ebook img

QRadar SIEM Administration Guide PDF

306 Pages·2014·1.29 MB·English
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview QRadar SIEM Administration Guide

IBM Security QRadar SIEM Version 7.2.4 Administration Guide (cid:1)(cid:2)(cid:3) Note Beforeusingthisinformationandtheproductthatitsupports,readtheinformationin“Notices”onpage281. Productinformation ThisdocumentappliestoIBMQRadarSecurityIntelligencePlatformV7.2.4andsubsequentreleasesunless supersededbyanupdatedversionofthisdocument. ©CopyrightIBMCorporation2012,2014. USGovernmentUsersRestrictedRights–Use,duplicationordisclosurerestrictedbyGSAADPScheduleContract withIBMCorp. Contents Introduction to QRadar product administration. . . . . . . . . . . . . . . . . . . ix Chapter 1. What's new for administrators in QRadar V7.2.4 . . . . . . . . . . . . . 1 Chapter 2. Overview of QRadar administration . . . . . . . . . . . . . . . . . . . 3 Supportedwebbrowsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Admintaboverview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Deployingchanges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Updatinguserdetails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 ResettingSIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 MonitoringsystemswithSNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Managingaggregateddataviews . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 RESTfulAPI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Chapter 3. User management . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Usermanagementoverview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Rolemanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Creatingauserrole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Editingauserrole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Deletingauserrole. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Managingsecurityprofiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Permissionprecedences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Creatingasecurityprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Editingasecurityprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Duplicatingasecurityprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Deletingasecurityprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Useraccountmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Creatingauseraccount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Deletingauseraccount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Authenticationmanagement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Authenticationoverview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Authenticationtypeprerequisitetaskschecklist . . . . . . . . . . . . . . . . . . . . . . 16 Configuringsystemauthentication. . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ConfiguringRADIUSauthentication . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ConfiguringTACACSauthentication . . . . . . . . . . . . . . . . . . . . . . . . . . 18 ConfiguringActiveDirectoryauthentication . . . . . . . . . . . . . . . . . . . . . . . 19 ConfiguringLDAPauthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ConfiguringSSLorTLScertificates . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Userroleaccessandpermissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Securityprofileparameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 UserManagementwindowparameters . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Usermanagementwindowtoolbar . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 UserDetailswindowparameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Chapter 4. System and licenses management . . . . . . . . . . . . . . . . . . . 29 SystemandLicenseManagementwindowoverview. . . . . . . . . . . . . . . . . . . . . . 29 Licensemanagementchecklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Uploadingalicensekey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Allocatingalicensetoasystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Revertinganallocation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Viewinglicensedetails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Exportingalicense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Systemmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Viewingsystemdetails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 ©CopyrightIBMCorp.2012,2014 iii Allocatingasystemtoalicense. . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Restartingasystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Shuttingdownasystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Exportingsystemdetails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Accesssettingmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Configuringfirewallaccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Updatingyourhostsetup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Configuringinterfaceroles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 ChangingtherootpasswordofyourQRadarsystem . . . . . . . . . . . . . . . . . . . . 40 Timeserverconfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 ConfiguringyourtimeserverusingRDATE . . . . . . . . . . . . . . . . . . . . . . . 41 Manuallyconfiguringtimesettingsforyoursystem. . . . . . . . . . . . . . . . . . . . . 42 Chapter 5. User information source configuration . . . . . . . . . . . . . . . . . 45 Userinformationsourceoverview. . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Userinformationsources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Referencedatacollectionsforuserinformation . . . . . . . . . . . . . . . . . . . . . . 46 Integrationworkflowexample . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Userinformationsourceconfigurationandmanagementtaskoverview . . . . . . . . . . . . . . 47 ConfiguringtheTivoliDirectoryIntegratorServer . . . . . . . . . . . . . . . . . . . . . . 47 Creatingandmanaginguserinformationsource . . . . . . . . . . . . . . . . . . . . . . . 50 Creatingauserinformationsource . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Retrievinguserinformationsources . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Editingauserinformationsource . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Deletingauserinformationsource . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Collectinguserinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Chapter 6. Set up QRadar SIEM . . . . . . . . . . . . . . . . . . . . . . . . . 55 Networkhierarchy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 AcceptableCIDRvalues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Definingyournetworkhierarchy . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Automaticupdates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Viewingpendingupdates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Configuringautomaticupdatesettings . . . . . . . . . . . . . . . . . . . . . . . . . 61 Schedulinganupdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Clearingscheduledupdates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Checkingfornewupdates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Manuallyinstallingautomaticupdates . . . . . . . . . . . . . . . . . . . . . . . . . 63 Viewingyourupdatehistory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Restoringhiddenupdates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Viewingtheautoupdatelog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 SetupaQRadarupdateserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Configuringyourupdateserver . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 ConfiguringyourQRadarConsoleastheUpdateServer . . . . . . . . . . . . . . . . . . . 66 Addingnewupdates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Configuringsystemsettings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Assetretentionvaluesoverview . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 ConfiguringyourIF-MAPservercertificates . . . . . . . . . . . . . . . . . . . . . . . . 77 ConfiguringIF-MAPServerCertificateforBasicAuthentication . . . . . . . . . . . . . . . . . 77 ConfiguringIF-MAPServerCertificateforMutualAuthentication . . . . . . . . . . . . . . . . 77 SSLcertificatereplacementinQRadarproducts . . . . . . . . . . . . . . . . . . . . . . . 78 ReplacingthedefaultSSLcertificate . . . . . . . . . . . . . . . . . . . . . . . . . . 78 IPv6addressinginQRadardeployments . . . . . . . . . . . . . . . . . . . . . . . . . 79 InstallinganIPv4-onlymanagedhostinamixedenvironment . . . . . . . . . . . . . . . . . 81 Dataretention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Configuringretentionbuckets . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Managingretentionbucketsequence . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Editingaretentionbucket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Enablinganddisablingaretentionbucket . . . . . . . . . . . . . . . . . . . . . . . . 85 DeletingaRetentionBucket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 iv QRadarSIEMAdministrationGuide Configuringsystemnotifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Configuringcustomemailnotifications . . . . . . . . . . . . . . . . . . . . . . . . . 87 ConfiguringtheConsolesettings . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Customizingtheright-clickmenu . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Enhancingtheright-clickmenuforeventandflowcolumns . . . . . . . . . . . . . . . . . . 92 Customoffenseclosereasons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Addingacustomoffenseclosereason . . . . . . . . . . . . . . . . . . . . . . . . . 94 Editingcustomoffenseclosereason . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Deletingacustomoffenseclosereason . . . . . . . . . . . . . . . . . . . . . . . . . 95 Configuringacustomassetproperty . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Indexmanagement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Enablingindexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Enablingpayloadindexingtooptimizesearchtimes. . . . . . . . . . . . . . . . . . . . . 97 Configuringtheretentionperiodforpayloadindexes . . . . . . . . . . . . . . . . . . . . 97 Chapter 7. Reference sets management . . . . . . . . . . . . . . . . . . . . . 99 Addingareferenceset. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Editingareferenceset. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Deletingreferencesets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Viewingthecontentsofareferenceset. . . . . . . . . . . . . . . . . . . . . . . . . . 100 Addinganelementtoareferenceset . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Deletingelementsfromareferenceset . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Importingelementsintoareferenceset. . . . . . . . . . . . . . . . . . . . . . . . . . 102 Exportingelementsfromareferenceset . . . . . . . . . . . . . . . . . . . . . . . . . 103 Chapter 8. Reference data collections. . . . . . . . . . . . . . . . . . . . . . 105 CSVfilerequirementsforreferencedatacollections . . . . . . . . . . . . . . . . . . . . . 105 Creatingareferencedatacollection . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 ReferenceDataUtil.shcommandreference . . . . . . . . . . . . . . . . . . . . . . . . . 107 create . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 add. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 delete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 remove . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 purge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 listall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 load . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Chapter 9. Managing authorized services . . . . . . . . . . . . . . . . . . . . 111 Viewingauthorizedservices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Addinganauthorizedservice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Revokingauthorizedservices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Customersupportauthenticatedservice . . . . . . . . . . . . . . . . . . . . . . . . . 112 Dismissanoffense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Closeanoffense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Addnotestoanoffense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Chapter 10. Manage backup and recovery . . . . . . . . . . . . . . . . . . . . 115 Backuparchivemanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Viewingbackuparchives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Importingabackuparchive . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Deletingabackuparchive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Backuparchivecreation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Schedulingnightlybackup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Creatinganon-demandconfigurationbackuparchive. . . . . . . . . . . . . . . . . . . . 119 Backuparchiverestoration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Restoringabackuparchive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 RestoringabackuparchivecreatedonadifferentQRadarsystem. . . . . . . . . . . . . . . . 121 Restoringdata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Contents v Verifyingrestoreddata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Chapter 11. Deployment editor . . . . . . . . . . . . . . . . . . . . . . . . . 127 Deploymenteditorrequirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Deploymenteditorviews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Configuringdeploymenteditorpreferences . . . . . . . . . . . . . . . . . . . . . . . 128 Buildingyourdeployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 GeneratingpublickeysforQRadarproducts . . . . . . . . . . . . . . . . . . . . . . . . 129 Eventviewmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 EventviewsofQRadarcomponentsinyourdeployment. . . . . . . . . . . . . . . . . . . 130 Addingcomponents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Connectingcomponents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Forwardingnormalizedeventsandflows . . . . . . . . . . . . . . . . . . . . . . . . 134 Renamingcomponents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Viewingtheprogressofdatarebalancing . . . . . . . . . . . . . . . . . . . . . . . . . 136 ArchivingDataNodecontent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 SavingeventprocessordatatoaDataNodeappliance . . . . . . . . . . . . . . . . . . . . 137 Systemviewmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 OverviewoftheSystemViewpage . . . . . . . . . . . . . . . . . . . . . . . . . . 137 SoftwarecompatibilityrequirementsforConsoleandnon-Consolehosts . . . . . . . . . . . . . 137 Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Addingamanagedhost. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Editingamanagedhost. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Removingamanagedhost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Configuringamanagedhost . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Assigningacomponenttoahost. . . . . . . . . . . . . . . . . . . . . . . . . . . 140 ConfiguringHostContext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Configuringanaccumulator . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 NATmanagement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 AddingaNAT-enablednetworktoQRadar . . . . . . . . . . . . . . . . . . . . . . . 144 EditingaNAT-enablednetwork . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 DeletingaNAT-enablednetworkfromQRadar . . . . . . . . . . . . . . . . . . . . . . 144 ChangingtheNATstatusforamanagedhost . . . . . . . . . . . . . . . . . . . . . . 145 Componentconfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 ConfiguringaQRadarQFlowCollector . . . . . . . . . . . . . . . . . . . . . . . . 146 ConfiguringanEventCollector . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 ConfiguringanEventProcessor . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 ConfiguringtheMagistrate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Configuringanoff-sitesource. . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Configuringanoff-sitetarget . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Chapter 12. Flow sources management . . . . . . . . . . . . . . . . . . . . . 157 Flowsources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 sFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 J-Flow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Packeteer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Flowlogfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Napatechinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Addingoreditingaflowsource . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Enablinganddisablingaflowsource . . . . . . . . . . . . . . . . . . . . . . . . . . 162 DeletingaFlowSource . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Flowsourcealiasesmanagement. . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Addingoraflowsourcealias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Deletingaflowsourcealias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Chapter 13. Remote networks and services configuration . . . . . . . . . . . . . 165 Defaultremotenetworkgroups . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Defaultremoteservicegroups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 vi QRadarSIEMAdministrationGuide Guidelinesfornetworkresources. . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Managingremotenetworksobjects . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Managingremoteservicesobjects . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 QIDmapoverview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 CreatingaQIDmapentry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 ModifyingaQIDmapentry . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 ImportingQidmapentries. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 ExportingQIDmapentries. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Chapter 14. Server discovery . . . . . . . . . . . . . . . . . . . . . . . . . 173 Discoveringservers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Chapter 15. Configuring QRadar systems to forward data to other systems . . . . . 175 Addingforwardingdestinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Configuringforwardingprofiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Configuringroutingrulesforbulkforwarding . . . . . . . . . . . . . . . . . . . . . . . 176 Configuringselectiveforwarding. . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Viewingforwardingdestinations. . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Viewingandmanagingforwardingdestinations. . . . . . . . . . . . . . . . . . . . . . . 180 Viewingandmanagingroutingrules . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Chapter 16. Event store and forward . . . . . . . . . . . . . . . . . . . . . . 183 Storeandforwardoverview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 ViewingtheStoreandForwardschedulelist. . . . . . . . . . . . . . . . . . . . . . . . 183 CreatinganewStoreandForwardschedule . . . . . . . . . . . . . . . . . . . . . . . . 187 EditingaStoreandForwardschedule . . . . . . . . . . . . . . . . . . . . . . . . . . 187 DeletingaStoreandForwardschedule. . . . . . . . . . . . . . . . . . . . . . . . . . 188 Chapter 17. Content Management Tool overview . . . . . . . . . . . . . . . . . 189 Exportingallcustomcontent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Exportingallcustomcontentofaspecifictype . . . . . . . . . . . . . . . . . . . . . . . 190 Searchingforcontent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Exportingmultiplecustomcontentitems . . . . . . . . . . . . . . . . . . . . . . . . . 192 Exportingasinglecustomcontentitem. . . . . . . . . . . . . . . . . . . . . . . . . . 193 Importingcustomcontent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Updatingcontent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 ContentManagementToolauditdetails . . . . . . . . . . . . . . . . . . . . . . . . . 196 Chapter 18. Data obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . 199 Generatingaprivate/publickeypair . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Configuringdataobfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Decryptingobfuscateddata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 QRadarassetprofiledatadoesnotdisplayobfuscateddataafterupgrade . . . . . . . . . . . . . . 204 Chapter 19. Audit logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Viewingtheauditlogfile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Loggedactions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Chapter 20. Event categories. . . . . . . . . . . . . . . . . . . . . . . . . . 211 High-leveleventcategories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Recon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Access. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Exploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 SuspiciousActivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Contents vii Unknown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 CRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 PotentialExploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 UserDefined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 SIMAudit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 VISHostDiscovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 RiskManagerAudit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 AssetProfiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Chapter 21. Ports used by QRadar . . . . . . . . . . . . . . . . . . . . . . . 271 SearchingforportsinusebyQRadar . . . . . . . . . . . . . . . . . . . . . . . . . . 278 ViewingIMQportassociations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Notices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Trademarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Privacypolicyconsiderations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 I. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 K . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 O . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 W . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 viii QRadarSIEMAdministrationGuide Introduction to QRadar product administration Administrators use IBM® Security QRadar® SIEM to manage dashboards, offenses, log activity, network activity, assets, and reports. Intended audience This guide is intended for all QRadar SIEM users responsible for investigating and managing network security. This guide assumes that you have QRadar SIEM access and a knowledge of your corporate network and networking technologies. Technical documentation To find IBM Security QRadar product documentation on the web, including all translated documentation, access the IBM Knowledge Center (http:// www.ibm.com/support/knowledgecenter/SS42VS/welcome). For information about how to access more technical documentation in the QRadar products library, seeAccessing IBM Security Documentation Technical Note (www.ibm.com/support/docview.wss?rs=0&uid=swg21614644). Contacting customer support For information about contacting customer support, see the Support and Download Technical Note (http://www.ibm.com/support/docview.wss?rs=0 &uid=swg21612861). Statement of good security practices IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THATANY SYSTEMS, PRODUCTS OR SERVICESARE IMMUNE FROM, OR WILLMAKE YOUR ENTERPRISE IMMUNE FROM, THE MALICIOUS OR ILLEGALCONDUCT OFANY PARTY. Please Note: Use of this Program may implicate various laws or regulations. including those related to privacy, data protection, employment, and electronic communications and storage. IBM Security QRadar may be used only for lawful purposes and in a lawful manner. Customer agrees to use this Program pursuant to, and assumes all responsibility for complying with, applicable laws, regulations and policies. Licensee represents that it will obtain or has obtained any consents, permissions, or licenses required to enable its lawful use of IBM Security QRadar. ©CopyrightIBMCorp.2012,2014 ix x QRadarSIEMAdministrationGuide

Description:
v User role - Determines the privileges that the user is granted to access profile - Determines the networks and log sources the user is granted.
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.