Table des Matières
Publicité
Liens rapides
Publicité
Table des Matières
Manuels Connexes pour IBM Security QRadar
Sommaire des Matières pour IBM Security QRadar
- Page 1 IBM Security QRadar Version 7.2.1 Guide d'utilisation...
- Page 2 Cela ne signifie cependant pas qu'ils y seront annoncés. Pour plus de détails, pour toute demande d'ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial.
-
Page 3: Table Des Matières
Chapitre 1. A propos de QRadar SIEM ..... . . 1 Navigateurs Web pris en charge . Activation du mode document et du mode navigateur dans Internet Explorer Accès à IBM Security QRadar. Onglets d'interface utilisateur . Onglet Dashboard Onglet Offenses . - Page 4 . 93 Affichage des flux regroupés . 96 Détails de flux . . 99 Barre d'outils des détails de flux . . 102 Réglage des faux positifs . 103 Exportation de flux . . 103 IBM Security QRadar - Guide d'utilisation...
- Page 5 Chapitre 6. Gestion des graphiques ..... . . 105 Gestion des graphiques . . 105 Présentation des graphiques de série temporelle . .
- Page 6 Création d'un groupe de rapports . 212 Modification d'un groupe . . 212 Affectation d'un rapport à un groupe . . 212 Copie d'un rapport vers un autre groupe . . 213 Suppression d'un rapport . . 213 IBM Security QRadar - Guide d'utilisation...
- Page 7 Conteneur de graphique. . 213 Paramètres de conteneur du graphique Asset Vulnerabilities. . 214 Paramètres du conteneur de graphiques Evénements/Journaux . 215 Paramètres du conteneur de graphiques de flux . . 222 Paramètres du conteneur de graphiques Top Source IPs . .
- Page 8 IBM Security QRadar - Guide d'utilisation...
- Page 9 Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au tableau ci-dessous, au besoin. IBM France IBM Canada ingénieur commercial représentant...
- Page 10 Brevets Il est possible qu'IBM détienne des brevets ou qu'elle ait déposé des demandes de brevets portant sur certains sujets abordés dans ce document. Le fait qu'IBM vous fournisse le présent document ne signifie pas qu'elle vous accorde un permis d'utilisation de ces brevets.
-
Page 11: A Propos De Ce Guide
Les systèmes, les produits et les services IBM sont conçus pour s'intégrer à une approche de sécurité complète, qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent avoir besoin d'autres systèmes, produit ou services pour optimiser leur... - Page 12 IBM Security QRadar - Guide d'utilisation...
-
Page 13: Chapitre 1. A Propos De Qradar Siem
Lorsque vous vous connectez à QRadar SIEM, une fenêtre affiche la date à laquelle la clé de licence temporaire expire. Pour plus d'informations sur l'installation d'une clé de licence, voir IBM Security QRadar SIEM Administration Guide. -
Page 14: Activation Du Mode Document Et Du Mode Navigateur Dans Internet Explorer
3. Cliquez sur Mode document et sélectionnez Normes d'Internet Explorer 7.0. Accès à IBM Security QRadar IBM Security QRadar est une application Web. QRadar utilise les informations de connexion par défaut pour l'URL, le nom d'utilisateur et le mot de passe. -
Page 15: Onglet Offenses
L'onglet Assets s'affiche si IBM Security QRadar Vulnerability manager est installé sur votre système. Pour plus d'informations, voir le IBM Security QRadar Vulnerability Manager - Guide d'utilisation. La détection automatique repose sur des données de flux passifs et des données de vulnérabilité, permettant à... -
Page 16: Onglet Reports
à votre environnement réseau et de classer les risques et les vulnérabilités par ordre de priorité sur votre réseau. IBM Security QRadar Risk Manager utilise les données collectées par les données de configuration provenant des dispositifs de réseau et de sécurité, tels que les pare-feux, les routeurs, les commutateurs ou les systèmes de prévention contre les... -
Page 17: Procédures Communes De Qradar
Tableau 3. Outils de gestion d'administration disponibles dans QRadar Outil d'administration Description Configuration du système Options de configuration du système et de gestion d'utilisateur. Sources de données Options de configuration des sources de journal, des sources de flux et de vulnérabilité. Configuration de réseaux distants et de services Configuration de réseaux distants et de groupes de services. - Page 18 Cliquez sur l'icône Dismiss en regard d'une notification système pour fermer la notification système à partir de votre système. Procédure 1. Connectez-vous à QRadar. 2. Dans le coin supérieur droit de l'interface utilisateur, cliquez sur Messages. IBM Security QRadar - Guide d'utilisation...
-
Page 19: Tri De Résultats
3. Dans la fenêtre Messages, affichez les détails de notification système. 4. Facultatif. Pour affiner la liste des notifications système, cliquez sur l'une des options suivantes : v Errors v Warnings v Information 5. Facultatif. Pour fermer les notifications système, choisissez l'une des options suivantes : Option Description... -
Page 20: Analyse Des Adresses Ip
Affiche les informations relatives au profil de l'actif. Cette option s'affiche si IBM Security QRadar Vulnerability manager a été acheté et mis sous licence. Pour plus d'informations, voir le IBM Security QRadar Vulnerability Manager - Guide d'utilisation. Cette option de menu est uniquement disponible si QRadar a acquis les données de profil activement via... -
Page 21: Etude Des Noms D'utilisateurs
QRadar Vulnerability manager a été acheté et mis sous licence. Pour plus d'informations, voir le IBM Security QRadar Vulnerability Manager - Guide d'utilisation. Pour plus d'informations sur l'onglet Risks ou sur IBM Security QRadar Risk Manager, voir le IBM Security QRadar Risk Manager - Guide d'utilisation. Procédure 1. -
Page 22: Heure Système
1. Pour accéder à vos informations utilisateur, cliquez sur Preferences. 2. Si nécessaire, mettez à jour les paramètres suivants : Option Description Username Affiche votre nom d'utilisateur. Vous ne pouvez pas éditer cette zone. IBM Security QRadar - Guide d'utilisation... -
Page 23: Accès À L'aide En Ligne
Option Description Password Entrez un nouveau mot de passe. Le mot de passe doit répondre aux critères suivants : v Doit contenir au minimum 6 caractères v Doit contenir au maximum 255 caractères v Contient au moins un caractère spécial v Contient au moins un caractère spécial v Contient un caractère en majuscules Password (Confirm) - Page 24 IBM Security QRadar - Guide d'utilisation...
-
Page 25: Chapitre 2. Gestion Du Tableau De Bord
Pour créer des éléments personnalisés, vous pouvez créer des recherches sauvegardées sur les onglets Network Activity ou Log Activity et choisir comment vous souhaitez que les résultats soient représentés dans votre tableau de bord. © Copyright IBM Corp. 2012, 2013... -
Page 26: Personnaliser Votre Tableau De Bord
Vous pouvez ajouter plusieurs éléments liés à la violation dans votre tableau de bord. Remarque : Les violations masquées ou fermées ne sont pas incluses dans les valeurs affichées dans l'onglet Dashboard. Pour plus d'informations sur les événements masqués ou fermés, voir Gestion des violations. IBM Security QRadar - Guide d'utilisation... -
Page 27: Activité De Journal
Le tableau suivant décrit les éléments de violation : Tableau 7. Eléments de violation Eléments de tableau de bord Description Most Recent Offenses Les cinq violations les plus récentes sont identifiées par une barre d'amplitude pour vous signifier leur importance. Pointez votre souris sur le nom de la violation pour afficher des informations détaillées sur l'adresse IP. - Page 28 à un grand pourcentage du comptage de message global, vous devriez étudier cette occurrence. Les types de graphiques pris en charge sont le tableau, le graphique circulaire et le graphique à barres. IBM Security QRadar - Guide d'utilisation...
-
Page 29: Rapports Les Plus Récents
Les éléments de tableau de bord Risk Manager s'affichent uniquement lorsque vous achetez et mettez sous licence IBM Security QRadar Risk Manager. Pour plus d'informations, voir le IBM Security QRadar Risk Manager - Guide d'utilisation. Vous pouvez afficher un élément du tableau de bord personnalisé en fonction des critères de recherche enregistrés depuis l'onglet Risks. -
Page 30: Eléments Vulnerability Management
Eléments Vulnerability Management Les éléments de tableau de bord Vulnerability Management s'affichent uniquement si vous achetez et mettez sous licence IBM Security QRadar Vulnerability manager. Pour plus d'informations, voir le IBM Security QRadar Vulnerability Manager - Guide d'utilisation. Vous pouvez afficher un élément de tableau de bord personnalisé en fonction des critères de recherche sauvegardés à... -
Page 31: Centre De Documentation De Menaces Internet
Le diagramme Current Threat Level indique le niveau de la menace actuelle et fournit un lien vers la page Current Internet Threat Level du site Web IBM Internet Security Systems. Les recommandations Current sont répertoriées dans l'élément de tableau de bord. -
Page 32: Utilisation Du Tableau De Bord Pour Analyser L'activité Réseau Ou De Journal
: Type de graphique Description A barres, circulaire et en tableau L'onglet Log Activity ou Network Activity affiche un graphique à barres, un graphique circulaire et un tableau contenant les détails de flux. IBM Security QRadar - Guide d'utilisation... -
Page 33: Configuration Des Graphiques
Type de graphique Description Séries temporelles L'onglet Log Activity ou Network Activity affiche des graphiques en fonction des critères suivants : 1. Si votre intervalle est inférieur ou égal à 1 heure, un graphique de série temporelle, un graphique à barres et une table avec les détails d'événement ou de flux sont affichés. -
Page 34: Suppression D'éléments De Tableau De Bord
Détachement d'un élément de tableau de bord Vous pouvez détacher un élément de votre tableau de bord et l'afficher dans une nouvelle fenêtre de votre système de bureau. IBM Security QRadar - Guide d'utilisation... -
Page 35: Renommage D'un Tableau De Bord
Pourquoi et quand exécuter cette tâche Lorsque vous détachez un élément de tableau de bord, l'élément de tableau de bord d'origine reste dans l'onglet Dashboard, mais une fenêtre détachée avec un doublon d'élément de tableau de bord reste ouverte et s'actualise lors d'intervalles planifiés. -
Page 36: Gestion Des Notifications Système
Pourquoi et quand exécuter cette tâche Cette procédure s'applique à tous les éléments de tableau de bord basés sur la recherche, y compris les éléments du tableau de bord IBM Security QRadar Risk Manager. Les éléments du tableau de bord QRadar Risk Manager s'affichent uniquement si QRadar Risk Manager a été... - Page 37 2. Dans la zone de liste Search, sélectionnez l'une des options suivantes : v Pour créer une recherche, sélectionnez New Search. v Pour éditer une recherche sauvegardée, sélectionnez Edit Search. 3. Configurez ou éditez vos paramètres de recherche, si nécessaire. d'informations sur les recherches de flux, voir Recherche d'événements ou de flux.
- Page 38 IBM Security QRadar - Guide d'utilisation...
-
Page 39: Chapitre 3. Gestion Des Violations
; ceci est déterminé par les autorisations réseau. Pour plus d'informations sur les autorisations de niveaux de périphériques, voir IBM Security QRadar SIEM Administration Guide. Termes clés L'onglet Offenses permet l'accès aux violations, aux adresses IP sources et cibles ainsi que leur analyse. -
Page 40: Conservation Des Violations
My Offenses Affiche toutes les violations qui vous sont affectées. All Offenses Affiche toutes les violations globales sur le réseau. By Category Affiche toutes les violations regroupées par catégorie de haut et de bas niveau. IBM Security QRadar - Guide d'utilisation... -
Page 41: Surveillance Des Pages All Offenses Ou My Offenses
Tableau 10. Pages auxquelles on peut accéder à partir de l'onglet Offenses (suite) Page Description By Source IP Affiche toutes les violations groupées selon les adresses IP sources qui sont impliquées dans une violation. By Destination IP Affiche toutes les violations groupées selon les adresses IP de destination qui sont impliquées dans une violation. -
Page 42: Surveillance Des Violations Groupées Par Catégorie
Offenses sur la barre d'outils de la page Source. 7. Cliquez deux fois sur la violation que vous souhaitez afficher. 8. Sur la page Offense Summary, vérifiez les détails concernant la violation. Voir Paramètres de violation. IBM Security QRadar - Guide d'utilisation... -
Page 43: Surveillance Des Violations Groupées Par Ip De Destination
9. Effectuez toutes les actions nécessaires sur la violation. Voir Tâches de gestion des violations. Surveillance des violations groupées par IP de destination Sur la page Destinations, vous pouvez surveiller les violations groupées par adresse IP de destination locale. Pourquoi et quand exécuter cette tâche Toutes les adresses IP de destination dont l'amplitude est la plus importante sont répertoriées en premier. -
Page 44: Tâches De Gestion Des Violations
La note s'affiche dans le volet Last 5 Notes du récapitulatif de Violation. Une icône Notes s'affiche dans la colonne d'indicateurs de la liste violations. Si vous déplacez votre souris sur l'indicateur de notes dans la colonne Flag de la liste Violations, la note de cette violation s'affichera. IBM Security QRadar - Guide d'utilisation... -
Page 45: Masquage Des Violations
Masquage des violations Pour éviter qu'une violation ne s'affiche sur l'onglet Offenses, vous pouvez la masquer. Pourquoi et quand exécuter cette tâche Après avoir masqué une violation, celle-ci ne s'affiche plus dans aucune liste (par exemple, All Offenses) de l'onglet Offenses ; cependant, si vous effectuez une recherche qui inclut les violations masquées, l'élément s'affiche dans les résultats de recherche. -
Page 46: Protection Des Violations
Vous pouvez éviter que ces violations ne soient supprimées de la base de données après l'écoulement de la période de conservation. Pour plus d'informations sur la période de conservation des violations, voir IBM Security QRadar SIEM Administration Guide. IBM Security QRadar - Guide d'utilisation... -
Page 47: Annulation De La Protection Des Violations
ATTENTION : Lorsque le modèle de données SIM est réinitialisé à l'aide de l'option Hard Clean, toutes les violations, y compris les violations protégées, sont supprimées de la base de données et du disque. Vous devez disposer de privilèges d'administration pour réinitialiser le modèle de données SIM. Procédure 1. -
Page 48: Affectation De Violations Aux Utilisateurs
3. Sélectionnez la violation que vous souhaitez affecter. 4. Dans la zone de liste Actions, sélectionnez Assign. 5. Dans la zone de liste Username, sélectionnez l'utilisateur auquel vous souhaitez affecter cette violation. 6. Cliquez sur Save. IBM Security QRadar - Guide d'utilisation... -
Page 49: Envoi De Notification Par E-Mail
Résultats La violation est affectée à l'utilisateur sélectionné. L'icône User s'affiche dans la colonne d'indicateur de l'onglet Offenses pour indiquer que la violation a été affectée. L'utilisateur désigné peut consulter cette violation sur la page My Offenses. Envoi de notification par e-mail Vous pouvez envoyer un e-mail contenant un récapitulatif de violation à... -
Page 50: Marquage D'un Élément Pour Suivi
Tableau 11. Fonctions de la barre d'outils de l'onglet Offense Fonction Description Add Note Cliquez sur Add Note pour ajouter une nouvelle remarque à une violation. Cette option est disponible uniquement sur le panneau des 5 dernières Remarques de la page Offense summary IBM Security QRadar - Guide d'utilisation... - Page 51 Tableau 11. Fonctions de la barre d'outils de l'onglet Offense (suite) Fonction Description Actions Les options disponibles dans la zone de liste Actions varient en fonction de la page, du tableau, ou de l'élément (telle qu'une violation ou une adresse IP source).
- Page 52 Cliquez sur Connections pour rechercher davantage de connexions. Remarque : Cette option est uniquement disponible si vous avez acheté et mis sous licence IBM Security QRadar Risk Manager. Pour plus d'informations, voir IBM Security QRadar Risk Manager - Guide d'utilisation.
- Page 53 Tableau 11. Fonctions de la barre d'outils de l'onglet Offense (suite) Fonction Description Notes Cliquez sur Notes pour afficher toutes les remarques d'une violation, d'une adresse IP source, d'une adresse IP cible, ou d'un réseau. Pour en savoir plus sur les remarques, consultez la section Ajout de remarques Offenses Cliquez sur Offenses pour afficher une liste des...
-
Page 54: Paramètres De Violations
Topology, la page Current Topology s'affiche sur une nouvelle page. Remarque : Cette option est uniquement disponible si IBM Security QRadar Risk Manager a été acheté et mis sous licence. Pour plus d'informations, voir IBM Security QRadar Risk Manager - Guide d'utilisation. - Page 55 Tableau 12. Description des paramètres de l'onglet Offenses (suite) Paramètre Emplacement Description Application Tableau Last 10 Flows Indique l'application qui est associée au flux. Application Name Tableau Offense Source, si le type de Indique l'application associée au flux violation correspond à l'ID créateur de la violation.
- Page 56 Administrateur, vous pouvez voir le nom DNS en pointant votre souris sur l'adresse IP ou le nom de l'actif. Destination IPs Page By Network Details Indique le nombre d'adresses IP de destination associées au réseau. IBM Security QRadar - Guide d'utilisation...
- Page 57 Tableau 12. Description des paramètres de l'onglet Offenses (suite) Paramètre Emplacement Description Destination Port Tableau Last 10 Flows Indique le port de destination du flux. Destination(s) Indique le nom de l'événement, tel v Tableau Top 5 Source IPs qu'identifié dans la carte QID, qui est v Page By Source IP Details associé...
- Page 58 Page All Offenses pour la violation. v Page My Offenses v Page By Source IP - List of Offenses v Page By Network - List of Offenses v Page By Destination IP - List of Offenses IBM Security QRadar - Guide d'utilisation...
- Page 59 Tableau 12. Description des paramètres de l'onglet Offenses (suite) Paramètre Emplacement Description Events/Flows Indique le nombre d'événements ou v Tableau Offense Source, lorsque le de flux associés à l'adresse IP source, type de violation correspond à une l'adresse IP de destination, le nom de adresse IP source, une adresse IP l'événement, le nom d'utilisateur, de destination, un nom d'hôte, un...
- Page 60 écoulée. Pour plus d'information sur les violations protégées, voir Protection des violations. Placez le pointeur de votre souris sur l'icône pour afficher plus d'informations. IBM Security QRadar - Guide d'utilisation...
- Page 61 Tableau Offense Source, si le type de Indique la catégorie de niveau violation correspond au nom de supérieur de l'événement. l'événement Pour plus d'informations sur les catégories de haut niveau, voir IBM Security QRadar SIEM Administration Guide. Chapitre 3. Gestion des violations...
- Page 62 Tableau Top 5 Destination IPs v Page By Destination IP Details v Page By Destination IP - List of Sources v Page By Network - List of Local Destinations v Tableau Top 5 Categories IBM Security QRadar - Guide d'utilisation...
- Page 63 Tableau 12. Description des paramètres de l'onglet Offenses (suite) Paramètre Emplacement Description Last event/flow seen on Page Source Details Indique la date et l'heure de la dernière génération d'événement ou de flux associé à l'adresse IP source. Last Event/Flow Time Tableau Offense Source, si le type de Indique la date et l'heure auxquelles violation correspond à...
- Page 64 Page By Network - List of Offenses v Page By Destination IP - List of Offenses Low Level Category Tableau Offense Source, si le type de Indique la catégorie de bas niveau de violation correspond au nom de l'événement. l'événement IBM Security QRadar - Guide d'utilisation...
- Page 65 Tableau 12. Description des paramètres de l'onglet Offenses (suite) Paramètre Emplacement Description Indique l'adresse MAC de la source v Tableau Offense Source, si le type ou l'adresse IP de destination lorsque de violation correspond à l'adresse la violation a commencé. Si l'adresse IP source ou de destination MAC est inconnue, cette zone v Tableau Top 5 Source IPs...
- Page 66 Page By Network - List of Offenses correspond au port source, la zone v Page By Destination IP - List of Offense Source affiche le port source Offenses de l'événement qui a créé la violation. IBM Security QRadar - Guide d'utilisation...
- Page 67 Tableau 12. Description des paramètres de l'onglet Offenses (suite) Paramètre Emplacement Description Offense Type Indique le type de violation. Le type v Page My Offenses de violation est déterminé par la v Tableau Offense règle qui a créé la violation. Par v Page By Source IP - List of exemple, lorsque le type de violation Offenses...
- Page 68 Remarque : Les informations qui s'affichent pour les violations proviennent de l'onglet Rules. Rule Type Tableau Offense Source, si le type de Indique le type de règle pour la violation correspond à une règle violation. IBM Security QRadar - Guide d'utilisation...
- Page 69 Admin, vous v Tableau Top 5 Source IPs pouvez afficher le nom DNS en v Tableau Last 10 Flows pointant votre souris sur l'adresse IP. Pour plus d'informations, voir IBM Security QRadar SIEM Administration Guide. Source IP(s) Tableau Offense Indique l'adresse IP ou le nom d'hôte...
- Page 70 Page By Network - List of Local Indique le nombre d'adresses IP Destinations source associées à l'adresse IP de destination. Start Tableau Offense Indique la date et l'heure auxquelles le premier événement ou flux s'est produit pour la violation. IBM Security QRadar - Guide d'utilisation...
- Page 71 Tableau 12. Description des paramètres de l'onglet Offenses (suite) Paramètre Emplacement Description Start Date Indique la date et l'heure auxquelles v Page All Offenses le premier événement ou flux est v Page My Offenses associé à la violation. v Page By Source IP - List of Offenses v Page By Network - List of Offenses v Page By Destination IP - List of...
- Page 72 Tableau Last 10 Events le premier événement a été détecté v Tableau Last 10 Events (Anomaly dans l'événement normalisé. Cette Events) date et cette heure sont spécifiées par l'unité qui a détecté l'événement. IBM Security QRadar - Guide d'utilisation...
- Page 73 Tableau 12. Description des paramètres de l'onglet Offenses (suite) Paramètre Emplacement Description Time Tableau Top 5 Annotations Indique la date et l'heure de création de l'annotation. Total Bytes Tableau Last 10 Flows Indique le nombre total d'octets pour le flux. Total Events/Flows Indique le nombre total d'événements v Tableau Top 5 Log Sources...
- Page 74 Page By Destination IP Details v Page By Destination IP - List of Sources v Page By Network - List of Sources v Page By Network - List of Local Destinations v Tableau Top 5 Annotations IBM Security QRadar - Guide d'utilisation...
-
Page 75: Chapitre 4. Étude De L'activité Du Journal
Cette option est désactivée en mode de diffusion en flux. Cancel Cliquez sur Cancel pour annuler une recherche en cours. Cette option est désactivée en mode de diffusion en flux. © Copyright IBM Corp. 2012, 2013... - Page 76 220 clients entre 08h00 et 17h00, les règles génèrent une alerte lorsque le 221ème client tente de se connecter. Lorsque vous sélectionnez l'option Add Threshold Rule, l'assistant Règles s'affiche, prérempli avec les options appropriées pour la création d'une règle de seuil. IBM Security QRadar - Guide d'utilisation...
- Page 77 Tableau 13. Options de la barre d'outils Log Activity (suite) Option Description Rules (suite) v Add Behavioral Rule - Sélectionnez cette option pour créer une règle comportementale. Une règle comportementale teste le trafic d'événement pour une activité anormale, telle que l'existence d'un trafic nouveau ou inconnu, qui correspond à...
-
Page 78: Syntaxe Quick Filter
Pour plus d'informations sur la syntaxe, voir Syntaxe Quick Filter. Syntaxe Quick Filter La fonction Quick Filter permet de rechercher des contenus d'événement à l'aide d'une chaîne de recherche de texte. IBM Security QRadar - Guide d'utilisation... -
Page 79: Options De Menu Contextuel
La fonctionnalité Quick Filter est disponible dans les emplacements suivants sur l'interface utilisateur : Barre d'outils Log Activity - Sur la barre d'outils, le champ Quick Filter vous permet d'entrer une chaîne de recherche de texte et de cliquer sur l'icône Quick Filter pour appliquer votre filtre rapide à... -
Page 80: Barre D'état
Le mode de diffusion en flux vous permet d'afficher les données d'événements entrantes dans votre système. Ce mode vous donne une vue en temps réel de votre activité actuelle en affichant les 50 derniers événements. IBM Security QRadar - Guide d'utilisation... -
Page 81: Pourquoi Et Quand Exécuter Cette Tâche
Pourquoi et quand exécuter cette tâche Si vous appliquez des filtres sur l'onglet Log Activity ou dans vos critères de recherche avant d'activer le mode de diffusion en flux, les filtres sont maintenus dans le mode de diffusion en flux. Toutefois, le mode de diffusion en flux ne supporte pas les recherches qui incluent des événements groupés. - Page 82 à cet événement. Pour plus d'informations, voir Gestion des graphiques. Remarque : Selon votre produit, cette icône peut ne pas être disponible. Vous devez avoir IBM Security QRadar SIEM. Start Time Indique l'heure du premier événement, tel que rapporté à...
-
Page 83: Affichage Des Événements Bruts
Low Level Category Indique la catégorie de bas niveau associée à cet événement. Pour plus d'informations sur les catégories d'événements, voir IBM Security QRadar SIEM Administration Guide. Source IP Indique l'adresse IP source de l'événement. Source Port Indique le port source de l'événement. - Page 84 Log Source Indique la source du journal qui a généré cet événement. S'il existe plusieurs sources de journal associées à cet événement, cette zone indique le terme Multiple et le nombre de sources du journal. IBM Security QRadar - Guide d'utilisation...
-
Page 85: Affichage D'événements Groupés
Low Level Category Affiche une liste résumée des événements groupés en fonction de la catégorie de bas niveau de l'événement. Pour plus d'informations sur les catégories, voir IBM Security QRadar SIEM Administration Guide. Event Name Affiche une liste résumée des événements groupés par le nom normalisé... - Page 86 Remarque : Les statistiques en cours sont utiles pour l'identification et la résolution des problèmes. Lorsque vous contactez le service clients pour identifier et résoudre les événements, vous pouvez être invité à fournir des informations sur les statistiques en cours. IBM Security QRadar - Guide d'utilisation...
- Page 87 Tableau 18. Paramètres des événements regroupés (suite) Paramètre Description Charts Affiche les graphiques configurables qui représentent les enregistrements correspondant à l'intervalle de temps et l'option de regroupement. Cliquez sur Hide Charts si vous souhaitez supprimer le graphique de votre affichage. Chaque graphique fournit une légende, qui constitue une référence visuelle pour vous aider à...
-
Page 88: Détails D'événement
S'il existe plusieurs catégories associées à cet événement, cette zone indique le terme Multiple et le nombre de catégories. Pour plus d'informations sur les catégories, voir IBM Security QRadar Log Manager Administration Guide. Low Level Category (Unique Count) Indique la catégorie de bas niveau de cet événement. S'il existe plusieurs catégories associées à... - Page 89 Indique le nom normalisé de l'événement. Low Level Category Indique la catégorie de bas niveau de cet événement. Pour plus d'informations sur les catégories, voir IBM Security QRadar SIEM Administration Guide. Event Description Indique une description de l'événement, si disponible.
- Page 90 Log Source Indique la source de journal ayant envoyé l'événement à QRadar. S'il existe plusieurs sources de journal associées à cet événement, cette zone indique le terme Multiple et le nombre de sources du journal. IBM Security QRadar - Guide d'utilisation...
-
Page 91: Barre D'outils Des Détails D'événements
à cet événement. Pour en savoir plus sur les périphériques envoyant des informations d'identité, voir IBM Security QRadar DSM - Guide de configuration. Identity Host Name Indique le nom d'hôte de l'actif associé à cet événement. -
Page 92: Affichage Des Violations Associées
Pourquoi et quand exécuter cette tâche Si un événement correspond à une règle, une violation peut être générée sur l'onglet Offenses. Pour plus d'informations sur les règles, voir IBM Security QRadar SIEM Administration Guide. IBM Security QRadar - Guide d'utilisation... -
Page 93: Modification De Mappage D'événement
A des fins de normalisation, QRadar mappe automatiquement les événements de sources de journal vers des catégories de niveau supérieur et de niveau inférieur. Pour plus d'informations sur les catégories d'événements, voir IBM Security QRadar SIEM Administration Guide. Lorsque QRadar reçoit des événements de sources de journal que le système ne parvient pas à... -
Page 94: Réglage Des Faux Positifs
Vous devez disposer des droits appropriés pour créer des règles personnalisées afin de régler les faux positifs. Pour plus d'informations sur les rôles, voir IBM Security QRadar SIEM Administration Guide. Pour plus d'informations sur les faux positifs, voir le Glossaire. -
Page 95: Gestion Des Données Pcap
être reçues, traitées, puis stockées à partir d'une source de journal Juniper SRX-Series Services Gateway. Pour plus d'informations sur le gestionnaire de services de données Juniper JunOS Platform, voir IBM Security QRadar - Guide de configuration du gestionnaire de services de données. Affichage de la colonne de données PCAP La colonne PCAP Data ne s'affiche pas par défaut dans l'onglet Log Activity. -
Page 96: Que Faire Ensuite
Si vous souhaitez ouvrir le fichier pour un affichage immédiat, sélectionnez l'option Open with puis sélectionnez une application dans la zone de liste. v Si vous souhaitez enregistrer la liste, sélectionnez l'option Save File. IBM Security QRadar - Guide d'utilisation... -
Page 97: Téléchargement Du Fichier Pcap Sur Votre Système De Bureau
4. Cliquez sur OK. Téléchargement du fichier PCAP sur votre système de bureau Vous pouvez télécharger le fichier PCAP sur votre système de bureau pour stockage ou pour utilisation dans d'autres applications. Avant de commencer Avant de pouvoir visualiser des informations PCAP, vous devez effectuer ou sélectionner une recherche affichant la colonne de données PCAP. -
Page 98: Résultats
4. Si vous souhaitez reprendre vos activités lors de l'exportation, cliquez sur Notify When Done. Résultats Lorsque l'exportation est terminée, vous recevez une notification vous informant que l'exportation est terminée. Si vous n'avez pas sélectionné l'icône Notify When Done, la fenêtre de statut s'affiche. IBM Security QRadar - Guide d'utilisation... -
Page 99: Chapitre 5. Etude De L'activité Réseau
(flux) en temps réel ou d'effectuer des recherches avancées. L'affichage de l'onglet Network Activity nécessite une autorisation. Pour plus d'informations sur les autorisations et l'affectation de rôles, voir IBM Security QRadar SIEM Administration Guide. L'onglet Network Activity vous permet de contrôler visuellement et d'étudier les données de flux en temps réel ou d'effectuer des recherches avancées pour filtrer... - Page 100 Pour plus d'informations sur les faux positifs, voir le Glossaire. Cette option est désactivée en mode de diffusion en flux. Voir Exportation de flux. IBM Security QRadar - Guide d'utilisation...
- Page 101 S'il existe un changement de plus de 40 %, la règle génère une réponse. Pour plus d'informations, voir IBM Security QRadar SIEM Administration Guide. Chapitre 5. Etude de l'activité réseau...
-
Page 102: Syntaxe De Filtre Rapide
Pour plus d'informations sur la configuration des critères de recherche, voir Recherches de données. Lorsque vous affichez des événements en temps réel (en continu) ou en mode dernière plage, vous ne pouvez taper que des mots simples ou des phrases dans la IBM Security QRadar - Guide d'utilisation... -
Page 103: Options Du Menu Contextuel
zone Quick Filter. Lorsque vous affichez un flux à l'aide d'un intervalle de temps, utilisez les guides de syntaxe suivants pour entrer votre critère de recherche de texte : v Les termes de recherche peuvent inclure n'importe quel texte brut que vous vous attendez à... -
Page 104: Enregistrements Des Dépassements
Network Activity affiche les flux normalisés. Voir Affichage des flux normalisés. Lorsque vous souhaitez sélectionner un flux pour afficher les détails ou effectuer une action, vous devez mettre en pause ce mode avant de cliquer deux fois sur un IBM Security QRadar - Guide d'utilisation... -
Page 105: Affichage Des Flux Normalisés
événement. Lorsque la diffusion en flux est mise en pause, les derniers 1000 flux s'affichent. Procédure 1. Cliquez sur l'onglet Network Activity. 2. Dans la zone de liste View, sélectionnez Real Time (streaming). Pour plus d'informations sur les options de la barre d'outils, voir la table 5-1. Pour plus d'informations sur les paramètres affichés en mode de diffusion en flux, voir la table 5-3. - Page 106 Pour en savoir plus, consultez la documentation de votre navigateur. Icône Offense Cliquez sur l'icône Offenses pour voir les détails de la violation associée à ce flux. IBM Security QRadar - Guide d'utilisation...
- Page 107 Protocol Indique le protocole associé au flux. Application Indique l'application détectée du flux. Pour plus d'informations sur la détection d'applications, voir IBM Security QRadar Application Configuration Guide. ICMP Type/Code Indique le type et le code Internet Control Message Protocol (ICMP), le cas échéant.
-
Page 108: Affichage Des Flux Regroupés
La zone de liste Display ne s'affiche pas en mode de diffusion en flux car ce mode ne prend pas en charge les flux regroupés. Si vous entrez le mode de diffusion en flux à l'aide d'un critère de recherche non groupé, cette option s'affiche. IBM Security QRadar - Guide d'utilisation... - Page 109 La zone de liste Display fournit les options suivantes : Tableau 24. Options de flux regroupés Option de groupe Description Unioned Flows Affiche les divers flux dans un seul modèle ininterrompu via différents intervalles, dans un enregistrement unique. Par exemple, si un flux dure cinq minutes, le flux uni s'affiche comme un seul flux de cinq minutes.
- Page 110 Multiple et le nombre de ports. Source Network (Unique Count) Indique le réseau source du flux. S'il existe plusieurs réseaux source associés à ce flux, cette zone indique le terme Multiple et le nombre de réseaux. IBM Security QRadar - Guide d'utilisation...
-
Page 111: Détails De Flux
La page de détails de flux fournit les informations suivantes : Tableau 26. Détails de flux paramètre description Informations de flux Protocole Indique le protocole associé à cet événement. Pour plus d'informations sur les protocoles, voir IBM Security QRadar Application Configuration Guide. Chapitre 5. Etude de l'activité réseau... - Page 112 Indique le nom normalisé du flux. Low Level Category Indique la catégorie de bas niveau de ce flux. Pour plus d'informations sur les catégories, voir IBM Security QRadar SIEM Administration Guide. Event Description Indique une description du flux, si disponible.
- Page 113 Tableau 26. Détails de flux (suite) paramètre description Destination ASN Indique le nombre des valeurs ASN de destination. Remarque : Si le flux possède des enregistrements en double provenant des diverses sources de flux, les nombres des valeurs ASN de destination correspondant sont répertoriés.
-
Page 114: Barre D'outils Des Détails De Flux
Custom Rules Indique les règles personnalisées qui correspondent à ce flux. Pour plus d'informations sur les règles, voir IBM Security QRadar SIEM Administration Guide. Règles personnalisées partiellement correspondantes Indique les règles personnalisées qui correspondent partiellement à ce flux. -
Page 115: Réglage Des Faux Positifs
Réglage des faux positifs Vous pouvez utiliser la fonction False Positive Tuning pour éviter que les flux faux positifs ne créent des violations. Vous pouvez régler les flux de faux positifs à partir de la page de liste de flux ou de détails des flux. Pourquoi et quand exécuter cette tâche Remarque : Vous pouvez régler les flux des faux positifs à... -
Page 116: Résultats
4. Si vous souhaitez reprendre vos activités, cliquez sur Notify When Done. Résultats Lorsque l'exportation est terminée, vous recevez une notification vous informant que l'exportation est terminée. Si vous n'avez pas sélectionné l'icône Notify When Done, la fenêtre Status s'affiche. IBM Security QRadar - Guide d'utilisation... -
Page 117: Chapitre 6. Gestion Des Graphiques
Remarque : Si vous utilisez le navigateur Web Mozilla Firefox et qu'une extension de navigateur de blocage de publicité est installée, les graphiques ne © Copyright IBM Corp. 2012, 2013... -
Page 118: Présentation Des Graphiques De Série Temporelle
Vous pouvez agrandir et analyser un diagramme pour étudier l'activité. Le tableau suivant fournit des fonctions vous permettant d'afficher des graphiques de série temporelle. IBM Security QRadar - Guide d'utilisation... -
Page 119: Légendes Des Graphiques
Tableau 28. Fonctions des graphiques de série temporelle Fonction Description Afficher les données avec plus de détails A l'aide de la fonction de zoom, vous pouvez étudier les plus petites tranches horaires du trafic de l'événement. v Placez le pointeur de votre souris sur le graphique et utilisez la molette pour agrandir le graphique (faire rouler la molette de la souris vers le haut). -
Page 120: Configuration Des Graphiques
Dans la zone de liste, sélectionnez le nombre d'objets que vous voulez afficher dans le graphique. La valeur par défaut est 10. Si plus de 10 éléments sont tracés, vos données risquent d'être illisibles. IBM Security QRadar - Guide d'utilisation... - Page 121 Option Description Chart Type Dans la zone de liste, sélectionnez le type de graphique que vous souhaitez afficher. Si votre diagramme à barres, graphique circulaire ou tableau repose sur des critères de recherche sauvegardés avec un intervalle de plus d'une heure, vous devez cliquer sur Update Details pour mettre à...
- Page 122 IBM Security QRadar - Guide d'utilisation...
-
Page 123: Chapitre 7. Recherche Des Données
L'icône Search est disponible dans plusieurs volets de la page de recherche. Vous pouvez cliquer sur Search une fois que vous avez terminé la configuration de la recherche et que vous souhaitez afficher les résultats. © Copyright IBM Corp. 2012, 2013... - Page 124 Cette option vous permet de sélectionner un intervalle personnalisé pour votre recherche. Une fois que vous avez choisi cette option, vous devez sélectionner la plage de date et d'heure dans les agendas Start Time et End Time. IBM Security QRadar - Guide d'utilisation...
- Page 125 Tableau 29. Options de recherche (suite) Options Description Data Accumulation Ce volet s'affiche uniquement lorsque vous chargez une recherche sauvegardée. Si vous activez les nombres uniques sur des données cumulées partagées avec beaucoup d'autres recherches et rapports sauvegardés, les performances du système risquent d'être réduites.
- Page 126 Si la colonne est de type groupe, elle contient une zone de liste qui vous permet de définir le nombre de niveaux que vous souhaitez inclure au groupe. IBM Security QRadar - Guide d'utilisation...
- Page 127 Tableau 29. Options de recherche (suite) Options Description Order By Dans la première zone de liste, sélectionnez la colonne dans laquelle vous souhaitez trier les résultats de la recherche. Puis, dans la deuxième zone de liste, sélectionnez l'ordre dans lequel vous souhaitez afficher les résultats de la recherche.
-
Page 128: Sauvegarde Des Critères De Recherche
Procédure 1. Sélectionnez l'une des options suivantes : v Cliquez sur l'onglet Log Activity. IBM Security QRadar - Guide d'utilisation... - Page 129 v Cliquez sur l'onglet Network Activity. 2. Effectuez une recherche. Voir . 3. Cliquez sur Save Criteria. 4. Saisissez les valeurs de ces paramètres : Option Description Paramètre Description Search Name Saisissez le nom unique que vous souhaitez affecter à ce critère de recherche. Assign Search to Group(s) Cochez la case du groupe auquel vous souhaitez affecter cette recherche...
-
Page 130: Recherches De Violations
My Offenses et All Offenses. Pour plus d'informations sur les catégories, voir IBM Security QRadar SIEM - Guide d'administration. Tableau 30. Options de recherche des pages My Offenses et All Offenses... - Page 131 Tableau 30. Options de recherche des pages My Offenses et All Offenses (suite) Options Description Specific Interval Cette option vous permet de configurer un intervalle personnalisé pour votre recherche. Une fois que vous avez choisi cette option, vous devez sélectionner l'une des options suivantes.
- Page 132 Events Dans cette zone de liste, vous pouvez indiquer un nombre d'événements et choisir de n'afficher que les violations dont le nombre d'événements est égal, inférieur ou supérieur à la valeur configurée. IBM Security QRadar - Guide d'utilisation...
- Page 133 Tableau 30. Options de recherche des pages My Offenses et All Offenses (suite) Options Description Flows Dans cette zone de liste, vous pouvez indiquer un nombre de flux puis choisir d'afficher uniquement les violations dont le nombre de flux est égal, inférieur ou supérieur à...
- Page 134 Destination Port Pour rechercher des violations avec un port de destination spécifique, vous pouvez sélectionner cette option puis saisir le port de destination que vous souhaiter rechercher. IBM Security QRadar - Guide d'utilisation...
- Page 135 Tableau 31. Options de type de violation (suite) Types de violation Description Source IPv6 Pour rechercher des violations avec une adresse IPv6 source spécifique, vous pouvez sélectionner cette option et saisir l'adresse IPv6 source que vous souhaitez rechercher. Destination IPv6 Pour rechercher des violations avec une adresse IPv6 de destination spécifique, vous pouvez sélectionner cette option puis saisir l'adresse IPv6 de destination que vous...
-
Page 136: Que Faire Ensuite
Source IP Dans cette zone, vous pouvez saisir l'adresse IP source ou la plage CIDR que vous souhaitez rechercher. IBM Security QRadar - Guide d'utilisation... -
Page 137: Recherche De Violations Dans La Page By Destination Ip
Tableau 32. Options de recherche de la page By Source IP (suite) Options Description Magnitude Dans cette zone de liste, vous pouvez indiquer une amplitude et choisir de n'afficher que les violations dont l'amplitude est égale, inférieure ou supérieure à la valeur configurée. - Page 138 4. Dans le volet Time Range, sélectionnez une option pour l'intervalle que vous souhaitez capturer pour cette recherche. Voir le Tableau 1. 5. Dans le volet Search Parameters, définissez les critères de recherche spécifiques. Voir le Tableau 1. IBM Security QRadar - Guide d'utilisation...
-
Page 139: Recherche De Violations Dans La Page By Networks
6. Dans le volet Column Definition, définissez l'ordre dans lequel vous souhaitez trier les résultats : a. Dans la première zone de liste, sélectionnez la colonne dans laquelle vous souhaitez trier les résultats de la recherche. b. Dans la deuxième zone de liste, sélectionnez l'ordre dans lequel vous souhaitez afficher les résultats de recherche. -
Page 140: Sauvegarde De Critères De Recherche Sur L'onglet Offenses
Set as Default Cochez cette case pour définir cette recherche comme votre recherche par défaut. 5. Cliquez sur OK. IBM Security QRadar - Guide d'utilisation... -
Page 141: Suppression Des Critères De Recherche
Suppression des critères de recherche Vous pouvez supprimer des critères de recherche. Pourquoi et quand exécuter cette tâche Lorsque vous supprimez une recherche sauvegardée, il se peut que les objets qui lui sont associés ne fonctionnent pas. Les rapports et les règles de détection des anomalies correspondent aux objets QRadar utilisant des critères de recherche sauvegardée. -
Page 142: Résultats
électronique vous soit envoyée lorsque cette recherche se termine. A tout moment, pendant qu'une recherche est en cours, vous pouvez retourner sur les onglets Log Activity ou Network Activity pour afficher des résultats de recherche partiels ou complets. IBM Security QRadar - Guide d'utilisation... -
Page 143: Sauvegarde Des Résultats De Recherche
Sauvegarde des résultats de recherche Vous pouvez sauvegarder les résultats de recherche. Pourquoi et quand exécuter cette tâche Si vous effectuez une recherche et que vous n'en sauvegardez pas explicitement les résultats, les résultats de la recherche sont disponibles sur Manage Search Windows pendant 24 heures et sont ensuite automatiquement supprimés. - Page 144 Le chiffre de conservation de recherche sauvegardée est configuré dans les paramètres du système. Pour plus d'informations sur la configuration des paramètres du système, voir IBM Security QRadar SIEM Administration Guide. Indique le statut de la recherche. Les statuts sont les Status...
-
Page 145: Annulation D'une Recherche
Tableau 36. Barre d'outils Manage Search Results (suite) Fonction Description View Dans cette zone de liste, vous pouvez sélectionner les résultats de recherche que vous souhaitez répertorier sur la page Search Results. Les options sont les suivantes : v Saved Search Results v All Search Results v Canceled/Erroneous Searches v Searches in Progress... -
Page 146: Gestion Des Groupes De Recherche
Pour supprimer un groupe de recherche ou une recherche enregistrée d'un groupe de recherche, sélectionnez l'élément que vous souhaitez supprimer, puis cliquez sur Remove. Voir Suppression d'un groupe ou d'une recherche enregistrée d'un groupe. IBM Security QRadar - Guide d'utilisation... -
Page 147: Création D'un Groupe De Recherche
Procédure 1. Choisissez l'une des options suivantes : v Cliquez sur l'onglet Log Activity. v Cliquez sur l'onglet Network Activity. 2. Select Search >Edit Search. 3. Cliquez sur Manage Groups. 4. Afficher les groupes de recherche. Création d'un groupe de recherche Vous pouvez créer un nouveau groupe de recherche. -
Page 148: Suppression D'un Groupe Ou D'une Recherche Sauvegardée Dans Un Groupe
4. Sélectionnez l'une des options suivantes : v Sélectionnez la recherche sauvegardée que vous souhaitez supprimer du groupe. v Sélectionnez le groupe que vous souhaitez supprimer. 5. Cliquez sur Remove. 6. Cliquez sur OK. IBM Security QRadar - Guide d'utilisation... -
Page 149: Chapitre 8. Propriétés D'événements Et De Flux Personnalisés
Data Sources > Custom Flow Properties. Vérifiez auprès de votre administrateur que vous possédez les droits requis. Pour plus d'informations, voir IBM Security QRadar SIEM - Guide d'administration. Types de propriétés personnalisées Vous pouvez créer un type de propriété personnalisé. -
Page 150: Création D'une Propriété Personnalisée Basée Sur Une Expression Régulière
Indique le contenu qui a été extrait de l'événement non normalisé. Property Definition Existing Property Pour sélectionner une propriété existante, sélectionnez cette option, puis un nom de propriété enregistré précédemment dans la zone de liste. IBM Security QRadar - Guide d'utilisation... - Page 151 Tableau 39. Paramètres de la fenêtre de définition des propriétés personnalisées (expression régulière) (suite) Paramètre Description New Property Pour créer une nouvelle propriété, sélectionnez cette option et entrez un nom unique pour cette propriété personnalisée. Le nouveau nom de propriété ne peut pas être le nom d'une propriété...
- Page 152 Les groupes de capture traitent les caractères multiples en tant qu'unité unique. Dans un groupe de capture, les caractères sont groupés entre parenthèses. Test Cliquez sur Test pour tester l'expression régulière par rapport au contenu. IBM Security QRadar - Guide d'utilisation...
-
Page 153: Création D'une Propriété Personnalisée Basée Sur Le Calcul
Tableau 39. Paramètres de la fenêtre de définition des propriétés personnalisées (expression régulière) (suite) Paramètre Description Enabled Cochez cette case pour activer cette propriété personnalisée. Si vous décochez cette case, cette propriété personnalisée ne s'affiche pas dans les filtres de recherche ou les listes de colonnes, et elle n'est pas analysée à... - Page 154 5. Dans le volet Property Type Selection, sélectionnez l'option Calculation Based. 6. Configurez les paramètres de la propriété personnalisée. 7. Cliquez sur Test pour tester l'expression régulière par rapport au contenu. 8. Cliquez sur Save. IBM Security QRadar - Guide d'utilisation...
-
Page 155: Modification D'une Propriété Personnalisée
Résultats La propriété personnalisée s'affiche en tant qu'option dans la liste des colonnes disponibles sur la page de recherche. Pour inclure une propriété personnalisée dans une liste d'événements ou de flux, vous devez la sélectionner dans la liste des colonnes disponibles lors de la création d'une recherche. Modification d'une propriété... -
Page 156: Copie D'une Propriété Personnalisée
Procédure 1. Choisissez l'une des opérations suivantes : v Cliquez sur l'onglet Log Activity. v Cliquez sur l'onglet Network Activity. 2. Dans la zone de liste Search, sélectionnez Edit Search. IBM Security QRadar - Guide d'utilisation... -
Page 157: Suppression D'une Propriété Personnalisée
3. Cliquez sur Manage Custom Properties. 4. Sélectionnez la propriété personnalisée que vous souhaitez copier, puis cliquez sur Copy. 5. Modifiez les paramètres nécessaires. 6. Facultatif. Si vous avez modifié l'expression régulière, cliquez sur Test pour la tester par rapport au contenu. 7. - Page 158 IBM Security QRadar - Guide d'utilisation...
-
Page 159: Chapitre 9. Gestion Des Règles
Si une règle qui est référencée par une autre règle est supprimée ou désactivée, un message d'avertissement s'affiche et aucune action n'est réalisée. Pour obtenir une liste complète des règles par défaut, voir IBM Security QRadar SIEM Administration Guide. Catégories de règles Il existe deux catégories pour les règles ;... -
Page 160: Types De Règles
Par exemple, vous pouvez créer une règle commune qui détecte les événements et les flux qui ont une adresse IP source spécifique. Les règles communes créent généralement des violations à titre de réponse. IBM Security QRadar - Guide d'utilisation... -
Page 161: Règle De Violation
à titre indicatif, qui devraient être revus et modifiés en fonction des besoins de votre réseau. Pour obtenir une liste complète des blocs de construction, voir IBM Security QRadar SIEM Administration Guide. Vous pouvez exécuter des tests sur la propriété d'un événement, d'un flux ou d'une violation, tels que l'adresse IP source, la gravité... -
Page 162: Affichage Des Règles
Remarque : Pour obtenir des informations sur les ensembles de références et collectes de données de référence, consultez le Guide d'administration de votre produit. Affichage des règles Vous pouvez afficher les détails d'une règle, notamment les tests, les blocs fonctionnels et les réponses. IBM Security QRadar - Guide d'utilisation... -
Page 163: Création D'une Règle Personnalisée
Selon vos droits d'accès de rôle utilisateur, vous pouvez accéder à la page des règles dans l'onglet Offenses, Log Activity ou Network Activity . Pour plus d'informations sur les autorisations de rôles, voir IBM Security QRadar SIEM Administration Guide. Pour plus d'informations sur les autorisations de rôles, voir IBM Security QRadar Network Anomaly Detection Administration Guide. -
Page 164: Création D'une Règle De Détection Des Anomalies
Apportez les modifications nécessaires, puis cliquez sur Finish. Création d'une règle de détection des anomalies L'assistant Anomaly Detection Rule permet de créer des règles appliquant des critères d'intervalle à l'aide de tests Data et Time. IBM Security QRadar - Guide d'utilisation... -
Page 165: Avant De Commencer
Avant de commencer Pour créer une nouvelle règle de détection des anomalies, vous devez respecter les exigences suivantes : v Disposer du droit Maintain Custom Rules. v Effectuer une recherche groupée. Les options de détection des anomalies s'affichent après la réalisation d'une recherche groupée et l'enregistrement des critères de recherche. -
Page 166: Tâches De Gestion Des Règles
Rules de l'onglet Offenses. Activation et désactivation de règles Lors du réglage de votre système, vous pouvez activer ou désactiver les règles appropriées pour vous assurer que votre système génère des violations pertinentes pour votre environnement. IBM Security QRadar - Guide d'utilisation... -
Page 167: Edition D'une Règle
Pourquoi et quand exécuter cette tâche Pour pouvoir activer ou désactiver une règle, vous devez disposer des droits d'utilisation Offenses > Maintain Custom Rules . Procédure 1. Cliquez sur l'onglet Offenses. 2. Dans le menu de navigation, cliquez sur Rules. 3. -
Page 168: Suppression D'une Règle
Création d'un groupe La page Rules présente des groupes de règles par défaut ; vous pouvez toutefois créer un nouveau groupe. Procédure 1. Cliquez sur l'onglet Offenses. 2. Dans le menu de navigation, cliquez sur Rules. IBM Security QRadar - Guide d'utilisation... -
Page 169: Affectation D'un Élément À Un Groupe
3. Cliquez sur Groups. 4. Dans l'arborescence de navigation, sélectionnez le groupe sous lequel vous souhaitez créer un nouveau groupe. 5. Cliquez sur New Group. 6. Entrez les valeurs pour les paramètres suivants : v Name - Entrez un nom unique à affecter au nouveau groupe. Le nom peut contenir jusqu'à... -
Page 170: Copie D'un Élément Vers Un Autre Groupe
4. Dans l'arborescence de navigation, recherchez et sélectionnez le groupe que vous souhaitez supprimer. 5. Cliquez sur Remove. 6. Cliquez sur OK. Edition d'éléments structurants Vous pouvez éditer n'importe quel bloc de construction pour répondre aux besoins de votre déploiement. IBM Security QRadar - Guide d'utilisation... -
Page 171: Paramètres De La Page De Règles
Pourquoi et quand exécuter cette tâche Un élément structurant est une pile de test de règle réutilisable que vous pouvez inclure en tant que composant dans d'autres règles. Par exemple, vous pouvez éditer l'élément structurant BB:HostDefinition: Mail Servers pour identifier tous les serveurs de messagerie dans votre déploiement. Ensuite, vous pouvez configurer toute règle permettant d'exclure vos serveurs de messagerie des tests de règles. -
Page 172: Rules Page Toolbar
éléments structurants dans la liste des règles. Group Dans la zone de liste, sélectionnez le groupe de règles que vous souhaitez afficher dans la liste des règles. Groups Cliquez sur Groups pourgérer des groupes de règle. IBM Security QRadar - Guide d'utilisation... - Page 173 Tableau 44. Fonction de la barre d'outils de la page des règles (suite) Fonction Description Actions Cliquez sur Actions et sélectionnez l'une des options suivantes : v New Event Rule - Sélectionnez cette option pour créer une nouvelle règle d'événement. v New Flow Rule - Sélectionnez cette option pour créer une nouvelle règle de flux.
-
Page 174: Paramètres De La Page Rule Response
La valeur par défaut est l'adresse IP source. Annotate event Cochez cette case si vous souhaitez ajouter une annotation à cet événement puis entrez l'annotation que vous souhaitez ajouter à l'événement. IBM Security QRadar - Guide d'utilisation... - Page 175 Tableau 45. Paramètres de la page Event, Flow et Common Rule Response (suite) Paramètre Description Drop the detected event Cochez cette case pour forcer l'envoi d'un événement, qui est généralement envoyé au composant Magistrate, à la base de données Arial pour la production de rapports ou la recherche.
- Page 176 This information should not contribute to the naming of the associated offense(s) Sélectionnez cette option si vous ne souhaitez pas que le nom défini sous Event Name contribue au nom de la violation. IBM Security QRadar - Guide d'utilisation...
- Page 177 Tableau 45. Paramètres de la page Event, Flow et Common Rule Response (suite) Paramètre Description Email Cochez cette case pour afficher les options d'e-mail. Par défaut, la case est décochée. Enter email addresses to notify Entrez l'adresse électronique pour envoyer une notification si cette règle en génère une.
- Page 178 Sélectionnez la table de référence à laquelle vous souhaitez ajouter les données, puis sélectionnez une clé primaire. Sélectionnez vos clés internes (clés secondaires) et leurs valeurs pour les enregistrements de données. IBM Security QRadar - Guide d'utilisation...
- Page 179 Tableau 45. Paramètres de la page Event, Flow et Common Rule Response (suite) Paramètre Description Publier sur le serveur IF-MAP Si les paramètres IF-MAP sont configurés et déployés dans les paramètres du système, sélectionnez cette option pour publier les informations d'événement sur le serveur IF-MAP.
- Page 180 Dans la zone de liste, sélectionnez la catégorie d'événement de bas niveau que vous souhaitez que cette règle utilise pendant le traitement des événements. Annotate this offense Cochez cette case pour ajouter une annotation à cette violation puis entrez l'annotation. IBM Security QRadar - Guide d'utilisation...
- Page 181 Tableau 47. Paramètres de la page Anomaly Detection Rule Response (suite) Paramètre Description Ensure that the dispatched event is En raison de cette règle, l'événement est transmis au composant Magistrate. part of an offense Si une violation existe, cet événement est ajouté. Si aucune violation n'a été créée sur l'onglet Offenses, une nouvelle violation est créée.
- Page 182 "Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification - Rule ’SNMPTRAPTst’ Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name: ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited, QID: 1000156, Category: 1014, Notes: Offense description" IBM Security QRadar - Guide d'utilisation...
- Page 183 Une sortie syslog peut se présenter comme suit. Sep 28 12:39:01 localhost.localdomain ECS: Rule ’Name of Rule’ Fired: 172.16.60.219:12642 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID: 1000398, Category: 1011, Notes: Event description Chapitre 9. Gestion des règles...
- Page 184 IBM Security QRadar - Guide d'utilisation...
-
Page 185: Chapitre 10. Paramètres De La Page Asset Profile
également être créés automatiquement à partir d'événements d'identité. Pour plus d'informations sur l'évaluation de la vulnérabilité, voir IBM Security QRadar Vulnerability Assessment Guide. Pour plus d'informations sur les sources de flux, voir IBM Security QRadar SIEM Administration Guide. A propos des vulnérabilités Vous pouvez utiliser QRadar Vulnerability manager et des scanners tiers pour identifier les vulnérabilités. -
Page 186: Présentation De L'onglet Assets
Lorsque QRadar Vulnerability manager est activé, vous pouvez effectuer des tâches d'évaluation de la vulnérabilité dans l'onglet Vulnerabilities. Dans l'onglet Assets, vous pouvez exécuter des analyses sur les actifs sélectionnés. Pour plus d'informations, voir IBM Security QRadar Vulnerability Manager - Guide d'utilisation Présentation de l'onglet Assets L'onglet Assets fournit un espace de travail à... - Page 187 Tableau 48. Paramètres de la page Asset Profile (suite) Paramètre Description Asset Name Affiche le nom donné, le nom NetBios, le nom DSN ou l'adresse MAC de l'actif. Si aucun de ces éléments n'est connu, cette zone affiche la dernière adresse IP connue. Remarque : Ces valeurs sont affichées par ordre d'importance.
-
Page 188: Options De Menu Contextuel
à cette adresse IP. Run QVM Scan Sélectionnez cette option pour exécuter une analyse Vulnerability Manager sur l'actif sélectionné. Cette option s'affiche uniquement après avoir installé QRadar Vulnerability manager. IBM Security QRadar - Guide d'utilisation... -
Page 189: Affichage D'un Profil D'actif
Affichage d'un profil d'actif Dans la liste d'actifs de l'onglet Assets, vous pouvez sélectionner et afficher un profil d'actif. Un profil d'actif fournit des informations sur chaque profil. Pourquoi et quand exécuter cette tâche Les informations de profil d'actif sont automatiquement identifiées par la reconnaissance de serveur ou configurées manuellement. -
Page 190: Ajout Ou Édition D'un Profil D'actif
Cliquez sur Search Connections pour rechercher des connexions. La fenêtre Connection Search s'affiche. Cette option s'affiche uniquement si IBM Security QRadar Risk Manager a été acheté et mis sous licence. Pour plus d'informations, voir le IBM Security QRadar Risk Manager - Guide d'utilisation. - Page 191 Vous pouvez uniquement éditer les paramètres qui ont été saisis manuellement. Les paramètres gérés par le système s'affichent en italiques et ne sont pas éditables. Vous pouvez supprimer les paramètres générés par le système, si nécessaire. Procédure 1. Cliquez sur l'onglet Assets. 2.
- Page 192 : v None v Low v Low-medium v Medium-high v High v Not defined Lorsque vous configurez le paramètre Collateral Damage Potential, le paramètre Weight est automatiquement mis à jour. IBM Security QRadar - Guide d'utilisation...
- Page 193 Paramètre Description Confidentiality Requirement Configurez ce paramètre pour indiquer l'impact sur la confidentialité d'une vulnérabilité correctement exploitée de cet actif. L'impact de confidentialité accru augmente la valeur calculée du paramètre CVSS Score. Dans la zone de liste Confidentiality Requirement, sélectionnez l'une des options suivantes : v Low v Medium v High...
-
Page 194: Recherche De Profils D'actifs
Dans la zone de liste, sélectionnez le nom d'utilisateur que vous souhaitez associer à ce profil d'actif. Vous pouvez également utiliser ce paramètre pour activer le recours à la vulnérabilité automatique d'IBM Security QRadar Vulnerability Manager. Pour plus d'informations sur le recours automatique, voir IBM Security QRadar Vulnerability Manager User Guide. - Page 195 Par exemple : Vous recevez une notification indiquant que l'ID CVE : est exploité activement dans la zone. Pour vérifier si des hôtes de votre déploiement sont vulnérables à cette exploitation, vous pouvez sélectionner Vulnerability External Reference dans la liste des paramètres de recherche, sélectionner CVE, puis saisir 2010-000 Pour afficher une liste de tous les hôtes vulnérables à...
-
Page 196: Sauvegarde Des Critères De Recherche D'un Actif
Utilisez la fenêtre Asset Search Groups pour afficher un groupe de liste et des sous-groupes. Pourquoi et quand exécuter cette tâche Dans la fenêtre Asset Search Groups, vous pouvez afficher des détails sur chaque groupe, notamment une description et la date de la dernière modification du groupe. IBM Security QRadar - Guide d'utilisation... -
Page 197: Création D'un Groupe De Recherche
Toutes les recherches sauvegardées qui ne sont pas affectées à un groupe se trouvent dans le groupe Other. La fenêtre Asset Search Groups affiche les paramètres suivants pour chaque groupe : Tableau 51. Fonctions de la barre d'outils de la fenêtre Asset Search Groups Fonction Description Pour créer un nouveau groupe de recherche, vous... -
Page 198: Copie D'une Recherche Sauvegardée Vers Un Autre Groupe
4. Cliquez sur Manage Groups. 5. Sélectionnez la recherche sauvegardée que vous souhaitez supprimer du groupe : v Sélectionnez la recherche sauvegardée que vous souhaitez supprimer du groupe. v Sélectionnez le groupe que vous souhaitez supprimer. IBM Security QRadar - Guide d'utilisation... -
Page 199: Tâches De Gestion Des Profils D'actif
Tâches de gestion des profils d'actif Vous pouvez supprimer, importer et exporter des profils d'actif à l'aide de l'onglet Assets. Pourquoi et quand exécuter cette tâche L'onglet Assets vous permet de supprimer, importer et exporter des profils d'actif. Suppression des actifs Vous pouvez supprimer des actifs spécifiques ou tous les profils d'actifs répertoriés. -
Page 200: Exportation Des Actifs
été publiés sur la base de données OSVDB. Name Indique le nom de la vulnérabilité. Assets Indique le nombre d'actifs de votre réseau disposant de cette vulnérabilité. Cliquez sur le lien pour afficher la liste des actifs. IBM Security QRadar - Guide d'utilisation... - Page 201 Indique l'identificateur X-Force de la vulnérabilité. Cliquez sur le lien pour obtenir plus d'informations. Lorsque vous cliquez sur le lien, le site Web IBM Internet Security Systems apparaît dans une nouvelle fenêtre de navigateur. OSVDB Indique l'identificateur OSVDB de la vulnérabilité.
-
Page 202: Paramètres De La Page Asset Profile
Windows Patches, Properties, Risk Policies et Products. L'onglet Assets est visible lorsqu'IBM Security QRadar Vulnerability Manager est installé sur votre système. Pour plus d'informations, voir le IBM Security QRadar Vulnerability Manager - Guide d'utilisation. Cette référence comprend des tableaux décrivant les paramètres affichés dans chaque volet de l'onglet Asset Profile. -
Page 203: Volet Asset Summary
Volet Asset Summary Vous pouvez rechercher des descriptions de paramètres pour le volet Asset Summary auquel vous pouvez accéder depuis la page Asset Profile. Le volet Asset Summary de la page Asset Profile fournit les informations suivantes : Tableau 10-8 Paramètres du volet Asset Summary Paramètre Description Affiche le numéro d'ID affecté... - Page 204 Affiche l'ID du port de commutation de ce profil d'actif. CVSS Integrity Requirements Affiche l'impact de la réussite de l'exploitation d'une vulnérabilité sur l'intégrité d'un actif. Technical User Indique le nom d'utilisateur associé à ce profil d'actif. IBM Security QRadar - Guide d'utilisation...
-
Page 205: Volet Network Interface Summary
Paramètre Description Open Services Affiche le nombre d'applications Layer 7 uniques exécutées sur ce profil d'actif. Vulnerabilities Affiche le nombre de vulnérabilités identifiées sur ce profil d'actif. Location Indique l'emplacement physique de l'actif. Par défaut, cette zone est vide. Pour fournir un emplacement à l'actif, éditez le profil d'actif. -
Page 206: Volet Services
Asset Profile. Le volet Services de la page Asset Profile fournit les informations suivantes : Tableau 53. Paramètres du volet Services Paramètre Description Service Affiche le nom du service ouvert. IBM Security QRadar - Guide d'utilisation... -
Page 207: Volet Windows Services
Tableau 53. Paramètres du volet Services (suite) Paramètre Description Product Affiche le produit exécuté sur ce service, s'il est connu. Port Affiche le port sur lequel l'application Layer 7 a été découverte. Si ce service possède plusieurs ports, cette zone indique le nombre de ports. Placez le pointeur de votre souris sur la valeur pour afficher une liste des numéros de port. -
Page 208: Volet Windows Patches
Vous pouvez rechercher des descriptions de paramètres pour le volet Risk Policies auquel vous pouvez accéder depuis la page Asset Profile. Le volet Risk Policies s'affiche uniquement si QRadar Vulnerability manager est installé sur votre système. IBM Security QRadar - Guide d'utilisation... -
Page 209: Volet Products
Le volet Risk Policies de la page Asset Profile fournit les informations suivantes : Tableau 58. Paramètres du volet Risk Policies Paramètre Description Policy Affiche le nom de la règle associée à cet actif. Pass/Fail Indique si le statut de la règle est défini sur Pass ou Fail. Last Evaluated Affiche la date de dernière évaluation de la règle. - Page 210 IBM Security QRadar - Guide d'utilisation...
-
Page 211: Chapitre 11. Gestion De Rapports
Vous pouvez pointer votre souris sur un rapport pour prévisualiser un résumé du rapport dans une infobulle. Le résumé indique la configuration du rapport et le type de contenu que génère le rapport. © Copyright IBM Corp. 2012, 2013... -
Page 212: Barre D'état
IBM Security QRadar Risk Manager - Guide d'utilisation. v Device Unused Objects - Cette option de graphique s'affiche uniquement si vous avez acheté et mis IBM Security QRadar Risk Manager sous licence. Pour plus d'informations, voir le IBM Security QRadar Risk Manager - Guide d'utilisation. -
Page 213: Barre D'outils De L'onglet Report
Vulnerabilities - L'option Vulnerabilities s'affiche uniquement si IBM Security QRadar Vulnerability manager a été acheté et mis sous licence. Pour plus d'informations, voir le IBM Security QRadar Vulnerability Manager - Guide d'utilisation. Pour plus d'informations sur ces types de graphique, voir Paramètres de conteneur de graphique. - Page 214 Hide Interactive Reports Sélectionnez cette case afin de masquer les modèles de rapports inactifs. L'onglet Reports s'actualise automatiquement et affiche uniquement les rapports actifs. Décochez la case afin d'afficher les rapports inactifs masqués. IBM Security QRadar - Guide d'utilisation...
-
Page 215: Types De Graphique
Tableau 60. Options de la barre d'outils Reports (suite) Option Description Search Reports Entrez vos critères de recherche dans la zone Search Reports puis cliquez sur l'icône Search Reports. Une recherche est effectuée concernant les paramètres suivants pour déterminer lequel correspond à vos critères spécifiés : v Report Title v Report Description... -
Page 216: Création De Rapports Personnalisés
Avant de commencer Vous devez disposer des autorisations réseau appropriées pour partager les rapports générés avec d'autres utilisateurs. Pour plus d'informations sur les autorisations, voir IBM Security QRadar SIEM Administration GuideIBM Security QRadar SIEM Administration Guide. Pourquoi et quand exécuter cette tâche L'assistant de création de rapports fournit un guide étape par étape sur la... - Page 217 v Layout - Position et taille de chaque conteneur v Container - Marque de réservation du contenu proposé v Content - Définition du graphique placé dans le conteneur Après avoir créé un rapport qui est généré hebdomadairement ou mensuellement, la date prévue doit être écoulée avant que le rapport généré renvoie des résultats. Pour un rapport planifié, vous devez attendre l'heure planifiée pour l'élaboration des résultats.
- Page 218 11. Sélectionnez les canaux de distribution de votre rapport, puis cliquez sur Next. Les options incluent les canaux de distribution suivants : Option Description Report Console Cochez cette case pour envoyer le rapport généré vers l'onglet Reports. Il s'agit du canal de distribution par défaut. IBM Security QRadar - Guide d'utilisation...
- Page 219 Option Description Sélectionnez les utilisateurs qui doivent Cette option s'affiche une fois que vous avez être en mesure d'afficher le rapport généré. coché la case Report Console. Dans la liste des utilisateurs, sélectionnez les utilisateurs auxquels vous souhaitez accorder le droit d'afficher les rapports générés.
-
Page 220: Edition D'un Rapport
Si un rapport ne génère pas de contenu, la valeur None est affichée dans la colonne Generated Reports. Les icônes représentant le format de rapport du rapport généré s'affichent dans la colonne Formats. Les rapports peuvent être générés aux formats PDF, HTML, RTF, XML et XLS. IBM Security QRadar - Guide d'utilisation... -
Page 221: Suppression Du Contenu Généré
Remarque : Les formats XML et XLS sont disponibles uniquement pour les rapports qui utilisent un format de table de graphiques unique (portrait ou paysage). Vous pouvez afficher uniquement les rapports auxquels l'administrateur vous a autorisé à accéder. Les administrateurs peuvent accéder à tous les rapports. Si vous utilisez le navigateur Web Mozilla Firefox et que vous sélectionnez le format de rapport RTF, le navigateur Web Mozilla Firefox lance une nouvelle fenêtre de navigateur. -
Page 222: Duplication D'un Rapport
Pour personnaliser des rapports, vous pouvez importer des logos et des images spécifiques. Pour personnaliser des rapports à l'aide de logos personnalisés, vous devez télécharger et configurer les logos avant de commencer à utiliser l'assistant de création de rapports. IBM Security QRadar - Guide d'utilisation... -
Page 223: Groupe De Rapports
Avant de commencer Nous vous recommandons l'utilisation de graphiques 144 x 50 pixels avec un fond blanc. Pour vous assurer que votre navigateur affiche le nouveau logo, visez le cache de votre navigateur. Pourquoi et quand exécuter cette tâche La personnalisation de rapports est bénéfique pour votre entreprise si vous prenez en charge plus d'un seul logo. -
Page 224: Création D'un Groupe De Rapports
Vous devez disposer d'un accès administratif afin de créer, modifier ou supprimer des groupes. Pour plus d'informations sur les rôles d'utilisateurs, voir IBM Security QRadar SIEM Administration Guide. Création d'un groupe de rapports Vous pouvez créer de nouveaux groupes. -
Page 225: Copie D'un Rapport Vers Un Autre Groupe
Procédure 1. Cliquez sur l'onglet Reports. 2. Sélectionnez le rapport que vous souhaitez affecter à un groupe. 3. A partir de la zone de liste Actions, sélectionnez Assign Groups. 4. Dans la liste Item Groups, sélectionnez la case du groupe auquel vous souhaitez attribuer ce rapport. -
Page 226: Paramètres De Conteneur Du Graphique Asset Vulnerabilities
Pour en savoir plus à propos de CVSS, voir http://www.first.org/cvss/ . Vulnerabilities Count- Trie les données en fonction du nombre de vulnérabilités des actifs. Sub-Report Details Sub-report Indique le type d'information affichée dans le sous-rapport. IBM Security QRadar - Guide d'utilisation... -
Page 227: Paramètres Du Conteneur De Graphiques Evénements/Journaux
Paramètre Description Order Subreport By Sélectionnez le paramètre par lequel vous souhaitez organiser les données du sous-rapport. Les options incluent : v Risk (Base Score) v ID OSVDB v Titre OSVDB v Dernière date de modification v Date de divulgation v Date de détection Pour plus d'informations sur la base de données Open Source Vulnerability (OSVDB), consultez http://osvdb.org/ . - Page 228 Table - Affiche les données sous la forme d'un tableau. L'option Table est uniquement disponible pour le conteneur de largeur pleine page seulement. Pour afficher des exemples de chaque type de données du graphique, consultez la section Types de graphique. IBM Security QRadar - Guide d'utilisation...
- Page 229 Tableau 62. Paramètres du conteneur de graphiques Evénements/Journaux (suite) Paramètre Description Manual Scheduling Le volet Manual Scheduling s'affiche uniquement si vous sélectionnez l'option de planification Manually dans l'assistant de rapport. Grâce aux options Manual Scheduling, vous pouvez créer une planification manuelle capable d'exécuter un rapport sur une période de temps personnalisée définie, avec la possibilité...
- Page 230 Europe, et que vous configurez le fuseau horaire sur GMT -5.00 America/New_York, les données provenant d'Europe indiquent que le fuseau horaire est incorrect. La planification horaire place automatiquement dans des graphiques toutes les données de l'heure précédente. IBM Security QRadar - Guide d'utilisation...
- Page 231 Tableau 62. Paramètres du conteneur de graphiques Evénements/Journaux (suite) Paramètre Description Daily Scheduling Le volet Daily Scheduling s'affiche uniquement si vous avez sélectionné l'option de planification Daily dans l'assistant de rapport. 1. Sélectionnez une des options suivantes : All data from previous day (24 hours) Data of previous day from - Dans les zones de liste, sélectionnez la période de temps que vous souhaitez pour le rapport généré.
- Page 232 Par exemple, vous pouvez sélectionner uniquement les heures de 8h00 à 17h00. 3. Cochez la case pour chaque jour de la semaine pour lequel vous souhaitez programmer votre rapport. IBM Security QRadar - Guide d'utilisation...
- Page 233 Tableau 62. Paramètres du conteneur de graphiques Evénements/Journaux (suite) Paramètre Description Monthly Scheduling Le volet Monthly Scheduling s'affiche uniquement si vous avez sélectionné l'option de planification Monthly dans l'assistant de rapport. 1. Sélectionnez une des options suivantes : All data from previous month Data from previous month from the- Dans les zones de liste, sélectionnez la période de temps que vous souhaitez pour le rapport généré.
-
Page 234: Paramètres Du Conteneur De Graphiques De Flux
Stacked Bar - Affiche les données dans un graphique à barres empilées. Stacked Line - Affiche les données dans un graphique à courbes empilées. Table - Affiche les données sous la forme d'un tableau. IBM Security QRadar - Guide d'utilisation... - Page 235 Tableau 63. Détails de conteneur du graphique Flows (suite) Paramètre Description Planification manuelle Le volet Manual Scheduling s'affiche uniquement si vous sélectionnez l'option de planification Manually dans l'assistant de rapport. En utilisant les options Manual Scheduling, vous pouvez créer une planification manuelle qui peut exécuter un rapport sur une période de temps personnalisée définie, avec la possibilité...
- Page 236 Europe, et que vous configurez le fuseau horaire sur GMT -5.00 America/New_York, les données provenant d'Europe indiquent que le fuseau horaire est incorrect. La planification horaire place automatiquement dans des graphiques toutes les données de l'heure précédente. IBM Security QRadar - Guide d'utilisation...
- Page 237 Tableau 63. Détails de conteneur du graphique Flows (suite) Paramètre Description Planification quotidienne Le volet Daily Scheduling s'affiche uniquement si vous avez sélectionné l'option de planification Daily dans l'assistant de rapport. 1. Sélectionnez une des options suivantes : All data from previous day (24 hours) Data of previous day from - Dans les zones de liste, sélectionnez la période de temps que vous souhaitez pour le rapport généré.
- Page 238 Par exemple, vous pouvez sélectionner uniquement les heures de 8h00 à 17h00. 3. Cochez la case pour chaque jour de la semaine pour lequel vous souhaitez programmer votre rapport. IBM Security QRadar - Guide d'utilisation...
- Page 239 Tableau 63. Détails de conteneur du graphique Flows (suite) Paramètre Description Monthly Scheduling Le volet Monthly Scheduling s'affiche uniquement si vous avez sélectionné l'option de planification Monthly dans l'assistant de rapport. 1. Sélectionnez une des options suivantes : 2. All data from previous month 3.
-
Page 240: Paramètres Du Conteneur De Graphiques Top Source Ips
Paramètres du conteneur de graphiques Top Offenses Le tableau suivant décrit les paramètres de conteneur de graphiques Top Offenses : Tableau 64. Paramètres du conteneur de graphiques Top Offenses Paramètre Description Container Details - Top Offenses IBM Security QRadar - Guide d'utilisation... - Page 241 Tableau 64. Paramètres du conteneur de graphiques Top Offenses (suite) Paramètre Description Chart Title Entrez un titre de graphique ne dépassant pas les 100 caractères. Chart Sub-Title Décochez la case pour modifier le sous-titre créé automatiquement. Entrez un titre ne dépassant pas les 100 caractères.
- Page 242 Dans la zone de liste Low Level Category, sélectionnez la catégorie de bas niveau vous souhaitez inclure dans le rapport généré. Pour plus d'informations sur les catégories de haut et de bas niveau, voir IBM Security QRadar SIEM Administration Guide. Networks Cette option s'affiche uniquement si l'option Parameter Based est sélectionnée.
-
Page 243: Paramètres Du Conteneur De Graphiques Top Destination Ips
Paramètres du conteneur de graphiques Top Destination IPs Le tableau suivant décrit les paramètres du conteneur de graphiques Top Destination IPs : Tableau 65. Paramètres du conteneur de graphiques Top Destination IPs Paramètre Description Container Details - Top Destination IPs Chart Title Entrez un titre de graphique ne dépassant pas les 100 caractères. - Page 244 IBM Security QRadar - Guide d'utilisation...
-
Page 245: Remarques
Remarques Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plus de détails, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial IBM. Toute référence à un produit, logiciel ou service IBM n'implique pas que seul ce produit, logiciel ou service puisse être utilisé. - Page 246 Le présent document peut contenir des inexactitudes ou des coquilles. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. IBM peut, à tout moment et sans préavis, modifier les produits et logiciels décrits dans ce document.
-
Page 247: Marques
Marques IBM, le logo IBM et ibm.com sont des marques ou des marques déposées d'International Business Machines Corporation aux États-Unis et/ou dans d'autres pays. Si ces marques et d'autres marques d'IBM sont accompagnées d'un symbole ® ™ de marque ( ), ces symboles signalent des marques d'IBM aux Etats-Unis à... - Page 248 Internet sur le site http://www.ibm.com/privacy/details/fr/fr, ainsi qu'à la section "IBM Software Products and Software-as-a-Service Privacy Statement" sur le site http://www.ibm.com/software/info/product-privacy (en anglais). IBM Security QRadar - Guide d'utilisation...
-
Page 249: Glossaire
Pour tout autre terme et définition, veuillez vous une forme inintelligible, de sorte que les référer au site Web de terminologie IBM (ouvre données d'origine ne puissent pas être une nouvelle fenêtre). obtenues ou puisse l'être uniquement via un processus de déchiffrement. - Page 250 Par exemple, DHCP Ordinateur de secours connecté au cluster affecte automatiquement des adresses IP haute disponibilité. L'hôte à haute aux ordinateurs d'un réseau. disponibilité secondaire assume la responsabilité de l'hôte à haute IBM Security QRadar - Guide d'utilisation...
- Page 251 disponibilité principal en cas de Voir local à local. défaillance de ce dernier. local à distant (L2R) Concerne le trafic interne d'un réseau local à un autre réseau distant. local à local (L2L) ICMP Voir protocole de message de gestion Concerne le trafic interne d'un réseau inter-réseau.
- Page 252 Périphérique ou programme permettant un annuaire Internet ou Intranet. de connecter des réseaux ou des systèmes à des architectures réseau différentes. pertinence Mesure de l'impact relatif d'un IBM Security QRadar - Guide d'utilisation...
- Page 253 Simple Network Management Protocol (SNMP) Ensemble de protocoles permettant de surveiller les systèmes et les rapport périphériques dans des réseaux Dans la gestion des requêtes, données complexes. Les informations sur les dont la mise en forme résulte de périphériques gérés sont définies et l'exécution d'une requête et de stockées dans une base d'informations de l'application d'un formulaire particulier...
- Page 254 Voir égalementProtocole Internet. violation Acte visant à détourner ou contourner les règles de l'entreprise. violation Message envoyé ou événement généré en réponse à une condition contrôlée. Par IBM Security QRadar - Guide d'utilisation...
-
Page 255: Index
185 événement personnalisé et propriétés de assistant Anomaly Detection Rule 153 critères de filtrage de flux 91 flux 137 assistant Custom Rules 5 événements 17, 80, 108, 111 assistant de règles personnalisées 18 © Copyright IBM Corp. 2012, 2013... - Page 256 CSV 103 nouvelle recherche 185 exportation au format XML 103 exportation d'événements 85 exportation d'un profil d'actif 187 IBM Security QRadar Risk Manager 4 exportation de flux 103 icône Remove 186 objets de graphique 107 exportation des actifs 188...
- Page 257 paramètres du volet Packages 195 redimensionner des colonnes 11 supprimer une recherche sauvegardée paramètres du volet Products 197 réglage des faux positifs 82 d'un groupe 136 paramètres du volet Properties 196 Réglage des faux positifs 103 surveillance de l'activité réseau 92 paramètres du volet Rick Policies 197 règle surveillance des événements 15...