B Qradar Admin Guide

IBM Security QRadar
Versión 7.3.1
Guía de administración
IBM
Nota
Antes de utilizar esta información y el producto al que da soporte, lea la información del apartado “Avisos” en la página
403.
Información sobre el producto

Este documento corresponde a IBM QRadar Security Intelligence Platform V7.3.1 y a todos los releases
subsiguientes a menos sea reemplazado por una versión actualizada de este documento.
© Copyright IBM Corporation 2012, 2017.
Contenido
Introducción a la administración de productos de QRadar. . . . . . . . . . . . . . xi
1 Novedades para los administradores . . . . . . . . . . . . . . . . . . . . . . 1

Nuevas características y mejoras en QRadar V7.3.1 . . . . . . . . . . . . . . . . . . . . . . 1
Nuevas características y mejoras en QRadar V7.3.0 . . . . . . . . . . . . . . . . . . . . . . 5
2 Administración de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Prestaciones de su producto IBM Security QRadar . . . . . . . . . . . . . . . . . . . . . . . 9
Navegadores web soportados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3 Gestión de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Roles de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Creación de un rol de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Edición de un rol de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Supresión de un rol de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Prioridad de permiso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Creación de un perfil de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Edición de un perfil de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Duplicación de un perfil de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 23
Supresión de un perfil de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Cuentas de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Creación de una cuenta de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Ver información sobre el usuario actual . . . . . . . . . . . . . . . . . . . . . . . . . 24
Inhabilitación de una cuenta de usuario . . . . . . . . . . . . . . . . . . . . . . . . . 25
Supresión de una cuenta de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Autenticación de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Cambio de las contraseñas de usuario de QRadar . . . . . . . . . . . . . . . . . . . . . 27
Directrices de autenticación externa para usuarios administrativos . . . . . . . . . . . . . . . . 27
Configuración de la autenticación del sistema . . . . . . . . . . . . . . . . . . . . . . . 28
Configuración de autenticación de RADIUS . . . . . . . . . . . . . . . . . . . . . . . 29
Configuración de autenticación de TACACS . . . . . . . . . . . . . . . . . . . . . . . 30
Configuración de la autenticación de Active Directory . . . . . . . . . . . . . . . . . . . . 30
Autenticación de LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Configuración de la autenticación de LDAP . . . . . . . . . . . . . . . . . . . . . . . 31
Sincronización de datos con un servidor LDAP . . . . . . . . . . . . . . . . . . . . . . 36
Configuración de certificados SSL o TLS . . . . . . . . . . . . . . . . . . . . . . . . . 36
Visualización del texto contextual para la información de LDAP . . . . . . . . . . . . . . . . . 37
Varios repositorios LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Ejemplo: Configuración y preparación del acceso con los privilegios mínimos . . . . . . . . . . . . 38
4 Gestión de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Capacidad de proceso de sucesos y flujos . . . . . . . . . . . . . . . . . . . . . . . . . 42
Agrupación de licencias compartidas . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Dimensionamiento de capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Sucesos internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Manejo de ráfagas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Ejemplo: pico de datos de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Acuerdo de licencia de usuario final . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Carga de una clave de licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Asignación de una clave de licencia a un host . . . . . . . . . . . . . . . . . . . . . . . . 47
Distribución de la capacidad de sucesos y flujos . . . . . . . . . . . . . . . . . . . . . . . 48
Visualización de los detalles de licencia . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Supresión de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
© Copyright IBM Corp. 2012, 2017 iii

Exportación de información de licencia . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5 Gestión de sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Ver información de estado del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Tipos de componentes de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Nodos de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Reequilibrio de datos tras añadir un nodo de datos . . . . . . . . . . . . . . . . . . . . . 53
Visualización del progreso del reequilibrado de datos . . . . . . . . . . . . . . . . . . . . 54
Guardar todos los datos de sucesos en un dispositivo de Nodo de datos . . . . . . . . . . . . . . 55
Archivar contenido en un Nodo de datos . . . . . . . . . . . . . . . . . . . . . . . . 55
Gestión de interfaces de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Configuración de interfaces de red . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Hora del sistema de QRadar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Configuración de la hora del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Redes con habilitación para NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Configuración de un grupo NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Cambio del estado de NAT para un host gestionado. . . . . . . . . . . . . . . . . . . . . 61
Gestión de hosts externos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuración de un origen externo . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuración de un destino externo . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Generación de claves públicas para los productos de QRadar. . . . . . . . . . . . . . . . . . 63
Reenvío de flujos de filtrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Ejemplo: Reenvío de sucesos y flujos normalizados . . . . . . . . . . . . . . . . . . . . . 64
Hosts gestionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Consideraciones de ancho de banda para hosts gestionados . . . . . . . . . . . . . . . . . . 67
Cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Adición de un host gestionado . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Configuración de un host gestionado . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Eliminación de un host gestionado . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuración del cortafuegos local . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuración del correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Hacer cambios en su entorno QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Cambios que afectan a la recopilación de sucesos. . . . . . . . . . . . . . . . . . . . . . 72
Despliegue de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Reinicio del servicio de recopilación de sucesos . . . . . . . . . . . . . . . . . . . . . . 73
Cierre de un sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Reinicio de un sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Recopilación de archivos de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Cambio de la contraseña de root en QRadar Console . . . . . . . . . . . . . . . . . . . . . 74
Restablecimiento de SIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
6 Configurar QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Jerarquía de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Directrices para definir la jerarquía de red . . . . . . . . . . . . . . . . . . . . . . . . 77
Valores de CIDR aceptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Definición de la jerarquía de red . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Visualización de actualizaciones pendientes . . . . . . . . . . . . . . . . . . . . . . . 82
Configuración de los valores de actualización automática . . . . . . . . . . . . . . . . . . . 83
Configuración de actualizaciones tras un servidor proxy que utiliza intercepción SSL o TLS . . . . . . . 84
Planificación de una actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Borrado de las actualizaciones planificadas . . . . . . . . . . . . . . . . . . . . . . . . 85
Cómo comprobar si hay nuevas actualizaciones . . . . . . . . . . . . . . . . . . . . . . 85
Instalación manual de actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . 85
Visualización del historial de actualizaciones . . . . . . . . . . . . . . . . . . . . . . . 86
Restauración de actualizaciones ocultas . . . . . . . . . . . . . . . . . . . . . . . . . 86
Visualización del registro de actualización automática . . . . . . . . . . . . . . . . . . . . 86
Actualizaciones manuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuración de un servidor de actualizaciones . . . . . . . . . . . . . . . . . . . . . . 87
Configuración de la consola de QRadar como servidor de actualizaciones . . . . . . . . . . . . . 88
iv Guía de administración de QRadar

Descargar actualizaciones al servidor de actualizaciones . . . . . . . . . . . . .. 88 . . . . .
Configuración de los valores del sistema . . . . . . . . . . . . . . . . . . .
. 89 . . . . .
Personalización del menú contextual . . . . . . . . . . . . . . . . . . . .
. 89 . . . . .
Mejora del menú contextual para las columnas de sucesos y flujos . . . . . . . . . .. 90 . . . . .
Visión general de los valores de retención de activos . . . . . . . . . . . . . .. 92 . . . . .
Añadir o editar un mensaje de inicio de sesión de QRadar . . . . . . . . . . . .. 93 . . . . .
Certificados de servidor IF-MAP . . . . . . . . . . . . . . . . . . . . . .
. 94 . . . . .
Configuración del certificado del servidor IF-MAP para la autenticación básica . . . . . .. 94 . . . . .
Configuración del certificado del servidor IF-MAP para la autenticación mutua . . . . .. 94 . . . . .
Sustitución de los certificados SSL en productos QRadar . . . . . . . . . . . . . .. 95 . . . . .
Instalación de un nuevo certificado SSL en la consola de QRadar . . . . . . . . . . .. 98 . . . . .
Resolución de problemas . . . . . . . . . . . . . . . . . . . . . . . . .
. 98 . . . . .
Direccionamiento IPv6 en los despliegues de QRadar . . . . . . . . . . . . . . .. 99 . . . . .
Instalación de un host gestionado solo IPv4 en un entorno mixto . . . . . . . . . . . . . . . . 101
Ejemplos de reglas de iptables avanzadas . . . . . . . . . . . . . . . . . . . . . . . . . 101
Configuración de reglas de iptables . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Retención de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Configuración de los grupos de retención . . . . . . . . . . . . . . . . . . . . . . . . 104
Gestión de la secuencia de los grupos de retención . . . . . . . . . . . . . . . . . . . . . 105
Habilitación e inhabilitación de un grupo de retención . . . . . . . . . . . . . . . . . . . 106
Supresión de un grupo de retención . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Notificaciones del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Configuración de notificaciones de sistema . . . . . . . . . . . . . . . . . . . . . . . 107
Configuración de las notificaciones por correo electrónico personalizadas . . . . . . . . . . . . . 108
Razones de cierre de delito personalizadas. . . . . . . . . . . . . . . . . . . . . . . . . 111
Adición de una razón de cierre de delito personalizada . . . . . . . . . . . . . . . . . . . 112
Edición de una razón de cierre de delito personalizada . . . . . . . . . . . . . . . . . . . 112
Supresión de una razón de cierre de delito personalizada. . . . . . . . . . . . . . . . . . . 112
Configuración de una propiedad de activo personalizada. . . . . . . . . . . . . . . . . . . . 112
Gestión de índices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Habilitación de índices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Habilitación de la indexación de carga útil para optimizar los tiempos de búsqueda . . . . . . . . . . 114
Configuración del periodo de retención para los índices de carga útil. . . . . . . . . . . . . . . 115
Establecer restricciones para impedir las búsquedas de recursos . . . . . . . . . . . . . . . . . 116
Tipos de restricciones de recursos. . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Restricciones de recursos en entornos distribuidos . . . . . . . . . . . . . . . . . . . . . 117
Configuración de restricciones de recursos. . . . . . . . . . . . . . . . . . . . . . . . 117
Nodos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Visión general de la configuración del nodo de aplicaciones . . . . . . . . . . . . . . . . . . 118
Requisitos de la configuración del nodo de aplicaciones . . . . . . . . . . . . . . . . . . . 119
Creación del usuario del nodo de aplicaciones y configuración del acceso sudo sin contraseña . . . . . 122
Ayuda para la configuración del nodo de aplicaciones. . . . . . . . . . . . . . . . . . . . 122
Adición de un nodo de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Eliminación de un nodo de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . 124
Comprobación de la integridad de los registros de sucesos y flujo . . . . . . . . . . . . . . . . . 125
Adición de acciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Probar la acción personalizada . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Pasar parámetros a un script de acción personalizada . . . . . . . . . . . . . . . . . . . . 127
Gestión de vistas de datos agregados . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Acceso a una base de datos GLOBALVIEW . . . . . . . . . . . . . . . . . . . . . . . . 131
7 Proceso de datos de sucesos en QRadar . . . . . . . . . . . . . . . . . . . 133

Visión general Editor de DSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Propiedades en el Editor de DSM . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Configuración de propiedades en el Editor de DSM . . . . . . . . . . . . . . . . . . . . . 136
Cómo escribir una serie de formato en el Editor de DSM . . . . . . . . . . . . . . . . . . . 136
Cómo escribir una expresión regular para registros bien estructurados . . . . . . . . . . . . . . 137
Cómo escribir expresiones regulares para registros de lenguaje natural . . . . . . . . . . . . . . 137
Cómo escribir una expresión para datos estructurados con formato JSON . . . . . . . . . . . . . 138
Abrir el Editor de DSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Configuración de un tipo de origen de registro . . . . . . . . . . . . . . . . . . . . . . . 139
Contenido v
Configuración del descubrimiento de propiedades automático para los tipos de origen de registro . . . . . . 139
Definiciones de propiedad personalizada en el Editor de DSM . . . . . . . . . . . . . . . . . . 140
Selectividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Expresiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Creación de una propiedad personalizada . . . . . . . . . . . . . . . . . . . . . . . . 141
Correlación de sucesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Propiedades de identidad para correlaciones de sucesos . . . . . . . . . . . . . . . . . . . 143
Creación de una correlación y una categorización de sucesos . . . . . . . . . . . . . . . . . 144
Exportación de contenidos del Editor de DSM . . . . . . . . . . . . . . . . . . . . . . . 145
Exportación de contenido como un paquete . . . . . . . . . . . . . . . . . . . . . . . 145
Exportación de contenido para una sola propiedad personalizada . . . . . . . . . . . . . . . . 145
8 Aplicaciones de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

QRadar Aplicación Asistente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Configuración de la aplicación Asistente de QRadar . . . . . . . . . . . . . . . . . . . . 147
Mejora de la seguridad de la autorización de aplicaciones con el Gestor de autorizaciones de aplicación . . . . 148
9 Uso de datos de referencia en QRadar . . . . . . . . . . . . . . . . . . . . 151

Tipo de recopilaciones de datos de referencia . . . . . . . . . . . . . . . . . . . . . . . . 152
Visión general de los conjuntos de referencia . . . . . . . . . . . . . . . . . . . . . . . . 153
Adición, edición y supresión de conjuntos de referencia . . . . . . . . . . . . . . . . . . . 153
Visualización del contenido de un conjunto de referencia . . . . . . . . . . . . . . . . . . . 155
Adición de elementos a un conjunto de referencia . . . . . . . . . . . . . . . . . . . . . 156
Exportación de elementos de un conjunto de referencia . . . . . . . . . . . . . . . . . . . 157
Supresión de elementos de un conjunto de referencia . . . . . . . . . . . . . . . . . . . . 157
Crear recopilaciones de datos de referencia utilizando la línea de mandatos . . . . . . . . . . . . . 157
Referencia de mandatos para programas de utilidad de datos de referencia. . . . . . . . . . . . . 159
Create . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Add . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Delete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Remove . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Purge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
List. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Listall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Load . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Crear recopilaciones de datos de referencia con las API . . . . . . . . . . . . . . . . . . . . 161
Ejemplos para utilizar recopilaciones de datos de referencia . . . . . . . . . . . . . . . . . . . 164
Seguimiento de las cuentas de usuario caducadas . . . . . . . . . . . . . . . . . . . . . 164
Integración dinámica de datos de orígenes externos . . . . . . . . . . . . . . . . . . . . 165
10 Configuración del origen de información de usuario . . . . . . . . . . . . . . 167

Visión general de los orígenes de información de usuario . . . . . . . . . . . . . . . . . . . 167
Orígenes de información de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Recopilaciones de datos de referencia para la información de usuario . . . . . . . . . . . . . . 168
Ejemplo de flujo de trabajo de integración . . . . . . . . . . . . . . . . . . . . . . . . 169
Visión general de las tareas de gestión y configuración del origen de información de usuario . . . . . . 169
Configuración del servidor de Tivoli Directory Integrator. . . . . . . . . . . . . . . . . . . . 170
Creación y gestión de un origen de información de usuario . . . . . . . . . . . . . . . . . . . 172
Creación de un origen de información de usuario . . . . . . . . . . . . . . . . . . . . . 172
Recuperación de orígenes de información de usuario . . . . . . . . . . . . . . . . . . . . 173
Edición de un origen de información de usuario . . . . . . . . . . . . . . . . . . . . . 173
Supresión de un origen de información de usuario . . . . . . . . . . . . . . . . . . . . . 174
Recopilación de información de usuario . . . . . . . . . . . . . . . . . . . . . . . . . 174
11 Integración de IBM X-Force . . . . . . . . . . . . . . . . . . . . . . . . . 177

Canal de información de X-Force Threat Intelligence . . . . . . . . . . . . . . . . . . . . . 177
Habilitación del canal de información de X-Force Threat Intelligence . . . . . . . . . . . . . . . 177
Actualización de datos de X-Force en un servidor proxy . . . . . . . . . . . . . . . . . . . 178
Impedir que los datos de X-Force descarguen datos localmente. . . . . . . . . . . . . . . . . 178
vi Guía de administración de QRadar

Aplicación IBM Security Threat Content . . . . . . . . . . . . . . . . . . . . . . . . . 179
Instalación de la aplicación IBM Security Threat Content . . . . . . . . . . . . . . . . . . . 179
Plugin IBM X-Force Exchange para QRadar . . . . . . . . . . . . . . . . . . . . . . . . 180
Instalación del plug-in de IBM X-Force Exchange . . . . . . . . . . . . . . . . . . . . . 181
12 Gestión de servicios autorizados . . . . . . . . . . . . . . . . . . . . . . 183

Visualización de servicios autorizados . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Adición de un servicio autorizado . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Revocación de servicios autorizados . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
13 Copia de seguridad y recuperación . . . . . . . . . . . . . . . . . . . . . 185

Copia de seguridad de configuraciones y datos de QRadar . . . . . . . . . . . . . . . . . . . 186
Planificación de la copia de seguridad nocturna . . . . . . . . . . . . . . . . . . . . . . 186
Creación de un archivo de copia de seguridad de la configuración bajo demanda . . . . . . . . . . 188
Creación de una notificación de correo electrónico para una copia de seguridad errónea . . . . . . . . 189
Gestionar archivos de copia de seguridad existentes . . . . . . . . . . . . . . . . . . . . . 191
Importación de un archivo de copia de seguridad . . . . . . . . . . . . . . . . . . . . . 191
Supresión de un archivo de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . 192
Restaurar configuraciones y datos de QRadar . . . . . . . . . . . . . . . . . . . . . . . 192
Restauración de un archivo de copia de seguridad . . . . . . . . . . . . . . . . . . . . . 193
Restauración de un archivo de copia de seguridad creado en otro sistema de QRadar . . . . . . . . . 194
Restauración de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Verificación de los datos restaurados . . . . . . . . . . . . . . . . . . . . . . . . . 198
Copia de seguridad y restauración de aplicaciones . . . . . . . . . . . . . . . . . . . . . . 199
Copia de seguridad y restauración de aplicaciones . . . . . . . . . . . . . . . . . . . . . 199
Copia de seguridad y restauración de datos de aplicaciones . . . . . . . . . . . . . . . . . . 200
14 Orígenes de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

Tipos de orígenes de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
sFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
J-Flow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Packeteer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Archivo de registro de flujos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Interfaz de Napatech . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Adición o edición de un origen de flujo . . . . . . . . . . . . . . . . . . . . . . . . . 207
Reenvío de paquetes a QRadar Packet Capture . . . . . . . . . . . . . . . . . . . . . . . 208
Habilitación e inhabilitación de un origen de flujo . . . . . . . . . . . . . . . . . . . . . . 209
Supresión de un origen de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Alias de origen de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Añadir un alias de origen de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Supresión de un alias de origen de flujo . . . . . . . . . . . . . . . . . . . . . . . . 210
15 Configuración de redes remotas y servicios remotos . . . . . . . . . . . . . . 213

Grupos de redes remotas predeterminados . . . . . . . . . . . . . . . . . . . . . . . . 213
Grupos de servicios remotos predeterminados . . . . . . . . . . . . . . . . . . . . . . . 215
Directrices para los recursos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Gestión de objetos de redes remotas . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Gestión de objetos de servicios remotos . . . . . . . . . . . . . . . . . . . . . . . . . 216
Visión general de las correlaciones de QID . . . . . . . . . . . . . . . . . . . . . . . . 216
Creación de una entrada de correlación de QID . . . . . . . . . . . . . . . . . . . . . . 217
Modificación de una entrada de correlación de QID . . . . . . . . . . . . . . . . . . . . 218
Importación de entradas de correlaciones de QID . . . . . . . . . . . . . . . . . . . . . 218
Exportación de entradas de correlaciones de QID . . . . . . . . . . . . . . . . . . . . . 219
16 Descubrimiento de servidores . . . . . . . . . . . . . . . . . . . . . . . . 221

Descubrimiento de servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Contenido vii
17 Segmentación en dominios . . . . . . . . . . . . . . . . . . . . . . . . . 223
Direcciones IP solapadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Definición y etiquetado de dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Creación de dominios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Privilegios de dominio derivados de perfiles de seguridad . . . . . . . . . . . . . . . . . . . 226
Reglas y delitos específicos del dominio . . . . . . . . . . . . . . . . . . . . . . . . . 228
Ejemplo: Asignaciones de privilegio de dominio según propiedades personalizadas . . . . . . . . . . . 230
18 Gestión multiarrendatario . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Roles de usuario en un entorno multiarrendatario . . . . . . . . . . . . . . . . . . . . . . 233
Dominios y orígenes de registro en entornos multiarrendatario . . . . . . . . . . . . . . . . . . 234
Suministro de un nuevo arrendatario . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Supervisión del uso de licencias en despliegues multiarrendatario . . . . . . . . . . . . . . . . . 235
Detección de sucesos y flujos eliminados . . . . . . . . . . . . . . . . . . . . . . . . 238
Gestión de reglas en despliegues multiarrendatario . . . . . . . . . . . . . . . . . . . . . . 238
Restricción de prestaciones de actividad de registro de usuarios de arrendatario . . . . . . . . . . . 239
Actualizaciones de la jerarquía de red en un despliegue multiarrendatario . . . . . . . . . . . . . . 239
Políticas de retención para arrendatarios . . . . . . . . . . . . . . . . . . . . . . . . . 240
19 Gestión de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

Orígenes de datos de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Flujo de trabajo de datos de activos entrantes . . . . . . . . . . . . . . . . . . . . . . . 243
Actualizaciones de los datos de activos . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Reglas de exclusión de conciliación de activos . . . . . . . . . . . . . . . . . . . . . . 244
Fusión de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Identificación de desviaciones de crecimiento de activos . . . . . . . . . . . . . . . . . . . . 246
Notificaciones del sistema que indican desviaciones de crecimiento de activos. . . . . . . . . . . . 247
Ejemplo: Cómo los errores de configuración de las extensiones de origen de registro pueden provocar
desviaciones de crecimiento de activos . . . . . . . . . . . . . . . . . . . . . . . . . 247
Resolución de problemas con perfiles de activo que sobrepasan el umbral de tamaño normal . . . . . . 248
Los datos de activos nuevos se añaden a las listas negras de activos . . . . . . . . . . . . . . . 249
Prevención de las desviaciones de crecimiento de activos . . . . . . . . . . . . . . . . . . . . 249
Datos de activos obsoletos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Listas negras y listas blancas de activos . . . . . . . . . . . . . . . . . . . . . . . . 250
Listas negras de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Listas blancas de activos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Actualización de las listas negras y listas blancas de activos mediante el programa de utilidad de conjunto
de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Actualización de listas negras y listas blancas mediante la API RESTful . . . . . . . . . . . . . 254
Ajuste de los valores de retención del perfilador de activos . . . . . . . . . . . . . . . . . . 255
Ajuste del número de direcciones IP permitidas para un único activo . . . . . . . . . . . . . . 256
Búsquedas de exclusión de identidades. . . . . . . . . . . . . . . . . . . . . . . . . 257
Creación de búsquedas de exclusión de identidades . . . . . . . . . . . . . . . . . . . 257
Ajuste avanzado de reglas de exclusión de conciliación de activos . . . . . . . . . . . . . . . . 258
Aplicación de ajustes diferentes para las reglas . . . . . . . . . . . . . . . . . . . . . 259
Ejemplo: Reglas de exclusión de activos que se ajustan para excluir direcciones IP de la lista negra . . . . 259
Limpieza de datos de activos después de desviaciones de crecimiento . . . . . . . . . . . . . . . 260
Supresión de activos no válidos . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Supresión de entradas de las listas negras . . . . . . . . . . . . . . . . . . . . . . . . 261
20 Configuración de sistemas de QRadar para reenviar datos a otros sistemas. . . . 263

Adición de destinos de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Configuración de perfiles de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Configuración de reglas de direccionamiento para el reenvío de datos . . . . . . . . . . . . . . . 265
Uso de reglas y respuestas de reglas para reenviar los datos. . . . . . . . . . . . . . . . . . . 267
Visualización de destinos de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Visualización y gestión de destinos de reenvío . . . . . . . . . . . . . . . . . . . . . . . 267
Visualización y gestión de reglas de direccionamiento . . . . . . . . . . . . . . . . . . . . . 268
viii Guía de administración de QRadar

21 Almacenamiento y reenvío de sucesos . . . . . . . . . . . . . . . . . . . . 269
Descripción general de Almacenar y reenviar. . . . . . . . . . . . . . . . . . . . . . . . 269
Visualización de la lista de planificación de Almacenar y reenviar . . . . . . . . . . . . . . . . . 269
Creación de una nueva planificación de Almacenar y reenviar . . . . . . . . . . . . . . . . . . 272
Edición de una planificación de Almacenar y reenviar . . . . . . . . . . . . . . . . . . . . . 273
Supresión de una planificación de Almacenar y reenviar . . . . . . . . . . . . . . . . . . . . 273
22 Contenido de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Tipos de contenido de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Métodos de importación y exportación de contenido . . . . . . . . . . . . . . . . . . . . . 276
Exportación de todo el contenido personalizado . . . . . . . . . . . . . . . . . . . . . . 276
Exportación de todo el contenido personalizado de un tipo específico . . . . . . . . . . . . . . 277
Búsqueda de elementos de contenido específicos para exportar . . . . . . . . . . . . . . . . . 279
Exportación de un solo elemento de contenido personalizado . . . . . . . . . . . . . . . . . 280
Exportación de elementos de contenido personalizado de tipos diferentes . . . . . . . . . . . . . 282
Instalación de extensiones mediante la Gestión de extensiones . . . . . . . . . . . . . . . . . 284
Importación de contenido mediante el script de gestión de contenido . . . . . . . . . . . . . . 284
Actualización del contenido mediante el script de gestión de contenido . . . . . . . . . . . . . . 286
Instalación manual de paquetes de contenido desde IBM Fix Central . . . . . . . . . . . . . . . 287
Identificadores de tipo de contenido para exportar contenido personalizado . . . . . . . . . . . . . 287
Parámetros del script de gestión de contenidos . . . . . . . . . . . . . . . . . . . . . . . 288
23 Configuración de condiciones de excepción de SNMP . . . . . . . . . . . . . 291

Personalización de la información de condiciones de excepción de SNMP enviada a otro sistema . . . . . . 291
Personalización de la salida de las condiciones de excepción de SNMP . . . . . . . . . . . . . . . 292
Adición de una condición de excepción de SNMP a QRadar. . . . . . . . . . . . . . . . . . . 294
Envío de condiciones de excepción de SNMP a un host específico . . . . . . . . . . . . . . . . . 294
24 Proteger datos confidenciales . . . . . . . . . . . . . . . . . . . . . . . . 297

¿Cómo funciona la ofuscación de datos? . . . . . . . . . . . . . . . . . . . . . . . . . 297
Perfiles de ofuscación de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Expresiones de ofuscación de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Escenario: Ocultación de nombres de usuario. . . . . . . . . . . . . . . . . . . . . . . . 300
Creación de un perfil de ofuscación de datos . . . . . . . . . . . . . . . . . . . . . . . 300
Creación de expresiones de ofuscación de datos . . . . . . . . . . . . . . . . . . . . . . 301
Desofuscación de datos para que se puedan ver en la consola . . . . . . . . . . . . . . . . . 301
Edición o inhabilitación de las expresiones de ofuscación creadas en releases anteriores . . . . . . . . 302
25 Archivos de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305

Registros de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Visualización del archivo de registro de auditoría . . . . . . . . . . . . . . . . . . . . . 305
Acciones registradas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
26 Categorías de sucesos . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Categorías de sucesos de nivel alto . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Reconocimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Denegación de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Explotación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Programa malicioso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Actividad sospechosa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Desconocido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
CRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Explotación potencial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Definido por el usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Contenido ix
Auditoría de SIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Descubrimiento de host de VIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Auditoría de Risk Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Perfilador de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Percepción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
27 Servidores y puertos comunes utilizados por QRadar . . . . . . . . . . . . . 389

Utilización de puertos de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Visualización de asociaciones de puertos de IMQ . . . . . . . . . . . . . . . . . . . . . . 397
Búsqueda de los puertos utilizados por QRadar . . . . . . . . . . . . . . . . . . . . . . . 398
Servidores públicos de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Interfaces de red y contenedores de Docker . . . . . . . . . . . . . . . . . . . . . . . . 399
28 API RESTful. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

Acceso a la página de documentación de la API interactiva . . . . . . . . . . . . . . . . . . . 401
Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Marcas registradas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Términos y condiciones de la documentación de producto . . . . . . . . . . . . . . . . . . . 405
Declaración de privacidad en línea de IBM . . . . . . . . . . . . . . . . . . . . . . . . 406
Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
I. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
J. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
x Guía de administración de QRadar

Introducción a la administración de productos de QRadar
Los administradores utilizan IBM® Security QRadar SIEM para gestionar los paneles de control, los
delitos, la actividad de registro, la actividad de la red, los activos y los informes.
Público al que se dirige

Esta guía está dirigida a todos los usuarios de QRadar SIEM responsables de investigar y gestionar la
seguridad de la red. Esta guía presupone que tiene acceso a QRadar SIEM y que conoce la red
corporativa y las tecnologías de red.
Documentación técnica
Para buscar documentación del producto IBM Security QRadar en la web, incluida toda la
documentación traducida, acceda al Knowledge Center de IBM (http://www.ibm.com/support/
knowledgecenter/SS42VS/welcome).
Para obtener información sobre el acceso a más documentación técnica en la biblioteca de productos de
QRadar, consulte Accessing IBM Security Documentation Technical Note (www.ibm.com/support/
docview.wss?rs=0&uid=swg21614644).
Cómo ponerse en contacto con el servicio de soporte al cliente
Para obtener información acerca de cómo ponerse en contacto con el servicio de soporte al cliente,
consulte la nota técnica sobre soporte y descarga (http://www.ibm.com/support/docview.wss?rs=0
&uid=swg21612861).
Declaración de buenas prácticas de seguridad
La seguridad de los sistemas de TI implica la protección de sistemas e información mediante la

prevención, la detección y la respuesta a accesos indebidos desde dentro o fuera de la empresa. Un
acceso indebido puede alterar, destruir o dar un uso inapropiado de la información o puede ocasionar
daños o un uso erróneo de sus sistemas, incluidos los ataques a terceros. Ningún producto ni sistema de
TI debe considerarse completamente seguro, y ningún producto, servicio o medida de seguridad por sí
solo debe considerarse totalmente eficaz para evitar el acceso o el uso indebidos. Los sistemas, productos
y servicios de IBM están diseñados como parte de un procedimiento global de seguridad de acuerdo con
la legalidad vigente, lo que implica necesariamente procedimientos operativos adicionales, y pueden
requerir otros sistemas, productos o servicios para ser más eficaces. IBM NO GARANTIZA QUE LOS
SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES, O HAGAN QUE SU EMPRESA SEA
INMUNE, A LAS CONDUCTAS MALICIOSAS O ILEGALES DE TERCEROS.
Tenga en cuenta lo siguiente:
El uso de este programa puede estar sujeto a diversas leyes o regulaciones, incluidas las relacionadas con
la privacidad, la protección de datos, el empleo y las comunicaciones y el almacenamiento electrónicos.
IBM Security QRadar solamente se puede utilizar con fines legales y de forma legal. El cliente se
compromete a utilizar este programa en conformidad con las leyes, regulaciones y políticas aplicables y
asume toda la responsabilidad de su cumplimiento. El licenciatario declara que obtendrá o ha obtenido
los consentimientos, permisos o licencias necesarios para permitir el uso legal de IBM Security QRadar.
© Copyright IBM Corp. 2012, 2017 xi

xii Guía de administración de QRadar
1 Novedades para los administradores
Conozca las nuevas funciones y prestaciones que le permitirán configurar y administrar de manera más
sencilla el despliegue de IBM Security QRadar.
Nuevas características y mejoras en QRadar V7.3.1

Las siguientes características y mejoras hacen que les resulte más fácil a los administradores gestionar su
despliegue de IBM Security QRadar V7.3.1.
Para ver una lista de todas las características nuevas de este release, consulte el documento Novedades en
el IBM Knowledge Center (www.ibm.com/support/knowledgecenter/SS42VS_7.3.1/com.ibm.qradar.doc/
c_pdf_launch.html).
Menor tiempo de inactividad para los servicios de recopilación de sucesos
En las versiones anteriores, al implementar los cambios en el sistema QRadar producía tiempos muertos
en la recopilación de datos mientras se reiniciaba el servicio hostcontext. Para reducir al máximo estas
interrupciones, el servicio de recopilación de sucesos se gestionar aparte de los demás servicios de
QRadar. El nuevo servicio de recopilación de sucesos, ecs-ec-ingress, escucha en el puerto 7787.
Con la nueva separación de los servicios, el servicio de recopilación de sucesos no se reinicia de forma
automática cada que se implementan los cambios. El servicio solo se reinicia cuando los cambios
implementados afectan directamente al servicio de recopilación de sucesos.
Esta mejora reduce de forma significativa las interrupciones en la recopilación de los datos y hace que a
su empresa le resulte más sencillo alcanzar los objetivos de recopilación de datos.
Más información sobre la realización de cambios en el despliegue de QRadar...
Recopilación continua de sucesos durante las actualizaciones de parches poco

importantes
Las interrupciones en la recopilación de sucesos serán probablemente menores si aplica parches futuros a
QRadar V7.3.1 o versiones posteriores. Los parches poco importantes no requieren que el sistema se
reinicie no reiniciarán tampoco el servicio de recopilación de sucesos.
Capacidad para reiniciar solo la recopilación de sucesos de servicio
En la interfaz de producto de QRadar, puede reiniciar el servicio de recopilación de sucesos en todos los
hosts gestionados en el despliegue.
Esta nueva funcionalidad es útil si desea reiniciar el servicio de recopilación de sucesos sin afectar a otros
servicios de QRadar. Por ejemplo, después de restaurar una copia de seguridad de configuración, puede
retrasar el reinicio de un servicio a la hora que le resulte más conveniente.
Más información sobre el reinicio del servicio de recopilación de sucesos...
© Copyright IBM Corp. 2012, 2017 1

La recopilación de sucesos continúa cuando se instala o actualiza un protocolo
RPM
Antes de QRadar V7.3.1, la instalación o actualización de un protocolo RPM exigía un despliegue
completo, lo que hacía que la recopilación de sucesos se interrumpiera durante varios minutos en todos
los protocolos instalados.
Ahora, los protocolos se cargan de forma dinámica cuando se implementan los cambios. Solo los
protocolos que se habían actualizado experimentan una breve parada (en segundos).
Nuevo menú de navegación desplegable con pestañas de favoritos

A medida que aumenten las aplicaciones instaladas en el despliegue, también lo hará el número de
pestañas visibles. El nuevo menú de navegación deslizable hace que le resulte más sencillo encontrar las
aplicaciones que utiliza con más frecuencia gestionando las pestañas que pueden verse en QRadar.
Cuando actualice a QRadar V7.3.1, todas las pestañas de QRadar estarán disponibles desde el menú
deslizable ( ). Cada elemento de menú se marca como favorito y esto hace que esté también disponible
como pestaña. Puede controlar las pestañas que se verán seleccionando o anulando la selección de la
estrella situada junto al elemento de menú.
Para acceder a los ajustes que estaban en la pestaña Admin en las versiones de QRadar anteriores, haga
clic en Admin en la parte inferior del menú de navegación deslizable.
Notificaciones del sistema basadas en navegador
QRadar utiliza ahora los valores de notificación del navegador para mostrar notificaciones del sistema.
Con esta mejora, podrá seguir supervisando el estado del despliegue de QRadar aunque QRadar no sea
la ventana del navegador activo. Para mostrar notificaciones del sistema en la pantalla, debe configurar el
navegador para permitir notificaciones de QRadar.
Las notificaciones de navegador son compatibles con Mozilla Firefox, Google Chrome y Microsoft Edge
10. Microsoft Internet Explorer no admite notificaciones basadas en navegador. Las notificaciones en
Internet Explorer ahora aparecen en una ventana de notificaciones de QRadar con un diseño nuevo.
Más información sobre las notificaciones del sistema...
Más datos de métricas de estado

QRadar recopila hasta 60 veces más de datos de métricas de estado que antes. Esto hace que a los
administradores les resulte más sencillo supervisar los despliegues y diagnosticar los problemas cuando
se producen. Puede ver las nuevas métricas de estado utilizando la aplicación Datos de despliegue de
QRadar, que está disponible en el IBM Security App Exchange.
La aplicación Datos de despliegue de QRadar reemplaza la información de Estado del sistema que estaba
antes disponible en la pestaña Admin.
Los datos de métricas adicionales aumentan el tamaño de los archivos de registro de QRadar y el espacio
de almacenamiento del disco para los datos. Los administradores que necesiten más control del
almacenamiento de disco necesario para los datos de estado acumulados pueden crear un depósito de
retención que utilice como criterio Log Source Type = Health Metrics.
Obtenga información acerca de cómo utilizar los grupos de retención para gestionar el
almacenamiento en discos...
2 Guía de administración de QRadar

Más información sobre la instalación de las aplicaciones de IBM Security QRadar
soporte de IPv6
QRadar utiliza los objetos y grupos de jerarquía de red para visualizar la actividad de red y supervisar
los grupos o servicios de la red. Se puede definir la jerarquía de red mediante un rango de dirección IP
en formato IPv6 y también IPv4. Además de la jerarquía de red, la gestión de delitos solo daba soporte al
indexado IPv6, pero ahora actualiza y muestra los campos adecuados para un delito con datos IPv6.
Obtenga más información acerca de direcciones IPv6 en despliegues de QRadar...
Mejora de la seguridad con la nueva política de contraseñas
Cuando utiliza la autenticación QRadar local, puede aplicar una longitud y una complejidad de
contraseña mínimas y controlar la caducidad y la reutilización de contraseñas. Las reglas que establezca
se aplican para los usuarios administradores y no administradores.
Más información sobre la configuración de la autenticación del sistema...
Creación de un alias para el DN base de usuario (nombre distinguido) que se

utiliza en la autenticación LDAP
Cuando escribe su nombre de usuario en la página de inicio de sesión, el ID de repositorio actúa como
un alias del nombre distinguido (DN) base del usuario. Este uso del alias evita la necesidad de escribir
un nombre distinguido que puede ser difícil de recordar.
Más información sobre la configuración de la autenticación LDAP...
Editar o crear un mensaje de inicio de sesión que se muestra a los usuarios en

QRadar
Proporcione información importante a los usuarios antes de que inicien sesión en QRadar. Si es necesario,
puede obligar a los usuarios a aceptar los términos del mensaje de inicio de sesión para poder iniciar
sesión.
Más información sobre la creación o edición de un mensaje de inicio de sesión...
Supervisar los sucesos de inicio de sesión satisfactorio ejecutando informes en

QRadar
Supervise fácilmente los sucesos de inicio de sesión satisfactorio en el periodo de tiempo que se configura
ejecutando la plantilla de informe Sucesos de inicio de sesión satisfactorio semanales en la pestaña
Informes de QRadar.
Dos nuevas aplicaciones preinstaladas en QRadar V7.3.1

Gestor de autorizaciones de aplicación
La aplicación Gestor de autorizaciones proporciona más seguridad a las señales de autorización
de la aplicación. Los usuarios que tengan los permisos adecuados pueden suprimir señales de
autorización, o cambiar el nivel de autorización asignado al usuario.
Aplicación Asistente de QRadar
La aplicación Asistente de QRadar proporciona las siguientes funciones en la pestaña Panel de
control:
1 Novedades para los administradores 3

v Aplicaciones y extensiones de contenido recomendadas basadas en las preferencias
configuradas.
v Widget del panel de control Centro de ayuda de QRadar que le permite acceder a información
útil sobre QRadar.
v El estado de actualización de contenidos se resalta y, a continuación, los usuarios pueden
descargar las actualizaciones desde QRadar.
v Canal de información de Twitter de IBM Security Support.
Más información sobre las aplicaciones instaladas...
Configuración de la detección automática del origen de registro
Antes de QRadar V7.3.1, la configuración de la detección automática del origen de registro se controlaba
mediante un archivo de configuración que se editaba de forma manual en cada host gestionado por el
procesador de sucesos.
A partir de QRadar V7.3.1, hay valores de configuración global disponibles. Puede utilizar la API de
REST QRadar o un script de línea de mandatos para habilitar y deshabilitar qué tipos del registro de
origen se detectarán de forma automática. Si utiliza un número menor de tipos de origen de registro,
puede configurar qué orígenes de registro se detectarán de manera automática para mejorar la velocidad
de detección. La configuración de la detección automática de orígenes de registro también permite
mejorar la precisión de la detección de dispositivos que comparten el mismo formato y puede mejorar el
rendimiento de la interconexión evitando la creación de dispositivos detectados de forma incorrecta.
Nota: Puede seguir habilitando la detección automática de procesadores por sucesos con el método de
archivo de configuración. Puede gestionar el método que se utiliza en cada procesador de sucesos en
Admin > Sistema&Gestión de licencias > Gestión de componentes&. Las actualizaciones desde
versiones anteriores no habilitan valores globales y conservan el uso de archivos de configuración local.
Las instalaciones nuevas de QRadar V7.3.1 habilitan la opción de valores de detección automática
globales.
Más información sobre la configuración de los hosts gestionados...
Configuración del descubrimiento de propiedades automático para tipos de origen

de registro y nueva pestaña Configuración en el Editor de DSM
Puede configurar el descubrimiento automático de nuevas propiedades para un tipo de origen de

registro. La opción de descubrimiento automático de propiedades para un tipo de origen de registro está
inhabilitada de forma predeterminada. Cuando se habilita la opción en la nueva pestaña Configuración
del Editor de DSM, se generan de forma automática las nuevas propiedades. Las nuevas propiedades
capturan todos los campos que están presentes en los sucesos recibidos por el tipo de origen de registro
seleccionado. Las propiedades recientemente descubiertas pasan a estar disponibles en la pestaña
Propiedades de Editor de DSM.
Obtenga más información acerca de la configuración de propiedades en el editor DSM....
Nueva oferta de IBM QRadar Data Store
Una nueva oferta, IBM QRadar Data Store, normaliza y almacena datos de registro operativos y de
seguridad para el análisis y la revisión en el futuro. La oferta da soporte al almacenamiento de un
número ilimitado de registros que no se computan en la licencia de QRadar SIEM de sucesos por
segundo de su organización, lo que permite a la organización crear aplicaciones e informes
personalizados basados en los datos almacenados para ampliar la información de sus entornos.

Las mejoras de las reglas de direccionamiento requieren una titularidad de QRadar Data Store, pero no se
aplica actualmente. En el futuro, cuando se aplique la titularidad, el acceso a los datos de sucesos
recopilados estará restringido a los sistemas con la licencia correcta. Cuando se aplica la licencia y se
selecciona la mejora de regla de direccionamiento, los sucesos que coincidan con la regla de
direccionamiento se almacenarán en el disco y estarán disponibles para búsquedas o para su
visualización. Los sucesos omiten el motor de reglas personalizado y no se llevan a cabo correlaciones o
analíticas en tiempo real. Los sucesos pueden contribuir en delitos y se omiten cuando se ejecuta la
correlación histórica. Algunas aplicaciones también ignorarán estos sucesos. https://www.ibm.com/
support/docview.wss?uid=swg22009471 (https://www-ibm.com/support/
docview.wss?uid=swg22009471).
Obtenga más información acerca de la configuración de reglas de direccionamiento para el reenvío de

datos....
Extensiones de orígenes de registro puede extraer sucesos de valores en formato

JSON por referencia de clave.
Extensiones de orígenes de registro ahora puede extraer valores con JsonKeypath.
Para los datos de suceso en formato JSON anidado, una expresión JSON válida tiene el siguiente formato:
/"<nombre de campo de nivel superior>"/"<nombre de subcampo_1>".../"<nombre de campo_n de
subnivel>".
Los dos ejemplos siguientes muestran cómo extraer datos de un registro de JSON:
v Caso simple de un suceso de un registro de JSON sin formato: {"action": "login", "user": "John
Doe"}
Para extraer el campo 'user', utilice esta expresión: /"user".
v Caso complejo de un suceso para un registro de JSON con objetos anidados: { "action": "login",
"user": { "first_name": "John", "last_name": "Doe" } }
Para extraer solo el valor 'last_name' del subobjeto 'user', utilice esta expresión: /"user"/"last_name".
Nuevas características y mejoras en QRadar V7.3.0

IBM Security QRadar V7.3.0 introduce nuevas prestaciones para usuarios arrendatarios, mejoras en la
seguridad, más flexibilidad al gestionar las licencias y un Nodo de aplicaciones dedicado para compartir
aplicaciones.
Proteger su instancia de QRadar con contraseñas seguras

QRadar V7.3.0.2 introduce una política de contraseñas seguras. Cuando habilite la política, las
contraseñas de autenticación del sistema deben contener un número mínimo de caracteres y,
opcionalmente, debe contener también al menos tres de los siguientes atributos: caracteres en mayúscula,
caracteres en minúscula, caracteres especiales y números. Se mostrará un mensaje a los usuarios si inician
sesión con una contraseña que no cumpla con los requisitos.
Los parámetros de la política de contraseñas se aplican a las contraseña de usuario administrativo y no

administrativo gestionadas por QRadar (autenticación del sistema) y no se aplican a las contraseñas
gestionadas por otro proveedor de autenticación (autenticación externa) o contraseñas raíz.
Más información sobre la configuración de la autenticación del sistema...

Se eliminan los límites de los orígenes de registro
Las mejoras en el modelo de licencias de QRadar V7.3.0 hacen que ahora sea más fácil gestionar los
orígenes de registro. Se eliminan los límites de los orígenes de registro y ya no es necesario adquirir
licencias para los orígenes de registro.
Al actualizarse a QRadar V7.3.0, se eliminan los límites de orígenes de registro anteriores.
Distribuir fácilmente la capacidad de sucesos y flujos en todo el despliegue
Adáptese a los cambios de carga de trabajo asignando sucesos por segundo (EPS) y flujos por minuto
(FPM) a cualquier host de su despliegue, independientemente del host al que esté asignada la licencia.
Los EPS y FPM de licencias individuales se agregan ahora a una agrupación de licencias compartida.
Como administrador, puede utilizar la ventana Gestión de agrupación de licencias para ver rápidamente
la capacidad acumulativa de EPS y FPM en todo el despliegue, y para determinar la mejor forma de
asignar los EPS y FPM a los hosts gestionados.
Por ejemplo, tiene un despliegue distribuido de QRadar V7.2.8 con dos procesadores de sucesos, uno con
7.500 EPS y el otro con 15.000 EPS. Cuando actualiza a QRadar V7.3.0, cada procesador de sucesos
mantiene las asignaciones de EPS previas a la actualización pero los 22.500 EPS combinados pasan a
formar parte de la agrupación de licencias compartida. Cuando los volúmenes de datos de los
procesadores de sucesos cambian o cuando añade un host gestionado nuevo, puede redistribuir la
capacidad de EPS.
Más información sobre la gestión de la agrupación de licencias compartidas...
Los usuarios arrendatarios pueden crear propiedades personalizadas
Los usuarios arrendatarios pueden crear propiedades personalizadas para extraer o calcular información
importante de la carga útil del suceso o flujo sin ayuda de un administrador de MSSP (proveedor de
servicios de seguridad gestionados). Con esta prestación, los usuarios arrendatarios pueden ver y buscar
datos que QRadar normalmente no normaliza ni muestra.
Como administrador de MSSP tiene permisos de escritura sobre todas las propiedades personalizadas
creadas por usuarios arrendatarios. Para mejorar el rendimiento de búsqueda puede optimizar las
propiedades personalizadas de un arrendatario cuando las propiedades se utilizan frecuentemente en
reglas e informes. Los usuarios arrendatarios no pueden optimizar las propiedades que crean.
Para obtener información sobre el trabajo con propiedades personalizadas de suceso y flujo, consulte la
Guía del usuario de IBM Security QRadar.
Los usuarios arrendatarios pueden crear recopilaciones de datos de referencia

En QRadar V7.2.8, los usuarios arrendatarios pueden ver datos de referencia creados por su
administrador de MSSP. Ahora en V7.3.0, los usuarios arrendatarios con el rol Administración delegada
> Gestionar datos de referencia pueden crear y gestionar sus propias recopilaciones de datos de
referencia sin la ayuda de un administrador de MSSP.
Con esta prestación, los usuarios arrendatarios pueden hacer un seguimiento de datos de negocio de
referencia o datos de orígenes externos, que se pueden utilizar entonces en búsquedas, filtros, condiciones
de prueba de regla y respuestas de regla de QRadar. Por ejemplo, un conjunto de referencia que contiene
los ID de usuario de empleados despedidos se puede utilizar para impedir que los empleados inicien
sesión en la red.

Más información sobre la creación y gestión de recopilaciones de datos de referencia...
Servir aplicaciones de QRadar desde un nodo de aplicaciones dedicado
Antes de QRadar V7.3.0, todas las aplicaciones de QRadar debían instalarse en QRadar Console. Los
sistemas con muchas aplicaciones o los sistemas con aplicaciones que utilizan muchos recursos pueden
tener problemas de rendimiento debido a los límites de memoria, almacenamiento y recursos de CPU de
QRadar Console.
Ahora, en QRadar V7.3.0 puede instalar un servidor de nodo de aplicaciones que de servicio a las
aplicaciones y sus datos sin las limitaciones de rendimiento de las aplicaciones instaladas en QRadar
Console.
Cuando configure un servidor Red Hat Enterprise Linux 7.2 o CentOS 7.2 con los recursos de memoria,
almacenamiento y CPU que necesita, puede instalar Nodo de aplicaciones desde la pestaña QRadar
Admin en cuestión de minutos. El proceso de instalación del nodo de aplicaciones instala todo el
software necesario y transfiere las aplicaciones instaladas en QRadar Console a su nodo de aplicaciones.
Más información sobre cómo configurar Nodos de aplicaciones...
Proceso de copia de seguridad y recuperación optimizado para aplicaciones
Ahora es posible realizar una copia de seguridad y una restauración de las configuraciones de aplicación
aparte de los datos de aplicación.
La copia de seguridad de las configuraciones de aplicación se realiza como parte de la copia de seguridad
de configuración nocturna. La copia de seguridad de configuración incluye aplicaciones instaladas en
QRadar Console y en un nodo de aplicaciones. Puede restaurar la configuración de aplicaciones
seleccionando la opción Configuración de aplicaciones instaladas cuando restaura una copia de
seguridad.
La copia de seguridad de los datos de aplicación se realiza aparte de la configuración de aplicación

mediante un script fácil de utilizar que se ejecuta por la noche. También puede utilizar el script para
restaurar los datos de aplicación y para configurar las horas de copia de seguridad y los periodos de
retención de datos.
Más información sobre la copia de seguridad y la restauración de aplicaciones...
Más información sobre la copia de seguridad y la restauración de datos de aplicación...
Actualizaciones de seguridad
QRadar V7.3.0 utiliza TLS 1.2 (Transport Layer Security) para las comunicaciones seguras. Los protocolos
SSL (Secure Socket Layer) y TLS 1.1 no están soportados.
Hay un pequeño cambio en los pasos para actualizar el certificado de autoridad emisora de certificados
predeterminado cuando las actualizaciones automáticas van a través de un servidor proxy.

2 Administración de QRadar
Como administrador de IBM Security QRadar, tiene una variedad de herramientas disponibles para
ayudarle a configurar y gestionar el despliegue de QRadar.
Por ejemplo, utilizando las herramientas de la pestaña Admin, puede llevar a cabo las siguientes tareas.
v Desplegar y gestionar hosts y licencias de QRadar.
v Configurar cuentas de usuario y autenticación.
v Crear una jerarquía de red.
v Configurar dominios y configurar un entorno de varios arrendatarios.
v Definir y gestionar orígenes de datos de registros y de flujos.
v Gestionar la retención de datos de QRadar.
v Gestionar activos y datos de referencia.
v Planificar copias de seguridad regulares de los datos de configuración de QRadar.
v Supervisar el estado del sistema de los hosts gestionados.
Prestaciones de su producto IBM Security QRadar

La documentación del producto IBM Security QRadar describe funciones tales como delitos, flujos,
activos y correlación histórica, que pueden no estar disponibles en todos los productos de QRadar.
Dependiendo del producto que esté utilizando, algunas de las características documentadas podrían no
estar disponibles en su despliegue.
IBM QRadar Log Manager
QRadar Log Manager es una solución básica, escalable y de alto rendimiento para recopilar,
analizar, almacenar y crear informes sobre grandes volúmenes de registros de redes y de sucesos
de seguridad.
IBM Security QRadar SIEM
QRadar SIEM es una oferta avanzada que incluye la gama completa de prestaciones de
inteligencia y seguridad para los despliegues locales. Consolida el origen de registro y los datos
de flujo de red de miles de activos, dispositivos, puntos finales y aplicaciones que están
distribuidos por la red, y realiza actividades de normalización y correlación inmediata en los
datos en bruto para distinguir las hebras reales de los falsos positivos.
IBM QRadar on Cloud
QRadar on Cloud proporciona profesionales de seguridad de IBM para gestionar la
infraestructura, mientras que los analistas de seguridad realizan la detección de amenazas y
tareas de gestión. Puede proteger la red y cumplir los requisitos de supervisión de conformidad y
de creación de informes con un coste total de propiedad reducido.
Prestaciones del producto QRadar
La documentación de producto de IBM Security QRadar describe prestaciones tales como delitos, flujos,
activos y correlación histórica que puede no estar disponible en todos los productos QRadar. Revise la
tabla siguiente para comparar las prestaciones de cada producto.

Tabla 1. Comparación de prestaciones de QRadar
IBM QRadar on IBM QRadar Log
Prestación QRadar SIEM Cloud Manager
Prestaciones administrativas completas Sí No Sí
Da soporte a despliegues alojados No Sí No
Paneles de control personalizables Sí Sí Sí
Motor de reglas personalizadas Sí Sí Sí
Gestionar sucesos de red y seguridad Sí Sí Sí
Gestionar registros de aplicación y host Sí Sí Sí
Alertas basadas en umbral Sí Sí Sí
Plantillas de conformidad Sí Sí Sí
Archivado de datos Sí Sí Sí
Integración de canales de información de reputación Sí Sí Sí
de IP de IBM Security X-Force Threat Intelligence
Despliegues autónomos de WinCollect Sí Sí Sí
Despliegues gestionados de WinCollect Sí No Sí
Integración de QRadar Vulnerability Manager Sí Sí Sí
Supervisión de la actividad de red Sí No No
1
Perfilado de activos Sí Sí No
Gestión de delitos Sí Sí No
Captura y análisis de flujo de red Sí No No
Correlación histórica Sí Sí No
Integración de QRadar Risk Manager Sí No No
Integración de QRadar Incident Forensics Sí No No
1
QRadar Log Manager hace un seguimiento de datos de activos sólo si QRadar Vulnerability Manager está
instalado.
Alguna documentación, como por ejemplo la Guía de administración y la Guía de usuario, es común para
varios productos y puede describir prestaciones que no están disponibles en su despliegue. Por ejemplo,
los usuarios de IBM QRadar on Cloud no tiene plenas capacidades administrativas, como se describe en
la Guía de administración de IBM Security QRadar.
Navegadores web soportados

Para que las características de los productos de IBM Security QRadar funcionen correctamente, debe
utilizar un navegador web soportado.
En la tabla siguiente se enumeran las versiones soportadas de los navegadores web.

Tabla 2. Navegadores web soportados para los productos de QRadar
Navegador web Versiones soportadas
Mozilla Firefox de 64 bits 45.8 Extended Support Release

Microsoft Internet Explorer de 64 bits con modalidad 11.0, Edge 38.14393
Microsoft Edge habilitada.

Tabla 2. Navegadores web soportados para los productos de QRadar (continuación)
Navegador web Versiones soportadas
Google Chrome de 64 bits Más reciente
2 Administración de QRadar 11
3 Gestión de usuarios
Puede definir roles de usuario, perfiles de seguridad y cuentas de usuario para controlar quién tiene
acceso a IBM Security QRadar, qué tareas pueden realizar y a qué datos tienen acceso.
Al configurar inicialmente QRadar, utilice la función Gestión de usuarios de la pestaña Admin para
configurar y gestionar cuentas de usuario para todos los usuarios que necesiten acceder a QRadar.
Conceptos relacionados:
“Prestaciones de su producto IBM Security QRadar” en la página 9
Roles de usuario
Un rol de usuario define las funciones a las que un usuario puede acceder en IBM Security QRadar.
Durante la instalación, se definen dos roles de usuario predeterminados: Admin y Todos.
Antes de añadir cuentas de usuario debe crear roles de usuario para cumplir los requisitos de permisos
de los usuarios.
Creación de un rol de usuario

Cree roles de usuario para gestionar las funciones a las que un usuario puede acceder en IBM Security
QRadar.
Acerca de esta tarea
De forma predeterminada, el sistema proporciona un rol de usuario administrativo predeterminado, que

da acceso a todas las áreas de QRadar. Los usuarios que tienen asignado un rol de usuario administrativo
no pueden editar su propia cuenta. Esta restricción se aplica al rol de usuario Admin predeterminado.
Otro usuario administrativo debe realizar los cambios en la cuenta.
Procedimiento
1. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
2. Pulse Configuración del sistema > Gestión de usuarios > Roles de usuario.
3. En la barra de herramientas, pulse Nuevo.
4. En el campo Nombre del rol de usuario, escriba el nombre exclusivo de este rol de usuario.
5. Seleccione los permisos que desee asignar al rol de usuario.
Más información sobre permisos de rol:
Los permisos visibles en la ventana Gestión de roles de usuario dependen de qué componentes de
QRadar están instalados.

Tabla 3. Descripción de los permisos de la ventana Gestión de roles de usuario
Permiso Descripción
Admin Otorga acceso administrativo a la interfaz de usuario. Puede otorgar
permisos administrativos específicos.
Los usuarios con permiso Administrador del sistema pueden acceder a

todas las áreas de la interfaz de usuario. Los usuarios que tienen este
acceso no pueden editar otras cuentas de administrador.
Administración delegada Otorgar permisos de usuarios para realizar funciones administrativas
limitadas. En un entorno de varios arrendatarios los usuarios de
arrendatario con permisos de Administración delegada sólo pueden
ver datos de su propio entorno de arrendatario. Si asigna otros
permisos administrativos que no forman parte de la Administración
delegada, los usuarios de arrendatario pueden ver datos para todos los
arrendatarios.
Delitos Otorga acceso a todas las funciones de la pestaña Delitos.
Los roles de usuario deben tener permiso Mantener reglas

personalizadas para crear y editar reglas personalizadas.
Actividad de registro Otorga acceso a las funciones de la pestaña Actividad de registro.
También puede otorgar permisos específicos:
Mantener reglas personalizadas
Otorga permiso para crear o editar reglas que se muestran en
la pestaña Actividad de registro.
Gestionar series temporales
Otorga permiso para configurar y ver gráficas de datos de
series temporales.
Propiedades de suceso definidas por el usuario
Otorga permiso para crear propiedades de suceso
personalizadas.
Ver reglas personalizadas
Otorga permiso para ver reglas personalizadas. Si se otorga a
un rol de usuario que no tenga asimismo el permiso Mantener
reglas personalizadas, el rol de usuario no puede crear ni
editar reglas personalizadas.

Tabla 3. Descripción de los permisos de la ventana Gestión de roles de usuario (continuación)
Activos Nota: Este permiso solamente se visualiza si IBM Security QRadar
Vulnerability Manager está instalado en el sistema.
Otorga acceso a la función de la pestaña Activos. Puede otorgar

permisos específicos:
Realizar exploraciones de VA
Otorga permiso para realizar exploraciones de evaluación de
vulnerabilidades. Para obtener más información sobre la
evaluación de vulnerabilidades, consulte la guía de gestión de
evaluación de vulnerabilidades.
Eliminar vulnerabilidades
Otorga permiso para eliminar las vulnerabilidades de los
activos.
Descubrimiento de servidores
Otorga permiso para descubrir servidores.
Ver datos de VA
Otorga permiso para los datos de evaluación de
Actividad de red Otorga acceso a todas las funciones de la pestaña Actividad de red.
Puede otorgar acceso específico a los permisos siguientes:
la pestaña Actividad de red.
series temporales.
Propiedades de flujo definidas por el usuario
Otorga permiso para crear propiedades de flujo
personalizadas.
Otorga permiso para ver reglas personalizadas. Si el rol de
usuario no tiene también el permiso Mantener reglas
personalizadas, el rol de usuario no puede crear ni editar
reglas personalizadas.
Ver contenido de flujo
Otorga permiso para acceder a los datos de flujo.
Informes Otorga permiso para acceder a todas las funciones en la pestaña
Informes.
Distribuir informes vía correo electrónico
Otorga permiso para distribuir informes a través del correo
electrónico.
Mantener plantillas
Otorga permiso para editar las plantillas de informe.
Vulnerability Manager Otorga permiso para la función QRadar Vulnerability Manager. QRadar
Vulnerability Manager debe estar activado.
Para obtener más información, consulte la publicación Guía del usuario

de IBM Security QRadar Vulnerability Manager.
3 Gestión de usuarios 15
Análisis forense Otorga permiso para las prestaciones de QRadar Incident Forensics.
Crear casos en Incident Forensics
Otorga permiso para crear casos para recopilaciones de
archivos pcap y de documentos importados.
Extensiones de menú contextual de IP Otorga permiso para las opciones añadidas al menú contextual.
Configuración de plataforma Otorga permiso para los servicios de Configuración de plataforma.
Descartar notificaciones del sistema
Otorga permiso para ocultar las notificaciones del sistema en
la pestaña Mensajes.
Ver datos de referencia
Otorga permiso para ver datos de referencia cuando está
disponible en los resultados de la búsqueda.
Ver notificaciones del sistema
Otorga permiso para ver las notificaciones del sistema en la
pestaña Mensajes.
6. En el área Paneles de control, seleccione los paneles de control a los que desea que acceda el rol de
usuario y pulse Añadir.
Nota: Un panel de control no muestra información alguna si el rol de usuario no tiene permiso para
ver los datos del panel de control. Si un usuario modifica los paneles de control visualizados, en el
próximo inicio de sesión aparecen los paneles de control definidos correspondientes al rol de usuario.
7. Pulse Guardar y cerrar la ventana Gestión de roles de usuario.
8. En el menú de la pestaña Admin, pulse Desplegar cambios.
Edición de un rol de usuario

Puede editar un rol existente para cambiar los permisos que están asignados al rol.
Para localizar rápidamente el rol de usuario que desea editar en la ventana Gestión de roles de usuario,
puede escribir un nombre de rol en el cuadro de texto Tipo por filtrar. Este cuadro se halla encima del
panel izquierdo.
Procedimiento
3. En el panel izquierdo de la ventana Gestión de roles de usuario, seleccione el rol de usuario que
desea editar.
4. En el panel derecho, actualice los permisos según convenga.
Más información sobre permisos de rol:
Los permisos visibles en la ventana Gestión de roles de usuario dependen de qué componentes de
QRadar están instalados.

Tabla 4. Descripción de los permisos de la ventana Gestión de roles de usuario
Admin Otorga acceso administrativo a la interfaz de usuario. Puede otorgar
permisos administrativos específicos.
Los usuarios con permiso Administrador del sistema pueden acceder a

todas las áreas de la interfaz de usuario. Los usuarios que tienen este
acceso no pueden editar otras cuentas de administrador.
Administración delegada Otorgar permisos de usuarios para realizar funciones administrativas
limitadas. En un entorno de varios arrendatarios los usuarios de
arrendatario con permisos de Administración delegada sólo pueden
ver datos de su propio entorno de arrendatario. Si asigna otros
permisos administrativos que no forman parte de la Administración
delegada, los usuarios de arrendatario pueden ver datos para todos los
arrendatarios.
Delitos Otorga acceso a todas las funciones de la pestaña Delitos.
Los roles de usuario deben tener permiso Mantener reglas

personalizadas para crear y editar reglas personalizadas.
Actividad de registro Otorga acceso a las funciones de la pestaña Actividad de registro.
También puede otorgar permisos específicos:
la pestaña Actividad de registro.
series temporales.
Propiedades de suceso definidas por el usuario
Otorga permiso para crear propiedades de suceso
personalizadas.
Otorga permiso para ver reglas personalizadas. Si se otorga a
un rol de usuario que no tenga asimismo el permiso Mantener
reglas personalizadas, el rol de usuario no puede crear ni
editar reglas personalizadas.
Activos Nota: Este permiso solamente se visualiza si IBM Security QRadar
Vulnerability Manager está instalado en el sistema.
Otorga acceso a la función de la pestaña Activos. Puede otorgar

permisos específicos:
Realizar exploraciones de VA
Otorga permiso para realizar exploraciones de evaluación de
Eliminar vulnerabilidades
Otorga permiso para eliminar las vulnerabilidades de los
activos.
Otorga permiso para descubrir servidores.
Ver datos de VA
Otorga permiso para los datos de evaluación de
Actividad de red Otorga acceso a todas las funciones de la pestaña Actividad de red.
Puede otorgar acceso específico a los permisos siguientes:
la pestaña Actividad de red.
series temporales.
Propiedades de flujo definidas por el usuario
Otorga permiso para crear propiedades de flujo
personalizadas.
Otorga permiso para ver reglas personalizadas. Si el rol de
usuario no tiene también el permiso Mantener reglas
personalizadas, el rol de usuario no puede crear ni editar
reglas personalizadas.
Ver contenido de flujo
Otorga permiso para acceder a los datos de flujo.
Informes Otorga permiso para acceder a todas las funciones en la pestaña
Informes.
Distribuir informes vía correo electrónico
Otorga permiso para distribuir informes a través del correo
electrónico.
Mantener plantillas
Otorga permiso para editar las plantillas de informe.
Vulnerability Manager Otorga permiso para la función QRadar Vulnerability Manager. QRadar
Vulnerability Manager debe estar activado.
Para obtener más información, consulte la publicación Guía del usuario

de IBM Security QRadar Vulnerability Manager.

Análisis forense Otorga permiso para las prestaciones de QRadar Incident Forensics.
Crear casos en Incident Forensics
Otorga permiso para crear casos para recopilaciones de
archivos pcap y de documentos importados.
Extensiones de menú contextual de IP Otorga permiso para las opciones añadidas al menú contextual.
Configuración de plataforma Otorga permiso para los servicios de Configuración de plataforma.
Descartar notificaciones del sistema
Otorga permiso para ocultar las notificaciones del sistema en
la pestaña Mensajes.
Ver datos de referencia
Otorga permiso para ver datos de referencia cuando está
disponible en los resultados de la búsqueda.
Ver notificaciones del sistema
Otorga permiso para ver las notificaciones del sistema en la
pestaña Mensajes.
5. Modifique las opciones de Paneles de control correspondientes al rol de usuario según convenga.
6. Pulse Guardar.
7. Cierre la ventana Gestión de roles de usuario.
8. En la pestaña Admin, pulse en Desplegar cambios.
Supresión de un rol de usuario

Si un rol de usuario ya no es necesario, puede suprimirlo.
Si hay cuentas de usuario asignadas al rol de usuario que desea suprimir, debe volver a asignar las
cuentas de usuario a otro rol de usuario. El sistema detecta automáticamente esta condición y le solicitará
que actualice las cuentas de usuario.
Puede localizar rápidamente el rol de usuario que desea suprimir en la ventana Gestión de roles de
usuario. Escriba un nombre de rol en el cuadro de texto Tipo por filtrar, que se encuentra encima del
panel izquierdo.
Procedimiento
3. En el panel izquierdo de la ventana Gestión de roles de usuario, seleccione el rol que desea suprimir.
4. En la barra de herramientas, pulse Suprimir.
5. Pulse Aceptar.
v Si hay cuentas de usuario asignadas a este rol de usuario, se abre la ventana Hay usuarios
asignados a este rol de usuario. Vaya al paso 7.
v Si no hay cuentas de usuario asignadas a este rol de usuario, el rol de usuario se suprime
satisfactoriamente. Vaya al paso 8.
6. Vuelva a asignar las cuentas de usuario de la lista a otro rol de usuario:
a. En el cuadro de lista Rol de usuario para asignar, seleccione un rol de usuario.
b. Pulse Confirmar.
7. Cierre la ventana Gestión de roles de usuario.
Perfiles de seguridad
Los perfiles de seguridad definen a qué redes, orígenes de registro y dominios puede acceder un usuario.
QRadar contiene un perfil de seguridad predeterminado para los usuarios administrativos. El perfil de
seguridad Admin incluye acceso a todas las redes, a todos los orígenes de registro y a todos los
dominios.
Antes de añadir cuentas de usuario, debe crear más perfiles de seguridad para cumplir los requisitos de
acceso específicos de los usuarios.
Dominios
Los perfiles de seguridad se deben actualizar con un dominio asociado. Debe definir los dominios en la
ventana Gestión de dominios antes de que se muestre la pestaña Dominios en la ventana Gestión de
perfiles de seguridad. Las restricciones de nivel de dominio no se aplican hasta que se actualizan los
perfiles de seguridad y se despliegan los cambios.
Las asignaciones de dominio tienen prioridad sobre todos los valores de las pestañas Prioridad de
permiso, Redes y Orígenes de registro.
Si el dominio está asignado a un arrendatario, el nombre del arrendatario aparece entre corchetes junto al
nombre de dominio en la ventana Dominios asignados.
Prioridad de permiso
La prioridad de permiso determina qué componentes del perfil de seguridad deben tenerse en cuenta
cuando el sistema muestra sucesos en la pestaña Actividad de registro y flujos en la pestaña Actividad
de red.
Elija entre las restricciones siguientes cuando cree un perfil de seguridad:

v Ninguna restricción: Esta opción no aplica restricciones sobre los sucesos que se visualizan en la
pestaña Actividad de registro y los flujos que se visualizan en la pestaña Actividad de red.
v Solo red: Esta opción hace que el usuario pueda ver solamente los sucesos y los flujos que están
asociados con las redes especificadas en este perfil de seguridad.
v Solo orígenes de registro: Esta opción hace que el usuario pueda ver solamente los sucesos que están
asociados con los orígenes de registro especificados en este perfil de seguridad.
v Redes y orígenes de registro: Esta opción hace que el usuario pueda ver solamente los sucesos y los
flujos que están asociados con los orígenes de registro y las redes especificados en este perfil de
seguridad.
Por ejemplo, si el perfil de seguridad permite el acceso a sucesos de un origen de registro pero la red
de destino está restringida, el suceso no se visualiza en la pestaña Actividad de registro. El suceso
debe cumplir ambos requisitos.
v Redes u orígenes de registro: Esta opción hace que el usuario pueda ver los sucesos y los flujos que
están asociados con los orígenes de registro o las redes especificados en este perfil de seguridad.
Por ejemplo, si un perfil de seguridad permite el acceso a sucesos de un origen de registro pero la red de
destino está restringida, el suceso se visualiza en la pestaña Actividad de registro si la prioridad de
permiso está establecida en Redes u orígenes de registro. Si la prioridad de permiso está establecida en
Redes y orígenes de registro, el suceso no se visualiza en la pestaña Actividad de registro .

Prioridad de permiso para datos de delito
Los perfiles de seguridad utilizan automáticamente el permiso de Redes u orígenes de registro cuando
se muestran datos de delito. Por ejemplo, si un delito tiene una dirección IP de destino que el perfil de
seguridad le permite ver, pero el perfil de seguridad no otorga permisos para la dirección IP de origen, la
ventana Resumen de delitos muestra las direcciones IP de origen y de destino.
Creación de un perfil de seguridad

Para añadir cuentas de usuario, primero debe crear perfiles de seguridad para cumplir los requisitos de
acceso específicos de los usuarios.
IBM Security QRadar SIEM contiene un perfil de seguridad predeterminado para los usuarios
administrativos. El perfil de seguridad Admin incluye acceso a todas las redes, a todos los orígenes de
registro y a todos los dominios.
Para seleccionar varios elementos en la ventana Gestión de perfiles de seguridad, mantenga pulsada la
tecla Control mientras selecciona cada red o grupo de redes que desea añadir.
Si después de añadir redes, orígenes de registro o dominios quiere eliminar uno o varios de los elementos
que ha añadido antes de guardar la configuración, puede seleccionar el elemento y pulsar el icono
Eliminar (<). Para eliminar todos los elementos, pulse Eliminar todo.
Procedimiento
2. Pulse Configuración del sistema > Gestión de usuarios.
3. Pulse el icono Perfiles de seguridad.
4. En la barra de herramientas de la ventana Gestión de perfiles de seguridad, pulse Nuevo.
5. Configure los siguientes parámetros:
a. En el campo Nombre del perfil de seguridad, escriba un nombre exclusivo para el perfil de
seguridad. El nombre del perfil de seguridad debe cumplir los requisitos siguientes: 3 caracteres
como mínimo y 30 caracteres como máximo.
b. Opcional Escriba una descripción del perfil de seguridad. El número máximo de caracteres es de
255.
6. Pulse la pestaña Prioridad de permiso.
7. En el panel Configuración de prioridades de permiso, seleccione una opción de prioridad de
permiso. Consulte el apartado “Prioridad de permiso” en la página 20.
8. Configure las redes que desee asignar al perfil de seguridad:
a. Pulse la pestaña Redes.
b. En el árbol de navegación del panel izquierdo de la pestaña Redes, seleccione la red a la que
desea que este perfil de seguridad tenga acceso.
c. Pulse el icono Añadir (>) para añadir la red al panel Redes asignadas.
d. Repita este procedimiento por cada red que desee añadir.
9. Configure los orígenes de registro que desee asignar al perfil de seguridad:
a. Pulse la pestaña Orígenes de registro.
b. En el árbol de navegación del panel izquierdo, seleccione el grupo de orígenes de registro o el
origen de registro al que desea que este perfil de seguridad tenga acceso.
c. Pulse el icono Añadir (>) para añadir el origen de registro al panel Orígenes de registro
asignados.
d. Repita este procedimiento por cada origen de registro que desee añadir.
10. Configure los dominios que desee asignar al perfil de seguridad:
a. Pulse la pestaña Dominios.
b. En el árbol de navegación del panel izquierdo, seleccione el dominio al que desea que este perfil
de seguridad tenga acceso.
c. Pulse el icono Añadir (>) para añadir el dominio red al panel Dominios asignados.
d. Repita este procedimiento para cada dominio que desee añadir.
11. Pulse Guardar.
Nota: Los orígenes de registro y los dominios asignados al perfil de seguridad deben coincidir. No
puede guardar el perfil de seguridad si los orígenes de registro y los dominios no coinciden.
12. Cierre la ventana Gestión de perfiles de seguridad.
Edición de un perfil de seguridad

Puede editar un perfil de seguridad existente para actualizar las redes y los orígenes de registro a los que
puede acceder un usuario y la prioridad de permiso.
Para localizar rápidamente el perfil de seguridad que desea editar en la ventana Gestión de perfiles de
seguridad, escriba el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar. Se halla
encima del panel izquierdo.
Procedimiento
3. Pulse el icono Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee editar.
5. En la barra de herramientas, pulse Editar.
6. Actualice los parámetros como sea necesario.
7. Pulse Guardar.
8. Si se abre la ventana El perfil de seguridad tiene datos de serie temporal, seleccione una de las
opciones siguientes:
Opción Descripción
Conservar datos antiguos y guardar Seleccione esta opción para conservar los datos de serie
temporal acumulados anteriormente. Si elige esta opción,
pueden producirse errores cuando los usuarios asociados
a este perfil de seguridad vean los gráficos de serie
temporal.
Ocultar datos antiguos y guardar Seleccione esta opción para ocultar los datos de serie
temporal. Si elige esta opción, la acumulación de datos
de serie temporal se reinicia después de desplegar los
cambios de configuración.


Duplicación de un perfil de seguridad
Si desea crear un nuevo perfil de seguridad que sea bastante parecido a un perfil de seguridad ya
existente, puede duplicar el perfil de seguridad existente y, a continuación, modificar los parámetros.
Para localizar rápidamente el perfil de seguridad que desea duplicar en la ventana Gestión de perfiles de
seguridad, puede escribir el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar, que se
halla encima del panel izquierdo.
Procedimiento
3. Pulse Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee duplicar.
5. En la barra de herramientas, pulse Duplicar.
6. En la ventana de confirmación, escriba un nombre exclusivo para el perfil de seguridad duplicado.
7. Pulse Aceptar.
8. Actualice los parámetros como sea necesario.
Supresión de un perfil de seguridad

Si un perfil de seguridad ya no es necesario, puede suprimirlo.
Si hay cuentas de usuario asignadas a los perfiles de seguridad que desea suprimir, debe volver a asignar
las cuentas de usuario a otro perfil de seguridad. IBM Security QRadar SIEM detecta automáticamente
esta condición y le solicitará que actualice las cuentas de usuario.
Para localizar rápidamente el perfil de seguridad que desea suprimir en la ventana Gestión de perfiles de
seguridad, puede escribir el nombre del perfil de seguridad en el cuadro de texto Tipo por filtrar. Se
halla encima del panel izquierdo.
Procedimiento
3. Pulse Perfiles de seguridad.
4. En el panel izquierdo, seleccione el perfil de seguridad que desee suprimir.
6. Pulse Aceptar.
v Si hay cuentas de usuario asignadas a este perfil de seguridad, se abre la ventana Hay usuarios
asignados a este perfil de seguridad. Vaya al apartado “Supresión de un rol de usuario” en la
página 19.
v Si no hay cuentas de usuario asignadas a este perfil de seguridad, el perfil de seguridad se suprime
satisfactoriamente. Vaya al apartado “Supresión de un rol de usuario” en la página 19.
7. Vuelva a asignar las cuentas de usuario de la lista a otro perfil de seguridad:
a. En el cuadro de lista Perfil de seguridad de usuario para asignar, seleccione un perfil de
seguridad.
b. Pulse Confirmar.
Cuentas de usuario
La cuenta de usuario define el nombre de usuario exclusivo utilizado para iniciar la sesión en IBM
Security QRadar y especifica a qué rol de usuario, perfil de seguridad y arrendatario está asignado el
usuario.
Cuando configura inicialmente el sistema, debe crear cuentas de usuario para cada usuario que necesita
acceso a QRadar.
Creación de una cuenta de usuario

Puede crear nuevas cuentas de usuario.
Antes de empezar
Antes de crear una cuenta de usuario, debe asegurarse de que el rol de usuario y el perfil de seguridad
necesarios estén creados.
Cuando cree una cuenta de usuario, debe asignar credenciales de acceso, un rol de usuario y un perfil de
seguridad al usuario. Los roles de usuario definen qué acciones puede realizar el usuario. Los perfiles de
seguridad definen a qué datos puede acceder el usuario.
Puede crear varias cuentas de usuario que incluyan privilegios administrativos; sin embargo, cualquier
cuenta de usuario que sea gestor administrador puede crear otras cuentas de usuario administrativo.
Procedimiento
3. Pulse Usuarios.
4. En la barra de herramientas de Gestión de usuarios, pulse Nuevo.
5. Especifique los valores de los parámetros siguientes:
a. En el campo Nombre de usuario, escriba un nombre exclusivo para el nuevo usuario. El nombre
de usuario debe contener 30 caracteres como máximo.
b. En el campo Contraseña, escriba una contraseña para dar acceso al usuario. La contraseña debe
cumplir con la longitud mínima y los requisitos de complejidad obligatorios.
6. Pulse Guardar.
7. Cierre la ventana Detalles del usuario.
8. Cierre la ventana Gestión de usuarios.
Ver información sobre el usuario actual

Puede visualizar información de cuenta del usuario actual a través de la interfaz principal del producto.

Procedimiento
1. En la esquina superior derecha, pulse en la flecha junto al nombre de cuenta de usuario.
2. Pulse en Preferencias de usuario.
3. Opcional: Actualice los detalles de usuario configurables.
Parámetro Descripción
Correo electrónico Escriba otra dirección de correo electrónico.
Contraseña Escriba una contraseña nueva. La contraseña debe
cumplir con la longitud mínima y los requisitos de
complejidad obligatorios.
Confirmar contraseña Escriba otra vez la contraseña nueva.
Habilitar notificaciones emergentes
Los mensajes de notificación emergentes del sistema se
muestran en la esquina inferior derecha de la interfaz de
usuario. Para inhabilitar las notificaciones emergentes,
desmarque esta casilla de verificación.
4. Pulse Guardar.
Inhabilitación de una cuenta de usuario

Puede inhabilitar una cuenta de usuario para impedir que un usuario acceda a QRadar. La opción de
inhabilitar una cuenta de usuario temporalmente revoca el acceso de un usuario sin suprimir la cuenta.
Si el usuario con la cuenta inhabilitada intenta iniciar sesión, se visualiza un mensaje para informar al
usuario de que el nombre de usuario y la contraseña ya no son válidos. Los elementos creados por el
usuario, como por ejemplo las búsquedas y los informes guardados, permanecen asociados al usuario.
Procedimiento
3. Pulse Usuarios.
4. En el panel Gestionar usuarios, pulse la cuenta de usuario que desea inhabilitar.
5. En la ventana Detalles de usuario, seleccione Inhabilitado en la lista Rol de usuario.
6. Pulse Guardar.
7. Cierre la ventana Detalles del usuario.
Supresión de una cuenta de usuario

Si una cuenta de usuario ya no es necesaria, puede suprimirla.
Después de suprimir un usuario, el usuario ya no tendrá acceso a la interfaz de usuario. Si el usuario

intenta iniciar sesión, se visualiza un mensaje para informar al usuario de que el nombre de usuario y la
contraseña ya no son válidos. Los elementos que un usuario suprimido había creado, como las búsquedas
guardadas y los informes, permanecen asociados con el usuario suprimido.
Para localizar rápidamente la cuenta de usuario que desea suprimir en la ventana Gestión de usuarios,
puede escribir el nombre del usuario en el cuadro de texto Buscar usuario de la barra de herramientas.
Procedimiento
3. Pulse Usuarios.
4. Seleccione el usuario que desee suprimir.
6. Pulse Aceptar.
Autenticación de usuario
Cuando la autenticación está configurada y un usuario especifica una combinación no válida de nombre
de usuario y contraseña, se visualiza un mensaje para indicar que el inicio de sesión no es válido.
Si el usuario intenta acceder al sistema varias veces con información no válida, debe esperar la cantidad
de tiempo configurado antes de intentar acceder al sistema de nuevo. Puede configurar los valores de la
consola para determinar el número máximo de inicios de sesión fallidos y otros valores relacionados.
IBM Security QRadar da soporte a los tipos de autenticación siguientes:

v Autenticación del sistema: los usuarios se autentican localmente. La autenticación del sistema es el
tipo de autenticación predeterminado.
v Autenticación RADIUS: los usuarios se autentican mediante un servidor RADIUS (servicio de usuarios
de autenticación remota mediante llamada telefónica). Cuando un usuario intenta iniciar sesión,
QRadar cifra la contraseña solamente y reenvía el nombre de usuario y la contraseña al servidor
RADIUS para su autenticación.
v Autenticación TACACS: los usuarios se autentican mediante un servidor TACACS (sistema de control
de acceso mediante control del acceso desde terminales). Cuando un usuario intenta iniciar sesión,
QRadar cifra el nombre de usuario y la contraseña y reenvía esta información al servidor TACACS
para su autenticación. La autenticación de TACACS utiliza Cisco Secure ACS Express como servidor
TACACS. QRadar da soporte a Cisco Secure ACS Express hasta la versión 4.3.
v Microsoft Active Directory: los usuarios se autentican mediante un servidor LDAP (Lightweight
Directory Access Protocol) que utiliza Kerberos.
v LDAP: los usuarios se autentican mediante un servidor LDAP nativo.
Lista de comprobación de requisitos previos para proveedores de autenticación

externa
Para poder configurar RADIUS, TACACS, Active Directory o LDAP como tipo de autenticación, debe
realizar las tareas siguientes:
__ v Configure el servidor de autenticación antes de configurar la autenticación en QRadar. Para obtener
más información, consulte la documentación del servidor.
__ v Asegúrese de que el servidor tiene las cuentas de usuario y los niveles de privilegios adecuados
para comunicarse con QRadar. Para obtener más información, consulte la documentación del
servidor.
__ v Asegúrese de que la hora del servidor de autenticación está sincronizada con la hora del servidor de
QRadar. Para obtener más información sobre el establecimiento de la hora, consulte el “Hora del
sistema de QRadar” en la página 58.
__ v Asegúrese de que todos los usuarios tienen las cuentas de usuario y los roles adecuados para
permitir la autenticación con los servidores de proveedor.
Cambio de las contraseñas de usuario de QRadar
IBM Security QRadar en algunas ocasiones modifica la política de contraseñas para adaptarse a los
estándares de seguridad actuales. Cuando se actualiza la política de contraseñas, se muestra un mensaje a
los usuarios que tengan contraseñas locales solicitándoles que cambien la contraseña la primera vez que
inician sesión después de la actualización. En raras ocasiones, es posible que no se muestre el mensaje a
algunos usuarios solicitándoles que cambien la contraseña después de la actualización. En ese caso,
tendrá que cambiarla por ellos de forma manual.
Para cambiar las contraseñas de usuario de SEM, lleve a cabo lo siguiente:

2. Pulse Configuración del sistema > Gestión de usuarios > Usuarios.
3. Seleccione un usuario de la lista y pulse Editar.
4. En el panel Detalles de usuario, escriba la nueva contraseña para el usuario y pulse Guardar.
5. En la pestaña Admin, pulse Desplegar cambios para que los cambios surtan efecto.
Para cambiar las contraseñas de usuario de PCAP, lleve a cabo lo siguiente:

2. Pulse Gestión del sistema y licencias.
3. Seleccione Vista del sistema en la lista Visualización.
4. Resalte el dispositivo de QRadar Incident Forensics.
5. En el menú Acciones de despliegue, pulse en Editar host.
6. Haga clic en el icono Gestión de componentes .

7. En la ventana Gestión de dispositivos de PCAP, vuelva a introducir o cambie la contraseña de inicio
de sesión del usuario y pulse Guardar.
8. En la pestaña Admin, haga clic en Avanzado > Desplegar configuración completa para que los
cambios surtan efecto.
Para cambiar las contraseñas de usuario de FTP, lleve a cabo lo siguiente:

2. En la sección Investigación forense, pulse Permisos de usuarios de investigación forense.
3. Seleccione un usuario de la lista de Usuarios situada en el lado izquierdo de la ventana.
4. En el panel Editar usuario, seleccione el recuadro Habilitar acceso FTP.
5. Vuelva a introducir o cambie la contraseña del usuario.
6. En Casos asignados, haga clic en Guardar usuario.
Directrices de autenticación externa para usuarios administrativos

Los usuarios administrativos deben poder ser capaces de iniciar la sesión en IBM Security QRadar
cuando la autenticación externa falla.
Los roles administrativos de QRadar disponen de los métodos de autenticación externa y local en caso de
que la autenticación externa falle. Si la autenticación remota falla, los usuarios administrativos pueden
iniciar la sesión mediante la contraseña local. Es necesario establecer una contraseña local para usuarios
administrativos cuando se configura la autenticación externa.
La contraseña local no se establece cuando se crea un usuario que no es administrador porque la

contraseña local no está sincronizada con la autoridad remota. Los usuarios no administrativos solo
puede autenticar su nombre de usuario y contraseña con la autoridad remota. Si la autoridad remota está
inhabilitada o si se rechazan las otras credenciales de usuario, el usuario no puede iniciar la sesión.
Los usuarios administrativos deben actualizar las contraseñas de autenticación local y remota al mismo
tiempo para evitar problemas cuando el usuario inicia la sesión en QRadar y el origen de autenticación
remota está inhabilitado. No puede cambiar la contraseña de administración local mientras la autoridad
remota está activa. Para cambiar la contraseña de administración, debe:
1. Inhabilitar temporalmente la autenticación externa.
2. Restablecer la contraseña.
3. Volver a configurar la contraseña externa.
Configuración de la autenticación del sistema

Puede configurar la autenticación local en el sistema de IBM Security QRadar. Puede especificar los
requisitos de longitud, complejidad y caducidad de las contraseñas locales.
La política de contraseñas de autenticación local se aplica a las contraseñas locales de los usuarios
administrativos. La política también se aplica a los usuarios no administrativos si no se ha configurado
ninguna autenticación externa.
Cuando se actualice la política de contraseñas de autenticación local, se mostrará un mensaje a los

usuarios solicitándoles que cambien su contraseña si han iniciado sesión con una contraseña que no
cumple los nuevos requisitos.
Procedimiento
2. Pulse Configuración del sistema > Gestión de usuarios > Autenticación.
3. Opcional: En la pestaña Ajustes generales de autenticación, en el cuadro de lista Módulo de
autenticación, seleccione Autenticación del sistema y, a continuación, haga clic en Guardar módulo
de autenticación.
La autenticación del sistema es el módulo de autenticación predeterminado. Si cambia desde otro
módulo de autenticación, tendrá que desplegar QRadar antes de realizar los siguientes pasos.
4. En la pestaña Configuración de la política de contraseñas locales, seleccione los valores de
complejidad de las contraseñas para la autenticación local.
Más información acerca de los valores de complejidad de contraseña:

Tabla 5. Descripción de los valores de Complejidad de las contraseñas
Valor de complejidad de la contraseña Descripción
Longitud mínima de la contraseña Especifica el número mínimo de caracteres que debe tener una
contraseña.
Importante: Para proporcionar una seguridad adecuada, las
contraseñas deben contener al menos 8 caracteres.
Usar reglas de complejidad Requiere que las contraseñas cumplan varias reglas de complejidad, por
ejemplo, contener caracteres en mayúsculas, minúsculas, caracteres
especiales o números.
Número de reglas necesario El número de reglas de complejidad que deben cumplir las contraseñas
individuales. Debe estar entre uno y el número de reglas de
complejidad habilitadas. Por ejemplo, si se han habilitado las cuatro
reglas de complejidad y las contraseñas individuales deben cumplir tres
de ellas, especifique 3.
Contener un carácter en mayúsculas Requiere que las contraseñas contengan al menos un carácter en
mayúsculas.

Tabla 5. Descripción de los valores de Complejidad de las contraseñas (continuación)
Valor de complejidad de la contraseña Descripción
Contener un carácter en minúsculas Requiere que las contraseñas contengan al menos un carácter en
minúsculas.
Contener un dígito Requiere que las contraseñas contengan al menos un número.
Contener un carácter especial Requiere que las contraseñas contengan al menos un espacio u otro
carácter especial que sea una letra o un número (por ejemplo,
"$%&’()*,-./:;<=>?@[\]_`|~).
No contener caracteres repetidos No permite más de dos caracteres repetidos. Por ejemplo, abbc está
permitido, pero abbbc no.
Historial de contraseñas Impide que las contraseñas se reutilicen durante un determinado
número de días. El número de días se calcula del siguiente modo: Total
de contraseñas únicas multiplicado por Días antes de que caduque la
contraseña.
Total de contraseñas únicas El número de cambios de contraseña antes de poder reutilizar una
contraseña anterior.
Días antes de que caduque la contraseña El número de días antes de que se deba cambiar una contraseña.
5. Haga clic en Actualizar política de contraseñas.
Configuración de autenticación de RADIUS

Puede configurar la autenticación de RADIUS en el sistema de IBM Security QRadar.
Procedimiento
3. En la lista Módulo de autenticación, seleccione Autenticación RADIUS.
4. Configure los parámetros:
a. En el campo Servidor RADIUS, escriba el nombre de host o la dirección IP del servidor RADIUS.
b. En el campo Puerto de RADIUS, escriba el puerto del servidor RADIUS.
c. En el cuadro de lista Tipo de autenticación, seleccione el tipo de autenticación que desee realizar.
Elija una de las opciones siguientes:
CHAP El protocolo de autenticación por desafío mutuo
(Challenge Handshake Authentication Protocol, CHAP)
establece una conexión de protocolo punto a punto (PPP)
entre el usuario y el servidor.
MSCHAP El protocolo de autenticación por desafío mutuo de
Microsoft (MSCHAP) autentica estaciones de trabajo
remotas de Windows.
ARAP El protocolo de acceso remoto de Apple (Apple Remote
Access Protocol, ARAP) establece autenticación para el
tráfico de red de AppleTalk.
PAP El protocolo de autenticación de contraseñas (PAP) envía
texto en claro entre el usuario y el servidor.
d. En el campo Secreto compartido, escriba el secreto compartido que IBM Security QRadar SIEM
utiliza para cifrar las contraseñas RADIUS para la transmisión al servidor RADIUS.
5. Pulse Guardar módulo de autenticación.
Configuración de autenticación de TACACS
Puede configurar la autenticación de TACACS en el sistema de IBM Security QRadar.
Procedimiento
3. En la lista Módulo de autenticación, seleccione Autenticación TACACS.
4. Configure los parámetros:
a. En el campo Servidor TACACS, escriba el nombre de host o la dirección IP del servidor TACACS.
b. En el campo Puerto TACACS, escriba el puerto del servidor TACACS.
c. En el cuadro de lista Tipo de autenticación, seleccione el tipo de autenticación que desee realizar.
Elija una de las opciones siguientes:
ASCII ASCII (American Standard Code for Information
Interchange) envía el nombre de usuario y la contraseña
en texto simple.
PAP El protocolo de autenticación de contraseñas (PAP) envía
texto en claro entre el usuario y el servidor. PAP es el
tipo de autenticación predeterminado.
CHAP El protocolo de autenticación por desafío mutuo
(Challenge Handshake Authentication Protocol, CHAP)
establece una conexión de protocolo punto a punto (PPP)
entre el usuario y el servidor.
MSCHAP El protocolo de autenticación por desafío mutuo de
Microsoft (MSCHAP) autentica estaciones de trabajo
remotas de Windows.
MSCHAP2 La versión 2 del protocolo de autenticación por desafío
mutuo de Microsoft (MSCHAP2) autentica estaciones de
trabajo remotas de Windows mediante la autenticación
mutua.
EAPMD5 Protocolo de autenticación extensible que utiliza el
protocolo MD5 (EAPMD5) y establece una conexión PPP.
d. En el campo Secreto compartido, escriba el secreto compartido que QRadar utiliza para cifrar las
contraseñas TACACS para la transmisión al servidor TACACS.
Configuración de la autenticación de Active Directory

Puede configurar la autenticación de Microsoft Active Directory en el sistema de IBM Security QRadar.
Procedimiento
3. En la lista Módulo de autenticación, seleccione Directorio activo y configure los siguientes
parámetros.
URL de servidor Escriba el URL que se utiliza para conectar con el
servidor LDAP. Por ejemplo, ldaps://host:port.

Contexto de LDAP Especifique el contexto LDAP que desea utilizar. Por
ejemplo, DC=QRADAR,DC=INC.
Dominio LDAP Especifique el dominio que desea utilizar. Por ejemplo,
qradar.inc.
Autenticación de LDAP
Puede configurar IBM Security QRadar para utilizar proveedores LDAP (Lightweight Directory Access
Protocol) para la autenticación y autorización de los usuarios.
QRadar lee la información de usuario y rol del servidor LDAP basándose en los criterios de autorización
que ha definido.
En entornos dispersos geográficamente, el rendimiento se puede ver negativamente afectado si el servidor

LDAP y la consola QRadar no están geográficamente cercanas entre sí. Por ejemplo, los atributos de
usuario pueden tardar mucho en llenarse si la consola de QRadar está en Norteamérica y el servidor
LDAP está en Europa.
Puede utilizar el plug-in LDAP para la autenticación en un servidor de Active Directory. En QRadar
V7.2.4 y versiones anteriores, debe configurar el servidor para permitir el enlace anónimo para realizar la
autenticación. Sin embargo, en QRadar V7.2.5 y versiones posteriores, el plug-in LDAP admite enlaces
autenticados contra un servidor de Active Directory.
QRadar V7.2.4 y versiones posteriores utilizan contraseñas de autenticación de LDAP local que se
almacenan localmente para usuarios administrativos. Estas contraseñas se utilizan si el autenticador
externo no está disponible o si no hay una conexión disponible con el servidor LDAP debido a problemas
de red.
En QRadar V7.2.4 y anteriores, no se da soporte a varias configuraciones de servidor LDAP. Sin embargo,
en QRadar V7.2.5 y versiones posteriores se da soporte completo a varias configuraciones de servidor de
LDAP e incluye nuevas opciones de autenticación.
Configuración de la autenticación de LDAP

Puede configurar la autenticación de LDAP en el sistema de IBM Security QRadar.
Antes de empezar
Si tiene previsto utilizar el cifrado SSL o la autenticación TLS con el servidor LDAP, debe importar el
certificado SSL o TLS del servidor LDAP al directorio /opt/qradar/conf/trusted_certificates en la
consola de QRadar. Para obtener más información sobre la configuración de los certificados, consulte el
apartado “Configuración de certificados SSL o TLS” en la página 36.
Si utiliza la autorización de grupo, debe configurar un perfil de seguridad o un rol de usuario de QRadar
en la consola de QRadar para cada grupo de LDAP utilizado por QRadar. Cada perfil de seguridad o rol
de usuario de QRadar debe tener al menos un grupo Aceptar. La correlación de nombres de grupo con
roles y perfiles de seguridad de usuario es sensible a las mayúsculas y minúsculas.
La Autenticación establece una prueba de identidad para cualquier usuario que intente iniciar sesión en el
servidor de QRadar. Cuando un usuario inicia sesión, el nombre de usuario y la contraseña se envían al
directorio LDAP para verificar si las credenciales son correctas. Para enviar esta información de forma
segura, configure la conexión del servidor LDAP para utilizar el cifrado SSL (Secure Socket Layer) o TLS
(Transport Layer Security).
La Autorización es el proceso de determinar qué permisos de acceso tiene un usuario. Los usuarios están
autorizados a realizar tareas en función de sus asignaciones de roles. Debe tener una conexión de enlace
válida al servidor LDAP para poder seleccionar los valores de autorización.
Los valores de atributo de usuario son sensibles a las mayúsculas y minúsculas. La correlación de
nombres de grupo con roles y perfiles de seguridad de usuario también es sensible a las mayúsculas y
minúsculas.
Procedimiento
3. En la lista Módulo de autenticación, seleccione LDAP.
4. Pulse Añadir y rellene los parámetros de configuración básica.
Más información sobre parámetros de configuración básicos de LDAP:

Tabla 6. Parámetros de configuración básicos de LDAP
ID de repositorio El ID de repositorio es un alias del DN (nombre distinguido) base de usuario que
puede utilizar al especificar los detalles de inicio de sesión para no tener que escribir
una cadena larga. Cuando tenga varios repositorios en la red, podrá situar el DN base
de usuario delante del nombre de usuario o utilizar el ID de repositorio más corto.
Por ejemplo, el DN base de usuario es: CN=Users,DC=IBM,DC=com. Crea un ID de

repositorio UsersIBM que es un alias del DN base de usuario.
Puede escribir el ID de repositorio abreviado, UsersIBm, en lugar del DN base de

usuario completo como el de este ejemplo: CN=Users,DC=IBM
El siguiente es un ejemplo en el que se configura el ID de repositorio para utilizarlo

como un alias del DN base de usuario.
Figura 1. Repositorio LDAP
Cuando escribe su nombre de usuario en la página de inicio de sesión, puede

especificar el ID de repositorio:
Inicio de sesión: UsersIBM\username@IBM.com,
en lugar de escribir el DN de Base de usuarios completo, por ejemplo,
Inicio de sesión: CN=Users,DC=IBM,DC=com\username@IBM.com.
Nota: El ID de repositorio y el DN de base de usuarios deben ser exclusivos.

URL de servidor Nombre de DNS o dirección IP del servidor LDAP. El URL debe incluir un valor de
puerto.
Por ejemplo, ldap://<nombre_host>:<puerto> o ldap://<dirección_ip>:<puerto>.

Conexión SSL Seleccione Verdadero o Falso para especificar si el cifrado SSL (Secure Sockets Layer)
está habilitado.
Si se habilita el cifrado SSL, el valor del campo URL de servidor debe especificar una
conexión segura. Por ejemplo, ldaps://secureldap.mydomain.com:636 utiliza un URL
de servidor seguro.
Tabla 6. Parámetros de configuración básicos de LDAP (continuación)
Autenticación TLS Seleccione Verdadero o Falso para especificar si la autenticación TLS (Transport Layer
Security) está habilitada.
El cifrado TLS (seguridad de la capa de transporte) para conectar con el servidor

LDAP se negocia como parte del protocolo LDAP normal y no requiere una
designación de protocolo ni un puerto especial en el campo URL de servidor.
Examinar base completa Seleccione Verdadero para buscar en todos los subdirectorios del nombre de
directorio (DN) especificado.
Seleccione Falso para buscar en el contenido inmediato del DN base. No se busca en

los subdirectorios.
Campo de usuario LDAP Identificador del campo de usuario en el que desea buscar.
Puede especificar una lista de varios campos de usuario separados por comas para
autenticar contra varios campos. Por ejemplo, si especifica uid,mailid, un usuario se
puede autenticar mediante su ID de usuario o mediante su ID de correo.
DN base de usuario El DN (nombre distinguido) del nodo en el que se iniciará la búsqueda de un usuario.
El DN base de usuario se convierte en la ubicación inicial para cargar usuarios. Por
razones de rendimiento, asegúrese de que el DN base de usuario sea tan específico
como sea posible.
Por ejemplo, si todas las cuentas de usuarios están en el servidor de directorios en la

carpeta Usuarios y su nombre de dominio es ibm.com, el valor de DN base de usuario
sería cn=Usuarios,dc=ibm,dc=com.
Recomendación Seleccione Ignorar o Seguir para especificar qué se hace con las recomendaciones.
5. En Valores de conexión, seleccione el tipo de conexión de enlace.
Más información sobre conexiones de enlace:

Tabla 7. Conexiones de enlace de LDAP
Tipo de conexión de enlace Descripción
Enlace anónimo Utilice el enlace anónimo para crear una sesión con el servidor de directorios LDAP
que no requiere que se proporcione información de autenticación.
Enlace autenticado Utilice el enlace autenticado cuando desea que la sesión requiera una combinación de
nombre de usuario y contraseña válidos. Un enlace autenticado satisfactoriamente
autoriza al usuario autenticado a leer la lista de usuarios y roles del directorio LDAP
durante la sesión. Para mayor seguridad, asegúrese de que el ID de usuario que se
utiliza para la conexión de enlace no tiene permisos para realizar ninguna tarea que
no sea leer el directorio LDAP.
Proporcione el DN de inicio de sesión y la Contraseña. Por ejemplo, si el nombre de

inicio de sesión es admin y el dominio es ibm.com, el valor de DN de inicio de sesión
sería cn=admin,dc=ibm,dc=com.
6. Pulse Probar conexión para probar la información de conexión. Debe proporcionar información de
usuario para autenticar contra los atributos de usuario especificados en Campo de usuario LDAP. Si
especificó varios valores en Campo de usuario LDAP, debe proporcionar información de usuario
para autenticar contra el primer atributo especificado.
7. Seleccione el método de autorización que se utilizará.
Más información sobre los métodos de autorización:

Tabla 8. Métodos de autorización de LDAP
Parámetro de método de
autorización Descripción
Local La combinación de nombre de usuario y contraseña se verifica para cada usuario
que inicia la sesión, pero no se intercambia información de autorización alguna entre
el servidor LDAP y el servidor de QRadar. Si elige la autorización Local, debe crear
cada usuario en la consola de QRadar.
Atributos de usuario Seleccione Atributos de usuario cuando desee especificar qué atributos de perfil de
seguridad y rol de usuario se pueden utilizar para determinar niveles de
autorización.
Debe especificar un atributo de rol de usuario y también un atributo de perfil de

seguridad. Los atributos que puede utilizar se recuperan del servidor LDAP según
los valores de conexión. Los valores de atributo de usuario son sensibles a las
mayúsculas y minúsculas.
Basado en grupo Seleccione Basado en grupo cuando desea que los usuarios hereden permisos de
acceso según el rol después de su autenticación con el servidor LDAP. La
correlación de nombres de grupo con roles y perfiles de seguridad de usuario es
sensible a las mayúsculas y minúsculas.
DN base de grupo Especifica el nodo de inicio del directorio LDAP para cargar grupos.
Por ejemplo, si todos los grupos están en la carpeta Grupos del servidor de
directorios y su nombre de dominio es ibm.com, el valor de DN base de grupo sería
cn=Grupos,dc=ibm,dc=com.
Límite de consulta habilitado Establece un límite sobre el número de grupos devueltos.
Límite de resultado de El número máximo de grupos devueltos por la consulta. De forma predeterminada,
consulta los resultados de la consulta están limitados a mostrar solo los 1000 primeros
resultados de la consulta.
Por miembro Seleccione Por miembro para buscar grupos según los miembros del grupo. En el
cuadro Campo de miembro de grupo, especifique el atributo LDAP que se utiliza
para definir la pertenencia a grupo de usuarios.
Por ejemplo, si el grupo utiliza el atributo memberUid para determinar la

pertenencia al grupo, especifique memberUid en el cuadro Campo de miembro de
grupo.
Por consulta Seleccione Por consulta para buscar grupos ejecutando una consulta. Puede
proporcionar la información de consulte en los cuadros de texto Campo de
miembro de grupo y Campo de consulta de grupo.
Por ejemplo, para buscar todos los grupos que tengan un atributo memberUid como
mínimo y cuyo valor de cn empiece por la letra 's', teclee memberUid en Campo de
miembro de grupo y cn=s* en Campo de consulta de grupo.
8. Si ha especificado la autorización Basado en grupo, pulse Cargar grupos y pulse el icono más (+) o
menos (-) para añadir o eliminar grupos de privilegios.
Las opciones de privilegios de rol de usuario controlan a qué componentes de QRadar tiene acceso
el usuario. Las opciones de privilegios de perfil de seguridad controlan los datos de QRadar a los
que cada usuario tiene acceso.
Nota: Los límites de consulta se pueden establecer marcando el recuadro de selección Límite de
consulta habilitado o se pueden establecer en el servidor LDAP. Si los límites de consulta se
establecen en el servidor LDAP, recibirá un mensaje en el que se indica que el límite de consulta está
habilitado incluso aunque no haya marcado el recuadro de selección Límite de consulta habilitado.
9. Pulse Guardar.
10. Pulse Gestionar sincronización para intercambiar información de autenticación y autorización entre
el servidor LDAP y la consola de QRadar.
a. Si es la primera vez que configura la conexión LDAP, pulse Ejecutar sincronización ahora para
sincronizar los datos.
b. Especifique la frecuencia de la sincronización automática.
c. Pulse Cerrar.
11. Repita los pasos para añadir más servidores LDAP y pulse Guardar módulo de autenticación
cuando haya acabado.
Sincronización de datos con un servidor LDAP

Puede sincronizar datos manualmente entre el servidor IBM Security QRadar y el servidor de
autenticación LDAP.
Si utiliza la autorización que se basa en los atributos o grupos de usuarios, la información de usuario se
importa automáticamente del servidor LDAP a la consola de QRadar.
Cada grupo que se configure en el servidor LDAP debe tener un rol de usuario o un perfil de seguridad
correspondiente que se configura en la consola de QRadar. Para cada grupo que coincida, los usuarios se
importan y se les asignan permisos en función del rol o el perfil de seguridad de cada usuario.
De forma predeterminada, la sincronización se produce cada 24 horas. La temporización de la

sincronización se basa en la hora de la última ejecución. Por ejemplo, si ejecuta manualmente la
sincronización a las 23:45 horas y establece la sincronización en 8 horas, la siguiente sincronización se
producirá a las 07:45 horas. Si cambian los permisos de acceso para un usuario que ha iniciado sesión
cuando se llevaba a cabo la sincronización, la sesión deja de ser válida. Se redirige al usuario a la pantalla
de inicio de sesión con la solicitud siguiente.
Procedimiento
3. En la lista Módulo de autenticación, seleccione LDAP.
4. Pulse Gestionar sincronización > Ejecutar sincronización ahora.
Configuración de certificados SSL o TLS

Si utiliza un servidor de directorio LDAP para la autenticación de los usuarios y desea habilitar el cifrado
SSL o la autenticación TLS, debe configurar el certificado SSL o TLS.
Procedimiento
1. Inicie, mediante SSH, la sesión en el sistema como usuario root.
a. Nombre de usuario: root
b. Contraseña: <contraseña>
2. Escriba el mandato siguiente para crear el directorio /opt/qradar/conf/trusted_certificates/:
mkdir -p /opt/qradar/conf/trusted_certificates
3. Copie el certificado SSL o TLS del servidor LDAP en el directorio /opt/qradar/conf/
trusted_certificates en el sistema.
4. Verifique que la extensión del archivo de certificado sea .cert, que indica que el certificado es de
confianza. El sistema QRadar solamente carga archivos .cert.

Visualización del texto contextual para la información de LDAP
Puede crear un archivo de configuración de propiedades de LDAP para visualizar la información de
usuario LDAP como texto contextual. Este archivo de configuración consulta la base de datos de LDAP
para buscar información de usuario LDAP que esté asociada con sucesos, delitos o activos.
Antes de empezar
El servidor web debe reiniciarse una vez creadas las propiedades de LDAP. Considere la posibilidad de
planificar esta tarea para que se lleve a cabo durante una ventana de mantenimiento, cuando no hay
usuarios activos con sesiones iniciadas en el sistema.
En el ejemplo siguiente se indican las propiedades que puede añadir a un archivo de configuración
ldap.properties.
ldap.url=ldap://LDAPserver.example.com:389
ldap.authentication=simple
ldap.userName=nombre.usuario
ldap.password=contraseña.cifrada
ldap.basedn=O=IBM,C=US
ldap.filterString=(&(objectclass=user)(samaccountname=%USER%))
ldap.attributes.displayName=Name
ldap.attributes.email=Email
ldap.attributes.employeeID=EmployeeID
ldap.attributes.department=Department
Procedimiento
1. Utilice SSH para iniciar la sesión en IBM Security QRadar como usuario root.
2. Para obtener una contraseña de usuario LDAP cifrada, ejecute el script perl siguiente:
perl -I /opt/qradar/lib/Q1/ -e "use auCrypto; print
Q1::auCrypto::encrypt (’<contraseña>’);"
3. Utilice un editor de texto para crear el archivo de configuración /opt/qradar/conf/ldap.properties.
4. Especifique la ubicación y la información de autenticación para acceder al servidor LDAP remoto.
a. Especifique el URL del servidor LDAP y el número de puerto.
Utilice ldaps:// o ldap:// para conectar con el servidor remoto; por ejemplo,
ldap.url=ldaps://LDAPserver.example.com:389.
b. Escriba el método de autenticación que se utiliza para acceder al servidor LDAP.
Los administradores pueden utilizar el método de autenticación simple; por ejemplo,
ldap.authentication=simple.
c. Teclee el nombre de usuario que tiene permisos para acceder al servidor LDAP. Por ejemplo,
ldap.userName=nombre.usuario.
d. Para autenticarse con el servidor LDAP remoto, escriba la contraseña cifrada del usuario LDAP.
Por ejemplo, ldap.password=contraseña.
e. Escriba el DN base que se utiliza para buscar los usuarios en el servidor LDAP. Por ejemplo,
ldap.basedn=DNbase.
f. Escriba un valor que se utilizará para el filtro de parámetros de búsqueda en LDAP.
Por ejemplo, en QRadar, cuando se pasa el puntero del ratón por encima de ldap.filterString=(
&(objectclass=user)(samaccountname=%USER%)), el valor %USER% se sustituye por el nombre de
usuario.
5. Escriba uno o varios atributos para que aparezcan en el texto contextual.
Debe incluir un atributo LDAP como mínimo. Cada valor debe utilizar este formato:
ldap.attributes.nombre_atributo=Texto descriptivo para mostrar en la interfaz de usuario.
6. Verifique que se disponga de permiso de lectura para el archivo de configuración ldap.properties.
7. Inicie sesión en QRadar como administrador.
9. Pulse Avanzado > Reiniciar el servidor web.
Resultados
Los administradores pueden pasar el puntero del ratón por encima del campo Nombre de usuario en la
pestaña Actividad de registro y la pestaña Delitos o pasar el puntero del ratón sobre el campo Último
usuario en la pestaña Activos (si está disponible) para visualizar más información sobre el usuario LDAP.
Varios repositorios LDAP

Puede configurar IBM Security QRadar para la correlación de entradas de varios repositorios LDAP con
un solo repositorio virtual.
Si se configuran varios repositorios, cuando un usuario inicia la sesión, es necesario especificar qué
repositorio se debe utilizar para la autenticación. Es necesario especificar la vía de acceso completa del
repositorio y el nombre de dominio en el campo de nombre de usuario. Por ejemplo, Repositorio_1 se ha
configurado de manera que utilice el dominio ibm.com y Repositorio_2 se ha configurado de manera que
utilice el dominio ibm.ca.com, la información de inicio de sesión puede tener el aspecto siguiente:
v OU=User Accounts,OU=PHX,DC=qcorpaa,DC=aa,DC=ibm.com\nombre_usuario
v OU=Office,OU=User Accounts,DC=qcorpaa,DC=aa,DC=ibm.ca.com\nombre_usuario
La información de usuario se importa automáticamente del servidor LDAP en el caso de los repositorios
que utilizan atributos de usuario o autorización de grupo. En el caso de los repositorios que utilizan la
autorización local, debe crear los usuarios directamente en el sistema de QRadar.
Ejemplo: Configuración y preparación del acceso con los privilegios

mínimos
Otorgue a los usuarios únicamente la cantidad mínima de acceso que necesitan para realizar sus tareas
cotidianas.
Puede asignar privilegios diferentes para los datos de IBM Security QRadar y para las prestaciones de
QRadar. Para realizar esta asignación, especifique diferentes grupos de aceptación y denegación para los
perfiles de seguridad y los roles de usuario. Los grupos de aceptación asignan privilegios y los grupos de
denegación restringen los privilegios.
Veamos un ejemplo. Su empresa ha contratado a un grupo de estudiantes en prácticas. John está en el

último año de un programa de ciberseguridad especializado en la universidad de su zona. Se le ha
pedido que supervise y revise las vulnerabilidades conocidas de la red y que prepare un plan correctivo
en función de lo que averigüe. La información referente a las vulnerabilidades de la red de la empresa es
confidencial.
Como administrador de QRadar, debe asegurarse de que los estudiantes en prácticas tengan acceso
limitado a los datos y los sistemas. A la mayoría de los estudiantes en prácticas se les debe denegar el
acceso a IBM Security QRadar Vulnerability Manager, pero la tarea que se ha asignado a John exige que
él sí tenga acceso. La política de la organización es que los estudiantes en prácticas nunca tengan acceso a
la API de QRadar.
En la tabla siguiente se muestra que John debe ser un miembro de los grupos company.interns y
qvm.interns para tener acceso a IBM Security QRadar Risk Manager y QRadar Vulnerability Manager.

Tabla 9. Grupos de privilegios de rol de usuario
Rol de usuario Aceptar Denegar
Admin qradar.admin company.firedemployees
QVM qradar.qvm company.firedemployees
qvm.interns qradar.qrm
company.interns
QRM qradar.qrm company.firedemployees
company.interns
En la tabla siguiente se muestra que el perfil de seguridad para qvm.interns no permite a John acceder a
la API de QRadar.
Tabla 10. Grupos de privilegios de perfil de seguridad
Perfil de seguridad Aceptar Denegar
QVM qradar.secprofile.qvm company.firedemployees
API qradar.secprofile.qvm.api company.firedemployees
qradar.secprofile.qvm.interns
4 Gestión de licencias
Las claves de licencia le proporcionan autorización para productos de IBM Security QRadar específicos y
controlan la capacidad de sucesos y flujos de su despliegue de QRadar. Puede añadir licencias a su
despliegue para activar otros productos de QRadar como por ejemplo QRadar Vulnerability Manager.
Cuando instala QRadar, la clave de licencia predeterminada es temporal y le proporciona acceso al

sistema durante 35 a partir de la fecha de instalación. El correo electrónico que ha recibido de IBM al
adquirir QRadar contiene sus claves de licencia permanentes. Estas claves de licencia amplían las
prestaciones de su dispositivo y debe aplicarlas antes de que caduque la licencia predeterminada.
Para aplicar una clave de licencia al sistema, siga estos pasos:

1. Obtenga la clave de licencia. En el caso de claves de licencia nuevas o actualizadas, póngase en
contacto con el representante de ventas local.
2. Cargue la clave de licencia.
3. Asigne la licencia a un sistema.
4. Despliegue la configuración completa.
Después de aplicar las claves de licencia a QRadar, redistribuya las tasas de EPS y FPM para asegurarse
de que cada uno de los hosts gestionados tiene suficiente capacidad asignada para manejar el volumen
promedio de tráfico de red y seguir teniendo suficientes EPS y FPM disponibles para manejar
eficientemente un pico de datos. No es necesario desplegar los cambios después de redistribuir la
capacidad de EPS y FPM.
Caducidad de licencia
La capacidad de proceso del sistema se mide por el volumen de sucesos y flujos que QRadar puede
procesar en tiempo real. La capacidad puede estar limitada por el hardware del dispositivo o por las
claves de licencia. La clave de licencia temporal permite 5.000 sucesos por segundo (EPS) en la QRadar
Console y 10.000 EPS en cada host gestionado. La tasa de FPM para la licencia temporal es de 200.000
tanto en la QRadar Console como en los hosts gestionados.
Cuando una licencia caduca, QRadar sigue procesando sucesos y flujos hasta los límites de capacidad
permitidos por la licencia. Si la capacidad de EPS y FPM de la licencia caducada estaba asignada a un
host, la agrupación de licencias compartida puede quedar en déficit y hacer que QRadar bloquee
prestaciones en las pestañas Actividad de red y Actividad de registro.
Cuando QRadar no tiene licencia para manejar el volumen de datos de red de entrada puede añadir una
licencia que tenga más capacidad de sucesos o flujos.
5, “Gestión de sistemas”, en la página 51
IBM Security QRadar tiene una arquitectura modular que admite despliegues de diversos tamaños y
topologías.

Capacidad de proceso de sucesos y flujos
La capacidad de un despliegue se mide por el número de sucesos por segundo (EPS) y flujos por minuto
(FPM) que IBM Security QRadar puede recopilar, normalizar y correlacionar en tiempo real. La capacidad
de sucesos y flujos viene determinada por las licencias cargadas en el sistema.
Cada host del despliegue de QRadar debe tener suficiente capacidad de sucesos y flujos para garantizar
que QRadar pueda manejar picos de datos de entrada. La mayoría de picos de datos de entrada son
temporales pero si recibe continuamente notificaciones del sistema que indican que el sistema ha
superado la capacidad de la licencia, puede sustituir una licencia existente por una licencia que tenga
más capacidad de EPS o FPM.
“Manejo de ráfagas” en la página 44
IBM Security QRadar utiliza el manejo de ráfagas para asegurarse de que no se pierden datos cuando el
sistema supera los límites de licencia de sucesos por segundo (EPS) o flujos por minuto (FPM) asignados.
Tareas relacionadas:
“Distribución de la capacidad de sucesos y flujos” en la página 48
Utilice la ventana Gestión de agrupación de licencias para asegurarse de que se utilizan todos los sucesos
por segundo (EPS) y los flujos por minuto (FPM) a los que tiene derecho. Además, asegúrese de que IBM
Security QRadar está configurado para manejar ráfagas periódicas de datos sin descartar sucesos no flujos
y sin tener excesivos EPS y FPM no utilizados.
Agrupación de licencias compartidas

La tasa de EPS y FPM establecida por cada licencia se combina en una agrupación de licencias
compartidas. Desde la agrupación de licencias compartidas, puede distribuir la capacidad de proceso a
cualquier host dentro de un despliegue específico o que está gestionado por una única consola,
independientemente de a qué host está asignada la licencia original.
Al ajustar la asignación de la agrupación de licencias compartidas, garantiza que la capacidad de sucesos

y flujos se distribuye según la carga de trabajo de la red y que cada host de QRadar tiene suficientes EPS
y FPM para gestionar periodos de tráfico pico de forma efectiva.
En los despliegues que tienen dispositivos independientes para recopilar lo sucesos y procesarlos, el
recopilador de sucesos hereda el índice de EPS del procesador de sucesos al que está vinculado. Para
aumentar la capacidad del recopilador de sucesos, asigne más EPS desde la agrupación de licencias
compartida al procesador de sucesos principal.
Aportaciones a la agrupación de licencias
Una licencia que incluye capacidad tanto de sucesos como de flujos no aportará los EPS y los FPM a la
agrupación de licencias compartidas. Las aportaciones de agrupación de licencias dependen del tipo de
dispositivo al que está asignado la licencia. Por ejemplo, cuando aplica una licencia a un procesador de
sucesos 16xx, solo se añaden los EPS a la agrupación de licencias. La misma licencia, cuando se aplica a
un procesador de flujos 17xx solo aporta los FPM a la agrupación de licencias. Al aplicar la licencia a un
procesador de sucesos/flujos 18xx se aportan tanto los EPS como los FPM a la agrupación. Con la
excepción de las licencias de software para los recopiladores de sucesos o flujos, todas las licencias de
software aportan tanto los EPS como los FPM a la agrupación de licencias compartidas,
independientemente del tipo de dispositivo al que está asignada la licencia.
Una clave de licencia que tiene un número de serie solo se puede aplicar a un host y la capacidad de EPS
y FPM de esa licencia no se puede asignar a otro host. Como resultado, una clave de licencia que tiene
un número de serie no contribuye a la agrupación de licencias compartidas.

Superación de los límites de capacidad de proceso con licencia
La agrupación de licencias queda sobreasignada cuando la combinación de los EPS y FPM asignados a
los hosts gestionados supera los EPS y FPM que hay en la agrupación de licencias compartidas. Cuando
la agrupación de licencias está sobreasignada, la ventana Gestión de agrupación de licencias muestra un
valor negativo para los EPS y FPM y el gráfico de asignación se vuelve rojo. QRadar bloquea la
funcionalidad en las pestañas Actividad de red y Actividad de registro, incluyendo la capacidad de ver
sucesos y flujos de la lista Mensajes en la barra de herramientas principal de QRadar.
Para habilitar la funcionalidad bloqueada, reduzca los EPS y FPM asignados a los hosts gestionados en su
despliegue. Si las licencias existentes no tienen suficiente capacidad de sucesos y flujo para manejar el
volumen de datos de red, cargue una licencia nueva que incluya suficientes EPS o FPM para resolver el
déficit en la agrupación de licencias compartida.
Licencias caducadas
Cuando una licencia caduca, QRadar sigue procesando sucesos y flujos a la velocidad asignada.
Si la capacidad de EPS y FPM de la licencia caducada estaba asignada a un host, los recursos
compartidos de la agrupación de licencias serán deficitarios lo que hará que QRadar bloquee la
funcionalidad en las pestañas Actividad de red y Actividad de registro.
Dimensionamiento de capacidad
La mejora manera de tratar con picos de datos es asegurarse de que el despliegue tenga suficientes
sucesos por segundo (EPS) y flujos por minuto (FPM) para equilibrar periodos de pico de datos de
entrada. La meta objeto es asignar EPS y FPM de modo que el host tenga suficiente capacidad para
procesar eficientemente picos de datos de proceso pero no tenga grandes cantidades de EPS y FPM
desocupados.
Cuando los EPS o FPM asignados desde la agrupación de licencias estén muy cerca de los EPS o FPM
promedio para el dispositivo, el sistema deberá acumular datos en una cola temporal para procesarlos
más tarde. Cuantos más datos se acumulen en la cola temporal, también conocida como la cola de manejo
de ráfagas, más tardará QRadar en procesar el retraso. Por ejemplo, un host de QRadar con una tasa
asignada de 10.000 EPS tarda más en vaciar la cola de manejo de ráfagas cuando la tasa de EPS promedio
para el host es 9.500, comparado con un sistema en el que la tasa de EPS promedio es 7.000.
Los delitos no se generan hasta que el dispositivo procesa los datos, así que es importante minimizar la
frecuencia con la que QRadar añade datos a la cola de manejo de ráfagas. Al asegurarse de que cada host
gestionado tiene capacidad suficiente para procesar ráfagas de datos breves, está minimizando el tiempo
que QRadar tarda en procesar la cola, garantizando que se crean delitos cuando se produce un suceso.
Cuando el sistema supera continuamente la capacidad de proceso asignado, no puede resolver el

problema aumentando el tamaño de la cola. El exceso de datos se añade al final de la cola de manejo de
ráfagas donde debe esperar para ser procesado. Cuanto mayor es la cola, más tarda el dispositivo en
procesar los sucesos en cola.
“Ejemplo: pico de datos de entrada” en la página 44
Cada mañana, entre las 8am y las 9am, la red de una empresa experimenta un pico de datos conforme
los empleados inician la sesión y empiezan a utilizar los recursos de red.
Sucesos internos
Los dispositivos de IBM Security QRadar generan un número pequeño de sucesos internos cuando se
comunican entre sí conforme procesan datos.
4 Gestión de licencias 43
Para asegurarse de que los sucesos internos no se cuentan contra la capacidad asignada, el sistema
devuelve automáticamente todos los sucesos internos a la agrupación de licencias inmediatamente
después de que se generan.
Manejo de ráfagas
Cuando QRadar recibe un pico de datos que provoca la superación de los límites de EPS y FPM
asignados, los sucesos y flujos adicionales se mueven a una cola temporal que se procesa cuando se
ralentiza la velocidad de datos entrantes. Cuando el manejo de ráfagas está activado, una notificación del
sistema le alerta de que el dispositivo ha superado el límite de licencias de EPS o FPM.
El retraso de la cola temporal se procesa por orden de recepción de sucesos o flujos. Los datos más
antiguos del principio de la cola se procesan antes que los datos más recientes del final de la cola. La
velocidad de llenado o vaciado de la cola se ve afectada por varios factores, incluyendo el volumen y la
duración del pico de datos, la capacidad del dispositivo y el tamaño de la carga útil.
La velocidad de recuperación de ráfagas es la diferencia entre la velocidad asignada y la velocidad

entrante. Cuando el volumen de datos entrantes se ralentiza, el sistema procesa el retraso de sucesos o
flujos en la cola tan rápido como permita la velocidad de recuperación. Cuanto menor es la velocidad de
recuperación, más se tarda en vaciar la cola.
“Capacidad de proceso de sucesos y flujos” en la página 42
Ejemplo: pico de datos de entrada

El despliegue de la empresa incluye un dispositivo QRadar 1828 Event/Flow Processor con 5.000 sucesos
por segundo (EPS) y 100.000 flujos por minuto (FPM) asignados. La capacidad promedio para este
dispositivo es 4.000 EPS y 70.000 FPM.
Durante el pico de datos, que se produce alrededor de las 9am, el dispositivo recibe de forma rutinaria
hasta 6.000 EPS y 120.000 FPM. QRadar mueve automáticamente los sucesos y los flujos adicionales
(1.000 EPS y 20.000 FPM) a la cola de manejo de ráfagas y genera una notificación del sistema para
alertar al administrador de que el dispositivo ha superado la capacidad asignada.
Las imágenes siguientes muestran una ventana de dos oras en la que los datos de sucesos y flujos de
entrada superan la capacidad de licencia, lo que desencadena una notificación del sistema y un periodo
de recuperación una vez que el volumen de datos vuelve a la normalidad.

La tasa de recuperación es la diferencia entre la cantidad de EPS o FPM asignados y la tasa de datos de
entrada actual. En este ejemplo, cuando las tasas de sucesos y flujos vuelven a la normalidad, la tasa de
recuperación es de 1.000 EPS y 30.000 FPM.
5.000 sucesos bajo licencia - 4.000 sucesos de entrada = 1.000 Tasa de recuperación de EPS
100.000 flujos bajo licencia - 70.000 flujos de entrada = 30.000 Tasa de recuperación de FPM
Los delitos no se generan hasta que el dispositivo procesa los datos, así que es importante asignar
suficiente EPS y FPM al dispositivo para asegurarse de que puede recuperarse rápidamente de un pico
de datos.
“Dimensionamiento de capacidad” en la página 43
La mejora manera de tratar con picos de datos es asegurarse de que el despliegue tenga suficientes
sucesos por segundo (EPS) y flujos por minuto (FPM) para equilibrar periodos de pico de datos de
entrada. La meta objeto es asignar EPS y FPM de modo que el host tenga suficiente capacidad para
procesar eficientemente picos de datos de proceso pero no tenga grandes cantidades de EPS y FPM
desocupados.
Acuerdo de licencia de usuario final

QRadar los usuarios del sistema deben aceptar un acuerdo de licencia de usuario final (EULA) la primera
vez que inician sesión en V7.3.1 parche 3 o posterior. Los usuarios creados después de que se actualiza el
sistema QRadar a esta versión deben aceptar el EULA. Los usuarios que existían antes de la actualización
no necesitan aceptar el EULA.
Nuevas instalaciones del sistema
Una vez se ha completado la instalación, los administradores deben iniciar sesión y aceptar el EULA
antes de continuar configurando el sistema QRadar. Cuando los usuarios inician sesión en la interfaz de
usuario de QRadar por primera vez, se les presenta un EULA. Una vez que los usuarios aceptan el
EULA, pueden seguir trabajando en el sistema QRadar de forma ininterrumpida. Si un usuario intenta
acceder a las API antes de aceptar el EULA, aparece un mensaje que le indica que aún no ha aceptado el
EULA.
Sistemas actualizados
Los usuarios que existían antes de que el sistema QRadar se actualizara a V7.3.1 parche 3 o posterior, no
necesitan aceptar el EULA antes de acceder al sistema después de la actualización. Los usuarios finales
creados después de que se actualiza el sistema QRadar a esta versión deben aceptar el EULA antes de
poder acceder al sistema.
Carga de una clave de licencia

Las claves de licencia determinan su autorización sobre los productos y características de IBM Security
QRadar y la capacidad del sistema para manejar sucesos y flujos.
Antes de empezar
Si necesita asistencia para obtener una clave de licencia nueva o actualiza, póngase en contacto con el
representante de ventas local.
Debe cargar una clave de licencia cuando esté realizando estas tareas:
v Actualización de una licencia de consola de QRadar caducada
v Aumento de los límites de sucesos por minuto (EPS) o flujos por minuto (FPM)
v Adición a su despliegue de un producto de QRadar, como por ejemplo IBM Security QRadar
Vulnerability Manager

En QRadar V7.3.0, no es necesario cargar una licencia nueva al añadir un Procesador de sucesos o un
Procesador de flujos a su despliegue. A los procesadores de sucesos y de flujos se les asigna
automáticamente una licencia de dispositivo perpetua o permanente y puede asignar los EPS o FPM de la
agrupación de licencias al dispositivo.
Si la clave de licencia de QRadar Console caduca, la ventana Gestión del sistema y licencias aparecerá
automáticamente cuando inicie la sesión. Debe cargar una clave de licencia para poder continuar.
Si un sistema host gestionado tiene una clave de licencia caducada, se muestra un mensaje al iniciar la
sesión que indica que un host gestionado necesita una clave de licencia nueva. Puede utilizar la ventana
Gestión del sistema y licencias para actualizar la clave de licencia. Si la agrupación de licencias no está
sobreasignada, suprima la clave caducada y asigne EPS o FPM de la agrupación de licencias al host
gestionado.
Procedimiento
2. En la sección Configuración del sistema, pulse Gestión del sistema y licencias.
3. En la barra de herramientas, pulse Cargar licencia.
4. En el cuadro de diálogo, pulse Seleccionar archivo.
5. Seleccione la clave de licencia y pulse Abrir.
6. Pulse Cargar y a continuación pulse Confirmar.
Resultados
La licencia se cargará en su QRadar Console y se mostrará en la ventana Gestión del sistema y licencias.
De forma predeterminada, la mayoría de licencias no se asignan inmediatamente a un host de QRadar.

Sin embargo, el sistema asigna automáticamente todas las claves de QRadar Vulnerability Manager,
QRadar Risk Manager y QRadar Incident Forensics a la consola de QRadar.
Qué hacer a continuación

Asigne la licencia a un sistema.
Asignación de una clave de licencia a un host

Asigne una clave de licencia a un host de IBM Security QRadar cuando desee sustituir una licencia
existente, añadir productos de QRadar nuevos o aumentar la capacidad de sucesos o flujos en la
agrupación de licencias compartidas.
Antes de empezar
Debe cargar una clave de licencia.
Puede asignar varias licencias a una consola de QRadar. Por ejemplo, puede asignar claves de licencia
que añaden IBM Security QRadar Risk Manager y QRadar Vulnerability Manager a su consola de
QRadar.
No puede revertir una clave de licencia después de añadirla a un host de QRadar. Si por error asigna una
licencia al host equivocado, debe desplegar el cambio y a continuación suprimir la licencia del sistema.
Una vez suprimida la licencia, puede volver a cargarla y reasignarla. Una vez que la licencia se ha
asignado al host correcto, debe volver a desplegar los cambios.
Procedimiento
3. En la lista Visualizar, seleccione Licencias.
4. Seleccione la licencia y pulse Asignar sistema a licencia.
Consejo: Cuando selecciona Sistema en la lista Visualizar, la etiqueta cambia a Asignar licencia a un
sistema.
5. Para filtrar la lista de licencias, escriba una palabra clave en el cuadro de búsqueda.
6. En la ventana Asignar un sistema a una licencia, seleccione el host al que desea asignar la licencia y
pulse Asignar sistema a licencia.
Distribución de la capacidad de sucesos y flujos

Antes de empezar
Asegúrese de que la agrupación de licencias tiene suficientes EPS o FPM no asignados. Si los EPS o FPM
de la agrupación de licencias están asignados en su totalidad, redistribuya las asignaciones.
Una asignación adecuada de la capacidad de EPS y FPM es importante para asegurarse de que QRadar
procesa todos los sucesos y flujos oportunamente. La meta objeto es asignar EPS y FPM de modo que el
host tenga suficiente capacidad para procesar eficientemente picos de datos de proceso sin tener excesiva
capacidad de EPS y FPM desocupados.
Procedimiento
4. Pulse Gestión de agrupación de licencias y pase el puntero del ratón sobre los gráficos circulares
para ver la capacidad total del despliegue.
5. En la tabla Asignaciones de licencias, revise los datos para determinar si el dispositivo tiene
suficiente capacidad de sucesos y flujo para cubrir los EPS y FPM promedio y seguir teniendo
suficiente para cubrir los picos de volumen.
Obtenga más información sobre la revisión de los datos de capacidad de sucesos y flujos.:
v Las columnas Asignación de EPS y Asignación de FPM muestran la capacidad asignada a cada
procesador de QRadar o consola de QRadar.
v Las columnas EPS promedio y FPM promedio muestran el número promedio de sucesos y flujos
procesados por el host de QRadar a lo largo de los últimos 30 días.
v Pulse el nombre de host para ver los detalles sobre las tasas de EPS y FPM pico durante los últimos
30 días.
6. Para cambiar la tasa de EPS o FPM asignados para el host de QRadar, pulse el icono de edición.
7. Actualice el campo EPS asignado o FPM asignado y pulse Guardar. Las asignaciones de EPS y FPM
se validan contra estos criterios:

v La asignación de EPS debe ser un múltiplo de 100 y la asignación de FPM debe ser un múltiplo de
5.000.
v Los EPS o FPM asignados no pueden provocar la sobreasignación de la agrupación de licencias.
v Los EPS o FPM asignados no pueden superar los límites de hardware del tipo de dispositivo.
“Ejemplo: pico de datos de entrada” en la página 44
“Manejo de ráfagas” en la página 44
“Capacidad de proceso de sucesos y flujos” en la página 42

Visualización de los detalles de licencia

Vea los detalles de licencia para ver información como por ejemplo el estado, la caducidad y los límites
de tasa de sucesos y flujos para cada licencia que se carga en el sistema.
Las licencias que todavía no se han asignado a un host aparecen en la parte superior de la tabla Licencia.
Cada host del despliegue tiene una fila de resumen, que se muestra en negrita. Los campos de Límite de
velocidad de sucesos y Límite de velocidad de flujo de la fila de resumen muestran los EPS y FPM que
se han asignado al host. Si el host no tiene EPS y FPM asignados, se muestra N/A en las columnas Límite
de velocidad de sucesos y el Límite de velocidad de flujo.
La licencias asignadas a un host de QRadar aparecen como una fila hijo, anidada bajo la fila de resumen
de host de QRadar. Para los dispositivos de procesador de sucesos y de flujos de QRadar Console, la fila
hijo muestra la capacidad y las fechas de caducidad para la parte de EPS y FPM de la licencia. Antes de
gestionar licencias, seleccione la fila que corresponde a la licencia individual.
Procedimiento
4. Para ver información detallada sobre un host o una licencia específicos, seleccione la fila anidada y a
continuación pulse Acciones > Ver licencia.
Tabla 11. Licencia
Estado Descripción
No asignada La licencia está cargada pero no asignada a un host de QRadar. Los EPS y FPM de
la licencia no contribuyen a la agrupación de licencias.
No desplegada La licencia está asignada a un host de QRadar pero no está desplegada. La licencia
aún no está activa en el despliegue. Los EPS y FPM se incluyen en la agrupación de
licencias.
Tabla 11. Licencia (continuación)
Estado Descripción
Desplegada La licencia está asignada y activa en el despliegue. Los EPS y FPM se incluyen en la
agrupación de licencias.
Supresión de licencias
Suprima una licencia si la ha colocado por error en el host de QRadar equivocado. Asimismo, suprima
una licencia caducada para impedir que IBM Security QRadar genere notificaciones del sistema diarias
sobre la licencia caducada.
No se puede suprimir una licencia si ello provoca la sobreasignación de la agrupación de licencias.

QRadar valida que la agrupación de licencias tiene suficiente capacidad de EPS y FPM no asignados para
cubrir la pérdida de capacidad cuando se suprime la licencia. Por ejemplo, si desea suprimir una licencia
que tiene 2.500 EPS asociados, la agrupación de licencias debe tener como mínimo 2.500 EPS que no se
hayan asignado a un host de QRadar.
Si la agrupación de licencias no tiene suficientes EPS y FPM no asignados para cubrir el déficit, debe
ajustar las asignaciones de EPS y FPM para garantizar que la agrupación no está sobreasignada cuando
suprime la licencia.
Procedimiento
4. En la tabla de hosts, seleccione la fila hijo anidada que contiene la licencia que desea suprimir.
5. Pulse Acciones > Suprimir licencia.
La Fecha de caducidad de la licencia muestra Perpetuo con un Límite de velocidad de sucesos y un
Límite de velocidad de flujo de 0.
Exportación de información de licencia

Para la auditoría, exporte información acerca de las claves de licencia instaladas en el sistema a un
archivo .xml externo.
No puede utilizar el archivo .xml para mover licencias a otro sistema. Utilícelo solo para ver información
detallada sobre las claves de licencia individuales.
Procedimiento
4. En el menú Acciones, seleccione Exportar licencias.
5. Guarde el archivo localmente y pulse Aceptar.

5 Gestión de sistemas
IBM Security QRadar tiene una arquitectura modular que admite despliegues de diversos tamaños y
topologías.
En un despliegue de un solo host, todos los componentes de software se ejecutan en un solo dispositivo,
y la QRadar Console proporciona la interfaz de usuario, las vistas de sucesos flujos en tiempo real,
informes, delitos, información de activos y funciones administrativas.
Para escalar QRadar, puede añadir hosts gestionados no de consola al despliegue. Puede configurar un
tipo de componente específico, como por ejemplo recopiladores, procesadores y nodos de datos, para
cada host gestionado, proporcionando una mayor flexibilidad para gestionar la recopilación y el
procesamiento de datos en un entorno distribuido.
4, “Gestión de licencias”, en la página 41
Las claves de licencia le proporcionan autorización para productos de IBM Security QRadar específicos y
controlan la capacidad de sucesos y flujos de su despliegue de QRadar. Puede añadir licencias a su
despliegue para activar otros productos de QRadar como por ejemplo QRadar Vulnerability Manager.
Ver información de estado del sistema

La aplicación Datos de despliegue de QRadar es una potente aplicación de supervisión que consolida
datos de estado históricos para cada host gestionado en el despliegue. Utilice la aplicación para
supervisar el estado del despliegue de QRadar.
Descripción general del estado del host del panel de control Datos de despliegue de QRadar muestra el
estado de cada dispositivo (activo, en espera, fuera de línea o desconocido) y el número de notificaciones
de cada host, el nombre del host y el tipo de dispositivo, el uso del disco, el estado y la modificación de
hora. En Descripción general del estado del host, puede profundizar para ver más información visual
sobre el estado del host gestionado, como las tasas de sucesos y flujos, las notificaciones del sistema e
información del disco.
Para ayudarle a resolver problemas relacionados con el despliegue, utilice la función Obtener registros
para recopilar archivos de registro desde la QRadar Console y otros hosts gestionados en el despliegue.
La aplicación Datos de despliegue de QRadar está disponible en IBM Security App Exchange. Debe
instalar la aplicación y, a continuación, crear una señal de servicio autorizado para permitir que la
aplicación utilice la API de QRadar para solicitar datos a los hosts gestionados.
Tipos de componentes de QRadar

Cada dispositivo de IBM Security QRadar que se añade al despliegue tiene componentes configurables
que especifican la forma en que el host gestionado se comporta en QRadar.

Figura 2. Componentes de sucesos y de flujos de QRadar
QRadar Console
La QRadar Console proporciona la interfaz de producto de QRadar, vistas de sucesos y de flujos en

tiempo real, informes, delitos, información de activos y funciones administrativas. En entornos
distribuidos, la QRadar Console se utiliza para gestionar los demás componentes del despliegue.
Recopilador de sucesos
El Recopilador de sucesos recopila sucesos de orígenes de registro locales y remotos, y normaliza los
datos de sucesos en bruto de forma que los pueda utilizar QRadar. Para conservar los recursos del
sistema, el Recopilador de sucesos empaqueta juntos los sucesos idénticos y envía los datos al Procesador
de sucesos.
Procesador de sucesos
El Procesador de sucesos procesa sucesos recopilados de uno o más componentes de Recopilador de

sucesos. Si los sucesos se ajustan a las reglas personalizadas definidas en la Consola, el Procesador de
sucesos realiza la acción que se ha definido en la respuesta de regla.
Cada Procesador de sucesos dispone de almacenamiento local. Los datos de sucesos se almacenan en el
procesador, o se pueden almacenar en un Nodo de datos.
QRadar QFlow Collector
QRadar QFlow Collector recopila los flujos de red procedentes de los dispositivos de la red. Se incluyen
los canales de información en directo y grabados, como los registros de flujo de TAP de red, puertos
SPAN, NetFlow y QRadar.
Restricción: QRadar Log Manager no da soporte a la recopilación de flujos

Procesador de flujos
El Procesador de flujos procesa flujos de uno o más dispositivos QRadar QFlow Collector. El dispositivo
Procesador de flujos también puede recopilar flujos de red externa, como por ejemplo NetFlow, J-Flow y
sFlow directamente desde direccionadores de su red.
Los procesadores de flujos incluyen un procesador incorporado y almacenamiento interno para los datos
de flujo.
Nodo de datos
El Nodo de datos recibe sucesos de seguridad y flujos procedentes de procesadores de sucesos y de flujos
y almacena los datos en disco.
El Nodo de datos siempre está conectado a un Procesador de sucesos o a un Procesador de flujos.
Dispositivos de origen y destino externos
Un dispositivo externo es un dispositivo de QRadar que no forma parte del despliegue y que está
supervisado por la QRadar Console.
Un dispositivo de origen externo reenvía los datos normalizados a un Recopilador de sucesos. Puede
configurar un origen externo para que cifre los datos antes de reenviarlos.
Un dispositivo de destino externo recibe los datos normalizados de sucesos o de flujos de cualquier
Recopilador de sucesos o de cualquier procesador del despliegue.
Las últimas versiones de sistemas QRadar pueden recibir datos de versiones anteriores de sistemas
QRadar, pero las versiones anteriores no pueden recibir datos de las posteriores. Para evitar problemas,
actualice todos los receptores antes de actualizar los emisores.
Nodos de datos
Un nodo de datos es un dispositivo que puede añadir a sus procesadores de sucesos y flujos para
aumentar la capacidad de almacenamiento y mejorar el rendimiento de las búsquedas. Puede añadir un
número ilimitado de nodos de datos para su despliegue de IBM Security QRadar, y se pueden añadir en
cualquier momento. Cada nodo de datos se puede conectar únicamente a un procesador, pero un
procesador puede dar soporte a varios nodos de datos.
Para obtener más información sobre cómo planificar el despliegue, consulte la publicación IBM Security
QRadar Architecture and Deployment Guide.
Reequilibrio de datos tras añadir un nodo de datos

Cuando se añade un nodo de datos, IBM Security QRadar reequilibra los datos para mejorar las
búsquedas y el rendimiento general del sistema.
El reequilibrio de datos incluye descomprimir datos antiguos y mover datos que estaban en el dispositivo
de almacenamiento original para distribuirlos uniformemente entre todos los dispositivos conectados.
Por ejemplo, supongamos que el despliegue tiene un procesador de sucesos que recibe 20.000 sucesos por
segundo (EPS). Cuando añade nodos de datos, QRadar distribuye automáticamente los sucesos entre el
procesador de sucesos y todos los nodos de datos disponibles. Si añade tres nodos de datos, el
procesador de sucesos almacena 5.000 EPS y envía 5.000 EPS a cada uno de los nodos de datos
5 Gestión de sistemas 53
conectados. El procesador de sucesos todavía procesa todos los sucesos, pero los nodos de datos
proporcionan más capacidades de almacenamiento, indexación y búsqueda para mejorar el rendimiento
general.
Datos recopilados en QRadar V7.2.6 y versiones anteriores
De forma predeterminada, los datos que se recopilan con QRadar V7.2.6 y versiones anteriores no se
comprimen. La compresión de datos se produce únicamente cuando QRadar detecta que el
almacenamiento disponible en un dispositivo es menor que el umbral de almacenamiento disponible. El
proceso de mantenimiento del disco comprime los datos en formato gzip y aplica las políticas de
supresión de datos hasta que el volumen de datos vuelve a situarse por debajo del umbral.
Cuando se añade un nodo de datos, QRadar reequilibra los datos, y cuando hay suficiente espacio de
almacenamiento disponible, los datos que están en formato gzip se descomprimen. Inmediatamente
mejora el rendimiento de las búsquedas en los datos más antiguos, y el rendimiento sigue mejorando
porque la mayoría de búsquedas utilizan datos más recientes que no están comprimidos.
Dado que los datos anteriores a V7.2.7 están ahora descomprimidos, los volúmenes de disco pueden
superar rápidamente el umbral de espacio de almacenamiento libre. Cuando el espacio en disco
disponible baja por debajo de los valores de umbral, el proceso de mantenimiento del disco comprime los
datos que hay elegibles para compresión, de acuerdo con las políticas de retención, hasta alcanzar el
umbral de almacenamiento libre.
Datos recopilados en QRadar V7.2.7 y versiones posteriores
En QRadar V7.2.7, todos los datos nuevos se graban en disco en formato comprimido. Los procesos de
mantenimiento del disco no comprimen los datos nuevos.
La política de supresión de datos no se ve afectada por el formato de datos. Cuando QRadar sobrepasa el
umbral de almacenamiento disponible, los procesos de mantenimiento de disco suprimen datos tanto del
formato antiguo como del nuevo, de acuerdo con los valores de retención de datos.
Visualización del progreso del reequilibrado de datos

Cuando se añade un nodo de datos, IBM Security QRadar redistribuye automáticamente los datos para
equilibrarlos entre los volúmenes de almacenamiento del despliegue.
Las mejoras en el rendimiento de las búsquedas solo se realizan una vez completado el reequilibrado de
datos. Puede ver el progreso del reequilibrado de datos y también ver datos tales como el porcentaje de
espacio de disco utilizado.
Procedimiento
3. En la lista Visualización, seleccione Sistemas.
4. En la tabla de hosts, seleccione el host gestionado sobre el que desea ver más información.
v Para ver información sobre el clúster de hosts gestionados, seleccione el host de nivel superior.
v Para ver información sobre un nodo de datos específico, seleccione el nodo de datos.
5. En el menú Acciones, pulse en Ver y gestionar el sistema.
6. Pulse en la pestaña Distribución de datos de seguridad para ver el progreso del reequilibrado de
datos y la capacidad del dispositivo de Nodo de datos.
Nota: También puede ver información sobre el progreso del reequilibrado de nodos de datos en la
barra de estado del despliegue, en la pestaña Admin .

Guardar todos los datos de sucesos en un dispositivo de Nodo de
datos
Para mejorar el rendimiento de un procesador de sucesos, configure IBM Security QRadar para que
guarde todos los datos de suceso en un dispositivo de Nodo de datos. Con esta configuración, el
procesador de sucesos sólo procesa sucesos; no almacena localmente los datos de los sucesos.
Aunque un procesador de sucesos esté configurado para sólo procesar sucesos, guarda los datos de
sucesos localmente cuando no hay dispositivos de Nodo de datos activos disponibles. Cuando haya un
dispositivo de Nodo de datos disponible, QRadar transfiere tantos datos como sea posible del procesador
de sucesos al Nodo de datos.
Procedimiento
4. Seleccione el Procesador de sucesos en la tabla de hosts y, en el menú Acciones de despliegue, pulse
en Editar host.
5. Pulse el icono Valores de Gestión de componentes ( ).

6. En el Procesador de sucesos, en el campo Modalidad de procesador de sucesos, seleccione Solo
proceso.
7. Haga clic en Guardar y, a continuación, haga clic de nuevo en Guardar.
Archivar contenido en un Nodo de datos

Puede configurar un dispositivo de Nodo de datos para que utilice la modalidad de Archivado cuando
quiera que el Nodo de datos proporcione acceso en línea a los datos históricos sin que ello tenga un
impacto en el almacenamiento de los datos entrantes.
En la modalidad de Archivado , el dispositivo no recibe datos nuevos, pero los datos existentes se
guardan.
Procedimiento
4. Seleccione el dispositivo de Nodo de datos en la tabla de hosts y, en el menú Acciones de despliegue,
pulse en Editar host.
5. Pulse el icono Valores de Gestión de componentes ( ).

6. En el campo Modalidad de nodo de datos, seleccione Archivado y pulse Guardar.
Para reanudar el almacenamiento de datos en el dispositivo de Nodo de datos, vuelva a poner la

modalidad Activo.
Gestión de interfaces de red
Además de la interfaz de gestión predeterminada, puede añadir interfaces de red adicionales a los
dispositivos de IBM Security QRadar para proporcionar conectividad de red alternativa.
Utilice interfaces de red adicionales con las finalidades siguientes:

v Suministrar una conexión de cruce dedicada entre iguales de alta disponibilidad (HA). Deberá
configurar una conexión de cruce durante la configuración de HA.
v Suministrar una interfaz de recopilación de datos dedicada para sucesos de entrada u orígenes de flujo
externos. Los orígenes de datos basados en TCP debe estar en la misma subred que la interfaz de
recopilación de datos.
v Conectarse a iSCSI (sistemas de almacenamiento en red y de copia de seguridad).
v Aumentar el ancho de banda y añadir tolerancia al error mediante interfaces de acoplamiento.
Configuración de interfaces de red

Utilice el vínculo para aumentar el ancho de banda disponible de los dispositivos de IBM Security
QRadar combinando 2 o más interfaces de red en solo canal.
La interfaz de gestión de red de dispositivos de QRadar, incluyendo las opciones de acoplamiento, se

configura únicamente en el indicador de shell de UNIX durante la configuración.
Configure la interfaz de gestión en una QRadar Console antes de añadir un host gestionado.
No puede vincular una interfaz esclava existente. Sólo puede vincular interfaces de gestión en el
indicador de shell. Puede vincular cruces desde la pantalla de configuración Alta disponibilidad.
Procedimiento
3. En el menú Visualizar, pulse Sistemas.
4. Seleccione el host para el que desea configurar interfaces de red.
5. Pulse en Acciones > Ver y gestionar el sistema y pulse en la pestaña Interfaces de red.
6. Para editar una interfaz de red, siga estos pasos:
a. Seleccione el dispositivo que desea editar y pulse Editar.
b. En la lista Rol, seleccione el rol del dispositivo:
v Seleccione Regular cuando el dispositivo se utilice para la recopilación de datos. Esta interfaz
debe tener una dirección IP.
v Seleccione Supervisor cuando el dispositivo sea un IBM Security QRadar QFlow Collector que
se utilice para la recopilación de paquetes. Esta interfaz no requiere una dirección IP.
v Elija Inhabilitado para evitar que el dispositivo se utilice para alguna conectividad de red.
c. Para aplicar la configuración al nodo HA activo, pulse Aplicar esta configuración de interfaz y
dirección IP al nodo HA activo.
d. Pulse Guardar.
7. Para crear una interfaz de red vinculada, siga estos pasos:
Puede vincular dos o más interfaces que tengan un rol regular o de supervisor asignado. Sólo puede
vincular interfaces que tengan asignados los mismos roles.
a. Seleccione el dispositivo y pulse Vincular.
b. Escriba la dirección IP y la máscara de red.

c. Para aplicar la configuración al nodo HA activo, pulse Aplicar esta configuración de interfaz y
dirección IP al nodo HA activo.
Nota: Seleccionando esta opción, mantendrá esta interfaz activa en cualquiera de los dos nodos de
alta disponibilidad (HA) que esté activo. Puede utilizar esta opción en una interfaz utilizada para
recibir datos de entrada tales como mensajes de syslog o registros de datos de flujo de red. Esta
opción migra datos entre los nodos primario y secundario al que esté activo.
d. Especifique una opción de vínculo. La opción de vínculo predeterminada que está configurada en
esta interfaz es mode= 0 miimon=100.
Más información sobre las modalidades de vínculos:
Las interfaces vinculadas admiten diversas modalidades de operación en función de las

prestaciones del conmutador al que estén conectadas. En la tabla siguiente se describen algunas de
las modalidades de vínculo que puede utilizar.
Tabla 12. Modalidades de vínculo
Modalidades de
vínculo Nombre de vínculo Descripción
mode=0 Rotación de equilibrio Los paquetes se transmiten en orden desde el primer
esclavo disponible hasta el último esclavo.
mode=1 Copia de seguridad activa Sólo hay un esclavo activo. Cuando se produce un
error en el esclavo activo, se activa otro esclavo.
mode=2 Equilibrio XOR El mismo esclavo se utiliza para cada dirección
MAC de destino.
mode=3 Difusión Transmite todo en todos los esclavos.
mode=4 802.3ad Utiliza el Protocolo de control de agregación de
enlaces (LACP) para crear grupos de agregación que
comparten velocidad y valores de dúplex.
mode=5 Equilibrio TLB (Equilibrado de carga Los datos de red salientes se distribuyen entre todos
de transmisión) los esclavos. Un esclavo designado recibe tráfico
entrante, que se migra un esclavo de copia de
seguridad cuando se produce un error en el esclavo
designado.
mode=6 Equilibrio ALB (Equilibrado de carga Incluye el equilibrado de carga de transmisión (TLB)
adaptativo) y el equilibrado de carga de recepción (RLB) para el
tráfico de red IPV4.
Para obtener información acerca de la configuración de opciones de vínculo específicas, consulte la

documentación del sistema operativo específica del proveedor.
e. Pulse Añadir, seleccione la interfaz que desea añadir como esclava y pulse Aceptar.
f. Pulse Guardar para crear la interfaz vinculada.
8. Para desglosar una interfaz vinculada en interfaces individuales, seleccione el dispositivo vinculado y
pulse Desvincular.
Si la conexión no funciona al configurar los valores de interfaz vinculada, utilice SSH para iniciar sesión
en el host y busque en el archivo de registro /var/log/message mensajes de error de interfaz de red.
También puede intentar cambiar el valor a mode=1 o puede desconectar físicamente todas las conexiones
Ethernet del grupo de interfaces vinculadas excepto una. Si este método alternativo funciona, compruebe
que la infraestructura del conmutador admita la modalidad que está intentando utilizar. Los
conmutadores no siempre admiten mode=4.
Hora del sistema de QRadar

Cuando el despliegue abarque varios husos horarios, configure todos los dispositivos para que utilicen el
mismo huso horario que la consola de IBM Security QRadar. También puede configurar todos los
dispositivos para que utilicen la hora media de Greenwich (GMT).
Configure la hora del sistema de IBM Security QRadar desde la interfaz de usuario de QRadar. Puede
configurar la hora manualmente o configurando los servidores de protocolo de hora en red (NTP) para
mantener la hora del sistema.
La hora se sincroniza automáticamente entre la QRadar Console y los hosts gestionados.
Problemas provocados por la discrepancia de husos horarios
Para asegurarse de que las búsquedas y las funciones relacionadas con datos funcionan adecuadamente,
todos los dispositivos deben sincronizar los valores de hora con el dispositivo de QRadar Console.
Cuando los valores de huso horario sean discrepantes, puede que vea resultados incoherentes entre los
datos de informe y de búsqueda de QRadar.
El servicio de acumulador se ejecuta en todos los dispositivos con almacenamiento local para crear
acumulaciones minuto a minuto y resúmenes horarios y diarios. QRadar utiliza los datos acumulados en
informes y en gráficos de series temporales. Cuando los husos horarios son discrepantes en un despliegue
distribuido, es posible que el informe y los gráficos de series temporales muestren resultados incoherentes
comparados con los resultados de consulta de AQL debido a la forma en que se agregan los datos
acumulados.
Las búsquedas de QRadar se ejecutan contra datos que se almacenan en las bases de datos de Ariel, que
utilizan una estructura de fecha (AAAA/MM/DD/HH/MM) para almacenar archivos en el disco.
Cambiar el huso horario después de que los datos se hayan grabado en disco, interrumpe la secuencia de
denominación de archivos en las bases de datos de Ariel y puede provocar problemas de integridad.
Configuración de la hora del sistema

Puede configurar la hora del sistema en la QRadar Console estableciendo la hora manualmente o
utilizando servidores NTP para realizar el mantenimiento de la hora. QRadar sincroniza la hora de la
QRadar Console con los hosts gestionados del despliegue.
Procedimiento
4. Seleccione el host para el que desea configurar los valores de hora del sistema.
5. En el menú Acciones, pulse Ver y gestionar el sistema.
6. Pulse la pestaña Hora del sistema.
7. Para configurar la hora en la QRadar Console, siga estos pasos:
a. En la lista Huso horario, seleccione el huso horario que se aplica a la QRadar Console.
b. Para configurar manualmente la hora, pulse en Establecer la hora manualmente:, y luego
establezca la fecha y la hora de la consola.
Nota: Si establece la hora del sistema en una fecha futura afectada por cambios del horario de
verano (DST - Daylight Saving Time), la hora que establece se ajusta en 1 hora. Por ejemplo,

imagine que el 4 de julio de 2016 en los Estados Unidos, establece la fecha a 12 de diciembre de
2016 y establece la hora a las 20:00. La hora que establece ignora el cambio del horario de verano
y se ajusta a las 19:00.
c. Para gestionar la hora utilizando servidores NTP, siga estos pasos:
1) Pulse en Especificar servidores NTPy pulse en Añadir más.
2) En el campo Dirección del servidor 1, escriba una dirección IP o un nombre de host para el
servidor NTP. Los nombres de host los resuelve un servidor DNS.
8. Para configurar la hora en un host gestionado, en la lista Huso horario, seleccione el huso horario
que se aplica al host.
En un host gestionado, solo puede configurar el huso horario. La hora del sistema está sincronizada
con QRadar Console pero si el host gestionado está en un huso horario diferente, puede cambiar a
ese huso horario.
9. Pulse Guardar.
10. Pulse Aceptar para aceptar que se reinicien los servicios o Cancelar para cancelar los cambios.
La recopilación de datos para sucesos y flujos se detiene hasta que se reinician los servicios
hostcontext y tomcat.
Cuando establece la hora del sistema en sistemas VMware y a continuación, reinicia el sistema, es posible
que se pierdan los cambios. Para impedir que se pierdan los cambios de hora, puede inhabilitar la
sincronización de hora en el dispositivo virtual editando el archivo de configuración de la máquina
virtual y añadiendo estas líneas en las propiedades de sincronización:
tools.syncTime = "FALSE"
time.synchronize.continue = "FALSE"
time.synchronize.restore = "FALSE"
time.synchronize.resume.disk = "FALSE"
time.synchronize.shrink = "FALSE"
time.synchronize.tools.startup = "FALSE"
El archivo .vmx generalmente se encuentra en el directorio donde ha creado la máquina virtual. Para
obtener más información, consulte la documentación específica del proveedor de su sistema operativo.
Redes con habilitación para NAT

NAT (conversión de direcciones de red) convierte una dirección IP en una red a una dirección IP
diferente en otra red. NAT proporciona una mayor seguridad para su despliegue de IBM Security QRadar
puesto que las solicitudes se gestionan a través del proceso de conversión y las direcciones IP internas
están ocultas. Con NAT, los sistemas que se encuentran en una red privada interna se convierten con un
dispositivo de red, normalmente un cortafuegos, y pueden comunicarse con la Internet pública a través
de esa red. Utilice NAT para correlacionar direcciones IP internas individuales con direcciones IP externas
individuales.
La configuración de NAT de QRadar requiere una NAT estática y permite únicamente una dirección IP
por cada host gestionado.
Cualquier host de QRadar que no esté en el mismo grupo NAT que su igual, o que esté en un grupo
NAT distinto, se configura para que utilice la dirección IP pública de ese host para llegar al mismo. Por
ejemplo, cuando se configura una dirección IP pública en la QRadar Console, cualquier host que se
ubique en el mismo grupo NAT utiliza la dirección IP privada de QRadar Console para comunicarse.
Cualquier host gestionado que se ubique en un grupo NAT diferente utiliza la dirección IP pública de
QRadar Console para comunicarse.
Si tiene un host en una de estas ubicaciones de grupo NAT que no requiere una conversión externa,
especifique la dirección IP privada en los campos IP privada e IP pública. Los sistemas en ubicaciones
remotas con un grupo NAT distinto al de la consola continuarán necesitando una dirección IP externa y
NAT, ya que deberán poder establecer conexiones con la consola. Solo los hosts que se encuentren en el
mismo grupo NAT que la consola podrán utilizar las mismas direcciones IP públicas y privadas.
Configuración de un grupo NAT

Puede configurar un grupo de Conversión de direcciones de red (NAT - Network Address Translation)
para limitar el número de direcciones IP públicas necesarias para que los hosts gestionados de IBM
Security QRadar puedan comunicarse con la Internet.
Antes de empezar
Asegúrese de que la red de con habilitación para NAT utiliza la conversión NAT estática.
Es importante completar la configuración de NAT para cada host gestionado del despliegue antes de
desplegar los cambios. Tras el despliegue, es posible que los hosts gestionados que no son con
habilitación para NAT no se puedan comunicar con la QRadar Console.
QRadar puede dar soporte a diversas redes NAT si la dirección IP de la QRadar Console es la misma en
cada red.
Procedimiento
3. En la lista Visualizar, seleccione Sistemas.
4. Para configurar un grupo NAT para la QRadar Console, siga estos pasos:
a. Seleccione el dispositivo QRadar Console en la tabla de hosts.
b. En el menú Acciones de despliegue, pulse en Editar host.
c. Seleccione la casilla Conversión de direcciones de red.
d. En la lista Grupo NAT, seleccione el grupo NAT al que pertenece la consola o pulse en el icono
Valores ( ) para crear un nuevo grupo NAT.

e. En el campo IP pública, escriba la dirección IP pública de la consola y después pulse Guardar.
5. Configure cada uno de los hosts gestionados en la misma red para utilizar el mismo grupo NAT que
la QRadar Console.
a. Seleccione el dispositivo 'host gestionado' en el cuadro principal.
b. En el menú Acciones de despliegue, pulse en Editar host.
c. Seleccione la casilla Conversión de direcciones de red.
d. En la lista Grupo NAT, seleccione el grupo NAT al que pertenece la QRadar Console.
e. En el campo IP pública, escriba la dirección IP pública del host gestionado.
Nota: A menos que un recopilador de sucesos se esté conectando a un host gestionado que utilice
NAT, configure el host gestionado de forma que utilice la misma dirección IP pública y la misma
dirección IP privada.
f. Pulse Guardar.
6. En la pestaña Admin, pulse Avanzado > Desplegar configuración completa.

Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando el
servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente. Se
mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
momento más conveniente.
Para solucionar problemas de comunicación entre la QRadar Console y los hosts que no son con
habilitación para NAT después del despliegue, edite las reglas iptables del host gestionado para
configurar el cortafuegos local para permitir que la QRadar Console pueda acceder al host gestionado.
Cambio del estado de NAT para un host gestionado

Puede configurar un host gestionado para que utilice la conversión de direcciones de red (NAT) para
asegurarse de que puede comunicarse con la QRadar Console y con otros hosts gestionados de la misma
red.
Antes de empezar
Asegúrese de que la red de con habilitación para NAT utiliza la conversión NAT estática.
La QRadar Console y todos los hosts gestionados de una misma red deben ser miembros de del mismo
grupo NAT.
Para cambiar el estado de NAT de un host gestionado, asegúrese de actualizar la configuración del host
gestionado en IBM Security QRadar antes de actualizar el dispositivo. El hecho de actualizar la
configuración, en primer lugar, impide que no se pueda acceder al host y garantiza que podrá seguir
desplegando cambios en ese host.
Procedimiento
2. En la sección Configuración del sistema, pulse el icono Gestión del sistema y licencias.
4. Seleccione el host en la tabla de hosts y, en el menú Acciones de despliegue, pulse en Editar host.
5. Para inhabilitar NAT, deseleccione la casilla Conversión de direcciones de red.
6. Para habilitar NAT, siga estos pasos:
a. Seleccione la casilla Conversión de direcciones de red.
b. En la lista Grupo NAT, seleccione el grupo al que pertenece el host gestionado.
c. En el campo IP pública, escriba la dirección IP pública que el host gestionado utiliza para
comunicarse con otros hosts de un grupo NAT distinto.
7. Pulse Guardar.
Si ha habilitado NAT, puede que tenga que cambiar la configuración del cortafuegos del host gestionado
con el que desea establecer comunicación. Para obtener más información, consulte la sección
“Configuración del cortafuegos local” en la página 70.
Gestión de hosts externos
Un host externo es un dispositivo de QRadar al que no se puede acceder a través de la QRadar Console
en el despliegue actual. Puede configurar el host externo para que transfiera datos al despliegue de
QRadar o reciba datos del mismo.
Configuración de un origen externo

Para reenviar sucesos y flujos de datos a un Recopilador de sucesos de otro despliegue, configure el
despliegue de destino para que incluya un origen externo de forma que sepa qué sistema envía los datos.
Para evitar los errores de conexión, cuando configure los componentes de origen y de destino externos,
despliegue la consola de IBM Security QRadar con el origen externo en primer lugar. A continuación,
despliegue QRadar Console con el destino externo.
Procedimiento
4. En el menú Acciones de despliegue, pulse en Gestionar orígenes externos.
5. Pulse Añadir y configure los parámetros.
El nombre puede tener hasta 20 caracteres de longitud y puede incluir caracteres de subrayado o
guiones.
6. Pulse Guardar.
7. Pulse en Gestionar conexiones para especificar los hosts de QRadar donde desea recibir los datos.
Debe disponer de un Recopilador de sucesos para recibir los datos.
8. Repita los pasos para configurar todos los orígenes externos que desee configurar.
9. Implemente los cambios y reinicie el servicio de recopilación de sucesos.
Configuración de un destino externo

Para reenviar sucesos y flujos de datos a un Recopilador de sucesos de otro despliegue, configure el
despliegue de origen para que incluya un destino externo de forma que sepa a qué sistema enviar los
datos.
Antes de empezar
Debe conocer los puertos de escucha del dispositivo de destino externo. De forma predeterminada, el
puerto de escucha para los sucesos es el 32004, y el 32000 para los flujos.
Para averiguar el puerto de escucha en el dispositivo de destino, siga estos pasos:

1. En el despliegue de destino, pulse en el icono Gestión del sistema y licencias.
2. Seleccione el host y pulse Acciones de despliegue > Editar host.
3. Pulse el icono Valores de la Gestión de componentes ( ) averigüe los puertos en los campos
Puerto de escucha de reenvío de sucesos y Puerto de escucha de reenvío de flujos.

Para evitar errores de conexión, cuando configure los componentes de origen y de destino externos,
despliegue la consola de IBM Security QRadar con el origen externo en primer lugar. A continuación,
despliegue QRadar Console con el destino externo.
Procedimiento
4. En el menú Acciones de despliegue, pulse en Gestionar destinos externos.
5. Pulse Añadir y configure los parámetros.
El nombre puede tener hasta 20 caracteres de longitud y puede incluir caracteres de subrayado o
guiones. El puerto predeterminado de escucha para los sucesos es el 32004, y el 32000 para los flujos.
6. Pulse Guardar.
7. Pulse en Gestionar conexiones para especificar los hosts de QRadar donde desea recibir los datos.
Solo se enumeran en la lista los hosts que tienen un Recopilador de sucesos.
8. Repita los pasos para configurar todos los destinos externos que desee configurar.
Generación de claves públicas para los productos de QRadar

Para reenviar sucesos normalizados en IBM Security QRadar, debe copiar el archivo de clave pública,
/root/.ssh/id_rsa.pub, del origen externo al destino externo.
Si el origen externo y el destino externo están en sistemas distintos, la clave pública se genera
automáticamente. Si el origen y el destino externos están en un sistema "all-in-one", la clave pública no se
genera automáticamente. Debe generar la clave pública de forma manual.
Procedimiento
Para generar manualmente la clave pública, siga estos pasos:

1. Utilice SSH para iniciar la sesión en el sistema como usuario root.
2. Para generar la clave pública, escriba el mandato siguiente:
opt/qradar/bin/ssh-key-generating
3. Pulse Intro.
El par de clave pública y clave privada se genera y se guarda en la carpeta /root/.ssh/id_rsa.
Reenvío de flujos de filtrado

Puede configurar el reenvío de flujos de filtrado. Puede utilizar flujos filtrados para dividir el reenvío de
flujos en varios recuadros y para reenviar flujos específicos para determinadas investigaciones.
Procedimiento
1. En el sistema de destino, configure el sistema de origen como un origen fuera de sitio.
a. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
b. Pulse Gestión del sistema y licencias > Acciones de despliegue > Gestionar orígenes fuera de
sitio.
c. Añada la dirección IP del sistema de origen y seleccione Recibir sucesos o Recibir flujos.
d. Seleccione Gestionar conexiones y elija el host que se espera que reciba la conexión fuera del sitio.
e. Pulse Guardar.
f. Seleccione Despliegue de configuración completa en el menú Avanzado para que los cambios
surtan efecto.
2. En el sistema de origen, configure el destino del reenvío, la dirección IP y el número de puerto.
a. Pulse Menú principal > Admin.
b. Pulse Destinos de reenvío > Añadir.
c. Configure la dirección IP del sistema de destino y el puerto de destino.
d. Introduzca 32000 para el número de puerto en el sistema de origen. El puerto 32000 se utiliza para
el reenvío de flujos.
e. Seleccione Normalizado en la lista Formato de suceso.
3. Configuración de reglas de direccionamiento.
a. Pulse Menú principal > Admin.
b. Pulse Reglas de direccionamiento > Añadir.
c. Seleccione las reglas que desee añadir.
Nota: Las reglas reenvían flujos basados en delitos o en información de CRE cuando se selecciona
Reenvío fuera de línea en la página Reglas de direccionamiento.
Se reenvían los flujos que se han filtrado en la pantalla Reglas de direccionamiento.
Ejemplo: Reenvío de sucesos y flujos normalizados

Para reenviar sucesos y flujos normalizados, configure el despliegue de destino para que incluya un
origen externo de forma que sepa qué sistema está enviando los datos. Configure el despliegue de origen
para que incluya un destino externo de forma que sepa a qué sistema enviar los datos.
El diagrama siguiente muestra el reenvío de datos de sucesos y flujos entre los despliegues.

Figura 3. Reenvío de datos entre los despliegues utilizando SSH
Si el origen o el destino externos están en un sistema "all-in-one", la clave pública no se genera

automáticamente; por lo tanto, debe generarla manualmente. Para obtener más información, consulte el
apartado “Generación de claves públicas para los productos de QRadar” en la página 63.
Procedimiento
Para reenviar sucesos y flujos normalizados del despliegue A al despliegue B:

1. Configure un destino externo en el despliegue A.
En la configuración del destino externo se incluye la dirección IP del Recopilador de sucesos del
despliegue B que recibe los datos.
2. Configure un origen externo en el despliegue B.
En la configuración del origen externo se incluye la dirección IP y el número de puerto del
Recopilador de sucesos del despliegue A que envía los datos.
3. Para transferir datos cifrados, debe habilitar el cifrado tanto en el origen externo como en el destino
externo.
Para garantizar el acceso adecuado, la clave pública SSH del sistema de origen (despliegue A) debe estar
disponible para el sistema de destino (despliegue B). Por ejemplo, para habilitar el cifrado entre el
despliegue A y el B, siga estos pasos:
4. Cree claves SSH con el mandato ssh-keygen -1 -t rsa y pulse Intro cuando se le pregunte sobre el
directorio y la frase de contraseña.
De forma predeterminada, el archivo id_rsa.pub está en el directorio /root/.ssh.
5. Copie el archivo id_rsa.pub al directorio /root/.ssh del Recopilador de sucesos y en la QRadar
Console del sistema de origen (despliegue A).
6. Cambie el nombre del archivo por authorized_keys.
Asegúrese de que el sistema de origen está configurado con los permisos adecuados para enviar datos de
sucesos y flujos al sistema de destino.
7. Si no ha utilizado el mandato chmod 600 authorized_keys para asignar privilegios de propietario rw
al archivo y al directorio padre, utilice el mandato ssh-copy-id con al parámetro -i para especificar
que se debe utilizar el archivo de identidad /root/.ssh/id_rsa.pub.
Por ejemplo, escriba el siguiente mandato para añadir entradas o crear un nuevo archivo
authorized_keys en la consola de destino con los privilegios correctos. Este mandato no comprueba
si hay entradas duplicadas.
ssh-copy-id -i root@10.100.133.80
8. Configure el sistema de origen para asegurarse de que el reenvío de sucesos y flujos no se ve
interrumpido por otras actividades de configuración, como por ejemplo añadir un host gestionado a
una de las consolas.
Por ejemplo, si se añade un host gestionado a una consola que reenvía sucesos, debe existir un
archivo authorized_keys en el directorio /root/.ssh del host gestionado. Si no es así, la adición de
un host gestionado fallará. Este archivo es necesario independientemente de si se utiliza o no el
cifrado entre el host gestionado y la consola.
9. En la QRadar Console del sistema de origen, (despliegue A), cree un archivo ssh_keys_created en
/opt/qradar/conf.
10. Cambie el propietario y el grupo a nobody y el permiso a 775 para asegurarse de que se puede
hacer una copia de seguridad y una restauración del archivo correctamente.
chown nobody:nobody /opt/qradar/conf/ssh_keys_created
chmod 775 /opt/qradar/conf/ssh_keys_created
11. Para prevenir errores de conexión, despliegue los cambios en el sistema de destino (despliegue B)
antes de desplegarlos en el sistema de origen (despliegue A).

Si actualiza la configuración del Recopilador de sucesos o los puertos de supervisión, debe actualizar
manualmente la configuración del origen externo y del destino externo para mantener la conexión entre
los dos despliegues.
i desea desconectar el sistema de origen (despliegue A), debe eliminar las conexiones de ambos
despliegues. Elimine el destino externo del sistema de origen (despliegue A) y después elimine el origen
externo del sistema de destino (despliegue B).
Hosts gestionados
Para obtener una mayor flexibilidad en la recopilación de datos y en el proceso de sucesos y de flujos,
cree un despliegue distribuido de IBM Security QRadar añadiendo hosts gestionados no de consola, tales
como recopiladores, procesadores y nodos de datos.
Para obtener más información sobre cómo planificar y crear un entorno de QRadar consulte el apartado
IBM Security QRadar Architecture and Deployment Guide.
Requisitos de compatibilidad de software
Las versiones de software de todos los dispositivos del despliegue de IBM Security QRadar ser de la
misma versión y nivel de fixpack. No se da soporte a despliegues que utilicen versiones distintas de
software porque los entornos de software mixto pueden hacer que las reglas no se activen, que no se
creen o actualicen los delitos o que se produzcan errores en los resultados de búsqueda.
Cuando un host gestionado utiliza una versión de software distinta a la de la consola de QRadar, es
posible que pueda ver los componentes que ya estaban asignados al host, pero no podrá configurar el

componente ni añadir o asignar nuevos componentes.
Consideraciones de ancho de banda para hosts gestionados

Para replicar datos de estado y configuración, asegúrese de tener un ancho de banda 100 Mbps como
mínimo entre la consola de IBM Security QRadar y todos los hosts gestionados. El ancho de banda más
elevado es necesario cuando realiza búsquedas en la actividad de registro y de red y tiene más de 10.000
sucesos por segundo (EPS).
Un Recopilador de sucesos configurado para almacenar y reenviar datos a un Procesador de sucesos

reenvía los datos de acuerdo con la planificación que haya definido. Asegúrese de tener suficiente ancho
de banda para cubrir la cantidad de datos que se recopilen, de lo contrario, el dispositivo de reenvío no
podrá mantener el ritmo planificado.
Utilice los métodos siguientes para mitigar las limitaciones de ancho de banda entre centros de datos:
Procese y envíe datos a hosts en el centro de datos primario
Diseñe el despliegue para procesar y enviar datos a medida que se recopilan a hosts del centro de
datos primario donde reside la consola. En este diseño, todas las búsquedas basadas en usuario
consultan los datos del centro de datos local en lugar de esperar a que los sitios remotos
devuelvan datos.
Puede desplegar un recopilador de sucesos de almacén y reenvío, como por ejemplo un
dispositivo QRadar 15XX físico o virtual en ubicaciones remotas para controlar ráfagas de datos
en la red. El ancho de banda se utiliza en las ubicaciones remotas y las búsquedas de datos tienen
lugar en el centro de datos en vez de en la ubicación remota.
No ejecute búsquedas de datos intensivas a través de conexiones con un ancho de banda limitado
Asegúrese de que los usuarios no ejecutan búsquedas de datos intensivas sobre enlaces que
tengan un ancho de banda limitado. Especificar filtros precisos sobre la búsqueda limita la
cantidad de datos que se recuperan de las ubicaciones remotas y reduce el ancho de banda
necesario para devolver los resultados de la consulta.
Cifrado
Para proporcionar una transferencia de datos segura entre cada uno de los dispositivos del entorno, IBM
Security QRadar dispone de soporte integrado de cifrado que utiliza OpenSSH. El cifrado tiene lugar
entre los hosts gestionados: por lo tanto, debe tener al menos un host gestionado para poder habilitar el
cifrado.
Cuando el cifrado está habilitado, se crea un túnel seguro en el cliente que inicia la conexión, utilizando
una conexión de protocolo SSH. Cuando se habilita el cifrado en un host gestionado, se crea el túnel SSH
para todas las aplicaciones cliente del host gestionado. Cuando se habilita el cifrado en un host
gestionado no de consola, se crean túneles de cifrado automáticamente para las bases de datos y otras
conexiones de servicio de soporte a la consola.
Por ejemplo, con el cifrado habilitado en un Procesador de sucesos, la conexión entre el Procesador de
sucesos y el Recopilador de sucesos está cifrada, y la conexión entre el Procesador de sucesos y el
Magistrado está cifrada.
Adición de un host gestionado

Añada hosts gestionados, como por ejemplo recopiladores de sucesos y de flujos y nodos de datos, para
distribuir las actividades de recopilación y procesamiento de datos en el despliegue de IBM Security
QRadar.
Antes de empezar
Asegúrese de que el host gestionado tiene la misma versión y nivel de fixpack de IBM Security QRadar
que de la QRadar Console que utiliza para administrarlo.
Si desea habilitar la conversión de direcciones de red (NAT) para un host gestionado, la red debe utilizar
la conversión NAT estática. Para obtener más información, consulte el apartado “Redes con habilitación
para NAT” en la página 59.
En la tabla siguiente se describen los componentes que desea conectar:

Tabla 13. Conexiones de componentes soportadas
Conexión de origen Conexión de destino Descripción
QRadar QFlow Recopilador de Solo puede conectar un IBM Security QRadar QFlow Collector a un
Collector sucesos Recopilador de sucesos. El número de conexiones no está restringido.
No se puede conectar un QRadar QFlow Collector al Recopilador de

sucesos en un dispositivo 15xx.
Recopilador de Procesador de Puede conectar un Recopilador de sucesos a un solo Procesador de
sucesos sucesos sucesos.
Puede conectar un Recopilador de sucesos no de consola a un

Procesador de sucesos en el mismo sistema.
Una consola de Recopilador de sucesos solo se puede conectar a una

consola de Procesador de sucesos. No se puede eliminar esta
conexión.
Procesador de Procesador de No se puede conectar una consola de Procesador de sucesos a un
sucesos sucesos Procesador de sucesos no de consola.
Puede conectar un Procesador de sucesos no de consola a otro

Procesador de sucesos de consola o no, pero no a ambos a la vez.
Cuando se añade un host gestionado no de consola, el Procesador de

sucesos no de consola se conecta al Procesador de sucesos de consola.
Nodo de datos Procesador de Solo puede conectar un nodo de datos a un procesador de sucesos o
sucesos de flujos. Puede conectar varios Nodos de datos al mismo procesador
para crear un clúster de almacenamiento.
Recopilador de Destino externo El número de conexiones no está restringido.
sucesos
Origen externo Recopilador de El número de conexiones no está restringido.
sucesos
Un Recopilador de sucesos que esté conectado a un dispositivo de
solo sucesos no puede recibir una conexión externa desde hardware
del sistema que tenga habilitada la característica Recibir flujos.
Un Recopilador de sucesos que esté conectado a un dispositivo de

solo QFlow no puede recibir una conexión externa de un sistema
remoto que tenga habilitada la característica Recibir flujos.
Si ha configurado IBM Security QRadar Incident Forensics en el despliegue, puede añadir un host
gestionado de QRadar Incident Forensics. Para obtener más información, consulte la publicación IBM
Security QRadar Incident Forensics Guía de instalación.

Si ha configurado IBM Security QRadar Vulnerability Manager en el despliegue, puede añadir
exploradores de vulnerabilidades y un procesador de vulnerabilidades. Para obtener más información,
consulte la publicación Guía del usuario de IBM Security QRadar Vulnerability Manager.
Si ha configurado IBM Security QRadar Risk Manager en el despliegue, puede añadir un host gestionado.
Para obtener más información, consulte la publicación IBM Security QRadar Risk Manager Installation
Guide.
Procedimiento
4. En el menú Acciones de despliegue, pulse en Añadir host.
5. Configure los valores para el host gestionado proporcionando la dirección IP fija, y la contraseña root
para acceder al shell del sistema operativo en el dispositivo.
6. Pulse Añadir.
7. Opcional: Utilice el menú Acciones de despliegue > Ver despliegue para ver visualizaciones del
despliegue. Puede descargar una imagen PNG o un archivo Microsoft Visio (2010) VDX a la visualización
del despliegue.
Configuración de un host gestionado

Puede configurar un host gestionado para especificar qué roles cumple el host gestionado en el
despliegue. Por ejemplo, puede configurar el host gestionado como un recopilador, como un procesador o
como un nodo de datos. También puede cambiar los valores de cifrado y asignar el host a un grupo de
conversión de direcciones de red (NAT).
Para realizar cambios en la configuración de red, como por ejemplo un cambio de dirección IP, en la
QRadar Console y los sistemas host gestionados después de la instalación del despliegue de QRadar,
utilice el programa de utilidad qchange_netsetup. Para obtener más información sobre los valores de red,
consulte la guía del usuario de su producto.
Antes de empezar
que de la QRadar Console que se utiliza para administrarlo. No puede editar ni eliminar un host
gestionado que utilice una versión diferente de QRadar.
Si desea habilitar la conversión de direcciones de red (NAT) para un host gestionado, la red debe utilizar
la conversión NAT estática. Para obtener más información, consulte el apartado “Redes con habilitación
para NAT” en la página 59.
Procedimiento
4. Seleccione el host en la tabla de hosts y, en el menú Acciones de despliegue, pulse en Editar host.
a. Para crear un túnel de cifrado SSH en el puerto 22 para el host gestionado, seleccione el recuadro
Cifrar conexiones de host.
b. Para configurar el host gestionado para que utilice una red con habilitación para NAT, seleccione
el recuadro Conversión de direcciones de red y configure el Grupo NAT y la Dirección IP
pública.
c. Para configurar los componentes del host gestionado, pulse en el icono Valores de Gestión de
componentes ( ) y configure las opciones.

d. Pulse Guardar.
Eliminación de un host gestionado

Puede eliminar los hosts gestionados no de consola del despliegue. No se puede eliminar un host
gestionado que aloje la consola de IBM Security QRadar .
Antes de empezar
que de la QRadar Console que se utiliza para administrarlo. No puede eliminar un host que se ejecute en
una versión distinta de QRadar.
Procedimiento
4. En el menú Acciones de despliegue, pulse en Eliminar host y después pulse Aceptar.
Yo se puede eliminar un host de QRadar Console.
Configuración del cortafuegos local

Utilice el cortafuegos local para gestionar el acceso l host gestionado de IBM Security QRadar desde
dispositivos específicos externos a la red. Cuando la lista del cortafuegos está vacía, el acceso al host
gestionado está inhabilitado, excepto a través de los puertos que están abiertos de forma predeterminada.
Procedimiento
4. Seleccione el host para el que desea configurar los valores de acceso de cortafuegos.

6. Pulse en la pestaña Cortafuegos y escriba la información del dispositivo que se tiene que conectar al
host.
a. Configure el acceso para dispositivos que están fuera del despliegue y necesitan conectarse a este
host.
b. Añada esta regla de acceso.
7. Pulse Guardar.
Si cambia el parámetro External Flow Source Monitoring Port en la configuración de QFlow,
también debe actualizar la configuración del acceso de cortafuegos.
Configuración del correo electrónico

Puede configurar un servidor de correo electrónico para la distribución de alertas, informes, notificaciones
y mensajes de suceso en IBM Security QRadar.
Al configurar QRadar, éste busca un servidor de retransmisión de correo para utilizar para enviar
mensajes de correo electrónico.
Si configura el valor del servidor de correo como localhost, los mensajes de correo no salen del recuadro
de QRadar.
Procedimiento
4. Seleccione el host para el que desea configurar los valores de correo electrónico.
6. Pulse en la pestaña Servidor de correo electrónico y escriba el nombre de host o la dirección IP del
servidor de correo electrónico que desea utilizar.
Si desea utilizar el servidor de correo electrónico proporcionado por QRadar, teclee localhost para
utilizar el procesamiento de correo electrónico local.
7. Pulse Guardar.
Hacer cambios en su entorno QRadar

Al realizar cambios de configuración en IBM Security QRadar, los cambios se guardan en un área de
transferencia y el banner de despliegue de la pestaña Admin se actualiza para indicar que es necesario
implementar los cambios. La implementación de los cambios puede requerir un reinicio de los servicios
de QRadar.
QRadar tiene dos métodos para implementar cambios: configuración estándar y completa. El tipo de
despliegue necesario depende del tipo de cambios que se hayan realizado.
Implementación estándar
Este método de implementación reinicia únicamente aquellos servicios que están directamente afectados
por los cambios que se han realizado. Para iniciar una implementación estándar, haga clic en
Implementar cambios en el banner de la pestaña Admin.
La lista siguiente muestra algunos ejemplos de cambios que requieren una implementación estándar:
v Añadir o editar un usuario o un rol de usuario nuevos.
v Configurar una contraseña para otro usuario.
v Cambiar el rol de un usuario o su perfil de seguridad.
Implementación de la configuración completa
Los cambios que afecten a todo el despliegue de QRadar deben implementarse utilizando el método de
despliegue de configuración completa. Para comenzar un despliegue de configuración completa, haga clic
en Desplegar configuración completa en el menú Opciones avanzadas de la pestaña Admin.
Este método vuelve a crear todos los archivos de configuración en cada uno de los hosts gestionados.
Para garantizar que la nueva configuración se ha cargado correctamente, todos los servicios de los hosts
gestionados se reinician automáticamente, excepto el servicio de recopilación de sucesos. Mientras se
reinician otros servicios, QRadar continúa recopilando sucesos y los guarda en un almacenamiento
intermedio hasta que los hosts gestionados vuelven a estar en línea.
La lista siguiente muestra algunos ejemplos de cambios que requieren un despliegue de configuración
completa:
v Añadir un host gestionado.
v Cambiar la configuración de un host gestionado.
v Configurar hosts externos para enviar o recibir datos de QRadar Console.
v Restaurar una copia de seguridad de la configuración.
Cambios que afectan a la recopilación de sucesos

Los sucesos entran en QRadar a través del servicio de recopilación de sucesos ecs-ec-ingress. A partir
de QRadar V7.3.1, el servicio se gestiona de forma independiente de otros servicios de QRadar. Para
reducir al máximo las interrupciones en la recopilación de datos de suceso, el servicio no se reinicia
automáticamente cuando se reinicia el servicio hostcontext.
Las siguientes situaciones pueden ocasionar una interrupción en la recopilación de sucesos:

v Arrancar un dispositivo que recopila sucesos.
v Añadir un host gestionado de alta disponibilidad.
v Durante una migración tras error de alta disponibilidad.
v Restaurar una copia de seguridad de la configuración.
v Añadir o eliminar una conexión de origen externo
v Siempre que una partición de uso de disco supera el umbral máximo.
Cuando implemente cambios después de restaurar una copia de seguridad de configuración, puede
reiniciar el servicio de recopilación de sucesos en ese momento o más adelante. Si opta por reiniciar el
servicio más tarde, QRadar implementará todos los cambios que no dependan del servicio de recopilación
de sucesos y seguirá recopilando sucesos mientras se reinician los demás servicios. El banner de
despliegue seguirá mostrando los cambios sin implementar y aparecerá el mensaje Debe reiniciarse el
servicio de recopilación de sucesos cuando vea los detalles.
Despliegue de cambios
Los cambios que se realicen en el despliegue de IBM Security QRadar deben moverse del área de
transferencia al área de producción.
Procedimiento
2. Compruebe el banner de despliegue para determinar si es necesario implementar los cambios.
3. Pulse en Ver detalles para ver información acerca de los cambios de configuración no desplegados.
4. Elija el método de despliegue:

a. Para implementar los cambios y reiniciar solo los servicios afectados, haga clic en Desplegar
cambios en el banner de despliegue.
b. Para volver a crear los archivos de configuración y reiniciar todos los servicios en cada host
gestionado, pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando
el servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente.
Se mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en el
Reinicio del servicio de recopilación de sucesos

Puede haber situaciones en las que desee reiniciar solo el servicio de recopilación de sucesos en todos los
hosts gestionados de su entorno de IBM Security QRadar. Por ejemplo, cuando una nueva versión del
servicio ecs-ec-ingress está disponible para actualizar o cuando aplace el reinicio del servicio durante un
despliegue anterior.
Procedimiento
2. En el menú Avanzado, pulse Reiniciar servicios de recopilación de sucesos.
Nota: La recopilación de sucesos se interrumpirá de forma breve mientras se reinicia el servicio.
Cierre de un sistema
Cuando cierra o concluye un sistema, el dispositivo se apaga. La interfaz de IBM Security QRadar no está
disponible y la recopilación de datos se detiene mientras se concluye el sistema.
Procedimiento
4. Seleccione el sistema que desee cerrar.
5. En el menú Acciones, seleccione Cerrar el sistema.
Reinicio de un sistema
Cuando reinicia un sistema, la interfaz de IBM Security QRadar no está disponible y la recopilación de
datos se detiene mientras se reinicia el sistema.
Procedimiento
3. En la lista Visualizar, seleccione Sistemas.
4. Seleccione el sistema que desee reiniciar.
5. En el menú Acciones, seleccione Reiniciar sistema.
Recopilación de archivos de registro

Los archivos de registro de IBM Security QRadar contienen información detallada sobre el despliegue,
como nombres de host, direcciones IP y direcciones de correo electrónico. Si necesita ayuda para resolver
problemas, puede recopilar los archivos de registro y enviarlos al servicio de soporte de IBM.
Puede recopilar los archivos de registro de uno o más sistemas host al mismo tiempo. Según el tamaño
del despliegue y el número de hosts gestionados, esto puede tardar un tiempo. Los archivos de registro
de la consola de QRadar se incluyen automáticamente en cada recopilación de archivos de registro.
Puede seguir utilizando la consola de QRadar mientras se ejecuta la recopilación de archivos de registro.
Si el sistema está recopilando activamente archivos de registro, no puede iniciar una solicitud de
recopilación nueva. Cancele el proceso de recopilación activo e inicie otra recopilación.
Cuando el proceso de recopilación de archivos de registro finaliza, aparece una notificación del sistema
en el panel de control Supervisión del sistema.
Procedimiento
4. Seleccione los hosts en la tabla de hosts.
5. Pulse Acciones > Recopilar archivos de registro.
6. Pulse Opciones avanzadas y elija las opciones para la recopilación de archivos de registro.
Las recopilaciones de archivos de registro cifrados solamente las pueden descifrar el servicio de
soporte de IBM. Si desea acceder a la recopilación de archivos de registro, no cifre el archivo.
7. Pulse Recopilar archivos de registro.
En Mensajes de actividades de soporte del sistema, un mensaje indica el estado del proceso de
recopilación.
8. Para descargar la recopilación de archivos de registro, espere a recibir la notificación La recopilación
de archivos de registro se ha completado satisfactoriamente y pulse en Pulse aquí para descargar
los archivos .
Cambio de la contraseña de root en QRadar Console

Como procedimiento de seguridad recomendado, cambie la contraseña root en QRadar Console a
intervalos regulares.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar Console como usuario root.
2. Escriba el nombre de usuario y la contraseña para el usuario root.
El nombre de usuario y la contraseña son sensibles a las mayúsculas y minúsculas.
3. Utilice el mandato passwd para cambiar la contraseña.
Restablecimiento de SIM
Después de ajustar el despliegue, evite recibir información adicional de falsos positivos restableciendo la
SIM para eliminar todos los delitos y las direcciones IP de destino de la base de datos y del disco.
El proceso de restablecimiento de SIM puede tardar varios minutos, en función de la cantidad de datos
del sistema. Si intenta ir a otras áreas de la interfaz de usuario de IBM Security QRadar durante el
proceso de restablecimiento de SIM, se visualiza un mensaje de error.

Procedimiento
2. En el menú Avanzado, seleccione Limpiar modelo SIM.
3. Lea la información en la ventana Restablecer modelo de datos SIM .
4. Seleccione una de las siguientes opciones.
Limpieza parcial Cierra todos los delitos de la base de datos. Si selecciona
la opción Limpieza parcial, podrá seleccionar también la
casilla de verificación Desactivar todos los delitos.
Limpieza total Purga todos los datos de SIM actuales e históricos de la
base de datos, incluidos los delitos protegidos, las
direcciones IP de origen y las direcciones IP de destino.
5. Si desea continuar, seleccione la casilla de verificación ¿Está seguro de que desea restablecer el
modelo de datos?.
6. Pulse Continuar.
7. Cuando haya finalizado el proceso de restablecimiento de SIM, pulse Cerrar.
8. Refresque el navegador web.
6 Configurar QRadar
Utilice los valores de la pestaña de administración para configurar el despliegue de IBM Security QRadar,
incluidos la jerarquía de red, las actualizaciones automáticas, los valores del sistema, los grupos de
retención de sucesos, las notificaciones del sistema, los valores de la consola y la gestión de índices.
Jerarquía de red
IBM Security QRadar utiliza los objetos y grupos de jerarquía de red para visualizar la actividad de red y
supervisar los grupos o servicios de la red.
Cuando cree la jerarquía de red, considere el método más eficaz para ver la actividad de red. No es
necesario que la jerarquía de red se parezca al despliegue físico de la red. QRadar da soporte a cualquier
jerarquía de red que pueda definirse mediante un rango de direcciones IP. Puede basar la red en muchas
variables diferentes, incluidas las unidades de negocio o geográficas.
“Actualizaciones de la jerarquía de red en un despliegue multiarrendatario” en la página 239
Los administradores de arrendatarios que tienen el permiso Definir jerarquía de red pueden cambiar la
jerarquía de red dentro de su propio arrendatario.
Directrices para definir la jerarquía de red

La creación de una jerarquía de red en IBM Security QRadar es un primer paso esencial en la
configuración de un despliegue. Sin una jerarquía de red bien configurada, QRadar no puede determinar
las direcciones de flujo, ni crear una base de datos de activos fiable, ni beneficiarse de los bloques de
construcción de las reglas.
Tenga en cuenta las directrices siguientes al definir la jerarquía de red:

v Organice los sistemas y redes por rol o patrones de red similares.
Por ejemplo, puede organizar la red para que incluya grupos para servidores de correo, usuarios de los
departamentos, laboratorios o grupos de desarrollo. Con esta organización, puede diferenciar el
comportamiento de red y aplicar políticas de seguridad de gestión de red basadas en comportamiento.
Sin embargo, no debe agrupar con otros servidores en la red un servidor que tenga un comportamiento
exclusivo. La colocación de un servidor exclusivo sin otros servidores le da mayor visibilidad en
QRadar y facilita crear políticas de seguridad específicas para el servidor.
v Coloque servidores con grandes volúmenes de tráfico, como los servidores de correo, en la parte
superior del grupo. Esta jerarquía le proporciona una representación visual cuando se produce una
discrepancia.
v No configure un grupo de red con más de 15 objetos.
Los grupos de red grandes pueden dificultar ver la información detallada de cada objeto. Si el
despliegue procesa más de 600.000 flujos, considere la posibilidad de crear varios grupos de nivel
superior.
v Ahorre espacio en disco combinando varios CIDR (direccionamiento entre dominios sin uso de clases)
o varias subredes en un solo grupo de red.

Por ejemplo, añada los servidores clave como objetos individuales y agrupe otros servidores
importantes pero relacionados en objetos de varios CIDR.
Tabla 14. Ejemplo de varios CIDR y subredes en un solo grupo de red
Grupo Descripción Direcciones IP
1 Marketing 10.10.5.0/24
2 Ventas 10.10.8.0/21
3 Clúster de base de 10.10.1.3/32
datos
10.10.1.4/32
10.10.1.5/32
v Defina un grupo integral que lo incluya todo para que, cuando defina nuevas redes, se apliquen las
políticas y los supervisores de comportamiento adecuados.
En el ejemplo siguiente si añade una red del departamento de recursos humanos, como por ejemplo
10.10.50.0/24, al grupo Cleveland, el tráfico se visualiza como basado en Cleveland y se aplican de
forma predeterminada las reglas que se aplican al grupo Cleveland.
Tabla 15. Ejemplo de un grupo integral
Grupo Subgrupo Dirección IP
Cleveland Varios - Cleveland 10.10.0.0/16
Cleveland Ventas - Cleveland 10.10.8.0/21
Cleveland Marketing - Cleveland 10.10.1.0/24
v En un entorno habilitado para dominio, asegúrese de que cada dirección IP se asigna al dominio
adecuado.
Valores de CIDR aceptables

IBM Security QRadar acepta valores de CIDR específicos.
En la tabla siguiente se proporciona una lista de los valores de CIDR que QRadar acepta:
Tabla 16. Valores de CIDR aceptables
Longitud de CIDR Máscara Número de redes Hosts
/1 128.0.0.0 128 A 2,147,483,392
/2 192.0.0.0 64 A 1,073,741,696
/3 224.0.0.0 32 A 536,870,848
/4 240.0.0.0 16 A 268,435,424
/5 248.0.0.0 8A 134,217,712
/6 252.0.0.0 4A 67,108,856
/7 254.0.0.0 2A 33,554,428
/8 255.0.0.0 1A 16,777,214
/9 255.128.0.0 128 B 8,388,352
/10 255.192.0.0 64 B 4,194,176
/11 255.224.0.0 32 B 2,097,088
/12 255.240.0.0 16 B 1,048,544
/13 255.248.0.0 8B 524,272
/14 255.252.0.0 4B 262,136

Tabla 16. Valores de CIDR aceptables (continuación)
Longitud de CIDR Máscara Número de redes Hosts
/15 255.254.0.0 2B 131,068
/16 255.255.0.0 1B 65,534
/17 255.255.128.0 128 C 32,512
/18 255.255.192.0 64 C 16,256
/19 255.255.224.0 32 C 8,128
/20 255.255.240.0 16 C 4,064
/21 255.255.248.0 8C 2,032
/22 255.255.252.0 4C 1,016
/23 255.255.254.0 2C 508
/24 255.255.255.0 1C 254
/25 255.255.255.128 2 subredes 124
/26 255.255.255.192 4 subredes 62
/27 255.255.255.224 8 subredes 30
/28 255.255.255.240 16 subredes 14
/29 255.255.255.248 32 subredes 6
/30 255.255.255.252 64 subredes 2
/31 255.255.255.254 ninguno ninguno
/32 255.255.255.255 1/256 C 1
Por ejemplo, una red se llama superred cuando el límite de prefijo contiene menos bits que la máscara
natural (o con clases, "classful") de la red. Por ejemplo, una red se llama subred cuando el límite de
prefijo contiene más bits que la máscara natural de la red:
v 209.60.128.0 es una dirección de red de clase C con una máscara de /24.
v 209.60.128.0 /22 es un superred que produce:
– 209.60.128.0 /24
– 209.60.129.0 /24
– 209.60.130.0 /24
– 209.60.131.0 /24
v 192.0.0.0 /25
Rango de hosts de subred
0 192.0.0.1-192.0.0.126
1 192.0.0.129-192.0.0.254
v 192.0.0.0 /26
0 192.0.0.1 - 192.0.0.62
1 192.0.0.65 - 192.0.0.126
2 192.0.0.129 - 192.0.0.190
3 192.0.0.193 - 192.0.0.254
v 192.0.0.0 /27
0 192.0.0.1 - 192.0.0.30
1 192.0.0.33 - 192.0.0.62
6 Configurar QRadar 79
2 192.0.0.65 - 192.0.0.94
3 192.0.0.97 - 192.0.0.126
4 192.0.0.129 - 192.0.0.158
5 192.0.0.161 - 192.0.0.190
6 192.0.0.193 - 192.0.0.222
7 192.0.0.225 - 192.0.0.254
“Definición de la jerarquía de red”
En IBM Security QRadar se incluye una jerarquía de red predeterminada que contiene grupos de red
predefinidos. Puede editar los objetos predefinidos de la jerarquía de red o puede crear nuevos grupos u
objetos de red.
Definición de la jerarquía de red

En IBM Security QRadar se incluye una jerarquía de red predeterminada que contiene grupos de red
predefinidos. Puede editar los objetos predefinidos de la jerarquía de red o puede crear nuevos grupos u
objetos de red.
Los objetos de red son un contenedor para direcciones CIDR. Cualquier dirección IP cubierta por un
rango CIDR en la jerarquía de red se considera una dirección local. Cualquier dirección IP que no está
definida en un rango CIDR de objetos de red se considera una dirección IP remota. Un CIDR solo puede
pertenecer a un objeto de red aunque subconjuntos de un rango de CIDR pueden pertenecer a otro objeto
de red. El tráfico de red coincide con el CIDR más exacto. Un objeto de red puede tener varios rangos de
CIDR asignados.
Algunos de los bloques y reglas de construcción por omisión de QRadar utilizan los objetos de jerarquía
de red predeterminados. Antes de cambiar un objeto predeterminado de jerarquía de red, busque en las
reglas y en los bloques de construcción para entender cómo se utiliza el objeto y qué reglas y bloques de
construcción pueden requerir ajustes después de modificar el objeto. Es importante mantener la jerarquía
de red, las reglas y los bloques de construcción actualizados para evitar falsos delitos.
Procedimiento
2. En la sección Configuración del sistema, pulse Jerarquía de red.
3. En el árbol de menús de la ventana Vistas de red, seleccione el área de la red en la que desea trabajar.
4. Para añadir objetos de red, siga estos pasos:
a. Pulse Añadir y escriba un nombre exclusivo y una descripción para el objeto.
b. En la lista Grupo, seleccione el grupo en el que desea añadir el nuevo objeto de red.
c. Para añadir un grupo, pulse el icono situado junto a la lista Grupo y escriba un nombre para el
grupo.
d. Escriba el rango CIDR de este objeto y pulse Añadir.
e. Pulse Crear.
f. Repita los pasos para todos los objetos de red.
5. Pulse Editar o Suprimir para trabajar con los objetos de red existentes.
“Valores de CIDR aceptables” en la página 78
IBM Security QRadar acepta valores de CIDR específicos.

Actualizaciones automáticas
Puede actualizar automática o manualmente los archivos de configuración para asegurarse de que los
archivos de configuración contienen la información de seguridad de red más reciente.
Los archivos de configuración actualizados ayudan a eliminar falsos positivos y a proteger el sistema de
los últimos sitios maliciosos, botnets y otra actividad de Internet sospechosa.
Requisitos de actualización automática

La consola de IBM Security QRadar debe estar conectada a Internet para recibir actualizaciones. Si la
consola no está conectada a Internet, debe configurar un servidor de actualizaciones interno para que la
consola descargue los archivos de él.
Los archivos de actualización están disponibles para la descarga manual en IBM Fix Central
(http://www.ibm.com/support/fixcentral).
Para mantener la integridad de la información y la configuración actual, sustituya los archivos de

configuración existentes o integre los archivos actualizados con los archivos existentes.
Después de instalar actualizaciones en la consola y desplegar los cambios, la consola actualiza sus hosts
gestionados.
Descripción de las actualizaciones
Los archivos de actualización pueden incluir las actualizaciones siguientes:

v Actualizaciones de configuración basadas en contenido que incluyen cambios en los archivos de
configuración, vulnerabilidades, correlaciones de QID, scripts de soportabilidad y actualizaciones de
información sobre amenazas de seguridad.
v Actualizaciones de DSM, explorador y protocolo que incluyen correcciones para problemas de análisis,
cambios de explorador y actualizaciones de protocolo.
v Actualizaciones principales, como por ejemplo archivos JAR actualizados o parches de gran tamaño,
que requieren el reinicio del servicio de la interfaz de usuario.
v Actualizaciones menores, como por ejemplo registros de actualización automática diaria o scripts de
correlación de QID, que no reinician el servicio de la interfaz de usuario.
Actualizaciones automáticas para despliegues de alta disponibilidad
Al actualizar los archivos de configuración en un host primario y desplegar los cambios, las
actualizaciones se realizan automáticamente en el host secundario. Si no despliega los cambios, las
actualizaciones se realizan en el host secundario a través de un proceso automatizado que se ejecuta cada
hora.
Frecuencia de las actualizaciones automáticas para las instalaciones nuevas y las

actualizaciones
La frecuencia predeterminada de la actualización automática está determinada por el tipo de instalación y

la versión de QRadar.
v Si actualiza desde versiones de QRadaranteriores a la versión 7.2, el valor de la frecuencia de
actualización seguirá siendo el mismo después de la actualización. De forma predeterminada, la
actualización se establece en semanal, pero puede cambiar manualmente la frecuencia.
v Si instala una instalación nueva de QRadar V7.2 o versiones posteriores, la frecuencia predeterminada
de la actualización es diaria. Puede cambiar manualmente la frecuencia.
“Actualizaciones manuales” en la página 86
Si el despliegue incluye una consola de IBM Security QRadar que no puede acceder a Internet o si desea
gestionar manualmente las actualizaciones del sistema, puede gestionar el proceso de actualización de
forma manual definiendo un servidor de actualización de IBM Security QRadar.
Visualización de actualizaciones pendientes

El sistema está preconfigurado para las actualizaciones automáticas semanales. Puede ver las
actualizaciones pendientes en la ventana Actualizaciones.
El sistema tiene que estar operativo durante suficiente tiempo para recuperar las actualizaciones
semanales. Si no aparece ninguna actualización en la ventana Actualizaciones, el sistema no ha estado en
funcionamiento el tiempo suficiente para recuperar las actualizaciones semanales o bien no se han
emitido actualizaciones. Si esto ocurre, puede comprobar si hay actualizaciones nuevas manualmente.
La barra de herramientas Comprobar si hay actualizaciones proporciona las funciones siguientes:

Tabla 17. Funciones de la barra de herramientas Comprobar si hay actualizaciones
Función Descripción
Ocultar Seleccione una o varias actualizaciones y luego pulse
Ocultar para eliminar las actualizaciones seleccionadas
de la página Comprobar si hay actualizaciones. En la
página Restaurar actualizaciones ocultas pueden verse y
restaurarse las actualizaciones ocultas. Para obtener más
información, consulte el apartado “Restauración de
actualizaciones ocultas” en la página 86.
Instalar Puede instalar las actualizaciones manualmente. Cuando
instale las actualizaciones manualmente, el proceso de
instalación se inicia al cabo de un minuto. Para obtener
más información, consulte el apartado “Instalación
manual de actualizaciones automáticas” en la página 85.
Planificar Puede configurar una fecha y hora específicas para
instalar manualmente las actualizaciones seleccionadas
en la consola. La planificación es útil cuando desea
planificar la instalación de las actualizaciones durante las
horas de menor actividad. Para obtener más información,
consulte el apartado “Planificación de una actualización”
en la página 84.
Anular planificación Puede eliminar las planificaciones preconfiguradas para
instalar manualmente las actualizaciones en la consola.
Para obtener más información, consulte el apartado
“Planificación de una actualización” en la página 84.
Buscar por nombre Puede localizar una actualización concreta por nombre.
Renovación siguiente Este contador muestra la cantidad de tiempo que falta
hasta la próxima renovación automática. La lista de las
actualizaciones en la página Comprobar si hay
actualizaciones se renueva automáticamente cada 60
segundos. El temporizador se pone en pausa
automáticamente cuando se seleccionan una o más
actualizaciones.
Pausa Hace una pausa en el proceso de renovación automática.
Para reanudar la renovación automática, pulse
Reproducir.
Renovar Renueva la lista de actualizaciones.

Procedimiento
2. En la sección Configuración del sistema, pulse Actualización automática.
3. Para ver los detalles sobre una actualización, seleccione la actualización.
Configuración de los valores de actualización automática

Los valores de actualización automática deben personalizarse para cambiar la frecuencia, el tipo de
actualización, la configuración del servidor y la copia de seguridad.
Puede seleccionar Desplegar automáticamente para desplegar las actualizaciones automáticamente. Si no

se selecciona Desplegar automáticamente, debe desplegar los cambios manualmente, en la pestaña Panel
de control, después de que las actualizaciones se hayan instalado.
Restricción: En un entorno de alta disponibilidad (HA), las actualizaciones automáticas no se instalan

cuando un host secundario está activo. Las actualizaciones se instalarán solamente después de que el host
primario se convierta en el nodo activo.
Puede seleccionar Reiniciar servicio automáticamente para permitir las actualizaciones automáticas que
requieren que se reinicie la interfaz de usuario. Se produce una interrupción en la interfaz de usuario
cuando el servicio se reinicia. Como alternativa, puede instalar manualmente la actualización desde la
ventana Comprobar si hay actualizaciones.
Procedimiento
3. Pulse Cambiar valores.
4. En la pestaña Básico, seleccione la planificación de las actualizaciones.
a. En la sección Actualizaciones de configuración, seleccione el método que desea utilizar para
actualizar los archivos de configuración.
v Para fusionar los archivos de configuración existentes con las actualizaciones del servidor sin
afectar a las firmas personalizadas, las entradas personalizadas y las configuraciones de red
remotas, seleccione la opción Integrar automáticamente.
v Para sustituir las personalizaciones con los valores del servidor, seleccione la opción
Actualización automática.
b. En la sección Actualizaciones de DSM, Explorador, Protocolo, seleccione una opción para instalar
las actualizaciones.
c. En la sección Actualizaciones principales, seleccione una opción para recibir las actualizaciones
más importantes para los nuevos releases.
d. En la sección Actualizaciones secundarias, seleccione una opción para recibir los parches
correspondientes a problemas menores del sistema.
e. Si desea desplegar automáticamente los cambios de actualización una vez instaladas las
actualizaciones, seleccione la casilla de verificación Desplegar automáticamente.
f. Si desea reiniciar el servicio de la interfaz de usuario automáticamente después de instalar las
actualizaciones, seleccione la casilla de verificación Reiniciar servicio automáticamente.
5. Haga clic en la pestaña Avanzado para configurar el servidor de actualización y los valores de copia
de seguridad.
a. En el campo Servidor web, escriba el servidor web del cual desea obtener las actualizaciones.
El servidor web predeterminado es https://qmmunity.q1labs.com/.
b. En el campo Directorio, escriba la ubicación del directorio en el que el servidor web almacena las
actualizaciones.
El directorio predeterminado es autoupdates/.
c. Opcional: Configure los valores del servidor proxy.
Si el servidor de aplicaciones utiliza un servidor proxy para conectarse a Internet, debe configurar
el servidor proxy. Si utiliza un proxy autenticado, tendrá que proporcionar el nombre de usuario y
la contraseña para el servidor proxy.
d. Opcional: En el campo Contraseña de proxy, escriba la contraseña para el servidor proxy.
Nota: La contraseña no puede contener caracteres "#" o "?".

e. En la lista Periodo de retención de copia de seguridad, escriba o seleccione el número de días que
desea almacenar los archivos que se sustituyen durante el proceso de actualización.
Los archivos se almacenan en la ubicación que se especifica en Ubicación de copia de seguridad.
El mínimo es un día y el máximo es 65535 años.
f. En el campo Ubicación de copia de seguridad, escriba la ubicación en la que desea almacenar los
archivos de copia de seguridad.
g. En el campo Vía de descarga, escriba la vía de acceso de directorio en la que desea almacenar las
actualizaciones de DSM, secundarias y principales.
La vía de acceso de directorio predeterminada es /store/configservices/staging/updates.
6. Pulse Guardar.
Configuración de actualizaciones tras un servidor proxy que utiliza

intercepción SSL o TLS
Para configurar actualizaciones de IBM Security QRadar tras un servidor proxy, añada el certificado de
autoridad emisora de certificados del servidor proxy al archivo ca-bundle.crt.
Procedimiento
1. Cree una copia de seguridad del archivo ca-bundle.crt en QRadar. Por ejemplo, utilice el mandato de
copia para crear un archivo .bak: cp /etc/ssl/certs/ca-bundle.crt{,bak}.
2. Obtenga el certificado de autoridad emisora de certificados del servidor proxy. Para obtener más
información, consulte la documentación del servidor proxy.
3. Añada el certificado de autoridad emisora de certificados al archivo ca-bundle.crt escribiendo el
mandato siguiente en una sola línea:
openssl x509 -text -in /path/to/proxycert.crt >>
/etc/pki/ca-trust/source/anchors/ca-bundle.qrdr.pem
4. Extraiga el certificado escribiendo el mandato siguiente:
update-ca-trust extract
Planificación de una actualización

Las actualizaciones automáticas se producen en una planificación recurrente de acuerdo con los valores
de la página Actualizar configuración. Para reducir el impacto sobre el rendimiento del sistema,
planifique una actualización grande o un conjunto de actualizaciones para que se ejecuten durante las
horas de menor actividad.
Procedimiento
3. Opcional: Si desea planificar actualizaciones específicas, seleccione las actualizaciones que desea
planificar.

4. En la lista Planificar, seleccione el tipo de actualización que desee planificar.
5. Seleccione en el calendario la fecha de inicio y la hora en la que desea que se inicien las
actualizaciones planificadas.
Borrado de las actualizaciones planificadas

Las actualizaciones planificadas muestran el estado Planificado en el campo Estado. Puede cancelar
cualquier actualización planificada.
Después de borrar la planificación, el estado de la actualización aparece como Nuevo.
Procedimiento
3. Pulse Comprobar actualizaciones.
4. Opcional: Si desea borrar actualizaciones planificadas concretas, seleccione las actualizaciones que
desea borrar.
5. En la lista Anular planificación, seleccione el tipo de actualización planificada que desee borrar.
Cómo comprobar si hay nuevas actualizaciones

IBM proporciona actualizaciones regularmente. De forma predeterminada, la característica Actualización
automática está planificada para descargar e instalar automáticamente las actualizaciones. Si necesita una
actualización en un momento distinto de la planificación preconfigurada, puede descargar nuevas
actualizaciones.
Procedimiento
4. Pulse Obtener nuevas actualizaciones.
Instalación manual de actualizaciones automáticas

IBM proporciona actualizaciones regularmente. De forma predeterminada, las actualizaciones se
descargan y se instalan automáticamente en el sistema. Sin embargo, puede instalar una actualización en
un momento distinto de la planificación preconfigurada.
El sistema recupera las actualizaciones nuevas desde IBM Fix Central (www.ibm.com/support/fixcentral/
). Este proceso puede tardar bastante tiempo. Cuando haya terminado, las actualizaciones nuevas estarán
listadas en la ventana Actualizaciones.
Procedimiento
4. Opcional: Si desea instalar actualizaciones específicas, seleccione las actualizaciones que desea
planificar.
5. En la lista Instalar, seleccione el tipo de actualización que desee instalar.
Visualización del historial de actualizaciones
Tras una instalación de actualización, sea satisfactoria o fallida, dicha actualización se visualiza en la
página Ver historial de actualizaciones.
Procedimiento
3. Pulse Ver historial de actualizaciones.
4. Opcional: En el campo Buscar por nombre puede escribir una palabra clave y luego pulsar Intro para
localizar una actualización concreta por nombre.
5. Para investigar una actualización específica, seleccione dicha actualización.
En el panel derecho de la página Ver historial de actualizaciones se muestran una descripción de la
actualización y los posibles mensajes de error de instalación.
Restauración de actualizaciones ocultas

En la página Comprobar actualizaciones pueden eliminarse actualizaciones. En la página Restaurar
actualizaciones ocultas pueden verse y restaurarse las actualizaciones ocultas.
Procedimiento
3. Pulse Restaurar actualizaciones ocultas.
4. Opcional: Para localizar una actualización por nombre, escriba una palabra clave en el campo Buscar
por nombre y pulse Intro.
5. Seleccione la actualización oculta que desee restaurar.
6. Pulse Restaurar.
Visualización del registro de actualización automática

El registro de actualización automática contiene la actualización automática más reciente ejecutada en el
sistema.
Procedimiento
3. En el menú de navegación, pulse Ver archivo de registro.
Actualizaciones manuales
Si el despliegue incluye una consola de IBM Security QRadar que no puede acceder a Internet o si desea
gestionar manualmente las actualizaciones del sistema, puede gestionar el proceso de actualización de
forma manual definiendo un servidor de actualización de IBM Security QRadar.
El paquete de actualización automática incluye todos los archivos necesarios para configurar
manualmente un servidor de actualizaciones, además de los archivos de configuración del sistema
necesarios para cada actualización. Después de la configuración inicial, solamente tiene que descargar y
descomprimir el paquete de actualización automática más reciente para actualizar la configuración
manualmente.
Puede suscribirse a las notificaciones en IBM Fix Central (www.ibm.com/support/fixcentral/) para

recibir una notificación cuando haya actualizaciones nuevas.

“Actualizaciones automáticas” en la página 81
Puede actualizar automática o manualmente los archivos de configuración para asegurarse de que los
archivos de configuración contienen la información de seguridad de red más reciente.
Configuración de un servidor de actualizaciones

Configure un servidor Apache como servidor de actualizaciones para el despliegue de IBM Security
QRadar.
Antes de empezar
Descargue el paquete de actualización automática de Fix Central (www.ibm.com/support/fixcentral/).

Encontrará los productos QRadar en Grupo de productos de Security Systems.
Procedimiento
1. Acceda al servidor Apache y cree un directorio de actualización llamado autoupdates/.
De forma predeterminada, el directorio de actualización se encuentra en el directorio raíz web del
servidor Apache. Puede colocar el directorio en otra ubicación si configura IBM Security QRadar en
consecuencia.
2. Opcional: Cree una cuenta de usuario y una contraseña de Apache para utilizarlas en el proceso de
actualización.
3. Guarde el archivo de paquete de actualización automática en el servidor Apache en el directorio
autoupdates/ que ha creado.
4. En el servidor Apache, escriba el mandato siguiente para descomprimir el paquete de actualización
automática.
tar -zxf updatepackage-[timestamp].tgz

7. Pulse en Cambiar valores, y pulse en la pestaña Avanzado .
8. En el panel Configuración de servidor, configure los valores del servidor Apache.
a. En el campo Servidor web, escriba la dirección o la vía de acceso del directorio del servidor
Apache.
Si el servidor Apache se ejecuta en puertos no estándar, añada el número de puerto al final de la
dirección. Por ejemplo, escriba https://qmmunity.q1labs.com:8080/.
b. En el campo Directorio, escriba la ubicación del directorio donde el servidor web almacena las
actualizaciones.
El directorio predeterminado es autoupdates/.
c. Opcional: Si el servidor de aplicaciones utiliza un servidor proxy para conectarse a Internet,
escriba el URL en el campo Servidor proxy.
d. Opcional: Si utiliza un proxy autenticado, escriba las credenciales en los campos Nombre de
usuario de proxy y Contraseña de proxy.
9. Pulse Guardar.
11. Inicie, mediante SSH, la sesión en QRadar como usuario root.
12. Escriba el mandato siguiente para configurar el nombre de usuario que ha establecido para el
servidor Apache:
/opt/qradar/bin/UpdateConfs.pl -change_username <username>
13. Escriba el mandato siguiente para configurar la contraseña que ha establecido para el servidor
Apache:
/opt/qradar/bin/UpdateConfs.pl -change_password <password>
14. Para probar el servidor de actualización, escriba el siguiente mandato en una sola línea de texto en
la interfaz de línea de mandatos.
wget -q -O- --no-check-certificate
https://<your update server>/<directory path to updates>/manifest_list
15. Escriba el nombre de usuario y la contraseña.
Configuración de la consola de QRadar como servidor de

actualizaciones
Puede configurar la consola de IBM Security QRadar para que sea el servidor de actualizaciones.
Para configurar la QRadar Console para que sea el servidor de actualizaciones, realice estas tareas:
v Cree un directorio de actualización automática.
v Descargue el paquete de actualización automática de IBM Fix Central.
v Configure IBM Security QRadar para que acepte las actualizaciones automáticas.
Procedimiento
1. Descargue el paquete de actualización automática de Fix Central (www.ibm.com/support/fixcentral/
). Encontrará los productos de QRadar en la lista Grupo de productos de Security Systems de Fix
Central.
2. Guarde el archivo de paquete de actualización automática en QRadar Console en el directorio /tmp/.
3. Inicie la sesión en QRadar como usuario root.
4. Escriba el mandato siguiente para crear el directorio de actualización automática:
mkdir -p /opt/qradar/www/autoupdates/
5. En la consola de QRadar, escriba los mandatos siguientes para descomprimir el paquete de
actualización automática:
cd /opt/qradar/www/autoupdates/
tar -zxf /tmp/<nombre_archivo_actualización_automática>
6. Inicie la sesión en la interfaz de usuario de QRadar.
9. Pulse en Cambiar valores y seleccione la pestaña Avanzado.
10. En el campo Directorio, escriba autoupdates/.
11. En el campo Servidor web, escriba https://localhost/.
12. Pulse Guardar.
Descargar actualizaciones al servidor de actualizaciones

Puede descargar actualizaciones desde Fix Central al servidor de actualizaciones.
Antes de empezar
Debe configurar el servidor de actualizaciones y configurar IBM Security QRadar para que reciba las
actualizaciones procedentes del servidor de actualizaciones.
Procedimiento
1. Descargue el paquete de actualización automática de IBM Fix Central (http://www.ibm.com/
support/fixcentral/).

Encontrará los productos de QRadar en la lista Grupo de productos de Security Systems de Fix
Central.
2. Guarde el archivo de paquete de actualización automática en el servidor de actualizaciones en el
directorio autoupdates/ que ha creado.
3. Escriba el mandato siguiente para descomprimir el paquete de actualización automática:
tar -zxf autoupdate-[timestamp].tgz
4. Inicie la sesión en QRadar como usuario root.
5. Escriba el mandato siguiente para probar el servidor de actualizaciones:
lynx https://<your update server>/<directory path to updates>/manifest_list
6. Escriba el nombre de usuario y la contraseña del servidor de actualizaciones.
Configuración de los valores del sistema

Los valores del sistema especifican cómo están configurados los componentes de sistema de IBM Security
QRadar para un funcionamiento normal.
Procedimiento
2. En la sección Configuración del sistema, pulse Valores del sistema.
3. Configure los valores del sistema. Pulse el botón Ayuda para ver descripciones de los valores.
4. Pulse Guardar.
5. En la pestaña Admin, seleccione Avanzado > Desplegar configuración completa.
Personalización del menú contextual

Para ofrecer acceso rápido a funciones relacionadas con direcciones IP, personalice las opciones de plug-in
en el menú que aparece al pulsar el botón derecho del ratón de direcciones IP. Por ejemplo, puede añadir
más elementos de menú, como una opción para buscar la dirección IP en una base de datos de
información sobre amenazas.

El archivo ip_context_menu.xml controla las opciones disponibles en el menú que aparece al pulsar el
botón derecho del ratón y acepta elementos XML menuEntry. Para añadir más opciones, añada un
elemento menuEntry para cada opción al pulsar el botón derecho (del ratón) que desee añadir. El sintaxis
del elemento menuEntry es:
<menuEntry name="{Name}" description="{Description}" url="{URL}"
requiredCapabilities="{Required Capabilities}"/>
<menuEntry name="{Name}" description="{Description}"
exec="{Command}" requiredCapabilities="{Required Capabilities}"/>
En la lista siguiente se describen los atributos del elemento menuEntry:

Nombre
Texto que se visualiza en el menú contextual.
Descripción
Descripción de la entrada. El texto descriptivo se visualiza en la ayuda contextual
correspondiente a la opción de menú. La descripción es opcional.
URL Especifica la dirección Web que se abre en una ventana nueva.
Puede utilizar el marcador de posición %IP% para representar la dirección IP. El carácter de
ampersand (&), el signo de menor que (<) y el signo de mayor que (>) necesitan los caracteres de
escape &, < y > respectivamente.
Por ejemplo, para pasar un URL con varios parámetros que incluyen un marcador para la
dirección IP, puede utilizar esta sintaxis: url="/lookup?&ip=%IP%;force=true"
Mandato
Mandato que desea ejecutar en la consola de IBM Security QRadar. La salida del mandato se
visualiza en una ventana nueva. Utilice el marcador de posición %IP% para representar la
dirección IP seleccionada.
Capacidades necesarias
Capacidades, como, por ejemplo, "ADMIN", que el usuario debe tener antes de seleccionar esta
opción (delimitada por comas). Si el usuario no tiene todas las capacidades que figuran en la
lista, las entradas no se visualizan. Las capacidades necesarias es un campo opcional. Para
obtener más información sobre la las capacidades necesarias, consulte la IBM Security QRadar
Application Framework Developer Quick Start Guide.
El archivo editado debe ser similar al ejemplo siguiente:

<?xml version="1.0" encoding="UTF-8"?>
<!- Este es un archivo de configuración para añadir acciones personalizadas al
menú que aparece al pulsar el botón derecho del ratón en la dirección IP. Las
entradas deben tener uno de
los formatos siguientes: -->
<contextMenu>
<menuEntry name="Traceroute" exec="/usr/sbin/traceroute %IP%" />
<menuEntry name="External ARIN Lookup"
url="http://ws.arin.net/whois/?queryinput=%IP%" />
</contextMenu>
Procedimiento
1. Utilizando SSH, inicie la sesión en QRadar Console como usuario root.
2. En el QRadar Console, si el archivo ip_context_menu.xml no existe en /opt/qradar/conf, copie el
archivo ip_context_menu.xml procedente del directorio /opt/qradar/conf/templates en el directorio
/opt/qradar/conf.
3. Abra el archivo /opt/qradar/conf/ip_context_menu.xml para su edición.
4. Edite el archivo para añadir, modificar o eliminar elementos XML menuEntry.
5. Guarde y cierre el archivo.
6. Para aplicar estos cambios, reinicie la GUI de QRadar escribiendo el siguiente mandato:
systemctl restart tomcat
Mejora del menú contextual para las columnas de sucesos y flujos

Puede añadir más acciones a las opciones del menú contextual que están disponibles en las columnas de
la tabla Actividad de registro o la tabla Actividad de red. Por ejemplo, puede añadir una opción para
ver más información acerca de la IP de origen o la IP de destino.
Puede pasar al URL o al script cualquier dato que esté en el suceso o en el flujo.
Procedimiento
1. Utilizando SSH, inicie la sesión en el dispositivo de QRadar Console como usuario root.
2. Vaya al directorio /opt/qradar/conf y cree un archivo que se llame arielRightClick.properties.
3. Edite el archivo /opt/qradar/conf/arielRightClick.properties. Utilice la tabla siguiente para
especificar los parámetros que determinan las opciones del menú contextual.

Tabla 18. Descripción de los parámetros de archivo arielRightClick.properties
Parámetro Requisito Descripción Ejemplo
pluginActions Obligatorio Indica una acción de script o URL.
arielProperty Obligatorio Especifica la columna, o nombre de sourceIP
campo de Ariel, para la cual está
habilitado el menú contextual. sourcePort
destinationIP
qid
text Obligatorio Especifica el texto que se visualiza en Búsqueda de Google
el menú contextual.
useFormattedValue Opcional Especifica si los valores con formato Si el parámetro está establecido en true
se pasan al script. para la propiedad de nombre de suceso
(QID), el nombre de suceso del QID se
Se establece en true para garantizar pasa al script.
que se pase el valor con formato de
los atributos, como username y Si el parámetro está establecido en false,
payload. Los valores con formato son se pasa al script el valor del QID sin
más fáciles de leer para los formato (en bruto).
administradores que los valores sin
formato.
url Necesario para Especifica el URL, que se abre en una sourceIPwebUrlAction.url=
acceder a un URL ventana nueva, y los parámetros que http://www.mywebsite.com?
se pasan al URL. q=$sourceIP$
Utilice este formato:

$nombre_campo_Ariel$
command Necesario si la Especifica la vía de acceso absoluta destinationPortScript
acción es un del archivo de script o mandato. Action.command=/bin/echo
mandato
arguments Necesario si la Especifica los datos que se pasan al destinationPortScript
acción es un script. Action.arguments=$qid$
mandato
Utilice el formato siguiente:
$nombre_campo_Ariel$
Para cada uno de los nombres de clave que se especifican en la lista pluginActions, defina la acción
mediante el uso de una clave con el formato nombre de clave, propiedad.
5. Inicie la sesión en la interfaz de usuario de QRadar.
7. Pulse Avanzado > Reiniciar el servidor web.
Ejemplo
En el ejemplo siguiente se muestra cómo añadir Probar URL como una opción del menú contextual para
las direcciones IP de origen.
pluginActions=sourceIPwebUrlAction
sourceIPwebUrlAction.arielProperty=sourceIP
sourceIPwebUrlAction.text=Probar URL
sourceIPwebUrlAction.url=http://www.mywebsite.com?q=$sourceIP$
En el ejemplo siguiente se muestra cómo habilitar la acción de script para los puertos de destino.
pluginActions=destinationPortScriptAction
destinationPortScriptAction.arielProperty=destinationPort
destinationPortScriptAction.text=Probar mandato sin formato
destinationPortScriptAction.useFormattedValue=false
destinationPortScriptAction.command=/bin/echo
destinationPortScriptAction.arguments=$qid$
En el ejemplo siguiente se muestra la adición de varios parámetros a una acción de script o URL.
pluginActions=qidwebUrlAction,sourcePortScriptAction
qidwebUrlAction.arielProperty=qid,device,eventCount
qidwebUrlAction.text=Búsqueda de Google
qidwebUrlAction.url=http://www.google.com?q=$qid$-$device$-$eventCount$
sourcePortScriptAction.arielProperty=sourcePort
sourcePortScriptAction.text=Mandato sin formato de puerto
sourcePortScriptAction.useFormattedValue=true
sourcePortScriptAction.command=/bin/echo
sourcePortScriptAction.arguments=$qid$-$sourcePort$-$device$-$CONTEXT$
Visión general de los valores de retención de activos

Información adicional sobre el periodo, en días, durante el cual desea almacenar la información de perfil
de activo.
v Se efectúan comprobaciones de los umbrales de retención para los activos a intervalos regulares. De
forma predeterminada, el intervalo de limpieza es de 12 horas.
v Todos los periodos de retención especificados son relativos a la última fecha de visualización de la
información, independientemente de si la información fue vista por última vez por un explorador u
observada de forma pasiva por el sistema.
v La información de activos se suprime a medida que caduca, lo que significa que, tras un intervalo de
limpieza, se conserva toda la información de activos que está dentro de su umbral de retención
correspondiente.
v De forma predeterminada, se conservan los activos que están asociados con las vulnerabilidades no
remediadas (tal como las detecta IBM Security QRadar Vulnerability Manager u otro explorador).
v Los activos siempre pueden suprimirse manualmente a través de la interfaz de usuario.
Tabla 19. Componentes de activo
Componente de activo Retención predeterminada (en días) Notas
Dirección IP 120 días De forma predeterminada, las
direcciones IP proporcionadas por el
usuario se conservan hasta que se
suprimen manualmente.
Direcciones MAC (interfaces) 120 días De forma predeterminada, las
interfaces proporcionadas por el
Nombres de host de DNS y NetBIOS 120 días De forma predeterminada, los
nombres de host proporcionados por
el usuario se conservan hasta que se

Tabla 19. Componentes de activo (continuación)
Componente de activo Retención predeterminada (en días) Notas
Propiedades de activos 120 días De forma predeterminada, las
direcciones IP proporcionadas por el
Las propiedades de activos a las que

puede afectar este valor son Nombre,
Nombre unificado, Peso,
Descripción, Propietario del negocio,
Contacto profesional, Propietario
técnico, Contacto técnico, Ubicación,
Fiabilidad de detección, AP
inalámbrico, SSID inalámbrico, ID
de conmutador, ID de puerto de
conmutador, Requisito de
confidencialidad de CVSS,
Requisito de integridad de CVSS,
Requisito de disponibilidad de
CVSS, Potencial de daños
colaterales de CVSS, Usuario
técnico, SO proporcionado por el
usuario, Tipo de alteración temporal
de SO, ID de alteración temporal de
SO, Ampliado, Riesgo de CVSS
anterior (Pre-7.2), VLAN y Tipo de
activo.
Productos de activo 120 días De forma predeterminada, los
productos proporcionados por el
Los productos de activos incluyen SO

de activo, Aplicaciones instaladas de
activos y productos que están
asociados con puertos de activo
abiertos
Puertos abiertos de activo 120 días
Grupo de NetBIOS de activo 120 días Los grupos de NetBIOS raramente se
utilizan, y muchos clientes
desconocen su existencia. En los
casos en los que se utilizan, se
suprimen transcurridos 120 días.
Aplicación de cliente de activo 120 días Las aplicaciones cliente todavía no se
han incluido en la interfaz de
usuario. Este valor se puede pasar
por alto.
Usuarios de activo 30 días
Añadir o editar un mensaje de inicio de sesión de QRadar

Cree un mensaje de inicio de sesión o edite uno existente en la Consola de IBM Security QRadar.
Procedimiento
3. Pulse Valores de autenticación.
4. Para editar el mensaje de inicio de sesión, pulse Editar en el campo Mensaje de inicio de sesión.
a. Escriba el mensaje en la ventana Editar mensaje de inicio de sesión.
b. Para obligar a los usuarios a aceptar el mensaje de inicio de sesión antes de iniciar sesión,
seleccione la casilla de verificación.
c. Pulse Guardar.
El mensaje de inicio de sesión se guarda en el archivo opt/qradar/conf/LoginMessage.txt.
Nota: También puede cargar el archivo LoginMessage.txt en el directorio opt/qradar/conf/.

6. Para ver los cambios, salga de QRadar.
Certificados de servidor IF-MAP

La respuesta de la regla Interfaz para puntos de acceso de metadatos (IF-MAP) habilita a la consola de
IBM Security QRadar para publicar datos de alertas y delitos derivados de sucesos, flujos y delitos a un
servidor IF-MAP.
Para poder configurar la autenticación de IF-MAP en la ventana Valores del sistema, debe configurar el
certificado de servidor IF-MAP.
Configuración del certificado del servidor IF-MAP para la autenticación

básica
Esta tarea proporciona instrucciones para la configuración del certificado de IF-MAP para la autenticación
básica.
Antes de empezar
Póngase en contacto con el administrador del servidor IF-MAP para obtener una copia del certificado
público del servidor IF-MAP. El certificado debe tener la extensión de archivo .cert.
Procedimiento
1. Inicie, mediante SSH, la sesión en IBM Security QRadar como usuario root.
2. Copie el certificado en el directorio /opt/qradar/conf/trusted_certificates.
Configuración del certificado del servidor IF-MAP para la autenticación

mutua
La autenticación mutua requiere la configuración del certificado en la consola de IBM Security QRadar y
en el servidor IF-MAP.
Esta tarea proporciona los pasos para configurar el certificado en la consola de QRadar. Para obtener
ayuda para configurar el certificado en el servidor IF-MAP, póngase en contacto con el administrador del
servidor IF-MAP.
Antes de empezar
Póngase en contacto con el administrador del servidor IF-MAP para obtener una copia del certificado
público del servidor IF-MAP. El certificado debe tener la extensión de archivo .cert.

Procedimiento
2. Acceda al certificado en el directorio /opt/qradar/conf/trusted_certificates.
3. Copie el certificado intermedio SSL y el certificado raíz Verisign SSL en el servidor IF-MAP como
certificados de entidad emisora de certificados. Para obtener ayuda, póngase en contacto con el
administrador del servidor IF-MAP.
4. Escriba el mandato siguiente para crear el archivo de estándares de criptografía de clave pública
(PCKS - Public-Key Cryptography Standards) con la extensión de archivo .pkcs12:
openssl pkcs12 -export -inkey <private_key> -in <certificate> -out
<pkcs12_filename.pkcs12> -name "IFMAP Client"
5. Escriba el mandato siguiente para copiar el archivo pkcs12 al directorio /opt/qradar/conf/
key_certificates:
cp <pkcs12_filename.pkcs12> /opt/qradar/conf/key_certificates
6. Cree un cliente en el servidor IF-MAP con la autenticación de certificado y cargue el certificado SSL.
Para obtener ayuda, póngase en contacto con el administrador del servidor IF-MAP.
7. Escriba el mandato siguiente para cambiar los permisos del directorio:
chmod 755 /opt/qradar/conf/trusted_certificates
chmod 644 /opt/qradar/conf/trusted_certificates/*.cert
8. Escriba el mandato siguiente para reiniciar el servicio de Tomcat:
systemctl restart tomcat
Sustitución de los certificados SSL en productos QRadar

De forma predeterminada, IBM Security QRadar se configura con un certificado SSL (Security Sockets
Layer) autofirmado. Cuando utiliza un certificado autofirmado para acceder a la web, se le indica con un
mensaje de aviso que no se reconoce el certificado. Puede sustituir este certificado SSL por un certificado
actualizado autofirmado, firmado por una entidad emisora de certificados internos (CA) o firmado por
una entidad emisora de certificados (CA) pública.
Visión general de los certificados SSL
SSL es un protocolo de privacidad de comunicaciones que permite a las aplicaciones de cliente/servidor

comunicarse de una forma diseñada para impedir las escuchas no deseadas, la manipulación indebida y
la falsificación de mensajes.
SSL es un estándar del sector que se utiliza en los sitios web para proteger las transacciones en línea.
Para generar un enlace SSL, un servidor web necesita un certificado SSL. Los certificados SSL los emiten
las entidades de certificación de terceros de confianza.
Raíz de confianza
Los navegadores y los sistemas operativos incluyen una lista preinstalada de certificados de confianza,
que se instala en el almacén de entidades de certificación de raíz de confianza.
Tabla 20. Certificados soportados por QRadar
Certificado Descripción
Autofirmado Un certificado autofirmado proporciona una seguridad
básica, que permite el cifrado de datos entre el usuario y
la aplicación. Como los certificados autofirmados no
pueden autenticarse con ninguna entidad emisora de
certificados raíz conocida existente, se avisa a los
usuarios de este certificado desconocido y deben
aceptarlo para poder continuar.
Tabla 20. Certificados soportados por QRadar (continuación)
Certificado Descripción
Firmado de CA interna Las organizaciones que tienen su propia CA raíz interna
pueden crear un certificado utilizando dicha CA interna.
Este certificado está soportado por QRadar y la CA raíz
interna se importa también al entorno de QRadar.
Firmado de CA pública/CA intermedia Los certificados firmados por las CA públicas conocidas
y los certificados intermedios están soportados por
QRadar. Los certificados firmados públicos se pueden
utilizar directamente en QRadar y los certificados
firmados por una CA intermedia se instalan utilizando el
certificado firmado y el certificado intermedio para
proporcionar funciones de certificado válidas.
Nota: Normalmente, las organizaciones utilizan un

certificado intermedio para crear varias claves SSL en su
entorno que desean que estén firmadas por un proveedor
de certificados conocido o comercial. Cuando utilizan la
clave intermedia pueden crear subclaves a partir de esta
clave intermedia. Cuando se utiliza esta configuración, se
debe configurar QRadar con el certificado intermedio y
con el certificado SSL de host, de modo que las
conexiones con el host puedan verificar la vía de acceso
completa del certificado.
Conexiones SSL entre los componentes de QRadar
Para establecer todas las conexiones SSL internas entre los componentes, QRadar utiliza el certificado de
servidor web que está preinstalado en la consola de QRadar. Cuando se sustituye el certificado
preinstalado, el proceso de instalación copia el certificado en todos los hosts gestionados en el despliegue,
excepto en los dispositivos de QRadar Incident Forensics.
Todos los certificados de confianza para QRadar deben cumplir los requisitos siguientes:
v El certificado debe ser un certificado X.509 y tener una codificación PEM base64.
v El certificado debe tener una extensión de archivo .cert, .crt, .pem o .der.
v Los archivos de almacén de claves que contienen certificados deben tener la extensión .truststore.
v El archivo de certificado debe estar almacenado en el directorio /opt/qradar/conf/
trusted_certificates.
Importante: Si es cliente de IBM Security QRadar Incident Forensics, póngase en contacto con el servicio
de Soporte al cliente (www.ibm.com/support/) para obtener asistencia para instalar o actualizar su
certificado SSL personalizado en el almacén de claves de QRadar Incident Forensics.
Si se configura la clave SSL con una contraseña, se debe especificar manualmente cada vez que se reinicia
el servicio. Con esta configuración, el servicio de la interfaz de usuario web no estará disponible hasta
que se especifique la contraseña, por ejemplo, durante la instalación de un parche de QRadar, una
migración tras error de alta disponibilidad o un reinicio del sistema. En este caso, los usuarios no pueden
iniciar sesión y los hosts gestionados por QRadar no pueden recuperar las actualizaciones de la
configuración, el origen del registro de informes y los mensajes de estado del almacenamiento de datos y
las reglas hasta que el servicio web esté disponible.
Creación de una solicitud de firma de certificado SSL con claves RSA de 2048 bits
1. Utilice SSH para iniciar la sesión en la consola de QRadar.
2. Genere un archivo de claves privadas utilizando el mandato siguiente:

openssl genrsa -out qradar.key 2048
Nota: No utilice las opciones de cifrado privadas porque pueden generar problemas de
compatibilidad.
El archivo qradar.key se crea en el directorio actual. Conserve este archivo para utilizarlo cuando
instale el certificado.
3. Genere el archivo de solicitud de solicitud de firma de certificado (CSR). El archivo qradar.csr se
utiliza para crear el certificado SSL con una entidad emisora de certificados (CA) interna o comercial.
Ejecute el mandato siguiente y proporcione la información necesaria, como se le solicite:
openssl req -new -key qradar.key -out qradar.csr
Salida de ejemplo:
Proporcione la información siguiente solicitada en la línea de mandatos:
[root@qradar ~]# openssl genrsa -out qradar.key 2048
Generando clave privada de RSA, módulo de 2048 bits
........................................+++
..........................+++
e is 65537 (0x10001)
[root@bluecar ~]# openssl req -new -key qradar.key -out qradar.csr
Se le solicitará información que se incorporará
a su solicitud de certificado.
Está a punto de entrar un nombre distinguido o DN.
Puede dejar en blanco algunos campos
Algunos campos tendrán un valor predeterminado,
Si escribe ’.’, el campo se deja en blanco.
-----
Nombre de país (código de dos 2 letras) [XX]:US
Estado o provincia (nombre completo) []:MyState
Localidad (por ejemplo, city) [Predeterminado City]:MyCity
Nombre de organización (por ejemplo, company) [Predeterminado Company Ltd]:MyCompany
Nombre unidad organizativa (por ejemplo, departamento) []:MyCompanyOrg
Nombre común (por ejemplo, su nombre o el host del servidor) []:qradar.mycompany.com
Dirección de correo electrónico []:email@mycompany.com
Escriba los siguientes atributos adicionales

que se enviarán con su solicitud de certificado
Una contraseña de desafío []:
Un nombre de empresa opcional []:
[root@bluecar ~]#
4. Si desea verificar la información del CSR antes de enviarlo, puede escribir el mandato siguiente:
openssl req -noout -text -in qradar.csr
Si se ha especificado información incorrecta, vuelva a ejecutar el mandato OpenSSL para crear de
nuevo el archivo CSR.
5. Utilice el SFTP (Secure File Transfer Protocol) u otro programa para copiar de forma segura el archivo
CSR en su sistema.
6. Envíe el CSR a su entidad emisora de certificados interna o comercial para que lo firme según sus
instrucciones.
Nota: El CSR se identifica como un certificado en formato Apache.
Certificados firmados por una entidad emisora de certificados interna
Si el certificado lo emite una entidad emisora de certificados y no un proveedor de certificados comercial,

se debe actualizar QRadar para que incluya el certificado raíz interno en el almacén de certificados, de
modo que se pueda validar correctamente el certificado. Los certificados de verificación raíz se incluyen
automáticamente con el sistema operativo.
Para actualizar el almacén de certificados raíz de anclas de confianza en RedHat:

1. Copie el certificado raíz de la CA en /etc/pki/ca-trust/source/anchors/.
2. Ejecute el mandato siguiente en la línea de mandatos SSH:
update-ca-trust
Instalación de un nuevo certificado SSL en la consola de QRadar

Antes de empezar
Debe tener lo siguiente:

v El certificado recién firmado por la CA interna o uno público.
v La clave privada qradar.key para generar el archivo CSR.
v Un certificado intermedio, si lo utiliza su proveedor de certificados.
Nota: Si se utiliza un certificado intermedio, ejecute el mandato "install-ssl-cert.sh" con el distintivo -i

para instalar el nuevo certificado y el certificado intermedio. Cuando se utiliza, se solicitan 3 vías de
acceso a archivo:
– SSLCertifficateFile
– SSLIntermediateCertificateFile
– SSLCertificateKeyFile
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar como usuario root.
2. Instale el certificado escribiendo el mandato siguiente:
[root@qavm215 ~]# /opt/qradar/bin/install-ssl-cert.sh
Ruta a archivo de clave pública (SSLCertificateFile): /root/new.certs/cert.cert
Ruta a archivo de clave privada (SSLCertificateKeyFile): /root/new.certs/cert.key
Salida de ejemplo:
Ha especificado lo siguiente:
SSLCertificateFile of /root/updated.certs/cert.cert
SSLCertificateKeyFile of /root/updated.certs/cert.key
Reconfigurar Apache ahora (incluye el reinicio de httpd) (Y/[N])? y

Copia de seguridad de configuración SSL actual ... (OK)
Instalando certificado SSL de usuario... (OK)
Recargando configuración httpd:
- Reiniciando servicio httpd ... (OK)
Reiniciando servicios:
- Deteniendo contexto de host ... (OK)
- Reiniciando Tomcat ... (OK)
- Iniciando contexto de host ... (OK)
Tue Sep 19 14:45:57 ADT 2017 [install-ssl-cert.sh] OK: Se ha completado la instalación del certificado SSL
[root@qavm215 ~]#

4. Pulse Avanzado > Desplegar configuración completa
Nota: Cuando despliega la configuración completa, QRadar reinicia todos los servicios. La
recopilación de datos para sucesos y flujos se detiene hasta que finaliza el despliegue.
Resolución de problemas
Si tiene problemas con el certificado, tal como un nombre o dirección IP incorrectos, o si ha transcurrido
la fecha de caducidad o existe un cambio de IP o nombre de host en su consola, puede optar por revertir
a un certificado autofirmado.
Para generar un certificado autofirmado, siga estos pasos en la consola de QRadar:

1. Realice una copia de seguridad de los certificados instalados previamente que no funcionan. Cuando
ejecuta la generación de certificados, se detectan los certificados existentes y se informa acerca de los
mismos, lo que hace que se detenga el proceso de generación.
mkdir /root/backup.certs/
mv /etc/httpd/conf/certs/cert.* /root/backup.certs/
2. Ejecute el mandato /opt/qradar/bin/install-ssl-cert.sh –generate para generar nuevos certificados. Este
proceso también se utiliza durante la instalación de QRadar para generar el certificado SSL inicial.
[root@qavm215 certs]# /opt/qradar/bin/install-ssl-cert.sh --generate
Generando certificado SSL autofirmado ... (OK)
Instalando certificado SSL autofirmado ... (OK)
Tue Sep 19 14:00:42 ADT 2017 [install-ssl-cert.sh] OK:
El certificado SSL generado se ha instalado correctamente
[root@qavm215 certs]#
3. Mueva los certificados que se acaban de generar a un directorio nuevo. Utilice el script
install-ssl-certs.sh en modalidad de instalación para instalar y distribuir los nuevos certificados
SSL.
[root@qavm215 ~]# mkdir /root/updated.certs/
[root@qavm215 ~]# mv /etc/httpd/conf/certs/cert.* /root/updated.certs/
[root@qavm215 ~]# /opt/qradar/bin/install-ssl-cert.sh
Ruta a archivo de clave pública (SSLCertificateFile): /root/updated.certs/cert.cert
Ruta a archivo de clave privada (SSLCertificateKeyFile): /root/updated.certs/cert.key
Ha especificado lo siguiente:
SSLCertificateFile of /root/updated.certs/cert.cert
SSLCertificateKeyFile of /root/updated.certs/cert.key
Reconfigurar Apache ahora (incluye el reinicio de httpd) (Y/[N])? y

Copia de seguridad de configuración SSL actual ... (OK)
Instalando certificado SSL de usuario... (OK)
Recargando configuración httpd:
- Reiniciando servicio httpd ... (OK)
Reiniciando servicios:
- Deteniendo contexto de host ... (OK)
- Reiniciando Tomcat ... (OK)
- Iniciando contexto de host ... (OK)
Tue Sep 19 14:45:57 ADT 2017 [install-ssl-cert.sh] OK:
Se ha completado la instalación del certificado SSL
[root@qavm215 ~]#
Direccionamiento IPv6 en los despliegues de QRadar

El direccionamiento IPv4 e IPv6 está soportado para la conectividad de red y la gestión de los
dispositivos y el software de IBM Security QRadar. Cuando se instala QRadar, se le solicitará que
especifique si el protocolo Internet es IPv4 o IPv6.
Componentes de QRadar que dan soporte al direccionamiento IPv6
Los componentes de QRadar siguientes admiten el direccionamiento IPv6.

Pestaña Actividad de red
Puesto que Dirección de origen - IPv6 y Dirección de destino - IPv6 no son columnas
predeterminadas, no se visualizan de forma automática. Para visualizar estas columnas, debe
seleccionarlas al configurar los parámetros de búsqueda (definición de columna).
Para ahorrar espacio y reducir la indexación en un entorno de origen IPv4 o IPv6, los campos de
dirección IP adicionales no se almacenan ni se visualizan. En un entorno mixto IPv4 e IPv6, un
registro de flujo contiene las direcciones IPv4 e IPv6.
Las direcciones IPv6 están soportadas tanto para los datos de paquete, incluido sFlow, como para
los datos de NetFlow V9. Sin embargo, las versiones anteriores de NetFlow podrían no dar
soporte a IPv6.
Pestaña Actividad de registro
Puesto que Dirección de origen - IPv6 y Dirección de destino - IPv6 no son columnas
predeterminadas, no se visualizan de forma automática. Para visualizar estas columnas, debe
seleccionarlas al configurar los parámetros de búsqueda (definición de columna).
Los DSM pueden analizar las direcciones IPv6 a partir de la carga útil de suceso. Si algún DSM
no puede analizar las direcciones IPv6, puede analizarlas una extensión de origen de registro.
Para obtener más información sobre las extensiones de origen de registro, consulte la publicación
DSM Configuration Guide.
Búsqueda, agrupación y creación de informes sobre los campos de IPv6
Puede buscar sucesos y flujos mediante los parámetros de IPv6 en los criterios de búsqueda.
También puede agrupar y ordenar registros de sucesos y flujos que están basados en parámetros
de IPv6.
Puede crear informes que se basen en datos procedentes de las búsquedas basadas en IPv6.
Reglas personalizadas
En las reglas personalizadas y los componentes básicos, los parámetros IP soportan direcciones
IPv4 e IPv6, a menos que los parámetros estén etiquetados como una cosa u otra, por ejemplo,
SRC IPv6 solo da soporte a direcciones IPv6.
Módulos de soporte de dispositivos (DSM)
Los DSM pueden analizar la dirección IPv6 de origen y de destino de las cargas útiles de sucesos.
Despliegue de QRadar en entornos IPv6 o mixtos
Para iniciar la sesión en QRadar en un entorno IPv6 o mixto, escriba la dirección IP entre corchetes. Por
ejemplo, https://[<IP Address>]
Ambos entornos IPv4 e IPv6 pueden utilizar un archivo hosts para la conversión de direcciones. En un
entorno IPv6 o mixto, el cliente resuelve la dirección de la consola por su nombre de host. Debe añadir la
dirección IP de la consola IPv6 al archivo /etc/hosts en el cliente.
Los orígenes de flujo, como NetFlow y sFlow, se aceptan desde direcciones IPv4 e IPv6.Los orígenes de
sucesos, como syslog y SNMP, se aceptan desde direcciones IPv4 e IPv6. Puede inhabilitar los superflujos
y el empaquetado de flujos en un entorno IPv6.
Restricción: De forma predeterminada, no puede añadir un host gestionado solo IPv4 a una consola IPv6
y de modalidad mixta IPv4. Debe ejecutar un script para habilitar un host gestionado solo IPv4.
Limitaciones del direccionamiento IPv6
Cuando QRadar se despliega en un entorno IPv6, existen las limitaciones siguientes:

v Algunas partes del despliegue de QRadar no utilizan las ventajas de la jerarquía de red habilitada para
IPv6, incluidas las funciones de vigilancia, búsqueda y análisis.
v No se comprueban los perfiles de host en las reglas personalizadas de las direcciones IPv6.
v No hay optimización ni indexación especializada de las direcciones IPv6.

Instalación de un host gestionado solo IPv4 en un entorno mixto
De forma predeterminada, en los productos de IBM Security QRadar no puede añadir un host gestionado
solo IPv4 a una consola IPv6 y de modalidad mixta IPv4. Debe ejecutar un script para habilitar un host
gestionado solo IPv4.
Procedimiento
1. Instale la consola de IBM Security QRadar seleccionando el direccionamiento IPv6.
2. Después de la instalación, en QRadar Console, escriba el mandato siguiente:
/opt/qradar/bin/setup_v6v4_console.sh
3. Para añadir un host gestionado IPv4, escriba el mandato siguiente:
/opt/qradar/bin/add_v6v4_host.sh
4. Añada el host gestionado mediante el editor de despliegue.
Ejemplos de reglas de iptables avanzadas

Puede configurar las reglas de iptables para controlar mejor el acceso a QRadar, restringir orígenes de
datos de entrada y redirigir el tráfico. Los ejemplos siguientes pueden ayudarle a conocer mejor la red
mediante el ajuste manual de las iptables.
Bloqueo del acceso de iptables a SSH

Las consolas y los hosts no gestionados permiten SSH desde cualquier solicitud de entrada. Cuando se
añade un host al despliegue, las consolas permiten el acceso a SSH desde QRadar Console y la consola
mantiene el puerto 22 abierto para conexiones de entrada. Puede limitar las conexiones de entrada en el
puerto 22 modificando las reglas de iptables de un host.
Puede bloquear el acceso SSH desde otros hosts gestionados en su consola, acceso que puede violar
conexiones cifradas.
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.41 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -s 10.100.50.59 -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --dport 22 -j DROP
Habilitación de ICMP para sistemas QRadar
Puede habilitar respuestas de ping desde el sistema QRadar añadiendo la regla siguiente al archivo
/opt/qradar/conf/iptables.pre.
-A INPUT -p icmp -j ACCEPT
Ejecute el script siguiente para crear una entrada en el archivo /etc/sysconfig/iptables.
Importante: Puede limitar esta regla a un host específico añadiendo el campo -s source.ip.address.
Bloqueo de orígenes de datos no deseados
Puede bloquear un origen de datos como por ejemplo un origen de registro o un origen de datos de
NetFlow durante un tiempo breve en lugar de inhabilitar el dispositivo original. Para bloquear un host
determinado puede añadir una entrada parecida a la siguiente a /opt/qradar/conf/iptables.pre.
Bloquear un netflow desde el direccionador:

-A INPUT -p udp -s <Dirección IP> --dport 2055 -j REJECT
Bloquear un syslog desde otro origen:

-A INPUT -p tcp -s <Dirección IP> --dport 514 -j REJECT
Bloquear un syslog desde una subred específica:

-A INPUT -p tcp -s <Dirección IP> --dport 514 -j REJECT
Redirección de iptables a puertos de syslog
Puede redirigir el tráfico de syslog en puertos no estándar al puerto 514 en QRadar Recopilador de
sucesos. Puede utilizar los pasos siguientes para habilitar una regla de iptables para volver a redirigir el
puerto alternativo a 514 en Recopilador de sucesos.
1. Habilite la opción NAT en el kernel de Linux añadiendo o actualizando la línea siguiente en el
archivo /etc/sysctl.conf.
net.ipv4.ip_forward = 1
Nota: Para que los cambios surtan efecto en la regla NAT, deberá reiniciar el servicio.
2. Habilite el reenvío de ip en el kernel activo actual.
echo 1 > /proc/sys/net/ipv4/ip_forward
3. Añada las líneas siguientes a /opt/qradar/conf/iptables-nat.post. Especifique el número de puerto
que desea redirigir como <número_puerto>.
-A PREROUTING -p udp --dport <número_puerto> -j REDIRECT --to-ports 514
-A PREROUTING -p tcp --dport <número_puerto> -j REDIRECT --to-ports 514
4. Especifique el mandato siguiente para reconstruir las iptables.
/opt/qradar/bin/iptables_update.pl
5. Verifique la redirección tecleando el mandato siguiente.
iptables -nvL -t nat
El código siguiente es un ejemplo del aspecto de la salida. Chain PREROUTING (policy ACCEPT 140
packets, 8794 bytes) pkts bytes target prot opt in out source destination 0 0 REDIRECT udp
-- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10529 redir ports 514 0 0 REDIRECT tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:10529 redir ports 514 Chain POSTROUTING (policy ACCEPT 207 packets, 25772
bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 207
packets, 25772 bytes) pkts bytes target prot opt in out source destination
Redirección de tráfico de syslog de entrada
Puede utilizar QRadar Console como pasarela de mensajes de syslog para redirigir sucesos de entrada
configurando reglas en iptables.
1. Habilite la regla de reenvío para un origen de registro en Recopilador de sucesos.
2. Establezca el destino de reenvío del syslog de TCP para que sea la dirección de IP de consola en el
puerto 7780.
3. En la línea de mandato de la consola, añada la regla de iptables siguiente para redirigir a otro host.
iptables -I OUTPUT --src 0/0 --dst 153.2.200.80 -p
tcp --dport 7780 -j REDIRECT --to-ports 514
Configuración de reglas de iptables

El acceso a los servicios de red de QRadar se controla primero en los hosts con iptables. Las reglas de
iptables se ajustan y configuran en función de los requisitos del despliegue. Los puertos para la búsqueda
de Ariel, la modalidad continua y las veces que utiliza el cifrado (ejecución en túnel) pueden actualizar
varias reglas de iptables.

Puede configurar y comprobar reglas de iptables para IPv4 y IPv6. El procedimiento siguiente indica
cómo puede ajustar manualmente las iptables.
Procedimiento
1. Inicie la sesión en QRadar como usuario root mediante SSH.
Iniciar sesión: <root>
Contraseña: <contraseña>
2. Escriba el mandato siguiente para editar el archivo .pre de iptables de reglas:
IPv4:
vi /opt/qradar/conf/iptables.pre
IPv6:
vi /opt/qradar/conf/ip6tables.pre
Se visualiza el archivo de configuración iptables.pre.
3. Escriba el mandato siguiente para editar el archivo .post de iptables de reglas:
IPv4:
vi /opt/qradar/conf/iptables.post
IPv6:
vi /opt/qradar/conf/ip6tables.post
Se visualiza el archivo de configuración iptables.post.
4. Añada la regla siguiente para QRadar para acceder a un número de puerto específico, donde
número_puerto es el número de puerto:
Para aceptar tráfico de UDP para una entrada de puerto específica:
-A INPUT -m udp -p udp --dport <número_puerto> -j ACCEPT
Para aceptar tráfico de TCP para una entrada de puerto específica:
-A INPUT -m state --state NEW -m tcp -p tcp --dport <número_puerto> -j ACCEPT
5. Guarde la configuración de iptables.
6. Ejecute el script siguiente para propagar los cambios:
/opt/qradar/bin/iptables_update.pl
7. Escriba los mandatos siguientes para comprobar la existencia de iptables:
IPv4:
iptables -L -n -v
IPv6:
ip6tables -L -n -v
Retención de datos
Los grupos de retención definen cómo se retienen los datos de sucesos y flujos grandes en IBM Security
QRadar.
Conforme QRadar recibe sucesos y flujos, cada uno se compara con los criterios de filtro de grupos de
retención. Cuando un suceso o un flujo coincide con un filtro de grupo de retención, se almacena en ese
grupo de retención hasta que se agota el periodo de tiempo de la política de supresión. El periodo de
retención predeterminado es 30 días, después de los cuales los datos se suprimen inmediatamente.
Los grupos de retención se ordenan por prioridad de la fila superior a la fila inferior. En el grupo se
almacena un registro que se corresponde con los criterios de filtro con la prioridad más alta. Si el registro

no coincide con ninguno de los grupos de retención configurados, el registro se almacena en el grupo de
retención predeterminado, que siempre se encuentra bajo la lista de los grupos de retención
configurables.
Datos de arrendatario
Puede configurar 10 grupos de retención como máximo para datos compartidos y 10 grupos de retención
como máximo para cada arrendatario.
Cuando entran datos en el sistema, los datos se evalúan para determinar si son datos compartidos o si
pertenecen a un arrendatario. Los datos específicos de arrendatario se comparan con los filtros de grupo
de retención definidos para ese arrendatario. Cuando los datos coinciden con un filtro de grupos de
retención, se almacenan en ese grupo de retención hasta que se agota el periodo de tiempo de la política
de retención.
Si no configura grupos de retención para el arrendatario, los datos se colocan automáticamente en el

grupo de retención predeterminado del arrendatario. El periodo de retención predeterminado es 30 días,
a menos que configure un grupo de retención específico del arrendatario.
Para obtener más información sobre la retención de datos del arrendatario, consulte “Políticas de
retención para arrendatarios” en la página 240.
Configuración de los grupos de retención

Configurar políticas de retención para definir durante cuánto tiempo debe IBM Security QRadar
conservar los datos de sucesos y flujos, y qué hacer cuando esos datos alcanzan una cierta edad.
Los cambios en los filtros de grupos de retención de aplican inmediatamente solo a los datos entrantes.
Por ejemplo, si ha configurado un grupo de retención para retener durante un 1 día todos los datos de la
dirección IP de origen 10.0.0.0/8 y posteriormente edita el filtro para retener datos de la IP de origen
192.168.0.1, el cambio no es retroactivo. Inmediatamente después de cambiar el filtro, el grupo de
retención tiene 24 horas de datos de 10.0.0.0/8 y todos los datos que se recopilan después del cambio de
filtro son datos de 192.168.0.1.
La política de retención del grupo se aplica a todos los datos del grupo, independientemente de los
criterios de filtro. Utilizando el ejemplo anterior, si ha cambiado la política de retención de 1 a 7 días,
tanto los datos de 10.0.0.0/8 como los datos de 192.168.0.1 del grupo se retienen durante 7 días.
La Distribución de un grupo de retención indica el uso del grupo de retención como un porcentaje de la
retención de datos total de todos los grupos de retención. La distribución se calcula por arrendatario.
Procedimiento
2. En la sección Orígenes de datos, pulse Retención de sucesos o Retención de flujos.
3. Si ha configurado arrendatarios, en la lista Arrendatario seleccione el arrendatario al que desea que se
aplique el grupo de retención.
Nota: Para gestionar políticas de retención para datos compartidos en una configuración de varios
arrendatarios, elija N/A en la lista Arrendatario.
4. Para configurar un grupo de retención nuevo, siga estos pasos:
a. Efectúe una doble pulsación sobre la primera fila vacía de la tabla para abrir la ventana
Propiedades de retención.
b. Configure los parámetros del grupo de retención.

Más información sobre parámetros de grupo de retención:
Propiedades Descripción
Nombre Escriba un nombre exclusivo para el grupo de retención.
Conservar los datos El periodo de retención que especifica durante cuánto tiempo se deben conservar los
colocados en este grupo datos. Cuando el periodo de retención se acaba, los datos se suprimen según el
durante parámetro Suprimir datos en este grupo. QRadar no suprime datos dentro del periodo
de retención.
Suprimir datos en este Seleccione Inmediatamente después de transcurrir el periodo de retención para
grupo suprimir datos inmediatamente cuando se alcance el valor del parámetro Conservar los
datos colocados en este grupo durante. Los datos se suprimen en el siguiente proceso
de mantenimiento de disco planificado, independientemente de los requisitos de
almacenamiento de disco.
Seleccione Cuando se necesite espacio de almacenamiento para conservar en el

almacenamiento los datos que han alcanzado el valor del parámetro Conservar los
datos colocados en este grupo durante hasta que este sistema de supervisión detecte
que se necesita almacenamiento.
Las supresiones basadas en espacio de almacenamiento empiezan cuando el espacio de

disco libre cae al 15% o menos y continúan hasta que el espacio de disco libre es el 18%
o ya ha transcurrido el tiempo establecido en el campo Conservar los datos colocados
en este grupo durante. Por ejemplo, si el espacio de disco utilizado alcanza el 85% para
registros, se suprimen los datos hasta que el porcentaje utilizado caiga al 82%. Cuando
se necesita el almacenamiento, solo se suprimen los datos que han alcanzado el valor del
campo Conservar los datos colocados en este grupo durante.
Si el grupo está establecido en Suprimir datos en este grupo: inmediatamente después

de transcurrir el periodo de retención, no se realizan comprobaciones de espacio y la
tarea de supresión elimina inmediatamente los datos pasados en la retención.
Descripción Escriba una descripción para el grupo.
Filtros actuales Configure los criterios de filtro con los que se comparan los datos.
c. Pulse Añadir filtro después de especificar cada conjunto de criterios de filtro.

d. Pulse Guardar.
5. Para editar un grupo de retención existente, seleccione la fila de la tabla y pulse Editar.
6. Para suprimir un grupo de retención, seleccione la fila de la tabla y pulse Suprimir.
7. Pulse Guardar.
Los datos entrantes que cumplen las propiedades de la política de retención se almacenan
inmediatamente en el grupo de retención.
Gestión de la secuencia de los grupos de retención

Puede cambiar el orden de los grupos de retención para asegurarse de que los datos se comparan con los
grupos de retención en el orden exigido por sus requisitos.
Los grupos de retención se ordenan por prioridad de la fila superior a la fila inferior en las ventanas
Retención de sucesos y Retención de flujos. Se almacena un registro en el primer grupo de retención que
se corresponde con los parámetros de registro.
No puede mover el grupo de retención predeterminado. Siempre se encuentra al final de la lista.

Procedimiento
3. Si ha configurado arrendatarios, en la lista Arrendatario, seleccione el arrendatario para los grupos de
retención que desea reordenar.
4. Seleccione la fila que corresponde al grupo de retención que desea mover y pulse Subir o Bajar para
moverla a la ubicación correcta.
5. Pulse Guardar.
Habilitación e inhabilitación de un grupo de retención

Al configurar y guardar un grupo de retención, está habilitado de forma predeterminada. Puede
inhabilitar un grupo para ajustar la retención de sucesos o de flujos.

Cuando se inhabilita un grupo, todos los sucesos o flujos nuevos que coincidan con los requisitos del
grupo inhabilitado se almacenan en el siguiente grupo que coincida con las propiedades de sucesos o
flujos.
Procedimiento
3. Si ha configurado arrendatarios, en la lista Arrendatario, seleccione el arrendatario para el grupo de
retención que desea cambiar.
4. Seleccione el grupo de retención que desee inhabilitar y, a continuación, pulse Habilitar/inhabilitar.
Supresión de un grupo de retención

Cuando se suprime un grupo de retención, los sucesos o los flujos contenidos en el grupo de retención no
se eliminan del sistema; solamente se suprimen los criterios que definen el grupo. Todos los sucesos o
flujos se conservan en el almacenamiento.
Cuando se suprime un grupo de retención, los datos contenidos en el grupo de retención no se eliminan
del sistema; solamente se suprimen los criterios que definen el grupo. Todos los datos se conservan en el
almacenamiento.
Procedimiento
3. Si ha configurado arrendatarios, en la lista Arrendatario, seleccione el arrendatario para el grupo de
retención que desea suprimir.

4. Seleccione el grupo de retención que desee suprimir y, a continuación, pulse Suprimir.
Notificaciones del sistema

IBM Security QRadar supervisa de forma continua todos los dispositivos y proporciona información,
avisos y notificaciones de error a la QRadar Console. De esta manera, le resultará más sencillo supervisar
el estado y la corrección del despliegue.
Para mostrar notificaciones del sistema en la pantalla, debe configurar el navegador para permitir las
ventanas emergentes y asegurarse de que la ventana emergente Activar notificaciones emergentes esté
seleccionada en las preferencias de usuario ( ). Si inhabilita las notificaciones de escritorio de QRadar,
podrá seguir viendo las notificaciones del sistema en el menú de notificaciones ( ).
Nota: Las notificaciones de navegador son compatibles con Mozilla Firefox, Google Chrome y Microsoft
Edge 10. Microsoft Internet Explorer no admite notificaciones basadas en navegador. Las notificaciones en
Internet Explorer ahora aparecen en un cuadro de notificación de QRadar. El modo en que las
notificaciones aparecen y el tiempo que los mensajes permanecen en la pantalla puede variar entre los
diferentes navegadores.
Configuración de notificaciones de sistema

Puede configurar umbrales para alertas de rendimiento del sistema.
En la tabla siguiente se describen los parámetros de la ventana Notificaciones globales del sistema.
Tabla 21. Parámetros de la ventana Notificaciones globales del sistema
Carga del sistema durante 1 minuto Escriba el promedio de carga del sistema del umbral
durante el último minuto.
Carga del sistema durante 5 minutos Escriba el promedio de carga del sistema del umbral
durante los 5 últimos minutos.
Carga del sistema durante 15 minutos Escriba el promedio de carga del sistema del umbral
durante los 15 últimos minutos.
Tiempo promedio en ms para solicitudes de E/S para el Escriba el umbral de tiempo en ms para solicitudes de
dispositivo E/S
Porcentaje de paginación utilizado Escriba el porcentaje del umbral de espacio de
paginación utilizado.
Paquetes recibidos por segundo Escriba el número para el umbral de paquetes recibidos
por segundo.
Paquetes transmitidos por segundo Escriba el número para el umbral de paquetes
transmitidos por segundo.
Bytes recibidos por segundo Escriba el número para el umbral de bytes recibidos por
segundo.
Bytes transmitidos por segundo Escriba el número para el umbral de bytes transmitidos
por segundo.
Errores de recepción Escriba el número para el umbral de paquetes dañados
recibidos por segundo.
Errores de transmisión Escriba el número para el umbral de paquetes dañados
transmitidos por segundo.

Tabla 21. Parámetros de la ventana Notificaciones globales del sistema (continuación)
Colisiones de paquetes Escriba el número para el umbral de colisiones que se
producen por segundo al transmitir paquetes.
Paquetes recibidos descartados Escriba el número para el umbral de paquetes recibidos
que se han descartado por segundo debido a falta de
espacio en los almacenamientos intermedios.
Paquetes transmitidos descartados Escriba el número para el umbral de paquetes
transmitidos que se han descartado por segundo debido
a falta de espacio en los almacenamientos intermedios.
Errores de portadora en transmisión Escriba el número para el umbral de errores de
portadora que se producen por segundo al transmitir
paquetes.
Errores de trama de recepción Escriba el número para el umbral de errores de
alineación de tramas que se producen por segundo en
los paquetes recibidos.
Desbordamientos FIFO de recepción Escriba el número para el umbral de errores de
desbordamiento FIFO (primero en entrar, primero en
salir) que se producen por segundo en los paquetes
recibidos.
Desbordamientos FIFO de transmisión Escriba el número para el umbral de errores de
desbordamiento FIFO (primero en entrar, primero en
salir) que se producen por segundo en los paquetes
transmitidos.
Procedimiento
2. En la sección Configuración del sistema, pulse Notificaciones globales del sistema.
3. Escriba valores para cada parámetro que desee configurar.
4. Por cada parámetro, seleccione Habilitado y Criterios de respuesta y luego seleccione una de las
opciones siguientes:
Mayor que Se genera una alerta si el valor del parámetro sobrepasa
el valor configurado.
Menor que Se genera una alerta si el valor del parámetro es inferior
al valor configurado.
5. Escriba una descripción de la resolución preferida a la alerta.

6. Pulse Guardar.
Configuración de las notificaciones por correo electrónico

personalizadas
Cuando configure reglas en IBM Security QRadar, especifique que cada vez que la regla genere una
respuesta, se envíe una notificación por correo electrónico a los destinatarios. La notificación por correo
electrónico proporciona información útil, como las propiedades de sucesos o flujos.

Puede personalizar el contenido de las notificaciones por correo electrónico acerca de las respuestas de las
reglas; para ello, edite el archivo alert-config.xml.
Nota: las referencias a los flujos no se aplican a IBM QRadar Log Manager.
Debe crear un directorio temporal en el que pueda editar con seguridad las copias de los archivos, sin
peligro de sobrescribir los archivos predeterminados. Después de editar y guardar el archivo
alert-config.xml, debe ejecutar un script que valide los cambios. El script de validación aplica
automáticamente los cambios en un área intermedia, en la que puede realizar un despliegue mediante el
editor de despliegue de QRadar.
Procedimiento
2. Cree un nuevo directorio temporal que se utilizará para editar de forma segura las copias de los
archivos predeterminados.
3. Para copiar los archivos que están almacenados en el directorio custom_alerts en el directorio
temporal, escriba el mandato siguiente:
cp /store/configservices/staging/globalconfig/templates/
custom_alerts/*.* <nombre_directorio>
La opción <nombre_directorio> es el nombre del directorio temporal que ha creado.
4. Confirme que los archivos se han copiado satisfactoriamente:
a. Para listar los archivos en el directorio, escriba ls -lah.
b. Compruebe que el archivo alert-config.xml está en la lista.
5. Abra el archivo alert-config.xml para su edición.
6. Edite el contenido del elemento <template>.
a. Necesario: Especifique el tipo de plantilla que desea utilizar. Las opciones válidas son suceso o
flujo.
<templatetype>event</templatetype>
<templatetype>flow</templatetype>
b. Escriba un nombre para la plantilla de correo electrónico:
<templatename>Default flow template</templatename>
c. Defina el elemento <active> como true:
<active>true</active>
d. Edite los parámetros de los elementos <body> or <subject> para incluir la información que desee
consultar.
Importante: La propiedad <active></active> se debe establecer en True para cada tipo de

plantilla de suceso y flujo que desee que aparezca como una opción en QRadar. También debe
asegurarse de que la propiedad <filename></filename> se deje vacía.
Parámetros de notificación que puede utilizar en la plantilla:

Tabla 22. Parámetros de notificación aceptados
Parámetros comunes Parámetros de suceso Parámetros de flujo
AppName EventCollectorID Type
RuleName DeviceId CompoundAppID
RuleDescription DeviceName FlowSourceIDs
EventName DeviceTime SourceASNList

Tabla 22. Parámetros de notificación aceptados (continuación)
Parámetros comunes Parámetros de suceso Parámetros de flujo
EventDescription DstPostNATPort DestinationASNList
EventProcessorId SrcPostNATPort InputIFIndexList
Qid DstMACAddress OutputIFIndexList
Category DstPostNATIPAddress AppId
RemoteDestinationIP DstPreNATIPAddress Host
Payload SrcMACAddress Port
Credibility SrcPostNATIPAddress SourceBytes
Relevance SrcPreNATIPAddress SourcePackets
Source SrcPreNATPor Direction
SourcePort DstPreNATPort SourceTOS
SourceIP SourceDSCP
Destination SourcePrecedence
DestinationPort DestinationTOS
DestinationIP DestinationDSCP
DestinationUserName SourceASN
Protocol DestinationASN
StartTime InputIFIndex
Duration OutputIFIndex
StopTime FirstPacketTime
EventCount LastPacketTime
SourceV6 TotalSourceBytes
DestinationV6 TotalDestinationBytes
UserName TotalSourcePackets
DestinationNetwork TotalDestinationPackets
SourceNetwork SourceQOS
Severity DestinationQOS
CustomPropertiesList SourcePayload
7. Opcional: Para crear varias plantillas de correo electrónico, copie y pegue la siguiente plantilla de
correo electrónico de ejemplo debajo del elemento <template> en el archivo alert-config.xml. Repita
el paso 6 con cada plantilla que añada.
Plantilla de correo electrónico de ejemplo:

<template>
<templatename>Flujo predeterminado</templatename>
<templatetype>flow</templatetype>
<active>true</active>
<filename></filename>
<subject>${RuleName} activado </subject>
<body>
Motor de reglas personalizado de suceso de ${AppName}
enviado como respuesta automática:
${StartTime}
Nombre de regla: ${RuleName}

Descripción de la regla: ${RuleDescription}
IP de origen: ${SourceIP}
Puerto de origen: ${SourcePort}
Nombre de usuario de origen (desde suceso): ${UserName}
Red de origen: ${SourceNetwork}
IP de destino: ${DestinationIP}
Puerto de destino: ${DestinationPort}
Nombre de usuario de dest (de ident de activo):${DestinationUserName}
Red de destino: ${DestinationNetwork}
Protocolo: ${Protocol}
QID: ${Qid}
Nombre de suceso: ${EventName}

Descripción de suceso: ${EventDescription}
Categoría: ${Category}
ID de origen de registro: ${LogSourceId}

Nombre de origen de registro: ${LogSourceName}
Carga útil: ${Payload}
CustomPropertiesList: ${CustomPropertiesList}
</body>
<from></from>
<to></to>
<cc></cc>
<bcc></bcc>
</template>
8. Guarde y cierre el archivo alert-config.xml.
9. Para validar los cambios, escriba el siguiente mandato:
/opt/qradar/bin/runCustAlertValidator.sh <nombre_directorio>
El parámetro <nombre_directorio> es el nombre del directorio temporal que ha creado. Si el script
valida los cambios, se mostrará el siguiente mensaje: File alert-config.xml was deployed
successfully to staging!
10. Implemente los cambios en QRadar.
a. Inicie la sesión en QRadar.
b. En el menú de navegación menu ( ), pulse Admin para abrir la pestaña de administrador.
c. Pulse Avanzado > Desplegar configuración completa.
Nota: QRadar seguirá recopilando sucesos cuando despliegue la configuración completa. Cuando
el servicio de recopilación de sucesos deba reiniciarse, QRadar no lo reiniciará automáticamente.
Se mostrará un mensaje que le dará la opción de cancelar el despliegue y reiniciar el servicio en
el momento más conveniente.
Razones de cierre de delito personalizadas

Puede gestionar las opciones que figuran en el cuadro de lista Razón del cierre de la pestaña Delitos.
Cuando un usuario cierra un delito en la pestaña Delitos, se visualiza la ventana Cerrar delito. Se solicita
al usuario que seleccione una razón en el cuadro de lista Razón del cierre. Aparecen en la lista tres
opciones predeterminadas:
v Ajuste de falsos positivos
v Irrelevante
v Violación de política

Los administradores pueden añadir, editar y suprimir razones de cierre de delito en la pestaña Admin.
Adición de una razón de cierre de delito personalizada

Cuando se añade una razón de cierre de delito personalizada, la razón nueva aparece listada en la
ventana Razones de cierre de delito personalizado y en el cuadro de lista Razón del cierre en la ventana
Cerrar delito de la pestaña Delitos.
Procedimiento
2. En la sección Configuración del sistema, pulse Razones de cierre de delito personalizado.
3. Pulse Añadir.
4. Escriba una razón exclusiva del cierre de los delitos. Las razones deben tener entre 5 y 60 caracteres
de longitud.
5. Pulse Aceptar.
La nueva razón de cierre de delito personalizada aparecerá ahora listada en la ventana Razones de
cierre de delito personalizado. En el cuadro de lista Razón del cierre de la pestaña Delitos de la
ventana Cerrar delito también se muestra la razón personalizada.
Edición de una razón de cierre de delito personalizada

La edición de una razón de cierre de delito personalizada actualiza la razón en la ventana Razones de
cierre de delito personalizado y en el cuadro de lista Razón del cierre de la ventana Cerrar delito,
pestaña Delitos.
Procedimiento
3. Seleccione la razón de cierre del delito que desee editar.
4. Pulse Editar.
5. Escriba una razón exclusiva del cierre de los delitos. Las razones deben tener entre 5 y 60 caracteres
de longitud.
6. Pulse Aceptar.
Supresión de una razón de cierre de delito personalizada

La supresión de una razón de cierre de delito personalizada elimina la razón de la ventana Razones de
cierre de delito personalizado y del cuadro de lista Razón del cierre de la ventana Cerrar delito, pestaña
Delitos.
Procedimiento
3. Seleccione la razón de cierre del delito que desee suprimir.
4. Pulse Suprimir.
5. Pulse Aceptar.
Configuración de una propiedad de activo personalizada

Las propiedades de activo personalizadas ofrecen más opciones de consulta cuando ejecute consultas en
los activos que tenga en IBM Security QRadar.

Procedimiento
2. En la sección Configuración del sistema, pulse Propiedades de activos personalizadas.
3. En el campo Nombre, escriba un descriptor para la propiedad de activo personalizada.
4. En la lista Tipo, seleccione Numérico o Texto para definir el tipo de información para la propiedad de
activo personalizada.
5. Pulse Aceptar.
6. Pulse la pestaña Activos.
7. Pulse Editar activo > Propiedades de activos personalizadas.
8. Especifique la información necesaria en el campo de valor.
9. Pulse Aceptar.
Gestión de índices
Utilice la Gestión de índices para controlar la indexación de la base de datos en las propiedades de
suceso y flujo. Para mejorar la velocidad de las búsquedas de IBM Security QRadar, restrinja los datos
generales añadiendo un campo indexado en la consulta de búsqueda.
Un índice es un conjunto de elementos que especifican información sobre datos de un archivo y su

ubicación en el sistema de archivos. Los índices de datos se construyen en tiempo real conforme se
transmiten los datos o se construyen por solicitud una vez recopilados los datos. La búsqueda es más
eficiente porque los sistemas que utilizan índices no tienen que leer todos los datos para encontrar
coincidencias. El índice contiene referencias a términos exclusivos en los datos y sus ubicaciones. Puesto
que los índices utilizan espacio de disco, es posible utilizar espacio de almacenamiento para disminuir el
tiempo de búsqueda.
Utilice primero la indexación de las propiedades de suceso y flujo para optimizar las búsquedas. Puede
habilitar la indexación en cualquier propiedad que aparezca listada en la ventana Gestión de índices y
puede habilitar la indexación en más de una propiedad. Cuando se inicia una búsqueda en QRadar, el
motor de búsqueda filtra primero el conjunto de datos por las propiedades indexadas. El filtro indexado
elimina partes del conjunto de datos y reduce el volumen de datos y el número de registros de suceso o
de flujo en los que se debe buscar. Sin filtros, QRadar tarda más en devolver los resultados de conjuntos
de datos grandes.
Por ejemplo, si busca todos los registros de los últimos seis meses que coinciden con el texto: La
operación no está permitida. De forma predeterminada, QRadar almacena la indexación de texto
completo de los últimos 30 días. Por lo tanto, para realizar una búsqueda dentro de los últimos 6 meses,
el sistema debe volver a leer cada valor de carga útil de cada suceso o flujo de ese intervalo de tiempo
para encontrar coincidencias. Los resultados se visualizan más rápido cuando busca con un filtro de valor
indexado como por ejemplo Tipo de origen de registro, Nombre de suceso o IP de origen.
La característica Gestión de índices también proporciona estadísticas, como por ejemplo:

v El porcentaje de búsquedas guardadas en ejecución en el despliegue que incluyen la propiedad
indexada
v El volumen de los datos que el índice escribe en el disco durante el periodo de tiempo seleccionado
Para habilitar la indexación de carga útil, debe habilitar la indexación en la propiedad Filtro rápido.
Habilitación de índices
La ventana Gestión de índices lista todas las propiedades de sucesos y flujos que se pueden indexar y
proporciona estadísticas de las propiedades. Las opciones de la barra de herramientas permiten habilitar
e inhabilitar la indexación en las propiedades de sucesos y flujos.

La modificación de la indexación de base de datos puede disminuir el rendimiento del sistema. No olvide
supervisar las estadísticas de índice después de habilitar la indexación en varias propiedades.
Procedimiento
2. En la sección Configuración del sistema, pulse Gestión de índices.
3. Seleccione una o más propiedades en la lista de Gestión de índices.
4. Seleccione una de las opciones siguientes:
Situación Intervalo de tiempo Acción Razón

El índice está inhabilitado y 24 horas, 7 días o 30 días Pulse Habilitar índice. Esta propiedad de
% de búsquedas que búsqueda se utiliza a
utilizan la propiedad menudo. La habilitación de
supera el 30% y % de un índice puede mejorar el
búsquedas que producen rendimiento.
faltas en índice supera el
30%.
El índice está habilitado y 30 días Pulse Inhabilitar índice. El índice habilitado no se
% de búsquedas que utiliza en las búsquedas.
utilizan la propiedad es Inhabilite la propiedad
cero. indexada para conservar el
espacio de disco.
5. Pulse Guardar.
6. Pulse Aceptar.
Resultados
En las listas que incluyan propiedades de sucesos y flujos, os nombres de las propiedades indexadas se
añaden con el texto siguiente: [Indexed]. Algunos ejemplos de estas listas son los parámetros de
búsqueda en las páginas de criterios de búsqueda Actividad de registro y Actividad de red y la ventana
Añadir filtro.
Habilitación de la indexación de carga útil para optimizar los tiempos

de búsqueda
Utilice la característica Filtro rápido en las pestañas Actividad de registro y Actividad de red para
buscar cargas útiles de sucesos y flujos mediante el uso de una cadena de texto. Para optimizar los
tiempos de búsqueda de sucesos y flujos, habilite la indexación de carga útil en la propiedad Filtro
rápido.
Restricción: La indexación de carga útil aumenta los requisitos de almacenamiento en disco y puede
afectar al rendimiento del sistema. Habilite la indexación de carga útil si el despliegue cumple las
condiciones siguientes:
v Los procesadores de sucesos y flujos tienen una utilización de disco inferior al 70%.
v Los procesadores de sucesos y flujos tienen una velocidad de sucesos por segundo (EPS) o de flujos
por interfaz (FPI) inferior al 70% de la velocidad máxima.
Procedimiento
2. En la sección Configuración del sistema, pulse Gestión de índices.

3. En el campo Búsqueda rápida, escriba Filtro rápido.
Se muestra la propiedad Filtro rápido.
4. Seleccione la propiedad Filtro rápido que desea indexar.
En la tabla de resultados, utilice el valor de la columna Base de datos para identificar la propiedad
Filtro rápido de los flujos o de los sucesos.
5. En la barra de herramientas, pulse Habilitar índice. Un punto verde indica que el índice de carga útil
está habilitado.
Si una lista incluye propiedades de sucesos o flujos que están indexadas, se añaden a los nombres de
propiedad el texto siguiente: [Indexado].
6. Pulse Guardar.
Para gestionar los índices de carga útil, consulte el apartado “Configuración del periodo de retención
para los índices de carga útil”.
Configuración del periodo de retención para los índices de carga útil

De forma predeterminada, IBM Security QRadar establece 30 días como periodo de retención de datos del
índice de carga útil. Puede buscar valores específicos en índices de filtro rápido cambiando la retención
predeterminada en QRadar.
Antes de empezar
Los dispositivos virtuales y físicos necesitan 24 GB de RAM como mínimo para habilitar la indexación de
carga útil completa. Sin embargo, se sugiere utilizar 48 GB de RAM.
Los valores de RAM mínimos sugeridos son aplicables a todos los sistemas de QRadar, como por ejemplo
los dispositivos 16xx, 17xx o 18xx que procesan sucesos o flujos.
Los valores de retención reflejan los intervalos de tiempo en los que normalmente se realizan búsquedas.
El periodo de retención mínimo es 1 día el máximo es 2 años.
Procedimiento
3. En la sección Valores de base de datos, seleccione un periodo de tiempo de retención de la lista
Retención de índice de carga útil.
4. Pulse Guardar.
5. Cierre la ventana Valores del sistema.
Si retiene índices de carga útil durante más tiempo que el valor predeterminado, se utiliza espacio de
disco adicional. Después de seleccionar un valor mayor en el campo Retención de índice de carga útil,
supervise las notificaciones del sistema para asegurarse de que no se llena el espacio de disco.

Establecer restricciones para impedir las búsquedas de recursos
Puede equilibrar el uso de su infraestructura de QRadar estableciendo restricciones de recursos en las
búsquedas de sucesos y de flujos de IBM Security QRadar.
Antes de establecer restricciones de recursos, tenga en cuenta los procedimientos operativos normales de
su entorno. Intente establecer restricciones que aseguren que todos los usuarios tengan acceso a los datos
que necesitan pero que impidan que sin querer, ejecuten grandes consultas que afecten negativamente a
la disponibilidad del sistema y al rendimiento para otros usuarios.
Tipos de restricciones de recursos

Puede establecer limitaciones sobre búsquedas configurando restricciones de tiempo o de conjunto s de
datos basadas en usuario, rol o arrendatario.
Las restricciones de recursos se aplican por el orden siguiente: usuario, rol de usuario y arrendatario. Por
ejemplo, las restricciones establecidas para un usuario tienen preferencia sobre las restricciones
establecidas para el rol de usuario o el arrendatario al que está asignado el usuario.
Puede establecer los tipos de restricciones siguientes sobre búsquedas de sucesos y flujos:
v El tiempo durante el que se ejecuta una búsqueda antes de que se devuelvan datos
v El intervalo de tiempo de los datos en los que se realiza la búsqueda
v El número de registros procesados por el servidor de consulta de Ariel
Restricciones basadas en usuario
Las restricciones basadas en usuario definen límites para un usuario individual y tienen preferencia sobre
las restricciones de rol y arrendatario.
Por ejemplo, su organización contrata estudiantes universitarios para trabajar con los analistas junior del
Centro de operaciones de seguridad. Los estudiantes tienen el mismo rol de usuario que el resto de
analistas junior, pero aplica restricciones basadas en usuario más restrictivas hasta que los estudiantes
están adecuadamente formados en la creación de consultas de QRadar.
Restricciones basadas en rol
Las restricciones basadas en rol permiten definir grupos de usuarios que necesitan diferentes niveles de
acceso al despliegue de QRadar. Al establecer restricciones basadas en rol, puede equilibrar las
necesidades de diferentes tipos de usuarios.
Por ejemplo, un analista de seguridad puede centrarse en los incidentes de seguridad que se han
producido recientemente, mientras que un analista de seguridad senior puede estar más implicado en las
investigaciones forenses que revisan datos a lo largo de un periodo de tiempo más amplio. Al establecer
restricciones basadas en rol, puede limitar el acceso de un analista junior solo a los últimos 7 días de
datos, mientras que un analista senior tiene acceso a los datos de un intervalo de tiempo más grande.
Restricciones basadas en arrendatario
En una organización de proveedor de servicios de seguridad gestionados (MSSP) o en una organización

de varias divisiones, las restricciones basadas en arrendatario pueden ayudarle a asegurar la calidad de
servicio evitando la contención de recursos y la degradación de servicios. Puede impedir que un
arrendatario consulte terabytes de datos que pueden afectar negativamente al rendimiento del sistema
para el resto de arrendatarios.
Como MSSP, puede definir restricciones de recurso estándar basadas en un conjunto de criterios con los
que se compara cada arrendatario. Por ejemplo, la configuración estándar para un arrendatario de

tamaño mediano puede incluir restricciones de recurso que limitan el acceso de las búsquedas a solo los
últimos 14 días de datos y el retorno de registros a 10.000 como máximo.
Restricciones de recursos en entornos distribuidos

En un entorno distribuido, la temporización de la transferencia de datos entre la consola y los hosts
gestionados de IBM Security QRadar puede afectar a los resultados de la búsqueda.
Cuando ejecuta una búsqueda en IBM Security QRadar, la búsqueda se ejecuta en todos los nodos al
mismo tiempo. Cada host gestionado ejecuta la búsqueda y envía los resultados agregados a la consola
de QRadar cuando la búsqueda finaliza o cuando alcanza el número de filas predefinido.
Es importante entender cómo las restricciones de recursos que establece pueden afectar a los resultados
de la búsqueda que se devuelven para un usuario:
Búsquedas canceladas
Cada host gestionado comprueba periódicamente el estado del límite de restricción de recursos.
Si se alcanza el límite, la búsqueda se cancela automáticamente para evitar la inclusión en
memoria caché y la reutilización de resultados incompletos.
Los resultados recopilados antes de que el sistema cancelara la búsqueda se pueden ver pulsando
Buscar > Gestionar resultados de búsqueda en la pestaña Actividad de registro o Actividad de
red.
Resultados de la búsqueda vacíos
Cuando establece restricciones de límite de tiempo o de límite de registros, la agregación remota
puede hacer que la consola de QRadar alcance el límite de restricción de recursos antes de que el
host gestionado envíe el agregado parcial a la consola. En esta situación, puede parecer que los
resultados de la búsqueda estén vacíos aunque se hayan recopilado algunos datos.
Resultados de la búsqueda incoherentes
QRadar supervisa la carga en cada host gestionado y gestiona la búsqueda para garantizar un
rendimiento optimizado en todo el despliegue. En función de la carga del sistema, las búsquedas
que se ejecutan repetidamente pueden mostrar resultados ligeramente diferentes debido a que los
hosts gestionados devuelven los datos por un orden diferente.
Por ejemplo, en un despliegue con seis procesadores de sucesos, EP1, EP3 y EP5 pueden los
primeros procesadores en devolver datos en la ejecución inicial. En ejecuciones posteriores, EP2,
EP4 y EP6 pueden devolver datos primero, lo que provoca resultados de la búsqueda
incoherentes.
En función de la frecuencia con la que los usuarios alcanzan las restricciones de recurso, puede ajustar los
límites para evitar tener que impedir que los usuarios ejecuten búsquedas razonables para cumplir con
los requisitos de su trabajo. Los usuarios que sistemáticamente ejecutan búsquedas que fuerzan el sistema
pueden necesitar más formación en la creación de consultas de QRadar. Para obtener más información,
consulte la publicación IBM Security QRadar Ariel Query Language Guide.
Configuración de restricciones de recursos

Establezca restricciones de recursos para aplicar limitaciones de tiempo o de datos a búsquedas de
sucesos y flujos.
Puede establecer lo tipos de restricciones de sucesos siguientes:

v Establezca restricciones de Tiempo de ejecución para especificar el tiempo máximo durante el que se
ejecuta una consulta antes de devolver datos.

v Establezca restricciones de Límite de registros para especificar el número máximo de registros de datos
que una consulta de búsqueda devuelve.
v Establezca restricciones de Intervalo de tiempo para especificar el intervalo de tiempo de los datos en
los que buscar.
Los usuarios que ejecutan búsquedas limitadas por restricciones de recursos ven el icono de restricción de
recursos ( ) junto al criterio de búsqueda.
Procedimiento
2. En la sección Configuración del sistema, pulse Restricciones de recursos.
3. Si el despliegue tiene arrendatarios configurados, pulse Rol o Arrendatario para especificar el tipo de
restricciones a establecer.
4. Efectúe una doble pulsación sobre el rol o el arrendatario para el que desea establecer restricciones.
5. Para establecer restricciones para todos los usuarios asignados al rol de usuario o al arrendatario, siga
estos pasos:
a. Pulse la fila de resumen en la parte superior para abrir el cuadro de diálogo Editar restricción.
b. Pulse Habilitado para el tipo de restricción que desea establecer, y especifique los valores de
restricción.
c. Pulse Guardar.
6. Para establecer restricciones para un usuario específico, siga estos pasos:
a. Efectúe una doble pulsación sobre el usuario para el que desea establecer las restricciones. Para
buscar un usuario, escriba el nombre de usuario en el campo de filtro.
b. Pulse Habilitado para el tipo de restricción que desea establecer, y especifique los valores de
restricción.
c. Pulse Guardar.
Nodos de aplicaciones
Disponga un nodo de aplicaciones para proporcionar almacenamiento, memoria y recursos de CPU
adicionales para las aplicaciones sin que ello afecte a la capacidad de proceso de QRadar Console. Las
aplicaciones como UBA (User Behavior Analytics) requieren más recursos de los que hay disponibles
actualmente en QRadar Console.
Instale un nodo de aplicaciones utilizando la ventana Gestión de nodos en la pestaña QRadar Admin.
Puede utilizar cualquier sistema que ejecute RHEL 7.3 o CentOS 7.3 como nodo de aplicaciones. El
proceso de configuración de nodos instala y configura todo el software necesario. Las aplicaciones que se
han instalado en QRadar Console se transfieren al nodo de aplicaciones cuando se añade.
Nota: Los hosts gestionados de QRadar no se pueden utilizar como nodos de aplicaciones. Debe utilizar
un host externo para el nodo de aplicaciones y solo puede utilizar un nodo de aplicaciones en una
implementación de QRadar.
“Copia de seguridad y restauración de aplicaciones” en la página 199
IBM Security QRadar proporciona una forma realizar una copia de seguridad de configuraciones de
aplicación y de restaurarlas aparte de los datos de aplicación.
Visión general de la configuración del nodo de aplicaciones

Debe realizar varios pasos para configurar el servidor de nodo de aplicaciones y transferir las
aplicaciones desde QRadar Console al nodo de aplicaciones.

Los pasos siguientes ofrecen una visión general de la configuración del nodo de aplicaciones:
1. Instale la versión mínima de Centos 7.3 o RHEL 7.3 en un host que cumpla los requisitos del nodo de
aplicaciones.
Nota: Asegúrese de dejar el 80% de espacio libre para la partición /store.

2. Configure un repositorio de paquetes para la instalación de yum. Se recomienda convertir la unidad
de DVD local en un repositorio de paquetes para las instalaciones de yum y, a continuación, crear un
directorio para el punto de montaje.
Para verificar que el repositorio funciona correctamente, especifique el mandato yum repolist.
3. Verifique que la fecha y la hora estén sincronizadas entre el nodo de aplicaciones y QRadar Console.
Puede utilizar el mandato timedatectl para restablecer la hora o configurar NTP.
4. Inicie una sesión en QRadar Console y liste los contenedores de Docker especificando el siguiente
mandato:
ls /store/docker/containers/
Especifique el siguiente mandato para listar las aplicaciones en QRadar Console:
/opt/qradar/support/qapp_utils_730.py ps.
Estas aplicaciones se transfieren al nodo de aplicaciones cuando ejecuta la configuración del nodo de
aplicaciones. Ejecute los mismos mandatos en el nodo de aplicaciones para verificar que las
aplicaciones se han transferido.
5. Cree un nombre de usuario y una contraseña de nodo de aplicaciones en el nodo de aplicaciones y, a
continuación, configure el acceso sudo sin contraseña para este usuario.
Pruebe el nombre de usuario y la contraseña y, a continuación, pruebe el acceso sudo.
6. Verifique que se haya configurado AllowTcpForwarding como yes en el archivo /etc/ssh/sshd_config
en el nodo de aplicaciones.
7. Siga las instrucciones para añadir un nodo de aplicaciones. El software que requiere el nodo de
aplicaciones para gestionar las aplicaciones se instala durante la configuración. Una vez añadido el
nodo de aplicaciones, el nombre de host del nodo de aplicaciones cambia a control-01.
8. Verifique que el nodo de aplicaciones esté ejecutando las aplicaciones que se han transferido desde
QRadar Console.
Requisitos de la configuración del nodo de aplicaciones

Para configurar un servidor de nodo de aplicaciones aparte de QRadar Console para descargar el proceso
de aplicaciones en su despliegue, el servidor debe cumplir los requisitos mínimos del sistema, como por
ejemplo el software necesario, los puertos abiertos y las versiones del sistema operativo.
El software de nodo de aplicaciones se instala desde QRadar Console. Las aplicaciones que están
instaladas en QRadar Console se transfieren a su nodo de aplicaciones la primera vez que añade un
nodo.
Nota: No debe realizar cambios de configuración en el nodo de aplicaciones que no se especifiquen en

este documento como, por ejemplo, cambios de configuración de cortafuegos o SSH, ya que la instalación
del nodo de aplicaciones fallará.
Para configurar un servidor físico o una máquina virtual como nodo de aplicaciones, se deben cumplir
los requisitos siguientes:
Especificación del servidor de nodo de aplicaciones
El servidor de nodo de aplicaciones debe tener al menos las siguientes especificaciones:
v 12 GB de memoria
v 4 CPUs
v 256 GB de almacenamiento

Sistema operativo
El sistema operativo debe ser Red Hat Enterprise Linux (RHEL) 7.3 o CentOS 7.3. Utilice la
opción de instalación mínima, ya que se conecta a los repositorios de dependencias.
Cortafuegos
Asegúrese de que el Cortafuegos se esté ejecutando en el nodo de aplicaciones, para que QRadar
Console pueda conectarse a las aplicaciones en el nodo de aplicaciones.
IPv6 (Protocolo Internet versión 6)
El protocolo Internet IPv6 es un requisito de Docker; asegúrese de que se esté ejecutando en el
nodo de aplicaciones. Si utiliza el direccionamiento IPv4, puede asignar automáticamente IPv6 a
las interfaces para cumplir este requisito. Una forma sencilla de verificar que IPv6 se está
ejecutando es buscar direcciones IPv6 en las interfaces de nodo de aplicaciones.
Repositorios de sistema operativo
El servidor de nodo de aplicaciones debe poder acceder a los repositorios de RHEL o Centos.
Utilice yum para instalar las dependencias de paquete de SO. Verifique el acceso a yum
ejecutando el siguiente mandato para conectarse al repositorio: yum install <paquete>.
Nota: El RPM (RPM Package Manager) protobuf no se incluye en los repositorios habilitados
para las instalaciones de RHEL. Asegúrese de que los repositorios opcionales estén habilitados
para instalar el RPM protobuf.
Escriba el mandato siguiente para habilitar los repositorios opcionales:
subscription-manager repos --enable=rhel-7-server-optional-rpms
Para listar los repositorios a los que está suscrito, especifique el siguiente mandato:
subscription-manager repos --list

A diferencia del host gestionado, el nodo de aplicaciones requiere acceder a repositorios de
dependencias, descargados desde orígenes externos, por lo que es aceptable instalar el ISO
mínimo para el sistema operativo. Este requisito contrasta con el host gestionado donde están
incluidas todas las dependencias en el soporte de instalación del producto y los arreglos de
software.
Partición de almacenamiento
Una partición /store que utiliza aproximadamente el 80 de la capacidad de almacenamiento
disponible.
Cuenta de usuario de nodo de aplicaciones
Una cuenta de usuario de nodo de aplicaciones dedicada con acceso sudo sin contraseña para
todos los mandatos que se ejecutan en el nodo de aplicaciones. La cuenta de usuario de nodo de
aplicaciones tiene una contraseña, pero debe configurar sudo para trabajar sin una contraseña.
QRadar Console utiliza la cuenta de usuario de nodo de aplicaciones y la contraseña para
conectarse al nodo de aplicaciones. Para la consola, es mejor ejecutar mandatos en el nodo de
aplicaciones utilizando el acceso sudo sin contraseña.
Puede utilizar la cuenta de usuario root para acceder al nodo de aplicaciones; no obstante, una
ventaja de utilizar sudo frente a la cuenta de usuario root es que los mandatos que se ejecutan se
anotan en el registro de auditoría de seguridad del sistema.
Para obtener más información sobre la creación de una cuenta de usuario con acceso sudo sin
contraseña, consulte “Creación del usuario del nodo de aplicaciones y configuración del acceso
sudo sin contraseña” en la página 122.
Sincronización del huso horario
El servidor de nodo de aplicaciones se debe configurar con la misma hora y el mismo huso
horario que QRadar Console.

Puertos que se abren en QRadar Console y en el nodo de aplicaciones
Los puertos 1443 y 5443 deben estar abiertos en los cortafuegos externos desde QRadar Console
al nodo de aplicaciones.
Los puertos 5443 y 5444 deben estar abiertos en los cortafuegos externos desde el nodo de
aplicaciones a QRadar Console.
Túneles cifrados entre QRadar Console y en el nodo de aplicaciones
No puede configurar túneles cifrados entre el servidor del nodo de aplicaciones y la QRadar
Console.
Valor umask para el usuario del nodo de aplicaciones
No debe cambiar el valor umask predeterminado 0022 para el usuario del nodo de aplicaciones.
Un valor umask diferente puede cambiar los permisos de lectura, grabación, ejecución y
búsqueda del usuario en algunos archivos y directorios del nodo de aplicaciones, lo que puede
impedir su correcto funcionamiento.
Verifique el valor umask del usuario de la aplicación utilizando el mandato umask en el nodo de
aplicaciones y desde QRadar Console.
v En QRadar Console, escriba el siguiente mandato:
ssh <user>@<appnode ip> umask
v En el nodo de aplicaciones, especifique el mandato siguiente:
umask
Estándar federal de procesamiento de información (FIPS)
El servidor de nodo de aplicaciones no funciona en la modalidad FIPS (Estándar federal de
proceso de información).
Rendimiento de QRadar Console y del nodo de aplicaciones
Sitúe el servidor de nodo de aplicación y la QRadar Console en el mismo centro de datos para
optimizar el rendimiento.
Conversión de direcciones de red (NAT)
Si tiene un entorno que utiliza NAT (Conversión de direcciones de red), tanto QRadar Console
como el nodo de aplicaciones deben estar dentro del mismo grupo de NAT.
Reenvío TCP
Compruebe que el parámetro AllowTcpForwarding del archivo /etc/ssh/sshd_config se ha
configurado como yes, que es el valor predeterminado.
Cualquiera de estas entradas en el archivo /etc/ssh/sshd_config son válidas:
AllowTcpForwarding yes
#AllowTcpForwarding yes
Nota: La instalación Nodo de aplicación del nodo de aplicaciones falla si el parámetro

AllowTcpForwarding se configura como no.
Configuración de los nodos de aplicaciones y el proxy web
Cuando el nodo de aplicaciones se configura para utilizar un proxy web, debe añadir una
configuración NO_PROXY al archivo /etc/environment para impedir que localhost y servicios como
consul.service.consul y vault.service.consul realicen llamadas al proxy web.
Añada la siguiente línea (continua) al archivo /etc/environment:
NO_PROXY="<host_nodo_aplicaciones_dirección_IP>,
localhost,127.0.0.1,zookeeper.service.consul,vault.service.consul,
docker-registry.service.consul,marathon.service.consul,
consul.service.consul,framework_app_proxy.service.consul,
service-launcher.service.consul"

“Adición de un nodo de aplicaciones” en la página 123
Para desplazar la capacidad de proceso que QRadar Console realiza para aplicaciones, añada un nodo de
aplicaciones al despliegue. El nodo de aplicaciones es un host no gestionado dedicado a ejecutar
aplicaciones. Puede utilizar la ventana Gestión de nodos de la pestaña Admin de QRadar Console para
añadir un nodo de aplicaciones.
Creación del usuario del nodo de aplicaciones y configuración del acceso sudo
sin contraseña
Cree el usuario y la contraseña del nodo de aplicaciones y, a continuación, configure sudo sin contraseña
para el usuario del nodo de aplicaciones para aumentar la eficacia y la seguridad.
Procedimiento
1. Para crear un usuario del nodo de aplicaciones, especifique los siguientes mandatos:
useradd <usuario_nodo_aplicaciones>
passwd <usuario_nodo_aplicaciones>
2. Especifique visudo para editar el archivo /etc/sudoers y añada la línea siguiente al final del archivo:
<usuario_nodo_aplicaciones> ALL=(ALL) <tab> NOPASSWD: ALL
El archivo sudoers contiene las reglas que deben seguir los usuarios cuando utilizan el mandato sudo.
Ayuda para la configuración del nodo de aplicaciones

Durante la configuración, puede utilizar varios mandatos para listar y verificar el estado de Docker y las
aplicaciones en QRadar Console, así como en el nodo de aplicaciones cuando finalice la configuración.
La siguiente lista muestra mandatos útiles que puede utilizar para ayudarle en la configuración del nodo
de aplicaciones y para verificar el estado de las aplicaciones:
Verifique que sudo funciona sin contraseña en el nodo de aplicaciones
Por ejemplo, sudo cat /etc/hosts
Para probar el acceso sudo utilizando la cuenta de usuario root, especifique el siguiente mandato:
sudo -u <usuario_nodo_aplicaciones> cat /etc/hosts
Conéctese al nodo de aplicaciones desde QRadar Console
Utilice un cliente SSH como, por ejemplo, Putty para conectarse al nodo de aplicaciones desde
QRadar Console.
ssh <usuario_nodo_aplicaciones>@<dirección_IP_nodo_aplicaciones>
Por ejemplo, ssh usuario_nodo_aplicaciones@172.16.2.2
Aparece el siguiente mensaje para el nodo de aplicaciones: [usuario_nodo_aplicaciones@control-
01 ~]$ o [root@control-01 ~]$ si inicia la sesión como el usuario root.
Liste las aplicaciones
Vaya al directorio /opt/qradar/support/ en QRadar Console y especifique el siguiente mandato
para listar las aplicaciones instaladas:
qapp_utils_730.py ps
A continuación, se muestra un ejemplo donde el mandato se ejecuta desde el directorio
/opt/qradar/support/ en QRadar Console:
[root@my_console support]# ./qapp_utils_730.py ps
Collecting app data........ Complete!
Id Name Container Container Image Container ip:port Host ip:port ABCDEFGHI
1053 QRadar App Editor 5dca41d9e5e1 qregi...1053:2.0-release 169.254.3.5:5000 9.181.234.86:25568 +++++++++
1054 Hello World - 3455555f3070 qregi.../qapp/1054:1.0.2 169.254.3.6:5000 9.181.234.86:7072 +++++++++
1055 QRadar Vuln app b79118c4cb0 qregi...44/qapp/1055:1.0 169.254.3.3:5000 9.181.234.86:25600 +++++++++

Nota: Cuando las aplicaciones se transfieren al nodo de aplicaciones, la referencia Host ip:port
cambia de QRadar Console al nodo de aplicaciones.
Verifique que se creen los contenedores de Docker en el nodo de aplicaciones
En el nodo de aplicaciones, especifique el mandato siguiente:
ls /store/docker/containers/
A continuación, se muestra un ejemplo del resultado:
3455555f30703c7641e042e1ddba9c3294174c2d4ed7a0108ef5d9282fcc1d49
364ee70aaee7237676a36ccf007d3664786b6192c545ca328c5512810606fe06
447142c433f59e2937ae4bae2395e23f90db0335deb8287fe6743ca0a864e14b
También puede ejecutar este mandato en QRadar Console antes de configurar el nodo de
aplicaciones para listar los contenedores de Docker.
Verifique que se estén ejecutando los servicios de Docker
systemctl status docker
Acceda a la línea de mandatos de las aplicaciones
Acceda a la línea de mandatos de las aplicaciones instaladas utilizando el ID de contenedor de la
aplicación.
Especifique el mandato /opt/qradar/support/qapp_utils_730.py ps para mostrar una lista de los
contenedores de aplicación en ejecución. El siguiente ejemplo muestra una aplicación instalada y
en ejecución.
Id Name Container Container Image Container ip:port Host ip:port ABCDEFGHI
1053 QRadar App Editor 5dca41d9e5e1 qregi...1053:2.0-release 169.254.3.5:5000 9.181.234.86:25568 +++++++++
Especifique el mandato siguiente para conectarse a una aplicación:

/opt/qrada_r/support/qapp_utils_730.py connect <ID_aplicación>
Collecting app data........ Complete!
bash-4.1#
Vaya al directorio /store para ver los registros de aplicación.
bash-4.1# ls
app celery_worker etc lib64 proc sbin src_deps store usr
app_template celeryd.conf home media qpython secret_env_unwrap.sh srv sys var
bin dev init mnt root selinux start_container.sh tmp
boot dump.rdb lib opt run.py service_port_locator.py start_flask.sh upgradePath.sh
bash-4.1# cd store
bash-4.1# ls
log
bash-4.1# cd log
bash-4.1# ls
app.log celery.log startup.log supervisord.log
bash-4.1#
Adición de un nodo de aplicaciones

Para desplazar la capacidad de proceso que QRadar Console realiza para aplicaciones, añada un nodo de
aplicaciones al despliegue. El nodo de aplicaciones es un host no gestionado dedicado a ejecutar
aplicaciones. Puede utilizar la ventana Gestión de nodos de la pestaña Admin de QRadar Console para
añadir un nodo de aplicaciones.
Antes de empezar
Para poder añadir un nodo de aplicaciones:

v Debe instalar un host en la red que ejecute Red Hat Enterprise Linux versión 7.3 o CentOS versión 7.3.
v Debe proporcionar la dirección IP del host y una cuenta de usuario con acceso sudo.

Para obtener más información sobre la configuración de un servidor para que actúe como un nodo de
aplicaciones, consulte “Requisitos de la configuración del nodo de aplicaciones” en la página 119.
Procedimiento
1. En la pestaña Admin, pulse Gestión de nodos.
2. Para añadir un nodo de aplicaciones, pulse Añadir en la ventana Gestión de nodos y añada la
información de dirección IP de nodo, usuario y contraseña.
El producto solicita entonces que confirme la información de clave ssh de host para el nodo que está
creando. El proceso de instalación tarda hasta 30 minutos en completarse. Para obtener información
sobre el proceso de instalación conforme se está produciendo, pulse Detalles.
El proceso de configuración del nodo de aplicaciones mueve las aplicaciones que haya instalado en
QRadar Console al nodo de aplicaciones.
Nota: El nodo de aplicaciones cambia el estado de todas las aplicaciones que estaban en ejecución o
detenidas en QRadar Console a un estado en ejecución cuando se mueven.
Puede utilizar la ventana Gestión de extensiones para instalar aplicaciones en el nodo de aplicaciones que
configura. Las aplicaciones que instale en el futuro se instalarán en el nodo de aplicaciones y no en
QRadar Console.
Eliminación de un nodo de aplicaciones

Si está realizando un mantenimiento o está consolidando servidores, puede eliminar un nodo de
aplicaciones del despliegue. Utilice la ventana Gestión de nodos en la pestaña Admin para eliminar
nodos de aplicaciones.
Procedimiento
En la ventana Gestión de nodos, seleccione el nodo que desea eliminar en la tabla Gestión de nodos y
pulse Eliminar.
v Para mover aplicaciones del nodo de aplicaciones a QRadar Console, seleccione el tipo de eliminación
Revertir a consola.
El producto intenta mover aplicaciones a QRadar Console si hay espacio de disco disponible para ellas.
El orden en el que se mueven las aplicaciones está determinado por su tamaño (incluyendo los datos
asociados). Las aplicaciones más pequeñas se mueven primero. Puesto que es probable que el espacio
disponible para aplicaciones en QRadar Console sea menor que en el nodo de aplicaciones, no podrá
transferir todas las aplicaciones. Utilice la ventana Gestión de extensiones para suprimir aplicaciones
que ya no necesite del nodo de aplicaciones antes de seleccionar la opción de eliminación Revertir a
consola.
De forma predeterminada, hasta el 10% de la memoria disponible de QRadar Console y hasta el 90%
de la partición /store de QRadar Console está disponible para aplicaciones.
v Para conservar las aplicaciones en el nodo de aplicaciones, seleccione el tipo de eliminación Modalidad
de mantenimiento.
Modalidad de mantenimiento elimina la entrada de nodo de aplicaciones de la tabla Gestión de
nodos y detiene las aplicaciones del nodo de aplicaciones. Las aplicaciones se reinician cuando vuelve
a añadir el nodo de aplicaciones.
Para obtener más información sobre el proceso de eliminación conforme éste progresa, pulse Detalles.

Comprobación de la integridad de los registros de sucesos y flujo
Cuando el hashing de registro está habilitado, cualquier sistema que graba datos de sucesos y flujo crea
archivos hash. Utilice estos archivos hash para verificar que los registros de suceso y flujo no se han
modificado desde que se grabaron originalmente en el disco.
Los archivos hash se generan en la memoria antes de que los archivos se graben en el disco de modo que
los registros de sucesos y flujo no se pueden alterar antes de que se generen los archivos hash
Antes de empezar
Asegúrese de que el hashing de registro está habilitado para el sistema IBM Security QRadar. Para
obtener información sobre la habilitación de los parámetros de hashing de registro de flujo o de hashing
de registro de sucesos, consulte Configuración de los valores del sistema.
Debe iniciar la sesión en el sistema que tiene el almacén de datos de sucesos y flujos y ejecutar un
programa de utilidad para comprobar los registros. No puede comprobar la integridad del registro en la
interfaz del visor de sucesos y flujo.
Esta tabla describe los parámetros utilizados con el programa de utilidad check_ariel_integrity.sh.
Tabla 23. Parámetros para el programa de utilidad check_ariel_integrity.sh
-d Duración en minutos de los datos del archivo de registro a explorar. El periodo de tiempo
precede inmediatamente a la hora final especificada mediante el parámetro -t. Por ejemplo, si se
especifica -d 5, se exploran todos los datos de registro recopilados cinco minutos antes de la hora
final -t.
-n La base de datos de QRadar a explorar. Las opciones válidas son sucesos y flujos.
-t La hora final de la exploración. El formato de la hora final es “aaaa/mm/dd hh:mm” donde hh se
especifica en formato de 24 horas. Si no se especifica ninguna hora final, se utiliza la hora actual.
-a Algoritmo hash a utilizar. Este algoritmo debe ser el mismo que se utilizó para crear las claves de
hash. Si no se especifica ningún algoritmo, se utiliza SHA-1.
-r La ubicación del hashing de registro. Este argumento solo es necesario cuando el hashing de
registro no está en la ubicación especificada en el archivo de configuración /opt/qradar/conf/
arielConfig.xml.
-k La clave utilizada para el cifrado Hash-based Message Authentication Code (HMAC). Si no
especifica ninguna clave HMAC y el sistema está habilitado para el cifrado HMAC, el script
check_ariel_integrity.sh toma de forma predeterminada la clave especificada en los valores del
sistema.
-h Muestra el mensaje de ayuda para el programa de utilidad de check_ariel_integrity.sh.
Procedimiento
2. Para ejecutar el programa de utilidad, teclee el mandato siguiente:
/opt/qradar/bin/check_ariel_integrity.sh -d <duración> -n <nombre de base de datos>
[-t <hora final>] [-a <algoritmo hash>] [-r <directorio raíz de hash>] [-k <clave hmac>]
Por ejemplo, para validar los últimos 10 minutos de datos de suceso, teclee el mandato siguiente:
/opt/qradar/bin/check_ariel_integrity.sh -n events -d 10

Resultados
Si se devuelve un mensaje ERROR o ANÓMALO, la clave hash generada a partir de los datos actuales del disco
no coincide con la clave hash creada cuando los datos se grabaron en el disco. O bien la clave, o bien los
datos se han modificado.
Adición de acciones personalizadas

Conecte scripts a reglas personalizadas para realizar acciones personalizadas en respuesta a los sucesos
de red. Utilice la ventana Acción personalizada para gestionar los scripts de acción personalizada.
Utilice acciones personalizadas para seleccionar o definir el valor que se pasa al script y la acción
resultante.
Por ejemplo, puede escribir un script para crear una regla de cortafuegos que bloquee una dirección IP de
origen de la red en respuesta a una regla que se desencadena mediante un número definido de intentos
de inicio de sesión fallidos.
Los ejemplos siguientes son acciones personalizadas resultantes de pasar valores a un script:
v Bloquear usuarios y dominios.
v Iniciar flujos de trabajo y actualizaciones en sistemas externos.
v Actualizar servidores TAXI con una representación STIX de una amenaza.
Las acciones personalizadas funcionan mejor con sucesos de reglas personalizadas de bajo volumen y con
reglas personalizadas que tienen un valor limitador de respuesta bajo.
2. En la pestaña Acciones personalizadas, pulse Definir acciones.
3. Para cargar scripts, pulse Añadir. Las versiones de lenguajes de programación soportadas por el
producto se indican en la lista Intérprete.
Para poder garantizar la seguridad del despliegue, QRadar no da soporte a la gama completa de
funciones de script suministradas por los lenguajes Python, Perl o Bash.
4. Especifique los parámetros que se pasan al script que ha cargado.
Tabla 24. Parámetros de acción personalizada
Propiedad fija Los valores que se pasan al script de acción personalizada.
Estas propiedades no se basan en los sucesos o en el flujo en sí mismos, sino

que cubren otros valores definidos en los que puede utilizar el script para
actuar sobre ellos. Por ejemplo, pase las propiedades fijas username y password
para un sistema de terceros a un script para enviar una alerta SMS.
Cifre propiedades fijas marcando el recuadro Valor de cifrado.

Propiedad de suceso de red Propiedades Ariel dinámicas generadas por sucesos. Efectúe la selección en la
lista Propiedad.
Por ejemplo, la propiedad de suceso de red sourceip proporciona un

parámetro que coincide con la dirección IP de origen del suceso
desencadenado.
Para obtener más información sobre propiedades de Ariel, consulte IBM

Security QRadar Ariel Query Language Guide.

Los parámetros se pasan al script por el orden en el que los haya añadido en la ventana Acciones
personalizadas.
Cuando se ejecutan los scripts de acción personalizada, se configura un chroot jail en el directorio
/opt/qradar/bin/ca_jail/. Los scripts pueden modificar y escribir en cualquier contenido del directorio
/opt/qradar/bin/ca_jail/, incluso se puede modificar el directorio de inicio del usuario de acción
personalizada (/home/customactionuser).
Un script solo se puede ejecutar desde dentro del entorno jail, de forma que no interfiera con el entorno
de ejecución de QRadar.
Es posible que la cuenta de usuario de acción personalizada no tenga permiso para ejecutar mandatos de
seguimiento, tales como iniciar sesión en un cortafuegos y bloquear una dirección IP. Pruebe si el script
se ejecuta satisfactoriamente antes de asociarlo a una regla.
Nota: El tipo de acción personalizada que se implementa dependerá de su infraestructura de red y de

sus componentes. Por ejemplo, puede configurar las API REST en dispositivos Cisco para bloquear
direcciones IP sospechosas. Es posible que otros proveedores terceros no proporcionen una interfaz REST,
por lo que tendría que desarrollar su propia solución de servicios web para ejecutar acciones
personalizadas.
Probar la acción personalizada

Pruebe si el script se ejecuta satisfactoriamente y arroja el resultado deseado antes de asociarlo con una
regla.
Los scripts de acción personalizados se ejecutan en un entorno de prueba, aislado del entorno de
producción. Los scripts de acción personalizados se ejecutan en el host gestionado que ejecuta el
procesador de sucesos. Sin embargo, si tiene un dispositivo All-In-One, las acciones personalizadas se
ejecutan en la QRadar Console.
La Ejecución de prueba sólo está soportada en QRadar Console y no está soportada en hosts
gestionados.
Si tiene que grabar en disco desde un script de acción personalizada, debe utilizar el directorio siguiente:
/home/customactionuser.
Procedimiento
2. En la sección Acciones personalizadas, pulse Definir acciones.
3. Seleccione una acción personalizada y pulse Ejecución de prueba > Ejecutar para probar el script. Se
devolverá el resultado de la prueba y cualquier salida generada por el script.
4. Después de configurar y probar la acción personalizada, utilice el Asistente de reglas para crear una
regla de suceso nueva y asociar la acción personalizada con ella.
Para obtener más información sobre reglas de suceso, consulte Guía del usuario de IBM Security QRadar.
Pasar parámetros a un script de acción personalizada

Los scripts de ejemplo de Bash, Python y Perl muestran cómo pasar parámetros a scripts de acción
personalizada.

Los scripts de ejemplo simples siguientes muestran cómo consultar la API de modelo de activo para un
activo con la dirección IP de origen de delito proporcionada. Para este ejemplo, la salida de los scripts es
el JSON devuelto por el punto final.
Los scripts necesitan tres parámetros:

v Dirección IP de la consola
v Señal de API
v Dirección IP de origen
Estos parámetros de configuran en el área Parámetros de script de la ventana Definir una acción
personalizada:
Figura 4. Parámetros de script de acción personalizada

Cada parámetro se pasa al script en el orden en el que se ha añadido en la ventana Definir acción
personalizada. En este caso:
1. console_ip
2. api_token
3. offense_source_ip
Las variables que se han definido al principio de cada uno de los scripts de ejemplo utilizan los nombres
de parámetro de ejemplo que se han añadido en la ventana Definir acción personalizada.
#!/bin/bash
console_ip=$1
api_token=$2
offense_source_ip=$3
auth_header="SEC:$api_token"
output=$(curl -k -H $auth_header https://$console_ip/console/restapi/api/

asset_model/assets?filter=interfaces%20contains%20%28%20ip_addresses
%20contains%20%28%20value%20%3D%20%22$offense_source_ip%22%29%29)
# Impresión básica de la salida del mandato

echo $output
Figura 5. call_asset_model.sh
#!/usr/bin/python
import sys
import requests
console_ip = sys.argv[1]
api_token = sys.argv[2]
offense_source_ip = sys.argv[3]
auth_header = {’SEC’ : api_token }
endpoint = "https://{0}/console/restapi/api/asset_model/
assets?filter=interfaces%20contains%20%28%20ip_addresses
%20contains%20%28%20value%20%3D%20%22{1}%22%29%29"
.format(console_ip, offense_source_ip)
response = requests.get(endpoint, headers=auth_header, verify=False)

print(response.json())
Figura 6. call_asset_model.py

#!/usr/bin/perl
use strict;
use warnings;
use LWP::UserAgent;
my $console_ip = $ARGV[0];
my $api_token = $ARGV[1];
my $offense_source_ip = $ARGV[2];
my $endpoint = "https://$console_ip/console/restapi/api/asset_model/
assets?filter=interfaces%20contains%20%28%20ip_addresses
%20contains%20%28%20value%20%3D%20%22$offense_source_ip%22%29%29";
my $client = LWP::UserAgent -> new(ssl_opts => { verify_hostname => 0 });
my $response = $client -> get($endpoint, "SEC" => $api_token);

print $response -> decoded_content;
Figura 7. call_asset_model.pl
Para obtener más información sobre cómo autenticar la API utilizando servicios autorizados, consulte
IBM Security QRadar API Guide.
12, “Gestión de servicios autorizados”, en la página 183
En la pestaña Admin pueden configurarse servicios autorizados para autenticar una llamada de API para
el despliegue de IBM Security QRadar.
Gestión de vistas de datos agregados

Un gran volumen de agregación de datos puede degradar su rendimiento del sistema. La función Ariel
utiliza una base de datos aparte para datos agregados para mejorar el rendimiento del sistema y hacer
que los datos estén disponibles con más rapidez. Puede inhabilitar, habilitar o suprimir vistas de datos
agregados. Las gráficas de series temporales, las gráficas de informe y las reglas de anomalía utilizan
vistas de datos agregados.
Los elementos que aparecen en la lista Visualizar ordenan los datos.
La Vista de datos agregados debe generar datos para las reglas de ADE, los gráficos de series temporales
y los informes.
Inhabilite o suprima vistas si se alcanza el número máximo de vistas.
En la columna ID de datos agregados pueden aparecer vistas duplicadas porque una vista de datos
agregados puede incluir varias búsquedas.
Procedimiento
2. En la sección Configuración del sistema, pulse Gestión de datos agregados.
3. Para filtrar la lista de vistas de datos agregados, lleve a cabo lo indicado en una de las siguientes
opciones:
v Seleccione una opción de la lista Vista, Base de datos, Mostrar o Visualizar.
v Escriba un ID de datos agregados, un nombre de informe, un nombre de gráfica o nombre de
búsqueda guardada en el campo de búsqueda.

4. Para gestionar una vista de datos agregados, seleccione la vista y luego pulse la acción adecuada en la
barra de herramientas.
v Si se selecciona Inhabilitar vista o Suprimir vista, se visualizan las dependencias de contenido de
la vista de datos agregados. Una vez inhabilitada o suprimida la vista, los componentes
dependientes ya no utilizarán datos agregados.
v Habilite una vista de datos agregados inhabilitados anteriormente para restaurar la vista.
Tabla 25. Descripciones de las columnas de la vista Gestión de datos agregados
Columna Descripción
ID de datos agregados Identificador de los datos agregados
Nombre de búsqueda guardada Nombre definido para la búsqueda guardada
Nombre de columna Identificador de columna
Veces que se ha buscado Recuento de búsqueda
Datos escritos Tamaño de los datos escritos
Nombre de base de datos Base de datos en la que se ha escrito el archivo
Hora de la última modificación Indicación de fecha y hora de la última modificación de
los datos
Recuento exclusivo habilitado True o False; los resultados de búsqueda mostrarán
recuentos de sucesos y flujos exclusivos en lugar de
recuentos promedio a lo largo del tiempo.
Acceso a una base de datos GLOBALVIEW

Utilice la interfaz de documentación de la API REST de QRadar para obtener los resultados de la base de
datos GLOBALVIEW para un nombre de búsqueda guardada y un rango de tiempo dado. El tipo de
datos contenido en los resultados de la base de datos corresponden al tipo de búsqueda guardada
consultada.
Procedimiento
1. Localice una búsqueda guardada.
b. En la sección Configuración del sistema, pulse Gestión de datos agregados.
c. Bajo la columna Nombre de búsqueda guardada, registre un nombre de búsqueda guardada de la
lista.
2. Consulte la API REST de QRadar para buscar un ID de búsqueda.
a. Inicie la sesión en la API de QRadar, https://<IP de consola>/api_doc como administrador.
b. Pulse la versión más reciente de la API de QRadar.
c. Pulse el punto final /ariel/searches.
d. Pulse POST.
e. En el campo de parámetro query_expression, escriba el mandato siguiente: select * from
GLOBALVIEW(’búsqueda_guardada’,’rango_tiempo’)
Utilice uno de los valores siguientes para la variable rango_tiempo:
NORMAL
HOURLY
DAILY
El ejemplo siguiente muestra la consulta de Orígenes de registro principales con un rango de
tiempo de los dos últimos días:
select * from GLOBALVIEW(’Orígenes de registro principales’,’DAILY’) last 2 days

f. Pulse ¡Inténtelo!
g. Copie el ID de búsqueda del cuerpo de respuesta.
3. Obtenga los resultados de la búsqueda.
a. En el punto final /ariel/searches/search{id}/results, pulse GET.
b. En el campo de parámetro search_id especifique el ID de búsqueda.
c. Pulse ¡Inténtelo!.
d. Asegúrese de que la búsqueda finaliza satisfactoriamente.
e. Obtenga los resultados de la base de datos del cuerpo de respuesta.

7 Proceso de datos de sucesos en QRadar
En IBM Security QRadar, puede utilizar el Editor de DSM para resolver problemas de análisis y añadir
un análisis personalizado.
El Editor de DSM proporciona información en tiempo real para que sepa si la personalización funciona
tal como se espera.
Visión general Editor de DSM

En lugar de crear manualmente una extensión de origen de registro para arreglar problemas de análisis o
ampliar el soporte para tipos de origen de registro nuevos, utilice el Editor de DSM. El Editor de DSM
proporciona vistas diferentes de los datos. Puede utilizar el Editor de DSM para extraer campos, definir
propiedades personalizadas, categorizar sucesos y definir un definición de QID nueva.
El Editor de DSM proporciona las vistas siguientes:
Espacio de trabajo
El Espacio de trabajo muestra datos de sucesos en bruto. Puede utilizar cargas útiles de suceso para
probar el comportamiento del tipo de o después el área Espacio de trabajo muestra los datos que captura
en tiempo real..
Todos los sucesos de ejemplo se envían desde el espacio de trabajo al Simulador de DSM, donde se
analizan las propiedades y se realizan búsquedas en las correlaciones de QIDup. Los resultados se
muestran en la sección Vista previa de la actividad de registro. Haga clic en el icono de edición para
abrir el modo de edición.
En la modalidad de edición, puede pegar directamente hasta 100.000 caracteres de datos de sucesos en el
espacio de trabajo o editar los datos directamente. Al editar las propiedades en la pestaña de
Propiedades, las coincidencias de la carga útil se resaltan en el espacio de trabajo. Las propiedades
personalizadas y las propiedades del sistema alteradas temporalmente también se resaltan en el Espacio
de trabajo.
Vista previa de la actividad de registro
La Vista previa de la actividad de registro simula el aspecto que las cargas útiles del espacio de trabajo
tienen en el visor de Actividad de registro. Se visualiza cada propiedad estándar soportada. Los campos
marcados con un asterisco (*), por ejemplo, Nombre de suceso, Gravedad, Categoría de nivel inferior y
QID se llenan desde la correlación de QID. Los campos que se llenan desde la correlación de QID no se
pueden analizar al pie de la letra a partir de los datos de sucesos en bruto del espacio de trabajo, de
forma que no se pueden definir ni editar. Puede ajustar los valores correspondientes seleccionando la
combinación de ID y categoría de suceso correspondiente en la pestaña Correlaciones de sucesos. A
continuación, haga clic en Editar para volver a correlacionar un suceso con un registro QID que existe en
el sistema o en un QID recientemente creado.

Pulse en el icono de configuración para seleccionar qué columnas desea mostrar u ocultar en la Vista
previa de la actividad de registro y para reordenar las columnas.
Propiedades
La pestaña Propiedades contiene el conjunto combinado de propiedades del sistema y propiedades

personalizadas que conforman la configuración de un DSM. La configuración de una propiedad del
sistema difiere de la de una propiedad personalizada. Puede sustituir una propiedad marcando el
recuadro de selección Alterar temporalmente el comportamiento del sistema y definiendo la expresión
regular y la serie de formato.
Las coincidencias de la carga útil se resaltan en los datos de suceso del espacio de trabajo. El color del
resaltado es de dos tonos, según lo que se captura. Por ejemplo, el resaltado naranja representa el valor
de grupo de captura mientras que el resaltado amarillo brillante representa el resto de la expresión
regular especificada. El comentario del espacio de trabajo muestra si tiene la expresión regular correcta. Si
una expresión está en el foco, el resaltado del espacio de trabajo solo refleja lo que puede coincidir con
esa expresión. Si la propiedad general está en el foco, el resaltado se vuelve verde y muestra lo que
puede coincidir con el conjunto de expresiones agregadas teniendo en cuenta el orden de prioridad.
En el campo Serie de formato, los grupos de capturas están representados por la notación $<número>.
Por ejemplo, $1 representa el primer grupo de capturas de la expresión regular, $2 es el segundo grupo
de capturas, etc.
Puede añadir varias expresiones regulares a la misma propiedad y puede asignar la preferencia
arrastrando y soltando las expresiones en la parte superior de la lista.
Un icono de aviso junto a cualquiera de las propiedades indica que se ha añadido ninguna expresión.
Pestaña Correlaciones de sucesos
En la pestaña Correlaciones de sucesos se visualizan todas las combinaciones de ID y categoría de suceso

que existen en el sistema para un tipo de origen de registro seleccionado. Si se crea una correlación de
suceso nueva, se añade a la lista de combinaciones de ID y categoría de suceso que se muestra en la
pestaña Correlaciones de sucesos. En general, la pestaña Correlaciones de sucesos muestra todas las
combinaciones de ID y categoría de suceso y los registros de QID con los que están correlacionadas.
Pestaña Configuración
Puede configurar el descubrimiento de propiedades automático para datos estructurados que están en
formato JSON. Los tipos de origen de registro tienen el descubrimiento de propiedades automático
desactivado de forma predeterminada.
Cuando habilite el Descubrimiento de propiedades automático en la pestaña Configuración, el motor de

descubrimiento de propiedades generará de forma automática propiedades nuevas para capturar todos
los campos que están presentas en los sucesos recibidos por un tipo de origen de datos. Puede configurar
el número de sucesos consecutivos que se inspeccionarán para las nuevas propiedades en el campo
Umbral de finalización de descubrimiento. Las propiedades recientemente descubiertas aparecen en la
pestaña Propiedades y se ponen a disposición para poder utilizarlas en las reglas e índices de búsqueda.
Sin embargo, si no se descubre ninguna propiedad nueva antes del umbral, el proceso de descubrimiento
se considera como finalizado y el Descubrimiento de propiedades automático de ese tipo de origen de
registro se inhabilita. Puede habilitar de forma manual el descubrimiento de propiedades automático en
la pestaña Configuración en cualquier momento.
Nota: Para inspeccionar sucesos para un tipo de origen de registro, debe asegurarse de establecer el valor
de Umbral de finalización de descubrimiento como 0.

“Propiedades en el Editor de DSM”
En el Editor de DSM, las propiedades del sistema normalizadas se combinan con las propiedades
personalizadas y están ordenadas alfabéticamente.
Propiedades en el Editor de DSM

Un DSM no puede tener varias propiedades con el mismo nombre.
La configuración de una propiedad del sistema difiere de la de una propiedad personalizada.
Propiedades del sistema
Las propiedades del sistema no se pueden suprimir pero puede alterar temporalmente el comportamiento
predeterminado. Hay dos tipos de propiedades del sistema:
Propiedad del sistema predefinida
Visualiza el comportamiento de QRadar predeterminado que se utiliza para el DSM.
Propiedad del sistema de alteración temporal
Las propiedades del sistema con una alteración temporal configurada (extensión de origen de
registro) muestran Alteración temporalmente en la línea de estado. Cuando una propiedad del
sistema tiene una alteración temporal, una extensión de origen de registro para ese DSM utiliza
las expresiones regulares especificadas para la configuración.
Propiedades personalizadas
Las propiedades personalizadas muestran Personalizado en la línea de estado.
Las propiedades personalizadas difieren de las propiedades del sistema de estas formas:
v En las propiedades personalizadas, se muestra Personalizada debajo del nombre.
v Las propiedades personalizadas no tienen el recuadro de selección Alterar temporalmente
comportamiento del sistema.
v Para hacer que una propiedad personalizada esté disponible para las reglas y la indexación de
búsquedas, seleccione el recuadro Habilitar esta propiedad para utilizarla en la indexación de
búsquedas y en reglas al crear una propiedad personalizada.
Nota: Cuando selecciona esta opción, QRadar intenta extraer la propiedad de los sucesos en cuanto
entran en el conducto. La información de propiedad extraída y el resto del registro de sucesos
persisten. No es necesario volver a extraer la propiedad cuando se utiliza en una búsqueda o informe.
Este proceso mejora el rendimiento cuando se recupera la propiedad, pero puede tener un impacto
negativo sobre el rendimiento durante la recopilación y el almacenamiento de sucesos.
v Las propiedades personalizadas deben tener una o más expresiones para ser válidas.
“Visión general Editor de DSM” en la página 133
En lugar de crear manualmente una extensión de origen de registro para arreglar problemas de análisis o
ampliar el soporte para tipos de origen de registro nuevos, utilice el Editor de DSM. El Editor de DSM
proporciona vistas diferentes de los datos. Puede utilizar el Editor de DSM para extraer campos, definir
propiedades personalizadas, categorizar sucesos y definir un definición de QID nueva.
“Definiciones de propiedad personalizada en el Editor de DSM” en la página 140
Puede definir una propiedad personalizada y reutilizar la misma propiedad en un DSM distinto. Utilice
estas propiedades en búsquedas, reglas y para especificar comportamiento definido por el usuario para
7 Proceso de datos de sucesos en QRadar 135

analizar valores en esos campos.
Configuración de propiedades en el Editor de DSM

Puede configurar propiedades en el Editor de DSM para modificar el comportamiento de una propiedad
de sistema alterada temporalmente o de la propiedad personalizada de un DSM.
Cuando sustituya el comportamiento de una propiedad del sistema, debe proporcionar una expresión
regular o JSON válida en la pestaña Propiedades. El campo Serie de formato es una combinación de
grupos de captura de expresión regular y caracteres literales. Esta serie se utiliza para cumplimentar
propiedades del sistema con uno o varios valores capturados de sucesos y con más caracteres de formato
o información inyectada. Por ejemplo, puede analizar una dirección IP y un puerto para combinarlos en
una serie. Si la expresión regular tiene dos grupos de captura, puede combinarlos mediante esta serie de
formato: $1:$2.
Atención: El Editor de DSM permite capturar referencias de grupo del 1 al 9 en cualquier coincidencia
específica dada. Si hace referencia a cualquier grupo por encima del 9, la extensión de origen de registro
no funcionará correctamente.
Debe configurar cada propiedad personalizada que crea. Debe proporcionar una expresión regular o
JSON y un grupo de captura válidos para una propiedad personalizada en la pestaña Propiedades.
También puede definir la selectividad y habilitar o inhabilitar su expresión.
“Definiciones de propiedad personalizada en el Editor de DSM” en la página 140
Cómo escribir una serie de formato en el Editor de DSM

Utilice el campo Serie de formato en la pestaña Configuración de propiedad para hacer referencia a
grupos de capturas definidos en la expresión regular. La referencia a los grupos de capturas se hace por
orden de prioridad.
Un grupo de capturas es cualquier expresión regular encerrada entre paréntesis. Para hacer referencia a
un grupo de capturas se utiliza una notación $n, donde n es un número de grupo que contiene una
expresión regular (regex). Puede definir varios grupos de capturas.
Por ejemplo, tiene una carga útil con las variables company y hostname.
"company":"ibm", "hostname":"localhost.com"
"company":"ibm", "hostname":"johndoe.com"
Puede personalizar el nombre de host de la carga útil para que visualice ibm.hostname.com mediante
grupos de capturas.
1. En el campo regex, especifique la expresión regular siguiente:
"company":"(.*?)".*"hostname":"(.*?)"
2. En el campo Serie de formato, especifique el grupo de capturas $1.$2 donde $1 es el valor de la
variable company (en este caso ibm) y $2 es el valor del nombre de host de la carga útil.
Se da la salida siguiente:
ibm.localhost.com
ibm.johndoe.com

Cómo escribir una expresión regular para registros bien estructurados
Los registros bien estructurados son un estilo de formato de sucesos que consta de un conjunto de
propiedades y se presenta de la forma siguiente:
<nombre_de_propiedad_1><carácter_de_asignación>
<valor_de_propiedad_1><carácter_delimitador>
<valor_de_propiedad_2><carácter_delimitador>
<valor_de_propiedad_3><carácter_delimitador>...
Utilice las siguientes directrices generales:

v El <carácter_de_asignación> es '=' o ':' o una secuencia de varios caracteres como por ejemplo '->'.
v El <carácter_delimitador> es un carácter de espacio en blanco (espacio o tabulador) o un delimitador de
lista, como por ejemplo una coma o un punto y coma.
v El <valor_de_propiedad> y a veces el <nombre_de_propiedad> se ponen entre comillas u otros caracteres de
encapsulado.
Por ejemplo, considere un suceso de inicio de sesión simple generado por un dispositivo o una
aplicación. El dispositivo puede informar de la cuenta de usuario que ha iniciado la sesión, la hora a la
que se ha producido el inicio de sesión y la dirección IP del sistema desde el que el usuario ha iniciado la
sesión. Un suceso de estilo par nombre/valor tendrá el aspecto del fragmento siguiente:
<13>Sep 09 22:40:40 9.2.45.12 action=login accountname=JohnDoe clientIP=9.21.23.24
timestamp=01/09/2016 22:40:39 UTC
Nota: La serie "<13>Sep 09 22:40:40 9.2.45.12" es una cabecera syslog. La serie no forma parte del cuerpo
del suceso.
La tabla siguiente muestra cómo se pueden capturar las propiedades del ejemplo de registro bien
estructurado especificado más arriba:
Tabla 26. Expresión regular para capturar propiedades de un registro bien estructurado
Propiedad Expresión regular
action action=(.*?)\t
accountname accountname=(.*?)\t
clientIP clientIP=(.*?)\t
timestamp timestamp=(.*?)\t
Los patrones que están encerrados entre corchetes denotan el grupo de capturas. Cada expresión regular
de la tabla captura todo después del signo igual (=) y antes del siguiente carácter de tabulación.
Cómo escribir expresiones regulares para registros de lenguaje

natural
Los registros en lenguaje natural se presentan en un formato de frases y cada tipo de suceso puede ser
tener diferente aspecto.
Por ejemplo, un suceso de inicio de sesión simple se puede presentar en el formato siguiente:
<13>Sep 09 22:40:40 9.2.45.12 La cuenta JohnDoe ha iniciado una acción de inicio de
sesión desde 9.21.23.24 a las 01/09/2016 22:40:39 UTC
En la tabla siguiente se muestra cómo se pueden capturar las propiedades de los registros en lenguaje
natural de ejemplo especificados más arriba:

Tabla 27. Expresión regular para capturar propiedades de un registro en lenguaje natural
Propiedad Regex
action se ha iniciado una acción (.*?)
accountname Cuenta (.*?) que se ha iniciado
clientIP desde (.*?) a
timestamp a las (.*?)
Nota: Escribir expresiones regulares para los registros en lenguaje natural requiere que mire la
información estática que rodea al valor que desea capturar antes de crear el grupo de capturas.
Cómo escribir una expresión para datos estructurados con formato

JSON
Los datos estructurados en formato JSON contienen una o varias propiedades, que se representan como
un par clave-valor.
Puede extraer propiedades de datos de suceso presentados en formato JSON escribiendo una expresión
JSON que coincida con la propiedad. La expresión JSON debe ser una ruta con el formato /"<nombre de
campo de nivel superior>".
Por ejemplo, tiene datos de suceso formateados en JSON:

{ "action": "login", "user": "John Doe" }
Para extraer la propiedad 'user', escriba la expresión /"user" en el campo Expresión.
Sin embargo, para datos de suceso con un formato JSON anidado, como el del siguiente ejemplo:
{ "action": "login", "user": { "first_name": "John", "last_name": "Doe" } }
puede extraer el 'last_name' del usuario escribiendo la expresión /"user"/"last_name" en el campo

Expresión.
Abrir el Editor de DSM

Puede abrir el editor de DSM desde la pestaña Actividad de registro o, si es administrador, puede abrirlo
desde la pestaña Admin. Por ejemplo si los sucesos que se envían al sistema no se manejan
adecuadamente, puede seleccionar los datos de suceso en la pestaña Actividad de registro y enviarlos al
Editor de DSM. Para sucesos que todavía no se han enviado al sistema, debe ser un administrador y
acceder al Editor de DSM desde la pestaña Admin.
Procedimiento
1. Para abrir el Editor de DSM desde la pestaña Admin, siga estos pasos:
b. En la sección Orígenes de datos, pulse Editor de DSM.
2. Para abrir el Editor de DSM desde la pestaña Actividad de registro, siga estos pasos:
a. Pulse la pestaña Actividad de registro.
b. Ponga en pausa los resultados entrantes y, a continuación, resalte uno o varios sucesos.
Importante: Si se selecciona más de un suceso de dos o más orígenes de registro, se le solicita que
seleccione en qué tipo de origen de registro desea operar. Solo puede seleccionar un único tipo de
origen de registro y solo los sucesos de la actividad de registro que coinciden con el tipo de origen
de registro seleccionado se añaden automáticamente al espacio de trabajo.

c. En el menú de navegación, seleccione Acciones > Editor de DSM
Configuración de un tipo de origen de registro

Con el Editor de DSM, puede configurar un nuevo tipo de origen de registro o utilizar uno existente en
IBM Security QRadar.
Puede configurar orígenes de registro para aplicaciones personalizadas y sistemas que a tengan un DSM
compatible. En lugar de utilizar un DSM universal (uDSM), puede crear un tipo de origen de registro
nuevo mediante el Editor de DSM. A continuación, puede asociar los sucesos entrantes y el contenido
adicional (propiedades personalizadas, búsquedas, reglas, etc.) con solo ese tipo de origen de registro.
Cuando se utiliza un uDSM para las fuentes de sucesos que no tienen un DSM compatible, el contenido
asociado se ejecuta contra todos estos sucesos. La ejecución de uDSM en este escenario no es buena para
el rendimiento del sistema.
Nota:
v El Editor de DSM funciona con un solo tipo de origen de registro a la vez.
v Puede suprimir tipos de origen de registro personalizados. Los tipos de origen de registro no se
presentarán como una opción cuando cree un origen de registro ni estarán disponibles para editar en el
Editor de DSM, aunque cualquiera de los orígenes de registro de este tipo permanezcan activos.
Procedimiento
2. En la sección Orígenes de datos, pulse Editor de DSM.
3. Crear un tipo de origen de registro o seleccione un tipo de origen de registro existente:
v Para crear un tipo de origen de registro nuevo, pulse en Crear nuevo y siga las solicitudes.
v Para buscar un tipo de origen de registro existente, utilice el campo Filtro y después pulse
Seleccionar.
Configuración del descubrimiento de propiedades automático para los

tipos de origen de registro
Puede configurar el descubrimiento automático de nuevas propiedades para un tipo de origen de
registro.
El descubrimiento de propiedades automático para un tipo de origen de registro está inhabilitado de

forma predeterminada. Se puede habilitar utilizando la pestaña Configuración. Cuando se habilita, se
generan de forma automática nuevas propiedades para capturar todos los campos que están presentes en
los sucesos que recibe el tipo de origen de registro seleccionado. Las propiedades recientemente
descubiertas aparecen en la pestaña Propiedades de Editor de DSM.
Nota: El descubrimiento de propiedades automático solo funciona con datos estructurados que tengan
formato JSON.
Procedimiento
2. En la sección Orígenes de datos, pulse Editor de DSM.

3. Seleccione un tipo de origen de registro o cree uno en la ventana Seleccionar tipo de origen de
registro.
4. Haga clic en el separador Configuración.
5. Pulse Habilitar descubrimiento de propiedades automático.
6. Seleccione el formato de datos estructurados para el tipo de origen de registro en la lista Formato de
descubrimiento de propiedades. El valor predeterminado es JSON.
7. Para habilitar las nuevas propiedades para utilizarlas en reglas y búsquedas, seleccione el recuadro
Habilitar esta propiedad para utilizarla en la indexación de búsquedas y en reglas.
8. En el campo Umbral de finalización de descubrimiento, establezca el número de sucesos
consecutivos que se inspeccionarán para nuevas propiedades.
Nota: Si no se descubre ninguna propiedad nueva después de inspeccionar el número de sucesos

consecutivos, el proceso de descubrimiento se considera como finalizado y se inhabilita el
descubrimiento de propiedades automático. Podrá habilitarlo otra vez de forma manual cuando lo
desee. Un valor de umbral 0 significa que el proceso de descubrimiento inspecciona siempre los
sucesos del tipo de origen de registro seleccionado.
9. Pulse Guardar.
Definiciones de propiedad personalizada en el Editor de DSM

Donde sea relevante, cada propiedad personalizada tiene un conjunto de opciones de configuración que
incluyen selectividad y análisis de fechas. Cada definición de propiedad personalizada dentro de una
configuración de DSM es un grupo ordenado que consta de un tipo de expresión, una expresión, un
grupo de capturas, una configuración de selectividad opcional y un botón de conmutador
habilitada/inhabilitada. No puede modificar los campos Nombre, Tipo de campo, Descripción, optimizar
ni ninguna opción avanzada para una propiedad personalizada en la pestaña Propiedades del Editor de
DSM.
Una propiedad personalizada está compartida entre todos los DSMs, mientras que las implementaciones
específicas para leer valores de cargas útiles están en el nivel de DSM.
La selectividad se especifica cuando configura una expresión para que se ejecute solo cuando se cumplen
ciertas condiciones.
Nota: Al campo Grupo de capturas de una propiedad personalizada no se le puede asignar un valor
mayor que el número de grupos de capturas de la expresión regular.
“Propiedades en el Editor de DSM” en la página 135
Selectividad
En el Editor de DSM puede restringir la ejecución de una propiedad personalizada a ciertos criterios para
un mejor rendimiento.
Los tipos de restricciones son los siguientes:

Por categoría de nivel superior y de nivel inferior
Solo se evalúa una propiedad cuando las categorías de nivel superior y nivel inferior coinciden

con una combinación específica. Por ejemplo, una propiedad solo se evalúa cuando se sabe que el
suceso tiene categoría de nivel superior Autenticación y una categoría de nivel inferior Cierre de
sesión de administrador.
Por QID específico
Una propiedad se evalúa solo cuando el suceso visto se correlaciona con un QID específico. Por
ejemplo, cuando el suceso se correlaciona con un QID Inicio de sesión fallido, la propiedad se
evalúa.
Expresiones
Puede definir expresiones para propiedades personalizadas en el Editor de DSM. Las expresiones son el
mecanismo que define el comportamiento de una propiedad. El componente principal de una expresión
es una expresión regular o json válida. Los datos que conforman una expresión dependen del tipo de
propiedad.
Para una propiedad personalizada, solo puede elegir un grupo de capturas de la expresión regular.
Creación de una propiedad personalizada

En el Editor de DSM, puede definir una propiedad personalizada para uno o varios tipos de orígenes de
registro cuyos sucesos no se ajusten al modelo de sucesos normalizados de IBM Security QRadar. Por
ejemplo, el conjunto de propiedades del sistema podría no ser capaz de capturar datos de algunas
aplicaciones, sistemas operativos, bases de datos y otros sistemas.
Puede crear una propiedad personalizada para aquellos datos que no se ajusten a las propiedades del
sistema de QRadar. Utilice las propiedades personalizadas en búsquedas y pruébelas comparándolas en
reglas.
Tabla 28. Parámetros de propiedades personalizadas
Nombre Nombre descriptivo de la propiedad personalizada que
crea.
Tipo de campo El valor predeterminado es Texto.
Nota: Cuando seleccione Número o Fecha en la lista

Tipo de campo, se muestran campos extra.
Habilitar esta propiedad para utilizarla en la Cuando se habilita, QRadar intenta extraer la propiedad
indexación de búsquedas y en reglas de los sucesos en cuanto entran en el sistema. La
información de la propiedad se conserva junto con el
resto del registro de sucesos y no necesita volver a
extraerse cuando se obtiene como parte de una búsqueda
o de un informe. Esto mejora el rendimiento cuando se
recupera la propiedad, pero puede tener un impacto
negativo sobre el rendimiento durante el proceso de
recopilación de sucesos y también sobre el
almacenamiento.
Nota: Para utilizar propiedades personalizadas en las

pruebas de reglas o la indexación de búsquedas, es
necesario marcar esta opción, porque la indexación y la
evaluación de reglas se produce antes de escribir los
sucesos en el disco.

Tabla 28. Parámetros de propiedades personalizadas (continuación)
Utilizar formato de número de un entorno local Este campo se muestra cuando se selecciona Número en
la lista Tipo de campo. Si marca la casilla de verificación
Utilizar formato de número de entorno local, debe
seleccionar un Formato de número extraído en la lista
que se muestra.
Formato de fecha/hora extraído Este campo se muestra cuando se selecciona Fecha en la
lista Tipo de campo. Debe proporcionar un patrón de
fecha y hora que coincida con la forma en que la fecha y
la hora aparecen en el suceso original.
Por ejemplo, 'MMM dd YYYY HH:mm:ss' es un patrón

de fecha y hora válido para una indicación de fecha y
hora, como 'Apr 17 2017 11:29:00'.
Entorno local Este campo se muestra cuando se selecciona Fecha en la
lista Tipo de campo. Debe seleccionar el entorno local
del suceso.
Por ejemplo, si el entorno local es Inglés, reconocerá

'Apr' como abreviatura del mes 'April'. Pero si el suceso
se presenta en francés y el token del mes es 'Avr' (por
Avril), establezca el entorno local como Francés o el
código no se reconocerá como una fecha válida.
Procedimiento
1. Para añadir una propiedad personalizada, pulse Añadir (+) en la pestaña Propiedades del Editor de
DSM.
2. Para crear una definición de propiedad personalizada nueva, utilice los pasos siguientes:
a. Seleccione Crear nuevo en la página Elegir una definición de propiedad personalizada a expresar.
b. En la página Crear una definición de propiedad personalizada nueva, especifique valores para
los campos Nombre, Tipo de campo y Descripción.
Nota: Cuando seleccione Número o Fecha en la lista Tipo de campo, se muestran campos extra.
c. Si desea extraer la propiedad de los sucesos conforme entran en el sistema, marque el recuadro de
selección Habilitar esta propiedad para utilizarla en la indexación de búsquedas y en reglas.
d. Pulse Guardar.
3. Para utilizar una propiedad personalizada existente, utilice estos pasos:
a. En la página Elegir una definición de propiedad personalizada a expresar busque una propiedad
personalizada existente en el campo Definiciones de filtro.
b. Pulse Seleccionar para añadir la propiedad personalizada.
4. Para configurar una propiedad personalizada, siga estos pasos:
a. Busque y seleccione la propiedad personalizada en la pestaña Propiedades. Las propiedades
personalizadas muestran la palabra Personalizado junto a ellas para diferenciarlas de las
propiedades del sistema.
b. Seleccione un tipo de expresión (Regex o JSON) en la lista Tipo de expresión.
c. Defina una expresión válida para la propiedad personalizada tomando como base el tipo de
expresión seleccionado en el paso b.
Nota:
v En Regex, la expresión debe ser una expresión regular compatible con java válida. La
coincidencia de mayúsculas y minúsculas solo es compatible si se utiliza el token (?i) al

comienzo de la expresión. El token (?i) se guarda en el archivo .xml de extensión de origen de
registro. Para utilizar otras expresiones, como (?s), edite manualmente el archivo .xml de
extensión de origen de registro.
v En JSON, la expresión debe ser una ruta con el formato /"<nombre de campo de nivel
superior>" con un /"<nombre de subcampo>" adicional para capturar los subcampos si hay
alguno.
d. Si el tipo de expresión es Regex, seleccione un grupo de captura.
e. Opcional: Para limitar una expresión para que se ejecuta con una determinada categoría, pulse
Editar para añadir la selectividad a la propiedad personalizada y seleccione una Categoría de
nivel alto y una Categoría de nivel bajo.
f. Opcional: Para limitar una expresión para que se ejecute solo con un determinado suceso o QID,
haga clic en Seleccionar suceso para buscar un QID concreto.
g. En la ventana Expresión, pulse Aceptar.
5. Para añadir varias expresiones y reordenarlas, siga estos pasos:
a. Pulse Añadir (+) en la parte superior de la lista de expresiones.
b. Arrastre y suelte expresiones por el orden en el que desea ejecutarlas.
Información relacionada:
Instrucciones sobre cómo definir un patrón de fecha y hora
Correlación de sucesos
En el Editor de DSM, la correlación de sucesos muestra todas las combinaciones de ID y categoría de
suceso que hay en el sistema.
Una correlación de sucesos representa una asociación entre una combinación de ID y categoría de suceso
y un registro QID (llamado categorización de suceso). Los valores de ID y categoría de suceso los extraen
los DSM de los sucesos y se utilizan a continuación para buscar las categorización de suceso o QID
correlacionados. Las categorizaciones de suceso almacenan metadatos adicionales para sucesos que quizás
no existan al pie de la letra en los datos de suceso en bruto, como por ejemplo un nombre y una
descripción legibles para una persona, un valor de gravedad o una asignación de categoría de nivel bajo.
La categorización de nivel bajo y la gravedad son útiles para la búsqueda y las definiciones de reglas.
Nota: Para entornos de varios arrendatarios, cualquier información de correlación o de categorización de

sucesos definida por el usuario que se defina en el Editor de DSM resulta visible para todos los
arrendatarios. Debe asegurarse de que no se pongan datos específicos de arrendatario en ningún nombre
o descripción de categorización de suceso.
Propiedades de identidad para correlaciones de sucesos

Los datos de identidad son un conjunto especial de propiedades del sistema que incluye Nombre de
usuario de identidad, IP de identidad, Nombre de NetBIOS de identidad, Campo ampliado de identidad,
Nombre de host de identidad, MAC de identidad, Nombre de grupo de identidad.
Cuando un DSM llena las propiedades de identidad, los datos de identidad se reenvían al servicio de
perfilador de activos que se ejecuta en la consola de IBM Security QRadar. El perfilador de activos se
utiliza para actualizar el modelo de activos añadiendo activos nuevos o actualizando la información sobre
activos existentes, incluidos los campos de activo Último usuario y Usuario visto por última vez,
cuando se proporciona un Nombre de usuario de identidad.
Los DSM de IBM Security QRadar pueden proporcionar datos de identidad para varios sucesos, como
por ejemplo los que establecen una asociación o una disociación entre propiedades de identidad. Esta
asociación o disociación es para el rendimiento y también para ciertos sucesos que proporcionan
información nueva o útil necesaria para actualizaciones de activo. Por ejemplo, un sucesos de inicio de
sesión establece una asociación nueva entre un nombre de usuario y un activo (una dirección IP, una
dirección MAC o un nombre de host o una combinación de ambos). El DSM genera datos de identidad
para cualesquiera sucesos de inicio de sesión que analice, pero los sucesos siguientes de tipos diferentes
que impliquen al mismo usuario no proporcionan información de asociación nueva. Por lo tanto, el DSM
no genera identidad para otros tipos de suceso.
Además los DSMs para servicios de DHCP pueden generar datos de identidad para sucesos asignados de
DHCP, ya que estos sucesos establecen una asociación entre una dirección IP y una dirección MAC. Los
DSMs para servicios de DNS generan información de identidad para sucesos que representan búsquedas
de DNS porque estos sucesos establecen una asociación entre una dirección IP y un nombre de host o
nombre de DNS.
Puede configurar el Editor de DSM para alterar temporalmente el comportamiento de las propiedades de
identidad. Sin embargo, a diferencia de otras propiedades del sistema, una propiedad de identidad
alterada temporalmente no tiene efecto a menos que esté vinculada a combinaciones específicas de ID de
suceso o Categoría de suceso (correlaciones de sucesos). Cuando se configuran alteraciones temporales de
propiedades de identidad configuradas, puede ir a la pestaña Correlaciones de sucesos y seleccionar una
correlación de sucesos para configurar propiedades de identidad específicas para ese suceso. Solo se
cumplimentan para un suceso las propiedades de identidad disponibles y capturadas por la expresión
regular o json propiedad configurada.
Nota: La propiedad Nombre de usuario de identidad es exclusiva y no se puede configurar

independientemente. Si hay propiedades de identidad habilitadas para una correlación de sucesos
determinada, la propiedad Nombre de usuario de identidad se cumplimenta automáticamente para el
suceso a partir del valor disponible de la propiedad Nombre de usuario.
Creación de una correlación y una categorización de sucesos

Una correlación de sucesos es una combinación de ID y categoría de suceso que se utiliza para
correlacionar un suceso con un QID. Con el Editor de DSM, puede crear una correlación de sucesos
nueva para correlacionar todos los sucesos desconocidos con una entrada en la correlación de QID.
Además, puede correlacionar los sucesos existentes con una categorización de sucesos recién creada
(QIDs) o con una existente en el sistema.
Procedimiento
1. Para añadir una correlación de sucesos, pulse en el icono Añadir (+) en la pestaña Correlación de
sucesos del Editor de DSM.
2. Especifique valores para los campos ID de suceso y categoría.
3. Para crear una categorización de suceso, utilice los pasos siguientes:
a. En la ventana Crear una correlación de sucesos nueva, pulse Elegir suceso.
b. En la página Categorizaciones de suceso, pulse Crear registro QID nuevo.
c. Especifique el valor para los campos Nombre, Descripción y seleccione un Tipo de origen de
registro, una Categoría de nivel alto, una Categoría de nivel bajo y una Gravedad.
d. Pulse Guardar para crear la categorización de suceso nueva.
4. Para utilizar una categorización de suceso existente, utilice estos pasos:
a. En la ventana Crear una correlación de sucesos nueva, pulse Elegir suceso.
b. Busque una Categorización de suceso existente en la ventana Categorización de suceso.
c. Seleccione una Categoría de nivel alto, una Categoría de nivel bajo, un Tipo de origen de
registro o un QID. Los resultados se muestran en el panel Resultados de búsqueda.
d. Pulse Aceptar para añadir la categoría de suceso.

Exportación de contenidos del Editor de DSM
Puede utilizar un script de herramienta de gestión de contenido para exportar contenido personalizado
creado en el Editor de DSM. El contenido se puede exportar desde un despliegue de IBM Security
QRadar e importar en otro despliegue de QRadar. También puede exportar contenido personalizado a
medios externos.
El Editor de DSM genera los tipos de contenido siguientes:

Tabla 29. Tipos de contenido del Editor de DSM
Tipo de contenido personalizado String ID
Propiedades personalizadas customproperty 6
Tipo de origen de registro sensordevicetype 24
Extensiones de origen de registro deviceextension 16
Entradas de QidMap personalizadas qidmap 27
El script contentManagement.pl se encuentra en el directorio /opt/qradar/bin
Exportación de contenido como un paquete

Puede utilizar el script de herramienta de gestión de contenido para buscar contenido específico creado
en el Editor de DSM. Este contenido se exportan como un paquete.
Procedimiento
2. Para buscar elementos de contenido específicos para exportar, escriba el mandato siguiente:
./contentManagement.pl -a search -c [tipo_contenido] -r [regex]
Por ejemplo, para buscar los elementos de contenido de un tipo de origen de registro, escriba el
mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a search -c 24 -r
"<nombre_búsqueda>"
3. Cree un archivo de texto que enumere el contenido que desea exportar.
Cada línea debe incluir el tipo de contenido personalizado, seguido de una lista de ID exclusivos
separados por comas para ese tipo.
Por ejemplo, para exportar tres tipos de origen de registro con el ID 24, ID 26 y el ID 95, todas las
propiedades personalizadas, cree un archivo de texto con las entradas siguientes:
sensordevicetype, 24,26,95
4. Exporte los elementos de contenido como un paquete mediante el mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a export -c package -f <archivo_origen>
Exportación de contenido para una sola propiedad personalizada

Puede utilizar el script de herramientas de gestión de contenido para exportar contenido para cada
propiedad personalizada que se crea desde la pestaña Propiedades del Editor de DSM.

Cuando se utiliza el Editor de DSM para crear propiedades personalizadas, se genera una entidad
customregistry para cada propiedad personalizada que se crea.

Procedimiento
2. Para buscar contenido específico para exportar, escriba el mandato siguiente:
Por ejemplo, para buscar el contenido de una propiedad personalizada, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a search -c 6 -r
"<nombre_de_propiedad_personalizada>"
3. Para exportar un contenido de propiedad personalizada, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a export -c [tipo_contenido]
-i [identificador_contenido]

8 Aplicaciones de QRadar
QRadar se suministra con dos aplicaciones preinstaladas que le permiten gestionar las aplicaciones y el
inventario de contenidos, así como la seguridad de las señales de autorización.
Las siguiente aplicaciones están preinstaladas en QRadar:

v Aplicación Asistente
Widgets de panel de instrumentos que muestran contenido recomendado, páginas de ayuda de IBM
Security QRadar, canales de información de Twitter y estado de actualización del contenido.
v Gestor de autorizaciones de aplicación
Gestione señales de autorización de la aplicación.
QRadar Aplicación Asistente

Utilice el panel de instrumentos IBM Security QRadar de la aplicación Asistente para gestionar el
inventario de extensión de contenido, mostrar recomendaciones de extensión del contenido y de la
aplicación y proporcionar un canal de información de Twitter para QRadar, así como información útil.
La aplicación Asistente de QRadar consta de los siguientes widgets del panel de control preinstalados:
Contenido recomendado
Consulte el contenido recomendado para usted, filtrado en función de los tipos de aplicación y
las características que configure en el perfil, así como en función de los orígenes de registro
detectados por la aplicación. Puede cambiar las preferencias siempre que lo desee o ver todas las
extensiones de QRadar.
Una extensión de QRadar puede ser una aplicación o una extensión de contenido descargada de
App Exchange. Utilice las extensiones de contenido para actualizar la información de las
plantillas de seguridad de QRadar o para añadir contenido nuevo, como reglas, informes,
búsquedas, logotipos, conjuntos de referencias y propiedades personalizadas. Las extensiones de
aplicación añaden funcionalidad, como paneles de control, columnas personalizadas y páginas
nuevas a la interfaz de usuario de QRadar.
Centro de ayuda de QRadar
Consulte información y vídeos sobre QRadar en el widget del panel de control Centro de ayuda
de QRadar. Puede ver tutoriales en vídeo, escuchar conversaciones de Open Mics, participar en
foros, leer documentación de QRadar y boletines y utilizar los enlaces para localizar los recursos
de QRadar que necesite para gestionar el despliegue de QRadar.
Contenido con actualizaciones disponibles
Consulte las actualizaciones de una aplicación instalada o una extensión de contenido en App
Exchange.
Canales de información de Twitter de @ AskibmSecurity
Consulte los canales de información de Twitter para IBM Security QRadar en @AskIBMSecurity
(https://twitter.com/AskIBMSecurity).
Configuración de la aplicación Asistente de QRadar

Configure valores de acceso y preferencias para la aplicación Asistente. Puede configurar preferencias
para que la Aplicación presente el contenido más adecuado.

Procedimiento
1. Pulse la pestaña Panel de control.
2. Para configurar valores de acceso y preferencias de aplicación, realice los siguientes pasos:
a. Pulse el icono del perfil en el widget Contenido recomendado.
Nota: También puede configurar estos valores en la pestaña Admin de QRadar pulsando
Aplicaciones > Asistente de QRadar y, a continuación, pulse el icono Valores de Asistente de
SOC.
b. Haga clic en el enlace Gestionar servicios autorizados para abrir la página Servicios autorizados
donde podrá crear una señal de autenticación y pegarla después en el campo Señal de SEC.
Haga clic en el enlace Cómo generar la señal de SEC para obtener más información sobre cómo
crear señales de SEC.
c. Opcional: Para añadir un proxy para acceder a Internet, especifique los detalles del proxy.
d. Pulse Cómo obtener una clave de API y una contraseña y siga las instrucciones.
Nota: Debe tener un ID de IBM para poder utilizar la API de XFE.

La API de X-Force Exchange (XFE) (https://exchange.xforce.ibmcloud.com/marketplace)
proporciona acceso a través de un programa a X-Force Exchange. Cada llamada en la API admite
una función de la plataforma X-Force Exchange.
e. Configure Preferencias de la aplicación y luego haga clic en la flecha situada en la parte inferior
de la pantalla.
v Seleccione Aplicación para ver solo las aplicaciones con los tipos incluidos en la lista de
aplicaciones. Para ver las extensiones que se relacionan con contenido específico, como las reglas
personalizadas o los informes, seleccione ese tipo para ver todas las extensiones relacionadas.
v Seleccione una característica específica, por ejemplo, Programa malicioso o Gestión de acceso e
identidad en la lista de características de seguridad para limitar la búsqueda.
v Especifique códigos como "base de datos" en el cuadro de texto de códigos personalizados para
limitar la búsqueda.
Nota: La aplicación Asistente identifica los orígenes de registro que utiliza QRadar y muestra las
aplicaciones o los paquetes de contenidos adecuados en el widget Contenido recomendado.
f. Pulse Hecho en la página ¡Configuración completa!.
Información relacionada:
https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.1/com.ibm.qradar.doc/
c_qradar_adm_man_auth_service.html
Mejora de la seguridad de la autorización de aplicaciones con el

Gestor de autorizaciones de aplicación
El Gestor de autorizaciones de aplicación mejora la seguridad de la autorización de las aplicaciones dado
que permite editar o modificar las señales de autorización existentes.
Cuando instale una aplicación que solicite una señal de autorización OAuth para acceder a los recursos
de QRadar, se creará una señal de autorización OAuth y se añadirá un registro que represente la señal en
el aplicación Gestor de autorizaciones de aplicación. El registro se identifica mediante el Nombre de la
aplicación y el ID de la aplicación e incluye el nivel de acceso de usuario que se ha asignado a la
aplicación para acceder a recursos de QRadar.

Procedimiento
2. Pulse Aplicaciones > Gestor de autorizaciones de aplicación para abrir la aplicación.
3. Para cambiar los usuarios que tienen asignada la señal de autorización OAuth, haga clic en Editar, y,
a continuación, seleccione los usuarios que estén disponibles en la lista.
Por ejemplo, si no desea utilizar el usuario Admin y hay otro usuario disponible en la lista, podrá
cambiar a un usuario con las capacidad solicitadas que se hayan definido en el archivo de manifiesto
de la aplicación. Los usuarios que aparezcan en la lista tendrán la capacidad que la aplicación exige
para poder ejecutarse.
4. Para suprimir una señal de autorización OAuth, pulse Eliminar para eliminar un registro. Es posible
que desee suprimir una señal que ya no esté en uso o que desee eliminar la autorización de
aplicación.
8 Aplicaciones de QRadar 149

9 Uso de datos de referencia en QRadar
Utilice las recopilaciones de datos de referencia para almacenar y gestionar datos de negocio con los que
desea correlacionar los sucesos y los flujos de su entorno de IBM Security QRadar. Puede añadir datos de
negocio o datos de orígenes externos a una recopilación de datos de referencia y a continuación utilizar
los datos de búsquedas, filtros, condiciones de prueba de regla y respuestas de regla de QRadar,
Las recopilaciones de datos de referencia se almacenan en la consola de QRadar, pero las recopilaciones
se copian regularmente en cada host gestionado. Para un mejor rendimiento en las búsquedas de datos, el
host gestionado guarda en la memoria caché los valores de datos referidos con más frecuencia.
Datos de inteligencia de amenaza externa
Puede utilizar recopilaciones de datos de referencia para integrar el indicador de datos de compromiso
(IOC) de proveedores de terceros en QRadar. QRadar utiliza datos de IOC para detectar más rápidamente
un comportamiento sospechoso, lo que ayuda a los analistas de seguridad a investigar amenazas y
responder a incidentes con más rapidez.
Por ejemplo, puede importar datos de IOC, como por ejemplo direcciones IP, nombres de DNS, URLs y
MD5s, de proveedores de datos de amenazas basados en suscripción y correlacionarlos con sucesos e
incidentes que se están produciendo en su red.
Datos de negocio
Las recopilaciones de datos de referencia pueden contener datos de negocio que sean específicos de su
organización, como por ejemplo una lista de usuarios con privilegios de acceso al sistema. Utilice los
datos de negocio para crear listas negras y listas blancas.
Por ejemplo, puede utilizar un conjunto de referencia que contiene los ID de usuario de empleados
despedidos para impedir que inicien sesión en la red. O puede utilizar datos de negocio para crear una
lista blanca que solo permita a un conjunto limitado de direcciones IP realizar funciones específicas.

Tipo de recopilaciones de datos de referencia
Hay diferentes tipos de recopilaciones de datos de referencia y cada tipo puede gestionar niveles
diferentes de complejidad de datos. Los tipos más comunes son conjuntos de referencia y correlaciones de
referencia.
Tabla 30. Tipo de recopilaciones de datos de referencia
Tipo de
recopilación Descripción Uso
Conjunto de Una recopilación de valores exclusivos sin Utilice un conjunto de referencia para comparar
referencia un orden determinado. un valor de propiedad contra una lista, como
por ejemplo direcciones IP o nombres de
Puede crear un conjunto de referencia usuario.
utilizando QRadar, la línea de mandatos o la
API RESTful. Por ejemplo, puede verificar si el LoginID que
se ha utilizado para iniciar la sesión está
asignado a un usuario.
Correlación de Una recopilación de datos que correlaciona Utilice una correlación de referencia para
referencia una clave exclusiva con un valor. verificar una combinación exclusiva de dos
valores de propiedad.
Cree una correlación de referencias
utilizando la línea de mandatos o la API Por ejemplo, para correlacionar la actividad de
RESTful. usuario en su red puede crear una correlación
de referencia que utiliza el parámetro LoginID
como una clave y el Nombre de usuario como
un valor.
Correlación de Una recopilación de datos que correlaciona Utilice una correlación de referencia de
referencia de una clave con varios valores. Cada clave es conjuntos para verificar una combinación de
conjuntos exclusiva y se correlaciona con un conjunto dos valores de propiedad contra una lista.
de referencia.
Por ejemplo, para comprobar el acceso
Puede crear una correlación de referencia de autorizado a una patente, puede crear una
conjuntos utilizando la línea de mandatos o correlación de conjuntos que utiliza una
la API RESTful. propiedad de suceso personalizada para ID de
patente como la clave y el parámetro Nombre de
usuario como valor. Utilice la correlación de
conjuntos para llenar una lista de usuarios
autorizados.
Correlación de Una recopilación de datos que correlaciona Utilice una correlación de referencia de
referencia de una clave con otra clave que después se correlaciones para verificar una combinación de
correlaciones correlaciona con un solo valor. Cada clave es tres valores de propiedad.
exclusiva y se correlaciona con una
correlación de referencia. Por ejemplo, en el caso de violaciones de banda
ancha de red, puede crear una correlación de
Cree una correlación de referencias correlaciones que utiliza el parámetro IP de
utilizando la línea de mandatos o la API origen como la primera clave, el parámetro
RESTful. Aplicación como la segunda clave y el
parámetro Bytes totales como valor.
Tabla de referencia Similar a una correlación de correlaciones Utilice una tabla de referencia para verificar
pero la segunda clave se asigna a un tipo de una combinación de tres valores de propiedad,
datos. cuando una de las propiedades es un tipo de
datos específico.
Cree una tabla de referencias utilizando la
línea de mandatos o la API RESTful. Por ejemplo, puede crear una tabla de
referencia que almacena Nombre de usuario
como primera clave, IP de origen como la
segunda clave con un tipo de datos asignado
cidr y Puerto de origen como valor.

Si desea utilizar los mismos datos de referencia en QRadar SIEM y QRadar Risk Manager, utilice un
conjunto de referencia. No puede utilizar otros tipos de recopilaciones de datos de referencia con QRadar
Risk Manager.
Visión general de los conjuntos de referencia

Utilice los conjuntos de referencia de IBM Security QRadar para almacenar datos en formato de lista
simple.
Puede llenar el conjunto de referencia con datos externos, como por ejemplo indicadores de compromiso
(IOCs) o puede utilizarlo para almacenar datos de negocio, tales como direcciones IP y nombres de
usuario, que se recopilan de los sucesos y flujos que se producen en la red.
Un conjunto de referencia contiene valores exclusivos que se pueden utilizar en búsquedas, filtros,
condiciones de prueba de regla y respuestas de regla. Utilice las reglas para probar si un conjunto de
referencia contiene un elemento de datos o configure la respuesta de regla para añadir datos a un
conjunto de referencia. Por ejemplo, puede crear una regla que detecta cuándo un empleado accede a un
sitio web prohibido y configurar la respuesta de regla para añadir la dirección IP o el nombre de usuario
del empleado a un conjunto de referencia.
Para obtener más información sobre la configuración de respuestas de regla para añadir datos a un
conjunto de referencia, consulte Guía del usuario de IBM Security QRadar.
Los conjuntos de referencia son el único tipo de recopilación de datos de referencia que puede gestionar
en QRadar. También puede utilizar la línea de mandatos y la interfaz de documentación de la API Restful
API para gestionar conjuntos de referencia.
“Crear recopilaciones de datos de referencia utilizando la línea de mandatos” en la página 157
Puede utilizar la línea de mandatos para gestionar recopilaciones de datos de referencia que no se
pueden gestionar en IBM Security QRadar, como por ejemplo correlaciones de referencia, correlación de
conjuntos, correlación de correlaciones y tablas. Aunque es más fácil gestionar conjuntos de referencia
utilizando QRadar, utilice la línea de mandatos cuando desee planificar tareas de gestión.
“Crear recopilaciones de datos de referencia con las API” en la página 161
Puede utilizar API (Application Program Interface) para gestionar las recopilaciones d datos de referencia
de IBM Security QRadar.
Adición, edición y supresión de conjuntos de referencia

Utilice un conjunto de referencia para comparar un valor de propiedad, como por ejemplo una dirección
IP o un nombre de usuario con una lista. Puede utilizar conjuntos de referencia con reglas para mantener
listas de observación. Por ejemplo, puede crear una regla para detectar cuándo un empleado accede a un
sitio web prohibido y a continuación, añadir la dirección IP de ese empleado a un conjunto de referencia.
Después de añadir datos al conjunto de referencia, los parámetros Número de elementos y Reglas
asociadas se actualizan automáticamente.
Cuando edita un conjunto de referencia, puede cambiar los valores de datos pero no puede cambiar el
tipo de datos que el conjunto de referencia contiene.
Antes de suprimir un conjunto de referencia, QRadar ejecuta una comprobación de dependencia para ver
si el conjunto de referencia tiene reglas asociadas.
9 Uso de datos de referencia en QRadar 153

Nota: Si utiliza técnicas para ocultar datos sobre las propiedades de sucesos que desea comparar con los
datos del conjunto de referencia, utilice un conjunto de referencia alfanumérico y añada los valores de los
datos ocultos.
Procedimiento
2. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
3. Para añadir un conjunto de referencia:
a. Pulse Añadir y configure los parámetros.
Más información sobre parámetros de conjunto de referencia:
La tabla siguiente describe cada uno de los parámetros utilizados para configurar un conjunto de
referencia.
Tabla 31. Parámetros de conjunto de referencia
Nombre La longitud máxima del nombre del conjunto de referencia es 255 caracteres.
Tipo Seleccione los tipos de datos de los elementos de referencia. No se puede editar el
parámetro Tipo después de crear un conjunto de referencia.
El tipo IP almacena direcciones IPv4. Alfanumérico (sin distinción de

mayúsculas/minúsculas) pasa automáticamente cualquier valor alfanumérico a
minúsculas.
Para comparar propiedades ofuscadas de suceso y flujo con los datos de referencia,
debe utilizar un conjunto de referencia alfanumérico.
Tiempo de vida de Especifica cuándo QRadar suprime automáticamente elementos del conjunto de
elementos referencia. Vive para siempre es el valor predeterminado.
Si especifica una cantidad de tiempo, indique si el intervalo de tiempo de vida está

basado en la primera o la última vez que se vieron los datos.
Cuando un conjunto de referencia caduca, se desencadena un suceso de Caducidad

de datos de referencia. El suceso contiene el nombre del conjunto de datos de
referencia y el valor del elemento.
b. Pulse Crear.
4. Pulse Editar o Suprimir para trabajar con los conjuntos de referencia existentes.
Consejo: Para suprimir varios conjuntos de referencia, utilice el cuadro de texto Búsqueda rápida
para buscar los conjuntos de referencia que desea suprimir y a continuación pulse Suprimir listados.
“Visualización del contenido de un conjunto de referencia” en la página 155
Puede ver información sobre los elementos de datos del conjunto de referencia, como por ejemplo la
asignación de dominio, la caducidad de los datos y cuándo se ha visto el elemento por última vez en la
red.
“Seguimiento de las cuentas de usuario caducadas” en la página 164
Puede utilizar las recopilaciones de datos de referencia para identificar datos obsoletos, tales como
cuentas de usuario caducadas, en el entorno de IBM Security QRadar.

Visualización del contenido de un conjunto de referencia
Puede ver información sobre los elementos de datos del conjunto de referencia, como por ejemplo la
asignación de dominio, la caducidad de los datos y cuándo se ha visto el elemento por última vez en la
red.
Procedimiento
3. Seleccione un conjunto de referencia y pulse Ver contenido.
4. Pulse la pestaña Contenido para ver información sobre cada elemento de datos.
Consejo: Utilice el campo de búsqueda para filtrar todos los elementos que coincidan con una
palabra clave. No se puede hacer búsquedas de datos en la columna Tiempo de vida.
Más información sobre los elementos de datos:
La tabla siguiente describe la información que se muestra para cada elemento de datos en el conjunto
de referencia.
Tabla 32. Información sobre los elementos de datos de conjunto de referencia
Dominio Los usuarios arrendatarios que tienen acceso a un dominio, los
administradores de MSSP, y los usuarios que no tienen una
asignación de arrendatario pueden ver los datos de referencia
específicos de ese dominio, Los usuarios de todos los arrendatarios
pueden ver los datos de referencia compartidos.
Valor El elemento de datos que se almacena en el conjunto de referencia.
Por ejemplo, el valor puede mostrar nombres de usuario o direcciones
IP.
Origen Muestra el nombre de usuario cuando el elemento de datos se añade
manualmente y el nombre de archivo cuando los datos se añaden
importándolos desde un archivo externo. Muestra el nombre de regla
cuando se añade el elemento de datos como respuesta a una regla.
Tiempo de vida Tiempo que queda hasta que este elemento se elimine del conjunto de
referencia.
Fecha de última aparición Fecha y hora en que este elemento se ha detectado por última vez en
la red.
5. Pulse en la pestaña Referencias para ver las reglas que utilizan el conjunto de referencia en una
prueba de regla o una respuesta de regla.
Tabla 33. Parámetros de la pestaña Contenido
Nombre de regla Nombre de la regla configurada para utilizar el conjunto de referencia.
Grupo El grupo al que pertenece la regla.
Categoría Muestra si la regla es una regla personalizada o una regla de detección de
anomalías.
Tipo Muestra suceso, flujo, común o delito para indicar el tipo de datos
contra el que se prueba la regla.
Habilitado Una regla debe estar habilitada para que el motor de reglas
personalizadas la evalúe.

Tabla 33. Parámetros de la pestaña Contenido (continuación)
Respuesta Respuestas que se han configurado para esta regla.
Origen Sistema indica que se trata de una regla predeterminada.
Modificado indica que una regla predeterminada se ha personalizado.
Usuario indica que se trata de una regla creada por el usuario.
6. Para ver o editar una regla asociada, efectúe una doble pulsación sobre la regla en la lista Referencias
y complete el asistente de regla.
Adición de elementos a un conjunto de referencia

Añada elementos a un conjunto de referencia cuando desee que IBM Security QRadar compare una
propiedad con el valor del elemento. Utilice QRadar para añadir manualmente elementos a un conjunto
de referencia o para importar elementos de un archivo .csv.
Antes de empezar
Para importar elementos, asegúrese de que el archivo .csv está almacenado localmente.
Puede asignar datos de referencia a un dominio específico. Los usuarios arrendatarios que tienen acceso a
un dominio, los administradores de MSSP, y los usuarios que no tienen una asignación de arrendatario
pueden ver los datos de referencia específicos de ese dominio, Los usuarios de todos los arrendatarios
pueden ver los datos de referencia compartidos. Por ejemplo, los usuarios de MSSP que no son
administradores pueden ver datos de referencia asignados a un dominio.
Procedimiento
3. Seleccione el conjunto de referencia que desea añadir a los elementos y pulse Ver contenido.
4. Pulse la pestaña Contenido.
5. Para añadir manualmente elementos de datos, siga estos pasos:
a. Pulse Añadir y configure los parámetros.
Los valores de puerto válidos son 0 - 65535. Las direcciones IP válidas van de 0 a 255.255.255.255.
Nota: Si utiliza técnicas de ofuscación de datos en las propiedades de suceso que desea comparar
con los datos de conjunto de referencia, debe utilizar un conjunto de referencia alfanumérico que
contenga los valores de datos ofuscados.
b. Pulse Añadir.
6. Para añadir elementos de un archivo .csv, siga estos pasos:
a. Pulse Importar.
b. Pulse Seleccionar archivo y examine para seleccionar el archivo .csv que desea importar.
El archivo .csv debe tener todos los elementos separados por comas en una sola línea o cada
elemento en una línea aparte. No se necesita un delimitador cuando cada elemento está en una
línea aparte.
c. Seleccione el Dominio al que desea añadir los datos de conjunto de referencia.
d. Pulse Importar. La importación añade el contenido del archivo de texto al conjunto de referencia.

Exportación de elementos de un conjunto de referencia
Exporte elementos de conjunto de referencia a un archivo .csv cuando desee incluir la información en
informes o compartir la información con personas que no utilizan IBM Security QRadar.
Procedimiento
3. Seleccione el conjunto de referencia que desea exportar y pulse Ver contenido.
4. Pulse la pestaña Contenido y pulse Exportar.
5. Elija si desea abrir el archivo inmediatamente o guardarlo y pulse Aceptar.
Supresión de elementos de un conjunto de referencia

Puede que tenga que suprimir elementos de un conjunto de referencia cuando se añada un elemento a un
conjunto de referencia con un error, o cuando ya no necesite comparar el elemento con otras propiedades
de IBM Security QRadar. Por ejemplo, deberá eliminar un activo que se haya añadido por error a una
lista negra de exclusión de activos.
Procedimiento
3. Seleccione el conjunto de referencia que contiene los elementos que desea suprimir y pulse Ver
contenido.
4. Pulse la pestaña Contenido y elija una de las opciones siguientes:
v Para suprimir un elemento, seleccione el elemento de la lista y pulse Suprimir.
v Para suprimir varios elementos, utilice el cuadro de búsqueda para filtrar la lista y mostrar solo los
elementos que desea suprimir y a continuación pulse Suprimir listados.
Crear recopilaciones de datos de referencia utilizando la línea de

mandatos
Puede utilizar la línea de mandatos para gestionar recopilaciones de datos de referencia que no se
pueden gestionar en IBM Security QRadar, como por ejemplo correlaciones de referencia, correlación de
conjuntos, correlación de correlaciones y tablas. Aunque es más fácil gestionar conjuntos de referencia
utilizando QRadar, utilice la línea de mandatos cuando desee planificar tareas de gestión.
Utilice el script ReferenceSetUtil.sh para gestionar conjuntos de referencia. Utilice el script

ReferenceDataUtil.sh para gestionar todos los demás tipos de recopilaciones de datos de referencia.
Cuando utiliza un archivo externo para llenar la recopilación de datos de referencia, la primera línea no
comentada del archivo identifica los nombres de columna de la recopilación de datos de referencia. Cada
línea posterior es un registro de datos que se añade a la recopilación. Mientras que el tipo de datos de los
valores de la recopilación de referencia se especifica cuando se crea la recopilación, cada clave es una
serie alfanumérica.
La tabla siguiente muestra ejemplos de cómo formatear datos en un archivo externo que se vaya a
utilizar para llenar correlaciones de referencia.

Tabla 34. Formato de los datos de un archivo externo que se va a utilizar para llenar recopilaciones de datos de
referencia
Tipo de recopilación de
referencia Ejemplos de formateo de datos
Correlación de referencia key1,data
key1,value1
key2,value2
Correlación de referencia de key1,data
conjuntos
key1,value1
key1,value2
Correlación de referencia de key1,key2,data
correlaciones
map1,key1,value1
map1,key2,value2
También puede crear recopilaciones de datos de referencia mediante el punto final /reference_data de la
API RESTful de QRadar.
Procedimiento
2. Vaya al directorio /opt/qradar/bin.
3. Para crear la recopilación de datos de referencia, escriba el mandato siguiente:
./ReferenceDataUtil.sh create name
[SET | MAP | MAPOFSETS | MAPOFMAPS | REFTABLE]
[ALN | NUM | IP | PORT | ALNIC | DATE]
[-timeoutType=[FIRST_SEEN | LAST_SEEN]] [-timeToLive=]
4. Para llenar la correlación con los datos de un archivo externo, escriba el mandato siguiente:
./ReferenceDataUtil.sh load nombre nombre_archivo
[-encoding=...] [-sdf=" ... "]
Ejemplo
A continuación se muestran algunos ejemplos de cómo utilizar la línea de mandatos para crear diferentes
tipos de recopilaciones de datos de referencia:
v Crear una correlación alfanumérica:
./ReferenceDataUtil.sh create testALN MAP ALN
v Crear una correlación de conjuntos que contenga valores de puerto que caducarán 3 horas después de
la última vez que se hayan visto:
./ReferenceDataUtil.sh create testPORT MAPOFSETS PORT
-timeoutType=LAST_SEEN -timeToLive=’3 hours’
v Crear una correlación de correlaciones que contenga valores numéricos que caducarán 3 horas y 15
minutos después de la primera vez que se hayan visto:
./ReferenceDataUtil.sh create testNUM MAPOFMAPS
NUM -timeoutType=FIRST_SEEN -timeToLive=’3 horas 15 minutos’
v Crear una tabla de referencia en la que el formato predeterminado sea alfanumérico:
./ReferenceDataUtil.sh create testTable REFTABLE
ALN -keyType=ipKey:IP,portKey:PORT,numKey:NUM,dateKey:DATE

Inicie sesión en QRadar para crear reglas que añadan datos a las recopilaciones de datos de referencia.
También puede crear pruebas de reglas que detecten si hay actividad por parte de los elementos que se
encuentran en la recopilación de datos de referencia.
“Visión general de los conjuntos de referencia” en la página 153
simple.
Referencia de mandatos para programas de utilidad de datos de

referencia
Puede gestionar las recopilaciones de datos de referencia mediante los programas de utilidad
ReferenceSetUtil.sh y ReferenceDataUtil.sh en la línea de mandatos. Los mandatos que aparecen en la
lista siguiente se pueden utilizar con ambos scripts.
Create
Crea una recopilación de datos de referencia.
nombre
Nombre de la recopilación de datos de referencia.
[SET | MAP | MAPOFSETS | MAPOFMAPS | REFTABLE]
Tipo de la recopilación de datos de referencia. El script ReferenceSetUtil.sh solo crea conjuntos de
referencia.
[ALN | ALNIC | NUM | IP | PORT | DATE]
Tipo de datos del conjunto de referencia.
v ALN especifica valores alfanuméricos. Este tipo de datos da soporte a las direcciones IPv4 e IPv6.
v ALNIC especifica valores alfanuméricos, pero las pruebas de regla ignoran el caso. Este tipo de datos
da soporte a las direcciones IPv4 e IPv6.
v NUM especifica valores numéricos.
v IP especifica direcciones IP. Este tipo de datos solamente da soporte a la dirección IPv4.
v PORT especifica direcciones de puertos.
v DATE especifica valores de fecha.
[-timeoutType=[FIRST_SEEN | LAST_SEEN]]
Especifica si la cantidad de tiempo que los elementos de datos permanecen en la recopilación de
datos de referencia se calcula desde el momento en que el elemento se ha visto por primera vez o por
última vez.
[-TimeToLive='']
Cantidad de tiempo que los elementos de datos permanecen en la recopilación de datos de referencia.
[-keyType=name:elementType,name:elementType,...]
Parámetro REFTABLE obligatorio que consta de pares de nombre de clave y ELEMENTTYPE.
[-key1Label='']
Etiqueta opcional para key1, o la clave primaria. Una clave es un tipo de información, como por
ejemplo una dirección IP.
[-valueLabel='']
Etiqueta opcional para los valores de la recopilación.
Update
Actualiza una recopilación de datos de referencia.

nombre
[-timeoutType=[FIRST_SEEN | LAST_SEEN]]
Especifica si la cantidad de tiempo que los elementos de datos permanecen en la recopilación de
datos de referencia se calcula desde el momento en que el elemento se ha visto por primera vez o por
última vez.
[-timeToLive='']
Cantidad de tiempo que los elementos de datos permanecen en la recopilación de datos de referencia.
[-keyType=name:elementType,name:elementType,...]
Parámetro REFTABLE obligatorio que consta de pares de nombre de clave y elementType.
[-key1Label='']
Etiqueta opcional para key1.
[-valueLabel='']
Etiqueta opcional para los valores de la recopilación.
Add
Añade un elemento de datos a una recopilación de datos de referencia.
nombre
<valor> <clave1> [clave2]
Par de clave-valor que desea añadir. Las claves son series de caracteres alfanuméricos.
v AP y MAPOFSETS requieren la clave 1.
v MAPOFMAPS y REFTABLE requieren la clave 1 y la clave de segundo nivel 2.
[-sdf=" ... "]
Serie de formato de fecha simple que se utiliza para analizar los datos de fecha.
Delete
Suprime un elemento de una recopilación de datos de referencia.
nombre
<valor> <clave1> [clave2]
Par de clave-valor que desea suprimir. Las claves son series de caracteres alfanuméricos.
v MAP y MAPOFSETS requieren la clave 1.
v MAPOFMAPS y REFTABLE requieren la clave 1 y la clave de segundo nivel 2.
[-sdf=" ... "]
Remove
Elimina una recopilación de datos de referencia.
nombre
Purge
Purga todos los elementos de una recopilación de datos de referencia.
nombre
List
Lista los elementos de una recopilación de datos de referencia.

nombre
[displayContents]
Lista todos los elementos de una recopilación de datos de referencia.
Listall
Lista todos los elementos de todas las recopilaciones de datos de referencia.
[displayContents]
Lista todos los elementos de todas las recopilaciones de datos de referencia.
Load
Llena una recopilación de datos de referencia con datos de un archivo .csv externo.
nombre
nombre_archivo
Nombre de archivo completo que se cargará. Cada línea del archivo representa un registro que se
añadirá a la recopilación de datos de referencia.
[-encoding=...]
Codificación que se utiliza para leer el archivo.
[-sdf=" ... "]
Crear recopilaciones de datos de referencia con las API

Puede utilizar API (Application Program Interface) para gestionar las recopilaciones d datos de referencia
Procedimiento
1. Utilice un navegador web para acceder a https://<IP de consola>/api_doc e iniciar la sesión como
administrador.
2. Seleccione la última iteración de la API de IBM Security QRadar.
3. Seleccione el directorio /reference_data.
4. Para crear un nuevo conjunto de referencia, siga estos pasos:
a. Seleccione /sets.
b. Pulse en POST y especifique la información relevante en los campos Valor.
Más información sobre los parámetros para crear un conjunto de referencia:
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear un
conjunto de referencia:
Tabla 35. Parámetros - Conjunto de referencia
Parámetro Tipo Valor Tipo de datos Tipo de MIME Ejemplo
element_type consulta (obligatorio) String text/plain String <una de
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
name consulta (obligatorio) String text/plain String

Tabla 35. Parámetros - Conjunto de referencia (continuación)
fields consulta (opcional) String text/plain field_one
(field_two,
field_three),
field_four
time_to_live consulta (opcional) String text/plain String
timeout_type consulta (opcional) String text/plain String <una de
las siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
c. Pulse en ¡Inténtelo!. para terminar de crear la recopilación de datos de referencia y ver los
resultados.
5. Para crear una nueva correlación de referencia, siga estos pasos.
a. Pulse en /maps.
Más información sobre los parámetros para crear una correlación de referencia:
En la tabla siguiente se proporciona información sobre los parámetros necesarios para crear una
correlación de referencia:
Tabla 36. Parámetros - Correlación de referencia
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
(field_two,
field_three),
field_four
key_label consulta (opcional) String text/plain String
las siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
value_label consulta (opcional) String text/plain String
c. Pulse en ¡Inténtelo!. para terminar de crear la recopilación de datos de referencia y ver los
resultados.
6. Para crear una nueva correlación de referencia de conjuntos, siga estos pasos.
a. Seleccione /map_of_sets.
Más información sobre los parámetros para crear una correlación de referencia de conjuntos:

correlación de referencia de conjuntos:
Tabla 37. Parámetros - Correlación de referencia de conjuntos
las siguientes:
ALN, NUM, IP,
PORT, ALNIC,
DATE>
(field_two,
field_three),
field_four
key_label consulta (opcional) String text/plain String
las siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
value_label consulta (opcional) String text/plain String
c. Pulse en ¡Inténtelo! para terminar de crear la recopilación de datos de referencia y ver los
resultados.
7. Para crear una nueva tabla de referencia o correlación de correlaciones, siga estos pasos:
a. Pulse en /tables.
Más información sobre los parámetros para crear una tabla de referencia o una correlación de
correlaciones:
tabla de referencia o una correlación de correlaciones:
Tabla 38. Parámetros - Tabla de referencia
element_type consulta (obligatorio) String text/plain String <una de las
siguientes: ALN,
NUM, IP, PORT,
ALNIC, DATE>
fields consulta (opcional) String text/plain field_one (field_two,
field_three),
field_four
key_name_types consulta (opcional) Array application/ [ { "element_type":
json "String <una de las
siguientes: ALN,
NUM, IP, PORT,
ALNIC, DATE>",
"key_name":
"String" }]

Tabla 38. Parámetros - Tabla de referencia (continuación)
outer_key_label consulta (opcional) String text/plain String
timeout_type consulta (opcional) String text/plain String <una de las
siguientes:
UNKNOWN,
FIRST_SEEN,
LAST_SEEN>
c. Pulse en ¡Inténtelo! para terminar de crear la recopilación de datos de referencia y ver los
resultados.
“Visión general de los conjuntos de referencia” en la página 153
simple.
Ejemplos para utilizar recopilaciones de datos de referencia

En estos ejemplos se muestra cómo puede utilizar recopilaciones de datos de referencia para hacer un
seguimiento y almacenar datos que desee utilizar en búsquedas, filtros, condiciones de prueba de reglas y
respuestas de reglas de QRadar.
Seguimiento de las cuentas de usuario caducadas

Puede utilizar las recopilaciones de datos de referencia para identificar datos obsoletos, tales como
cuentas de usuario caducadas, en el entorno de IBM Security QRadar.
De forma predeterminada, los datos de referencia permanecen en QRadar hasta que se eliminan. Sin
embargo, cuando crea una recopilación de datos de referencia, puede configurar QRadar para eliminar los
datos después de un periodo de tiempo especificado.
Cuando los elementos de datos caducan, QRadar suprime automáticamente el valor de la recopilación de
datos de referencia y desencadena un suceso para hacer un seguimiento de la caducidad.
Procedimiento
1. Cree un conjunto de referencia para hacer un seguimiento del tiempo transcurrido desde la última vez
que un usuario inició la sesión.
a. Establezca el Tiempo de vida de elementos para representar el periodo de tiempo después de el
cuál una cuenta de usuario se considera caducada.
b. Seleccione el botón Desde el último visto.
2. Cree una regla de suceso personalizado para añadir datos de inicio de sesión, como por ejemplo
username, al conjunto de referencia.
Nota: QRadar hace un seguimiento de la Fecha de última aparición para cada elemento de datos. Si
no se han añadido datos para un usuario concreto dentro del periodo de tiempo de vida, el elemento
del conjunto de referencia caduca y se desencadena un suceso de Caducidad de datos de referencia.
El suceso contiene el nombre de conjunto de referencia y el nombre de usuario que ha caducado.
3. Utilice la pestaña Actividad de registro para hacer un seguimiento de los sucesos de Caducidad de
datos de referencia.

Utilice los datos de conjunto de referencia en búsquedas, filtros, condiciones de prueba de regla y
respuestas de regla.
“Adición, edición y supresión de conjuntos de referencia” en la página 153
Utilice un conjunto de referencia para comparar un valor de propiedad, como por ejemplo una dirección
IP o un nombre de usuario con una lista. Puede utilizar conjuntos de referencia con reglas para mantener
listas de observación. Por ejemplo, puede crear una regla para detectar cuándo un empleado accede a un
sitio web prohibido y a continuación, añadir la dirección IP de ese empleado a un conjunto de referencia.
Integración dinámica de datos de orígenes externos

Las grandes organizaciones empresariales pueden utilizar recopilaciones de datos de referencia para
consultar información sobre sus activos de TI con los equipos de seguridad que gestionan el despliegue
Por ejemplo, el equipo de TI (tecnologías de la información) mantiene una base de datos de gestión que
incluye información sobre todos los activos de la red. Parte de la información como por ejemplo las
direcciones de IP de los servidores web, cambia con frecuencia.
Una vez a la semana, el equipo de TI exporta la lista de direcciones IP de todos los servidores web
desplegados en la red y proporciona la lista al equipo de seguridad. El equipo de seguridad importa la
lista a un conjunto de referencia que se puede utilizar en reglas, búsquedas e informes para proporcionar
más contexto a los sucesos y flujos procesados por QRadar.

10 Configuración del origen de información de usuario
Configure el sistema de IBM Security QRadar para recopilar información de usuarios y grupos de los
puntos finales de gestión de acceso e identidad.
QRadar utiliza la información que se recopila de los puntos finales para enriquecer la información del
usuario que está asociada con el tráfico y los sucesos que se producen en la red.
Visión general de los orígenes de información de usuario

Puede configurar un origen de información de usuario para habilitar la recopilación de información de
usuario de un punto final de gestión de acceso e identidad.
Un punto final de gestión de acceso e identidad es un producto que recopila y gestiona las identidades
de usuarios electrónicos, las pertenencias a grupo y los permisos de acceso. Estos puntos finales se
denominan orígenes de información de usuario.
Utilice los programas de utilidad siguientes para configurar y gestionar los orígenes de información de
usuario:
v Tivoli Directory Integrator: Debe instalar y configurar Tivoli Directory Integrator en un host que no
sea de IBM Security QRadar.
v UISConfigUtil.sh: Utilice este programa de utilidad para crear, recuperar, actualizar o suprimir
orígenes de información de usuario. Puede utilizar orígenes de información de usuario para integrar
IBM Security QRadar SIEM utilizando un servidor de Tivoli Directory Integrator.
v GetUserInfo.sh: Utilice este programa de utilidad para recopilar información de usuario de un origen
de información de usuario y almacenar la información en una recopilación de datos de referencia.
Puede utilizar este programa de utilidad para recopilar información de usuario bajo demanda o según
una planificación.
Orígenes de información de usuario

Un origen de información de usuario es un componente configurable que permite la comunicación con
un punto final para recuperar información de usuarios y de grupos.
Los sistemas de IBM Security QRadar dan soporte a los siguientes orígenes de información de usuario:

Tabla 39. Orígenes de información soportados
Origen de información Información que se recopila
Microsoft Windows Active Directory (AD), versión 2008: v full_name
Microsoft Windows AD es un servicio de directorio que
v user_name
autentica y autoriza a todos los usuarios y sistemas que
utilizan la red de Windows. v user_principal_name
v family_name
v given_name
v account_is_disabled
v account_is_locked
v password_is_expired
v password_can_not_be_changed
v no_password_expired
v password_does_not_expire
IBM Security Access Manager (ISAM), versión 7.0: ISAM v name_in_rgy
es una solución de autenticación y autorización para
v first-name
aplicaciones existentes, aplicaciones web corporativas y
aplicaciones de cliente/servidor. Para obtener más v last-name
información, consulte la documentación de IBM Security v account_valid
Access Manager (ISAM). v password_valid
IBM Security Identity Manager (ISIM), versión 6.0: ISIM v Nombre completo
proporciona el software y los servicios necesarios para
v DN
desplegar soluciones de suministro basadas en políticas.
Este producto automatiza el proceso de suministro de
empleados, contratistas y Business Partners de IBM con
derechos de acceso a las aplicaciones que necesitan, ya
sea en un entorno empresarial cerrado o a través de una
empresa virtual o ampliada. Para obtener más
información, consulte la documentación de IBM Security
Integration Manager (ISIM).
Recopilaciones de datos de referencia para la información de usuario

En este tema se proporciona información sobre cómo las recopilaciones de datos de referencia almacenan
los datos recopilados de los orígenes de información de usuario.
Cuando IBM Security QRadar SIEM recopila información de un origen de información de usuario, crea
de forma automática una recopilación de datos de referencia para almacenar la información. El nombre
de la recopilación de datos de referencia se deriva del nombre del grupo de origen de información de
usuario. Por ejemplo, una recopilación de datos de referencia que se recopile desde Microsoft Windows
AD puede llamarse Domain Admins.
El tipo de recopilación de datos de referencia es un correlación de correlaciones. En una correlación de

referencia de correlaciones, los datos se almacenan en registros que correlacionan una clave con otra
clave, que a su vez se correlaciona con un solo valor.
Por ejemplo:
v #
v # Domain Admins
v # key1,key2,data
v smith_j,Full Name,John Smith
v smith_j,account_is_disabled,0
v smith_j,account_is_locked,0
v smith_j,account_is_locked,1
v smith_j,password_does_not_expire,1
Para obtener más información sobre las recopilaciones de datos de referencia, consulte la nota técnica
referente a las recopilaciones de datos de referencia (Reference Data Collections Technical Note).
Ejemplo de flujo de trabajo de integración

Después de que la información de usuarios y grupos se haya recopilado y almacenado en una
recopilación de datos de referencia, hay muchas formas en las que puede utilizar los datos en IBM
Security QRadar SIEM.
Puede crear alertas e informes significativos que muestren el cumplimiento de las políticas de seguridad
de la compañía por parte del usuario.
Observe el ejemplo siguiente:
Para asegurarse de que las actividades realizadas por usuarios de ISIM con privilegios cumplen las
políticas de seguridad, puede realizar las tareas siguientes:
Cree un origen de registro para recopilar y analizar los datos de auditoría correspondientes a cada
servidor de ISIM cuyos registros se han recopilado. Para obtener más información sobre la creación de un
origen de registro, consulte la publicación Managing Log Sources Guide.
1. Cree un origen de información de usuario para el servidor de ISIM y recopile la información del
grupo de usuarios ISIM Administrators. Este paso crea una recopilación de datos de referencia que se
llama ISIM Administrators. Consulte el apartado “Creación de un origen de información de usuario”
en la página 172.
2. Configure un componente básico para comprobar si hay sucesos en los que la dirección IP de origen
es el servidor de ISIM y el nombre de usuario figura en la recopilación de datos de referencia de
administrador de ISIM. Para obtener más información sobre los componentes básicos, consulte la guía
del usuario de su producto.
3. Cree una búsqueda de sucesos que utilice el componente básico personalizado como filtro. Para
obtener más información sobre las búsquedas de sucesos, consulte el documento Guía del usuario de
IBM Security QRadar correspondiente a su producto.
4. Cree un informe personalizado que utilice la búsqueda de sucesos personalizada para generar
informes diarios sobre la actividad de auditoría de los usuarios de ISIM con privilegios. Estos
informes generados indican si alguna actividad de administrador de ISIM infringe la política de
seguridad. Para obtener más información sobre los informes, consulte el documento Guía del usuario de
IBM Security QRadar correspondiente a su producto.
Nota: Si desea recopilar registros de seguridad de aplicaciones, debe crear un módulo de soporte de
dispositivo (DSM). Para obtener más información, consulte la publicación IBM Security QRadar DSM
Configuration Guide.
Visión general de las tareas de gestión y configuración del origen de

información de usuario
Para integrar inicialmente los orígenes de información de usuario, debe realizar las tareas siguientes:
1. Configure un servidor de Tivoli Directory Integrator. Consulte el apartado “Configuración del
servidor de Tivoli Directory Integrator” en la página 170.
2. Cree y gestione los orígenes de información de usuario. Consulte el apartado “Creación y gestión de
un origen de información de usuario” en la página 172.
3. Recopile la información de usuario. Consulte el apartado “Recopilación de información de usuario” en
la página 174.
10 Configuración del origen de información de usuario 169

Configuración del servidor de Tivoli Directory Integrator
Para que IBM Security QRadar se integre con los orígenes de información de usuario, debe instalar y
configurar Tivoli Directory Integrator en un host que no sea de QRadar.
No se necesita configuración alguna en el sistema QRadar; sin embargo, debe acceder a la consola para
obtener el archivo QRadarIAM_TDI.zip. A continuación, instale y configure un servidor de Tivoli Directory
Integrator en un host independiente. Cree e importe un certificado autofirmado.
Cuando se extrae el archivo QRadarIAM_TDI.zip en el servidor de Tivoli Directory Integrator, el directorio

TDI se crea automáticamente. El directorio TDI incluye los siguientes archivos:
v QradarIAM.sh, que es el script de inicio de TDI para Linux
v QradarIAM.bat, que es el script de inicio de TDI para Microsoft Windows
v QradarIAM.xml, que es el script xml de TDI y se debe almacenar en la misma ubicación que el archivo
QradarIAM.properties
v QradarIAM.properties, que es el archivo de propiedades del script xml de TDI
Cuando instale Tivoli Directory Integrator, debe configurar un nombre para el directorio de soluciones.
Esta tarea requiere que acceda al directorio de soluciones. Por lo tanto, en los pasos de la tarea,
<directorio_soluciones> hace referencia al nombre que ha dado al directorio.
Se utilizan los parámetros siguientes para crear e importar certificados:

Tabla 40. Parámetros de configuración de certificación
<dirección_ip_servidor> Define la dirección IP del servidor de Tivoli Directory
Integrator.
<días_validez> Define el número de días que el certificado es válido.
<archivo_almacén_claves> Define el nombre del archivo de almacén de claves.
-storepass <contraseña> Define la contraseña del almacén de claves.
- keypass <contraseña> Define la contraseña para el par de claves
pública/privada.
<alias> Define el alias para un certificado exportado.
<archivo_certificado> Define el nombre de archivo del certificado.
Procedimiento
1. Instale Tivoli Directory Integrator en un host que no sea de QRadar. Para obtener más información
sobre cómo instalar y configurar Tivoli Directory Integrator, consulte la documentación de Tivoli
Directory Integrator (TDI).
2. Utilice SSH para iniciar la sesión en la consola de IBM Security QRadar como usuario root.
3. Copie el archivo QRadarIAM_TDI.zip en el servidor de Tivoli Directory Integrator.
4. En el servidor de Tivoli Directory Integrator, extraiga el archivo QRadarIAM_TDI.zip en el directorio de
soluciones.
5. Configure el servidor de Tivoli Directory Integrator para la integración con QRadar.
a. Abra el archivo <directorio_soluciones>/solution.properties de Tivoli Directory Integrator.

b. Quite la marca de comentario de la propiedad com.ibm.di.server.autoload. Si ya se ha quitado la
marca de comentario de esta propiedad, anote el valor de la propiedad.
c. Seleccione una de las opciones siguientes:
v Cambie los directorios por el directorio autoload.tdi, que contiene la propiedad
com.ibm.di.server.autoload de forma predeterminada.
v Cree un directorio autoload.tdi en el <directorio_soluciones> para almacenar la propiedad
com.ibm.di.server.autoload.
d. Mueva los archivos TDI/QRadarIAM.xml y TDI/QRadarIAM.property del directorio de Tivoli
Directory Integrator al directorio <directorio_soluciones>/autoload.tdi o al directorio que ha
creado en el paso anterior.
e. Mueva los scripts QradarIAM.bat y QradarIAM.sh del directorio de Tivoli Directory Integrator a la
ubicación desde la que desea iniciar Tivoli Directory Integrator.
6. Cree el certificado autofirmado e impórtelo al almacén de confianza de Tivoli Directory Integrator.
a. Para generar un almacén de claves y un par de claves privada/pública, escriba el mandato
siguiente:
v keytool -genkey -dname cn=<dirección_ip_servidor> -validity <días_validez> -keystore
<archivo_almacén_claves> -storepass <contraseña> - keypass <contraseña>
v Por ejemplo, keytool -genkey -dname cn=192.168.1.1 -validity 365 -keystore server.jks
-storepass secret -keypass secret
b. Para exportar el certificado del almacén de claves, escriba el mandato siguiente:
v keytool -export -alias <alias> -file <archivo_certificado> - keystore
<archivo_almacén_claves> - storepass <contraseña>
v Por ejemplo, keytool -export -alias mykey -file server.cert -keystore server.jks
-storepass secret
c. Para importar el certificado primario al almacén de claves como certificado de autoridad emisora
de certificados, escriba el mandato siguiente:
v keytool -import -trustcacerts -file <archivo_certificado> -keystore
<archivo_almacén_claves> -storepass <contraseña> -alias <alias>
v Por ejemplo, keytool -import -trustcacerts -file server.cert -keystore server.jks
-storepass secret -alias mytrustedkey
d. Copie el archivo de certificado en /opt/qradar/conf/trusted_certificates, en QRadar Console.
7. Importe el certificado de autoridad emisora de certificados al almacén de confianza de Tivoli
Directory Integrator.
a. Para importar el certificado de autoridad emisora de certificados al almacén de claves como
certificado de autoridad emisora de certificados autofirmado, escriba el mandato siguiente:
v keytool -import -trustcacerts -file <archivo_certificado> -keystore
<archivo_almacén_claves> -storepass <contraseña> -alias <alias>
v Por ejemplo, keytool -import -trustcacerts -file server.cert -keystore server.jks
-storepass secret -alias mytrustedkey
b. Copie el archivo de certificado de autoridad emisora de certificados en /opt/qradar/conf/
trusted_certificates, en QRadar Console.
8. Edite el archivo <directorio_soluciones>/solution.properties para quitar la marca de comentario
de las propiedades siguientes y configurarlas:
v javax.net.ssl.trustStore=<archivo_almacén_claves>
v {protect}-javax.net.ssl.trustStorePassword=<contraseña>
v javax.net.ssl.keyStore=<archivo_almacén_claves>
v {protect}-javax.net.ssl.keyStorePassword=<contraseña>

Nota: La contraseña no modificada predeterminada podría visualizarse en el formato siguiente:
{encr}EyHbak. Escriba la contraseña como texto sin formato. La contraseña se cifra la primera vez que
se inicia Tivoli Directory Integrator.
9. Inicie Tivoli Directory Integrator.
Creación y gestión de un origen de información de usuario

Utilice el programa de utilidad UISConfigUtil para crear, recuperar, actualizar o suprimir orígenes de
información de usuario.
Creación de un origen de información de usuario

Utilice el programa de utilidad UISConfigUtil para crear un origen de información de usuario.
Antes de empezar
Antes de crear un origen de información de usuario, debe instalar y configurar el servidor de Tivoli
Directory Integrator. Para obtener más información, consulte el apartado “Configuración del servidor de
Tivoli Directory Integrator” en la página 170.
Cuando cree un origen de información de usuario, debe identificar los valores de propiedad necesarios
para configurar el origen de información de usuario. En la tabla siguiente se describen los valores de
propiedad soportados:
Tabla 41. Valores de propiedad de interfaz de usuario soportados
Propiedad Descripción
tdiserver Define el nombre de host del servidor de Tivoli Directory
Integrator.
tdiport Define el puerto de escucha del conector HTTP en el
servidor de Tivoli Directory Integrator.
hostname Define el nombre del host de origen de información de
usuario.
port Define el puerto de escucha para el registro de gestión
de acceso e identidad en el host de información de
usuario.
username Define el nombre de usuario que IBM Security QRadar
SIEM y utilizan para la autenticación con el registro de
gestión de acceso e identidad.
password Define la contraseña que se necesita para la autenticación
con el registro de gestión de acceso e identidad.
searchbase Define el DN base.
Nota: Todos los usuarios a los que se hace referencia en
todos los grupos deben encontrarse en una búsqueda de
searchbase.
searchfilter Define el filtro de búsqueda que se necesita para filtrar
los grupos que se recuperan del registro de gestión de
acceso e identidad.
Procedimiento

2. Para añadir un origen de información de usuario, escriba el mandato siguiente: UISConfigUtil.sh add
<nombre> -t <AD|ISAM|ISIM|ISFIM> [-d descripción] [-p
prop1=valor1,prop2=valor2...,propn=valorn]
Donde:
v <nombre> es el nombre del origen de información de usuario que desea añadir.
v <AD|ISAM|ISIM|ISFIM> indica el tipo de origen de información de usuario.
v [-d descripción] es una descripción del origen de información de usuario. Este parámetro es
opcional.
v [-p prop1=valor1,prop2=valor2,...,propn=valorn] identifica los valores de propiedad necesarios
para el origen de información de usuario. Para obtener más información sobre los parámetros
soportados, consulte el apartado “Creación de un origen de información de usuario” en la página
172.
Por ejemplo:
v /UISConfigUtil.sh add "UIS_ISIM" -t ISIM -d "UIS for ISIM" -p
"tdiserver=nc9053113023.tivlab.austin.ibm.com,tdiport=8080,
hostname=vmibm7094.ottawa.ibm.com,port=389,
username=cn=root,password=password,\"searchbase=ou=org,DC=COM\",\
"searchfilter=(|(objectClass=erPersonItem)(objectClass=erBPPersonItem)
(objectClass=erSystemUser))\""
Recuperación de orígenes de información de usuario

Utilice el programa de utilidad UISConfigUtil para recuperar orígenes de información de usuario.
Procedimiento
a. Escriba el mandato siguiente para recuperar todos los orígenes de información de usuario:
UISConfigUtil.sh get <nombre>
b. Escriba el mandato siguiente para recuperar un origen de información de usuario
determinado:UISConfigUtil.sh get <nombre>
Siendo <nombre> el nombre del origen de información de usuario que desea recuperar.
Por ejemplo:
[root@vmibm7089 bin]# .UISConfigUtil.sh get "UIS_AD"
Edición de un origen de información de usuario

Utilice el programa de utilidad UISConfigUtil para editar un origen de información de usuario.
Procedimiento
2. Escriba el mandato siguiente para editar un origen de información de usuario: UISConfigUtil.sh
update <nombre> -t <AD|ISAM|ISIM|ISFIM> [-d descripción] [-p
prop1=valor1,prop2=valor2...,propn=valorn]
Donde:
v <nombre> es el nombre del origen de información de usuario que desea editar.

v <AD|ISAM|ISIM|ISFIM> indica el tipo de origen de información de usuario. Para actualizar este
parámetro, escriba un nuevo valor.
v [-d descripción] es una descripción del origen de información de usuario. Este parámetro es
opcional. Para actualizar este parámetro, escriba una nueva descripción.
v [-p prop1=valor1,prop2=valor2,...,propn=valorn] identifica los valores de propiedad necesarios
para el origen de información de usuario. Para actualizar este parámetro, especifique propiedades
nuevas. Para obtener más información sobre los parámetros soportados, consulte el apartado
“Creación de un origen de información de usuario” en la página 172.
Por ejemplo:
./UISConfigUtil.sh update "UIS_AD_update" -t AD -d "UIS for AD" -p "searchbase=DC=local"
Supresión de un origen de información de usuario

Utilice el programa de utilidad UISConfigUtil para suprimir un origen de información de usuario.
Procedimiento
2. Escriba el mandato siguiente para suprimir un origen de información de usuario:
UISConfigUtil.sh delete <nombre>
Siendo <nombre> el nombre del origen de información de usuario que desea suprimir.
La información de usuario recopilada se almacena en una recopilación de datos de referencia en la base

de datos de IBM Security QRadar. Si no existe ninguna recopilación de datos de referencia, se crea una
nueva. Si ya se había creado anteriormente una recopilación de datos para este origen de información de
usuario, se borran los datos anteriores de la correlación de referencia y se almacena la nueva información
de usuario. Para obtener más información sobre las recopilaciones de datos de referencia, consulte el
apartado Recopilaciones de datos de referencia.
Recopilación de información de usuario

Utilice el programa de utilidad GetUserInfo para recopilar información de usuario de los orígenes de
información de usuario y almacenar los datos en una recopilación de datos de referencia.

Utilice esta tarea para recopilar información de usuario bajo demanda. Si desea crear la recopilación de
información de usuario automática según una planificación, cree una entrada de trabajo cron. Para
obtener más información sobre los trabajos cron, consulte la documentación de Linux.
Procedimiento
b. <contraseña>
2. Escriba el mandato siguiente para recopilar información de usuario bajo demanda:
GetUserInfo.sh <nombre_OIU>
Siendo <nombre_OIU> el nombre del origen de información de usuario del que desea recopilar
información.

La información de usuario recopilada se almacena en una recopilación de datos de referencia en la base

de datos. Si no existe ninguna recopilación de datos de referencia, se crea una nueva. Si ya se había
creado anteriormente una recopilación de datos para este origen de información de usuario, se borran los
datos anteriores de la correlación de referencia y se almacena la nueva información de usuario. Para
obtener más información sobre las recopilaciones de datos de referencia, consulte el apartado
“Recopilaciones de datos de referencia para la información de usuario” en la página 168.

11 Integración de IBM X-Force
Los expertos de seguridad de IBMX-Force utilizan una serie de centros de datos internacionales para
recopilar decenas de miles de ejemplos de programas maliciosos, analizar páginas web y URLs y ejecutar
análisis para categorizar direcciones IP y URLs potencialmente maliciosas. IBM X-Force Exchange es la
plataforma para compartir estos datos, que puede utilizarse en IBM Security QRadar.
Canal de información de X-Force Threat Intelligence

Puede integrar los datos de IBM X-Force Exchange en IBM Security QRadar para ayudar a la
organización a adelantarse a las amenazas emergentes identificando y remediando actividad no deseable
en el entorno antes de que amenace la estabilidad de la red.
Por ejemplo, puede identificar y priorizar estos tipos de incidentes.

v Una serie de inicios de sesión intentados para un rango dinámico de direcciones IP
v Una conexión proxy anónima a un portal de Business Partner
v Una conexión entre un punto final interno y un mandato y control de botnet conocido
v Comunicación entre un punto final y un sitio distribución de programas maliciosos conocido
Nota: La integración de IBM X-Force permite utilizar los datos de X-Force Threat Intelligence en las
consultas de AQL y las reglas de correlación de QRadar. No se incluye el acceso a la API REST de IBM
X-Force Exchange.
Habilitación del canal de información de X-Force Threat Intelligence

Debe habilitar el canal de información de X-Force Threat Intelligence para poder utilizar el contenido
mejorado instalado con la aplicación IBM Security Threat Content.
QRadar descarga aproximadamente 30 MB de datos de reputación de IP por día cuando habilita el canal
de información de X-Force Threat Intelligence.
Procedimiento
3. Seleccione Sí en el campo Habilitar canal de información de X-Force Threat Intelligence.

Despliegue los cambios del valor del sistema para recibir los datos de los servidores X-Force. Para
obtener más información, consulte Despliegue de cambios.

Actualización de datos de X-Force en un servidor proxy
IBM Security QRadar utiliza una búsqueda de proxy inversa a través de un servidor Apache para
recopilar datos directamente de servidores de IBM Security X-Force Threat Intelligence en Internet.
Todos los dispositivos de QRadar de un despliegue se ponen en contacto con el servidor Apache para
enviar solicitudes en memoria caché. Una vez que la consola de IBM Security QRadar ha recibido los
resultados, estos se ponen en memoria cacé y se reproducen para el resto de hosts gestionados que
solicitan datos de reputación de IP nuevos.
Si tiene un proxy configurado en la red, debe actualizar la configuración para que reciba los datos de
X-Force.
Restricción: No se da soporte a la autenticación de NTLM.
Procedimiento
1. Utilice SSH para iniciar la sesión QRadar Console.
2. Abra el archivo /etc/httpd/conf.d/ssl.conf en un editor de texto.
3. Añada las líneas siguientes antes de </VirtualHost>:
ProxyRemote https://license.xforce-security.com/ http://PROXY_IP:PROXY_PORT
ProxyRemote https://update.xforce-security.com/ http://PROXY_IP:PROXY_PORT
4. Actualice la dirección IP y el puerto del servidor proxy corporativo para permitir una conexión
anónima con los servidores de seguridad de X-Force.
5. Guarde los cambios en el archivo ssl.conf.
6. Reinicie el servidor Apache tecleando el mandato siguiente:
apachectl restart
Al reiniciar el servidor Apache en QRadar Console, finaliza la sesión de todos los usuarios y los hosts
gestionados pueden generar mensajes de error. Reinicie el servidor Apache durante las ventanas de
mantenimiento planificadas.
Impedir que los datos de X-Force descarguen datos localmente

QRadar descarga aproximadamente 30 MB de datos de reputación de IP al día. Para impedir que QRadar
descargue los datos de X-Force en el sistema local, inhabilite el canal de información de X-Force Threat
Intelligence.
Antes de empezar
Antes de inhabilitar el canal de información de X-Force, asegúrese de que las reglas de X-Force están
inhabilitadas y de que no está utilizando funciones de X-Force en búsquedas guardadas.
Después de inhabilitar el canal de información de X-Force Threat Intelligence, el contenido de X-Force

continúa estando visible en QRadar, pero no puede utilizar las reglas de X-Force ni añadir funciones de
X-Force a las búsquedas de AQL.
Procedimiento
3. Seleccione No en el campo Habilitar canal de información de X-Force Threat Intelligence.

Despliegue los cambios del valor del sistema para recibir los datos de los servidores X-Force. Para
obtener más información, consulte Despliegue de cambios.
Aplicación IBM Security Threat Content

La aplicación IBM Security Threat Content de IBM Security App Exchange (https://
exchange.xforce.ibmcloud.com/hub) contiene reglas, bloques de construcción y propiedades
personalizadas pensadas para su uso con datos de canal de información de X-Force.
Los datos de X-Force incluyen una lista de direcciones IP y URLs potencialmente maliciosos con una
puntuación de amenaza correspondiente. Puede utilizar las reglas de X-Force para marcar
automáticamente cualquier suceso de seguridad o cualesquiera datos de actividad de red que incluya las
direcciones y para priorizar los incidentes antes de empezar a investigarlos.
La lista siguiente muestra ejemplos de los tipos de incidente que puede identificar mediante las reglas de
X-Force:
v when [IP de origen|destinationIP|anyIP] is part of any of the following [ubicaciones de red remota]
v when [esta propiedad de host] is categorized by X-Force as [Anonymization Servers|Botnet
C&C|DynamicIPs|Malware|ScanningIPs|Spam] with confidence value [igual a] [esta cantidad]
v when [esta propiedad de URL] is categorized by X-Force as [Gambling|Auctions|Job
Search|Alcohol|Social Networking|Dating]
QRadar descarga aproximadamente 30 MB de datos de reputación de IP por día cuando habilita el canal
de información de X-Force Threat Intelligence para utilizarlo con la aplicación IBM Security Threat
Content.
Instalación de la aplicación IBM Security Threat Content

La aplicación IBM Security Threat Content tiene contenido de IBM Security QRadar, como por ejemplo
reglas, bloques de construcción y propiedades personalizadas diseñadas específicamente para utilizarlas
con datos de X-Force. El contenido mejorado puede ayudarle a identificar y a remediar actividades
indeseadas en su entorno antes de que amenacen la estabilidad de su red.
Antes de empezar
Descargue la aplicación IBM Security Threat Content de IBM Security App Exchange
(https://exchange.xforce.ibmcloud.com/hub).
Para utilizar datos de X-Force en reglas, delitos y sucesos de QRadar, debe configurar IBM Security
QRadar para cargar datos automáticamente de los servidores de X-Force en su dispositivo QRadar.
Para cargar localmente datos de X-Force, habilite el canal de información de X-Force Threat Intelligence
en los valores del sistema. Si hay información nueva disponible cuando se inicia X-Force, se actualiza la
reputación de la dirección IP o la base de datos de URL. Estas actualizaciones se fusionan en sus propias
bases de datos y el contenido se replica desde QRadar Console en todos los hosts gestionados del
despliegue.
Las reglas de X-Force son visibles en el producto incluso aunque la aplicación IBM Security Threat
Content se desinstale posteriormente.
11 Integración de IBM X-Force 179

Procedimiento
2. En la sección Configuración del sistema, pulse Gestión de extensiones.
3. Cargue la aplicación IBM Security Threat Content en la consola de QRadar siguiendo estos pasos:
a. Pulse Añadir.
b. Pulse Examinar para encontrar la extensión.
c. Opcional: Pulse Instalar inmediatamente para instalar la extensión sin visualizar el contenido.
d. Pulse Añadir.
4. Para ver el contenido de la extensión, selecciónela en la lista de extensiones y pulse Más detalles.
5. Para instalar la extensión, siga estos pasos:
a. Seleccione la extensión en la lista y pulse Instalar.
b. Si la extensión no incluye una firma digital, o si está firmada, pero la firma no está asociado con la
Autoridad de certificación (CA) de IBM Security), debe confirmar que sigue deseando instalarla.
Pulse Instalar para continuar con la instalación.
c. Revise los cambios realizados por la instalación en el sistema.
d. Seleccione Sobrescribir o Conservar datos existentes para especificar cómo deben manejarse los
elementos de contenido existentes.
e. Pulse Instalar.
f. Revise el resumen de instalación y pulse Aceptar.
Las reglas aparecen bajo el grupo Amenazas de la ventana Lista de reglas. Deben estar habilitadas
para poder utilizarse.
Habilite el canal de información de X-Force Threat Intelligence para que pueda utilizar las reglas de
X-Force o añadir funciones de X-Force a búsquedas de AQL. Para obtener más información, consulte el
apartado “Habilitación del canal de información de X-Force Threat Intelligence” en la página 177.
Plugin IBM X-Force Exchange para QRadar

IBM X-Force Exchange es una plataforma de compartición para inteligencia sobre amenazas utilizada por
analistas de seguridad, especialistas en seguridad de red y equipos de centro de operaciones de
seguridad.
El plug-in de IBM X-Force Exchange (XFE) proporciona la opción de buscar la información en el sitio web
de IBM X-Force Exchange para las direcciones IP, los URL, los CVE y las aplicaciones web que se
encuentran en QRadar.
Por ejemplo, puede pulsar con el botón derecho un URL de un suceso de QRadar para ver qué datos
contiene X-Force Exchange sobre le URL.
También puede utilizar la opción de búsqueda que aparece al pulsar con el botón derecho para enviar
direcciones IP o datos de URL desde búsquedas de QRadar, delitos y reglas a una recopilación pública o
privada. La recopilación almacena la información en un lugar mientras utiliza los datos para continuar la
investigación.
Las recopilaciones contienen también una sección que sirve como un área de notas de estilo wiki, donde
puede añadir comentarios o cualquier texto libre que sea relevante. Puede utilizar la recopilación para
guardar informes de X-Force, comentarios de texto o cualquier otro contenido. Un informe de X-Force
tiene tanto una versión del informe de la hora en la que se guardó y un enlace a la versión actual del
informe.

Instalación del plug-in de IBM X-Force Exchange
Instale el plug-in de IBM X-Force Exchange en QRadar Console para tener la funcionalidad de pulsación
con el botón derecho para acceder a los datos en IBM X-Force Exchange.
Antes de empezar
Para este procedimiento es necesario reiniciar el servidor web desde la pestaña Admin para cargar el
plug-in una vez instalado el RPM. Al reiniciar el servidor web finaliza la sesión de todos los usuarios de
QRadar por lo que es recomendable instalar este plug-in durante el mantenimiento planificado.
Si el sistema QRadar tiene la versión 7.2.3 o posterior, el plug-in ya está instalado. Los administradores
pueden verificar que el plug-in está instalado pulsando con el botón derecho del ratón sobre cualquier
dirección IP en QRadar y seleccionando Más opciones > Opciones de plugin. Si se visualiza la búsqueda
IBM X-Force Exchange, entonces el plug-in está instalado.
Procedimiento
1. Descargue el plug-in de X-Force Exchange que aparece al pulsar con el botón derecho del ratón de
IBM Fix Central (https://ibm.biz/BdX4BW).
a. Copie el archivo RPM en QRadar Console.
b. Teclee el mandato siguiente para instalar el plug-in: rpm -Uvh RightClick-XFE-
7.2.<versión>.x86_64.rpm
2. Inicie la sesión en QRadar Console como un usuario administrativo.
4. Seleccione Avanzado > Reiniciar el servidor web.
Una vez reiniciado el servidor web, el plug-in de X-Force que aparece al pulsar con el botón derecho
del ratón está habilitado para direcciones IP en QRadar para campos de URL en la pestaña Actividad
de registro.
5. Inicie la sesión en la ventana emergente del sitio web de X-Force Exchange mediante su ID de IBM o
siga como invitado.
Los usuarios invitados no pueden utilizar todas las características en el sitio web de X-Force
Exchange.
6. Cierre la ventana del navegador después del inicio de sesión inicial en el sitio web de IBM X-Force
Exchange.
11 Integración de IBM X-Force 181

12 Gestión de servicios autorizados
En la pestaña Admin pueden configurarse servicios autorizados para autenticar una llamada de API para
el despliegue de IBM Security QRadar.
La API RESTful de QRadar utiliza servicios autorizados para autenticar las llamadas de API a la QRadar
Console. Un servicio autorizado puede añadirse o revocarse en cualquier momento. Para obtener más
información sobre la API RESTful, consulte la IBM Security QRadar API Guide.
La ventana Gestionar servicios autorizados proporciona la información siguiente:

Tabla 42. Parámetros de servicios autorizados
Nombre del servicio Nombre del servicio autorizado.
Autorizado por Nombre del usuario o administrador que autorizó la
adición del servicio.
Señal de autenticación Señal que está asociada con este servicio autorizado.
Rol de usuario Rol de usuario que está asociado con este servicio
autorizado.
Perfil de seguridad Perfil de seguridad que está asociado con este servicio
autorizado.
Creado Fecha en que se ha creado este servicio autorizado.
Caduca Fecha y hora en que el servicio autorizado caduca. De
forma predeterminada, el servicio autorizado es válido
durante 30 días.
Visualización de servicios autorizados

La ventana Servicios autorizados muestra una lista de servicios autorizados, desde la que puede copiar la
señal correspondiente al servicio.
Procedimiento
2. En la sección Configuración del sistema, pulse Servicios autorizados.
3. En la ventana Gestionar servicios autorizados, seleccione el servicio autorizado adecuado.
La señal se visualiza en el campo Señal seleccionada de la barra superior. Puede copiar la señal en el
software del proveedor para su autenticación con IBM Security QRadar.
Adición de un servicio autorizado

Utilice la ventana Añadir servicio autorizado para añadir un nuevo servicio autorizado.

Procedimiento
3. Pulse Añadir servicio autorizado.
4. En el campo Nombre del servicio, escriba el nombre de este servicio autorizado. El nombre puede
tener una longitud máxima de 255 caracteres.
5. En la lista Rol de usuario, seleccione el rol de usuario que desee asignar a este servicio autorizado.
Los roles de usuario asignados a un servicio autorizado determinan las funciones a las que dicho
servicio puede acceder en la interfaz de usuario de IBM Security QRadar.
6. En la lista Perfil de seguridad, seleccione el perfil de seguridad que desee asignar a este servicio
autorizado. El perfil de seguridad determina las redes y los orígenes de registro a los que este servicio
puede acceder en la interfaz de QRadar.
7. En la lista Fecha de caducidad, escriba o seleccione la fecha en la que desea que caduque este
servicio. Si no hace falta una fecha de caducidad, seleccione Sin caducidad.
8. Pulse Crear servicio.
El mensaje de confirmación contendrá un campo de señal que tendrá que copiar en el software del
proveedor para la autenticación con QRadar.
Revocación de servicios autorizados

Utilice la ventana Añadir servicio autorizado para revocar un servicio autorizado.
Procedimiento
3. En la ventana Gestionar servicios autorizados, seleccione el servicio que desea revocar.
4. Pulse Revocar autorización.

13 Copia de seguridad y recuperación
Puede realizar operaciones de copia de seguridad y recuperación de los datos y la información de IBM
Security QRadar utilizando la característica de copia de seguridad y recuperación para hacer una copia
de seguridad de los datos de sucesos y flujos. Sin embargo, debe restaurar manualmente los datos de
sucesos y flujos.
Hay dos tipos de copias de seguridad: las copias de seguridad de la configuración y las copias de
seguridad de datos. Para obtener más información, consulte el apartado “Restauración de datos” en la
página 197.
De forma predeterminada, QRadar crea un archivo de copia de seguridad de la información de

configuración cada día a media noche. Las copias de seguridad de configuración solo se almacenan en
QRadar Console e incluyen la siguiente información:
v Configuración de aplicación
v Activos
v Certificados
v Logotipos personalizados
v Reglas personalizadas
v Módulos de soporte de dispositivos (DSM)
v Categorías de sucesos
v Orígenes de flujo
v Búsquedas de flujos y sucesos
v Grupos
v Información de gestión de índices
v Información de clave de licencia
v Orígenes de registro
v Delitos
v Elementos de conjuntos de referencia
v Planificación de almacenamiento y reenvío
v Información de usuarios y roles de usuarios
v Datos de vulnerabilidad (si IBM Security QRadar Vulnerability Manager está instalado)
Las copias de seguridad de los datos incluyen la siguiente información:

v Información del registro de auditoría
v Datos de sucesos
v Datos de flujo
v Datos de informe
v Índices
Cada host gestionado del despliegue, incluido QRadar Console, crea y almacena los archivos de copia de
seguridad de datos diaria de forma local. Se crea un archivo de copia de seguridad de datos para cada
día, que incluye los datos de sucesos y flujos del día anterior. El tamaño de la copia de seguridad de
datos diaria depende de la cantidad de datos de sucesos recibidos del día anterior.

La ubicación predeterminada de los archivos de copia de seguridad es el directorio /store/backup/. El
sistema podría incluir un montaje /store/backup de un servicio de SAN o NAS externo. Los servicios
externos proporcionan retención de datos fuera de línea a largo plazo, que suele ser necesaria para las
regulaciones de conformidad, como PCI.
La copia de seguridad de datos no incluye datos de aplicación. Para configurar y gestionar copias de
seguridad para datos de aplicación, consulte “Copia de seguridad y restauración de datos de
aplicaciones” en la página 200.
“Restauración de datos” en la página 197
Puede restaurar los datos en la consola de IBM Security QRadar y los hosts gestionados a partir de los
archivos de copia de seguridad. La parte de datos de los archivos de copia de seguridad incluye
información como por ejemplo información de dirección IP de destino, datos de activo, información de
categoría de suceso, datos de vulnerabilidad,datos de flujo y datos de suceso.
Copia de seguridad de configuraciones y datos de QRadar

De forma predeterminada, IBM Security QRadar crea un archivo de copia de seguridad de la información
de configuración a diario a media noche. El archivo de copia de seguridad contiene la información de
configuración, los datos o ambas cosas correspondientes al día anterior. Puede personalizar esta copia de
seguridad nocturna y crear una copia de seguridad de la configuración bajo demanda, según sea
necesario.
Planificación de la copia de seguridad nocturna

Utilice la ventana Configuración de la recuperación de copias de seguridad para configurar un proceso
nocturno de copia de seguridad.
De forma predeterminada, el proceso de copia de seguridad nocturna solamente incluye los archivos de
configuración. Puede personalizar el proceso de copia de seguridad nocturna para que incluya datos de
la consola de IBM Security QRadar y de determinados hosts gestionados. También puede personalizar el
periodo de retención de copia de seguridad, la ubicación del archivo de copia de seguridad, el límite de
tiempo para que se procese una copia de seguridad antes de que se produzca un tiempo de espera
excedido y la prioridad de copia de seguridad en relación con otros procesos de QRadar.
Nota: Para garantizar un rendimiento óptimo, es aconsejable no planificar la ejecución de la copia de

seguridad nocturna a la misma hora que las actualizaciones automáticas de QRadar.
La ventana Configuración de la recuperación de copias de seguridad proporciona los siguientes

parámetros:
Tabla 43. Parámetros de Configuración de la recuperación de copias de seguridad
Configuración general de la copia de seguridad

Tabla 43. Parámetros de Configuración de la recuperación de copias de seguridad (continuación)
Vía de acceso del repositorio de seguridad
Escriba la ubicación en la que desea almacenar el archivo
de copia de seguridad. La ubicación predeterminada es
/store/backup. Esta vía de acceso debe existir antes de
que se inicie el proceso de copia de seguridad. Si esta vía
de acceso no existe, el proceso de copia termina
anormalmente.
Si modifica esta vía de acceso, asegúrese de que la nueva

vía de acceso sea válida en todos los sistemas del
despliegue.
v Los datos activos se almacenan en el directorio /store.
Si tiene tanto datos activos como archivos de copia de
seguridad almacenados en el mismo directorio, podría
alcanzarse con facilidad la capacidad de
almacenamiento de datos y las copias de seguridad
planificadas podrían fallar. Le recomendamos que
especifique una ubicación de almacenamiento en otro
sistema o que copie los archivos de copia de seguridad
a otro sistema una vez finalizado el proceso de copia
de seguridad. Puede utilizar una solución de
almacenamiento de Network File System (NFS) en el
despliegue de QRadar. Para obtener más información
sobre el uso de NFS, consulte la publicación Offboard
Storage Guide.
Periodo de retención de copia de seguridad (días) Escriba o seleccione el periodo de tiempo, en días, que
desea almacenar los archivos de copia de seguridad. El
valor por omisión es de 2 días.
Este periodo de tiempo solamente afecta a los archivos

de copia generados como resultado de un proceso
planificado. No se ven afectados por este valor las copias
de seguridad bajo demanda ni los archivos de copia de
seguridad importados.
Plan de copia de seguridad nocturna Seleccione una opción de copia de seguridad.
Seleccione los hosts gestionados que desee que ejecuten Esta opción solamente se visualiza si selecciona la opción
copias de seguridad de datos: Copias de seguridad de la configuración y datos.
Se listan todos los hosts del despliegue. El primer host

de la lista es la consola; de forma predeterminada está
habilitada para copia de seguridad de datos y por tanto
no aparece una casilla de verificación. Si tiene hosts
gestionados en el despliegue, los hosts gestionados
aparecen en la lista debajo de la consola y cada host
gestionado incluye una casilla de verificación.
Seleccione la casilla de verificación de los hosts

gestionados en los que desee ejecutar las copias de
seguridad de datos.
En cada host (de la consola o gestionado), puede borrar

opcionalmente los elementos de datos que desea excluir
del archivo de copia de seguridad.
Copia de seguridad de la configuración sólo
13 Copia de seguridad y recuperación 187

Tabla 43. Parámetros de Configuración de la recuperación de copias de seguridad (continuación)
Límite de tiempo de copia de seguridad (min) Escriba o seleccione el periodo de tiempo, en minutos,
que desea permitir que se ejecute la copia de seguridad.
El valor predeterminado es de 180 minutos. Si el proceso
de copia de seguridad sobrepasa el límite de tiempo
configurado, el proceso de copia de seguridad se cancela
de forma automática.
Prioridad de copia de seguridad
Seleccione en este cuadro de lista el nivel de importancia
que desea que el sistema dé al proceso de copia de
seguridad de la configuración en comparación con otros
procesos.
Una prioridad media o alta tiene mayor impacto sobre el

rendimiento del sistema.
Copia de seguridad de datos
Límite de tiempo de copia de seguridad (min) Escriba o seleccione el periodo de tiempo, en minutos,
que desea permitir que se ejecute la copia de seguridad.
El valor predeterminado es de 1020 minutos. Si el
proceso de copia de seguridad sobrepasa el límite de
tiempo configurado, la copia de seguridad se cancela de
forma automática.
Prioridad de copia de seguridad
Seleccione en la lista el nivel de importancia que desea
que el sistema dé al proceso de copia de seguridad de
los datos en comparación con otros procesos.
Una prioridad media o alta tiene mayor impacto sobre el

rendimiento del sistema.
Procedimiento
2. En la sección Configuración del sistema, pulse Copia de seguridad y recuperación.
3. En la barra de herramientas, pulse Configurar.
4. En la ventana Configuración de la recuperación de copias de seguridad, personalice la copia de
seguridad nocturna.
5. Pulse Guardar.
6. Cierre la ventana Archivos de copia de seguridad.
Creación de un archivo de copia de seguridad de la configuración bajo

demanda
Si tiene que hacer una copia de seguridad de los archivos de configuración en un momento distinto del
de la copia de seguridad nocturna planificada, puede crear un archivo de copia de seguridad bajo
demanda. Los archivos de copia de seguridad bajo demanda solo incluyen información de configuración.
Inicie un archivo de copia de seguridad bajo demanda durante un periodo en el que IBM Security
QRadar tenga poca carga de proceso, como puede ser fuera del horario de oficina habitual. Durante el
proceso de copia de seguridad, el rendimiento del sistema se ve afectado.

Procedimiento
3. En la barra de herramientas, pulse Copia de seguridad a petición.
4. Especifique los valores de los parámetros siguientes:
Nombre Escriba un nombre exclusivo que desee asignar a este
archivo de copia de seguridad. El nombre puede tener
una longitud máxima de 100 caracteres alfanuméricos. El
nombre puede contener los caracteres siguientes: signo
de subrayado (_), guión (-) o punto (.).
Descripción Escriba una descripción para este archivo de copia de
seguridad de la configuración. La descripción puede
tener como máximo 255 caracteres.
5. Pulse Ejecutar copia de seguridad.

No puede iniciar un nuevo proceso de copia de seguridad o de restauración mientras no haya
acabado la copia de seguridad bajo demanda. Puede supervisar el proceso del archivo de copia de
seguridad en la ventana Archivos de copia de seguridad.
Creación de una notificación de correo electrónico para una copia de

seguridad errónea
Para recibir una notificación por correo electrónico acerca de una anomalía de copia de seguridad en la
consola de IBM Security QRadar o en un procesador de sucesos de QRadar, cree una regla basada en el
mensaje de notificación del sistema.
Antes de empezar
Debe configurar un servidor de correo electrónico para distribuir notificaciones del sistema en QRadar.
Para obtener más información, consulte la sección “Configuración del cortafuegos local” en la página 70.
Si una copia de seguridad falla, verá una de las siguientes notificaciones de sistema de error en copia de
seguridad:
v Copia de seguridad: necesita más espacio de disco
v Copia de seguridad: última copia de seguridad ha sobrepasado el umbral de ejecución
v Copia de seguridad: no se puede ejecutar la solicitud
Procedimiento
1. Pulse la pestaña Delitos.
2. En el panel Delitos pulse Reglas.
3. Pulse Acciones > Nueva regla de sucesos.
4. En el Asistente de reglas, marque el recuadro Omitir esta página al ejecutar este asistente de reglas
y pulse Siguiente.
5. En el recuadro de filtro, teclee la consulta de búsqueda siguiente:
cuando el suceso QID es uno de los siguientes QIDs
Más información sobre las pruebas:

Figura 8. Prueba de suceso de Asistente de reglas
6. Pulse el icono de adición (+) de color verde.

7. En el panel Regla pulse el enlace QIDs.
8. En el campo QID/Nombre, teclee Backup:
9. Seleccione los QIDs siguientes y pulse Añadir +:
v La copia de seguridad necesita más espacio de disco
v Copia de seguridad: última copia de seguridad ha sobrepasado el umbral de ejecución
v La copia de seguridad no puede ejecutar la solicitud
Más información sobre los QIDs:

Figura 9. QIDs de Asistente de reglas
10. Pulse Enviar.

11. En el panel Regla, teclee el nombre siguiente para la prueba de regla y pulse Siguiente:
Error de copia de seguridad
12. En la sección Respuesta de regla, marque el recuadro de selección Correo electrónico y teclee la
dirección de correo electrónico que desea notificar.
Gestionar archivos de copia de seguridad existentes

Utilice el icono Copia de seguridad y recuperación de la pestaña Admin para ver y gestionar todos los
archivos de copia de seguridad creados correctamente.
Importación de un archivo de copia de seguridad

La importación de un archivo de copia de seguridad es útil si desea restaurar un archivo de copia de
seguridad que se ha creado en otro host de IBM Security QRadar.

Si coloca un archivo de copia de seguridad de QRadar en el directorio /store/backupHost/inbound del

servidor de la consola, el archivo de copia de seguridad se importa automáticamente.
Procedimiento
3. En el campo Cargar archivo, pulse Examinar.
4. Localice y seleccione el archivo que desea cargar. El archivo de archivado debe tener la extensión
.tgz.
5. Pulse Abrir.
6. Pulse Cargar.
Supresión de un archivo de copia de seguridad

Para suprimir un archivo de copia de seguridad, el archivo de copia de seguridad y el componente
Contexto de host deben hallarse en el mismo sistema. El sistema también debe estar en comunicación con
la consola de IBM Security QRadar y no puede haber otra copia de seguridad en curso.
Si se suprime un archivo de copia de seguridad, se elimina del disco y de la base de datos. Asimismo, se
elimina la entrada correspondiente en esta lista y se genera un suceso de auditoría para informar de la
eliminación.
Procedimiento
3. En la sección Copias de seguridad existentes, seleccione el archivo que desea suprimir.
4. Pulse Suprimir.
Restaurar configuraciones y datos de QRadar

La restauración de un archivo de copia de seguridad es útil cuando se desea restaurar en el sistema IBM
Security QRadar archivos de configuración, datos de delitos y datos de activos previamente archivados.
Antes de restaurar un archivo de copia de seguridad, tenga en cuenta las siguientes consideraciones:
v Solo puede restaurar un archivo de copia de seguridad creado en el mismo release de software,
incluido el nivel de parche. Por ejemplo, si ejecuta QRadar 7.1.0 (MR2), el archivo de copia de
seguridad debe haberse creado en QRadar.
v El proceso de restauración solamente restaura la información de configuración, los datos de delitos y
los datos de activos. Para obtener más información, consulte el apartado “Restauración de datos” en la
página 197.
v Si el archivo de copia de seguridad se ha originado en un sistema de consola habilitado para NAT,
solamente podrá restaurar ese archivo de copia de seguridad en un sistema habilitado para NAT.
Durante el proceso de restauración, se efectúan los pasos siguientes en la consola:

1. Se hace copia de seguridad de los archivos y las tablas de base de datos existentes.
2. Tomcat se cierra.
3. Todos los procesos del sistema se cierran.

4. Los archivos se extraen del archivo de copia de seguridad y se restauran en disco.
5. Las tablas de base de datos se restauran.
6. Todos los procesos del sistema se reinician.
7. Tomcat se reinicia.
“Restauración de datos” en la página 197
Restauración de un archivo de copia de seguridad

Puede restaurar un archivo de copia de seguridad. La restauración de un archivo de copia de seguridad
es útil si se produce una anomalía de hardware del sistema o si desea almacenar un archivo de copia de
seguridad en un dispositivo sustituto.
Puede reiniciar la consola solamente después de que el proceso de restauración se haya completado.
El proceso de restauración puede durar hasta varias horas dependiendo del tamaño del archivo de copia
de seguridad que deba restaurarse. Cuando haya finalizado, se visualizará un mensaje de confirmación.
Una ventana proporciona el estado del proceso de restauración. Esta ventana proporciona los errores para
cada host y las instrucciones para resolver los errores.
Los parámetros siguientes están disponibles en la ventana Restaurar una copia de seguridad:
Tabla 44. Parámetros de Restaurar una copia de seguridad
Nombre Nombre del archivo de copia de seguridad.
Descripción Descripción, si procede, del archivo de copia de
seguridad.
Tipo Tipo de copia de seguridad. Solamente se pueden
restaurar las copias de seguridad de la configuración; por
lo tanto, este parámetro muestra config.
Seleccionar todos los elementos de configuración Cuando se selecciona, esta opción indica que todos los
elementos de configuración se incluyen en la
restauración del archivo de copia de seguridad.
Restaurar configuración Lista los elementos de configuración que se incluirán en
la restauración del archivo de copia de seguridad. Para
eliminar elementos, puede deseleccionar las casillas de
verificación de cada elemento que desee eliminar o
deseleccionar la casilla de verificación Seleccionar todos
los elementos de configuración.
Seleccionar todos los elementos de datos Cuando se selecciona, esta opción indica que todos los
elementos de datos se incluyen en la restauración del
archivo de copia de seguridad.

Tabla 44. Parámetros de Restaurar una copia de seguridad (continuación)
Restaurar datos Lista los elementos de configuración que se incluirán en
la restauración del archivo de copia de seguridad. Todos
los elementos están deseleccionados de forma
predeterminada. Para restaurar elementos de datos,
puede seleccionar las casillas de verificación de cada
elemento que desee restaurar.
Procedimiento
3. Seleccione el archivo que desee restaurar.
4. Pulse Restaurar.
5. En la ventana Restaurar una copia de seguridad, configure los parámetros.
Nota: Al marcar el recuadro Configuración de aplicaciones instaladas, solo puede restaurar las
configuraciones de aplicaciones instaladas. Las configuraciones de extensiones no se restauran.
Marque el recuadro de selección Configuración del despliegue si desea restaurar las configuraciones
de extensiones.
6. Pulse Restaurar.
7. Pulse Aceptar.
8. Pulse Aceptar.
v Si la interfaz de usuario se ha cerrado durante el proceso de restauración, abra un navegador web
e inicie sesión en IBM Security QRadar.
v Si no se ha cerrado la interfaz de usuario, se mostrará la ventana de inicio de sesión. Inicie la
sesión en QRadar.
10. Siga las instrucciones en la ventana de estado.
Una vez comprobado que los datos se han restaurado en el sistema, asegúrese de que también se hayan
restaurado los DSM, los exploradores de evaluaciones de vulnerabilidad (VA) y los protocolos de origen
de registro.
Si el archivo de la copia de seguridad se ha originado en un clúster de alta disponibilidad, debe pulsar

Desplegar cambios para restaurar la configuración del clúster de alta disponibilidad una vez finalizada la
restauración. Si la replicación de disco está habilitada, el host secundario sincroniza inmediatamente los
datos una vez restaurado el sistema. Si el host secundario se ha eliminado del despliegue después de una
copia de seguridad, el host secundario muestra un estado anómalo en la ventana Gestión del sistema y
licencias.
Restauración de un archivo de copia de seguridad creado en otro

sistema de QRadar
Cada archivo de copia de seguridad incluye la información de dirección IP del sistema en el que se ha
creado. Cuando se restaura un archivo de copia de seguridad de un sistema de IBM Security QRadar
distinto, la dirección IP del archivo de copia de seguridad y la del sistema que está restaurando no
coinciden. Puede corregir las direcciones IP no coincidentes.

Puede reiniciar la consola solamente después de que el proceso de restauración se haya completado.
El proceso de restauración puede durar hasta varias horas dependiendo del tamaño del archivo de copia
de seguridad que deba restaurarse. Cuando haya finalizado, se visualizará un mensaje de confirmación.
Una ventana proporciona el estado del proceso de restauración. Esta ventana proporciona los errores para
cada host y las instrucciones para resolver los errores.
Debe detener el servicio iptables en cada host gestionado del despliegue. El servicio Iptables es un
cortafuegos basado en Linux.
La ventana Restaurar una copia de seguridad (accesibilidad de hosts gestionados) proporciona la

información siguiente:
Tabla 45. Parámetros de Restaurar una copia de seguridad (accesibilidad de hosts gestionados)
Nombre de host Nombre del host gestionado.
Dirección IP Dirección IP del host gestionado.
Estado de acceso Estado de acceso al host gestionado.
La ventana Restaurar una copia de seguridad proporciona los siguientes parámetros:

Tabla 46. Parámetros de Restaurar una copia de seguridad
Nombre Nombre del archivo de copia de seguridad.
Descripción Descripción, si procede, del archivo de copia de
seguridad.
Tipo Tipo de copia de seguridad. Solamente se pueden
restaurar las copias de seguridad de la configuración; por
lo tanto, este parámetro muestra config.
Seleccionar todos los elementos de configuración Cuando se selecciona, esta opción indica que todos los
elementos de configuración se incluyen en la
restauración del archivo de copia de seguridad. Esta
casilla de verificación está seleccionada de forma
predeterminada. Para borrar todos los elementos de
configuración, desmarque la casilla de verificación.
Restaurar configuración Lista los elementos de configuración que se incluirán en
los elementos están seleccionados de forma
predeterminada. Para eliminar elementos, puede
deseleccionar las casillas de verificación de cada
elemento que desee eliminar o deseleccionar la casilla de
verificación Seleccionar todos los elementos de
configuración.
Seleccionar todos los elementos de datos Cuando se selecciona, esta opción indica que todos los
elementos de datos se incluyen en la restauración del
archivo de copia de seguridad. Esta casilla de
verificación está seleccionada de forma predeterminada.
Para borrar todos los elementos de datos, desmarque esta
casilla de verificación.

Tabla 46. Parámetros de Restaurar una copia de seguridad (continuación)
Restaurar datos Lista los elementos de configuración que se incluirán en
los elementos están deseleccionados de forma
predeterminada. Para restaurar elementos de datos,
puede seleccionar las casillas de verificación de cada
elemento que desee restaurar.
Procedimiento
3. Seleccione el archivo que desea restaurar y pulse Restaurar.
4. En la ventana Restaurar una copia de seguridad, configure los parámetros y haga clic en Restaurar.
5. Detenga las tablas IP:
a. Inicie, mediante SSH, la sesión en el host gestionado como usuario root.
b. Escriba el mandato service iptables stop.
c. Repita esta acción para todos los hosts gestionados del despliegue.
6. En la ventana Restaurar una copia de seguridad, pulse Probar acceso a hosts.
7. Cuando la prueba se haya realizado con todos los hosts gestionados, verifique que en la columna
Estado de acceso se indica que el estado es Correcto.
8. Si en la columna Estado de acceso aparece el estado Sin acceso para un host, detenga iptables de
nuevo y, a continuación, pulse Probar acceso a hosts otra vez para intentar establecer conexión.
9. En la ventana Restaurar una copia de seguridad, configure los parámetros.
de extensiones.
10. Pulse Restaurar.
11. Pulse Aceptar.
12. Pulse Aceptar para iniciar sesión.
v Si la interfaz de usuario se ha cerrado durante el proceso de restauración, abra un navegador web
e inicie sesión en QRadar.
v Si no se ha cerrado la interfaz de usuario, se mostrará la ventana de inicio de sesión. Inicie la
sesión en QRadar.
14. Vea el resultado del proceso de restauración y siga las instrucciones para resolver los errores que
puedan haberse producido.
15. Renueve la ventana del navegador web.

Una vez comprobado que los datos se han restaurado en el sistema, debe volver a aplicar los RPM para
los DSM, los exploradores de evaluaciones de vulnerabilidad (VA) o los protocolos de origen de registro.
Si el archivo de la copia de seguridad se ha originado en un clúster de alta disponibilidad, debe pulsar

Desplegar cambios para restaurar la configuración del clúster de alta disponibilidad una vez finalizada la
restauración. Si la replicación de disco está habilitada, el host secundario sincroniza inmediatamente los
datos una vez restaurado el sistema. Si el host secundario se ha eliminado del despliegue después de una
copia de seguridad, el host secundario muestra un estado anómalo en la ventana Gestión del sistema y
licencias.
Restauración de datos
Cada host gestionado del despliegue, incluido QRadar Console, crea todos los archivos de copia de
seguridad en el directorio /store/backup/. El sistema podría incluir un montaje /store/backup de un
servicio de SAN o NAS externo. Los servicios externos proporcionan retención de datos fuera de línea a
largo plazo, que suele ser necesaria para las regulaciones de conformidad, como PCI.
Restricción: Debe restaurar la copia de seguridad de la configuración antes de restaurar la copia de

seguridad de los datos.
Antes de empezar
Asegúrese de que se cumplen las condiciones siguientes:

v Si va a restaurar datos en un QRadar Console nuevo, se ha restaurado la copia de seguridad de la
configuración.
v Sabe la ubicación del host gestionado en el que se ha hecho la copia de seguridad de los datos.
v Si el despliegue incluye un punto de montaje diferente para ese volumen, el directorio /store o
/store/ariel tiene espacio suficiente para los datos que desea recuperar.
v Sabe la fecha y la hora de los datos que desea recuperar.
Procedimiento
2. Vaya al directorio /store/backup.
3. Para listar los archivos de copia de seguridad, teclee el mandato siguiente:
ls -l
4. Si se listan los archivos de copia de seguridad, vaya al directorio raíz tecleando el mandato siguiente:
cd /
Importante: Los archivos restaurados deben estar en el directorio /store. Si escribe cd en lugar de cd
/, los archivos se restauran en el directorio /root/store.
5. Para extraer los archivos de copia de seguridad a su directorio original, escriba el mandato siguiente:
tar -zxpvPf /store/backup/backup.nombre.ID_host_nombre_host .fecha destino.tipo de copia de
seguridad.indicación de fecha y hora.tgz

Tabla 47. Descripción de las variables de nombre de archivo
Variable de nombre de archivo Descripción
nombre El nombre de la copia de seguridad.
ID_host_nombre_host Nombre del sistema de QRadar en el que se aloja el archivo de copia
de seguridad seguido del identificador del sistema de QRadar.
fecha destino Fecha en que se ha creado el archivo de copia de seguridad. El
formato de la fecha de destino es día_mes_año.
tipo de copia de seguridad Las opciones son data o config.
indicación de fecha y hora Hora en que se ha creado el archivo de copia de seguridad.
Resultados
La copia de seguridad diaria captura todos los datos de cada host. Si desea restaurar datos en un host
gestionado que contiene solamente datos de suceso o flujo, únicamente se restauran esos datos en ese
host. Si desea mantener los datos restaurados, aumente los valores de retención de datos para impedir
que las rutinas nocturnas de mantenimiento de disco supriman los datos restaurados.
13, “Copia de seguridad y recuperación”, en la página 185
Puede realizar operaciones de copia de seguridad y recuperación de los datos y la información de IBM
Security QRadar utilizando la característica de copia de seguridad y recuperación para hacer una copia
de seguridad de los datos de sucesos y flujos. Sin embargo, debe restaurar manualmente los datos de
sucesos y flujos.
“Restaurar configuraciones y datos de QRadar” en la página 192
La restauración de un archivo de copia de seguridad es útil cuando se desea restaurar en el sistema IBM
Security QRadar archivos de configuración, datos de delitos y datos de activos previamente archivados.
Verificación de los datos restaurados

Verifique que los datos se hayan restaurado correctamente en IBM Security QRadar.
Procedimiento
1. Para verificar que los archivos se han restaurado, revise el contenido de uno de los directorios
restaurados con el mandato siguiente:
cd /store/ariel/flows/payloads/<aaaa/mm/dd>
cd /store/ariel/events/payloads/<aaaa/mm/dd>
Puede ver los directorios restaurados que se crean para cada hora del día. Si faltan directorios, puede
que no se hayan capturado los datos correspondientes a ese periodo de tiempo.
2. Verifique que los datos restaurados están disponibles.
a. Inicie la sesión en la interfaz de QRadar.
b. Pulse la pestaña Actividad de registro o Actividad de red.
c. Seleccione Editar búsqueda en la lista Buscar de la barra de herramientas.
d. En el panel Rango de tiempo de la ventana Buscar, seleccione Intervalo específico.
e. Seleccione el rango de tiempo de los datos que ha restaurado y luego pulse Filtro.
f. Vea el resultado para verificar los datos restaurados.
g. Si los datos restaurados no están disponibles en la interfaz de QRadar, verifique que se hayan
restaurado en la ubicación correcta y que los permisos de archivo estén bien configurados.
Los archivos restaurados deben estar en el directorio /store. Si ha escrito cd en lugar de cd / al
extraer los archivos restaurados, compruebe si en el directorio /root/store están los archivos
restaurados. Si no ha cambiado de directorios antes de extraer los archivos restaurados, compruebe
si los archivos restaurados están en el directorio /store/backup/store.

Normalmente, los archivos se restauran con los permisos originales. Sin embargo, si los archivos
son propiedad de la cuenta de usuario root, pueden producirse problemas. Si los archivos son
propiedad de la cuenta de usuario root, cambie los permisos mediante los mandatos chown y
chmod.
Una vez comprobado que los datos se han restaurado, debe volver a aplicar los RPM para los DSM, los
exploradores de evaluaciones de vulnerabilidad (VA) y los protocolos de origen de registro.
Copia de seguridad y restauración de aplicaciones

IBM Security QRadar proporciona una forma realizar una copia de seguridad de configuraciones de
aplicación y de restaurarlas aparte de los datos de aplicación.
La copia de seguridad de las configuraciones de aplicación se realiza como parte de la copia de seguridad
de configuración nocturna. La copia de seguridad de configuración incluye aplicaciones instaladas en
QRadar Console y en un nodo de aplicaciones. Puede restaurar la configuración de aplicaciones
seleccionando la opción Configuración de aplicaciones instaladas cuando restaura una copia de
seguridad.
La copia de seguridad de los datos de aplicación se realiza aparte de la configuración de aplicación

mediante un script fácil de utilizar que se ejecuta por la noche. También puede utilizar el script para
restaurar los datos de aplicación y para configurar las horas de copia de seguridad y los periodos de
retención de datos para los datos de aplicación.
“Nodos de aplicaciones” en la página 118
Disponga un nodo de aplicaciones para proporcionar almacenamiento, memoria y recursos de CPU
adicionales para las aplicaciones sin que ello afecte a la capacidad de proceso de QRadar Console. Las
aplicaciones como UBA (User Behavior Analytics) requieren más recursos de los que hay disponibles
actualmente en QRadar Console.
Copia de seguridad y restauración de aplicaciones

Utilice la ventana IBM Security QRadar Copia de seguridad y recuperación de la pestaña Admin para
hacer una copia de seguridad de las aplicaciones y restaurarlas.
Puede hacer una copia de seguridad de sus aplicaciones creando una copia de seguridad de
configuración. Una copia de seguridad de configuración no hace una copia de seguridad de los datos de
la aplicación.
Si QRadar Console tiene un nodo de aplicaciones adjunto, se hace una copia de seguridad de la
configuración del nodo de aplicaciones como parte de la Configuración del despliegue de la consola. No
puede restaurar un nodo de aplicaciones en QRadar Console con una dirección IP que no sea aquella con
la que se configuró inicialmente el nodo de aplicaciones.
De forma predeterminada las aplicaciones se restauran en la consola a menos que haya un nodo de
aplicaciones presente. Si QRadar no puede restaurar aplicaciones en su nodo de aplicaciones, intenta
restaurarlos en QRadar Console. El número de aplicaciones de nodo de aplicaciones que se pueden
restaurar en la consola está restringido por la cantidad de memoria disponible en QRadar Console. Las
aplicaciones definidas como node_only en su archivo de manifiesto de la aplicación no se pueden
restaurar en QRadar Console.

Procedimiento
3. Seleccione una copia de seguridad existente en la ventana Copia de seguridad y recuperación y pulse
Restaurar.
4. Asegúrese de que el recuadro de selección Configuración de aplicaciones instaladas está seleccionado
y pulse Restaurar.
de extensiones.
Copia de seguridad y restauración de datos de aplicaciones

Utilice el script marathon-volume-backup.py para hacer copias de seguridad de datos de aplicaciones y
recuperarlos.

Una copia de seguridad de configuración que se realiza en ventana Copia de seguridad y recuperación
no hace una copia de seguridad de los datos de la aplicación. El script /usr/local/bin/marathon-volume-
backup.py se ejecuta por la noche a las 2:30 AM y hace una copia de seguridad del volumen montado
/store de cada aplicación. De forma predeterminada, los datos se conservan durante 7 días.
Utilice el script para realizar las tareas siguientes:

v Hacer manualmente una copia de seguridad para las aplicaciones instaladas.
v Listar todas las copias de seguridad de datos de aplicaciones instaladas en el sistema.
v Restaurar datos para las aplicaciones instaladas.
v Ejecutar el proceso de retención y establecer el periodo de retención para copias de seguridad.
Este script está en QRadar Console y en el nodo de aplicaciones si hay uno instalado. Después de añadir
un nodo de aplicaciones, las copias de seguridad de datos, las restauraciones de datos y las retenciones
ya no se llevan a cabo en QRadar Console. Debe utilizar el script del nodo de aplicaciones.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar Console como el usuario root.
2. Vaya al directorio /usr/local/bin/.
v Utilice los mandatos siguientes para realizar la copia de seguridad de datos de aplicaciones:
– Para realizar manualmente una copia de seguridad para todas las aplicaciones, especifique el
mandato:
./marathon-volume-backup.py backup -p /qapp
– Para realizar manualmente una copia de seguridad para una aplicación específica, especifique el
mandato:
./marathon-volume-backup.py backup -p /qapp-<id_apl>
Donde <id_apl> es el ID de la aplicación de cuyos datos desea hacer una copia de seguridad.
El script marathon-volume-backup.py se ejecuta por la noche a las 2:30 AM, hora local, para hacer
una copia de seguridad de todas las aplicaciones instaladas. Los archivos de copia de seguridad se
almacenan en la carpeta /store/backup/marathon.
v Para ver todas las copias de seguridad de datos para las aplicaciones instaladas, especifique el
mandato siguiente:

./marathon-volume-backup.py ls
Este mandato muestra todos los archivos de copia de seguridad almacenadas en la carpeta
/store/backup/marathon.
v Para restaurar un archivo de copia de seguridad, especifique el mandato siguiente:
./marathon-volume-backup.py restore -i <nombre copia seguridad>
Utilice el mandato ls para buscar el nombre de un archivo de copia de seguridad
v De forma predeterminada, todos los archivos de copia de seguridad se conservan durante una
semana. El proceso de retención se ejecuta por la noche a las 2:30 AM, hora local, con la copia de
seguridad.
– Para realizar manualmente la retención y utilizar el periodo de retención predeterminado,
especifique el mandato siguiente:
./marathon-volume-backup.py retention
– También puede establecer manualmente el periodo de retención añadiendo los conmutadores -t
(tiempo - el valor predeterminado es 1) y -p (periodo - el valor predeterminado es 0).
El conmutador -p acepta tres valores: 0 para una semana, 1 para un día y 2 para una hora.
Por ejemplo, para establecer el periodo de retención de una copia de seguridad en 3 semanas,
./marathon-volume-backup.py retention -t 3 -p 0
v Si desea cambiar el tiempo de retención que utiliza el temporizador nocturno, añada distintivos al
mandato de retención que se encuentra en el archivo de servicio de systemd siguiente:
/etc/systemd/system/framework-apps-data-backup.service
Por ejemplo, para cambiar el periodo de retención que se utiliza en el proceso de retención
nocturna a 5 días, busque la línea siguiente:
ExecStart=/usr/local/bin/marathon-volume-backup.py retention
Sustitúyala por:
ExecStart=/usr/local/bin/marathon-volume-backup.py retention -t 5 -p 1
Guarde los cambios y ejecute el mandato systemctl daemon-reload para que systemd aplique los
cambios.

14 Orígenes de flujo
Para los dispositivos IBM Security QRadar, QRadar añade de forma automática orígenes de flujo para los
puertos físicos de los dispositivo e incluye un origen de flujo predeterminado de NetFlow.
Si ha instalado QRadar en su hardware, QRadar intenta detectar y añadir automáticamente los orígenes
de flujo predeterminados para todos los dispositivos físicos, como, por ejemplo, una tarjeta de interfaz de
red (NIC). Cuando se asigna un IBM Security QRadar QFlow Collector, QRadar incluye un origen de
flujo de NetFlow predeterminado.
Los orígenes de flujo pueden ser internos o externos:

Orígenes de flujo internos
Incluye el hardware adicional que se instala en un host gestionado, como una tarjeta de interfaz
de red (NIC). En función de la configuración de hardware del host gestionado, los orígenes de
flujo internos podrían incluir los orígenes siguientes:
v Tarjeta de interfaz de red
v Interfaz de Napatech
Orígenes de flujo externos
Incluye cualquier origen de flujo externo que envíe a QRadar QFlow Collector. Si QRadar QFlow
Collector recibe varios orígenes de flujo, puede asignar a cada origen de flujo un nombre
diferenciado. Cuando los datos de flujo externos son recibidos por un mismo QRadar QFlow
Collector, un nombre diferenciado ayuda a distinguir los datos de origen de flujo externos entre
sí.
Los orígenes de flujo externos pueden incluir los orígenes siguientes:
v NetFlow
v IPFIX
v sFlow
v J-Flow
v Packeteer
v Archivo de registro de flujos
QRadar SIEM puede reenviar datos de origen de flujo externo con el método de suplantación o de no
suplantación:
Suplantación
Reenvía los datos de entrada recibidos de los orígenes de flujo a un destino secundario. Para
garantizar que los datos de origen de flujo se envían a un destino secundario, configure el
parámetro Interfaz de supervisión en la configuración del origen de flujo con el puerto en el que
se reciben los datos (puerto de gestión). Cuando se utiliza una interfaz específica, QRadar QFlow
Collector utiliza una captura de modalidad promiscua para obtener datos de origen de flujo, en
lugar del puerto de escucha UDP predeterminado en el puerto 2055. Como resultado, QRadar
QFlow Collector puede capturar paquetes de origen de flujo y reenviar los datos.
No suplantación
Para el método de no suplantación, configure el parámetro Interfaz de supervisión en la
configuración del origen de flujo como Cualquiera. QRadar QFlow Collector abre el puerto de
escucha, que es el puerto que está configurado como Puerto de supervisión para aceptar datos
de origen de flujo. Los datos se procesan y se reenvían a otro destino de origen de flujo. La
dirección IP de origen de los datos de origen de flujo se convierte en la dirección IP del sistema
de QRadar SIEM, no en el direccionador original que envió los datos.

Tipos de orígenes de flujo
IBM Security QRadar QFlow Collector puede procesar flujos con diferentes orígenes, que se clasifican
como orígenes internos o externos.
Orígenes de flujo internos
Los orígenes que incluyen datos de paquete a través de una conexión a un puerto SPAN o una TAP se
consideran orígenes internos. Estos orígenes proporciona datos de paquete en bruto a un puerto de
supervisión del Recopilador de flujo, que convierte los detalles del paquete en registros de flujo.
QRadar no mantiene toda la carga útil del paquete. En su lugar, captura una instantánea del flujo,
denominada carga útil o captura de contenido, que incluye paquetes desde el inicio de la comunicación.
La recopilación de flujos procedentes de orígenes internos por lo general requiere un Recopilador de flujo
dedicado.
Orígenes de flujo externos
QRadar también admite orígenes de flujo externos, como los direccionadores que envían datos de
NetFlow, sFlow, J-Flow y Packeteer.
Los orígenes externos no requieren tanto uso de la CPU para su proceso por lo que puede enviarlos
directamente a un Procesador de flujos. En esta configuración puede tener un recopilador de flujos
dedicado y un procesador de flujos, y ambos recibiendo y creando datos de flujo.
NetFlow
NetFlow es una tecnología propietaria de contabilidad desarrollada por Cisco Systems. NetFlow
supervisa el tráfico de flujos a través de un conmutador o un direccionador, interpreta el cliente, el
servidor, el protocolo y el puerto que se utiliza, cuenta el número de bytes y paquetes, y envía los datos a
un recopilador de NetFlow.
Al proceso de enviar datos desde NetFlow se le suele llamar NDE (exportación de datos de NetFlow).
Puede configurar IBM Security QRadar para aceptar las NDE y así convertirse en un recopilador de
NetFlow. QRadar da soporte a NetFlow versiones 1, 5, 7 y 9. Para obtener más información sobre
NetFlow, consulte el sitio web de Cisco (http://www.cisco.com).
Mientras NetFlow amplía la cantidad de red que se supervisa, NetFlow utiliza un protocolo sin conexión
(UDP) para ofrecer las NDE. Después de que una NDE se envíe desde un conmutador o un
direccionador, el registro de NetFlow se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, NetFlow registra los registros inexactos y las funciones de alerta
reducidas. El resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Cuando configure un origen de flujo externo para NetFlow, debe realizar las tareas siguientes:
v Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas. Si cambia el parámetro
External Flow Source Monitoring Port en la configuración de IBM Security QRadar QFlow Collector,
v Asegúrese de que estén configurados los puertos adecuados para QRadar QFlow Collector.
Si utiliza NetFlow versión 9, asegúrese de que la plantilla de NetFlow del origen de NetFlow contenga
los campos siguientes:
v FIRST_SWITCHED
v LAST_SWITCHED

v PROTOCOL
v IPV4_SRC_ADDR
v IPV4_DST_ADDR
v L4_SRC_PORT
v L4_DST_PORT
v IN_BYTES o OUT_BYTES
v IN_PKTS o OUT_PKTS
v TCP_FLAGS (flujos TCP solamente)
IPFIX
Internet Protocol Flow Information Export (IPFIX) es una tecnología de contabilidad. IPFIX supervisa el
tráfico de flujos a través de un conmutador o un direccionador, interpreta el cliente, el servidor, el
protocolo y el puerto que se utiliza, cuenta el número de bytes y paquetes y envía los datos a un
recopilador de IPFIX.
IBM Security Network Protection XGS 5000, un sistema de protección frente a intrusiones (IPS) de
próxima generación, es un ejemplo de dispositivo que envía tráfico de flujo en formato de flujo IPFIX.
Al proceso de enviar datos de IPFIX se le suele llamar NDE (exportación de datos de NetFlow). IPFIX
proporciona más información de flujo y una información más exhaustiva que NetFlow v9. Puede
configurar IBM Security QRadar para que acepte las NDE y así convertirse en un recopilador de IPFIX.
IPFIX utiliza UPD (User Datagram Protocol) para distribuir las NDE. Después de que una NDE se envíe
desde el dispositivo de reenvío de IPFIX, el registro de IPFIX podría purgarse.
Para configurar QRadar para que acepte tráfico de flujo de IPFIX, debe añadir un origen de flujo de
NetFlow. El origen de flujo de NetFlow procesa los flujos de IPFIX utilizando el mismo proceso.
El sistema de QRadar podría incluir un origen de flujo de NetFlow predeterminado; por lo tanto, no
tendría que configurar un origen de flujo de NetFlow. Para confirmar que el sistema incluye un origen de
flujo de NetFlow predeterminado, en la pestaña Admin, seleccione Orígenes de flujo. Si en la lista de
orígenes de flujo aparece default_Netflow, IPFIX ya está configurado.
Cuando configure un origen de flujo externo para IPFIX, debe realizar las tareas siguientes:
v Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas. Si cambia el parámetro
External Flow Source Monitoring Port en la configuración de IBM Security QRadar QFlow Collector,
v Asegúrese de que la plantilla de IPFIX del origen IPFIX incluye los siguientes elementos de
información listados en IANA:
– protocolIdentifier (4)
– sourceIPv4Address (8)
– destinationIPv4Address (12)
– sourceTransportPort (7)
– destinationTransportPort (11)
– octetDeltaCount (1) o postOctetDeltaCount (23)
– packetDeltaCount (2) o postPacketDeltaCount (24)
– tcpControlBits (6) (solo flujos TCP)
– flowStartSeconds (150) o flowStartMilliseconds (152) o flowStartDeltaMicroseconds (158)
– flowEndSeconds (151) o flowEndMilliseconds (153) o flowEndDeltaMicroseconds (159)
14 Orígenes de flujo 205

sFlow
sFlow es un estándar de múltiples proveedores y usuarios de la tecnología de muestreo que proporciona
una supervisión continua de los flujos de tráfico en el nivel de aplicación en todas las interfaces
simultáneamente.
sFlow combina las muestras de flujos y los contadores de interfaz en datagramas sFlow que se envían a
través de la red a un recopilador de sFlow. IBM Security QRadar da soporte a las versiones 2, 4 y 5 de
sFlow. El tráfico de sFlow se basa en datos de muestreo y, por lo tanto, podría no representar todo el
tráfico de la red. Para obtener más información, consulte el sitio web de sFlow (www.sflow.org).
sFlow utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de sFlow se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, sFlow registra los registros inexactos y las funciones de alerta reducidas.
El resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos bidireccionales.
Cuando configure un origen de flujo externo para sFlow, debe realizar las tareas siguientes:
v Asegúrese de que las reglas del cortafuegos pertinentes estén configuradas.
v Asegúrese de que estén configurados los puertos adecuados para QRadar VFlow Collector.
J-Flow
Tecnología de contabilidad propietaria utilizada por Juniper Networks que permite recopilar estadísticas
de los flujos de tráfico de IP. J-Flow permite exportar datos a un puerto UDP en un recopilador J-Flow.
También puede habilitar J-Flow en un direccionador o una interfaz para recopilar estadísticas de red de
ubicaciones específicas de la red.
Tenga en cuenta que el tráfico de J-Flow se basa en datos de muestreo y, por lo tanto, podría no
representar todo el tráfico de la red. Para obtener más información sobre J-Flow, consulte el sitio web de
Juniper Networks (www.juniper.net).
J-Flow utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de J-Flow se purga. Como se utiliza UDP para enviar esta información y no se
garantiza la entrega de los datos, J-Flow registra los registros inexactos y las funciones de alerta
reducidas. El resultado podría ser presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Cuando configure un origen de flujo externo para J-Flow, debe realizar las tareas siguientes:
v Asegúrese de que estén configurados los puertos adecuados para IBM Security QRadar QFlow
Collector.
Packeteer
Los dispositivos Packeteer recopilan, agregan y almacenan los datos de rendimiento de la red. Después
de configurar un origen de flujo externo para Packeteer, puede enviar información de flujo desde un
dispositivo Packeteer a IBM Security QRadar.
Packeteer utiliza un protocolo sin conexión (UDP). Cuando se envían datos desde un conmutador o un
direccionador, el registro de Packeteer se purga. Como se utiliza UDP para enviar esta información y no
se garantiza la entrega de los datos, Packeteer registra los registros inexactos y las funciones de alerta
reducidas. Podrían darse presentaciones inexactas de ambos volúmenes de tránsito y flujos
bidireccionales.
Para configurar Packeteer como un origen de flujo externo, debe realizar las tareas siguientes:

v Asegúrese de configurar los dispositivos Packeteer para exportar los registros de detalle de flujo y de
configurar IBM Security QRadar QFlow Collector como destino de la exportación de datos.
v Asegúrese de que los ID de clase de los dispositivos Packeteer pueden ser detectados automáticamente
por QRadar QFlow Collector.
v Para obtener más información, consulte Mapping Packeteer Applications into QRadar Technical Note.
Archivo de registro de flujos

Un archivo de registro de flujos se genera a partir de los registros de flujos de IBM Security QRadar.
Interfaz de Napatech
Si ha instalado un adaptador de red Napatech en el sistema de IBM Security QRadar, la opción Interfaz
Napatech se muestra como origen de flujo basado en paquetes configurable en QRadar. El adaptador de
red Napatech es un adaptador de red inteligente y programable de próxima generación para la red. Para
obtener más información, consulte la documentación de Napatech .
Adición o edición de un origen de flujo

Utilice la ventana Origen de flujo para añadir un origen de flujo.
Procedimiento
2. En la sección Orígenes de datos, en Flujos, haga clic en Orígenes de flujo.
3. Realice una de estas acciones:
v Para añadir un origen de flujo, pulse Añadir.
v Para editar un origen de flujo, seleccione el origen de flujo y pulse Editar.
4. Para crear este origen de flujo a partir de un origen de flujo existente, seleccione la casilla de
verificación Crear a partir de origen de flujo existente y seleccione un origen de flujo de la lista
Utilizar como plantilla.
5. Especifique el nombre en Nombre de origen de flujo.
Consejo: Si el origen de flujo externo también es un dispositivo físico, utilice el nombre de

dispositivo como nombre del origen de flujo. Si el origen de flujo no es un dispositivo físico, utilice
un nombre reconocible.
Por ejemplo, si desea utilizar tráfico de IPFIX, especifique ipf1. Si desea utilizar tráfico de NetFlow,
especifique nf1.
6. Seleccione un origen de flujo de la lista Tipo de origen de flujo y configure las propiedades.
v Si selecciona la opción Archivo de registro de flujos, asegúrese de configurar la ubicación del
archivo de registro de flujos en el parámetro Vía de acceso de archivo de origen.
v Si selecciona las opciones JFlow, NetFlow, Packeteer FDR o sFlow en el parámetro Tipo de origen
de flujo, asegúrese de configurar un puerto disponible en el parámetro Puerto de supervisión.
El puerto predeterminado del primer origen de flujo de NetFlow configurado en la red es 2055. Por
cada origen de flujo de NetFlow adicional, el número de puerto predeterminado se incrementa en
1. Por ejemplo, el origen de flujo de NetFlow predeterminado del segundo origen de flujo de
NetFlow es 2056.
v Si selecciona la opción Interfaz Napatech, especifique en Interfaz de flujo la interfaz de flujo que
desee asignar al origen de flujo.
Restricción: La opción Interfaz Napatech se visualiza solamente si ha instalado el adaptador de

red Napatech en el sistema.

v Si selecciona la opción Interfaz de red, en Interfaz de flujo configure solamente un origen de
registro para cada interfaz Ethernet.
Restricción: No se pueden enviar distintos tipos de flujo al mismo puerto.

7. Si el tráfico de la red está configurado para seguir rutas alternativas para el tráficos de entrada y el de
salida, seleccione la casilla de verificación Habilitar flujos asimétricos.
8. Pulse Guardar.
Reenvío de paquetes a QRadar Packet Capture

Puede supervisar el tráfico de red mediante el envío de paquetes de datos en bruto a un dispositivo IBM
Security QRadar QFlow Collector 1310. QRadar QFlow Collector utiliza una tarjeta de supervisión
Napatech dedicada para copiar los paquetes entrantes de un puerto de la tarjeta en un segundo puerto
que se conecta a un dispositivo IBM Security QRadar Packet Capture.
Si ya tiene un dispositivo QRadar QFlow Collector 1310 con una tarjeta de red Napatech 10G, puede
duplicar el tráfico a QRadar Packet Capture.
Como se muestra en el diagrama siguiente, si ya tiene un dispositivo QRadar QFlow Collector 1310 con
una tarjeta de red Napatech 10G, puede duplicar el tráfico a QRadar Packet Capture.
Figura 10. Reenvío de datos de paquete desde un QRadar QFlow Collector a QRadar Packet Capture mediante la
tarjeta Napatech
Antes de empezar
Asegúrese de que haber configurado el hardware siguiente en su entorno:

v Haber conectado el cable al puerto 1 de la tarjeta Napatech del dispositivo QRadar QFlow Collector
1310.
v Haber conectado el cable que está conectado al puerto 2 de la tarjeta Napatech, que es el puerto de
reenvío, al dispositivo QRadar Packet Capture.
v Haber verificado la conectividad de capa 2 comprobando las luces de enlace en ambos dispositivos.

Procedimiento
1. Utilizando SSH desde la consola de IBM Security QRadar, inicie la sesión en QRadar QFlow Collector
como usuario root. En el dispositivo QRadar QFlow Collector, edite el archivo siguiente.
/opt/qradar/init/apply_tunings
a. Busque la línea siguiente, cerca de la línea 137.
apply_multithread_qflow_changes()
{
APPLIANCEID=`$NVABIN/myver -a`
if [ "$APPLIANCEID" == "1310" ]; then
MODELNUM=$(/opt/napatech/bin/AdapterInfo 2>&1 | grep "Active FPGA Image" | cut -d’-’ -f2)
if [ "$MODELNUM" == "9220" ]; then..
b. En las líneas AppendToConf que siguen al código del paso anterior, añada estas líneas:
AppendToConf SV_NAPATECH_FORWARD YES
AppendToConf SV_NAPATECH_FORWARD_INTERFACE_SRCDST "0:1"
Estas sentencias habilitan el reenvío de paquetes y reenvían paquetes desde el puerto 0 al puerto
1.
c. Asegúrese de que la multihebra está habilitada, verificando que la línea siguiente se encuentra en el
archivo /opt/qradar/conf/nva.conf .
MULTI_THREAD_ON=YES
2. Ejecute el script apply_tunings para actualizar los archivos de configuración en QRadar QFlow
Collector, escribiendo el mandato siguiente:
./apply_tunings restart
3. Reinicie los servicios de IBM Security QRadar especificando el mandato siguiente:
systemctl restart hostcontext
4. Opcional: Verifique que la tarjeta Napatech esté recibiendo y transmitiendo datos.
a. Para comprobar que la tarjeta Napatech está recibiendo datos, escriba el mandato siguiente:
/opt/napatech/bin/Statistics -dec -interactive
Las estadísticas de byte y paquete "RX" se incrementan si la tarjeta está recibiendo datos.
b. Para comprobar que la tarjeta Napatech está transmitiendo datos, escriba el mandato siguiente:
/opt/napatech/bin/Statistics -dec -interactive
Las estadísticas "TX" se incrementan si la tarjeta está transmitiendo datos.
5. Opcional: Verifique que QRadar Packet Capture esté recibiendo paquetes del dispositivo QRadar
QFlow Collector.
a. Utilizando SSH desde la QRadar Console, inicie la sesión en el dispositivo QRadar Packet Capture
como usuario root en el puerto 4477.
b. Verifique que el dispositivo QRadar Packet Capture esté recibiendo paquetes escribiendo el
mandato siguiente:
watch -d cat /var/www/html/statisdata/int0.txt
El archivo int0.txt se actualiza a medida que los datos fluyen al dispositivo QRadar Packet
Capture.
Para obtener más información sobre la captura de paquetes, consulte la IBM Security QRadar Guía de
consulta rápida de Packet Capture.
Habilitación e inhabilitación de un origen de flujo

Con la ventana Origen de flujo puede habilitar o inhabilitar un origen de flujo.
Procedimiento

3. Seleccione el origen de flujo que desee habilitar o inhabilitar y, a continuación, pulse
Habilitar/inhabilitar.
Supresión de un origen de flujo

Utilice la ventana Origen de flujo para suprimir un origen de flujo.
Procedimiento
3. Seleccione el origen de flujo que desee suprimir y, a continuación, pulse Suprimir.
Alias de origen de flujo

Los alias de origen de flujo utilizan un nombre virtual para identificar flujos externos que se envían al
mismo puerto en un recopilador de flujos. Por ejemplo, el IBM Security QRadar QFlow Collector puede
tener un solo origen de flujo NetFlow que escuche en el puerto 2055, y puede tener varios orígenes de
NetFlow realizando envíos al mismo QRadar QFlow Collector. Si utiliza alias de origen de flujo, podrá
identificar los diferentes orígenes de NetFlow en función de sus direcciones IP.
Cuando QRadar QFlow Collector recibe el tráfico de un dispositivo que tiene una dirección IP, pero no
tiene un alias actual, QRadar QFlow Collector intenta una búsqueda DNS inversa. La búsqueda se utiliza
para determinar el nombre de host del dispositivo.
Puede configurar el QRadar QFlow Collector para crear automáticamente los alias de origen de flujo de
trabajo. Cuando QRadar QFlow Collector recibe el tráfico de un dispositivo con una dirección IP, pero sin
alias actual, intenta una búsqueda DNS inversa para determinar el nombre de host del dispositivo.
Si la búsqueda es satisfactoria, QRadar QFlow Collector añade esta información a la base de datos y
notifica la información a todos los componentes QRadar QFlow Collector del despliegue. Si la búsqueda
falla, QRadar crea un alias predeterminado para el origen de flujo basado en el nombre del origen de
flujo y la dirección IP de origen. Por ejemplo, el alias predeterminado puede aparecer como
default_NetFlow_172.16.10.139.
Añadir un alias de origen de flujo

Utilice la ventana Alias de origen de flujo para añadir un alias de origen de flujo.
Procedimiento
2. En la sección Orígenes de datos, en Flujos, haga clic en Alias de origen de flujo.
3. Realice una de estas acciones:
v Para añadir un alias de origen de flujo, pulse Añadir y especifique los valores de los parámetros.
v Para editar un alias existente de origen de flujo, seleccione el alias del origen de flujo, pulse Editar
y actualice los parámetros.
4. Pulse Guardar.
Supresión de un alias de origen de flujo

Utilice la ventana Alias de origen de flujo para suprimir un alias de origen de flujo.

Procedimiento
2. En la sección Orígenes de datos, en Flujos, haga clic en Alias de origen de flujo.
3. Seleccione el alias de origen de flujo que desee suprimir y, a continuación, pulse Suprimir.

15 Configuración de redes remotas y servicios remotos
Utilice los grupos de redes remotas y servicios remotos para representar la actividad de tráfico en la red
para un perfil específico. Los grupos de redes remotas muestran el tráfico de usuario que se origina en
las redes remotas denominadas.
Todos los grupos de redes remotas y servicios remotos tienen niveles de grupo y niveles de objeto de
hoja. Puede editar los grupos de redes remotas y servicios remotos añadiendo objetos a los grupos
existentes o cambiando las propiedades ya existentes para adaptarlos a su entorno.
Si mueve un objeto existente a otro grupo, el nombre del objeto se mueve desde el grupo existente hasta
el grupo recién seleccionado. Sin embargo, cuando los cambios de configuración se despliegan, los datos
del objeto que están almacenados en la base de datos se pierden y el objeto deja de funcionar. Para
resolver este problema, cree una vista nueva y vuelva a crear el objeto que existe con otro grupo.
Puede agrupar las redes remotas y los servicios remotos para su uso en las búsquedas de sucesos, flujos y
el motor de reglas personalizadas. Puede también agrupar las redes y los servicios en IBM Security
QRadar Risk Manager, si está disponible.
Grupos de redes remotas predeterminados

IBM Security QRadar incluye grupos de redes remotas predeterminados.
En la tabla siguiente se describen los grupos de redes remotas predeterminados.

Tabla 48. Grupos de redes remotas predeterminados
Grupo Descripción
BOT Especifica el tráfico que se origina en las aplicaciones
BOT.
Para obtener más información consulte Botnet Command

and Control drop rules en el sitio web Emerging Threats
(http://rules.emergingthreats.net/blockrules/emerging-
botcc.rules)
Bogon Especifica el tráfico que se origina en direcciones IP no
asignadas.
Para obtener más información, consulte el material de

referencia de bogon en el sitio web de Team CYMRU
(http://www.team-cymru.org/Services/Bogons/bogon-
bn-nonagg.txt).

Tabla 48. Grupos de redes remotas predeterminados (continuación)
Grupo Descripción
RedesHostiles Especifica el tráfico que se origina en redes hostiles
conocidas.
RedesHostiles tiene un conjunto de 20 rangos de CIDR

configurables (del rango 1 al 20, ambos inclusive).
Para obtener más información, consulte la referencia de

HostileNets en el sitio web DShield (http://
www.dshield.org/ipsascii.html?limit=20)
Neighbours Especifica tráfico originado en redes cercanas con las que
su organización tiene acuerdos de igualdad de red.
Este grupo está en blanco de forma predeterminada.

Debe configurar este grupo para clasificar el tráfico que
se origina en las redes vecinas.
Smurfs Especifica el tráfico que se origina en los ataques smurf.
Un ataque smurf es un tipo de ataque de denegación de

servicio que colapsa un sistema de destino con mensajes
ping de difusión con suplantación.
Superflows Este grupo no es configurable.
Un superflujo es un flujo que es un agregado de un

número de flujos que tienen un conjunto de elementos
similar predeterminado.
RedesDeConfianza Especifica el tráfico de redes de confianza, incluidos los
business partners que tienen acceso remoto a sus
aplicaciones y servicios críticos.
Debe configurar este grupo para clasificar el tráfico que

se origina en las redes de confianza.
Listas de supervisión Clasifica el tráfico que se origina en redes que desea
supervisar.
Los grupos y objetos que incluyen superflujos son solamente para fines informativos y no se pueden
editar. Los grupos y los objetos que incluyen bogons se configuran mediante la función de actualización
automática.
Nota: Puede utilizar conjuntos de referencia en lugar de redes remotas para proporcionar parte de la
funcionalidad. Aunque no puede asignar un nivel de confianza a un valor de IP en una tabla de
referencia, los conjuntos de referencia solo se utilizan con IPs individuales y no se pueden utilizar con
rangos de CIDR. Puede utilizar un valor de CIDR después de una actualización de red remota pero no
con niveles de peso o confianza.
“Tipo de recopilaciones de datos de referencia” en la página 152
Hay diferentes tipos de recopilaciones de datos de referencia y cada tipo puede gestionar niveles
diferentes de complejidad de datos. Los tipos más comunes son conjuntos de referencia y correlaciones de
referencia.

Grupos de servicios remotos predeterminados
IBM Security QRadar incluye los grupos de servicios remotos predeterminados.
En la tabla siguiente se describen los grupos de servicios remotos predeterminados.

Tabla 49. Grupos de redes remotas predeterminados
Servidores_IRC Especifica el tráfico que se origina en direcciones
comúnmente conocidas como servidores de chat.
Servicios_Enlinea Especifica el tráfico que se origina en direcciones
conocidas comúnmente como servicios en línea que
podrían implicar la pérdida de datos.
Porno Especifica el tráfico que se origina en direcciones
comúnmente conocidas por contener material
pornográfico explícito.
Proxys Especifica el tráfico que se origina en servidores proxy
abiertos comúnmente conocidos.
Rangos_IP_Reservados Especifica el tráfico que se origina en los rangos de
direcciones IP reservadas.
Spam Especifica el tráfico que se origina en direcciones
comúnmente conocidas por generar correo no deseado
(spam).
Spy_Adware Especifica el tráfico que se origina en direcciones
comúnmente conocidas por contener spyware o adware.
Superflows Especifica el tráfico que se origina en direcciones
comúnmente conocidas por generar superflujos.
Warez Especifica el tráfico que se origina en direcciones
comúnmente conocidas por contener software pirateado.
Directrices para los recursos de red

Dados la complejidad y los recursos de red que se necesitan para IBM Security QRadar SIEM en las
grandes redes estructuradas, siga las directrices sugeridas.
En la lista siguiente se describen algunas de las prácticas sugeridas que puede seguir:
v Empaquete los objetos y utilice las pestañas Actividad de red y Actividad de registro para analizar los
datos de la red.
Un número menor de objetos crea menos entrada y menos salida en el disco.
v Normalmente, para los requisitos estándares del sistema, no supere los 200 objetos por grupo.
Más objetos pueden afectar a la potencia de proceso cuando se investigue el tráfico.
Gestión de objetos de redes remotas

Después de crear grupos de redes remotas, puede agregar resultados de búsqueda de flujos y sucesos en
los grupos de redes remotas. También puede crear reglas que comprueben la actividad en los grupos de
redes remotas.
Utilice la ventana Redes remotas para añadir o editar un objeto de redes remotas.
15 Configuración de redes remotas y servicios remotos 215

Procedimiento
2. En la sección Configuración de redes remotas y servicios remotos, haga clic en Servicios y redes
remotas.
3. Para añadir un objeto de redes remotas, pulse Añadir y especifique los valores de los parámetros.
4. Para editar un objeto de redes remotas, siga estos pasos:
a. Pulse dos veces el nombre del grupo.
b. Seleccione el perfil y pulse el icono Editar ( ) para editar el perfil remoto.
5. Pulse Guardar.
6. Pulse el icono anterior ( ) para volver a la ventana Redes remotas y servicios remotos.
Gestión de objetos de servicios remotos

Los grupos de servicios remotos organizan el tráfico que se origina en los rangos de red definidos por el
usuario o en el servidor de actualizaciones automáticas de IBM. Después de crear grupos de redes
remotas, puede agregar resultados de búsqueda de flujos y sucesos y crear reglas que comprueben la
actividad en los grupos de servicios remotos.
Utilice la ventana Servicios remotos para añadir o editar un objeto de servicios remotos.
Procedimiento
2. En la sección Configuración de redes remotas y servicios remotos, haga clic en Servicios y redes
remotas.
3. Para añadir un objeto de servicios remotos, pulse Añadir y especifique los valores de los parámetros.
4. Para editar un objeto de servicios remotos, pulse el grupo que desea visualizar, pulse el icono Editar y
cambie los valores.
5. Pulse Guardar.
6. Pulse Volver.
7. Cierre la ventana Servicios remotos.
Visión general de las correlaciones de QID

Utilice el programa de utilidad de correlación de QID (IBM Security QRadar Identifier) para crear,
exportar, importar o modificar entradas de correlaciones de QID definidas por el usuario.
La correlación de QID asocia un suceso de un dispositivo externo a un (QID).
Consulte las tareas siguientes para la gestión de QID:

v “Creación de una entrada de correlación de QID” en la página 217
v “Modificación de una entrada de correlación de QID” en la página 218
v “Importación de entradas de correlaciones de QID” en la página 218
v “Exportación de entradas de correlaciones de QID” en la página 219
Para ejecutar el programa de utilidad, utilice la sintaxis siguiente:
qidmap_cli.sh [-l|-c|-m|-i[-f <nombre_archivo>]|-e[-f <nombre_archivo>]|-d]

En la tabla siguiente se describen las opciones de línea de mandatos para el programa de utilidad de
correlación QID.
Tabla 50. Opciones del programa de utilidad de correlación QID
Opciones Descripción
-l Lista la categoría de nivel bajo.
-c Crea una entrada de correlación de QID.
-m Modifica una entrada de correlación de QID definida por el usuario ya existente.
-i Importa las entradas de correlaciones de QID.
-e Exporta las entradas de correlaciones de QID definidas por el usuario ya existentes.
-f <nombre_archivo> Si incluye la opción -i o -e, especifique un nombre de archivo para importar o
exportar las entradas de correlaciones de QID.
-d Si incluye la opción -i o -e, especifique un delimitador para el archivo de
importación o exportación. El valor predeterminado es una coma.
-h Muestra las opciones de ayuda.
Creación de una entrada de correlación de QID

Cree una entrada de correlación QID (IBM Security QRadar Identifier) para correlacionar un suceso de un
dispositivo externo a QID.
Procedimiento
2. Para localizar la categoría de nivel bajo para la entrada de correlación de QID que desea crear, escriba
el mandato siguiente:
/opt/qradar/bin/qidmap_cli.sh -l
Si desea buscar una categoría de nivel bajo determinada, puede utilizar el mandato grep para filtrar
los resultados:
/opt/qradar/bin/qidmap_cli.sh -l | grep <texto>
3. Escriba el mandato siguiente:
qidmap_cli.sh -c --qname <nombre> --qdescription <descripción>
--severity <gravedad> --lowlevelcategoryid <ID>
correlación QID:
-c Crea una entrada de correlación de QID.
--qname <nombre> Nombre que desea asociar con esta entrada de correlación de QID. El
nombre puede tener una longitud máxima de 255 caracteres.
Si incluye espacios en el nombre, especifique el valor de nombre entre

comillas dobles.
--qdescription <descripción> Descripción de esta entrada de correlación de QID. La descripción
puede tener como máximo 2048 caracteres.
Si incluye espacios en la descripción, especifique el valor de

descripción entre comillas dobles.
--severity <gravedad> Nivel de gravedad que desea asignar a esta entrada de correlación de
QID. El rango válido va de 1 a 10.
--lowlevelcategoryid <ID> ID de categoría de nivel bajo que desea asignar a esta entrada de
correlación de QID.

Modificación de una entrada de correlación de QID
Modifique una entrada de correlación de QID (IBM Security QRadar Identifier) definida por el usuario
existente.
Procedimiento
2. Escriba el mandato siguiente:
qidmap_cli.sh -m --qid<QID> --qname <nombre> --qdescription <descripción>
--severity <gravedad>
correlación QID:
-m Modifica una entrada de correlación de QID definida por
el usuario ya existente.
--qid<QID> QID que desea modificar.
--qname <nombre> Nombre que desea asociar con esta entrada de
correlación de QID. El nombre puede tener una longitud
de hasta 255 caracteres y no debe tener espacios.
--qdescription <descripción> Descripción de esta entrada de correlación de QID. La
descripción puede tener una longitud de hasta 2048
caracteres y no debe tener espacios.
--severity <gravedad> Nivel de gravedad que desea asignar a esta entrada de
correlación de QID. El rango válido va de 0 a 10.
Importación de entradas de correlaciones de QID

Con el programa de utilidad de correlación de QID (IBM Security QRadar Identifier) puede importar
entradas de correlaciones de QID de un archivo .txt.
Procedimiento
1. Cree un archivo .txt que incluya las entradas de correlaciones de QID definidas por el usuario que
desea importar. Asegúrese de que cada entrada del archivo esté separada mediante una coma.
Seleccione una de las opciones siguientes:
v Si desea importar una nueva lista de entradas de correlaciones de QID definidas por el usuario,
cree el archivo con el formato siguiente para cada entrada:
,<nombre>,<descripción>,<gravedad>,<categoría>
Ejemplo:
,buffer,buffer_QID,7,18401 ,malware,malware_misc,8,18403
v Si desea importar una lista existente de entradas de correlaciones de QID definidas por el usuario,
cree el archivo con el formato siguiente para cada entrada:
<qid>,<nombre>,<descripción>,<gravedad>
Ejemplo: 2000002,buffer,buffer_QID,7 2000001,malware,malware_misc

En la tabla siguiente se describen las opciones de línea de mandatos para el programa de utilidad
QID.

<qid> QID existente para la entrada. Esta opción es obligatoria
si desea importar una lista exportada existente de
entradas de QID.
Para importar entradas de QID nuevas, no utilice esta

opción. El programa de utilidad de correlación QID
asigna un identificador (QID) para cada entrada del
archivo.
--qname <nombre> Nombre que desea asociar con esta entrada de
correlación de QID. El nombre puede tener una longitud
de hasta 255 caracteres y no debe tener espacios.
--qdescription <descripción> Descripción de esta entrada de correlación de QID. La
descripción puede tener una longitud de hasta 2048
caracteres y no debe tener espacios.
--severity <gravedad> Nivel de gravedad que desea asignar a esta entrada de
correlación de QID. El rango válido va de 0 a 10.
--lowlevelcategoryid <ID> ID de categoría de nivel bajo que desea asignar a esta
entrada de correlación de QID.
Esta opción solamente es obligatoria si desea importar

una lista nueva de entradas de QID.

3. Inicie, mediante SSH, la sesión en QRadar como usuario root:
4. Para importar el archivo de correlación QID, escriba el mandato siguiente:
/opt/qradar/bin/qidmap_cli.sh -i -f <nombre_archivo.txt>
La opción <nombre_archivo.txt> es la vía de acceso del directorio y el nombre del archivo que
contiene las entradas de correlaciones de QID. Si alguna de las entradas del archivo provoca un error,
no se aplica ninguna entrada del archivo.
Exportación de entradas de correlaciones de QID

Visualice las correlaciones entre los sucesos de dispositivos externos y sus identificadores exclusivos
exportando las entradas de QID.

Para las entradas de correlaciones de QID que ha creado, utilice el programa de utilidad de correlación
de QID para exportar las entradas a un archivo .txt.
Para una correlación de QID completa que incluya las entradas de QID del sistema predeterminadas,
utilice el mandato idlist.sh.
Procedimiento
2. Para exportar el archivo de correlación de QID de las entradas definidas por el usuario, escriba el
mandato siguiente:
/opt/qradar/bin/qidmap_cli.sh -e -f <nombre_archivo.txt>
La opción <nombre_archivo.txt> es la vía de acceso del directorio y el nombre del archivo que desea
que contenga las entradas de correlaciones de QID.
3. Para exportar toda la correlación de QID, escriba el mandato siguiente:
/opt/qradar/bin/idlist.sh -e qid > <nombre_archivo.txt>

4. Para determinar la fecha de última modificación de la correlación de QID, ejecute una consulta SQL.
Por ejemplo, si un QID tiene el número de identificación 64250088, especifique la siguiente consulta
SQL para recuperar su fecha de última modificación:
psql -U qradar -c "select qid,to_timestamp(serial/1000) as date from qidmap_serial where qid
= 64250088;"

16 Descubrimiento de servidores
La función Descubrimiento de servidores utiliza la base de datos de perfiles de activos para descubrir
los distintos tipos de servidor que están basados en definiciones de puerto. A continuación, puede
seleccionar los servidores para añadirlos a un componente básico de tipo servidor para las reglas.
La función Descubrimiento de servidores está basada en componentes básicos de tipo servidor. Se

utilizan puertos para definir el tipo de servidor. Así, el componente básico de tipo servidor funciona
como un filtro basado en puertos cuando se realiza una búsqueda en la base de datos de perfiles de
activo.
Para obtener más información sobre los componentes básicos, consulte la publicación Guía del usuario de
Utilice la función Descubrimiento de servidores con IBM Security QRadar Vulnerability Manager para
crear reglas de excepción para vulnerabilidades benignas. Reduzca el número de vulnerabilidades
visualizadas para los siguientes Tipos de servidor:
Tabla 51. Vulnerabilidades de tipos de servidor
Tipo de servidor Vulnerabilidad
Servidores FTP Servidor FTP presente
Servidores DNS Servidor DNS en ejecución
Servidores de correo Servidor SMTP detectado
Servidores web Servicio web en ejecución
Para obtener más información sobre vulnerabilidades de falso positivo, consulte la Guía del usuario de IBM
Security QRadar Vulnerability Manager.
Utilice la pestaña Activos para descubrir servidores en la red.
Procedimiento
1. En el de navegación ( ), pulse Activos para abrir la pestaña Activos.
2. En el menú de navegación Activos, pulse Descubrimiento de servidores.
3. En la lista Tipo de servidor, seleccione el tipo de servidor que desee descubrir.
4. Seleccione una de las opciones siguientes para determinar los servidores que desea descubrir:
v Para utilizar el tipo seleccionado actualmente en Tipo de servidor para buscar en todos los
servidores del despliegue, seleccione Todos.
v Para buscar en los servidores del despliegue que estaban asignados al tipo seleccionado
actualmente en Tipo de servidor, seleccione Asignados.
v Para buscar en los servidores del despliegue que no están asignados, seleccione Sin asignar.

5. Para editar la lista de puertos de servidor estándar, pulse Editar puertos.
6. En la lista Red, seleccione la red en la que desea buscar.
7. Pulse Descubrir servidores.
8. En la tabla Servidores coincidentes, seleccione las casillas de verificación de todos los servidores que
desee asignar al rol de servidor.
9. Pulse Aprobar servidores seleccionados.

17 Segmentación en dominios
La segmentación de la red en diferentes dominios permite garantizar que la información relevante está a
disposición solamente de aquellos usuarios que la necesitan.
Puede crear perfiles de seguridad para limitar la información que está disponible para un grupo de
usuarios dentro de ese dominio. Los perfiles de seguridad proporcionan a los usuarios acceso únicamente
a la información que se necesita para completar sus tareas diarias. Se modifica solamente el perfil de
seguridad de los usuarios afectados, no cada usuario de forma individual.
También puede utilizar dominios para gestionar los rangos de direcciones IP solapados. Este método es
útil cuando se utiliza una infraestructura de IBM Security QRadar compartida para recopilar datos a
partir de varias redes. Al crear dominios que representan un espacio de direcciones determinado en la
red, varios dispositivos que se encuentran en dominios diferentes pueden tener la misma dirección IP
pero se tratarán como dispositivos independientes.
Direcciones IP solapadas
Una dirección IP solapada es una dirección IP que se ha asignado a más de un dispositivo o unidad
lógica, como un tipo de origen de sucesos, en una red. Los rangos de direcciones IP solapados pueden
causar problemas significativos a las empresas que fusionan redes después de adquisiciones corporativas
o a los proveedores de servicios de seguridad gestionados (MSSP) que incorporan nuevos clientes.
IBM Security QRadar debe ser capaz de diferenciar los sucesos y los flujos que proceden de distintos
dispositivos y que tienen la misma dirección IP. Si la misma dirección IP se ha asignado a más de un
origen de sucesos, puede crear dominios para distinguirlos.
Por ejemplo, supongamos un caso en el que la empresa A adquiere la empresa B y desea utilizar una
instancia compartida de QRadar para supervisar los activos de la empresa nueva. La adquisición tiene
una estructura de red similar que hace que se utilice la misma dirección IP para diferentes orígenes de
registro en cada empresa. Los orígenes de registro con la misma dirección IP provocan problemas de
correlación, creación de informes, búsqueda y creación de perfiles de activo.
Para distinguir el origen de los sucesos y los flujos que llegan a QRadar desde el origen de registro,
puede crear dos dominios y asignar cada origen de registro a un dominio diferente. Si es necesario,
también puede asignar cada recopilador de sucesos y recopilador de flujos al mismo dominio que el
origen de registro que les envía sucesos.
Para ver los sucesos entrantes por dominio, cree una búsqueda e incluya la información de dominio en
los resultados de la búsqueda.
Definición y etiquetado de dominio

Los dominios se definen basándose en los orígenes de entrada de IBM Security QRadar. Cuando llegan
sucesos y flujos a QRadar, las definiciones de dominios se evalúan y los sucesos y los flujos se etiquetan
con la información de dominio.

Especificación de dominios para los sucesos
A continuación se indican las maneras de especificar dominios para los sucesos:

Recopiladores de sucesos
Si un recopilador de sucesos está dedicado a un segmento de red o un rango de direcciones IP en
concreto, puede marcar con un distintivo ese recopilador de sucesos entero como parte de ese
dominio.
Todos los orígenes de registro que llegan a ese recopilador de sucesos pertenecen al dominio; por
lo tanto, todos los orígenes de registro que se detecten como nuevos se añaden automáticamente
al dominio.
Orígenes de registro
Puede configurar orígenes de registro específicos para que pertenezcan a un dominio.
Este método de etiquetado de dominio es una opción para los despliegues en los que un
recopilador de sucesos puede recibir sucesos de varios dominios.
Grupos de orígenes de registro
Puede asignar grupos de orígenes de registro a un dominio específico. Esta opción brinda un
mayor control sobre la configuración de los orígenes de registro.
Los orígenes de registro nuevos que se añadan al grupo de orígenes de registro reciben
automáticamente el etiquetado de dominio que está asociado con el grupo de orígenes de
registro.
Puede aplicar propiedades personalizadas a los mensajes de registro que proceden de un origen
de registro.
Para determinar a qué dominio pertenece cada mensaje de registro, el valor de la propiedad
personalizada se busca en una correlación definida en el editor Gestión de dominios.
Esta opción se utiliza para los orígenes de registro con varios rangos de direcciones o varios
arrendatarios, como los servidores de archivos y los repositorios de documentos.
Especificación de dominios para los flujos
A continuación se indican las maneras de especificar dominios para los flujos:

Recopiladores de flujo
Puede asignar recopiladores QFlow específicos a un dominio.
Todos los orígenes de flujo que llegan a ese recopilador de flujo pertenecen al dominio; por lo
tanto, todos los orígenes de flujo que se detecten como nuevos se añaden automáticamente al
dominio.
Orígenes de flujo
Puede designar orígenes de flujo específicos para un dominio.
Esta opción es útil cuando un solo recopilador QFlow recopila flujos de varios segmentos de red
o direccionadores que contienen rangos de direcciones IP solapados.
Especificación de dominios para los resultados de la exploración
También puede asignar exploradores de vulnerabilidades a un dominio específico para que los resultados
de la exploración estén adecuadamente marcados como pertenecientes a ese dominio. Una definición de
dominio puede constar de todos los orígenes de entrada de QRadar.
Para obtener información sobre la asignación de la red a dominios preconfigurados, consulte el apartado
“Jerarquía de red” en la página 77.

Orden de precedencia para evaluar los criterios de dominio
Cuando llegan sucesos y flujos al sistema de QRadar, los criterios de dominio se evalúan en función de la
granularidad de la definición de dominio.
Si la definición de dominio se basa en un suceso, primero se comprueba si el suceso entrante tiene

propiedades personalizadas que se correlacionen con la definición de dominio. Si el resultado de una
expresión regular que se define en una propiedad personalizada no coincide con una correlación de
dominio, el suceso se asigna automáticamente al dominio predeterminado.
Si el suceso no coincide con la definición de dominio de las propiedades personalizadas, se aplica el

orden de prioridad siguiente:
1. Origen de registro
2. Grupo de orígenes de registro
3. Recopilador de sucesos
Si el dominio está definido según un flujo, se aplica el orden de prioridad siguiente:

1. Origen de flujo
2. Recopilador de flujo
Si un explorador tiene un dominio asociado, todos los activos que el explorador descubra se asignan
automáticamente al mismo dominio que el explorador.
Reenvío de datos a otro sistema de QRadar
La información de dominio se elimina cuando los datos se reenvían a otro sistema de QRadar. Los
sucesos y los flujos que contienen información de dominio se asignan automáticamente al dominio
predeterminado en el sistema de QRadar receptor. Para identificar qué sucesos y flujos están asignados al
dominio predeterminado, puede crear una búsqueda personalizada en el sistema receptor. Tal ver prefiera
volver a asignar estos sucesos y flujos a un dominio definido por el usuario.
Creación de dominios
Utilice la ventana Gestión de dominios para crear dominios basados en los orígenes de entrada de IBM
Security QRadar.
Utilice las directrices siguientes al crear dominios:

v Todo lo que no esté asignado a un dominio definido por el usuario se asigna automáticamente al
dominio predeterminado. Los usuarios que tienen acceso limitado a los dominios no deben tener
privilegios administrativos, ya que este privilegio otorga acceso ilimitado a todos los dominios.
v Puede correlacionar la misma propiedad personalizada a dos dominios distintos; sin embargo, el
resultado de la captura debe ser diferente para cada uno.
v No se puede asignar un origen de registro, un grupo de orígenes de registro o un recopilador de
sucesos a dos dominios diferentes. Cuando un grupo de orígenes de registro se asigna a un dominio,
cada uno de los atributos correlacionados es visible en la ventana Gestión de dominios.
Los perfiles de seguridad se deben actualizar con un dominio asociado. Las restricciones de nivel de
dominio no se aplican hasta que se actualizan los perfiles de seguridad y se despliegan los cambios.
17 Segmentación en dominios 225

Procedimiento
2. En la sección Configuración del sistema, pulse Gestión de dominios.
3. Para añadir un dominio, pulse Añadir y escriba un nombre exclusivo y una descripción para el
dominio.
Consejo: Puede comprobar si un nombre es exclusivo escribiendo el nombre en el recuadro de

búsqueda Nombre de dominio de entrada.
4. Pulse la pestaña correspondiente al criterio de dominio que se vaya a definir.
v Para definir el dominio basado en una propiedad personalizada, grupo de orígenes de registro,
origen de registro o recopilador de sucesos, pulse la pestaña Sucesos.
v Para definir el dominio basado en un origen de flujo o un recopilador de flujos, pulse la pestaña
Flujos.
v Para definir el dominio basado en un explorador, incluidos los de IBM Security QRadar
Vulnerability Manager, pulse la pestaña Exploradores.
5. Para asignar una propiedad personalizada a un dominio, en el recuadro Resultados de la captura,
escriba el texto que coincida con el resultado del filtro de la expresión regular.
Importante: Debe marcar el recuadro de selección Optimizar el análisis de reglas, informes y

búsquedas en la ventana Propiedades de sucesos personalizadas para analizar y almacenar la
propiedad de suceso personalizada. La segmentación en dominios no se producirá si esta opción no
está seleccionada.
6. En la lista, seleccione el criterio de dominio y pulse Añadir.
7. Después de añadir los elementos de origen al dominio, pulse Crear.
Cree perfiles de seguridad para definir qué usuarios tienen acceso a los dominios. Después de crear el
primer dominio en su entorno, debe actualizar los perfiles de seguridad para todos los usuarios no
administrativos para especificar la asignación de dominio. En los entornos que tienen en cuenta el
dominio, los usuarios no administrativo cuyo perfil de seguridad no especifique una asignación de
dominio no verán ninguna actividad de registro ni actividad de red.
Revise la configuración de la jerarquía de la red y asigne direcciones IP existentes a los dominios

adecuados. Para obtener más información, consulte el apartado “Jerarquía de red” en la página 77.
Privilegios de dominio derivados de perfiles de seguridad

Puede utilizar perfiles de seguridad para otorgar privilegios de dominio y asegurarse de que se respeten
las restricciones de dominio en todo el sistema de IBM Security QRadar. Los perfiles de seguridad
también facilitan la gestión de los privilegios para un grupo de usuarios de gran tamaño cuando los
requisitos empresariales cambian de pronto.
Los usuarios pueden ver únicamente los datos que están dentro de los límites del dominio que está
configurado para los perfiles de seguridad que tienen asignados. Los perfiles de seguridad incluyen los
dominios como uno de los primeros criterios que se evalúan para restringir el acceso al sistema. Cuando
un dominio se asigna a un perfil de seguridad, tiene prioridad sobre otros permisos de seguridad.
Después de evaluar las restricciones de dominio, se evalúa cada perfil de seguridad para determinar los
permisos de red y de registro para cada uno de ellos.
Por ejemplo, a un usuario se le otorgan privilegios a Dominio_2 y acceso a la red 10.0.0.0/8. Dicho
usuario puede ver solamente los sucesos, los delitos, los activos y los flujos que proceden de Dominio_2 y
que contienen una dirección de la red 10.0.0.0/8.

Como administrador de QRadar, puede ver todos los dominios y puede asignar dominios a los usuarios
no administrativos. No asigne privilegios administrativos a los usuarios a los que desea restringir a un
dominio determinado.
Los perfiles de seguridad se deben actualizar con un dominio asociado. Las restricciones de nivel de
dominio no se aplican hasta que se actualizan los perfiles de seguridad y se despliegan los cambios.
Cuando asigne dominios a un perfil de seguridad, puede otorgar acceso a los siguientes tipos de
dominios:
Dominios definidos por el usuario
Puede crear dominios que están basados en orígenes de entrada mediante la herramienta Gestión
de dominios. Para obtener más información, consulte Creación de dominios.
Dominio predeterminado
Todo lo que no esté asignado a un dominio definido por el usuario se asigna automáticamente al
dominio predeterminado. El dominio predeterminado contiene los sucesos de todo el sistema.
Nota: Los usuarios que tienen acceso al dominio predeterminado pueden ver sucesos de todo el
sistema sin restricciones. Asegúrese de que este acceso es aceptable antes de asignar a los
usuarios acceso al dominio predeterminado. Todos los administradores tienen acceso al dominio
predeterminado.
Cualquier origen de registro que se descubra automáticamente en un recopilador de sucesos
compartido (que no está explícitamente asignado a un dominio) se descubre automáticamente en
el dominio predeterminado. Estos orígenes de registro requieren intervención manual. Para
identificar estos orígenes de registro, debe ejecutar periódicamente una búsqueda en el dominio
predeterminado que se agrupe por origen de registro.
Todos los dominios
Los usuarios a los que se les asigna un perfil de seguridad que tenga acceso a Todos los
dominios pueden ver todos los dominios activos del sistema, el dominio predeterminado y todos
los dominios que se hayan suprimido anteriormente en todo el sistema. También podrán ver
todos los dominios que se creen en el futuro.
Si suprime un dominio, no se puede asignar a un perfil de seguridad. Si el usuario tiene asignado Todos
los dominios o si el dominio se asignó al usuario antes de que se suprimiese, el dominio suprimido se
devuelve en los resultados históricos de la búsqueda de sucesos, flujos, activos y delitos. No se puede
filtrar por dominios suprimidos cuando se ejecuta una búsqueda.
Los usuarios administrativos pueden ver qué dominios están asignados a los perfiles de seguridad en la
pestaña Resumen de la ventana Gestión de dominios.
Modificaciones de reglas en entornos que tienen en cuenta el dominio
Las reglas las puede ver, modificar o inhabilitar cualquier usuario que tenga los permisos Mantener
reglas personalizadas y Ver reglas personalizadas, independientemente de a qué dominio pertenezca el
usuario.
Importante: cuando se añade la prestación de Actividad de registro a un rol de usuario, los permisos
Mantener reglas personalizadas y Ver reglas personalizadas se otorgan automáticamente. Los usuarios
que tienen estos permisos tienen acceso a todos los datos de registro de todos los dominios y pueden
editar reglas en todos los dominios, incluso si sus valores de perfil de seguridad tienen restricciones a
nivel de dominio. Para evitar que los usuarios del dominio puedan acceder a los datos de registro y
modificar las reglas de otros dominios, edite el rol de usuario y elimine los permisos Mantener reglas
personalizadas y Ver reglas personalizadas.

Búsquedas que tienen en cuenta el dominio
Puede utilizar dominios como criterio de búsqueda en las búsquedas personalizadas. El perfil de
seguridad controla en qué dominios puede realizar búsquedas.
Los sucesos de todo el sistema y los sucesos que no estén asignados a un dominio definido por el usuario
se asignan automáticamente al dominio predeterminado. Los administradores o los usuarios que tengan
un perfil de seguridad que proporcione acceso al dominio predeterminado pueden crear una búsqueda
personalizada para ver todos los sucesos que no están asignados a un dominio definido por el usuario.
El administrador de dominios personalizado puede compartir una búsqueda guardada con otros usuarios
de dominio. Cuando el usuario de dominio ejecuta esa búsqueda guardada, los resultados se limitan a su
dominio.
Reglas y delitos específicos del dominio

Una regla puede aplicarse en el contexto de un solo dominio o en el contexto de todos los dominios. Las
reglas que tienen en cuenta el dominio proporcionan la opción de incluir la prueba And Domain Is.
Puede restringir una regla para que se aplique solamente a los sucesos que se producen en un dominio
determinado. Un suceso que tenga una etiqueta de dominio que es diferente del dominio que está
establecido en la regla no desencadena una respuesta de suceso.
En un sistema de IBM Security QRadar que no tenga dominios definidos por el usuario, una regla crea
un delito y sigue contribuyendo a él cada vez que la regla se activa. En un entorno que tiene en cuenta el
dominio, una regla crea un nuevo delito cada vez que la regla se desencadena en el contexto de un
dominio diferente.
Las reglas que funcionan en el contexto de todos los dominios se denominan de reglas de todo el sistema.
Para crear una regla de todo el sistema que pruebe las condiciones en el sistema entero, seleccione
Cualquier dominio en la lista de dominios de la prueba And Domain Is. Una regla Cualquier dominio
crea un delito de Cualquier dominio.
Regla de un solo dominio
Si la regla es una regla con estados, los estados se mantienen por separado para cada dominio. La
regla se desencadena por separado para cada dominio. Cuando la regla se desencadena, se crean
delitos por separado para cada dominio involucrado y los delitos se etiquetan con esos dominios.
Delito de un solo dominio
El delito se etiqueta con el nombre de dominio correspondiente. Puede contener solamente
sucesos que están etiquetados con ese dominio.
Regla de todo el sistema
Si la regla es una regla con estados, se mantiene un solo estado para el sistema completo y las
etiquetas de dominio se pasan por alto. Cuando la regla se ejecuta, crea o contribuye a un único
delito de todo el sistema.
Delito de todo el sistema
El delito se etiqueta con Cualquier dominio. Contiene solamente sucesos que están etiquetados
con todos los dominios.
En la tabla siguiente se proporcionan ejemplos de reglas que tienen en cuenta el dominio. En el ejemplo
se utiliza un sistema que tiene tres dominios definidos: Dominio_A, Dominio_B y Dominio_C.
Los ejemplos de regla de la tabla siguiente pueden no ser aplicables en su entorno de QRadar. Por
ejemplo, las reglas que utilizan flujos y delitos no se pueden aplicar en IBM QRadar Log Manager.

Tabla 52. Reglas que tienen en cuenta el dominio
Texto de dominio Explicación Respuesta de regla
el dominio es uno de: Busca solamente los sucesos que están Crea o contribuye a un delito que está
Dominio_A etiquetados con Dominio_A y pasa por etiquetado con Dominio_A.
alto las reglas que están etiquetadas
con otros dominios.
el dominio es uno de: Busca solamente los sucesos que están Crea o contribuye a un delito que está
Dominio_A y una prueba con etiquetados con Dominio_A y pasa por etiquetado con Dominio_A. Se mantiene
estado que se define como alto las reglas que están etiquetadas un contador de flujos HTTP con un
cuando se detecta flujo HTTP 10 con otros dominios. solo estado para Dominio_A.
veces en 1 minuto
el dominio es uno de: Busca solamente los sucesos que están Para los datos que están etiquetados
Dominio_A, Dominio_B etiquetados con Dominio_A y Dominio_B con Dominio_A, crea o contribuye a un
y pasa por alto los sucesos que están solo delito de dominio que está
etiquetados con Dominio_C. etiquetado con Dominio_A.
Esta regla se comporta como dos Para los datos que están etiquetados
instancias independientes de una con Dominio_B, crea o contribuye a un
misma regla de dominio y crea delitos solo delito de dominio que está
por separado para los distintos etiquetado con Dominio_B.
dominios.
el dominio es uno de: Busca solamente los sucesos que están Cuando la regla detecta 10 flujos HTTP
Dominio_A, Dominio_B y un etiquetados con Dominio_A y Dominio_B que están etiquetados con Dominio_A en
prueba con estado que se define y pasa por alto los sucesos que están un minuto, crea o contribuye a un
como cuando se detecta flujo etiquetados con Dominio_C. delito que está etiquetado con
HTTP 10 veces en 1 minuto Dominio_A.
Esta regla se comporta como dos
instancias independientes de una Cuando la regla detecta 10 flujos HTTP
misma regla de dominio y mantiene que están etiquetados con Dominio_B en
dos estados por separado (contadores un minuto, crea o contribuye a un
de flujos HTTP) para dos dominios delito que está etiquetado con
diferentes. Dominio_B.
No hay definida ninguna prueba Busca los sucesos que están etiquetados Cada dominio independiente tiene
de dominio con todos los dominios y crea o delitos que se generan para él, pero los
contribuye a los delitos por dominio. delitos no contienen contribuciones de
otros dominios.
Una regla tiene una prueba con Busca los sucesos que están etiquetados Mantiene estados por separado y crea
estado que se define como con Dominio_A, Dominio_B o Dominio_C. delitos por separado para cada
cuando se detecta flujo HTTP 10 dominio.
veces en 1 minuto y no se ha
definido ninguna prueba de
dominio
el dominio es uno de: Cualquier Busca todos los sucesos, Crea o contribuye a un solo delito de
dominio independientemente de con qué todo el sistema que está etiquetado con
dominio esté etiquetado. Cualquier dominio.
el dominio es uno de: Cualquier Busca todos los sucesos, Crea o contribuye a un solo delito de
dominio y una prueba con estado independientemente de con qué todo el sistema que está etiquetado con
que se define como cuando se dominio esté etiquetado, y mantiene un Cualquier dominio.
detecta flujo HTTP 10 veces en 1 solo estado para todos los dominios.
minuto Por ejemplo, si detecta tres sucesos que
están etiquetados con Dominio_A, tres
sucesos que están etiquetados con
Dominio_B y cuatro sucesos que están
etiquetados con Dominio_C, crea un
delito porque ha detectado 10 sucesos
en total.

Tabla 52. Reglas que tienen en cuenta el dominio (continuación)
Texto de dominio Explicación Respuesta de regla
el dominio es uno de: Cualquier Funciona igual que una regla que tiene Cuando la prueba de dominio incluye
dominio, Dominio_A el dominio es uno de: Cualquier Cualquier dominio, los dominios
dominio. individuales que figuran en la lista se
pasan por alto.
Cuando vea la tabla de delitos, puede ordenar los delitos pulsando la columna Dominio. Dominio
predeterminado no se incluye en la función de ordenación, por lo que no aparece en orden alfabético. Sin
embargo, aparece en la parte superior o inferior de la lista Dominio, en función de si la columna se
ordena en orden ascendente o descendente. Cualquier dominio no aparece en la lista de delitos.
Ejemplo: Asignaciones de privilegio de dominio según propiedades

personalizadas
Si los archivos de registro contienen información que desea utilizar en una definición de dominio, puede
exponer la información como propiedad de suceso personalizada.
Una propiedad personalizada se asigna a un dominio en función del resultado de la captura. Puede
asignar la misma propiedad personalizada a varios dominios, pero los resultados de captura deben ser
diferentes.
Por ejemplo, una propiedad de suceso personalizada, como userID, puede dar como resultado un usuario
individual o una lista de usuarios. Cada usuario puede pertenecer a un solo dominio.
En el diagrama siguiente, los orígenes de registro contienen información de identificación de usuario que
se expone como propiedad personalizada, userID. El recopilador de sucesos devuelve dos archivos de
usuario y cada usuario se asigna a un solo dominio. En este caso, un usuario se asigna al Dominio: 9 y el
otro usuario se asigna al Dominio: 12.
Figura 11. Asignación de dominios utilizando una propiedad de suceso personalizada

Si los resultados de captura devuelven un usuario que no está asignado a un dominio definido por el
usuario específico, dicho usuario se asigna automáticamente al dominio predeterminado. Las asignaciones
de dominio predeterminado requieren la intervención manual. Realice búsquedas periódicas para
asegurarse de que todas las entidades en el dominio predeterminado están asignadas correctamente.
Importante: Antes de utilizar una propiedad personalizada en una definición de dominio, asegúrese de
que se ha seleccionado Optimizar el análisis de reglas, informes y búsquedas en la ventana
Propiedades de sucesos personalizadas. Esta opción garantiza que la propiedad de suceso personalizada
se analiza y se almacena cuando IBM Security QRadar recibe el suceso por primera vez. La segmentación
en dominios no produce producirá si esta opción no está seleccionada.

18 Gestión multiarrendatario
Los entornos multiarrendatario permiten a los proveedores de servicios de seguridad gestionados (MSSP)
y a las organizaciones de varias divisiones proporcionar servicios de seguridad a varias organizaciones
cliente desde un único despliegue de IBM Security QRadar compartido. No es necesario desplegar una
instancia de QRadar exclusiva para cada cliente.
En un despliegue multiarrendatario, se asegura de que los clientes sólo ven sus datos mediante la
creación de dominios que están basados en sus orígenes de entrada de QRadar. A continuación, utilice
perfiles de seguridad y los roles de usuario para gestionar privilegios para grupos de usuarios de gran
tamaño dentro del dominio. Los perfiles de seguridad y los roles de usuario garantizan que los usuarios
sólo tengan acceso a la información que están autorizados a ver.
Roles de usuario en un entorno multiarrendatario

Los entornos multiarrendatario incluyen un proveedor de servicios y varios arrendatarios. Cada rol tiene
responsabilidades y actividades asociadas distintas.
Proveedor de servicios
El proveedor de servicios es propietario del sistema y gestiona su utilización por parte de varios
arrendatarios. El proveedor de servicios puede ver los datos de todos los arrendatarios. El administrador
de MSSP (proveedor de servicios de seguridad gestionados) es normalmente responsable de las
actividades siguientes:
v Administra y supervisa el estado del sistema del despliegue de IBM Security QRadar.
v Suministra arrendatarios nuevos.
v Crea roles y perfiles de seguridad para administradores y usuarios de arrendatario.
v Protege el sistema contra el acceso no autorizado.
v Crea dominios para aislar datos de arrendatario.
v Despliega los cambios que el administrador de arrendatario ha realizado en el entorno de arrendatario.
v Supervisa las licencias de QRadar.
v Colabora con el administrador del arrendatario.
Arrendatarios
Cada arrendamiento incluye un administrador de arrendatario y usuarios de arrendatario. El
administrador de arrendatario puede ser un empleado de la organización arrendataria, o el proveedor de
servicios puede administrar el arrendatario en nombre del cliente.
El administrador de arrendatario es responsable de las actividades siguientes:

v Configura las definiciones de la Jerarquía de red dentro de su propio arrendamiento.
v Configura y gestiona datos de arrendatario.

v Visualiza los orígenes de registro. Puede editar el origen de registro para fusionar datos y puede
inhabilitar orígenes de registro.
v Colabora con el administrador de MSSP.
El administrador de arrendatario puede configurar despliegues específicos de arrendatario, pero no puede

acceder a ni modificar la configuración de otro arrendatario. Debe ponerse en contacto con el
administrador de MSSP para desplegar los cambios en el entorno de QRadar, incluidos los cambios en la
Los usuarios de arrendatario no tienen privilegios administrativos y sólo pueden ver los datos a los que
tienen acceso. Por ejemplo, un usuario puede tener privilegios para ver los datos de sólo 1 de origen de
registro dentro de un dominio que tiene varios orígenes de registro.
Dominios y orígenes de registro en entornos multiarrendatario

Utilice dominios para separar direcciones IP solapadas y para asignar orígenes de datos, como por
ejemplo sucesos y flujos, a conjuntos de datos específicos del arrendatario.
Cuando llegan sucesos o flujos a IBM Security QRadar, QRadar evalúa las definiciones de dominio que
están configuradas, y los sucesos y flujos se asignan a un dominio. Un arrendatario puede tener más de
un dominio. Si no se han configurado dominios, los sucesos y los flujos se asignan al dominio
predeterminado.
Segmentación en dominios
Los dominios son grupos virtuales que se utilizan para segregar datos en función del origen de los datos.
Son los bloques de construcción de los entornos multiarrendatario. Se configuran dominios de los
siguientes orígenes de entrada:
v Recopiladores de sucesos y flujos
v Orígenes de flujo
v Orígenes de registro y grupos de orígenes de registro
v Propiedades personalizadas
v Exploradores
Un despliegue multiarrendatario puede consistir en una configuración de hardware básica que incluye
una consola de QRadar, un procesador de sucesos centralizado y un recopilador de sucesos para cada
cliente. En esta configuración, puede definir dominios en el nivel de recopilador, que a continuación
asigna automáticamente los datos recibidos por QRadar a un dominio.
Para consolidar la configuración de hardware aún más, puede utilizar un recopilador para varios clientes.
Si el mismo recopilador añade orígenes de registro o flujo que pertenecen a diferentes arrendatarios,
puede asignar los orígenes a dominios diferentes. Cuando se utilizan definiciones de dominio en el nivel
de origen de registro, cada nombre de origen de registro debe ser exclusivo en todo el despliegue de
QRadar.
Si es necesario separar los datos de un solo origen de registro y asignarlos a dominios diferentes, puede
configurar dominios desde propiedades personalizadas. QRadar busca la propiedad personalizada en la
carga útil y la asigna al dominio correcto. Por ejemplo, si ha configurado QRadar para integrarse con un
dispositivo Check Point Provider-1, puede utilizar propiedades personalizadas para asignar los datos de
ese origen de registro a distintos dominios.

Detección automática de origen de registro
Cuando los dominios están definidos en el nivel de recopilador y el recopilador de sucesos dedicado se
asigna a un solo dominio, los orígenes de registro nuevos que se detectan automáticamente se asignan a
ese dominio. Por ejemplo, todos los orígenes de registro que se detectan en Recopilador_sucesos_1 se
asignan a Dominio_A. Todos los orígenes de registro que se recopilan automáticamente en
Recopilador_sucesos_2 se asignan a Dominio_B.
Cuando los dominios están definidos en el nivel de origen de registro o de propiedad personalizada, los
orígenes de registro que se detectan automáticamente y no están ya asignados a un dominio se asignan
automáticamente al dominio predeterminado. El administrador de MSSP deben revisar los orígenes de
registro del dominio predeterminado y asignarlos a los dominios de cliente correctos. En un entorno
multiarrendatario, la asignación de orígenes de registro a un dominio específico impide la fuga de datos
y aplica la separación de datos en los dominios.
Suministro de un nuevo arrendatario

Como administrador de MSSP (proveedor de servicios de seguridad gestionados), está utilizando una
sola instancia de IBM Security QRadar para proporcionar a varios clientes una arquitectura unificada para
la detección y priorización de amenazas.
En este escenario, está incorporando un nuevo cliente. Debe suministrar un nuevo arrendatario y crear
una cuenta de administrador de arrendatario con derechos administrativos limitados dentro de su propio
arrendatario. Debe limitar el acceso del administrador del arrendatario de modo que no pueda ver ni
editar la información de otros arrendatarios.
Antes de suministrar un nuevo arrendatario, debe crear los orígenes de datos, como por ejemplo orígenes
de registro o recopiladores de flujo, para el cliente y asignarlos a un dominio.
Lleve a cabo las tareas siguientes utilizando las herramientas de la pestaña Admin para suministrar el
nuevo arrendatario en QRadar:
1. Para crear el arrendatario, pulse Gestión de arrendatarios.
Para obtener información sobre cómo establecer los límites de sucesos por segundo (EPS) y flujos por
minuto (FPM) para cada arrendatario, consulte “Supervisión del uso de licencias en despliegues
multiarrendatario”.
2. Para asignar dominios al arrendatario, pulse Gestión de dominios.
3. Para crear el rol de administrador de arrendatario y otorgar los permisos de Administración
delegada, pulse Roles de usuario.
En un entorno multiarrendatario, los usuarios de arrendatario con permisos de Administración
delegada sólo pueden ver datos de su propio entorno de arrendatario. Si asigna otros permisos
administrativos que no forman parte de la Administración delegada, el acceso dejará de estar
restringido a ese dominio.
4. Para crear los perfiles de seguridad de arrendatario y restringir el acceso a los datos especificando los
dominios del arrendatario, pulse Perfiles de seguridad.
5. Para crear los usuarios arrendatarios y asignar el rol de usuario, el perfil de seguridad y el
arrendatario, pulse Usuarios.
Supervisión del uso de licencias en despliegues multiarrendatario

Como administrador de MSSP (proveedor de servicios de seguridad gestionados), puede supervisar las
tasas de sucesos y flujos en todo el despliegue de IBM Security QRadar.
Cuando se crea un arrendatario, puede establecer límites para los sucesos por segundo (EPS) y los flujos
por minuto (FPM). Al establecer límites de EPS y FPM para cada arrendatario, se puede gestionar mejor
18 Gestión multiarrendatario 235

la capacidad de licencia en varios clientes. Si tiene un procesador que está recopilando sucesos o flujos
para un solo cliente, no es necesario asignar límites de EPS y FPM de arrendatario. Si tiene un único
procesador que recopila sucesos o flujos de varios clientes, puede establecer límites de EPS y FPM para
cada arrendatario.
Si establece los límites de EPS y FPM en valores que superan los límites de sus licencias de software o
del hardware de dispositivo, el sistema disminuye automáticamente los sucesos y flujos de ese
arrendatario para asegurarse de que no se superen los límites. Si no establece límites de EPS y FPM para
los arrendatarios, cada arrendatario recibe sucesos y flujos hasta que se alcanzan los límites de la licencia
o el dispositivo. Los límites de licencia se aplican host gestionado. Si supera regularmente los límites de
la licencia, puede obtener una licencia diferente que sea más adecuado para su despliegue.
Visualización de los límites de licencia acumulativos en el despliegue
Las tasas de EPS y FPM que ha establecido para cada arrendatario no se validan automáticamente con
respecto a las titularidades de licencia. Para ver los límites acumulativos de las licencias de software que
se aplican al sistema en comparación con los límites de hardware de dispositivo, siga estos pasos:
3. Expanda Detalles de despliegue y pase el puntero del ratón por encima de Límite de sucesos o
Límite de flujos.
Visualización de tasas EPS por origen de registro
Utilice el campo Búsqueda avanzada para especificar una consulta AQL (Ariel Query Language) para ver
las tasas de EPS para orígenes de registro.
1. En la pestaña Actividad de registro, seleccione Búsqueda avanzada en la lista de la barra de
herramientas Buscar.
2. Para ver el EPS por origen de registro, escriba la consulta de AQL siguiente en el campo Búsqueda
avanzada:
select logsourcename(logsourceid) as LogSource, sum(eventcount) /
( ( max(endTime) - min(startTime) ) / 1000 ) as EPS from events
group by logsourceid order by EPS desc last 24 hours
Los valores de fecha para (endTime) y (startTime) deben estar representados en milisegundos desde
la época de UNIX 1 de enero de 1970.
Visualización de tasas EPS por dominio
las tasas de EPS para dominios.
1. En la pestaña Actividad de registro, seleccione Búsqueda avanzada en el cuadro de lista desplegable
de la barra de herramientas Buscar.
2. Para ver el EPS por dominio, escriba la consulta de AQL siguiente en el campo Búsqueda avanzada:
select DOMAINNAME(domainid) as LogSource, sum(eventcount) /
( ( max(endTime) - min(startTime)) / 1000 ) as EPS from events
group by domainid order by EPS desc last 24 hours
Los valores de fecha para (endTime) y (startTime) deben estar representados en milisegundos desde la
época de UNIX 1 de enero de 1970.
Si desea ver los promedios de frecuencia de EPS sólo para orígenes de registro, pulse Orígenes de
registro en el panel Orígenes de datos de la pestaña Admin. Puede utilizarlo para identificar
rápidamente problemas de configuración de orígenes de registro que no están informando.

Visualización de los límites de licencia individuales en su despliegue
Las tasas de EPS y FPM que ha establecido para cada arrendatario no se validan automáticamente con
respecto a las titularidades de licencia. Para ver los límites individuales de las licencias de software que
se aplican al sistema en comparación con los límites de hardware de dispositivo, siga estos pasos:
3. Expanda Detalles de despliegue y pase el ratón por encima de Límite de sucesos o Límite de flujos.
Visualización de la tasa de EPS para un origen de registro individual
la tasa de EPS para un origen de registro individual.
1. Utilice una consulta PSQL para obtener un ID de origen de registro.
a. Utilice SSH para iniciar la sesión en QRadar como un administrador.
b. Acceda a PSQL mediante el mandato siguiente:
psql -U qradar
c. Obtenga una lista de nombres e IDs de origen de registro mediante el mandato siguiente:
select id,devicename from sensordevice;
d. Seleccione un ID de origen de registro de la lista.
3. Para ver la tasa de EPS para el origen de registro seleccionado, escriba la consulta de AQL siguiente
en el campo Búsqueda avanzada:
select logsourcename(logsourceid) as LogSource, sum(eventcount) /
( ( max(endTime) - min(startTime) ) / 1000 ) as EPS from events
where logsourceid=logsourceid
group by logsourceid order by EPS desc last 24 hours
Los valores de fecha para (endTime) y (startTime) deben estar representados en milisegundos desde
la época de UNIX 1 de enero de 1970.
Visualización de la tasa de EPS para un dominio individual
la tasa de EPS para un dominio individual.
1. Utilice una consulta PSQL para obtener un ID de dominio.
a. Utilice SSH para iniciar la sesión en QRadar como un administrador.
b. Acceda a PSQL mediante el mandato siguiente:
psql -U qradar
c. Obtenga una lista de nombres e IDs de dominio mediante el mandato siguiente:
select id, name from domains;
d. Seleccione un ID de dominio de la lista.
3. Para ver la tasa de EPS para el dominio seleccionado, escriba la consulta de AQL siguiente en el
campo Búsqueda avanzada:
select DOMAINNAME(domainid) as LogSource, sum(eventcount) /
( ( max(endTime) - min(startTime)) / 1000 ) as EPS from events where
domainid=domainid
group by domainid order by EPS desc last 24 hours

Los valores de fecha para (endTime) y (startTime) deben estar representados en milisegundos desde la
época de UNIX 1 de enero de 1970.
Detección de sucesos y flujos eliminados

Los sucesos y flujos se descartan cuando la interconexión de procesos de IBM Security QRadar no puede
manejar el volumen de sucesos y flujos de entrada, o cuando el número de sucesos y flujos supera los
límites de la licencia para el despliegue. Puede examinar los mensajes del archivo de registro de QRadar
cuando se producen estas situaciones.
Procedimiento
2. Visualice el archivo de registro /var/log/qradar.error y busque estos mensajes:
Estos mensajes indican que se han eliminado sucesos o flujos:
[Tenant:[tenantID]:[tenantName]
Suceso eliminado intentando añadir a cola de Regulador sucesos arrendatario.
La cola del Regulador de sucesos de arrendatario está llena.
[Tenant:[tenantID]:[tenantName]
Flujo eliminado intentando añadir a cola Regulador flujos arrendatario.
La cola del Regulador de flujos de arrendatario está llena.
Estos mensajes indican que la interconexión de procesos está cerca de su límite de capacidad:
El procesador de regulación no puede mantener los sucesos.
TENANT_QUEUE_THREAD_INTERVAL_IN_MILLISEC es probablemente demasiado corto.
El procesador de regulación no puede mantener los
flujos.
TENANT_QUEUE_THREAD_INTERVAL_IN_MILLISEC es probablemente demasiado corto.
Si este aviso persiste, QRadar puede descartar sucesos o flujos.
Si el sistema está eliminando sucesos y flujos, puede ampliar su licencia para manejar más datos o puede
establecer límites de EPS y FPM más restrictivos para cada arrendatario.
Gestión de reglas en despliegues multiarrendatario

En un entorno multiarrendatario, debe personalizar las reglas para que sean conscientes de los
arrendatarios. Las reglas conscientes de arrendatario utilizan la prueba de regla cuando el dominio es
uno de los siguientes, pero el modificador de dominio determina el ámbito de aplicación de la regla.
La tabla siguiente muestra cómo puede utilizar el modificador de dominio para cambiar el ámbito de las
reglas en un despliegue multiarrendatario.
Tabla 53. Ámbito de reglas en un entorno multiarrendatario
Ámbito de regla Descripción Ejemplo de prueba de regla
Reglas de dominio Estas reglas incluyen sólo 1 y cuando el dominio es uno de los siguientes:
único modificador de dominio. manufacturing
Reglas de arrendatario Estas reglas incluyen todos los y cuando el dominio es uno de los siguientes:
único dominios que están asignados al manufacturing, finance, legal
arrendatario. Utilice reglas de
arrendatario único para correlacionar
los sucesos de varios dominios dentro
de un único arrendatario.

Tabla 53. Ámbito de reglas en un entorno multiarrendatario (continuación)
Ámbito de regla Descripción Ejemplo de prueba de regla
Reglas globales Estas reglas utilizan el modificador y cuando el dominio es uno de los
Cualquier dominio y se ejecutan en siguientes:Cualquier dominio
todos los arrendatarios.
Al ser consciente del dominio, el motor de reglas personalizadas (CRE) aísla automáticamente las
correlaciones de sucesos de arrendatarios diferentes utilizando sus respectivos dominios. Para obtener
más información sobre cómo trabajar con reglas en una red segmentada por dominios, consulte 17,
“Segmentación en dominios”, en la página 223.
Restricción de prestaciones de actividad de registro de usuarios de

arrendatario
Para asegurarse de que el administrador y los usuarios del arrendatario sólo pueden ver los datos de
registro de su arrendatario, debe restringir los permisos de la prestación Actividad de registro.

Cuando se añade la prestación de Actividad de registro a un rol de usuario, los permisos Mantener
reglas personalizadas y Ver reglas personalizadas se otorgan automáticamente. Los usuarios que tienen
estos permisos tienen acceso a todos los datos de registro de todos los dominios. Pueden editar reglas en
todos los dominios, incluso si sus valores de perfil de seguridad tienen restricciones a nivel de dominio.
Para evitar que los usuarios puedan acceder a los datos de registro y modificar las reglas de otros
dominios o arrendatarios, edite el rol de usuario y elimine los permisos Mantener reglas personalizadas
y Ver reglas personalizadas. Sin estos permisos, el administrador y los usuarios del arrendatario no
pueden cambiar reglas, incluidas las reglas de su propio dominio.
Procedimiento
2. En la sección Configuración del sistema, pulse Roles de usuario y seleccione el rol de usuario que
desee editar.
3. Bajo Actividad de registro, desmarque los recuadros de selección Mantener reglas personalizadas y
Ver reglas personalizadas.
4. Pulse Guardar.
Actualizaciones de la jerarquía de red en un despliegue

multiarrendatario
IBM Security QRadar utiliza la jerarquía de red para comprender y analizar el tráfico de red del entorno.
Los administradores de arrendatarios que tienen el permiso Definir jerarquía de red pueden cambiar la
Los cambios en la jerarquía de red requieren un despliegue de configuración completo para aplicar las
actualizaciones en el entorno de QRadar. Los despliegues de configuración completos reinician todos los
servicios de QRadar, y la recopilación de datos para los sucesos y flujos se detiene hasta que finaliza el
despliegue. Los administradores de arrendatarios deben ponerse en contacto con el administrador de
MSSP (Managed Security Service Provider) para desplegar los cambios. Los administradores de MSSP
pueden planificar el despliegue durante una parada planificada y notificar a todos los administradores de
arrendatarios por adelantado.

En un entorno de multiarrendatario, el nombre de objeto de red debe ser exclusivo en todo el despliegue.
No puede utilizar objetos de red que tengan el mismo nombre, aunque estén asignados a dominios
diferentes.
“Jerarquía de red” en la página 77
IBM Security QRadar utiliza los objetos y grupos de jerarquía de red para visualizar la actividad de red y
supervisar los grupos o servicios de la red.
Políticas de retención para arrendatarios

Puede configurar 10 grupos de retención como máximo para datos compartidos y 10 grupos de retención
como máximo para cada arrendatario. El periodo de retención predeterminado es 30 días, después de los
cuales los datos del arrendatario se suprimen automáticamente. Para mantener los datos del arrendatario
más de 30 días, debe configurar un grupo de retención. Hasta que configura un grupo de retención, todos
los sucesos o flujos se almacenan en el grupo de retención predeterminado para cada arrendatario.
Si el despliegue de QRadar tiene más 10 arrendatarios, puede configurar una política de retención de
datos compartida y utilizar el filtro de dominios para crear una política de retención basada en dominio
para cada uno de los dominios del arrendatario. La adición de los dominios especifica que la política se
aplica sólo a los datos de dicho arrendatario.
Para obtener más información sobre la creación de políticas de retención, consulte el apartado “Retención
de datos” en la página 103.

19 Gestión de activos
Los activos y perfiles de activo creados para servidores y hosts de la red proporcionan información
importante para resolver problemas de seguridad. Utilizando los datos de activos, puede conectar los
delitos desencadenados en el sistema a activos físicos o virtuales para proporcionar un punto de partida
en una investigación de seguridad.
La pestaña Activos de IBM Security QRadar proporciona una vista unificada de la información conocida
acerca de los activos de la red. A medida que QRadar descubre más información, el sistema actualiza el
perfil de activo y crea de forma incremental una imagen completa sobre el activo.
Los perfiles de activo se crean dinámicamente a partir de la información de identidad que se absorbe
pasivamente a partir de datos de suceso o flujo, o a partir de los datos que QRadar busca activamente
durante una exploración de vulnerabilidades. También puede importar datos de activos o editar el perfil
de activo manualmente. Para obtener más información, consulte los temas Importación de perfiles de activos
y Adición o edición de un perfil de activo del documento Guía del usuario de IBM Security QRadar.
Restricción: IBM QRadar Log Manager solo hace un seguimiento de datos de activo si IBM Security
QRadar Vulnerability Manager está instalado. Para obtener más información acerca de las diferencias
entre QRadar SIEM y QRadar Log Manager, consulte “Prestaciones de su producto IBM Security QRadar”
en la página 9.
Orígenes de datos de activos

Se reciben datos de activos de diversos orígenes en el despliegue de IBM Security QRadar.
Los datos de activos se escriben en la base de datos de activos de forma incremental, normalmente 2 o 3
datos a la vez. A excepción de las actualizaciones de los exploradores de vulnerabilidades de red, cada
actualización de activo contiene información sobre un solo activo.
Los datos de activos generalmente provienen de uno de los orígenes de datos de activos siguientes:
Sucesos
Las cargas útiles de sucesos, tales como las creadas por DHCP o servidores de autenticación, a
menudo contienen inicios de sesión de usuario, direcciones IP, nombres de hosts, direcciones
MAC y otro tipo de información de activos. Estos datos se proporcionan inmediatamente a la
base de datos de activos para ayudar a determinar a qué activo se aplica la actualización de
activo.
Los sucesos son la causa principal de las desviaciones de crecimiento de activos.
Flujos Las cargas útiles de flujo contienen información de comunicación, como la dirección IP, el puerto
y el protocolo, que se recopila a intervalos regulares configurables. Al final de cada intervalo, los
datos se proporcionan a la base de datos de activos, una dirección IP cada vez.
Puesto que los datos de activos de los flujos están emparejados con un activo según un solo
identificador, la dirección IP, los datos de flujo nunca son la causa de las desviaciones de
crecimiento de activos.

Exploradores de vulnerabilidades
QRadar se integra tanto con exploradores de vulnerabilidades de IBM como de terceros que
puedan proporcionar datos de activos tales como el sistema operativo, el software instalado y la
información de parches. El tipo de datos varía de un explorador a otro y puede variar de una
exploración a otra. A medida que se descubren nuevos activos, nueva información de puertos y
nuevas vulnerabilidades, los datos se llevan al perfil de activo en función de los rangos de CIDR
que están definidos en la exploración.
Los exploradores pueden añadir desviaciones de crecimiento de activos, pero no es habitual.
Interfaz de usuario
Los usuarios que tienen el rol de activos pueden importar o proporcionar información de activos
directamente a la base de datos de activos. Las actualizaciones de activos proporcionadas
directamente por un usuario son para un activo específico. Por lo tanto, la etapa de conciliación
de activos se omite.
Las actualizaciones de activos proporcionadas por los usuarios no añaden desviaciones de
Datos de activos que tienen en cuenta el dominio
Cuando un origen de datos de activos está configurado con información de dominio, todos los datos de
activos que provienen de ese origen de datos se etiquetan automáticamente con el mismo dominio.
Puesto que los datos del modelo de activos tienen en cuenta el dominio, la información de dominio se
aplica a todos los componentes de QRadar, incluidos las identidades, los delitos, los perfiles de activo y el
descubrimiento de servidores.
Cuando vea el perfil de activo, algunos campos podrían estar en blanco. Los campos en blanco existen
cuando el sistema no ha recibido esta información en una actualización de activo o la información ha
sobrepasado el periodo de retención de activos. El periodo predeterminado de retención es 120 días. Una
dirección IP que aparezca como 0.0.0.0 indica que el activo no contiene información de dirección IP.

Flujo de trabajo de datos de activos entrantes
IBM Security QRadar utiliza la información de identidad en una carga útil de suceso para determinar si
se crea un nuevo activo o si se actualiza un activo existente.
Figura 12. Diagrama de flujo de trabajo de datos de activos
19 Gestión de activos 243

1. QRadar recibe el suceso. El perfilador de activos examina la carga útil del suceso para obtener la
información de identidad.
2. Si la información de identidad incluye una dirección MAC, un nombre de host NetBIOS o un nombre
de host DNS que ya están asociados con un activo en la base de datos de activos, entonces ese activo
se actualiza con la información nueva.
3. Si la única información de identidad disponible es una dirección IP, el sistema concilia la actualización
del activo existente que tenga la misma dirección IP.
4. Si una actualización de activo tiene una dirección IP que coincide con un activo existente, pero el resto
de información de identidad no coincide, el sistema utiliza otra información para descartar un falso
positivo en la coincidencia antes de que el activo existente se actualice.
5. Si la información de identidad no coincide con un activo existente en la base de datos, entonces se
crea un nuevo activo basado en la información de la carga útil del suceso.
Actualizaciones de los datos de activos

IBM Security QRadar utiliza la información de identidad en una carga útil de suceso para determinar si
se crea un nuevo activo o si se actualiza un activo existente.
Cada actualización de activo debe contener información de confianza acerca de un único activo. Cuando
QRadar recibe una actualización de activo, el sistema determina a qué activo se aplica la actualización.
La conciliación de activos es el proceso mediante el cual se determina la relación entre las actualizaciones
de activos y el activo relacionado en la base de datos de activos. La conciliación de activos se produce
después de que QRadar reciba la actualización, pero antes de que la información se escriba en la base de
datos de activos.
Información de identidad
Cada activo debe contener al menos un dato de identidad. Las actualizaciones posteriores que contengan
un dato o más de los mismos datos de identidad se concilian con el activo propietario de los datos. Las
actualizaciones que se basan en las direcciones IP se manejan con cuidado para evitar coincidencias de
activos que sean falsos positivos. Los falsos positivos en las coincidencias de activos se producen cuando
a un activo físico se le asigna la propiedad de una dirección IP que anteriormente era propiedad de otro
activo del sistema.
Cuando se proporcionan varios datos de identidad, el perfilador de activos da prioridad a la información,

de la más a la menos determinista, en el orden siguiente:
v Dirección MAC
v Nombre de host NetBIOS
v Nombre de host DNS
v Dirección IP
Las direcciones MAC, los nombres de host NetBIOS y los nombres de host DNS son exclusivos y, por lo
tanto, se consideran datos de identidad definitivos. Las actualizaciones entrantes cuyas coincidencias con
un activo existente solamente sean la dirección IP se manejan de forma diferente que las actualizaciones
que coincidan con los datos de identidad más definitivos.
Reglas de exclusión de conciliación de activos

Con cada actualización de activo que entra en IBM Security QRadar, las reglas de exclusión de
conciliación de activos aplican pruebas a la dirección MAC, el nombre de host NetBIOS, el nombre de
host DNS y la dirección IP en la actualización de activo.

De forma predeterminada, se hace un seguimiento de cada dato de activos durante un periodo de dos
horas. Si algún dato de identidad de la actualización de activo muestra un comportamiento sospechoso
dos o más veces en un plazo de dos horas, ese dato se añade a las listas negras de activos. Cada tipo de
datos de activos de identidad que se prueba genera una lista negra nueva.
En los entornos que tienen en cuenta el dominio, las reglas de exclusión de conciliación de activos hacen
un seguimiento del comportamiento de los datos de activos por separado en cada dominio.
Las reglas de exclusión de conciliación de activos prueban los escenarios siguientes:

Tabla 54. Pruebas y respuestas de reglas
Escenario Respuesta de regla
Cuando una dirección MAC se asocia a tres o más Añadir la dirección MAC a la lista negra de MAC del
direcciones IP diferentes en un plazo de dos horas o dominio de conciliación de activos
menos
Cuando un nombre de host DNS se asocia a tres o más Añadir el nombre de host DNS a la lista negra de DNS
direcciones IP diferentes en un plazo de dos horas o del dominio de conciliación de activos
menos
Cuando un nombre de host NetBIOS se asocia a tres o Añadir el nombre de host NetBIOS a la lista negra de
más direcciones IP diferentes en un plazo de dos horas o NetBIOS del dominio de conciliación de activos
menos
Cuando una dirección IPv4 se asocia a tres o más Añadir la dirección IP a la lista negra de IPv4 del
direcciones MAC diferentes en un plazo de dos horas o dominio de conciliación de activos
menos
más direcciones MAC diferentes en un plazo de dos NetBIOS del dominio de conciliación de activos
horas o menos
direcciones MAC diferentes en un plazo de dos horas o del dominio de conciliación de activos
menos
nombres de host DNS diferentes en un plazo de dos dominio de conciliación de activos
horas o menos
más nombres de host DNS diferentes en un plazo de dos NetBIOS del dominio de conciliación de activos
horas o menos
nombres de host DNS diferentes en un plazo de dos dominio de conciliación de activos
horas o menos
nombres de host NetBIOS diferentes en un plazo de dos dominio de conciliación de activos
horas o menos
nombres de host NetBIOS diferentes en un plazo de dos del dominio de conciliación de activos
horas o menos
nombres de host NetBIOS diferentes en un plazo de dos dominio de conciliación de activos
horas o menos
Puede ver estas reglas en la pestaña Delitos pulsando Reglas y, a continuación, seleccionando el grupo
Exclusión de conciliación de activos en la lista desplegable.

Fusión de activos
La fusión de activos es el proceso según el cual la información de un activo se combina con la información
de otro activo bajo la premisa de que son realmente el mismo activo físico.
La fusión de activos se produce cuando una actualización de activo contiene datos de identidad que
coinciden con dos perfiles de activo diferentes. Por ejemplo, una única actualización que contiene un
nombre de host NetBIOS que coincide con un perfil de activo y una dirección MAC que coincide con otro
perfil de activo diferente podría desencadenar una fusión de activos.
En algunos sistemas se puede observar un gran volumen de fusión de activos porque tienen orígenes de
datos de activos que inadvertidamente combinan en una misma actualización de activo información de
identidad de dos activos físicos diferentes. Como ejemplos de estos sistemas cabe citar los entornos
siguientes:
v Servidores syslog centrales que actúan como proxy de sucesos
v Máquinas virtuales
v Entornos de instalación automatizada
v Nombres de host no exclusivos, frecuentes con activos como iPads y iPhones.
v Redes privadas virtuales que tienen direcciones MAC compartidas
v Extensiones de origen de registro cuyo campo de identidad es OverrideAndAlwaysSend=true
Los activos que tienen muchas direcciones IP, direcciones MAC o nombres de host presentan desviaciones
en el crecimiento de los activos y pueden desencadenar notificaciones del sistema.
Identificación de desviaciones de crecimiento de activos

A veces, los orígenes de datos de activos generan actualizaciones que IBM Security QRadar no puede
manejar correctamente sin intervención manual. En función de la causa del crecimiento anormal de los
activos, puede arreglar el origen de datos de activos que está causando el problema o puede bloquear las
actualizaciones de activos que provienen de ese origen de datos.
Las desviaciones de crecimiento de activos se dan cuando el número de actualizaciones de activos de un

único dispositivo supera el límite establecido en el umbral de retención para un tipo concreto de
información de identidad. El manejo adecuado de las desviaciones de crecimiento de activos es de vital
importancia para mantener un modelo de activos preciso.
En la base de cada desviación de crecimiento de activos se encuentra un origen de datos de activos cuyos
datos no son de confianza para actualizar el modelo de activos. Cuando se identifica una desviación
potencial del crecimiento de los activos, debe examinar el origen de la información para determinar si
hay una explicación razonable para que un activo acumule grandes cantidades de datos de identidad. La
causa de una desviación de crecimiento de activos es específica de un entorno.
Ejemplo del servidor DHCP de crecimiento de activo anormal en un perfil de

activo
Supongamos que hay un servidor de VPN (red privada virtual) en una red DHCP (Protocolo de
configuración dinámica de hosts). El servidor de VPN está configurado para asignar direcciones IP a los
clientes de VPN entrantes enviando mediante un proxy las solicitudes DHCP en nombre del cliente al
servidor DHCP de la red.
Desde la perspectiva del servidor DHCP, la misma dirección MAC solicita muchas asignaciones de
direcciones IP en repetidas ocasiones. En el contexto de las operaciones de red, el servidor VPN delega
las direcciones IP a los clientes, pero el servidor DHCP no puede distinguir cuándo una solicitud la
realiza un activo en nombre de otro.

El registro del servidor DHCP, que está configurado como un origen de registro de QRadar, genera un
suceso de acuse de recibo DHCP (DHCP ACK) que asocia la dirección MAC del servidor VPN con la
dirección IP que se asigna al cliente de VPN. Cuando se produce la conciliación de activos, el sistema
concilia este evento por dirección MAC, lo que da como resultado un activo existente único que crece con
una dirección IP cada vez que se analiza un suceso DHCP ACK.
Finalmente, un solo perfil de activo contiene todas las direcciones IP que se han asignado al servidor de
VPN. Esta desviación de crecimiento de activos está causada por las actualizaciones de activos que
contienen información acerca de más de un activo.
Valores de umbral
Cuando un activo de la base de datos alcanza un número determinado de propiedades, tales como varias
direcciones IP o direcciones MAC, QRadar bloquea ese activo para que no reciba más actualizaciones.
Los valores de umbral del perfilador de activos indican las condiciones bajo las cuales un activo está
bloqueado frente a las actualizaciones. El activo se actualiza normalmente hasta el valor del umbral.
Cuando el sistema recopila datos suficientes para superar el umbral, el activo muestra una desviación de
crecimiento de activo. Las futuras actualizaciones del activo se bloquean hasta que la desviación de
crecimiento se corrija.
Notificaciones del sistema que indican desviaciones de crecimiento de

activos
IBM Security QRadar genera notificaciones del sistema para ayudarle a identificar y gestionar las
desviaciones de crecimiento de activos en su entorno.
Los siguientes mensajes del sistema indican que QRadar ha identificado posibles desviaciones de
crecimiento de activos:
v El sistema ha detectado perfiles de activo que sobrepasan el umbral de tamaño normal
v Las reglas de listas negras de activos han añadido datos de activo nuevos a las listas negras
de activos
Los mensajes de notificación del sistema incluyen enlaces a los informes para que sea más fácil identificar
los activos que presentan desviaciones de crecimiento.
Datos de activos que cambian con frecuencia
El crecimiento de activos puede estar causado por grandes volúmenes de datos de activos que cambian
de forma correcta, como en las situaciones siguientes:
v Un dispositivo móvil que va de una oficina a otra con frecuencia al que se le asigna una dirección IP
nueva cada vez que inicia sesión.
v Un dispositivo que se conecta a una wifi pública con cesiones breves de direcciones IP, como por
ejemplo en un campus universitario, puede recopilar grandes volúmenes de datos de activos durante
un semestre.
Ejemplo: Cómo los errores de configuración de las extensiones de

origen de registro pueden provocar desviaciones de crecimiento de
activos
Las extensiones de origen de registro personalizado que están configuradas incorrectamente pueden
provocar desviaciones de crecimiento de activos.
El usuario configura una extensión de origen de registro personalizado para proporcionar actualizaciones
de activos a IBM Security QRadar mediante el análisis de los nombres de usuario de la carga útil de

suceso que se encuentra en un servidor de registro central. Configura la extensión de origen de registro
para alterar temporalmente la propiedad de nombre de host de sucesos para que las actualizaciones de
activos generadas por el origen de registro personalizado siempre especifiquen el nombre del host DNS
del servidor de registro central.
En lugar de que QRadar reciba una actualización que tiene el nombre de host del activo en el que el
usuario ha iniciado sesión, el origen de registro genera muchas actualizaciones de activos que tienen el
mismo nombre de host.
En esta situación, la desviación de crecimiento de activos está causada por un solo perfil de activo que
contiene muchas direcciones IP y muchos nombres de usuario.
Resolución de problemas con perfiles de activo que sobrepasan el

umbral de tamaño normal
IBM Security QRadar genera la notificación del sistema siguiente cuando la acumulación de datos bajo un
único activo supera los límites de umbral configurados para los datos de identidad.
El sistema ha detectado perfiles de activo que sobrepasan el umbral de tamaño normal
Explicación
La carga útil muestra una lista de los cinco activos que presentan desviaciones con más frecuencia y
proporciona información sobre por qué el sistema ha marcado cada activo como una desviación de
crecimiento. Tal como se muestra en el ejemplo siguiente, la carga útil también muestra el número de
veces que el activo ha intentado crecer más allá del umbral del tamaño de activo.
Feb 13 20:13:23 127.0.0.1 [AssetProfilerLogTimer]
com.q1labs.assetprofile.updateresolution.UpdateResolutionManager:
[INFO] [NOT:0010006101][9.21.118.83/- -] [-/- -]
Los cinco activos que presentan desviaciones con más frecuencia entre
el 13 de febrero de 2015 8:10:23 PM AST y el 13 de febrero de 2015 8:13:23 PM AST:
[ASSET ID:1003, REASON:Too Many IPs, COUNT:508],
[ASSET ID:1002, REASON:Too many DNS Names, COUNT:93],
[ASSET ID:1001, REASON:Too many MAC Addresses, COUNT:62]
Cuando los datos de activos exceden el umbral configurado, QRadar bloquea el activo frente a
actualizaciones futuras. Esta intervención evita que el sistema reciba más datos dañados y mitiga el
impacto en el rendimiento que podría producirse si el sistema intenta conciliar las actualizaciones de
entrada con un perfil de activo anormalmente grande.
Acción del usuario necesaria

Utilice la información de la carga útil de la notificación para identificar los activos que contribuyen a la
desviación de crecimiento de activo y determinar qué está provocando el crecimiento anormal. La
notificación proporciona un enlace a un informe de todos los activos que han experimentado una
desviación del crecimiento durante las últimas 24 horas.
Después de resolver la desviación de crecimiento de activo en su entorno, puede ejecutar el informe de

nuevo.
1. Pulse la pestaña Actividad de registro y pulse Buscar > Nueva búsqueda.
2. Seleccione la búsqueda guardada Desviación de crecimiento de activos: Informe de activos.
3. Utilice el informe para identificar y reparar los datos de activos inexactos que se han creado durante
la desviación.
Si los datos de activos son válidos, los administradores de QRadar pueden aumentar los límites de
umbral para las direcciones IP, las direcciones MAC, los nombres de host NetBIOS y los nombres de host
DNS en Configuración del perfilador de activos en la pestaña Admin de QRadar.

“Datos de activos obsoletos” en la página 250
Los datos de activos obsoletos pueden provocar problemas cuando la velocidad a la que se crean nuevos
registros de activos supera la velocidad a la que se eliminan los datos de activos obsoletos. Controlar y
gestionar los umbrales de retención de activos es la clave para dar respuesta a las desviaciones de
crecimiento de activos provocadas por los datos de activos obsoletos.
Los datos de activos nuevos se añaden a las listas negras de activos

IBM Security QRadar genera la notificación del sistema siguiente cuando un dato de activos concreto
presenta un comportamiento que puede deberse a la desviación del crecimiento de activos.
Las reglas de lis. neg. act. han añadido datos de activo nuevos a las lis. neg. act.
Explicación
Las reglas de exclusión de activos supervisan los datos de activos para comprobar la coherencia y la
integridad. Las reglas hacen un seguimiento de datos de activos concretos a lo largo del tiempo para
asegurarse de que están siendo observados siempre con el mismo subconjunto de datos dentro de un
plazo de tiempo razonable.
Por ejemplo, si una actualización de activo incluye una dirección MAC y un nombre de host DNS, la
dirección MAC está asociada con ese nombre de host DNS durante un periodo de tiempo concreto. Las
actualizaciones de activos posteriores que contengan esa dirección MAC también contienen ese nombre
de host DNS si se incluye alguno en la actualización de activo. Si la dirección MAC de repente se asocia
con un nombre de host DNS diferente durante un periodo breve de tiempo, el cambio se supervisa. Si la
dirección MAC cambia de nuevo dentro de un periodo breve, la dirección MAC se marca para indicar
que contribuye a una instancia de crecimiento de activo anormal o con desviaciones.
Acción del usuario necesaria

Utilice la información de la carga útil de la notificación para identificar las reglas que se utilizan para
supervisar los datos de activos. Pulse el enlace Desviaciones de activo por origen de registro en la
notificación para ver las desviaciones de activo que se han producido en las últimas 24 horas.
Si los datos de activos son válidos, los administradores de QRadar pueden configurar QRadar para
resolver el problema.
v Si las listas negras se llenan demasiado rápido, puede ajustar las reglas de exclusión de conciliación de
activos que las llenan.
v Si desea añadir los datos a la base de datos de activos, puede eliminar los datos de activos de la lista
negra y añadirlos a la lista blanca de activos correspondiente. Al añadir datos de un activo a la lista
blanca se impide que reaparezcan inadvertidamente en la lista negra.
“Ajuste avanzado de reglas de exclusión de conciliación de activos” en la página 258
Puede ajustar las reglas de exclusión de conciliación de activos para refinar la definición de la desviación
de crecimiento de activos en una o varias reglas.
Prevención de las desviaciones de crecimiento de activos

Después de confirmar que el crecimiento notificado de un activo es correcto, hay varias maneras de evitar
que IBM Security QRadar desencadene mensajes de desviación de crecimiento para ese activo.
Utilice la lista siguiente como ayuda para decidir cómo evitar las desviaciones de crecimiento de activos:
v Averigüe cómo QRadar maneja los datos de activos obsoletos.

v Ajuste los valores de retención del perfilador de activos para limitar la cantidad de tiempo que se
conservan los datos de activos.
v Ajuste el número de direcciones IP permitidas para un único activo.
v Cree búsquedas de exclusión de identidades para hacer que determinados sucesos no proporcionen
actualizaciones de activos.
v Ajuste las reglas de exclusión de conciliación de activos para refinar la definición de la desviación de
v Cree listas blancas de activos para impedir que los datos vuelvan a aparecer en las listas negras de
activos.
v Modifique las entradas en las listas negras y las listas blancas de activos.
v Asegúrese de que los DSM estén actualizados. QRadar proporciona una actualización automática
semanal que puede contener actualizaciones de DSM y correcciones para los problemas de análisis.
Datos de activos obsoletos

Los datos de activos obsoletos pueden provocar problemas cuando la velocidad a la que se crean nuevos
registros de activos supera la velocidad a la que se eliminan los datos de activos obsoletos. Controlar y
gestionar los umbrales de retención de activos es la clave para dar respuesta a las desviaciones de
crecimiento de activos provocadas por los datos de activos obsoletos.
Los datos de activos obsoletos son los datos de activos históricos que no han observado de forma activa ni
pasiva dentro de un plazo de tiempo específico. Los datos de activos obsoletos se suprimen cuando
exceden el periodo de retención configurado.
Los registros históricos se activan de nuevo si IBM Security QRadar los observa de forma pasiva, a través
de sucesos y flujos o de forma activa, a través de exploradores de vulnerabilidades y puertos.
Para evitar las desviaciones de crecimiento de activos es necesario encontrar el equilibrio adecuado entre
el número de direcciones IP permitidas para un activo y la cantidad de tiempo que QRadar conserva los
datos de activos. Debe tener en cuenta las compensaciones de rendimiento y gestión antes de configurar
QRadar para dar cabida a altos niveles de retención de datos de activos. Si bien unos periodos de
retención más largos y unos umbrales por activo superiores pueden parecer deseables en todo momento,
un enfoque más adecuado es determinar una configuración básica que sea aceptable para el entorno y
probar dicha configuración. A continuación, puede ampliar los umbrales de retención en pequeños
incrementos hasta lograr el equilibrio adecuado.
“Ajuste de los valores de retención del perfilador de activos” en la página 255
IBM Security QRadar utiliza los valores de retención de activos para gestionar el tamaño de los perfiles
de activo.
“Ajuste del número de direcciones IP permitidas para un único activo” en la página 256
IBM Security QRadar supervisa el número de direcciones IP que un activo acumula a lo largo del tiempo.
Listas negras y listas blancas de activos

IBM Security QRadar utiliza un grupo de reglas de conciliación de activos para determinar si los datos de
activos son de confianza. Cuando los datos de activos son cuestionables, QRadar utiliza listas negras y
listas blancas de activos para determinar si deben actualizarse los perfiles de activo con los datos de
activos.
Una lista negra de activos es un conjunto de datos que QRadar considera no fiables. Los datos de la lista
negra de activos pueden contribuir a la aparición de desviaciones de crecimiento de activos y QRadar
impide que los datos se añadan a la base de datos de activos.

Una lista blanca de activos es un conjunto de datos de activos que altera la lógica del motor de conciliación
de activos con la que se añaden datos a una lista negra de activos. Cuando el sistema identifica una
coincidencia en la lista negra, comprueba la lista blanca para ver si el valor existe. Si la actualización de
activo coincide con datos que están en la lista blanca, el cambio se concilia y el activo se actualiza. Los
datos de activos en listas blancas se aplican globalmente en todos los dominios.
Las listas negras y las listas blancas de activos son conjuntos de referencia. Puede ver y modificar los
datos de las listas negras y las listas blancas de activos mediante la herramienta Gestión de conjuntos de
referencia en QRadar Console. Para obtener más información sobre el trabajo con conjuntos de referencia,
consulte el apartado “Visión general de los conjuntos de referencia” en la página 153.
Como alternativa, puede utilizar la interfaz de línea de mandatos (CLI) o el punto final de la API
RestFUL para actualizar el contenido de las listas negras y blancas de activos.
Listas negras de activos

Una lista negra de activos es un conjunto de datos que IBM Security QRadar considera no fiables según las
reglas de exclusión de conciliación de activos. Los datos de la lista negra de activos pueden contribuir a
la aparición de desviaciones de crecimiento de activos y QRadar impide que los datos se añadan a la base
de datos de activos.
Cada actualización de activo en QRadar se compara con las listas negras de activos. Los datos de activos
en listas negras se aplican globalmente en todos los dominios. Si la actualización de activo contiene
información de identidad (dirección MAC, nombre de host NetBIOS, nombre de host DNS o dirección IP)
que se encuentra en una lista negra, la actualización de entrada se descarta y la base de datos de activos
no se actualiza.
En la tabla siguiente se muestra el nombre y el tipo de recopilación de referencia para cada tipo de datos
de activos de identidad.
Tabla 55. Nombres de recopilación de referencia para los datos de las listas negras de activos
Tipo de datos de
identidad Nombre de recopilación de referencia Tipo de recopilación de referencia
Direcciones IP (v4) Lista negra de IPv4 de conciliación de Conjunto de referencia [Tipo de conjunto: IP]
activos
Nombres de host DNS Lista negra de DNS de conciliación de Conjunto de referencia [Tipo de conjunto:
activos ALNIC*]
Nombres de host Lista negra de NetBIOS de conciliación de Conjunto de referencia [Tipo de conjunto:
NetBIOS activos ALNIC*]
Direcciones MAC Lista negra de MAC de conciliación de Conjunto de referencia [Tipo de conjunto:
activos ALNIC*]
* ALNIC es un tipo alfanumérico que puede dar cabida tanto al nombre de host como a los valores de dirección
MAC.
Puede utilizar la herramienta Gestión de conjuntos de referencia para editar las entradas de la lista negra.
Para obtener información sobre el trabajo con conjuntos de referencia, consulte el apartado Gestión de
conjuntos de referencia (http://www.ibm.com/support/knowledgecenter/SS42VS_7.2.7/
com.ibm.qradar.doc/c_qradar_adm_mge_ref_set.html).
“Listas blancas de activos” en la página 252
Puede utilizar listas blancas de activos para evitar que los datos de activos de IBM Security QRadar
reaparezcan inadvertidamente en las listas negras de activos.

Listas blancas de activos
Puede utilizar listas blancas de activos para evitar que los datos de activos de IBM Security QRadar
reaparezcan inadvertidamente en las listas negras de activos.
Una lista blanca de activos es un conjunto de datos de activos que altera la lógica del motor de conciliación
de activos con la que se añaden datos a una lista negra de activos. Cuando el sistema identifica una
coincidencia en la lista negra, comprueba la lista blanca para ver si el valor existe. Si la actualización de
activo coincide con datos que están en la lista blanca, el cambio se concilia y el activo se actualiza. Los
datos de activos en listas blancas se aplican globalmente en todos los dominios.
Puede utilizar la herramienta Gestión de conjuntos de referencia para editar las entradas de la lista
blanca. Para obtener información sobre el trabajo con conjuntos de referencia, consulte Gestión de
conjuntos de referencia.
Ejemplo de caso práctico de lista blanca
La lista blanca es útil si tiene datos de activos que siguen apareciendo en las listas negras aunque se trate
de una actualización de activo válido. Por ejemplo, podría tener un equilibrador de carga DNS con
rotación que está configurado para rotar en un conjunto de cinco direcciones IP. Las reglas de exclusión
de conciliación de activos podrían determinar que el hecho de que haya varias direcciones IP asociadas
con el mismo nombre de host DNS es una indicación de que existe una desviación de crecimiento de
activos, y el sistema podría añadir el equilibrador de carga DNS a la lista negra. Para resolver este
problema, puede añadir el nombre de host DNS a la lista blanca de DNS de conciliación de activos.
Entradas en masa a la lista blanca de activos
Una base de datos de activos precisa facilita la conexión de los delitos que se desencadenan en el sistema
a activos físicos o virtuales en la red. Pasar por alto las desviaciones de activos añadiendo entradas en
masa a la lista blanca de activos no es útil para la creación de una base de datos de activos precisa. En
lugar de añadir entradas en masa a la lista blanca, revise la lista negra de activos para determinar qué
está contribuyendo a la desviación de crecimiento de activos y luego determine cómo solucionar el
problema.
Tipos de listas blancas de activos
Cada tipo de datos de identidad se mantiene en una lista blanca por separado. En la tabla siguiente se
muestra el nombre y el tipo de recopilación de referencia para cada tipo de datos de activos de identidad.
Tabla 56. Nombre de recopilación de referencia para los datos de las listas blancas de activos
Tipo de datos Nombre de recopilación de referencia Tipo de recopilación de referencia
Direcciones IP Lista blanca de IPv4 de conciliación de Conjunto de referencia [Tipo de conjunto: IP]
activos
Nombres de host DNS Lista blanca de DNS de conciliación de Conjunto de referencia [Tipo de conjunto:
activos ALNIC*]
Nombres de host Lista blanca de NetBIOS de conciliación de Conjunto de referencia [Tipo de conjunto:
NetBIOS activos ALNIC*]
Direcciones MAC Lista blanca de MAC de conciliación de Conjunto de referencia [Tipo de conjunto:
activos ALNIC*]
* ALNIC es un tipo alfanumérico que puede dar cabida al nombre de host y a valores de dirección MAC.

“Listas negras de activos” en la página 251
Una lista negra de activos es un conjunto de datos que IBM Security QRadar considera no fiables según las
reglas de exclusión de conciliación de activos. Los datos de la lista negra de activos pueden contribuir a
la aparición de desviaciones de crecimiento de activos y QRadar impide que los datos se añadan a la base
de datos de activos.
Actualización de las listas negras y listas blancas de activos mediante el

programa de utilidad de conjunto de referencia
Puede utilizar el programa de utilidad de conjunto de referencia de IBM Security QRadar para añadir o
modificar las entradas que se encuentran en las listas negras y las listas blancas de activos.
Para gestionar los conjuntos de referencia, ejecute el programa de utilidad ReferenceSetUtil.sh desde
/opt/qradar/bin en la QRadar Console.
Los mandatos para añadir valores nuevos a cada lista se describen en la tabla siguiente. Los valores de
los parámetros deben coincidir exactamente con los valores de actualización de los activos
proporcionados por el origen de datos de activos de donde proceden.
Tabla 57. Sintaxis de mandatos para modificar los datos de las listas negras y las listas blancas de activos
Nombre Sintaxis del mandato
Lista negra de ReferenceSetUtil.sh add "Lista negra de IPv4 de conciliación de activos" IP
IPv4 de
conciliación de Por ejemplo, este mandato añade la dirección IP 192.168.3.56 a la lista negra:
activos
ReferenceSetUtil.sh add "Lista negra de IPv4 de conciliación de activos" 192.168.3.56
Lista negra de ReferenceSetUtil.sh add "Lista negra de DNS de conciliación de activos" DNS
DNS de
conciliación de Por ejemplo, este mandato añade el nombre de dominio 'misbehaving.asset.company.com' a la
activos lista negra:
ReferenceSetUtil.sh add "Lista negra de DNS de conciliación de activos"

"misbehaving.asset.company.com"
Lista negra de ReferenceSetUtil.sh add "Lista negra de NetBIOS de conciliación de activos" NETBIOS
NetBIOS de
conciliación de Por ejemplo, este mandato elimina el nombre de host NetBIOS 'deviantGrowthAsset-156384' de
activos la lista negra:
ReferenceSetUtil.sh delete "Lista negra de NetBIOS de conciliación de activos"

"deviantGrowthAsset-156384"
Lista negra de ReferenceSetUtil.sh add "Lista negra de MAC de conciliación de activos" dirección_MAC
MAC de
conciliación de Por ejemplo, este mandato añade la dirección MAC '00:a0:6b:54:9f:0e' a la lista negra:
activos
ReferenceSetUtil.sh add "Lista negra de MAC de conciliación de activos"
"00:a0:6b:54:9f:0e"
Lista blanca de ReferenceSetUtil.sh add "Lista blanca de IPv4 de conciliación de activos" IP
IPv4 de
conciliación de Por ejemplo, este mandato suprime la dirección IP 10.1.95.142 de la lista blanca:
activos
ReferenceSetUtil.sh delete "Lista blanca de IPv4 de conciliación de activos"
10.1.95.142
Lista blanca de ReferenceSetUtil.sh add "Lista blanca de DNS de conciliación de activos" DNS
DNS de
conciliación de Por ejemplo, este mandato añade el nombre de dominio 'loadbalancer.company.com' a la lista
activos blanca:
ReferenceSetUtil.sh add "Lista blanca de DNS de conciliación de activos"

"loadbalancer.company.com"

Tabla 57. Sintaxis de mandatos para modificar los datos de las listas negras y las listas blancas de
activos (continuación)
Nombre Sintaxis del mandato
Lista blanca de ReferenceSetUtil.sh add "Lista blanca de NetBIOS de conciliación de activos" NETBIOS
NetBIOS de
conciliación de Por ejemplo, este mandato añade el nombre NetBIOS 'assetName-156384' a la lista blanca:
activos
ReferenceSetUtil.sh add "Lista blanca de NetBIOS de conciliación de activos"
"assetName-156384"
Lista blanca de ReferenceSetUtil.sh add "Lista negra de MAC de conciliación de activos" dirección_MAC
MAC de
conciliación de Por ejemplo, este mandato añade la dirección MAC '00:a0:6b:54:9f:0e' a la lista negra:
activos
ReferenceSetUtil.sh add "Lista negra de MAC de conciliación de activos"
"00:a0:6b:54:9f:0e"
“Actualización de listas negras y listas blancas mediante la API RESTful”
Puede utilizar la API RESTful de IBM Security QRadar para personalizar el contenido de las listas negras
y las listas blancas de activos.
Actualización de listas negras y listas blancas mediante la API RESTful

Puede utilizar la API RESTful de IBM Security QRadar para personalizar el contenido de las listas negras
y las listas blancas de activos.
Debe especificar el nombre exacto del conjunto de referencia que desea ver o actualizar.
v Lista negra de IPv4 de conciliación de activos
v Lista negra de DNS de conciliación de activos
v Lista negra de NetBIOS de conciliación de activos
v Lista negra de MAC de conciliación de activos
v Lista blanca de IPv4 de conciliación de activos
v Lista blanca de DNS de conciliación de activos
v Lista blanca de NetBIOS de conciliación de activos
v Lista blanca de MAC de conciliación de activos
Procedimiento
1. Escriba el URL siguiente en el navegador web para acceder a la interfaz de API RESTful:
https://dirección_IP_consola/api_doc
2. En el panel de navegación de la izquierda, busque 4.0>/reference_data >/sets > /{nombre}.
3. Para ver el contenido de una lista negra o blanca de activos, siga estos pasos:
a. Pulse la pestaña GET y desplácese hacia abajo hasta la sección Parámetros.
b. En el campo Valor correspondiente al parámetro Nombre, escriba el nombre de la lista negra o
blanca de activos que desea ver.
c. Pulse Inténtelo; los resultados aparecen en la parte inferior de la pantalla.
4. Para añadir un valor a una lista negra o blanca de activos, siga estos pasos:
a. Pulse la pestaña POST y desplácese hacia abajo hasta la sección Parámetros.
b. Escriba los valores de los parámetros siguientes:

Tabla 58. Parámetros que son necesarios para añadir nuevos datos de activos
Nombre del parámetro Descripción del parámetro
name Representa el nombre de la recopilación de referencia que desea actualizar.
value Representa el dato que desea añadir a la lista negra o blanca de activos. Debe
coincidir exactamente con los valores de actualización de los activos proporcionados
por el origen de datos de activos de donde proceden.
c. Pulse Inténtelo para añadir el nuevo valor a la lista negra o blanca de activos.
Para obtener más información sobre el uso de la API RESTful para cambiar los conjuntos de referencia,
consulte la publicación IBM Security QRadar API Guide.
“Actualización de las listas negras y listas blancas de activos mediante el programa de utilidad de
conjunto de referencia” en la página 253
Puede utilizar el programa de utilidad de conjunto de referencia de IBM Security QRadar para añadir o
modificar las entradas que se encuentran en las listas negras y las listas blancas de activos.
Ajuste de los valores de retención del perfilador de activos

de activo.
El periodo de retención predeterminado para la mayoría de los datos de activos es de 120 días después
de la última vez que se han observado de forma pasiva o activa en QRadar. Los nombres de usuario se
conservan durante 30 días.
Los datos de activos que los usuarios de QRadar han añadido manualmente no suelen contribuir a las
desviaciones de crecimiento de activos. De forma predeterminada, estos datos se conservan
indefinidamente. Para todos los demás tipos de datos de activos, se recomienda el distintivo Retener
siempre solamente para los entornos estáticos.

Puede ajustar el tiempo de retención según el tipo de datos de identidad de activo que se encuentra en el
suceso. Por ejemplo, si varias direcciones IP se fusionan en un solo activo, puede cambiar el periodo de
retención de IP de activo de 120 días por un valor inferior.
Cuando cambia el periodo de retención de activos para un tipo específico de datos de activos, el nuevo
periodo de retención se aplica a todos los datos de activos en QRadar. Los datos de activos existentes que
ya superan el nuevo umbral se eliminan cuando el despliegue finaliza. Para asegurarse de que siempre
podrá identificar los hosts mencionados incluso si los datos de activos superan el periodo de retención, el
proceso de limpieza de retención de activos no elimina el último valor conocido de nombre de host
correspondiente a un activo.
Antes de determinar cuántos días desea conservar los datos de activos, es necesario que comprenda las
características siguientes sobre un periodo de retención más largo:
v Proporciona una mejor vista histórica de sus activos.
v Crea volúmenes de datos más grandes por cada activo en la base de datos de activos.
v Aumenta la probabilidad de que los datos obsoletos contribuyan a los mensajes de desviación de

Procedimiento
2. En la sección Configuración del sistema, pulse Configuración de perfilador de activos.
3. Pulse Configuración de retención del perfilador de activos.
4. Ajuste los valores de retención y pulse Guardar.
5. Despliegue los cambios en el entorno para que las actualizaciones entren en vigor.
“Ajuste del número de direcciones IP permitidas para un único activo”
Ajuste del número de direcciones IP permitidas para un único activo

De forma predeterminada, QRadar genera un mensaje del sistema cuando un único activo acumula más
de 75 direcciones IP. Si prevé que los activos acumularán más de 75 direcciones IP, puede ajustar el valor
de Número de IP permitidas para un único activo para evitar los mensajes del sistema en el futuro.
Si se establece el límite para el número de direcciones IP en un valor demasiado alto, se impide que
QRadar detecte las desviaciones de crecimiento de activos antes de que tengan un impacto negativo en el
resto del despliegue. Si el límite se establece en un valor demasiado bajo, se incrementa el número de
desviaciones de crecimiento de activos que se notifican.
Puede utilizar la directriz siguiente cuando ajuste el valor Número de IP permitidas para un único
activo por primera vez.
Número de direcciones IP que están permitidas para un único activo = (<tiempo de retención (días)> x
<direcciones IP estimadas por día>) + <número de direcciones IP en almacenamiento intermedio>
Donde:
v <direcciones IP estimadas por día> es el número de direcciones IP que un activo puede acumular en un
día en condiciones normales
v <tiempo de retención (días)> es la cantidad de tiempo preferida para conservar las direcciones IP del
activo
Procedimiento
2. En la sección Configuración del sistema, pulse Configuración de perfilador de activos.
3. Pulse Configuración de retención del perfilador de activos.
4. Ajuste los valores de configuración y pulse Guardar.
5. Despliegue los cambios en el entorno para que las actualizaciones entren en vigor.
“Ajuste de los valores de retención del perfilador de activos” en la página 255
de activo.

Búsquedas de exclusión de identidades
Las búsquedas de exclusión de identidades se pueden utilizar para gestionar activos individuales que
acumulan grandes volúmenes de información de identidad similar por motivos conocidos y válidos.
Por ejemplo, los orígenes de datos pueden proporcionar grandes volúmenes de información de identidad
de activo a la base de datos de activos. Proporcionan a IBM Security QRadar los cambios en la
información de activos en tiempo casi real y pueden mantener actualizada la base de datos de activos.
Sin embargo, los orígenes de registro suelen ser la fuente más frecuente de las desviaciones del
crecimiento de activos y otras anomalías relacionadas con los activos.
Cuando un origen de registro envía datos de activos incorrectos a QRadar, intente corregir el origen de
registro para que los datos que envía se puedan utilizar en la base de datos de activos. Si el origen de
registro no se puede arreglar, puede crear una búsqueda de exclusión de identidades que impida que la
información de activos se incorpore a la base de datos de activos.
También puede utilizar una búsqueda de exclusión de identidades en la que nombre_usuario_identidad +

es cualquiera de + inicio de sesión anónimo para asegurarse de que no se actualizan los activos que
están relacionados con las cuentas de servicio o con servicios automatizados.
Diferencias entre las búsquedas de exclusión de identidades y las listas negras

Si bien las búsquedas de exclusión de identidades parecen tener una funcionalidad similar a la de las
listas negras de activos, existen diferencias significativas.
Las listas negras solamente pueden especificar los datos de activos en bruto, tales como direcciones MAC
y nombres de host, que se van a excluir. Las búsquedas de exclusión de identidades filtran los datos de
activos según campos de búsqueda tales como el origen de registro, la categoría y el nombre de suceso.
Las listas negras no tienen en cuenta el tipo de origen de datos que proporciona los datos, mientras que
las búsquedas de exclusión de identidades se pueden aplicar únicamente a los sucesos. Las búsquedas de
exclusión de identidades pueden bloquear las actualizaciones de activos basándose en los campos de
búsqueda de sucesos comunes, como tipo de suceso, nombre de suceso, categoría y origen de registro.
Creación de búsquedas de exclusión de identidades

Para hacer que determinados sucesos no proporcionen datos de activos a la base de datos de activos,
puede crear una búsqueda de exclusión de identidades de IBM Security QRadar.
Los filtros que cree para la búsqueda deben coincidir con los sucesos que desea excluir, no con los
sucesos que desee conservar.
Puede que le resulte útil ejecutar la búsqueda en sucesos que ya están en el sistema. Sin embargo, cuando
guarde la búsqueda, debe seleccionar Tiempo real (modalidad continua) en las opciones de Intervalo de
tiempo. Si no selecciona este valor, la búsqueda no encontrará ningún resultado cuando se ejecute en la
secuencia de sucesos que llegan a QRadar.
Al actualizar la búsqueda de exclusión de identidades guardada sin cambiar el nombre, la lista de

exclusión de identidades utilizada por el perfilador activo se actualiza. Por ejemplo, puede editar la
búsqueda para añadir más filtros de los datos de activos que desea excluir. Los nuevos valores se
incluyen y la exclusión de activos se inicia inmediatamente después de guardar la búsqueda.
Procedimiento
1. Cree una búsqueda para identificar los sucesos que no proporcionan datos de activos a la base de
datos de activos.

a. En la pestaña Actividad de registro, pulse Buscar > Nueva búsqueda.
b. Cree la búsqueda; para ello, añada criterios de búsqueda y filtros que se correspondan a los
sucesos que desea excluir de las actualizaciones de activos.
c. En el recuadro Rango de tiempo, seleccione Tiempo real (modalidad continua) y pulse Filtro para
ejecutar la búsqueda.
d. En la pantalla de resultados de la búsqueda, pulse Guardar criterios y proporcione la información
para la búsqueda guardada.
Nota: Puede asignar la búsqueda guardada a un grupo de búsqueda. Los grupos de búsqueda de
exclusión de identidades se encuentran en la carpeta Autenticación, identidad y actividad de
usuario.
e. Pulse Aceptar para guardar la búsqueda.
2. Identifique la búsqueda que ha creado como una búsqueda de exclusiones de identidad.
b. En la sección Configuración del sistema, pulse Configuración de perfilador de activos.
c. Pulse Gestionar exclusión de identidades en la parte inferior de la pantalla.
d. Seleccione la búsqueda de exclusión de identidades que ha creado a partir de la lista de búsquedas
de la izquierda y pulse el icono para añadir (>).
Consejo: Si no encuentra la búsqueda, escriba las primeras letras en el filtro en la parte superior
de la lista.
e. Pulse Guardar.
3. En la pestaña Admin, pulse Desplegar cambios para que las actualizaciones surtan efecto.
Ajuste avanzado de reglas de exclusión de conciliación de activos

Puede ajustar las reglas de exclusión de conciliación de activos para refinar la definición de la desviación
de crecimiento de activos en una o varias reglas.
Por ejemplo, considere esta plantilla normalizada de una regla de exclusión de conciliación de activos.
Aplicar AssetExclusion: Excluir Nombre DNS por IP en sucesos detectados
por el sistema Local y NO cuando cualquiera de
Nombre de host de identidad está contenido en cualquiera de
Lista blanca de DNS de conciliación de activos - Alfanumérico (sin
distinción de mayúsculas/minúsculas),
Lista negra de DNS de
conciliación de activos - Alfanumérico (sin distinción de mayúsculas/minúsculas)
y cuando al menos N1 sucesos se han visto con el mismo
Nombre de host de identidad y diferente IP de identidad en N2
En esta tabla se enumeran las variables de la plantilla de regla que pueden ajustarse y el resultado del
cambio. No cambie otras variables de la plantilla.
Tabla 59. Opciones para ajustar las reglas de conciliación de activos
Valor
Variable predeterm. Resultado del ajuste
N1 3 Si se ajusta esta variable en un valor inferior, el resultado es que se añaden
más datos a la lista negra debido a que se necesitan menos sucesos con datos
conflictivos para que la regla se desencadene.
Si se ajusta esta variable en un valor superior, el resultado es que se añaden

menos datos a la lista negra debido a que se necesitan más sucesos con datos
conflictivos para que la regla se desencadene.

Tabla 59. Opciones para ajustar las reglas de conciliación de activos (continuación)
Valor
Variable predeterm. Resultado del ajuste
N2 2 horas Si se ajusta esta variable en un valor inferior, se reduce el intervalo de tiempo
en el que los sucesos N1 deben verse para que la regla se desencadene. El
tiempo necesario para observar los datos coincidentes se reduce, lo que da
como resultado que se añadan menos datos a la lista negra.
Si se ajusta esta variable en un valor superior, se incrementa el tiempo que los

sucesos N1 deben verse para que la regla se desencadene. El tiempo necesario
para observar los datos coincidentes aumenta, lo que da como resultado que se
añadan más datos a la lista negra.
El incremento del periodo de tiempo puede afectar los recursos de memoria

del sistema, ya que se hace un seguimiento de los datos durante periodos de
tiempo más largos.
Las reglas de exclusión de conciliación de activos son reglas de todo el sistema. Los cambios en las reglas
afectan el comportamiento de la regla en todo el sistema.
Aplicación de ajustes diferentes para las reglas

Puede que sea necesario aplicar ajustes diferentes para las reglas en distintas partes del sistema. Para
aplicar diferentes ajustes para las reglas, debe duplicar las reglas de exclusión de conciliación de activos
que desea ajustar y añadir una o más pruebas para restringir las reglas de modo que se prueben
solamente determinadas partes del sistema. Por ejemplo, puede que desee crear reglas que prueben
solamente las redes, los orígenes de registro o los tipos de sucesos.
Tenga siempre cuidado cuando añada nuevas reglas al sistema, ya que algunas tareas y reglas de CRE
puede afectar al rendimiento del sistema. Puede resultar beneficioso añadir las reglas nuevas al principio
de cada pila de pruebas para que el sistema puede omitir el resto de la lógica de pruebas en el caso de
que una actualización de activo cumpla los criterios de la regla nueva.
Procedimiento
1. Duplique la regla.
a. En la pestaña Delitos, pulse Reglas y seleccione la regla que desea copiar.
b. Pulse Acciones > Duplicar. Puede ser útil que el nombre de la regla nueva indique el motivo de
la duplicación.
2. Añada una prueba a la regla.
Determine el filtro que desea utilizar para aplicar la regla solamente a un subconjunto de datos del
sistema. Por ejemplo, puede añadir una prueba que coincida solo con sucesos de un origen de registro
específico.
3. Ajuste las variables de la regla para conseguir el comportamiento deseado.
4. Actualice la regla original.
a. Añada a la regla original la misma prueba que ha añadido a la regla duplicada, pero invirtiendo
los operadores AND y AND NOT de la regla.
Al invertir los operadores se impide que se desencadenen sucesos en ambas reglas.
Ejemplo: Reglas de exclusión de activos que se ajustan para excluir

direcciones IP de la lista negra
Puede excluir direcciones IP de las listas negras ajustando las reglas de exclusión de activos.

Como administrador de seguridad de red, gestiona una red corporativa que incluye un segmento de red
wifi pública en el que las cesiones de direcciones IP son generalmente breves y frecuentes. Los activos en
este segmento de la red tienden a ser transitorios, principalmente sistemas portátiles y dispositivos
portátiles que inician y finalizan sesión en la wifi pública con frecuencia. Normalmente, una dirección IP
individual la utilizan varias veces distintos dispositivos durante un breve periodo de tiempo.
En el resto del despliegue tiene una red cuidadosamente gestionada que consta únicamente de
dispositivos de la empresa con nombres correctos e inventariados. Las cesiones de direcciones IP duran
mucho más tiempo en esta parte de la red y a las direcciones IP se accede únicamente a través de la
autenticación. En este segmento de red, desea saber inmediatamente cuando hay desviaciones de
crecimiento de activos y desea conservar los valores predeterminados para las reglas de exclusión de
conciliación de activos.
Elaboración de la lista negra de direcciones IP

En este entorno, las reglas de exclusión de conciliación de activos predeterminadas incluyen
inadvertidamente en una lista negra la red entera durante un breve periodo de tiempo.
Su equipo de seguridad observa que las notificaciones relacionadas con el activo generadas por el
segmento de wifi son una molestia. Desea evitar que la wifi desencadene más notificaciones de
desviaciones del crecimiento de activos.
Ajuste de las reglas de conciliación de activos para ignorar algunas

actualizaciones de activos
Revisa el informe Desviaciones de activo por origen de registro en la última notificación del sistema.
Determina que los datos de la lista negra proceden del servidor DHCP de la wifi.
Los valores de la columna Recuento de sucesos, la columna Recuento de flujos y la columna Delitos de
la fila correspondiente a la regla AssetExclusion: Excluir IP por dirección MAC indican que el servidor
DHCP de la wifi desencadena esta regla.
Añade una prueba a las reglas de conciliación de activos existentes para hacer que las reglas dejen de
añadir datos de la wifi a la lista negra.
Aplicar AssetExclusion:Excluir IP por Dirección MAC en sucesos detectados por
el sistema Local y NO cuando los sucesos los ha detectado uno o varios
MicrosoftDHCP @ microsoft.dhcp.test.com
y NO cuando cualquiera de Dominio es la clave y cualquiera de IP de identidad es el valor en
cualquiera de Lista blanca de IPv4 del dominio de conciliación de activos
- Lista negra de IPv4 del dominio de conciliación de activos - IP
y cuando al menos 3 sucesos se han visto con la misma IP de identidad y
diferente MAC de identidad en 2 horas.
La regla actualizada prueba solamente los sucesos de los orígenes de registro que no están en el servidor
DHCP de la wifi. Para evitar que los sucesos DHCP de la wifi pasen más pruebas costosas de análisis de
comportamiento y conjunto de referencia, también ha movido esta prueba al principio de la pila de
pruebas.
Limpieza de datos de activos después de desviaciones de crecimiento

IBM Security QRadar utiliza el modelo de activos para conectar los delitos del despliegue con los activos
físicos o virtuales de la red. La capacidad de recopilar y ver datos relevantes sobre cómo se utilizan los
activos es un paso importante en la resolución de problemas de seguridad. Es importante mantener la
base de datos de activos para asegurarse de que los datos son actuales y precisos.

Tanto si soluciona el origen del problema como si bloquea las actualizaciones de activos, debe limpiar la
base de datos de activos mediante la eliminación de los datos de activos no válidos y las entradas de las
listas negras de activos.
Supresión de activos no válidos

Después de arreglar los activos que contribuyeron a la desviación de crecimiento de activos, limpie los
artefactos de activos mediante la limpieza selectiva o volviendo a crear la base de datos de activos.

Limpieza selectiva
Este método se utiliza con las desviaciones de crecimiento de activos de ámbito limitado. La
eliminación selectiva de los activos afectados es la forma menos invasiva de limpiar los artefactos
de activos, pero si hay muchos activos afectados, también puede ser el más tedioso.
Volver a crear la base de datos de activos
Volver a crear la base de datos de activos desde cero es el método más eficaz y preciso de
suprimir los activos cuando las desviaciones de crecimiento de activos son omnipresentes.
Este método regenera de forma pasiva los activos en la base de datos con el nuevo ajuste que
haya configurado para resolver los problemas de crecimiento de activos. Con este enfoque, todos
los resultados de exploración y los datos de activos residuales se pierden, pero los datos se
pueden recuperar volviendo a ejecutar una exploración o volviendo a importar los resultados de
la exploración.
Procedimiento
1. Para eliminar de forma selectiva los artefactos no válidos en la base de datos de activos, siga estos
pasos:
a. En la pestaña Actividad de registro, ejecute la búsqueda de sucesos Desviación de crecimiento de
activos: Informe de activos. Esta búsqueda devuelve un informe de los activos que se han visto
afectados por la desviación de crecimiento de activos y deben suprimirse.
b. En la pestaña Activos, pulse Acciones > Suprimir activo. Puede pasar un tiempo hasta que el
activo deje de aparecer en IBM Security QRadar.
2. Para volver a crear la base de datos de activos desde cero, siga estos pasos:
a. Utilice SSH para iniciar la sesión en QRadar Console como administrador.
b. Ejecute el script /opt/qradar/support/cleanAssetModel.sh desde la línea de mandatos de la
consola y seleccione Opción 1 cuando se le solicite.
Al volver a crear la base de datos de activos se reinicia el motor de conciliación de activos.
Resultados
La depuración de una lista negra elimina todas las entradas de la lista negra, incluidas aquellas que se
hayan añadido manualmente. Las entradas de la lista negra que se han añadido manualmente deben
añadirse de nuevo.
Supresión de entradas de las listas negras

Una vez solucionada la causa de las entradas de las listas negras, debe limpiar las entradas restantes.
Puede eliminar entradas individuales de las listas negras, pero es mejor depurar todas las entradas de las
listas negras y permitir que se vuelvan a generar los valores de lista negra que no estén relacionados con
la desviación de crecimiento de activos.
Procedimiento
1. Para depurar una lista negra mediante la consola de IBM Security QRadar:

b. En la sección Configuración del sistema, pulse Gestión de conjuntos de referencia.
c. Seleccione un conjunto de referencia y después pulse Suprimir.
d. Utilice el cuadro de texto de búsqueda rápida para buscar los conjuntos de referencia que desee
suprimir y luego pulse Suprimir listados.
2. Para depurar una lista negra mediante la interfaz de línea de mandatos de QRadar Console:
a. Vaya al directorio /opt/qradar/bin.
b. Ejecute el mandato siguiente:
./ReferenceDataUtil.sh purge "Nombre de recopilación de referencia"
Siendo Nombre de recopilación de referencia una de las listas siguientes:
v Lista negra de NetBIOS de conciliación de activos
v Lista negra de DNS de conciliación de activos
v Lista negra de IPv4 de conciliación de activos
v Lista negra de MAC de conciliación de activos
Resultados
La depuración de una lista negra elimina todas las entradas de la lista negra, incluidas aquellas que se
hayan añadido manualmente. Las entradas de la lista negra que se han añadido manualmente deben
añadirse de nuevo.

20 Configuración de sistemas de QRadar para reenviar datos
a otros sistemas
Puede configurar los sistemas de IBM Security QRadar para reenviar datos a uno o a varios sistemas de
proveedores como, por ejemplo, sistemas de tíquets o de alertas. También puede reenviar datos
normalizados a otros sistemas de QRadar. Al sistema de destino que recibe los datos de QRadar se le
llama destino de reenvío.
Con la excepción del etiquetado de dominio, los sistemas de QRadar se aseguran de que los datos
reenviados no se alteran. La información de dominio se elimina de los datos reenviados. Los sucesos y
los flujos que contienen información de dominio se asignan automáticamente al dominio predeterminado
en el sistema receptor.
Para evitar problemas de compatibilidad al enviar datos de sucesos y flujos, asegúrese de que el
despliegue que recibe los datos sea de la misma versión o de una versión superior al despliegue que está
enviando los datos.
1. Configure uno o varios destinos de reenvío.
2. Para determinar qué datos desea reenviar, configure reglas de direccionamiento, reglas personalizadas
o ambos tipos de reglas.
3. Configure las opciones de direccionamiento que se aplicarán a los datos.
Por ejemplo, puede configurar que todos los datos de un recopilador de sucesos específico se reenvíen a
un sistema de tíquets determinado. También puede eludir la correlación eliminando los datos que
coinciden con una regla de direccionamiento.
Adición de destinos de reenvío

Para poder configurar reglas de direccionamiento o reglas personalizadas para reenviar datos, debe
añadir los destinos del reenvío.
Procedimiento
2. En la sección Configuración del sistema, pulse Destinos de reenvío.
3. En la barra de herramientas, pulse Añadir.
4. En la ventana Destinos de reenvío, especifique los valores de los parámetros.
En la tabla siguiente se describen algunos de los parámetros de Destinos de reenvío.
Tabla 60. Parámetros de Destinos de reenvío
Dirección de destino Dirección IP o nombre de host del sistema del proveedor al que desea reenviar los datos.

Tabla 60. Parámetros de Destinos de reenvío (continuación)
Formato de suceso v Carga útil son los datos en el formato que el origen de registro o el origen de flujo ha
enviado.
v Normalizado son datos en bruto que se analizan y se preparan como información
legible para la interfaz de usuario.
v JSON (JavaScript Object Notation) es un formato de intercambio de datos.
Protocolo Utilice el protocolo TCP para enviar datos normalizados mediante el protocolo TCP.
Debe crear un origen externo al sitio en la dirección de destino en el puerto 32004.
Restricción: No se pueden transmitir datos normalizados ni JSON mediante el protocolo
UDP. Si selecciona las opciones Normalizado o JSON, la opción UDP en la lista
Protocolo aparece inhabilitada.
Añadir una cabecera de Solo es aplicable cuando el formato del suceso es Carga útil.
syslog como prefijo si
falta o no es válido Cuando QRadar reenvía mensajes de syslog, el mensaje de salida se verifica para
garantizar que tenga una cabecera de syslog válida.
Si no se detecta una cabecera syslog válida y este recuadro de selección está seleccionado,
la cabecera syslog prefijada incluye la IP de origen del paquete que QRadar ha recibido
en el campo Hostname de la cabecera de syslog. Si no se selecciona esta casilla de
verificación, los datos se enviarán sin modificar.
5. Pulse Guardar.
La configuración de un destino de reenvío no envía de forma automática los datos a ese destino. Debe
configurar una regla de direccionamiento o una regla personalizada para reenviar los datos al destino.
Configuración de perfiles de reenvío

Si desea especificar qué propiedades se reenviarán al destino de reenvío, configure un perfil de reenvío.
Debe volver a crear los perfiles de reenvío de JSON que ha creado en IBM Security QRadar V7.2.3 o
versiones anteriores.
Puede utilizar los perfiles de reenvío solamente cuando los datos de suceso se envían en formato JSON.
Puede seleccionar propiedades de sucesos o de flujos específicas, incluidas las propiedades

personalizadas, para reenviarlas a un destino externo. Puede mejorar la legibilidad de los datos de suceso
especificando un nombre de alias y el valor predeterminado para el atributo. Los nombres de alias y los
valores predeterminados son específicos del perfil en el que están definidos. Si los atributos se utilizan en
otros perfiles, los nombres de alias y los valores predeterminados deben volver a definirse.
Puede utilizar un único perfil que tenga varios destinos de reenvío. Cuando edite un perfil, asegúrese de
que los cambios son adecuados para todos los destinos de reenvío con los que el perfil está asociado.
Cuando se suprime un perfil, todos los destinos de reenvío que utilizan el perfil vuelven a utilizar
automáticamente el perfil predeterminado.

Procedimiento
3. En la barra de herramientas, pulse Gestor de perfiles.
4. Para crear un nuevo perfil, pulse Nuevo.
5. Escriba un nombre para el perfil y seleccione la casilla de verificación situada junto a los atributos que
desea incluir en el conjunto de datos de suceso.
6. Para cambiar un perfil existente, seleccione el perfil y pulse Editar o Suprimir.
7. Pulse Guardar.
Configuración de reglas de direccionamiento para el reenvío de datos

Reenvío de datos mediante la configuración de reglas de direccionamiento basadas en filtros
Puede configurar reglas de direccionamiento para reenviar datos en modalidad en línea o fuera de línea:
v En el modo En línea los datos permanecen actualizados porque el reenvío se lleva a cabo en tiempo
real. Si no se puede acceder al destino del reenvío, no se entrega ningún dato enviado a ese destino, lo
que hará que se pierdan datos en ese sistema remoto. Para garantizar una entrega correcta, utilice el
modo fuera de línea.
v En la modalidad Fuera de línea, en primer lugar todos los datos se almacenan en la base de datos y, a
continuación, se envían al destino de reenvío. Este modo garantiza que los datos no se pierden; sin
embargo, podrían producirse retrasos en el reenvío de datos.
Procedimiento
2. En la sección Configuración del sistema, pulse Reglas de direccionamiento.
3. En la barra de herramientas, pulse Añadir.
4. En la ventana Regla de direccionamiento, especifique un nombre y una descripción de su regla de
direccionamiento.
5. En el campo Modalidad, seleccione una de las opciones siguientes: En línea o Fuera de línea.
6. En la lista Recopilador de sucesos de reenvío o Procesador de sucesos de reenvío, seleccione el
recopilador de sucesos desde el que desea reenviar datos.
Obtenga información sobre los dispositivos de reenvío:

Recopilador de sucesos de reenvío
Especifica el Recopilador de sucesos cuyos datos desea procesar con esta regla de
direccionamiento. Esta opción se visualiza cuando se selecciona la opción En línea.
Nota: El reenvío en línea/tiempo real no se ve afectado por las configuraciones del límite de
velocidad o de las planificaciones que pueden configurarse en los recopiladores de sucesos
de almacenamiento y reenvío (15xx).
Procesador de sucesos de reenvío
Especifica el Procesador de sucesos cuyos datos desea procesar con esta regla de
direccionamiento. Esta opción se visualiza cuando se selecciona la opción Fuera de línea.
Restricción: Esta opción no está disponible si se selecciona Descartar en el panel Opciones

de direccionamiento.
20 Configuración de sistemas de QRadar para reenviar datos a otros sistemas 265

7. En el campo Origen de datos, seleccione el origen de datos que de desea direccionar: Sucesos o
Flujos.
Las etiquetas de la siguiente sección cambian en función del origen de datos que seleccione.
8. Especifique los sucesos o flujos que se han de reenviar aplicando filtros:
a. Para reenviar todos los datos entrantes, seleccione la casilla de verificación Coincidir con todos
los sucesos entrantes o Coincidir con todos los flujos entrantes.
Restricción: Si selecciona esta casilla de verificación, no puede añadir un filtro.

b. Para reenviar solo algunos sucesos o flujos, especifique el criterio de filtro y pulse Añadir filtro.
9. Especifique las opciones de direccionamiento que se aplicarán a los datos reenviados:
a. Opcional: Si desea editar, añadir o suprimir un destino de reenvío, pulse el enlace Gestionar
destinos.
b. Para reenviar datos de registro que coincidan con los filtros especificados, seleccione la casilla de
verificación Reenviar y, a continuación, seleccione la casilla de verificación de cada destino de
reenvío.
Restricción: Si selecciona la casilla de verificación Reenviar, solo podrá seleccionar una de estas
casillas de verificación Descartar, Omitir correlación o Solo registro.
Obtenga más información acerca de las opciones de direccionamiento:

v La opción Reenviar especifica que los datos se reenvíen al destino de reenvío especificado. Los
datos también se almacenan en la base de datos y son procesados por el motor de reglas
personalizadas (CRE).
v La opción Descartar especifica que los datos se eliminan. Los datos no se almacenan en la base
de datos ni son procesados por el CRE. Esta opción no está disponible si se selecciona la
opción Fuera de línea. Todos los sucesos que se descartan se devuelven al 100% a la licencia.
v La opción Ignorar correlación especifica que los datos ignoran el CRE, pero se almacenan en la
base de datos. Esta opción no está disponible si se selecciona la opción Fuera de línea.
v La opción Solo registro (excluir herramientas de análisis) especifica que los sucesos se
almacenan y marcan en la base de datos como Solo registro y omitir CRE. Estos sucesos no
están disponibles para correlacionarlos históricamente y se devuelven al 100% a la licencia.
Esta opción no está disponible para los flujos.
Nota: La opción Solo registro requiere una titularidad de QRadar Data Store, pero no se aplica
actualmente. En el futuro, cuando se aplique la titularidad, el acceso a los datos de sucesos
recopilados estará restringido a los sistemas con la licencia correcta. Cuando se aplique la
licencia y se seleccione la opción Solo registro, los sucesos que coincidan con la regla de
direccionamiento se almacenarán en el disco y estarán disponibles para búsquedas o para su
visualización. Los sucesos omiten el motor de reglas personalizado y no se llevan a cabo
correlaciones o analíticas en tiempo real. Los sucesos pueden contribuir en delitos y se omiten
cuando se ejecuta la correlación histórica. Algunas aplicaciones también emiten los sucesos de
tipo Solo registro (https://www-ibm.com/support/docview.wss?uid=swg22009471).
Puede combinar tres opciones:

v Reenviar y Descartar
Los datos se reenvían al destino de reenvío especificado. Los datos no se almacenan en la base
de datos y no son procesados por el CRE.
v Reenviar e Ignorar correlación
Los datos se reenvían al destino de reenvío especificado. Los datos también se almacenan en la
base de datos, pero no son procesados por el CRE. El CRE del destino del reenvío procesa los
datos.
v Reenviar y Solo registro (excluir herramientas de análisis

Los sucesos se reenvían al destino de reenvío especificado en la modalidad en línea. Los
sucesos se almacenan y se marca en la base de datos como Solo registro y omitir CRE. Estos
sucesos no están disponibles para correlacionarlos históricamente y se devuelven al 100% a la
licencia. Esta opción no está disponible en la modalidad fuera de línea.
Si los datos coinciden con múltiples reglas, se aplicará la opción de direccionamiento más segura.
Por ejemplo, si los datos coinciden con una regla configurada para descartar y con una regla
configurada para ignorar el proceso de CRE, los datos no se descartarán. En vez de ello, los datos
eluden el CRE y se almacenan en la base de datos.
10. Pulse Guardar.
Uso de reglas y respuestas de reglas para reenviar los datos

Utilice el asistente Regla personalizada para configurar el reenvío de datos de suceso que cumplan las
reglas del sistema. Configure la respuesta de regla para reenviar datos de suceso a uno o varios destinos
de reenvío.

Los criterios que determinan qué datos de suceso se envían a un destino de reenvío se basan en las
pruebas y los componentes básicos que se incluyen en la regla.
Cuando la regla está configurada y habilitada, todos los datos de suceso que coincidan con las pruebas
de la regla se envían automáticamente a los destinos de reenvío especificados. Para obtener más
información sobre cómo editar o añadir una regla, consulte el documento Guía del usuario de IBM Security
QRadar correspondiente a su producto.
Procedimiento
1. Pulse la pestaña Delitos o Actividad de registro.
2. En el menú Reglas, seleccione Reglas.
3. En la ventana Lista de reglas,seleccione la regla que desee editar o haga clic en Acciones para crear
una regla.
4. En la página Respuesta de regla del asistente Regla, asegúrese de que selecciona la opción Enviar a
destinos de reenvío.
Visualización de destinos de reenvío

La ventana Destinos de reenvío proporciona información valiosa sobre los destinos de reenvío. Se
muestran las estadísticas de los datos enviados a cada destino de reenvío.
Por ejemplo, puede ver la información siguiente:

v Número total de sucesos y flujos que se han visto para este destino de reenvío.
v Número de sucesos o flujos que se han enviado a este destino de reenvío.
v Número de sucesos o flujos que se han descartado antes de llegar al destino de reenvío.
Procedimiento
3. Vea las estadísticas de los destinos de reenvío.
Visualización y gestión de destinos de reenvío

Utilice la ventana Destinos de reenvío para ver, editar y suprimir los destinos de reenvío.
20 Configuración de sistemas de QRadar para reenviar datos a otros sistemas 267

Procedimiento
Se muestran las estadísticas de los datos enviados a cada destino de reenvío. Por ejemplo, puede ver
la información siguiente:
v Número total de sucesos y flujos que se han visto para este destino de reenvío.
v Número de sucesos o flujos que se han enviado a este destino de reenvío.
v Número de sucesos o flujos que se han descartado antes de llegar al destino de reenvío.
3. En la barra de herramientas, pulse una acción, tal como se describe en la tabla siguiente.
Tabla 61. Descripción de las acciones de la barra de herramientas de Destinos de reenvío
Acción Descripción
Inicializar contadores Restablece en cero los contadores de los parámetros Visto, Enviado y
Descartado; los contadores comienzan a contar de nuevo.
Consejo: Puede restablecer los contadores para proporcionar una vista
más precisa del rendimiento de los destinos de reenvío.
Editar Cambia el nombre, el formato, la dirección IP, el puerto o el protocolo
configurados.
Suprimir Suprime un destino de reenvío.
Si el destino de reenvío está asociado con alguna regla activa, debe

confirmar que desea suprimir el destino de reenvío.
Visualización y gestión de reglas de direccionamiento

Utilice la ventana Reglas de direccionamiento de sucesos para habilitar o inhabilitar las reglas o para
editar una regla para cambiar el nombre, el Recopilador de sucesos, los filtros o las opciones de
direccionamiento que se hayan configurado.
Procedimiento
2. En la sección Configuración del sistema, pulse Reglas de direccionamiento.
3. Seleccione la regla de direccionamiento que desea gestionar.
4. Para editar la regla de direccionamiento, en la barra de herramientas pulse Editar y actualice los
parámetros.
5. Para eliminar la regla de direccionamiento, en la barra de herramientas pulse Suprimir.
6. Para habilitar o inhabilitar la regla de direccionamiento, en la barra de herramientas pulse
Habilitar/inhabilitar.
Si habilita una regla de direccionamiento que está configurada para descartar sucesos, se visualiza un
mensaje de confirmación.

21 Almacenamiento y reenvío de sucesos
Utilice la función Almacenar y reenviar para gestionar las planificaciones para el reenvío de sucesos
desde los dispositivos Recopilador de sucesos dedicados a los componentes Procesador de sucesos del
despliegue.
La función Almacenar y reenviar está soportada en Event Collector 1501 y Event Collector 1590. Para
obtener más información sobre estos dispositivos, consulte la publicación QRadar Hardware Guide.
Un Recopilador de sucesos dedicado no procesa sucesos y no incluye un Procesador de sucesos en placa.

De forma predeterminada, un Recopilador de sucesos dedicado reenvía continuamente sucesos a un
Procesador de sucesos que debe conectar mediante el icono Editor de despliegue. Utilice la función
Almacenar y reenviar para planificar un rango de tiempo en el que desea que el Recopilador de sucesos
reenvíe sucesos. Cuando no se reenvían sucesos, los sucesos se almacenan localmente en el dispositivo.
No se puede acceder a los sucesos en la interfaz de usuario de la consola de IBM Security QRadar.
Utilice la función de planificación para almacenar sucesos durante el horario laboral. Reenvíe los sucesos
a un Procesador de sucesos cuando la transmisión no afecte negativamente al ancho de banda de red. Por
ejemplo, puede configurar un Recopilador de sucesos para reenviar sucesos a un Procesador de sucesos
durante las horas no laborables.
Descripción general de Almacenar y reenviar

La función Almacenar y reenviar está soportada en los dispositivos Event Collector 1501 y Event
Collector 1590. Para obtener más información sobre estos dispositivos, consulte la publicación QRadar
Hardware Guide.
Un recopilador de sucesos dedicado no procesa sucesos y no incluye un procesador de sucesos en placa.

De forma predeterminada, un recopilador de sucesos dedicado reenvía continuamente sucesos a un
procesador de sucesos que debe conectar mediante el icono Editor de despliegue. La función Almacenar y
reenviar permite planificar un rango de tiempo en el que desea que el recopilador de sucesos reenvíe
sucesos. Cuando no se reenvían sucesos, los sucesos se almacenan localmente en el dispositivo y no se
puede acceder a ellos con la interfaz de usuario de la consola.
Esta función de planificación permite almacenar sucesos durante el horario laboral y después reenviar los
sucesos a un procesador de sucesos durante los periodos de tiempo en los que la transmisión no afecte
negativamente al ancho de banda de red. Por ejemplo, puede configurar un recopilador de sucesos para
reenviar sucesos solamente a un procesador de sucesos durante las horas no laborables; por ejemplo,
desde la medianoche hasta las 6 de la mañana.
Visualización de la lista de planificación de Almacenar y reenviar

Utilice la ventana Almacenar y reenviar para ver una lista de planificaciones. Las planificaciones incluyen
estadísticas que le ayudarán a evaluar el estado, el rendimiento y el progreso de las planificaciones.

Antes de empezar
Debe crear una planificación. De forma predeterminada, la primera vez que se accede a la ventana
Almacenar y reenviar no aparece ninguna planificación.
Puede utilizar opciones de la barra de herramientas y el cuadro de lista Visualizar para cambiar la vista
de la lista de planificación. Cambie la vista de la lista para centrarse en las estadísticas desde diversos
puntos de vista. Por ejemplo, si desea ver las estadísticas de un determinado recopilador de sucesos,
puede seleccionar Recopiladores de sucesos en la lista Visualizar. A continuación la lista se agrupa
según la columna Recopilador de sucesos, con lo que resulta más fácil localizar el Recopilador de
sucesos que desea investigar.
De forma predeterminada, la lista de Almacenar y reenviar está configurada para visualizar la lista
organizada según la planificación (Visualizar > Planificaciones).
Procedimiento
2. En la sección Configuración del sistema, pulse Almacén y reenvío.
3. En la ventana Almacenar y reenviar, consulte los parámetros de cada planificación.
En la tabla siguiente se describen algunos de los parámetros de la planificación.
Tabla 62. Parámetros de la ventana Almacenar y reenviar
Visualizar La opción Planificaciones muestra una jerarquía de la
relación padre-hijo entre las planificaciones, los
procesadores de sucesos y los recopiladores de sucesos
asociados.
La opción Recopiladores de sucesos muestra el nivel

más bajo de la jerarquía, que es una lista de
recopiladores de sucesos.
La opción Procesadores de sucesos muestra una

jerarquía de la relación padre-hijo entre los procesadores
de sucesos y los recopiladores de sucesos asociados.

Tabla 62. Parámetros de la ventana Almacenar y reenviar (continuación)
Nombre
Para la opción Planificaciones, la columna Nombre se
visualiza con el formato siguiente.
v Primer nivel representa el nombre de la planificación.
v Segundo nivel representa el nombre del procesador de
sucesos.
v Tercer nivel representa el nombre del recopilador de
sucesos.
Para la opción Procesadores de sucesos, la columna se

visualiza con el formato siguiente.
v Primer nivel representa el nombre del procesador de
sucesos.
v Segundo nivel representa el nombre del recopilador
de sucesos.
Consejo: Puede utilizar el signo más (+) y el signo
menos (-) junto al nombre o las opciones de la barra de
herramientas para expandir y contraer el árbol
jerárquico. También puede expandir y contraer el árbol
jerárquico utilizando las opciones de la barra de
herramientas.
Nombre de planificación
Muestra el nombre de la planificación para las opciones
Recopiladores de sucesos o Procesadores de sucesos.
Si un procesador de sucesos está asociado con más de

una planificación, en Nombre de planificación se
muestra Múltiplen, donde n es el número de
planificaciones.
Consejo: Pulse el signo más (+) para ver las
planificaciones asociadas.
Último estado
Muestra el estado del proceso de Almacenar y reenviar:
v Reenvío indica que el reenvío de sucesos está en
curso.
v Reenvío completado indica que el reenvío de sucesos
se ha completado satisfactoriamente y que los sucesos
se han almacenado localmente en el recopilador de
sucesos. Los sucesos almacenados se reenvían cuando
la planificación indique que el reenvío puede volver a
empezar.
v Aviso indica que el porcentaje de sucesos que se
quedan en el almacenamiento sobrepasa el porcentaje
de tiempo que se quedan en la planificación de
Almacenar y reenviar.
v Error indica que el reenvío de sucesos se ha detenido
antes de que se reenviasen todos los sucesos
almacenados.
v Inactivo indica que no hay recopiladores de sucesos
asignados a la planificación, o que los recopiladores de
sucesos asignados no han recibido sucesos.
Consejo: Mueva el puntero del ratón sobre la columna
Último estado para ver un resumen del estado.
21 Almacenamiento y reenvío de sucesos 271

Tabla 62. Parámetros de la ventana Almacenar y reenviar (continuación)
Sucesos reenviados
Muestra el número de sucesos (en K, M o G) reenviados
en la sesión actual.
Consejo: Mueva el puntero del ratón sobre el valor de la
columna Sucesos reenviados para ver el número de
sucesos.
Sucesos restantes
Muestra el número de sucesos (en K, M o G) que quedan
por reenviar en la sesión actual.
columna Sucesos restantes para ver el número de
sucesos.
Velocidad promedio de sucesos
Muestra la velocidad media con que los sucesos se
reenvían del recopilador de sucesos al procesador de
sucesos.
columna Velocidad promedio de sucesos para ver el
promedio de sucesos por segundo (EPS).
Tasa actual de sucesos
Muestra la velocidad con que los sucesos se reenvían del
recopilador de sucesos al procesador de sucesos.
columna Velocidad actual de sucesos para ver los
sucesos por segundo (EPS) actuales.
Límite de velocidad de transferencia
El límite de velocidad de transferencia es configurable.
El límite de velocidad de transferencia puede

configurarse para visualizarlo en kilobytes por segundo
(KBs), megabytes por segundo (MBs) o gigabytes por
segundo (GBs).
Creación de una nueva planificación de Almacenar y reenviar

Utilice el asistente de Almacenar y reenviar para crear una planificación que controle cuándo el
recopilador de sucesos inicia y detiene el reenvío de datos a un procesador de sucesos.
Puede crear y gestionar varias planificaciones para controlar el reenvío de sucesos de varios recopiladores
de sucesos de IBM Security QRadar en un despliegue distribuido geográficamente.
Antes de empezar
Asegúrese de que el recopilador de sucesos dedicado se añade a su despliegue y está conectado a un

procesador de sucesos. La conexión entre un recopilador de sucesos y un procesador de sucesos se
configura en el Editor de despliegue.
Procedimiento
3. Pulse Acciones > Crear.
a. Pulse Siguiente para pasar a la página Seleccionar recopiladores.
b. En la página Seleccionar recopiladores, configure los parámetros.
Si el recopilador de sucesos que desea configurar no aparece en la lista, tendrá que añadirlo para
continuar. Para obtener más información sobre cómo añadir un recopilador de sucesos, consulte
“Adición de un host gestionado” en la página 67.
c. En la página Opciones de planificación, configure los parámetros.
Nota: La velocidad de transferencia mínima es 0. La velocidad de transferencia máxima es

9.999.999. El valor 0 significa que la velocidad de transferencia es ilimitada.
d. Finalice la configuración.
Ahora puede ver la planificación en la ventana Almacenar y reenviar. Después de crear una nueva
planificación, puede que tengan que transcurrir hasta 10 minutos para que las estadísticas
empiecen a visualizarse en la ventana Almacenar y reenviar.
Edición de una planificación de Almacenar y reenviar

Puede editar una planificación de Almacenar y reenviar para añadir o eliminar recopiladores de sucesos
de IBM Security QRadar y cambiar los parámetros de planificación. Después de editar una planificación
de Almacenar y reenviar, las estadísticas que se visualizan en la lista de Almacenar y reenviar se
restablecen.
Procedimiento
3. Seleccione la planificación que desee editar.
4. Pulse Acciones > Editar.
También puede efectuar una doble pulsación en una planificación para editarla.
5. Pulse Siguiente para pasar a la página Seleccionar recopiladores.
6. En la página Seleccionar recopiladores, edite los parámetros.
7. Pulse Siguiente para pasar a la página Opciones de planificación.
8. En la página Opciones de planificación, edite los parámetros de planificación.
9. Pulse Siguiente para pasar a la página Resumen.
10. En la página Resumen, confirme las opciones que ha editado para esta planificación.
Después de editar una planificación, puede que tengan que transcurrir hasta 10 minutos para que las
estadísticas se actualicen en la ventana Almacenar y reenviar.
Supresión de una planificación de Almacenar y reenviar

Puede suprimir una planificación de Almacenar y reenviar.
Procedimiento
1. En el menú de navegación, pulse Configuración del sistema.
2. Pulse el icono Almacenar y reenviar.
3. Seleccione la planificación que desee suprimir.
4. Pulse Acciones > Suprimir.
Cuando la planificación se haya suprimido, los recopiladores de sucesos de IBM Security QRadar
asociados reanudarán el reenvío continuo de sucesos a su procesador de sucesos asignado.
21 Almacenamiento y reenvío de sucesos 273

22 Contenido de seguridad
Se utilizan las herramientas de gestión de contenido de IBM Security QRadar para importar contenido de
seguridad, como por ejemplo reglas, informes, paneles de control y aplicaciones, en QRadar. El contenido
de seguridad pueden proceder de otros sistemas de QRadar, o puede desarrollarse de forma
independiente para ampliar las prestaciones de QRadar existentes.
Tipos de contenido de seguridad

El contenido de IBM Security QRadar se empaqueta en dos tipos: paquetes de contenido y extensiones.
Paquetes de contenido
Los paquetes de contenido de seguridad contienen mejoras para tipos específicos de contenido de
seguridad. A menudo incluyen contenido para integraciones o sistemas operativos de terceros.
Por ejemplo, un paquete de contenido de seguridad para una integración de terceros puede
contener nuevas propiedades de suceso personalizadas que permiten buscar el origen de registro
en la información de la carga útil del suceso y que esta información esté disponible para la
creación de informes.
Los paquetes de contenido de seguridad están disponibles en IBM Fix Central
(http://www.ibm.com/support/fixcentral). Los paquetes de contenido no están disponibles como
parte de una actualización automática.
Extensiones
IBM y otros proveedores graban extensiones de seguridad que mejoran o amplían las prestaciones
de QRadar. Una extensión puede contener aplicaciones, elementos de contenido, como por
ejemplo reglas personalizadas, plantillas de informes, búsquedas guardadas, o contener
actualizaciones de los elementos de contenido existentes. Por ejemplo, una extensión puede
incluir una aplicación para añadir una pestaña a QRadar que proporcione visualizaciones para un
delito.
En IBM Security App Exchange, las extensiones se conocen como aplicaciones. Puede descargar
aplicaciones de QRadar desde IBM Security App Exchange y utilizar la herramienta de Gestión
de extensiones para instalarlas. Las aplicaciones no están disponibles como parte de una
actualización automática.
Orígenes de contenido de seguridad

El contenido de QRadar está disponible en las siguientes fuentes:
IBM Security App Exchange
IBM Security App Exchange (https://apps.xforce.ibmcloud.com) es una tienda de aplicaciones y
portal donde puede examinar y descargar extensiones de QRadar. Se trata de una nueva forma de
compartir código, visualizaciones, informes, reglas y aplicaciones.
IBM Fix Central
IBM Fix Central (www.ibm.com/support/fixcentral) proporciona arreglos y actualizaciones para

el software, el hardware y el sistema operativo del sistema. Puede descargar paquetes de
contenido de seguridad y extensiones desde IBM Fix Central.
Despliegues de QRadar
El contenido personalizado se exporta desde un despliegue de QRadar como una extensión y se
importa en otro sistema cuando se desea reutilizar el contenido. Por ejemplo, puede exportar
contenido desde el entorno de desarrollo al entorno de producción. Puede utilizar el script de
gestión de contenidos de la línea de mandatos para exportar todo el contenido u optar por
exportar sólo parte del contenido personalizado.
Métodos de importación y exportación de contenido

Puede utilizar las herramientas siguientes para importar y exportar contenido en el despliegue de IBM
Security QRadar.
Herramienta Gestión de extensiones
Utilice la herramienta Gestión de extensiones para añadir extensiones a su despliegue de QRadar. Al

importar contenido mediante la herramienta Gestión de extensiones, puede ver el contenido antes de
instalarlo. Si los elementos de contenido existen en el sistema, puede especificar si desea reemplazar el
elemento de contenido o pasar por alto la actualización.
No puede utilizar la herramienta Gestión de extensiones para exportar contenido.
Script de gestión de contenido
Utilice el script de gestión de contenido para exportar contenido personalizado del despliegue de QRadar
a un formato externo y portable. A continuación, puede utilizar el script para importar el contenido
personalizado en otro despliegue de QRadar. El script es útil cuando se desea automatizar el movimiento
de contenido entre los despliegues de QRadar.
El script contentManagement.pl se encuentra en el directorio /opt/qradar/bin.
Debe utilizar el script de gestión de contenido para exportar contenido del despliegue de origen de
QRadar. Puede utilizar el script de gestión de contenido o la herramienta Gestión de extensiones para
importar el contenido en el despliegue de destino.
Nota: Puede exportar contenido de una versión anterior de QRadar e importarlo a una versión posterior.
Sin embargo, no puede importar contenido de una versión posterior a una versión anterior.
Nota: Si migra reglas alteradas temporalmente de un despliegue de QRadar a otro, utilice la opción
Sustituir elementos de contenido existentes para asegurarse de que las reglas se importan
correctamente.
Exportación de todo el contenido personalizado

El script contentManagement.pl se utiliza para exportar todo el contenido personalizado del despliegue de
Procedimiento
2. Vaya al directorio /opt/qradar/bin y especifique el mandato siguiente para exportar todo el contenido
personalizado:
./contentManagement.pl -a export -c all
Ejemplos:

v Para incluir datos acumulados en la exportación, escriba el mandato siguiente:
./contentManagement.pl --action export --content-type all -g
v Para especificar el directorio para el archivo exportado y cambiar el formato de compresión,
./contentManagement.pl
-a export -c all -o [vía_acceso_archivo] -t [tipo_compresión]
Resultados
El contenido se exporta a un archivo comprimido, por ejemplo, all-ContentExport-20151022101803.zip.

Puede cambiar manualmente el nombre de archivo por un nombre más descriptivo. El archivo exportado
podría contener más elementos de contenido de lo que se esperaba, porque todas las dependencias se
exportan con los elementos de contenido especificados. Por ejemplo, si exporta un informe, también se
exporta la búsqueda guardada que el informe utiliza.
Exportación de todo el contenido personalizado de un tipo específico

Puede exportar todo el contenido personalizado de un tipo específico con una sola acción.
El script de gestión de contenido utiliza identificadores de texto o identificadores numéricos para

especificar el tipo de contenido que desea exportar.
Tabla 63. Identificadores de tipo de contenido para exportar contenido personalizado
Tipo de contenido personalizado Identificador de texto Identificador numérico
Paneles de control dashboard 4
Informes report 10
Búsquedas guardadas search 1
1
FGroups fgroup 12
Tipos de FGroup fgrouptype 13
Reglas personalizadas customrule 3
Orígenes de registro sensordevice 17
Tipos de origen de registro sensordevicetype 24
Categorías de origen de registro sensordevicecategory 18
Recopilaciones de datos de referencia referencedata 28
Entradas de correlaciones de QID qidmap 27
personalizadas
Perfiles de correlación histórica historicalsearch 25
Funciones personalizadas custom_function 77
Acciones personalizadas custom_action 78
Aplicaciones installed_application 100
Correlaciones de sucesos de DSM dsmevent 41
1
Un FGroup representa un grupo de contenido, como por ejemplo un grupo de origen de registro, un grupo de
informes o un grupo de búsqueda.
22 Contenido de seguridad 277

Procedimiento
2. Vaya al directorio /opt/qradar/bin y escriba el mandato para exportar todo el contenido del tipo
especificado:
./contentManagement.pl -a export --content-type [tipo_contenido] --id all
Parámetros:
Tabla 64. Parámetros del script contentManagement.pl para exportar contenido personalizado de un tipo específico
-c [tipo_contenido] Especifica el tipo de contenido.
o bien Puede teclear el texto o el identificador numérico

correspondiente para especificar el tipo de contenido.
--content-type [tipo_contenido]
-e Establezca este distintivo para incluir elementos y claves de
datos de referencia en la exportación.
o bien
Las claves de datos de referencia y los elementos de datos de
--include-reference-data-elements referencia son aplicables al tipo de contenido referencedata.
Este parámetro sólo es aplicable al exportar datos de referencia o
elementos de contenido que dependen de datos de referencia.
-g Incluye datos acumulados en la exportación.
o bien
--global-view
-i [identificador_contenido] Especifica el identificador de una instancia específica de
contenido personalizado como, por ejemplo, un informe único o
o bien un conjunto de referencia único.
--id [identificador_contenido] Puede especificar all para exportar todo el contenido del tipo
especificado.
-o [vía_acceso_archivo] Especifica la vía de acceso completa al directorio donde se graba
el archivo de exportación.
o bien
Si no se especifica un directorio de salida, el contenido se
--output-directory [vía_acceso_archivo] exporta al directorio actual. Si el directorio de salida especificado
no existe, se crea.
-t [tipo_compresión] Especifica el tipo de compresión del archivo de exportación.
o bien Las opciones válidas son ZIP y TARGZ (sensible a mayúsculas y

minúsculas). Si no especifica un tipo de compresión, el tipo de
--compression-type [tipo_compresión] compresión predeterminado es ZIP.
Ejemplos:
v Para exportar todas las búsquedas personalizadas, escriba el mandato siguiente:
./contentManagement.pl --action export --content-type search --id all
v Para exportar todos los informes e incluir datos acumulados, escriba el mandato siguiente:
./contentManagement.pl -a export -c 10 --id all --global-view
Resultados
El contenido se exporta a un archivo comprimido, por ejemplo, reports-ContentExport-

20151022101803.zip. Puede cambiar manualmente el nombre de archivo por un nombre más descriptivo.

El archivo exportado podría contener más elementos de contenido de lo que se esperaba, porque todas
las dependencias se exportan con los elementos de contenido especificados. Por ejemplo, si exporta un
informe, también se exporta la búsqueda guardada que el informe utiliza.
Búsqueda de elementos de contenido específicos para exportar

El script de gestión de contenido se utiliza para buscar contenido específico en el despliegue de IBM
Security QRadar. Tras encontrar el contenido, puede utilizar el identificador exclusivo para exportar el
elemento de contenido.
En la tabla siguiente se enumeran los identificadores utilizados cuando se desea buscar tipos específicos
de contenido.
Tabla 65. Identificadores de tipo de contenido para la búsqueda de contenido personalizado
Informes report 10
1
FGroups fgroup 12
personalizadas
1
Un FGroup representa un grupo de contenido, como por ejemplo un grupo de origen de registro, un grupo de
informes o un grupo de búsqueda.
Procedimiento
2. Vaya al directorio /opt/qradar/bin y escriba el mandato siguiente para buscar contenido
personalizado que coincida con una expresión regular:
Parámetros:

Tabla 66. Parámetros del script contentManagement.pl para la búsqueda de elementos de contenido
-c [tipo_contenido] Especifica el tipo de contenido que debe buscarse.
o bien Debe especificar el tipo de contenido que debe buscarse. No se

puede utilizar -c package o -c all con la acción search.
-r [regex] Especifica contenido que debe buscarse.
o bien Se visualizará todo el contenido coincidente con la expresión.
--regex [regex]
Ejemplos:
v Para buscar todos los informes que incluyan Overview en la descripción, escriba el mandato
siguiente:
/opt/qradar/bin/contentManagement.pl --action search
--content-type report --regex "Overview"
v Para listar todos los orígenes de registro, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a search -c 17 -r "\w"
Los resultados de la búsqueda listan los detalles, que incluyen el ID exclusivo, de los elementos de
contenido encontrados.
[INFO] Resultados de búsqueda:
[INFO] - [ID] - [Nombre] - [Descripción]
[INFO] - [67] - [Asset Profiler-2 :: hostname] - [Asset Profiler]
[INFO] - [62] - [SIM Generic Log DSM-7 :: hostname] - [SIM Generic Log DSM]
[INFO] - [63] - [Custom Rule Engine-8 :: hostname] - [Custom Rule Engine]
[INFO] - [71] - [Pix @ apophis] - [Pix device]
[INFO] - [70] - [Snort @ wolverine] - [Snort device]
[INFO] - [64] - [SIM Audit-2 :: hostname] - [SIM Audit]
[INFO] - [69] - [Health Metrics-2 :: hostname] - [Health Metrics]
Utilice el identificador exclusivo para exportar elementos de contenido específicos desde QRadar. Para
obtener más información, consulte los apartados “Exportación de elementos de contenido personalizado
de tipos diferentes” en la página 282 y “Exportación de un solo elemento de contenido personalizado”.
Exportación de un solo elemento de contenido personalizado

Exporte un solo elemento de contenido personalizado como, por ejemplo, una regla personalizada o una
búsqueda guardada, desde IBM Security QRadar.
Antes de empezar
Debe conocer el identificador exclusivo del elemento de contenido personalizado que desea exportar. Para
obtener información sobre cómo encontrar los identificadores exclusivos de los elementos de contenido,
consulte “Búsqueda de elementos de contenido específicos para exportar” en la página 279.
Procedimiento
2. Vaya al directorio /opt/qradar/bin y escriba el mandato para exportar el contenido:
./contentManagement.pl -a export -c [tipo_contenido] -i [identificador_contenido]
Parámetros:

Tabla 67. Parámetros del script contentManagement.pl para exportar un único elemento de contenido
-c [tipo_contenido] Especifica el tipo de contenido a exportar.
o bien Especifique el identificador de texto o el identificador numérico

correspondiente para tipos de contenido específicos.
o bien
o bien
--global-view
-i [identificador_contenido] Especifica el identificador de una instancia específica de
o bien un conjunto de referencia único.
--id [identificador_contenido]
o bien
no existe, se crea.
-t [tipo_compresión] Se utiliza con la acción export.
o bien Especifica el tipo de compresión del archivo de exportación. Las

opciones válidas son ZIP y TARGZ (sensible a mayúsculas y
--compression-type [tipo_compresión] minúsculas). Si no especifica un tipo de compresión, el tipo de
compresión predeterminado es ZIP.
Ejemplos:
v Para exportar el panel de control que tiene el ID 7 en el directorio actual, escriba el mandato
siguiente:
./contentManagement.pl -a export -c dashboard -i 7
v Para exportar el origen de registro que tiene el ID 70, incluidos los datos acumulados, en el
directorio /store/cmt/exports, escriba el mandato siguiente:
./contentManagement.pl -a export -c sensordevice -i 70 -o /store/cmt/exports -g
Resultados
El contenido se exporta a un archivo .zip comprimido. El archivo exportado podría contener más
elementos de contenido de lo que se esperaba, porque todas las dependencias se exportan con los
elementos de contenido especificados. Por ejemplo, si exporta un informe, también se exporta la
búsqueda guardada que el informe utiliza. Puede cambiar manualmente el nombre de archivo por un
nombre más descriptivo.

Exportación de elementos de contenido personalizado de tipos
diferentes
Exporte varios elementos de contenido personalizado desde IBM Security QRadar, como por ejemplo
reglas personalizadas o paneles de control e informes, mediante el script de gestión de contenido.
Antes de empezar
Debe conocer los identificadores exclusivos de cada elemento de contenido personalizado que desea
exportar. Para obtener información sobre cómo encontrar los identificadores exclusivos de los elementos
de contenido, consulte “Búsqueda de elementos de contenido específicos para exportar” en la página 279.
Procedimiento
2. Cree un archivo de texto que enumere el contenido que desea exportar.
Cada línea debe incluir el tipo de contenido personalizado, seguido de una lista de ID exclusivos
separados por comas para ese tipo.
Ejemplo: Para exportar dos paneles de control que tienen el ID 5 y el ID 7, todas las reglas
personalizadas y un grupo, cree un archivo de texto que tenga las entradas siguientes:
dashboard, 5,7
customrule, all
fgroup, 77
3. Vaya a /opt/qradar/bin y escriba el mandato para exportar el contenido:
./contentManagement.pl -a export -c package -f [archivo_origen]
Parámetros:
Tabla 68. Parámetros del script contentManagement.pl para exportar diferentes tipos de elementos de contenido
-c [tipo_contenido] Especifica el tipo de contenido.
o bien Puede especificar -c package o especificar el texto o el

identificador numérico correspondiente a tipos de contenido
--content-type [tipo_contenido] específicos. Si utiliza -c package, debe especificar los parámetros
--file o --name.
o bien
-f [archivo_origen] Especifica la vía de acceso y el nombre del archivo de paquete
que contiene los elementos de contenido personalizado que
o bien desea exportar.
--file [archivo_origen] La primera vez que se utiliza el parámetro --file, se graba un

archivo de plantilla de paquete en el directorio
/store/cmt/packages para que pueda reutilizarlo.
El nombre de archivo y la vía de acceso son sensibles a las


Tabla 68. Parámetros del script contentManagement.pl para exportar diferentes tipos de elementos de
contenido (continuación)
o bien
--global-view
-n [nombre] Especifica el nombre del archivo de plantilla de paquete que
contiene la lista de contenido personalizado a exportar.
o bien
El archivo de plantilla de paquete se crea la primera vez que se
--name [nombre] utiliza el parámetro --file. De forma predeterminada, el
parámetro --name presupone que el archivo de texto se
encuentra en el directorio /store/cmt/packages.
Debe especificar los parámetros --file o --name si se utiliza

--content-type package.
o bien
no existe, se crea.
-t [tipo_compresión] Especifica el tipo de compresión del archivo de exportación.
o bien Los tipos de compresión válidos son ZIP y TARGZ (sensible a

mayúsculas y minúsculas). Si no especifica un tipo de
--compression-type [tipo_compresión] compresión, el tipo de compresión predeterminado es ZIP.
Ejemplos:
v Para exportar todos los elementos del archivo exportlist.txt del directorio qradar y guardar el
archivo exportado en el directorio actual, escriba el mandato siguiente:
./contentManagement.pl -a export -c package -f /qradar/exportlist.txt
v Para exportar todos los elementos del archivo exportlist.txt del directorio qradar, incluidos los
datos acumulados, y guardar la salida en el directorio /store/cmt/exports, escriba el mandato
siguiente:
./contentManagement.pl -a export -c package
--file /qradar/exportlist.txt -o /store/cmt/exports -g
Cuando se utiliza el parámetro --file, un archivo de plantilla de paquete se genera en

/store/cmt/packages. Para utilizar el archivo de plantilla de paquete, especifique el nombre de
archivo como el valor del parámetro --name.
Resultados
El contenido se exporta a un archivo comprimido .zip. El archivo exportado podría contener más
elementos de contenido de lo que se esperaba, porque todas las dependencias se exportan con los
elementos de contenido especificados. Por ejemplo, si exporta un informe, también se exporta la
búsqueda guardada que el informe utiliza. Puede cambiar manualmente el nombre de archivo por un
nombre más descriptivo.

Instalación de extensiones mediante la Gestión de extensiones
Utilice la herramienta Gestión de extensiones para añadir extensiones de seguridad a IBM Security
QRadar. La herramienta Gestión de extensiones le permite ver los elementos de contenido de la extensión
y especificar el método de manejo de las actualizaciones de contenido antes de instalar la extensión.
Antes de empezar
Las extensiones deben estar en el sistema local antes de instalarlas en QRadar.
Puede descargar extensiones de QRadar desde IBM Security App Exchange (https://
apps.xforce.ibmcloud.com/) y desde IBM Fix Central (www.ibm.com/support/fixcentral/).
Una extensión es un paquete de funciones de QRadar. Una extensión puede incluir contenido como
reglas, informes, búsquedas, conjuntos de referencia y paneles de control. También puede incluir
aplicaciones que mejoran la funcionalidad de QRadar.
Procedimiento
2. En la sección Configuración del sistema, pulse Gestión de extensiones.
3. Para cargar una nueva extensión en la consola de QRadar, siga estos pasos:
a. Pulse Añadir.
b. Pulse Examinar y busque la extensión.
c. Opcional: Pulse Instalar inmediatamente para instalar la extensión sin visualizar el contenido.
d. Pulse Añadir.
4. Para ver el contenido de la extensión, selecciónela en la lista de extensiones y pulse Más detalles.
5. Para instalar la extensión, siga estos pasos:
a. Seleccione la extensión en la lista y pulse Instalar.
b. Para asignar un usuario a la app, haga clic en Selección de usuario en el menú y, a continuación,
elija un usuario. Por ejemplo, puede que desee asociar la app a un determinado usuario que
aparece listado en el menú Selección de usuarios que tiene los permisos definidos.
Nota:
Esta pantalla solo aparece si alguna de las apps en la extensión que va a instalar está configurada
para solicitar la autenticación de los procesos en segundo plano.
c. Si la extensión no incluye una firma digital, o si está firmada, pero la firma no está asociado con la
Autoridad de certificación (CA) de IBM Security), debe confirmar que sigue deseando instalarla.
Pulse Instalar para continuar con la instalación.
d. Revise los cambios realizados por la instalación en el sistema.
e. Seleccione Conservar elementos existentes o Sustituir elementos existentes para especificar cómo
gestionar los elementos de contenido existentes.
Nota: Si la extensión contiene reglas del sistema alteradas temporalmente, seleccione Sustituir
elementos existentes para asegurarse de que las reglas se importan correctamente.
f. Pulse Instalar.
g. Revise el resumen de instalación y pulse Aceptar.
Importación de contenido mediante el script de gestión de contenido

Puede importar contenido personalizado exportado de otro sistema IBM Security QRadar.

Antes de empezar
Si desea importar contenido de otro sistema de QRadar, primero debe exportar el contenido y copiarlo en
el sistema de destino. Para obtener más información sobre la exportación de contenido, consulte la
sección “Identificadores de tipo de contenido para exportar contenido personalizado” en la página 287.
Cuando importe contenido que tengan orígenes de registro, confirme que DSM y los RPM de protocolo
están instalados y actualizados en el sistema de destino.
Nota: Si el contenido tiene reglas del sistema alteradas temporalmente, utilice la acción update en lugar
de import para asegurarse de que las reglas se importan correctamente.
Puede exportar contenido de una versión anterior de QRadar e importarlo a una versión posterior. Sin
embargo, no puede importar contenido de una versión posterior a una versión anterior.
No tiene que exportar contenido en un orden específico. Sin embargo, no inicie varias importaciones en el
mismo sistema al mismo tiempo. Las importaciones fallarán debido a conflictos con los recursos
compartidos.
Procedimiento
2. Vaya al directorio donde se encuentra el archivo de contenido de exportación.
3. Escriba este mandato para importar el contenido:
/opt/qradar/bin/contentManagement.pl -a import -f [archivo_origen] -u [usuario]
Parámetros:
Tabla 69. Parámetros del script contentManagement.pl para la importación de contenido personalizado
-f [archivo_origen] Especifica el archivo que contiene los elementos de contenido
que deben importarse.
o bien
Los tipos de archivo válidos son zip, targz y xml.
--file [archivo_origen]
-u [usuario] Especifica el usuario que sustituye al propietario actual al
importar datos específicos de usuario. El usuario debe existir en
o bien el sistema de destino antes de importar el contenido.
--user [usuario]
Ejemplos:
v Para importar el contenido del archivo fgroup-ContentExport-20120418163707.tar.gz en el
directorio actual, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl --action import
-f fgroup-ContentExport-20120418163707.tar.gz
v Para importar el contenido del archivo fgroup-ContentExport-20120418163707.tar.gz en el
directorio actual y hacer que el usuario admin sea el propietario de todos los datos confidenciales
de la importación, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl --action import
--file fgroup-ContentExport-20120418163707.tar.gz --user admin

El script de importación muestra el siguiente mensaje cuando se recopilan activamente datos de
referencia durante la exportación: Violación de restricción de clave foránea. Para evitar este
problema, ejecute el proceso de exportación cuando no se estén recopilando datos de referencia.
“Actualización del contenido mediante el script de gestión de contenido”
Utilice la acción de actualización para actualizar el contenido existente de IBM Security QRadar o añadir
contenido nuevo al sistema.
Actualización del contenido mediante el script de gestión de contenido

Utilice la acción de actualización para actualizar el contenido existente de IBM Security QRadar o añadir
contenido nuevo al sistema.
Antes de empezar
Si desea actualizar el contenido con contenido que se ha exportado desde otro sistema de QRadar,
asegúrese de que el archivo exportado se encuentra en el sistema de destino. Para obtener más
información sobre la exportación de contenido, consulte la sección “Identificadores de tipo de contenido
para exportar contenido personalizado” en la página 287.
Cuando importe contenido que tengan orígenes de registro, confirme que DSM y los RPM de protocolo
están instalados y actualizados en el sistema de destino.
Puede exportar contenido de una versión anterior de QRadar e importarlo a una versión posterior. Sin
embargo, no puede importar contenido de una versión posterior a una versión anterior.
No tiene que exportar contenido en un orden específico. Sin embargo, no inicie varias importaciones en el
mismo sistema al mismo tiempo. Las importaciones fallarán debido a conflictos con los recursos
compartidos.
Procedimiento
2. Para actualizar el contenido, escriba el mandato siguiente:
/opt/qradar/bin/contentManagement.pl -a update -f [archivo_origen]
Parámetros:
Tabla 70. Parámetros del script contentManagement.pl para la actualización de contenido personalizado
-f [archivo_origen] Especifica el archivo que contiene los elementos de contenido
que deben actualizarse.
o bien
Los tipos de archivo válidos son zip, targz y xml.
--file [archivo_origen]
-u [usuario] Especifica el usuario que sustituye al propietario actual al
importar datos específicos de usuario.
o bien
El usuario debe existir en el sistema de destino antes de
--user [usuario] importar el contenido.
Ejemplo:
v Para realizar una actualización basada en el contenido del archivo fgroup-ContentExport-
20120418163707.zip, especifique el mandato siguiente:

/opt/qradar/bin/contentManagement.pl --action update
-f fgroup-ContentExport-20120418163707.zip
Instalación manual de paquetes de contenido desde IBM Fix Central

Instalar el paquete de contenido mediante la línea de mandatos.
Procedimiento
1. Descargue el paquete de contenido (archivo RPM) desde IBMIBM Fix Central (www.ibm.com/
support/fixcentral).
2. Copie el archivo RPM en QRadar Console.
4. Desde el directorio que contiene el archivo descargado, escriba el mandato siguiente:
rpm -Uvh nombre de archivo
5. Inicie la sesión en QRadar como administrador
7. Seleccione Avanzado > Reiniciar el servidor web.
Identificadores de tipo de contenido para exportar contenido

personalizado
Al exportar un tipo específico de contenido personalizado de IBM Security QRadar, debe especificar el
tipo de contenido. Debe utilizar el identificador de texto o el identificador numérico del tipo de
contenido.
Al exportar contenido desde un dispositivo de QRadar, el script de gestión de contenido comprueba las
dependencias del contenido y después incluye el contenido asociado en la exportación.
Por ejemplo, cuando el script de gestión de contenido detecta que una búsqueda guardada está asociada
con un informe que desea exportar, la búsqueda guardada también se exporta. No puede exportar
búsquedas guardadas de delito, activo o vulnerabilidad.
Debe utilizar el identificador de tipo de contenido cuando desee exportar todo el contenido personalizado
de un tipo específico. Si desea exportar un elemento de contenido específico del despliegue de QRadar,
debe conocer el identificador exclusivo de dicho elemento de contenido específico. Para obtener más
información, consulte el documento “Búsqueda de elementos de contenido específicos para exportar” en
la página 279.
La tabla siguiente describe los identificadores de tipo de contenido que se pasan al script
contentManagement.pl para el parámetro -c.
Tabla 71. Identificadores de tipo de contenido para exportar contenido personalizado
Todo el contenido personalizado all No aplicable
Lista de contenido personalizado package No aplicable
Informes report 10
1
FGroups fgroup 12

Tabla 71. Identificadores de tipo de contenido para exportar contenido personalizado (continuación)
personalizadas
1
Un FGroup es un grupo de contenido, como por ejemplo un grupo de orígenes de registro, un grupo de informes o
un grupo de búsqueda.
Parámetros del script de gestión de contenidos

Utilice el script contentManagement.pl para exportar contenido de un despliegue de IBM Security QRadar
e importarlo en otro despliegue.
La tabla siguiente describe los parámetros del script contentManagement.pl y las acciones a las que se
aplica cada parámetro.
/opt/qradar/bin/contentManagement.pl --action [tipo_acción] [parámetros_script]
Tabla 72. Parámetros del script contentManagement.pl
-a [tipo_acción] Obligatorio. Especifica la acción.
o bien Los tipos de acción válidos son export, search, import y update.
--action [tipo_acción] La acción import añade sólo contenido que no existe en el

despliegue.
-c [tipo_contenido] Se utiliza con las acciones export y search. Especifica el tipo de
contenido.
o bien
Cuando se utiliza con la acción export, puede especificar -c all
--content-type [tipo_contenido] o -c package, o especificar el texto o el identificador numérico
correspondiente a tipos de contenido específicos. Si utiliza -c
package, debe especificar los parámetros --file o --name.
Si se utiliza con la acción search, debe especificar el tipo de

contenido que debe buscarse. No se puede utilizar -c package o
-c all con la acción search.
-d Se utiliza con todas las acciones.
o bien Utilice el registro de nivel de depuración ejecute el script

contentManagement.pl para ver información más detallada, como
--debug los registros de soporte al cliente.

Tabla 72. Parámetros del script contentManagement.pl (continuación)
-e Se utiliza con la acción export.
o bien Establezca este distintivo para incluir elementos y claves de

--include-reference-data-elements
referencia son aplicables al tipo de contenido referencedata.
-f [vía_acceso_archivo] Se utiliza con las acciones export, import y update.
o bien Cuando se utiliza con la acción export, especifica la vía de

acceso y el nombre del archivo de texto que contiene la lista de
--file [vía_acceso_archivo] elementos de contenido personalizado que desea exportar. La
primera vez que se utiliza el parámetro --file, se graba un
archivo de plantilla de paquete en el directorio
/store/cmt/packages para que pueda reutilizarlo.
Cuando se utiliza con las acciones import o update, especifica el

archivo que contiene los elementos de contenido que deben
importarse. Los tipos de archivo válidos son zip, targz y xml.

-g Se utiliza con la acción export.
o bien Incluye datos acumulados en la exportación.
--global-view
-h [tipo_acción] Se utiliza con todas las acciones.
o bien Muestra ayuda específica del tipo_acción. Si no se especifica

ningún tipo_acción, muestra un mensaje de ayuda general.
--help [tipo_acción]
-i [identificador_contenido] Se utiliza con la acción export.
o bien Especifica el identificador de una instancia específica de

--id [identificador_contenido] un conjunto de referencia único. Puede especificar all para
exportar todo el contenido del tipo especificado.
-n [nombre] Se utiliza con la acción export.
o bien Especifica el nombre del archivo de plantilla de paquete que

contiene la lista de contenido personalizado a exportar.
--name [nombre]
El archivo de plantilla de paquete se crea la primera vez que se
utiliza el parámetro --file. El parámetro --name presupone que
el archivo de plantilla de paquete está en el directorio
/store/cmt/packages.
Debe especificar los parámetros --file o --name si se utiliza

--content-type package.

Tabla 72. Parámetros del script contentManagement.pl (continuación)
-o [vía_acceso_archivo] Se utiliza con la acción export.
o bien Especifica la vía de acceso completa al directorio donde se graba

--output-directory [vía_acceso_archivo]
exporta al directorio actual. Si el directorio de salida especificado
no existe, se crea.
-q Se utiliza con todas las acciones. No aparece ninguna salida en
pantalla.
o bien
--quiet
-r [regex] Se utiliza con la acción search.
o bien Al realizar la búsqueda, debe utilizar el parámetro --regex para

especificar el contenido que desea buscar. Se visualizará todo el
--regex [regex] contenido coincidente con la expresión.
-t [tipo_compresión] Se utiliza con la acción export.
o bien Especifica el tipo de compresión del archivo de exportación. Los

tipos de compresión válidos son ZIP y TARGZ (sensible a
--compression-type [tipo_compresión] mayúsculas y minúsculas). Si no especifica un tipo de
compresión, el tipo de compresión predeterminado es ZIP.
-u [usuario] Se utiliza con la acción import.
o bien Especifica el usuario que sustituye al propietario actual al

importar datos específicos de usuario. El usuario debe existir en
--user [usuario] el sistema de destino antes de importar el contenido.
-v Se utiliza con todas las acciones.
o bien Se utiliza cuando se inicia la sesión para ver información de

nivel predeterminado para la herramienta de gestión de
--verbose contenido.

23 Configuración de condiciones de excepción de SNMP
IBM Security QRadar utiliza el agente de Net-SNMP, que da soporte a diversas MIB de supervisión de
recursos del sistema. Se pueden sondear con soluciones de Gestión de red para la supervisión y la
generación de alertas de los recursos del sistema. Para obtener más información sobre Net-SNMP,
consulte la documentación de Net-SNMP.
En IBM Security QRadar, puede configurar una regla para generar una respuesta de regla que envíe una
condición de excepción de SNMP cuando se cumplen las condiciones configuradas. QRadar actúa como
agente para enviar las condiciones de excepción de SNMP a otro sistema.
Una excepción de SNMP (protocolo simple de gestión de red) es una notificación de un suceso o un
delito que QRadar envía a un host SNMP configurado para efectuar un proceso adicional.
Personalice los parámetros de configuración de SNMP en el asistente de reglas personalizadas y

modifique las condiciones de excepción de SNMP que el motor de reglas personalizadas envía a otro
software para su gestión. QRadar proporciona dos condiciones de excepción predeterminadas. Sin
embargo, puede añadir condiciones de excepción personalizadas o modificar las condiciones de excepción
existentes para utilizar nuevos parámetros.
Para obtener más información sobre SNMP, consulte el sitio web The Internet Engineering Task Force
(http://www.ietf.org/) y escriba RFC 1157 en el campo de búsqueda.
Personalización de la información de condiciones de excepción de

SNMP enviada a otro sistema
En IBM Security QRadar, puede editar los parámetros de condición de excepción de SNMP para
personalizar la información que se envía a otro sistema de gestión de SNMP cuando una condición de
regla se cumple.
Restricción: Los parámetros de condición de excepción de SNMP se visualizan en el asistente de reglas

personalizadas únicamente si SNMP está habilitado en los valores del sistema de QRadar.
Procedimiento
2. Vaya al directorio /opt/qradar/conf y realice copias de seguridad de los archivos siguientes:
v eventCRE.snmp.xml
v offenseCRE.snmp.xml
3. Abra el archivo de configuración para su edición.
v Para editar los parámetros de SNMP para las reglas de suceso, abra el archivo eventCRE.snmp.xml.
v Para editar los parámetros de SNMP para las reglas de delito, abra el archivo offenseCRE.snmp.xml.
4. Dentro del elemento <snmp> y antes del elemento <creSNMPTrap>, inserte la siguiente sección,
actualizando las etiquetas como sea necesario:

<creSNMPResponse name="snmp_response_1">
<custom name="MyColor">
<string label="What is your favorite color?"/>
</custom>
<custom name="MyCategory">
<list label="Select a category">
<option label="Label1" value="Category1"/>
<option label="Label2" value="Category2"/>
</list>
</custom>
</creSNMPResponse>
6. Copie el archivo del directorio /opt/qradar/conf en el directorio /store/configservices/staging/
globalconfig.
7. Inicie la sesión en la interfaz de QRadar.
Personalice la salida de condiciones de excepción de SNMP.
Personalización de la salida de las condiciones de excepción de SNMP

IBM Security QRadar utiliza SNMP para enviar condiciones de excepción que proporcionan información
cuando se cumplen las condiciones de las reglas.
De forma predeterminada, QRadar utiliza la MIB (Management Information Base) de QRadar para
gestionar los dispositivos de la red de comunicaciones. Sin embargo, puede personalizar la salida de las
condiciones de excepción de SNMP para adherirse a otra MIB.
Procedimiento
v eventCRE.snmp.xml
v Para editar los parámetros de SNMP para las reglas de delito, abra el archivo
offenseCRE.snmp.xml.
4. Para cambiar la condición de excepción que se utiliza para la notificación de excepciones de SNMP,
actualice el texto siguiente con el identificador de objeto de condición de excepción (OID) adecuado:
-<creSNMPTrap version="3" OID="1.3.6.1.4.1.20212.1.1"
name="eventCRENotification">
5. Utilice la tabla siguiente como ayuda para actualizar la información de enlace de variable:
Cada enlace de variable asocia una instancia de objeto MIB determinada con su valor actual.

Tabla 73. Tipos de valores para el enlace de variable
Tipo de
valor Descripción Ejemplo
string Caracteres alfanuméricos
Puede configurar varios

valores.
integer32 Valor numérico name="ATTACKER_PORT"
type="integer32">%ATTACKER_PORT%
oid Cada condición de OID="1.3.6.1.4.1.20212.2.46"
excepción de SNMP
contiene un identificador
que se asigna a un objeto
dentro de la MIB
gauge32 Rango de valores
numéricos
counter64 Valor numérico que se
incrementa dentro de un
rango de mínimo y
máximo definido
6. Para cada uno de los tipos de valores, incluya cualquiera de los campos siguientes:
Tabla 74. Campos para los enlaces de variable
Campo Descripción Ejemplo
Native Para obtener más Ejemplo: 1Si el tipo de valor es ipAddress, debe utilizar una variable
información sobre estos que sea una dirección IP. El tipo de valor de serie (string) acepta
campos, consulte el archivo cualquier formato.
/opt/qradar/conf/
snmp.help.
Custom Información de condición de Ejemplo: 1Si ha utilizado la información de archivo predeterminado y
excepción de SNMP desea incluir esta información en la condición de excepción de SNMP,
personalizada que ha incluya el código siguiente:
configurado para el asistente <variableBinding name="My Color Variable Binding"
de reglas personalizadas OID="1.3.6.1.4.1.20212.3.1" type="string">
My favorite color
is %MyColor%</variableBinding>
1
Encierre el nombre de campo con signos de porcentaje (%). Dentro de los signos de porcentaje, los campos deben
coincidir con el tipo de valor.

globalconfig.
11. Seleccione Avanzado > Desplegar configuración completa.
23 Configuración de condiciones de excepción de SNMP 293

Adición de una condición de excepción de SNMP a QRadar
En los productos IBM Security QRadar, puede crear una nueva opción para la selección de condición de
excepción de SNMP en el asistente de reglas personalizadas. Los nombres de condición de excepción que
se especifican en el cuadro de lista están configurados en el archivo de configuración snmp-master.xml.
Procedimiento
2. Vaya al directorio /opt/qradar/conf.
3. Cree un archivo de valores de SNMP para la nueva condición de excepción.
Consejo: Copie, renombre y modifique uno de los archivos de valores de SNMP existentes.
4. Haga una copia de seguridad del archivo snmp-master.xml.
5. Abra el archivo snmp-master.xml para su edición.
6. Añada un nuevo elemento <include>.
El elemento <include> tiene los siguientes atributos:
Tabla 75. Atributos del elemento <include>
Atributo Descripción
name Mostrado en el recuadro de lista
uri Nombre del archivo de valores de SNMP personalizado
Ejemplo:
<include name="Custom_Event_Name" uri="customSNMPdef01.xml"/>
Las condiciones de excepción se visualizan en el menú en el mismo orden en que están listadas en el
archivo snmp-master.xml.
globalconfig.
9. Inicie la sesión en la interfaz de QRadar.
Envío de condiciones de excepción de SNMP a un host específico

De forma predeterminada, en los productos de IBM Security QRadar, las condiciones de excepción de
SNMP se envían al host que está identificado en el archivo host.conf. Puede personalizar el archivo
snmp.xml para enviar las condiciones de excepción de SNMP a otro host.
Procedimiento
v eventCRE.snmp.xml

v Para editar los parámetros de SNMP para las reglas de delito, abra el archivo
offenseCRE.snmp.xml.
4. Añada un solo elemento <trapConfig> en el elemento <snmp> dentro del elemento <creSNMPTrap>
antes de cualquier otro elemento hijo.
<trapConfig>

<snmpHost snmpVersion="3" port="162" retries="2" timeout="500">HOST
</snmpHost>

<communityString>COMMUNITY_STRING</communityString>

<authentication authenticationProtocol="MD5"securityLevel="AUTH_PRIV">
AUTH_PASSWORD
</authentication>

<decryption decryptionProtocol="AES256">
DECRYPTIONPASSWORD
</decryption>

<user> SNMP_USER </user>
</trapConfig>
5. Utilice la tabla siguiente como ayuda para actualizar los atributos.
Tabla 76. Valores de atributo para actualizar en el elemento <trapConfig>
Elemento Descripción
</snmpHost> Nuevo host al que desea enviar las condiciones de
excepción de SNMP.
El valor del atributo snmpVersion para <snmpHost> debe

ser 2 ó 3.
<communityString> Serie de comunidad para el host
<authentication> Protocolo de autenticación, nivel de seguridad y
contraseña para el host.
<decryption> Protocolo de descifrado y contraseña para el host.
<usuario> Usuario de SNMP

globalconfig.
23 Configuración de condiciones de excepción de SNMP 295

24 Proteger datos confidenciales
Configure un perfil de ofuscación de datos para impedir el acceso no autorizado a información
confidencial o que permita identificar a usuarios en IBM Security QRadar.
Ofuscación de datos es el proceso de ocultar estratégicamente datos de los usuarios de QRadar. Puede
ocultar propiedades personalizadas, propiedades normalizadas, como por ejemplo los nombres de
usuario, o puede ocultar el contenido de una carga útil, como por ejemplo los números de tarjeta de
crédito y de la seguridad social.
Las expresiones del perfil de ofuscación de datos se evalúan contra las propiedades de carga útil y
normalizadas. Si los datos coinciden con la expresión de ofuscación, se ocultan en QRadar. Los usuarios
que intentan consultar la base de datos directamente no pueden ver los datos sensibles. Los datos deben
devolverse a su formato original, o desofuscarse, cargando la clave privada que se ha generado al crear el
perfil de ofuscación de datos.
Para garantizar que QRadar pueda seguir correlacionado los valores de datos ocultos, el proceso de
ofuscación es determinista. Visualiza el mismo conjunto de caracteres cada vez que se encuentra el valor
de datos.
¿Cómo funciona la ofuscación de datos?

Antes de configurar la ofuscación de datos en el despliegue de IBM Security QRadar, debe entender
cómo funciona para delitos, activos, reglas y extensiones de origen de registro nuevos y existentes.
Datos de suceso existentes
Cuando un perfil de ofuscación de datos está habilitado, el sistema enmascara los datos de cada suceso
conforme QRadar los recibe. Los sucesos recibidos por el dispositivo antes de la configuración de la
ofuscación de datos permanecen en el estado no ofuscado original. Los datos de suceso más antiguos no
se enmascaran y los usuarios pueden ver la información.
Activos
Cuando la ofuscación de datos está configurada, el modelo de activo acumula datos enmascarados
mientras los datos de modelo de activo preexistente permanecen enmascarados.
Para impedir que alguien utilice datos enmascarados para rastrear la información ofuscada, depure los
datos de modelo de activo para eliminar los datos enmascarados. QRadar repoblará las bases de datos
activos con valores ofuscados.
Delitos
Para asegurarse de que los delitos no visualicen datos enmascarados previamente, cierre todos los delitos
existentes restableciendo el modelo SIM. Para obtener más información, consulte el documento
“Restablecimiento de SIM” en la página 74.

Reglas
Debe actualizar reglas que dependen de datos enmascarados anteriormente. Por ejemplo, las reglas
basadas en un nombre de usuario no se activan cuando el nombre de usuario está ofuscado.
Extensiones de origen de registro
Las extensiones de origen de registro que cambian el formato de la carga útil de suceso pueden provocar
problemas con la ofuscación de datos.
Perfiles de ofuscación de datos

El perfil de ofuscación de datos contiene información sobre qué datos enmascarar. También hace un
seguimiento del almacén de claves necesario para descifrar los datos.
Perfiles habilitados
Habilite un perfil solo cuando esté seguro de que las expresiones se dirigen correctamente a los
datos que desea ofuscar. Si desea probar la expresión regular antes de habilitar el perfil de
ofuscación de datos, puede crear una propiedad personalizada basada en una expresión regular.
Un perfil habilitado empieza inmediatamente a ofuscar datos según la definición de las
expresiones habilitadas en el perfil. El perfil habilitado queda automáticamente bloqueado. Solo el
usuario que tiene la clave privada puede inhabilitar o cambiar el perfil una vez que éste se ha
habilitado.
Para garantizar que los datos ocultos puedan volver a rastrearse en un perfil de ofuscación, no
puede suprimir un perfil habilitado, incluso aunque lo inhabilite.
Perfiles bloqueados
Un perfil queda automáticamente bloqueado cuando lo habilita o puede bloquearlo
manualmente.
Un perfil bloqueado tiene las restricciones siguientes:
v No puede editarlo.
v No puede habilitarlo o inhabilitarlo. Debe proporcionar el almacén de claves y desbloquear el
perfil para poder cambiarlo.
v No puede suprimirlo, incluso después de haberlo desbloqueado.
v Si se utiliza un almacén de claves con un perfil bloqueado, el resto de perfiles que utilizan el
almacén de claves se bloquea automáticamente.
La tabla siguiente muestra ejemplos de perfiles bloqueados o desbloqueados:
Tabla 77. Ejemplos de perfil bloqueado
Escenario Resultado
El perfil A está bloqueado. Se creó mediante el almacén de claves A. El perfil B queda automáticamente
bloqueado.
El perfil B también se creó mediante el almacén de claves A.
El perfil A se ha creado y habilitado. El perfil A queda automáticamente
bloqueado.
El perfil A, el perfil B y el perfil C están actualmente bloqueados. El perfil A, el perfil B y el perfil C quedan
Todos se crearon mediante el almacén de claves A. todos desbloqueados.
El perfil B está seleccionado y se pulsa Bloquear/desbloquear.

Expresiones de ofuscación de datos
Las expresiones de ofuscación de datos identifican los datos a ocultar. Puede crear expresiones de
ofuscación de datos basadas en propiedades basadas en campo o utilizar expresiones regulares.
Propiedades basadas en campo
Utilice una propiedad basada en campo para ocultar nombres de usuario, nombres de grupo y nombres
de NetBIOS. Las expresiones que utilizan propiedades basadas en campo ofuscan todas las instancias de
la serie de datos. Los datos se ocultan independientemente de su origen de datos, el tipo de origen de
registro, el nombre de suceso o la categoría de suceso.
Si el mismo valor de datos está presente en más de uno de los campos, los datos se ofuscan en todos los
campos que los contienen, incluso si ha configurado el perfil para ofuscar solo uno de los cuatro campos.
Por ejemplo, si tiene un host denominado IBMHost y un grupo denominado IBMHost, el valor IBMHost se
oculta tanto en el campo de nombre de host como en el campo de nombre de grupo aunque el perfil de
ofuscación de datos esté configurado para ocultar sólo nombres de host.
Expresiones regulares
Utilice una expresión regular para ocultar una serie de datos de la carga útil. Los datos sólo se ocultan si
coinciden con el origen de registro, el tipo de origen de registro, el nombre de suceso o la categoría
definidos en la expresión.
Puede utilizar categorías de alto y de bajo nivel para crear una expresión regular que se más específica
que una propiedad basada en campo. Por ejemplo, puede utilizar los patrones de regex siguientes para
analizar nombres de usuario:
Tabla 78. Análisis de nombre de usuario de expresión regular
Ejemplo de patrones de expresión regular Coincide con
usrName=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z])*@([0-9 john_smith@IBM.com, jon@ibm.com,
a-zA-Z][-\w]*[0-9a-zA-Z]\.)+[a-zA-Z]{2,20})$ jon@us.ibm.com
usrName=(^([\w]+[^\W])([^\W]\.?)([\w]+[^\W]$)) john.smith, John.Smith, john,
jon_smith
usrName=^([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\S]$|^([a johnsmith, Johnsmith123,
-zA-Z])[0-9_-]*[\S]$|^[a-zA-Z]*[\S]$ john_smith123, john123_smith,
john-smith
usrName=(/S+) Coincide con cualquier carácter que
no sea un espacio en blanco después
del signo igual, =. Esta expresión
regular no es específica y puede
generar problemas de rendimiento del
sistema.
msg=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z]))*@\b(([01] Coincide con los usuarios que tienen
?\d?\d|2[0-4]\d|25[0-5])\.){3}([01]?\d?\d|2[0-4 dirección IP. Por ejemplo,
]\d|25[0-5])\b john.smith@1.1.1.1
src=\b(([01]?\d?\d|2[0-4]\d|25[0-5])\.){3}([01] Coincide con los formatos de
?\d?\d|2[0-4]\d|25[0-5])\b dirección IP.
host=^(([a-zA-Z0-9]|[a-zA-Z0-9][a-zA-Z0-9\-]*[a hostname.ibm.com, hostname.co.uk,
-zA-Z0-9])\.)*([A-Za-z0-9]|[A-Za-z0-9][A-Za-z0-
9\-]*[A-Za-z0-9])$
24 Proteger datos confidenciales 299

Escenario: Ocultación de nombres de usuario
El usuario es administrador de IBM Security QRadar. Su organización tiene un acuerdo con el sindicato
de trabajadores que estipula que toda la información identificable del personal debe quedar oculta a los
usuarios de QRadar. El usuario desea configurar QRadar para que oculte todos los nombres de usuario.
Utilice la función Gestión de ofuscación de datos de la pestaña Admin para configurar QRadar a fin de
ocultar los datos:
1. Cree un perfil de ofuscación de datos y descargue la clave privada generada por el sistema. Guarde la
clave en una ubicación segura.
2. Cree las expresiones de ofuscación de datos destinadas a los datos que desea ocultar.
3. Habilite el perfil de modo que el sistema empiece a ofuscar los datos.
4. Para leer los datos en QRadar, cargue la clave privada para desofuscar los datos.
Creación de un perfil de ofuscación de datos

IBM Security QRadar utiliza los perfiles de ofuscación de datos para determinar qué datos se enmascaran
y para asegurarse de que se utiliza el almacén de datos correcto para desenmascarar los datos.
Puede crear un perfil que cree un almacén de claves o puede utilizar un almacén de claves existente. Si
crea un almacén de claves, debe descargarlo y almacenarlo en una ubicación segura. Elimine el almacén
de claves del sistema local y almacénelo en una ubicación a la que solo puedan acceder los usuarios
autorizados para ver los datos desenmascarados.
La configuración de perfiles que utilizan diferentes almacenes de claves diferentes es útil cuando desea
limitar el acceso a los datos a diferentes grupos de usuarios. Por ejemplo, cree dos perfiles que utilicen
diferentes almacenes de claves cuando desee que un grupo de usuarios vea nombres de usuario y que
otro grupo de usuarios vea nombres de host.
Procedimiento
2. En la sección Orígenes de datos, pulse Gestión de ofuscación de datos.
3. Para crear un perfil nuevo, pulse Añadir y teclee un nombre exclusivo y una descripción para el
perfil.
4. Para crear un almacén de claves para el perfil, siga estos pasos:
a. Pulse Almacén de claves generado por el sistema.
b. En el cuadro de lista Proveedor, seleccione IBMJCE.
c. En el cuadro de lista Algoritmo, seleccione JCE y seleccione si desea generar claves de cifrado de
512 bit o 1024 bits. En el cuadro Nombre común de certificado de almacén de claves, el nombre
de dominio totalmente calificado para el servidor QRadar se llena automáticamente.
d. En el cuadro Contraseña de almacén de claves, especifique la contraseña del almacén de claves.
La contraseña de almacén de claves es necesaria para proteger la integridad de éste. La contraseña
debe tener 8 caracteres de longitud como mínimo.
e. En Verificar contraseña de almacén de claves, vuelva a teclear la contraseña.
5. Para utilizar un almacén de claves existente con el perfil, siga estos pasos:
a. Pulse Almacén de claves de carga.
b. Pulse Examinar y seleccione el archivo de almacén de claves.
c. En el cuadro Contraseña de almacén de claves, teclee la contraseña para el almacén de claves.
6. Pulse Enviar.

7. Descargue el almacén de claves. Elimine el almacén de claves del sistema y almacénelo en una
ubicación segura.
Cree las expresiones de ofuscación de datos destinadas a los datos que desea enmascarar.
Creación de expresiones de ofuscación de datos

El perfil de ofuscación de datos utiliza expresiones para especificar los datos que deben ocultarse. Las
expresiones pueden utilizar propiedades basadas en campo o expresiones regulares.
Una vez creada una expresión, no puede cambiar el tipo. Por ejemplo, no puede crear una expresión
basada en propiedad y cambiarla posteriormente por una expresión regular.
No puede ofuscar un campo numérico normalizado como por ejemplo un número de puerto o una
dirección IP.
Varias expresiones que ofuscan los mismos datos hacen que los datos se ofusquen dos veces. Para
descifrar datos que se han ofuscado varias veces, cada almacén de claves que se utiliza en el proceso de
ofuscación se debe aplicar por el orden en el que se ha producido la ofuscación.
Procedimiento
2. En la sección Orígenes de datos, pulse Gestión de ofuscación de datos.
3. Pulse el perfil que desea configurar y pulse Ver contenido. No puede configurar perfiles que estén
bloqueados.
4. Para crear una expresión de ofuscación de datos nueva, pulse Añadir y teclee un nombre exclusivo y
una descripción para el perfil.
5. Marque el recuadro de selección Habilitado para habilitar el perfil.
6. Para crear una expresión basada en campo, pulse Basado en campo y seleccione el tipo a ofuscar.
7. Para crear una expresión regular, pulse RegEx y configure las propiedades de regex.
8. Pulse Guardar.
Desofuscación de datos para que se puedan ver en la consola

Cuando la ofuscación de datos está configurada en un sistema de IBM Security QRadar, se muestra la
versión enmascarada de los datos en toda la aplicación. Debe tener tanto el almacén de claves como la
contraseña correspondientes para desofuscar los datos de modo que puedan verse.
Antes de empezar
Debe tener la clave privada y la contraseña de la clave para poder desofuscar los datos. La clave privada
debe estar en el sistema local.
Para poder ver los datos ofuscados, debe cargar la clave privada. Una vez cargada la clave, permanece
disponible en el sistema durante la sesión actual. La sesión finaliza cuando el usuario concluye QRadar,
cuando se borra la memoria caché en la QRadar Console o cuando hay un periodo de inactividad
prolongado. Cuando la sesión finaliza, las claves privadas cargadas en la sesión anterior ya no son
visibles.

QRadar puede utilizar las claves disponibles en la sesión actual para desofuscar los datos
automáticamente. Con la desofuscación automática habilitada, no tiene que seleccionar repetidamente la
clave privada en la ventana Clave de sesión de ofuscación cada vez que desea ver los datos. La
desofuscación automática está inhabilitada automáticamente cuando termina la sesión actual.
Procedimiento
1. En la página Detalles del suceso, busque los datos que desea desofuscar.
2. Para desofuscar datos basados en identidad:
a. Pulse el icono del candado situado junto a los datos que desea desofuscar.
b. En la sección Clave de carga, pulse Seleccionar archivo y seleccione el almacén de claves a cargar.
c. En el recuadro Contraseña, teclee la contraseña que coincide con el almacén de claves.
d. Pulse Cargar.
La ventana Desofuscación muestra la carga útil de suceso, los nombres de perfil asociados con el
almacén de claves, el texto ofuscado y el texto desofuscado.
e. Opcional: Pulse Conmutar desofuscación automática para habilitar la desofuscación automática.
Después de conmutar el valor de desofuscación automática, debe renovar la ventana del
navegador y volver a cargar la página de detalles de suceso para que los cambios aparezcan.
3. Para desofuscar datos de carga útil no basados en la identidad:
a. En la barra de herramientas de la página Detalles del suceso, pulse Ofuscación > Claves de
desofuscación.
b. En la sección Clave de carga, pulse Seleccionar archivo y seleccione la clave privada a cargar.
c. En el recuadro Contraseña, teclee la contraseña que coincide con la clave privada y pulse Cargar.
d. En el recuadro Información de carga útil, seleccione y copie el texto ofuscado en el portapapeles.
e. En la barra de herramientas de la página Detalles del suceso, pulse Ofuscación > Desofuscación.
f. Pegue el texto ofuscado en el cuadro de diálogo.
g. Seleccione el perfil de ofuscación en la lista desplegable y pulse Desofuscar.
Edición o inhabilitación de las expresiones de ofuscación creadas en

releases anteriores
Cuando actualiza a IBM Security QRadar V7.2.6, las expresiones de ofuscación de datos creadas en
releases anteriores se retoman automáticamente y siguen ofuscando datos. Estas expresiones aparecen en
un solo perfil de ofuscación de datos llamado AutoGeneratedProperty.
Aunque puede ver las expresiones, no puede editar o inhabilitar expresiones de ofuscación de datos
creadas en versiones anteriores. Debe inhabilitarlas manualmente y crear un perfil de ofuscación de datos
que contenga las expresiones revisadas.
Para inhabilitar una expresión antigua, debe editar el archivo de configuración xml que define los
atributos para la expresión. A continuación puede ejecutar el script obfuscation_updater.sh para
inhabilitarlo.
Asegúrese de inhabilitar expresiones antiguas antes de crear expresiones nuevas que ofusquen los
mismos datos. Varias expresiones que ofuscan los mismos datos hacen que los datos se ofusquen dos
veces. Para descifrar datos que se han ofuscado varias veces, cada almacén de claves que se utiliza en el
proceso de ofuscación se debe aplicar por el orden en el que se ha producido la ofuscación.
Procedimiento
1. Utilice SSH para iniciar la sesión en la consola de QRadar como usuario root.

2. Edite el archivo de configuración .xml de expresiones de ofuscación creado cuando configuró las
expresiones.
3. Para cada expresión que desea inhabilitar, cambie el atributo Habilitado por false.
4. Para inhabilitar las expresiones, ejecute el script obfuscation_updater.sh tecleando el mandato
siguiente:
obfuscation_updater.sh [-p <vía_acceso_a_clave_privada>] [-e
<vía_accesp_a_archivo_config_xml_ofuscación>]
El script obfuscation_updater.sh está en el directorio /opt/qradar/bin pero puede ejecutar el script
desde cualquier directorio de la consola QRadar.
Cree un perfil de ofuscación de datos para ocultar los datos y gestionar expresiones de ofuscación
directamente en QRadar.

25 Archivos de registro
Las operaciones realizadas en IBM Security QRadar se registran en archivos de registro a efectos de
seguimiento. Los archivos de registro pueden ayudarle a resolver problemas al registrar las actividades
que tienen lugar cuando trabaja con un producto.
Los archivos de registro siguientes pueden ayudarle a identificar y resolver problemas cuando se
producen:
v /var/log/qradar.log
v /var/log/qradar.error
v /var/log/qradar-sql.log
v /opt/tomcat6/logs/catalina.out
v /var/log/qflow.debug
Si desea recopilar los archivos de registro QRadar y revisarlo posteriormente, consulte “Recopilación de
archivos de registro” en la página 73.
Registros de auditoría
Los cambios que realizan los usuarios de IBM Security QRadar se registran en registros de auditoría.
Todos los registros de auditoría se almacenan en texto sin formato y se archivan y se comprimen cuando
alcanzan un tamaño de 200 MB. El archivo de registro actual se denomina audit.log. Cuando el archivo
alcanza los 200 MB, se comprime y se le cambia el nombre por audit.1.gz. El número del archivo se
incrementa cada vez que se archiva un archivo de registro. QRadar almacena hasta 50 archivos de
registro archivados.
Visualización del archivo de registro de auditoría

Utilice SSH (Secure Shell) para iniciar la sesión en el sistema de IBM Security QRadar y supervisar los
cambios aplicados al sistema.

Puede utilizar la pestaña Actividad de registro para ver los sucesos de registro de auditoría
normalizados.
El tamaño máximo de cualquier mensaje de auditoría, excluidos la fecha, la hora y el nombre de host, es
de 1024 caracteres.
Cada entrada del archivo de registro se visualiza con el formato siguiente:
<fecha_hora> <nombre host> <usuario>@<dirección IP> (ID hebra) [<categoría>] [<subcategoría>]

[<acción>] <carga útil>

En la tabla siguiente se describen las opciones de formato del archivo de registro.
Tabla 79. Descripción de las partes del formato del archivo de registro
Parte del formato del archivo Descripción
fecha_hora Fecha y hora de la actividad con el formato: Fecha del
mes HH:MM:SS
nombre host Nombre de host de la consola en la que se ha registrado
esta actividad.
usuario Nombre del usuario que ha cambiado los valores.
dirección IP Dirección IP del usuario que ha cambiado los valores.
ID hebra Identificador de la hebra de Java™ que ha registrado esta
actividad.
categoría Categoría de nivel alto de esta actividad.
subcategoría Categoría de nivel bajo de esta actividad.
acción Actividad que se ha producido.
carga útil Registro completo, que puede incluir el registro de
usuario o la regla de suceso, que ha cambiado.
Procedimiento
1. Inicie, mediante SSH, la sesión en QRadar como usuario root:
2. Nombre de usuario: root
3. Contraseña: contraseña
4. Vaya al directorio siguiente:
/var/log/audit
5. Abra y consulte el archivo de registro de auditoría.
Acciones registradas
Los registros de auditoría de IBM Security QRadar están en el directorio /var/log/audit.
En la lista siguiente se describen las categorías de acciones que existen en el archivo de registro de
auditoría:
Autenticación del administrador
v Iniciar una sesión en la Consola de administración.
v Cerrar sesión de la consola de administración
Activos
v Suprimir un activo
v Suprimir todos los activos
Acceso del registro de auditoría
Búsqueda que incluye sucesos que tienen una categoría de suceso de nivel alto de Auditoría.
Copia de seguridad y recuperación
v Editar la configuración
v Iniciar la copia de seguridad
v Completar la copia de seguridad
v Copia de seguridad fallida
v Suprimir la copia de seguridad
v Sincronizar la copia de seguridad

v Cancelar la copia de seguridad
v Cargar una copia de seguridad
v Cargar una copia de seguridad no válida
v Iniciar la restauración
v Purgar la copia de seguridad
Configuración del gráfico
Guardar configuración del gráfico de flujos o sucesos
Gestión de contenidos
v Exportación de contenido iniciada.
v Exportación de contenido completada.
v Importación de contenido iniciada.
v Importación de contenido completada.
v Actualización de contenido iniciada.
v Actualización de contenido completada.
v Búsqueda de contenido iniciada.
v Aplicaciones añadidas.
v Aplicaciones modificadas.
v Acciones personalizadas añadidas.
v Acciones personalizadas modificadas.
v Propiedad Ariel añadida.
v Propiedad Ariel modificada.
v Expresión de propiedad Ariel añadida.
v Expresión de propiedad Ariel modificada.
v Regla CRE añadida.
v Regla CRE modificada.
v Panel de control añadido.
v Panel de control modificado.
v Extensión de dispositivo añadida.
v Extensión de dispositivo modificada.
v Asociación de extensión de dispositivo modificada.
v Agrupación añadida.
v Agrupación modificada.
v Perfil de correlación histórica añadido.
v Perfil de correlación histórica modificado.
v Entrada de correlación de QID añadida.
v Entrada de correlación de QID modificada.
v Datos de referencia creados.
v Datos de referencia actualizados.
v Perfil de seguridad añadido.
v Perfil de seguridad modificado.
v Dispositivo de sensor añadido.
v Dispositivo de sensor modificado.
v Añadir una propiedad de suceso personalizada
25 Archivos de registro 307

v Editar una propiedad de suceso personalizada
v Suprimir una propiedad de suceso personalizada
v Editar una propiedad de flujo personalizada
v Suprimir una propiedad de flujo personalizada
Expresiones de propiedad personalizada
v Añadir una expresión de propiedad de suceso personalizada
v Editar una expresión de propiedad de suceso personalizada
v Suprimir una expresión de propiedad de suceso personalizada
v Añadir una expresión de propiedad de flujo personalizada
v Editar una expresión de propiedad de flujo personalizada
v Suprimir una expresión de propiedad de flujo personalizada
Orígenes de flujo
v Añadir un origen de flujo
v Editar un origen de flujo
v Suprimir un origen de flujo
Grupos
v Añadir un grupo
v Suprimir un grupo
v Editar un grupo
Correlación histórica
v Añadir un perfil de correlación histórica.
v Suprimir un perfil de correlación histórica.
v Modificar un perfil de correlación histórica.
v Habilitar un perfil de correlación histórica.
v Inhabilitar un perfil de correlación histórica.
v El perfil de correlación histórica se está ejecutando.
v El perfil de correlación histórica está cancelado.
Licencias
v Añadir una clave de licencia
v Suprimir una clave de licencia
v Suprimir asignación de agrupación de licencias,
v Actualizar asignación de agrupación de licencias,
Extensión de origen de registro
v Añadir una extensión de origen de registro
v Editar la extensión de origen de registro
v Suprimir una extensión de origen de registro
v Cargar una extensión de origen de registro
v Cargar una extensión de origen de registro satisfactoriamente
v Cargar una extensión de origen de registro no válida
v Descargar una extensión de origen de registro
v Informar de una extensión de origen de registro
v Modificar una asociación de orígenes de registro con un dispositivo o tipo de dispositivo
Delitos

v Ocultar un delito
v Cerrar un delito
v Cerrar todos los delitos
v Añadir una nota de destino
v Añadir una nota de origen
v Añadir una nota de red
v Añadir una nota de delito
v Añadir una razón de cierre de delitos
v Editar una razón de cierre de delitos
Configuración de protocolo
v Añadir una configuración de protocolo
v Suprimir una configuración de protocolo
v Editar una configuración de protocolo
QIDmap
v Añadir una entrada de correlación de QID
v Editar una entrada de correlación de QID
IBM Security QRadar Vulnerability Manager
v Crear una planificación de explorador
v Actualizar una planificación de explorador
v Suprimir una planificación de explorador
v Iniciar una planificación de explorador
v Hacer una pausa en una planificación de explorador
v Reanudar una planificación de explorador
Conjuntos de referencia
v Crear un conjunto de referencia
v Editar un conjunto de referencia
v Purgar elementos en un conjunto de referencia
v Suprimir un conjunto de referencia
v Añadir elementos de conjunto de referencia
v Suprimir elementos de conjunto de referencia
v Suprimir todos los elementos de conjunto de referencia
v Importar elementos de conjunto de referencia
v Exportar elementos de conjunto de referencia
Informes
v Añadir una plantilla
v Suprimir una plantilla
v Editar una plantilla
v Generar un informe
v Suprimir un informe
v Suprimir contenido generado
v Ver un informe generado
v Enviar por correo electrónico un informe generado
Grupos de retención
v Añadir un grupo

v Suprimir un grupo
v Editar un grupo
v Habilitar o inhabilitar un grupo
Inicio de sesión de root
v Iniciar sesión en QRadar como usuario root.
v Cerrar sesión en QRadar como usuario root.
Reglas
v Añadir una regla
v Suprimir una regla
v Editar una regla
Explorador
v Añadir un explorador
v Suprimir un explorador
v Editar un explorador
Planificación de explorador
v Añadir una planificación
v Editar una planificación
v Suprimir una planificación
Autenticación de sesión
v Crear una sesión de administración
v Terminar una sesión de administración
v Denegar una sesión de autenticación no válida
v Hacer caducar una autenticación de sesión
v Crear una sesión de autenticación
v Terminar una sesión de autenticación
SIM Limpiar un modelo SIM.
Almacenar y reenviar
v Añadir una planificación de Almacenar y reenviar
v Editar una planificación de Almacenar y reenviar
v Suprimir una planificación de Almacenar y reenviar
Reenvío de Syslog
v Añadir un reenvío de syslog
v Suprimir un reenvío de syslog
v Editar un reenvío de syslog
Gestión de sistemas
v Concluir un sistema
v Reiniciar un sistema
Cuentas de usuario
v Añadir una cuenta
v Editar una cuenta
v Suprimir una cuenta
Autenticación de usuario
v Iniciar sesión en la interfaz de usuario

v Cerrar sesión de la interfaz de usuario
Autenticación de usuario - Ariel
v Denegar un intento de inicio de sesión
v Añadir una propiedad de Ariel
v Suprimir una propiedad de Ariel
v Editar una propiedad de Ariel
v Añadir una extensión de propiedad de Ariel
v Suprimir una extensión de propiedad de Ariel
v Editar una extensión de propiedad de Ariel
Roles de usuario
v Añadir un rol
v Editar un rol
v Suprimir un rol
VIS
v Descubrir un host nuevo
v Descubrir un sistema operativo nuevo
v Descubrir un puerto nuevo
v Descubrir una vulnerabilidad nueva

26 Categorías de sucesos
Las categorías de sucesos se utilizan para agrupar los sucesos de entrada para que IBM Security QRadar
los procese. En las categorías de sucesos se pueden realizar búsquedas; estas categorías le ayudan a
supervisar la red.
Los sucesos que se producen en la red se agregan a categorías de nivel alto y bajo. Cada categoría de
nivel alto contiene categorías de nivel bajo y un nivel de gravedad y un número de ID asociados.
Puede revisar los niveles de gravedad que están asignados a los sucesos y ajustarlos para que se adapten
a las necesidades de su política corporativa.
Puede ejecutar una consulta AQL mediante IDs de categoría de suceso de nivel alto y de nivel bajo. Los
IDs de categoría de los nombres de categoría asociados se pueden recuperar de las tablas de categoría de
sucesos.
Por ejemplo, si está desarrollando aplicaciones en QRadar, puede ejecutar una búsqueda de AQL similar a
la consulta siguiente desde la línea de mandatos para recopilar datos de Ariel:
select qidname(qid) as ’Event’, username as ’Username’, devicetime as ’Time’ from events where
’<ID de categoría de nivel alto>’ and ’<ID de categoría de nivel bajo>’ and
LOGSOURCENAME(logsourceid) like "%Nombre de categoría de nivel bajo%" last 3 days
Categorías de sucesos de nivel alto

Los sucesos de los orígenes de registro de IBM Security QRadar se agrupan en categorías de nivel alto.
Cada suceso se asigna a una categoría de nivel alto determinada.
La categorización de los sucesos entrantes hace que las búsquedas en los datos sean más fáciles de hacer.
En la tabla siguiente se describen las categorías de sucesos de nivel alto.

Tabla 80. Categorías de sucesos de nivel alto
Categoría ID de categoría Descripción
“Reconocimiento” en la 1000 Sucesos que están relacionados con la exploración y otras
página 315 técnicas que se utilizan para identificar los recursos de la
red; por ejemplo, exploraciones de puertos de host o de
red.
“Denegación de servicio” en 2000 Sucesos que están relacionados con los ataques de
la página 316 denegación de servicio (DoS) o de denegación de servicio
distribuido (DDoS) contra servicios o hosts; por ejemplo,
ataques de denegación de servicio de red por la fuerza.
“Autenticación” en la página 3000 Sucesos que están relacionados con los controles de
320 autenticación, grupo o cambio de privilegios; por ejemplo,
inicio o cierre de sesión.

Tabla 80. Categorías de sucesos de nivel alto (continuación)
“Acceso” en la página 328 4000 Sucesos que son consecuencia de un intento de acceder a
los recursos de la red; por ejemplo, aceptación o
denegación de cortafuegos.
“Explotación” en la página 5000 Sucesos que están relacionados con explotaciones de
330 aplicación e intentos de desbordamiento de
almacenamiento intermedio; por ejemplo, desbordamiento
de almacenamiento intermedio o explotaciones de
aplicación web.
“Programa malicioso” en la 6000 Sucesos que están relacionados con virus, troyanos, puertas
página 332 traseras y otras formas de software hostil. Los sucesos de
programas maliciosos pueden incluir un virus, un troyano,
software malicioso o spyware.
“Actividad sospechosa” en la 7000 La naturaleza de la amenaza es desconocida pero el
página 333 comportamiento es sospechoso. La amenaza puede incluir
anomalías de protocolo que potencialmente indican
técnicas evasivas; por ejemplo, las técnicas de evasión de
IDS (sistema de detección de intrusiones) conocidas o la
fragmentación de paquetes.
“Sistema” en la página 337 8000 Sucesos que están relacionados con los cambios del
sistema, la instalación de software o los mensajes de
estado.
“Política” en la página 342 9000 Sucesos relativos al uso indebido o las violaciones de
políticas corporativas.
“Desconocido” en la página 10000 Sucesos que están relacionados con actividad desconocida
344 en el sistema.
“CRE” en la página 344 12000 Sucesos que se generan a partir de una regla de delito o de
suceso.
“Explotación potencial” en la 13000 Sucesos relacionados con explotaciones potenciales de
página 345 aplicación e intentos de desbordamiento de
almacenamiento intermedio.
Flujo 14000 Sucesos que están relacionados con acciones de flujo.
“Definido por el usuario” en 15000 Sucesos que están relacionados con objetos definidos por el
la página 348 usuario.
“Auditoría de SIM” en la 16000 Sucesos que están relacionados con la interacción del
página 350 usuario con la consola y las funciones administrativas.
“Descubrimiento de host de 17000 Sucesos que están relacionados con el host, los puertos o
VIS” en la página 351 las vulnerabilidades que el componente VIS descubre.
“Aplicación” en la página 352 18000 Sucesos que están relacionados con la actividad de las
aplicaciones.
“Auditoría” en la página 375 19000 Sucesos que están relacionados con la actividad de
auditoría.
“Riesgo” en la página 379 20000 Sucesos que están relacionados con actividad de riesgo en
IBM Security QRadar Risk Manager.
“Auditoría de Risk Manager” 21000 Sucesos que están relacionados con actividad de auditoría
en la página 380 en QRadar Risk Manager.
“Control” en la página 381 22000 Sucesos que están relacionados con el sistema de
hardware.
“Perfilador de activos” en la 23000 Sucesos que están relacionados con los perfiles de activo.
página 382

Tabla 80. Categorías de sucesos de nivel alto (continuación)
Percepción 24000 Sucesos que están relacionados con UBA.
Reconocimiento
La categoría Reconocimiento contiene sucesos que están relacionados con la exploración y otras técnicas
que se utilizan para identificar los recursos de la red.
En la tabla siguiente se describen las categorías de sucesos de nivel bajo y los niveles de gravedad
asociados para la categoría Reconocimiento.
Tabla 81. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos
Reconocimiento
Categoría de sucesos de
nivel bajo ID de categoría Descripción Nivel de gravedad (0 – 10)
Formulario de 1001 Un formulario desconocido 2
reconocimiento desconocido de reconocimiento.
Consulta de aplicación 1002 Reconocimiento para las 3
aplicaciones del sistema.
Consulta de host 1003 Reconocimiento para un 3
host de la red.
Barrido de red 1004 Reconocimiento en la red. 4
Reconocimiento de correo 1005 Reconocimiento en el 3
sistema de correo.
Reconocimiento de 1006 Reconocimiento para el 3
Windows sistema operativo
Windows.
Solicitud de correlación de 1007 Reconocimiento en la 3
puertos / RPC solicitud de correlación de
puertos o RPC.
Exploración de puertos de 1008 Indica que se ha llevado a 4
host cabo una exploración en los
puertos de host.
Vuelco de RPC 1009 Indica que la información 3
de RPC (llamada a
procedimiento remoto) se
ha eliminado.
Reconocimiento de DNS 1010 Reconocimiento en el 3
servidor DNS.
Suceso de reconocimiento 1011 Suceso de reconocimiento 2
diverso diverso.
Reconocimiento de web 1012 Reconocimiento de web en 3
la red.
Reconocimiento de base de 1013 Reconocimiento de base de 3
datos datos en la red.
Reconocimiento de ICMP 1014 Reconocimiento del tráfico 3
ICMP.
Reconocimiento de UDP 1015 Reconocimiento del tráfico 3
UDP.
26 Categorías de sucesos 315

Tabla 81. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos
Reconocimiento (continuación)
Reconocimiento de SNMP 1016 Reconocimiento del tráfico 3
SNMP.
Consulta de host de ICMP 1017 Indica una consulta de host 3
de ICMP.
Consulta de host de UDP 1018 Indica una consulta de host 3
de UDP.
Reconocimiento de NMAP 1019 Indica el reconocimiento de 3
NMAP.
Reconocimiento de TCP 1020 Indica el reconocimiento de 3
TCP en la red.
Reconocimiento de UNIX 1021 Reconocimiento en la red 3
UNIX.
Reconocimiento de FTP 1022 Indica el reconocimiento de 3
FTP.
Denegación de servicio
La categoría de denegación de servicio contiene sucesos que están relacionados con los ataques de
denegación de servicio (DoS) contra servicios o hosts.
asociados para la categoría de ataque de denegación de servicio.
Tabla 82. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de ataque de
denegación de servicio
Ataque desconocido de 2001 Indica un ataque de 8
denegación de servicio denegación de servicio
desconocido.
Ataque de denegación de 2002 Indica un ataque de 9
servicio de ICMP denegación de servicio de
ICMP.
servicio de TCP denegación de servicio de
TCP.
servicio de UDP denegación de servicio de
UDP.
servicio de DNS denegación de servicio de
DNS.
servicio web denegación de servicio de
un servicio web.
servicio de correo denegación de servicio del
servidor de correo.

denegación de servicio (continuación)
servicio distribuido denegación de servicio
distribuido.
servicio diverso denegación de servicio
diverso.
servicio de UNIX denegación de servicio de
UNIX.
servicio de Windows denegación de servicio de
Windows.
servicio de base de datos denegación de servicio de
base de datos.
servicio de FTP denegación de servicio de
FTP.
servicio de infraestructura denegación de servicio en
la infraestructura.
servicio de Telnet denegación de servicio de
Telnet.
Inicio de sesión por la 2016 Indica el acceso al sistema 8
fuerza mediante métodos no
autorizados.
servicio de TCP de denegación de servicio de
velocidad alta TCP de velocidad alta.
servicio de UDP de denegación de servicio de
velocidad alta UDP de velocidad alta.
servicio de ICMP de denegación de servicio de
velocidad alta ICMP de velocidad alta.
servicio de velocidad alta denegación de servicio de
velocidad alta.
Ataque de denegación de 2021 Indica un ataque de TCP de 8
servicio de TCP de velocidad media.
velocidad media
Ataque de denegación de 2022 Indica un ataque de UDP 8
servicio de UDP de de velocidad media.
velocidad media
Ataque de denegación de 2023 Indica un ataque de ICMP 8
servicio de ICMP de de velocidad media.
velocidad media

servicio de velocidad media denegación de servicio de
velocidad media.
velocidad baja TCP de velocidad baja.
velocidad baja UDP de velocidad baja.
velocidad baja ICMP de velocidad baja.
servicio de velocidad baja denegación de servicio de
velocidad baja.
velocidad alta distribuido TCP de velocidad alta
distribuido.
velocidad alta distribuido UDP de velocidad alta
distribuido.
velocidad alta distribuido ICMP de velocidad alta
distribuido.
servicio de velocidad alta denegación de servicio de
distribuido velocidad alta distribuido.
velocidad media TCP de velocidad media
distribuido distribuido.
velocidad media UDP de velocidad media
velocidad media ICMP de velocidad media
servicio de velocidad media denegación de servicio de
distribuido velocidad media
distribuido.
velocidad baja distribuido TCP de velocidad baja
distribuido.

velocidad baja distribuido UDP de velocidad baja
distribuido.
velocidad baja distribuido ICMP de velocidad baja
distribuido.
servicio de velocidad baja denegación de servicio de
distribuido velocidad baja distribuido.
Exploración de TCP de 2041 Indica una exploración de 8
velocidad alta TCP de velocidad alta.
Exploración de UDP de 2042 Indica una exploración de 8
velocidad alta UDP de velocidad alta.
Exploración de ICMP de 2043 Indica una exploración de 8
velocidad alta ICMP de velocidad alta.
Exploración de velocidad 2044 Indica una exploración de 8
alta velocidad alta.
velocidad media TCP de velocidad media.
velocidad media UDP de velocidad media.
velocidad media ICMP de velocidad media.
media velocidad media.
velocidad baja TCP de velocidad baja.
velocidad baja UDP de velocidad baja.
velocidad baja ICMP de velocidad baja.
baja velocidad baja.
servicio de VoIP denegación de servicio de
VoIP.
Inundación 2054 Indica un ataque de 8
inundación.
Inundación de TCP 2055 Indica un ataque de 8
inundación de TCP.
Inundación de UDP 2056 Indica un ataque de 8
inundación de UDP.
Inundación de ICMP 2057 Indica un ataque de 8
inundación de ICMP.

Inundación de SYN 2058 Indica un ataque de 8
inundación de SYN.
Inundación de URG 2059 Indica un ataque de 8
inundación con el distintivo
de urgente (URG) activado.
Inundación de SYN URG 2060 Indica un ataque de 8
inundación SYN con el
distintivo de urgente (URG)
activado.
Inundación de SYN FIN 2061 Indica un ataque de 8
inundación de SYN FIN.
Inundación de SYN ACK 2062 Indica un ataque de 8
inundación de SYN ACK.
Autenticación
La categoría de autenticación contiene sucesos que están relacionados con la autenticación, las sesiones y
los controles de acceso que supervisan a los usuarios de la red.
asociados para la categoría de autenticación.
Tabla 83. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de
autenticación
Autenticación desconocida 3001 Indica que la autenticación 1
es desconocida.
Inicio de sesión de host 3002 Indica un inicio de sesión 1
satisfactorio de host satisfactorio.
Inicio de sesión de host 3003 Indica que el inicio de 3
fallido sesión de host ha fallado.
Inicio de sesión diverso 3004 Indica que la secuencia de 1
satisfactorio inicio de sesión ha sido
satisfactoria.
Inicio de sesión diverso 3005 Indica que la secuencia de 3
fallido inicio de sesión ha fallado.
Escalamiento de privilegios 3006 Indica que el escalamiento 3
fallido de privilegios ha fallado.
Escalamiento de privilegios 3007 Indica que el escalamiento 1
satisfactorio de privilegios ha sido
satisfactorio.
Inicio de sesión de servicio 3008 Indica que el inicio de 1
de correo satisfactorio sesión en el servicio de
correo ha sido satisfactorio.
de correo fallido sesión en el servicio de
correo ha fallado.

autenticación (continuación)
Inicio de sesión de servidor 3010 Indica que el inicio de 3
de autenticación fallido sesión en el servidor de
autenticación ha fallado.
Inicio de sesión de servidor 3011 Indica que el inicio de 1
de autenticación sesión en el servidor de
satisfactorio autenticación ha sido
satisfactorio.
web satisfactorio sesión del servicio web ha
sido satisfactorio.
web fallido sesión del servicio web ha
fallado.
Inicio de sesión de 3014 Indica que un inicio de 1
administrador satisfactorio sesión administrativa ha
sido satisfactorio.
Anomalía de inicio de 3015 Indica que el inicio de 3
sesión de administrador sesión administrativa ha
fallado.
Nombre de usuario 3016 Indica que un usuario ha 4
sospechoso intentado acceder a la red
utilizando un nombre de
usuario incorrecto.
Inicio de sesión con nombre 3017 Indica que un usuario ha 4
de usuario/contraseña accedido a la red utilizando
predeterminados el nombre de usuario y la
satisfactorio contraseña
predeterminados.
Inicio de sesión con nombre 3018 Indica que un usuario no 4
de usuario/contraseña ha podido acceder a la red
predeterminados fallido utilizando el nombre de
usuario y la contraseña
predeterminados.
Inicio de sesión de FTP 3019 Indica que un inicio de 1
satisfactorio sesión de FTP ha sido
satisfactorio.
Inicio de sesión de FTP 3020 Indica que el inicio de 3
fallido sesión de FTP ha fallado.
Inicio de sesión de SSH 3021 Indica que un inicio de 1
satisfactorio sesión de SSH ha sido
satisfactorio.
Inicio de sesión de SSH 3022 Indica que el inicio de 2
fallido sesión de SSH ha fallado.
Derecho de usuario 3023 Indica que el acceso del 1
asignado usuario a los recursos de
red se ha otorgado
satisfactoriamente.

Derecho de usuario 3024 Indica que el acceso del 1
eliminado usuario a los recursos de
red se ha eliminado
satisfactoriamente.
Dominio de confianza 3025 Indica que un dominio de 1
añadido confianza se ha añadido
satisfactoriamente al
despliegue.
Dominio de confianza 3026 Indica que un dominio de 1
eliminado confianza se ha eliminado
del despliegue.
Acceso de seguridad del 3027 Indica que el acceso de 1
sistema otorgado seguridad del sistema se ha
otorgado satisfactoriamente.
Acceso de seguridad del 3028 Indica que el acceso de 1
sistema eliminado seguridad del sistema se ha
eliminado
satisfactoriamente.
Política añadida 3029 Indica que una política se 1
ha añadido
satisfactoriamente.
Cambio de política 3030 Indica que una política se 1
ha cambiado
satisfactoriamente.
Cuenta de usuario añadida 3031 Indica que una cuenta de 1
usuario se ha añadido
satisfactoriamente.
Cuenta de usuario 3032 Indica que se ha aplicado 1
cambiada un cambio a una cuenta de
usuario existente.
Cambio de contraseña 3033 Indica que un intento de 3
fallido cambiar una contraseña
existente ha fallado.
Cambio de contraseña 3034 Indica que un cambio de 1
satisfactorio contraseña ha sido
satisfactorio.
Cuenta de usuario 3035 Indica que una cuenta de 1
eliminada usuario se ha eliminado
satisfactoriamente.
Miembro de grupo añadido 3036 Indica que un miembro de 1
grupo se ha añadido
satisfactoriamente.
Miembro de grupo 3037 Indica que un miembro de 1
eliminado grupo se ha eliminado.
Grupo añadido 3038 Indica que un grupo se ha 1
añadido satisfactoriamente.
Grupo cambiado 3039 Indica que se ha aplicado 1
un cambio a un grupo
existente.

Grupo eliminado 3040 Indica que un grupo se ha 1
eliminado.
Cuenta de sistema añadida 3041 Indica que una cuenta de 1
sistema se ha añadido
satisfactoriamente.
Cuenta de sistema 3042 Indica que se ha aplicado 1
cambiada un cambio a una cuenta de
sistema existente.
Cuenta de sistema 3043 Indica que una cuenta de 1
eliminada sistema se ha eliminado
satisfactoriamente.
Inicio de sesión de acceso 3044 Indica que el acceso a la 1
remoto satisfactorio red utilizando un inicio de
sesión remoto ha sido
satisfactorio.
Inicio de sesión de acceso 3045 Indica que un intento de 3
remoto fallido acceder a la red utilizando
un inicio de sesión remoto
ha fallado.
Autenticación general 3046 Indica que el proceso de 1
satisfactoria autenticación ha sido
satisfactorio.
Autenticación general 3047 Indica que el proceso de 3
fallida autenticación ha fallado.
Inicio de sesión de Telnet 3048 Indica que el inicio de 1
satisfactorio sesión de telnet ha sido
satisfactorio.
Inicio de sesión de Telnet 3049 Indica que el inicio de 3
fallido sesión de telnet ha fallado.
Contraseña sospechosa 3050 Indica que un usuario ha 4
intentado iniciar sesión
utilizando una contraseña
sospechosa.
Inicio de sesión de Samba 3051 Indica que un usuario ha 1
satisfactorio iniciado la sesión
satisfactoriamente
utilizando Samba.
Inicio de sesión de Samba 3052 Indica que un usuario no 3
fallido ha podido iniciar la sesión
utilizando Samba.
Sesión de servidor de 3053 Indica que se ha iniciado 1
autenticación abierta una sesión de comunicación
con el servidor de
autenticación.
Sesión de servidor de 3054 Indica que se ha cerrado 1
autenticación cerrada una sesión de comunicación
con el servidor de
autenticación.

Sesión de cortafuegos 3055 Indica que una sesión de 1
cerrada cortafuegos se ha cerrado.
Cierre de sesión de host 3056 Indica que un host ha 1
cerrado la sesión
satisfactoriamente.
Cierre de sesión diverso 3057 Indica que un usuario ha 1
cerrado la sesión
satisfactoriamente.
Cierre de sesión de servidor 3058 Indica que el proceso para 1
de autenticación cerrar la sesión del servidor
de autenticación ha sido
satisfactorio.
Cierre de sesión de servicio 3059 Indica que el proceso para 1
web cerrar la sesión del servicio
web ha sido satisfactorio.
Cierre de sesión de 3060 Indica que el usuario 1
administrador administrativo ha cerrado
la sesión satisfactoriamente.
Cierre de sesión de FTP 3061 Indica que el proceso para 1
cerrar la sesión del servicio
FTP ha sido satisfactorio.
Cierre de sesión de SSH 3062 Indica que el proceso para 1
cerrar la sesión de SSH ha
sido satisfactorio.
Cierre de sesión de acceso 3063 Indica que el proceso para 1
remoto cerrar la sesión mediante el
acceso remoto ha sido
satisfactorio.
Cierre de sesión de Telnet 3064 Indica que el proceso para 1
cerrar la sesión de Telnet ha
sido satisfactorio.
Cierre de sesión de Samba 3065 Indica que el proceso para 1
cerrar la sesión de Samba
ha sido satisfactorio.
Sesión de SSH iniciada 3066 Indica que la sesión de 1
conexión de SSH se ha
iniciado en un host.
Sesión de SSH finalizada 3067 Indica que una sesión de 1
conexión de SSH en un
host ha terminado.
Sesión de Admin iniciada 3068 Indica que un usuario 1
administrativo o
privilegiado ha iniciado
una sesión de conexión en
un host.

Sesión de Admin finalizada 3069 Indica que la sesión de 1
conexión de un usuario
administrativo o
privilegiado en un host ha
terminado.
Inicio de sesión de VoIP 3070 Indica un inicio de sesión 1
satisfactorio de VoIP satisfactorio.
Inicio de sesión de VoIP 3071 Indica un intento no 1
fallido satisfactorio de acceder al
servicio de VoIP.
Finalización de sesión de 3072 Indica el cierre de la sesión 1
VoIP de un usuario.
Sesión de VoIP iniciada 3073 Indica el comienzo de una 1
sesión de VoIP.
Sesión de VoIP terminada 3074 Indica el final de una 1
sesión de VoIP.
Inicio de sesión de base de 3075 Indica un inicio de sesión 1
datos satisfactorio de base de datos
satisfactorio.
Inicio de sesión de base de 3076 Indica que un intento de 3
datos fallido inicio de sesión de base de
datos ha fallado.
Autenticación de IKE 3077 Indica que se ha detectado 3
fallida una autenticación de IKE
(Internet Key Exchange)
fallida.
Autenticación de IKE 3078 Indica que se ha detectado 1
satisfactoria una autenticación de IKE
satisfactoria.
Sesión de IKE iniciada 3079 Indica que se ha abierto 1
una sesión de IKE.
Sesión de IKE finalizada 3080 Indica que ha finalizado 1
una sesión de IKE.
Error de IKE 3081 Indica que hay un mensaje 1
de error de IKE.
Estado de IKE 3082 Indica que hay un mensaje 1
de estado de IKE.
Sesión de RADIUS iniciada 3083 Indica que se ha abierto 1
una sesión de RADIUS.
Sesión de RADIUS 3084 Indica que ha finalizado 1
finalizada una sesión de RADIUS.
Sesión de RADIUS 3085 Indica que se ha denegado 1
denegada una sesión de RADIUS.
Estado de sesión de 3086 Indica que hay un mensaje 1
RADIUS de estado de la sesión de
RADIUS.

Autenticación de RADIUS 3087 Indica un error de 3
fallida autenticación de RADIUS.
Autenticación de RADIUS 3088 Indica que una 1
satisfactoria autenticación de RADIUS
ha sido satisfactoria.
Sesión de TACACS iniciada 3089 Indica que se ha abierto 1
una sesión de TACACS.
Sesión de TACACS 3090 Indica que ha finalizado 1
finalizada una sesión de TACACS.
Sesión de TACACS 3091 Indica que se ha denegado 1
denegada una sesión de TACACS.
Estado de sesión de 3092 Indica que hay un mensaje 1
TACACS de estado de la sesión de
TACACS.
Autenticación de TACACS 3093 Indica que una 1
satisfactoria autenticación de TACACS
Autenticación de TACACS 3094 Indica un error de 1
fallida autenticación de TACACS.
Desautenticación de host 3095 Indica que la 1
satisfactoria desautenticación de un host
Desautenticación de host 3096 Indica que la 3
fallida desautenticación de un host
ha fallado.
Autenticación de estación 3097 Indica que la autenticación 1
satisfactoria de estación ha sido
satisfactoria.
Autenticación de estación 3098 Indica que la autenticación 3
fallida de estación de un host ha
fallado.
Asociación de estación 3099 Indica que la asociación de 1
satisfactoria estación ha sido
satisfactoria.
Asociación de estación 3100 Indica que la asociación de 3
fallida estación ha fallado.
Reasociación de estación 3101 Indica que la reasociación 1
satisfactoria de estación ha sido
satisfactoria.
Reasociación de estación 3102 Indica que la asociación de 3
fallida estación ha fallado.
Desasociación de host 3103 Indica que la desasociación 1
satisfactoria de un host ha sido
satisfactoria.
Desasociación de host 3104 Indica que la desasociación 3
fallida de un host ha fallado.

Error de SA 3105 Indica que hay un mensaje 5
de error de SA (asociación
de seguridad).
Anomalía de creación de 3106 Indica que se ha producido 3
SA un error en la creación de
SA (asociación de
seguridad).
SA establecido 3107 Indica que se ha establecido 1
una conexión de SA
(asociación de seguridad).
SA rechazado 3108 Indica que se ha rechazado 3
una conexión de SA
(asociación de seguridad).
Suprimiendo SA 3109 Indica la supresión de una 1
asociación de seguridad
(SA).
Creando SA 3110 Indica la creación de una 1
asociación de seguridad
(SA).
Discrepancia de certificado 3111 Indica una discrepancia de 3
certificado.
Discrepancia de 3112 Indica una discrepancia de 3
credenciales credenciales.
Intento de inicio de sesión 3113 Indica que ha habido un 2
de administrador intento de inicio de sesión
de administrador.
Intento de inicio de sesión 3114 Indica que ha habido un 2
de usuario intento de inicio de sesión
de usuario.
Inicio de sesión de usuario 3115 Indica un inicio de sesión 1
satisfactorio de usuario satisfactorio.
Inicio de sesión de usuario 3116 Indica que un inicio de 3
fallido sesión de usuario ha
fallado.
Inicio de sesión de SFTP 3117 Indica un inicio de sesión 1
satisfactorio de SFTP (protocolo de
transferencia de archivos
SSH) satisfactorio.
Inicio de sesión de SFTP 3118 Indica que un inicio de 3
fallido sesión de SFTP (protocolo
de transferencia de archivos
SSH) ha fallado.
Finalización de sesión de 3119 Indica que se ha cerrado 1
SFTP una sesión de SFTP
(protocolo de transferencia
de archivos SSH).
Identidad otorgada 3120 Indica que se ha otorgado 1
una identidad.

Identidad eliminada 3121 Indica que se ha eliminado 1
una identidad.
Identidad revocada 3122 Indica que se ha revocado 1
una identidad.
Política eliminada 3123 Indica que una política se 1
ha eliminado.
Bloqueo de cuenta de 3124 Indica que una cuenta de 1
usuario usuario se ha bloqueado.
Desbloqueo de cuenta de 3125 Indica que una cuenta de 1
usuario usuario se ha
desbloqueado.
Cuenta de usuario 3126 Indica que una cuenta de 1
caducada usuario ha caducado
Acceso
La categoría de acceso contiene controles de autenticación y acceso que se utilizan para la supervisión de
los sucesos de red.
asociados para la categoría de acceso.
Tabla 84. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de acceso
Suceso de comunicación de 4001 Indica un suceso de 3
red desconocido comunicación de red
desconocido.
Permiso de cortafuegos 4002 Indica que se ha permitido 0
el acceso al cortafuegos.
Denegación de cortafuegos 4003 Indica que se ha denegado 4
el acceso al cortafuegos.
Respuesta de contexto de 4004 Indica sucesos del motor de 5
flujo (solo QRadar SIEM) clasificación en respuesta a
una petición de SIM.
Suceso de comunicación de 4005 Indica un suceso de 3
red diverso comunicación de red
diverso.
Denegación de IPS 4006 Indica que hay tráfico 4
denegado de IPS (sistemas
de prevención de
intrusiones).
Sesión de cortafuegos 4007 Indica que la sesión de 0
abierta cortafuegos se ha abierto.
Sesión de cortafuegos 4008 Indica que la sesión de 0
cerrada cortafuegos se ha cerrado.

acceso (continuación)
Conversión dinámica de 4009 Indica que la conversión 0
dirección satisfactoria dinámica de dirección ha
sido satisfactoria.
No se ha encontrado 4010 Indica que no se ha 2
ningún grupo de encontrado ningún grupo
conversión de conversión.
Autorización diversa 4011 Indica que se ha otorgado 2
acceso a un servidor de
autenticación diverso.
Permiso de ACL 4012 Indica que una lista de 0
control de accesos (ACL) ha
permitido el acceso.
Denegación de ACL 4013 Indica que una lista de 4
control de accesos (ACL) ha
denegado el acceso.
Acceso permitido 4014 Indica que el acceso se ha 0
permitido.
Acceso denegado 4015 Indica que el acceso se ha 4
denegado.
Sesión abierta 4016 Indica que se ha abierto 1
una sesión.
Sesión cerrada 4017 Indica que se ha cerrado 1
una sesión.
Sesión restablecida 4018 Indica que se ha 3
restablecido una sesión.
Sesión terminada 4019 Indica que se ha permitido 4
una sesión.
Sesión denegada 4020 Indica que se ha denegado 5
una sesión.
Sesión en curso 4021 Indica que hay una sesión 1
en curso.
Sesión retardada 4022 Indica que una sesión se ha 3
retardado.
Sesión en cola 4023 Indica que una sesión se ha 1
puesto en cola.
Sesión de entrada 4024 Indica que una sesión es de 1
entrada.
Sesión de salida 4025 Indica que una sesión es de 1
salida.
Intento de acceso no 4026 Indica que se ha detectado 6
autorizado un intento de acceso no
autorizado.
Acción de aplicación 4027 Indica que se ha permitido 1
variada permitida una acción de aplicación.
Acción de aplicación 4028 Indica que se ha denegado 3
variada denegada una acción de aplicación.

acceso (continuación)
Acción de base de datos 4029 Indica que se ha permitido 1
permitida una acción de base de
datos.
Acción de base de datos 4030 Indica que se ha denegado 3
denegada una acción de base de
datos.
Acción de FTP permitida 4031 Indica que se ha permitido 1
una acción de FTP.
Acción de FTP denegada 4032 Indica que se ha denegado 3
una acción de FTP.
Objeto en memoria caché 4033 Indica que un objeto se ha 1
almacenado en la memoria
caché.
Objeto no en memoria 4034 Indica que un objeto no se 1
caché ha almacenado en la
memoria caché.
Limitación de tasa 4035 Indica que la red limita la 4
velocidad del tráfico.
Sin limitación de velocidad 4036 Indica que la red no limita 0
la velocidad del tráfico.
Acceso P11 permitido 4037 Indica que el acceso P11 8
está permitido.
Acceso P11 denegado 4038 Indica que se ha intentado 8
y se ha denegado el acceso
P11.
Permiso IPS 4039 Indica un permiso IPS. 0
Explotación
La categoría de explotación contiene sucesos en los que se ha producido una explotación (ataque) de
acceso o de comunicación.
asociados para la categoría de explotación.
Tabla 85. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de explotación
Ataque de Explotación 5001 Indica un ataque de 9
desconocido explotación desconocido.
Desbordamiento de 5002 Indica un desbordamiento 9
almacenamiento intermedio de almacenamiento
intermedio.
Explotación de DNS 5003 Indica una explotación de 9
DNS.
Explotación de Telnet 5004 Indica una explotación de 9
Telnet.

explotación (continuación)
Explotación de Linux 5005 Indica una explotación de 9
Linux.
Explotación de UNIX 5006 Indica una explotación de 9
UNIX.
Explotación de Windows 5007 Indica una explotación de 9
Microsoft Windows.
Explotación de correo 5008 Indica una explotación del 9
servidor de correo.
Explotación de 5009 Indica una explotación de 9
infraestructura la infraestructura.
Explotación diversa 5010 Indica una explotación 9
diversa.
Explotación de web 5011 Indica una explotación de 9
web.
Apropiación de sesión 5012 Indica que se ha 9
intervenido en una sesión
de la red.
Gusano activo 5013 Indica que hay un gusano 10
activo.
Adivinación/recuperación 5014 Indica que un usuario ha 9
de contraseña solicitado acceso a su
información de contraseña
en la base de datos.
Explotación de FTP 5015 Indica una explotación de 9
FTP.
Explotación de RPC 5016 Indica una explotación de 9
RPC.
Explotación de SNMP 5017 Indica una explotación de 9
SNMP.
Explotación de NOOP 5018 Indica una explotación de 9
NOOP.
Explotación de Samba 5019 Indica una explotación de 9
Samba.
Explotación de SSH 5020 Indica una explotación de 9
SSH.
Explotación de base de 5021 Indica una explotación de 9
datos base de datos.
Explotación de ICMP 5022 Indica una explotación de 9
ICMP.
Explotación de UDP 5023 Indica una explotación de 9
UDP.
Explotación de explorador 5024 Indica una explotación en 9
el navegador.
Explotación de DHCP 5025 Indica una explotación de 9
DHCP.

explotación (continuación)
Explotación de acceso 5026 Indica una explotación de 9
remoto acceso remoto.
Explotación de ActiveX 5027 Indica una explotación a 9
través de una aplicación
ActiveX.
Inyección de SQL 5028 Indica que se ha efectuado 9
una inyección de SQL.
Scripts entre sitios 5029 Indica una vulnerabilidad 9
de scripts entre sitios.
Vulnerabilidad de serie de 5030 Indica una vulnerabilidad 9
formato de serie de formato.
Explotación de validación 5031 Indica que se ha detectado 9
de entrada un intento de explotación
de validación de entrada.
Ejecución remota de código 5032 Indica que se ha detectado 9
un intento de ejecución
remota de código.
Daño en la memoria 5033 Indica que se ha detectado 9
una explotación de daño en
la memoria.
Ejecución de mandato 5034 Indica que se ha detectado 9
un intento de ejecución de
mandato remota.
Inyección de código 5035 Indica que se ha detectado 9
una inyección de código.
Ataque de reproducción 5036 Indica que se ha detectado 9
un ataque de reproducción.
Programa malicioso
La categoría de programa malicioso (software malicioso o malware) contiene sucesos que están
relacionados con los intentos de explotaciones de aplicación y de desbordamiento de almacenamiento
intermedio.
asociados para la categoría de programa malicioso.
Tabla 86. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de programa
malicioso
Programa malicioso 6001 Indica un virus 4
desconocido desconocido.
Puerta trasera detectada 6002 Indica que se ha detectado 9
una puerta trasera en el
sistema.

Tabla 86. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de programa
malicioso (continuación)
Archivo adjunto de correo 6003 Indica un archivo adjunto 6
hostil de correo hostil.
Software malicioso 6004 Indica un virus. 6
Descarga de software hostil 6005 Indica una descarga de 6
software hostil a la red.
Virus detectado 6006 Indica que se ha detectado 8
un virus.
Programa malicioso diverso 6007 Indica software malicioso 4
diverso.
Troyano detectado 6008 Indica que se ha detectado 7
un troyano.
Spyware detectado 6009 Indica que se ha detectado 6
spyware en el sistema.
Exploración de contenido 6010 Indica que se ha detectado 3
un intento de exploración
del contenido.
Exploración de contenido 6011 Indica que una exploración 8
fallida del contenido ha fallado.
Exploración de contenido 6012 Indica que una exploración 3
satisfactoria del contenido ha sido
satisfactoria.
Exploración de contenido 6013 Indica que hay una 3
en curso exploración del contenido
en curso.
Registrador de claves 6014 Indica que se ha detectado 7
un registrador de claves.
Adware detectado 6015 Indica que se ha detectado 4
adware.
Cuarentena satisfactoria 6016 Indica que una acción de 3
cuarentena se ha
completado
satisfactoriamente.
Cuarentena fallida 6017 Indica que una acción de 8
cuarentena ha fallado.
Infección de programa 6018 Indica que se ha detectado 10
malicioso una infección de programa
malicioso.
Eliminación satisfactoria 6019 Indica que la eliminación 3
Eliminación fallida 6020 Indica que la eliminación 8
ha fallado.
Actividad sospechosa
La categoría Sospechoso contiene sucesos que están relacionados con virus, troyanos, ataques por puertas
traseras y otras formas de software hostil.

asociados para la categoría de actividad sospechosa.
Tabla 87. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de actividad
sospechosa
Suceso sospechoso 7001 Indica un suceso 3
desconocido sospechoso desconocido.
Patrón sospechoso 7002 Indica que se ha detectado 3
detectado un patrón sospechoso.
Contenido modificado por 7003 Indica que el cortafuegos 3
cortafuegos ha modificado el contenido.
Mandato o datos no válidos 7004 Indica un mandato o datos 3
que no son válidos.
Paquete sospechoso 7005 Indica un paquete 3
sospechoso.
Actividad sospechosa 7006 Indica actividad 3
sospechosa.
Nombre de archivo 7007 Indica un nombre de 3
sospechoso archivo sospechoso.
Actividad de puerto 7008 Indica actividad de puerto 3
sospechosa sospechosa.
Direccionamiento 7009 Indica un direccionamiento 3
sospechoso sospechoso.
Vulnerabilidad de web 7010 Indica una vulnerabilidad 3
potencial de web potencial.
Suceso de evasión 7011 Indica un suceso de evasión 5
Suplantación de IP 7012 Indica una suplantación de 5
IP.
Fragmentación de IP 7013 Indica una fragmentación 3
de IP.
Fragmentos de IP 7014 Indica fragmentos de IP 5
solapados solapados.
Evasión de IDS 7015 Indica una evasión de IDS. 5
Anomalía de protocolo de 7016 Indica una anomalía de 3
DNS protocolo de DNS.
FTP protocolo de FTP.
correo protocolo de correo.
direccionamiento protocolo de
direccionamiento.
web protocolo de web.
SQL protocolo de SQL.

sospechosa (continuación)
Código ejecutable detectado 7022 Indica que se ha detectado 5
código ejecutable.
Suceso sospechoso diverso 7023 Indica un suceso 3
sospechoso diverso.
Filtración de información 7024 Indica una filtración de 1
información.
Vulnerabilidad de correo 7025 Indica una vulnerabilidad 4
potencial potencial en el servidor de
correo.
Vulnerabilidad de versión 7026 Indica una vulnerabilidad 4
potencial potencial en la versión de
Vulnerabilidad de FTP 7027 Indica una vulnerabilidad 4
potencial potencial de FTP.
Vulnerabilidad de SSH 7028 Indica una vulnerabilidad 4
potencial potencial de SSH.
Vulnerabilidad de DNS 7029 Indica una vulnerabilidad 4
potencial potencial en el servidor
DNS.
Vulnerabilidad de SMB 7030 Indica una vulnerabilidad 4
potencial potencial de SMB (Samba).
Vulnerabilidad de base de 7031 Indica una vulnerabilidad 4
datos potencial potencial en la base de
datos.
Anomalía de protocolo IP 7032 Indica una anomalía de 3
protocolo IP potencial.
Dirección IP sospechosa 7033 Indica que se ha detectado 2
una dirección IP
sospechosa.
Uso de protocolo IP no 7034 Indica un protocolo IP no 2
válido válido.
Protocolo no válido 7035 Indica un protocolo no 4
válido.
Sucesos de Windows 7036 Indica un suceso 2
sospechosos sospechoso con una
pantalla del escritorio.
Actividad de ICMP 7037 Indica actividad de ICMP 2
sospechosa sospechosa.
Vulnerabilidad de NFS 7038 Indica una vulnerabilidad 4
potencial potencial de NFS (Network
File System).
Vulnerabilidad de NNTP 7039 Indica una vulnerabilidad 4
potencial potencial de NNTP
(protocolo para la
transferencia de noticias en
red).

Vulnerabilidad de RPC 7040 Indica una vulnerabilidad 4
potencial potencial de RPC.
Vulnerabilidad de Telnet 7041 Indica una vulnerabilidad 4
potencial potencial de Telnet en el
sistema.
Vulnerabilidad de SNMP 7042 Indica una vulnerabilidad 4
potencial potencial de SNMP.
Combinación de distintivos 7043 Indica que se ha detectado 5
de TCP no permitida una combinación de
distintivos de TCP no
válida.
Combinación de distintivos 7044 Indica que se ha detectado 4
de TCP sospechosa una combinación de
distintivos de TCP
potencialmente no válida.
Uso no permitido de 7045 Indica que se ha detectado 5
protocolo ICMP un uso no válido del
protocolo ICMP.
Uso sospechoso de 7046 Indica que se ha detectado 4
protocolo ICMP un uso potencialmente no
válido del protocolo ICMP.
Tipo de ICMP no permitido 7047 Indica que se ha detectado 5
un tipo de ICMP no válido.
Código de ICMP no 7048 Indica que se ha detectado 5
permitido un código de ICMP no
válido.
Tipo de ICMP sospechoso 7049 Indica que se ha detectado 4
un tipo de ICMP
potencialmente no válido.
Código de ICMP 7050 Indica que se ha detectado 4
sospechoso un código de ICMP
potencialmente no válido.
Puerto TCP 0 7051 Indica que un paquete TCP 4
utiliza un puerto reservado
(0) como origen o destino.
Puerto UDP 0 7052 Indica que un paquete UDP 4
utiliza un puerto reservado
(0) como origen o destino.
IP hostil 7053 Indica el uso de una 4
dirección IP hostil conocida.
IP de lista de observación 7054 Indica el uso de una 4
dirección IP incluida en una
lista de observación de
direcciones IP.
IP de delincuente conocido 7055 Indica el uso de una 4
dirección IP de un
delincuente conocido.

IP de RFC 1918 (privado) 7056 Indica el uso de una 4
dirección IP incluida en un
rango de direcciones IP
privadas.
Vulnerabilidad de VoIP 7057 Indica una vulnerabilidad 4
potencial potencial de VoIP.
Dirección de lista negra 7058 Indica que una dirección IP 8
está en la lista negra.
Dirección de lista de 7059 Indica que la dirección IP 7
observación está en la lista de
direcciones IP que se están
supervisando.
Dirección de red oscura 7060 Indica que la dirección IP 5
forma parte de una red
oscura.
Dirección de botnet 7061 Indica que la dirección 7
forma parte de un botnet.
Dirección sospechosa 7062 Indica que la dirección IP 5
debe ser supervisada.
Contenido erróneo 7063 Indica que se ha detectado 7
contenido erróneo.
Certificación no válida 7064 Indica que se ha detectado 7
un certificado no válido.
Actividad de usuario 7065 Indica que se ha detectado 7
actividad de usuario.
Uso de protocolo 7066 Indica que se ha detectado 5
sospechoso el uso de un protocolo
sospechoso.
Actividad de BGP 7067 Indica que se ha detectado 5
sospechosa un uso sospechoso de BGP
(protocolo de pasarela
fronteriza).
Envenenamiento de ruta 7068 Indica que se han detectado 5
daños en la ruta.
Envenenamiento de ARP 7069 Indica que se ha detectado 5
el envenenamiento de la
memoria caché de ARP.
Dispositivo 7070 Indica que se ha detectado 5
malintencionado detectado un dispositivo
malintencionado.
Dirección de agencia de 7071 Indica que se ha detectado 3
gobierno una dirección de agencia de
gobierno.
Sistema
La categoría de sistema contiene sucesos que están relacionados con los cambios del sistema, la
instalación de software o los mensajes de estado.
asociados para la categoría de sistema.
Tabla 88. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de sucesos de sistema
Suceso del sistema 8001 Indica un suceso de sistema 1
Arranque del sistema 8002 Indica un reinicio del 1
sistema.
Configuración del sistema 8003 Indica que se ha aplicado 1
un cambio en la
configuración del sistema.
Detención del sistema 8004 Indica que el sistema se ha 1
detenido.
Anomalía del sistema 8005 Indica una anomalía del 6
sistema.
Estado del sistema 8006 Indica cualquier suceso de 1
información.
Error del sistema 8007 Indica un error del sistema. 3
Suceso del sistema diverso 8008 Indica un suceso de sistema 1
diverso.
Servicio iniciado 8009 Indica que se han iniciado 1
servicios del sistema.
Servicio detenido 8010 Indica que se han detenido 1
servicios del sistema.
Anomalía de servicio 8011 Indica una anomalía del 6
sistema.
Modificación satisfactoria 8012 Indica que una 1
del registro modificación aplicada al
registro ha sido
satisfactoria.
de la política de host modificación aplicada a la
política de host ha sido
satisfactoria.
de archivo modificación aplicada a un
archivo ha sido
satisfactoria.
de pila modificación aplicada a la
pila ha sido satisfactoria.
de aplicación modificación aplicada a la
aplicación ha sido
satisfactoria.
de configuración modificación aplicada a la
configuración ha sido
satisfactoria.

sistema (continuación)
de servicio modificación aplicada a un
servicio ha sido
satisfactoria.
Modificación fallida del 8019 Indica que una 1
registro modificación aplicada al
registro ha fallado.
Modificación fallida de la 8020 Indica que una 1
política de host modificación aplicada a la
política de host ha fallado.
Modificación fallida de 8021 Indica que una 1
archivo modificación aplicada a un
archivo ha fallado.
Modificación fallida de pila 8022 Indica que una 1
modificación aplicada a la
pila ha fallado.
aplicación modificación aplicada a una
aplicación ha fallado.
configuración modificación aplicada a la
configuración ha fallado.
servicio modificación aplicada al
servicio ha fallado.
Adición de registro 8026 Indica que se ha añadido 1
un nuevo elemento al
registro.
Política de host creada 8027 Indica que se ha añadido 1
una nueva entrada al
registro.
Archivo creado 8028 Indica que se ha creado un 1
nuevo archivo en el
sistema.
Aplicación instalada 8029 Indica que se ha instalado 1
una aplicación nueva en el
sistema.
Servicio instalado 8030 Indica que se ha instalado 1
un servicio nuevo en el
sistema.
Supresión del registro 8031 Indica que se ha suprimido 1
una entrada de registro.
Política de host suprimida 8032 Indica que se ha suprimido 1
una entrada de política de
host.
Archivo suprimido 8033 Indica que se ha suprimido 1
un archivo.

Aplicación desinstalada 8034 Indica que una aplicación 1
se ha desinstalado.
Servicio desinstalado 8035 Indica que un servicio se ha 1
desinstalado.
Información del sistema 8036 Indica información del 3
sistema.
Acción del sistema Permitir 8037 Indica que se ha autorizado 3
una acción intentada en el
sistema.
Acción del sistema Denegar 8038 Indica que se ha denegado 4
una acción intentada en el
sistema.
Cron 8039 Indica que hay un mensaje 1
de crontab.
Estado de Cron 8040 Indica que hay un mensaje 1
de estado de crontab.
Cron fallido 8041 Indica que hay un mensaje 4
de error de crontab.
Cron satisfactorio 8042 Indica que hay un mensaje 1
de éxito de crontab.
Daemon 8043 Indica que hay un mensaje 1
de daemon.
Estado de daemon 8044 Indica que hay un mensaje 1
de estado de daemon.
Daemon fallido 8045 Indica que hay un mensaje 4
de error de daemon.
Daemon satisfactorio 8046 Indica que hay un mensaje 1
de éxito de daemon.
Kernel 8047 Indica que hay un mensaje 1
de kernel.
Estado de kernel 8048 Indica que hay un mensaje 1
de estado de kernel.
Kernel fallido 8049 Indica que hay un mensaje
de error de kernel.
Kernel satisfactorio 8050 Indica que hay un mensaje 1
de éxito de kernel.
Autenticación 8051 Indica que hay un mensaje 1
de autenticación.
Información 8052 Indica que hay un mensaje 2
informativo.
Aviso 8053 Indica que hay un mensaje 3
de aviso.
Advertencia 8054 Indica que hay un mensaje 5
de advertencia.
Error 8055 Indica que hay un mensaje 7
de error.

Crítico 8056 Indica que hay un mensaje 9
crítico.
Depuración 8057 Indica que hay un mensaje 1
de depuración.
Mensajes 8058 Indica que hay un mensaje 1
genérico.
Acceso de privilegio 8059 Indica que se ha intentado 3
el acceso de privilegio.
Alerta 8060 Indica que hay un mensaje 9
de alerta.
Emergencia 8061 Indica que hay un mensaje 9
de emergencia.
Estado SNMP 8062 Indica que hay un mensaje 1
de estado de SNMP.
Estado FTP 8063 Indica que hay un mensaje 1
de estado de FTP.
Estado de NTP 8064 Indica que hay un mensaje 1
de estado de NTP.
Anomalía de radio de 8065 Indica una anomalía de 3
punto de acceso radio de punto de acceso.
Discrepancia de 8066 Indica una discrepancia de 3
configuración de protocolo configuración de protocolo
de cifrado de cifrado.
Dispositivo de cliente o 8067 Indica que un dispositivo 5
servidor de autenticación de cliente o un servidor de
mal configurado autenticación no se ha
configurado correctamente.
Habilitación de espera 8068 Indica un error de 5
activa fallida habilitación de espera
activa.
Inhabilitación de espera 8069 Indica un error de 5
activa fallida inhabilitación de espera
activa.
La espera activa se ha 8070 Indica que la espera activa 1
habilitado se ha habilitado
satisfactoriamente satisfactoriamente.
Asociación de espera activa 8071 Indica que la asociación de 5
perdida espera activa se ha perdido.
Anomalía de iniciación de 8072 Indica una anomalía de 5
modalidad principal iniciación de modalidad
principal.
Iniciación de modalidad 8073 Indica que la iniciación de 1
principal satisfactoria modalidad principal ha
sido satisfactoria.
Estado de modalidad 8074 Indica que se ha notificado 1
principal un mensaje de estado de
modalidad principal.

Anomalía de iniciación de 8075 Indica que la iniciación de 5
modalidad rápida modalidad rápida ha
fallado.
Iniciación de modalidad 8076 Indica que la iniciación de 1
rápida satisfactoria modalidad rápida ha sido
satisfactoria.
Estado de modalidad 8077 Indica que se ha notificado 1
rápida un mensaje de estado de
modalidad rápida.
Licencia no válida 8078 Indica una licencia no 3
válida.
Licencia caducada 8079 Indica una licencia 3
caducada.
Licencia nueva aplicada 8080 Indica que se ha aplicado 1
una licencia nueva.
Error de licencia 8081 Indica un error de licencia. 5
Estado de licencia 8082 Indica que hay un mensaje 1
de estado de licencia.
Error de configuración 8083 Indica que se ha detectado 5
un error de configuración.
Interrupción de servicio 8084 Indica que se ha detectado 5
una interrupción en el
servicio.
Se ha superado la 8085 Indica que se han superado 3
asignación de EPS o FPM las asignaciones de
agrupación de licencias
para EPS o FPM.
Estado de rendimiento 8086 Indica que se ha notificado 1
el estado de rendimiento.
Degradación de 8087 Indica que se ha degradado 4
rendimiento el rendimiento.
Configuración errónea 8088 Indica que se ha detectado 5
una configuración
incorrecta.
Política
La categoría de política contiene sucesos que están relacionados con la administración de la política de
red y la supervisión de los recursos de la red para comprobar si se producen violaciones de la política.
asociados para la categoría de política.

Tabla 89. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de política
Violación de política 9001 Indica una violación de 2
desconocida política desconocida.
Violación de política de 9002 Indica una violación de 2
web política de web.
acceso remoto política de acceso remoto.
IRC/IM política de mensajería
instantánea.
Violación de política de P2P 9005 Indica una violación de 2
política de P2P (de igual a
igual).
acceso de IP política de acceso de IP.
aplicación política de aplicación.
base de datos política de base de datos.
umbral de red política de umbral de red.
contenido para adultos contenido para adultos.
juegos política de juegos.
Violación de política 9012 Indica una violación de 2
diversa política diversa.
conformidad política de conformidad.
correo política de correo.
Violación de política de IRC 9015 Indica una violación de 2
política de IRC.
Violación de política de IM 9016 Indica una violación de 2
política que está
relacionada con actividades
de mensajería instantánea
(IM).
VoIP política de VoIP.
Satisfactorio 9018 Indica un mensaje de éxito 1
de la política.
Anómalo 9019 Indica un mensaje de error 4
de la política.
prevención de pérdida de política de prevención de
datos pérdida de datos.

Tabla 89. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de política (continuación)
Lista de observación 9021 Indica un objeto de lista de 2
observación.
Concesión de política de 9022 Indica una concesión de 1
web política de web nueva.
Desconocido
La categoría Desconocido contiene sucesos que no se analizan y, por lo tanto, no se pueden asignar a
ninguna categoría.
asociados para la categoría Desconocido.
Tabla 90. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Desconocido
Desconocido 10001 Indica un suceso 3
desconocido.
Suceso de Snort 10002 Indica un suceso de Snort 3
Suceso de Dragon 10003 Indica un suceso de Dragon 3
Suceso de cortafuegos Pix 10004 Indica un suceso de Cisco 3
desconocido Private Internet Exchange
(PIX) Firewall desconocido.
Suceso de punto crítico 10005 Indica un suceso de HP 3
desconocido TippingPoint desconocido.
Suceso de servidor de 10006 Indica un suceso de 3
autenticación de Windows Windows Auth Server
Suceso de Nortel 10007 Indica un suceso de Nortel 3
Almacenado 10009 Indica un suceso 3
almacenado desconocido.
Conductual 11001 Indica un suceso de 3
comportamiento
desconocido.
Umbral 11002 Indica un suceso de umbral 3
desconocido.
Anomalía 11003 Indica un suceso de 3
anomalía desconocido.
CRE
La categoría de suceso de regla personalizada (CRE) contiene sucesos que se generan a partir de una
regla personalizada de delito, flujo o suceso.

asociados para la categoría de CRE.
Tabla 91. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de CRE
Suceso de CRE desconocido 12001 Indica un suceso de motor 5
de reglas personalizadas
desconocido.
Coincidencia de regla de 12002 Indica una coincidencia de 5
suceso individual regla de suceso individual.
secuencia de sucesos regla de secuencia de
sucesos.
secuencia de sucesos de regla de secuencia de
delito cruzado sucesos de delito cruzado.
delito regla de delito.
Explotación potencial
La categoría de explotación potencial contiene sucesos que están relacionados con intentos de
explotaciones potenciales de aplicación y de desbordamiento de almacenamiento intermedio.
asociados para la categoría de explotación potencial.
Tabla 92. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de explotación potencial
Ataque de explotación 13001 Indica que se ha detectado 7
potencial desconocido un ataque de explotación
potencial.
Desbordamiento de 13002 Indica que se ha detectado 7
almacenamiento intermedio un desbordamiento de
potencial almacenamiento intermedio
potencial.
Explotación de DNS 13003 Indica que se ha detectado 7
potencial un ataque de explotación
potencial a través del
servidor DNS.
Explotación de Telnet 13004 Indica que se ha detectado 7
potencial a través de Telnet.
Explotación de Linux 13005 Indica que se ha detectado 7
potencial a través de Linux.
Explotación de UNIX 13006 Indica que se ha detectado 7
potencial a través de UNIX.

Tabla 92. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de explotación
potencial (continuación)
Explotación de Windows 13007 Indica que se ha detectado 7
potencial a través de
Windows.
Explotación de correo 13008 Indica que se ha detectado 7
potencial a través del
correo.
Explotación de 13009 Indica que se ha detectado 7
infraestructura potencial un ataque de explotación
potencial en la
infraestructura del sistema.
Explotación diversa 13010 Indica que se ha detectado 7
potencial.
Explotación de web 13011 Indica que se ha detectado 7
potencial a través de la
Web.
Conexión del Botnet 13012 Indica un ataque de 6
potencial explotación potencial que
utiliza botnet.
Actividad de gusano 13013 Indica que se ha detectado 6
potencial un ataque potencial que
utiliza actividad de gusano.
Flujo
La categoría de flujo incluye sucesos relacionados con acciones de flujo.
asociados para la categoría de flujo.
Tabla 93. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de flujo
Categoría de sucesos de Nivel de gravedad (0 –
nivel bajo ID de categoría Descripción 10)
Flujo unidireccional 14001 Indica un flujo de sucesos 5
unidireccional.
Número bajo de flujos 14002 Indica un número bajo de flujos 5
unidireccionales unidireccionales de sucesos.
Número medio de flujos 14003 Indica un número medio de flujos 5
Número alto de flujos 14004 Indica un número alto de flujos 5
Flujo de TCP unidireccional 14005 Indica un flujo de TCP 5
unidireccional.
Número bajo de flujos de 14006 Indica un número bajo de flujos 5
TCP unidireccionales unidireccionales de TCP.

Tabla 93. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de flujo (continuación)
Número medio de flujos de 14007 Indica un número medio de flujos 5
Número alto de flujos de 14008 Indica un número alto de flujos 5
Flujo de ICMP unidireccional 14009 Indica un flujo de ICMP 5
unidireccional.
ICMP unidireccionales unidireccionales de ICMP.
ICMP unidireccionales unidireccionales de ICMP.
Número alto de flujos 14012 Indica un número alto de flujos 5
unidireccionales de ICMP unidireccionales de ICMP.
Flujo de ICMP sospechoso 14013 Indica un flujo de ICMP 5
sospechoso.
Flujo de UDP sospechoso 14014 Indica un flujo de UDP 5
sospechoso.
Flujo de TCP sospechoso 14015 Indica un flujo de TCP 5
sospechoso.
Flujo sospechoso 14016 Indica un flujo sospechoso. 5
Flujo de paquetes vacíos 14017 Indica flujos de paquetes vacíos. 5
paquetes vacíos de paquetes vacíos.
paquetes vacíos de paquetes vacíos.
Número alto de flujos de 14020 Indica un número alto de flujos de 5
paquetes vacíos paquetes vacíos.
Flujos de carga grande 14021 Indica una carga grande de flujos. 5
carga grande de carga grande.
Número medio de flujos de 14023 Indica un número alto de flujos de 5
carga grande carga grande.
Número alto de flujos de 14024 Indica un número alto de flujos de 5
carga grande carga grande.
Un atacante a muchos flujos 14025 Indica que un atacante está 5
de destino dirigiéndose a muchos flujos.
Muchos atacantes a un flujo 14026 Indica que muchos atacantes se 5
de destino están dirigiendo a un flujo.
Flujo desconocido 14027 Indica un flujo desconocido. 5
Registro de Netflow 14028 Indica un registro de Netflow. 5
Registro de QFlow 14029 Indica un registro de QFlow. 5
Registro de SFlow 14030 Indica un registro de SFlow. 5
Registro de Packeteer 14031 Indica un registro de Packeteer. 5
Flujo diverso 14032 Indica un flujo diverso. 5
Transferencia de datos 14033 Indica una transferencia de datos 5
grande grande

Tabla 93. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de flujo (continuación)
Transferencia de datos 14034 Indica una transferencia grande de 5
grande de salida datos de salida.
Flujos de VoIP 14035 Indica flujos de VoIP. 5
Definido por el usuario

La categoría Definido por el usuario contiene sucesos que están relacionados con objetos definidos por el
usuario.
asociados para la categoría Definido por el usuario.
Tabla 94. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Definido por el usuario
Sentry personalizado bajo 15001 Indica un suceso de 3
anomalía personalizado de
gravedad baja.
Sentry personalizado medio 15002 Indica un suceso de 5
gravedad media.
Sentry personalizado alto 15003 Indica un suceso de 7
gravedad alta.
Sentry personalizado 1 15004 Indica un suceso de 1
anomalía personalizado con
el nivel de gravedad 1.

Tabla 94. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Definido por el
usuario (continuación)
Política personalizada baja 15013 Indica un suceso de política 3
personalizado con un nivel
de gravedad bajo.
Política personalizada 15014 Indica un suceso de política 5
media personalizado con un nivel
de gravedad medio.
Política personalizada alta 15015 Indica un suceso de política 7
de gravedad alto.
Política personalizada 1 15016 Indica un suceso de política 1
personalizado con el nivel
de gravedad 1.
de gravedad 2.
de gravedad 3.
de gravedad 4.
de gravedad 5.
de gravedad 6.
de gravedad 7.
de gravedad 8.
de gravedad 9.
Usuario personalizado bajo 15025 Indica un suceso de usuario 3
de gravedad bajo.
Usuario personalizado 15026 Indica un suceso de usuario 5
medio personalizado con un nivel
de gravedad medio.
Usuario personalizado alto 15027 Indica un suceso de usuario 7
de gravedad alto.

Tabla 94. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Definido por el
usuario (continuación)
Usuario personalizado 1 15028 Indica un suceso de usuario 1
de gravedad 1.
de gravedad 2.
de gravedad 3.
de gravedad 4.
de gravedad 5.
de gravedad 6.
de gravedad 7.
de gravedad 8.
de gravedad 9.
Auditoría de SIM
La categoría Auditoría de SIM contiene sucesos que están relacionados con la interacción del usuario con
la consola de IBM Security QRadar y las funciones administrativas.
asociados para la categoría Auditoría de SIM.
Tabla 95. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Auditoría de SIM
Autenticación de usuario 16001 Indica un inicio o un cierre 5
de SIM de sesión del usuario en la
consola.
Cambio de configuración 16002 Indica que un usuario ha 3
de SIM cambiado el despliegue o la
configuración de SIM.

Tabla 95. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría Auditoría de
SIM (continuación)
Acción de usuario de SIM 16003 Indica que un usuario ha 3
iniciado un proceso como,
por ejemplo, iniciar una
copia de seguridad o
generar un informe, en el
módulo SIM.
Sesión creada 16004 Indica que se ha creado una 3
sesión de usuario.
Sesión destruida 16005 Indica que se ha destruido 3
una sesión de usuario.
Sesión de Admin creada 16006 Indica que se ha creado una
sesión de administrador.
Sesión de Admin destruida 16007 Indica que se ha destruido 3
una sesión de
administrador.
Sesión de autenticación no 16008 Indica una sesión de 5
válida autenticación no válida.
Sesión de autenticación 16009 Indica que la autenticación 3
caducada de una sesión ha caducado.
Configuración de Risk 16010 Indica que un usuario ha 3
Manager cambiado la configuración
de IBM Security QRadar
Risk Manager.
Descubrimiento de host de VIS

Cuando el componente VIS descubre y almacena nuevos hosts, puertos o vulnerabilidades que se han
detectado en la red, el componente VIS genera sucesos. Estos sucesos se envían al Recopilador de sucesos
para correlacionarlos con otros sucesos de seguridad.
asociados para la categoría de descubrimiento de host de VIS.
Tabla 96. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de descubrimiento de host
de VIS
Host nuevo descubierto 17001 Indica que el componente 3
VIS ha detectado un host
nuevo.
Puerto nuevo descubierto 17002 Indica que el componente 3
VIS ha detectado un puerto
abierto nuevo.
Vuln. nueva descubierta 17003 Indica que el componente 3
VIS ha detectado una
vulnerabilidad nueva.

Tabla 96. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de descubrimiento de host
de VIS (continuación)
SO nuevo descubierto 17004 Indica que el componente 3
VIS ha detectado un
sistema operativo nuevo en
un host.
Host masivo descubierto 17005 Indica que el componente 3
VIS ha detectado
demasiados hosts nuevos
en un periodo corto de
tiempo.
Aplicación
La categoría de aplicación contiene sucesos que están relacionados con la actividad de auditoría, como el
correo electrónico o la actividad de FTP.
asociados para la categoría de aplicación.
Tabla 97. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de aplicación
Correo abierto 18001 Indica que se ha establecido 1
una conexión de correo
electrónico.
Correo cerrado 18002 Indica que se ha cerrado 1
electrónico.
Correo restablecido 18003 Indica que se ha 3
restablecido una conexión
de correo electrónico.
Correo terminado 18004 Indica que se ha terminado 4
electrónico.
Correo denegado 18005 Indica que se ha denegado 4
electrónico.
Correo en curso 18006 Indica que se está 1
intentando una conexión de
correo electrónico.
Correo retardado 18007 Indica que se ha retardado 4
electrónico.
Correo en cola 18008 Indica que se ha puesto en 3
cola una conexión de correo
electrónico.
Correo redirigido 18009 Indica que se ha redirigido 1
electrónico.

Tabla 97. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de
aplicación (continuación)
FTP abierto 18010 Indica que se ha abierto 1
una conexión de FTP.
FTP cerrado 18011 Indica que se ha cerrado 1
FTP restablecido 18012 Indica que se ha 3
de FTP.
FTP terminado 18013 Indica que se ha terminado 4
FTP denegado 18014 Indica que se ha denegado 4
FTP en curso 18015 Indica que hay una 1
conexión de FTP en curso.
FTP redirigido 18016 Indica que se ha redirigido 3
HTTP abierto 18017 Indica que se ha establecido 1
una conexión de HTTP.
HTTP cerrado 18018 Indica que se ha cerrado 1
HTTP restablecido 18019 Indica que se ha 3
de HTTP.
HTTP terminado 18020 Indica que se ha terminado 4
HTTP denegado 18021 Indica que se ha denegado 4
HTTP en curso 18022 Indica que hay una 1
conexión de HTTP en
curso.
HTTP retardado 18023 Indica que se ha retardado 3
HTTP en cola 18024 Indica que se ha puesto en 1
cola una conexión de HTTP.
HTTP redirigido 18025 Indica que se ha redirigido 1
Proxy HTTP 18026 Indica que una conexión de 1
HTTP se está pasando a
través de un proxy.
HTTPS abierto 18027 Indica que se ha establecido 1
una conexión de HTTPS.
HTTPS cerrado 18028 Indica que se ha cerrado 1
HTTPS restablecido 18029 Indica que se ha 3
de HTTPS.

HTTPS terminado 18030 Indica que se ha terminado 4
HTTPS denegado 18031 Indica que se ha denegado 4
HTTPS en curso 18032 Indica que hay una 1
conexión de HTTPS en
curso.
HTTPS retardado 18033 Indica que se ha retardado 3
HTTPS en cola 18034 Indica que se ha puesto en 3
cola una conexión de
HTTPS.
HTTPS redirigido 18035 Indica que se ha redirigido 3
HTTPS Proxy 18036 Indica que una conexión de 1
HTTPS pasa a través de un
proxy.
SSH abierto 18037 Indica que se ha establecido 1
una conexión de SSH.
SSH cerrado 18038 Indica que se ha cerrado 1
SSH restablecido 18039 Indica que se ha 3
de SSH.
SSH terminado 18040 Indica que se ha terminado 4
SSH denegado 18041 Indica que se ha denegado 4
una sesión de SSH.
SSH en curso 18042 Indica que hay una sesión 1
de SSH en curso.
Acceso remoto abierto 18043 Indica que se ha establecido 1
una conexión de acceso
remoto.
Acceso remoto cerrado 18044 Indica que se ha cerrado 1
remoto.
Acceso remoto restablecido 18045 Indica que se ha 3
de acceso remoto.
Acceso remoto terminado 18046 Indica que se ha terminado 4
remoto.
Acceso remoto denegado 18047 Indica que se ha denegado 4
remoto.

Acceso remoto en curso 18048 Indica que hay una 1
conexión de acceso remoto
en curso.
Acceso remoto retardado 18049 Indica que se ha retardado 3
remoto.
Acceso remoto redirigido 18050 Indica que se ha redirigido 3
remoto.
VPN abierta 18051 Indica que se ha abierto 1
una conexión de VPN.
VPN cerrada 18052 Indica que se ha cerrado 1
VPN restablecida 18053 Indica que se ha 3
de VPN.
VPN terminada 18054 Indica que se ha terminado 4
VPN denegada 18055 Indica que se ha denegado 4
VPN en curso 18056 Indica que hay una 1
conexión de VPN en curso.
VPN retardada 18057 Indica que una conexión de 3
VPN se ha retardado.
VPN en cola 18058 Indica que se ha puesto en 3
cola una conexión de VPN.
VPN redirigida 18059 Indica que se ha redirigido 3
RDP abierto 18060 Indica que se ha establecido 1
una conexión de RDP.
RDP cerrado 18061 Indica que se ha cerrado 1
RDP restablecido 18062 Indica que se ha 3
de RDP.
RDP terminado 18063 Indica que se ha terminado 4
RDP denegado 18064 Indica que se ha denegado 4
RDP en curso 18065 Indica que hay una 1
conexión de RDP en curso.
RDP redirigido 18066 Indica que se ha redirigido 3
Transferencia de archivos 18067 Indica que se ha establecido 1
abierta una conexión de
transferencia de archivos.

Transferencia de archivos 18068 Indica que se ha cerrado 1
cerrada una conexión de
Transferencia de archivos 18069 Indica que se ha 3
restablecida restablecido una conexión
de transferencia de
archivos.
Transferencia de archivos 18070 Indica que se ha terminado 4
terminada una conexión de
Transferencia de archivos 18071 Indica que se ha denegado 4
denegada una conexión de
Transferencia de archivos 18072 Indica que hay una 1
en curso conexión de transferencia
de archivos en curso.
Transferencia de archivos 18073 Indica que se ha retardado 3
retardada una conexión de
Transferencia de archivos 18074 Indica que se ha puesto en 3
en cola cola una conexión de
Transferencia de archivos 18075 Indica que se ha redirigido 3
redirigida una conexión de
DNS abierto 18076 Indica que se ha establecido 1
una conexión de DNS.
DNS cerrado 18077 Indica que se ha cerrado 1
DNS restablecido 18078 Indica que se ha 5
de DNS.
DNS terminado 18079 Indica que se ha terminado 5
DNS denegado 18080 Indica que se ha denegado 5
DNS en curso 18081 Indica que hay una 1
conexión de DNS en curso.
DNS retardado 18082 Indica que se ha retardado 5
DNS redirigido 18083 Indica que se ha redirigido 4
Conversación abierta 18084 Indica que se ha abierto 1
una conexión de
conversación.
Conversación cerrada 18085 Indica que se ha cerrado 1
una conexión de
conversación.

Conversación restablecida 18086 Indica que se ha 3
de conversación.
Conversación terminada 18087 Indica que se ha terminado 3
una conexión de
conversación.
Conversación denegada 18088 Indica que se ha denegado 3
una conexión de
conversación.
Conversación en curso 18089 Indica que hay una 1
conexión de conversación
en curso.
Conversación redirigida 18090 Indica que se ha redirigido 1
una conexión de
conversación.
Base de datos abierta 18091 Indica que se ha establecido 1
una conexión a base de
datos.
Base de datos cerrada 18092 Indica que se ha cerrado 1
datos.
Base de datos restablecida 18093 Indica que se ha 5
restablecido una conexión a
base de datos.
Base de datos terminada 18094 Indica que se ha terminado 5
datos.
Base de datos denegada 18095 Indica que se ha denegado 5
datos.
Base de datos en curso 18096 Indica que hay una 1
conexión a base de datos en
curso.
Base de datos redirigida 18097 Indica que se ha redirigido 3
datos.
SMTP abierto 18098 Indica que se ha establecido 1
una conexión de SMTP.
SMTP cerrado 18099 Indica que se ha cerrado 1
SMTP restablecido 18100 Indica que se ha 3
de SMTP.
SMTP terminado 18101 Indica que se ha terminado 5
SMTP denegado 18102 Indica que se ha denegado 5

SMTP en curso 18103 Indica que hay una 1
conexión de SMTP en
curso.
SMTP retardado 18104 Indica que se ha retardado 3
SMTP en cola 18105 Indica que se ha puesto en 3
cola una conexión de SMTP.
SMTP redirigido 18106 Indica que se ha redirigido 3
Autenticación abierta 18107 Indica que se ha establecido 1
una conexión con el
servidor de autorizaciones.
Autenticación cerrada 18108 Indica que se ha cerrado 1
Autenticación restablecida 18109 Indica que se ha 3
con el servidor de
autorizaciones.
Autenticación terminada 18110 Indica que se ha terminado 4
Autenticación denegado 18111 Indica que se ha denegado 4
Autenticación en curso 18112 Indica que hay una 1
conexión con el servidor de
autorizaciones en curso.
Autenticación retardada 18113 Indica que se ha retardado 3
Autenticación en cola 18114 Indica que se ha puesto en 3
cola una conexión con el
Autenticación redirigida 18115 Indica que se ha redirigido 2
P2P abierto 18116 Indica que se ha establecido 1
una conexión de P2P (de
igual a igual).
P2P cerrado 18117 Indica que se ha cerrado 1
una conexión de P2P.
P2P restablecido 18118 Indica que se ha 4
de P2P.
P2P terminado 18119 Indica que se ha terminado 4

P2P denegado 18120 Indica que se ha denegado 3
P2P en curso 18121 Indica que hay una 1
conexión de P2P en curso.
Web abierta 18122 Indica que se ha establecido 1
una conexión web.
Web cerrada 18123 Indica que se ha cerrado 1
una conexión web.
Web restablecida 18124 Indica que se ha 4
web.
Web terminada 18125 Indica que se ha terminado 4
una conexión web.
Web denegada 18126 Indica que se ha denegado 4
una conexión web.
Web en curso 18127 Indica que hay una 1
conexión web en curso.
Web retardada 18128 Indica que se ha retardado 3
una conexión web.
Web en cola 18129 Indica que se ha puesto en 1
cola una conexión web.
Web redirigida 18130 Indica que se ha redirigido 1
una conexión web.
Proxy web 18131 Indica que una conexión 1
web ha pasado a través de
un proxy.
VoIP abierto 18132 Indica que se ha establecido 1
una conexión VoIP (voz
sobre IP).
VoIP cerrado 18133 Indica que se ha cerrado 1
una conexión de VoIP.
VoIP restablecido 18134 Indica que se ha 3
de VoIP.
VoIP terminado 18135 Indica que se ha terminado 3
VoIP denegado 18136 Indica que se ha denegado 3
VoIP en curso 18137 Indica que hay una 1
conexión de VoIP en curso.
VoIP retardado 18138 Indica que se ha retardado 3
VoIP redirigido 18139 Indica que se ha redirigido 3
Sesión de LDAP iniciada 18140 Indica que se ha iniciado 1
una sesión de LDAP.

Sesión de LDAP finalizada 18141 Indica que ha finalizado 1
Sesión de LDAP denegada 18142 Indica que se ha denegado 3
Estado de sesión LDAP 18143 Indica que se ha notificado 1
un mensaje de estado de
sesión de LDAP.
Autenticación de LDAP 18144 Indica que una 4
fallida autenticación de LDAP ha
fallado.
Autenticación de LDAP 18145 Indica que una 1
satisfactoria autenticación de LDAP ha
sido satisfactoria.
Sesión de AAA iniciada 18146 Indica que se ha iniciado 1
una sesión de AAA
(autenticación, autorización
y contabilidad).
Sesión de AAA finalizada 18147 Indica que ha finalizado 1
una sesión de AAA.
Sesión de AAA denegada 18148 Indica que se ha denegado 3
una sesión de AAA.
Estado de sesión AAA 18149 Indica que se ha notificado 1
sesión de AAA.
Autenticación de AAA 18150 Indica que una 4
fallida autenticación de AAA ha
fallado.
Autenticación de AAA 18151 Indica que una 1
satisfactoria autenticación de AAA ha
sido satisfactoria.
Autenticación de IPSec 18152 Indica que una 4
fallida autenticación de IPSEC
(seguridad de protocolo de
Internet, Internet Protocol
Security) ha fallado.
Autenticación de IPSec 18153 Indica que una 1
satisfactoria autenticación de IPSEC ha
sido satisfactoria.
Sesión de IPSec iniciada 18154 Indica que se ha iniciado 1
una sesión de IPSEC.
Sesión de IPSec finalizada 18155 Indica que ha finalizado 1
una sesión de IPSEC.
Error de IPSec 18156 Indica que se ha notificado 5
un mensaje de error de
IPSEC.
Estado de IPSEC 18157 Indica que se ha notificado 1
sesión de IPSEC.

Sesión de IM abierta 18158 Indica que se ha establecido 1
una sesión de mensajería
instantánea (IM).
Sesión de IM cerrada 18159 Indica que se ha cerrado 1
una sesión de IM.
Sesión de IM restablecida 18160 Indica que se ha 3
restablecido una sesión de
IM.
Sesión de IM terminada 18161 Indica que se ha terminado 3
una sesión de IM.
Sesión de IM denegada 18162 Indica que se ha denegado 3
una sesión de IM.
Sesión de IM en curso 18163 Indica que hay una sesión 1
de IM en curso.
Sesión de IM retardada 18164 Indica que se ha retardado 3
una sesión de IM.
Sesión de IM redirigida 18165 Indica que se ha redirigido 3
una sesión de IM.
Sesión de Whois abierta 18166 Indica que se ha establecido 1
una sesión de WHOIS.
Sesión de Whois cerrada 18167 Indica que se ha cerrado 1
Sesión de Whois 18168 Indica que se ha 3
restablecida restablecido una sesión de
WHOIS.
Sesión de Whois terminada 18169 Indica que se ha terminado 3
Sesión de Whois denegada 18170 Indica que se ha denegado 3
Sesión de Whois en curso 18171 Indica que hay una sesión 1
de WHOIS en curso.
Sesión de Whois redirigida 18172 Indica que se ha redirigido 3
Sesión de Traceroute abierta 18173 Indica que se ha establecido 1
una sesión de Traceroute.
Sesión de Traceroute 18174 Indica que se ha cerrado 1
cerrada una sesión de Traceroute.
Sesión de Traceroute 18175 Indica que se ha denegado 3
denegada una sesión de Traceroute.
Sesión de Traceroute en 18176 Indica que hay una sesión 1
curso de Traceroute en curso.

Sesión de TN3270 abierta 18177 TN3270 es un programa de 1
emulación de terminal que
se utiliza para conectar con
un terminal IBM 3270. Esta
categoría indica que se ha
establecido una sesión de
TN3270.
Sesión de TN3270 cerrada 18178 Indica que se ha cerrado 1
una sesión de TN3270.
Sesión de TN3270 18179 Indica que se ha 3
TN3270.
Sesión de TN3270 18180 Indica que se ha terminado 3
terminada una sesión de TN3270.
Sesión de TN3270 denegada 18181 Indica que se ha denegado 3
una sesión de TN3270.
Sesión de TN3270 en curso 18182 Indica que hay una sesión 1
de TN3270 en curso.
Sesión de TFTP abierta 18183 Indica que se ha establecido 1
una sesión de TFTP.
Sesión de TFTP cerrada 18184 Indica que se ha cerrado 1
Sesión de TFTP restablecida 18185 Indica que se ha 3
TFTP.
Sesión de TFTP terminada 18186 Indica que se ha terminado 3
Sesión de TFTP denegada 18187 Indica que se ha denegado 3
Sesión de TFTP en curso 18188 Indica que hay una sesión 1
de TFTP en curso.
Sesión de Telnet abierta 18189 Indica que se ha establecido 1
una sesión de Telnet.
Sesión de Telnet cerrada 18190 Indica que se ha cerrado 1
Sesión de Telnet 18191 Indica que se ha 3
Telnet.
Sesión de Telnet terminada 18192 Indica que se ha terminado 3
Sesión de Telnet denegada 18193 Indica que se ha denegado 3
Sesión de Telnet en curso 18194 Indica que hay una sesión 1
de Telnet en curso.
Sesión de Syslog abierta 18201 Indica que se ha establecido 1
una sesión de syslog.

Sesión de Syslog cerrada 18202 Indica que se ha cerrado 1
Sesión de Syslog denegada 18203 Indica que se ha denegado 3
Sesión de Syslog en curso 18204 Indica que hay una sesión 1
de syslog en curso.
Sesión de SSL abierta 18205 Indica que se ha establecido 1
una sesión de SSL (capa de
sockets seguros).
Sesión de SSL cerrada 18206 Indica que se ha cerrado 1
una sesión de SSL.
Sesión de SSL restablecida 18207 Indica que se ha 3
SSL.
Sesión de SSL terminada 18208 Indica que se ha terminado 3
una sesión de SSL.
Sesión de SSL denegada 18209 Indica que se ha denegado 3
una sesión de SSL.
Sesión de SSL en curso 18210 Indica que hay una sesión 1
de SSL en curso.
Sesión de SNMP abierta 18211 Indica que se ha establecido 1
una sesión de SNMP
(protocolo simple de
gestión de red).
Sesión de SNMP cerrada 18212 Indica que se ha cerrado 1
una sesión de SNMP.
Sesión de SNMP denegada 18213 Indica que se ha denegado 3
una sesión de SNMP.
Sesión de SNMP en curso 18214 Indica que hay una sesión 1
de SNMP en curso.
Sesión de SMB abierta 18215 Indica que se ha establecido 1
una sesión de SMB (bloque
de mensajes de servidor,
Server Message Block).
Sesión de SMB cerrada 18216 Indica que se ha cerrado 1
una sesión de SMB.
Sesión de SMB restablecida 18217 Indica que se ha 3
SMB.
Sesión de SMB terminada 18218 Indica que se ha terminado 3
una sesión de SMB.
Sesión de SMB denegada 18219 Indica que se ha denegado 3
una sesión de SMB.
Sesión de SMB en curso 18220 Indica que hay una sesión 1
de SMB en curso.

Sesión de medios en 18221 Indica que se ha establecido 1
modalidad continua abierta una sesión de medios en
modalidad continua.
Sesión de medios en 18222 Indica que se ha cerrado 1
modalidad continua una sesión de medios en
cerrada modalidad continua.
Sesión de medios en 18223 Indica que se ha 3
modalidad continua restablecido una sesión de
restablecida medios en modalidad
continua.
Sesión de medios en 18224 Indica que se ha terminado 3
terminada modalidad continua.
Sesión de medios en 18225 Indica que se ha denegado 3
denegada modalidad continua.
Sesión de medios en 18226 Indica que hay una sesión 1
modalidad continua en de medios en modalidad
curso continua en curso.
Sesión de RUSERS abierta 18227 Indica que se ha establecido 1
una sesión de RUSERS
(usuarios remotos).
Sesión de RUSERS cerrada 18228 Indica que se ha cerrado 1
una sesión de RUSERS.
Sesión de RUSERS 18229 Indica que se ha denegado 3
denegada una sesión de RUSERS.
Sesión de RUSERS en curso 18230 Indica que hay una sesión 1
de RUSERS en curso.
Sesión de RSH abierta 18231 Indica que se ha establecido 1
una sesión de rsh (shell
remoto).
Sesión de RSH cerrada 18232 Indica que se ha cerrado 1
una sesión de rsh.
Sesión de RSH restablecida 18233 Indica que se ha 3
rsh.
Sesión de RSH terminada 18234 Indica que se ha terminado 3
una sesión de rsh.
Sesión de RSH denegada 18235 Indica que se ha denegado 3
una sesión de rsh.
Sesión de RSH en curso 18236 Indica que hay una sesión 1
de rsh en curso.
Sesión de RLOGIN abierta 18237 Indica que se ha establecido 1
una sesión de RLOGIN
(inicio de sesión remoto).
Sesión de RLOGIN cerrada 18238 Indica que se ha cerrado 1
una sesión de RLOGIN.

Sesión de RLOGIN 18239 Indica que se ha 3
RLOGIN.
Sesión de RLOGIN 18240 Indica que se ha terminado 3
terminada una sesión de RLOGIN.
Sesión de RLOGIN 18241 Indica que se ha denegado 3
denegada una sesión de RLOGIN.
Sesión de RLOGIN en 18242 Indica que hay una sesión 1
curso de RLOGIN en curso.
Sesión de REXEC abierta 18243 Indica que se ha establecido 1
una sesión de REXEC
(ejecución remota).
Sesión de REXEC cerrada 18244 Indica que se ha cerrado 1
una sesión de REXEC.
Sesión de REXEC 18245 Indica que se ha 3
REXEC.
Sesión de REXEC 18246 Indica que se ha terminado 3
terminada una sesión de REXEC.
Sesión de REXEC denegada 18247 Indica que se ha denegado 3
una sesión de REXEC.
Sesión de REXEC en curso 18248 Indica que hay una sesión 1
de REXEC en curso.
Sesión de RPC abierta 18249 Indica que se ha establecido 1
una sesión de RPC
(llamada a procedimiento
remoto).
Sesión de RPC cerrada 18250 Indica que se ha cerrado 1
una sesión de RPC.
Sesión de RPC restablecida 18251 Indica que se ha 3
RPC.
Sesión de RPC terminada 18252 Indica que se ha terminado 3
una sesión de RPC.
Sesión de RPC denegada 18253 Indica que se ha denegado 3
una sesión de RPC.
Sesión de RPC en curso 18254 Indica que hay una sesión 1
de RPC en curso.
Sesión de NTP abierta 18255 Indica que se ha establecido 1
una sesión de NTP
(protocolo de hora en red).
Sesión de NTP cerrada 18256 Indica que se ha cerrado 1
una sesión de NTP.
Sesión de NTP restablecida 18257 Indica que se ha 3
NTP.

Sesión de NTP terminada 18258 Indica que se ha terminado 3
una sesión de NTP.
Sesión de NTP denegada 18259 Indica que se ha denegado 3
una sesión de NTP.
Sesión de NTP en curso 18260 Indica que hay una sesión 1
de NTP en curso.
Sesión de NNTP abierta 18261 Indica que se ha establecido 1
una sesión de NNTP
(protocolo para la
transferencia de noticias en
red).
Sesión de NNTP cerrada 18262 Indica que se ha cerrado 1
una sesión de NNTP.
Sesión de NNTP 18263 Indica que se ha 3
NNTP.
Sesión de NNTP terminada 18264 Indica que se ha terminado 3
Sesión de NNTP denegada 18265 Indica que se ha denegado 3
Sesión de NNTP en curso 18266 Indica que hay una sesión 1
de NNTP en curso.
Sesión de NFS abierta 18267 Indica que se ha establecido 1
una sesión de NFS
(Network File System).
Sesión de NFS cerrada 18268 Indica que se ha cerrado 1
una sesión de NFS.
Sesión de NFS restablecida 18269 Indica que se ha 3
NFS.
Sesión de NFS terminada 18270 Indica que se ha terminado 3
una sesión de NFS.
Sesión de NFS denegada 18271 Indica que se ha denegado 3
una sesión de NFS.
Sesión de NFS en curso 18272 Indica que hay una sesión 1
de NFS en curso.
Sesión de NCP abierta 18273 Indica que se ha establecido 1
una sesión de NCP
(Network Control
Program).
Sesión de NCP cerrada 18274 Indica que se ha cerrado 1
una sesión de NCP.
Sesión de NCP restablecida 18275 Indica que se ha 3
NCP.
Sesión de NCP terminada 18276 Indica que se ha terminado 3
una sesión de NCP.

Sesión de NCP denegada 18277 Indica que se ha denegado 3
una sesión de NCP.
Sesión de NCP en curso 18278 Indica que hay una sesión 1
de NCP en curso.
Sesión de NetBIOS abierta 18279 Indica que se ha establecido 1
una sesión de NetBIOS.
Sesión de NetBIOS cerrada 18280 Indica que se ha cerrado 1
una sesión de NetBIOS.
Sesión de NetBIOS 18281 Indica que se ha 3
NetBIOS.
Sesión de NetBIOS 18282 Indica que se ha terminado 3
terminada una sesión de NetBIOS.
Sesión de NetBIOS 18283 Indica que se ha denegado 3
denegada una sesión de NetBIOS.
Sesión de NetBIOS en curso 18284 Indica que hay una sesión 1
de NetBIOS en curso.
Sesión de MODBUS abierta 18285 Indica que se ha establecido 1
una sesión de MODBUS.
Sesión de MODBUS cerrada 18286 Indica que se ha cerrado 1
una sesión de MODBUS.
Sesión de MODBUS 18287 Indica que se ha 3
MODBUS.
Sesión de MODBUS 18288 Indica que se ha terminado 3
terminada una sesión de MODBUS.
Sesión de MODBUS 18289 Indica que se ha denegado 3
denegada una sesión de MODBUS.
Sesión de MODBUS en 18290 Indica que hay una sesión 1
curso de MODBUS en curso.
Sesión de LPD abierta 18291 Indica que se ha establecido 1
una sesión de LPD
(daemon de impresora de
líneas).
Sesión de LPD cerrada 18292 Indica que se ha cerrado 1
una sesión de LPD.
Sesión de LPD restablecida 18293 Indica que se ha 3
LPD.
Sesión de LPD terminada 18294 Indica que se ha terminado 3
una sesión de LPD.
Sesión de LPD denegada 18295 Indica que se ha denegado 3
una sesión de LPD.
Sesión de LPD en curso 18296 Indica que hay una sesión 1
de LPD en curso.

Sesión de Lotus Notes 18297 Indica que se ha establecido 1
abierta una sesión de Lotus Notes.
Sesión de Lotus Notes 18298 Indica que se ha cerrado 1
cerrada una sesión de Lotus Notes.
Sesión de Lotus Notes 18299 Indica que se ha 3
Lotus Notes.
Sesión de Lotus Notes 18300 Indica que se ha terminado 3
terminada una sesión de Lotus Notes.
Sesión de Lotus Notes 18301 Indica que se ha denegado 3
denegada una sesión de Lotus Notes.
Sesión de Lotus Notes en 18302 Indica que hay una sesión 1
curso de Lotus Notes en curso.
Sesión de Kerberos abierta 18303 Indica que se ha establecido 1
una sesión de Kerberos.
Sesión de Kerberos cerrada 18304 Indica que se ha cerrado 1
una sesión de Kerberos.
Sesión de Kerberos 18305 Indica que se ha 3
Kerberos.
Sesión de Kerberos 18306 Indica que se ha terminado 3
terminada una sesión de Kerberos.
Sesión de Kerberos 18307 Indica que se ha denegado 3
denegada una sesión de Kerberos.
Sesión de Kerberos en 18308 Indica que hay una sesión 1
curso de Kerberos en curso.
Sesión de IRC abierta 18309 Indica que se ha establecido 1
una sesión de IRC (Internet
Relay Chat).
Sesión de IRC cerrada 18310 Indica que se ha cerrado 1
una sesión de IRC.
Sesión de IRC restablecida 18311 Indica que se ha 3
IRC.
Sesión de IRC terminada 18312 Indica que se ha terminado 3
una sesión de IRC.
Sesión de IRC denegada 18313 Indica que se ha denegado 3
una sesión de IRC.
Sesión de IRC en curso 18314 Indica que hay una sesión 1
de IRC en curso.
Sesión de IEC 104 abierta 18315 Indica que se ha establecido 1
una sesión de IEC 104.
Sesión de IEC 104 cerrada 18316 Indica que se ha cerrado 1
una sesión de IEC 104.

Sesión de IEC 104 18317 Indica que se ha 3
IEC 104.
Sesión de IEC 104 18318 Indica que se ha terminado 3
terminada una sesión de IEC 104.
Sesión de IEC 104 18319 Indica que se ha denegado 3
denegada una sesión de IEC 104.
Sesión de IEC 104 en curso 18320 Indica que hay una sesión 1
de IEC 104 en curso.
Sesión de Ident abierta 18321 Indica que se ha establecido 1
una sesión de Ident
(protocolo de identidad de
cliente TCP).
Sesión de Ident cerrada 18322 Indica que se ha cerrado 1
una sesión de Ident.
Sesión de Ident restablecida 18323 Indica que se ha 3
Ident.
Sesión de Ident terminada 18324 Indica que se ha terminado 3
Sesión de Ident denegada 18325 Indica que se ha denegado 3
Sesión de Ident en curso 18326 Indica que hay una sesión 1
de Ident en curso.
Sesión de ICCP abierta 18327 Indica que se ha establecido 1
una sesión de ICCP
(Inter-Control Center
Communications Protocol).
Sesión de ICCP cerrada 18328 Indica que se ha cerrado 1
una sesión de ICCP.
Sesión de ICCP restablecida 18329 Indica que se ha 3
ICCP.
Sesión de ICCP terminada 18330 Indica que se ha terminado 3
Sesión de ICCP denegada 18331 Indica que se ha denegado 3
Sesión de ICCP en curso 18332 Indica que hay una sesión 1
de ICCP en curso.
Sesión de 18333 Indica que se ha establecido 1
GroupWiseSession abierta una sesión de GroupWise.
Sesión de GroupWise 18334 Indica que se ha cerrado 1
cerrada una sesión de GroupWise.
Sesión de GroupWise 18335 Indica que se ha 3
GroupWise.

Sesión de GroupWise 18336 Indica que se ha terminado 3
terminada una sesión de GroupWise.
Sesión de GroupWise 18337 Indica que se ha denegado 3
denegada una sesión de GroupWise.
Sesión de GroupWise en 18338 Indica que hay una sesión 1
curso de GroupWise en curso.
Sesión de Gopher abierta 183398 Indica que se ha establecido 1
una sesión de Gopher.
Sesión de Gopher cerrada 18340 Indica que se ha cerrado 1
Sesión de Gopher 18341 Indica que se ha 3
Gopher.
Sesión de Gopher 18342 Indica que se ha terminado 3
terminada una sesión de Gopher.
Sesión de Gopher denegada 18343 Indica que se ha denegado 3
Sesión de Gopher en curso 18344 Indica que hay una sesión 1
de Gopher en curso.
Sesión de GIOP abierta 18345 Indica que se ha establecido 1
una sesión de GIOP
(protocolo Inter-ORB
general).
Sesión de GIOP cerrada 18346 Indica que se ha cerrado 1
una sesión de GIOP.
Sesión de GIOP restablecida 18347 Indica que se ha 3
GIOP.
Sesión de GIOP terminada 18348 Indica que se ha terminado 3
Sesión de GIOP denegada 18349 Indica que se ha denegado 3
Sesión de GIOP en curso 18350 Indica que hay una sesión 1
de GIOP en curso.
Sesión de Finger abierta 18351 Indica que se ha establecido 1
una sesión de Finger.
Sesión de Finger cerrada 18352 Indica que se ha cerrado 1
Sesión de Finger 18353 Indica que se ha 3
Finger.
Sesión de Finger terminada 18354 Indica que se ha terminado 3
Sesión de Finger denegada 18355 Indica que se ha denegado 3

Sesión de Finger en curso 18356 Indica que hay una sesión 1
de Finger en curso.
Sesión de Echo abierta 18357 Indica que se ha establecido 1
una sesión de Echo.
Sesión de Echo cerrada 18358 Indica que se ha cerrado 1
Sesión de Echo denegada 18359 Indica que se ha denegado 3
Sesión de Echo en curso 18360 Indica que hay una sesión 1
de Echo en curso.
Sesión de .NET remota 18361 Indica que se ha establecido 1
abierta una sesión de .NET remota.
Sesión de .NET remota 18362 Indica que se ha cerrado 1
cerrada una sesión de .NET remota.
Sesión de .NET remota 18363 Indica que se ha 3
.NET remota.
Sesión de .NET remota 18364 Indica que se ha terminado 3
terminada una sesión de .NET remota.
Sesión de .NET remota 18365 Indica que se ha denegado 3
denegada una sesión de .NET remota.
Sesión de .NET remota en 18366 Indica que hay una sesión 1
curso de .NET remota en curso.
Sesión de DNP3 abierta 18367 Indica que se ha establecido 1
una sesión de DNP3
(Distributed Network
Proctologic).
Sesión de DNP3 cerrada 18368 Indica que se ha cerrado 1
una sesión de DNP3.
Sesión de DNP3 18369 Indica que se ha 3
DNP3.
Sesión de DNP3 terminada 18370 Indica que se ha terminado 3
Sesión de DNP3 denegada 18371 Indica que se ha denegado 3
Sesión de DNP3 en curso 18372 Indica que hay una sesión 1
de DNP3 en curso.
Sesión de descarte abierta 18373 Indica que se ha establecido 1
una sesión de descarte.
Sesión de descarte cerrada 18374 Indica que se ha cerrado 1
una sesión de descarte.
Sesión de descarte 18375 Indica que se ha 3
descarte.

Sesión de descarte 18376 Indica que se ha terminado 3
terminada una sesión de descarte.
Sesión de descarte 18377 Indica que se ha denegado 3
denegada una sesión de descarte.
Sesión de descarte en curso 18378 Indica que hay una sesión 1
de descarte en curso.
Sesión de DHCP abierta 18379 Indica que se ha establecido 1
una sesión de DHCP
(protocolo de configuración
dinámica de hosts).
Sesión de DHCP cerrada 18380 Indica que se ha cerrado 1
una sesión de DHCP.
Sesión de DHCP denegada 18381 Indica que se ha denegado 3
una sesión de DHCP.
Sesión de DHCP en curso 18382 Indica que hay una sesión 1
de DHCP en curso.
Éxito de DHCP 18383 Indica que se ha obtenido 1
un arrendamiento de
DHCP satisfactoriamente.
Anomalía de DHCP 18384 Indica que se ha podido 3
obtener un arrendamiento
de DHCP.
Sesión de CVS abierta 18385 Indica que se ha establecido 1
una sesión de CVS (sistema
de versiones simultáneas).
Sesión de CVS cerrada 18386 Indica que se ha cerrado 1
una sesión de CVS.
Sesión de CVS restablecida 18387 Indica que se ha 3
CVS.
Sesión de CVS terminada 18388 Indica que se ha terminado 3
una sesión de CVS.
Sesión de CVS denegada 18389 Indica que se ha denegado 3
una sesión de CVS.
Sesión de CVS en curso 18390 Indica que hay una sesión 1
de CVS en curso.
Sesión de CUPS abierta 18391 Indica que se ha establecido 1
una sesión de CUPS
(Common UNIX Printing
System).
Sesión de CUPS cerrada 18392 Indica que se ha cerrado 1
una sesión de CUPS.
Sesión de CUPS 18393 Indica que se ha 3
CUPS.
Sesión de CUPS terminada 18394 Indica que se ha terminado 3

Sesión de CUPS denegada 18395 Indica que se ha denegado 3
Sesión de CUPS en curso 18396 Indica que hay una sesión 1
de CUPS en curso.
Sesión de Chargen iniciada 18397 Indica que se ha iniciado 1
una sesión de Chargen
(generador de caracteres).
Sesión de Chargen cerrada 18398 Indica que se ha cerrado 1
una sesión de Chargen.
Sesión de Chargen 18399 Indica que se ha 3
Chargen.
Sesión de Chargen 18400 Indica que se ha terminado 3
terminada una sesión de Chargen.
Sesión de Chargen 18401 Indica que se ha denegado 3
denegada una sesión de Chargen.
Sesión de Chargen en curso 18402 Indica que hay una sesión 1
de Chargen en curso.
VPN variada 18403 Indica que se ha detectado 1
una sesión de VPN variada.
Sesión de DAP iniciada 18404 Indica que se ha establecido 1
una sesión de DAP.
Sesión de DAP finalizada 18405 Indica que ha finalizado 1
una sesión de DAP.
Sesión de DAP denegada 18406 Indica que se ha denegado 3
una sesión de DAP.
Estado de sesión de DAP 18407 Indica que se ha realizado 1
una solicitud de estado de
sesión de DAP.
Sesión de DAP en curso 18408 Indica que hay una sesión 1
de DAP en curso.
Autenticación de DAP 18409 Indica que una 4
fallida autenticación de DAP ha
fallado.
Autenticación de DAP 18410 Indica que una 1
satisfactoria autenticación de DAP ha
sido satisfactoria.
Sesión de TOR iniciada 18411 Indica que se ha establecido 1
una sesión de TOR.
Sesión de TOR cerrada 18412 Indica que se ha cerrado 1
una sesión de TOR.
Sesión de TOR restablecida 18413 Indica que se ha 3
TOR.
Sesión de TOR terminada 18414 Indica que se ha terminado 3
una sesión de TOR.

Sesión de TOR denegada 18415 Indica que se ha denegado 3
una sesión de TOR.
Sesión de TOR en curso 18416 Indica que hay una sesión 1
de TOR en curso.
Sesión de Game iniciada 18417 Indica que se ha iniciado 1
una sesión de juego.
Sesión de Game cerrada 18418 Indica que se ha cerrado 1
Sesión de Game 18419 Indica que se ha 3
juego.
Sesión de Game terminada 18420 Indica que se ha terminado 3
Sesión de Game denegada 18421 Indica que se ha denegado 3
Sesión de Game en curso 18422 Indica que hay una sesión 1
de juego en curso.
Intento de inicio de sesión 18423 Indica que se ha detectado 2
de administrador un intento de iniciar una
sesión como usuario
administrativo.
Intento de inicio de sesión 18424 Indica que se ha detectado 2
de usuario un intento de iniciar una
sesión como usuario no
administrativo.
Servidor de cliente 18425 Indica actividad de 1
cliente/servidor.
Entrega de contenido 18426 Indica actividad de entrega 1
de contenido.
Transferencia de Datos 18427 Indica un transferencia de 3
datos.
Depósito de datos 18428 Indica actividad de 3
depósito de datos.
Servicios de directorio 18429 Indica actividad de 2
servicios de directorio.
Impresión de archivos 18430 Indica actividad de 1
impresión de archivos.
Transferencia de archivos 18431 Indica transferencia de 2
archivos.
Juegos 18432 Indica actividad de juegos. 4
Asistencia médica 18433 Indica actividad de 1
asistencia médica.
Sistema interno 18434 Indica actividad de un 1
sistema interno.
Protocolo Internet 18435 Indica actividad del 1
protocolo Internet.

Legado 18436 Indica actividad de legado. 1
Correo 18437 Indica actividad de correo. 1
Misc 18438 Indica actividad varia. 2
Multimedia 18439 Indica actividad 2
multimedia.
Gestión de red 18440 Indica actividad de gestión
de red.
P2P 18441 Indica actividad P2P (de 4
igual a igual).
Acceso remoto 18442 Indica actividad de acceso 3
remoto.
Protocolos de 18443 Indica actividad de los 1
direccionamiento protocolos de
direccionamiento.
Protocolo de seguridad 18444 Indica actividad del 2
protocolo de seguridad.
Modalidad continua 18445 Indica actividad de 2
modalidad continua.
Protocolo no común 18446 Indica actividad de 3
protocolo no común.
VoIP 18447 Indica actividad de VoIP. 1
Web 18448 Indica actividad web. 1
ICMP 18449 Indica actividad de ICMP. 1
Auditoría
La categoría de auditoría contiene sucesos que están relacionados con la actividad de auditoría, como el
correo electrónico o la actividad de FTP.
asociados para la categoría de auditoría.
Tabla 98. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría
Suceso de auditoría general 19001 Indica que ha comenzado 1
un suceso de auditoría
general.
Ejecución incorporada 19002 Indica que se ha ejecutado 1
una tarea de auditoría
incorporada.
Copia masiva 19003 Indica que se ha detectado 1
una copia masiva de datos.
Vuelco de datos 19004 Indica que se ha detectado 1
un vuelco de datos.

Tabla 98. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría (continuación)
Importación de datos 19005 Indica que se ha detectado 1
una importación de datos.
Selección de datos 19006 Indica que se ha detectado 1
un proceso de selección de
datos.
Recorte de datos 19007 Indica que se ha detectado 1
un proceso de recorte de
datos.
Actualización de datos 19008 Indica que se ha detectado 1
un proceso de actualización
de datos.
Ejecución 19009 Indica que se ha detectado 1
desencadenante/ la ejecución de un
procedimiento procedimiento de base de
datos o de un
desencadenante.
Cambio de esquema 19010 Indica que se ha alterado el 1
esquema de la ejecución de
un procedimiento o de un
desencadenante.
Actividad de creación 19011 Indica que se ha intentado 1
intentada una actividad de creación.
Actividad de creación 19012 Indica que la actividad de 1
satisfactoria creación ha sido
satisfactoria.
Actividad de creación 19013 Indica que la actividad de 3
fallida creación ha fallado.
Actividad de lectura 19014 Indica que se ha intentado 1
intentada una actividad de lectura.
Actividad de lectura 19015 Indica que se una actividad 1
satisfactoria de lectura ha sido
satisfactoria.
Actividad de lectura fallida 19016 Indica que la actividad de 3
lectura ha fallado.
Actividad de actualización 19017 Indica que se ha intentado 1
intentada una actividad de
actualización.
Actividad de actualización 19018 Indica que la actividad de 1
satisfactoria actualización ha sido
satisfactoria.
Actividad de actualización 19019 Indica que la actividad de 3
fallida actualización ha fallado.
Actividad de supresión 19020 Indica que se ha intentado 1
intentada una actividad de supresión.
Actividad de supresión 19021 Indica que la actividad de 1
satisfactoria supresión ha sido
satisfactoria.
Actividad de supresión 19022 Indica que la actividad de 3
fallida supresión ha fallado.

Actividad de copia de 19023 Indica que se ha intentado 1
seguridad intentada una actividad de copia de
seguridad.
Actividad de copia de 19024 Indica que la actividad de 1
seguridad satisfactoria copia de seguridad ha sido
satisfactoria.
Actividad de copia de 19025 Indica que la actividad de 3
seguridad fallida copia de seguridad ha
fallado.
Actividad de captura 19026 Indica que se ha intentado 1
intentada una actividad de captura.
Actividad de captura 19027 Indica que la actividad de 1
satisfactoria captura ha sido
satisfactoria.
Actividad de captura fallida 19028 Indica que la actividad de 3
captura ha fallado.
Actividad de configuración 19029 Indica que se ha intentado 1
configuración.
Actividad de configuración 19030 Indica que la actividad de 1
satisfactoria configuración ha sido
satisfactoria.
Actividad de configuración 19031 Indica que la actividad de 3
fallida configuración ha fallado.
Actividad de despliegue 19032 Indica que se ha intentado 1
despliegue.
Actividad de despliegue 19033 Indica que la actividad de 1
satisfactoria despliegue ha sido
satisfactoria.
Actividad de despliegue 19034 Indica que la actividad de 3
fallida despliegue ha fallado.
Actividad de inhabilitación 19035 Indica que se ha intentado 1
inhabilitación.
Actividad de inhabilitación 19036 Indica que la actividad de 1
satisfactoria inhabilitación ha sido
satisfactoria.
Actividad de inhabilitación 19037 Indica que la actividad de 3
fallida inhabilitación ha fallado.
Actividad de habilitación 19038 Indica que se ha intentado 1
habilitación.
Actividad de habilitación 19039 Indica que la actividad de 1
satisfactoria habilitación ha sido
satisfactoria.
Actividad de habilitación 19040 Indica que la actividad de 3
fallida habilitación ha fallado.

Actividad de supervisión 19041 Indica que se ha intentado 1
supervisión.
Actividad de supervisión 19042 Indica que la actividad de 1
satisfactoria supervisión ha sido
satisfactoria.
Actividad de supervisión 19043 Indica que la actividad de 3
fallida supervisión ha fallado.
Actividad de restauración 19044 Indica que se ha intentado 1
restauración.
Actividad de restauración 19045 Indica que la actividad de 1
satisfactoria restauración ha sido
satisfactoria.
Actividad de restauración 19046 Indica que la actividad de 3
fallida restauración ha fallado.
Actividad de inicio 19047 Indica que se ha intentado 1
intentada una actividad de inicio.
Actividad de inicio 19048 Indica que la actividad de 1
satisfactoria inicio ha sido satisfactoria.
Actividad de inicio fallida 19049 Indica que la actividad de 3
inicio ha fallado.
Actividad de detención 19050 Indica que se ha intentado 1
intentada una actividad de detención.
Actividad de detención 19051 Indica que la actividad de 1
satisfactoria detención ha sido
satisfactoria.
Actividad de detención 19052 Indica que la actividad de 3
fallida detención ha fallado.
Actividad de no despliegue 19053 Indica que se ha intentado 1
intentada una actividad de no
despliegue.
Actividad de no despliegue 19054 Indica que la actividad de 1
satisfactoria no despliegue ha sido
satisfactoria.
Actividad de no despliegue 19055 Indica que la actividad de 3
fallida no despliegue ha fallado.
Actividad de recepción 19056 Indica que se ha intentado 1
intentada una actividad de recepción.
Actividad de recepción 19057 Indica que la actividad de 1
satisfactoria recepción ha sido
satisfactoria.
Actividad de recepción 19058 Indica que la actividad de 3
intentada recepción ha fallado
Actividad de envío 19059 Indica que se ha intentado 1
intentada una actividad de envío.
Actividad de envío 19060 Indica que la actividad de 1
satisfactoria envío ha sido satisfactoria.

Actividad de envío fallida 19061 Indica que la actividad de 3
envío ha fallado.
Riesgo
La categoría de riesgo contiene sucesos que están relacionados con IBM Security QRadar Risk Manager.
asociados para la categoría de riesgo.
Tabla 99. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de riesgo
Exposición de política 20001 Indica que se ha detectado 5
una exposición de política.
Violación de conformidad 20002 Indica que se ha detectado 5
una violación de
conformidad.
Vulnerabilidad expuesta 20003 Indica que la red o el 9
dispositivo tiene una
vulnerabilidad expuesta.
Vulnerabilidad de acceso 20004 Indica que la red o el 9
remoto dispositivo tiene una
vulnerabilidad de acceso
remoto.
Vulnerabilidad de acceso 20005 Indica que la red o el 7
local dispositivo tiene una
vulnerabilidad de acceso
local.
Acceso inalámbrico abierto 20006 Indica que la red o el 5
dispositivo tiene abierto el
acceso inalámbrico.
Cifrado débil 20007 Indica que el host o el 5
dispositivo tiene un cifrado
débil.
Transferencia de datos no 20008 Indica que un host o un 3
cifrada dispositivo está
transmitiendo datos que no
están cifrados.
Almacén de datos no 20009 Indica que el almacén de 3
cifrado datos no está cifrado.
Regla mal configurada 20010 Indica que una regla no 3
está configurada
correctamente.
Dispositivo mal 20011 Indica que un dispositivo 3
configurado de la red no está
Host mal configurado 20012 Indica que un host no está 3

Tabla 99. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de riesgo (continuación)
Pérdida de datos posible 20013 Indica que se ha detectado 5
la posibilidad de que se
pierdan datos.
Autenticación débil 20014 Indica que un host o un 5
dispositivo es susceptible al
fraude.
Sin contraseña 20015 Indica que no existe 7
ninguna contraseña.
Fraude 20016 Indica que un host o un 7
dispositivo es susceptible al
fraude.
Destino de DoS posible 20017 Indica que un host o un 3
dispositivo es un objetivo
posible para los ataques de
denegación de servicio.
Debilidad de DoS posible 20018 Indica que un host o un 3
dispositivo podría tener un
punto débil para los
ataques de denegación de
servicio.
Pérdida de confidencialidad 20019 Indica que se ha detectado 5
una pérdida de la
confidencialidad.
Acumulación de 20020 Indica que se ha detectado 1
puntuación de riesgos de una acumulación de
supervisor de políticas puntuación de riesgos de
supervisor de políticas.
Auditoría de Risk Manager

La categoría de riesgo contiene sucesos que están relacionados con los sucesos de auditoría de IBM
Security QRadar Risk Manager.
asociados para la categoría de auditoría de Risk Manager.
Tabla 100. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de auditoría de Risk
Manager
Supervisor de políticas 21001 Indica que se ha 3
modificado un supervisor
de políticas.
Topología 21002 Indica que se ha 3
modificado una topología.
Simulaciones 21003 Indica que se ha 3
modificado una simulación.
Administración 21004 Indica que se han realizado 3
cambios administrativos.

Control
La categoría de control contiene sucesos que están relacionados con el sistema de hardware.
asociados para la categoría de control.
Tabla 101. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de control
Lectura de dispositivo 22001 Indica que un dispositivo 1
se ha leído.
Comunicación de 22002 Indica la comunicación con 1
dispositivo un dispositivo.
Auditoría de dispositivo 22003 Indica que se ha efectuado 1
una auditoría de
dispositivo.
Suceso de dispositivo 22004 Indica que se ha producido 1
un suceso de dispositivo.
Ping de dispositivo 22005 Indica que se ha efectuado 1
una acción ping a un
dispositivo.
Configuración de 22006 Indica que un dispositivo 1
dispositivo se ha configurado.
Registro de dispositivo 22007 Indica que un dispositivo 1
se ha registrado.
Ruta de dispositivo 22008 Indica que se ha efectuado 1
una acción de ruta de
dispositivo.
Importación de dispositivo 22009 Indica que se ha efectuado 1
una importación de
dispositivo.
Información de dispositivo 22010 Indica que se ha efectuado 1
una acción de información
de dispositivo.
Aviso de dispositivo 22011 Indica que se ha generado 1
un aviso sobre un
dispositivo.
Error de dispositivo 22012 Indica que se ha generado 1
un error sobre un
dispositivo.
Suceso de relé 22013 Indica un suceso de relé. 1
Suceso de NIC 22014 Indica un suceso de tarjeta 1
de interfaz de red (NIC).
Suceso de UIQ 22015 Indica un suceso en un 1
dispositivo móvil.
Suceso de IMU 22016 Indica un suceso en una 1
unidad de gestión
integrada (IMU).
Suceso de facturación 22017 Indica un suceso de 1
facturación.

Tabla 101. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de control (continuación)
Suceso de DBMS 22018 Indica un suceso en el 1
sistema de gestión de bases
de datos (DBMS).
Suceso de importación 22019 Indica que se ha efectuado 1
una importación.
Importación de ubicación 22020 Indica que se ha efectuado 1
una importación de
ubicación.
Importación de ruta 22021 Indica que se ha efectuado 1
una importación de ruta.
Suceso de exportación 22022 Indica que se ha efectuado 1
una exportación.
Señalización remota 22023 Indica señalización remota. 1
Estado de pasarela 22024 Indica el estado de 1
pasarela.
Suceso de trabajo 22025 Indica que se ha efectuado 1
un trabajo.
Suceso de seguridad 22026 Indica que se ha producido 1
un suceso de seguridad.
Detección de alteración de 22027 Indica que el sistema ha 1
dispositivo detectado una acción de
manipulación indebida.
Suceso de tiempo 22028 Indica que se ha producido 1
un suceso de tiempo.
Comportamiento 22029 Indica que se ha producido 1
sospechoso un comportamiento
sospechoso.
Corte de alimentación 22030 Indica que se ha producido 1
un corte en la alimentación.
Restauración de 22031 Indica que la alimentación 1
alimentación se ha restaurado.
Pulsación 22032 Indica que se ha efectuado 1
una acción de ping de
pulsaciones.
Suceso de conexión remota 22033 Indica una conexión remota 1
con el sistema.
Perfilador de activos
La categoría de perfilador de activos contiene sucesos que están relacionados con los perfiles de los
activos.
asociados para la categoría de perfilador de activos.

Tabla 102. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de activos
Activo creado 23001 Indica que se ha creado un 1
activo.
Activo actualizado 23002 Indica que un activo se ha 1
actualizado.
Activo observado 23003 Indica que un activo se ha 1
observado.
Activo movido 23004 Indica que se ha movido un 1
activo.
Activo suprimido 23005 Indica que un activo se ha 1
suprimido.
Nombre de host de activo 23006 Indica que un nombre de 1
limpiado host se ha limpiado.
Nombre de host de activo 23007 Indica que se ha creado un 1
creado nombre de host.
Nombre de host de activo 23008 Indica que se ha 1
actualizado actualizado un nombre de
host.
Nombre de host de activo 23009 Indica que un nombre de 1
observado host se ha observado.
Nombre de host de activo 23010 Indica que se ha movido un 1
movido nombre de host.
Nombre de host de activo 23011 Indica que se ha suprimido 1
suprimido un nombre de host.
Puerto de activo limpiado 23012 Indica que un nombre de 1
puerto se ha limpiado.
Puerto de activo creado 23013 Indica que se ha creado un 1
puerto.
Puerto de activo 23014 Indica que se ha 1
actualizado actualizado un puerto.
Puerto de activo observado 23015 Indica que un puerto se ha 1
observado.
Puerto de activo movido 23016 Indica que se ha movido un 1
puerto.
Puerto de activo suprimido 23017 Indica que se ha suprimido 1
un puerto.
Instancia de vulnerabilidad 23018 Indica que una instancia de 1
de activo limpiado vulnerabilidad se ha
limpiado.
Instancia de vulnerabilidad 23019 Indica que se ha creado una 1
de activo creado instancia de vulnerabilidad.
de activo actualizado vulnerabilidad se ha
actualizado.
de activo observado vulnerabilidad se ha
observado.

Tabla 102. Categorías de nivel bajo y niveles de gravedad correspondientes a la categoría de perfilador de
Instancia de vulnerabilidad 23022 Indica que se ha movido 1
de activo movido una instancia de
vulnerabilidad.
Instancia de vulnerabilidad 23023 Indica que se ha suprimido 1
de activo suprimido una instancia de
vulnerabilidad.
Sistema operativo de activo 23024 Indica que un sistema 1
limpiado operativo se ha limpiado.
Sistema operativo de activo 23025 Indica que se ha creado un 1
creado sistema operativo.
Sistema operativo de activo 23026 Indica que sistema 1
actualizado operativo se ha actualizado.
observado operativo se ha observado.
Sistema operativo de activo 23028 Indica que se ha movido 1
movido sistema operativo.
suprimido operativo se ha suprimido.
Propiedad de activo 23030 Indica que una propiedad 1
limpiada se ha limpiado.
Propiedad de activo creada 23031 Indica que se ha creado una 1
propiedad.
Propiedad de activo 23032 Indica que se ha 1
actualizada actualizado una propiedad.
Propiedad de activo 23033 Indica que una propiedad 1
observada se ha observado.
Propiedad de activo 23034 Indica que se ha movido 1
movida una propiedad.
Propiedad de activo 23035 Indica que se ha movido 1
suprimida una propiedad.
Dirección de IP de activo 23036 Indica que una dirección IP 1
limpiada se ha limpiado.
Dirección de IP de activo 23037 Indica que se ha creado una 1
creada dirección IP.
actualizada se ha actualizado.
observada se ha observado.
Dirección de IP de activo 23040 Indica que se ha movido 1
movida una dirección IP.
suprimida se ha suprimido.
Interfaz de activo limpiada 23042 Indica que una interfaz se 1
ha limpiado.
Interfaz de activo creada 23043 Indica que se ha creado una 1
interfaz.

Interfaz de activo 23044 Indica que una interfaz se 1
actualizada ha actualizado.
observada ha observado.
Interfaz de activo movida 23046 Indica que se ha movido 1
una interfaz.
Interfaz de activo fusionada 23047 Indica que una interfaz se 1
ha fusionado.
suprimida ha suprimido.
Usuario de activo limpiado 23049 Indica que se ha limpiado 1
un usuario.
Usuario de activo 23050 Indica que un usuario se ha 1
observado observado.
Usuario de activo movido 23051 Indica que se ha movido un 1
usuario.
Usuario de activo 23052 Indica que se ha suprimido 1
suprimido un usuario.
Política explorada de activo 23053 Indica que una política 1
limpiada explorada se ha limpiado.
Política explorada de activo 23054 Indica que una política 1
observada explorada se ha observado.
Política explorada de activo 23055 Indica que se ha movido 1
movida una política explorada.
Política explorada de activo 23056 Indica que se ha suprimido 1
suprimida una política explorada.
Aplicación de Windows de 23057 Indica que una aplicación 1
activo limpiada de Windows se ha
limpiado.
Aplicación de Windows de 23058 Indica que una aplicación 1
activo observada de Windows se ha
observado.
Aplicación de Windows de 23059 Indica que se ha movido 1
activo movida una aplicación de
Windows.
Aplicación de Windows de 23060 Indica que se ha suprimido 1
activo suprimida una aplicación de
Windows.
Servicio explorado de 23061 Indica que un servicio 1
activo limpiado explorado se ha limpiado.
Servicio explorado de 23062 Indica que un servicio 1
activo observado explorado se ha observado.
Servicio explorado de 23063 Indica que se ha movido un 1
activo movido servicio explorado.
Servicio explorado de 23064 Indica que se ha suprimido 1
activo suprimido un servicio explorado.

Parche de Windows de 23065 Indica que un parche de 1
activo limpiado Windows se ha limpiado.
activo observado Windows se ha observado.
activo movido Windows se ha movido.
Parche de Windows de 23068 Indica que se ha suprimido 1
activo suprimido un parche de Windows.
Parche de UNIX de activo 23069 Indica que un parche de 1
limpiado UNIX se ha limpiado.
observado UNIX se ha observado.
movido UNIX se ha movido.
Parche de UNIX de activo 23072 Indica que se ha suprimido 1
suprimido un parche de UNIX.
Exploración de parche de 23073 Indica que una exploración 1
activo limpiada de parche se ha limpiado.
Exploración de parche de 23074 Indica que se ha creado una 1
activo creada exploración de parche.
Exploración de parche de 23075 Indica que se ha movido 1
activo movida una exploración de parche.
Exploración de parche de 23076 Indica que se ha suprimido 1
activo suprimida una exploración de parche.
Exploración de puerto de 23077 Indica que una exploración 1
activo limpiada de puerto se ha limpiado.
activo creada de puerto se ha limpiado.
Exploración de puerto de 23079 Indica que se ha movido 1
activo movida una exploración de parche.
Exploración de puerto de 23080 Indica que se ha suprimido 1
activo suprimida una exploración de parche.
Aplicación de cliente de 23081 Indica que una aplicación 1
activo limpiada de cliente se ha limpiado.
Aplicación de cliente de 23082 Indica que una aplicación 1
activo observada de cliente se ha observado.
Aplicación de cliente de 23083 Indica que se ha movido 1
activo movida una aplicación de cliente.
Aplicación de cliente de 23084 Indica que se ha suprimido 1
activo suprimida una aplicación de cliente.
Exploración de parche de 23085 Indica que una exploración 1
activo observada de parche se ha observado.
activo observada de puerto se ha observado.

Grupo de NetBIOS creado 23087 Indica que se ha creado un 1
grupo de NetBIOS.
Grupo de NetBIOS 23088 Indica que se ha 1
actualizado actualizado un grupo de
NetBIOS.
Grupo de NetBIOS 23089 Indica que se ha observado 1
observado un grupo de NetBIOS.
Grupo de NetBIOS 23090 Indica que se ha suprimido 1
suprimido un grupo de NetBIOS.
Grupo de NetBIOS 23091 Indica que se ha limpiado 1
limpiado un grupo de NetBIOS.
Grupo de NetBIOS movido 23092 Indica que se ha movido un 1
grupo de NetBIOS.
Percepción
La categoría de percepción contiene sucesos que están relacionados con el análisis del comportamiento de
usuario de percepción.
asociados para la categoría de percepción.
Tabla 103.
Comportamiento del 24001 Indica el comportamiento 5
usuario del usuario.
Ubicación geográfica del 24002 Indica la ubicación 5
usuario geográfica del usuario.
Huso horario del usuario 24003 Indica el huso horario del 5
usuario.
Acceso del usuario 24004 Indica el acceso del usuario. 5
Privilegio del usuario 24005 Indica el privilegio del 5
usuario.
Riesgo del usuario 24006 Indica el riesgo del usuario. 5
Percepción del delito 24007 Indica que se ha producido 5
una percepción del delito.
Riesgo del recurso 24008 Indica los recursos en 5
riesgo.

27 Servidores y puertos comunes utilizados por QRadar
IBM Security QRadar requiere que determinados puertos estén preparados para recibir información de los
componentes y la infraestructura externa de QRadar. Para asegurarse de que QRadar está utilizando la
información de seguridad más reciente, también necesita acceso a los servidores públicos y canales de
información RSS.
Comunicación SSH en el puerto 22
Todos los puertos que se describen en la consola de QRadar pueden ser túneles, mediante cifrado, a
través del puerto 22 sobre SSH.
La consola conecta con los hosts gestionados mediante una sesión SSH cifrada para comunicarse de
forma segura. Estas sesiones de SSH se inician desde la consola para proporcionar datos al host
gestionado. Por ejemplo, QRadar Console puede iniciar varias sesiones de SSH en los dispositivos de
Procesador de sucesos para establecer una comunicación segura. Esta comunicación puede incluir puertos
túnel sobre SSH, como los datos HTTPS para el puerto 443 y los datos de consulta de Ariel para el puerto
32006. Los IBM Security QRadar QFlow Collector que utilizan cifrado pueden iniciar sesiones de SSH
para los dispositivos de procesador de flujo que necesitan datos.
Puertos abiertos que no son necesarios para QRadar
Es posible que encuentre más puertos abiertos en las siguientes situaciones:

v Cuando instala QRadar en su propio hardware, puede ver puertos abiertos utilizados por servicios,
daemons y programas incluidos en Red Hat Enterprise Linux.
v Cuando monta o exporta un comportamiento de archivos de red puede ver puertos asignados
dinámicamente necesarios para servicios RPC, como por ejemplo rpc.mountd y rpc.rquotad.
Utilización de puertos de QRadar

Revise la lista de puertos comunes que los servicios y componentes de IBM Security QRadar utilizan para
comunicarse a través de la red. Puede utilizar la lista de puertos para determinar qué puertos deben estar
abiertos en la red. Por ejemplo, puede determinar los puertos que deben estar abiertos para que QRadar
Console se comunique con los procesadores de sucesos remotos.
Sondeo remoto de WinCollect
Los agentes de WinCollect que sondean remotamente otros sistemas operativos Microsoft Windows
podrían requerir asignaciones de puerto adicionales.
Para obtener más información, consulte la Guía del usuario de IBM Security QRadar WinCollect.

Puertos de escucha de QRadar
En la tabla siguiente se muestran los puertos de QRadar que están abiertos y en un estado de escucha
(LISTEN). Los puertos LISTEN sólo son válidos cuando iptables está habilitado en el sistema. A menos que
se indique lo contrario, la información sobre el número de puerto asignado se aplica a todos los
productos de QRadar.
Tabla 104. Puertos de escucha utilizados por los servicios y componentes de QRadar
Puerto Descripción Protocolo Dirección Requisito
22 SSH TCP Bidireccional desde QRadar Console Acceso de gestión remota.
a todos los demás componentes
Adición de un sistema
remoto como host
gestionado.
Protocolos de origen de
registro para recuperar
archivos de los dispositivos
externos; por ejemplo, el
protocolo de archivo de
registro.
Usuarios que utilizan la

interfaz de línea de
mandatos para comunicarse
desde los escritorios con la
consola.
Alta disponibilidad (HA).

25 SMTP TCP Desde todos los hosts gestionados a Correos electrónicos desde
la pasarela SMTP. QRadar a una pasarela
SMTP.
Envío de mensajes de correo

electrónico de error y de
aviso a un contacto de
correo electrónico
administrativo.
37 rdate (hora) UDP/TCP Todos los sistemas hacia QRadar Sincronización de hora entre
Console. QRadar Console y los hosts
gestionados.
QRadar Console hacia el servidor de
NTP o rdate.
111 Correlacionador de puertos TCP/UDP Hosts gestionados que se comunican Llamadas a procedimiento
con QRadar Console. remoto (RPC) para los
servicios necesarios, como
Usuarios que se conectan a QRadar Network File System (NFS).
Console.
135 y los DCOM TCP Tráfico bidireccional entre los Este tráfico lo genera
puertos agentes de WinCollect y los sistemas WinCollect, Microsoft
asignados de operativos Windows que se sondean Security Event Log Protocol
forma dinámica de forma remota para comprobar si o Adaptive Log Exporter.
por encima de hay sucesos. Nota: DCOM normalmente
1024 para las asigna un rango de puertos
llamadas RPC Tráfico bidireccional entre los aleatorio para la
componentes de QRadar Console o comunicación. Puede
recopiladores de sucesos de IBM configurar los productos de
Security QRadar que utilizan Microsoft Windows para que
agentes de Microsoft Security Event utilicen un puerto
Log Protocol o Adaptive Log determinado. Para obtener
Exporter y los sistemas operativos más información, consulte la
Windows que se sondean de forma documentación de Microsoft
remota para comprobar si hay Windows.
sucesos.

Tabla 104. Puertos de escucha utilizados por los servicios y componentes de QRadar (continuación)
137 Servicio de nombres de UDP Tráfico bidireccional entre los Este tráfico lo genera
NetBIOS de Windows agentes de WinCollect y los sistemas WinCollect, Microsoft
operativos Windows que se sondean Security Event Log Protocol
de forma remota para comprobar si o Adaptive Log Exporter.
hay sucesos.
Tráfico bidireccional entre los

componentes de QRadar Console o
recopiladores de sucesos de QRadar
que utilizan agentes de Microsoft
Security Event Log Protocol o
Adaptive Log Exporter y los
sistemas operativos Windows que se
sondean de forma remota para
comprobar si hay sucesos.
138 Servicio de datagramas de UDP Tráfico bidireccional entre los Este tráfico lo genera
hay sucesos.

139 Servicio de sesión de TCP Tráfico bidireccional entre los Este tráfico lo genera
hay sucesos.

162 NetSNMP UDP Hosts gestionados de QRadar que se Puerto UDP para el daemon
conectan a QRadar Console. NetSNMP que está a la
escucha de las
Orígenes de registro externos hacia comunicaciones (v1, v2c y
recopiladores de sucesos de QRadar. v3) desde orígenes de
registro externos. El puerto
sólo está abierto si el agente
SNMP está habilitado.
199 NetSNMP TCP Hosts gestionados de QRadar que se Puerto TCP para el daemon
conectan a QRadar Console. NetSNMP que está a la
escucha de las
Orígenes de registro externos hacia comunicaciones (v1, v2c y
recopiladores de sucesos de QRadar. v3) desde orígenes de
registro externos. El puerto
sólo está abierto si el agente
SNMP está habilitado.
27 Servidores y puertos comunes utilizados por QRadar 391

427 Protocolo de ubicación de UDP/TCP El módulo de gestión
servicios (SLP) integrada utiliza el puerto
para localizar servicios en
una LAN.
443 Apache/HTTPS TCP Tráfico bidireccional para las Descargas de configuración
comunicaciones seguras desde todos en los hosts gestionados
los productos hacia QRadar Console. desde QRadar Console.
Hosts gestionados de
QRadar que se conectan a
QRadar Console.
Usuarios que tienen acceso

de inicio de sesión a QRadar.
QRadar Console que

gestiona y proporciona
actualizaciones de
configuración para los
agentes de WinCollect.
445 Microsoft Directory Service TCP Tráfico bidireccional entre los Este tráfico lo genera
agentes de WinCollect y los sistemas WinCollect, Microsoft
hay sucesos.

que utilizan Microsoft Security
Event Log Protocol y los sistemas
operativos Windows que se sondean
de forma remota para comprobar si
hay sucesos

agentes de Adaptive Log Exporter y
los sistemas operativos Windows
que se sondean de forma remota
para comprobar si hay sucesos
514 Syslog UDP/TCP Los dispositivos de red externos que Orígenes de registro externos
proporcionan sucesos de syslog de para enviar datos a los
TCP utilizan tráfico bidireccional. componentes de QRadar.
Los dispositivos de red externos que El tráfico de syslog incluye

proporcionan sucesos de syslog de agentes de WinCollect,
UDP utilizan tráfico unidireccional. recopiladores de sucesos y
agentes de Adaptive Log
El tráfico de syslog interno de hosts Exporter que puedan enviar
de QRadar a la QRadar Console. sucesos de UDP o TCP a
QRadar.
762 Daemon de montaje de NFS TCP/UDP Conexiones entre QRadar Console y Daemon de montaje de NFS
(Network File System) el servidor NFS. (Network File System), que
(mountd) procesa las solicitudes de
montaje de un sistema de
archivos en una ubicación
especificada.
1514 Syslog-ng TCP/UDP Conexión entre el componente Puerto de registro interno
Recopilador de sucesos local y el para syslog-ng.
componente Procesador de sucesos
local con el daemon syslog-ng para
el registro.

2049 NFS TCP Conexiones entre QRadar Console y Protocolo NFS (Network File
el servidor NFS. System) para compartir
archivos o datos entre
componentes.
2055 Datos de NetFlow UDP Desde la interfaz de gestión en el Datagrama de NetFlow de
origen de flujo (normalmente un componentes, tales como los
direccionador) hasta IBM Security direccionadores.
QRadar QFlow Collector
2375 Puerto de mandatos de TCP Comunicaciones internas. Este Se utiliza para gestionar
Docker puerto no está disponible recursos del marco de
externamente. aplicaciones de QRadar.
3389 El protocolo de escritorio TCP/UDP Si el sistema operativo
remoto (RDP) y Ethernet Microsoft Windows está
sobre USB están habilitados. configurado para dar soporte
a RDP y Ethernet sobre USB,
un usuario puede iniciar una
sesión con el servidor sobre
la red de gestión. Esto
significa que el puerto
predeterminado para RDP,
que es 3389, debe estar
abierto.
3900 Puerto de presencia remota TCP/UDP Utilice este puerto para
del Módulo de gestión interactuar con la consola de
integrada QRadar a través del Módulo
de gestión integrada.
4333 Puerto de redirección TCP Este puerto está asignado
como puerto de redirección
para las solicitudes de ARP
(protocolo de resolución de
direcciones) en la resolución
de delitos de QRadar.
5432 Postgres TCP Comunicación para el host Necesario para el suministro
gestionado que se utiliza para de hosts gestionados a partir
acceder a la instancia de base de de la configuración de
datos local. Admin.
6514 Syslog TCP Los dispositivos de red externos que Orígenes de registro externos
proporcionan sucesos de syslog de para enviar datos de suceso
TCP cifrados utilizan tráfico cifrados a los componentes
bidireccional. de QRadar.
6543 Pulsación de alta TCP/UDP Bidireccional entre el host Ping de pulsaciones desde
disponibilidad secundario y el host primario en un un host secundario a un host
clúster de alta disponibilidad. primario en un clúster de
alta disponibilidad para
detectar anomalías de
hardware o de la red.

7676, 7677 y Conexiones de mensajería TCP Comunicaciones de cola de mensajes Intermediario de cola de
cuatro puertos (IMQ) entre los componentes de un host mensajes para las
enlazados gestionado comunicaciones entre los
aleatoriamente componentes de un host
por encima de gestionado.
32000 Nota: Debe permitir el
acceso a estos puertos desde
la consola QRadar a hosts
sin cifrar.
Los puertos 7676 y 7677 son

puertos TCP estáticos, y se
crean cuatro conexiones
adicionales en puertos
aleatorios. Para obtener más
información sobre la
búsqueda de puertos
enlazados aleatoriamente,
consulte el apartado
“Visualización de
asociaciones de puertos de
IMQ” en la página 397.
7777, 7778, Puertos de servidor JMX TCP Comunicaciones internas. Estos Supervisión de servidor JMX
7779, 7780, puertos no están disponibles (Java Management Beans) de
7781, 7782, externamente. todos los procesos internos
7783, 7787, de QRadar para exponer
7788, 7790, medidas de soportabilidad.
7791, 7792,
7793, 7795, estos puertos los utiliza el
7796, 7799, and personal de soporte de
8989. QRadar.
⌂7789 Dispositivo de bloqueo TCP/UDP Bidireccional entre el host El Dispositivo de bloqueo
replicado distribuido secundario y el host primario en un replicado distribuido se
clúster de alta disponibilidad. utiliza para mantener las
unidades sincronizadas entre
los hosts primario y
secundario en las
configuraciones de alta
disponibilidad.
7800 Apache Tomcat TCP Desde el Recopilador de sucesos En tiempo real (modalidad
hacia QRadar Console. continua) para sucesos.
7801 Apache Tomcat TCP Desde el Recopilador de sucesos En tiempo real (modalidad
hacia QRadar Console. continua) para flujos.
7803 Apache Tomcat TCP Desde el Recopilador de sucesos Puerto de motor de
hacia QRadar Console. detección de anomalías.
7804 Constructor Arc de QRM TCP Comunicaciones de control interno Este puerto se utiliza sólo
entre procesos de QRadar y el para QRadar Risk Manager.
constructor ARC. No está disponible
externamente.
8000 ECS (servicio de recopilación TCP Desde el Recopilador de sucesos Puerto de escucha para el
de sucesos) hacia QRadar Console. servicio de recopilación de
sucesos (ECS) específico.
8001 Puerto del daemon SNMP UDP Sistemas SNMP externos que Puerto de escucha UDP para
solicitan información de condiciones solicitudes de datos de
de excepción SNMP de QRadar SNMP externo.
Console.

8005 Apache Tomcat TCP Comunicaciones internas. No está Abierto para control de
disponible externamente. Tomcat.
Este puerto está enlazado y

sólo acepta conexiones desde
el host local.
8009 Apache Tomcat TCP Desde el proceso del daemon HTTP Conector Tomcat, donde la
(HTTPd) hacia Tomcat. solicitud se utiliza y se pasa
a través de un proxy para el
servicio web.
8080 Apache Tomcat TCP Desde el proceso del daemon HTTP Conector Tomcat, donde la
(HTTPd) hacia Tomcat. solicitud se utiliza y se pasa
a través de un proxy para el
servicio web.
8413 Agentes de WinCollect TCP Tráfico bidireccional entre el agente Este tráfico lo genera el
de WinCollect y QRadar Console. agente de WinCollect para
reenviar sucesos de
WinCollect y la
comunicación está cifrada. Es
necesario para proporcionar
actualizaciones de
configuración al agente de
WinCollect y para utilizar
WinCollect en modalidad
conectada.
8844 Apache Tomcat TCP Unidireccional de QRadar Console Utilizado por Apache Tomcat
al dispositivo que está ejecutando el para leer canales de
procesador de QRadar Vulnerability información RSS del host
Manager. que está ejecutando el
procesador de QRadar
Vulnerability Manager.
9090 Base de datos y servidor de TCP Comunicaciones internas. No está Comunicaciones entre los
reputación de IP XForce disponible externamente. procesos de QRadar y la
base de datos de reputación
de IP XForce.
9913 más un Contenedor de aplicación TCP Comunicación de Invocación a Una vez registrada la
puerto web método remoto (RMI) Java aplicación web, se asigna
asignado bidireccional entre máquinas dinámicamente un puerto
dinámicamente virtuales Java adicional.
9995 Datos de NetFlow UDP Desde la interfaz de gestión en el Datagrama de NetFlow de
origen de flujo (normalmente un componentes, tales como los
direccionador) hasta QRadar QFlow direccionadores.
Collector
9999 Procesador IBM Security TCP Unidireccional del explorador al Se utiliza para información
QRadar Vulnerability dispositivo que está ejecutando el de mandatos de QRadar
Manager procesador de QRadar Vulnerability Vulnerability Manager
Manager (QVM). QRadar Console
conecta con este puerto en el
host que está ejecutando el
procesador de QRadar
Vulnerability Manager. Este
puerto solo se utiliza cuando
QVM está habilitado.

10000 Interfaz de administración de TCP/UDP Sistemas de sobremesa de usuario En QRadar V7.2.5 y
sistema de QRadar basada en hacia todos los hosts de QRadar. anteriores, este puerto se
web utiliza para cambios en el
servidor, como por ejemplo
la contraseña de root de los
hosts y el acceso de
cortafuegos.
El puerto 10000 está

inhabilitado en V7.2.6.
10101, 10102 Mandato de latido TCP Tráfico bidireccional entre los nodos Necesario para garantizar
de alta disponibilidad primario y que los nodos HA siguen
secundario. activos.
15433 Postgres TCP Comunicación para el host Se utiliza para la
gestionado que se utiliza para configuración y
acceder a la instancia de base de almacenamiento de QRadar
datos local. Vulnerability Manager
(QVM). Este puerto solo se
utiliza cuando QVM está
habilitado.
23111 Servidor web SOAP TCP Puerto del servidor web
SOAP para el servicio de
recopilación de sucesos
(ECS).
23333 Canal de fibra Emulex TCP Sistemas de sobremesa de usuario Servicio de gestión remota
que se conectan a los dispositivos de HBAnywhere de canal de
QRadar con una tarjeta de canal de fibra Emulex (elxmgmt).
fibra.
32004 Reenvío de sucesos TCP Bidireccional entre los componentes Datos de sucesos
normalizados de QRadar. normalizados que se
comunican desde un origen
externo o entre recopiladores
de sucesos de QRadar.
32005 Flujo de datos TCP Bidireccional entre los componentes Puerto de comunicación de
de QRadar. flujo de datos entre los
recopiladores de sucesos de
QRadar cuando están en
hosts gestionados diferentes.
32006 Consultas de Ariel TCP Bidireccional entre los componentes Puerto de comunicación
de QRadar. entre el servidor proxy de
Ariel y el servidor de
consulta de Ariel.
32007 Datos de delito TCP Bidireccional entre los componentes Sucesos y flujos que hacen
de QRadar. aportaciones a un delito o
están implicados en una
correlación global.
32009 Datos de identidad TCP Bidireccional entre los componentes Datos de identidad que se
de QRadar. comunican entre el servicio
de información de
vulnerabilidades (VIS) y el
servicio de recopilación de
sucesos (ECS).
32010 Puerto de origen de escucha TCP Bidireccional entre los componentes Puerto de escucha de flujo
de flujo de QRadar. para recopilar datos de
QRadar QFlow Collectors.
32011 Puerto de escucha de Ariel TCP Bidireccional entre los componentes Puerto de escucha de Ariel
de QRadar. para las búsquedas de base
de datos, la información de
progreso y otros mandatos
asociados.

32000-33999 Flujo de datos (flujos, TCP Bidireccional entre los componentes Flujos de datos, como
sucesos, contexto de flujo) de QRadar. sucesos, flujos, contexto de
flujo y consultas de
búsqueda de sucesos.
40799 Datos de PCAP UDP Desde los dispositivos Juniper Recopilación de datos de
Networks SRX Series hacia QRadar. captura de paquete (PCAP)
entrantes procedentes de
dispositivos Juniper
Networks SRX Series
Nota: La captura de paquete
puede utilizar un puerto
diferente en su dispositivo.
Para obtener más
información sobre la
configuración de la captura
de paquete, consulte la
documentación de su
dispositivo Juniper
Networks SRX Series.
ICMP ICMP Tráfico bidireccional entre el host Prueba de la conexión de red
secundario y el host primario en un entre el host secundario y el
clúster de alta disponibilidad. host primario en un clúster
de alta disponibilidad
mediante ICMP (protocolo
de mensajes de control de
Internet).
Visualización de asociaciones de puertos de IMQ

Varios puertos utilizados por IBM Security QRadar asignan números de puerto aleatorios adicionales. Por
ejemplo, las colas de mensajes (IMQ) abren puertos aleatorios para la comunicación entre los
componentes de un host gestionado. Puede ver las asignaciones de puerto aleatorias para IMQ utilizando
telnet para conectarse con el host local y realizando una búsqueda del número de puerto.
Las asociaciones de puertos aleatorias no son números de puerto estáticos. Si un servicio se reinicia, los
puertos generados para el servicio se reasignan y al servicio se le asigna un nuevo conjunto de números
de puerto.
Procedimiento
2. Para visualizar una lista de los puertos asociados para la conexión de mensajería IMQ, escriba el
mandato siguiente:
telnet localhost 7676 Los resultados del mandato telnet pueden tener un aspecto parecido al
siguiente:
[root@domain ~]# telnet localhost 7676
Trying 127.0.0.1...
Connected to localhost.
Escape character is ’^]’.
101 imqbroker 4.4 Update 1
portmapper tcp PORTMAPPER 7676
[imqvarhome=/opt/openmq/mq/var,imqhome=/opt/openmq/mq,sessionid=<session_id>]
cluster_discovery tcp CLUSTER_DISCOVERY 44913
jmxrmi rmi JMX 0 [url=service:jmx:rmi://domain.ibm.com/stub/<urlpath>]
admin tcp ADMIN 43691
jms tcp NORMAL 7677
cluster tcp CLUSTER 36615

La salida de telnet muestra 3 de los 4 puertos TCP con número alto aleatorio para IMQ. El cuarto
puerto, que no se muestra, es un puerto de invocación a método remoto (RMI) JMX disponible a
través de la URL de JMX que se muestra en la salida.
Si se rechaza la conexión telnet, esto significa que IMQ no se está ejecutando actualmente. Es probable
que el sistema esté iniciándose o concluyendo o que los servicios se hayan concluido manualmente.
Búsqueda de los puertos utilizados por QRadar

Utilice el mandato netstat para determinar qué puertos están en uso en la consola de IBM Security
QRadar o en el host gestionado. Utilice el mandato netstat para ver todos los puertos a la escucha y
establecidos en el sistema.
Procedimiento
1. Utilice SSH para iniciar la sesión en QRadar Console como usuario root.
2. Para visualizar todas las conexiones activas y los puertos TCP y UDP en los que el sistema está a la
escucha, escriba el mandato siguiente:
netstat -nap
3. Para buscar información específica de la lista de puertos de netstat, escriba el mandato siguiente:
netstat -nap | grep puerto
Ejemplos:
v Para visualizar todos los puertos que coinciden con 199, teclee el mandato siguiente:
netstat -nap | grep 199
v Para visualizar información en todos los puertos de escucha, teclee el mandato siguiente:
netstat -nap | grep LISTEN
Servidores públicos de QRadar

Para proporcionarle la información de seguridad más actual, IBM Security QRadar necesita acceder a
algunos servidores públicos y canales de información RSS.
Servidores públicos
Tabla 105. Servidores públicos a los que QRadar debe acceder. En esta tabla se proporcionan las descripciones de
las direcciones IP o los nombres de host a los que QRadar accede.
Dirección IP o nombre de host Descripción
194.153.113.31 Explorador de zona desmilitarizada de IBM Security
QRadar Vulnerability Manager
194.153.113.32 Explorador de zona desmilitarizada de QRadar
Vulnerability Manager
qmmunity.q1labs.com Servidores de actualizaciones automáticas de QRadar.
Para obtener más información sobre los servidores de

actualizaciones automáticas, consulte
www.ibm.com/support (http://www-01.ibm.com/
support/docview.wss?uid=swg21958881).
qmmunity-eu.q1labs.com Servidores de actualizaciones automáticas de QRadar.
Para obtener más información sobre los servidores de

actualizaciones automáticas, consulte
www.ibm.com/support (http://www-01.ibm.com/
support/docview.wss?uid=swg21958881).

Tabla 105. Servidores públicos a los que QRadar debe acceder (continuación). En esta tabla se proporcionan las
descripciones de las direcciones IP o los nombres de host a los que QRadar accede.
Dirección IP o nombre de host Descripción
update.xforce-security.com Servidor de actualizaciones de los canales de información
de X-Force Threat
license.xforce-security.com Servidor de licencias de canales de información de
X-Force Threat
Canales de información RSS para los productos de QRadar

Tabla 106. Canales de información RSS. En la lista siguiente se describen los requisitos para los canales de
información RSS que QRadar utiliza. Copie los URL en un editor de texto y elimine los saltos de página antes de
pegarlos en un navegador.
Título URL Requisitos
Security Intelligence http://feeds.feedburner.com/SecurityIntelligence QRadar y una conexión a Internet
Security Intelligence http://securityintelligence.com/topics/ QRadar y una conexión a Internet
Vulns / Threats vulnerabilities-threats/feed
IBM My http://www-945.events.ibm.com/systems/support/ QRadar y una conexión a Internet
Notifications myfeed/xmlfeeder.wss?feeder.requid=
feeder.create_feed&feeder.feedtype=RSS
&feeder.uid=270006EH0R&feeder.subscrid=
S14b5f284d32&feeder.subdefkey=swgother
&feeder.maxfeed=25
Security News http://dirección_IP_procesador_QVM Procesador de IBM Security QRadar
Vulnerability Manager desplegado
:8844/rss/research/news.rss
Security Advisories http://dirección_IP_procesador_QVM Procesador de QRadar Vulnerability
Manager desplegado
:8844/rss/research/advisories.rss
Latest Published http://dirección_IP_procesador_QVM Procesador de QRadar Vulnerability
Vulnerabilities Manager desplegado
:8844/rss/research/vulnerabilities.rss
Scans Completed http://dirección_IP_procesador_QVM Procesador de QRadar Vulnerability
Manager desplegado
:8844/rss/scanresults/completedScans.rss
Scans In Progress http://dirección_IP_procesador_QVM Procesador de QRadar Vulnerability
Manager desplegado
:8844/rss/scanresults/runningScans.rss
Interfaces de red y contenedores de Docker

Una red de Docker define una zona de confianza de comunicación donde la comunicación no está
restringida entre los contenedores de la red.
Cada red está asociada con una interfaz puente en el host y se definen reglas de cortafuegos para filtrar
el tráfico entre estas interfaces. Normalmente, los contenedores de una zona que comparten las mismas
interfaz puente de host y red de Docker pueden comunicarse entre ellos. La excepción a esta regla
general es que las aplicaciones se ejecutan en la misma red dockerApps, pero están aisladas entre ellas por
el cortafuegos.
Interfaces de Docker
Para ver una lista de interfaces de Docker, especifique el siguiente mandato:

docker network ls
[root@q1dk00 ~]# docker network ls
NETWORK ID NAME DRIVER SCOPE
943dd35a4747 appProxy bridge local
9e2ba36111d1 dockerApps bridge local
514471d98b42 dockerInfra bridge local
La interfaz dockerApps se utiliza para aplicar reglas para la comunicación entre las aplicaciones.
La interfaz appProxy muestra el contenedor nginx_framework_apps_proxy.
La interfaz dockerInfra se utiliza para alojar service launcher y qoauth. Las aplicaciones están
aisladas de la mayoría de componentes de la infraestructura, pero deben poder conectarse a
service launcher y qoauth para poder gestionar los secretos y la autorización.
Información sobre las interfaces de Docker
Escriba el mandato siguiente para obtener información sobre las interfaces de Docker:
docker inspect <ID_contenedor_docker> | grep NetworkMode
"NetworkMode": "appProxy"
Este ejemplo muestra cómo se utiliza el mandato docker inspect <ID_contenedor_docker> y se
enlaza con una barra vertical con less para ver más detalles de la red:
docker inspect d9b3e58649de | less
"Networks": {
"dockerApps": {
"IPAMConfig": null,
"Links": null,
"Aliases": [
"d9b3e58649de"
], "NetworkID":
"79bc4716da5139a89cfa5360a3b72824e67701523768822d11b53caeaa5e349e",
"EndpointID":
"9dba9d9a174b037f72333945b72cdf60c3719fdb9a3a10a14a8ee3cc0e92a856",
"Gateway": "172.18.0.1",
"IPAddress": "172.18.0.2",
"IPPrefixLen": 16,
"IPv6Gateway": "2003:db8:1::1",
"GlobalIPv6Address": "2003:db8:1::2",
"GlobalIPv6PrefixLen": 64,
"MacAddress": "02:42:ac:12:00:02"
}
La salida de este ejemplo muestra la configuración de la red que utiliza el contenedor

especificado (d9b3e58649de), así como el nombre de la interfaz de red de Docker (dockerApps) y la
dirección IP de la red asignada al contenedor de Docker.

28 API RESTful
La interfaz de programación de aplicaciones (API) REST (Representational State Transfer) resulta útil
cuando desea integrar IBM Security QRadar con otras soluciones. Puede llevar a cabo acciones en la
QRadar Console enviando solicitudes HTTPS a puntos finales específicos (URL) de la QRadar Console.
Cada punto final contiene el URL del recurso al que desea acceder y la acción que desea completar en ese
recurso. La acción se indica mediante el método HTTP de la solicitar: GET, POST, PUT o DELETE. Para
obtener más información sobre los parámetros y las respuestas, consulte la publicación IBM Security
QRadar API Guide.
Foro de API de QRadar y ejemplos de código
El foro de API proporciona más información acerca de la API REST, que incluye las respuestas a las
preguntas más frecuentes y ejemplos de código con anotaciones que puede utilizar en un entorno de
prueba. Para obtener más información, consulte el foro de API (https://www.ibm.com/developerworks/
community/forums/html/forum?id=b02461a3-9a70-4d73-94e8-c096abe263ca).
Acceso a la página de documentación de la API interactiva

Utilice la página interactiva de documentación de la API para acceder a detalles técnicos de las API
RESTful cómo realizar y experimentar cómo realizar solicitudes de API al servidor.
La interfaz de usuario de documentación de la API proporciona descripciones y la capacidad de utilizar

las siguientes interfaces de API REST:
Tabla 107. Interfaces de la API REST
API REST Descripción
/api/analytics Crear, actualizar y eliminar acciones personalizadas para
las reglas.
/api/ariel Ver las propiedades de sucesos y flujos, crear búsquedas
de sucesos y flujos y gestionar las búsquedas.
/api/asset_model Devuelve una lista de todos los activos del modelo.
También puede listar todos los tipos de propiedad de
activo disponibles y búsquedas guardadas, así como
actualizar un activo.
/api/auth Cerrar e invalidar la sesión actual.
/api/config Ver y gestionar los arrendatarios, dominios y extensiones
de QRadar.
/api/data_classification Ver todas las categorías de nivel inferior y superior,
QRadar registros de Identifier (QID) y correlaciones de
sucesos. También puede crear o editar registros de QID y
correlaciones.
/api/forensics Gestionar recuperaciones y casos de capturas.
/api/gui_app_framework Instalar y gestionar las aplicaciones que se crean
utilizando la GUI del kit de desarrollo de software del
marco de aplicaciones.
/api/help Devuelve una lista de funciones de la API.

Tabla 107. Interfaces de la API REST (continuación)
API REST Descripción
/api/qrm Gestionar grupos de búsquedas guardadas de QRM,
grupos de preguntas, grupos de simulaciones, grupos de
búsquedas guardadas de topología y grupos de modelos.
/api/qvm Recupera activos, vulnerabilidades, redes, servicios
abiertos y filtros. También puede crear o actualizar
tíquets de remediación.
/api/reference_data Ver y gestionar las recopilaciones de datos de referencia.
/api/scanner Ver, crear o iniciar una exploración remota que está
relacionada con un perfil de exploración.
/api/services Realizar tareas como búsquedas de WHOIS, búsquedas
de exploración de puertos, búsquedas de DNS y
búsquedas de DIG. También puede recuperar los datos
de una ubicación física de una dirección IP o un conjunto
de direcciones IP.
/api/siem Ver, actualizar y cerrar delitos. También puede añadir
notas y gestionar razones de cierre de delitos.
/api/staged_config Recuperar la configuración transitoria de usuarios, hosts,
notificaciones, redes remotas y servicios remotos.
También puede iniciar o ver el estado de una acción de
despliegue y actualizar y suprimir reglas de Yara.
/api/system Gestionar hosts de servidores, interfaces de red, y reglas
de cortafuegos.
Procedimiento
1. Para acceder a la interfaz interactiva de documentación de la API, escriba la siguiente URL en el
navegador web: https://ConsoleIPaddress/api_doc/.
2. Pulse en el icono de flecha junto a la versión de la API que desea utilizar.
9.0 es la última versión de QRadar V7.3.1.
3. Vaya al punto final al que desea acceder.
4. Lea la documentación del punto final y complete los parámetros de solicitud.
5. Pulse en Inténtelo para enviar la solicitud de la API a la consola y recibir una respuesta HTTPS con el
formato correcto.
Nota: Al pulsar Inténtelo, se lleva a cabo la acción en el sistema QRadar. No todas las acciones se
pueden deshacer, por ejemplo, no puede reabrir un delito una vez cerrado.
6. Revise y recopile la información que necesite integrar a QRadar.

Avisos
Esta información se ha desarrollado para productos y servicios ofrecidos en Estados Unidos.
Es posible que IBM no ofrezca en otros países los productos, servicios o características que se describen
en este documento. Póngase en contacto con el representante local de IBM, que le informará sobre los
productos y servicios disponibles actualmente en su área. Cualquier referencia a un producto, programa o
servicio de IBM no pretende indicar ni implicar que solo pueda utilizarse dicho producto, programa o
servicio de IBM. En su lugar, puede utilizarse cualquier producto, programa o servicio funcionalmente
equivalente que no infrinja ninguno de los derechos de propiedad intelectual de IBM. No obstante, es
responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier producto, programa o
servicio que no sea de IBM.
IBM puede tener patentes o solicitudes de patente en tramitación que abarquen la materia descrita en este
documento. La posesión de este documento no le confiere ninguna licencia sobre dichas patentes. Puede
enviar consultas sobre licencias, por escrito, a:
IBM Director of Licensing

IBM Corporation
North Castle Drive
Armonk, NY 10504-1785 EE. UU.
Para consultas sobre licencias en las que se solicite información sobre el juego de caracteres de doble byte
(DBCS), póngase en contacto con el departamento de Propiedad intelectual de IBM de su país o envíe las
consultas, por escrito, a:
Intellectual Property Licensing

Legal and Intellectual Property Law
IBM Japan Ltd.
19-21, Nihonbashi-Hakozakicho, Chuo-ku
Tokio 103-8510, Japón
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN "TAL

CUAL", SIN GARANTÍAS DE NINGUNA CLASE, NI EXPLÍCITAS NI IMPLÍCITAS, INCLUIDAS, PERO
SIN LIMITARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN DE DERECHOS,
COMERCIABILIDAD O IDONEIDAD PARA UN FIN DETERMINADO. Algunas legislaciones no
contemplan la declaración de limitación de responsabilidad, ni implícita ni explícita, en determinadas
transacciones, por lo que cabe la posibilidad de que esta declaración no sea aplicable en su caso.
Esta información podría incluir imprecisiones técnicas o errores tipográficos. Periódicamente se realizan
cambios en la información aquí contenida; estos cambios se incorporarán en nuevas ediciones de la
publicación. IBM puede efectuar mejoras o cambios en los productos o programas descritos en esta
publicación en cualquier momento y sin previo aviso.
Las referencias hechas en esta publicación a sitios web que no son de IBM se proporcionan sólo para la
comodidad del usuario y no constituyen un aval de estos sitios web. Los materiales de estos sitios web
no forman parte de los materiales de IBM para este producto, y el uso que se haga de estos sitios web
será responsabilidad del usuario.
IBM puede utilizar o distribuir la información que se le proporcione de cualquier modo que considere
adecuado sin incurrir por ello en ninguna obligación con el remitente.

Los titulares de licencias de este programa que deseen obtener información sobre el mismo con el fin de
permitir:(i) el intercambio de información entre programas creados de forma independiente y otros
programas (incluido éste) y (ii) el uso mutuo de la información que se haya intercambiado, deberán
ponerse en contacto con:
IBM Director of Licensing

IBM Corporation
North Castle Drive, MD-NC119
Armonk, NY 10504-1785
EE.UU.
Esta información puede estar disponible, sujeta a los términos y condiciones adecuados, incluido, en
algunos casos, el pago de una tarifa.
IBM proporciona el programa bajo licencia descrito en este documento y todo el material bajo licencia
disponible para el mismo bajo los términos del contrato de cliente IBM, el contrato internacional de
licencia de programa de IBM o cualquier acuerdo equivalente entre las partes.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solamente a efectos ilustrativos.
Los resultados de rendimiento reales pueden variar en función de las configuraciones y las condiciones
operativas específicas.
La información relacionada con productos que no son de IBM se ha obtenido de los proveedores de
dichos productos, de sus anuncios publicados o de otras fuentes disponibles públicamente. IBM no ha
probado esos productos y no puede confirmar la precisión del rendimiento, compatibilidad o cualquier
otra declaración relacionada con los productos que no son de IBM. Las preguntas relativas a las
prestaciones de los productos que no son de IBM deberán dirigirse a los proveedores de dichos
productos.
Las declaraciones relativas a la dirección o intenciones futuras de IBM pueden cambiar o ser retiradas sin
previo aviso, y sólo representan propósitos y objetivos.
Todos los precios de IBM mostrados son precios de venta al público sugeridos por IBM, son actuales y
están sujetos a cambio sin previo aviso. Los precios de los distribuidores pueden variar.
Esta información contiene ejemplos de datos e informes utilizados en operaciones empresariales

cotidianas. Para ilustrarlos de la manera más completa posible, los ejemplos incluyen los nombres de
personas, empresas, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con
nombres reales de personas o empresas es pura coincidencia.
Marcas registradas
IBM, el logotipo de IBM e ibm.com son marcas registradas o marcas comerciales registradas de
International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros
nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Hay
disponible una lista actual de marcas registradas de IBM en la web, en sección "Copyright and trademark
information" de www.ibm.com/legal/copytrade.shtml.
Linux es una marca registrada de Linus Torvalds en Estados Unidos y/o en otros países.
UNIX es una marca registrada de The Open Group en Estados Unidos y en otros países.
Java y todas las marcas y logotipos basados en Java son marcas comerciales o marcas registradas de
Oracle y/o de sus filiales.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft
Corporation en Estados Unidos o en otros países.
Términos y condiciones de la documentación de producto

Se otorga permiso para el uso de estas publicaciones si se cumplen estos términos y condiciones.
Aplicabilidad
Estos términos y condiciones se añaden a los términos de uso del sitio web de IBM.
Uso personal
Puede reproducir estas publicaciones para su uso personal, no comercial, siempre que se conserven todos
los avisos sobre derechos de propiedad. No puede realizar trabajos derivados de estas publicaciones, ni
de partes de las mismas, ni reproducirlas, distribuirlas o visualizarlas, sin el consentimiento expreso de
IBM.
Uso comercial
Puede reproducir, distribuir y visualizar estas publicaciones únicamente dentro de la empresa a condición
de que se conserven todos los avisos de propiedad. No puede realizar trabajos derivados de estas
publicaciones, ni de partes de las mismas, ni reproducirlas, distribuirlas o visualizarlas fuera de la
empresa, sin el consentimiento expreso de IBM.
Derechos
Salvo lo aquí permitido de forma expresa, no se conceden otros permisos, licencias o derechos, ni
implícitos ni explícitos, para las publicaciones o cualquier información, datos software u otra propiedad
intelectual que en ellas se incluya.
IBM se reserva el derecho de retirar los permisos que se hayan proporcionado siempre que, bajo su
discreción, el uso de las publicaciones sea perjudicial para sus intereses o, según determine IBM, no se
estén siguiendo adecuadamente las instrucciones detalladas anteriormente.
No se puede descargar, exportar o reexportar si no es en total cumplimiento con todas las leyes y
reglamentos aplicables, incluidas las leyes y reglamentos de los EE.UU. en materia de exportación.
IBM NO GARANTIZA EL CONTENIDO DE ESTAS PUBLICACIONES. LAS PUBLICACIONES SE

PROPORCIONAN "TAL CUAL", SIN GARANTÍAS DE NINGUNA CLASE, YA SEAN EXPLÍCITAS O
IMPLÍCITAS, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE
COMERCIALIZACIÓN, NO INFRACCIÓN Y ADECUACIÓN A UN FIN DETERMINADO.
Avisos 405
Declaración de privacidad en línea de IBM
Los productos de software de IBM, incluido el software ofrecido como soluciones de servicio (“Ofertas de
software”), pueden utilizar cookies u otras tecnologías para recopilar información de uso del producto,
ayudar a mejorar la experiencia del usuario final, adaptar las interacciones con el usuario final o para
otros fines. En muchos casos, las Ofertas de software no recopilan información de identificación personal.
Algunas de nuestras Ofertas de software pueden ayudarle a recopilar información de identificación
personal. Si esta Oferta de software utiliza cookies para recopilar información de identificación personal,
más adelante se proporciona información específica sobre el uso de cookies por parte de la oferta de
software.
En función de las configuraciones desplegadas, esta Oferta de software puede utilizar cookies de sesión
que recopilan el ID de sesión de cada usuario para la gestión y autenticación de sesiones. Estas cookies se
pueden inhabilitar, pero si se inhabilitan también se elimina la función que estas cookies habilitan.
Si las configuraciones desplegadas para esta Oferta de software le ofrecen como cliente la posibilidad de
recopilar información de identificación personal de los usuarios finales mediante cookies y otras
tecnologías, debe buscar asesoramiento jurídico sobre la legislación aplicable a esa recopilación de datos,
que incluye cualquier requisito de aviso y consentimiento.
Para obtener más información sobre el uso de diversas tecnologías, incluidas las cookies, para estos fines,
consulte la política de privacidad de IBM en http://www.ibm.com/privacy y la declaración de
privacidad en línea de IBM en http://www.ibm.com/privacy/details, la sección titulada “Cookies, Web
Beacons and Other Technologies” y la declaración “IBM Software Products and Software-as-a-Service
Privacy Statement” en http://www.ibm.com/software/info/product-privacy.

Glosario
Este glosario incluye términos y definiciones para contiene claves públicas, claves privadas,
productos y software de IBM Security QRadar raíces de confianza y certificados.
SIEM.
ARP Véase protocolo de resolución de
direcciones.
En este glosario se utilizan las referencias
cruzadas siguientes: ASN Véase número de sistema autónomo.
v Véase le remite desde un término no preferido
al término preferido o desde una abreviatura a C
la forma completa.
v Véase también le remite a un término capa de red
relacionado u opuesto. En la arquitectura OSI, capa que
proporciona servicios para establecer una
Para conocer otros términos y definiciones, ruta entre sistemas abiertos con una
consulte el sitio web IBM Terminology (se abre en calidad de servicio predecible.
una ventana nueva). captura de contenido
Proceso que captura una cantidad
A configurable de carga útil y luego
almacena los datos en un registro de flujo.
activo Objeto gestionable que se despliega o se
CIDR Véase Direccionamiento entre dominios
piensa desplegar en un entorno operativo.
sin uso de clases.
acumulador
cifrado
Registro en el que se puede almacenar un
En la seguridad de sistemas, proceso que
operando de una operación y luego ser
transforma datos a una forma no
sustituido por el resultado de esa
inteligible de manera que no se pueden
operación.
obtener los datos originales o solamente
agregación de enlaces se pueden obtener utilizando un proceso
Agrupación de tarjetas de interfaz de red de descifrado.
física, como cables o puertos, en una
cliente
única interfaz de red lógica. La agregación
Programa de software o sistema que
de enlaces se utiliza para aumentar el
solicita servicios a un servidor.
ancho de banda y la disponibilidad de
red. clúster de alta disponibilidad
Configuración de alta disponibilidad que
alta disponibilidad (HA)
consta de un servidor primario y un
Relativo a un sistema en clúster que se
servidor secundario.
reconfigura cuando se producen errores
de nodo o de daemon de manera que las Common Vulnerability Scoring System (CVSS)
cargas de trabajo se pueden redistribuir Sistema de puntuación para medir la
hacia los nodos restantes del clúster. gravedad de una vulnerabilidad.
anomalía comportamiento
Desviación respecto del comportamiento Efectos observables de una operación o
esperado de la red. suceso, incluidos sus resultados.
archivo de almacén de confianza conjunto de referencia
Archivo de base de datos de claves que Lista de elementos individuales que
contiene las claves públicas de una derivan de sucesos o flujos en una red.
entidad de confianza. Por ejemplo, una lista de direcciones IP o
una lista de nombres de usuario.
archivo de claves
En seguridad de sistemas, archivo que

consola
Estación de pantalla desde la que un
D
operador puede controlar y observar el datos de carga útil
funcionamiento del sistema. Datos de aplicación contenidos en un
contexto de host flujo de datos IP, excluida la cabecera y la
Servicio que supervisa componentes para información administrativa.
asegurar el funcionamiento correcto de delito Mensaje enviado o suceso generado en
cada componente. respuesta a una condición supervisada.
conversión de direcciones de red (NAT) Por ejemplo, un delito proporciona
En un cortafuegos, conversión de información sobre si ha vulnerado una
direcciones seguras del Protocolo Internet política o la red está bajo ataque.
(IP) en direcciones registradas externas. destino de reenvío
Esto permite las comunicaciones con Uno o varios sistemas de proveedor que
redes externas, pero enmascara las reciben datos en bruto y normalizados
direcciones IP que se utilizan dentro del procedentes de orígenes de registro y
cortafuegos. orígenes de flujo.
Correlación de QID destino externo
Taxonomía que identifica cada suceso Dispositivo que está separado del sitio
exclusivo y correlaciona los sucesos con primario que recibe flujos de sucesos o de
categorías de nivel alto y bajo para datos de un recopilador de sucesos.
determinar cómo se debe correlacionar y
organizar un suceso. DHCP Véase protocolo de configuración
dinámica de hosts.
correlación de referencia
Registro de datos de la correlación directa dirección IP virtual de clúster
de una clave con un valor, por ejemplo, Dirección IP que se comparte entre el host
un nombre de usuario con un ID global. primario o secundario y el clúster de alta
disponibilidad.
correlación de referencia de conjuntos
Registro de datos de una clave direccionamiento entre dominios sin uso de
correlacionada con muchos valores. Por clases (CIDR)
ejemplo, la correlación de una lista de Método para añadir direcciones de
usuarios privilegiados con un host. Protocolo Internet (IP) de clase C. Las
direcciones se proporcionan a los
correlación de referencia de correlaciones proveedor de servicios de Internet (ISP)
Registro de datos de dos claves para que las utilicen sus clientes. Las
correlacionadas con muchos valores. Por direcciones CIDR reducen el tamaño de
ejemplo, la correlación del número total las tablas de direccionamiento y habilitan
de bytes de una aplicación con un IP de más direcciones IP dentro de las
origen. empresas.
credencial dispositivo de exploración externa
Conjunto de información que otorga Máquina que se conecta a la red para
determinados derechos de acceso a un recopilar información de vulnerabilidades
usuario o proceso. sobre activos de la red.
credibilidad DNS Véase sistema de nombres de dominio.
Puntuación numérica dentro del rango
0-10 que se utiliza para determinar la DSM Véase Módulo de soporte de dispositivos.
integridad de un suceso o delito. La
credibilidad aumenta a medida que varias E
fuentes notifican el mismo suceso o delito.
exploración en tiempo real
CVSS Véase Common Vulnerability Scoring Exploración de vulnerabilidades que
System. genera datos de informe a partir de los
resultados de exploración de acuerdo con
el nombre de la sesión.

explorador host de alta disponibilidad primario
Programa de seguridad automatizado que Sistema principal que está conectado al
busca vulnerabilidades de software dentro clúster de alta disponibilidad.
de aplicaciones web.
host de alta disponibilidad secundario
extensión de origen de registro Sistema en espera que está conectado al
Archivo XML que incluye todos los clúster de alta disponibilidad. El host de
patrones de expresión regular necesarios alta disponibilidad secundario toma el
para identificar y clasificar sucesos de la control del host de alta disponibilidad
carga útil de sucesos. primario si este falla.
F I
falso positivo ICMP Véase protocolo de mensajes de control
Suceso o flujo que el usuario puede de Internet.
decidir que no debe crear un delito, o un
identidad
delito que el usuario decide que no es un
Colección de atributos de un origen de
incidente de seguridad.
datos que representan a una persona,
firma de aplicación organización, lugar o elemento.
Conjunto exclusivo de características que
IDS Véase sistema de detección de intrusiones.
derivan del examen de la carga útil de los
paquetes y luego se utilizan para informe
identificar una aplicación determinada. En la gestión de consultas, datos
formateados que resultan de ejecutar una
flujo Transmisión de datos a través de un
consulta y aplicarles un formato.
enlace durante una conversación.
interconexión de sistemas abiertos (OSI)
flujo duplicado
Interconexión de sistemas abiertos de
Varias instancias de la misma transmisión
acuerdo con las normas ISO (International
de datos recibidas desde orígenes de flujo
Organization for Standardization) para el
diferentes.
intercambio de información.
FQDN
interfaz vinculada
Véase nombre de dominio completo.
Véase agregación de enlaces.
FQNN
intervalo de fusión
Véase nombre de red completo.
Intervalo de frecuencia con que se
agrupan los sucesos. La agrupación de
G sucesos se produce a intervalos de 10
segundos y comienza con el primer
gravedad suceso que no coincide con ningún suceso
Medida de la amenaza relativa que un de fusión actual. Dentro del intervalo de
origen representa para un destino. fusión, los tres primeros sucesos
coincidentes se agrupan y se envían al
H procesador de sucesos.
HA Véase alta disponibilidad. intervalo de informe

Intervalo de tiempo configurable al final
Hash-Based Message Authentication Code de cual el procesador de sucesos debe
(HMAC) enviar todos los datos capturados de
Código criptográfico que utiliza una sucesos y flujos a la consola.
función hash críptica y una clave secreta.
IP Véase protocolo Internet.
HMAC
Véase Hash-Based Message IPS Véase sistema de prevención de
Authentication Code. intrusiones.
hoja En un árbol, entrada o nodo que carece ISP Véase proveedor de servicios de Internet.
de nodos hijos.
Glosario 409
registro y los convierte a un formato de
J taxonomía estándar que se puede
jerarquía de red visualizar como datos de salida.
Tipo de contenedor que es una colección multidifusión IP
jerárquica de objetos de red. Transmisión de un datagrama de IP
(Protocolo Internet) a un conjunto de
L sistemas que forman un grupo de
multidifusión individual.
L2L Véase local a local.
L2R Véase local a remoto. N
LAN Véase red de área local. NAT Véase conversión de direcciones de red.
LDAP Véase Lightweight Directory Access NetFlow
Protocol. Protocolo de red Cisco que supervisa
Lightweight Directory Access Protocol (LDAP) datos de flujo del tráfico de red. Los datos
Protocolo abierto que utiliza TCP/IP para de NetFlow incluyen la información del
permitir el acceso a directorios que son cliente y servidor, los puertos utilizados, y
compatibles con un modelo X.500, y que el número de bytes y paquetes que
no tiene las necesidades de recursos del circulan por los conmutadores y
protocolo DAP (Directory Access Protocol) direccionadores conectados a la red. Los
de X.500, más complejo. Por ejemplo, datos se envían a los recopiladores de
LDAP se puede utilizar para localizar datos de NetFlow, donde se analizan.
personas, organizaciones y otros recursos nombre de dominio completo (FQDN)
en un directorio de Internet o intranet. En las comunicaciones de Internet,
local a local (L2L) nombre de un sistema host que incluye
Relativo al tráfico interno desde una red todos los subnombres del nombre de
local a otra red local. dominio. Un ejemplo de nombre de
dominio completo es
local a remoto (L2R) rchland.vnet.ibm.com.
Relativo al tráfico interno desde una red
local a otra red remota. nombre de red completo (FQNN)
En una jerarquía de red, nombre de un
objeto que incluye todos los
M departamentos. Un ejemplo de nombre de
magistrado red completo es
Componente interno que analiza tráfico CompanyA.Department.Marketing.
de red y sucesos de seguridad por número de sistema autónomo (ASN)
comparación con reglas personalizadas En TCP/IP, número que es asignado a un
definidas. sistema autónomo por la misma
magnitud autoridad central que asigna direcciones
Medida de la importancia relativa de un IP. El número de sistema autónomo
delito determinado. La magnitud es un permite que los algoritmos de
valor ponderado que se calcula a partir direccionamiento automatizado distingan
de los valores de pertinencia, gravedad y sistemas autónomos.
credibilidad.
máscara de subred O
En las subredes de Internet, máscara de objeto de red
32 bits utilizada para identificar los bits Componente de una jerarquía de red.
de dirección de subred en la porción de
una dirección IP correspondiente al host. objeto terminal de base de datos
Objeto o nodo terminal dentro de una
Módulo de soporte de dispositivos (DSM) jerarquía de base de datos.
Archivo de configuración que analiza
sucesos recibidos de varios orígenes de

Open Source Vulnerability Database (OSVDB) ejemplo, DHCP asigna automáticamente
Base de datos de código abierto, creada direcciones IP a los sistemas de una red.
por y para la comunidad de seguridad de
protocolo de control de transmisiones (TCP)
red, que proporciona información técnica
Protocolo de comunicación utilizado en
sobre vulnerabilidades de seguridad de
Internet y en todas las redes que siguen
red.
las normas de IETF (Internet Engineering
orden de análisis Task Force) para el protocolo de
Definición de origen de registro en la que interconexión de redes. TCP proporciona
el usuario puede definir el orden de un protocolo fiable de host a host en
importancia de los orígenes de registro redes de comunicaciones de paquetes
que comparten una misma dirección IP o conmutados y en sistemas interconectados
nombre de host. de esas redes. Véase también protocolo
Internet.
origen de registro
Equipo de seguridad o equipo de red protocolo de mensajes de control de Internet
desde el que se crea un registro de (ICMP)
sucesos. Protocolo de Internet que es utilizado por
una pasarela para comunicarse con un
origen externo
host de origen, por ejemplo, para notificar
Dispositivo que está separado del sitio
la existencia de un error en un datagrama.
primario que envía datos normalizados a
un recopilador de sucesos. protocolo de resolución de direcciones (ARP)
Protocolo que correlaciona dinámicamente
orígenes de flujo
una dirección IP con una dirección de
Origen desde el cual se captura flujo. Un
adaptador de red en una red de área
origen de flujo se clasifica como interno
local.
cuando el flujo procede de hardware
instalado en un host gestionado, y se protocolo Internet (IP)
clasifica como externo cuando el flujo se Protocolo que direcciona datos a través de
envía a un recopilador de flujos. una red o redes interconectadas. Este
protocolo actúa como intermediario entre
OSI Véase interconexión de sistemas abiertos.
las capas superiores del protocolo y la red
OSVDB física. Véase también protocolo de control
Véase Open Source Vulnerability de transmisiones.
Database.
protocolo simple de gestión de red (SNMP)
Conjunto de protocolos para supervisar
P sistemas y dispositivos en redes
complejas. Se define información sobre
pasarela dispositivos gestionados y se almacena en
Dispositivo o programa que se utiliza una base de información de gestión
para conectar redes o sistemas que tienen (Management Information Base).
arquitecturas de red diferentes.
proveedor de servicios de Internet (ISP)
pertinencia Organización que proporciona acceso a
Medida del efecto relativo de un suceso, Internet.
categoría o delito sobre la red.
punto de datos
protocolo Valor calculado de una medida en un
Conjunto de reglas que controlan la momento específico.
comunicación y transferencia de datos
entre dos o más dispositivos o sistemas punto final
en una red de comunicaciones. Dirección de una API o servicio en un
entorno. Una API expone un punto final y
protocolo de configuración dinámica de hosts al mismo tiempo invoca los puntos finales
(DHCP) de otros servicios.
Protocolo de comunicaciones que se
utiliza para gestionar centralmente
información de configuración. Por
Glosario 411
R S
R2L Véase remoto a local. servidor whois
Servidor que se utiliza para recuperar
R2R Véase remoto a remoto.
información sobre recursos de Internet
ráfaga Aumento brusco y repentino de la registrados, tales como nombres de
velocidad de los sucesos o flujos de dominio y asignaciones de direcciones IP.
entrada que provoca que se supere el
sistema activo
límite de velocidad de flujos o sucesos
En un clúster de alta disponibilidad,
para el que se dispone de licencia.
sistema que tiene todos sus servicios en
recon Véase reconocimiento. ejecución.
reconocimiento (recon) sistema de detección de intrusiones (IDS)
Método para recoger información relativa Software que detecta intentos de ataque o
a la identidad de recursos de red. Se ataques consumados sobre recursos
utiliza la exploración de red y otras supervisados que forman parte de una
técnicas para crear una lista de sucesos de red o sistema host.
recursos de red, a los cuales se les asigna
sistema de nombres de dominio (DNS)
un nivel de gravedad.
Sistema de base de datos distribuida que
recurso compartido administrativo correlaciona nombres de dominio con
Recurso de red que está oculto respecto direcciones IP.
de los usuarios sin privilegios
sistema de prevención de intrusiones (IPS)
administrativos. Los recursos compartidos
Sistema que intenta rechazar actividad
administrativos proporcionan a los
potencialmente maliciosa. Los
administradores acceso a todos los
mecanismos de rechazo pueden
recursos de un sistema de red.
comprender filtrado, seguimiento o el
red de área local (LAN) establecimiento de límites de frecuencia.
Red que conecta varios dispositivos
sistema en espera
situados en un área limitada (tal como un
Sistema que pasa a estar activo
edificio o campus) y que se puede
automáticamente cuando falla el sistema
conectar a una red mayor.
activo. Si la replicación de disco está
Redirección de ARP habilitada, el sistema en espera replica
Método de ARP para notificar al host si datos del sistema activo.
existe un problema en una red.
SNMP
registro de flujo Véase protocolo simple de gestión de red.
Colección de registros de flujo.
SOAP Protocolo ligero, basado en XML, para
regla Conjunto de sentencias condicionales que intercambiar información en un entorno
permiten que los sistemas identifiquen distribuido, descentralizado. SOAP se
relaciones y ejecuten respuestas puede utilizar para consultar y devolver
automatizadas de acuerdo con ello. información, e invocar servicios en
Internet.
regla de direccionamiento
Condición según la cual, cuando los datos subbúsqueda
de suceso cumplen los criterios, se realiza Función que permite realizar una consulta
una recogida de condiciones y el de búsqueda dentro de los resultados de
direccionamiento subsiguiente. una búsqueda completada.
remoto a local (R2L) subred
Tráfico externo desde una red remota a Red que está dividida en subgrupos
una red local. independientes menores, que siguen
estando interconectados.
remoto a remoto (R2R)
Tráfico externo desde una red remota a subred
otra red remota. Véase subred.

superflujo
Flujo individual que consta de varios
flujos con propiedades similares a fin de
aumentar la capacidad de proceso
mediante la reducción de las restricciones
de almacenamiento.
T
tabla de referencia
Tabla en la que el registro de datos
correlaciona claves que tienen un tipo
asignado con otras claves, las cuales se
correlacionan entonces con un valor
individual.
TCP Véase protocolo de control de
transmisiones.
temporizador de renovación
Dispositivo interno, activado
manualmente o automáticamente a
intervalos regulares, que actualiza los
datos actuales sobre la actividad de red.
V
violación
Acto que paso por alto o contraviene una
política corporativa.
vista de sistema
Representación visual del host primario y
hosts gestionados que componen un
sistema.
vulnerabilidad
Riesgo de seguridad en un sistema
operativo, software del sistema o
componente de software de aplicación.
Glosario 413
Índice
A categoría de auditoría
descripción 375
configuración del servidor de horas 58
configurar 29, 30, 31, 170
acciones registradas categoría de auditoría de Risk Manager autenticación del sistema 28
archivo de registro de auditoría 306 descripción 380 perfiles de reenvío 264
acerca de 13 categoría de autenticación conjuntos de referencia
actualización automática descripción 320 añadir 153
planificar 85 categoría de CRE añadir elementos 156
actualizaciones descripción 345 exportar elementos 157
planificar 84 suceso de regla personalizada suprimir elementos 157
actualizaciones ocultas 86 Véase CRE ver 153
administrador de red xi categoría de denegación de servicio ver contenido 155
almacenar información de usuario 174 descripción 316 contenido
almacenar y reenviar categoría de descubrimiento de host de importar 284
crear una nueva planificación 272 VIS contraseña 74
editar una planificación 273 descripción 351 contraseñas
suprimir planificación 273 categoría de explotación 330 caducidad 28
ver lista de planificación 270 categoría de explotación potencial complejidad 28
archivo de registro de auditoría descripción 345 Conversión de direcciones de red. 59
acciones registradas 306 categoría de política copia de seguridad de la
archivo de registro de flujos 207 descripción 342 información 186
asistente de reglas personalizadas categoría de programa malicioso copia de seguridad y recuperación
añadir condiciones de excepción de descripción 332 importar archivos de copia de
SNMP 294 categoría de reconocimiento seguridad 192
configurar condiciones de excepción descripción 315 iniciar copia de seguridad 188
de SNMP 291 categoría de riesgo planificar copias de seguridad 186
autenticación 28, 29, 30, 31 descripción 379 suprimir archivos de copia de
Active Directory 27 categoría Definido por el usuario seguridad 192
LDAP 27, 31 descripción 348 correlación de categorías de sucesos
proveedores de autenticación categoría del sistema categoría de acceso 328
soportados 26 descripción 338 categoría de aplicación 352
RADIUS 27 categoría Desconocido categoría de auditoría 375
sistema 27 descripción 344 categoría de auditoría de Risk
TACACS 27 categoría Sospechoso Manager 380
visión general 26 descripción 334 categoría de autenticación 320
autenticación del sistema 26, 27 categorías de nivel alto categoría de CRE 345
configurar 28 descripción 313 categoría de denegación de
categorías de sucesos servicio 316
descripción 313 categoría de descubrimiento de host
B cerrar 73 de VIS 351
base de datos Ariel cerrar sistema 73 categoría de explotación
acciones al pulsar el botón derecho certificado SSL descripción 330
del ratón 90 configurar 36 categoría de explotación
buscar certificado TLS potencial 345
en entornos que tienen en cuenta el configurar 36 categoría de política 342
dominio 226 cifrado 67 categoría de programa malicioso 332
búsquedas de carga útil clave de licencia 46, 50 categoría de reconocimiento 315
habilitar índices 114 clave pública categoría de riesgo 379
generar 63 categoría de sucesos Auditoría de
condiciones de excepción de SNMP SIM 350
C añadir 294
configurar en asistente de reglas de
categoría Definido por el usuario 348
categoría del sistema 338
cambios cliente 291 categoría Desconocido 344
desplegar 72 configurar salida de condiciones de categoría Sospechoso 334
características nuevas excepción 292 categorías de nivel alto 313
Versión 7.3.0 5 enviar a otro host 294 correlación de QID, importar
Versión 7.3.1 1 visión general de la entradas 218
cargar 46 configuración 291 correo electrónico, notificación
categoría Auditoría de SIM 350 configuración 70, 71, 167 personalizada 109
categoría de acceso configuración de flujo 207 crear 13, 21, 172
descripción 328 configuración de Microsoft Active crear cuenta 24
categoría de aplicación Directory 30
descripción 352

crear origen de información de
usuario 172
G J
crear una nueva planificación de gestión de sistemas 51 J-Flow 206
Almacenar y reenviar 272 gestión de sistemas y licencias jerarquía de red 80
cuentas de usuario 24 recopilación de archivos de crear 77
registro 74
gestión de usuarios
D autenticación 26
gestionar 13, 24, 172
L
datos LDAP
glosario 407
enmascaramiento autenticación 31
grupos de redes remotas
descifrar 301 visualización de información de
descripción 213
datos restaurados usuario 37
grupos de retención 103
verificar 198 licencia
grupos de servicios remotos
delitos estado de licencia 47
descripción 215
que tienen en cuenta el dominio 228
desplegar cambios 72
destino
H M
cifrado 64 mandatos
externo 64 herramienta de gestión de contenido
descripción 159
destino externo 64 actualizar 286
menús contextuales
destinos de reenvío buscar contenido personalizado 139,
añadir acciones al menú
en entornos que tienen en cuenta el 141, 144, 279
contextual 90
dominio 224 contenido existente, actualizar 286
especificar propiedades 264 contenido personalizado, exportar
todo el de un tipo específico 277
gestionar 268
ver 267 contenido personalizado, N
detalles de licencia importar 285 NAT
ver 49 elemento de contenido personalizado, habilitar 69
direcciones IP solapadas exportar 280 utilizar con QRadar 59
segmentación en dominios 223 elementos de contenido personalizado, NetFlow 204
dominios exportar varios 282 nodo de datos
búsquedas que tienen en cuenta el exportar todo el contenido archivar datos 55
dominio 226 personalizado de un tipo guardar datos de procesador de
crear 225 específico 277 sucesos 55
direcciones IP solapadas 223 exportar un solo elemento de progreso del reequilibrado, ver 54
dominio predeterminado 226 contenido personalizado 280 novedades 1, 5
dominios definidos por el exportar varios elementos de
usuario 226 contenido personalizado 282
etiquetar sucesos y flujos 224 importar contenido
personalizado 285
O
reglas y delitos 228 objeto de redes remotas
segmentar la red 223 historial de actualizaciones 86
añadir 216
utilizar perfiles de seguridad 226 hora del sistema 58
objeto de servicios remotos
duplicar un perfil de seguridad 23 host
añadir 216
añadir 68
objetos de servicios remotos
host gestionado
configurar 216
añadir 68
E editar 69
ocultación de datos
editar 16, 22, 173 Véase ofuscación de datos
eliminar 70
editar planificación de Almacenar y ofuscación de datos
hosts gestionados
reenviar 273 creación de expresiones 301
soporte de IPv6 99
enlace de variable creación de un perfil 300
condiciones de excepción de visión general 297
opciones de direccionamiento
SNMP 292
enmascaramiento
I configurar 268
datos importar archivos de copia de origen
descifrar 301 seguridad 192 externo 64
enmascaramiento de datos importar contenido 284 origen de flujo
Véase ofuscación de datos indexación de carga útil acerca de 203
entrada de correlación de QID, habilitar 114 añadir alias 210
modificar 218 información de usuario 168, 174 añadir origen de flujo 207
estado del sistema 51 información sobre el sistema 56, 70, 71 editar alias 210
exportar 50 inhabilitar cuenta 25 etiquetado de dominio 224
extensiones iniciar una copia de seguridad 188 externo 203
importar 284 interfaz de usuario 9 gestionar alias 210
introducción xi habilitar o inhabilitar 209
IPv6 interno 203
soporte y limitaciones 99 nombre virtual 210
suprimir alias 211

origen de flujo (continuación) retención de flujos visión general de las correlaciones de
suprimir origen de flujo 210 configurar 104 QID 216
origen de información de usuario 169, gestionar 105 visión general de tareas de gestión 169
172 habilitar e inhabilitar 106 vista de sistema
origen externo 64 secuencia 105 añadir un host 68
orígenes de flujo suprimir 106 vista de sucesos
creación de dominios 225 retención de sucesos crear 51
orígenes de flujo externos 203 configurar 104 vistas de datos agregados
orígenes de flujo internos 203 gestionar 105 gestionar 130
orígenes de información de usuario 167, habilitar e inhabilitar 106 habilitar 130
172, 173, 174 secuencia 105 inhabilitar 130
suprimir 106 suprimir 130
roles 13, 16, 19
P roles de usuario 13
Packeteer 206
parámetros
descripción 159 S
perfil de seguridad 21, 22, 23 servicios
perfiles de reenvío autorizados 183
configurar 264 servicios autorizados
perfiles de seguridad 20 acerca de 183
privilegios de dominio 226 añadir 184
pestaña Admin 9 revocar 184
planificar la copia de seguridad 186 señal 183
Procesador de sucesos ver 183
acerca de 51 servidor de Tivoli Directory
Integrator 167, 170
servidores
R descubrir 221
sFlow 206
razón de cierre del delito 111
SIM
recopilación de datos de referencia 168
restablecer 74
recopilaciones de datos de
sistema 73
referencia 151, 152
solucionar problemas
Recopilador de sucesos
datos restaurados 198
acerca de 51
sucesos
recopilar archivos de registro 74
almacenamiento y reenvío 269
recuperar 173
almacenamiento y reenvío de
recursos de red
sucesos 269
directrices sugeridas 215
creación de dominios 225
red
etiquetado de dominio 224
dominios 223
suprimir 19, 174
redes remotas y servicios remotos
suprimir archivos de copia de
descripción 213
seguridad 192
reenviar sucesos y flujos
suprimir planificación de Almacenar y
normalizados 64
reenviar 273
reenvío de sucesos
suprimir un perfil de seguridad 23
configurar 265
syslog
registro de actualización automática 86
reenviar 263
registro de auditoría
ver 305
registros de auditoría
descripción 305 U
reglas umbrales 107
que tienen en cuenta el dominio 228 usuarios 13, 24, 25
reglas de direccionamiento
editar 268
reiniciar 73
reiniciar el sistema 73
V
valores de retención de activos, visión
restablecer SIM 74
general 92
restaurar
valores del sistema 89
solucionar problemas de datos
ver lista de planificación 270
restaurados 198
vinculación 56
restaurar información de configuración
visión general 167
dirección IP diferente 195
visión general de correlaciones de
misma dirección IP 193
QRadar Identifier 216
Índice 417
IBM®
Impreso en España

B Qradar Admin Guide

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

B Qradar Admin Guide

Загружено:

Авторское право:

Доступные форматы

IBM Security QRadar

Información sobre el producto

1 Novedades para los administradores . . . . . . . . . . . . . . . . . . . . . . 1

© Copyright IBM Corp. 2012, 2017 iii

iv Guía de administración de QRadar

7 Proceso de datos de sucesos en QRadar . . . . . . . . . . . . . . . . . . . 133

8 Aplicaciones de QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

9 Uso de datos de referencia en QRadar . . . . . . . . . . . . . . . . . . . . 151

10 Configuración del origen de información de usuario . . . . . . . . . . . . . . 167

11 Integración de IBM X-Force . . . . . . . . . . . . . . . . . . . . . . . . . 177

vi Guía de administración de QRadar

12 Gestión de servicios autorizados . . . . . . . . . . . . . . . . . . . . . . 183

13 Copia de seguridad y recuperación . . . . . . . . . . . . . . . . . . . . . 185

14 Orígenes de flujo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

15 Configuración de redes remotas y servicios remotos . . . . . . . . . . . . . . 213

16 Descubrimiento de servidores . . . . . . . . . . . . . . . . . . . . . . . . 221

18 Gestión multiarrendatario . . . . . . . . . . . . . . . . . . . . . . . . . . 233

19 Gestión de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

20 Configuración de sistemas de QRadar para reenviar datos a otros sistemas. . . . 263

viii Guía de administración de QRadar

22 Contenido de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 275

23 Configuración de condiciones de excepción de SNMP . . . . . . . . . . . . . 291

24 Proteger datos confidenciales . . . . . . . . . . . . . . . . . . . . . . . . 297

25 Archivos de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305

26 Categorías de sucesos . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

27 Servidores y puertos comunes utilizados por QRadar . . . . . . . . . . . . . 389

28 API RESTful. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

x Guía de administración de QRadar

Público al que se dirige

Cómo ponerse en contacto con el servicio de soporte al cliente

Declaración de buenas prácticas de seguridad

La seguridad de los sistemas de TI implica la protección de sistemas e información mediante la

Tenga en cuenta lo siguiente:

© Copyright IBM Corp. 2012, 2017 xi

Nuevas características y mejoras en QRadar V7.3.1

Menor tiempo de inactividad para los servicios de recopilación de sucesos

Más información sobre la realización de cambios en el despliegue de QRadar...

Recopilación continua de sucesos durante las actualizaciones de parches poco

Capacidad para reiniciar solo la recopilación de sucesos de servicio

Más información sobre el reinicio del servicio de recopilación de sucesos...

© Copyright IBM Corp. 2012, 2017 1

Nuevo menú de navegación desplegable con pestañas de favoritos

Notificaciones del sistema basadas en navegador

Más información sobre las notificaciones del sistema...

Más datos de métricas de estado

2 Guía de administración de QRadar

Obtenga más información acerca de direcciones IPv6 en despliegues de QRadar...

Mejora de la seguridad con la nueva política de contraseñas

Más información sobre la configuración de la autenticación del sistema...

Creación de un alias para el DN base de usuario (nombre distinguido) que se

Más información sobre la configuración de la autenticación LDAP...

Editar o crear un mensaje de inicio de sesión que se muestra a los usuarios en

Más información sobre la creación o edición de un mensaje de inicio de sesión...

Supervisar los sucesos de inicio de sesión satisfactorio ejecutando informes en

Dos nuevas aplicaciones preinstaladas en QRadar V7.3.1

1 Novedades para los administradores 3

Más información sobre las aplicaciones instaladas...

Configuración de la detección automática del origen de registro

Más información sobre la configuración de los hosts gestionados...

Configuración del descubrimiento de propiedades automático para tipos de origen

Puede configurar el descubrimiento automático de nuevas propiedades para un tipo de origen de

Obtenga más información acerca de la configuración de propiedades en el editor DSM....

Nueva oferta de IBM QRadar Data Store