Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Examen des règles d’analyse du comportement des utilisateurs

Les règles d’analyse du comportement utilisateur peuvent vous aider à identifier les menaces internes potentielles au sein de votre réseau. Une fois que les règles d’analyse utilisateur de QRadar User Behavior Analytics 4.1.0 ou version ultérieure sont intégrées dans QRadar Use Case Manager 3.2.0 ou version ultérieure, vous pouvez les gérer et les ajuster pour mieux répondre aux besoins de votre organisation. Ensuite, les données s’affichent automatiquement dans les tableaux de bord QRadar User Behavior Analytics afin que vous puissiez visualiser les risques pour votre réseau.

Pour qu’une règle soit considérée comme pertinente pour QRadar User Behavior Analytics, l’option Dispatch new event doit être sélectionnée dans Rule Response (Réponse à la règle). Vous pouvez également associer d’autres règles à l’analyse du comportement utilisateur QRadar en les modifiant dans l’assistant de règle du Gestionnaire de cas d’utilisation QRadar.

Note:

Dans QRadar User Behavior Analytics, le nombre de règles du tableau de bord est basé sur le nombre total de règles détectées par QRadar User Behavior Analytics, que les règles soient installées ou non. Dans QRadar Use Case Manager, le filtrage est basé sur les règles installées.
  1. Dans la page Explorateur de cas d’utilisation, cliquez sur l’icône de liste, puis choisissez l’un des modèles suivants à utiliser :

    Toutes les règles de l’analyse du comportement utilisateur

    Affiche le score de risque pour toutes les règles d’analyse du comportement utilisateur installées et non installées.

    Règles d’analyse du comportement utilisateur installées

    Affiche le score de risque pour les règles User Behavior Analytics installées.

    Pointe:

    Pour utiliser des filtres similaires à la page Règles et réglage dans QRadar User Behavior Analytics, sélectionnez ce modèle. Pour afficher les informations sur la catégorie, ajoutez la colonne Catégorie de contenu . QRadar Use Case Manager ne contient pas d’informations sur la chaîne d’élimination.

    Règles d’analyse du comportement utilisateur non installées

    Pour les extensions de contenu non installées, ce modèle affiche les règles d’analyse du comportement utilisateur disponibles lorsque les extensions sont installées.

  2. Pour modifier le score de risque d’une règle QRadar User Behavior Analytics prédéfinie, cliquez sur le nom de la règle, développez la section Score de risque User Behavior Analytics et ajustez le nombre. Le score de risque utilisateur dans QRadar User Behavior Analytics est automatiquement mis à jour.

    Un score de risque est la somme de tous les événements de risque détectés par les règles de QRadar User Behavior Analytics. Plus le score de risque est élevé, plus un utilisateur interne est susceptible de présenter un risque pour la sécurité et justifie un examen plus approfondi de l’activité réseau de votre utilisateur. Le score de risque diminue avec le temps si aucun nouvel événement ne se produit. Les règles intégrées à partir de l’application QRadar User Behavior Analytics ont généralement un score de risque compris entre 5 et 25. Vous pouvez afficher le score de risque dans n’importe quel rapport en ajoutant la colonne Attributs de règle : Analyse du comportement utilisateur à votre modèle actuel. Pour plus d’informations, consultez Configuration des paramètres d’application.

  3. Pour ajouter un score de risque à une règle et l’associer à QRadar User Behavior Analytics, procédez comme suit :
    1. Ouvrez la règle sélectionnée dans l’assistant de règle et développez la section Score de risque de l’analyse du comportement utilisateur .
    2. Si l’option Distribuer un nouvel événement n’est pas sélectionnée dans la section Réponse à la règle, cliquez sur Modifier dans l’Assistant Règle et effectuez cette étape maintenant.
    3. Attribuez un score de risque à la règle.

    L’application QRadar User Behavior Analytics suit tous les événements générés par la règle et prend en compte le score de risque dans son analyse.

  4. Si vous ne souhaitez plus qu’une règle soit associée à QRadar User Behavior Analytics, procédez comme suit :
    1. Ouvrez la règle sélectionnée dans l’assistant de règle et développez la section Score de risque de l’analyse du comportement utilisateur .
    2. Suivez les instructions de l’info-bulle pour déconnecter la règle de QRadar User Behavior Analytics.
    Lorsque vous supprimez les références à la règle de la table de référence dans QRadar User Behavior Analytics, tous les événements déclenchés par la règle cessent de contribuer au score de risque de l’utilisateur.
Consultez les rapports pertinents qui incluent les règles d’analyse du comportement utilisateur. Les règles contribuent également au comptage tactique dans les rapports MITRE ATT&CK. Vous pouvez également visualiser les règles sur les tableaux de bord de l’application QRadar User Behavior Analytics.