Академический Документы
Профессиональный Документы
Культура Документы
Versión 7.3.1
Guía de administración
IBM
Nota
Antes de utilizar esta información y el producto al que da soporte, lea la información del apartado “Avisos” en la página
403.
2 Administración de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Prestaciones de su producto IBM Security QRadar . . . . . . . . . . . . . . . . . . . . . . . 9
Navegadores web soportados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3 Gestión de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Roles de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Creación de un rol de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Edición de un rol de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Supresión de un rol de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Prioridad de permiso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Creación de un perfil de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Edición de un perfil de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Duplicación de un perfil de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 23
Supresión de un perfil de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Cuentas de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Creación de una cuenta de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Ver información sobre el usuario actual . . . . . . . . . . . . . . . . . . . . . . . . . 24
Inhabilitación de una cuenta de usuario . . . . . . . . . . . . . . . . . . . . . . . . . 25
Supresión de una cuenta de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Autenticación de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Cambio de las contraseñas de usuario de QRadar . . . . . . . . . . . . . . . . . . . . . 27
Directrices de autenticación externa para usuarios administrativos . . . . . . . . . . . . . . . . 27
Configuración de la autenticación del sistema . . . . . . . . . . . . . . . . . . . . . . . 28
Configuración de autenticación de RADIUS . . . . . . . . . . . . . . . . . . . . . . . 29
Configuración de autenticación de TACACS . . . . . . . . . . . . . . . . . . . . . . . 30
Configuración de la autenticación de Active Directory . . . . . . . . . . . . . . . . . . . . 30
Autenticación de LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Configuración de la autenticación de LDAP . . . . . . . . . . . . . . . . . . . . . . . 31
Sincronización de datos con un servidor LDAP . . . . . . . . . . . . . . . . . . . . . . 36
Configuración de certificados SSL o TLS . . . . . . . . . . . . . . . . . . . . . . . . . 36
Visualización del texto contextual para la información de LDAP . . . . . . . . . . . . . . . . . 37
Varios repositorios LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Ejemplo: Configuración y preparación del acceso con los privilegios mínimos . . . . . . . . . . . . 38
4 Gestión de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Capacidad de proceso de sucesos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . 42
Agrupación de licencias compartidas . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Dimensionamiento de capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Sucesos internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Manejo de ráfagas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Ejemplo: pico de datos de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Acuerdo de licencia de usuario final . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Carga de una clave de licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Asignación de una clave de licencia a un host . . . . . . . . . . . . . . . . . . . . . . . . 47
Distribución de la capacidad de sucesos y flujos . . . . . . . . . . . . . . . . . . . . . . . 48
Visualización de los detalles de licencia . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Supresión de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5 Gestión de sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Ver información de estado del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Tipos de componentes de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Nodos de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Reequilibrio de datos tras añadir un nodo de datos . . . . . . . . . . . . . . . . . . . . . 53
Visualización del progreso del reequilibrado de datos . . . . . . . . . . . . . . . . . . . . 54
Guardar todos los datos de sucesos en un dispositivo de Nodo de datos . . . . . . . . . . . . . . 55
Archivar contenido en un Nodo de datos . . . . . . . . . . . . . . . . . . . . . . . . 55
Gestión de interfaces de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Configuración de interfaces de red . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Hora del sistema de QRadar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Configuración de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Redes con habilitación para NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Configuración de un grupo NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Cambio del estado de NAT para un host gestionado. . . . . . . . . . . . . . . . . . . . . 61
Gestión de hosts externos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuración de un origen externo . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuración de un destino externo . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Generación de claves públicas para los productos de QRadar. . . . . . . . . . . . . . . . . . 63
Reenvío de flujos de filtrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Ejemplo: Reenvío de sucesos y flujos normalizados . . . . . . . . . . . . . . . . . . . . . 64
Hosts gestionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Consideraciones de ancho de banda para hosts gestionados . . . . . . . . . . . . . . . . . . 67
Cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Adición de un host gestionado . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Configuración de un host gestionado . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Eliminación de un host gestionado . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuración del cortafuegos local . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuración del correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Hacer cambios en su entorno QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Cambios que afectan a la recopilación de sucesos. . . . . . . . . . . . . . . . . . . . . . 72
Despliegue de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Reinicio del servicio de recopilación de sucesos . . . . . . . . . . . . . . . . . . . . . . 73
Cierre de un sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Reinicio de un sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Recopilación de archivos de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Cambio de la contraseña de root en QRadar Console . . . . . . . . . . . . . . . . . . . . . 74
Restablecimiento de SIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
6 Configurar QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Jerarquía de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Directrices para definir la jerarquía de red . . . . . . . . . . . . . . . . . . . . . . . . 77
Valores de CIDR aceptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Definición de la jerarquía de red . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Visualización de actualizaciones pendientes . . . . . . . . . . . . . . . . . . . . . . . 82
Configuración de los valores de actualización automática . . . . . . . . . . . . . . . . . . . 83
Configuración de actualizaciones tras un servidor proxy que utiliza intercepción SSL o TLS . . . . . . . 84
Planificación de una actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Borrado de las actualizaciones planificadas . . . . . . . . . . . . . . . . . . . . . . . . 85
Cómo comprobar si hay nuevas actualizaciones . . . . . . . . . . . . . . . . . . . . . . 85
Instalación manual de actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . 85
Visualización del historial de actualizaciones . . . . . . . . . . . . . . . . . . . . . . . 86
Restauración de actualizaciones ocultas . . . . . . . . . . . . . . . . . . . . . . . . . 86
Visualización del registro de actualización automática . . . . . . . . . . . . . . . . . . . . 86
Actualizaciones manuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuración de un servidor de actualizaciones . . . . . . . . . . . . . . . . . . . . . . 87
Configuración de la consola de QRadar como servidor de actualizaciones . . . . . . . . . . . . . 88
Contenido v
Configuración del descubrimiento de propiedades automático para los tipos de origen de registro . . . . . . 139
Definiciones de propiedad personalizada en el Editor de DSM . . . . . . . . . . . . . . . . . . 140
Selectividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Expresiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Creación de una propiedad personalizada . . . . . . . . . . . . . . . . . . . . . . . . 141
Correlación de sucesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Propiedades de identidad para correlaciones de sucesos . . . . . . . . . . . . . . . . . . . 143
Creación de una correlación y una categorización de sucesos . . . . . . . . . . . . . . . . . 144
Exportación de contenidos del Editor de DSM . . . . . . . . . . . . . . . . . . . . . . . 145
Exportación de contenido como un paquete . . . . . . . . . . . . . . . . . . . . . . . 145
Exportación de contenido para una sola propiedad personalizada . . . . . . . . . . . . . . . . 145
Contenido vii
17 Segmentación en dominios . . . . . . . . . . . . . . . . . . . . . . . . . 223
Direcciones IP solapadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Definición y etiquetado de dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Creación de dominios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Privilegios de dominio derivados de perfiles de seguridad . . . . . . . . . . . . . . . . . . . 226
Reglas y delitos específicos del dominio . . . . . . . . . . . . . . . . . . . . . . . . . 228
Ejemplo: Asignaciones de privilegio de dominio según propiedades personalizadas . . . . . . . . . . . 230
Contenido ix
Auditoría de SIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Descubrimiento de host de VIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Auditoría de Risk Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Perfilador de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Percepción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Marcas registradas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Términos y condiciones de la documentación de producto . . . . . . . . . . . . . . . . . . . 405
Declaración de privacidad en línea de IBM . . . . . . . . . . . . . . . . . . . . . . . . 406
Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
I. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
J. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Documentación técnica
Para buscar documentación del producto IBM Security QRadar en la web, incluida toda la
documentación traducida, acceda al Knowledge Center de IBM (http://www.ibm.com/support/
knowledgecenter/SS42VS/welcome).
Para obtener información sobre el acceso a más documentación técnica en la biblioteca de productos de
QRadar, consulte Accessing IBM Security Documentation Technical Note (www.ibm.com/support/
docview.wss?rs=0&uid=swg21614644).
Para obtener información acerca de cómo ponerse en contacto con el servicio de soporte al cliente,
consulte la nota técnica sobre soporte y descarga (http://www.ibm.com/support/docview.wss?rs=0
&uid=swg21612861).
El uso de este programa puede estar sujeto a diversas leyes o regulaciones, incluidas las relacionadas con
la privacidad, la protección de datos, el empleo y las comunicaciones y el almacenamiento electrónicos.
IBM Security QRadar solamente se puede utilizar con fines legales y de forma legal. El cliente se
compromete a utilizar este programa en conformidad con las leyes, regulaciones y políticas aplicables y
asume toda la responsabilidad de su cumplimiento. El licenciatario declara que obtendrá o ha obtenido
los consentimientos, permisos o licencias necesarios para permitir el uso legal de IBM Security QRadar.
Para ver una lista de todas las características nuevas de este release, consulte el documento Novedades en
el IBM Knowledge Center (www.ibm.com/support/knowledgecenter/SS42VS_7.3.1/com.ibm.qradar.doc/
c_pdf_launch.html).
En las versiones anteriores, al implementar los cambios en el sistema QRadar producía tiempos muertos
en la recopilación de datos mientras se reiniciaba el servicio hostcontext. Para reducir al máximo estas
interrupciones, el servicio de recopilación de sucesos se gestionar aparte de los demás servicios de
QRadar. El nuevo servicio de recopilación de sucesos, ecs-ec-ingress, escucha en el puerto 7787.
Con la nueva separación de los servicios, el servicio de recopilación de sucesos no se reinicia de forma
automática cada que se implementan los cambios. El servicio solo se reinicia cuando los cambios
implementados afectan directamente al servicio de recopilación de sucesos.
Esta mejora reduce de forma significativa las interrupciones en la recopilación de los datos y hace que a
su empresa le resulte más sencillo alcanzar los objetivos de recopilación de datos.
Las interrupciones en la recopilación de sucesos serán probablemente menores si aplica parches futuros a
QRadar V7.3.1 o versiones posteriores. Los parches poco importantes no requieren que el sistema se
reinicie no reiniciarán tampoco el servicio de recopilación de sucesos.
En la interfaz de producto de QRadar, puede reiniciar el servicio de recopilación de sucesos en todos los
hosts gestionados en el despliegue.
Esta nueva funcionalidad es útil si desea reiniciar el servicio de recopilación de sucesos sin afectar a otros
servicios de QRadar. Por ejemplo, después de restaurar una copia de seguridad de configuración, puede
retrasar el reinicio de un servicio a la hora que le resulte más conveniente.
Ahora, los protocolos se cargan de forma dinámica cuando se implementan los cambios. Solo los
protocolos que se habían actualizado experimentan una breve parada (en segundos).
Cuando actualice a QRadar V7.3.1, todas las pestañas de QRadar estarán disponibles desde el menú
deslizable ( ). Cada elemento de menú se marca como favorito y esto hace que esté también disponible
como pestaña. Puede controlar las pestañas que se verán seleccionando o anulando la selección de la
estrella situada junto al elemento de menú.
Para acceder a los ajustes que estaban en la pestaña Admin en las versiones de QRadar anteriores, haga
clic en Admin en la parte inferior del menú de navegación deslizable.
QRadar utiliza ahora los valores de notificación del navegador para mostrar notificaciones del sistema.
Con esta mejora, podrá seguir supervisando el estado del despliegue de QRadar aunque QRadar no sea
la ventana del navegador activo. Para mostrar notificaciones del sistema en la pantalla, debe configurar el
navegador para permitir notificaciones de QRadar.
Las notificaciones de navegador son compatibles con Mozilla Firefox, Google Chrome y Microsoft Edge
10. Microsoft Internet Explorer no admite notificaciones basadas en navegador. Las notificaciones en
Internet Explorer ahora aparecen en una ventana de notificaciones de QRadar con un diseño nuevo.
La aplicación Datos de despliegue de QRadar reemplaza la información de Estado del sistema que estaba
antes disponible en la pestaña Admin.
Los datos de métricas adicionales aumentan el tamaño de los archivos de registro de QRadar y el espacio
de almacenamiento del disco para los datos. Los administradores que necesiten más control del
almacenamiento de disco necesario para los datos de estado acumulados pueden crear un depósito de
retención que utilice como criterio Log Source Type = Health Metrics.
Obtenga información acerca de cómo utilizar los grupos de retención para gestionar el
almacenamiento en discos...
soporte de IPv6
QRadar utiliza los objetos y grupos de jerarquía de red para visualizar la actividad de red y supervisar
los grupos o servicios de la red. Se puede definir la jerarquía de red mediante un rango de dirección IP
en formato IPv6 y también IPv4. Además de la jerarquía de red, la gestión de delitos solo daba soporte al
indexado IPv6, pero ahora actualiza y muestra los campos adecuados para un delito con datos IPv6.
Cuando utiliza la autenticación QRadar local, puede aplicar una longitud y una complejidad de
contraseña mínimas y controlar la caducidad y la reutilización de contraseñas. Las reglas que establezca
se aplican para los usuarios administradores y no administradores.
Cuando escribe su nombre de usuario en la página de inicio de sesión, el ID de repositorio actúa como
un alias del nombre distinguido (DN) base del usuario. Este uso del alias evita la necesidad de escribir
un nombre distinguido que puede ser difícil de recordar.
Supervise fácilmente los sucesos de inicio de sesión satisfactorio en el periodo de tiempo que se configura
ejecutando la plantilla de informe Sucesos de inicio de sesión satisfactorio semanales en la pestaña
Informes de QRadar.
Antes de QRadar V7.3.1, la configuración de la detección automática del origen de registro se controlaba
mediante un archivo de configuración que se editaba de forma manual en cada host gestionado por el
procesador de sucesos.
A partir de QRadar V7.3.1, hay valores de configuración global disponibles. Puede utilizar la API de
REST QRadar o un script de línea de mandatos para habilitar y deshabilitar qué tipos del registro de
origen se detectarán de forma automática. Si utiliza un número menor de tipos de origen de registro,
puede configurar qué orígenes de registro se detectarán de manera automática para mejorar la velocidad
de detección. La configuración de la detección automática de orígenes de registro también permite
mejorar la precisión de la detección de dispositivos que comparten el mismo formato y puede mejorar el
rendimiento de la interconexión evitando la creación de dispositivos detectados de forma incorrecta.
Nota: Puede seguir habilitando la detección automática de procesadores por sucesos con el método de
archivo de configuración. Puede gestionar el método que se utiliza en cada procesador de sucesos en
Admin > Sistema&Gestión de licencias > Gestión de componentes&. Las actualizaciones desde
versiones anteriores no habilitan valores globales y conservan el uso de archivos de configuración local.
Las instalaciones nuevas de QRadar V7.3.1 habilitan la opción de valores de detección automática
globales.
Una nueva oferta, IBM QRadar Data Store, normaliza y almacena datos de registro operativos y de
seguridad para el análisis y la revisión en el futuro. La oferta da soporte al almacenamiento de un
número ilimitado de registros que no se computan en la licencia de QRadar SIEM de sucesos por
segundo de su organización, lo que permite a la organización crear aplicaciones e informes
personalizados basados en los datos almacenados para ampliar la información de sus entornos.
Para los datos de suceso en formato JSON anidado, una expresión JSON válida tiene el siguiente formato:
/"<nombre de campo de nivel superior>"/"<nombre de subcampo_1>".../"<nombre de campo_n de
subnivel>".
Los dos ejemplos siguientes muestran cómo extraer datos de un registro de JSON:
v Caso simple de un suceso de un registro de JSON sin formato: {"action": "login", "user": "John
Doe"}
Para extraer el campo 'user', utilice esta expresión: /"user".
v Caso complejo de un suceso para un registro de JSON con objetos anidados: { "action": "login",
"user": { "first_name": "John", "last_name": "Doe" } }
Para extraer solo el valor 'last_name' del subobjeto 'user', utilice esta expresión: /"user"/"last_name".
Las mejoras en el modelo de licencias de QRadar V7.3.0 hacen que ahora sea más fácil gestionar los
orígenes de registro. Se eliminan los límites de los orígenes de registro y ya no es necesario adquirir
licencias para los orígenes de registro.
Adáptese a los cambios de carga de trabajo asignando sucesos por segundo (EPS) y flujos por minuto
(FPM) a cualquier host de su despliegue, independientemente del host al que esté asignada la licencia.
Los EPS y FPM de licencias individuales se agregan ahora a una agrupación de licencias compartida.
Como administrador, puede utilizar la ventana Gestión de agrupación de licencias para ver rápidamente
la capacidad acumulativa de EPS y FPM en todo el despliegue, y para determinar la mejor forma de
asignar los EPS y FPM a los hosts gestionados.
Por ejemplo, tiene un despliegue distribuido de QRadar V7.2.8 con dos procesadores de sucesos, uno con
7.500 EPS y el otro con 15.000 EPS. Cuando actualiza a QRadar V7.3.0, cada procesador de sucesos
mantiene las asignaciones de EPS previas a la actualización pero los 22.500 EPS combinados pasan a
formar parte de la agrupación de licencias compartida. Cuando los volúmenes de datos de los
procesadores de sucesos cambian o cuando añade un host gestionado nuevo, puede redistribuir la
capacidad de EPS.
Los usuarios arrendatarios pueden crear propiedades personalizadas para extraer o calcular información
importante de la carga útil del suceso o flujo sin ayuda de un administrador de MSSP (proveedor de
servicios de seguridad gestionados). Con esta prestación, los usuarios arrendatarios pueden ver y buscar
datos que QRadar normalmente no normaliza ni muestra.
Como administrador de MSSP tiene permisos de escritura sobre todas las propiedades personalizadas
creadas por usuarios arrendatarios. Para mejorar el rendimiento de búsqueda puede optimizar las
propiedades personalizadas de un arrendatario cuando las propiedades se utilizan frecuentemente en
reglas e informes. Los usuarios arrendatarios no pueden optimizar las propiedades que crean.
Para obtener información sobre el trabajo con propiedades personalizadas de suceso y flujo, consulte la
Guía del usuario de IBM Security QRadar.
Con esta prestación, los usuarios arrendatarios pueden hacer un seguimiento de datos de negocio de
referencia o datos de orígenes externos, que se pueden utilizar entonces en búsquedas, filtros, condiciones
de prueba de regla y respuestas de regla de QRadar. Por ejemplo, un conjunto de referencia que contiene
los ID de usuario de empleados despedidos se puede utilizar para impedir que los empleados inicien
sesión en la red.
Antes de QRadar V7.3.0, todas las aplicaciones de QRadar debían instalarse en QRadar Console. Los
sistemas con muchas aplicaciones o los sistemas con aplicaciones que utilizan muchos recursos pueden
tener problemas de rendimiento debido a los límites de memoria, almacenamiento y recursos de CPU de
QRadar Console.
Ahora, en QRadar V7.3.0 puede instalar un servidor de nodo de aplicaciones que de servicio a las
aplicaciones y sus datos sin las limitaciones de rendimiento de las aplicaciones instaladas en QRadar
Console.
Cuando configure un servidor Red Hat Enterprise Linux 7.2 o CentOS 7.2 con los recursos de memoria,
almacenamiento y CPU que necesita, puede instalar Nodo de aplicaciones desde la pestaña QRadar
Admin en cuestión de minutos. El proceso de instalación del nodo de aplicaciones instala todo el
software necesario y transfiere las aplicaciones instaladas en QRadar Console a su nodo de aplicaciones.
Ahora es posible realizar una copia de seguridad y una restauración de las configuraciones de aplicación
aparte de los datos de aplicación.
La copia de seguridad de las configuraciones de aplicación se realiza como parte de la copia de seguridad
de configuración nocturna. La copia de seguridad de configuración incluye aplicaciones instaladas en
QRadar Console y en un nodo de aplicaciones. Puede restaurar la configuración de aplicaciones
seleccionando la opción Configuración de aplicaciones instaladas cuando restaura una copia de
seguridad.
Actualizaciones de seguridad
QRadar V7.3.0 utiliza TLS 1.2 (Transport Layer Security) para las comunicaciones seguras. Los protocolos
SSL (Secure Socket Layer) y TLS 1.1 no están soportados.
Hay un pequeño cambio en los pasos para actualizar el certificado de autoridad emisora de certificados
predeterminado cuando las actualizaciones automáticas van a través de un servidor proxy.
Por ejemplo, utilizando las herramientas de la pestaña Admin, puede llevar a cabo las siguientes tareas.
v Desplegar y gestionar hosts y licencias de QRadar.
v Configurar cuentas de usuario y autenticación.
v Crear una jerarquía de red.
v Configurar dominios y configurar un entorno de varios arrendatarios.
v Definir y gestionar orígenes de datos de registros y de flujos.
v Gestionar la retención de datos de QRadar.
v Gestionar activos y datos de referencia.
v Planificar copias de seguridad regulares de los datos de configuración de QRadar.
v Supervisar el estado del sistema de los hosts gestionados.
La documentación de producto de IBM Security QRadar describe prestaciones tales como delitos, flujos,
activos y correlación histórica que puede no estar disponible en todos los productos QRadar. Revise la
tabla siguiente para comparar las prestaciones de cada producto.
Alguna documentación, como por ejemplo la Guía de administración y la Guía de usuario, es común para
varios productos y puede describir prestaciones que no están disponibles en su despliegue. Por ejemplo,
los usuarios de IBM QRadar on Cloud no tiene plenas capacidades administrativas, como se describe en
la Guía de administración de IBM Security QRadar.
2 Administración de QRadar 11
12 Guía de administración de QRadar
3 Gestión de usuarios
Puede definir roles de usuario, perfiles de seguridad y cuentas de usuario para controlar quién tiene
acceso a IBM Security QRadar, qué tareas pueden realizar y a qué datos tienen acceso.
Al configurar inicialmente QRadar, utilice la función Gestión de usuarios de la pestaña Admin para
configurar y gestionar cuentas de usuario para todos los usuarios que necesiten acceder a QRadar.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Roles de usuario
Un rol de usuario define las funciones a las que un usuario puede acceder en IBM Security QRadar.
Antes de añadir cuentas de usuario debe crear roles de usuario para cumplir los requisitos de permisos
de los usuarios.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Roles de usuario.
3. En la barra de herramientas, pulse Nuevo.
4. En el campo Nombre del rol de usuario, escriba el nombre exclusivo de este rol de usuario.
5. Seleccione los permisos que desee asignar al rol de usuario.
Los permisos visibles en la ventana Gestión de roles de usuario dependen de qué componentes de
QRadar están instalados.
3 Gestión de usuarios 15
Tabla 3. Descripción de los permisos de la ventana Gestión de roles de usuario (continuación)
Permiso Descripción
Análisis forense Otorga permiso para las prestaciones de QRadar Incident Forensics.
Crear casos en Incident Forensics
Otorga permiso para crear casos para recopilaciones de
archivos pcap y de documentos importados.
Extensiones de menú contextual de IP Otorga permiso para las opciones añadidas al menú contextual.
Configuración de plataforma Otorga permiso para los servicios de Configuración de plataforma.
Descartar notificaciones del sistema
Otorga permiso para ocultar las notificaciones del sistema en
la pestaña Mensajes.
Ver datos de referencia
Otorga permiso para ver datos de referencia cuando está
disponible en los resultados de la búsqueda.
Ver notificaciones del sistema
Otorga permiso para ver las notificaciones del sistema en la
pestaña Mensajes.
6. En el área Paneles de control, seleccione los paneles de control a los que desea que acceda el rol de
usuario y pulse Añadir.
Nota: Un panel de control no muestra información alguna si el rol de usuario no tiene permiso para
ver los datos del panel de control. Si un usuario modifica los paneles de control visualizados, en el
próximo inicio de sesión aparecen los paneles de control definidos correspondientes al rol de usuario.
7. Pulse Guardar y cerrar la ventana Gestión de roles de usuario.
8. En el menú de la pestaña Admin, pulse Desplegar cambios.
Para localizar rápidamente el rol de usuario que desea editar en la ventana Gestión de roles de usuario,
puede escribir un nombre de rol en el cuadro de texto Tipo por filtrar. Este cuadro se halla encima del
panel izquierdo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Roles de usuario.
3. En el panel izquierdo de la ventana Gestión de roles de usuario, seleccione el rol de usuario que
desea editar.
4. En el panel derecho, actualice los permisos según convenga.
Los permisos visibles en la ventana Gestión de roles de usuario dependen de qué componentes de
QRadar están instalados.
3 Gestión de usuarios 17
Tabla 4. Descripción de los permisos de la ventana Gestión de roles de usuario (continuación)
Permiso Descripción
Activos Nota: Este permiso solamente se visualiza si IBM Security QRadar
Vulnerability Manager está instalado en el sistema.
5. Modifique las opciones de Paneles de control correspondientes al rol de usuario según convenga.
6. Pulse Guardar.
7. Cierre la ventana Gestión de roles de usuario.
8. En la pestaña Admin, pulse en Desplegar cambios.
Si hay cuentas de usuario asignadas al rol de usuario que desea suprimir, debe volver a asignar las
cuentas de usuario a otro rol de usuario. El sistema detecta automáticamente esta condición y le solicitará
que actualice las cuentas de usuario.
Puede localizar rápidamente el rol de usuario que desea suprimir en la ventana Gestión de roles de
usuario. Escriba un nombre de rol en el cuadro de texto Tipo por filtrar, que se encuentra encima del
panel izquierdo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Roles de usuario.
3. En el panel izquierdo de la ventana Gestión de roles de usuario, seleccione el rol que desea suprimir.
4. En la barra de herramientas, pulse Suprimir.
5. Pulse Aceptar.
v Si hay cuentas de usuario asignadas a este rol de usuario, se abre la ventana Hay usuarios
asignados a este rol de usuario. Vaya al paso 7.
v Si no hay cuentas de usuario asignadas a este rol de usuario, el rol de usuario se suprime
satisfactoriamente. Vaya al paso 8.
6. Vuelva a asignar las cuentas de usuario de la lista a otro rol de usuario:
a. En el cuadro de lista Rol de usuario para asignar, seleccione un rol de usuario.
b. Pulse Confirmar.
3 Gestión de usuarios 19
7. Cierre la ventana Gestión de roles de usuario.
8. En la pestaña Admin, pulse en Desplegar cambios.
Perfiles de seguridad
Los perfiles de seguridad definen a qué redes, orígenes de registro y dominios puede acceder un usuario.
QRadar contiene un perfil de seguridad predeterminado para los usuarios administrativos. El perfil de
seguridad Admin incluye acceso a todas las redes, a todos los orígenes de registro y a todos los
dominios.
Antes de añadir cuentas de usuario, debe crear más perfiles de seguridad para cumplir los requisitos de
acceso específicos de los usuarios.
Dominios
Los perfiles de seguridad se deben actualizar con un dominio asociado. Debe definir los dominios en la
ventana Gestión de dominios antes de que se muestre la pestaña Dominios en la ventana Gestión de
perfiles de seguridad. Las restricciones de nivel de dominio no se aplican hasta que se actualizan los
perfiles de seguridad y se despliegan los cambios.
Las asignaciones de dominio tienen prioridad sobre todos los valores de las pestañas Prioridad de
permiso, Redes y Orígenes de registro.
Si el dominio está asignado a un arrendatario, el nombre del arrendatario aparece entre corchetes junto al
nombre de dominio en la ventana Dominios asignados.
Prioridad de permiso
La prioridad de permiso determina qué componentes del perfil de seguridad deben tenerse en cuenta
cuando el sistema muestra sucesos en la pestaña Actividad de registro y flujos en la pestaña Actividad
de red.
Por ejemplo, si un perfil de seguridad permite el acceso a sucesos de un origen de registro pero la red de
destino está restringida, el suceso se visualiza en la pestaña Actividad de registro si la prioridad de
permiso está establecida en Redes u orígenes de registro. Si la prioridad de permiso está establecida en
Redes y orígenes de registro, el suceso no se visualiza en la pestaña Actividad de registro .
Los perfiles de seguridad utilizan automáticamente el permiso de Redes u orígenes de registro cuando
se muestran datos de delito. Por ejemplo, si un delito tiene una dirección IP de destino que el perfil de
seguridad le permite ver, pero el perfil de seguridad no otorga permisos para la dirección IP de origen, la
ventana Resumen de delitos muestra las direcciones IP de origen y de destino.
IBM Security QRadar SIEM contiene un perfil de seguridad predeterminado para los usuarios
administrativos. El perfil de seguridad Admin incluye acceso a todas las redes, a todos los orígenes de
registro y a todos los dominios.
Para seleccionar varios elementos en la ventana Gestión de perfiles de seguridad, mantenga pulsada la
tecla Control mientras selecciona cada red o grupo de redes que desea añadir.
Si después de añadir redes, orígenes de registro o dominios quiere eliminar uno o varios de los elementos
que ha añadido antes de guardar la configuración, puede seleccionar el elemento y pulsar el icono
Eliminar (<). Para eliminar todos los elementos, pulse Eliminar todo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse el icono Perfiles de seguridad.
4. En la barra de herramientas de la ventana Gestión de perfiles de seguridad, pulse Nuevo.
5. Configure los siguientes parámetros:
a. En el campo Nombre del perfil de seguridad, escriba un nombre exclusivo para el perfil de
seguridad. El nombre del perfil de seguridad debe cumplir los requisitos siguientes: 3 caracteres
como mínimo y 30 caracteres como máximo.
b. Opcional Escriba una descripción del perfil de seguridad. El número máximo de caracteres es de
255.
6. Pulse la pestaña Prioridad de permiso.
7. En el panel Configuración de prioridades de permiso, seleccione una opción de prioridad de
permiso. Consulte el apartado “Prioridad de permiso” en la página 20.
8. Configure las redes que desee asignar al perfil de seguridad:
a. Pulse la pestaña Redes.
b. En el árbol de navegación del panel izquierdo de la pestaña Redes, seleccione la red a la que
desea que este perfil de seguridad tenga acceso.
c. Pulse el icono Añadir (>) para añadir la red al panel Redes asignadas.
d. Repita este procedimiento por cada red que desee añadir.
9. Configure los orígenes de registro que desee asignar al perfil de seguridad:
a. Pulse la pestaña Orígenes de registro.
b. En el árbol de navegación del panel izquierdo, seleccione el grupo de orígenes de registro o el
origen de registro al que desea que este perfil de seguridad tenga acceso.
c. Pulse el icono Añadir (>) para añadir el origen de registro al panel Orígenes de registro
asignados.
3 Gestión de usuarios 21
d. Repita este procedimiento por cada origen de registro que desee añadir.
10. Configure los dominios que desee asignar al perfil de seguridad:
a. Pulse la pestaña Dominios.
b. En el árbol de navegación del panel izquierdo, seleccione el dominio al que desea que este perfil
de seguridad tenga acceso.
c. Pulse el icono Añadir (>) para añadir el dominio red al panel Dominios asignados.
d. Repita este procedimiento para cada dominio que desee añadir.
11. Pulse Guardar.
Nota: Los orígenes de registro y los dominios asignados al perfil de seguridad deben coincidir. No
puede guardar el perfil de seguridad si los orígenes de registro y los dominios no coinciden.
12. Cierre la ventana Gestión de perfiles de seguridad.
13. En la pestaña Admin, pulse en Desplegar cambios.
Para localizar rápidamente el perfil de seguridad que desea editar en la ventana Gestión de perfiles de
seguridad, escriba el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar. Se halla
encima del panel izquierdo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse el icono Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee editar.
5. En la barra de herramientas, pulse Editar.
6. Actualice los parámetros como sea necesario.
7. Pulse Guardar.
8. Si se abre la ventana El perfil de seguridad tiene datos de serie temporal, seleccione una de las
opciones siguientes:
Opción Descripción
Conservar datos antiguos y guardar Seleccione esta opción para conservar los datos de serie
temporal acumulados anteriormente. Si elige esta opción,
pueden producirse errores cuando los usuarios asociados
a este perfil de seguridad vean los gráficos de serie
temporal.
Ocultar datos antiguos y guardar Seleccione esta opción para ocultar los datos de serie
temporal. Si elige esta opción, la acumulación de datos
de serie temporal se reinicia después de desplegar los
cambios de configuración.
Para localizar rápidamente el perfil de seguridad que desea duplicar en la ventana Gestión de perfiles de
seguridad, puede escribir el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar, que se
halla encima del panel izquierdo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee duplicar.
5. En la barra de herramientas, pulse Duplicar.
6. En la ventana de confirmación, escriba un nombre exclusivo para el perfil de seguridad duplicado.
7. Pulse Aceptar.
8. Actualice los parámetros como sea necesario.
9. Cierre la ventana Gestión de perfiles de seguridad.
10. En la pestaña Admin, pulse en Desplegar cambios.
Si hay cuentas de usuario asignadas a los perfiles de seguridad que desea suprimir, debe volver a asignar
las cuentas de usuario a otro perfil de seguridad. IBM Security QRadar SIEM detecta automáticamente
esta condición y le solicitará que actualice las cuentas de usuario.
Para localizar rápidamente el perfil de seguridad que desea suprimir en la ventana Gestión de perfiles de
seguridad, puede escribir el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar. Se
halla encima del panel izquierdo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee suprimir.
5. En la barra de herramientas, pulse Suprimir.
6. Pulse Aceptar.
v Si hay cuentas de usuario asignadas a este perfil de seguridad, se abre la ventana Hay usuarios
asignados a este perfil de seguridad. Vaya al apartado “Supresión de un rol de usuario” en la
página 19.
v Si no hay cuentas de usuario asignadas a este perfil de seguridad, el perfil de seguridad se suprime
satisfactoriamente. Vaya al apartado “Supresión de un rol de usuario” en la página 19.
7. Vuelva a asignar las cuentas de usuario de la lista a otro perfil de seguridad:
3 Gestión de usuarios 23
a. En el cuadro de lista Perfil de seguridad de usuario para asignar, seleccione un perfil de
seguridad.
b. Pulse Confirmar.
8. Cierre la ventana Gestión de perfiles de seguridad.
9. En la pestaña Admin, pulse en Desplegar cambios.
Cuentas de usuario
La cuenta de usuario define el nombre de usuario exclusivo utilizado para iniciar la sesión en IBM
Security QRadar y especifica a qué rol de usuario, perfil de seguridad y arrendatario está asignado el
usuario.
Cuando configura inicialmente el sistema, debe crear cuentas de usuario para cada usuario que necesita
acceso a QRadar.
Antes de empezar
Antes de crear una cuenta de usuario, debe asegurarse de que el rol de usuario y el perfil de seguridad
necesarios estén creados.
Cuando cree una cuenta de usuario, debe asignar credenciales de acceso, un rol de usuario y un perfil de
seguridad al usuario. Los roles de usuario definen qué acciones puede realizar el usuario. Los perfiles de
seguridad definen a qué datos puede acceder el usuario.
Puede crear varias cuentas de usuario que incluyan privilegios administrativos; sin embargo, cualquier
cuenta de usuario que sea gestor administrador puede crear otras cuentas de usuario administrativo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse Usuarios.
4. En la barra de herramientas de Gestión de usuarios, pulse Nuevo.
5. Especifique los valores de los parámetros siguientes:
a. En el campo Nombre de usuario, escriba un nombre exclusivo para el nuevo usuario. El nombre
de usuario debe contener 30 caracteres como máximo.
b. En el campo Contraseña, escriba una contraseña para dar acceso al usuario. La contraseña debe
cumplir con la longitud mínima y los requisitos de complejidad obligatorios.
6. Pulse Guardar.
7. Cierre la ventana Detalles del usuario.
8. Cierre la ventana Gestión de usuarios.
9. En la pestaña Admin, pulse en Desplegar cambios.
Opción Descripción
Parámetro Descripción
Correo electrónico Escriba otra dirección de correo electrónico.
Contraseña Escriba una contraseña nueva. La contraseña debe
cumplir con la longitud mínima y los requisitos de
complejidad obligatorios.
Confirmar contraseña Escriba otra vez la contraseña nueva.
Habilitar notificaciones emergentes
Los mensajes de notificación emergentes del sistema se
muestran en la esquina inferior derecha de la interfaz de
usuario. Para inhabilitar las notificaciones emergentes,
desmarque esta casilla de verificación.
4. Pulse Guardar.
Si el usuario con la cuenta inhabilitada intenta iniciar sesión, se visualiza un mensaje para informar al
usuario de que el nombre de usuario y la contraseña ya no son válidos. Los elementos creados por el
usuario, como por ejemplo las búsquedas y los informes guardados, permanecen asociados al usuario.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse Usuarios.
4. En el panel Gestionar usuarios, pulse la cuenta de usuario que desea inhabilitar.
5. En la ventana Detalles de usuario, seleccione Inhabilitado en la lista Rol de usuario.
6. Pulse Guardar.
7. Cierre la ventana Detalles del usuario.
8. Cierre la ventana Gestión de usuarios.
9. En la pestaña Admin, pulse en Desplegar cambios.
3 Gestión de usuarios 25
Para localizar rápidamente la cuenta de usuario que desea suprimir en la ventana Gestión de usuarios,
puede escribir el nombre del usuario en el cuadro de texto Buscar usuario de la barra de herramientas.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse Usuarios.
4. Seleccione el usuario que desee suprimir.
5. En la barra de herramientas, pulse Suprimir.
6. Pulse Aceptar.
7. Cierre la ventana Gestión de usuarios.
Autenticación de usuario
Cuando la autenticación está configurada y un usuario especifica una combinación no válida de nombre
de usuario y contraseña, se visualiza un mensaje para indicar que el inicio de sesión no es válido.
Si el usuario intenta acceder al sistema varias veces con información no válida, debe esperar la cantidad
de tiempo configurado antes de intentar acceder al sistema de nuevo. Puede configurar los valores de la
consola para determinar el número máximo de inicios de sesión fallidos y otros valores relacionados.
Para poder configurar RADIUS, TACACS, Active Directory o LDAP como tipo de autenticación, debe
realizar las tareas siguientes:
__ v Configure el servidor de autenticación antes de configurar la autenticación en QRadar. Para obtener
más información, consulte la documentación del servidor.
__ v Asegúrese de que el servidor tiene las cuentas de usuario y los niveles de privilegios adecuados
para comunicarse con QRadar. Para obtener más información, consulte la documentación del
servidor.
__ v Asegúrese de que la hora del servidor de autenticación está sincronizada con la hora del servidor de
QRadar. Para obtener más información sobre el establecimiento de la hora, consulte el “Hora del
sistema de QRadar” en la página 58.
__ v Asegúrese de que todos los usuarios tienen las cuentas de usuario y los roles adecuados para
permitir la autenticación con los servidores de proveedor.
26 Guía de administración de QRadar
Cambio de las contraseñas de usuario de QRadar
IBM Security QRadar en algunas ocasiones modifica la política de contraseñas para adaptarse a los
estándares de seguridad actuales. Cuando se actualiza la política de contraseñas, se muestra un mensaje a
los usuarios que tengan contraseñas locales solicitándoles que cambien la contraseña la primera vez que
inician sesión después de la actualización. En raras ocasiones, es posible que no se muestre el mensaje a
algunos usuarios solicitándoles que cambien la contraseña después de la actualización. En ese caso,
tendrá que cambiarla por ellos de forma manual.
Los roles administrativos de QRadar disponen de los métodos de autenticación externa y local en caso de
que la autenticación externa falle. Si la autenticación remota falla, los usuarios administrativos pueden
iniciar la sesión mediante la contraseña local. Es necesario establecer una contraseña local para usuarios
administrativos cuando se configura la autenticación externa.
3 Gestión de usuarios 27
Los usuarios administrativos deben actualizar las contraseñas de autenticación local y remota al mismo
tiempo para evitar problemas cuando el usuario inicia la sesión en QRadar y el origen de autenticación
remota está inhabilitado. No puede cambiar la contraseña de administración local mientras la autoridad
remota está activa. Para cambiar la contraseña de administración, debe:
1. Inhabilitar temporalmente la autenticación externa.
2. Restablecer la contraseña.
3. Volver a configurar la contraseña externa.
La política de contraseñas de autenticación local se aplica a las contraseñas locales de los usuarios
administrativos. La política también se aplica a los usuarios no administrativos si no se ha configurado
ninguna autenticación externa.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Autenticación.
3. Opcional: En la pestaña Ajustes generales de autenticación, en el cuadro de lista Módulo de
autenticación, seleccione Autenticación del sistema y, a continuación, haga clic en Guardar módulo
de autenticación.
La autenticación del sistema es el módulo de autenticación predeterminado. Si cambia desde otro
módulo de autenticación, tendrá que desplegar QRadar antes de realizar los siguientes pasos.
4. En la pestaña Configuración de la política de contraseñas locales, seleccione los valores de
complejidad de las contraseñas para la autenticación local.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Autenticación.
3. En la lista Módulo de autenticación, seleccione Autenticación RADIUS.
4. Configure los parámetros:
a. En el campo Servidor RADIUS, escriba el nombre de host o la dirección IP del servidor RADIUS.
b. En el campo Puerto de RADIUS, escriba el puerto del servidor RADIUS.
c. En el cuadro de lista Tipo de autenticación, seleccione el tipo de autenticación que desee realizar.
Elija una de las opciones siguientes:
Opción Descripción
CHAP El protocolo de autenticación por desafío mutuo
(Challenge Handshake Authentication Protocol, CHAP)
establece una conexión de protocolo punto a punto (PPP)
entre el usuario y el servidor.
MSCHAP El protocolo de autenticación por desafío mutuo de
Microsoft (MSCHAP) autentica estaciones de trabajo
remotas de Windows.
ARAP El protocolo de acceso remoto de Apple (Apple Remote
Access Protocol, ARAP) establece autenticación para el
tráfico de red de AppleTalk.
PAP El protocolo de autenticación de contraseñas (PAP) envía
texto en claro entre el usuario y el servidor.
d. En el campo Secreto compartido, escriba el secreto compartido que IBM Security QRadar SIEM
utiliza para cifrar las contraseñas RADIUS para la transmisión al servidor RADIUS.
5. Pulse Guardar módulo de autenticación.
3 Gestión de usuarios 29
Configuración de autenticación de TACACS
Puede configurar la autenticación de TACACS en el sistema de IBM Security QRadar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Autenticación.
3. En la lista Módulo de autenticación, seleccione Autenticación TACACS.
4. Configure los parámetros:
a. En el campo Servidor TACACS, escriba el nombre de host o la dirección IP del servidor TACACS.
b. En el campo Puerto TACACS, escriba el puerto del servidor TACACS.
c. En el cuadro de lista Tipo de autenticación, seleccione el tipo de autenticación que desee realizar.
Elija una de las opciones siguientes:
Opción Descripción
ASCII ASCII (American Standard Code for Information
Interchange) envía el nombre de usuario y la contraseña
en texto simple.
PAP El protocolo de autenticación de contraseñas (PAP) envía
texto en claro entre el usuario y el servidor. PAP es el
tipo de autenticación predeterminado.
CHAP El protocolo de autenticación por desafío mutuo
(Challenge Handshake Authentication Protocol, CHAP)
establece una conexión de protocolo punto a punto (PPP)
entre el usuario y el servidor.
MSCHAP El protocolo de autenticación por desafío mutuo de
Microsoft (MSCHAP) autentica estaciones de trabajo
remotas de Windows.
MSCHAP2 La versión 2 del protocolo de autenticación por desafío
mutuo de Microsoft (MSCHAP2) autentica estaciones de
trabajo remotas de Windows mediante la autenticación
mutua.
EAPMD5 Protocolo de autenticación extensible que utiliza el
protocolo MD5 (EAPMD5) y establece una conexión PPP.
d. En el campo Secreto compartido, escriba el secreto compartido que QRadar utiliza para cifrar las
contraseñas TACACS para la transmisión al servidor TACACS.
5. Pulse Guardar módulo de autenticación.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Autenticación.
3. En la lista Módulo de autenticación, seleccione Directorio activo y configure los siguientes
parámetros.
Parámetro Descripción
URL de servidor Escriba el URL que se utiliza para conectar con el
servidor LDAP. Por ejemplo, ldaps://host:port.
Autenticación de LDAP
Puede configurar IBM Security QRadar para utilizar proveedores LDAP (Lightweight Directory Access
Protocol) para la autenticación y autorización de los usuarios.
QRadar lee la información de usuario y rol del servidor LDAP basándose en los criterios de autorización
que ha definido.
Puede utilizar el plug-in LDAP para la autenticación en un servidor de Active Directory. En QRadar
V7.2.4 y versiones anteriores, debe configurar el servidor para permitir el enlace anónimo para realizar la
autenticación. Sin embargo, en QRadar V7.2.5 y versiones posteriores, el plug-in LDAP admite enlaces
autenticados contra un servidor de Active Directory.
QRadar V7.2.4 y versiones posteriores utilizan contraseñas de autenticación de LDAP local que se
almacenan localmente para usuarios administrativos. Estas contraseñas se utilizan si el autenticador
externo no está disponible o si no hay una conexión disponible con el servidor LDAP debido a problemas
de red.
En QRadar V7.2.4 y anteriores, no se da soporte a varias configuraciones de servidor LDAP. Sin embargo,
en QRadar V7.2.5 y versiones posteriores se da soporte completo a varias configuraciones de servidor de
LDAP e incluye nuevas opciones de autenticación.
Antes de empezar
Si tiene previsto utilizar el cifrado SSL o la autenticación TLS con el servidor LDAP, debe importar el
certificado SSL o TLS del servidor LDAP al directorio /opt/qradar/conf/trusted_certificates en la
consola de QRadar. Para obtener más información sobre la configuración de los certificados, consulte el
apartado “Configuración de certificados SSL o TLS” en la página 36.
Si utiliza la autorización de grupo, debe configurar un perfil de seguridad o un rol de usuario de QRadar
en la consola de QRadar para cada grupo de LDAP utilizado por QRadar. Cada perfil de seguridad o rol
de usuario de QRadar debe tener al menos un grupo Aceptar. La correlación de nombres de grupo con
roles y perfiles de seguridad de usuario es sensible a las mayúsculas y minúsculas.
La Autenticación establece una prueba de identidad para cualquier usuario que intente iniciar sesión en el
servidor de QRadar. Cuando un usuario inicia sesión, el nombre de usuario y la contraseña se envían al
3 Gestión de usuarios 31
directorio LDAP para verificar si las credenciales son correctas. Para enviar esta información de forma
segura, configure la conexión del servidor LDAP para utilizar el cifrado SSL (Secure Socket Layer) o TLS
(Transport Layer Security).
La Autorización es el proceso de determinar qué permisos de acceso tiene un usuario. Los usuarios están
autorizados a realizar tareas en función de sus asignaciones de roles. Debe tener una conexión de enlace
válida al servidor LDAP para poder seleccionar los valores de autorización.
Los valores de atributo de usuario son sensibles a las mayúsculas y minúsculas. La correlación de
nombres de grupo con roles y perfiles de seguridad de usuario también es sensible a las mayúsculas y
minúsculas.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Autenticación.
3. En la lista Módulo de autenticación, seleccione LDAP.
4. Pulse Añadir y rellene los parámetros de configuración básica.
Si se habilita el cifrado SSL, el valor del campo URL de servidor debe especificar una
conexión segura. Por ejemplo, ldaps://secureldap.mydomain.com:636 utiliza un URL
de servidor seguro.
3 Gestión de usuarios 33
Tabla 6. Parámetros de configuración básicos de LDAP (continuación)
Parámetro Descripción
Autenticación TLS Seleccione Verdadero o Falso para especificar si la autenticación TLS (Transport Layer
Security) está habilitada.
Puede especificar una lista de varios campos de usuario separados por comas para
autenticar contra varios campos. Por ejemplo, si especifica uid,mailid, un usuario se
puede autenticar mediante su ID de usuario o mediante su ID de correo.
DN base de usuario El DN (nombre distinguido) del nodo en el que se iniciará la búsqueda de un usuario.
El DN base de usuario se convierte en la ubicación inicial para cargar usuarios. Por
razones de rendimiento, asegúrese de que el DN base de usuario sea tan específico
como sea posible.
6. Pulse Probar conexión para probar la información de conexión. Debe proporcionar información de
usuario para autenticar contra los atributos de usuario especificados en Campo de usuario LDAP. Si
especificó varios valores en Campo de usuario LDAP, debe proporcionar información de usuario
para autenticar contra el primer atributo especificado.
7. Seleccione el método de autorización que se utilizará.
Por ejemplo, si todos los grupos están en la carpeta Grupos del servidor de
directorios y su nombre de dominio es ibm.com, el valor de DN base de grupo sería
cn=Grupos,dc=ibm,dc=com.
Límite de consulta habilitado Establece un límite sobre el número de grupos devueltos.
Límite de resultado de El número máximo de grupos devueltos por la consulta. De forma predeterminada,
consulta los resultados de la consulta están limitados a mostrar solo los 1000 primeros
resultados de la consulta.
Por miembro Seleccione Por miembro para buscar grupos según los miembros del grupo. En el
cuadro Campo de miembro de grupo, especifique el atributo LDAP que se utiliza
para definir la pertenencia a grupo de usuarios.
Por ejemplo, para buscar todos los grupos que tengan un atributo memberUid como
mínimo y cuyo valor de cn empiece por la letra 's', teclee memberUid en Campo de
miembro de grupo y cn=s* en Campo de consulta de grupo.
8. Si ha especificado la autorización Basado en grupo, pulse Cargar grupos y pulse el icono más (+) o
menos (-) para añadir o eliminar grupos de privilegios.
Las opciones de privilegios de rol de usuario controlan a qué componentes de QRadar tiene acceso
el usuario. Las opciones de privilegios de perfil de seguridad controlan los datos de QRadar a los
que cada usuario tiene acceso.
Nota: Los límites de consulta se pueden establecer marcando el recuadro de selección Límite de
consulta habilitado o se pueden establecer en el servidor LDAP. Si los límites de consulta se
establecen en el servidor LDAP, recibirá un mensaje en el que se indica que el límite de consulta está
habilitado incluso aunque no haya marcado el recuadro de selección Límite de consulta habilitado.
9. Pulse Guardar.
3 Gestión de usuarios 35
10. Pulse Gestionar sincronización para intercambiar información de autenticación y autorización entre
el servidor LDAP y la consola de QRadar.
a. Si es la primera vez que configura la conexión LDAP, pulse Ejecutar sincronización ahora para
sincronizar los datos.
b. Especifique la frecuencia de la sincronización automática.
c. Pulse Cerrar.
11. Repita los pasos para añadir más servidores LDAP y pulse Guardar módulo de autenticación
cuando haya acabado.
Si utiliza la autorización que se basa en los atributos o grupos de usuarios, la información de usuario se
importa automáticamente del servidor LDAP a la consola de QRadar.
Cada grupo que se configure en el servidor LDAP debe tener un rol de usuario o un perfil de seguridad
correspondiente que se configura en la consola de QRadar. Para cada grupo que coincida, los usuarios se
importan y se les asignan permisos en función del rol o el perfil de seguridad de cada usuario.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Autenticación.
3. En la lista Módulo de autenticación, seleccione LDAP.
4. Pulse Gestionar sincronización > Ejecutar sincronización ahora.
Procedimiento
1. Inicie, mediante SSH, la sesión en el sistema como usuario root.
a. Nombre de usuario: root
b. Contraseña: <contraseña>
2. Escriba el mandato siguiente para crear el directorio /opt/qradar/conf/trusted_certificates/:
mkdir -p /opt/qradar/conf/trusted_certificates
3. Copie el certificado SSL o TLS del servidor LDAP en el directorio /opt/qradar/conf/
trusted_certificates en el sistema.
4. Verifique que la extensión del archivo de certificado sea .cert, que indica que el certificado es de
confianza. El sistema QRadar solamente carga archivos .cert.
Antes de empezar
El servidor web debe reiniciarse una vez creadas las propiedades de LDAP. Considere la posibilidad de
planificar esta tarea para que se lleve a cabo durante una ventana de mantenimiento, cuando no hay
usuarios activos con sesiones iniciadas en el sistema.
En el ejemplo siguiente se indican las propiedades que puede añadir a un archivo de configuración
ldap.properties.
ldap.url=ldap://LDAPserver.example.com:389
ldap.authentication=simple
ldap.userName=nombre.usuario
ldap.password=contraseña.cifrada
ldap.basedn=O=IBM,C=US
ldap.filterString=(&(objectclass=user)(samaccountname=%USER%))
ldap.attributes.displayName=Name
ldap.attributes.email=Email
ldap.attributes.employeeID=EmployeeID
ldap.attributes.department=Department
Procedimiento
1. Utilice SSH para iniciar la sesión en IBM Security QRadar como usuario root.
2. Para obtener una contraseña de usuario LDAP cifrada, ejecute el script perl siguiente:
perl -I /opt/qradar/lib/Q1/ -e "use auCrypto; print
Q1::auCrypto::encrypt (’<contraseña>’);"
3. Utilice un editor de texto para crear el archivo de configuración /opt/qradar/conf/ldap.properties.
4. Especifique la ubicación y la información de autenticación para acceder al servidor LDAP remoto.
a. Especifique el URL del servidor LDAP y el número de puerto.
Utilice ldaps:// o ldap:// para conectar con el servidor remoto; por ejemplo,
ldap.url=ldaps://LDAPserver.example.com:389.
b. Escriba el método de autenticación que se utiliza para acceder al servidor LDAP.
Los administradores pueden utilizar el método de autenticación simple; por ejemplo,
ldap.authentication=simple.
c. Teclee el nombre de usuario que tiene permisos para acceder al servidor LDAP. Por ejemplo,
ldap.userName=nombre.usuario.
d. Para autenticarse con el servidor LDAP remoto, escriba la contraseña cifrada del usuario LDAP.
Por ejemplo, ldap.password=contraseña.
e. Escriba el DN base que se utiliza para buscar los usuarios en el servidor LDAP. Por ejemplo,
ldap.basedn=DNbase.
f. Escriba un valor que se utilizará para el filtro de parámetros de búsqueda en LDAP.
Por ejemplo, en QRadar, cuando se pasa el puntero del ratón por encima de ldap.filterString=(
&(objectclass=user)(samaccountname=%USER%)), el valor %USER% se sustituye por el nombre de
usuario.
5. Escriba uno o varios atributos para que aparezcan en el texto contextual.
Debe incluir un atributo LDAP como mínimo. Cada valor debe utilizar este formato:
ldap.attributes.nombre_atributo=Texto descriptivo para mostrar en la interfaz de usuario.
3 Gestión de usuarios 37
6. Verifique que se disponga de permiso de lectura para el archivo de configuración ldap.properties.
7. Inicie sesión en QRadar como administrador.
8. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
9. Pulse Avanzado > Reiniciar el servidor web.
Resultados
Los administradores pueden pasar el puntero del ratón por encima del campo Nombre de usuario en la
pestaña Actividad de registro y la pestaña Delitos o pasar el puntero del ratón sobre el campo Último
usuario en la pestaña Activos (si está disponible) para visualizar más información sobre el usuario LDAP.
Si se configuran varios repositorios, cuando un usuario inicia la sesión, es necesario especificar qué
repositorio se debe utilizar para la autenticación. Es necesario especificar la vía de acceso completa del
repositorio y el nombre de dominio en el campo de nombre de usuario. Por ejemplo, Repositorio_1 se ha
configurado de manera que utilice el dominio ibm.com y Repositorio_2 se ha configurado de manera que
utilice el dominio ibm.ca.com, la información de inicio de sesión puede tener el aspecto siguiente:
v OU=User Accounts,OU=PHX,DC=qcorpaa,DC=aa,DC=ibm.com\nombre_usuario
v OU=Office,OU=User Accounts,DC=qcorpaa,DC=aa,DC=ibm.ca.com\nombre_usuario
La información de usuario se importa automáticamente del servidor LDAP en el caso de los repositorios
que utilizan atributos de usuario o autorización de grupo. En el caso de los repositorios que utilizan la
autorización local, debe crear los usuarios directamente en el sistema de QRadar.
Puede asignar privilegios diferentes para los datos de IBM Security QRadar y para las prestaciones de
QRadar. Para realizar esta asignación, especifique diferentes grupos de aceptación y denegación para los
perfiles de seguridad y los roles de usuario. Los grupos de aceptación asignan privilegios y los grupos de
denegación restringen los privilegios.
Como administrador de QRadar, debe asegurarse de que los estudiantes en prácticas tengan acceso
limitado a los datos y los sistemas. A la mayoría de los estudiantes en prácticas se les debe denegar el
acceso a IBM Security QRadar Vulnerability Manager, pero la tarea que se ha asignado a John exige que
él sí tenga acceso. La política de la organización es que los estudiantes en prácticas nunca tengan acceso a
la API de QRadar.
En la tabla siguiente se muestra que John debe ser un miembro de los grupos company.interns y
qvm.interns para tener acceso a IBM Security QRadar Risk Manager y QRadar Vulnerability Manager.
qvm.interns qradar.qrm
company.interns
QRM qradar.qrm company.firedemployees
company.interns
En la tabla siguiente se muestra que el perfil de seguridad para qvm.interns no permite a John acceder a
la API de QRadar.
Tabla 10. Grupos de privilegios de perfil de seguridad
Perfil de seguridad Aceptar Denegar
QVM qradar.secprofile.qvm company.firedemployees
API qradar.secprofile.qvm.api company.firedemployees
qradar.secprofile.qvm.interns
3 Gestión de usuarios 39
40 Guía de administración de QRadar
4 Gestión de licencias
Las claves de licencia le proporcionan autorización para productos de IBM Security QRadar específicos y
controlan la capacidad de sucesos y flujos de su despliegue de QRadar. Puede añadir licencias a su
despliegue para activar otros productos de QRadar como por ejemplo QRadar Vulnerability Manager.
Después de aplicar las claves de licencia a QRadar, redistribuya las tasas de EPS y FPM para asegurarse
de que cada uno de los hosts gestionados tiene suficiente capacidad asignada para manejar el volumen
promedio de tráfico de red y seguir teniendo suficientes EPS y FPM disponibles para manejar
eficientemente un pico de datos. No es necesario desplegar los cambios después de redistribuir la
capacidad de EPS y FPM.
Caducidad de licencia
La capacidad de proceso del sistema se mide por el volumen de sucesos y flujos que QRadar puede
procesar en tiempo real. La capacidad puede estar limitada por el hardware del dispositivo o por las
claves de licencia. La clave de licencia temporal permite 5.000 sucesos por segundo (EPS) en la QRadar
Console y 10.000 EPS en cada host gestionado. La tasa de FPM para la licencia temporal es de 200.000
tanto en la QRadar Console como en los hosts gestionados.
Cuando una licencia caduca, QRadar sigue procesando sucesos y flujos hasta los límites de capacidad
permitidos por la licencia. Si la capacidad de EPS y FPM de la licencia caducada estaba asignada a un
host, la agrupación de licencias compartida puede quedar en déficit y hacer que QRadar bloquee
prestaciones en las pestañas Actividad de red y Actividad de registro.
Cuando QRadar no tiene licencia para manejar el volumen de datos de red de entrada puede añadir una
licencia que tenga más capacidad de sucesos o flujos.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
5, “Gestión de sistemas”, en la página 51
IBM Security QRadar tiene una arquitectura modular que admite despliegues de diversos tamaños y
topologías.
Cada host del despliegue de QRadar debe tener suficiente capacidad de sucesos y flujos para garantizar
que QRadar pueda manejar picos de datos de entrada. La mayoría de picos de datos de entrada son
temporales pero si recibe continuamente notificaciones del sistema que indican que el sistema ha
superado la capacidad de la licencia, puede sustituir una licencia existente por una licencia que tenga
más capacidad de EPS o FPM.
Conceptos relacionados:
“Manejo de ráfagas” en la página 44
IBM Security QRadar utiliza el manejo de ráfagas para asegurarse de que no se pierden datos cuando el
sistema supera los límites de licencia de sucesos por segundo (EPS) o flujos por minuto (FPM) asignados.
Tareas relacionadas:
“Distribución de la capacidad de sucesos y flujos” en la página 48
Utilice la ventana Gestión de agrupación de licencias para asegurarse de que se utilizan todos los sucesos
por segundo (EPS) y los flujos por minuto (FPM) a los que tiene derecho. Además, asegúrese de que IBM
Security QRadar está configurado para manejar ráfagas periódicas de datos sin descartar sucesos no flujos
y sin tener excesivos EPS y FPM no utilizados.
En los despliegues que tienen dispositivos independientes para recopilar lo sucesos y procesarlos, el
recopilador de sucesos hereda el índice de EPS del procesador de sucesos al que está vinculado. Para
aumentar la capacidad del recopilador de sucesos, asigne más EPS desde la agrupación de licencias
compartida al procesador de sucesos principal.
Una licencia que incluye capacidad tanto de sucesos como de flujos no aportará los EPS y los FPM a la
agrupación de licencias compartidas. Las aportaciones de agrupación de licencias dependen del tipo de
dispositivo al que está asignado la licencia. Por ejemplo, cuando aplica una licencia a un procesador de
sucesos 16xx, solo se añaden los EPS a la agrupación de licencias. La misma licencia, cuando se aplica a
un procesador de flujos 17xx solo aporta los FPM a la agrupación de licencias. Al aplicar la licencia a un
procesador de sucesos/flujos 18xx se aportan tanto los EPS como los FPM a la agrupación. Con la
excepción de las licencias de software para los recopiladores de sucesos o flujos, todas las licencias de
software aportan tanto los EPS como los FPM a la agrupación de licencias compartidas,
independientemente del tipo de dispositivo al que está asignada la licencia.
Una clave de licencia que tiene un número de serie solo se puede aplicar a un host y la capacidad de EPS
y FPM de esa licencia no se puede asignar a otro host. Como resultado, una clave de licencia que tiene
un número de serie no contribuye a la agrupación de licencias compartidas.
La agrupación de licencias queda sobreasignada cuando la combinación de los EPS y FPM asignados a
los hosts gestionados supera los EPS y FPM que hay en la agrupación de licencias compartidas. Cuando
la agrupación de licencias está sobreasignada, la ventana Gestión de agrupación de licencias muestra un
valor negativo para los EPS y FPM y el gráfico de asignación se vuelve rojo. QRadar bloquea la
funcionalidad en las pestañas Actividad de red y Actividad de registro, incluyendo la capacidad de ver
sucesos y flujos de la lista Mensajes en la barra de herramientas principal de QRadar.
Para habilitar la funcionalidad bloqueada, reduzca los EPS y FPM asignados a los hosts gestionados en su
despliegue. Si las licencias existentes no tienen suficiente capacidad de sucesos y flujo para manejar el
volumen de datos de red, cargue una licencia nueva que incluya suficientes EPS o FPM para resolver el
déficit en la agrupación de licencias compartida.
Licencias caducadas
Cuando una licencia caduca, QRadar sigue procesando sucesos y flujos a la velocidad asignada.
Si la capacidad de EPS y FPM de la licencia caducada estaba asignada a un host, los recursos
compartidos de la agrupación de licencias serán deficitarios lo que hará que QRadar bloquee la
funcionalidad en las pestañas Actividad de red y Actividad de registro.
Dimensionamiento de capacidad
La mejora manera de tratar con picos de datos es asegurarse de que el despliegue tenga suficientes
sucesos por segundo (EPS) y flujos por minuto (FPM) para equilibrar periodos de pico de datos de
entrada. La meta objeto es asignar EPS y FPM de modo que el host tenga suficiente capacidad para
procesar eficientemente picos de datos de proceso pero no tenga grandes cantidades de EPS y FPM
desocupados.
Cuando los EPS o FPM asignados desde la agrupación de licencias estén muy cerca de los EPS o FPM
promedio para el dispositivo, el sistema deberá acumular datos en una cola temporal para procesarlos
más tarde. Cuantos más datos se acumulen en la cola temporal, también conocida como la cola de manejo
de ráfagas, más tardará QRadar en procesar el retraso. Por ejemplo, un host de QRadar con una tasa
asignada de 10.000 EPS tarda más en vaciar la cola de manejo de ráfagas cuando la tasa de EPS promedio
para el host es 9.500, comparado con un sistema en el que la tasa de EPS promedio es 7.000.
Los delitos no se generan hasta que el dispositivo procesa los datos, así que es importante minimizar la
frecuencia con la que QRadar añade datos a la cola de manejo de ráfagas. Al asegurarse de que cada host
gestionado tiene capacidad suficiente para procesar ráfagas de datos breves, está minimizando el tiempo
que QRadar tarda en procesar la cola, garantizando que se crean delitos cuando se produce un suceso.
Sucesos internos
Los dispositivos de IBM Security QRadar generan un número pequeño de sucesos internos cuando se
comunican entre sí conforme procesan datos.
4 Gestión de licencias 43
Para asegurarse de que los sucesos internos no se cuentan contra la capacidad asignada, el sistema
devuelve automáticamente todos los sucesos internos a la agrupación de licencias inmediatamente
después de que se generan.
Manejo de ráfagas
IBM Security QRadar utiliza el manejo de ráfagas para asegurarse de que no se pierden datos cuando el
sistema supera los límites de licencia de sucesos por segundo (EPS) o flujos por minuto (FPM) asignados.
Cuando QRadar recibe un pico de datos que provoca la superación de los límites de EPS y FPM
asignados, los sucesos y flujos adicionales se mueven a una cola temporal que se procesa cuando se
ralentiza la velocidad de datos entrantes. Cuando el manejo de ráfagas está activado, una notificación del
sistema le alerta de que el dispositivo ha superado el límite de licencias de EPS o FPM.
El retraso de la cola temporal se procesa por orden de recepción de sucesos o flujos. Los datos más
antiguos del principio de la cola se procesan antes que los datos más recientes del final de la cola. La
velocidad de llenado o vaciado de la cola se ve afectada por varios factores, incluyendo el volumen y la
duración del pico de datos, la capacidad del dispositivo y el tamaño de la carga útil.
El despliegue de la empresa incluye un dispositivo QRadar 1828 Event/Flow Processor con 5.000 sucesos
por segundo (EPS) y 100.000 flujos por minuto (FPM) asignados. La capacidad promedio para este
dispositivo es 4.000 EPS y 70.000 FPM.
Durante el pico de datos, que se produce alrededor de las 9am, el dispositivo recibe de forma rutinaria
hasta 6.000 EPS y 120.000 FPM. QRadar mueve automáticamente los sucesos y los flujos adicionales
(1.000 EPS y 20.000 FPM) a la cola de manejo de ráfagas y genera una notificación del sistema para
alertar al administrador de que el dispositivo ha superado la capacidad asignada.
Las imágenes siguientes muestran una ventana de dos oras en la que los datos de sucesos y flujos de
entrada superan la capacidad de licencia, lo que desencadena una notificación del sistema y un periodo
de recuperación una vez que el volumen de datos vuelve a la normalidad.
Los delitos no se generan hasta que el dispositivo procesa los datos, así que es importante asignar
suficiente EPS y FPM al dispositivo para asegurarse de que puede recuperarse rápidamente de un pico
de datos.
Conceptos relacionados:
4 Gestión de licencias 45
“Dimensionamiento de capacidad” en la página 43
La mejora manera de tratar con picos de datos es asegurarse de que el despliegue tenga suficientes
sucesos por segundo (EPS) y flujos por minuto (FPM) para equilibrar periodos de pico de datos de
entrada. La meta objeto es asignar EPS y FPM de modo que el host tenga suficiente capacidad para
procesar eficientemente picos de datos de proceso pero no tenga grandes cantidades de EPS y FPM
desocupados.
Tareas relacionadas:
“Distribución de la capacidad de sucesos y flujos” en la página 48
Utilice la ventana Gestión de agrupación de licencias para asegurarse de que se utilizan todos los sucesos
por segundo (EPS) y los flujos por minuto (FPM) a los que tiene derecho. Además, asegúrese de que IBM
Security QRadar está configurado para manejar ráfagas periódicas de datos sin descartar sucesos no flujos
y sin tener excesivos EPS y FPM no utilizados.
Una vez se ha completado la instalación, los administradores deben iniciar sesión y aceptar el EULA
antes de continuar configurando el sistema QRadar. Cuando los usuarios inician sesión en la interfaz de
usuario de QRadar por primera vez, se les presenta un EULA. Una vez que los usuarios aceptan el
EULA, pueden seguir trabajando en el sistema QRadar de forma ininterrumpida. Si un usuario intenta
acceder a las API antes de aceptar el EULA, aparece un mensaje que le indica que aún no ha aceptado el
EULA.
Sistemas actualizados
Los usuarios que existían antes de que el sistema QRadar se actualizara a V7.3.1 parche 3 o posterior, no
necesitan aceptar el EULA antes de acceder al sistema después de la actualización. Los usuarios finales
creados después de que se actualiza el sistema QRadar a esta versión deben aceptar el EULA antes de
poder acceder al sistema.
Antes de empezar
Si necesita asistencia para obtener una clave de licencia nueva o actualiza, póngase en contacto con el
representante de ventas local.
Debe cargar una clave de licencia cuando esté realizando estas tareas:
v Actualización de una licencia de consola de QRadar caducada
v Aumento de los límites de sucesos por minuto (EPS) o flujos por minuto (FPM)
v Adición a su despliegue de un producto de QRadar, como por ejemplo IBM Security QRadar
Vulnerability Manager
Si la clave de licencia de QRadar Console caduca, la ventana Gestión del sistema y licencias aparecerá
automáticamente cuando inicie la sesión. Debe cargar una clave de licencia para poder continuar.
Si un sistema host gestionado tiene una clave de licencia caducada, se muestra un mensaje al iniciar la
sesión que indica que un host gestionado necesita una clave de licencia nueva. Puede utilizar la ventana
Gestión del sistema y licencias para actualizar la clave de licencia. Si la agrupación de licencias no está
sobreasignada, suprima la clave caducada y asigne EPS o FPM de la agrupación de licencias al host
gestionado.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la barra de herramientas, pulse Cargar licencia.
4. En el cuadro de diálogo, pulse Seleccionar archivo.
5. Seleccione la clave de licencia y pulse Abrir.
6. Pulse Cargar y a continuación pulse Confirmar.
Resultados
La licencia se cargará en su QRadar Console y se mostrará en la ventana Gestión del sistema y licencias.
Antes de empezar
Puede asignar varias licencias a una consola de QRadar. Por ejemplo, puede asignar claves de licencia
que añaden IBM Security QRadar Risk Manager y QRadar Vulnerability Manager a su consola de
QRadar.
No puede revertir una clave de licencia después de añadirla a un host de QRadar. Si por error asigna una
licencia al host equivocado, debe desplegar el cambio y a continuación suprimir la licencia del sistema.
Una vez suprimida la licencia, puede volver a cargarla y reasignarla. Una vez que la licencia se ha
asignado al host correcto, debe volver a desplegar los cambios.
4 Gestión de licencias 47
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualizar, seleccione Licencias.
4. Seleccione la licencia y pulse Asignar sistema a licencia.
Consejo: Cuando selecciona Sistema en la lista Visualizar, la etiqueta cambia a Asignar licencia a un
sistema.
5. Para filtrar la lista de licencias, escriba una palabra clave en el cuadro de búsqueda.
6. En la ventana Asignar un sistema a una licencia, seleccione el host al que desea asignar la licencia y
pulse Asignar sistema a licencia.
Antes de empezar
Asegúrese de que la agrupación de licencias tiene suficientes EPS o FPM no asignados. Si los EPS o FPM
de la agrupación de licencias están asignados en su totalidad, redistribuya las asignaciones.
Una asignación adecuada de la capacidad de EPS y FPM es importante para asegurarse de que QRadar
procesa todos los sucesos y flujos oportunamente. La meta objeto es asignar EPS y FPM de modo que el
host tenga suficiente capacidad para procesar eficientemente picos de datos de proceso sin tener excesiva
capacidad de EPS y FPM desocupados.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualizar, seleccione Licencias.
4. Pulse Gestión de agrupación de licencias y pase el puntero del ratón sobre los gráficos circulares
para ver la capacidad total del despliegue.
5. En la tabla Asignaciones de licencias, revise los datos para determinar si el dispositivo tiene
suficiente capacidad de sucesos y flujo para cubrir los EPS y FPM promedio y seguir teniendo
suficiente para cubrir los picos de volumen.
Obtenga más información sobre la revisión de los datos de capacidad de sucesos y flujos.:
v Las columnas Asignación de EPS y Asignación de FPM muestran la capacidad asignada a cada
procesador de QRadar o consola de QRadar.
v Las columnas EPS promedio y FPM promedio muestran el número promedio de sucesos y flujos
procesados por el host de QRadar a lo largo de los últimos 30 días.
v Pulse el nombre de host para ver los detalles sobre las tasas de EPS y FPM pico durante los últimos
30 días.
6. Para cambiar la tasa de EPS o FPM asignados para el host de QRadar, pulse el icono de edición.
7. Actualice el campo EPS asignado o FPM asignado y pulse Guardar. Las asignaciones de EPS y FPM
se validan contra estos criterios:
Las licencias que todavía no se han asignado a un host aparecen en la parte superior de la tabla Licencia.
Cada host del despliegue tiene una fila de resumen, que se muestra en negrita. Los campos de Límite de
velocidad de sucesos y Límite de velocidad de flujo de la fila de resumen muestran los EPS y FPM que
se han asignado al host. Si el host no tiene EPS y FPM asignados, se muestra N/A en las columnas Límite
de velocidad de sucesos y el Límite de velocidad de flujo.
La licencias asignadas a un host de QRadar aparecen como una fila hijo, anidada bajo la fila de resumen
de host de QRadar. Para los dispositivos de procesador de sucesos y de flujos de QRadar Console, la fila
hijo muestra la capacidad y las fechas de caducidad para la parte de EPS y FPM de la licencia. Antes de
gestionar licencias, seleccione la fila que corresponde a la licencia individual.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualizar, seleccione Licencias.
4. Para ver información detallada sobre un host o una licencia específicos, seleccione la fila anidada y a
continuación pulse Acciones > Ver licencia.
Tabla 11. Licencia
Estado Descripción
No asignada La licencia está cargada pero no asignada a un host de QRadar. Los EPS y FPM de
la licencia no contribuyen a la agrupación de licencias.
No desplegada La licencia está asignada a un host de QRadar pero no está desplegada. La licencia
aún no está activa en el despliegue. Los EPS y FPM se incluyen en la agrupación de
licencias.
4 Gestión de licencias 49
Tabla 11. Licencia (continuación)
Estado Descripción
Desplegada La licencia está asignada y activa en el despliegue. Los EPS y FPM se incluyen en la
agrupación de licencias.
Supresión de licencias
Suprima una licencia si la ha colocado por error en el host de QRadar equivocado. Asimismo, suprima
una licencia caducada para impedir que IBM Security QRadar genere notificaciones del sistema diarias
sobre la licencia caducada.
Si la agrupación de licencias no tiene suficientes EPS y FPM no asignados para cubrir el déficit, debe
ajustar las asignaciones de EPS y FPM para garantizar que la agrupación no está sobreasignada cuando
suprime la licencia.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualizar, seleccione Licencias.
4. En la tabla de hosts, seleccione la fila hijo anidada que contiene la licencia que desea suprimir.
5. Pulse Acciones > Suprimir licencia.
La Fecha de caducidad de la licencia muestra Perpetuo con un Límite de velocidad de sucesos y un
Límite de velocidad de flujo de 0.
No puede utilizar el archivo .xml para mover licencias a otro sistema. Utilícelo solo para ver información
detallada sobre las claves de licencia individuales.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualizar, seleccione Licencias.
4. En el menú Acciones, seleccione Exportar licencias.
5. Guarde el archivo localmente y pulse Aceptar.
En un despliegue de un solo host, todos los componentes de software se ejecutan en un solo dispositivo,
y la QRadar Console proporciona la interfaz de usuario, las vistas de sucesos flujos en tiempo real,
informes, delitos, información de activos y funciones administrativas.
Para escalar QRadar, puede añadir hosts gestionados no de consola al despliegue. Puede configurar un
tipo de componente específico, como por ejemplo recopiladores, procesadores y nodos de datos, para
cada host gestionado, proporcionando una mayor flexibilidad para gestionar la recopilación y el
procesamiento de datos en un entorno distribuido.
Conceptos relacionados:
4, “Gestión de licencias”, en la página 41
Las claves de licencia le proporcionan autorización para productos de IBM Security QRadar específicos y
controlan la capacidad de sucesos y flujos de su despliegue de QRadar. Puede añadir licencias a su
despliegue para activar otros productos de QRadar como por ejemplo QRadar Vulnerability Manager.
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Descripción general del estado del host del panel de control Datos de despliegue de QRadar muestra el
estado de cada dispositivo (activo, en espera, fuera de línea o desconocido) y el número de notificaciones
de cada host, el nombre del host y el tipo de dispositivo, el uso del disco, el estado y la modificación de
hora. En Descripción general del estado del host, puede profundizar para ver más información visual
sobre el estado del host gestionado, como las tasas de sucesos y flujos, las notificaciones del sistema e
información del disco.
Para ayudarle a resolver problemas relacionados con el despliegue, utilice la función Obtener registros
para recopilar archivos de registro desde la QRadar Console y otros hosts gestionados en el despliegue.
La aplicación Datos de despliegue de QRadar está disponible en IBM Security App Exchange. Debe
instalar la aplicación y, a continuación, crear una señal de servicio autorizado para permitir que la
aplicación utilice la API de QRadar para solicitar datos a los hosts gestionados.
QRadar Console
Recopilador de sucesos
El Recopilador de sucesos recopila sucesos de orígenes de registro locales y remotos, y normaliza los
datos de sucesos en bruto de forma que los pueda utilizar QRadar. Para conservar los recursos del
sistema, el Recopilador de sucesos empaqueta juntos los sucesos idénticos y envía los datos al Procesador
de sucesos.
Procesador de sucesos
Cada Procesador de sucesos dispone de almacenamiento local. Los datos de sucesos se almacenan en el
procesador, o se pueden almacenar en un Nodo de datos.
QRadar QFlow Collector recopila los flujos de red procedentes de los dispositivos de la red. Se incluyen
los canales de información en directo y grabados, como los registros de flujo de TAP de red, puertos
SPAN, NetFlow y QRadar.
El Procesador de flujos procesa flujos de uno o más dispositivos QRadar QFlow Collector. El dispositivo
Procesador de flujos también puede recopilar flujos de red externa, como por ejemplo NetFlow, J-Flow y
sFlow directamente desde direccionadores de su red.
Los procesadores de flujos incluyen un procesador incorporado y almacenamiento interno para los datos
de flujo.
Nodo de datos
El Nodo de datos recibe sucesos de seguridad y flujos procedentes de procesadores de sucesos y de flujos
y almacena los datos en disco.
Un dispositivo externo es un dispositivo de QRadar que no forma parte del despliegue y que está
supervisado por la QRadar Console.
Un dispositivo de origen externo reenvía los datos normalizados a un Recopilador de sucesos. Puede
configurar un origen externo para que cifre los datos antes de reenviarlos.
Un dispositivo de destino externo recibe los datos normalizados de sucesos o de flujos de cualquier
Recopilador de sucesos o de cualquier procesador del despliegue.
Las últimas versiones de sistemas QRadar pueden recibir datos de versiones anteriores de sistemas
QRadar, pero las versiones anteriores no pueden recibir datos de las posteriores. Para evitar problemas,
actualice todos los receptores antes de actualizar los emisores.
Nodos de datos
Un nodo de datos es un dispositivo que puede añadir a sus procesadores de sucesos y flujos para
aumentar la capacidad de almacenamiento y mejorar el rendimiento de las búsquedas. Puede añadir un
número ilimitado de nodos de datos para su despliegue de IBM Security QRadar, y se pueden añadir en
cualquier momento. Cada nodo de datos se puede conectar únicamente a un procesador, pero un
procesador puede dar soporte a varios nodos de datos.
Para obtener más información sobre cómo planificar el despliegue, consulte la publicación IBM Security
QRadar Architecture and Deployment Guide.
El reequilibrio de datos incluye descomprimir datos antiguos y mover datos que estaban en el dispositivo
de almacenamiento original para distribuirlos uniformemente entre todos los dispositivos conectados.
Por ejemplo, supongamos que el despliegue tiene un procesador de sucesos que recibe 20.000 sucesos por
segundo (EPS). Cuando añade nodos de datos, QRadar distribuye automáticamente los sucesos entre el
procesador de sucesos y todos los nodos de datos disponibles. Si añade tres nodos de datos, el
procesador de sucesos almacena 5.000 EPS y envía 5.000 EPS a cada uno de los nodos de datos
5 Gestión de sistemas 53
conectados. El procesador de sucesos todavía procesa todos los sucesos, pero los nodos de datos
proporcionan más capacidades de almacenamiento, indexación y búsqueda para mejorar el rendimiento
general.
De forma predeterminada, los datos que se recopilan con QRadar V7.2.6 y versiones anteriores no se
comprimen. La compresión de datos se produce únicamente cuando QRadar detecta que el
almacenamiento disponible en un dispositivo es menor que el umbral de almacenamiento disponible. El
proceso de mantenimiento del disco comprime los datos en formato gzip y aplica las políticas de
supresión de datos hasta que el volumen de datos vuelve a situarse por debajo del umbral.
Cuando se añade un nodo de datos, QRadar reequilibra los datos, y cuando hay suficiente espacio de
almacenamiento disponible, los datos que están en formato gzip se descomprimen. Inmediatamente
mejora el rendimiento de las búsquedas en los datos más antiguos, y el rendimiento sigue mejorando
porque la mayoría de búsquedas utilizan datos más recientes que no están comprimidos.
Dado que los datos anteriores a V7.2.7 están ahora descomprimidos, los volúmenes de disco pueden
superar rápidamente el umbral de espacio de almacenamiento libre. Cuando el espacio en disco
disponible baja por debajo de los valores de umbral, el proceso de mantenimiento del disco comprime los
datos que hay elegibles para compresión, de acuerdo con las políticas de retención, hasta alcanzar el
umbral de almacenamiento libre.
En QRadar V7.2.7, todos los datos nuevos se graban en disco en formato comprimido. Los procesos de
mantenimiento del disco no comprimen los datos nuevos.
La política de supresión de datos no se ve afectada por el formato de datos. Cuando QRadar sobrepasa el
umbral de almacenamiento disponible, los procesos de mantenimiento de disco suprimen datos tanto del
formato antiguo como del nuevo, de acuerdo con los valores de retención de datos.
Las mejoras en el rendimiento de las búsquedas solo se realizan una vez completado el reequilibrado de
datos. Puede ver el progreso del reequilibrado de datos y también ver datos tales como el porcentaje de
espacio de disco utilizado.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. En la tabla de hosts, seleccione el host gestionado sobre el que desea ver más información.
v Para ver información sobre el clúster de hosts gestionados, seleccione el host de nivel superior.
v Para ver información sobre un nodo de datos específico, seleccione el nodo de datos.
5. En el menú Acciones, pulse en Ver y gestionar el sistema.
6. Pulse en la pestaña Distribución de datos de seguridad para ver el progreso del reequilibrado de
datos y la capacidad del dispositivo de Nodo de datos.
Nota: También puede ver información sobre el progreso del reequilibrado de nodos de datos en la
barra de estado del despliegue, en la pestaña Admin .
Aunque un procesador de sucesos esté configurado para sólo procesar sucesos, guarda los datos de
sucesos localmente cuando no hay dispositivos de Nodo de datos activos disponibles. Cuando haya un
dispositivo de Nodo de datos disponible, QRadar transfiere tantos datos como sea posible del procesador
de sucesos al Nodo de datos.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione el Procesador de sucesos en la tabla de hosts y, en el menú Acciones de despliegue, pulse
en Editar host.
En la modalidad de Archivado , el dispositivo no recibe datos nuevos, pero los datos existentes se
guardan.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione el dispositivo de Nodo de datos en la tabla de hosts y, en el menú Acciones de despliegue,
pulse en Editar host.
5 Gestión de sistemas 55
Gestión de interfaces de red
Además de la interfaz de gestión predeterminada, puede añadir interfaces de red adicionales a los
dispositivos de IBM Security QRadar para proporcionar conectividad de red alternativa.
Configure la interfaz de gestión en una QRadar Console antes de añadir un host gestionado.
No puede vincular una interfaz esclava existente. Sólo puede vincular interfaces de gestión en el
indicador de shell. Puede vincular cruces desde la pantalla de configuración Alta disponibilidad.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En el menú Visualizar, pulse Sistemas.
4. Seleccione el host para el que desea configurar interfaces de red.
5. Pulse en Acciones > Ver y gestionar el sistema y pulse en la pestaña Interfaces de red.
6. Para editar una interfaz de red, siga estos pasos:
a. Seleccione el dispositivo que desea editar y pulse Editar.
b. En la lista Rol, seleccione el rol del dispositivo:
v Seleccione Regular cuando el dispositivo se utilice para la recopilación de datos. Esta interfaz
debe tener una dirección IP.
v Seleccione Supervisor cuando el dispositivo sea un IBM Security QRadar QFlow Collector que
se utilice para la recopilación de paquetes. Esta interfaz no requiere una dirección IP.
v Elija Inhabilitado para evitar que el dispositivo se utilice para alguna conectividad de red.
c. Para aplicar la configuración al nodo HA activo, pulse Aplicar esta configuración de interfaz y
dirección IP al nodo HA activo.
d. Pulse Guardar.
7. Para crear una interfaz de red vinculada, siga estos pasos:
Puede vincular dos o más interfaces que tengan un rol regular o de supervisor asignado. Sólo puede
vincular interfaces que tengan asignados los mismos roles.
a. Seleccione el dispositivo y pulse Vincular.
b. Escriba la dirección IP y la máscara de red.
Nota: Seleccionando esta opción, mantendrá esta interfaz activa en cualquiera de los dos nodos de
alta disponibilidad (HA) que esté activo. Puede utilizar esta opción en una interfaz utilizada para
recibir datos de entrada tales como mensajes de syslog o registros de datos de flujo de red. Esta
opción migra datos entre los nodos primario y secundario al que esté activo.
d. Especifique una opción de vínculo. La opción de vínculo predeterminada que está configurada en
esta interfaz es mode= 0 miimon=100.
Si la conexión no funciona al configurar los valores de interfaz vinculada, utilice SSH para iniciar sesión
en el host y busque en el archivo de registro /var/log/message mensajes de error de interfaz de red.
También puede intentar cambiar el valor a mode=1 o puede desconectar físicamente todas las conexiones
Ethernet del grupo de interfaces vinculadas excepto una. Si este método alternativo funciona, compruebe
5 Gestión de sistemas 57
que la infraestructura del conmutador admita la modalidad que está intentando utilizar. Los
conmutadores no siempre admiten mode=4.
Configure la hora del sistema de IBM Security QRadar desde la interfaz de usuario de QRadar. Puede
configurar la hora manualmente o configurando los servidores de protocolo de hora en red (NTP) para
mantener la hora del sistema.
Para asegurarse de que las búsquedas y las funciones relacionadas con datos funcionan adecuadamente,
todos los dispositivos deben sincronizar los valores de hora con el dispositivo de QRadar Console.
Cuando los valores de huso horario sean discrepantes, puede que vea resultados incoherentes entre los
datos de informe y de búsqueda de QRadar.
El servicio de acumulador se ejecuta en todos los dispositivos con almacenamiento local para crear
acumulaciones minuto a minuto y resúmenes horarios y diarios. QRadar utiliza los datos acumulados en
informes y en gráficos de series temporales. Cuando los husos horarios son discrepantes en un despliegue
distribuido, es posible que el informe y los gráficos de series temporales muestren resultados incoherentes
comparados con los resultados de consulta de AQL debido a la forma en que se agregan los datos
acumulados.
Las búsquedas de QRadar se ejecutan contra datos que se almacenan en las bases de datos de Ariel, que
utilizan una estructura de fecha (AAAA/MM/DD/HH/MM) para almacenar archivos en el disco.
Cambiar el huso horario después de que los datos se hayan grabado en disco, interrumpe la secuencia de
denominación de archivos en las bases de datos de Ariel y puede provocar problemas de integridad.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione el host para el que desea configurar los valores de hora del sistema.
5. En el menú Acciones, pulse Ver y gestionar el sistema.
6. Pulse la pestaña Hora del sistema.
7. Para configurar la hora en la QRadar Console, siga estos pasos:
a. En la lista Huso horario, seleccione el huso horario que se aplica a la QRadar Console.
b. Para configurar manualmente la hora, pulse en Establecer la hora manualmente:, y luego
establezca la fecha y la hora de la consola.
Nota: Si establece la hora del sistema en una fecha futura afectada por cambios del horario de
verano (DST - Daylight Saving Time), la hora que establece se ajusta en 1 hora. Por ejemplo,
Cuando establece la hora del sistema en sistemas VMware y a continuación, reinicia el sistema, es posible
que se pierdan los cambios. Para impedir que se pierdan los cambios de hora, puede inhabilitar la
sincronización de hora en el dispositivo virtual editando el archivo de configuración de la máquina
virtual y añadiendo estas líneas en las propiedades de sincronización:
tools.syncTime = "FALSE"
time.synchronize.continue = "FALSE"
time.synchronize.restore = "FALSE"
time.synchronize.resume.disk = "FALSE"
time.synchronize.shrink = "FALSE"
time.synchronize.tools.startup = "FALSE"
El archivo .vmx generalmente se encuentra en el directorio donde ha creado la máquina virtual. Para
obtener más información, consulte la documentación específica del proveedor de su sistema operativo.
La configuración de NAT de QRadar requiere una NAT estática y permite únicamente una dirección IP
por cada host gestionado.
Cualquier host de QRadar que no esté en el mismo grupo NAT que su igual, o que esté en un grupo
NAT distinto, se configura para que utilice la dirección IP pública de ese host para llegar al mismo. Por
ejemplo, cuando se configura una dirección IP pública en la QRadar Console, cualquier host que se
ubique en el mismo grupo NAT utiliza la dirección IP privada de QRadar Console para comunicarse.
Cualquier host gestionado que se ubique en un grupo NAT diferente utiliza la dirección IP pública de
QRadar Console para comunicarse.
Si tiene un host en una de estas ubicaciones de grupo NAT que no requiere una conversión externa,
especifique la dirección IP privada en los campos IP privada e IP pública. Los sistemas en ubicaciones
5 Gestión de sistemas 59
remotas con un grupo NAT distinto al de la consola continuarán necesitando una dirección IP externa y
NAT, ya que deberán poder establecer conexiones con la consola. Solo los hosts que se encuentren en el
mismo grupo NAT que la consola podrán utilizar las mismas direcciones IP públicas y privadas.
Antes de empezar
Asegúrese de que la red de con habilitación para NAT utiliza la conversión NAT estática.
Es importante completar la configuración de NAT para cada host gestionado del despliegue antes de
desplegar los cambios. Tras el despliegue, es posible que los hosts gestionados que no son con
habilitación para NAT no se puedan comunicar con la QRadar Console.
QRadar puede dar soporte a diversas redes NAT si la dirección IP de la QRadar Console es la misma en
cada red.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualizar, seleccione Sistemas.
4. Para configurar un grupo NAT para la QRadar Console, siga estos pasos:
a. Seleccione el dispositivo QRadar Console en la tabla de hosts.
b. En el menú Acciones de despliegue, pulse en Editar host.
c. Seleccione la casilla Conversión de direcciones de red.
d. En la lista Grupo NAT, seleccione el grupo NAT al que pertenece la consola o pulse en el icono
Nota: A menos que un recopilador de sucesos se esté conectando a un host gestionado que utilice
NAT, configure el host gestionado de forma que utilice la misma dirección IP pública y la misma
dirección IP privada.
f. Pulse Guardar.
6. En la pestaña Admin, pulse Avanzado > Desplegar configuración completa.
Para solucionar problemas de comunicación entre la QRadar Console y los hosts que no son con
habilitación para NAT después del despliegue, edite las reglas iptables del host gestionado para
configurar el cortafuegos local para permitir que la QRadar Console pueda acceder al host gestionado.
Antes de empezar
Asegúrese de que la red de con habilitación para NAT utiliza la conversión NAT estática.
La QRadar Console y todos los hosts gestionados de una misma red deben ser miembros de del mismo
grupo NAT.
Para cambiar el estado de NAT de un host gestionado, asegúrese de actualizar la configuración del host
gestionado en IBM Security QRadar antes de actualizar el dispositivo. El hecho de actualizar la
configuración, en primer lugar, impide que no se pueda acceder al host y garantiza que podrá seguir
desplegando cambios en ese host.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse el icono Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione el host en la tabla de hosts y, en el menú Acciones de despliegue, pulse en Editar host.
5. Para inhabilitar NAT, deseleccione la casilla Conversión de direcciones de red.
6. Para habilitar NAT, siga estos pasos:
a. Seleccione la casilla Conversión de direcciones de red.
b. En la lista Grupo NAT, seleccione el grupo al que pertenece el host gestionado.
c. En el campo IP pública, escriba la dirección IP pública que el host gestionado utiliza para
comunicarse con otros hosts de un grupo NAT distinto.
7. Pulse Guardar.
8. En la pestaña Admin, pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Si ha habilitado NAT, puede que tenga que cambiar la configuración del cortafuegos del host gestionado
con el que desea establecer comunicación. Para obtener más información, consulte la sección
“Configuración del cortafuegos local” en la página 70.
5 Gestión de sistemas 61
Gestión de hosts externos
Un host externo es un dispositivo de QRadar al que no se puede acceder a través de la QRadar Console
en el despliegue actual. Puede configurar el host externo para que transfiera datos al despliegue de
QRadar o reciba datos del mismo.
Para evitar los errores de conexión, cuando configure los componentes de origen y de destino externos,
despliegue la consola de IBM Security QRadar con el origen externo en primer lugar. A continuación,
despliegue QRadar Console con el destino externo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. En el menú Acciones de despliegue, pulse en Gestionar orígenes externos.
5. Pulse Añadir y configure los parámetros.
El nombre puede tener hasta 20 caracteres de longitud y puede incluir caracteres de subrayado o
guiones.
6. Pulse Guardar.
7. Pulse en Gestionar conexiones para especificar los hosts de QRadar donde desea recibir los datos.
Debe disponer de un Recopilador de sucesos para recibir los datos.
8. Repita los pasos para configurar todos los orígenes externos que desee configurar.
9. Implemente los cambios y reinicie el servicio de recopilación de sucesos.
Antes de empezar
Debe conocer los puertos de escucha del dispositivo de destino externo. De forma predeterminada, el
puerto de escucha para los sucesos es el 32004, y el 32000 para los flujos.
3. Pulse el icono Valores de la Gestión de componentes ( ) averigüe los puertos en los campos
Puerto de escucha de reenvío de sucesos y Puerto de escucha de reenvío de flujos.
Para evitar errores de conexión, cuando configure los componentes de origen y de destino externos,
despliegue la consola de IBM Security QRadar con el origen externo en primer lugar. A continuación,
despliegue QRadar Console con el destino externo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. En el menú Acciones de despliegue, pulse en Gestionar destinos externos.
5. Pulse Añadir y configure los parámetros.
El nombre puede tener hasta 20 caracteres de longitud y puede incluir caracteres de subrayado o
guiones. El puerto predeterminado de escucha para los sucesos es el 32004, y el 32000 para los flujos.
6. Pulse Guardar.
7. Pulse en Gestionar conexiones para especificar los hosts de QRadar donde desea recibir los datos.
Solo se enumeran en la lista los hosts que tienen un Recopilador de sucesos.
8. Repita los pasos para configurar todos los destinos externos que desee configurar.
9. En la pestaña Admin, pulse en Desplegar cambios.
Si el origen externo y el destino externo están en sistemas distintos, la clave pública se genera
automáticamente. Si el origen y el destino externos están en un sistema "all-in-one", la clave pública no se
genera automáticamente. Debe generar la clave pública de forma manual.
Procedimiento
Procedimiento
1. En el sistema de destino, configure el sistema de origen como un origen fuera de sitio.
a. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
b. Pulse Gestión del sistema y licencias > Acciones de despliegue > Gestionar orígenes fuera de
sitio.
c. Añada la dirección IP del sistema de origen y seleccione Recibir sucesos o Recibir flujos.
d. Seleccione Gestionar conexiones y elija el host que se espera que reciba la conexión fuera del sitio.
e. Pulse Guardar.
5 Gestión de sistemas 63
f. Seleccione Despliegue de configuración completa en el menú Avanzado para que los cambios
surtan efecto.
2. En el sistema de origen, configure el destino del reenvío, la dirección IP y el número de puerto.
a. Pulse Menú principal > Admin.
b. Pulse Destinos de reenvío > Añadir.
c. Configure la dirección IP del sistema de destino y el puerto de destino.
d. Introduzca 32000 para el número de puerto en el sistema de origen. El puerto 32000 se utiliza para
el reenvío de flujos.
e. Seleccione Normalizado en la lista Formato de suceso.
3. Configuración de reglas de direccionamiento.
a. Pulse Menú principal > Admin.
b. Pulse Reglas de direccionamiento > Añadir.
c. Seleccione las reglas que desee añadir.
Nota: Las reglas reenvían flujos basados en delitos o en información de CRE cuando se selecciona
Reenvío fuera de línea en la página Reglas de direccionamiento.
Se reenvían los flujos que se han filtrado en la pantalla Reglas de direccionamiento.
El diagrama siguiente muestra el reenvío de datos de sucesos y flujos entre los despliegues.
Procedimiento
5 Gestión de sistemas 65
6. Cambie el nombre del archivo por authorized_keys.
Asegúrese de que el sistema de origen está configurado con los permisos adecuados para enviar datos de
sucesos y flujos al sistema de destino.
7. Si no ha utilizado el mandato chmod 600 authorized_keys para asignar privilegios de propietario rw
al archivo y al directorio padre, utilice el mandato ssh-copy-id con al parámetro -i para especificar
que se debe utilizar el archivo de identidad /root/.ssh/id_rsa.pub.
Por ejemplo, escriba el siguiente mandato para añadir entradas o crear un nuevo archivo
authorized_keys en la consola de destino con los privilegios correctos. Este mandato no comprueba
si hay entradas duplicadas.
ssh-copy-id -i root@10.100.133.80
8. Configure el sistema de origen para asegurarse de que el reenvío de sucesos y flujos no se ve
interrumpido por otras actividades de configuración, como por ejemplo añadir un host gestionado a
una de las consolas.
Por ejemplo, si se añade un host gestionado a una consola que reenvía sucesos, debe existir un
archivo authorized_keys en el directorio /root/.ssh del host gestionado. Si no es así, la adición de
un host gestionado fallará. Este archivo es necesario independientemente de si se utiliza o no el
cifrado entre el host gestionado y la consola.
9. En la QRadar Console del sistema de origen, (despliegue A), cree un archivo ssh_keys_created en
/opt/qradar/conf.
10. Cambie el propietario y el grupo a nobody y el permiso a 775 para asegurarse de que se puede
hacer una copia de seguridad y una restauración del archivo correctamente.
chown nobody:nobody /opt/qradar/conf/ssh_keys_created
chmod 775 /opt/qradar/conf/ssh_keys_created
11. Para prevenir errores de conexión, despliegue los cambios en el sistema de destino (despliegue B)
antes de desplegarlos en el sistema de origen (despliegue A).
i desea desconectar el sistema de origen (despliegue A), debe eliminar las conexiones de ambos
despliegues. Elimine el destino externo del sistema de origen (despliegue A) y después elimine el origen
externo del sistema de destino (despliegue B).
Hosts gestionados
Para obtener una mayor flexibilidad en la recopilación de datos y en el proceso de sucesos y de flujos,
cree un despliegue distribuido de IBM Security QRadar añadiendo hosts gestionados no de consola, tales
como recopiladores, procesadores y nodos de datos.
Para obtener más información sobre cómo planificar y crear un entorno de QRadar consulte el apartado
IBM Security QRadar Architecture and Deployment Guide.
Las versiones de software de todos los dispositivos del despliegue de IBM Security QRadar ser de la
misma versión y nivel de fixpack. No se da soporte a despliegues que utilicen versiones distintas de
software porque los entornos de software mixto pueden hacer que las reglas no se activen, que no se
creen o actualicen los delitos o que se produzcan errores en los resultados de búsqueda.
Cuando un host gestionado utiliza una versión de software distinta a la de la consola de QRadar, es
posible que pueda ver los componentes que ya estaban asignados al host, pero no podrá configurar el
Utilice los métodos siguientes para mitigar las limitaciones de ancho de banda entre centros de datos:
Procese y envíe datos a hosts en el centro de datos primario
Diseñe el despliegue para procesar y enviar datos a medida que se recopilan a hosts del centro de
datos primario donde reside la consola. En este diseño, todas las búsquedas basadas en usuario
consultan los datos del centro de datos local en lugar de esperar a que los sitios remotos
devuelvan datos.
Puede desplegar un recopilador de sucesos de almacén y reenvío, como por ejemplo un
dispositivo QRadar 15XX físico o virtual en ubicaciones remotas para controlar ráfagas de datos
en la red. El ancho de banda se utiliza en las ubicaciones remotas y las búsquedas de datos tienen
lugar en el centro de datos en vez de en la ubicación remota.
No ejecute búsquedas de datos intensivas a través de conexiones con un ancho de banda limitado
Asegúrese de que los usuarios no ejecutan búsquedas de datos intensivas sobre enlaces que
tengan un ancho de banda limitado. Especificar filtros precisos sobre la búsqueda limita la
cantidad de datos que se recuperan de las ubicaciones remotas y reduce el ancho de banda
necesario para devolver los resultados de la consulta.
Cifrado
Para proporcionar una transferencia de datos segura entre cada uno de los dispositivos del entorno, IBM
Security QRadar dispone de soporte integrado de cifrado que utiliza OpenSSH. El cifrado tiene lugar
entre los hosts gestionados: por lo tanto, debe tener al menos un host gestionado para poder habilitar el
cifrado.
Cuando el cifrado está habilitado, se crea un túnel seguro en el cliente que inicia la conexión, utilizando
una conexión de protocolo SSH. Cuando se habilita el cifrado en un host gestionado, se crea el túnel SSH
para todas las aplicaciones cliente del host gestionado. Cuando se habilita el cifrado en un host
gestionado no de consola, se crean túneles de cifrado automáticamente para las bases de datos y otras
conexiones de servicio de soporte a la consola.
Por ejemplo, con el cifrado habilitado en un Procesador de sucesos, la conexión entre el Procesador de
sucesos y el Recopilador de sucesos está cifrada, y la conexión entre el Procesador de sucesos y el
Magistrado está cifrada.
5 Gestión de sistemas 67
Antes de empezar
Asegúrese de que el host gestionado tiene la misma versión y nivel de fixpack de IBM Security QRadar
que de la QRadar Console que utiliza para administrarlo.
Si desea habilitar la conversión de direcciones de red (NAT) para un host gestionado, la red debe utilizar
la conversión NAT estática. Para obtener más información, consulte el apartado “Redes con habilitación
para NAT” en la página 59.
Si ha configurado IBM Security QRadar Incident Forensics en el despliegue, puede añadir un host
gestionado de QRadar Incident Forensics. Para obtener más información, consulte la publicación IBM
Security QRadar Incident Forensics Guía de instalación.
Si ha configurado IBM Security QRadar Risk Manager en el despliegue, puede añadir un host gestionado.
Para obtener más información, consulte la publicación IBM Security QRadar Risk Manager Installation
Guide.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. En el menú Acciones de despliegue, pulse en Añadir host.
5. Configure los valores para el host gestionado proporcionando la dirección IP fija, y la contraseña root
para acceder al shell del sistema operativo en el dispositivo.
6. Pulse Añadir.
7. Opcional: Utilice el menú Acciones de despliegue > Ver despliegue para ver visualizaciones del
despliegue. Puede descargar una imagen PNG o un archivo Microsoft Visio (2010) VDX a la visualización
del despliegue.
8. En la pestaña Admin, pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Para realizar cambios en la configuración de red, como por ejemplo un cambio de dirección IP, en la
QRadar Console y los sistemas host gestionados después de la instalación del despliegue de QRadar,
utilice el programa de utilidad qchange_netsetup. Para obtener más información sobre los valores de red,
consulte la guía del usuario de su producto.
Antes de empezar
Asegúrese de que el host gestionado tiene la misma versión y nivel de fixpack de IBM Security QRadar
que de la QRadar Console que se utiliza para administrarlo. No puede editar ni eliminar un host
gestionado que utilice una versión diferente de QRadar.
Si desea habilitar la conversión de direcciones de red (NAT) para un host gestionado, la red debe utilizar
la conversión NAT estática. Para obtener más información, consulte el apartado “Redes con habilitación
para NAT” en la página 59.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione el host en la tabla de hosts y, en el menú Acciones de despliegue, pulse en Editar host.
5 Gestión de sistemas 69
a. Para crear un túnel de cifrado SSH en el puerto 22 para el host gestionado, seleccione el recuadro
Cifrar conexiones de host.
b. Para configurar el host gestionado para que utilice una red con habilitación para NAT, seleccione
el recuadro Conversión de direcciones de red y configure el Grupo NAT y la Dirección IP
pública.
c. Para configurar los componentes del host gestionado, pulse en el icono Valores de Gestión de
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Antes de empezar
Asegúrese de que el host gestionado tiene la misma versión y nivel de fixpack de IBM Security QRadar
que de la QRadar Console que se utiliza para administrarlo. No puede eliminar un host que se ejecute en
una versión distinta de QRadar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. En el menú Acciones de despliegue, pulse en Eliminar host y después pulse Aceptar.
Yo se puede eliminar un host de QRadar Console.
5. En la pestaña Admin, pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione el host para el que desea configurar los valores de acceso de cortafuegos.
5. En el menú Acciones, pulse Ver y gestionar el sistema.
Al configurar QRadar, éste busca un servidor de retransmisión de correo para utilizar para enviar
mensajes de correo electrónico.
Si configura el valor del servidor de correo como localhost, los mensajes de correo no salen del recuadro
de QRadar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione el host para el que desea configurar los valores de correo electrónico.
5. En el menú Acciones, pulse Ver y gestionar el sistema.
6. Pulse en la pestaña Servidor de correo electrónico y escriba el nombre de host o la dirección IP del
servidor de correo electrónico que desea utilizar.
Si desea utilizar el servidor de correo electrónico proporcionado por QRadar, teclee localhost para
utilizar el procesamiento de correo electrónico local.
7. Pulse Guardar.
QRadar tiene dos métodos para implementar cambios: configuración estándar y completa. El tipo de
despliegue necesario depende del tipo de cambios que se hayan realizado.
Implementación estándar
Este método de implementación reinicia únicamente aquellos servicios que están directamente afectados
por los cambios que se han realizado. Para iniciar una implementación estándar, haga clic en
Implementar cambios en el banner de la pestaña Admin.
La lista siguiente muestra algunos ejemplos de cambios que requieren una implementación estándar:
v Añadir o editar un usuario o un rol de usuario nuevos.
v Configurar una contraseña para otro usuario.
5 Gestión de sistemas 71
v Cambiar el rol de un usuario o su perfil de seguridad.
Los cambios que afecten a todo el despliegue de QRadar deben implementarse utilizando el método de
despliegue de configuración completa. Para comenzar un despliegue de configuración completa, haga clic
en Desplegar configuración completa en el menú Opciones avanzadas de la pestaña Admin.
Este método vuelve a crear todos los archivos de configuración en cada uno de los hosts gestionados.
Para garantizar que la nueva configuración se ha cargado correctamente, todos los servicios de los hosts
gestionados se reinician automáticamente, excepto el servicio de recopilación de sucesos. Mientras se
reinician otros servicios, QRadar continúa recopilando sucesos y los guarda en un almacenamiento
intermedio hasta que los hosts gestionados vuelven a estar en línea.
La lista siguiente muestra algunos ejemplos de cambios que requieren un despliegue de configuración
completa:
v Añadir un host gestionado.
v Cambiar la configuración de un host gestionado.
v Configurar hosts externos para enviar o recibir datos de QRadar Console.
v Restaurar una copia de seguridad de la configuración.
Cuando implemente cambios después de restaurar una copia de seguridad de configuración, puede
reiniciar el servicio de recopilación de sucesos en ese momento o más adelante. Si opta por reiniciar el
servicio más tarde, QRadar implementará todos los cambios que no dependan del servicio de recopilación
de sucesos y seguirá recopilando sucesos mientras se reinician los demás servicios. El banner de
despliegue seguirá mostrando los cambios sin implementar y aparecerá el mensaje Debe reiniciarse el
servicio de recopilación de sucesos cuando vea los detalles.
Despliegue de cambios
Los cambios que se realicen en el despliegue de IBM Security QRadar deben moverse del área de
transferencia al área de producción.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Compruebe el banner de despliegue para determinar si es necesario implementar los cambios.
3. Pulse en Ver detalles para ver información acerca de los cambios de configuración no desplegados.
4. Elija el método de despliegue:
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando
el servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente.
Se mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En el menú Avanzado, pulse Reiniciar servicios de recopilación de sucesos.
Cierre de un sistema
Cuando cierra o concluye un sistema, el dispositivo se apaga. La interfaz de IBM Security QRadar no está
disponible y la recopilación de datos se detiene mientras se concluye el sistema.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione el sistema que desee cerrar.
5. En el menú Acciones, seleccione Cerrar el sistema.
Reinicio de un sistema
Cuando reinicia un sistema, la interfaz de IBM Security QRadar no está disponible y la recopilación de
datos se detiene mientras se reinicia el sistema.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualizar, seleccione Sistemas.
4. Seleccione el sistema que desee reiniciar.
5. En el menú Acciones, seleccione Reiniciar sistema.
5 Gestión de sistemas 73
Acerca de esta tarea
Puede recopilar los archivos de registro de uno o más sistemas host al mismo tiempo. Según el tamaño
del despliegue y el número de hosts gestionados, esto puede tardar un tiempo. Los archivos de registro
de la consola de QRadar se incluyen automáticamente en cada recopilación de archivos de registro.
Puede seguir utilizando la consola de QRadar mientras se ejecuta la recopilación de archivos de registro.
Si el sistema está recopilando activamente archivos de registro, no puede iniciar una solicitud de
recopilación nueva. Cancele el proceso de recopilación activo e inicie otra recopilación.
Cuando el proceso de recopilación de archivos de registro finaliza, aparece una notificación del sistema
en el panel de control Supervisión del sistema.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la lista Visualización, seleccione Sistemas.
4. Seleccione los hosts en la tabla de hosts.
5. Pulse Acciones > Recopilar archivos de registro.
6. Pulse Opciones avanzadas y elija las opciones para la recopilación de archivos de registro.
Las recopilaciones de archivos de registro cifrados solamente las pueden descifrar el servicio de
soporte de IBM. Si desea acceder a la recopilación de archivos de registro, no cifre el archivo.
7. Pulse Recopilar archivos de registro.
En Mensajes de actividades de soporte del sistema, un mensaje indica el estado del proceso de
recopilación.
8. Para descargar la recopilación de archivos de registro, espere a recibir la notificación La recopilación
de archivos de registro se ha completado satisfactoriamente y pulse en Pulse aquí para descargar
los archivos .
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar Console como usuario root.
2. Escriba el nombre de usuario y la contraseña para el usuario root.
El nombre de usuario y la contraseña son sensibles a las mayúsculas y minúsculas.
3. Utilice el mandato passwd para cambiar la contraseña.
Restablecimiento de SIM
Después de ajustar el despliegue, evite recibir información adicional de falsos positivos restableciendo la
SIM para eliminar todos los delitos y las direcciones IP de destino de la base de datos y del disco.
El proceso de restablecimiento de SIM puede tardar varios minutos, en función de la cantidad de datos
del sistema. Si intenta ir a otras áreas de la interfaz de usuario de IBM Security QRadar durante el
proceso de restablecimiento de SIM, se visualiza un mensaje de error.
Opción Descripción
Limpieza parcial Cierra todos los delitos de la base de datos. Si selecciona
la opción Limpieza parcial, podrá seleccionar también la
casilla de verificación Desactivar todos los delitos.
Limpieza total Purga todos los datos de SIM actuales e históricos de la
base de datos, incluidos los delitos protegidos, las
direcciones IP de origen y las direcciones IP de destino.
5. Si desea continuar, seleccione la casilla de verificación ¿Está seguro de que desea restablecer el
modelo de datos?.
6. Pulse Continuar.
7. Cuando haya finalizado el proceso de restablecimiento de SIM, pulse Cerrar.
8. Refresque el navegador web.
5 Gestión de sistemas 75
76 Guía de administración de QRadar
6 Configurar QRadar
Utilice los valores de la pestaña de administración para configurar el despliegue de IBM Security QRadar,
incluidos la jerarquía de red, las actualizaciones automáticas, los valores del sistema, los grupos de
retención de sucesos, las notificaciones del sistema, los valores de la consola y la gestión de índices.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Jerarquía de red
IBM Security QRadar utiliza los objetos y grupos de jerarquía de red para visualizar la actividad de red y
supervisar los grupos o servicios de la red.
Cuando cree la jerarquía de red, considere el método más eficaz para ver la actividad de red. No es
necesario que la jerarquía de red se parezca al despliegue físico de la red. QRadar da soporte a cualquier
jerarquía de red que pueda definirse mediante un rango de direcciones IP. Puede basar la red en muchas
variables diferentes, incluidas las unidades de negocio o geográficas.
Conceptos relacionados:
“Actualizaciones de la jerarquía de red en un despliegue multiarrendatario” en la página 239
Los administradores de arrendatarios que tienen el permiso Definir jerarquía de red pueden cambiar la
jerarquía de red dentro de su propio arrendatario.
10.10.1.5/32
v Defina un grupo integral que lo incluya todo para que, cuando defina nuevas redes, se apliquen las
políticas y los supervisores de comportamiento adecuados.
En el ejemplo siguiente si añade una red del departamento de recursos humanos, como por ejemplo
10.10.50.0/24, al grupo Cleveland, el tráfico se visualiza como basado en Cleveland y se aplican de
forma predeterminada las reglas que se aplican al grupo Cleveland.
Tabla 15. Ejemplo de un grupo integral
Grupo Subgrupo Dirección IP
Cleveland Varios - Cleveland 10.10.0.0/16
Cleveland Ventas - Cleveland 10.10.8.0/21
Cleveland Marketing - Cleveland 10.10.1.0/24
v En un entorno habilitado para dominio, asegúrese de que cada dirección IP se asigna al dominio
adecuado.
En la tabla siguiente se proporciona una lista de los valores de CIDR que QRadar acepta:
Tabla 16. Valores de CIDR aceptables
Longitud de CIDR Máscara Número de redes Hosts
/1 128.0.0.0 128 A 2,147,483,392
/2 192.0.0.0 64 A 1,073,741,696
/3 224.0.0.0 32 A 536,870,848
/4 240.0.0.0 16 A 268,435,424
/5 248.0.0.0 8A 134,217,712
/6 252.0.0.0 4A 67,108,856
/7 254.0.0.0 2A 33,554,428
/8 255.0.0.0 1A 16,777,214
/9 255.128.0.0 128 B 8,388,352
/10 255.192.0.0 64 B 4,194,176
/11 255.224.0.0 32 B 2,097,088
/12 255.240.0.0 16 B 1,048,544
/13 255.248.0.0 8B 524,272
/14 255.252.0.0 4B 262,136
Por ejemplo, una red se llama superred cuando el límite de prefijo contiene menos bits que la máscara
natural (o con clases, "classful") de la red. Por ejemplo, una red se llama subred cuando el límite de
prefijo contiene más bits que la máscara natural de la red:
v 209.60.128.0 es una dirección de red de clase C con una máscara de /24.
v 209.60.128.0 /22 es un superred que produce:
– 209.60.128.0 /24
– 209.60.129.0 /24
– 209.60.130.0 /24
– 209.60.131.0 /24
v 192.0.0.0 /25
Rango de hosts de subred
0 192.0.0.1-192.0.0.126
1 192.0.0.129-192.0.0.254
v 192.0.0.0 /26
Rango de hosts de subred
0 192.0.0.1 - 192.0.0.62
1 192.0.0.65 - 192.0.0.126
2 192.0.0.129 - 192.0.0.190
3 192.0.0.193 - 192.0.0.254
v 192.0.0.0 /27
Rango de hosts de subred
0 192.0.0.1 - 192.0.0.30
1 192.0.0.33 - 192.0.0.62
6 Configurar QRadar 79
2 192.0.0.65 - 192.0.0.94
3 192.0.0.97 - 192.0.0.126
4 192.0.0.129 - 192.0.0.158
5 192.0.0.161 - 192.0.0.190
6 192.0.0.193 - 192.0.0.222
7 192.0.0.225 - 192.0.0.254
Tareas relacionadas:
“Definición de la jerarquía de red”
En IBM Security QRadar se incluye una jerarquía de red predeterminada que contiene grupos de red
predefinidos. Puede editar los objetos predefinidos de la jerarquía de red o puede crear nuevos grupos u
objetos de red.
Los objetos de red son un contenedor para direcciones CIDR. Cualquier dirección IP cubierta por un
rango CIDR en la jerarquía de red se considera una dirección local. Cualquier dirección IP que no está
definida en un rango CIDR de objetos de red se considera una dirección IP remota. Un CIDR solo puede
pertenecer a un objeto de red aunque subconjuntos de un rango de CIDR pueden pertenecer a otro objeto
de red. El tráfico de red coincide con el CIDR más exacto. Un objeto de red puede tener varios rangos de
CIDR asignados.
Algunos de los bloques y reglas de construcción por omisión de QRadar utilizan los objetos de jerarquía
de red predeterminados. Antes de cambiar un objeto predeterminado de jerarquía de red, busque en las
reglas y en los bloques de construcción para entender cómo se utiliza el objeto y qué reglas y bloques de
construcción pueden requerir ajustes después de modificar el objeto. Es importante mantener la jerarquía
de red, las reglas y los bloques de construcción actualizados para evitar falsos delitos.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Jerarquía de red.
3. En el árbol de menús de la ventana Vistas de red, seleccione el área de la red en la que desea trabajar.
4. Para añadir objetos de red, siga estos pasos:
a. Pulse Añadir y escriba un nombre exclusivo y una descripción para el objeto.
b. En la lista Grupo, seleccione el grupo en el que desea añadir el nuevo objeto de red.
c. Para añadir un grupo, pulse el icono situado junto a la lista Grupo y escriba un nombre para el
grupo.
d. Escriba el rango CIDR de este objeto y pulse Añadir.
e. Pulse Crear.
f. Repita los pasos para todos los objetos de red.
5. Pulse Editar o Suprimir para trabajar con los objetos de red existentes.
Conceptos relacionados:
“Valores de CIDR aceptables” en la página 78
IBM Security QRadar acepta valores de CIDR específicos.
Los archivos de configuración actualizados ayudan a eliminar falsos positivos y a proteger el sistema de
los últimos sitios maliciosos, botnets y otra actividad de Internet sospechosa.
Los archivos de actualización están disponibles para la descarga manual en IBM Fix Central
(http://www.ibm.com/support/fixcentral).
Después de instalar actualizaciones en la consola y desplegar los cambios, la consola actualiza sus hosts
gestionados.
Al actualizar los archivos de configuración en un host primario y desplegar los cambios, las
actualizaciones se realizan automáticamente en el host secundario. Si no despliega los cambios, las
actualizaciones se realizan en el host secundario a través de un proceso automatizado que se ejecuta cada
hora.
6 Configurar QRadar 81
“Actualizaciones manuales” en la página 86
Si el despliegue incluye una consola de IBM Security QRadar que no puede acceder a Internet o si desea
gestionar manualmente las actualizaciones del sistema, puede gestionar el proceso de actualización de
forma manual definiendo un servidor de actualización de IBM Security QRadar.
El sistema tiene que estar operativo durante suficiente tiempo para recuperar las actualizaciones
semanales. Si no aparece ninguna actualización en la ventana Actualizaciones, el sistema no ha estado en
funcionamiento el tiempo suficiente para recuperar las actualizaciones semanales o bien no se han
emitido actualizaciones. Si esto ocurre, puede comprobar si hay actualizaciones nuevas manualmente.
Puede seleccionar Reiniciar servicio automáticamente para permitir las actualizaciones automáticas que
requieren que se reinicie la interfaz de usuario. Se produce una interrupción en la interfaz de usuario
cuando el servicio se reinicia. Como alternativa, puede instalar manualmente la actualización desde la
ventana Comprobar si hay actualizaciones.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Actualización automática.
3. Pulse Cambiar valores.
4. En la pestaña Básico, seleccione la planificación de las actualizaciones.
a. En la sección Actualizaciones de configuración, seleccione el método que desea utilizar para
actualizar los archivos de configuración.
v Para fusionar los archivos de configuración existentes con las actualizaciones del servidor sin
afectar a las firmas personalizadas, las entradas personalizadas y las configuraciones de red
remotas, seleccione la opción Integrar automáticamente.
v Para sustituir las personalizaciones con los valores del servidor, seleccione la opción
Actualización automática.
b. En la sección Actualizaciones de DSM, Explorador, Protocolo, seleccione una opción para instalar
las actualizaciones.
c. En la sección Actualizaciones principales, seleccione una opción para recibir las actualizaciones
más importantes para los nuevos releases.
d. En la sección Actualizaciones secundarias, seleccione una opción para recibir los parches
correspondientes a problemas menores del sistema.
e. Si desea desplegar automáticamente los cambios de actualización una vez instaladas las
actualizaciones, seleccione la casilla de verificación Desplegar automáticamente.
f. Si desea reiniciar el servicio de la interfaz de usuario automáticamente después de instalar las
actualizaciones, seleccione la casilla de verificación Reiniciar servicio automáticamente.
5. Haga clic en la pestaña Avanzado para configurar el servidor de actualización y los valores de copia
de seguridad.
a. En el campo Servidor web, escriba el servidor web del cual desea obtener las actualizaciones.
6 Configurar QRadar 83
El servidor web predeterminado es https://qmmunity.q1labs.com/.
b. En el campo Directorio, escriba la ubicación del directorio en el que el servidor web almacena las
actualizaciones.
El directorio predeterminado es autoupdates/.
c. Opcional: Configure los valores del servidor proxy.
Si el servidor de aplicaciones utiliza un servidor proxy para conectarse a Internet, debe configurar
el servidor proxy. Si utiliza un proxy autenticado, tendrá que proporcionar el nombre de usuario y
la contraseña para el servidor proxy.
d. Opcional: En el campo Contraseña de proxy, escriba la contraseña para el servidor proxy.
Procedimiento
1. Cree una copia de seguridad del archivo ca-bundle.crt en QRadar. Por ejemplo, utilice el mandato de
copia para crear un archivo .bak: cp /etc/ssl/certs/ca-bundle.crt{,bak}.
2. Obtenga el certificado de autoridad emisora de certificados del servidor proxy. Para obtener más
información, consulte la documentación del servidor proxy.
3. Añada el certificado de autoridad emisora de certificados al archivo ca-bundle.crt escribiendo el
mandato siguiente en una sola línea:
openssl x509 -text -in /path/to/proxycert.crt >>
/etc/pki/ca-trust/source/anchors/ca-bundle.qrdr.pem
4. Extraiga el certificado escribiendo el mandato siguiente:
update-ca-trust extract
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Actualización automática.
3. Opcional: Si desea planificar actualizaciones específicas, seleccione las actualizaciones que desea
planificar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Actualización automática.
3. Pulse Comprobar actualizaciones.
4. Opcional: Si desea borrar actualizaciones planificadas concretas, seleccione las actualizaciones que
desea borrar.
5. En la lista Anular planificación, seleccione el tipo de actualización planificada que desee borrar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Actualización automática.
3. Pulse Comprobar actualizaciones.
4. Pulse Obtener nuevas actualizaciones.
El sistema recupera las actualizaciones nuevas desde IBM Fix Central (www.ibm.com/support/fixcentral/
). Este proceso puede tardar bastante tiempo. Cuando haya terminado, las actualizaciones nuevas estarán
listadas en la ventana Actualizaciones.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Actualización automática.
3. Pulse Comprobar actualizaciones.
4. Opcional: Si desea instalar actualizaciones específicas, seleccione las actualizaciones que desea
planificar.
5. En la lista Instalar, seleccione el tipo de actualización que desee instalar.
6 Configurar QRadar 85
Visualización del historial de actualizaciones
Tras una instalación de actualización, sea satisfactoria o fallida, dicha actualización se visualiza en la
página Ver historial de actualizaciones.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Actualización automática.
3. Pulse Ver historial de actualizaciones.
4. Opcional: En el campo Buscar por nombre puede escribir una palabra clave y luego pulsar Intro para
localizar una actualización concreta por nombre.
5. Para investigar una actualización específica, seleccione dicha actualización.
En el panel derecho de la página Ver historial de actualizaciones se muestran una descripción de la
actualización y los posibles mensajes de error de instalación.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Actualización automática.
3. Pulse Restaurar actualizaciones ocultas.
4. Opcional: Para localizar una actualización por nombre, escriba una palabra clave en el campo Buscar
por nombre y pulse Intro.
5. Seleccione la actualización oculta que desee restaurar.
6. Pulse Restaurar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Actualización automática.
3. En el menú de navegación, pulse Ver archivo de registro.
Actualizaciones manuales
Si el despliegue incluye una consola de IBM Security QRadar que no puede acceder a Internet o si desea
gestionar manualmente las actualizaciones del sistema, puede gestionar el proceso de actualización de
forma manual definiendo un servidor de actualización de IBM Security QRadar.
El paquete de actualización automática incluye todos los archivos necesarios para configurar
manualmente un servidor de actualizaciones, además de los archivos de configuración del sistema
necesarios para cada actualización. Después de la configuración inicial, solamente tiene que descargar y
descomprimir el paquete de actualización automática más reciente para actualizar la configuración
manualmente.
Antes de empezar
Procedimiento
1. Acceda al servidor Apache y cree un directorio de actualización llamado autoupdates/.
De forma predeterminada, el directorio de actualización se encuentra en el directorio raíz web del
servidor Apache. Puede colocar el directorio en otra ubicación si configura IBM Security QRadar en
consecuencia.
2. Opcional: Cree una cuenta de usuario y una contraseña de Apache para utilizarlas en el proceso de
actualización.
3. Guarde el archivo de paquete de actualización automática en el servidor Apache en el directorio
autoupdates/ que ha creado.
4. En el servidor Apache, escriba el mandato siguiente para descomprimir el paquete de actualización
automática.
tar -zxf updatepackage-[timestamp].tgz
6 Configurar QRadar 87
/opt/qradar/bin/UpdateConfs.pl -change_password <password>
14. Para probar el servidor de actualización, escriba el siguiente mandato en una sola línea de texto en
la interfaz de línea de mandatos.
wget -q -O- --no-check-certificate
https://<your update server>/<directory path to updates>/manifest_list
15. Escriba el nombre de usuario y la contraseña.
Para configurar la QRadar Console para que sea el servidor de actualizaciones, realice estas tareas:
v Cree un directorio de actualización automática.
v Descargue el paquete de actualización automática de IBM Fix Central.
v Configure IBM Security QRadar para que acepte las actualizaciones automáticas.
Procedimiento
1. Descargue el paquete de actualización automática de Fix Central (www.ibm.com/support/fixcentral/
). Encontrará los productos de QRadar en la lista Grupo de productos de Security Systems de Fix
Central.
2. Guarde el archivo de paquete de actualización automática en QRadar Console en el directorio /tmp/.
3. Inicie la sesión en QRadar como usuario root.
4. Escriba el mandato siguiente para crear el directorio de actualización automática:
mkdir -p /opt/qradar/www/autoupdates/
5. En la consola de QRadar, escriba los mandatos siguientes para descomprimir el paquete de
actualización automática:
cd /opt/qradar/www/autoupdates/
tar -zxf /tmp/<nombre_archivo_actualización_automática>
6. Inicie la sesión en la interfaz de usuario de QRadar.
7. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
8. En la sección Configuración del sistema, pulse Actualización automática.
9. Pulse en Cambiar valores y seleccione la pestaña Avanzado.
10. En el campo Directorio, escriba autoupdates/.
11. En el campo Servidor web, escriba https://localhost/.
12. Pulse Guardar.
Antes de empezar
Debe configurar el servidor de actualizaciones y configurar IBM Security QRadar para que reciba las
actualizaciones procedentes del servidor de actualizaciones.
Procedimiento
1. Descargue el paquete de actualización automática de IBM Fix Central (http://www.ibm.com/
support/fixcentral/).
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Valores del sistema.
3. Configure los valores del sistema. Pulse el botón Ayuda para ver descripciones de los valores.
4. Pulse Guardar.
5. En la pestaña Admin, seleccione Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
6 Configurar QRadar 89
URL Especifica la dirección Web que se abre en una ventana nueva.
Puede utilizar el marcador de posición %IP% para representar la dirección IP. El carácter de
ampersand (&), el signo de menor que (<) y el signo de mayor que (>) necesitan los caracteres de
escape &, < y > respectivamente.
Por ejemplo, para pasar un URL con varios parámetros que incluyen un marcador para la
dirección IP, puede utilizar esta sintaxis: url="/lookup?&ip=%IP%;force=true"
Mandato
Mandato que desea ejecutar en la consola de IBM Security QRadar. La salida del mandato se
visualiza en una ventana nueva. Utilice el marcador de posición %IP% para representar la
dirección IP seleccionada.
Capacidades necesarias
Capacidades, como, por ejemplo, "ADMIN", que el usuario debe tener antes de seleccionar esta
opción (delimitada por comas). Si el usuario no tiene todas las capacidades que figuran en la
lista, las entradas no se visualizan. Las capacidades necesarias es un campo opcional. Para
obtener más información sobre la las capacidades necesarias, consulte la IBM Security QRadar
Application Framework Developer Quick Start Guide.
Procedimiento
1. Utilizando SSH, inicie la sesión en QRadar Console como usuario root.
2. En el QRadar Console, si el archivo ip_context_menu.xml no existe en /opt/qradar/conf, copie el
archivo ip_context_menu.xml procedente del directorio /opt/qradar/conf/templates en el directorio
/opt/qradar/conf.
3. Abra el archivo /opt/qradar/conf/ip_context_menu.xml para su edición.
4. Edite el archivo para añadir, modificar o eliminar elementos XML menuEntry.
5. Guarde y cierre el archivo.
6. Para aplicar estos cambios, reinicie la GUI de QRadar escribiendo el siguiente mandato:
systemctl restart tomcat
Puede pasar al URL o al script cualquier dato que esté en el suceso o en el flujo.
Procedimiento
1. Utilizando SSH, inicie la sesión en el dispositivo de QRadar Console como usuario root.
2. Vaya al directorio /opt/qradar/conf y cree un archivo que se llame arielRightClick.properties.
3. Edite el archivo /opt/qradar/conf/arielRightClick.properties. Utilice la tabla siguiente para
especificar los parámetros que determinan las opciones del menú contextual.
destinationIP
qid
text Obligatorio Especifica el texto que se visualiza en Búsqueda de Google
el menú contextual.
useFormattedValue Opcional Especifica si los valores con formato Si el parámetro está establecido en true
se pasan al script. para la propiedad de nombre de suceso
(QID), el nombre de suceso del QID se
Se establece en true para garantizar pasa al script.
que se pase el valor con formato de
los atributos, como username y Si el parámetro está establecido en false,
payload. Los valores con formato son se pasa al script el valor del QID sin
más fáciles de leer para los formato (en bruto).
administradores que los valores sin
formato.
url Necesario para Especifica el URL, que se abre en una sourceIPwebUrlAction.url=
acceder a un URL ventana nueva, y los parámetros que http://www.mywebsite.com?
se pasan al URL. q=$sourceIP$
Para cada uno de los nombres de clave que se especifican en la lista pluginActions, defina la acción
mediante el uso de una clave con el formato nombre de clave, propiedad.
4. Guarde y cierre el archivo.
5. Inicie la sesión en la interfaz de usuario de QRadar.
6. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
7. Pulse Avanzado > Reiniciar el servidor web.
Ejemplo
En el ejemplo siguiente se muestra cómo añadir Probar URL como una opción del menú contextual para
las direcciones IP de origen.
pluginActions=sourceIPwebUrlAction
sourceIPwebUrlAction.arielProperty=sourceIP
sourceIPwebUrlAction.text=Probar URL
sourceIPwebUrlAction.url=http://www.mywebsite.com?q=$sourceIP$
En el ejemplo siguiente se muestra cómo habilitar la acción de script para los puertos de destino.
pluginActions=destinationPortScriptAction
destinationPortScriptAction.arielProperty=destinationPort
6 Configurar QRadar 91
destinationPortScriptAction.text=Probar mandato sin formato
destinationPortScriptAction.useFormattedValue=false
destinationPortScriptAction.command=/bin/echo
destinationPortScriptAction.arguments=$qid$
En el ejemplo siguiente se muestra la adición de varios parámetros a una acción de script o URL.
pluginActions=qidwebUrlAction,sourcePortScriptAction
qidwebUrlAction.arielProperty=qid,device,eventCount
qidwebUrlAction.text=Búsqueda de Google
qidwebUrlAction.url=http://www.google.com?q=$qid$-$device$-$eventCount$
sourcePortScriptAction.arielProperty=sourcePort
sourcePortScriptAction.text=Mandato sin formato de puerto
sourcePortScriptAction.useFormattedValue=true
sourcePortScriptAction.command=/bin/echo
sourcePortScriptAction.arguments=$qid$-$sourcePort$-$device$-$CONTEXT$
6 Configurar QRadar 93
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Valores del sistema.
3. Pulse Valores de autenticación.
4. Para editar el mensaje de inicio de sesión, pulse Editar en el campo Mensaje de inicio de sesión.
a. Escriba el mensaje en la ventana Editar mensaje de inicio de sesión.
b. Para obligar a los usuarios a aceptar el mensaje de inicio de sesión antes de iniciar sesión,
seleccione la casilla de verificación.
c. Pulse Guardar.
El mensaje de inicio de sesión se guarda en el archivo opt/qradar/conf/LoginMessage.txt.
Para poder configurar la autenticación de IF-MAP en la ventana Valores del sistema, debe configurar el
certificado de servidor IF-MAP.
Antes de empezar
Póngase en contacto con el administrador del servidor IF-MAP para obtener una copia del certificado
público del servidor IF-MAP. El certificado debe tener la extensión de archivo .cert.
Procedimiento
1. Inicie, mediante SSH, la sesión en IBM Security QRadar como usuario root.
2. Copie el certificado en el directorio /opt/qradar/conf/trusted_certificates.
Esta tarea proporciona los pasos para configurar el certificado en la consola de QRadar. Para obtener
ayuda para configurar el certificado en el servidor IF-MAP, póngase en contacto con el administrador del
servidor IF-MAP.
Antes de empezar
Póngase en contacto con el administrador del servidor IF-MAP para obtener una copia del certificado
público del servidor IF-MAP. El certificado debe tener la extensión de archivo .cert.
SSL es un estándar del sector que se utiliza en los sitios web para proteger las transacciones en línea.
Para generar un enlace SSL, un servidor web necesita un certificado SSL. Los certificados SSL los emiten
las entidades de certificación de terceros de confianza.
Raíz de confianza
Los navegadores y los sistemas operativos incluyen una lista preinstalada de certificados de confianza,
que se instala en el almacén de entidades de certificación de raíz de confianza.
Tabla 20. Certificados soportados por QRadar
Certificado Descripción
Autofirmado Un certificado autofirmado proporciona una seguridad
básica, que permite el cifrado de datos entre el usuario y
la aplicación. Como los certificados autofirmados no
pueden autenticarse con ninguna entidad emisora de
certificados raíz conocida existente, se avisa a los
usuarios de este certificado desconocido y deben
aceptarlo para poder continuar.
6 Configurar QRadar 95
Tabla 20. Certificados soportados por QRadar (continuación)
Certificado Descripción
Firmado de CA interna Las organizaciones que tienen su propia CA raíz interna
pueden crear un certificado utilizando dicha CA interna.
Este certificado está soportado por QRadar y la CA raíz
interna se importa también al entorno de QRadar.
Firmado de CA pública/CA intermedia Los certificados firmados por las CA públicas conocidas
y los certificados intermedios están soportados por
QRadar. Los certificados firmados públicos se pueden
utilizar directamente en QRadar y los certificados
firmados por una CA intermedia se instalan utilizando el
certificado firmado y el certificado intermedio para
proporcionar funciones de certificado válidas.
Para establecer todas las conexiones SSL internas entre los componentes, QRadar utiliza el certificado de
servidor web que está preinstalado en la consola de QRadar. Cuando se sustituye el certificado
preinstalado, el proceso de instalación copia el certificado en todos los hosts gestionados en el despliegue,
excepto en los dispositivos de QRadar Incident Forensics.
Todos los certificados de confianza para QRadar deben cumplir los requisitos siguientes:
v El certificado debe ser un certificado X.509 y tener una codificación PEM base64.
v El certificado debe tener una extensión de archivo .cert, .crt, .pem o .der.
v Los archivos de almacén de claves que contienen certificados deben tener la extensión .truststore.
v El archivo de certificado debe estar almacenado en el directorio /opt/qradar/conf/
trusted_certificates.
Importante: Si es cliente de IBM Security QRadar Incident Forensics, póngase en contacto con el servicio
de Soporte al cliente (www.ibm.com/support/) para obtener asistencia para instalar o actualizar su
certificado SSL personalizado en el almacén de claves de QRadar Incident Forensics.
Si se configura la clave SSL con una contraseña, se debe especificar manualmente cada vez que se reinicia
el servicio. Con esta configuración, el servicio de la interfaz de usuario web no estará disponible hasta
que se especifique la contraseña, por ejemplo, durante la instalación de un parche de QRadar, una
migración tras error de alta disponibilidad o un reinicio del sistema. En este caso, los usuarios no pueden
iniciar sesión y los hosts gestionados por QRadar no pueden recuperar las actualizaciones de la
configuración, el origen del registro de informes y los mensajes de estado del almacenamiento de datos y
las reglas hasta que el servicio web esté disponible.
Creación de una solicitud de firma de certificado SSL con claves RSA de 2048 bits
1. Utilice SSH para iniciar la sesión en la consola de QRadar.
2. Genere un archivo de claves privadas utilizando el mandato siguiente:
Nota: No utilice las opciones de cifrado privadas porque pueden generar problemas de
compatibilidad.
El archivo qradar.key se crea en el directorio actual. Conserve este archivo para utilizarlo cuando
instale el certificado.
3. Genere el archivo de solicitud de solicitud de firma de certificado (CSR). El archivo qradar.csr se
utiliza para crear el certificado SSL con una entidad emisora de certificados (CA) interna o comercial.
Ejecute el mandato siguiente y proporcione la información necesaria, como se le solicite:
openssl req -new -key qradar.key -out qradar.csr
Salida de ejemplo:
Proporcione la información siguiente solicitada en la línea de mandatos:
[root@qradar ~]# openssl genrsa -out qradar.key 2048
Generando clave privada de RSA, módulo de 2048 bits
........................................+++
..........................+++
e is 65537 (0x10001)
[root@bluecar ~]# openssl req -new -key qradar.key -out qradar.csr
Se le solicitará información que se incorporará
a su solicitud de certificado.
Está a punto de entrar un nombre distinguido o DN.
Puede dejar en blanco algunos campos
Algunos campos tendrán un valor predeterminado,
Si escribe ’.’, el campo se deja en blanco.
-----
Nombre de país (código de dos 2 letras) [XX]:US
Estado o provincia (nombre completo) []:MyState
Localidad (por ejemplo, city) [Predeterminado City]:MyCity
Nombre de organización (por ejemplo, company) [Predeterminado Company Ltd]:MyCompany
Nombre unidad organizativa (por ejemplo, departamento) []:MyCompanyOrg
Nombre común (por ejemplo, su nombre o el host del servidor) []:qradar.mycompany.com
Dirección de correo electrónico []:email@mycompany.com
6 Configurar QRadar 97
2. Ejecute el mandato siguiente en la línea de mandatos SSH:
update-ca-trust
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Instale el certificado escribiendo el mandato siguiente:
[root@qavm215 ~]# /opt/qradar/bin/install-ssl-cert.sh
Ruta a archivo de clave pública (SSLCertificateFile): /root/new.certs/cert.cert
Ruta a archivo de clave privada (SSLCertificateKeyFile): /root/new.certs/cert.key
Salida de ejemplo:
Ha especificado lo siguiente:
SSLCertificateFile of /root/updated.certs/cert.cert
SSLCertificateKeyFile of /root/updated.certs/cert.key
Nota: Cuando despliega la configuración completa, QRadar reinicia todos los servicios. La
recopilación de datos para sucesos y flujos se detiene hasta que finaliza el despliegue.
Resolución de problemas
Si tiene problemas con el certificado, tal como un nombre o dirección IP incorrectos, o si ha transcurrido
la fecha de caducidad o existe un cambio de IP o nombre de host en su consola, puede optar por revertir
a un certificado autofirmado.
Ha especificado lo siguiente:
SSLCertificateFile of /root/updated.certs/cert.cert
SSLCertificateKeyFile of /root/updated.certs/cert.key
6 Configurar QRadar 99
Las direcciones IPv6 están soportadas tanto para los datos de paquete, incluido sFlow, como para
los datos de NetFlow V9. Sin embargo, las versiones anteriores de NetFlow podrían no dar
soporte a IPv6.
Pestaña Actividad de registro
Puesto que Dirección de origen - IPv6 y Dirección de destino - IPv6 no son columnas
predeterminadas, no se visualizan de forma automática. Para visualizar estas columnas, debe
seleccionarlas al configurar los parámetros de búsqueda (definición de columna).
Los DSM pueden analizar las direcciones IPv6 a partir de la carga útil de suceso. Si algún DSM
no puede analizar las direcciones IPv6, puede analizarlas una extensión de origen de registro.
Para obtener más información sobre las extensiones de origen de registro, consulte la publicación
DSM Configuration Guide.
Búsqueda, agrupación y creación de informes sobre los campos de IPv6
Puede buscar sucesos y flujos mediante los parámetros de IPv6 en los criterios de búsqueda.
También puede agrupar y ordenar registros de sucesos y flujos que están basados en parámetros
de IPv6.
Puede crear informes que se basen en datos procedentes de las búsquedas basadas en IPv6.
Reglas personalizadas
En las reglas personalizadas y los componentes básicos, los parámetros IP soportan direcciones
IPv4 e IPv6, a menos que los parámetros estén etiquetados como una cosa u otra, por ejemplo,
SRC IPv6 solo da soporte a direcciones IPv6.
Módulos de soporte de dispositivos (DSM)
Los DSM pueden analizar la dirección IPv6 de origen y de destino de las cargas útiles de sucesos.
Para iniciar la sesión en QRadar en un entorno IPv6 o mixto, escriba la dirección IP entre corchetes. Por
ejemplo, https://[<IP Address>]
Ambos entornos IPv4 e IPv6 pueden utilizar un archivo hosts para la conversión de direcciones. En un
entorno IPv6 o mixto, el cliente resuelve la dirección de la consola por su nombre de host. Debe añadir la
dirección IP de la consola IPv6 al archivo /etc/hosts en el cliente.
Los orígenes de flujo, como NetFlow y sFlow, se aceptan desde direcciones IPv4 e IPv6.Los orígenes de
sucesos, como syslog y SNMP, se aceptan desde direcciones IPv4 e IPv6. Puede inhabilitar los superflujos
y el empaquetado de flujos en un entorno IPv6.
Restricción: De forma predeterminada, no puede añadir un host gestionado solo IPv4 a una consola IPv6
y de modalidad mixta IPv4. Debe ejecutar un script para habilitar un host gestionado solo IPv4.
Procedimiento
1. Instale la consola de IBM Security QRadar seleccionando el direccionamiento IPv6.
2. Después de la instalación, en QRadar Console, escriba el mandato siguiente:
/opt/qradar/bin/setup_v6v4_console.sh
3. Para añadir un host gestionado IPv4, escriba el mandato siguiente:
/opt/qradar/bin/add_v6v4_host.sh
4. Añada el host gestionado mediante el editor de despliegue.
Puede bloquear el acceso SSH desde otros hosts gestionados en su consola, acceso que puede violar
conexiones cifradas.
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP
Puede habilitar respuestas de ping desde el sistema QRadar añadiendo la regla siguiente al archivo
/opt/qradar/conf/iptables.pre.
-A INPUT -p icmp -j ACCEPT
Importante: Puede limitar esta regla a un host específico añadiendo el campo -s source.ip.address.
Puede bloquear un origen de datos como por ejemplo un origen de registro o un origen de datos de
NetFlow durante un tiempo breve en lugar de inhabilitar el dispositivo original. Para bloquear un host
determinado puede añadir una entrada parecida a la siguiente a /opt/qradar/conf/iptables.pre.
Puede redirigir el tráfico de syslog en puertos no estándar al puerto 514 en QRadar Recopilador de
sucesos. Puede utilizar los pasos siguientes para habilitar una regla de iptables para volver a redirigir el
puerto alternativo a 514 en Recopilador de sucesos.
1. Habilite la opción NAT en el kernel de Linux añadiendo o actualizando la línea siguiente en el
archivo /etc/sysctl.conf.
net.ipv4.ip_forward = 1
Nota: Para que los cambios surtan efecto en la regla NAT, deberá reiniciar el servicio.
2. Habilite el reenvío de ip en el kernel activo actual.
echo 1 > /proc/sys/net/ipv4/ip_forward
3. Añada las líneas siguientes a /opt/qradar/conf/iptables-nat.post. Especifique el número de puerto
que desea redirigir como <número_puerto>.
-A PREROUTING -p udp --dport <número_puerto> -j REDIRECT --to-ports 514
-A PREROUTING -p tcp --dport <número_puerto> -j REDIRECT --to-ports 514
4. Especifique el mandato siguiente para reconstruir las iptables.
/opt/qradar/bin/iptables_update.pl
5. Verifique la redirección tecleando el mandato siguiente.
iptables -nvL -t nat
El código siguiente es un ejemplo del aspecto de la salida. Chain PREROUTING (policy ACCEPT 140
packets, 8794 bytes) pkts bytes target prot opt in out source destination 0 0 REDIRECT udp
-- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10529 redir ports 514 0 0 REDIRECT tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:10529 redir ports 514 Chain POSTROUTING (policy ACCEPT 207 packets, 25772
bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 207
packets, 25772 bytes) pkts bytes target prot opt in out source destination
Puede utilizar QRadar Console como pasarela de mensajes de syslog para redirigir sucesos de entrada
configurando reglas en iptables.
1. Habilite la regla de reenvío para un origen de registro en Recopilador de sucesos.
2. Establezca el destino de reenvío del syslog de TCP para que sea la dirección de IP de consola en el
puerto 7780.
3. En la línea de mandato de la consola, añada la regla de iptables siguiente para redirigir a otro host.
iptables -I OUTPUT --src 0/0 --dst 153.2.200.80 -p
tcp --dport 7780 -j REDIRECT --to-ports 514
Puede configurar y comprobar reglas de iptables para IPv4 y IPv6. El procedimiento siguiente indica
cómo puede ajustar manualmente las iptables.
Procedimiento
1. Inicie la sesión en QRadar como usuario root mediante SSH.
Iniciar sesión: <root>
Contraseña: <contraseña>
2. Escriba el mandato siguiente para editar el archivo .pre de iptables de reglas:
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
Se visualiza el archivo de configuración iptables.pre.
3. Escriba el mandato siguiente para editar el archivo .post de iptables de reglas:
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
Se visualiza el archivo de configuración iptables.post.
4. Añada la regla siguiente para QRadar para acceder a un número de puerto específico, donde
número_puerto es el número de puerto:
Para aceptar tráfico de UDP para una entrada de puerto específica:
-A INPUT -m udp -p udp --dport <número_puerto> -j ACCEPT
Para aceptar tráfico de TCP para una entrada de puerto específica:
-A INPUT -m state --state NEW -m tcp -p tcp --dport <número_puerto> -j ACCEPT
5. Guarde la configuración de iptables.
6. Ejecute el script siguiente para propagar los cambios:
/opt/qradar/bin/iptables_update.pl
7. Escriba los mandatos siguientes para comprobar la existencia de iptables:
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v
Retención de datos
Los grupos de retención definen cómo se retienen los datos de sucesos y flujos grandes en IBM Security
QRadar.
Conforme QRadar recibe sucesos y flujos, cada uno se compara con los criterios de filtro de grupos de
retención. Cuando un suceso o un flujo coincide con un filtro de grupo de retención, se almacena en ese
grupo de retención hasta que se agota el periodo de tiempo de la política de supresión. El periodo de
retención predeterminado es 30 días, después de los cuales los datos se suprimen inmediatamente.
Los grupos de retención se ordenan por prioridad de la fila superior a la fila inferior. En el grupo se
almacena un registro que se corresponde con los criterios de filtro con la prioridad más alta. Si el registro
Datos de arrendatario
Puede configurar 10 grupos de retención como máximo para datos compartidos y 10 grupos de retención
como máximo para cada arrendatario.
Cuando entran datos en el sistema, los datos se evalúan para determinar si son datos compartidos o si
pertenecen a un arrendatario. Los datos específicos de arrendatario se comparan con los filtros de grupo
de retención definidos para ese arrendatario. Cuando los datos coinciden con un filtro de grupos de
retención, se almacenan en ese grupo de retención hasta que se agota el periodo de tiempo de la política
de retención.
Para obtener más información sobre la retención de datos del arrendatario, consulte “Políticas de
retención para arrendatarios” en la página 240.
Los cambios en los filtros de grupos de retención de aplican inmediatamente solo a los datos entrantes.
Por ejemplo, si ha configurado un grupo de retención para retener durante un 1 día todos los datos de la
dirección IP de origen 10.0.0.0/8 y posteriormente edita el filtro para retener datos de la IP de origen
192.168.0.1, el cambio no es retroactivo. Inmediatamente después de cambiar el filtro, el grupo de
retención tiene 24 horas de datos de 10.0.0.0/8 y todos los datos que se recopilan después del cambio de
filtro son datos de 192.168.0.1.
La política de retención del grupo se aplica a todos los datos del grupo, independientemente de los
criterios de filtro. Utilizando el ejemplo anterior, si ha cambiado la política de retención de 1 a 7 días,
tanto los datos de 10.0.0.0/8 como los datos de 192.168.0.1 del grupo se retienen durante 7 días.
La Distribución de un grupo de retención indica el uso del grupo de retención como un porcentaje de la
retención de datos total de todos los grupos de retención. La distribución se calcula por arrendatario.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, pulse Retención de sucesos o Retención de flujos.
3. Si ha configurado arrendatarios, en la lista Arrendatario seleccione el arrendatario al que desea que se
aplique el grupo de retención.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
4. Para configurar un grupo de retención nuevo, siga estos pasos:
a. Efectúe una doble pulsación sobre la primera fila vacía de la tabla para abrir la ventana
Propiedades de retención.
b. Configure los parámetros del grupo de retención.
Propiedades Descripción
Nombre Escriba un nombre exclusivo para el grupo de retención.
Conservar los datos El periodo de retención que especifica durante cuánto tiempo se deben conservar los
colocados en este grupo datos. Cuando el periodo de retención se acaba, los datos se suprimen según el
durante parámetro Suprimir datos en este grupo. QRadar no suprime datos dentro del periodo
de retención.
Suprimir datos en este Seleccione Inmediatamente después de transcurrir el periodo de retención para
grupo suprimir datos inmediatamente cuando se alcance el valor del parámetro Conservar los
datos colocados en este grupo durante. Los datos se suprimen en el siguiente proceso
de mantenimiento de disco planificado, independientemente de los requisitos de
almacenamiento de disco.
Los grupos de retención se ordenan por prioridad de la fila superior a la fila inferior en las ventanas
Retención de sucesos y Retención de flujos. Se almacena un registro en el primer grupo de retención que
se corresponde con los parámetros de registro.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
4. Seleccione la fila que corresponde al grupo de retención que desea mover y pulse Subir o Bajar para
moverla a la ubicación correcta.
5. Pulse Guardar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, pulse Retención de sucesos o Retención de flujos.
3. Si ha configurado arrendatarios, en la lista Arrendatario, seleccione el arrendatario para el grupo de
retención que desea cambiar.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
4. Seleccione el grupo de retención que desee inhabilitar y, a continuación, pulse Habilitar/inhabilitar.
Cuando se suprime un grupo de retención, los datos contenidos en el grupo de retención no se eliminan
del sistema; solamente se suprimen los criterios que definen el grupo. Todos los datos se conservan en el
almacenamiento.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, pulse Retención de sucesos o Retención de flujos.
3. Si ha configurado arrendatarios, en la lista Arrendatario, seleccione el arrendatario para el grupo de
retención que desea suprimir.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
Para mostrar notificaciones del sistema en la pantalla, debe configurar el navegador para permitir las
ventanas emergentes y asegurarse de que la ventana emergente Activar notificaciones emergentes esté
seleccionada en las preferencias de usuario ( ). Si inhabilita las notificaciones de escritorio de QRadar,
podrá seguir viendo las notificaciones del sistema en el menú de notificaciones ( ).
Nota: Las notificaciones de navegador son compatibles con Mozilla Firefox, Google Chrome y Microsoft
Edge 10. Microsoft Internet Explorer no admite notificaciones basadas en navegador. Las notificaciones en
Internet Explorer ahora aparecen en un cuadro de notificación de QRadar. El modo en que las
notificaciones aparecen y el tiempo que los mensajes permanecen en la pantalla puede variar entre los
diferentes navegadores.
En la tabla siguiente se describen los parámetros de la ventana Notificaciones globales del sistema.
Tabla 21. Parámetros de la ventana Notificaciones globales del sistema
Parámetro Descripción
Carga del sistema durante 1 minuto Escriba el promedio de carga del sistema del umbral
durante el último minuto.
Carga del sistema durante 5 minutos Escriba el promedio de carga del sistema del umbral
durante los 5 últimos minutos.
Carga del sistema durante 15 minutos Escriba el promedio de carga del sistema del umbral
durante los 15 últimos minutos.
Tiempo promedio en ms para solicitudes de E/S para el Escriba el umbral de tiempo en ms para solicitudes de
dispositivo E/S
Porcentaje de paginación utilizado Escriba el porcentaje del umbral de espacio de
paginación utilizado.
Paquetes recibidos por segundo Escriba el número para el umbral de paquetes recibidos
por segundo.
Paquetes transmitidos por segundo Escriba el número para el umbral de paquetes
transmitidos por segundo.
Bytes recibidos por segundo Escriba el número para el umbral de bytes recibidos por
segundo.
Bytes transmitidos por segundo Escriba el número para el umbral de bytes transmitidos
por segundo.
Errores de recepción Escriba el número para el umbral de paquetes dañados
recibidos por segundo.
Errores de transmisión Escriba el número para el umbral de paquetes dañados
transmitidos por segundo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Notificaciones globales del sistema.
3. Escriba valores para cada parámetro que desee configurar.
4. Por cada parámetro, seleccione Habilitado y Criterios de respuesta y luego seleccione una de las
opciones siguientes:
Opción Descripción
Mayor que Se genera una alerta si el valor del parámetro sobrepasa
el valor configurado.
Menor que Se genera una alerta si el valor del parámetro es inferior
al valor configurado.
Puede personalizar el contenido de las notificaciones por correo electrónico acerca de las respuestas de las
reglas; para ello, edite el archivo alert-config.xml.
Nota: las referencias a los flujos no se aplican a IBM QRadar Log Manager.
Debe crear un directorio temporal en el que pueda editar con seguridad las copias de los archivos, sin
peligro de sobrescribir los archivos predeterminados. Después de editar y guardar el archivo
alert-config.xml, debe ejecutar un script que valide los cambios. El script de validación aplica
automáticamente los cambios en un área intermedia, en la que puede realizar un despliegue mediante el
editor de despliegue de QRadar.
Procedimiento
1. Utilizando SSH, inicie la sesión en QRadar Console como usuario root.
2. Cree un nuevo directorio temporal que se utilizará para editar de forma segura las copias de los
archivos predeterminados.
3. Para copiar los archivos que están almacenados en el directorio custom_alerts en el directorio
temporal, escriba el mandato siguiente:
cp /store/configservices/staging/globalconfig/templates/
custom_alerts/*.* <nombre_directorio>
La opción <nombre_directorio> es el nombre del directorio temporal que ha creado.
4. Confirme que los archivos se han copiado satisfactoriamente:
a. Para listar los archivos en el directorio, escriba ls -lah.
b. Compruebe que el archivo alert-config.xml está en la lista.
5. Abra el archivo alert-config.xml para su edición.
6. Edite el contenido del elemento <template>.
a. Necesario: Especifique el tipo de plantilla que desea utilizar. Las opciones válidas son suceso o
flujo.
<templatetype>event</templatetype>
<templatetype>flow</templatetype>
b. Escriba un nombre para la plantilla de correo electrónico:
<templatename>Default flow template</templatename>
c. Defina el elemento <active> como true:
<active>true</active>
d. Edite los parámetros de los elementos <body> or <subject> para incluir la información que desee
consultar.
7. Opcional: Para crear varias plantillas de correo electrónico, copie y pegue la siguiente plantilla de
correo electrónico de ejemplo debajo del elemento <template> en el archivo alert-config.xml. Repita
el paso 6 con cada plantilla que añada.
${StartTime}
IP de origen: ${SourceIP}
Puerto de origen: ${SourcePort}
Nombre de usuario de origen (desde suceso): ${UserName}
Red de origen: ${SourceNetwork}
IP de destino: ${DestinationIP}
Puerto de destino: ${DestinationPort}
Nombre de usuario de dest (de ident de activo):${DestinationUserName}
Red de destino: ${DestinationNetwork}
Protocolo: ${Protocol}
QID: ${Qid}
CustomPropertiesList: ${CustomPropertiesList}
</body>
<from></from>
<to></to>
<cc></cc>
<bcc></bcc>
</template>
8. Guarde y cierre el archivo alert-config.xml.
9. Para validar los cambios, escriba el siguiente mandato:
/opt/qradar/bin/runCustAlertValidator.sh <nombre_directorio>
El parámetro <nombre_directorio> es el nombre del directorio temporal que ha creado. Si el script
valida los cambios, se mostrará el siguiente mensaje: File alert-config.xml was deployed
successfully to staging!
10. Implemente los cambios en QRadar.
a. Inicie la sesión en QRadar.
b. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
c. Pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando
el servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente.
Se mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en
el momento más conveniente.
Cuando un usuario cierra un delito en la pestaña Delitos, se visualiza la ventana Cerrar delito. Se solicita
al usuario que seleccione una razón en el cuadro de lista Razón del cierre. Aparecen en la lista tres
opciones predeterminadas:
v Ajuste de falsos positivos
v Irrelevante
v Violación de política
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Razones de cierre de delito personalizado.
3. Pulse Añadir.
4. Escriba una razón exclusiva del cierre de los delitos. Las razones deben tener entre 5 y 60 caracteres
de longitud.
5. Pulse Aceptar.
La nueva razón de cierre de delito personalizada aparecerá ahora listada en la ventana Razones de
cierre de delito personalizado. En el cuadro de lista Razón del cierre de la pestaña Delitos de la
ventana Cerrar delito también se muestra la razón personalizada.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Razones de cierre de delito personalizado.
3. Seleccione la razón de cierre del delito que desee editar.
4. Pulse Editar.
5. Escriba una razón exclusiva del cierre de los delitos. Las razones deben tener entre 5 y 60 caracteres
de longitud.
6. Pulse Aceptar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Razones de cierre de delito personalizado.
3. Seleccione la razón de cierre del delito que desee suprimir.
4. Pulse Suprimir.
5. Pulse Aceptar.
Gestión de índices
Utilice la Gestión de índices para controlar la indexación de la base de datos en las propiedades de
suceso y flujo. Para mejorar la velocidad de las búsquedas de IBM Security QRadar, restrinja los datos
generales añadiendo un campo indexado en la consulta de búsqueda.
Utilice primero la indexación de las propiedades de suceso y flujo para optimizar las búsquedas. Puede
habilitar la indexación en cualquier propiedad que aparezca listada en la ventana Gestión de índices y
puede habilitar la indexación en más de una propiedad. Cuando se inicia una búsqueda en QRadar, el
motor de búsqueda filtra primero el conjunto de datos por las propiedades indexadas. El filtro indexado
elimina partes del conjunto de datos y reduce el volumen de datos y el número de registros de suceso o
de flujo en los que se debe buscar. Sin filtros, QRadar tarda más en devolver los resultados de conjuntos
de datos grandes.
Por ejemplo, si busca todos los registros de los últimos seis meses que coinciden con el texto: La
operación no está permitida. De forma predeterminada, QRadar almacena la indexación de texto
completo de los últimos 30 días. Por lo tanto, para realizar una búsqueda dentro de los últimos 6 meses,
el sistema debe volver a leer cada valor de carga útil de cada suceso o flujo de ese intervalo de tiempo
para encontrar coincidencias. Los resultados se visualizan más rápido cuando busca con un filtro de valor
indexado como por ejemplo Tipo de origen de registro, Nombre de suceso o IP de origen.
Para habilitar la indexación de carga útil, debe habilitar la indexación en la propiedad Filtro rápido.
Habilitación de índices
La ventana Gestión de índices lista todas las propiedades de sucesos y flujos que se pueden indexar y
proporciona estadísticas de las propiedades. Las opciones de la barra de herramientas permiten habilitar
e inhabilitar la indexación en las propiedades de sucesos y flujos.
La modificación de la indexación de base de datos puede disminuir el rendimiento del sistema. No olvide
supervisar las estadísticas de índice después de habilitar la indexación en varias propiedades.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de índices.
3. Seleccione una o más propiedades en la lista de Gestión de índices.
4. Seleccione una de las opciones siguientes:
5. Pulse Guardar.
6. Pulse Aceptar.
Resultados
En las listas que incluyan propiedades de sucesos y flujos, os nombres de las propiedades indexadas se
añaden con el texto siguiente: [Indexed]. Algunos ejemplos de estas listas son los parámetros de
búsqueda en las páginas de criterios de búsqueda Actividad de registro y Actividad de red y la ventana
Añadir filtro.
Restricción: La indexación de carga útil aumenta los requisitos de almacenamiento en disco y puede
afectar al rendimiento del sistema. Habilite la indexación de carga útil si el despliegue cumple las
condiciones siguientes:
v Los procesadores de sucesos y flujos tienen una utilización de disco inferior al 70%.
v Los procesadores de sucesos y flujos tienen una velocidad de sucesos por segundo (EPS) o de flujos
por interfaz (FPI) inferior al 70% de la velocidad máxima.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de índices.
Para gestionar los índices de carga útil, consulte el apartado “Configuración del periodo de retención
para los índices de carga útil”.
Antes de empezar
Los dispositivos virtuales y físicos necesitan 24 GB de RAM como mínimo para habilitar la indexación de
carga útil completa. Sin embargo, se sugiere utilizar 48 GB de RAM.
Los valores de RAM mínimos sugeridos son aplicables a todos los sistemas de QRadar, como por ejemplo
los dispositivos 16xx, 17xx o 18xx que procesan sucesos o flujos.
Los valores de retención reflejan los intervalos de tiempo en los que normalmente se realizan búsquedas.
El periodo de retención mínimo es 1 día el máximo es 2 años.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Valores del sistema.
3. En la sección Valores de base de datos, seleccione un periodo de tiempo de retención de la lista
Retención de índice de carga útil.
4. Pulse Guardar.
5. Cierre la ventana Valores del sistema.
6. En la pestaña Admin, pulse en Desplegar cambios.
Si retiene índices de carga útil durante más tiempo que el valor predeterminado, se utiliza espacio de
disco adicional. Después de seleccionar un valor mayor en el campo Retención de índice de carga útil,
supervise las notificaciones del sistema para asegurarse de que no se llena el espacio de disco.
Antes de establecer restricciones de recursos, tenga en cuenta los procedimientos operativos normales de
su entorno. Intente establecer restricciones que aseguren que todos los usuarios tengan acceso a los datos
que necesitan pero que impidan que sin querer, ejecuten grandes consultas que afecten negativamente a
la disponibilidad del sistema y al rendimiento para otros usuarios.
Las restricciones de recursos se aplican por el orden siguiente: usuario, rol de usuario y arrendatario. Por
ejemplo, las restricciones establecidas para un usuario tienen preferencia sobre las restricciones
establecidas para el rol de usuario o el arrendatario al que está asignado el usuario.
Puede establecer los tipos de restricciones siguientes sobre búsquedas de sucesos y flujos:
v El tiempo durante el que se ejecuta una búsqueda antes de que se devuelvan datos
v El intervalo de tiempo de los datos en los que se realiza la búsqueda
v El número de registros procesados por el servidor de consulta de Ariel
Las restricciones basadas en usuario definen límites para un usuario individual y tienen preferencia sobre
las restricciones de rol y arrendatario.
Por ejemplo, su organización contrata estudiantes universitarios para trabajar con los analistas junior del
Centro de operaciones de seguridad. Los estudiantes tienen el mismo rol de usuario que el resto de
analistas junior, pero aplica restricciones basadas en usuario más restrictivas hasta que los estudiantes
están adecuadamente formados en la creación de consultas de QRadar.
Las restricciones basadas en rol permiten definir grupos de usuarios que necesitan diferentes niveles de
acceso al despliegue de QRadar. Al establecer restricciones basadas en rol, puede equilibrar las
necesidades de diferentes tipos de usuarios.
Por ejemplo, un analista de seguridad puede centrarse en los incidentes de seguridad que se han
producido recientemente, mientras que un analista de seguridad senior puede estar más implicado en las
investigaciones forenses que revisan datos a lo largo de un periodo de tiempo más amplio. Al establecer
restricciones basadas en rol, puede limitar el acceso de un analista junior solo a los últimos 7 días de
datos, mientras que un analista senior tiene acceso a los datos de un intervalo de tiempo más grande.
Como MSSP, puede definir restricciones de recurso estándar basadas en un conjunto de criterios con los
que se compara cada arrendatario. Por ejemplo, la configuración estándar para un arrendatario de
Cuando ejecuta una búsqueda en IBM Security QRadar, la búsqueda se ejecuta en todos los nodos al
mismo tiempo. Cada host gestionado ejecuta la búsqueda y envía los resultados agregados a la consola
de QRadar cuando la búsqueda finaliza o cuando alcanza el número de filas predefinido.
Es importante entender cómo las restricciones de recursos que establece pueden afectar a los resultados
de la búsqueda que se devuelven para un usuario:
Búsquedas canceladas
Cada host gestionado comprueba periódicamente el estado del límite de restricción de recursos.
Si se alcanza el límite, la búsqueda se cancela automáticamente para evitar la inclusión en
memoria caché y la reutilización de resultados incompletos.
Los resultados recopilados antes de que el sistema cancelara la búsqueda se pueden ver pulsando
Buscar > Gestionar resultados de búsqueda en la pestaña Actividad de registro o Actividad de
red.
Resultados de la búsqueda vacíos
Cuando establece restricciones de límite de tiempo o de límite de registros, la agregación remota
puede hacer que la consola de QRadar alcance el límite de restricción de recursos antes de que el
host gestionado envíe el agregado parcial a la consola. En esta situación, puede parecer que los
resultados de la búsqueda estén vacíos aunque se hayan recopilado algunos datos.
Resultados de la búsqueda incoherentes
QRadar supervisa la carga en cada host gestionado y gestiona la búsqueda para garantizar un
rendimiento optimizado en todo el despliegue. En función de la carga del sistema, las búsquedas
que se ejecutan repetidamente pueden mostrar resultados ligeramente diferentes debido a que los
hosts gestionados devuelven los datos por un orden diferente.
Por ejemplo, en un despliegue con seis procesadores de sucesos, EP1, EP3 y EP5 pueden los
primeros procesadores en devolver datos en la ejecución inicial. En ejecuciones posteriores, EP2,
EP4 y EP6 pueden devolver datos primero, lo que provoca resultados de la búsqueda
incoherentes.
En función de la frecuencia con la que los usuarios alcanzan las restricciones de recurso, puede ajustar los
límites para evitar tener que impedir que los usuarios ejecuten búsquedas razonables para cumplir con
los requisitos de su trabajo. Los usuarios que sistemáticamente ejecutan búsquedas que fuerzan el sistema
pueden necesitar más formación en la creación de consultas de QRadar. Para obtener más información,
consulte la publicación IBM Security QRadar Ariel Query Language Guide.
Los usuarios que ejecutan búsquedas limitadas por restricciones de recursos ven el icono de restricción de
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Restricciones de recursos.
3. Si el despliegue tiene arrendatarios configurados, pulse Rol o Arrendatario para especificar el tipo de
restricciones a establecer.
4. Efectúe una doble pulsación sobre el rol o el arrendatario para el que desea establecer restricciones.
5. Para establecer restricciones para todos los usuarios asignados al rol de usuario o al arrendatario, siga
estos pasos:
a. Pulse la fila de resumen en la parte superior para abrir el cuadro de diálogo Editar restricción.
b. Pulse Habilitado para el tipo de restricción que desea establecer, y especifique los valores de
restricción.
c. Pulse Guardar.
6. Para establecer restricciones para un usuario específico, siga estos pasos:
a. Efectúe una doble pulsación sobre el usuario para el que desea establecer las restricciones. Para
buscar un usuario, escriba el nombre de usuario en el campo de filtro.
b. Pulse Habilitado para el tipo de restricción que desea establecer, y especifique los valores de
restricción.
c. Pulse Guardar.
Nodos de aplicaciones
Disponga un nodo de aplicaciones para proporcionar almacenamiento, memoria y recursos de CPU
adicionales para las aplicaciones sin que ello afecte a la capacidad de proceso de QRadar Console. Las
aplicaciones como UBA (User Behavior Analytics) requieren más recursos de los que hay disponibles
actualmente en QRadar Console.
Instale un nodo de aplicaciones utilizando la ventana Gestión de nodos en la pestaña QRadar Admin.
Puede utilizar cualquier sistema que ejecute RHEL 7.3 o CentOS 7.3 como nodo de aplicaciones. El
proceso de configuración de nodos instala y configura todo el software necesario. Las aplicaciones que se
han instalado en QRadar Console se transfieren al nodo de aplicaciones cuando se añade.
Nota: Los hosts gestionados de QRadar no se pueden utilizar como nodos de aplicaciones. Debe utilizar
un host externo para el nodo de aplicaciones y solo puede utilizar un nodo de aplicaciones en una
implementación de QRadar.
Conceptos relacionados:
“Copia de seguridad y restauración de aplicaciones” en la página 199
IBM Security QRadar proporciona una forma realizar una copia de seguridad de configuraciones de
aplicación y de restaurarlas aparte de los datos de aplicación.
El software de nodo de aplicaciones se instala desde QRadar Console. Las aplicaciones que están
instaladas en QRadar Console se transfieren a su nodo de aplicaciones la primera vez que añade un
nodo.
Para configurar un servidor físico o una máquina virtual como nodo de aplicaciones, se deben cumplir
los requisitos siguientes:
Especificación del servidor de nodo de aplicaciones
El servidor de nodo de aplicaciones debe tener al menos las siguientes especificaciones:
v 12 GB de memoria
v 4 CPUs
v 256 GB de almacenamiento
Nota: El RPM (RPM Package Manager) protobuf no se incluye en los repositorios habilitados
para las instalaciones de RHEL. Asegúrese de que los repositorios opcionales estén habilitados
para instalar el RPM protobuf.
Para listar los repositorios a los que está suscrito, especifique el siguiente mandato:
Creación del usuario del nodo de aplicaciones y configuración del acceso sudo
sin contraseña
Cree el usuario y la contraseña del nodo de aplicaciones y, a continuación, configure sudo sin contraseña
para el usuario del nodo de aplicaciones para aumentar la eficacia y la seguridad.
Procedimiento
1. Para crear un usuario del nodo de aplicaciones, especifique los siguientes mandatos:
useradd <usuario_nodo_aplicaciones>
passwd <usuario_nodo_aplicaciones>
2. Especifique visudo para editar el archivo /etc/sudoers y añada la línea siguiente al final del archivo:
<usuario_nodo_aplicaciones> ALL=(ALL) <tab> NOPASSWD: ALL
El archivo sudoers contiene las reglas que deben seguir los usuarios cuando utilizan el mandato sudo.
3. Guarde y cierre el archivo.
La siguiente lista muestra mandatos útiles que puede utilizar para ayudarle en la configuración del nodo
de aplicaciones y para verificar el estado de las aplicaciones:
Verifique que sudo funciona sin contraseña en el nodo de aplicaciones
Por ejemplo, sudo cat /etc/hosts
Para probar el acceso sudo utilizando la cuenta de usuario root, especifique el siguiente mandato:
sudo -u <usuario_nodo_aplicaciones> cat /etc/hosts
Conéctese al nodo de aplicaciones desde QRadar Console
Utilice un cliente SSH como, por ejemplo, Putty para conectarse al nodo de aplicaciones desde
QRadar Console.
ssh <usuario_nodo_aplicaciones>@<dirección_IP_nodo_aplicaciones>
Por ejemplo, ssh usuario_nodo_aplicaciones@172.16.2.2
Aparece el siguiente mensaje para el nodo de aplicaciones: [usuario_nodo_aplicaciones@control-
01 ~]$ o [root@control-01 ~]$ si inicia la sesión como el usuario root.
Liste las aplicaciones
Vaya al directorio /opt/qradar/support/ en QRadar Console y especifique el siguiente mandato
para listar las aplicaciones instaladas:
qapp_utils_730.py ps
A continuación, se muestra un ejemplo donde el mandato se ejecuta desde el directorio
/opt/qradar/support/ en QRadar Console:
[root@my_console support]# ./qapp_utils_730.py ps
Collecting app data........ Complete!
Id Name Container Container Image Container ip:port Host ip:port ABCDEFGHI
1053 QRadar App Editor 5dca41d9e5e1 qregi...1053:2.0-release 169.254.3.5:5000 9.181.234.86:25568 +++++++++
1054 Hello World - 3455555f3070 qregi.../qapp/1054:1.0.2 169.254.3.6:5000 9.181.234.86:7072 +++++++++
1055 QRadar Vuln app b79118c4cb0 qregi...44/qapp/1055:1.0 169.254.3.3:5000 9.181.234.86:25600 +++++++++
También puede ejecutar este mandato en QRadar Console antes de configurar el nodo de
aplicaciones para listar los contenedores de Docker.
Verifique que se estén ejecutando los servicios de Docker
systemctl status docker
Acceda a la línea de mandatos de las aplicaciones
Acceda a la línea de mandatos de las aplicaciones instaladas utilizando el ID de contenedor de la
aplicación.
Especifique el mandato /opt/qradar/support/qapp_utils_730.py ps para mostrar una lista de los
contenedores de aplicación en ejecución. El siguiente ejemplo muestra una aplicación instalada y
en ejecución.
Id Name Container Container Image Container ip:port Host ip:port ABCDEFGHI
1053 QRadar App Editor 5dca41d9e5e1 qregi...1053:2.0-release 169.254.3.5:5000 9.181.234.86:25568 +++++++++
Antes de empezar
Procedimiento
1. En la pestaña Admin, pulse Gestión de nodos.
2. Para añadir un nodo de aplicaciones, pulse Añadir en la ventana Gestión de nodos y añada la
información de dirección IP de nodo, usuario y contraseña.
El producto solicita entonces que confirme la información de clave ssh de host para el nodo que está
creando. El proceso de instalación tarda hasta 30 minutos en completarse. Para obtener información
sobre el proceso de instalación conforme se está produciendo, pulse Detalles.
El proceso de configuración del nodo de aplicaciones mueve las aplicaciones que haya instalado en
QRadar Console al nodo de aplicaciones.
Nota: El nodo de aplicaciones cambia el estado de todas las aplicaciones que estaban en ejecución o
detenidas en QRadar Console a un estado en ejecución cuando se mueven.
Puede utilizar la ventana Gestión de extensiones para instalar aplicaciones en el nodo de aplicaciones que
configura. Las aplicaciones que instale en el futuro se instalarán en el nodo de aplicaciones y no en
QRadar Console.
Procedimiento
En la ventana Gestión de nodos, seleccione el nodo que desea eliminar en la tabla Gestión de nodos y
pulse Eliminar.
v Para mover aplicaciones del nodo de aplicaciones a QRadar Console, seleccione el tipo de eliminación
Revertir a consola.
El producto intenta mover aplicaciones a QRadar Console si hay espacio de disco disponible para ellas.
El orden en el que se mueven las aplicaciones está determinado por su tamaño (incluyendo los datos
asociados). Las aplicaciones más pequeñas se mueven primero. Puesto que es probable que el espacio
disponible para aplicaciones en QRadar Console sea menor que en el nodo de aplicaciones, no podrá
transferir todas las aplicaciones. Utilice la ventana Gestión de extensiones para suprimir aplicaciones
que ya no necesite del nodo de aplicaciones antes de seleccionar la opción de eliminación Revertir a
consola.
De forma predeterminada, hasta el 10% de la memoria disponible de QRadar Console y hasta el 90%
de la partición /store de QRadar Console está disponible para aplicaciones.
v Para conservar las aplicaciones en el nodo de aplicaciones, seleccione el tipo de eliminación Modalidad
de mantenimiento.
Modalidad de mantenimiento elimina la entrada de nodo de aplicaciones de la tabla Gestión de
nodos y detiene las aplicaciones del nodo de aplicaciones. Las aplicaciones se reinician cuando vuelve
a añadir el nodo de aplicaciones.
Para obtener más información sobre el proceso de eliminación conforme éste progresa, pulse Detalles.
Los archivos hash se generan en la memoria antes de que los archivos se graben en el disco de modo que
los registros de sucesos y flujo no se pueden alterar antes de que se generen los archivos hash
Antes de empezar
Asegúrese de que el hashing de registro está habilitado para el sistema IBM Security QRadar. Para
obtener información sobre la habilitación de los parámetros de hashing de registro de flujo o de hashing
de registro de sucesos, consulte Configuración de los valores del sistema.
Debe iniciar la sesión en el sistema que tiene el almacén de datos de sucesos y flujos y ejecutar un
programa de utilidad para comprobar los registros. No puede comprobar la integridad del registro en la
interfaz del visor de sucesos y flujo.
Esta tabla describe los parámetros utilizados con el programa de utilidad check_ariel_integrity.sh.
Tabla 23. Parámetros para el programa de utilidad check_ariel_integrity.sh
Parámetro Descripción
-d Duración en minutos de los datos del archivo de registro a explorar. El periodo de tiempo
precede inmediatamente a la hora final especificada mediante el parámetro -t. Por ejemplo, si se
especifica -d 5, se exploran todos los datos de registro recopilados cinco minutos antes de la hora
final -t.
-n La base de datos de QRadar a explorar. Las opciones válidas son sucesos y flujos.
-t La hora final de la exploración. El formato de la hora final es “aaaa/mm/dd hh:mm” donde hh se
especifica en formato de 24 horas. Si no se especifica ninguna hora final, se utiliza la hora actual.
-a Algoritmo hash a utilizar. Este algoritmo debe ser el mismo que se utilizó para crear las claves de
hash. Si no se especifica ningún algoritmo, se utiliza SHA-1.
-r La ubicación del hashing de registro. Este argumento solo es necesario cuando el hashing de
registro no está en la ubicación especificada en el archivo de configuración /opt/qradar/conf/
arielConfig.xml.
-k La clave utilizada para el cifrado Hash-based Message Authentication Code (HMAC). Si no
especifica ninguna clave HMAC y el sistema está habilitado para el cifrado HMAC, el script
check_ariel_integrity.sh toma de forma predeterminada la clave especificada en los valores del
sistema.
-h Muestra el mensaje de ayuda para el programa de utilidad de check_ariel_integrity.sh.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Para ejecutar el programa de utilidad, teclee el mandato siguiente:
/opt/qradar/bin/check_ariel_integrity.sh -d <duración> -n <nombre de base de datos>
[-t <hora final>] [-a <algoritmo hash>] [-r <directorio raíz de hash>] [-k <clave hmac>]
Por ejemplo, para validar los últimos 10 minutos de datos de suceso, teclee el mandato siguiente:
/opt/qradar/bin/check_ariel_integrity.sh -n events -d 10
Si se devuelve un mensaje ERROR o ANÓMALO, la clave hash generada a partir de los datos actuales del disco
no coincide con la clave hash creada cuando los datos se grabaron en el disco. O bien la clave, o bien los
datos se han modificado.
Utilice acciones personalizadas para seleccionar o definir el valor que se pasa al script y la acción
resultante.
Por ejemplo, puede escribir un script para crear una regla de cortafuegos que bloquee una dirección IP de
origen de la red en respuesta a una regla que se desencadena mediante un número definido de intentos
de inicio de sesión fallidos.
Los ejemplos siguientes son acciones personalizadas resultantes de pasar valores a un script:
v Bloquear usuarios y dominios.
v Iniciar flujos de trabajo y actualizaciones en sistemas externos.
v Actualizar servidores TAXI con una representación STIX de una amenaza.
Las acciones personalizadas funcionan mejor con sucesos de reglas personalizadas de bajo volumen y con
reglas personalizadas que tienen un valor limitador de respuesta bajo.
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la pestaña Acciones personalizadas, pulse Definir acciones.
3. Para cargar scripts, pulse Añadir. Las versiones de lenguajes de programación soportadas por el
producto se indican en la lista Intérprete.
Para poder garantizar la seguridad del despliegue, QRadar no da soporte a la gama completa de
funciones de script suministradas por los lenguajes Python, Perl o Bash.
4. Especifique los parámetros que se pasan al script que ha cargado.
Tabla 24. Parámetros de acción personalizada
Parámetro Descripción
Propiedad fija Los valores que se pasan al script de acción personalizada.
Cuando se ejecutan los scripts de acción personalizada, se configura un chroot jail en el directorio
/opt/qradar/bin/ca_jail/. Los scripts pueden modificar y escribir en cualquier contenido del directorio
/opt/qradar/bin/ca_jail/, incluso se puede modificar el directorio de inicio del usuario de acción
personalizada (/home/customactionuser).
Un script solo se puede ejecutar desde dentro del entorno jail, de forma que no interfiera con el entorno
de ejecución de QRadar.
Es posible que la cuenta de usuario de acción personalizada no tenga permiso para ejecutar mandatos de
seguimiento, tales como iniciar sesión en un cortafuegos y bloquear una dirección IP. Pruebe si el script
se ejecuta satisfactoriamente antes de asociarlo a una regla.
Los scripts de acción personalizados se ejecutan en un entorno de prueba, aislado del entorno de
producción. Los scripts de acción personalizados se ejecutan en el host gestionado que ejecuta el
procesador de sucesos. Sin embargo, si tiene un dispositivo All-In-One, las acciones personalizadas se
ejecutan en la QRadar Console.
La Ejecución de prueba sólo está soportada en QRadar Console y no está soportada en hosts
gestionados.
Si tiene que grabar en disco desde un script de acción personalizada, debe utilizar el directorio siguiente:
/home/customactionuser.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Acciones personalizadas, pulse Definir acciones.
3. Seleccione una acción personalizada y pulse Ejecución de prueba > Ejecutar para probar el script. Se
devolverá el resultado de la prueba y cualquier salida generada por el script.
4. Después de configurar y probar la acción personalizada, utilice el Asistente de reglas para crear una
regla de suceso nueva y asociar la acción personalizada con ella.
Para obtener más información sobre reglas de suceso, consulte Guía del usuario de IBM Security QRadar.
Estos parámetros de configuran en el área Parámetros de script de la ventana Definir una acción
personalizada:
Las variables que se han definido al principio de cada uno de los scripts de ejemplo utilizan los nombres
de parámetro de ejemplo que se han añadido en la ventana Definir acción personalizada.
#!/bin/bash
console_ip=$1
api_token=$2
offense_source_ip=$3
auth_header="SEC:$api_token"
Figura 5. call_asset_model.sh
#!/usr/bin/python
import sys
import requests
console_ip = sys.argv[1]
api_token = sys.argv[2]
offense_source_ip = sys.argv[3]
endpoint = "https://{0}/console/restapi/api/asset_model/
assets?filter=interfaces%20contains%20%28%20ip_addresses
%20contains%20%28%20value%20%3D%20%22{1}%22%29%29"
.format(console_ip, offense_source_ip)
Figura 6. call_asset_model.py
my $console_ip = $ARGV[0];
my $api_token = $ARGV[1];
my $offense_source_ip = $ARGV[2];
my $endpoint = "https://$console_ip/console/restapi/api/asset_model/
assets?filter=interfaces%20contains%20%28%20ip_addresses
%20contains%20%28%20value%20%3D%20%22$offense_source_ip%22%29%29";
Figura 7. call_asset_model.pl
Para obtener más información sobre cómo autenticar la API utilizando servicios autorizados, consulte
IBM Security QRadar API Guide.
Conceptos relacionados:
12, “Gestión de servicios autorizados”, en la página 183
En la pestaña Admin pueden configurarse servicios autorizados para autenticar una llamada de API para
el despliegue de IBM Security QRadar.
La Vista de datos agregados debe generar datos para las reglas de ADE, los gráficos de series temporales
y los informes.
En la columna ID de datos agregados pueden aparecer vistas duplicadas porque una vista de datos
agregados puede incluir varias búsquedas.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de datos agregados.
3. Para filtrar la lista de vistas de datos agregados, lleve a cabo lo indicado en una de las siguientes
opciones:
v Seleccione una opción de la lista Vista, Base de datos, Mostrar o Visualizar.
v Escriba un ID de datos agregados, un nombre de informe, un nombre de gráfica o nombre de
búsqueda guardada en el campo de búsqueda.
Procedimiento
1. Localice una búsqueda guardada.
a. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
b. En la sección Configuración del sistema, pulse Gestión de datos agregados.
c. Bajo la columna Nombre de búsqueda guardada, registre un nombre de búsqueda guardada de la
lista.
2. Consulte la API REST de QRadar para buscar un ID de búsqueda.
a. Inicie la sesión en la API de QRadar, https://<IP de consola>/api_doc como administrador.
b. Pulse la versión más reciente de la API de QRadar.
c. Pulse el punto final /ariel/searches.
d. Pulse POST.
e. En el campo de parámetro query_expression, escriba el mandato siguiente: select * from
GLOBALVIEW(’búsqueda_guardada’,’rango_tiempo’)
Utilice uno de los valores siguientes para la variable rango_tiempo:
NORMAL
HOURLY
DAILY
El ejemplo siguiente muestra la consulta de Orígenes de registro principales con un rango de
tiempo de los dos últimos días:
select * from GLOBALVIEW(’Orígenes de registro principales’,’DAILY’) last 2 days
El Editor de DSM proporciona información en tiempo real para que sepa si la personalización funciona
tal como se espera.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Espacio de trabajo
El Espacio de trabajo muestra datos de sucesos en bruto. Puede utilizar cargas útiles de suceso para
probar el comportamiento del tipo de o después el área Espacio de trabajo muestra los datos que captura
en tiempo real..
Todos los sucesos de ejemplo se envían desde el espacio de trabajo al Simulador de DSM, donde se
analizan las propiedades y se realizan búsquedas en las correlaciones de QIDup. Los resultados se
muestran en la sección Vista previa de la actividad de registro. Haga clic en el icono de edición para
abrir el modo de edición.
En la modalidad de edición, puede pegar directamente hasta 100.000 caracteres de datos de sucesos en el
espacio de trabajo o editar los datos directamente. Al editar las propiedades en la pestaña de
Propiedades, las coincidencias de la carga útil se resaltan en el espacio de trabajo. Las propiedades
personalizadas y las propiedades del sistema alteradas temporalmente también se resaltan en el Espacio
de trabajo.
La Vista previa de la actividad de registro simula el aspecto que las cargas útiles del espacio de trabajo
tienen en el visor de Actividad de registro. Se visualiza cada propiedad estándar soportada. Los campos
marcados con un asterisco (*), por ejemplo, Nombre de suceso, Gravedad, Categoría de nivel inferior y
QID se llenan desde la correlación de QID. Los campos que se llenan desde la correlación de QID no se
pueden analizar al pie de la letra a partir de los datos de sucesos en bruto del espacio de trabajo, de
forma que no se pueden definir ni editar. Puede ajustar los valores correspondientes seleccionando la
combinación de ID y categoría de suceso correspondiente en la pestaña Correlaciones de sucesos. A
continuación, haga clic en Editar para volver a correlacionar un suceso con un registro QID que existe en
el sistema o en un QID recientemente creado.
Propiedades
Las coincidencias de la carga útil se resaltan en los datos de suceso del espacio de trabajo. El color del
resaltado es de dos tonos, según lo que se captura. Por ejemplo, el resaltado naranja representa el valor
de grupo de captura mientras que el resaltado amarillo brillante representa el resto de la expresión
regular especificada. El comentario del espacio de trabajo muestra si tiene la expresión regular correcta. Si
una expresión está en el foco, el resaltado del espacio de trabajo solo refleja lo que puede coincidir con
esa expresión. Si la propiedad general está en el foco, el resaltado se vuelve verde y muestra lo que
puede coincidir con el conjunto de expresiones agregadas teniendo en cuenta el orden de prioridad.
En el campo Serie de formato, los grupos de capturas están representados por la notación $<número>.
Por ejemplo, $1 representa el primer grupo de capturas de la expresión regular, $2 es el segundo grupo
de capturas, etc.
Puede añadir varias expresiones regulares a la misma propiedad y puede asignar la preferencia
arrastrando y soltando las expresiones en la parte superior de la lista.
Un icono de aviso junto a cualquiera de las propiedades indica que se ha añadido ninguna expresión.
Pestaña Configuración
Puede configurar el descubrimiento de propiedades automático para datos estructurados que están en
formato JSON. Los tipos de origen de registro tienen el descubrimiento de propiedades automático
desactivado de forma predeterminada.
Nota: Para inspeccionar sucesos para un tipo de origen de registro, debe asegurarse de establecer el valor
de Umbral de finalización de descubrimiento como 0.
Conceptos relacionados:
Las propiedades del sistema no se pueden suprimir pero puede alterar temporalmente el comportamiento
predeterminado. Hay dos tipos de propiedades del sistema:
Propiedad del sistema predefinida
Visualiza el comportamiento de QRadar predeterminado que se utiliza para el DSM.
Propiedad del sistema de alteración temporal
Las propiedades del sistema con una alteración temporal configurada (extensión de origen de
registro) muestran Alteración temporalmente en la línea de estado. Cuando una propiedad del
sistema tiene una alteración temporal, una extensión de origen de registro para ese DSM utiliza
las expresiones regulares especificadas para la configuración.
Propiedades personalizadas
Las propiedades personalizadas difieren de las propiedades del sistema de estas formas:
v En las propiedades personalizadas, se muestra Personalizada debajo del nombre.
v Las propiedades personalizadas no tienen el recuadro de selección Alterar temporalmente
comportamiento del sistema.
v Para hacer que una propiedad personalizada esté disponible para las reglas y la indexación de
búsquedas, seleccione el recuadro Habilitar esta propiedad para utilizarla en la indexación de
búsquedas y en reglas al crear una propiedad personalizada.
Nota: Cuando selecciona esta opción, QRadar intenta extraer la propiedad de los sucesos en cuanto
entran en el conducto. La información de propiedad extraída y el resto del registro de sucesos
persisten. No es necesario volver a extraer la propiedad cuando se utiliza en una búsqueda o informe.
Este proceso mejora el rendimiento cuando se recupera la propiedad, pero puede tener un impacto
negativo sobre el rendimiento durante la recopilación y el almacenamiento de sucesos.
v Las propiedades personalizadas deben tener una o más expresiones para ser válidas.
Conceptos relacionados:
“Visión general Editor de DSM” en la página 133
En lugar de crear manualmente una extensión de origen de registro para arreglar problemas de análisis o
ampliar el soporte para tipos de origen de registro nuevos, utilice el Editor de DSM. El Editor de DSM
proporciona vistas diferentes de los datos. Puede utilizar el Editor de DSM para extraer campos, definir
propiedades personalizadas, categorizar sucesos y definir un definición de QID nueva.
“Definiciones de propiedad personalizada en el Editor de DSM” en la página 140
Puede definir una propiedad personalizada y reutilizar la misma propiedad en un DSM distinto. Utilice
estas propiedades en búsquedas, reglas y para especificar comportamiento definido por el usuario para
Cuando sustituya el comportamiento de una propiedad del sistema, debe proporcionar una expresión
regular o JSON válida en la pestaña Propiedades. El campo Serie de formato es una combinación de
grupos de captura de expresión regular y caracteres literales. Esta serie se utiliza para cumplimentar
propiedades del sistema con uno o varios valores capturados de sucesos y con más caracteres de formato
o información inyectada. Por ejemplo, puede analizar una dirección IP y un puerto para combinarlos en
una serie. Si la expresión regular tiene dos grupos de captura, puede combinarlos mediante esta serie de
formato: $1:$2.
Atención: El Editor de DSM permite capturar referencias de grupo del 1 al 9 en cualquier coincidencia
específica dada. Si hace referencia a cualquier grupo por encima del 9, la extensión de origen de registro
no funcionará correctamente.
Debe configurar cada propiedad personalizada que crea. Debe proporcionar una expresión regular o
JSON y un grupo de captura válidos para una propiedad personalizada en la pestaña Propiedades.
También puede definir la selectividad y habilitar o inhabilitar su expresión.
Conceptos relacionados:
“Definiciones de propiedad personalizada en el Editor de DSM” en la página 140
Puede definir una propiedad personalizada y reutilizar la misma propiedad en un DSM distinto. Utilice
estas propiedades en búsquedas, reglas y para especificar comportamiento definido por el usuario para
analizar valores en esos campos.
Un grupo de capturas es cualquier expresión regular encerrada entre paréntesis. Para hacer referencia a
un grupo de capturas se utiliza una notación $n, donde n es un número de grupo que contiene una
expresión regular (regex). Puede definir varios grupos de capturas.
Por ejemplo, tiene una carga útil con las variables company y hostname.
"company":"ibm", "hostname":"localhost.com"
"company":"ibm", "hostname":"johndoe.com"
Puede personalizar el nombre de host de la carga útil para que visualice ibm.hostname.com mediante
grupos de capturas.
1. En el campo regex, especifique la expresión regular siguiente:
"company":"(.*?)".*"hostname":"(.*?)"
2. En el campo Serie de formato, especifique el grupo de capturas $1.$2 donde $1 es el valor de la
variable company (en este caso ibm) y $2 es el valor del nombre de host de la carga útil.
Se da la salida siguiente:
ibm.localhost.com
ibm.johndoe.com
Por ejemplo, considere un suceso de inicio de sesión simple generado por un dispositivo o una
aplicación. El dispositivo puede informar de la cuenta de usuario que ha iniciado la sesión, la hora a la
que se ha producido el inicio de sesión y la dirección IP del sistema desde el que el usuario ha iniciado la
sesión. Un suceso de estilo par nombre/valor tendrá el aspecto del fragmento siguiente:
<13>Sep 09 22:40:40 9.2.45.12 action=login accountname=JohnDoe clientIP=9.21.23.24
timestamp=01/09/2016 22:40:39 UTC
Nota: La serie "<13>Sep 09 22:40:40 9.2.45.12" es una cabecera syslog. La serie no forma parte del cuerpo
del suceso.
La tabla siguiente muestra cómo se pueden capturar las propiedades del ejemplo de registro bien
estructurado especificado más arriba:
Tabla 26. Expresión regular para capturar propiedades de un registro bien estructurado
Propiedad Expresión regular
action action=(.*?)\t
accountname accountname=(.*?)\t
clientIP clientIP=(.*?)\t
timestamp timestamp=(.*?)\t
Los patrones que están encerrados entre corchetes denotan el grupo de capturas. Cada expresión regular
de la tabla captura todo después del signo igual (=) y antes del siguiente carácter de tabulación.
Por ejemplo, un suceso de inicio de sesión simple se puede presentar en el formato siguiente:
<13>Sep 09 22:40:40 9.2.45.12 La cuenta JohnDoe ha iniciado una acción de inicio de
sesión desde 9.21.23.24 a las 01/09/2016 22:40:39 UTC
En la tabla siguiente se muestra cómo se pueden capturar las propiedades de los registros en lenguaje
natural de ejemplo especificados más arriba:
Nota: Escribir expresiones regulares para los registros en lenguaje natural requiere que mire la
información estática que rodea al valor que desea capturar antes de crear el grupo de capturas.
Puede extraer propiedades de datos de suceso presentados en formato JSON escribiendo una expresión
JSON que coincida con la propiedad. La expresión JSON debe ser una ruta con el formato /"<nombre de
campo de nivel superior>".
Sin embargo, para datos de suceso con un formato JSON anidado, como el del siguiente ejemplo:
{ "action": "login", "user": { "first_name": "John", "last_name": "Doe" } }
Procedimiento
1. Para abrir el Editor de DSM desde la pestaña Admin, siga estos pasos:
a. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
b. En la sección Orígenes de datos, pulse Editor de DSM.
2. Para abrir el Editor de DSM desde la pestaña Actividad de registro, siga estos pasos:
a. Pulse la pestaña Actividad de registro.
b. Ponga en pausa los resultados entrantes y, a continuación, resalte uno o varios sucesos.
Importante: Si se selecciona más de un suceso de dos o más orígenes de registro, se le solicita que
seleccione en qué tipo de origen de registro desea operar. Solo puede seleccionar un único tipo de
origen de registro y solo los sucesos de la actividad de registro que coinciden con el tipo de origen
de registro seleccionado se añaden automáticamente al espacio de trabajo.
Puede configurar orígenes de registro para aplicaciones personalizadas y sistemas que a tengan un DSM
compatible. En lugar de utilizar un DSM universal (uDSM), puede crear un tipo de origen de registro
nuevo mediante el Editor de DSM. A continuación, puede asociar los sucesos entrantes y el contenido
adicional (propiedades personalizadas, búsquedas, reglas, etc.) con solo ese tipo de origen de registro.
Cuando se utiliza un uDSM para las fuentes de sucesos que no tienen un DSM compatible, el contenido
asociado se ejecuta contra todos estos sucesos. La ejecución de uDSM en este escenario no es buena para
el rendimiento del sistema.
Nota:
v El Editor de DSM funciona con un solo tipo de origen de registro a la vez.
v Puede suprimir tipos de origen de registro personalizados. Los tipos de origen de registro no se
presentarán como una opción cuando cree un origen de registro ni estarán disponibles para editar en el
Editor de DSM, aunque cualquiera de los orígenes de registro de este tipo permanezcan activos.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, pulse Editor de DSM.
3. Crear un tipo de origen de registro o seleccione un tipo de origen de registro existente:
v Para crear un tipo de origen de registro nuevo, pulse en Crear nuevo y siga las solicitudes.
v Para buscar un tipo de origen de registro existente, utilice el campo Filtro y después pulse
Seleccionar.
Nota: El descubrimiento de propiedades automático solo funciona con datos estructurados que tengan
formato JSON.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, pulse Editor de DSM.
Donde sea relevante, cada propiedad personalizada tiene un conjunto de opciones de configuración que
incluyen selectividad y análisis de fechas. Cada definición de propiedad personalizada dentro de una
configuración de DSM es un grupo ordenado que consta de un tipo de expresión, una expresión, un
grupo de capturas, una configuración de selectividad opcional y un botón de conmutador
habilitada/inhabilitada. No puede modificar los campos Nombre, Tipo de campo, Descripción, optimizar
ni ninguna opción avanzada para una propiedad personalizada en la pestaña Propiedades del Editor de
DSM.
Una propiedad personalizada está compartida entre todos los DSMs, mientras que las implementaciones
específicas para leer valores de cargas útiles están en el nivel de DSM.
La selectividad se especifica cuando configura una expresión para que se ejecute solo cuando se cumplen
ciertas condiciones.
Nota: Al campo Grupo de capturas de una propiedad personalizada no se le puede asignar un valor
mayor que el número de grupos de capturas de la expresión regular.
Conceptos relacionados:
“Propiedades en el Editor de DSM” en la página 135
En el Editor de DSM, las propiedades del sistema normalizadas se combinan con las propiedades
personalizadas y están ordenadas alfabéticamente.
Selectividad
En el Editor de DSM puede restringir la ejecución de una propiedad personalizada a ciertos criterios para
un mejor rendimiento.
Expresiones
Puede definir expresiones para propiedades personalizadas en el Editor de DSM. Las expresiones son el
mecanismo que define el comportamiento de una propiedad. El componente principal de una expresión
es una expresión regular o json válida. Los datos que conforman una expresión dependen del tipo de
propiedad.
Para una propiedad personalizada, solo puede elegir un grupo de capturas de la expresión regular.
Puede crear una propiedad personalizada para aquellos datos que no se ajusten a las propiedades del
sistema de QRadar. Utilice las propiedades personalizadas en búsquedas y pruébelas comparándolas en
reglas.
Tabla 28. Parámetros de propiedades personalizadas
Parámetro Descripción
Nombre Nombre descriptivo de la propiedad personalizada que
crea.
Tipo de campo El valor predeterminado es Texto.
Procedimiento
1. Para añadir una propiedad personalizada, pulse Añadir (+) en la pestaña Propiedades del Editor de
DSM.
2. Para crear una definición de propiedad personalizada nueva, utilice los pasos siguientes:
a. Seleccione Crear nuevo en la página Elegir una definición de propiedad personalizada a expresar.
b. En la página Crear una definición de propiedad personalizada nueva, especifique valores para
los campos Nombre, Tipo de campo y Descripción.
Nota: Cuando seleccione Número o Fecha en la lista Tipo de campo, se muestran campos extra.
c. Si desea extraer la propiedad de los sucesos conforme entran en el sistema, marque el recuadro de
selección Habilitar esta propiedad para utilizarla en la indexación de búsquedas y en reglas.
d. Pulse Guardar.
3. Para utilizar una propiedad personalizada existente, utilice estos pasos:
a. En la página Elegir una definición de propiedad personalizada a expresar busque una propiedad
personalizada existente en el campo Definiciones de filtro.
b. Pulse Seleccionar para añadir la propiedad personalizada.
4. Para configurar una propiedad personalizada, siga estos pasos:
a. Busque y seleccione la propiedad personalizada en la pestaña Propiedades. Las propiedades
personalizadas muestran la palabra Personalizado junto a ellas para diferenciarlas de las
propiedades del sistema.
b. Seleccione un tipo de expresión (Regex o JSON) en la lista Tipo de expresión.
c. Defina una expresión válida para la propiedad personalizada tomando como base el tipo de
expresión seleccionado en el paso b.
Nota:
v En Regex, la expresión debe ser una expresión regular compatible con java válida. La
coincidencia de mayúsculas y minúsculas solo es compatible si se utiliza el token (?i) al
Correlación de sucesos
En el Editor de DSM, la correlación de sucesos muestra todas las combinaciones de ID y categoría de
suceso que hay en el sistema.
Una correlación de sucesos representa una asociación entre una combinación de ID y categoría de suceso
y un registro QID (llamado categorización de suceso). Los valores de ID y categoría de suceso los extraen
los DSM de los sucesos y se utilizan a continuación para buscar las categorización de suceso o QID
correlacionados. Las categorizaciones de suceso almacenan metadatos adicionales para sucesos que quizás
no existan al pie de la letra en los datos de suceso en bruto, como por ejemplo un nombre y una
descripción legibles para una persona, un valor de gravedad o una asignación de categoría de nivel bajo.
La categorización de nivel bajo y la gravedad son útiles para la búsqueda y las definiciones de reglas.
Cuando un DSM llena las propiedades de identidad, los datos de identidad se reenvían al servicio de
perfilador de activos que se ejecuta en la consola de IBM Security QRadar. El perfilador de activos se
utiliza para actualizar el modelo de activos añadiendo activos nuevos o actualizando la información sobre
activos existentes, incluidos los campos de activo Último usuario y Usuario visto por última vez,
cuando se proporciona un Nombre de usuario de identidad.
Los DSM de IBM Security QRadar pueden proporcionar datos de identidad para varios sucesos, como
por ejemplo los que establecen una asociación o una disociación entre propiedades de identidad. Esta
asociación o disociación es para el rendimiento y también para ciertos sucesos que proporcionan
información nueva o útil necesaria para actualizaciones de activo. Por ejemplo, un sucesos de inicio de
sesión establece una asociación nueva entre un nombre de usuario y un activo (una dirección IP, una
7 Proceso de datos de sucesos en QRadar 143
dirección MAC o un nombre de host o una combinación de ambos). El DSM genera datos de identidad
para cualesquiera sucesos de inicio de sesión que analice, pero los sucesos siguientes de tipos diferentes
que impliquen al mismo usuario no proporcionan información de asociación nueva. Por lo tanto, el DSM
no genera identidad para otros tipos de suceso.
Además los DSMs para servicios de DHCP pueden generar datos de identidad para sucesos asignados de
DHCP, ya que estos sucesos establecen una asociación entre una dirección IP y una dirección MAC. Los
DSMs para servicios de DNS generan información de identidad para sucesos que representan búsquedas
de DNS porque estos sucesos establecen una asociación entre una dirección IP y un nombre de host o
nombre de DNS.
Puede configurar el Editor de DSM para alterar temporalmente el comportamiento de las propiedades de
identidad. Sin embargo, a diferencia de otras propiedades del sistema, una propiedad de identidad
alterada temporalmente no tiene efecto a menos que esté vinculada a combinaciones específicas de ID de
suceso o Categoría de suceso (correlaciones de sucesos). Cuando se configuran alteraciones temporales de
propiedades de identidad configuradas, puede ir a la pestaña Correlaciones de sucesos y seleccionar una
correlación de sucesos para configurar propiedades de identidad específicas para ese suceso. Solo se
cumplimentan para un suceso las propiedades de identidad disponibles y capturadas por la expresión
regular o json propiedad configurada.
Procedimiento
1. Para añadir una correlación de sucesos, pulse en el icono Añadir (+) en la pestaña Correlación de
sucesos del Editor de DSM.
2. Especifique valores para los campos ID de suceso y categoría.
3. Para crear una categorización de suceso, utilice los pasos siguientes:
a. En la ventana Crear una correlación de sucesos nueva, pulse Elegir suceso.
b. En la página Categorizaciones de suceso, pulse Crear registro QID nuevo.
c. Especifique el valor para los campos Nombre, Descripción y seleccione un Tipo de origen de
registro, una Categoría de nivel alto, una Categoría de nivel bajo y una Gravedad.
d. Pulse Guardar para crear la categorización de suceso nueva.
4. Para utilizar una categorización de suceso existente, utilice estos pasos:
a. En la ventana Crear una correlación de sucesos nueva, pulse Elegir suceso.
b. Busque una Categorización de suceso existente en la ventana Categorización de suceso.
c. Seleccione una Categoría de nivel alto, una Categoría de nivel bajo, un Tipo de origen de
registro o un QID. Los resultados se muestran en el panel Resultados de búsqueda.
d. Pulse Aceptar para añadir la categoría de suceso.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Para buscar elementos de contenido específicos para exportar, escriba el mandato siguiente:
./contentManagement.pl -a search -c [tipo_contenido] -r [regex]
Por ejemplo, para buscar los elementos de contenido de un tipo de origen de registro, escriba el
mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a search -c 24 -r
"<nombre_búsqueda>"
3. Cree un archivo de texto que enumere el contenido que desea exportar.
Cada línea debe incluir el tipo de contenido personalizado, seguido de una lista de ID exclusivos
separados por comas para ese tipo.
Por ejemplo, para exportar tres tipos de origen de registro con el ID 24, ID 26 y el ID 95, todas las
propiedades personalizadas, cree un archivo de texto con las entradas siguientes:
sensordevicetype, 24,26,95
4. Exporte los elementos de contenido como un paquete mediante el mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a export -c package -f <archivo_origen>
La aplicación Asistente de QRadar consta de los siguientes widgets del panel de control preinstalados:
Contenido recomendado
Consulte el contenido recomendado para usted, filtrado en función de los tipos de aplicación y
las características que configure en el perfil, así como en función de los orígenes de registro
detectados por la aplicación. Puede cambiar las preferencias siempre que lo desee o ver todas las
extensiones de QRadar.
Una extensión de QRadar puede ser una aplicación o una extensión de contenido descargada de
App Exchange. Utilice las extensiones de contenido para actualizar la información de las
plantillas de seguridad de QRadar o para añadir contenido nuevo, como reglas, informes,
búsquedas, logotipos, conjuntos de referencias y propiedades personalizadas. Las extensiones de
aplicación añaden funcionalidad, como paneles de control, columnas personalizadas y páginas
nuevas a la interfaz de usuario de QRadar.
Centro de ayuda de QRadar
Consulte información y vídeos sobre QRadar en el widget del panel de control Centro de ayuda
de QRadar. Puede ver tutoriales en vídeo, escuchar conversaciones de Open Mics, participar en
foros, leer documentación de QRadar y boletines y utilizar los enlaces para localizar los recursos
de QRadar que necesite para gestionar el despliegue de QRadar.
Contenido con actualizaciones disponibles
Consulte las actualizaciones de una aplicación instalada o una extensión de contenido en App
Exchange.
Canales de información de Twitter de @ AskibmSecurity
Consulte los canales de información de Twitter para IBM Security QRadar en @AskIBMSecurity
(https://twitter.com/AskIBMSecurity).
Nota: También puede configurar estos valores en la pestaña Admin de QRadar pulsando
Aplicaciones > Asistente de QRadar y, a continuación, pulse el icono Valores de Asistente de
SOC.
b. Haga clic en el enlace Gestionar servicios autorizados para abrir la página Servicios autorizados
donde podrá crear una señal de autenticación y pegarla después en el campo Señal de SEC.
Haga clic en el enlace Cómo generar la señal de SEC para obtener más información sobre cómo
crear señales de SEC.
c. Opcional: Para añadir un proxy para acceder a Internet, especifique los detalles del proxy.
d. Pulse Cómo obtener una clave de API y una contraseña y siga las instrucciones.
Nota: La aplicación Asistente identifica los orígenes de registro que utiliza QRadar y muestra las
aplicaciones o los paquetes de contenidos adecuados en el widget Contenido recomendado.
f. Pulse Hecho en la página ¡Configuración completa!.
Información relacionada:
https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.1/com.ibm.qradar.doc/
c_qradar_adm_man_auth_service.html
Cuando instale una aplicación que solicite una señal de autorización OAuth para acceder a los recursos
de QRadar, se creará una señal de autorización OAuth y se añadirá un registro que represente la señal en
el aplicación Gestor de autorizaciones de aplicación. El registro se identifica mediante el Nombre de la
aplicación y el ID de la aplicación e incluye el nivel de acceso de usuario que se ha asignado a la
aplicación para acceder a recursos de QRadar.
Las recopilaciones de datos de referencia se almacenan en la consola de QRadar, pero las recopilaciones
se copian regularmente en cada host gestionado. Para un mejor rendimiento en las búsquedas de datos, el
host gestionado guarda en la memoria caché los valores de datos referidos con más frecuencia.
Puede utilizar recopilaciones de datos de referencia para integrar el indicador de datos de compromiso
(IOC) de proveedores de terceros en QRadar. QRadar utiliza datos de IOC para detectar más rápidamente
un comportamiento sospechoso, lo que ayuda a los analistas de seguridad a investigar amenazas y
responder a incidentes con más rapidez.
Por ejemplo, puede importar datos de IOC, como por ejemplo direcciones IP, nombres de DNS, URLs y
MD5s, de proveedores de datos de amenazas basados en suscripción y correlacionarlos con sucesos e
incidentes que se están produciendo en su red.
Datos de negocio
Las recopilaciones de datos de referencia pueden contener datos de negocio que sean específicos de su
organización, como por ejemplo una lista de usuarios con privilegios de acceso al sistema. Utilice los
datos de negocio para crear listas negras y listas blancas.
Por ejemplo, puede utilizar un conjunto de referencia que contiene los ID de usuario de empleados
despedidos para impedir que inicien sesión en la red. O puede utilizar datos de negocio para crear una
lista blanca que solo permita a un conjunto limitado de direcciones IP realizar funciones específicas.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Puede llenar el conjunto de referencia con datos externos, como por ejemplo indicadores de compromiso
(IOCs) o puede utilizarlo para almacenar datos de negocio, tales como direcciones IP y nombres de
usuario, que se recopilan de los sucesos y flujos que se producen en la red.
Un conjunto de referencia contiene valores exclusivos que se pueden utilizar en búsquedas, filtros,
condiciones de prueba de regla y respuestas de regla. Utilice las reglas para probar si un conjunto de
referencia contiene un elemento de datos o configure la respuesta de regla para añadir datos a un
conjunto de referencia. Por ejemplo, puede crear una regla que detecta cuándo un empleado accede a un
sitio web prohibido y configurar la respuesta de regla para añadir la dirección IP o el nombre de usuario
del empleado a un conjunto de referencia.
Para obtener más información sobre la configuración de respuestas de regla para añadir datos a un
conjunto de referencia, consulte Guía del usuario de IBM Security QRadar.
Los conjuntos de referencia son el único tipo de recopilación de datos de referencia que puede gestionar
en QRadar. También puede utilizar la línea de mandatos y la interfaz de documentación de la API Restful
API para gestionar conjuntos de referencia.
Tareas relacionadas:
“Crear recopilaciones de datos de referencia utilizando la línea de mandatos” en la página 157
Puede utilizar la línea de mandatos para gestionar recopilaciones de datos de referencia que no se
pueden gestionar en IBM Security QRadar, como por ejemplo correlaciones de referencia, correlación de
conjuntos, correlación de correlaciones y tablas. Aunque es más fácil gestionar conjuntos de referencia
utilizando QRadar, utilice la línea de mandatos cuando desee planificar tareas de gestión.
“Crear recopilaciones de datos de referencia con las API” en la página 161
Puede utilizar API (Application Program Interface) para gestionar las recopilaciones d datos de referencia
de IBM Security QRadar.
Después de añadir datos al conjunto de referencia, los parámetros Número de elementos y Reglas
asociadas se actualizan automáticamente.
Cuando edita un conjunto de referencia, puede cambiar los valores de datos pero no puede cambiar el
tipo de datos que el conjunto de referencia contiene.
Antes de suprimir un conjunto de referencia, QRadar ejecuta una comprobación de dependencia para ver
si el conjunto de referencia tiene reglas asociadas.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Para añadir un conjunto de referencia:
a. Pulse Añadir y configure los parámetros.
La tabla siguiente describe cada uno de los parámetros utilizados para configurar un conjunto de
referencia.
Tabla 31. Parámetros de conjunto de referencia
Parámetro Descripción
Nombre La longitud máxima del nombre del conjunto de referencia es 255 caracteres.
Tipo Seleccione los tipos de datos de los elementos de referencia. No se puede editar el
parámetro Tipo después de crear un conjunto de referencia.
Para comparar propiedades ofuscadas de suceso y flujo con los datos de referencia,
debe utilizar un conjunto de referencia alfanumérico.
Tiempo de vida de Especifica cuándo QRadar suprime automáticamente elementos del conjunto de
elementos referencia. Vive para siempre es el valor predeterminado.
b. Pulse Crear.
4. Pulse Editar o Suprimir para trabajar con los conjuntos de referencia existentes.
Consejo: Para suprimir varios conjuntos de referencia, utilice el cuadro de texto Búsqueda rápida
para buscar los conjuntos de referencia que desea suprimir y a continuación pulse Suprimir listados.
Tareas relacionadas:
“Visualización del contenido de un conjunto de referencia” en la página 155
Puede ver información sobre los elementos de datos del conjunto de referencia, como por ejemplo la
asignación de dominio, la caducidad de los datos y cuándo se ha visto el elemento por última vez en la
red.
“Seguimiento de las cuentas de usuario caducadas” en la página 164
Puede utilizar las recopilaciones de datos de referencia para identificar datos obsoletos, tales como
cuentas de usuario caducadas, en el entorno de IBM Security QRadar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Seleccione un conjunto de referencia y pulse Ver contenido.
4. Pulse la pestaña Contenido para ver información sobre cada elemento de datos.
Consejo: Utilice el campo de búsqueda para filtrar todos los elementos que coincidan con una
palabra clave. No se puede hacer búsquedas de datos en la columna Tiempo de vida.
La tabla siguiente describe la información que se muestra para cada elemento de datos en el conjunto
de referencia.
Tabla 32. Información sobre los elementos de datos de conjunto de referencia
Parámetro Descripción
Dominio Los usuarios arrendatarios que tienen acceso a un dominio, los
administradores de MSSP, y los usuarios que no tienen una
asignación de arrendatario pueden ver los datos de referencia
específicos de ese dominio, Los usuarios de todos los arrendatarios
pueden ver los datos de referencia compartidos.
Valor El elemento de datos que se almacena en el conjunto de referencia.
Por ejemplo, el valor puede mostrar nombres de usuario o direcciones
IP.
Origen Muestra el nombre de usuario cuando el elemento de datos se añade
manualmente y el nombre de archivo cuando los datos se añaden
importándolos desde un archivo externo. Muestra el nombre de regla
cuando se añade el elemento de datos como respuesta a una regla.
Tiempo de vida Tiempo que queda hasta que este elemento se elimine del conjunto de
referencia.
Fecha de última aparición Fecha y hora en que este elemento se ha detectado por última vez en
la red.
5. Pulse en la pestaña Referencias para ver las reglas que utilizan el conjunto de referencia en una
prueba de regla o una respuesta de regla.
Tabla 33. Parámetros de la pestaña Contenido
Parámetro Descripción
Nombre de regla Nombre de la regla configurada para utilizar el conjunto de referencia.
Grupo El grupo al que pertenece la regla.
Categoría Muestra si la regla es una regla personalizada o una regla de detección de
anomalías.
Tipo Muestra suceso, flujo, común o delito para indicar el tipo de datos
contra el que se prueba la regla.
Habilitado Una regla debe estar habilitada para que el motor de reglas
personalizadas la evalúe.
6. Para ver o editar una regla asociada, efectúe una doble pulsación sobre la regla en la lista Referencias
y complete el asistente de regla.
Antes de empezar
Para importar elementos, asegúrese de que el archivo .csv está almacenado localmente.
Puede asignar datos de referencia a un dominio específico. Los usuarios arrendatarios que tienen acceso a
un dominio, los administradores de MSSP, y los usuarios que no tienen una asignación de arrendatario
pueden ver los datos de referencia específicos de ese dominio, Los usuarios de todos los arrendatarios
pueden ver los datos de referencia compartidos. Por ejemplo, los usuarios de MSSP que no son
administradores pueden ver datos de referencia asignados a un dominio.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Seleccione el conjunto de referencia que desea añadir a los elementos y pulse Ver contenido.
4. Pulse la pestaña Contenido.
5. Para añadir manualmente elementos de datos, siga estos pasos:
a. Pulse Añadir y configure los parámetros.
Los valores de puerto válidos son 0 - 65535. Las direcciones IP válidas van de 0 a 255.255.255.255.
Nota: Si utiliza técnicas de ofuscación de datos en las propiedades de suceso que desea comparar
con los datos de conjunto de referencia, debe utilizar un conjunto de referencia alfanumérico que
contenga los valores de datos ofuscados.
b. Pulse Añadir.
6. Para añadir elementos de un archivo .csv, siga estos pasos:
a. Pulse Importar.
b. Pulse Seleccionar archivo y examine para seleccionar el archivo .csv que desea importar.
El archivo .csv debe tener todos los elementos separados por comas en una sola línea o cada
elemento en una línea aparte. No se necesita un delimitador cuando cada elemento está en una
línea aparte.
c. Seleccione el Dominio al que desea añadir los datos de conjunto de referencia.
d. Pulse Importar. La importación añade el contenido del archivo de texto al conjunto de referencia.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Seleccione el conjunto de referencia que desea exportar y pulse Ver contenido.
4. Pulse la pestaña Contenido y pulse Exportar.
5. Elija si desea abrir el archivo inmediatamente o guardarlo y pulse Aceptar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Seleccione el conjunto de referencia que contiene los elementos que desea suprimir y pulse Ver
contenido.
4. Pulse la pestaña Contenido y elija una de las opciones siguientes:
v Para suprimir un elemento, seleccione el elemento de la lista y pulse Suprimir.
v Para suprimir varios elementos, utilice el cuadro de búsqueda para filtrar la lista y mostrar solo los
elementos que desea suprimir y a continuación pulse Suprimir listados.
Cuando utiliza un archivo externo para llenar la recopilación de datos de referencia, la primera línea no
comentada del archivo identifica los nombres de columna de la recopilación de datos de referencia. Cada
línea posterior es un registro de datos que se añade a la recopilación. Mientras que el tipo de datos de los
valores de la recopilación de referencia se especifica cuando se crea la recopilación, cada clave es una
serie alfanumérica.
La tabla siguiente muestra ejemplos de cómo formatear datos en un archivo externo que se vaya a
utilizar para llenar correlaciones de referencia.
key1,value1
key2,value2
Correlación de referencia de key1,data
conjuntos
key1,value1
key1,value2
Correlación de referencia de key1,key2,data
correlaciones
map1,key1,value1
map1,key2,value2
También puede crear recopilaciones de datos de referencia mediante el punto final /reference_data de la
API RESTful de QRadar.
Procedimiento
1. Inicie, mediante SSH, la sesión en IBM Security QRadar como usuario root.
2. Vaya al directorio /opt/qradar/bin.
3. Para crear la recopilación de datos de referencia, escriba el mandato siguiente:
./ReferenceDataUtil.sh create name
[SET | MAP | MAPOFSETS | MAPOFMAPS | REFTABLE]
[ALN | NUM | IP | PORT | ALNIC | DATE]
[-timeoutType=[FIRST_SEEN | LAST_SEEN]] [-timeToLive=]
4. Para llenar la correlación con los datos de un archivo externo, escriba el mandato siguiente:
./ReferenceDataUtil.sh load nombre nombre_archivo
[-encoding=...] [-sdf=" ... "]
Ejemplo
A continuación se muestran algunos ejemplos de cómo utilizar la línea de mandatos para crear diferentes
tipos de recopilaciones de datos de referencia:
v Crear una correlación alfanumérica:
./ReferenceDataUtil.sh create testALN MAP ALN
v Crear una correlación de conjuntos que contenga valores de puerto que caducarán 3 horas después de
la última vez que se hayan visto:
./ReferenceDataUtil.sh create testPORT MAPOFSETS PORT
-timeoutType=LAST_SEEN -timeToLive=’3 hours’
v Crear una correlación de correlaciones que contenga valores numéricos que caducarán 3 horas y 15
minutos después de la primera vez que se hayan visto:
./ReferenceDataUtil.sh create testNUM MAPOFMAPS
NUM -timeoutType=FIRST_SEEN -timeToLive=’3 horas 15 minutos’
v Crear una tabla de referencia en la que el formato predeterminado sea alfanumérico:
./ReferenceDataUtil.sh create testTable REFTABLE
ALN -keyType=ipKey:IP,portKey:PORT,numKey:NUM,dateKey:DATE
Inicie sesión en QRadar para crear reglas que añadan datos a las recopilaciones de datos de referencia.
También puede crear pruebas de reglas que detecten si hay actividad por parte de los elementos que se
encuentran en la recopilación de datos de referencia.
Conceptos relacionados:
“Visión general de los conjuntos de referencia” en la página 153
Utilice los conjuntos de referencia de IBM Security QRadar para almacenar datos en formato de lista
simple.
Create
Crea una recopilación de datos de referencia.
nombre
Nombre de la recopilación de datos de referencia.
[SET | MAP | MAPOFSETS | MAPOFMAPS | REFTABLE]
Tipo de la recopilación de datos de referencia. El script ReferenceSetUtil.sh solo crea conjuntos de
referencia.
[ALN | ALNIC | NUM | IP | PORT | DATE]
Tipo de datos del conjunto de referencia.
v ALN especifica valores alfanuméricos. Este tipo de datos da soporte a las direcciones IPv4 e IPv6.
v ALNIC especifica valores alfanuméricos, pero las pruebas de regla ignoran el caso. Este tipo de datos
da soporte a las direcciones IPv4 e IPv6.
v NUM especifica valores numéricos.
v IP especifica direcciones IP. Este tipo de datos solamente da soporte a la dirección IPv4.
v PORT especifica direcciones de puertos.
v DATE especifica valores de fecha.
[-timeoutType=[FIRST_SEEN | LAST_SEEN]]
Especifica si la cantidad de tiempo que los elementos de datos permanecen en la recopilación de
datos de referencia se calcula desde el momento en que el elemento se ha visto por primera vez o por
última vez.
[-TimeToLive='']
Cantidad de tiempo que los elementos de datos permanecen en la recopilación de datos de referencia.
[-keyType=name:elementType,name:elementType,...]
Parámetro REFTABLE obligatorio que consta de pares de nombre de clave y ELEMENTTYPE.
[-key1Label='']
Etiqueta opcional para key1, o la clave primaria. Una clave es un tipo de información, como por
ejemplo una dirección IP.
[-valueLabel='']
Etiqueta opcional para los valores de la recopilación.
Update
Actualiza una recopilación de datos de referencia.
Add
Añade un elemento de datos a una recopilación de datos de referencia.
nombre
Nombre de la recopilación de datos de referencia.
<valor> <clave1> [clave2]
Par de clave-valor que desea añadir. Las claves son series de caracteres alfanuméricos.
v AP y MAPOFSETS requieren la clave 1.
v MAPOFMAPS y REFTABLE requieren la clave 1 y la clave de segundo nivel 2.
[-sdf=" ... "]
Serie de formato de fecha simple que se utiliza para analizar los datos de fecha.
Delete
Suprime un elemento de una recopilación de datos de referencia.
nombre
Nombre de la recopilación de datos de referencia.
<valor> <clave1> [clave2]
Par de clave-valor que desea suprimir. Las claves son series de caracteres alfanuméricos.
v MAP y MAPOFSETS requieren la clave 1.
v MAPOFMAPS y REFTABLE requieren la clave 1 y la clave de segundo nivel 2.
[-sdf=" ... "]
Serie de formato de fecha simple que se utiliza para analizar los datos de fecha.
Remove
Elimina una recopilación de datos de referencia.
nombre
Nombre de la recopilación de datos de referencia.
Purge
Purga todos los elementos de una recopilación de datos de referencia.
nombre
Nombre de la recopilación de datos de referencia.
List
Lista los elementos de una recopilación de datos de referencia.
Listall
Lista todos los elementos de todas las recopilaciones de datos de referencia.
[displayContents]
Lista todos los elementos de todas las recopilaciones de datos de referencia.
Load
Llena una recopilación de datos de referencia con datos de un archivo .csv externo.
nombre
Nombre de la recopilación de datos de referencia.
nombre_archivo
Nombre de archivo completo que se cargará. Cada línea del archivo representa un registro que se
añadirá a la recopilación de datos de referencia.
[-encoding=...]
Codificación que se utiliza para leer el archivo.
[-sdf=" ... "]
Serie de formato de fecha simple que se utiliza para analizar los datos de fecha.
Procedimiento
1. Utilice un navegador web para acceder a https://<IP de consola>/api_doc e iniciar la sesión como
administrador.
2. Seleccione la última iteración de la API de IBM Security QRadar.
3. Seleccione el directorio /reference_data.
4. Para crear un nuevo conjunto de referencia, siga estos pasos:
a. Seleccione /sets.
b. Pulse en POST y especifique la información relevante en los campos Valor.
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear un
conjunto de referencia:
Tabla 35. Parámetros - Conjunto de referencia
Parámetro Tipo Valor Tipo de datos Tipo de MIME Ejemplo
element_type consulta (obligatorio) String text/plain String <una de
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
name consulta (obligatorio) String text/plain String
c. Pulse en ¡Inténtelo!. para terminar de crear la recopilación de datos de referencia y ver los
resultados.
5. Para crear una nueva correlación de referencia, siga estos pasos.
a. Pulse en /maps.
b. Pulse en POST y especifique la información relevante en los campos Valor.
Más información sobre los parámetros para crear una correlación de referencia:
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear una
correlación de referencia:
Tabla 36. Parámetros - Correlación de referencia
Parámetro Tipo Valor Tipo de datos Tipo de MIME Ejemplo
element_type consulta (obligatorio) String text/plain String <una de
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
name consulta (obligatorio) String text/plain String
fields consulta (opcional) String text/plain field_one
(field_two,
field_three),
field_four
key_label consulta (opcional) String text/plain String
time_to_live consulta (opcional) String text/plain String
timeout_type consulta (opcional) String text/plain String <una de
las siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
value_label consulta (opcional) String text/plain String
c. Pulse en ¡Inténtelo!. para terminar de crear la recopilación de datos de referencia y ver los
resultados.
6. Para crear una nueva correlación de referencia de conjuntos, siga estos pasos.
a. Seleccione /map_of_sets.
b. Pulse en POST y especifique la información relevante en los campos Valor.
Más información sobre los parámetros para crear una correlación de referencia de conjuntos:
c. Pulse en ¡Inténtelo! para terminar de crear la recopilación de datos de referencia y ver los
resultados.
7. Para crear una nueva tabla de referencia o correlación de correlaciones, siga estos pasos:
a. Pulse en /tables.
b. Pulse en POST y especifique la información relevante en los campos Valor.
Más información sobre los parámetros para crear una tabla de referencia o una correlación de
correlaciones:
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear una
tabla de referencia o una correlación de correlaciones:
Tabla 38. Parámetros - Tabla de referencia
Parámetro Tipo Valor Tipo de datos Tipo de MIME Ejemplo
element_type consulta (obligatorio) String text/plain String <una de las
siguientes: ALN,
NUM, IP, PORT,
ALNIC, DATE>
name consulta (obligatorio) String text/plain String
fields consulta (opcional) String text/plain field_one (field_two,
field_three),
field_four
key_name_types consulta (opcional) Array application/ [ { "element_type":
json "String <una de las
siguientes: ALN,
NUM, IP, PORT,
ALNIC, DATE>",
"key_name":
"String" }]
c. Pulse en ¡Inténtelo! para terminar de crear la recopilación de datos de referencia y ver los
resultados.
Conceptos relacionados:
“Visión general de los conjuntos de referencia” en la página 153
Utilice los conjuntos de referencia de IBM Security QRadar para almacenar datos en formato de lista
simple.
De forma predeterminada, los datos de referencia permanecen en QRadar hasta que se eliminan. Sin
embargo, cuando crea una recopilación de datos de referencia, puede configurar QRadar para eliminar los
datos después de un periodo de tiempo especificado.
Cuando los elementos de datos caducan, QRadar suprime automáticamente el valor de la recopilación de
datos de referencia y desencadena un suceso para hacer un seguimiento de la caducidad.
Procedimiento
1. Cree un conjunto de referencia para hacer un seguimiento del tiempo transcurrido desde la última vez
que un usuario inició la sesión.
a. Establezca el Tiempo de vida de elementos para representar el periodo de tiempo después de el
cuál una cuenta de usuario se considera caducada.
b. Seleccione el botón Desde el último visto.
2. Cree una regla de suceso personalizado para añadir datos de inicio de sesión, como por ejemplo
username, al conjunto de referencia.
Nota: QRadar hace un seguimiento de la Fecha de última aparición para cada elemento de datos. Si
no se han añadido datos para un usuario concreto dentro del periodo de tiempo de vida, el elemento
del conjunto de referencia caduca y se desencadena un suceso de Caducidad de datos de referencia.
El suceso contiene el nombre de conjunto de referencia y el nombre de usuario que ha caducado.
3. Utilice la pestaña Actividad de registro para hacer un seguimiento de los sucesos de Caducidad de
datos de referencia.
Utilice los datos de conjunto de referencia en búsquedas, filtros, condiciones de prueba de regla y
respuestas de regla.
Tareas relacionadas:
“Adición, edición y supresión de conjuntos de referencia” en la página 153
Utilice un conjunto de referencia para comparar un valor de propiedad, como por ejemplo una dirección
IP o un nombre de usuario con una lista. Puede utilizar conjuntos de referencia con reglas para mantener
listas de observación. Por ejemplo, puede crear una regla para detectar cuándo un empleado accede a un
sitio web prohibido y a continuación, añadir la dirección IP de ese empleado a un conjunto de referencia.
Por ejemplo, el equipo de TI (tecnologías de la información) mantiene una base de datos de gestión que
incluye información sobre todos los activos de la red. Parte de la información como por ejemplo las
direcciones de IP de los servidores web, cambia con frecuencia.
Una vez a la semana, el equipo de TI exporta la lista de direcciones IP de todos los servidores web
desplegados en la red y proporciona la lista al equipo de seguridad. El equipo de seguridad importa la
lista a un conjunto de referencia que se puede utilizar en reglas, búsquedas e informes para proporcionar
más contexto a los sucesos y flujos procesados por QRadar.
QRadar utiliza la información que se recopila de los puntos finales para enriquecer la información del
usuario que está asociada con el tráfico y los sucesos que se producen en la red.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Un punto final de gestión de acceso e identidad es un producto que recopila y gestiona las identidades
de usuarios electrónicos, las pertenencias a grupo y los permisos de acceso. Estos puntos finales se
denominan orígenes de información de usuario.
Utilice los programas de utilidad siguientes para configurar y gestionar los orígenes de información de
usuario:
v Tivoli Directory Integrator: Debe instalar y configurar Tivoli Directory Integrator en un host que no
sea de IBM Security QRadar.
v UISConfigUtil.sh: Utilice este programa de utilidad para crear, recuperar, actualizar o suprimir
orígenes de información de usuario. Puede utilizar orígenes de información de usuario para integrar
IBM Security QRadar SIEM utilizando un servidor de Tivoli Directory Integrator.
v GetUserInfo.sh: Utilice este programa de utilidad para recopilar información de usuario de un origen
de información de usuario y almacenar la información en una recopilación de datos de referencia.
Puede utilizar este programa de utilidad para recopilar información de usuario bajo demanda o según
una planificación.
Los sistemas de IBM Security QRadar dan soporte a los siguientes orígenes de información de usuario:
Cuando IBM Security QRadar SIEM recopila información de un origen de información de usuario, crea
de forma automática una recopilación de datos de referencia para almacenar la información. El nombre
de la recopilación de datos de referencia se deriva del nombre del grupo de origen de información de
usuario. Por ejemplo, una recopilación de datos de referencia que se recopile desde Microsoft Windows
AD puede llamarse Domain Admins.
Por ejemplo:
v #
v # Domain Admins
v # key1,key2,data
v smith_j,Full Name,John Smith
v smith_j,account_is_disabled,0
v smith_j,account_is_locked,0
168 Guía de administración de QRadar
v smith_j,account_is_locked,1
v smith_j,password_does_not_expire,1
Para obtener más información sobre las recopilaciones de datos de referencia, consulte la nota técnica
referente a las recopilaciones de datos de referencia (Reference Data Collections Technical Note).
Puede crear alertas e informes significativos que muestren el cumplimiento de las políticas de seguridad
de la compañía por parte del usuario.
Para asegurarse de que las actividades realizadas por usuarios de ISIM con privilegios cumplen las
políticas de seguridad, puede realizar las tareas siguientes:
Cree un origen de registro para recopilar y analizar los datos de auditoría correspondientes a cada
servidor de ISIM cuyos registros se han recopilado. Para obtener más información sobre la creación de un
origen de registro, consulte la publicación Managing Log Sources Guide.
1. Cree un origen de información de usuario para el servidor de ISIM y recopile la información del
grupo de usuarios ISIM Administrators. Este paso crea una recopilación de datos de referencia que se
llama ISIM Administrators. Consulte el apartado “Creación de un origen de información de usuario”
en la página 172.
2. Configure un componente básico para comprobar si hay sucesos en los que la dirección IP de origen
es el servidor de ISIM y el nombre de usuario figura en la recopilación de datos de referencia de
administrador de ISIM. Para obtener más información sobre los componentes básicos, consulte la guía
del usuario de su producto.
3. Cree una búsqueda de sucesos que utilice el componente básico personalizado como filtro. Para
obtener más información sobre las búsquedas de sucesos, consulte el documento Guía del usuario de
IBM Security QRadar correspondiente a su producto.
4. Cree un informe personalizado que utilice la búsqueda de sucesos personalizada para generar
informes diarios sobre la actividad de auditoría de los usuarios de ISIM con privilegios. Estos
informes generados indican si alguna actividad de administrador de ISIM infringe la política de
seguridad. Para obtener más información sobre los informes, consulte el documento Guía del usuario de
IBM Security QRadar correspondiente a su producto.
Nota: Si desea recopilar registros de seguridad de aplicaciones, debe crear un módulo de soporte de
dispositivo (DSM). Para obtener más información, consulte la publicación IBM Security QRadar DSM
Configuration Guide.
No se necesita configuración alguna en el sistema QRadar; sin embargo, debe acceder a la consola para
obtener el archivo QRadarIAM_TDI.zip. A continuación, instale y configure un servidor de Tivoli Directory
Integrator en un host independiente. Cree e importe un certificado autofirmado.
Cuando instale Tivoli Directory Integrator, debe configurar un nombre para el directorio de soluciones.
Esta tarea requiere que acceda al directorio de soluciones. Por lo tanto, en los pasos de la tarea,
<directorio_soluciones> hace referencia al nombre que ha dado al directorio.
Procedimiento
1. Instale Tivoli Directory Integrator en un host que no sea de QRadar. Para obtener más información
sobre cómo instalar y configurar Tivoli Directory Integrator, consulte la documentación de Tivoli
Directory Integrator (TDI).
2. Utilice SSH para iniciar la sesión en la consola de IBM Security QRadar como usuario root.
a. Nombre de usuario: root
b. Contraseña: <contraseña>
3. Copie el archivo QRadarIAM_TDI.zip en el servidor de Tivoli Directory Integrator.
4. En el servidor de Tivoli Directory Integrator, extraiga el archivo QRadarIAM_TDI.zip en el directorio de
soluciones.
5. Configure el servidor de Tivoli Directory Integrator para la integración con QRadar.
a. Abra el archivo <directorio_soluciones>/solution.properties de Tivoli Directory Integrator.
Antes de empezar
Antes de crear un origen de información de usuario, debe instalar y configurar el servidor de Tivoli
Directory Integrator. Para obtener más información, consulte el apartado “Configuración del servidor de
Tivoli Directory Integrator” en la página 170.
Cuando cree un origen de información de usuario, debe identificar los valores de propiedad necesarios
para configurar el origen de información de usuario. En la tabla siguiente se describen los valores de
propiedad soportados:
Tabla 41. Valores de propiedad de interfaz de usuario soportados
Propiedad Descripción
tdiserver Define el nombre de host del servidor de Tivoli Directory
Integrator.
tdiport Define el puerto de escucha del conector HTTP en el
servidor de Tivoli Directory Integrator.
hostname Define el nombre del host de origen de información de
usuario.
port Define el puerto de escucha para el registro de gestión
de acceso e identidad en el host de información de
usuario.
username Define el nombre de usuario que IBM Security QRadar
SIEM y utilizan para la autenticación con el registro de
gestión de acceso e identidad.
password Define la contraseña que se necesita para la autenticación
con el registro de gestión de acceso e identidad.
searchbase Define el DN base.
Nota: Todos los usuarios a los que se hace referencia en
todos los grupos deben encontrarse en una búsqueda de
searchbase.
searchfilter Define el filtro de búsqueda que se necesita para filtrar
los grupos que se recuperan del registro de gestión de
acceso e identidad.
Procedimiento
1. Utilice SSH para iniciar la sesión en la consola de IBM Security QRadar como usuario root.
a. Nombre de usuario: root
Procedimiento
1. Utilice SSH para iniciar la sesión en la consola de IBM Security QRadar como usuario root.
a. Nombre de usuario: root
b. Contraseña: <contraseña>
2. Seleccione una de las opciones siguientes:
a. Escriba el mandato siguiente para recuperar todos los orígenes de información de usuario:
UISConfigUtil.sh get <nombre>
b. Escriba el mandato siguiente para recuperar un origen de información de usuario
determinado:UISConfigUtil.sh get <nombre>
Siendo <nombre> el nombre del origen de información de usuario que desea recuperar.
Por ejemplo:
[root@vmibm7089 bin]# .UISConfigUtil.sh get "UIS_AD"
Procedimiento
1. Utilice SSH para iniciar la sesión en la consola de IBM Security QRadar como usuario root.
a. Nombre de usuario: root
b. Contraseña: <contraseña>
2. Escriba el mandato siguiente para editar un origen de información de usuario: UISConfigUtil.sh
update <nombre> -t <AD|ISAM|ISIM|ISFIM> [-d descripción] [-p
prop1=valor1,prop2=valor2...,propn=valorn]
Donde:
v <nombre> es el nombre del origen de información de usuario que desea editar.
Procedimiento
1. Utilice SSH para iniciar la sesión en la consola de IBM Security QRadar como usuario root.
a. Nombre de usuario: root
b. Contraseña: <contraseña>
2. Escriba el mandato siguiente para suprimir un origen de información de usuario:
UISConfigUtil.sh delete <nombre>
Siendo <nombre> el nombre del origen de información de usuario que desea suprimir.
Procedimiento
1. Utilice SSH para iniciar la sesión en la consola de IBM Security QRadar como usuario root.
a. Nombre de usuario: root
b. <contraseña>
2. Escriba el mandato siguiente para recopilar información de usuario bajo demanda:
GetUserInfo.sh <nombre_OIU>
Siendo <nombre_OIU> el nombre del origen de información de usuario del que desea recopilar
información.
Nota: La integración de IBM X-Force permite utilizar los datos de X-Force Threat Intelligence en las
consultas de AQL y las reglas de correlación de QRadar. No se incluye el acceso a la API REST de IBM
X-Force Exchange.
QRadar descarga aproximadamente 30 MB de datos de reputación de IP por día cuando habilita el canal
de información de X-Force Threat Intelligence.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Valores del sistema.
3. Seleccione Sí en el campo Habilitar canal de información de X-Force Threat Intelligence.
Todos los dispositivos de QRadar de un despliegue se ponen en contacto con el servidor Apache para
enviar solicitudes en memoria caché. Una vez que la consola de IBM Security QRadar ha recibido los
resultados, estos se ponen en memoria cacé y se reproducen para el resto de hosts gestionados que
solicitan datos de reputación de IP nuevos.
Si tiene un proxy configurado en la red, debe actualizar la configuración para que reciba los datos de
X-Force.
Procedimiento
1. Utilice SSH para iniciar la sesión QRadar Console.
2. Abra el archivo /etc/httpd/conf.d/ssl.conf en un editor de texto.
3. Añada las líneas siguientes antes de </VirtualHost>:
ProxyRemote https://license.xforce-security.com/ http://PROXY_IP:PROXY_PORT
ProxyRemote https://update.xforce-security.com/ http://PROXY_IP:PROXY_PORT
4. Actualice la dirección IP y el puerto del servidor proxy corporativo para permitir una conexión
anónima con los servidores de seguridad de X-Force.
5. Guarde los cambios en el archivo ssl.conf.
6. Reinicie el servidor Apache tecleando el mandato siguiente:
apachectl restart
Al reiniciar el servidor Apache en QRadar Console, finaliza la sesión de todos los usuarios y los hosts
gestionados pueden generar mensajes de error. Reinicie el servidor Apache durante las ventanas de
mantenimiento planificadas.
Antes de empezar
Antes de inhabilitar el canal de información de X-Force, asegúrese de que las reglas de X-Force están
inhabilitadas y de que no está utilizando funciones de X-Force en búsquedas guardadas.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Valores del sistema.
3. Seleccione No en el campo Habilitar canal de información de X-Force Threat Intelligence.
Despliegue los cambios del valor del sistema para recibir los datos de los servidores X-Force. Para
obtener más información, consulte Despliegue de cambios.
Los datos de X-Force incluyen una lista de direcciones IP y URLs potencialmente maliciosos con una
puntuación de amenaza correspondiente. Puede utilizar las reglas de X-Force para marcar
automáticamente cualquier suceso de seguridad o cualesquiera datos de actividad de red que incluya las
direcciones y para priorizar los incidentes antes de empezar a investigarlos.
La lista siguiente muestra ejemplos de los tipos de incidente que puede identificar mediante las reglas de
X-Force:
v when [IP de origen|destinationIP|anyIP] is part of any of the following [ubicaciones de red remota]
v when [esta propiedad de host] is categorized by X-Force as [Anonymization Servers|Botnet
C&C|DynamicIPs|Malware|ScanningIPs|Spam] with confidence value [igual a] [esta cantidad]
v when [esta propiedad de URL] is categorized by X-Force as [Gambling|Auctions|Job
Search|Alcohol|Social Networking|Dating]
QRadar descarga aproximadamente 30 MB de datos de reputación de IP por día cuando habilita el canal
de información de X-Force Threat Intelligence para utilizarlo con la aplicación IBM Security Threat
Content.
Antes de empezar
Descargue la aplicación IBM Security Threat Content de IBM Security App Exchange
(https://exchange.xforce.ibmcloud.com/hub).
Para utilizar datos de X-Force en reglas, delitos y sucesos de QRadar, debe configurar IBM Security
QRadar para cargar datos automáticamente de los servidores de X-Force en su dispositivo QRadar.
Para cargar localmente datos de X-Force, habilite el canal de información de X-Force Threat Intelligence
en los valores del sistema. Si hay información nueva disponible cuando se inicia X-Force, se actualiza la
reputación de la dirección IP o la base de datos de URL. Estas actualizaciones se fusionan en sus propias
bases de datos y el contenido se replica desde QRadar Console en todos los hosts gestionados del
despliegue.
Las reglas de X-Force son visibles en el producto incluso aunque la aplicación IBM Security Threat
Content se desinstale posteriormente.
Habilite el canal de información de X-Force Threat Intelligence para que pueda utilizar las reglas de
X-Force o añadir funciones de X-Force a búsquedas de AQL. Para obtener más información, consulte el
apartado “Habilitación del canal de información de X-Force Threat Intelligence” en la página 177.
El plug-in de IBM X-Force Exchange (XFE) proporciona la opción de buscar la información en el sitio web
de IBM X-Force Exchange para las direcciones IP, los URL, los CVE y las aplicaciones web que se
encuentran en QRadar.
Por ejemplo, puede pulsar con el botón derecho un URL de un suceso de QRadar para ver qué datos
contiene X-Force Exchange sobre le URL.
También puede utilizar la opción de búsqueda que aparece al pulsar con el botón derecho para enviar
direcciones IP o datos de URL desde búsquedas de QRadar, delitos y reglas a una recopilación pública o
privada. La recopilación almacena la información en un lugar mientras utiliza los datos para continuar la
investigación.
Las recopilaciones contienen también una sección que sirve como un área de notas de estilo wiki, donde
puede añadir comentarios o cualquier texto libre que sea relevante. Puede utilizar la recopilación para
guardar informes de X-Force, comentarios de texto o cualquier otro contenido. Un informe de X-Force
tiene tanto una versión del informe de la hora en la que se guardó y un enlace a la versión actual del
informe.
Antes de empezar
Para este procedimiento es necesario reiniciar el servidor web desde la pestaña Admin para cargar el
plug-in una vez instalado el RPM. Al reiniciar el servidor web finaliza la sesión de todos los usuarios de
QRadar por lo que es recomendable instalar este plug-in durante el mantenimiento planificado.
Si el sistema QRadar tiene la versión 7.2.3 o posterior, el plug-in ya está instalado. Los administradores
pueden verificar que el plug-in está instalado pulsando con el botón derecho del ratón sobre cualquier
dirección IP en QRadar y seleccionando Más opciones > Opciones de plugin. Si se visualiza la búsqueda
IBM X-Force Exchange, entonces el plug-in está instalado.
Procedimiento
1. Descargue el plug-in de X-Force Exchange que aparece al pulsar con el botón derecho del ratón de
IBM Fix Central (https://ibm.biz/BdX4BW).
a. Copie el archivo RPM en QRadar Console.
b. Teclee el mandato siguiente para instalar el plug-in: rpm -Uvh RightClick-XFE-
7.2.<versión>.x86_64.rpm
2. Inicie la sesión en QRadar Console como un usuario administrativo.
3. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
4. Seleccione Avanzado > Reiniciar el servidor web.
Una vez reiniciado el servidor web, el plug-in de X-Force que aparece al pulsar con el botón derecho
del ratón está habilitado para direcciones IP en QRadar para campos de URL en la pestaña Actividad
de registro.
5. Inicie la sesión en la ventana emergente del sitio web de X-Force Exchange mediante su ID de IBM o
siga como invitado.
Los usuarios invitados no pueden utilizar todas las características en el sitio web de X-Force
Exchange.
6. Cierre la ventana del navegador después del inicio de sesión inicial en el sitio web de IBM X-Force
Exchange.
La API RESTful de QRadar utiliza servicios autorizados para autenticar las llamadas de API a la QRadar
Console. Un servicio autorizado puede añadirse o revocarse en cualquier momento. Para obtener más
información sobre la API RESTful, consulte la IBM Security QRadar API Guide.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Servicios autorizados.
3. En la ventana Gestionar servicios autorizados, seleccione el servicio autorizado adecuado.
La señal se visualiza en el campo Señal seleccionada de la barra superior. Puede copiar la señal en el
software del proveedor para su autenticación con IBM Security QRadar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Servicios autorizados.
3. En la ventana Gestionar servicios autorizados, seleccione el servicio que desea revocar.
4. Pulse Revocar autorización.
Hay dos tipos de copias de seguridad: las copias de seguridad de la configuración y las copias de
seguridad de datos. Para obtener más información, consulte el apartado “Restauración de datos” en la
página 197.
Cada host gestionado del despliegue, incluido QRadar Console, crea y almacena los archivos de copia de
seguridad de datos diaria de forma local. Se crea un archivo de copia de seguridad de datos para cada
día, que incluye los datos de sucesos y flujos del día anterior. El tamaño de la copia de seguridad de
datos diaria depende de la cantidad de datos de sucesos recibidos del día anterior.
La copia de seguridad de datos no incluye datos de aplicación. Para configurar y gestionar copias de
seguridad para datos de aplicación, consulte “Copia de seguridad y restauración de datos de
aplicaciones” en la página 200.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Tareas relacionadas:
“Restauración de datos” en la página 197
Puede restaurar los datos en la consola de IBM Security QRadar y los hosts gestionados a partir de los
archivos de copia de seguridad. La parte de datos de los archivos de copia de seguridad incluye
información como por ejemplo información de dirección IP de destino, datos de activo, información de
categoría de suceso, datos de vulnerabilidad,datos de flujo y datos de suceso.
De forma predeterminada, el proceso de copia de seguridad nocturna solamente incluye los archivos de
configuración. Puede personalizar el proceso de copia de seguridad nocturna para que incluya datos de
la consola de IBM Security QRadar y de determinados hosts gestionados. También puede personalizar el
periodo de retención de copia de seguridad, la ubicación del archivo de copia de seguridad, el límite de
tiempo para que se procese una copia de seguridad antes de que se produzca un tiempo de espera
excedido y la prioridad de copia de seguridad en relación con otros procesos de QRadar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Copia de seguridad y recuperación.
3. En la barra de herramientas, pulse Configurar.
4. En la ventana Configuración de la recuperación de copias de seguridad, personalice la copia de
seguridad nocturna.
5. Pulse Guardar.
6. Cierre la ventana Archivos de copia de seguridad.
7. En la pestaña Admin, pulse en Desplegar cambios.
Inicie un archivo de copia de seguridad bajo demanda durante un periodo en el que IBM Security
QRadar tenga poca carga de proceso, como puede ser fuera del horario de oficina habitual. Durante el
proceso de copia de seguridad, el rendimiento del sistema se ve afectado.
Opción Descripción
Nombre Escriba un nombre exclusivo que desee asignar a este
archivo de copia de seguridad. El nombre puede tener
una longitud máxima de 100 caracteres alfanuméricos. El
nombre puede contener los caracteres siguientes: signo
de subrayado (_), guión (-) o punto (.).
Descripción Escriba una descripción para este archivo de copia de
seguridad de la configuración. La descripción puede
tener como máximo 255 caracteres.
Antes de empezar
Debe configurar un servidor de correo electrónico para distribuir notificaciones del sistema en QRadar.
Para obtener más información, consulte la sección “Configuración del cortafuegos local” en la página 70.
Si una copia de seguridad falla, verá una de las siguientes notificaciones de sistema de error en copia de
seguridad:
v Copia de seguridad: necesita más espacio de disco
v Copia de seguridad: última copia de seguridad ha sobrepasado el umbral de ejecución
v Copia de seguridad: no se puede ejecutar la solicitud
Procedimiento
1. Pulse la pestaña Delitos.
2. En el panel Delitos pulse Reglas.
3. Pulse Acciones > Nueva regla de sucesos.
4. En el Asistente de reglas, marque el recuadro Omitir esta página al ejecutar este asistente de reglas
y pulse Siguiente.
5. En el recuadro de filtro, teclee la consulta de búsqueda siguiente:
cuando el suceso QID es uno de los siguientes QIDs
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Copia de seguridad y recuperación.
3. En el campo Cargar archivo, pulse Examinar.
4. Localice y seleccione el archivo que desea cargar. El archivo de archivado debe tener la extensión
.tgz.
5. Pulse Abrir.
6. Pulse Cargar.
Si se suprime un archivo de copia de seguridad, se elimina del disco y de la base de datos. Asimismo, se
elimina la entrada correspondiente en esta lista y se genera un suceso de auditoría para informar de la
eliminación.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Copia de seguridad y recuperación.
3. En la sección Copias de seguridad existentes, seleccione el archivo que desea suprimir.
4. Pulse Suprimir.
Antes de restaurar un archivo de copia de seguridad, tenga en cuenta las siguientes consideraciones:
v Solo puede restaurar un archivo de copia de seguridad creado en el mismo release de software,
incluido el nivel de parche. Por ejemplo, si ejecuta QRadar 7.1.0 (MR2), el archivo de copia de
seguridad debe haberse creado en QRadar.
v El proceso de restauración solamente restaura la información de configuración, los datos de delitos y
los datos de activos. Para obtener más información, consulte el apartado “Restauración de datos” en la
página 197.
v Si el archivo de copia de seguridad se ha originado en un sistema de consola habilitado para NAT,
solamente podrá restaurar ese archivo de copia de seguridad en un sistema habilitado para NAT.
Puede reiniciar la consola solamente después de que el proceso de restauración se haya completado.
El proceso de restauración puede durar hasta varias horas dependiendo del tamaño del archivo de copia
de seguridad que deba restaurarse. Cuando haya finalizado, se visualizará un mensaje de confirmación.
Una ventana proporciona el estado del proceso de restauración. Esta ventana proporciona los errores para
cada host y las instrucciones para resolver los errores.
Los parámetros siguientes están disponibles en la ventana Restaurar una copia de seguridad:
Tabla 44. Parámetros de Restaurar una copia de seguridad
Parámetro Descripción
Nombre Nombre del archivo de copia de seguridad.
Descripción Descripción, si procede, del archivo de copia de
seguridad.
Tipo Tipo de copia de seguridad. Solamente se pueden
restaurar las copias de seguridad de la configuración; por
lo tanto, este parámetro muestra config.
Seleccionar todos los elementos de configuración Cuando se selecciona, esta opción indica que todos los
elementos de configuración se incluyen en la
restauración del archivo de copia de seguridad.
Restaurar configuración Lista los elementos de configuración que se incluirán en
la restauración del archivo de copia de seguridad. Para
eliminar elementos, puede deseleccionar las casillas de
verificación de cada elemento que desee eliminar o
deseleccionar la casilla de verificación Seleccionar todos
los elementos de configuración.
Seleccionar todos los elementos de datos Cuando se selecciona, esta opción indica que todos los
elementos de datos se incluyen en la restauración del
archivo de copia de seguridad.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Copia de seguridad y recuperación.
3. Seleccione el archivo que desee restaurar.
4. Pulse Restaurar.
5. En la ventana Restaurar una copia de seguridad, configure los parámetros.
Nota: Al marcar el recuadro Configuración de aplicaciones instaladas, solo puede restaurar las
configuraciones de aplicaciones instaladas. Las configuraciones de extensiones no se restauran.
Marque el recuadro de selección Configuración del despliegue si desea restaurar las configuraciones
de extensiones.
6. Pulse Restaurar.
7. Pulse Aceptar.
8. Pulse Aceptar.
9. Seleccione una de las opciones siguientes:
v Si la interfaz de usuario se ha cerrado durante el proceso de restauración, abra un navegador web
e inicie sesión en IBM Security QRadar.
v Si no se ha cerrado la interfaz de usuario, se mostrará la ventana de inicio de sesión. Inicie la
sesión en QRadar.
10. Siga las instrucciones en la ventana de estado.
Una vez comprobado que los datos se han restaurado en el sistema, asegúrese de que también se hayan
restaurado los DSM, los exploradores de evaluaciones de vulnerabilidad (VA) y los protocolos de origen
de registro.
Puede reiniciar la consola solamente después de que el proceso de restauración se haya completado.
El proceso de restauración puede durar hasta varias horas dependiendo del tamaño del archivo de copia
de seguridad que deba restaurarse. Cuando haya finalizado, se visualizará un mensaje de confirmación.
Una ventana proporciona el estado del proceso de restauración. Esta ventana proporciona los errores para
cada host y las instrucciones para resolver los errores.
Debe detener el servicio iptables en cada host gestionado del despliegue. El servicio Iptables es un
cortafuegos basado en Linux.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Copia de seguridad y recuperación.
3. Seleccione el archivo que desea restaurar y pulse Restaurar.
4. En la ventana Restaurar una copia de seguridad, configure los parámetros y haga clic en Restaurar.
5. Detenga las tablas IP:
a. Inicie, mediante SSH, la sesión en el host gestionado como usuario root.
b. Escriba el mandato service iptables stop.
c. Repita esta acción para todos los hosts gestionados del despliegue.
6. En la ventana Restaurar una copia de seguridad, pulse Probar acceso a hosts.
7. Cuando la prueba se haya realizado con todos los hosts gestionados, verifique que en la columna
Estado de acceso se indica que el estado es Correcto.
8. Si en la columna Estado de acceso aparece el estado Sin acceso para un host, detenga iptables de
nuevo y, a continuación, pulse Probar acceso a hosts otra vez para intentar establecer conexión.
9. En la ventana Restaurar una copia de seguridad, configure los parámetros.
Nota: Al marcar el recuadro Configuración de aplicaciones instaladas, solo puede restaurar las
configuraciones de aplicaciones instaladas. Las configuraciones de extensiones no se restauran.
Marque el recuadro de selección Configuración del despliegue si desea restaurar las configuraciones
de extensiones.
10. Pulse Restaurar.
11. Pulse Aceptar.
12. Pulse Aceptar para iniciar sesión.
13. Seleccione una de las opciones siguientes:
v Si la interfaz de usuario se ha cerrado durante el proceso de restauración, abra un navegador web
e inicie sesión en QRadar.
v Si no se ha cerrado la interfaz de usuario, se mostrará la ventana de inicio de sesión. Inicie la
sesión en QRadar.
14. Vea el resultado del proceso de restauración y siga las instrucciones para resolver los errores que
puedan haberse producido.
15. Renueve la ventana del navegador web.
16. En la pestaña Admin, seleccione Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Una vez comprobado que los datos se han restaurado en el sistema, debe volver a aplicar los RPM para
los DSM, los exploradores de evaluaciones de vulnerabilidad (VA) o los protocolos de origen de registro.
Restauración de datos
Puede restaurar los datos en la consola de IBM Security QRadar y los hosts gestionados a partir de los
archivos de copia de seguridad. La parte de datos de los archivos de copia de seguridad incluye
información como por ejemplo información de dirección IP de destino, datos de activo, información de
categoría de suceso, datos de vulnerabilidad,datos de flujo y datos de suceso.
Cada host gestionado del despliegue, incluido QRadar Console, crea todos los archivos de copia de
seguridad en el directorio /store/backup/. El sistema podría incluir un montaje /store/backup de un
servicio de SAN o NAS externo. Los servicios externos proporcionan retención de datos fuera de línea a
largo plazo, que suele ser necesaria para las regulaciones de conformidad, como PCI.
Antes de empezar
Procedimiento
1. Utilice SSH para iniciar la sesión en IBM Security QRadar como usuario root.
2. Vaya al directorio /store/backup.
3. Para listar los archivos de copia de seguridad, teclee el mandato siguiente:
ls -l
4. Si se listan los archivos de copia de seguridad, vaya al directorio raíz tecleando el mandato siguiente:
cd /
Importante: Los archivos restaurados deben estar en el directorio /store. Si escribe cd en lugar de cd
/, los archivos se restauran en el directorio /root/store.
5. Para extraer los archivos de copia de seguridad a su directorio original, escriba el mandato siguiente:
tar -zxpvPf /store/backup/backup.nombre.ID_host_nombre_host .fecha destino.tipo de copia de
seguridad.indicación de fecha y hora.tgz
Resultados
La copia de seguridad diaria captura todos los datos de cada host. Si desea restaurar datos en un host
gestionado que contiene solamente datos de suceso o flujo, únicamente se restauran esos datos en ese
host. Si desea mantener los datos restaurados, aumente los valores de retención de datos para impedir
que las rutinas nocturnas de mantenimiento de disco supriman los datos restaurados.
Conceptos relacionados:
13, “Copia de seguridad y recuperación”, en la página 185
Puede realizar operaciones de copia de seguridad y recuperación de los datos y la información de IBM
Security QRadar utilizando la característica de copia de seguridad y recuperación para hacer una copia
de seguridad de los datos de sucesos y flujos. Sin embargo, debe restaurar manualmente los datos de
sucesos y flujos.
“Restaurar configuraciones y datos de QRadar” en la página 192
La restauración de un archivo de copia de seguridad es útil cuando se desea restaurar en el sistema IBM
Security QRadar archivos de configuración, datos de delitos y datos de activos previamente archivados.
Procedimiento
1. Para verificar que los archivos se han restaurado, revise el contenido de uno de los directorios
restaurados con el mandato siguiente:
cd /store/ariel/flows/payloads/<aaaa/mm/dd>
cd /store/ariel/events/payloads/<aaaa/mm/dd>
Puede ver los directorios restaurados que se crean para cada hora del día. Si faltan directorios, puede
que no se hayan capturado los datos correspondientes a ese periodo de tiempo.
2. Verifique que los datos restaurados están disponibles.
a. Inicie la sesión en la interfaz de QRadar.
b. Pulse la pestaña Actividad de registro o Actividad de red.
c. Seleccione Editar búsqueda en la lista Buscar de la barra de herramientas.
d. En el panel Rango de tiempo de la ventana Buscar, seleccione Intervalo específico.
e. Seleccione el rango de tiempo de los datos que ha restaurado y luego pulse Filtro.
f. Vea el resultado para verificar los datos restaurados.
g. Si los datos restaurados no están disponibles en la interfaz de QRadar, verifique que se hayan
restaurado en la ubicación correcta y que los permisos de archivo estén bien configurados.
Los archivos restaurados deben estar en el directorio /store. Si ha escrito cd en lugar de cd / al
extraer los archivos restaurados, compruebe si en el directorio /root/store están los archivos
restaurados. Si no ha cambiado de directorios antes de extraer los archivos restaurados, compruebe
si los archivos restaurados están en el directorio /store/backup/store.
Una vez comprobado que los datos se han restaurado, debe volver a aplicar los RPM para los DSM, los
exploradores de evaluaciones de vulnerabilidad (VA) y los protocolos de origen de registro.
La copia de seguridad de las configuraciones de aplicación se realiza como parte de la copia de seguridad
de configuración nocturna. La copia de seguridad de configuración incluye aplicaciones instaladas en
QRadar Console y en un nodo de aplicaciones. Puede restaurar la configuración de aplicaciones
seleccionando la opción Configuración de aplicaciones instaladas cuando restaura una copia de
seguridad.
Puede hacer una copia de seguridad de sus aplicaciones creando una copia de seguridad de
configuración. Una copia de seguridad de configuración no hace una copia de seguridad de los datos de
la aplicación.
Si QRadar Console tiene un nodo de aplicaciones adjunto, se hace una copia de seguridad de la
configuración del nodo de aplicaciones como parte de la Configuración del despliegue de la consola. No
puede restaurar un nodo de aplicaciones en QRadar Console con una dirección IP que no sea aquella con
la que se configuró inicialmente el nodo de aplicaciones.
De forma predeterminada las aplicaciones se restauran en la consola a menos que haya un nodo de
aplicaciones presente. Si QRadar no puede restaurar aplicaciones en su nodo de aplicaciones, intenta
restaurarlos en QRadar Console. El número de aplicaciones de nodo de aplicaciones que se pueden
restaurar en la consola está restringido por la cantidad de memoria disponible en QRadar Console. Las
aplicaciones definidas como node_only en su archivo de manifiesto de la aplicación no se pueden
restaurar en QRadar Console.
Nota: Al marcar el recuadro Configuración de aplicaciones instaladas, solo puede restaurar las
configuraciones de aplicaciones instaladas. Las configuraciones de extensiones no se restauran.
Marque el recuadro de selección Configuración del despliegue si desea restaurar las configuraciones
de extensiones.
Este script está en QRadar Console y en el nodo de aplicaciones si hay uno instalado. Después de añadir
un nodo de aplicaciones, las copias de seguridad de datos, las restauraciones de datos y las retenciones
ya no se llevan a cabo en QRadar Console. Debe utilizar el script del nodo de aplicaciones.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar Console como el usuario root.
2. Vaya al directorio /usr/local/bin/.
v Utilice los mandatos siguientes para realizar la copia de seguridad de datos de aplicaciones:
– Para realizar manualmente una copia de seguridad para todas las aplicaciones, especifique el
mandato:
./marathon-volume-backup.py backup -p /qapp
– Para realizar manualmente una copia de seguridad para una aplicación específica, especifique el
mandato:
./marathon-volume-backup.py backup -p /qapp-<id_apl>
Donde <id_apl> es el ID de la aplicación de cuyos datos desea hacer una copia de seguridad.
El script marathon-volume-backup.py se ejecuta por la noche a las 2:30 AM, hora local, para hacer
una copia de seguridad de todas las aplicaciones instaladas. Los archivos de copia de seguridad se
almacenan en la carpeta /store/backup/marathon.
v Para ver todas las copias de seguridad de datos para las aplicaciones instaladas, especifique el
mandato siguiente:
Si ha instalado QRadar en su hardware, QRadar intenta detectar y añadir automáticamente los orígenes
de flujo predeterminados para todos los dispositivos físicos, como, por ejemplo, una tarjeta de interfaz de
red (NIC). Cuando se asigna un IBM Security QRadar QFlow Collector, QRadar incluye un origen de
flujo de NetFlow predeterminado.
QRadar SIEM puede reenviar datos de origen de flujo externo con el método de suplantación o de no
suplantación:
Suplantación
Reenvía los datos de entrada recibidos de los orígenes de flujo a un destino secundario. Para
garantizar que los datos de origen de flujo se envían a un destino secundario, configure el
parámetro Interfaz de supervisión en la configuración del origen de flujo con el puerto en el que
se reciben los datos (puerto de gestión). Cuando se utiliza una interfaz específica, QRadar QFlow
Collector utiliza una captura de modalidad promiscua para obtener datos de origen de flujo, en
lugar del puerto de escucha UDP predeterminado en el puerto 2055. Como resultado, QRadar
QFlow Collector puede capturar paquetes de origen de flujo y reenviar los datos.
No suplantación
Para el método de no suplantación, configure el parámetro Interfaz de supervisión en la
configuración del origen de flujo como Cualquiera. QRadar QFlow Collector abre el puerto de
escucha, que es el puerto que está configurado como Puerto de supervisión para aceptar datos
de origen de flujo. Los datos se procesan y se reenvían a otro destino de origen de flujo. La
dirección IP de origen de los datos de origen de flujo se convierte en la dirección IP del sistema
de QRadar SIEM, no en el direccionador original que envió los datos.
Los orígenes que incluyen datos de paquete a través de una conexión a un puerto SPAN o una TAP se
consideran orígenes internos. Estos orígenes proporciona datos de paquete en bruto a un puerto de
supervisión del Recopilador de flujo, que convierte los detalles del paquete en registros de flujo.
QRadar no mantiene toda la carga útil del paquete. En su lugar, captura una instantánea del flujo,
denominada carga útil o captura de contenido, que incluye paquetes desde el inicio de la comunicación.
La recopilación de flujos procedentes de orígenes internos por lo general requiere un Recopilador de flujo
dedicado.
QRadar también admite orígenes de flujo externos, como los direccionadores que envían datos de
NetFlow, sFlow, J-Flow y Packeteer.
Los orígenes externos no requieren tanto uso de la CPU para su proceso por lo que puede enviarlos
directamente a un Procesador de flujos. En esta configuración puede tener un recopilador de flujos
dedicado y un procesador de flujos, y ambos recibiendo y creando datos de flujo.
NetFlow
NetFlow es una tecnología propietaria de contabilidad desarrollada por Cisco Systems. NetFlow
supervisa el tráfico de flujos a través de un conmutador o un direccionador, interpreta el cliente, el
servidor, el protocolo y el puerto que se utiliza, cuenta el número de bytes y paquetes, y envía los datos a
un recopilador de NetFlow.
Al proceso de enviar datos desde NetFlow se le suele llamar NDE (exportación de datos de NetFlow).
Puede configurar IBM Security QRadar para aceptar las NDE y así convertirse en un recopilador de
NetFlow. QRadar da soporte a NetFlow versiones 1, 5, 7 y 9. Para obtener más información sobre
NetFlow, consulte el sitio web de Cisco (http://www.cisco.com).
Mientras NetFlow amplía la cantidad de red que se supervisa, NetFlow utiliza un protocolo sin conexión
(UDP) para ofrecer las NDE. Después de que una NDE se envíe desde un conmutador o un
direccionador, el registro de NetFlow se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, NetFlow registra los registros inexactos y las funciones de alerta
reducidas. El resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Cuando configure un origen de flujo externo para NetFlow, debe realizar las tareas siguientes:
v Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas. Si cambia el parámetro
External Flow Source Monitoring Port en la configuración de IBM Security QRadar QFlow Collector,
también debe actualizar la configuración del acceso de cortafuegos.
v Asegúrese de que estén configurados los puertos adecuados para QRadar QFlow Collector.
Si utiliza NetFlow versión 9, asegúrese de que la plantilla de NetFlow del origen de NetFlow contenga
los campos siguientes:
v FIRST_SWITCHED
v LAST_SWITCHED
IPFIX
Internet Protocol Flow Information Export (IPFIX) es una tecnología de contabilidad. IPFIX supervisa el
tráfico de flujos a través de un conmutador o un direccionador, interpreta el cliente, el servidor, el
protocolo y el puerto que se utiliza, cuenta el número de bytes y paquetes y envía los datos a un
recopilador de IPFIX.
IBM Security Network Protection XGS 5000, un sistema de protección frente a intrusiones (IPS) de
próxima generación, es un ejemplo de dispositivo que envía tráfico de flujo en formato de flujo IPFIX.
Al proceso de enviar datos de IPFIX se le suele llamar NDE (exportación de datos de NetFlow). IPFIX
proporciona más información de flujo y una información más exhaustiva que NetFlow v9. Puede
configurar IBM Security QRadar para que acepte las NDE y así convertirse en un recopilador de IPFIX.
IPFIX utiliza UPD (User Datagram Protocol) para distribuir las NDE. Después de que una NDE se envíe
desde el dispositivo de reenvío de IPFIX, el registro de IPFIX podría purgarse.
Para configurar QRadar para que acepte tráfico de flujo de IPFIX, debe añadir un origen de flujo de
NetFlow. El origen de flujo de NetFlow procesa los flujos de IPFIX utilizando el mismo proceso.
El sistema de QRadar podría incluir un origen de flujo de NetFlow predeterminado; por lo tanto, no
tendría que configurar un origen de flujo de NetFlow. Para confirmar que el sistema incluye un origen de
flujo de NetFlow predeterminado, en la pestaña Admin, seleccione Orígenes de flujo. Si en la lista de
orígenes de flujo aparece default_Netflow, IPFIX ya está configurado.
Cuando configure un origen de flujo externo para IPFIX, debe realizar las tareas siguientes:
v Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas. Si cambia el parámetro
External Flow Source Monitoring Port en la configuración de IBM Security QRadar QFlow Collector,
también debe actualizar la configuración del acceso de cortafuegos.
v Asegúrese de que estén configurados los puertos adecuados para QRadar QFlow Collector.
v Asegúrese de que la plantilla de IPFIX del origen IPFIX incluye los siguientes elementos de
información listados en IANA:
– protocolIdentifier (4)
– sourceIPv4Address (8)
– destinationIPv4Address (12)
– sourceTransportPort (7)
– destinationTransportPort (11)
– octetDeltaCount (1) o postOctetDeltaCount (23)
– packetDeltaCount (2) o postPacketDeltaCount (24)
– tcpControlBits (6) (solo flujos TCP)
– flowStartSeconds (150) o flowStartMilliseconds (152) o flowStartDeltaMicroseconds (158)
– flowEndSeconds (151) o flowEndMilliseconds (153) o flowEndDeltaMicroseconds (159)
sFlow combina las muestras de flujos y los contadores de interfaz en datagramas sFlow que se envían a
través de la red a un recopilador de sFlow. IBM Security QRadar da soporte a las versiones 2, 4 y 5 de
sFlow. El tráfico de sFlow se basa en datos de muestreo y, por lo tanto, podría no representar todo el
tráfico de la red. Para obtener más información, consulte el sitio web de sFlow (www.sflow.org).
sFlow utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de sFlow se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, sFlow registra los registros inexactos y las funciones de alerta reducidas.
El resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos bidireccionales.
Cuando configure un origen de flujo externo para sFlow, debe realizar las tareas siguientes:
v Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas.
v Asegúrese de que estén configurados los puertos adecuados para QRadar VFlow Collector.
J-Flow
Tecnología de contabilidad propietaria utilizada por Juniper Networks que permite recopilar estadísticas
de los flujos de tráfico de IP. J-Flow permite exportar datos a un puerto UDP en un recopilador J-Flow.
También puede habilitar J-Flow en un direccionador o una interfaz para recopilar estadísticas de red de
ubicaciones específicas de la red.
Tenga en cuenta que el tráfico de J-Flow se basa en datos de muestreo y, por lo tanto, podría no
representar todo el tráfico de la red. Para obtener más información sobre J-Flow, consulte el sitio web de
Juniper Networks (www.juniper.net).
J-Flow utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de J-Flow se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, J-Flow registra los registros inexactos y las funciones de alerta
reducidas. El resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Cuando configure un origen de flujo externo para J-Flow, debe realizar las tareas siguientes:
v Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas.
v Asegúrese de que estén configurados los puertos adecuados para IBM Security QRadar QFlow
Collector.
Packeteer
Los dispositivos Packeteer recopilan, agregan y almacenan los datos de rendimiento de la red. Después
de configurar un origen de flujo externo para Packeteer, puede enviar información de flujo desde un
dispositivo Packeteer a IBM Security QRadar.
Packeteer utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de Packeteer se purga. Como se utiliza UDP para enviar esta información y no
se garantiza la entrega de los datos, Packeteer registra los registros inexactos y las funciones de alerta
reducidas. Podrían darse presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Para configurar Packeteer como un origen de flujo externo, debe realizar las tareas siguientes:
v Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas.
Interfaz de Napatech
Si ha instalado un adaptador de red Napatech en el sistema de IBM Security QRadar, la opción Interfaz
Napatech se muestra como origen de flujo basado en paquetes configurable en QRadar. El adaptador de
red Napatech es un adaptador de red inteligente y programable de próxima generación para la red. Para
obtener más información, consulte la documentación de Napatech .
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, en Flujos, haga clic en Orígenes de flujo.
3. Realice una de estas acciones:
v Para añadir un origen de flujo, pulse Añadir.
v Para editar un origen de flujo, seleccione el origen de flujo y pulse Editar.
4. Para crear este origen de flujo a partir de un origen de flujo existente, seleccione la casilla de
verificación Crear a partir de origen de flujo existente y seleccione un origen de flujo de la lista
Utilizar como plantilla.
5. Especifique el nombre en Nombre de origen de flujo.
Si ya tiene un dispositivo QRadar QFlow Collector 1310 con una tarjeta de red Napatech 10G, puede
duplicar el tráfico a QRadar Packet Capture.
Como se muestra en el diagrama siguiente, si ya tiene un dispositivo QRadar QFlow Collector 1310 con
una tarjeta de red Napatech 10G, puede duplicar el tráfico a QRadar Packet Capture.
Figura 10. Reenvío de datos de paquete desde un QRadar QFlow Collector a QRadar Packet Capture mediante la
tarjeta Napatech
Antes de empezar
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, en Flujos, haga clic en Orígenes de flujo.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, en Flujos, haga clic en Orígenes de flujo.
3. Seleccione el origen de flujo que desee suprimir y, a continuación, pulse Suprimir.
4. En la pestaña Admin, pulse en Desplegar cambios.
Cuando QRadar QFlow Collector recibe el tráfico de un dispositivo que tiene una dirección IP, pero no
tiene un alias actual, QRadar QFlow Collector intenta una búsqueda DNS inversa. La búsqueda se utiliza
para determinar el nombre de host del dispositivo.
Puede configurar el QRadar QFlow Collector para crear automáticamente los alias de origen de flujo de
trabajo. Cuando QRadar QFlow Collector recibe el tráfico de un dispositivo con una dirección IP, pero sin
alias actual, intenta una búsqueda DNS inversa para determinar el nombre de host del dispositivo.
Si la búsqueda es satisfactoria, QRadar QFlow Collector añade esta información a la base de datos y
notifica la información a todos los componentes QRadar QFlow Collector del despliegue. Si la búsqueda
falla, QRadar crea un alias predeterminado para el origen de flujo basado en el nombre del origen de
flujo y la dirección IP de origen. Por ejemplo, el alias predeterminado puede aparecer como
default_NetFlow_172.16.10.139.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, en Flujos, haga clic en Alias de origen de flujo.
3. Realice una de estas acciones:
v Para añadir un alias de origen de flujo, pulse Añadir y especifique los valores de los parámetros.
v Para editar un alias existente de origen de flujo, seleccione el alias del origen de flujo, pulse Editar
y actualice los parámetros.
4. Pulse Guardar.
5. En la pestaña Admin, pulse en Desplegar cambios.
Todos los grupos de redes remotas y servicios remotos tienen niveles de grupo y niveles de objeto de
hoja. Puede editar los grupos de redes remotas y servicios remotos añadiendo objetos a los grupos
existentes o cambiando las propiedades ya existentes para adaptarlos a su entorno.
Si mueve un objeto existente a otro grupo, el nombre del objeto se mueve desde el grupo existente hasta
el grupo recién seleccionado. Sin embargo, cuando los cambios de configuración se despliegan, los datos
del objeto que están almacenados en la base de datos se pierden y el objeto deja de funcionar. Para
resolver este problema, cree una vista nueva y vuelva a crear el objeto que existe con otro grupo.
Puede agrupar las redes remotas y los servicios remotos para su uso en las búsquedas de sucesos, flujos y
el motor de reglas personalizadas. Puede también agrupar las redes y los servicios en IBM Security
QRadar Risk Manager, si está disponible.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Los grupos y objetos que incluyen superflujos son solamente para fines informativos y no se pueden
editar. Los grupos y los objetos que incluyen bogons se configuran mediante la función de actualización
automática.
Nota: Puede utilizar conjuntos de referencia en lugar de redes remotas para proporcionar parte de la
funcionalidad. Aunque no puede asignar un nivel de confianza a un valor de IP en una tabla de
referencia, los conjuntos de referencia solo se utilizan con IPs individuales y no se pueden utilizar con
rangos de CIDR. Puede utilizar un valor de CIDR después de una actualización de red remota pero no
con niveles de peso o confianza.
Conceptos relacionados:
“Tipo de recopilaciones de datos de referencia” en la página 152
Hay diferentes tipos de recopilaciones de datos de referencia y cada tipo puede gestionar niveles
diferentes de complejidad de datos. Los tipos más comunes son conjuntos de referencia y correlaciones de
referencia.
En la lista siguiente se describen algunas de las prácticas sugeridas que puede seguir:
v Empaquete los objetos y utilice las pestañas Actividad de red y Actividad de registro para analizar los
datos de la red.
Un número menor de objetos crea menos entrada y menos salida en el disco.
v Normalmente, para los requisitos estándares del sistema, no supere los 200 objetos por grupo.
Más objetos pueden afectar a la potencia de proceso cuando se investigue el tráfico.
Utilice la ventana Redes remotas para añadir o editar un objeto de redes remotas.
Utilice la ventana Servicios remotos para añadir o editar un objeto de servicios remotos.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración de redes remotas y servicios remotos, haga clic en Servicios y redes
remotas.
3. Para añadir un objeto de servicios remotos, pulse Añadir y especifique los valores de los parámetros.
4. Para editar un objeto de servicios remotos, pulse el grupo que desea visualizar, pulse el icono Editar y
cambie los valores.
5. Pulse Guardar.
6. Pulse Volver.
7. Cierre la ventana Servicios remotos.
8. En el menú de la pestaña Admin, pulse Desplegar cambios.
Procedimiento
1. Inicie, mediante SSH, la sesión en QRadar como usuario root.
2. Para localizar la categoría de nivel bajo para la entrada de correlación de QID que desea crear, escriba
el mandato siguiente:
/opt/qradar/bin/qidmap_cli.sh -l
Si desea buscar una categoría de nivel bajo determinada, puede utilizar el mandato grep para filtrar
los resultados:
/opt/qradar/bin/qidmap_cli.sh -l | grep <texto>
3. Escriba el mandato siguiente:
qidmap_cli.sh -c --qname <nombre> --qdescription <descripción>
--severity <gravedad> --lowlevelcategoryid <ID>
En la tabla siguiente se describen las opciones de línea de mandatos para el programa de utilidad de
correlación QID:
Opciones Descripción
-c Crea una entrada de correlación de QID.
--qname <nombre> Nombre que desea asociar con esta entrada de correlación de QID. El
nombre puede tener una longitud máxima de 255 caracteres.
Procedimiento
1. Inicie, mediante SSH, la sesión en QRadar como usuario root.
2. Escriba el mandato siguiente:
qidmap_cli.sh -m --qid<QID> --qname <nombre> --qdescription <descripción>
--severity <gravedad>
En la tabla siguiente se describen las opciones de línea de mandatos para el programa de utilidad de
correlación QID:
Opciones Descripción
-m Modifica una entrada de correlación de QID definida por
el usuario ya existente.
--qid<QID> QID que desea modificar.
--qname <nombre> Nombre que desea asociar con esta entrada de
correlación de QID. El nombre puede tener una longitud
de hasta 255 caracteres y no debe tener espacios.
--qdescription <descripción> Descripción de esta entrada de correlación de QID. La
descripción puede tener una longitud de hasta 2048
caracteres y no debe tener espacios.
--severity <gravedad> Nivel de gravedad que desea asignar a esta entrada de
correlación de QID. El rango válido va de 0 a 10.
Procedimiento
1. Cree un archivo .txt que incluya las entradas de correlaciones de QID definidas por el usuario que
desea importar. Asegúrese de que cada entrada del archivo esté separada mediante una coma.
Seleccione una de las opciones siguientes:
v Si desea importar una nueva lista de entradas de correlaciones de QID definidas por el usuario,
cree el archivo con el formato siguiente para cada entrada:
,<nombre>,<descripción>,<gravedad>,<categoría>
Ejemplo:
,buffer,buffer_QID,7,18401 ,malware,malware_misc,8,18403
v Si desea importar una lista existente de entradas de correlaciones de QID definidas por el usuario,
cree el archivo con el formato siguiente para cada entrada:
<qid>,<nombre>,<descripción>,<gravedad>
Para una correlación de QID completa que incluya las entradas de QID del sistema predeterminadas,
utilice el mandato idlist.sh.
Procedimiento
1. Inicie, mediante SSH, la sesión en IBM Security QRadar como usuario root.
2. Para exportar el archivo de correlación de QID de las entradas definidas por el usuario, escriba el
mandato siguiente:
/opt/qradar/bin/qidmap_cli.sh -e -f <nombre_archivo.txt>
La opción <nombre_archivo.txt> es la vía de acceso del directorio y el nombre del archivo que desea
que contenga las entradas de correlaciones de QID.
3. Para exportar toda la correlación de QID, escriba el mandato siguiente:
/opt/qradar/bin/idlist.sh -e qid > <nombre_archivo.txt>
Para obtener más información sobre los componentes básicos, consulte la publicación Guía del usuario de
IBM Security QRadar.
Utilice la función Descubrimiento de servidores con IBM Security QRadar Vulnerability Manager para
crear reglas de excepción para vulnerabilidades benignas. Reduzca el número de vulnerabilidades
visualizadas para los siguientes Tipos de servidor:
Tabla 51. Vulnerabilidades de tipos de servidor
Tipo de servidor Vulnerabilidad
Servidores FTP Servidor FTP presente
Servidores DNS Servidor DNS en ejecución
Servidores de correo Servidor SMTP detectado
Servidores web Servicio web en ejecución
Para obtener más información sobre vulnerabilidades de falso positivo, consulte la Guía del usuario de IBM
Security QRadar Vulnerability Manager.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Descubrimiento de servidores
Utilice la pestaña Activos para descubrir servidores en la red.
Procedimiento
1. En el de navegación ( ), pulse Activos para abrir la pestaña Activos.
2. En el menú de navegación Activos, pulse Descubrimiento de servidores.
3. En la lista Tipo de servidor, seleccione el tipo de servidor que desee descubrir.
4. Seleccione una de las opciones siguientes para determinar los servidores que desea descubrir:
v Para utilizar el tipo seleccionado actualmente en Tipo de servidor para buscar en todos los
servidores del despliegue, seleccione Todos.
v Para buscar en los servidores del despliegue que estaban asignados al tipo seleccionado
actualmente en Tipo de servidor, seleccione Asignados.
v Para buscar en los servidores del despliegue que no están asignados, seleccione Sin asignar.
Puede crear perfiles de seguridad para limitar la información que está disponible para un grupo de
usuarios dentro de ese dominio. Los perfiles de seguridad proporcionan a los usuarios acceso únicamente
a la información que se necesita para completar sus tareas diarias. Se modifica solamente el perfil de
seguridad de los usuarios afectados, no cada usuario de forma individual.
También puede utilizar dominios para gestionar los rangos de direcciones IP solapados. Este método es
útil cuando se utiliza una infraestructura de IBM Security QRadar compartida para recopilar datos a
partir de varias redes. Al crear dominios que representan un espacio de direcciones determinado en la
red, varios dispositivos que se encuentran en dominios diferentes pueden tener la misma dirección IP
pero se tratarán como dispositivos independientes.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Direcciones IP solapadas
Una dirección IP solapada es una dirección IP que se ha asignado a más de un dispositivo o unidad
lógica, como un tipo de origen de sucesos, en una red. Los rangos de direcciones IP solapados pueden
causar problemas significativos a las empresas que fusionan redes después de adquisiciones corporativas
o a los proveedores de servicios de seguridad gestionados (MSSP) que incorporan nuevos clientes.
IBM Security QRadar debe ser capaz de diferenciar los sucesos y los flujos que proceden de distintos
dispositivos y que tienen la misma dirección IP. Si la misma dirección IP se ha asignado a más de un
origen de sucesos, puede crear dominios para distinguirlos.
Por ejemplo, supongamos un caso en el que la empresa A adquiere la empresa B y desea utilizar una
instancia compartida de QRadar para supervisar los activos de la empresa nueva. La adquisición tiene
una estructura de red similar que hace que se utilice la misma dirección IP para diferentes orígenes de
registro en cada empresa. Los orígenes de registro con la misma dirección IP provocan problemas de
correlación, creación de informes, búsqueda y creación de perfiles de activo.
Para distinguir el origen de los sucesos y los flujos que llegan a QRadar desde el origen de registro,
puede crear dos dominios y asignar cada origen de registro a un dominio diferente. Si es necesario,
también puede asignar cada recopilador de sucesos y recopilador de flujos al mismo dominio que el
origen de registro que les envía sucesos.
Para ver los sucesos entrantes por dominio, cree una búsqueda e incluya la información de dominio en
los resultados de la búsqueda.
También puede asignar exploradores de vulnerabilidades a un dominio específico para que los resultados
de la exploración estén adecuadamente marcados como pertenecientes a ese dominio. Una definición de
dominio puede constar de todos los orígenes de entrada de QRadar.
Para obtener información sobre la asignación de la red a dominios preconfigurados, consulte el apartado
“Jerarquía de red” en la página 77.
Cuando llegan sucesos y flujos al sistema de QRadar, los criterios de dominio se evalúan en función de la
granularidad de la definición de dominio.
Si un explorador tiene un dominio asociado, todos los activos que el explorador descubra se asignan
automáticamente al mismo dominio que el explorador.
La información de dominio se elimina cuando los datos se reenvían a otro sistema de QRadar. Los
sucesos y los flujos que contienen información de dominio se asignan automáticamente al dominio
predeterminado en el sistema de QRadar receptor. Para identificar qué sucesos y flujos están asignados al
dominio predeterminado, puede crear una búsqueda personalizada en el sistema receptor. Tal ver prefiera
volver a asignar estos sucesos y flujos a un dominio definido por el usuario.
Creación de dominios
Utilice la ventana Gestión de dominios para crear dominios basados en los orígenes de entrada de IBM
Security QRadar.
Los perfiles de seguridad se deben actualizar con un dominio asociado. Las restricciones de nivel de
dominio no se aplican hasta que se actualizan los perfiles de seguridad y se despliegan los cambios.
Cree perfiles de seguridad para definir qué usuarios tienen acceso a los dominios. Después de crear el
primer dominio en su entorno, debe actualizar los perfiles de seguridad para todos los usuarios no
administrativos para especificar la asignación de dominio. En los entornos que tienen en cuenta el
dominio, los usuarios no administrativo cuyo perfil de seguridad no especifique una asignación de
dominio no verán ninguna actividad de registro ni actividad de red.
Los usuarios pueden ver únicamente los datos que están dentro de los límites del dominio que está
configurado para los perfiles de seguridad que tienen asignados. Los perfiles de seguridad incluyen los
dominios como uno de los primeros criterios que se evalúan para restringir el acceso al sistema. Cuando
un dominio se asigna a un perfil de seguridad, tiene prioridad sobre otros permisos de seguridad.
Después de evaluar las restricciones de dominio, se evalúa cada perfil de seguridad para determinar los
permisos de red y de registro para cada uno de ellos.
Por ejemplo, a un usuario se le otorgan privilegios a Dominio_2 y acceso a la red 10.0.0.0/8. Dicho
usuario puede ver solamente los sucesos, los delitos, los activos y los flujos que proceden de Dominio_2 y
que contienen una dirección de la red 10.0.0.0/8.
Los perfiles de seguridad se deben actualizar con un dominio asociado. Las restricciones de nivel de
dominio no se aplican hasta que se actualizan los perfiles de seguridad y se despliegan los cambios.
Cuando asigne dominios a un perfil de seguridad, puede otorgar acceso a los siguientes tipos de
dominios:
Dominios definidos por el usuario
Puede crear dominios que están basados en orígenes de entrada mediante la herramienta Gestión
de dominios. Para obtener más información, consulte Creación de dominios.
Dominio predeterminado
Todo lo que no esté asignado a un dominio definido por el usuario se asigna automáticamente al
dominio predeterminado. El dominio predeterminado contiene los sucesos de todo el sistema.
Nota: Los usuarios que tienen acceso al dominio predeterminado pueden ver sucesos de todo el
sistema sin restricciones. Asegúrese de que este acceso es aceptable antes de asignar a los
usuarios acceso al dominio predeterminado. Todos los administradores tienen acceso al dominio
predeterminado.
Cualquier origen de registro que se descubra automáticamente en un recopilador de sucesos
compartido (que no está explícitamente asignado a un dominio) se descubre automáticamente en
el dominio predeterminado. Estos orígenes de registro requieren intervención manual. Para
identificar estos orígenes de registro, debe ejecutar periódicamente una búsqueda en el dominio
predeterminado que se agrupe por origen de registro.
Todos los dominios
Los usuarios a los que se les asigna un perfil de seguridad que tenga acceso a Todos los
dominios pueden ver todos los dominios activos del sistema, el dominio predeterminado y todos
los dominios que se hayan suprimido anteriormente en todo el sistema. También podrán ver
todos los dominios que se creen en el futuro.
Si suprime un dominio, no se puede asignar a un perfil de seguridad. Si el usuario tiene asignado Todos
los dominios o si el dominio se asignó al usuario antes de que se suprimiese, el dominio suprimido se
devuelve en los resultados históricos de la búsqueda de sucesos, flujos, activos y delitos. No se puede
filtrar por dominios suprimidos cuando se ejecuta una búsqueda.
Los usuarios administrativos pueden ver qué dominios están asignados a los perfiles de seguridad en la
pestaña Resumen de la ventana Gestión de dominios.
Las reglas las puede ver, modificar o inhabilitar cualquier usuario que tenga los permisos Mantener
reglas personalizadas y Ver reglas personalizadas, independientemente de a qué dominio pertenezca el
usuario.
Importante: cuando se añade la prestación de Actividad de registro a un rol de usuario, los permisos
Mantener reglas personalizadas y Ver reglas personalizadas se otorgan automáticamente. Los usuarios
que tienen estos permisos tienen acceso a todos los datos de registro de todos los dominios y pueden
editar reglas en todos los dominios, incluso si sus valores de perfil de seguridad tienen restricciones a
nivel de dominio. Para evitar que los usuarios del dominio puedan acceder a los datos de registro y
modificar las reglas de otros dominios, edite el rol de usuario y elimine los permisos Mantener reglas
personalizadas y Ver reglas personalizadas.
Puede utilizar dominios como criterio de búsqueda en las búsquedas personalizadas. El perfil de
seguridad controla en qué dominios puede realizar búsquedas.
Los sucesos de todo el sistema y los sucesos que no estén asignados a un dominio definido por el usuario
se asignan automáticamente al dominio predeterminado. Los administradores o los usuarios que tengan
un perfil de seguridad que proporcione acceso al dominio predeterminado pueden crear una búsqueda
personalizada para ver todos los sucesos que no están asignados a un dominio definido por el usuario.
El administrador de dominios personalizado puede compartir una búsqueda guardada con otros usuarios
de dominio. Cuando el usuario de dominio ejecuta esa búsqueda guardada, los resultados se limitan a su
dominio.
Puede restringir una regla para que se aplique solamente a los sucesos que se producen en un dominio
determinado. Un suceso que tenga una etiqueta de dominio que es diferente del dominio que está
establecido en la regla no desencadena una respuesta de suceso.
En un sistema de IBM Security QRadar que no tenga dominios definidos por el usuario, una regla crea
un delito y sigue contribuyendo a él cada vez que la regla se activa. En un entorno que tiene en cuenta el
dominio, una regla crea un nuevo delito cada vez que la regla se desencadena en el contexto de un
dominio diferente.
Las reglas que funcionan en el contexto de todos los dominios se denominan de reglas de todo el sistema.
Para crear una regla de todo el sistema que pruebe las condiciones en el sistema entero, seleccione
Cualquier dominio en la lista de dominios de la prueba And Domain Is. Una regla Cualquier dominio
crea un delito de Cualquier dominio.
Regla de un solo dominio
Si la regla es una regla con estados, los estados se mantienen por separado para cada dominio. La
regla se desencadena por separado para cada dominio. Cuando la regla se desencadena, se crean
delitos por separado para cada dominio involucrado y los delitos se etiquetan con esos dominios.
Delito de un solo dominio
El delito se etiqueta con el nombre de dominio correspondiente. Puede contener solamente
sucesos que están etiquetados con ese dominio.
Regla de todo el sistema
Si la regla es una regla con estados, se mantiene un solo estado para el sistema completo y las
etiquetas de dominio se pasan por alto. Cuando la regla se ejecuta, crea o contribuye a un único
delito de todo el sistema.
Delito de todo el sistema
El delito se etiqueta con Cualquier dominio. Contiene solamente sucesos que están etiquetados
con todos los dominios.
En la tabla siguiente se proporcionan ejemplos de reglas que tienen en cuenta el dominio. En el ejemplo
se utiliza un sistema que tiene tres dominios definidos: Dominio_A, Dominio_B y Dominio_C.
Los ejemplos de regla de la tabla siguiente pueden no ser aplicables en su entorno de QRadar. Por
ejemplo, las reglas que utilizan flujos y delitos no se pueden aplicar en IBM QRadar Log Manager.
Esta regla se comporta como dos Para los datos que están etiquetados
instancias independientes de una con Dominio_B, crea o contribuye a un
misma regla de dominio y crea delitos solo delito de dominio que está
por separado para los distintos etiquetado con Dominio_B.
dominios.
el dominio es uno de: Busca solamente los sucesos que están Cuando la regla detecta 10 flujos HTTP
Dominio_A, Dominio_B y un etiquetados con Dominio_A y Dominio_B que están etiquetados con Dominio_A en
prueba con estado que se define y pasa por alto los sucesos que están un minuto, crea o contribuye a un
como cuando se detecta flujo etiquetados con Dominio_C. delito que está etiquetado con
HTTP 10 veces en 1 minuto Dominio_A.
Esta regla se comporta como dos
instancias independientes de una Cuando la regla detecta 10 flujos HTTP
misma regla de dominio y mantiene que están etiquetados con Dominio_B en
dos estados por separado (contadores un minuto, crea o contribuye a un
de flujos HTTP) para dos dominios delito que está etiquetado con
diferentes. Dominio_B.
No hay definida ninguna prueba Busca los sucesos que están etiquetados Cada dominio independiente tiene
de dominio con todos los dominios y crea o delitos que se generan para él, pero los
contribuye a los delitos por dominio. delitos no contienen contribuciones de
otros dominios.
Una regla tiene una prueba con Busca los sucesos que están etiquetados Mantiene estados por separado y crea
estado que se define como con Dominio_A, Dominio_B o Dominio_C. delitos por separado para cada
cuando se detecta flujo HTTP 10 dominio.
veces en 1 minuto y no se ha
definido ninguna prueba de
dominio
el dominio es uno de: Cualquier Busca todos los sucesos, Crea o contribuye a un solo delito de
dominio independientemente de con qué todo el sistema que está etiquetado con
dominio esté etiquetado. Cualquier dominio.
el dominio es uno de: Cualquier Busca todos los sucesos, Crea o contribuye a un solo delito de
dominio y una prueba con estado independientemente de con qué todo el sistema que está etiquetado con
que se define como cuando se dominio esté etiquetado, y mantiene un Cualquier dominio.
detecta flujo HTTP 10 veces en 1 solo estado para todos los dominios.
minuto Por ejemplo, si detecta tres sucesos que
están etiquetados con Dominio_A, tres
sucesos que están etiquetados con
Dominio_B y cuatro sucesos que están
etiquetados con Dominio_C, crea un
delito porque ha detectado 10 sucesos
en total.
Cuando vea la tabla de delitos, puede ordenar los delitos pulsando la columna Dominio. Dominio
predeterminado no se incluye en la función de ordenación, por lo que no aparece en orden alfabético. Sin
embargo, aparece en la parte superior o inferior de la lista Dominio, en función de si la columna se
ordena en orden ascendente o descendente. Cualquier dominio no aparece en la lista de delitos.
Una propiedad personalizada se asigna a un dominio en función del resultado de la captura. Puede
asignar la misma propiedad personalizada a varios dominios, pero los resultados de captura deben ser
diferentes.
Por ejemplo, una propiedad de suceso personalizada, como userID, puede dar como resultado un usuario
individual o una lista de usuarios. Cada usuario puede pertenecer a un solo dominio.
En el diagrama siguiente, los orígenes de registro contienen información de identificación de usuario que
se expone como propiedad personalizada, userID. El recopilador de sucesos devuelve dos archivos de
usuario y cada usuario se asigna a un solo dominio. En este caso, un usuario se asigna al Dominio: 9 y el
otro usuario se asigna al Dominio: 12.
Importante: Antes de utilizar una propiedad personalizada en una definición de dominio, asegúrese de
que se ha seleccionado Optimizar el análisis de reglas, informes y búsquedas en la ventana
Propiedades de sucesos personalizadas. Esta opción garantiza que la propiedad de suceso personalizada
se analiza y se almacena cuando IBM Security QRadar recibe el suceso por primera vez. La segmentación
en dominios no produce producirá si esta opción no está seleccionada.
En un despliegue multiarrendatario, se asegura de que los clientes sólo ven sus datos mediante la
creación de dominios que están basados en sus orígenes de entrada de QRadar. A continuación, utilice
perfiles de seguridad y los roles de usuario para gestionar privilegios para grupos de usuarios de gran
tamaño dentro del dominio. Los perfiles de seguridad y los roles de usuario garantizan que los usuarios
sólo tengan acceso a la información que están autorizados a ver.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Proveedor de servicios
El proveedor de servicios es propietario del sistema y gestiona su utilización por parte de varios
arrendatarios. El proveedor de servicios puede ver los datos de todos los arrendatarios. El administrador
de MSSP (proveedor de servicios de seguridad gestionados) es normalmente responsable de las
actividades siguientes:
v Administra y supervisa el estado del sistema del despliegue de IBM Security QRadar.
v Suministra arrendatarios nuevos.
v Crea roles y perfiles de seguridad para administradores y usuarios de arrendatario.
v Protege el sistema contra el acceso no autorizado.
v Crea dominios para aislar datos de arrendatario.
v Despliega los cambios que el administrador de arrendatario ha realizado en el entorno de arrendatario.
v Supervisa las licencias de QRadar.
v Colabora con el administrador del arrendatario.
Arrendatarios
Cada arrendamiento incluye un administrador de arrendatario y usuarios de arrendatario. El
administrador de arrendatario puede ser un empleado de la organización arrendataria, o el proveedor de
servicios puede administrar el arrendatario en nombre del cliente.
Los usuarios de arrendatario no tienen privilegios administrativos y sólo pueden ver los datos a los que
tienen acceso. Por ejemplo, un usuario puede tener privilegios para ver los datos de sólo 1 de origen de
registro dentro de un dominio que tiene varios orígenes de registro.
Cuando llegan sucesos o flujos a IBM Security QRadar, QRadar evalúa las definiciones de dominio que
están configuradas, y los sucesos y flujos se asignan a un dominio. Un arrendatario puede tener más de
un dominio. Si no se han configurado dominios, los sucesos y los flujos se asignan al dominio
predeterminado.
Segmentación en dominios
Los dominios son grupos virtuales que se utilizan para segregar datos en función del origen de los datos.
Son los bloques de construcción de los entornos multiarrendatario. Se configuran dominios de los
siguientes orígenes de entrada:
v Recopiladores de sucesos y flujos
v Orígenes de flujo
v Orígenes de registro y grupos de orígenes de registro
v Propiedades personalizadas
v Exploradores
Un despliegue multiarrendatario puede consistir en una configuración de hardware básica que incluye
una consola de QRadar, un procesador de sucesos centralizado y un recopilador de sucesos para cada
cliente. En esta configuración, puede definir dominios en el nivel de recopilador, que a continuación
asigna automáticamente los datos recibidos por QRadar a un dominio.
Para consolidar la configuración de hardware aún más, puede utilizar un recopilador para varios clientes.
Si el mismo recopilador añade orígenes de registro o flujo que pertenecen a diferentes arrendatarios,
puede asignar los orígenes a dominios diferentes. Cuando se utilizan definiciones de dominio en el nivel
de origen de registro, cada nombre de origen de registro debe ser exclusivo en todo el despliegue de
QRadar.
Si es necesario separar los datos de un solo origen de registro y asignarlos a dominios diferentes, puede
configurar dominios desde propiedades personalizadas. QRadar busca la propiedad personalizada en la
carga útil y la asigna al dominio correcto. Por ejemplo, si ha configurado QRadar para integrarse con un
dispositivo Check Point Provider-1, puede utilizar propiedades personalizadas para asignar los datos de
ese origen de registro a distintos dominios.
Cuando los dominios están definidos en el nivel de recopilador y el recopilador de sucesos dedicado se
asigna a un solo dominio, los orígenes de registro nuevos que se detectan automáticamente se asignan a
ese dominio. Por ejemplo, todos los orígenes de registro que se detectan en Recopilador_sucesos_1 se
asignan a Dominio_A. Todos los orígenes de registro que se recopilan automáticamente en
Recopilador_sucesos_2 se asignan a Dominio_B.
Cuando los dominios están definidos en el nivel de origen de registro o de propiedad personalizada, los
orígenes de registro que se detectan automáticamente y no están ya asignados a un dominio se asignan
automáticamente al dominio predeterminado. El administrador de MSSP deben revisar los orígenes de
registro del dominio predeterminado y asignarlos a los dominios de cliente correctos. En un entorno
multiarrendatario, la asignación de orígenes de registro a un dominio específico impide la fuga de datos
y aplica la separación de datos en los dominios.
En este escenario, está incorporando un nuevo cliente. Debe suministrar un nuevo arrendatario y crear
una cuenta de administrador de arrendatario con derechos administrativos limitados dentro de su propio
arrendatario. Debe limitar el acceso del administrador del arrendatario de modo que no pueda ver ni
editar la información de otros arrendatarios.
Antes de suministrar un nuevo arrendatario, debe crear los orígenes de datos, como por ejemplo orígenes
de registro o recopiladores de flujo, para el cliente y asignarlos a un dominio.
Lleve a cabo las tareas siguientes utilizando las herramientas de la pestaña Admin para suministrar el
nuevo arrendatario en QRadar:
1. Para crear el arrendatario, pulse Gestión de arrendatarios.
Para obtener información sobre cómo establecer los límites de sucesos por segundo (EPS) y flujos por
minuto (FPM) para cada arrendatario, consulte “Supervisión del uso de licencias en despliegues
multiarrendatario”.
2. Para asignar dominios al arrendatario, pulse Gestión de dominios.
3. Para crear el rol de administrador de arrendatario y otorgar los permisos de Administración
delegada, pulse Roles de usuario.
En un entorno multiarrendatario, los usuarios de arrendatario con permisos de Administración
delegada sólo pueden ver datos de su propio entorno de arrendatario. Si asigna otros permisos
administrativos que no forman parte de la Administración delegada, el acceso dejará de estar
restringido a ese dominio.
4. Para crear los perfiles de seguridad de arrendatario y restringir el acceso a los datos especificando los
dominios del arrendatario, pulse Perfiles de seguridad.
5. Para crear los usuarios arrendatarios y asignar el rol de usuario, el perfil de seguridad y el
arrendatario, pulse Usuarios.
Cuando se crea un arrendatario, puede establecer límites para los sucesos por segundo (EPS) y los flujos
por minuto (FPM). Al establecer límites de EPS y FPM para cada arrendatario, se puede gestionar mejor
Si establece los límites de EPS y FPM en valores que superan los límites de sus licencias de software o
del hardware de dispositivo, el sistema disminuye automáticamente los sucesos y flujos de ese
arrendatario para asegurarse de que no se superen los límites. Si no establece límites de EPS y FPM para
los arrendatarios, cada arrendatario recibe sucesos y flujos hasta que se alcanzan los límites de la licencia
o el dispositivo. Los límites de licencia se aplican host gestionado. Si supera regularmente los límites de
la licencia, puede obtener una licencia diferente que sea más adecuado para su despliegue.
Las tasas de EPS y FPM que ha establecido para cada arrendatario no se validan automáticamente con
respecto a las titularidades de licencia. Para ver los límites acumulativos de las licencias de software que
se aplican al sistema en comparación con los límites de hardware de dispositivo, siga estos pasos:
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. Expanda Detalles de despliegue y pase el puntero del ratón por encima de Límite de sucesos o
Límite de flujos.
Utilice el campo Búsqueda avanzada para especificar una consulta AQL (Ariel Query Language) para ver
las tasas de EPS para orígenes de registro.
1. En la pestaña Actividad de registro, seleccione Búsqueda avanzada en la lista de la barra de
herramientas Buscar.
2. Para ver el EPS por origen de registro, escriba la consulta de AQL siguiente en el campo Búsqueda
avanzada:
select logsourcename(logsourceid) as LogSource, sum(eventcount) /
( ( max(endTime) - min(startTime) ) / 1000 ) as EPS from events
group by logsourceid order by EPS desc last 24 hours
Los valores de fecha para (endTime) y (startTime) deben estar representados en milisegundos desde
la época de UNIX 1 de enero de 1970.
Utilice el campo Búsqueda avanzada para especificar una consulta AQL (Ariel Query Language) para ver
las tasas de EPS para dominios.
1. En la pestaña Actividad de registro, seleccione Búsqueda avanzada en el cuadro de lista desplegable
de la barra de herramientas Buscar.
2. Para ver el EPS por dominio, escriba la consulta de AQL siguiente en el campo Búsqueda avanzada:
select DOMAINNAME(domainid) as LogSource, sum(eventcount) /
( ( max(endTime) - min(startTime)) / 1000 ) as EPS from events
group by domainid order by EPS desc last 24 hours
Los valores de fecha para (endTime) y (startTime) deben estar representados en milisegundos desde la
época de UNIX 1 de enero de 1970.
Si desea ver los promedios de frecuencia de EPS sólo para orígenes de registro, pulse Orígenes de
registro en el panel Orígenes de datos de la pestaña Admin. Puede utilizarlo para identificar
rápidamente problemas de configuración de orígenes de registro que no están informando.
Las tasas de EPS y FPM que ha establecido para cada arrendatario no se validan automáticamente con
respecto a las titularidades de licencia. Para ver los límites individuales de las licencias de software que
se aplican al sistema en comparación con los límites de hardware de dispositivo, siga estos pasos:
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. Expanda Detalles de despliegue y pase el ratón por encima de Límite de sucesos o Límite de flujos.
Utilice el campo Búsqueda avanzada para especificar una consulta AQL (Ariel Query Language) para ver
la tasa de EPS para un origen de registro individual.
1. Utilice una consulta PSQL para obtener un ID de origen de registro.
a. Utilice SSH para iniciar la sesión en QRadar como un administrador.
b. Acceda a PSQL mediante el mandato siguiente:
psql -U qradar
c. Obtenga una lista de nombres e IDs de origen de registro mediante el mandato siguiente:
select id,devicename from sensordevice;
d. Seleccione un ID de origen de registro de la lista.
2. En la pestaña Actividad de registro, seleccione Búsqueda avanzada en la lista de la barra de
herramientas Buscar.
3. Para ver la tasa de EPS para el origen de registro seleccionado, escriba la consulta de AQL siguiente
en el campo Búsqueda avanzada:
select logsourcename(logsourceid) as LogSource, sum(eventcount) /
( ( max(endTime) - min(startTime) ) / 1000 ) as EPS from events
where logsourceid=logsourceid
group by logsourceid order by EPS desc last 24 hours
Los valores de fecha para (endTime) y (startTime) deben estar representados en milisegundos desde
la época de UNIX 1 de enero de 1970.
Utilice el campo Búsqueda avanzada para especificar una consulta AQL (Ariel Query Language) para ver
la tasa de EPS para un dominio individual.
1. Utilice una consulta PSQL para obtener un ID de dominio.
a. Utilice SSH para iniciar la sesión en QRadar como un administrador.
b. Acceda a PSQL mediante el mandato siguiente:
psql -U qradar
c. Obtenga una lista de nombres e IDs de dominio mediante el mandato siguiente:
select id, name from domains;
d. Seleccione un ID de dominio de la lista.
2. En la pestaña Actividad de registro, seleccione Búsqueda avanzada en la lista de la barra de
herramientas Buscar.
3. Para ver la tasa de EPS para el dominio seleccionado, escriba la consulta de AQL siguiente en el
campo Búsqueda avanzada:
select DOMAINNAME(domainid) as LogSource, sum(eventcount) /
( ( max(endTime) - min(startTime)) / 1000 ) as EPS from events where
domainid=domainid
group by domainid order by EPS desc last 24 hours
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Visualice el archivo de registro /var/log/qradar.error y busque estos mensajes:
Estos mensajes indican que se han eliminado sucesos o flujos:
[Tenant:[tenantID]:[tenantName]
Suceso eliminado intentando añadir a cola de Regulador sucesos arrendatario.
La cola del Regulador de sucesos de arrendatario está llena.
[Tenant:[tenantID]:[tenantName]
Flujo eliminado intentando añadir a cola Regulador flujos arrendatario.
La cola del Regulador de flujos de arrendatario está llena.
Estos mensajes indican que la interconexión de procesos está cerca de su límite de capacidad:
El procesador de regulación no puede mantener los sucesos.
TENANT_QUEUE_THREAD_INTERVAL_IN_MILLISEC es probablemente demasiado corto.
El procesador de regulación no puede mantener los
flujos.
TENANT_QUEUE_THREAD_INTERVAL_IN_MILLISEC es probablemente demasiado corto.
Si el sistema está eliminando sucesos y flujos, puede ampliar su licencia para manejar más datos o puede
establecer límites de EPS y FPM más restrictivos para cada arrendatario.
La tabla siguiente muestra cómo puede utilizar el modificador de dominio para cambiar el ámbito de las
reglas en un despliegue multiarrendatario.
Tabla 53. Ámbito de reglas en un entorno multiarrendatario
Ámbito de regla Descripción Ejemplo de prueba de regla
Reglas de dominio Estas reglas incluyen sólo 1 y cuando el dominio es uno de los siguientes:
único modificador de dominio. manufacturing
Reglas de arrendatario Estas reglas incluyen todos los y cuando el dominio es uno de los siguientes:
único dominios que están asignados al manufacturing, finance, legal
arrendatario. Utilice reglas de
arrendatario único para correlacionar
los sucesos de varios dominios dentro
de un único arrendatario.
Al ser consciente del dominio, el motor de reglas personalizadas (CRE) aísla automáticamente las
correlaciones de sucesos de arrendatarios diferentes utilizando sus respectivos dominios. Para obtener
más información sobre cómo trabajar con reglas en una red segmentada por dominios, consulte 17,
“Segmentación en dominios”, en la página 223.
Para evitar que los usuarios puedan acceder a los datos de registro y modificar las reglas de otros
dominios o arrendatarios, edite el rol de usuario y elimine los permisos Mantener reglas personalizadas
y Ver reglas personalizadas. Sin estos permisos, el administrador y los usuarios del arrendatario no
pueden cambiar reglas, incluidas las reglas de su propio dominio.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Roles de usuario y seleccione el rol de usuario que
desee editar.
3. Bajo Actividad de registro, desmarque los recuadros de selección Mantener reglas personalizadas y
Ver reglas personalizadas.
4. Pulse Guardar.
Los administradores de arrendatarios que tienen el permiso Definir jerarquía de red pueden cambiar la
jerarquía de red dentro de su propio arrendatario.
Los cambios en la jerarquía de red requieren un despliegue de configuración completo para aplicar las
actualizaciones en el entorno de QRadar. Los despliegues de configuración completos reinician todos los
servicios de QRadar, y la recopilación de datos para los sucesos y flujos se detiene hasta que finaliza el
despliegue. Los administradores de arrendatarios deben ponerse en contacto con el administrador de
MSSP (Managed Security Service Provider) para desplegar los cambios. Los administradores de MSSP
pueden planificar el despliegue durante una parada planificada y notificar a todos los administradores de
arrendatarios por adelantado.
Si el despliegue de QRadar tiene más 10 arrendatarios, puede configurar una política de retención de
datos compartida y utilizar el filtro de dominios para crear una política de retención basada en dominio
para cada uno de los dominios del arrendatario. La adición de los dominios especifica que la política se
aplica sólo a los datos de dicho arrendatario.
Para obtener más información sobre la creación de políticas de retención, consulte el apartado “Retención
de datos” en la página 103.
La pestaña Activos de IBM Security QRadar proporciona una vista unificada de la información conocida
acerca de los activos de la red. A medida que QRadar descubre más información, el sistema actualiza el
perfil de activo y crea de forma incremental una imagen completa sobre el activo.
Los perfiles de activo se crean dinámicamente a partir de la información de identidad que se absorbe
pasivamente a partir de datos de suceso o flujo, o a partir de los datos que QRadar busca activamente
durante una exploración de vulnerabilidades. También puede importar datos de activos o editar el perfil
de activo manualmente. Para obtener más información, consulte los temas Importación de perfiles de activos
y Adición o edición de un perfil de activo del documento Guía del usuario de IBM Security QRadar.
Restricción: IBM QRadar Log Manager solo hace un seguimiento de datos de activo si IBM Security
QRadar Vulnerability Manager está instalado. Para obtener más información acerca de las diferencias
entre QRadar SIEM y QRadar Log Manager, consulte “Prestaciones de su producto IBM Security QRadar”
en la página 9.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Los datos de activos se escriben en la base de datos de activos de forma incremental, normalmente 2 o 3
datos a la vez. A excepción de las actualizaciones de los exploradores de vulnerabilidades de red, cada
actualización de activo contiene información sobre un solo activo.
Los datos de activos generalmente provienen de uno de los orígenes de datos de activos siguientes:
Sucesos
Las cargas útiles de sucesos, tales como las creadas por DHCP o servidores de autenticación, a
menudo contienen inicios de sesión de usuario, direcciones IP, nombres de hosts, direcciones
MAC y otro tipo de información de activos. Estos datos se proporcionan inmediatamente a la
base de datos de activos para ayudar a determinar a qué activo se aplica la actualización de
activo.
Los sucesos son la causa principal de las desviaciones de crecimiento de activos.
Flujos Las cargas útiles de flujo contienen información de comunicación, como la dirección IP, el puerto
y el protocolo, que se recopila a intervalos regulares configurables. Al final de cada intervalo, los
datos se proporcionan a la base de datos de activos, una dirección IP cada vez.
Puesto que los datos de activos de los flujos están emparejados con un activo según un solo
identificador, la dirección IP, los datos de flujo nunca son la causa de las desviaciones de
crecimiento de activos.
Cuando un origen de datos de activos está configurado con información de dominio, todos los datos de
activos que provienen de ese origen de datos se etiquetan automáticamente con el mismo dominio.
Puesto que los datos del modelo de activos tienen en cuenta el dominio, la información de dominio se
aplica a todos los componentes de QRadar, incluidos las identidades, los delitos, los perfiles de activo y el
descubrimiento de servidores.
Cuando vea el perfil de activo, algunos campos podrían estar en blanco. Los campos en blanco existen
cuando el sistema no ha recibido esta información en una actualización de activo o la información ha
sobrepasado el periodo de retención de activos. El periodo predeterminado de retención es 120 días. Una
dirección IP que aparezca como 0.0.0.0 indica que el activo no contiene información de dirección IP.
Cada actualización de activo debe contener información de confianza acerca de un único activo. Cuando
QRadar recibe una actualización de activo, el sistema determina a qué activo se aplica la actualización.
La conciliación de activos es el proceso mediante el cual se determina la relación entre las actualizaciones
de activos y el activo relacionado en la base de datos de activos. La conciliación de activos se produce
después de que QRadar reciba la actualización, pero antes de que la información se escriba en la base de
datos de activos.
Información de identidad
Cada activo debe contener al menos un dato de identidad. Las actualizaciones posteriores que contengan
un dato o más de los mismos datos de identidad se concilian con el activo propietario de los datos. Las
actualizaciones que se basan en las direcciones IP se manejan con cuidado para evitar coincidencias de
activos que sean falsos positivos. Los falsos positivos en las coincidencias de activos se producen cuando
a un activo físico se le asigna la propiedad de una dirección IP que anteriormente era propiedad de otro
activo del sistema.
Las direcciones MAC, los nombres de host NetBIOS y los nombres de host DNS son exclusivos y, por lo
tanto, se consideran datos de identidad definitivos. Las actualizaciones entrantes cuyas coincidencias con
un activo existente solamente sean la dirección IP se manejan de forma diferente que las actualizaciones
que coincidan con los datos de identidad más definitivos.
En los entornos que tienen en cuenta el dominio, las reglas de exclusión de conciliación de activos hacen
un seguimiento del comportamiento de los datos de activos por separado en cada dominio.
Puede ver estas reglas en la pestaña Delitos pulsando Reglas y, a continuación, seleccionando el grupo
Exclusión de conciliación de activos en la lista desplegable.
La fusión de activos se produce cuando una actualización de activo contiene datos de identidad que
coinciden con dos perfiles de activo diferentes. Por ejemplo, una única actualización que contiene un
nombre de host NetBIOS que coincide con un perfil de activo y una dirección MAC que coincide con otro
perfil de activo diferente podría desencadenar una fusión de activos.
En algunos sistemas se puede observar un gran volumen de fusión de activos porque tienen orígenes de
datos de activos que inadvertidamente combinan en una misma actualización de activo información de
identidad de dos activos físicos diferentes. Como ejemplos de estos sistemas cabe citar los entornos
siguientes:
v Servidores syslog centrales que actúan como proxy de sucesos
v Máquinas virtuales
v Entornos de instalación automatizada
v Nombres de host no exclusivos, frecuentes con activos como iPads y iPhones.
v Redes privadas virtuales que tienen direcciones MAC compartidas
v Extensiones de origen de registro cuyo campo de identidad es OverrideAndAlwaysSend=true
Los activos que tienen muchas direcciones IP, direcciones MAC o nombres de host presentan desviaciones
en el crecimiento de los activos y pueden desencadenar notificaciones del sistema.
En la base de cada desviación de crecimiento de activos se encuentra un origen de datos de activos cuyos
datos no son de confianza para actualizar el modelo de activos. Cuando se identifica una desviación
potencial del crecimiento de los activos, debe examinar el origen de la información para determinar si
hay una explicación razonable para que un activo acumule grandes cantidades de datos de identidad. La
causa de una desviación de crecimiento de activos es específica de un entorno.
Supongamos que hay un servidor de VPN (red privada virtual) en una red DHCP (Protocolo de
configuración dinámica de hosts). El servidor de VPN está configurado para asignar direcciones IP a los
clientes de VPN entrantes enviando mediante un proxy las solicitudes DHCP en nombre del cliente al
servidor DHCP de la red.
Desde la perspectiva del servidor DHCP, la misma dirección MAC solicita muchas asignaciones de
direcciones IP en repetidas ocasiones. En el contexto de las operaciones de red, el servidor VPN delega
las direcciones IP a los clientes, pero el servidor DHCP no puede distinguir cuándo una solicitud la
realiza un activo en nombre de otro.
Finalmente, un solo perfil de activo contiene todas las direcciones IP que se han asignado al servidor de
VPN. Esta desviación de crecimiento de activos está causada por las actualizaciones de activos que
contienen información acerca de más de un activo.
Valores de umbral
Cuando un activo de la base de datos alcanza un número determinado de propiedades, tales como varias
direcciones IP o direcciones MAC, QRadar bloquea ese activo para que no reciba más actualizaciones.
Los valores de umbral del perfilador de activos indican las condiciones bajo las cuales un activo está
bloqueado frente a las actualizaciones. El activo se actualiza normalmente hasta el valor del umbral.
Cuando el sistema recopila datos suficientes para superar el umbral, el activo muestra una desviación de
crecimiento de activo. Las futuras actualizaciones del activo se bloquean hasta que la desviación de
crecimiento se corrija.
Los siguientes mensajes del sistema indican que QRadar ha identificado posibles desviaciones de
crecimiento de activos:
v El sistema ha detectado perfiles de activo que sobrepasan el umbral de tamaño normal
v Las reglas de listas negras de activos han añadido datos de activo nuevos a las listas negras
de activos
Los mensajes de notificación del sistema incluyen enlaces a los informes para que sea más fácil identificar
los activos que presentan desviaciones de crecimiento.
El crecimiento de activos puede estar causado por grandes volúmenes de datos de activos que cambian
de forma correcta, como en las situaciones siguientes:
v Un dispositivo móvil que va de una oficina a otra con frecuencia al que se le asigna una dirección IP
nueva cada vez que inicia sesión.
v Un dispositivo que se conecta a una wifi pública con cesiones breves de direcciones IP, como por
ejemplo en un campus universitario, puede recopilar grandes volúmenes de datos de activos durante
un semestre.
El usuario configura una extensión de origen de registro personalizado para proporcionar actualizaciones
de activos a IBM Security QRadar mediante el análisis de los nombres de usuario de la carga útil de
En lugar de que QRadar reciba una actualización que tiene el nombre de host del activo en el que el
usuario ha iniciado sesión, el origen de registro genera muchas actualizaciones de activos que tienen el
mismo nombre de host.
En esta situación, la desviación de crecimiento de activos está causada por un solo perfil de activo que
contiene muchas direcciones IP y muchos nombres de usuario.
Explicación
La carga útil muestra una lista de los cinco activos que presentan desviaciones con más frecuencia y
proporciona información sobre por qué el sistema ha marcado cada activo como una desviación de
crecimiento. Tal como se muestra en el ejemplo siguiente, la carga útil también muestra el número de
veces que el activo ha intentado crecer más allá del umbral del tamaño de activo.
Feb 13 20:13:23 127.0.0.1 [AssetProfilerLogTimer]
com.q1labs.assetprofile.updateresolution.UpdateResolutionManager:
[INFO] [NOT:0010006101][9.21.118.83/- -] [-/- -]
Los cinco activos que presentan desviaciones con más frecuencia entre
el 13 de febrero de 2015 8:10:23 PM AST y el 13 de febrero de 2015 8:13:23 PM AST:
[ASSET ID:1003, REASON:Too Many IPs, COUNT:508],
[ASSET ID:1002, REASON:Too many DNS Names, COUNT:93],
[ASSET ID:1001, REASON:Too many MAC Addresses, COUNT:62]
Cuando los datos de activos exceden el umbral configurado, QRadar bloquea el activo frente a
actualizaciones futuras. Esta intervención evita que el sistema reciba más datos dañados y mitiga el
impacto en el rendimiento que podría producirse si el sistema intenta conciliar las actualizaciones de
entrada con un perfil de activo anormalmente grande.
Si los datos de activos son válidos, los administradores de QRadar pueden aumentar los límites de
umbral para las direcciones IP, las direcciones MAC, los nombres de host NetBIOS y los nombres de host
DNS en Configuración del perfilador de activos en la pestaña Admin de QRadar.
Explicación
Las reglas de exclusión de activos supervisan los datos de activos para comprobar la coherencia y la
integridad. Las reglas hacen un seguimiento de datos de activos concretos a lo largo del tiempo para
asegurarse de que están siendo observados siempre con el mismo subconjunto de datos dentro de un
plazo de tiempo razonable.
Por ejemplo, si una actualización de activo incluye una dirección MAC y un nombre de host DNS, la
dirección MAC está asociada con ese nombre de host DNS durante un periodo de tiempo concreto. Las
actualizaciones de activos posteriores que contengan esa dirección MAC también contienen ese nombre
de host DNS si se incluye alguno en la actualización de activo. Si la dirección MAC de repente se asocia
con un nombre de host DNS diferente durante un periodo breve de tiempo, el cambio se supervisa. Si la
dirección MAC cambia de nuevo dentro de un periodo breve, la dirección MAC se marca para indicar
que contribuye a una instancia de crecimiento de activo anormal o con desviaciones.
Si los datos de activos son válidos, los administradores de QRadar pueden configurar QRadar para
resolver el problema.
v Si las listas negras se llenan demasiado rápido, puede ajustar las reglas de exclusión de conciliación de
activos que las llenan.
v Si desea añadir los datos a la base de datos de activos, puede eliminar los datos de activos de la lista
negra y añadirlos a la lista blanca de activos correspondiente. Al añadir datos de un activo a la lista
blanca se impide que reaparezcan inadvertidamente en la lista negra.
Conceptos relacionados:
“Ajuste avanzado de reglas de exclusión de conciliación de activos” en la página 258
Puede ajustar las reglas de exclusión de conciliación de activos para refinar la definición de la desviación
de crecimiento de activos en una o varias reglas.
Utilice la lista siguiente como ayuda para decidir cómo evitar las desviaciones de crecimiento de activos:
v Averigüe cómo QRadar maneja los datos de activos obsoletos.
Los datos de activos obsoletos son los datos de activos históricos que no han observado de forma activa ni
pasiva dentro de un plazo de tiempo específico. Los datos de activos obsoletos se suprimen cuando
exceden el periodo de retención configurado.
Los registros históricos se activan de nuevo si IBM Security QRadar los observa de forma pasiva, a través
de sucesos y flujos o de forma activa, a través de exploradores de vulnerabilidades y puertos.
Para evitar las desviaciones de crecimiento de activos es necesario encontrar el equilibrio adecuado entre
el número de direcciones IP permitidas para un activo y la cantidad de tiempo que QRadar conserva los
datos de activos. Debe tener en cuenta las compensaciones de rendimiento y gestión antes de configurar
QRadar para dar cabida a altos niveles de retención de datos de activos. Si bien unos periodos de
retención más largos y unos umbrales por activo superiores pueden parecer deseables en todo momento,
un enfoque más adecuado es determinar una configuración básica que sea aceptable para el entorno y
probar dicha configuración. A continuación, puede ampliar los umbrales de retención en pequeños
incrementos hasta lograr el equilibrio adecuado.
Tareas relacionadas:
“Ajuste de los valores de retención del perfilador de activos” en la página 255
IBM Security QRadar utiliza los valores de retención de activos para gestionar el tamaño de los perfiles
de activo.
“Ajuste del número de direcciones IP permitidas para un único activo” en la página 256
IBM Security QRadar supervisa el número de direcciones IP que un activo acumula a lo largo del tiempo.
Una lista negra de activos es un conjunto de datos que QRadar considera no fiables. Los datos de la lista
negra de activos pueden contribuir a la aparición de desviaciones de crecimiento de activos y QRadar
impide que los datos se añadan a la base de datos de activos.
Las listas negras y las listas blancas de activos son conjuntos de referencia. Puede ver y modificar los
datos de las listas negras y las listas blancas de activos mediante la herramienta Gestión de conjuntos de
referencia en QRadar Console. Para obtener más información sobre el trabajo con conjuntos de referencia,
consulte el apartado “Visión general de los conjuntos de referencia” en la página 153.
Como alternativa, puede utilizar la interfaz de línea de mandatos (CLI) o el punto final de la API
RestFUL para actualizar el contenido de las listas negras y blancas de activos.
Cada actualización de activo en QRadar se compara con las listas negras de activos. Los datos de activos
en listas negras se aplican globalmente en todos los dominios. Si la actualización de activo contiene
información de identidad (dirección MAC, nombre de host NetBIOS, nombre de host DNS o dirección IP)
que se encuentra en una lista negra, la actualización de entrada se descarta y la base de datos de activos
no se actualiza.
En la tabla siguiente se muestra el nombre y el tipo de recopilación de referencia para cada tipo de datos
de activos de identidad.
Tabla 55. Nombres de recopilación de referencia para los datos de las listas negras de activos
Tipo de datos de
identidad Nombre de recopilación de referencia Tipo de recopilación de referencia
Direcciones IP (v4) Lista negra de IPv4 de conciliación de Conjunto de referencia [Tipo de conjunto: IP]
activos
Nombres de host DNS Lista negra de DNS de conciliación de Conjunto de referencia [Tipo de conjunto:
activos ALNIC*]
Nombres de host Lista negra de NetBIOS de conciliación de Conjunto de referencia [Tipo de conjunto:
NetBIOS activos ALNIC*]
Direcciones MAC Lista negra de MAC de conciliación de Conjunto de referencia [Tipo de conjunto:
activos ALNIC*]
* ALNIC es un tipo alfanumérico que puede dar cabida tanto al nombre de host como a los valores de dirección
MAC.
Puede utilizar la herramienta Gestión de conjuntos de referencia para editar las entradas de la lista negra.
Para obtener información sobre el trabajo con conjuntos de referencia, consulte el apartado Gestión de
conjuntos de referencia (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/
com.ibm.qradar.doc/c_qradar_adm_mge_ref_set.html).
Conceptos relacionados:
“Listas blancas de activos” en la página 252
Puede utilizar listas blancas de activos para evitar que los datos de activos de IBM Security QRadar
reaparezcan inadvertidamente en las listas negras de activos.
Una lista blanca de activos es un conjunto de datos de activos que altera la lógica del motor de conciliación
de activos con la que se añaden datos a una lista negra de activos. Cuando el sistema identifica una
coincidencia en la lista negra, comprueba la lista blanca para ver si el valor existe. Si la actualización de
activo coincide con datos que están en la lista blanca, el cambio se concilia y el activo se actualiza. Los
datos de activos en listas blancas se aplican globalmente en todos los dominios.
Puede utilizar la herramienta Gestión de conjuntos de referencia para editar las entradas de la lista
blanca. Para obtener información sobre el trabajo con conjuntos de referencia, consulte Gestión de
conjuntos de referencia.
La lista blanca es útil si tiene datos de activos que siguen apareciendo en las listas negras aunque se trate
de una actualización de activo válido. Por ejemplo, podría tener un equilibrador de carga DNS con
rotación que está configurado para rotar en un conjunto de cinco direcciones IP. Las reglas de exclusión
de conciliación de activos podrían determinar que el hecho de que haya varias direcciones IP asociadas
con el mismo nombre de host DNS es una indicación de que existe una desviación de crecimiento de
activos, y el sistema podría añadir el equilibrador de carga DNS a la lista negra. Para resolver este
problema, puede añadir el nombre de host DNS a la lista blanca de DNS de conciliación de activos.
Una base de datos de activos precisa facilita la conexión de los delitos que se desencadenan en el sistema
a activos físicos o virtuales en la red. Pasar por alto las desviaciones de activos añadiendo entradas en
masa a la lista blanca de activos no es útil para la creación de una base de datos de activos precisa. En
lugar de añadir entradas en masa a la lista blanca, revise la lista negra de activos para determinar qué
está contribuyendo a la desviación de crecimiento de activos y luego determine cómo solucionar el
problema.
Cada tipo de datos de identidad se mantiene en una lista blanca por separado. En la tabla siguiente se
muestra el nombre y el tipo de recopilación de referencia para cada tipo de datos de activos de identidad.
Tabla 56. Nombre de recopilación de referencia para los datos de las listas blancas de activos
Tipo de datos Nombre de recopilación de referencia Tipo de recopilación de referencia
Direcciones IP Lista blanca de IPv4 de conciliación de Conjunto de referencia [Tipo de conjunto: IP]
activos
Nombres de host DNS Lista blanca de DNS de conciliación de Conjunto de referencia [Tipo de conjunto:
activos ALNIC*]
Nombres de host Lista blanca de NetBIOS de conciliación de Conjunto de referencia [Tipo de conjunto:
NetBIOS activos ALNIC*]
Direcciones MAC Lista blanca de MAC de conciliación de Conjunto de referencia [Tipo de conjunto:
activos ALNIC*]
* ALNIC es un tipo alfanumérico que puede dar cabida al nombre de host y a valores de dirección MAC.
Conceptos relacionados:
Para gestionar los conjuntos de referencia, ejecute el programa de utilidad ReferenceSetUtil.sh desde
/opt/qradar/bin en la QRadar Console.
Los mandatos para añadir valores nuevos a cada lista se describen en la tabla siguiente. Los valores de
los parámetros deben coincidir exactamente con los valores de actualización de los activos
proporcionados por el origen de datos de activos de donde proceden.
Tabla 57. Sintaxis de mandatos para modificar los datos de las listas negras y las listas blancas de activos
Nombre Sintaxis del mandato
Lista negra de ReferenceSetUtil.sh add "Lista negra de IPv4 de conciliación de activos" IP
IPv4 de
conciliación de Por ejemplo, este mandato añade la dirección IP 192.168.3.56 a la lista negra:
activos
ReferenceSetUtil.sh add "Lista negra de IPv4 de conciliación de activos" 192.168.3.56
Lista negra de ReferenceSetUtil.sh add "Lista negra de DNS de conciliación de activos" DNS
DNS de
conciliación de Por ejemplo, este mandato añade el nombre de dominio 'misbehaving.asset.company.com' a la
activos lista negra:
Tareas relacionadas:
“Actualización de listas negras y listas blancas mediante la API RESTful”
Puede utilizar la API RESTful de IBM Security QRadar para personalizar el contenido de las listas negras
y las listas blancas de activos.
Debe especificar el nombre exacto del conjunto de referencia que desea ver o actualizar.
v Lista negra de IPv4 de conciliación de activos
v Lista negra de DNS de conciliación de activos
v Lista negra de NetBIOS de conciliación de activos
v Lista negra de MAC de conciliación de activos
v Lista blanca de IPv4 de conciliación de activos
v Lista blanca de DNS de conciliación de activos
v Lista blanca de NetBIOS de conciliación de activos
v Lista blanca de MAC de conciliación de activos
Procedimiento
1. Escriba el URL siguiente en el navegador web para acceder a la interfaz de API RESTful:
https://dirección_IP_consola/api_doc
2. En el panel de navegación de la izquierda, busque 4.0>/reference_data >/sets > /{nombre}.
3. Para ver el contenido de una lista negra o blanca de activos, siga estos pasos:
a. Pulse la pestaña GET y desplácese hacia abajo hasta la sección Parámetros.
b. En el campo Valor correspondiente al parámetro Nombre, escriba el nombre de la lista negra o
blanca de activos que desea ver.
c. Pulse Inténtelo; los resultados aparecen en la parte inferior de la pantalla.
4. Para añadir un valor a una lista negra o blanca de activos, siga estos pasos:
a. Pulse la pestaña POST y desplácese hacia abajo hasta la sección Parámetros.
b. Escriba los valores de los parámetros siguientes:
c. Pulse Inténtelo para añadir el nuevo valor a la lista negra o blanca de activos.
Para obtener más información sobre el uso de la API RESTful para cambiar los conjuntos de referencia,
consulte la publicación IBM Security QRadar API Guide.
Conceptos relacionados:
“Actualización de las listas negras y listas blancas de activos mediante el programa de utilidad de
conjunto de referencia” en la página 253
Puede utilizar el programa de utilidad de conjunto de referencia de IBM Security QRadar para añadir o
modificar las entradas que se encuentran en las listas negras y las listas blancas de activos.
El periodo de retención predeterminado para la mayoría de los datos de activos es de 120 días después
de la última vez que se han observado de forma pasiva o activa en QRadar. Los nombres de usuario se
conservan durante 30 días.
Los datos de activos que los usuarios de QRadar han añadido manualmente no suelen contribuir a las
desviaciones de crecimiento de activos. De forma predeterminada, estos datos se conservan
indefinidamente. Para todos los demás tipos de datos de activos, se recomienda el distintivo Retener
siempre solamente para los entornos estáticos.
Cuando cambia el periodo de retención de activos para un tipo específico de datos de activos, el nuevo
periodo de retención se aplica a todos los datos de activos en QRadar. Los datos de activos existentes que
ya superan el nuevo umbral se eliminan cuando el despliegue finaliza. Para asegurarse de que siempre
podrá identificar los hosts mencionados incluso si los datos de activos superan el periodo de retención, el
proceso de limpieza de retención de activos no elimina el último valor conocido de nombre de host
correspondiente a un activo.
Antes de determinar cuántos días desea conservar los datos de activos, es necesario que comprenda las
características siguientes sobre un periodo de retención más largo:
v Proporciona una mejor vista histórica de sus activos.
v Crea volúmenes de datos más grandes por cada activo en la base de datos de activos.
v Aumenta la probabilidad de que los datos obsoletos contribuyan a los mensajes de desviación de
crecimiento de activos.
De forma predeterminada, QRadar genera un mensaje del sistema cuando un único activo acumula más
de 75 direcciones IP. Si prevé que los activos acumularán más de 75 direcciones IP, puede ajustar el valor
de Número de IP permitidas para un único activo para evitar los mensajes del sistema en el futuro.
Si se establece el límite para el número de direcciones IP en un valor demasiado alto, se impide que
QRadar detecte las desviaciones de crecimiento de activos antes de que tengan un impacto negativo en el
resto del despliegue. Si el límite se establece en un valor demasiado bajo, se incrementa el número de
desviaciones de crecimiento de activos que se notifican.
Puede utilizar la directriz siguiente cuando ajuste el valor Número de IP permitidas para un único
activo por primera vez.
Número de direcciones IP que están permitidas para un único activo = (<tiempo de retención (días)> x
<direcciones IP estimadas por día>) + <número de direcciones IP en almacenamiento intermedio>
Donde:
v <direcciones IP estimadas por día> es el número de direcciones IP que un activo puede acumular en un
día en condiciones normales
v <tiempo de retención (días)> es la cantidad de tiempo preferida para conservar las direcciones IP del
activo
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Configuración de perfilador de activos.
3. Pulse Configuración de retención del perfilador de activos.
4. Ajuste los valores de configuración y pulse Guardar.
5. Despliegue los cambios en el entorno para que las actualizaciones entren en vigor.
Tareas relacionadas:
“Ajuste de los valores de retención del perfilador de activos” en la página 255
IBM Security QRadar utiliza los valores de retención de activos para gestionar el tamaño de los perfiles
de activo.
Por ejemplo, los orígenes de datos pueden proporcionar grandes volúmenes de información de identidad
de activo a la base de datos de activos. Proporcionan a IBM Security QRadar los cambios en la
información de activos en tiempo casi real y pueden mantener actualizada la base de datos de activos.
Sin embargo, los orígenes de registro suelen ser la fuente más frecuente de las desviaciones del
crecimiento de activos y otras anomalías relacionadas con los activos.
Cuando un origen de registro envía datos de activos incorrectos a QRadar, intente corregir el origen de
registro para que los datos que envía se puedan utilizar en la base de datos de activos. Si el origen de
registro no se puede arreglar, puede crear una búsqueda de exclusión de identidades que impida que la
información de activos se incorpore a la base de datos de activos.
Las listas negras solamente pueden especificar los datos de activos en bruto, tales como direcciones MAC
y nombres de host, que se van a excluir. Las búsquedas de exclusión de identidades filtran los datos de
activos según campos de búsqueda tales como el origen de registro, la categoría y el nombre de suceso.
Las listas negras no tienen en cuenta el tipo de origen de datos que proporciona los datos, mientras que
las búsquedas de exclusión de identidades se pueden aplicar únicamente a los sucesos. Las búsquedas de
exclusión de identidades pueden bloquear las actualizaciones de activos basándose en los campos de
búsqueda de sucesos comunes, como tipo de suceso, nombre de suceso, categoría y origen de registro.
Los filtros que cree para la búsqueda deben coincidir con los sucesos que desea excluir, no con los
sucesos que desee conservar.
Puede que le resulte útil ejecutar la búsqueda en sucesos que ya están en el sistema. Sin embargo, cuando
guarde la búsqueda, debe seleccionar Tiempo real (modalidad continua) en las opciones de Intervalo de
tiempo. Si no selecciona este valor, la búsqueda no encontrará ningún resultado cuando se ejecute en la
secuencia de sucesos que llegan a QRadar.
Procedimiento
1. Cree una búsqueda para identificar los sucesos que no proporcionan datos de activos a la base de
datos de activos.
Nota: Puede asignar la búsqueda guardada a un grupo de búsqueda. Los grupos de búsqueda de
exclusión de identidades se encuentran en la carpeta Autenticación, identidad y actividad de
usuario.
e. Pulse Aceptar para guardar la búsqueda.
2. Identifique la búsqueda que ha creado como una búsqueda de exclusiones de identidad.
a. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
b. En la sección Configuración del sistema, pulse Configuración de perfilador de activos.
c. Pulse Gestionar exclusión de identidades en la parte inferior de la pantalla.
d. Seleccione la búsqueda de exclusión de identidades que ha creado a partir de la lista de búsquedas
de la izquierda y pulse el icono para añadir (>).
Consejo: Si no encuentra la búsqueda, escriba las primeras letras en el filtro en la parte superior
de la lista.
e. Pulse Guardar.
3. En la pestaña Admin, pulse Desplegar cambios para que las actualizaciones surtan efecto.
Por ejemplo, considere esta plantilla normalizada de una regla de exclusión de conciliación de activos.
Aplicar AssetExclusion: Excluir Nombre DNS por IP en sucesos detectados
por el sistema Local y NO cuando cualquiera de
Nombre de host de identidad está contenido en cualquiera de
Lista blanca de DNS de conciliación de activos - Alfanumérico (sin
distinción de mayúsculas/minúsculas),
Lista negra de DNS de
conciliación de activos - Alfanumérico (sin distinción de mayúsculas/minúsculas)
y cuando al menos N1 sucesos se han visto con el mismo
Nombre de host de identidad y diferente IP de identidad en N2
En esta tabla se enumeran las variables de la plantilla de regla que pueden ajustarse y el resultado del
cambio. No cambie otras variables de la plantilla.
Tabla 59. Opciones para ajustar las reglas de conciliación de activos
Valor
Variable predeterm. Resultado del ajuste
N1 3 Si se ajusta esta variable en un valor inferior, el resultado es que se añaden
más datos a la lista negra debido a que se necesitan menos sucesos con datos
conflictivos para que la regla se desencadene.
Las reglas de exclusión de conciliación de activos son reglas de todo el sistema. Los cambios en las reglas
afectan el comportamiento de la regla en todo el sistema.
Tenga siempre cuidado cuando añada nuevas reglas al sistema, ya que algunas tareas y reglas de CRE
puede afectar al rendimiento del sistema. Puede resultar beneficioso añadir las reglas nuevas al principio
de cada pila de pruebas para que el sistema puede omitir el resto de la lógica de pruebas en el caso de
que una actualización de activo cumpla los criterios de la regla nueva.
Procedimiento
1. Duplique la regla.
a. En la pestaña Delitos, pulse Reglas y seleccione la regla que desea copiar.
b. Pulse Acciones > Duplicar. Puede ser útil que el nombre de la regla nueva indique el motivo de
la duplicación.
2. Añada una prueba a la regla.
Determine el filtro que desea utilizar para aplicar la regla solamente a un subconjunto de datos del
sistema. Por ejemplo, puede añadir una prueba que coincida solo con sucesos de un origen de registro
específico.
3. Ajuste las variables de la regla para conseguir el comportamiento deseado.
4. Actualice la regla original.
a. Añada a la regla original la misma prueba que ha añadido a la regla duplicada, pero invirtiendo
los operadores AND y AND NOT de la regla.
Al invertir los operadores se impide que se desencadenen sucesos en ambas reglas.
En el resto del despliegue tiene una red cuidadosamente gestionada que consta únicamente de
dispositivos de la empresa con nombres correctos e inventariados. Las cesiones de direcciones IP duran
mucho más tiempo en esta parte de la red y a las direcciones IP se accede únicamente a través de la
autenticación. En este segmento de red, desea saber inmediatamente cuando hay desviaciones de
crecimiento de activos y desea conservar los valores predeterminados para las reglas de exclusión de
conciliación de activos.
Su equipo de seguridad observa que las notificaciones relacionadas con el activo generadas por el
segmento de wifi son una molestia. Desea evitar que la wifi desencadene más notificaciones de
desviaciones del crecimiento de activos.
Revisa el informe Desviaciones de activo por origen de registro en la última notificación del sistema.
Determina que los datos de la lista negra proceden del servidor DHCP de la wifi.
Los valores de la columna Recuento de sucesos, la columna Recuento de flujos y la columna Delitos de
la fila correspondiente a la regla AssetExclusion: Excluir IP por dirección MAC indican que el servidor
DHCP de la wifi desencadena esta regla.
Añade una prueba a las reglas de conciliación de activos existentes para hacer que las reglas dejen de
añadir datos de la wifi a la lista negra.
Aplicar AssetExclusion:Excluir IP por Dirección MAC en sucesos detectados por
el sistema Local y NO cuando los sucesos los ha detectado uno o varios
MicrosoftDHCP @ microsoft.dhcp.test.com
y NO cuando cualquiera de Dominio es la clave y cualquiera de IP de identidad es el valor en
cualquiera de Lista blanca de IPv4 del dominio de conciliación de activos
- Lista negra de IPv4 del dominio de conciliación de activos - IP
y cuando al menos 3 sucesos se han visto con la misma IP de identidad y
diferente MAC de identidad en 2 horas.
La regla actualizada prueba solamente los sucesos de los orígenes de registro que no están en el servidor
DHCP de la wifi. Para evitar que los sucesos DHCP de la wifi pasen más pruebas costosas de análisis de
comportamiento y conjunto de referencia, también ha movido esta prueba al principio de la pila de
pruebas.
Procedimiento
1. Para eliminar de forma selectiva los artefactos no válidos en la base de datos de activos, siga estos
pasos:
a. En la pestaña Actividad de registro, ejecute la búsqueda de sucesos Desviación de crecimiento de
activos: Informe de activos. Esta búsqueda devuelve un informe de los activos que se han visto
afectados por la desviación de crecimiento de activos y deben suprimirse.
b. En la pestaña Activos, pulse Acciones > Suprimir activo. Puede pasar un tiempo hasta que el
activo deje de aparecer en IBM Security QRadar.
2. Para volver a crear la base de datos de activos desde cero, siga estos pasos:
a. Utilice SSH para iniciar la sesión en QRadar Console como administrador.
b. Ejecute el script /opt/qradar/support/cleanAssetModel.sh desde la línea de mandatos de la
consola y seleccione Opción 1 cuando se le solicite.
Al volver a crear la base de datos de activos se reinicia el motor de conciliación de activos.
Resultados
La depuración de una lista negra elimina todas las entradas de la lista negra, incluidas aquellas que se
hayan añadido manualmente. Las entradas de la lista negra que se han añadido manualmente deben
añadirse de nuevo.
Procedimiento
1. Para depurar una lista negra mediante la consola de IBM Security QRadar:
a. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
Resultados
La depuración de una lista negra elimina todas las entradas de la lista negra, incluidas aquellas que se
hayan añadido manualmente. Las entradas de la lista negra que se han añadido manualmente deben
añadirse de nuevo.
Con la excepción del etiquetado de dominio, los sistemas de QRadar se aseguran de que los datos
reenviados no se alteran. La información de dominio se elimina de los datos reenviados. Los sucesos y
los flujos que contienen información de dominio se asignan automáticamente al dominio predeterminado
en el sistema receptor.
Para evitar problemas de compatibilidad al enviar datos de sucesos y flujos, asegúrese de que el
despliegue que recibe los datos sea de la misma versión o de una versión superior al despliegue que está
enviando los datos.
1. Configure uno o varios destinos de reenvío.
2. Para determinar qué datos desea reenviar, configure reglas de direccionamiento, reglas personalizadas
o ambos tipos de reglas.
3. Configure las opciones de direccionamiento que se aplicarán a los datos.
Por ejemplo, puede configurar que todos los datos de un recopilador de sucesos específico se reenvíen a
un sistema de tíquets determinado. También puede eludir la correlación eliminando los datos que
coinciden con una regla de direccionamiento.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Destinos de reenvío.
3. En la barra de herramientas, pulse Añadir.
4. En la ventana Destinos de reenvío, especifique los valores de los parámetros.
En la tabla siguiente se describen algunos de los parámetros de Destinos de reenvío.
Tabla 60. Parámetros de Destinos de reenvío
Parámetro Descripción
Dirección de destino Dirección IP o nombre de host del sistema del proveedor al que desea reenviar los datos.
Si no se detecta una cabecera syslog válida y este recuadro de selección está seleccionado,
la cabecera syslog prefijada incluye la IP de origen del paquete que QRadar ha recibido
en el campo Hostname de la cabecera de syslog. Si no se selecciona esta casilla de
verificación, los datos se enviarán sin modificar.
5. Pulse Guardar.
La configuración de un destino de reenvío no envía de forma automática los datos a ese destino. Debe
configurar una regla de direccionamiento o una regla personalizada para reenviar los datos al destino.
Debe volver a crear los perfiles de reenvío de JSON que ha creado en IBM Security QRadar V7.2.3 o
versiones anteriores.
Puede utilizar los perfiles de reenvío solamente cuando los datos de suceso se envían en formato JSON.
Puede utilizar un único perfil que tenga varios destinos de reenvío. Cuando edite un perfil, asegúrese de
que los cambios son adecuados para todos los destinos de reenvío con los que el perfil está asociado.
Cuando se suprime un perfil, todos los destinos de reenvío que utilizan el perfil vuelven a utilizar
automáticamente el perfil predeterminado.
Puede configurar reglas de direccionamiento para reenviar datos en modalidad en línea o fuera de línea:
v En el modo En línea los datos permanecen actualizados porque el reenvío se lleva a cabo en tiempo
real. Si no se puede acceder al destino del reenvío, no se entrega ningún dato enviado a ese destino, lo
que hará que se pierdan datos en ese sistema remoto. Para garantizar una entrega correcta, utilice el
modo fuera de línea.
v En la modalidad Fuera de línea, en primer lugar todos los datos se almacenan en la base de datos y, a
continuación, se envían al destino de reenvío. Este modo garantiza que los datos no se pierden; sin
embargo, podrían producirse retrasos en el reenvío de datos.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Reglas de direccionamiento.
3. En la barra de herramientas, pulse Añadir.
4. En la ventana Regla de direccionamiento, especifique un nombre y una descripción de su regla de
direccionamiento.
5. En el campo Modalidad, seleccione una de las opciones siguientes: En línea o Fuera de línea.
6. En la lista Recopilador de sucesos de reenvío o Procesador de sucesos de reenvío, seleccione el
recopilador de sucesos desde el que desea reenviar datos.
Nota: El reenvío en línea/tiempo real no se ve afectado por las configuraciones del límite de
velocidad o de las planificaciones que pueden configurarse en los recopiladores de sucesos
de almacenamiento y reenvío (15xx).
Procesador de sucesos de reenvío
Especifica el Procesador de sucesos cuyos datos desea procesar con esta regla de
direccionamiento. Esta opción se visualiza cuando se selecciona la opción Fuera de línea.
Restricción: Si selecciona la casilla de verificación Reenviar, solo podrá seleccionar una de estas
casillas de verificación Descartar, Omitir correlación o Solo registro.
Nota: La opción Solo registro requiere una titularidad de QRadar Data Store, pero no se aplica
actualmente. En el futuro, cuando se aplique la titularidad, el acceso a los datos de sucesos
recopilados estará restringido a los sistemas con la licencia correcta. Cuando se aplique la
licencia y se seleccione la opción Solo registro, los sucesos que coincidan con la regla de
direccionamiento se almacenarán en el disco y estarán disponibles para búsquedas o para su
visualización. Los sucesos omiten el motor de reglas personalizado y no se llevan a cabo
correlaciones o analíticas en tiempo real. Los sucesos pueden contribuir en delitos y se omiten
cuando se ejecuta la correlación histórica. Algunas aplicaciones también emiten los sucesos de
tipo Solo registro (https://www-ibm.com/support/docview.wss?uid=swg22009471).
Si los datos coinciden con múltiples reglas, se aplicará la opción de direccionamiento más segura.
Por ejemplo, si los datos coinciden con una regla configurada para descartar y con una regla
configurada para ignorar el proceso de CRE, los datos no se descartarán. En vez de ello, los datos
eluden el CRE y se almacenan en la base de datos.
10. Pulse Guardar.
Cuando la regla está configurada y habilitada, todos los datos de suceso que coincidan con las pruebas
de la regla se envían automáticamente a los destinos de reenvío especificados. Para obtener más
información sobre cómo editar o añadir una regla, consulte el documento Guía del usuario de IBM Security
QRadar correspondiente a su producto.
Procedimiento
1. Pulse la pestaña Delitos o Actividad de registro.
2. En el menú Reglas, seleccione Reglas.
3. En la ventana Lista de reglas,seleccione la regla que desee editar o haga clic en Acciones para crear
una regla.
4. En la página Respuesta de regla del asistente Regla, asegúrese de que selecciona la opción Enviar a
destinos de reenvío.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Destinos de reenvío.
3. Vea las estadísticas de los destinos de reenvío.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Reglas de direccionamiento.
3. Seleccione la regla de direccionamiento que desea gestionar.
4. Para editar la regla de direccionamiento, en la barra de herramientas pulse Editar y actualice los
parámetros.
5. Para eliminar la regla de direccionamiento, en la barra de herramientas pulse Suprimir.
6. Para habilitar o inhabilitar la regla de direccionamiento, en la barra de herramientas pulse
Habilitar/inhabilitar.
Si habilita una regla de direccionamiento que está configurada para descartar sucesos, se visualiza un
mensaje de confirmación.
La función Almacenar y reenviar está soportada en Event Collector 1501 y Event Collector 1590. Para
obtener más información sobre estos dispositivos, consulte la publicación QRadar Hardware Guide.
Utilice la función de planificación para almacenar sucesos durante el horario laboral. Reenvíe los sucesos
a un Procesador de sucesos cuando la transmisión no afecte negativamente al ancho de banda de red. Por
ejemplo, puede configurar un Recopilador de sucesos para reenviar sucesos a un Procesador de sucesos
durante las horas no laborables.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Esta función de planificación permite almacenar sucesos durante el horario laboral y después reenviar los
sucesos a un procesador de sucesos durante los periodos de tiempo en los que la transmisión no afecte
negativamente al ancho de banda de red. Por ejemplo, puede configurar un recopilador de sucesos para
reenviar sucesos solamente a un procesador de sucesos durante las horas no laborables; por ejemplo,
desde la medianoche hasta las 6 de la mañana.
Debe crear una planificación. De forma predeterminada, la primera vez que se accede a la ventana
Almacenar y reenviar no aparece ninguna planificación.
Puede utilizar opciones de la barra de herramientas y el cuadro de lista Visualizar para cambiar la vista
de la lista de planificación. Cambie la vista de la lista para centrarse en las estadísticas desde diversos
puntos de vista. Por ejemplo, si desea ver las estadísticas de un determinado recopilador de sucesos,
puede seleccionar Recopiladores de sucesos en la lista Visualizar. A continuación la lista se agrupa
según la columna Recopilador de sucesos, con lo que resulta más fácil localizar el Recopilador de
sucesos que desea investigar.
De forma predeterminada, la lista de Almacenar y reenviar está configurada para visualizar la lista
organizada según la planificación (Visualizar > Planificaciones).
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Almacén y reenvío.
3. En la ventana Almacenar y reenviar, consulte los parámetros de cada planificación.
En la tabla siguiente se describen algunos de los parámetros de la planificación.
Tabla 62. Parámetros de la ventana Almacenar y reenviar
Parámetro Descripción
Visualizar La opción Planificaciones muestra una jerarquía de la
relación padre-hijo entre las planificaciones, los
procesadores de sucesos y los recopiladores de sucesos
asociados.
Puede crear y gestionar varias planificaciones para controlar el reenvío de sucesos de varios recopiladores
de sucesos de IBM Security QRadar en un despliegue distribuido geográficamente.
Antes de empezar
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Almacén y reenvío.
3. Pulse Acciones > Crear.
a. Pulse Siguiente para pasar a la página Seleccionar recopiladores.
b. En la página Seleccionar recopiladores, configure los parámetros.
272 Guía de administración de QRadar
Si el recopilador de sucesos que desea configurar no aparece en la lista, tendrá que añadirlo para
continuar. Para obtener más información sobre cómo añadir un recopilador de sucesos, consulte
“Adición de un host gestionado” en la página 67.
c. En la página Opciones de planificación, configure los parámetros.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Almacén y reenvío.
3. Seleccione la planificación que desee editar.
4. Pulse Acciones > Editar.
También puede efectuar una doble pulsación en una planificación para editarla.
5. Pulse Siguiente para pasar a la página Seleccionar recopiladores.
6. En la página Seleccionar recopiladores, edite los parámetros.
7. Pulse Siguiente para pasar a la página Opciones de planificación.
8. En la página Opciones de planificación, edite los parámetros de planificación.
9. Pulse Siguiente para pasar a la página Resumen.
10. En la página Resumen, confirme las opciones que ha editado para esta planificación.
Después de editar una planificación, puede que tengan que transcurrir hasta 10 minutos para que las
estadísticas se actualicen en la ventana Almacenar y reenviar.
Procedimiento
1. En el menú de navegación, pulse Configuración del sistema.
2. Pulse el icono Almacenar y reenviar.
3. Seleccione la planificación que desee suprimir.
4. Pulse Acciones > Suprimir.
Cuando la planificación se haya suprimido, los recopiladores de sucesos de IBM Security QRadar
asociados reanudarán el reenvío continuo de sucesos a su procesador de sucesos asignado.
Utilice el script de gestión de contenido para exportar contenido personalizado del despliegue de QRadar
a un formato externo y portable. A continuación, puede utilizar el script para importar el contenido
personalizado en otro despliegue de QRadar. El script es útil cuando se desea automatizar el movimiento
de contenido entre los despliegues de QRadar.
Debe utilizar el script de gestión de contenido para exportar contenido del despliegue de origen de
QRadar. Puede utilizar el script de gestión de contenido o la herramienta Gestión de extensiones para
importar el contenido en el despliegue de destino.
Nota: Puede exportar contenido de una versión anterior de QRadar e importarlo a una versión posterior.
Sin embargo, no puede importar contenido de una versión posterior a una versión anterior.
Nota: Si migra reglas alteradas temporalmente de un despliegue de QRadar a otro, utilice la opción
Sustituir elementos de contenido existentes para asegurarse de que las reglas se importan
correctamente.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Vaya al directorio /opt/qradar/bin y especifique el mandato siguiente para exportar todo el contenido
personalizado:
./contentManagement.pl -a export -c all
Ejemplos:
Resultados
Parámetros:
Tabla 64. Parámetros del script contentManagement.pl para exportar contenido personalizado de un tipo específico
Parámetro Descripción
-c [tipo_contenido] Especifica el tipo de contenido.
o bien
--global-view
-i [identificador_contenido] Especifica el identificador de una instancia específica de
contenido personalizado como, por ejemplo, un informe único o
o bien un conjunto de referencia único.
--id [identificador_contenido] Puede especificar all para exportar todo el contenido del tipo
especificado.
-o [vía_acceso_archivo] Especifica la vía de acceso completa al directorio donde se graba
el archivo de exportación.
o bien
Si no se especifica un directorio de salida, el contenido se
--output-directory [vía_acceso_archivo] exporta al directorio actual. Si el directorio de salida especificado
no existe, se crea.
-t [tipo_compresión] Especifica el tipo de compresión del archivo de exportación.
Ejemplos:
v Para exportar todas las búsquedas personalizadas, escriba el mandato siguiente:
./contentManagement.pl --action export --content-type search --id all
v Para exportar todos los informes e incluir datos acumulados, escriba el mandato siguiente:
./contentManagement.pl -a export -c 10 --id all --global-view
Resultados
En la tabla siguiente se enumeran los identificadores utilizados cuando se desea buscar tipos específicos
de contenido.
Tabla 65. Identificadores de tipo de contenido para la búsqueda de contenido personalizado
Tipo de contenido personalizado Identificador de texto Identificador numérico
Paneles de control dashboard 4
Informes report 10
Búsquedas guardadas search 1
1
FGroups fgroup 12
Tipos de FGroup fgrouptype 13
Reglas personalizadas customrule 3
Propiedades personalizadas customproperty 6
Orígenes de registro sensordevice 17
Tipos de origen de registro sensordevicetype 24
Categorías de origen de registro sensordevicecategory 18
Extensiones de origen de registro deviceextension 16
Recopilaciones de datos de referencia referencedata 28
Entradas de correlaciones de QID qidmap 27
personalizadas
Perfiles de correlación histórica historicalsearch 25
Funciones personalizadas custom_function 77
Acciones personalizadas custom_action 78
Aplicaciones installed_application 100
1
Un FGroup representa un grupo de contenido, como por ejemplo un grupo de origen de registro, un grupo de
informes o un grupo de búsqueda.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Vaya al directorio /opt/qradar/bin y escriba el mandato siguiente para buscar contenido
personalizado que coincida con una expresión regular:
./contentManagement.pl -a search -c [tipo_contenido] -r [regex]
Parámetros:
--regex [regex]
Ejemplos:
v Para buscar todos los informes que incluyan Overview en la descripción, escriba el mandato
siguiente:
/opt/qradar/bin/contentManagement.pl --action search
--content-type report --regex "Overview"
v Para listar todos los orígenes de registro, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a search -c 17 -r "\w"
Los resultados de la búsqueda listan los detalles, que incluyen el ID exclusivo, de los elementos de
contenido encontrados.
[INFO] Resultados de búsqueda:
[INFO] - [ID] - [Nombre] - [Descripción]
[INFO] - [67] - [Asset Profiler-2 :: hostname] - [Asset Profiler]
[INFO] - [62] - [SIM Generic Log DSM-7 :: hostname] - [SIM Generic Log DSM]
[INFO] - [63] - [Custom Rule Engine-8 :: hostname] - [Custom Rule Engine]
[INFO] - [71] - [Pix @ apophis] - [Pix device]
[INFO] - [70] - [Snort @ wolverine] - [Snort device]
[INFO] - [64] - [SIM Audit-2 :: hostname] - [SIM Audit]
[INFO] - [69] - [Health Metrics-2 :: hostname] - [Health Metrics]
Utilice el identificador exclusivo para exportar elementos de contenido específicos desde QRadar. Para
obtener más información, consulte los apartados “Exportación de elementos de contenido personalizado
de tipos diferentes” en la página 282 y “Exportación de un solo elemento de contenido personalizado”.
Antes de empezar
Debe conocer el identificador exclusivo del elemento de contenido personalizado que desea exportar. Para
obtener información sobre cómo encontrar los identificadores exclusivos de los elementos de contenido,
consulte “Búsqueda de elementos de contenido específicos para exportar” en la página 279.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Vaya al directorio /opt/qradar/bin y escriba el mandato para exportar el contenido:
./contentManagement.pl -a export -c [tipo_contenido] -i [identificador_contenido]
Parámetros:
o bien
--global-view
-i [identificador_contenido] Especifica el identificador de una instancia específica de
contenido personalizado como, por ejemplo, un informe único o
o bien un conjunto de referencia único.
--id [identificador_contenido]
-o [vía_acceso_archivo] Especifica la vía de acceso completa al directorio donde se graba
el archivo de exportación.
o bien
Si no se especifica un directorio de salida, el contenido se
--output-directory [vía_acceso_archivo] exporta al directorio actual. Si el directorio de salida especificado
no existe, se crea.
-t [tipo_compresión] Se utiliza con la acción export.
Ejemplos:
v Para exportar el panel de control que tiene el ID 7 en el directorio actual, escriba el mandato
siguiente:
./contentManagement.pl -a export -c dashboard -i 7
v Para exportar el origen de registro que tiene el ID 70, incluidos los datos acumulados, en el
directorio /store/cmt/exports, escriba el mandato siguiente:
./contentManagement.pl -a export -c sensordevice -i 70 -o /store/cmt/exports -g
Resultados
El contenido se exporta a un archivo .zip comprimido. El archivo exportado podría contener más
elementos de contenido de lo que se esperaba, porque todas las dependencias se exportan con los
elementos de contenido especificados. Por ejemplo, si exporta un informe, también se exporta la
búsqueda guardada que el informe utiliza. Puede cambiar manualmente el nombre de archivo por un
nombre más descriptivo.
Antes de empezar
Debe conocer los identificadores exclusivos de cada elemento de contenido personalizado que desea
exportar. Para obtener información sobre cómo encontrar los identificadores exclusivos de los elementos
de contenido, consulte “Búsqueda de elementos de contenido específicos para exportar” en la página 279.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Cree un archivo de texto que enumere el contenido que desea exportar.
Cada línea debe incluir el tipo de contenido personalizado, seguido de una lista de ID exclusivos
separados por comas para ese tipo.
Ejemplo: Para exportar dos paneles de control que tienen el ID 5 y el ID 7, todas las reglas
personalizadas y un grupo, cree un archivo de texto que tenga las entradas siguientes:
dashboard, 5,7
customrule, all
fgroup, 77
3. Vaya a /opt/qradar/bin y escriba el mandato para exportar el contenido:
./contentManagement.pl -a export -c package -f [archivo_origen]
Parámetros:
Tabla 68. Parámetros del script contentManagement.pl para exportar diferentes tipos de elementos de contenido
Parámetro Descripción
-c [tipo_contenido] Especifica el tipo de contenido.
o bien
--global-view
-n [nombre] Especifica el nombre del archivo de plantilla de paquete que
contiene la lista de contenido personalizado a exportar.
o bien
El archivo de plantilla de paquete se crea la primera vez que se
--name [nombre] utiliza el parámetro --file. De forma predeterminada, el
parámetro --name presupone que el archivo de texto se
encuentra en el directorio /store/cmt/packages.
Ejemplos:
v Para exportar todos los elementos del archivo exportlist.txt del directorio qradar y guardar el
archivo exportado en el directorio actual, escriba el mandato siguiente:
./contentManagement.pl -a export -c package -f /qradar/exportlist.txt
v Para exportar todos los elementos del archivo exportlist.txt del directorio qradar, incluidos los
datos acumulados, y guardar la salida en el directorio /store/cmt/exports, escriba el mandato
siguiente:
./contentManagement.pl -a export -c package
--file /qradar/exportlist.txt -o /store/cmt/exports -g
Resultados
El contenido se exporta a un archivo comprimido .zip. El archivo exportado podría contener más
elementos de contenido de lo que se esperaba, porque todas las dependencias se exportan con los
elementos de contenido especificados. Por ejemplo, si exporta un informe, también se exporta la
búsqueda guardada que el informe utiliza. Puede cambiar manualmente el nombre de archivo por un
nombre más descriptivo.
Antes de empezar
Puede descargar extensiones de QRadar desde IBM Security App Exchange (https://
apps.xforce.ibmcloud.com/) y desde IBM Fix Central (www.ibm.com/support/fixcentral/).
Una extensión es un paquete de funciones de QRadar. Una extensión puede incluir contenido como
reglas, informes, búsquedas, conjuntos de referencia y paneles de control. También puede incluir
aplicaciones que mejoran la funcionalidad de QRadar.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Configuración del sistema, pulse Gestión de extensiones.
3. Para cargar una nueva extensión en la consola de QRadar, siga estos pasos:
a. Pulse Añadir.
b. Pulse Examinar y busque la extensión.
c. Opcional: Pulse Instalar inmediatamente para instalar la extensión sin visualizar el contenido.
d. Pulse Añadir.
4. Para ver el contenido de la extensión, selecciónela en la lista de extensiones y pulse Más detalles.
5. Para instalar la extensión, siga estos pasos:
a. Seleccione la extensión en la lista y pulse Instalar.
b. Para asignar un usuario a la app, haga clic en Selección de usuario en el menú y, a continuación,
elija un usuario. Por ejemplo, puede que desee asociar la app a un determinado usuario que
aparece listado en el menú Selección de usuarios que tiene los permisos definidos.
Nota:
Esta pantalla solo aparece si alguna de las apps en la extensión que va a instalar está configurada
para solicitar la autenticación de los procesos en segundo plano.
c. Si la extensión no incluye una firma digital, o si está firmada, pero la firma no está asociado con la
Autoridad de certificación (CA) de IBM Security), debe confirmar que sigue deseando instalarla.
Pulse Instalar para continuar con la instalación.
d. Revise los cambios realizados por la instalación en el sistema.
e. Seleccione Conservar elementos existentes o Sustituir elementos existentes para especificar cómo
gestionar los elementos de contenido existentes.
Nota: Si la extensión contiene reglas del sistema alteradas temporalmente, seleccione Sustituir
elementos existentes para asegurarse de que las reglas se importan correctamente.
f. Pulse Instalar.
g. Revise el resumen de instalación y pulse Aceptar.
Si desea importar contenido de otro sistema de QRadar, primero debe exportar el contenido y copiarlo en
el sistema de destino. Para obtener más información sobre la exportación de contenido, consulte la
sección “Identificadores de tipo de contenido para exportar contenido personalizado” en la página 287.
Cuando importe contenido que tengan orígenes de registro, confirme que DSM y los RPM de protocolo
están instalados y actualizados en el sistema de destino.
Nota: Si el contenido tiene reglas del sistema alteradas temporalmente, utilice la acción update en lugar
de import para asegurarse de que las reglas se importan correctamente.
Puede exportar contenido de una versión anterior de QRadar e importarlo a una versión posterior. Sin
embargo, no puede importar contenido de una versión posterior a una versión anterior.
No tiene que exportar contenido en un orden específico. Sin embargo, no inicie varias importaciones en el
mismo sistema al mismo tiempo. Las importaciones fallarán debido a conflictos con los recursos
compartidos.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Vaya al directorio donde se encuentra el archivo de contenido de exportación.
3. Escriba este mandato para importar el contenido:
/opt/qradar/bin/contentManagement.pl -a import -f [archivo_origen] -u [usuario]
Parámetros:
Tabla 69. Parámetros del script contentManagement.pl para la importación de contenido personalizado
Parámetro Descripción
-f [archivo_origen] Especifica el archivo que contiene los elementos de contenido
que deben importarse.
o bien
Los tipos de archivo válidos son zip, targz y xml.
--file [archivo_origen]
El nombre de archivo y la vía de acceso son sensibles a las
mayúsculas y minúsculas.
-u [usuario] Especifica el usuario que sustituye al propietario actual al
importar datos específicos de usuario. El usuario debe existir en
o bien el sistema de destino antes de importar el contenido.
--user [usuario]
Ejemplos:
v Para importar el contenido del archivo fgroup-ContentExport-20120418163707.tar.gz en el
directorio actual, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl --action import
-f fgroup-ContentExport-20120418163707.tar.gz
v Para importar el contenido del archivo fgroup-ContentExport-20120418163707.tar.gz en el
directorio actual y hacer que el usuario admin sea el propietario de todos los datos confidenciales
de la importación, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl --action import
--file fgroup-ContentExport-20120418163707.tar.gz --user admin
Antes de empezar
Si desea actualizar el contenido con contenido que se ha exportado desde otro sistema de QRadar,
asegúrese de que el archivo exportado se encuentra en el sistema de destino. Para obtener más
información sobre la exportación de contenido, consulte la sección “Identificadores de tipo de contenido
para exportar contenido personalizado” en la página 287.
Cuando importe contenido que tengan orígenes de registro, confirme que DSM y los RPM de protocolo
están instalados y actualizados en el sistema de destino.
Puede exportar contenido de una versión anterior de QRadar e importarlo a una versión posterior. Sin
embargo, no puede importar contenido de una versión posterior a una versión anterior.
No tiene que exportar contenido en un orden específico. Sin embargo, no inicie varias importaciones en el
mismo sistema al mismo tiempo. Las importaciones fallarán debido a conflictos con los recursos
compartidos.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Para actualizar el contenido, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a update -f [archivo_origen]
Parámetros:
Tabla 70. Parámetros del script contentManagement.pl para la actualización de contenido personalizado
Parámetro Descripción
-f [archivo_origen] Especifica el archivo que contiene los elementos de contenido
que deben actualizarse.
o bien
Los tipos de archivo válidos son zip, targz y xml.
--file [archivo_origen]
El nombre de archivo y la vía de acceso son sensibles a las
mayúsculas y minúsculas.
-u [usuario] Especifica el usuario que sustituye al propietario actual al
importar datos específicos de usuario.
o bien
El usuario debe existir en el sistema de destino antes de
--user [usuario] importar el contenido.
Ejemplo:
v Para realizar una actualización basada en el contenido del archivo fgroup-ContentExport-
20120418163707.zip, especifique el mandato siguiente:
Procedimiento
1. Descargue el paquete de contenido (archivo RPM) desde IBMIBM Fix Central (www.ibm.com/
support/fixcentral).
2. Copie el archivo RPM en QRadar Console.
3. Utilice SSH para iniciar la sesión en QRadar como usuario root.
4. Desde el directorio que contiene el archivo descargado, escriba el mandato siguiente:
rpm -Uvh nombre de archivo
5. Inicie la sesión en QRadar como administrador
6. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
7. Seleccione Avanzado > Reiniciar el servidor web.
Al exportar contenido desde un dispositivo de QRadar, el script de gestión de contenido comprueba las
dependencias del contenido y después incluye el contenido asociado en la exportación.
Por ejemplo, cuando el script de gestión de contenido detecta que una búsqueda guardada está asociada
con un informe que desea exportar, la búsqueda guardada también se exporta. No puede exportar
búsquedas guardadas de delito, activo o vulnerabilidad.
Debe utilizar el identificador de tipo de contenido cuando desee exportar todo el contenido personalizado
de un tipo específico. Si desea exportar un elemento de contenido específico del despliegue de QRadar,
debe conocer el identificador exclusivo de dicho elemento de contenido específico. Para obtener más
información, consulte el documento “Búsqueda de elementos de contenido específicos para exportar” en
la página 279.
La tabla siguiente describe los identificadores de tipo de contenido que se pasan al script
contentManagement.pl para el parámetro -c.
Tabla 71. Identificadores de tipo de contenido para exportar contenido personalizado
Tipo de contenido personalizado Identificador de texto Identificador numérico
Todo el contenido personalizado all No aplicable
Lista de contenido personalizado package No aplicable
Paneles de control dashboard 4
Informes report 10
Búsquedas guardadas search 1
1
FGroups fgroup 12
Tipos de FGroup fgrouptype 13
Reglas personalizadas customrule 3
La tabla siguiente describe los parámetros del script contentManagement.pl y las acciones a las que se
aplica cada parámetro.
/opt/qradar/bin/contentManagement.pl --action [tipo_acción] [parámetros_script]
Tabla 72. Parámetros del script contentManagement.pl
Parámetro Descripción
-a [tipo_acción] Obligatorio. Especifica la acción.
o bien Los tipos de acción válidos son export, search, import y update.
--global-view
-h [tipo_acción] Se utiliza con todas las acciones.
--quiet
-r [regex] Se utiliza con la acción search.
En IBM Security QRadar, puede configurar una regla para generar una respuesta de regla que envíe una
condición de excepción de SNMP cuando se cumplen las condiciones configuradas. QRadar actúa como
agente para enviar las condiciones de excepción de SNMP a otro sistema.
Una excepción de SNMP (protocolo simple de gestión de red) es una notificación de un suceso o un
delito que QRadar envía a un host SNMP configurado para efectuar un proceso adicional.
Para obtener más información sobre SNMP, consulte el sitio web The Internet Engineering Task Force
(http://www.ietf.org/) y escriba RFC 1157 en el campo de búsqueda.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Vaya al directorio /opt/qradar/conf y realice copias de seguridad de los archivos siguientes:
v eventCRE.snmp.xml
v offenseCRE.snmp.xml
3. Abra el archivo de configuración para su edición.
v Para editar los parámetros de SNMP para las reglas de suceso, abra el archivo eventCRE.snmp.xml.
v Para editar los parámetros de SNMP para las reglas de delito, abra el archivo offenseCRE.snmp.xml.
4. Dentro del elemento <snmp> y antes del elemento <creSNMPTrap>, inserte la siguiente sección,
actualizando las etiquetas como sea necesario:
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
De forma predeterminada, QRadar utiliza la MIB (Management Information Base) de QRadar para
gestionar los dispositivos de la red de comunicaciones. Sin embargo, puede personalizar la salida de las
condiciones de excepción de SNMP para adherirse a otra MIB.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Vaya al directorio /opt/qradar/conf y realice copias de seguridad de los archivos siguientes:
v eventCRE.snmp.xml
v offenseCRE.snmp.xml
3. Abra el archivo de configuración para su edición.
v Para editar los parámetros de SNMP para las reglas de suceso, abra el archivo eventCRE.snmp.xml.
v Para editar los parámetros de SNMP para las reglas de delito, abra el archivo
offenseCRE.snmp.xml.
4. Para cambiar la condición de excepción que se utiliza para la notificación de excepciones de SNMP,
actualice el texto siguiente con el identificador de objeto de condición de excepción (OID) adecuado:
-<creSNMPTrap version="3" OID="1.3.6.1.4.1.20212.1.1"
name="eventCRENotification">
5. Utilice la tabla siguiente como ayuda para actualizar la información de enlace de variable:
Cada enlace de variable asocia una instancia de objeto MIB determinada con su valor actual.
6. Para cada uno de los tipos de valores, incluya cualquiera de los campos siguientes:
Tabla 74. Campos para los enlaces de variable
Campo Descripción Ejemplo
Native Para obtener más Ejemplo: 1Si el tipo de valor es ipAddress, debe utilizar una variable
información sobre estos que sea una dirección IP. El tipo de valor de serie (string) acepta
campos, consulte el archivo cualquier formato.
/opt/qradar/conf/
snmp.help.
Custom Información de condición de Ejemplo: 1Si ha utilizado la información de archivo predeterminado y
excepción de SNMP desea incluir esta información en la condición de excepción de SNMP,
personalizada que ha incluya el código siguiente:
configurado para el asistente <variableBinding name="My Color Variable Binding"
de reglas personalizadas OID="1.3.6.1.4.1.20212.3.1" type="string">
My favorite color
is %MyColor%</variableBinding>
1
Encierre el nombre de campo con signos de porcentaje (%). Dentro de los signos de porcentaje, los campos deben
coincidir con el tipo de valor.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Vaya al directorio /opt/qradar/conf.
3. Cree un archivo de valores de SNMP para la nueva condición de excepción.
Consejo: Copie, renombre y modifique uno de los archivos de valores de SNMP existentes.
4. Haga una copia de seguridad del archivo snmp-master.xml.
5. Abra el archivo snmp-master.xml para su edición.
6. Añada un nuevo elemento <include>.
El elemento <include> tiene los siguientes atributos:
Tabla 75. Atributos del elemento <include>
Atributo Descripción
name Mostrado en el recuadro de lista
uri Nombre del archivo de valores de SNMP personalizado
Ejemplo:
<include name="Custom_Event_Name" uri="customSNMPdef01.xml"/>
Las condiciones de excepción se visualizan en el menú en el mismo orden en que están listadas en el
archivo snmp-master.xml.
7. Guarde y cierre el archivo.
8. Copie el archivo del directorio /opt/qradar/conf en el directorio /store/configservices/staging/
globalconfig.
9. Inicie la sesión en la interfaz de QRadar.
10. Inicie la sesión en QRadar como administrador
11. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
12. Seleccione Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Vaya al directorio /opt/qradar/conf y realice copias de seguridad de los archivos siguientes:
v eventCRE.snmp.xml
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Ofuscación de datos es el proceso de ocultar estratégicamente datos de los usuarios de QRadar. Puede
ocultar propiedades personalizadas, propiedades normalizadas, como por ejemplo los nombres de
usuario, o puede ocultar el contenido de una carga útil, como por ejemplo los números de tarjeta de
crédito y de la seguridad social.
Las expresiones del perfil de ofuscación de datos se evalúan contra las propiedades de carga útil y
normalizadas. Si los datos coinciden con la expresión de ofuscación, se ocultan en QRadar. Los usuarios
que intentan consultar la base de datos directamente no pueden ver los datos sensibles. Los datos deben
devolverse a su formato original, o desofuscarse, cargando la clave privada que se ha generado al crear el
perfil de ofuscación de datos.
Para garantizar que QRadar pueda seguir correlacionado los valores de datos ocultos, el proceso de
ofuscación es determinista. Visualiza el mismo conjunto de caracteres cada vez que se encuentra el valor
de datos.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Cuando un perfil de ofuscación de datos está habilitado, el sistema enmascara los datos de cada suceso
conforme QRadar los recibe. Los sucesos recibidos por el dispositivo antes de la configuración de la
ofuscación de datos permanecen en el estado no ofuscado original. Los datos de suceso más antiguos no
se enmascaran y los usuarios pueden ver la información.
Activos
Cuando la ofuscación de datos está configurada, el modelo de activo acumula datos enmascarados
mientras los datos de modelo de activo preexistente permanecen enmascarados.
Para impedir que alguien utilice datos enmascarados para rastrear la información ofuscada, depure los
datos de modelo de activo para eliminar los datos enmascarados. QRadar repoblará las bases de datos
activos con valores ofuscados.
Delitos
Para asegurarse de que los delitos no visualicen datos enmascarados previamente, cierre todos los delitos
existentes restableciendo el modelo SIM. Para obtener más información, consulte el documento
“Restablecimiento de SIM” en la página 74.
Debe actualizar reglas que dependen de datos enmascarados anteriormente. Por ejemplo, las reglas
basadas en un nombre de usuario no se activan cuando el nombre de usuario está ofuscado.
Las extensiones de origen de registro que cambian el formato de la carga útil de suceso pueden provocar
problemas con la ofuscación de datos.
Utilice una propiedad basada en campo para ocultar nombres de usuario, nombres de grupo y nombres
de NetBIOS. Las expresiones que utilizan propiedades basadas en campo ofuscan todas las instancias de
la serie de datos. Los datos se ocultan independientemente de su origen de datos, el tipo de origen de
registro, el nombre de suceso o la categoría de suceso.
Si el mismo valor de datos está presente en más de uno de los campos, los datos se ofuscan en todos los
campos que los contienen, incluso si ha configurado el perfil para ofuscar solo uno de los cuatro campos.
Por ejemplo, si tiene un host denominado IBMHost y un grupo denominado IBMHost, el valor IBMHost se
oculta tanto en el campo de nombre de host como en el campo de nombre de grupo aunque el perfil de
ofuscación de datos esté configurado para ocultar sólo nombres de host.
Expresiones regulares
Utilice una expresión regular para ocultar una serie de datos de la carga útil. Los datos sólo se ocultan si
coinciden con el origen de registro, el tipo de origen de registro, el nombre de suceso o la categoría
definidos en la expresión.
Puede utilizar categorías de alto y de bajo nivel para crear una expresión regular que se más específica
que una propiedad basada en campo. Por ejemplo, puede utilizar los patrones de regex siguientes para
analizar nombres de usuario:
Tabla 78. Análisis de nombre de usuario de expresión regular
Ejemplo de patrones de expresión regular Coincide con
usrName=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z])*@([0-9 john_smith@IBM.com, jon@ibm.com,
a-zA-Z][-\w]*[0-9a-zA-Z]\.)+[a-zA-Z]{2,20})$ jon@us.ibm.com
usrName=(^([\w]+[^\W])([^\W]\.?)([\w]+[^\W]$)) john.smith, John.Smith, john,
jon_smith
usrName=^([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\S]$|^([a johnsmith, Johnsmith123,
-zA-Z])[0-9_-]*[\S]$|^[a-zA-Z]*[\S]$ john_smith123, john123_smith,
john-smith
usrName=(/S+) Coincide con cualquier carácter que
no sea un espacio en blanco después
del signo igual, =. Esta expresión
regular no es específica y puede
generar problemas de rendimiento del
sistema.
msg=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z]))*@\b(([01] Coincide con los usuarios que tienen
?\d?\d|2[0-4]\d|25[0-5])\.){3}([01]?\d?\d|2[0-4 dirección IP. Por ejemplo,
]\d|25[0-5])\b john.smith@1.1.1.1
src=\b(([01]?\d?\d|2[0-4]\d|25[0-5])\.){3}([01] Coincide con los formatos de
?\d?\d|2[0-4]\d|25[0-5])\b dirección IP.
host=^(([a-zA-Z0-9]|[a-zA-Z0-9][a-zA-Z0-9\-]*[a hostname.ibm.com, hostname.co.uk,
-zA-Z0-9])\.)*([A-Za-z0-9]|[A-Za-z0-9][A-Za-z0-
9\-]*[A-Za-z0-9])$
Utilice la función Gestión de ofuscación de datos de la pestaña Admin para configurar QRadar a fin de
ocultar los datos:
1. Cree un perfil de ofuscación de datos y descargue la clave privada generada por el sistema. Guarde la
clave en una ubicación segura.
2. Cree las expresiones de ofuscación de datos destinadas a los datos que desea ocultar.
3. Habilite el perfil de modo que el sistema empiece a ofuscar los datos.
4. Para leer los datos en QRadar, cargue la clave privada para desofuscar los datos.
Puede crear un perfil que cree un almacén de claves o puede utilizar un almacén de claves existente. Si
crea un almacén de claves, debe descargarlo y almacenarlo en una ubicación segura. Elimine el almacén
de claves del sistema local y almacénelo en una ubicación a la que solo puedan acceder los usuarios
autorizados para ver los datos desenmascarados.
La configuración de perfiles que utilizan diferentes almacenes de claves diferentes es útil cuando desea
limitar el acceso a los datos a diferentes grupos de usuarios. Por ejemplo, cree dos perfiles que utilicen
diferentes almacenes de claves cuando desee que un grupo de usuarios vea nombres de usuario y que
otro grupo de usuarios vea nombres de host.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, pulse Gestión de ofuscación de datos.
3. Para crear un perfil nuevo, pulse Añadir y teclee un nombre exclusivo y una descripción para el
perfil.
4. Para crear un almacén de claves para el perfil, siga estos pasos:
a. Pulse Almacén de claves generado por el sistema.
b. En el cuadro de lista Proveedor, seleccione IBMJCE.
c. En el cuadro de lista Algoritmo, seleccione JCE y seleccione si desea generar claves de cifrado de
512 bit o 1024 bits. En el cuadro Nombre común de certificado de almacén de claves, el nombre
de dominio totalmente calificado para el servidor QRadar se llena automáticamente.
d. En el cuadro Contraseña de almacén de claves, especifique la contraseña del almacén de claves.
La contraseña de almacén de claves es necesaria para proteger la integridad de éste. La contraseña
debe tener 8 caracteres de longitud como mínimo.
e. En Verificar contraseña de almacén de claves, vuelva a teclear la contraseña.
5. Para utilizar un almacén de claves existente con el perfil, siga estos pasos:
a. Pulse Almacén de claves de carga.
b. Pulse Examinar y seleccione el archivo de almacén de claves.
c. En el cuadro Contraseña de almacén de claves, teclee la contraseña para el almacén de claves.
6. Pulse Enviar.
Cree las expresiones de ofuscación de datos destinadas a los datos que desea enmascarar.
Una vez creada una expresión, no puede cambiar el tipo. Por ejemplo, no puede crear una expresión
basada en propiedad y cambiarla posteriormente por una expresión regular.
No puede ofuscar un campo numérico normalizado como por ejemplo un número de puerto o una
dirección IP.
Varias expresiones que ofuscan los mismos datos hacen que los datos se ofusquen dos veces. Para
descifrar datos que se han ofuscado varias veces, cada almacén de claves que se utiliza en el proceso de
ofuscación se debe aplicar por el orden en el que se ha producido la ofuscación.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. En la sección Orígenes de datos, pulse Gestión de ofuscación de datos.
3. Pulse el perfil que desea configurar y pulse Ver contenido. No puede configurar perfiles que estén
bloqueados.
4. Para crear una expresión de ofuscación de datos nueva, pulse Añadir y teclee un nombre exclusivo y
una descripción para el perfil.
5. Marque el recuadro de selección Habilitado para habilitar el perfil.
6. Para crear una expresión basada en campo, pulse Basado en campo y seleccione el tipo a ofuscar.
7. Para crear una expresión regular, pulse RegEx y configure las propiedades de regex.
8. Pulse Guardar.
Antes de empezar
Debe tener la clave privada y la contraseña de la clave para poder desofuscar los datos. La clave privada
debe estar en el sistema local.
Para poder ver los datos ofuscados, debe cargar la clave privada. Una vez cargada la clave, permanece
disponible en el sistema durante la sesión actual. La sesión finaliza cuando el usuario concluye QRadar,
cuando se borra la memoria caché en la QRadar Console o cuando hay un periodo de inactividad
prolongado. Cuando la sesión finaliza, las claves privadas cargadas en la sesión anterior ya no son
visibles.
Procedimiento
1. En la página Detalles del suceso, busque los datos que desea desofuscar.
2. Para desofuscar datos basados en identidad:
a. Pulse el icono del candado situado junto a los datos que desea desofuscar.
b. En la sección Clave de carga, pulse Seleccionar archivo y seleccione el almacén de claves a cargar.
c. En el recuadro Contraseña, teclee la contraseña que coincide con el almacén de claves.
d. Pulse Cargar.
La ventana Desofuscación muestra la carga útil de suceso, los nombres de perfil asociados con el
almacén de claves, el texto ofuscado y el texto desofuscado.
e. Opcional: Pulse Conmutar desofuscación automática para habilitar la desofuscación automática.
Después de conmutar el valor de desofuscación automática, debe renovar la ventana del
navegador y volver a cargar la página de detalles de suceso para que los cambios aparezcan.
3. Para desofuscar datos de carga útil no basados en la identidad:
a. En la barra de herramientas de la página Detalles del suceso, pulse Ofuscación > Claves de
desofuscación.
b. En la sección Clave de carga, pulse Seleccionar archivo y seleccione la clave privada a cargar.
c. En el recuadro Contraseña, teclee la contraseña que coincide con la clave privada y pulse Cargar.
d. En el recuadro Información de carga útil, seleccione y copie el texto ofuscado en el portapapeles.
e. En la barra de herramientas de la página Detalles del suceso, pulse Ofuscación > Desofuscación.
f. Pegue el texto ofuscado en el cuadro de diálogo.
g. Seleccione el perfil de ofuscación en la lista desplegable y pulse Desofuscar.
Aunque puede ver las expresiones, no puede editar o inhabilitar expresiones de ofuscación de datos
creadas en versiones anteriores. Debe inhabilitarlas manualmente y crear un perfil de ofuscación de datos
que contenga las expresiones revisadas.
Para inhabilitar una expresión antigua, debe editar el archivo de configuración xml que define los
atributos para la expresión. A continuación puede ejecutar el script obfuscation_updater.sh para
inhabilitarlo.
Asegúrese de inhabilitar expresiones antiguas antes de crear expresiones nuevas que ofusquen los
mismos datos. Varias expresiones que ofuscan los mismos datos hacen que los datos se ofusquen dos
veces. Para descifrar datos que se han ofuscado varias veces, cada almacén de claves que se utiliza en el
proceso de ofuscación se debe aplicar por el orden en el que se ha producido la ofuscación.
Procedimiento
1. Utilice SSH para iniciar la sesión en la consola de QRadar como usuario root.
Cree un perfil de ofuscación de datos para ocultar los datos y gestionar expresiones de ofuscación
directamente en QRadar.
Los archivos de registro siguientes pueden ayudarle a identificar y resolver problemas cuando se
producen:
v /var/log/qradar.log
v /var/log/qradar.error
v /var/log/qradar-sql.log
v /opt/tomcat6/logs/catalina.out
v /var/log/qflow.debug
Si desea recopilar los archivos de registro QRadar y revisarlo posteriormente, consulte “Recopilación de
archivos de registro” en la página 73.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
Registros de auditoría
Los cambios que realizan los usuarios de IBM Security QRadar se registran en registros de auditoría.
Todos los registros de auditoría se almacenan en texto sin formato y se archivan y se comprimen cuando
alcanzan un tamaño de 200 MB. El archivo de registro actual se denomina audit.log. Cuando el archivo
alcanza los 200 MB, se comprime y se le cambia el nombre por audit.1.gz. El número del archivo se
incrementa cada vez que se archiva un archivo de registro. QRadar almacena hasta 50 archivos de
registro archivados.
El tamaño máximo de cualquier mensaje de auditoría, excluidos la fecha, la hora y el nombre de host, es
de 1024 caracteres.
Procedimiento
1. Inicie, mediante SSH, la sesión en QRadar como usuario root:
2. Nombre de usuario: root
3. Contraseña: contraseña
4. Vaya al directorio siguiente:
/var/log/audit
5. Abra y consulte el archivo de registro de auditoría.
Acciones registradas
Los registros de auditoría de IBM Security QRadar están en el directorio /var/log/audit.
En la lista siguiente se describen las categorías de acciones que existen en el archivo de registro de
auditoría:
Autenticación del administrador
v Iniciar una sesión en la Consola de administración.
v Cerrar sesión de la consola de administración
Activos
v Suprimir un activo
v Suprimir todos los activos
Acceso del registro de auditoría
Búsqueda que incluye sucesos que tienen una categoría de suceso de nivel alto de Auditoría.
Copia de seguridad y recuperación
v Editar la configuración
v Iniciar la copia de seguridad
v Completar la copia de seguridad
v Copia de seguridad fallida
v Suprimir la copia de seguridad
v Sincronizar la copia de seguridad
Los sucesos que se producen en la red se agregan a categorías de nivel alto y bajo. Cada categoría de
nivel alto contiene categorías de nivel bajo y un nivel de gravedad y un número de ID asociados.
Puede revisar los niveles de gravedad que están asignados a los sucesos y ajustarlos para que se adapten
a las necesidades de su política corporativa.
Puede ejecutar una consulta AQL mediante IDs de categoría de suceso de nivel alto y de nivel bajo. Los
IDs de categoría de los nombres de categoría asociados se pueden recuperar de las tablas de categoría de
sucesos.
Por ejemplo, si está desarrollando aplicaciones en QRadar, puede ejecutar una búsqueda de AQL similar a
la consulta siguiente desde la línea de mandatos para recopilar datos de Ariel:
select qidname(qid) as ’Event’, username as ’Username’, devicetime as ’Time’ from events where
’<ID de categoría de nivel alto>’ and ’<ID de categoría de nivel bajo>’ and
LOGSOURCENAME(logsourceid) like "%Nombre de categoría de nivel bajo%" last 3 days
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
La categorización de los sucesos entrantes hace que las búsquedas en los datos sean más fáciles de hacer.
Reconocimiento
La categoría Reconocimiento contiene sucesos que están relacionados con la exploración y otras técnicas
que se utilizan para identificar los recursos de la red.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Reconocimiento.
Tabla 81. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos
Reconocimiento
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Formulario de 1001 Un formulario desconocido 2
reconocimiento desconocido de reconocimiento.
Consulta de aplicación 1002 Reconocimiento para las 3
aplicaciones del sistema.
Consulta de host 1003 Reconocimiento para un 3
host de la red.
Barrido de red 1004 Reconocimiento en la red. 4
Reconocimiento de correo 1005 Reconocimiento en el 3
sistema de correo.
Reconocimiento de 1006 Reconocimiento para el 3
Windows sistema operativo
Windows.
Solicitud de correlación de 1007 Reconocimiento en la 3
puertos / RPC solicitud de correlación de
puertos o RPC.
Exploración de puertos de 1008 Indica que se ha llevado a 4
host cabo una exploración en los
puertos de host.
Vuelco de RPC 1009 Indica que la información 3
de RPC (llamada a
procedimiento remoto) se
ha eliminado.
Reconocimiento de DNS 1010 Reconocimiento en el 3
servidor DNS.
Suceso de reconocimiento 1011 Suceso de reconocimiento 2
diverso diverso.
Reconocimiento de web 1012 Reconocimiento de web en 3
la red.
Reconocimiento de base de 1013 Reconocimiento de base de 3
datos datos en la red.
Reconocimiento de ICMP 1014 Reconocimiento del tráfico 3
ICMP.
Reconocimiento de UDP 1015 Reconocimiento del tráfico 3
UDP.
Denegación de servicio
La categoría de denegación de servicio contiene sucesos que están relacionados con los ataques de
denegación de servicio (DoS) contra servicios o hosts.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de ataque de denegación de servicio.
Tabla 82. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de ataque de
denegación de servicio
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Ataque desconocido de 2001 Indica un ataque de 8
denegación de servicio denegación de servicio
desconocido.
Ataque de denegación de 2002 Indica un ataque de 9
servicio de ICMP denegación de servicio de
ICMP.
Ataque de denegación de 2003 Indica un ataque de 9
servicio de TCP denegación de servicio de
TCP.
Ataque de denegación de 2004 Indica un ataque de 9
servicio de UDP denegación de servicio de
UDP.
Ataque de denegación de 2005 Indica un ataque de 8
servicio de DNS denegación de servicio de
DNS.
Ataque de denegación de 2006 Indica un ataque de 8
servicio web denegación de servicio de
un servicio web.
Ataque de denegación de 2007 Indica un ataque de 8
servicio de correo denegación de servicio del
servidor de correo.
Autenticación
La categoría de autenticación contiene sucesos que están relacionados con la autenticación, las sesiones y
los controles de acceso que supervisan a los usuarios de la red.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de autenticación.
Tabla 83. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Autenticación desconocida 3001 Indica que la autenticación 1
es desconocida.
Inicio de sesión de host 3002 Indica un inicio de sesión 1
satisfactorio de host satisfactorio.
Inicio de sesión de host 3003 Indica que el inicio de 3
fallido sesión de host ha fallado.
Inicio de sesión diverso 3004 Indica que la secuencia de 1
satisfactorio inicio de sesión ha sido
satisfactoria.
Inicio de sesión diverso 3005 Indica que la secuencia de 3
fallido inicio de sesión ha fallado.
Escalamiento de privilegios 3006 Indica que el escalamiento 3
fallido de privilegios ha fallado.
Escalamiento de privilegios 3007 Indica que el escalamiento 1
satisfactorio de privilegios ha sido
satisfactorio.
Inicio de sesión de servicio 3008 Indica que el inicio de 1
de correo satisfactorio sesión en el servicio de
correo ha sido satisfactorio.
Inicio de sesión de servicio 3009 Indica que el inicio de 3
de correo fallido sesión en el servicio de
correo ha fallado.
Acceso
La categoría de acceso contiene controles de autenticación y acceso que se utilizan para la supervisión de
los sucesos de red.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de acceso.
Tabla 84. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de acceso
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Suceso de comunicación de 4001 Indica un suceso de 3
red desconocido comunicación de red
desconocido.
Permiso de cortafuegos 4002 Indica que se ha permitido 0
el acceso al cortafuegos.
Denegación de cortafuegos 4003 Indica que se ha denegado 4
el acceso al cortafuegos.
Respuesta de contexto de 4004 Indica sucesos del motor de 5
flujo (solo QRadar SIEM) clasificación en respuesta a
una petición de SIM.
Suceso de comunicación de 4005 Indica un suceso de 3
red diverso comunicación de red
diverso.
Denegación de IPS 4006 Indica que hay tráfico 4
denegado de IPS (sistemas
de prevención de
intrusiones).
Sesión de cortafuegos 4007 Indica que la sesión de 0
abierta cortafuegos se ha abierto.
Sesión de cortafuegos 4008 Indica que la sesión de 0
cerrada cortafuegos se ha cerrado.
Explotación
La categoría de explotación contiene sucesos en los que se ha producido una explotación (ataque) de
acceso o de comunicación.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de explotación.
Tabla 85. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de explotación
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Ataque de Explotación 5001 Indica un ataque de 9
desconocido explotación desconocido.
Desbordamiento de 5002 Indica un desbordamiento 9
almacenamiento intermedio de almacenamiento
intermedio.
Explotación de DNS 5003 Indica una explotación de 9
DNS.
Explotación de Telnet 5004 Indica una explotación de 9
Telnet.
Programa malicioso
La categoría de programa malicioso (software malicioso o malware) contiene sucesos que están
relacionados con los intentos de explotaciones de aplicación y de desbordamiento de almacenamiento
intermedio.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de programa malicioso.
Tabla 86. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de programa
malicioso
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Programa malicioso 6001 Indica un virus 4
desconocido desconocido.
Puerta trasera detectada 6002 Indica que se ha detectado 9
una puerta trasera en el
sistema.
Actividad sospechosa
La categoría Sospechoso contiene sucesos que están relacionados con virus, troyanos, ataques por puertas
traseras y otras formas de software hostil.
Sistema
La categoría de sistema contiene sucesos que están relacionados con los cambios del sistema, la
instalación de software o los mensajes de estado.
26 Categorías de sucesos 337
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de sistema.
Tabla 88. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de sistema
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Suceso del sistema 8001 Indica un suceso de sistema 1
desconocido desconocido.
Arranque del sistema 8002 Indica un reinicio del 1
sistema.
Configuración del sistema 8003 Indica que se ha aplicado 1
un cambio en la
configuración del sistema.
Detención del sistema 8004 Indica que el sistema se ha 1
detenido.
Anomalía del sistema 8005 Indica una anomalía del 6
sistema.
Estado del sistema 8006 Indica cualquier suceso de 1
información.
Error del sistema 8007 Indica un error del sistema. 3
Suceso del sistema diverso 8008 Indica un suceso de sistema 1
diverso.
Servicio iniciado 8009 Indica que se han iniciado 1
servicios del sistema.
Servicio detenido 8010 Indica que se han detenido 1
servicios del sistema.
Anomalía de servicio 8011 Indica una anomalía del 6
sistema.
Modificación satisfactoria 8012 Indica que una 1
del registro modificación aplicada al
registro ha sido
satisfactoria.
Modificación satisfactoria 8013 Indica que una 1
de la política de host modificación aplicada a la
política de host ha sido
satisfactoria.
Modificación satisfactoria 8014 Indica que una 1
de archivo modificación aplicada a un
archivo ha sido
satisfactoria.
Modificación satisfactoria 8015 Indica que una 1
de pila modificación aplicada a la
pila ha sido satisfactoria.
Modificación satisfactoria 8016 Indica que una 1
de aplicación modificación aplicada a la
aplicación ha sido
satisfactoria.
Modificación satisfactoria 8017 Indica que una 1
de configuración modificación aplicada a la
configuración ha sido
satisfactoria.
Política
La categoría de política contiene sucesos que están relacionados con la administración de la política de
red y la supervisión de los recursos de la red para comprobar si se producen violaciones de la política.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de política.
Desconocido
La categoría Desconocido contiene sucesos que no se analizan y, por lo tanto, no se pueden asignar a
ninguna categoría.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Desconocido.
Tabla 90. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Desconocido
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Desconocido 10001 Indica un suceso 3
desconocido.
Suceso de Snort 10002 Indica un suceso de Snort 3
desconocido desconocido.
Suceso de Dragon 10003 Indica un suceso de Dragon 3
desconocido desconocido.
Suceso de cortafuegos Pix 10004 Indica un suceso de Cisco 3
desconocido Private Internet Exchange
(PIX) Firewall desconocido.
Suceso de punto crítico 10005 Indica un suceso de HP 3
desconocido TippingPoint desconocido.
Suceso de servidor de 10006 Indica un suceso de 3
autenticación de Windows Windows Auth Server
desconocido desconocido.
Suceso de Nortel 10007 Indica un suceso de Nortel 3
desconocido desconocido.
Almacenado 10009 Indica un suceso 3
almacenado desconocido.
Conductual 11001 Indica un suceso de 3
comportamiento
desconocido.
Umbral 11002 Indica un suceso de umbral 3
desconocido.
Anomalía 11003 Indica un suceso de 3
anomalía desconocido.
CRE
La categoría de suceso de regla personalizada (CRE) contiene sucesos que se generan a partir de una
regla personalizada de delito, flujo o suceso.
Explotación potencial
La categoría de explotación potencial contiene sucesos que están relacionados con intentos de
explotaciones potenciales de aplicación y de desbordamiento de almacenamiento intermedio.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de explotación potencial.
Tabla 92. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de explotación potencial
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Ataque de explotación 13001 Indica que se ha detectado 7
potencial desconocido un ataque de explotación
potencial.
Desbordamiento de 13002 Indica que se ha detectado 7
almacenamiento intermedio un desbordamiento de
potencial almacenamiento intermedio
potencial.
Explotación de DNS 13003 Indica que se ha detectado 7
potencial un ataque de explotación
potencial a través del
servidor DNS.
Explotación de Telnet 13004 Indica que se ha detectado 7
potencial un ataque de explotación
potencial a través de Telnet.
Explotación de Linux 13005 Indica que se ha detectado 7
potencial un ataque de explotación
potencial a través de Linux.
Explotación de UNIX 13006 Indica que se ha detectado 7
potencial un ataque de explotación
potencial a través de UNIX.
Flujo
La categoría de flujo incluye sucesos relacionados con acciones de flujo.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de flujo.
Tabla 93. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de flujo
Categoría de sucesos de Nivel de gravedad (0 –
nivel bajo ID de categoría Descripción 10)
Flujo unidireccional 14001 Indica un flujo de sucesos 5
unidireccional.
Número bajo de flujos 14002 Indica un número bajo de flujos 5
unidireccionales unidireccionales de sucesos.
Número medio de flujos 14003 Indica un número medio de flujos 5
unidireccionales unidireccionales de sucesos.
Número alto de flujos 14004 Indica un número alto de flujos 5
unidireccionales unidireccionales de sucesos.
Flujo de TCP unidireccional 14005 Indica un flujo de TCP 5
unidireccional.
Número bajo de flujos de 14006 Indica un número bajo de flujos 5
TCP unidireccionales unidireccionales de TCP.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Definido por el usuario.
Tabla 94. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Definido por el usuario
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Sentry personalizado bajo 15001 Indica un suceso de 3
anomalía personalizado de
gravedad baja.
Sentry personalizado medio 15002 Indica un suceso de 5
anomalía personalizado de
gravedad media.
Sentry personalizado alto 15003 Indica un suceso de 7
anomalía personalizado de
gravedad alta.
Sentry personalizado 1 15004 Indica un suceso de 1
anomalía personalizado con
el nivel de gravedad 1.
Sentry personalizado 2 15005 Indica un suceso de 2
anomalía personalizado con
el nivel de gravedad 2.
Sentry personalizado 3 15006 Indica un suceso de 3
anomalía personalizado con
el nivel de gravedad 3.
Sentry personalizado 4 15007 Indica un suceso de 4
anomalía personalizado con
el nivel de gravedad 4.
Sentry personalizado 5 15008 Indica un suceso de 5
anomalía personalizado con
el nivel de gravedad 5.
Sentry personalizado 6 15009 Indica un suceso de 6
anomalía personalizado con
el nivel de gravedad 6.
Sentry personalizado 7 15010 Indica un suceso de 7
anomalía personalizado con
el nivel de gravedad 7.
Sentry personalizado 8 15011 Indica un suceso de 8
anomalía personalizado con
el nivel de gravedad 8.
Auditoría de SIM
La categoría Auditoría de SIM contiene sucesos que están relacionados con la interacción del usuario con
la consola de IBM Security QRadar y las funciones administrativas.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Auditoría de SIM.
Tabla 95. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Auditoría de SIM
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Autenticación de usuario 16001 Indica un inicio o un cierre 5
de SIM de sesión del usuario en la
consola.
Cambio de configuración 16002 Indica que un usuario ha 3
de SIM cambiado el despliegue o la
configuración de SIM.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de descubrimiento de host de VIS.
Tabla 96. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de descubrimiento de host
de VIS
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Host nuevo descubierto 17001 Indica que el componente 3
VIS ha detectado un host
nuevo.
Puerto nuevo descubierto 17002 Indica que el componente 3
VIS ha detectado un puerto
abierto nuevo.
Vuln. nueva descubierta 17003 Indica que el componente 3
VIS ha detectado una
vulnerabilidad nueva.
Aplicación
La categoría de aplicación contiene sucesos que están relacionados con la actividad de auditoría, como el
correo electrónico o la actividad de FTP.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de aplicación.
Tabla 97. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Correo abierto 18001 Indica que se ha establecido 1
una conexión de correo
electrónico.
Correo cerrado 18002 Indica que se ha cerrado 1
una conexión de correo
electrónico.
Correo restablecido 18003 Indica que se ha 3
restablecido una conexión
de correo electrónico.
Correo terminado 18004 Indica que se ha terminado 4
una conexión de correo
electrónico.
Correo denegado 18005 Indica que se ha denegado 4
una conexión de correo
electrónico.
Correo en curso 18006 Indica que se está 1
intentando una conexión de
correo electrónico.
Correo retardado 18007 Indica que se ha retardado 4
una conexión de correo
electrónico.
Correo en cola 18008 Indica que se ha puesto en 3
cola una conexión de correo
electrónico.
Correo redirigido 18009 Indica que se ha redirigido 1
una conexión de correo
electrónico.
Auditoría
La categoría de auditoría contiene sucesos que están relacionados con la actividad de auditoría, como el
correo electrónico o la actividad de FTP.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de auditoría.
Tabla 98. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Suceso de auditoría general 19001 Indica que ha comenzado 1
un suceso de auditoría
general.
Ejecución incorporada 19002 Indica que se ha ejecutado 1
una tarea de auditoría
incorporada.
Copia masiva 19003 Indica que se ha detectado 1
una copia masiva de datos.
Vuelco de datos 19004 Indica que se ha detectado 1
un vuelco de datos.
Riesgo
La categoría de riesgo contiene sucesos que están relacionados con IBM Security QRadar Risk Manager.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de riesgo.
Tabla 99. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de riesgo
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Exposición de política 20001 Indica que se ha detectado 5
una exposición de política.
Violación de conformidad 20002 Indica que se ha detectado 5
una violación de
conformidad.
Vulnerabilidad expuesta 20003 Indica que la red o el 9
dispositivo tiene una
vulnerabilidad expuesta.
Vulnerabilidad de acceso 20004 Indica que la red o el 9
remoto dispositivo tiene una
vulnerabilidad de acceso
remoto.
Vulnerabilidad de acceso 20005 Indica que la red o el 7
local dispositivo tiene una
vulnerabilidad de acceso
local.
Acceso inalámbrico abierto 20006 Indica que la red o el 5
dispositivo tiene abierto el
acceso inalámbrico.
Cifrado débil 20007 Indica que el host o el 5
dispositivo tiene un cifrado
débil.
Transferencia de datos no 20008 Indica que un host o un 3
cifrada dispositivo está
transmitiendo datos que no
están cifrados.
Almacén de datos no 20009 Indica que el almacén de 3
cifrado datos no está cifrado.
Regla mal configurada 20010 Indica que una regla no 3
está configurada
correctamente.
Dispositivo mal 20011 Indica que un dispositivo 3
configurado de la red no está
configurado correctamente.
Host mal configurado 20012 Indica que un host no está 3
configurado correctamente.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de auditoría de Risk Manager.
Tabla 100. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría de Risk
Manager
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Supervisor de políticas 21001 Indica que se ha 3
modificado un supervisor
de políticas.
Topología 21002 Indica que se ha 3
modificado una topología.
Simulaciones 21003 Indica que se ha 3
modificado una simulación.
Administración 21004 Indica que se han realizado 3
cambios administrativos.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de control.
Tabla 101. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de control
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Lectura de dispositivo 22001 Indica que un dispositivo 1
se ha leído.
Comunicación de 22002 Indica la comunicación con 1
dispositivo un dispositivo.
Auditoría de dispositivo 22003 Indica que se ha efectuado 1
una auditoría de
dispositivo.
Suceso de dispositivo 22004 Indica que se ha producido 1
un suceso de dispositivo.
Ping de dispositivo 22005 Indica que se ha efectuado 1
una acción ping a un
dispositivo.
Configuración de 22006 Indica que un dispositivo 1
dispositivo se ha configurado.
Registro de dispositivo 22007 Indica que un dispositivo 1
se ha registrado.
Ruta de dispositivo 22008 Indica que se ha efectuado 1
una acción de ruta de
dispositivo.
Importación de dispositivo 22009 Indica que se ha efectuado 1
una importación de
dispositivo.
Información de dispositivo 22010 Indica que se ha efectuado 1
una acción de información
de dispositivo.
Aviso de dispositivo 22011 Indica que se ha generado 1
un aviso sobre un
dispositivo.
Error de dispositivo 22012 Indica que se ha generado 1
un error sobre un
dispositivo.
Suceso de relé 22013 Indica un suceso de relé. 1
Suceso de NIC 22014 Indica un suceso de tarjeta 1
de interfaz de red (NIC).
Suceso de UIQ 22015 Indica un suceso en un 1
dispositivo móvil.
Suceso de IMU 22016 Indica un suceso en una 1
unidad de gestión
integrada (IMU).
Suceso de facturación 22017 Indica un suceso de 1
facturación.
Perfilador de activos
La categoría de perfilador de activos contiene sucesos que están relacionados con los perfiles de los
activos.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de perfilador de activos.
Percepción
La categoría de percepción contiene sucesos que están relacionados con el análisis del comportamiento de
usuario de percepción.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría de percepción.
Tabla 103.
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Comportamiento del 24001 Indica el comportamiento 5
usuario del usuario.
Ubicación geográfica del 24002 Indica la ubicación 5
usuario geográfica del usuario.
Huso horario del usuario 24003 Indica el huso horario del 5
usuario.
Acceso del usuario 24004 Indica el acceso del usuario. 5
Privilegio del usuario 24005 Indica el privilegio del 5
usuario.
Riesgo del usuario 24006 Indica el riesgo del usuario. 5
Percepción del delito 24007 Indica que se ha producido 5
una percepción del delito.
Riesgo del recurso 24008 Indica los recursos en 5
riesgo.
Todos los puertos que se describen en la consola de QRadar pueden ser túneles, mediante cifrado, a
través del puerto 22 sobre SSH.
La consola conecta con los hosts gestionados mediante una sesión SSH cifrada para comunicarse de
forma segura. Estas sesiones de SSH se inician desde la consola para proporcionar datos al host
gestionado. Por ejemplo, QRadar Console puede iniciar varias sesiones de SSH en los dispositivos de
Procesador de sucesos para establecer una comunicación segura. Esta comunicación puede incluir puertos
túnel sobre SSH, como los datos HTTPS para el puerto 443 y los datos de consulta de Ariel para el puerto
32006. Los IBM Security QRadar QFlow Collector que utilizan cifrado pueden iniciar sesiones de SSH
para los dispositivos de procesador de flujo que necesitan datos.
Los agentes de WinCollect que sondean remotamente otros sistemas operativos Microsoft Windows
podrían requerir asignaciones de puerto adicionales.
Para obtener más información, consulte la Guía del usuario de IBM Security QRadar WinCollect.
En la tabla siguiente se muestran los puertos de QRadar que están abiertos y en un estado de escucha
(LISTEN). Los puertos LISTEN sólo son válidos cuando iptables está habilitado en el sistema. A menos que
se indique lo contrario, la información sobre el número de puerto asignado se aplica a todos los
productos de QRadar.
Tabla 104. Puertos de escucha utilizados por los servicios y componentes de QRadar
Puerto Descripción Protocolo Dirección Requisito
22 SSH TCP Bidireccional desde QRadar Console Acceso de gestión remota.
a todos los demás componentes
Adición de un sistema
remoto como host
gestionado.
Protocolos de origen de
registro para recuperar
archivos de los dispositivos
externos; por ejemplo, el
protocolo de archivo de
registro.
Hosts gestionados de
QRadar que se conectan a
QRadar Console.
Las asociaciones de puertos aleatorias no son números de puerto estáticos. Si un servicio se reinicia, los
puertos generados para el servicio se reasignan y al servicio se le asigna un nuevo conjunto de números
de puerto.
Procedimiento
1. Utilizando SSH, inicie la sesión en QRadar Console como usuario root.
2. Para visualizar una lista de los puertos asociados para la conexión de mensajería IMQ, escriba el
mandato siguiente:
telnet localhost 7676 Los resultados del mandato telnet pueden tener un aspecto parecido al
siguiente:
[root@domain ~]# telnet localhost 7676
Trying 127.0.0.1...
Connected to localhost.
Escape character is ’^]’.
101 imqbroker 4.4 Update 1
portmapper tcp PORTMAPPER 7676
[imqvarhome=/opt/openmq/mq/var,imqhome=/opt/openmq/mq,sessionid=<session_id>]
cluster_discovery tcp CLUSTER_DISCOVERY 44913
jmxrmi rmi JMX 0 [url=service:jmx:rmi://domain.ibm.com/stub/<urlpath>]
admin tcp ADMIN 43691
jms tcp NORMAL 7677
cluster tcp CLUSTER 36615
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar Console como usuario root.
2. Para visualizar todas las conexiones activas y los puertos TCP y UDP en los que el sistema está a la
escucha, escriba el mandato siguiente:
netstat -nap
3. Para buscar información específica de la lista de puertos de netstat, escriba el mandato siguiente:
netstat -nap | grep puerto
Ejemplos:
v Para visualizar todos los puertos que coinciden con 199, teclee el mandato siguiente:
netstat -nap | grep 199
v Para visualizar información en todos los puertos de escucha, teclee el mandato siguiente:
netstat -nap | grep LISTEN
Servidores públicos
Tabla 105. Servidores públicos a los que QRadar debe acceder. En esta tabla se proporcionan las descripciones de
las direcciones IP o los nombres de host a los que QRadar accede.
Dirección IP o nombre de host Descripción
194.153.113.31 Explorador de zona desmilitarizada de IBM Security
QRadar Vulnerability Manager
194.153.113.32 Explorador de zona desmilitarizada de QRadar
Vulnerability Manager
qmmunity.q1labs.com Servidores de actualizaciones automáticas de QRadar.
feeder.create_feed&feeder.feedtype=RSS
&feeder.uid=270006EH0R&feeder.subscrid=
S14b5f284d32&feeder.subdefkey=swgother
&feeder.maxfeed=25
Security News http://dirección_IP_procesador_QVM Procesador de IBM Security QRadar
Vulnerability Manager desplegado
:8844/rss/research/news.rss
Security Advisories http://dirección_IP_procesador_QVM Procesador de QRadar Vulnerability
Manager desplegado
:8844/rss/research/advisories.rss
Latest Published http://dirección_IP_procesador_QVM Procesador de QRadar Vulnerability
Vulnerabilities Manager desplegado
:8844/rss/research/vulnerabilities.rss
Scans Completed http://dirección_IP_procesador_QVM Procesador de QRadar Vulnerability
Manager desplegado
:8844/rss/scanresults/completedScans.rss
Scans In Progress http://dirección_IP_procesador_QVM Procesador de QRadar Vulnerability
Manager desplegado
:8844/rss/scanresults/runningScans.rss
Cada red está asociada con una interfaz puente en el host y se definen reglas de cortafuegos para filtrar
el tráfico entre estas interfaces. Normalmente, los contenedores de una zona que comparten las mismas
interfaz puente de host y red de Docker pueden comunicarse entre ellos. La excepción a esta regla
general es que las aplicaciones se ejecutan en la misma red dockerApps, pero están aisladas entre ellas por
el cortafuegos.
Interfaces de Docker
Para ver una lista de interfaces de Docker, especifique el siguiente mandato:
La interfaz dockerApps se utiliza para aplicar reglas para la comunicación entre las aplicaciones.
La interfaz appProxy muestra el contenedor nginx_framework_apps_proxy.
La interfaz dockerInfra se utiliza para alojar service launcher y qoauth. Las aplicaciones están
aisladas de la mayoría de componentes de la infraestructura, pero deben poder conectarse a
service launcher y qoauth para poder gestionar los secretos y la autorización.
Información sobre las interfaces de Docker
Escriba el mandato siguiente para obtener información sobre las interfaces de Docker:
docker inspect <ID_contenedor_docker> | grep NetworkMode
A continuación, se muestra un ejemplo del resultado:
"NetworkMode": "appProxy"
Este ejemplo muestra cómo se utiliza el mandato docker inspect <ID_contenedor_docker> y se
enlaza con una barra vertical con less para ver más detalles de la red:
docker inspect d9b3e58649de | less
A continuación, se muestra un ejemplo del resultado:
"Networks": {
"dockerApps": {
"IPAMConfig": null,
"Links": null,
"Aliases": [
"d9b3e58649de"
], "NetworkID":
"79bc4716da5139a89cfa5360a3b72824e67701523768822d11b53caeaa5e349e",
"EndpointID":
"9dba9d9a174b037f72333945b72cdf60c3719fdb9a3a10a14a8ee3cc0e92a856",
"Gateway": "172.18.0.1",
"IPAddress": "172.18.0.2",
"IPPrefixLen": 16,
"IPv6Gateway": "2003:db8:1::1",
"GlobalIPv6Address": "2003:db8:1::2",
"GlobalIPv6PrefixLen": 64,
"MacAddress": "02:42:ac:12:00:02"
}
Cada punto final contiene el URL del recurso al que desea acceder y la acción que desea completar en ese
recurso. La acción se indica mediante el método HTTP de la solicitar: GET, POST, PUT o DELETE. Para
obtener más información sobre los parámetros y las respuestas, consulte la publicación IBM Security
QRadar API Guide.
El foro de API proporciona más información acerca de la API REST, que incluye las respuestas a las
preguntas más frecuentes y ejemplos de código con anotaciones que puede utilizar en un entorno de
prueba. Para obtener más información, consulte el foro de API (https://www.ibm.com/developerworks/
community/forums/html/forum?id=b02461a3-9a70-4d73-94e8-c096abe263ca).
Procedimiento
1. Para acceder a la interfaz interactiva de documentación de la API, escriba la siguiente URL en el
navegador web: https://ConsoleIPaddress/api_doc/.
2. Pulse en el icono de flecha junto a la versión de la API que desea utilizar.
9.0 es la última versión de QRadar V7.3.1.
3. Vaya al punto final al que desea acceder.
4. Lea la documentación del punto final y complete los parámetros de solicitud.
5. Pulse en Inténtelo para enviar la solicitud de la API a la consola y recibir una respuesta HTTPS con el
formato correcto.
Nota: Al pulsar Inténtelo, se lleva a cabo la acción en el sistema QRadar. No todas las acciones se
pueden deshacer, por ejemplo, no puede reabrir un delito una vez cerrado.
6. Revise y recopile la información que necesite integrar a QRadar.
Es posible que IBM no ofrezca en otros países los productos, servicios o características que se describen
en este documento. Póngase en contacto con el representante local de IBM, que le informará sobre los
productos y servicios disponibles actualmente en su área. Cualquier referencia a un producto, programa o
servicio de IBM no pretende indicar ni implicar que solo pueda utilizarse dicho producto, programa o
servicio de IBM. En su lugar, puede utilizarse cualquier producto, programa o servicio funcionalmente
equivalente que no infrinja ninguno de los derechos de propiedad intelectual de IBM. No obstante, es
responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier producto, programa o
servicio que no sea de IBM.
IBM puede tener patentes o solicitudes de patente en tramitación que abarquen la materia descrita en este
documento. La posesión de este documento no le confiere ninguna licencia sobre dichas patentes. Puede
enviar consultas sobre licencias, por escrito, a:
Para consultas sobre licencias en las que se solicite información sobre el juego de caracteres de doble byte
(DBCS), póngase en contacto con el departamento de Propiedad intelectual de IBM de su país o envíe las
consultas, por escrito, a:
Esta información podría incluir imprecisiones técnicas o errores tipográficos. Periódicamente se realizan
cambios en la información aquí contenida; estos cambios se incorporarán en nuevas ediciones de la
publicación. IBM puede efectuar mejoras o cambios en los productos o programas descritos en esta
publicación en cualquier momento y sin previo aviso.
Las referencias hechas en esta publicación a sitios web que no son de IBM se proporcionan sólo para la
comodidad del usuario y no constituyen un aval de estos sitios web. Los materiales de estos sitios web
no forman parte de los materiales de IBM para este producto, y el uso que se haga de estos sitios web
será responsabilidad del usuario.
IBM puede utilizar o distribuir la información que se le proporcione de cualquier modo que considere
adecuado sin incurrir por ello en ninguna obligación con el remitente.
Esta información puede estar disponible, sujeta a los términos y condiciones adecuados, incluido, en
algunos casos, el pago de una tarifa.
IBM proporciona el programa bajo licencia descrito en este documento y todo el material bajo licencia
disponible para el mismo bajo los términos del contrato de cliente IBM, el contrato internacional de
licencia de programa de IBM o cualquier acuerdo equivalente entre las partes.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solamente a efectos ilustrativos.
Los resultados de rendimiento reales pueden variar en función de las configuraciones y las condiciones
operativas específicas.
La información relacionada con productos que no son de IBM se ha obtenido de los proveedores de
dichos productos, de sus anuncios publicados o de otras fuentes disponibles públicamente. IBM no ha
probado esos productos y no puede confirmar la precisión del rendimiento, compatibilidad o cualquier
otra declaración relacionada con los productos que no son de IBM. Las preguntas relativas a las
prestaciones de los productos que no son de IBM deberán dirigirse a los proveedores de dichos
productos.
Las declaraciones relativas a la dirección o intenciones futuras de IBM pueden cambiar o ser retiradas sin
previo aviso, y sólo representan propósitos y objetivos.
Todos los precios de IBM mostrados son precios de venta al público sugeridos por IBM, son actuales y
están sujetos a cambio sin previo aviso. Los precios de los distribuidores pueden variar.
Marcas registradas
IBM, el logotipo de IBM e ibm.com son marcas registradas o marcas comerciales registradas de
International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros
nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Hay
disponible una lista actual de marcas registradas de IBM en la web, en sección "Copyright and trademark
information" de www.ibm.com/legal/copytrade.shtml.
Linux es una marca registrada de Linus Torvalds en Estados Unidos y/o en otros países.
UNIX es una marca registrada de The Open Group en Estados Unidos y en otros países.
Java y todas las marcas y logotipos basados en Java son marcas comerciales o marcas registradas de
Oracle y/o de sus filiales.
Aplicabilidad
Estos términos y condiciones se añaden a los términos de uso del sitio web de IBM.
Uso personal
Puede reproducir estas publicaciones para su uso personal, no comercial, siempre que se conserven todos
los avisos sobre derechos de propiedad. No puede realizar trabajos derivados de estas publicaciones, ni
de partes de las mismas, ni reproducirlas, distribuirlas o visualizarlas, sin el consentimiento expreso de
IBM.
Uso comercial
Puede reproducir, distribuir y visualizar estas publicaciones únicamente dentro de la empresa a condición
de que se conserven todos los avisos de propiedad. No puede realizar trabajos derivados de estas
publicaciones, ni de partes de las mismas, ni reproducirlas, distribuirlas o visualizarlas fuera de la
empresa, sin el consentimiento expreso de IBM.
Derechos
Salvo lo aquí permitido de forma expresa, no se conceden otros permisos, licencias o derechos, ni
implícitos ni explícitos, para las publicaciones o cualquier información, datos software u otra propiedad
intelectual que en ellas se incluya.
IBM se reserva el derecho de retirar los permisos que se hayan proporcionado siempre que, bajo su
discreción, el uso de las publicaciones sea perjudicial para sus intereses o, según determine IBM, no se
estén siguiendo adecuadamente las instrucciones detalladas anteriormente.
No se puede descargar, exportar o reexportar si no es en total cumplimiento con todas las leyes y
reglamentos aplicables, incluidas las leyes y reglamentos de los EE.UU. en materia de exportación.
Avisos 405
Declaración de privacidad en línea de IBM
Los productos de software de IBM, incluido el software ofrecido como soluciones de servicio (“Ofertas de
software”), pueden utilizar cookies u otras tecnologías para recopilar información de uso del producto,
ayudar a mejorar la experiencia del usuario final, adaptar las interacciones con el usuario final o para
otros fines. En muchos casos, las Ofertas de software no recopilan información de identificación personal.
Algunas de nuestras Ofertas de software pueden ayudarle a recopilar información de identificación
personal. Si esta Oferta de software utiliza cookies para recopilar información de identificación personal,
más adelante se proporciona información específica sobre el uso de cookies por parte de la oferta de
software.
En función de las configuraciones desplegadas, esta Oferta de software puede utilizar cookies de sesión
que recopilan el ID de sesión de cada usuario para la gestión y autenticación de sesiones. Estas cookies se
pueden inhabilitar, pero si se inhabilitan también se elimina la función que estas cookies habilitan.
Si las configuraciones desplegadas para esta Oferta de software le ofrecen como cliente la posibilidad de
recopilar información de identificación personal de los usuarios finales mediante cookies y otras
tecnologías, debe buscar asesoramiento jurídico sobre la legislación aplicable a esa recopilación de datos,
que incluye cualquier requisito de aviso y consentimiento.
Para obtener más información sobre el uso de diversas tecnologías, incluidas las cookies, para estos fines,
consulte la política de privacidad de IBM en http://www.ibm.com/privacy y la declaración de
privacidad en línea de IBM en http://www.ibm.com/privacy/details, la sección titulada “Cookies, Web
Beacons and Other Technologies” y la declaración “IBM Software Products and Software-as-a-Service
Privacy Statement” en http://www.ibm.com/software/info/product-privacy.
F I
falso positivo ICMP Véase protocolo de mensajes de control
Suceso o flujo que el usuario puede de Internet.
decidir que no debe crear un delito, o un
identidad
delito que el usuario decide que no es un
Colección de atributos de un origen de
incidente de seguridad.
datos que representan a una persona,
firma de aplicación organización, lugar o elemento.
Conjunto exclusivo de características que
IDS Véase sistema de detección de intrusiones.
derivan del examen de la carga útil de los
paquetes y luego se utilizan para informe
identificar una aplicación determinada. En la gestión de consultas, datos
formateados que resultan de ejecutar una
flujo Transmisión de datos a través de un
consulta y aplicarles un formato.
enlace durante una conversación.
interconexión de sistemas abiertos (OSI)
flujo duplicado
Interconexión de sistemas abiertos de
Varias instancias de la misma transmisión
acuerdo con las normas ISO (International
de datos recibidas desde orígenes de flujo
Organization for Standardization) para el
diferentes.
intercambio de información.
FQDN
interfaz vinculada
Véase nombre de dominio completo.
Véase agregación de enlaces.
FQNN
intervalo de fusión
Véase nombre de red completo.
Intervalo de frecuencia con que se
agrupan los sucesos. La agrupación de
G sucesos se produce a intervalos de 10
segundos y comienza con el primer
gravedad suceso que no coincide con ningún suceso
Medida de la amenaza relativa que un de fusión actual. Dentro del intervalo de
origen representa para un destino. fusión, los tres primeros sucesos
coincidentes se agrupan y se envían al
H procesador de sucesos.
hoja En un árbol, entrada o nodo que carece ISP Véase proveedor de servicios de Internet.
de nodos hijos.
Glosario 409
registro y los convierte a un formato de
J taxonomía estándar que se puede
jerarquía de red visualizar como datos de salida.
Tipo de contenedor que es una colección multidifusión IP
jerárquica de objetos de red. Transmisión de un datagrama de IP
(Protocolo Internet) a un conjunto de
L sistemas que forman un grupo de
multidifusión individual.
L2L Véase local a local.
L2R Véase local a remoto. N
LAN Véase red de área local. NAT Véase conversión de direcciones de red.
LDAP Véase Lightweight Directory Access NetFlow
Protocol. Protocolo de red Cisco que supervisa
Lightweight Directory Access Protocol (LDAP) datos de flujo del tráfico de red. Los datos
Protocolo abierto que utiliza TCP/IP para de NetFlow incluyen la información del
permitir el acceso a directorios que son cliente y servidor, los puertos utilizados, y
compatibles con un modelo X.500, y que el número de bytes y paquetes que
no tiene las necesidades de recursos del circulan por los conmutadores y
protocolo DAP (Directory Access Protocol) direccionadores conectados a la red. Los
de X.500, más complejo. Por ejemplo, datos se envían a los recopiladores de
LDAP se puede utilizar para localizar datos de NetFlow, donde se analizan.
personas, organizaciones y otros recursos nombre de dominio completo (FQDN)
en un directorio de Internet o intranet. En las comunicaciones de Internet,
local a local (L2L) nombre de un sistema host que incluye
Relativo al tráfico interno desde una red todos los subnombres del nombre de
local a otra red local. dominio. Un ejemplo de nombre de
dominio completo es
local a remoto (L2R) rchland.vnet.ibm.com.
Relativo al tráfico interno desde una red
local a otra red remota. nombre de red completo (FQNN)
En una jerarquía de red, nombre de un
objeto que incluye todos los
M departamentos. Un ejemplo de nombre de
magistrado red completo es
Componente interno que analiza tráfico CompanyA.Department.Marketing.
de red y sucesos de seguridad por número de sistema autónomo (ASN)
comparación con reglas personalizadas En TCP/IP, número que es asignado a un
definidas. sistema autónomo por la misma
magnitud autoridad central que asigna direcciones
Medida de la importancia relativa de un IP. El número de sistema autónomo
delito determinado. La magnitud es un permite que los algoritmos de
valor ponderado que se calcula a partir direccionamiento automatizado distingan
de los valores de pertinencia, gravedad y sistemas autónomos.
credibilidad.
máscara de subred O
En las subredes de Internet, máscara de objeto de red
32 bits utilizada para identificar los bits Componente de una jerarquía de red.
de dirección de subred en la porción de
una dirección IP correspondiente al host. objeto terminal de base de datos
Objeto o nodo terminal dentro de una
Módulo de soporte de dispositivos (DSM) jerarquía de base de datos.
Archivo de configuración que analiza
sucesos recibidos de varios orígenes de
Glosario 411
R S
R2L Véase remoto a local. servidor whois
Servidor que se utiliza para recuperar
R2R Véase remoto a remoto.
información sobre recursos de Internet
ráfaga Aumento brusco y repentino de la registrados, tales como nombres de
velocidad de los sucesos o flujos de dominio y asignaciones de direcciones IP.
entrada que provoca que se supere el
sistema activo
límite de velocidad de flujos o sucesos
En un clúster de alta disponibilidad,
para el que se dispone de licencia.
sistema que tiene todos sus servicios en
recon Véase reconocimiento. ejecución.
reconocimiento (recon) sistema de detección de intrusiones (IDS)
Método para recoger información relativa Software que detecta intentos de ataque o
a la identidad de recursos de red. Se ataques consumados sobre recursos
utiliza la exploración de red y otras supervisados que forman parte de una
técnicas para crear una lista de sucesos de red o sistema host.
recursos de red, a los cuales se les asigna
sistema de nombres de dominio (DNS)
un nivel de gravedad.
Sistema de base de datos distribuida que
recurso compartido administrativo correlaciona nombres de dominio con
Recurso de red que está oculto respecto direcciones IP.
de los usuarios sin privilegios
sistema de prevención de intrusiones (IPS)
administrativos. Los recursos compartidos
Sistema que intenta rechazar actividad
administrativos proporcionan a los
potencialmente maliciosa. Los
administradores acceso a todos los
mecanismos de rechazo pueden
recursos de un sistema de red.
comprender filtrado, seguimiento o el
red de área local (LAN) establecimiento de límites de frecuencia.
Red que conecta varios dispositivos
sistema en espera
situados en un área limitada (tal como un
Sistema que pasa a estar activo
edificio o campus) y que se puede
automáticamente cuando falla el sistema
conectar a una red mayor.
activo. Si la replicación de disco está
Redirección de ARP habilitada, el sistema en espera replica
Método de ARP para notificar al host si datos del sistema activo.
existe un problema en una red.
SNMP
registro de flujo Véase protocolo simple de gestión de red.
Colección de registros de flujo.
SOAP Protocolo ligero, basado en XML, para
regla Conjunto de sentencias condicionales que intercambiar información en un entorno
permiten que los sistemas identifiquen distribuido, descentralizado. SOAP se
relaciones y ejecuten respuestas puede utilizar para consultar y devolver
automatizadas de acuerdo con ello. información, e invocar servicios en
Internet.
regla de direccionamiento
Condición según la cual, cuando los datos subbúsqueda
de suceso cumplen los criterios, se realiza Función que permite realizar una consulta
una recogida de condiciones y el de búsqueda dentro de los resultados de
direccionamiento subsiguiente. una búsqueda completada.
remoto a local (R2L) subred
Tráfico externo desde una red remota a Red que está dividida en subgrupos
una red local. independientes menores, que siguen
estando interconectados.
remoto a remoto (R2R)
Tráfico externo desde una red remota a subred
otra red remota. Véase subred.
T
tabla de referencia
Tabla en la que el registro de datos
correlaciona claves que tienen un tipo
asignado con otras claves, las cuales se
correlacionan entonces con un valor
individual.
TCP Véase protocolo de control de
transmisiones.
temporizador de renovación
Dispositivo interno, activado
manualmente o automáticamente a
intervalos regulares, que actualiza los
datos actuales sobre la actividad de red.
V
violación
Acto que paso por alto o contraviene una
política corporativa.
vista de sistema
Representación visual del host primario y
hosts gestionados que componen un
sistema.
vulnerabilidad
Riesgo de seguridad en un sistema
operativo, software del sistema o
componente de software de aplicación.
Glosario 413
414 Guía de administración de QRadar
Índice
A categoría de auditoría
descripción 375
configuración del servidor de horas 58
configurar 29, 30, 31, 170
acciones registradas categoría de auditoría de Risk Manager autenticación del sistema 28
archivo de registro de auditoría 306 descripción 380 perfiles de reenvío 264
acerca de 13 categoría de autenticación conjuntos de referencia
actualización automática descripción 320 añadir 153
planificar 85 categoría de CRE añadir elementos 156
actualizaciones descripción 345 exportar elementos 157
planificar 84 suceso de regla personalizada suprimir elementos 157
actualizaciones ocultas 86 Véase CRE ver 153
administrador de red xi categoría de denegación de servicio ver contenido 155
almacenar información de usuario 174 descripción 316 contenido
almacenar y reenviar categoría de descubrimiento de host de importar 284
crear una nueva planificación 272 VIS contraseña 74
editar una planificación 273 descripción 351 contraseñas
suprimir planificación 273 categoría de explotación 330 caducidad 28
ver lista de planificación 270 categoría de explotación potencial complejidad 28
archivo de registro de auditoría descripción 345 Conversión de direcciones de red. 59
acciones registradas 306 categoría de política copia de seguridad de la
archivo de registro de flujos 207 descripción 342 información 186
asistente de reglas personalizadas categoría de programa malicioso copia de seguridad y recuperación
añadir condiciones de excepción de descripción 332 importar archivos de copia de
SNMP 294 categoría de reconocimiento seguridad 192
configurar condiciones de excepción descripción 315 iniciar copia de seguridad 188
de SNMP 291 categoría de riesgo planificar copias de seguridad 186
autenticación 28, 29, 30, 31 descripción 379 suprimir archivos de copia de
Active Directory 27 categoría Definido por el usuario seguridad 192
LDAP 27, 31 descripción 348 correlación de categorías de sucesos
proveedores de autenticación categoría del sistema categoría de acceso 328
soportados 26 descripción 338 categoría de aplicación 352
RADIUS 27 categoría Desconocido categoría de auditoría 375
sistema 27 descripción 344 categoría de auditoría de Risk
TACACS 27 categoría Sospechoso Manager 380
visión general 26 descripción 334 categoría de autenticación 320
autenticación del sistema 26, 27 categorías de nivel alto categoría de CRE 345
configurar 28 descripción 313 categoría de denegación de
categorías de sucesos servicio 316
descripción 313 categoría de descubrimiento de host
B cerrar 73 de VIS 351
base de datos Ariel cerrar sistema 73 categoría de explotación
acciones al pulsar el botón derecho certificado SSL descripción 330
del ratón 90 configurar 36 categoría de explotación
buscar certificado TLS potencial 345
en entornos que tienen en cuenta el configurar 36 categoría de política 342
dominio 226 cifrado 67 categoría de programa malicioso 332
búsquedas de carga útil clave de licencia 46, 50 categoría de reconocimiento 315
habilitar índices 114 clave pública categoría de riesgo 379
generar 63 categoría de sucesos Auditoría de
condiciones de excepción de SNMP SIM 350
C añadir 294
configurar en asistente de reglas de
categoría Definido por el usuario 348
categoría del sistema 338
cambios cliente 291 categoría Desconocido 344
desplegar 72 configurar salida de condiciones de categoría Sospechoso 334
características nuevas excepción 292 categorías de nivel alto 313
Versión 7.3.0 5 enviar a otro host 294 correlación de QID, importar
Versión 7.3.1 1 visión general de la entradas 218
cargar 46 configuración 291 correo electrónico, notificación
categoría Auditoría de SIM 350 configuración 70, 71, 167 personalizada 109
categoría de acceso configuración de flujo 207 crear 13, 21, 172
descripción 328 configuración de Microsoft Active crear cuenta 24
categoría de aplicación Directory 30
descripción 352
D autenticación 26
gestionar 13, 24, 172
L
datos LDAP
glosario 407
enmascaramiento autenticación 31
grupos de redes remotas
descifrar 301 visualización de información de
descripción 213
datos restaurados usuario 37
grupos de retención 103
verificar 198 licencia
grupos de servicios remotos
delitos estado de licencia 47
descripción 215
que tienen en cuenta el dominio 228
desplegar cambios 72
destino
H M
cifrado 64 mandatos
externo 64 herramienta de gestión de contenido
descripción 159
destino externo 64 actualizar 286
menús contextuales
destinos de reenvío buscar contenido personalizado 139,
añadir acciones al menú
en entornos que tienen en cuenta el 141, 144, 279
contextual 90
dominio 224 contenido existente, actualizar 286
especificar propiedades 264 contenido personalizado, exportar
todo el de un tipo específico 277
gestionar 268
ver 267 contenido personalizado, N
detalles de licencia importar 285 NAT
ver 49 elemento de contenido personalizado, habilitar 69
direcciones IP solapadas exportar 280 utilizar con QRadar 59
segmentación en dominios 223 elementos de contenido personalizado, NetFlow 204
dominios exportar varios 282 nodo de datos
búsquedas que tienen en cuenta el exportar todo el contenido archivar datos 55
dominio 226 personalizado de un tipo guardar datos de procesador de
crear 225 específico 277 sucesos 55
direcciones IP solapadas 223 exportar un solo elemento de progreso del reequilibrado, ver 54
dominio predeterminado 226 contenido personalizado 280 novedades 1, 5
dominios definidos por el exportar varios elementos de
usuario 226 contenido personalizado 282
etiquetar sucesos y flujos 224 importar contenido
personalizado 285
O
reglas y delitos 228 objeto de redes remotas
segmentar la red 223 historial de actualizaciones 86
añadir 216
utilizar perfiles de seguridad 226 hora del sistema 58
objeto de servicios remotos
duplicar un perfil de seguridad 23 host
añadir 216
añadir 68
objetos de servicios remotos
host gestionado
configurar 216
añadir 68
E editar 69
ocultación de datos
editar 16, 22, 173 Véase ofuscación de datos
eliminar 70
editar planificación de Almacenar y ofuscación de datos
hosts gestionados
reenviar 273 creación de expresiones 301
soporte de IPv6 99
enlace de variable creación de un perfil 300
condiciones de excepción de visión general 297
opciones de direccionamiento
SNMP 292
enmascaramiento
I configurar 268
datos importar archivos de copia de origen
descifrar 301 seguridad 192 externo 64
enmascaramiento de datos importar contenido 284 origen de flujo
Véase ofuscación de datos indexación de carga útil acerca de 203
entrada de correlación de QID, habilitar 114 añadir alias 210
modificar 218 información de usuario 168, 174 añadir origen de flujo 207
estado del sistema 51 información sobre el sistema 56, 70, 71 editar alias 210
exportar 50 inhabilitar cuenta 25 etiquetado de dominio 224
extensiones iniciar una copia de seguridad 188 externo 203
importar 284 interfaz de usuario 9 gestionar alias 210
introducción xi habilitar o inhabilitar 209
IPv6 interno 203
soporte y limitaciones 99 nombre virtual 210
suprimir alias 211
Índice 417
418 Guía de administración de QRadar
IBM®
Impreso en España