Protocolo de resolución dedirecciones.

ASN Véase número de sistema autónomo.

Ccapa de red

En la arquitectura OSI, capa queproporciona servicios para establecer unavía de acceso entre sistemas abiertos conuna calidad de servicio predecible.

captura de contenidoProceso que captura una cantidadconfigurable de carga útil y, acontinuación, almacena los datos en unregistro de flujo.

CIDR Véase Classless Inter-Domain Routing.

cifradoEn seguridad de sistemas, proceso detransformación de datos a un formatoininteligible de manera que los datosoriginales no se puedan obtener o sólo sepuedan obtener utilizando un proceso dedecodificación.

Classless Inter-Domain Routing (CIDR)Método para añadir direcciones deProtocolo Internet (IP) de clase C. Lasdirecciones se proporcionan a losproveedores de servicios de Internet (ISP)para que las utilicen sus clientes. Lasdirecciones CIDR reducen el tamaño delas tablas de direccionamiento y hacenque haya más direcciones IP disponiblesen las organizaciones.

clientePrograma de software o sistema quesolicita servicios de un servidor.

clúster de alta disponibilidadConfiguración de alta disponibilidad queconsta de un servidor primario y unservidor secundario.


http://www.ibm.com/software/globalization/terminology/

código de autenticación de mensaje basado enhash (HMAC)

Código criptográfico que utiliza unafunción hash críptica y una clave secreta.

Common Vulnerability Scoring System (CVSS)Sistema de puntuación mediante el cualse mide la gravedad de unavulnerabilidad.

compartimiento administrativoRecurso de red que se oculta a losusuarios sin privilegios administrativos.Los compartimientos administrativosproporcionan a los administradores accesoa todos los recursos en un sistema de red.

comportamientoEfectos observables de una operación osuceso, incluidos los resultados.

conjunto de referenciaLista de elementos únicos que se derivande sucesos o flujos en una red. Porejemplo, una lista de direcciones IP o unalista de nombres de usuario.

consolaEstación de pantalla en la que unoperador puede controlar y observar elfuncionamiento del sistema.

contexto de hostServicio que supervisa los componentespara asegurarse de que cada componenteestá funcionando como se esperaba.

conversión de direcciones de red (NAT)En un cortafuegos, conversión de lasdirecciones seguras del protocolo deInternet (IP) en direcciones registradasexternas. Esto permite las comunicacionescon redes externas pero enmascara lasdirecciones IP que se utilizan dentro delcortafuegos.

Correlación de QIDTaxonomía que identifica cada sucesoexclusivo y correlaciona los sucesos concategorías de bajo nivel y alto nivel paradeterminar cómo se debe correlacionar yorganizar un suceso.

correlación de referenciaRegistro de datos de la correlación directade una clave con un valor, por ejemplo unnombre de usuario con un ID global.

correlación de referencia de conjuntosRegistro de datos de una clavecorrelacionada con muchos valores. Por

ejemplo, la correlación de una lista deusuarios privilegiados con un host.

correlación de referencia de correlacionesRegistro de datos de dos clavescorrelacionadas con muchos valores. Porejemplo, la correlación de los bytes totalesde una aplicación con una IP de origen.

credencialConjunto de información que otorga a unusuario o proceso determinados derechosde acceso.

credibilidadCalificación numérica entre 0 y 10 que seutiliza para determinar la integridad deun suceso o un delito. La credibilidadaumenta a medida que varios orígenesinforman el mismo suceso o delito.

CVSS Véase Common Vulnerability ScoringSystem.

Ddatos de carga útil

Datos de aplicación contenidos en unflujo de IP, excluyendo la cabecera y lainformación administrativa.

delito Mensaje enviado o suceso generado enrespuesta a una condición supervisada.Por ejemplo, un delito proporcionaráinformación sobre si una política se haincumplido o la red está bajo ataque.

destino de reenvíoUno o varios sistemas de proveedores quereciben datos en bruto y normalizados deorígenes de registro y orígenes de flujo.

destino externoDispositivo que está fuera del sitioprimario que recibe el flujo de sucesos odatos de un recopilador de sucesos.

DHCP Véase Protocolo de configuracióndinámica de hosts.

dirección IP virtual de clústerDirección IP que se comparte entre el hostprimario o secundario y el clúster de altadisponibilidad.

dispositivo de exploración externaMáquina que está conectada a la red pararecopilar información de vulnerabilidadsobre los activos de la red.

DNS Véase Sistema de nombres de dominio.


DSM Véase Módulo de soporte de dispositivos.

Eexploración en tiempo real

Exploración de vulnerabilidad que generadatos de informe a partir de losresultados de exploración basándose en elnombre de sesión.

exploradorPrograma de seguridad automático quebusca vulnerabilidades de software dentrode las aplicaciones web.

extensión de origen de registroArchivo XML que incluye todos lospatrones de expresión regular necesariospara identificar y categorizar sucesos dela carga útil de sucesos.

Ffalso positivo

Un suceso o flujo que el usuario puededecidir que no debe crear un delito, o undelito que el usuario decide que no es unincidente de seguridad.

firma de aplicaciónConjunto exclusivo de características quese derivan mediante el examen de lacarga útil de paquete y, a continuación, seutilizan para identificar una aplicaciónespecífica.

flujo Transmisión única de datos que pasan através de un enlace durante unaconversación.

flujo duplicadoVarias instancias de la misma transmisiónde datos recibida de orígenes de flujodiferentes.

FQDNVéase nombre de dominio completo.

FQNNVéase nombre de red completo.

Ggravedad

Medida de la amenaza relativa que unorigen plantea en un destino.

HHA Véase alta disponibilidad.

HMACVéase Código de autenticación de mensajebasado en hash.

hoja En un árbol, entrada o nodo que no tienehijos.

host primario de alta disponibilidadSistema principal que está conectado alclúster de alta disponibilidad.

host secundario de alta disponibilidadSistema en espera que está conectado alclúster de alta disponibilidad. El hostsecundario de alta disponibilidad asumela responsabilidad del host primario dealta disponibilidad si el host primario dealta disponibilidad falla.

IICMP Véase protocolo de mensajes de control

de Internet.

identidadColección de atributos de un origen dedatos que representan una persona, unaorganización, un lugar o un elemento.

IDS Véase sistema de detección de intrusiones.

informeEn gestión de consultas, datosformateados que se obtienen al ejecutaruna consulta y aplicarle un formato.

interconexión de sistemas abiertos (OSI)Interconexión de sistemas abiertos deacuerdo con los estándares de la ISO(International Organization forStandardization) para el intercambio deinformación.

interfaz vinculadaVéase agregación de enlaces.

intervalo de fusiónIntervalo en el que se empaquetan lossucesos. El empaquetado de sucesos seproduce a intervalos de 10 segundos yempieza con el primer suceso que nocoincide con ningún suceso de fusiónsimultánea. En el intervalo de fusión, lostres primeros sucesos coincidentes seempaquetan y envían al procesador desucesos.

Glosario 243

intervalo de informeIntervalo de tiempo configurable al finaldel cual el procesador de sucesos debeenviar todos los datos de sucesos y flujoscapturados a la consola.

IP Véase Protocolo Internet.

IPS Véase sistema de prevención deintrusiones.

ISP Véase proveedor de servicios de Internet.

Jjerarquía de red

Tipo de contenedor que es una colecciónjerárquica de objetos de red.

LLAN Véase red de área local.

LDAP Véase Lightweight Directory AccessProtocol.

Lightweight Directory Access Protocol (LDAP)Protocolo abierto que utiliza TCP/IP paraproporcionar acceso a directorios quesoportan un modelo X.500, y que no estásujeto a los requisitos de recursos delprotocolo de acceso a directorios (DAP)X.500 más complejo. Por ejemplo, sepuede utilizar LDAP para localizarpersonas, organizaciones y otros recursosen un directorio de Internet o de intranet.

Local a local (L2L)Relativo al tráfico interno de una red locala otra red local.

Local a remoto (L2R)Relativo al tráfico interno de una red locala otra red remota.

L2R Véase Local a remoto.

L2L Véase Local a local.

Mmagistrado

Componente interno que analiza el tráficode red y los sucesos de seguridadrespecto a las reglas personalizadasdefinidas.

magnitudMedida de la importancia relativa de undeterminado delito. Magnitud es un valor

ponderado calculado a partir depertinencia, gravedad y credibilidad.

máscara de subredPara la gestión de subredes de internet,máscara de 32 bits utilizada paraidentificar los bits de dirección de subredde la parte de host de una dirección IP.

Módulo de soporte de dispositivo (DSM)Archivo de configuración que analiza lossucesos recibidos de varios orígenes deregistro y los convierte a un formato detaxonomía estándar que puedevisualizarse como salida.

multidifusión IPTransmisión de un datagrama deProtocolo Internet (IP) para establecer unconjunto de sistemas que forman ungrupo de multidifusión único.

NNAT Véase conversión de direcciones de red.

NetFlowProtocolo de red Cisco que supervisadatos de flujo de tráfico de red. Los datosde NetFlow incluyen la información decliente y servidor, los puertos que seutilizan y el número de bytes y paquetesque fluyen a través de los conmutadoresy direccionadores conectados a una red.Los datos se envían a recopiladores deNetFlow donde se realiza el análisis dedatos.

nombre de dominio completo (FQDN)En comunicaciones de Internet, nombrede un sistema host que incluye todos lossubnombres del nombre de dominio. Unejemplo de nombre de dominio completoes rchland.vnet.ibm.com.

nombre de red completo (FQNN)En una jerarquía de red, nombre de unobjeto que incluye todos losdepartamentos. Un ejemplo de un nombrede red completo esCompanyA.Department.Marketing.

número de sistema autónomo (ASN)En TCP/IP, número asignado a unsistema autónomo por la mismaautoridad central que asigna direccionesIP. El número de sistema autónomo haceposible que los algoritmos de


direccionamiento automáticos distinganlos sistemas autónomos.

Oobjeto de hoja de base de datos

Nodo u objeto de terminal en unajerarquía de base de datos.

objeto de redComponente de una jerarquía de red.

Open Source Vulnerability Database (OSVDB)Creado por la comunidad de seguridadde red para la comunidad de seguridadde red, base de datos de código abiertoque proporciona información técnicasobre las vulnerabilidades de seguridadde la red.

orden de análisisUna definición de origen de registro en laque el usuario puede definir el orden deimportancia para los orígenes de registroque comparten una dirección IP o unnombre de host comunes.

origen de registroEquipo de seguridad o equipo de reddesde el que se origina une registro desucesos.

orígenes de flujoOrigen del que se captura el flujo. Unorigen de flujo se clasifica como internocuando el flujo procede del hardwareinstalado en un host gestionado o seclasifica como externo cuando el flujo seenvía a un recopilador de flujo.

origen externoDispositivo que está fuera del sitioprimario que reenvía datos normalizadosa un recopilador de sucesos.

OSI Véase interconexión de sistemas abiertos.

OSVDBVéase Open Source VulnerabilityDatabase.

Ppasarela

Dispositivo o programa utilizado paraconectar redes o sistemas con diferentesarquitecturas de red.

pertinenciaMedida de impacto relativo de un suceso,una categoría o un delito en la red.

protocoloConjunto de reglas que controlan lacomunicación y la transferencia de datosentre dos o varios dispositivos o sistemasen una red de comunicaciones.

Protocolo de configuración dinámica de hosts(DHCP)

Protocolo de comunicación que se utilizapara gestionar de forma centralinformación de configuración. Porejemplo, DHCP asigna automáticamentedirecciones IP a sistemas de una red.

Protocolo de control de transmisiones (TCP)Protocolo de comunicación utilizado enInternet y en cualquier red que cumplelos estándares de IETF (InternetEngineering Task Force) para el protocoloentre redes. TCP proporciona unprotocolo fiable de host a host en lasredes de comunicaciones de conmutaciónde paquetes y en los sistemasinterconectados de dichas redes. Véasetambién Protocolo Internet.

Protocolo de Internet (IP)Protocolo que direcciona los datos através de una red o de redesinterconectadas. Este protocolo actúacomo intermediario entre las capas deprotocolo más altas y la red física. Véasetambién Protocolo de control detransmisiones.

Protocolo de mensajes de control de Internet(ICMP)

Protocolo de Internet utilizado por unapasarela para comunicarse con un host deorigen, por ejemplo, para informar de unerror en un datagrama.

Protocolo de resolución de direcciones (ARP)Protocolo que correlaciona dinámicamenteuna dirección IP con una dirección deadaptador de red en una red de árealocal.

Protocolo simple de gestión de red (SNMP)Conjunto de protocolos para supervisarsistemas y dispositivos en redescomplejas. La información sobredispositivos gestionados se define y

Glosario 245

almacena en una MIB (ManagementInformation Base - Base de informaciónde gestión).

proveedor de servicios de Internet (ISP)Organización que proporciona acceso aInternet.

punto de datosValor calculado de una medida en unpunto en el tiempo.

punto finalDirección de una API o un servicio en unentorno. Una API expone un punto final yal mismo tiempo invoca los puntos finalesde otros servicios.

Rráfaga Incremento brusco repentino en la tasa de

sucesos o flujos entrantes de modo que sesupera el límite de la tasa de sucesos oflujos con licencia.

recon Véase reconocimiento.

reconocimiento (recon)Método mediante el cual se recopilainformación que pertenece a la identidadde los recursos de red. Se utilizan técnicasde exploración de red y otras paracompilar una lista de sucesos de recursosde red a los que entonces se les asigna unnivel de gravedad.

red de área local (LAN)Red que conecta varios dispositivos en unárea limitada (como un único edificio ocampus) y que se puede conectar a unared más grande.

Redirección de ARPMétodo ARP para notificar al host siexiste un problema en una red.

registro de flujoColección de registros de flujo.

regla Conjunto de sentencias condicionales quepermiten a los sistemas identificarrelaciones y ejecutar respuestasautomáticas como corresponda.

regla de direccionamientoCondición en la que, cuando los datos desucesos satisfacen sus criterios, se ejecutanun conjunto de condiciones y eldireccionamiento consecuente.

Remoto a local (R2L)Tráfico externo desde una red remota auna red local.

Remoto a remoto (R2R)Tráfico externo desde una red remota aotra red remota.

R2L Véase Remoto a local.

R2R Véase Remoto a remoto.

Sservidor whois

Servidor que se utiliza para recuperarinformación sobre un recurso de Internetregistrado, por ejemplo nombres dedominio y asignaciones de dirección IP.

sistema activoEn un clúster de alta disponibilidad (HA),sistema que tiene todos los servicios enejecución.

sistema de detección de intrusiones (IDS)Software que detecta los intentos o losataques satisfactorios en los recursossupervisados que forman parte de unared o un sistema host.

Sistema de nombres de dominio (DNS)Sistema de base de datos distribuida quecorrelaciona nombres de dominio condirecciones IP.

sistema de prevención de intrusiones (IPS)Sistema que intenta denegar la actividadpotencialmente maliciosa. Losmecanismos de denegación puedenimplicar el filtrado, seguimiento oestablecimiento de límites de velocidad.

sistema en esperaSistema que se activa automáticamentecuando el sistema activo falla. Si se hahabilitado la replicación de disco, replicalos datos del sistema activo.

SNMPVéase Protocolo simple de gestión de red.

SOAP Protocolo ligero basado en XML paraintercambiar información en un entornodistribuido descentralizado. Se puedeutilizar SOAP para consultar y devolverinformación e invocar servicios enInternet.

sub-búsquedaFunción que permite realizar una consulta


de búsqueda en un conjunto de resultadosde búsqueda completada.

subredVéase subred.

subredRed que se divide en subgruposindependientes más pequeños, que siguenestando interconectados.

superflujoFlujo único que consta de varios flujoscon propiedades similares con el fin deaumentar la capacidad de procesoreduciendo las restricciones dealmacenamiento.

Ttabla de referencia

Tabla donde el registro de datoscorrelaciona claves que tienen un tipoasignado con otras claves, que acontinuación se correlacionan con unúnico valor.

TCP Véase Protocolo de control detransmisiones.

temporizador de renovaciónDispositivo interno que se desencadenamanual o automáticamente a intervalostemporizados que actualiza los datos deactividad de red actuales.

Vviolación

Acto que ignora o contraviene la políticacorporativa.

vista de sistemaRepresentación visual de hosts primariosy gestionados que componen un sistema.

vulnerabilidadExposición de seguridad en un sistemaoperativo, software de sistema ocomponente de software de aplicación.

Glosario 247


Índice

Aacciones sobre un delito 46actividad de red 12, 16, 17, 18, 27, 31,

81, 86, 133, 134, 145, 171, 172, 173, 175,179

Actividad de red, barra de herramientasde la pestaña 81

actividad de red, pestaña 85, 86, 98, 99Actividad de red, pestaña 8, 81, 90actividad de registro 12, 16, 17, 27, 31,

53, 76, 77, 133, 134, 172, 173, 175, 179criterios de búsqueda 145visión general 53

actividad de registro, pestaña 139activos 8, 16, 17actualizar detalles de usuario 15ajustar falsos positivos 77Ajustar falsos positivos 98amenaza 17añadir activo 118añadir elemento 18añadir elemento de panel de control 17añadir elementos 31añadir elementos de búsqueda de

flujo 31añadir elementos de suceso 31añadir filtro 172aplicación 17asistente de reglas personalizadas 10Asistente de reglas personalizadas 25ayuda 16ayuda en línea 16

Bbarra de estado 59Barra de estado 85barra de herramientas 53Barra de herramientas de detalles de

flujo 97barra de herramientas de detalles de

suceso 74buscar 125, 139

copiar en un grupo 175buscar delitos 164, 166, 167búsqueda de perfiles de activo 122búsqueda planificada

buscar 147búsqueda guardada 147sucesos 147

Búsquedas de delitos 157búsquedas de flujos 18búsquedas de sucesos y flujos 139

Ccanal de información X-Force Threat

Intelligenceejemplo 214

cancelar una búsqueda 173

carga masivaanalizar sucesos y flujos 207correlación histórica 207

centro de información de amenazas deInternet 27

cerrar delitos 48columna Datos de PCAP 78, 79compartir grupos de informes 234compartir informes 232configuración de actividad de red 28configuración de actividad de

registro 28configuración de conexiones 28configuración de elementos de panel de

control 28configurar tamaño de página 17configurar y gestionar redes, plug-ins y

componentes 9configurar y gestionar sistemas 9configurar y gestionar usuarios 9contenido de la ayuda 16controles 9copiar búsqueda guardada 126, 175correlación histórica

crear un perfil 209delitos 210hora de dispositivo 207hora de inicio 207información sobre ejecuciones

pasadas 210manejo de reglas 207

correlacionar suceso 76creación de un grupo de búsqueda

nuevo 175crear grupos de búsqueda 173crear informes 8crear nuevo grupo de búsqueda 125credibilidad 37criterios de búsqueda

guardada disponible 171guardar 145pestaña Actividad de registro 171suprimir 171

criterios de búsqueda guardados 18criterios de filtro de flujos 85cuadro de lista Visualizar 65, 90cumplimiento de normativas 17

Ddatos de configuración 9datos de Packet Capture (PCAP) 77datos de PCAP 78, 79datos de suceso en bruto 63datos de suceso sin analizar 63delito 75

investigaciones 37magnitud 37

delitos 17, 37, 173, 175asignar a usuarios 49correlación histórica 210

delitos actualizados 21descargar archivo de datos de PCAP 79descargar archivo de PCAP 79desconectar un elemento de panel de

control 30descripción de suceso 70desproteger delitos 37detalles de flujo 86, 94detalles de suceso 74detalles de suceso único 70detalles de vulnerabilidad 128Diseño de informe 220dispositivo 9Distintivo 25distribuir informes 8Duplicar un informe 232

Eeditar activo 118editar grupo de búsqueda 125Editar un grupo 234editar un grupo de búsqueda 175elemento de panel de control 31elemento de panel de control Notificación

del sistema 25elemento de panel de control

personalizado 18elemento de panel de control Resumen

del sistema 21elementos de delito 18elementos de la búsqueda de

conexiones 21elementos de panel de control Actividad

de registro 19elementos de visualización 25elementos del panel de control de

delitos 18eliminar búsqueda guardada 126eliminar búsqueda guardada de un

grupo 176eliminar elemento de panel de

control 30eliminar grupo 126, 176especificar el número de objetos de datos

para ver 28especificar tipo de gráfico 28excluye la opción 37exploradores de terceros 115exportación de activos 128exportación de sucesos 80exportar a CSV 99exportar a XML 99exportar delitos 49Exportar flujos 99exportar perfil de activo 126expresión regular, propiedad 180


Ffalso positivo 77, 98falsos positivos 115filtro rápido 139flujos 21, 81, 139, 147flujos de modalidad continua 85flujos normalizados 86funciones de barra de herramientas de

detalles de suceso 74

Ggenerar un informe manualmente 231gestión de delitos 33gestión de gráficos 133gestión de panel de control 17gestión de riesgos

supervisar cambio de riesgo 24supervisar cumplimiento de

políticas 22Gestionar grupos 126gestionar grupos de búsqueda 168, 173gestionar informes 8, 222gestionar resultados de búsqueda 173glosario 241gráfico de serie temporal 134gravedad 37grupo

eliminar 176grupo de búsqueda

crear 175editar 175

grupo de búsqueda de delitos 175grupo de búsqueda de flujos 174, 175grupo de búsqueda de sucesos 174, 175grupos de búsqueda

gestionar 173ver 174

grupos de búsqueda de activos 124grupos de flujos 94grupos de informes 234guardar criterios 123, 168guardar criterios de búsqueda 168guardar criterios de búsqueda de

activos 123guardar criterios de búsquedas de flujo y

suceso 59

Hhora de consola 15hora de dispositivo 207hora de inicio 207hora del sistema 15hosts 8

IIBM Security QRadar Risk Manager 9icono Eliminar 126imagen

cargar 232informes

marcas 232importar activos 127

importar perfil de activo 126información de usuario 15informe

editar 230informes 16, 17

correlación histórica 210ver 230

Informes más recientes generados 21informes personalizados 226interfaz de usuario 7investigar 81investigar actividad de red 81investigar actividad de registro 53investigar delito 7investigar delitos 37investigar flujos 8investigar registros de sucesos 8investigar sucesos 19

Lleyendas de gráficos 135lista de flujos en modalidades

diversas 94lista de sucesos 70

Mmagnitud 37mensaje de notificación 25menú Mensajes 10menú que aparece al pulsar el botón

derecho 85menú que aparece al pulsar el botón

derecho del ratón 58modalidad continua 86modificación de correlación de

sucesos 76modo de documento

explorador web de InternetExplorer 5

modo de exploradorexplorador web de Internet

Explorer 5mostrar panel de control 18, 27, 30, 31

Nnivel de peligro actual 27nivel de peligro en Internet 27notificación del sistema 31notificaciones del sistema 10nueva búsqueda 125número de resultados de búsqueda 85

Oobjetos de gráfico 135ocultar delito 47opciones de sucesos agrupados 65ordenar resultados en tablas 12organizar los elementos de panel de

control 17origen de registro 63

Ppágina de búsqueda de activo 122página de detalles de suceso 70página IP de origen 164página Perfil de activo 128página Por IP de destino 166página Por red 167panel de control 31Panel de control, panel 18panel de control, pestaña 17, 18, 27panel de control de gestor de riesgos

crear 24panel de control de supervisión de

riesgos 21panel de control Gestión de

vulnerabilidades 25panel de control nuevo 27panel de control personalizado 17, 21,

27paneles de control de supervisión se

riesgoscrear 22

parámetros de sucesos agrupados 65perfil de activo 116, 118perfiles de activo 115, 123, 124, 126, 127,

128Perfiles de activo 125, 126personalizar paneles de control 18pertinencia 37pestaña Actividad de red 12, 139pestaña Actividad de registro 8, 12, 53,

58, 59, 60, 63, 65, 75, 78, 80, 139pestaña Activo 115, 124pestaña Activos 8, 116, 118, 124, 125,

126, 127pestaña Admin 9pestaña Delito 164, 166, 167pestaña Delitos 7, 12, 37, 47, 48, 49, 168pestaña Informe 222pestaña Informes 8, 12pestaña Panel de control 7, 10, 17, 19,

21, 30, 31pestaña predeterminada 7pestaña Riesgos 21pestañas 7pestañas de interfaz de usuario 7, 9poner datos en pausa 12procesador de sucesos 85procesadores de sucesos 85propiedad

copiar personalizada 187modificación de personalizado 185

propiedad de cálculo 183propiedad personalizada 187propiedades de suceso y de flujo

personalizadas 179proteger delitos 37prueba de regla 207

QQFlow Collector 85QID 76QRadar Vulnerability Manager 115


Rrealizar una sub-búsqueda 172red 17redimensionar columnas 16registros de desbordamiento 85regla de detección de anomalías 199Regla de detección de anomalías,

asistente 199reglas 190, 197reglas personalizadas

crear 192renombrar panel de control 30renovar datos 12reproducir datos 12resultados de búsqueda

cancelar 173gestionar 173suprimir 173

resultados de procesador de sucesos 59resumen de actividad dentro de las

últimas 24 horas 21retención de delitos 37

Sseguridad 17servidores 8sistema 17sucesos 21, 75, 139sucesos de modalidad continua 59sucesos normalizados 60supervisar 81supervisar actividad de red 86supervisar delitos 46supervisar red 81supervisar sucesos 19supresión de activos 127supresión de una búsqueda 173suprimir panel de control 31suprimir perfil de activo 126

Ttablas 17tiempo real 59tiempo real (modalidad continua) 12tipo de propiedad calculado 179tipo de propiedad de expresión

regular 179tipos de gráfico 220, 224tipos de propiedad 179

Uúltimo minuto (renovación

automática) 12

Vvarios paneles de control 17ventana Grupos de búsqueda 173ver datos de PCAP 79ver delitos asociados con sucesos 75Ver flujos agrupados 90ver flujos continuos 86

ver mensajes 10ver notificaciones del sistema 31ver perfil de activo 116ver sucesos agrupados 65visión general de gráficos 133visualización de grupos de

búsqueda 124, 174visualización de sucesos en modalidad

continua 59visualizar en una ventana nueva 30vulnerabilidades 115vulnerabilidades de activo 128

Índice 251


IBM®

Impreso en España

Documents

que se r eemplace por una versión actualizada de este ...public.dhe.ibm.com/.../7.3.0/es/b_qradar_users_guide.pdfCr eación de una r egla de categorización de URL para supervisar