Afinando as regras ativas que geram ofensas
Ajustar as principais regras mais ruidosas pode ter um impacto significativo na redução de falsos positivos.
- No menu principal do QRadar Use Case Manager, clique em Regras ativas.
- Aplique filtros nas regras ativas para ajustar sua investigação.
- Filtrar as regras que começaram a contribuir para ofensas de acordo com o calendário ou pelo prazo. A data padrão é nos últimos três dias. Altere o prazo ou opte por filtrar as regras que começaram a contribuir para delitos entre datas e horários específicos.
- Selecione parâmetros para excluir ofensas dos resultados, como ofensas ocultas ou fechadas. Os delitos marcados para o acompanhamento são sinalizados para uma investigação mais aprofundada. Você pode ter ofensas que deseja reter, independentemente do período de retenção; essas ofensas são protegidas para evitar que sejam removidas do QRadar após o período de retenção. Os ataques inativos podem ser removidos da visualização para que os relatórios não estejam bagunçados.
- Selecione a razão de encerramento para uma ofensa. Por exemplo, você pode filtrar para ver quais regras geraram as ofensas que foram fechadas como falsos positivos. Regras com muitos falsos positivos provavelmente precisam ser afinadas. As ofensas que são fechadas como um não-problema geralmente são consideradas não essenciais para a sua organização.
- Clique em Aplicar filtros.
- Reveja os Delitos por regra, Delitos por categoria e regra, Delitos fechados por razão e regra, Eventos contam tendência por regra, e tendência de criação de delitos por gráficos de regras.
Ponta:
A tendência de criação do Offense por gráfico de regras é suportada no QRadar 7.4.1 Fix Pack 2 ou posterior.
- Passe o mouse sobre os segmentos de gráficos para ver mais detalhes sobre uma ofensa.
- Lendas de ocultar ou mostrar gráficos.
- Clique nas teclas da lenda para ajustar o display do gráfico.
- Dê zoom para uma investigação mais aprofundada.
- Expanda os gráficos de barras e linhas de tempo para a tela cheia.
- Gráficos de barras de exportação e linha do tempo para formatos CSV, PNG ou JPG.
- Veja dados do gráfico de barras e linha do tempo no formato tabular. Em seguida, exporte os dados no formato CSV para visualizar offline ou compartilhar com colegas.
- Na tabela, ajuste as regras ao escolher entre os seguintes métodos:
-
Alternar entre as principais regras ruidosas ou todas as regras da lista.
-
Adicione mais regras para investigar selecionando um grupo de regras ou uma regra individual da lista.
Ponta:A coluna contagem de eventos no relatório indica quantos eventos a regra associada aos delitos contados na coluna contagem de delitos . A coluna contagem de eventos é suportada no QRadar 7.4.1 Fix Pack 2 ou posterior.
-
- Clique em Investigar.
-
Assista a um pequeno vídeo para saber como usar o assistente de regras.
-
Analise cada regra individual e os BBs que contribuem para a regra ativa. Para cada regra, você pode investigá-la clicando na árvore de dependência Mostrar ou editar no assistente de regras.
-
Use o diagrama de visualização para ajustar ainda mais as opções relacionadas para a regra ou bloco de construção, como tipos de origem de log, propriedades personalizadas ou conjuntos de referência.
-
Analise as ofensas geradas por cada regra ativa.
-
Analise os valores nos vários grupos de testes e ajuste se necessário.
-
Analise os mapeamentos ATT&CK do MITRE para a regra e edite se necessário.
-
Para adicionar atributos de regra personalizados à regra ou bloco de construção selecionados, veja a Etapa 10 na investigação de regras e blocos de construção do QRadar.
-
Para investigar as regras da QRadar User Behavior Analytics, veja as regras de análise de comportamento do usuário.
-
Para retornar à página regras ativas , clique em Regras ativas nas migalhas de pão.
-
- Para exportar dados de regra selecionados no relatório para o formato CSV que você possa processar ou visualizar no Excel, selecione as caixas de verificação relevantes e clique em Exportar.