IBM Security QRadar SIEM Version Einführungshandbuch

Transkript

1 IBM Security QRadar SIEM Version Einführungshandbuch

2 Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter Bemerkungen auf Seite 25 gelesen werden. Produktinformation Dieses Dokument bezieht sich auf IBM QRadar Security Intelligence Platform V7.2.4 und nachfolgende Releases, bis es durch eine aktualisierte Version dieses Dokuments ersetzt wird. Diese Veröffentlichung ist eine Übersetzung des Handbuchs IBM Security QRadard SIEM, Version 7.2.4, Getting Started Guide, herausgegeben on International Business Machines Corporation, USA Copyright International Business Machines Corporation 2012, 2014 Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen. Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und erfügbar; or Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle. Änderung des Textes bleibt orbehalten. Herausgegeben on: TSC Germany Kst Noember 2014 Copyright IBM Corporation 2012, 2014.

3 Inhaltserzeichnis Einführung in QRadar SIEM Kapitel 1. Übersicht über QRadar SIEM Protokollaktiität Netzaktiität Assets Angriffe Berichte Datenerfassung Ereignisdatenerfassung Erfassung on Datenflussdaten Informationen zur Schwachstellenanalyse Regeln in QRadar SIEM Unterstützte Web-Browser Kapitel 2. Einführung in die Bereitstellung on QRadar SIEM QRadar SIEM-Appliance installieren Die QRadar SIEM-Appliance QRadar SIEM konfigurieren Netzhierarchie Netzhierarchie prüfen Automatische Updates Einstellungen des automatischen Updates konfigurieren Ereignisse aufzeichnen Datenflüsse erfassen Informationen zur Schwachstellenanalyse importieren QRadar SIEM optimieren Nutzdaten indexieren Nutzdatenindexierung aktiieren Serer und Bausteine Serer automatisch zu Bausteinen hinzufügen Serer manuell zu Bausteinen hinzufügen Regeln konfigurieren SIM-Model bereinigen Kapitel 3. QRadar SIEM-Einführung Ereignisse suchen Kriterien zur Ereignissuche speichern Zeitreihendiagramme konfigurieren Datenflüsse suchen Kriterien zur Datenflusssuche speichern Dashboardelemente erstellen Assets durchsuchen Angriffe untersuchen Angriffe anzeigen Beispiel: PCI-Berichtsorlagen aktiieren Beispiel: Benutzerdefinierten Bericht auf Grundlage einer gespeicherten Suche erstellen Bemerkungen Marken Hinweise zur Datenschutzrichtlinie Glossar A Copyright IBM Corp. 2012, 2014 iii

4 B C D E F G H I K L M N O P Q R S T U V W Z Index i QRadar SIEM Einführungshandbuch

5 Einführung in QRadar SIEM Im Einführungshandbuch zu IBM Security QRadar SIEM werden Ihnen die wichtigsten Konzepte, eine Übersicht der Installation sowie einfache Aufgaben orgestellt, die Sie in der Benutzerschnittstelle ausführen. Zielgruppe Diese Informationen sind zur Verwendung durch Sicherheitsadministratoren gedacht, die für die Untersuchung und Verwaltung der Netzsicherheit erantwortlich sind. Für die Arbeit mit diesem Handbuch müssen Sie die Infrastruktur Ihres Unternehmensnetzes kennen und mit Netztechnologien ertraut sein. Technische Dokumentation Informationen zum Zugriff auf weitere technische Dokumentationen, technische Hinweise und Releaseinformationen finden Sie im technischen Hinweis Accessing IBM Security Documentation Technical Note ( dociew.wss?rs=0&uid=swg ). Kontaktaufnahme mit dem Kundendienst Informationen zur Kontaktaufnahme mit dem Kundendienst finden Sie im technischen Hinweis Support and Download Technical Note ( support/dociew.wss?rs=0&uid=swg ). Erklärung zu geeigneten Sicherheitsorkehrungen Zur Sicherheit on IT-Systemen gehört der Schutz on Systemen und Informationen in Form on Vorbeugung, Erkennung und Reaktion auf unbefugten Zugriff innerhalb des Unternehmens und on außen. Unbefugter Zugriff kann dazu führen, dass Informationen geändert, gelöscht, eruntreut oder missbräuchlich erwendet werden. Ebenso können Ihre Systeme beschädigt oder missbräuchlich erwendet werden, einschließlich zum Zweck on Attacken. Kein IT-System oder -Produkt sollte als ollständig sicher betrachtet werden. Kein einzelnes Produkt, kein Serice und keine Sicherheitsmaßnahme kann 100 % effekti unbefugte Verwendung oder Zugriff erhindern. IBM Systeme, Produkte und Serices werden als Teil eines umfassenden gesetzlichen Sicherheitskonzepts entwickelt, sodass die Einbeziehung zusätzlicher Betriebsprozesse erforderlich ist. Ferner wird orausgesetzt, dass andere Systeme, Produkte oder Serices so effekti wie möglich sind. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder Serices or zerstörerischen oder unzulässigen Handlungen Dritter geschützt sind oder dass Systeme, Produkte oder Serices Ihr Unternehmen or zerstörerischen oder unzulässigen Handlungen Dritter schützen. Bitte beachten: Die Verwendung dieses Programms kann erschiedene Gesetze oder Regelungen einschließen. Diese können sich auf die Geheimhaltung, den Datenschutz, die Benutzung und elektronische Kommunikation sowie auf die Speicherung beziehen. IBM Security QRadar darf nur für gesetzlich zulässige Zwecke und in einer gesetzmäßigen Weise erwendet werden. Der Kunde erpflichtet sich, dieses Programm gemäß geltendem Recht, geltenden Regelungen und Richtlinien zu erwenden und Copyright IBM Corp. 2012, 2014

6 übernimmt die gesamte Verantwortung für die Einhaltung dieser Bestimmungen. Der Lizenznehmer sichert zu, dass er alle Einwilligungen, Berechtigungen oder Lizenzen erwirbt oder erworben hat, die für die Ermöglichung der gesetzmäßigen Verwendung on IBM Security QRadar erforderlich sind. i QRadar SIEM Einführungshandbuch

7 Kapitel 1. Übersicht über QRadar SIEM Protokollaktiität Netzaktiität Assets IBM Security QRadar SIEM ist eine Plattform zur Verwaltung der Netzsicherheit, die Situationsanalysen und Konformitätsunterstützung bietet. QRadar SIEM erwendet eine Kombination aus datenflussbasierten Netzkenntnissen, der Korrelation on Sicherheitsereignissen sowie assetbasierter Schwachstellenanalyse. Konfigurieren Sie zur Einführung eine Basisinstallation on QRadar SIEM, erfassen Sie Ereignis- und Datenflussdaten und generieren Sie Berichte. In IBM Security QRadar SIEM können Sie Netzereignisse in Echtzeit überwachen und anzeigen oder erweiterte Suchen durchführen. Die Registerkarte Protokollaktiität zeigt Ereignisinformationen als Datensätze aus einer Protokollquelle, beispielsweise eine Firewall oder ein Routergerät, an. Mithilfe der Registerkarte Protokollaktiität können Sie folgende Aufgaben durchführen: Ereignisdaten untersuchen Ereignisprotokolle untersuchen, die in Echtzeit an QRadar SIEM gesendet wurden Ereignisse durchsuchen Protokollaktiitäten mittels konfigurierbarer Zeitreihentabellen überwachen Fehlalarme identifizieren, um QRadar SIEM zu optimieren In IBM Security QRadar SIEM können Sie die Kommunikationssitzungen zwischen zwei Übertragungshosts untersuchen. Die Registerkarte Netzaktiität zeigt Informationen zur Übertragung des Netzdatenerkehrs und zum Inhalt der Übertragungen an, wenn die Option zur Inhaltserfassung aktiiert ist. Mithilfe der Registerkarte Netzaktiität können Sie folgende Aufgaben durchführen: Die Datenflüsse untersuchen, die in Echtzeit an QRadar SIEM gesendet wurden Netzdatenflüsse durchsuchen Netzaktiitäten mittels konfigurierbarer Zeitreihentabellen überwachen QRadar SIEM erstellt Assetprofile automatisch, indem mithilfe passier Datenflussdaten und Daten zu Schwachstellen die Serer und Hosts Ihres Netzes ermittelt werden. Assetprofile liefern Informationen zu jedem bekannten Asset in Ihrem Netz, einschließlich der aktien Serices. Die Informationen der Assetprofile dienen zu Korrelationszwecken, um Fehlalarme zu ermeiden. Mithilfe der Registerkarte "Assets" können Sie folgende Aufgaben durchführen: Nach Assets suchen Copyright IBM Corp. 2012,

8 Alle ermittelten Assets anzeigen Identitätsinformationen für ermittelte Assets anzeigen Schwachstellen on Fehlalarmen optimieren Angriffe In IBM Security QRadar SIEM können Sie Angriffe untersuchen, um die Fehlerursache eines Netzproblems zu ermitteln. Mithilfe der Registerkarte Angriffe können Sie alle Angriffe anzeigen, die in Ihrem Netz auftreten, und folgende Aufgaben durchführen: Angriffe, IP-Quelladressen, IP-Zieladressen, Netzerhalten sowie Unregelmäßigkeiten in Ihrem Netz untersuchen Ereignisse und Datenflüsse korrelieren, die sich aus mehreren mit derselben IP- Zieladresse erbundenen Netzen ableiten Die erschiedenen Seiten der Registerkarte Angriffe aufrufen, um Details zu Ereignissen und Datenflüssen zu untersuchen Die eindeutigen Ereignisse bestimmen, die einen Angriff erursacht haben Berichte In IBM Security QRadar SIEM haben Sie die Möglichkeit, benutzerdefinierte Berichte zu erstellen oder Standardberichte zu erwenden. QRadar SIEM erfügt über Standardberichtsorlagen, die Sie anpassen, unter einer anderen Produktbezeichnung ertreiben und an Benutzer on QRadar SIEM erteilen können. Berichtsorlagen sind in Berichtstypen wie z. B. Konformität, Gerät, Führungskraft und Netzberichte gruppiert. Führen Sie über die Registerkarte Berichte folgende Aufgaben durch: Berichte für QRadar SIEM-Daten erstellen, erteilen und erwalten Datenerfassung Benutzerdefinierte Berichte zur operatien Verwendung und für Führungskräfte erstellen Sicherheits- und Netzinformationen in einem Einzelbericht kombinieren Vorinstallierte Berichtsorlagen erwenden oder bearbeiten Eigene Berichte mit angepassten Logos kennzeichnen (Branding). Branding ist beim Verteilen on Berichten an erschiedene Zielgruppen nützlich. Zeitplan zur Erstellung on benutzerdefinierten und Standardberichten festlegen Berichte in erschiedenen Formaten eröffentlichen QRadar SIEM akzeptiert Informationen in unterschiedlichen Formaten und on unterschiedlichen Einheiten und Geräten, darunter Sicherheitsereignisse, Netzerkehr und Scanergebnisse. Erfasste Daten sind in drei Hauptbereiche aufgeteilt: Ereignisse, Datenflüsse und Informationen zur Schwachstellenanalyse. 2 QRadar SIEM Einführungshandbuch

9 Ereignisdatenerfassung Ereignisse werden on Protokollquellen wie z. B. Firewalls, Router, Serer und Intrusion-Detection-Systeme (IDS) oder Intrusion-Preention-Systeme (IPS) generiert. Die meisten Protokollquellen senden Informationen über das syslog-protokoll an QRadar SIEM. QRadar SIEM unterstützt zudem noch folgende Protokolle: Simple Network Management Protocol (SNMP) Jaa Database Connectiity (JDBC) Security Deice Eent Exchange (SDEE) Standardmäßig erkennt QRadar SIEM Protokollquellen automatisch, nachdem eine bestimmte Anzahl identifizierbarer Protokolle innerhalb einer bestimmten Zeit empfangen wurde. Nachdem die Protokollquellen erfolgreich ermittelt wurden, fügt QRadar SIEM das entsprechende Einheitenunterstützungsmodul (Deice Support Module, DSM) der Registerkarte Verwaltung im Fenster Protokollquellen hinzu. Obwohl die meisten DSMs über Funktionen zum Senden natier Protokolle erfügen, erfordern einige DSMs eine zusätzliche Konfiguration und/oder einen Agenten, um Protokolle zu senden. Die Konfiguration hängt om jeweiligen DSM-Typ ab und kann unterschiedlich ablaufen. Stellen Sie unbedingt sicher, dass die DSMs so konfiguriert sind, dass Protokolle in einem Format gesendet werden, welches on QRadar SIEM unterstützt wird. Weitere Informationen zum Konfigurieren on DSMs finden Sie im DSM Configuration Guide. Bestimmte Protokollquellentypen, wie z. B. Router und Switches, senden nicht genügend Protokolle, die QRadar SIEM daher nicht schnell genug erkennen und der Protokollquellenliste hinzufügen kann. Sie können diese Protokollquellen manuell hinzufügen. Weitere Informationen zum manuellen Hinzufügen on Protokollquellen finden Sie im Log Sources User Guide. Erfasste Daten sind in drei Hauptbereiche aufgeteilt: Ereignisse, Datenflüsse und Informationen zur Schwachstellenanalyse. Erfassung on Datenflussdaten Datenflüsse liefern Informationen zum Netzerkehr und können in erschiedenen Formaten an QRadar SIEM gesendet werden, z. B. als flowlog-datei, NetFlow, J- Flow, sflow und Packeteer. Durch das gleichzeitige Akzeptieren mehrerer Datenflussformate kann QRadar SIEM Bedrohungen und Aktiitäten erkennen, die nicht erkannt würden, wenn nur die Informationen zu Ereignissen berücksichtigt würden. QRadar QFlow Collectors ermöglicht die ollständige Anwendungserkennung on Netzerkehr, unabhängig on dem Port, auf dem die Anwendung ausgeführt wird. Wenn beispielsweise das IRC-Protokoll (Internet Relay Chat) auf Port 7500/TCP kommuniziert, erkennt ein QRadar QFlow Collector den Datenerkehr als IRC und ermöglicht eine Paketaufzeichnung om Beginn des Datenaustauschs. NetFlow und J-Flow benachrichtigen Sie nur dann, wenn Datenerkehr an Port 7500/TCP orliegt. Dabei erhalten Sie keine Kontextinformationen dazu, welches Protokoll erwendet wird. Kapitel 1. Übersicht über QRadar SIEM 3

10 Zu den allgemeinen Positionen on Spiegelports zählen Core, DMZ, Serer und Anwendungsswitches. NetFlow liefert dabei ergänzende Informationen on Randroutern und -switches. QRadar QFlow Collectors sind standardmäßig aktiiert und erfordern, dass ein Spiegelport, ein Span-Port oder ein Tap-Port an eine erfügbare Schnittstelle auf der QRadar SIEM-Appliance angeschlossen wird. Die Datenflussanalyse beginnt automatisch, wenn der Spiegelport an eine der Netzschnittstellen auf der QRadar SIEM-Appliance angeschlossen wird. Standardmäßig überwacht QRadar SIEM die Verwaltungsschnittstelle auf NetFlow-Datenerkehr an Port 2055/UDP. Falls erforderlich, können Sie zusätzliche NetFlow-Ports zuweisen. Informationen zur Schwachstellenanalyse QRadar SIEM kann VA-Informationen on erschiedenen Scannern anderer Anbieter importieren. Regeln in QRadar SIEM Unterstützte Web-Browser Mithilfe on VA-Informationen identifiziert QRadar Risk Manager aktie Hosts, offene Ports und potenzielle Schwachstellen. Anhand der VA-Informationen stuft QRadar Risk Manager das Ausmaß der Angriffe in Ihrem Netz ein. Abhängig om jeweiligen VA-Scannertyp kann QRadar Risk Manager Scanergebnisse om Scanner-Serer importieren oder einen Scan über Fernzugriff starten. Mit Regeln prüfen Sie Ereignisse, Datenflüsse oder Angriffe. Wenn alle Bedingungen einer Prüfung erfüllt werden, dann generieren Regeln eine Antwort. QRadar SIEM enthält Regeln zur Erkennung einer Vielzahl on Aktiitäten, darunter übermäßige Zurückweisungen der Firewall, mehrfach fehlgeschlagene Anmeldeersuche und potenzielle Botnet-Aktiitäten. Weitere Informationen zu Regeln finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. In der nachfolgenden Liste werden die beiden Regelkategorien beschrieben: Benutzerdefinierte Regeln prüfen Ereignisse, Datenflüsse und Angriffe, um ungewöhnliche Aktiitäten in Ihrem Netz zu ermitteln. Regeln zur Unregelmäßigkeitenerkennung prüfen die Ergebnisse gespeicherter Ablauf- oder Ereignissuchen, um zu ermitteln, wann es in Ihrem Netz zu ungewöhnlichen Datenerkehrsmustern kommt. Wichtig: Ein Benutzer ohne Administratorzugangsrechte kann Regeln für die Netzbereiche erstellen, auf die er Zugriff hat. Um Regeln erwalten zu können, müssen Sie über die entsprechenden Regelberechtigungen erfügen. Weitere Informationen zu Benutzerrollenberechtigungen finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. Damit die Funktionen in IBM Security QRadar ordnungsgemäß ausgeführt werden können, müssen Sie einen unterstützten Web-Browser erwenden. 4 QRadar SIEM Einführungshandbuch

11 Beim Zugriff auf das QRadar-System werden Sie zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Der Benutzername und das Kennwort müssen orher om Administrator konfiguriert werden. In der folgenden Tabelle werden die unterstützten Versionen der Web-Browser aufgeführt. Tabelle 1. Unterstützte Web-Browser für QRadar-Produkte Web-Browser Unterstützte Version Mozilla Firefox 17.0 Extended Support Release 32-Bit-Microsoft Internet Explorer, mit aktiiertem Dokumentmodus und Browsermodus Google Chrome 24.0 Extended Support Release Die am Freigabedatum der Produkte on IBM Security QRadar V7.2.4 aktuelle Version Kapitel 1. Übersicht über QRadar SIEM 5

12 6 QRadar SIEM Einführungshandbuch

13 Kapitel 2. Einführung in die Bereitstellung on QRadar SIEM Beor Sie die Hauptfunktionalitäten on IBM Security QRadar SIEM auswerten können, muss ein Administrator QRadar SIEM bereitstellen. Zur Bereitstellung on QRadar SIEM muss der Administrator folgende Aufgaben durchführen: Die QRadar SIEM-Appliance installieren Die Installation on QRadar SIEM konfigurieren Ereignis-, Datenfluss- und Schwachstellenanalysedaten sammeln Die Installation on QRadar SIEM optimieren QRadar SIEM-Appliance installieren Administratoren müssen die QRadar SIEM-Appliance installieren, um den Zugriff auf die Benutzerschnittstelle zu ermöglichen. Vorbereitende Schritte Die QRadar SIEM-Appliance Stellen Sie or der Installation der QRadar SIEM-Appliance zur Auswertung sicher, dass folgende Bedingungen erfüllt sind: Es ist Platz für eine Appliance mit zwei Einheiten orhanden. Rackschienen und Regale (montiert) sind orhanden. Optional. Eine USB-Tastatur und ein VGA-Standardmonitor für den Zugriff auf die Konsole sind orhanden. Vorgehensweise 1. Verbinden Sie die Managementnetzschnittstelle mit dem Port "Ethernet 1". 2. Stecken Sie die dedizierten Netzstecker in die Appliance-Rückseite. 3. Wenn Sie auf die Konsole zugreifen müssen, schließen Sie die USB-Tastatur und den VGA-Standardmonitor an. 4. Wenn die Appliance über eine Fronterkleidung erfügt, entfernen Sie diese, indem Sie die Rasten an beiden Seiten nach innen drücken und die Verkleidung om Gerät ziehen. 5. Schalten Sie die Appliance ein. Die QRadar SIEM-Appliance zur Auswertung besteht aus einem Einschubserer mit zwei Einheiten. Rackschienen oder Regale sind in der Auswertungsausrüstung nicht enthalten. Die QRadar SIEM-Appliance enthält ier Netzschnittstellen. Verwenden Sie für diese Auswertung die mit Ethernet 1 gekennzeichnete Schnittstelle als Verwaltungsschnittstelle. Die drei restlichen Überwachungsschnittstellen können Sie zur Datenflusserfassung erwenden. Der QRadar QFlow Collector ermöglicht eine umfassende Netzanwendungsanalyse und kann zu Beginn jedes Datenaustauschs Pakete aufzeichnen. Je nach QRadar SIEM-Appliance beginnt die Datenflussanalyse automatisch, wenn Copyright IBM Corp. 2012,

14 QRadar SIEM konfigurieren ein Span-Port oder Span-Tap mit einer Schnittstelle erbunden wird, die nicht Ethernet 1 ist. Zur Aktiierung der QRadar QFlow Collector-Komponente in QRadar SIEM sind unter Umständen zusätzliche Schritte erforderlich. Weitere Informationen finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. Einschränkung: Der Grenzwert der QRadar SIEM-Appliance zur Auswertung für die Datenflussanalyse beträgt 50 Mb/s. Stellen Sie sicher, dass der aggregierte Datenerkehr auf den Überwachungsschnittstellen zur Datenflusserfassung 50 Mb/s nicht übersteigt. Durch die Konfiguration on QRadar SIEM können Sie die Netzhierarchie prüfen und automatische Updates anpassen. Vorgehensweise 1. Stellen Sie sicher, dass folgende Anwendungen auf allen Desktopsystemen installiert sind, mit denen Sie auf die Benutzerschnittstelle der QRadar-Produkte zugreifen: Jaa Runtime Enironment (JRE) Version 1.7 oder IBM 64-Bit Runtime Enironment for Jaa V7.0 Adobe Flash Version 10.x 2. Stellen Sie sicher, dass Sie einen unterstützten Web-Browser erwenden. Siehe Unterstützte Web-Browser auf Seite Falls Sie Internet Explorer erwenden, aktiieren Sie den Dokumentmodus und den Browsermodus. a. Wenn Sie Internet Explorer als Web-Browser erwenden, drücken Sie die Taste F12, um das Fenster Deeloper Tools (Entwicklertools) zu öffnen. b. Klicken Sie auf Browser Mode (Browsermodus) und wählen Sie die Version des erwendeten Web-Browsers aus. c. Klicken Sie auf Document Mode (Dokumentmodus) und wählen Sie Internet Explorer 7.0 Standards (Internet Explorer 7-Standards) aus. 4. Melden Sie sich mit folgender URL an der Benutzerschnittstelle on QRadar SIEM an: Dabei steht <IP-Adresse> für die IP-Adresse der QRadar SIEM-Konsole. Netzhierarchie Sie können erschiedene Bereiche Ihres Netzes anzeigen, das nach Geschäftsfunktionen aufgeteilt ist, und die Informationen zu Sicherheitsrisiken und Richtlinien entsprechend dem Risiko für den geschäftlichen Nutzen priorisieren. QRadar SIEM führt über die Netzhierarchie folgende Aufgaben durch: Netzdatenerkehr analysieren und Netzaktiität anzeigen Bestimmte logische Gruppen oder Serices im Netz überwachen, z. B. Marketing, DMZ oder VoIP Datenerkehr überwachen und ein Profil des Verhaltens der einzelnen Gruppen und Hosts innerhalb der Gruppe erstellen Lokale und ferne Hosts bestimmen und angeben 8 QRadar SIEM Einführungshandbuch

15 Zu Auswertungszwecken ist eine standardmäßige Netzhierarchie mit ordefinierten logischen Gruppen enthalten. Überprüfen Sie die Netzhierarchie auf ihre Richtigkeit und Vollständigkeit. Wenn Ihre Umgebung Netzbereiche einschließt, die nicht in der orkonfigurierten Netzhierarchie angezeigt werden, müssen Sie diese manuell hinzufügen. Die in Ihrer Netzhierarchie definierten Objekte müssen nicht physisch in der Umgebung orhanden sein. Alle logischen Netzbereiche Ihrer Infrastruktur müssen als ein Netzobjekt definiert sein. Anmerkung: Wenn Ihr System keine abgeschlossene Netzhierarchie beinhaltet, erstellen Sie über die Registerkarte Admin eine eigene Hierarchie für Ihre Umgebung. Weitere Informationen finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. Netzhierarchie prüfen Sie haben die Möglichkeit, die Hierarchie Ihres Netzes zu überprüfen. Vorgehensweise 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie im Naigationsbereich auf Systemkonfiguration. 3. Klicken Sie auf das Symbol Netzhierarchie. 4. Klicken Sie in der Liste Gruppe erwalten: Häufigste auf Regulatory_Compliance_Serers. Wenn Ihre Netzhierarchie keine Regulatory Compliance-Sererkomponente enthält, können Sie für die weitere Vorgehensweise Ihre -Komponente erwenden. 5. Klicken Sie auf das Symbol Edit this object (Dieses Objekt bearbeiten). 6. So fügen Sie Compliance- Serer hinzu: a. Geben Sie im Feld IP/CIDR(s) die IP-Adresse oder den CIDR-Bereich Ihrer Compliance-Serer ein. b. Klicken Sie auf Hinzufügen. c. Wiederholen Sie diesen Schritt für alle Compliance-Serer. d. Klicken Sie auf Speichern. e. Wiederholen Sie diese Schritte für alle weiteren Netze, die Sie bearbeiten möchten. 7. Klicken Sie im Menü der Registerkarte Admin auf Änderungen implementieren. Sie können Ihre Konfigurationsdateien entweder automatisch oder manuell mit den aktuellsten Netzsicherheitsinformationen aktualisieren. QRadar SIEM stellt über die Systemkonfigurationsdateien hilfreiche Beschreibungen der Netzdatenflüsse bereit. Automatische Updates Die QRadar SIEM-Konsole muss über eine Interneterbindung erfügen, um Updates empfangen zu können. Wenn die Konsole nicht an das Internet angeschlossen ist, müssen Sie einen internen Aktualisierungsserer konfigurieren. Kapitel 2. Einführung in die Bereitstellung on QRadar SIEM 9

16 Informationen zum Einrichten eines Serers für automatische Updates finden Sie im IBM Security QRadar SIEM Users Guide. Mit QRadar SIEM können Sie entweder Ihre orhandenen Konfigurationsdateien austauschen oder die aktualisierten Dateien in die orhandenen Dateien integrieren. Software-Updates können Sie on folgender Website herunterladen: Aktualisierungsdateien können folgende Updates enthalten: Konfigurationsaktualisierungen, darunter Konfigurationsdateiänderungen sowie Updates on Informationen zu Schwachstellen, QID-Zuordnungen und Sicherheitsbedrohungen DSM-Aktualisierungen, darunter Korrekturen an der Syntaxanalyse, Scanneränderungen sowie Protokollaktualisierungen Bedeutende Aktualisierungen, z. B. einschließlich aktualisierter JAR-Dateien Unbedeutende Aktualisierungen, z. B. einschließlich zusätzlichen Inhalts der Hilfe Einstellungen des automatischen Updates konfigurieren Sie haben die Möglichkeit, die Häufigkeit on QRadar SIEM-Updates, Updatetypen, die Sererkonfiguration sowie die Updateeinstellungen anzupassen. Vorgehensweise 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie im Naigationsbereich auf Systemkonfiguration. 3. Klicken Sie auf das Symbol Automatische Aktualisierung. 4. Klicken Sie im Naigationsbereich auf Einstellungen ändern. 5. Übernehmen Sie die Standardparameter im Bereich Zeitplan für die automatische Aktualisierung. 6. Konfigurieren Sie im Bereich Aktualisierungstypen folgende Parameter: a. Wählen Sie in der Liste Konfigurationsaktualisierungen den Eintrag Automatische Aktualisierung aus. b. Übernehmen Sie die Standardwerte für folgende Parameter: DSM, Scanner, Protokollaktualisierungen. Bedeutende Aktualisierungen. Unkritische Aktualisierungen. 7. Inaktiieren Sie das Kontrollkästchen Automatische Implementierung. Das Kontrollkästchen ist standardmäßig aktiiert. Ist es inaktiiert, wird eine Systembenachrichtigung in der Registerkarte Dashboard angezeigt Sie weist darauf hin, dass Sie die Änderungen nach Installation der Updates implementieren müssen. 8. Klicken Sie auf die Registerkarte Erweitert. 9. Übernehmen Sie die Standardparameter im Bereich Sererkonfiguration. 10. Übernehmen Sie die Standardparameter im Bereich Weitere Einstellungen. 11. Klicken Sie auf Speichern und schließen Sie das Fenster Aktualisierungen. 12. Klicken Sie in der Symbolleiste auf Änderungen implementieren. 10 QRadar SIEM Einführungshandbuch

17 Ereignisse aufzeichnen Durch das Aufzeichnen on Ereignissen können Sie die Protokolle untersuchen, die in Echtzeit an QRadar SIEM gesendet werden. Vorgehensweise 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie im Naigationsbereich auf Datenquellen. 3. Klicken Sie auf das Symbol Protokollquellen. 4. Prüfen Sie die Liste mit den Protokollquellen und ändern Sie die Protokollquellen, falls erforderlich. Weitere Informationen zur Konfiguration on Protokollquellen finden Sie im Log Sources User Guide. 5. Schließen Sie das Fenster Protokollquellen. 6. Klicken Sie im Menü der Registerkarte Admin auf Änderungen implementieren. Datenflüsse erfassen Durch das Erfassen on Datenflüssen können Sie die Netzkommunikationssitzungen zwischen Hosts untersuchen. Weitere Informationen zur Aktiierung on Datenflüssen auf Netzgeräten anderer Anbieter, beispielsweise Switches und Router, finden Sie in der entsprechenden Dokumentation des Herstellers. Vorgehensweise 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie im Naigationsmenü auf Data Sources > Flows (Datenquellen > Datenflüsse). 3. Klicken Sie auf das Symbol Einstellungen (Datenflussquellen). 4. Prüfen Sie die Liste mit den Datenflussquellen und ändern Sie die Datenflussquellen, falls erforderlich. Weitere Informationen zur Konfiguration on Datenflussquellen finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. 5. Schließen Sie das Fenster Flussquellen. 6. Klicken Sie im Menü der Registerkarte Admin auf Änderungen implementieren. Informationen zur Schwachstellenanalyse importieren Durch Importieren on Informationen zur Schwachstellenanalyse können Sie aktie Hosts, offene Ports und potenzielle Schwachstellen identifizieren. Vorgehensweise 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie im Naigationsmenü auf Datenquellen > Schwachstelle. 3. Klicken Sie auf das Symbol VA-Scanner. 4. Klicken Sie in der Symbolleiste auf Hinzufügen. 5. Geben Sie die Werte für die Parameter ein. Kapitel 2. Einführung in die Bereitstellung on QRadar SIEM 11

18 QRadar SIEM optimieren Die Parameter richten sich nach dem Scannertyp, den Sie hinzufügen möchten. Weitere Informationen finden Sie im Handbuch zur Schwachstellenanalysekonfiguration Vulnerability Assessment Configuration Guide. Wichtig: Der CIDR-Bereich gibt an, welche Netze QRadar SIEM in die Scanergebnisse integriert. Beispiel: Wenn Sie einen Scan im Netz /16 durchführen möchten und als CIDR-Bereich /24 angeben, werden nur Ergebnisse aus dem Bereich /24 integriert. 6. Klicken Sie auf Speichern. 7. Klicken Sie im Menü der Registerkarte Admin auf Änderungen implementieren. 8. Klicken Sie auf das Symbol VA-Scanner planen. 9. Klicken Sie auf Hinzufügen. 10. Geben Sie an, wie oft der Scan durchgeführt werden soll. Je nach Art des Scans schließt dies mit ein, wie oft QRadar SIEM Scanergebnisse importiert oder einen neuen Scan startet. Des Weiteren müssen Sie auch die Ports angeben, die in den Scanergebnissen berücksichtigt werden sollen. 11. Klicken Sie auf Speichern. Sie können QRadar SIEM entsprechend den Anforderungen Ihrer Umgebung optimieren. Warten Sie or der Optimierung on QRadar SIEM einen Tag, damit QRadar SIEM Serer in Ihrem Netz erkennen, Ereignisse und Datenflüsse speichern sowie Angriffe erstellen kann, die auf orhandenen Regeln basieren. Administratoren können folgende Optimierungsaufgaben durchführen: Durchsuchungen on Ereignis- und Ablaufnutzdaten optimieren, indem ein Nutzdatenindex in der Eigenschaft Schnellfilter on Protokollaktiität und Netzaktiität aktiiert wird Schnellere erste Bereitstellung und einfachere Optimierung ermöglichen, indem Serer automatisch oder manuell zu Bausteinen hinzugefügt werden Antworten auf Bedingungen on Ereignissen, Datenflüssen und Angriffen konfigurieren, indem benutzerdefinierte Regeln sowie Regeln zur Unregelmäßigkeitenerkennung erstellt oder geändert werden Sicherstellen, dass jeder Host im Netz Angriffe erstellt, die auf den aktuellsten Regeln, auf erkannten Serern und auf der Netzhierarchie basieren Nutzdaten indexieren Die Nutzdaten on Ereignissen und Datenflüssen können Sie mit der Funktion Schnellfilter auf den Registerkarten Protokollierungsaktiität und Netzaktiität durchsuchen. Zur Optimierung der Funktion Schnellfilter können Sie die Eigenschaft Schnellfilter eines Nutzdatenindex aktiieren. Durch die Aktiierung der Nutzdatenindexierung könnte die Systemleistung beeinträchtigt werden. Überwachen Sie die Indexstatistik, nachdem Sie die Nutzdatenindexierung für die Eigenschaft Schnellfilter aktiiert haben. 12 QRadar SIEM Einführungshandbuch

19 Weitere Informationen zu Indexerwaltung und Statistiken finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. Nutzdatenindexierung aktiieren Sie können die Suche nach Ereignis- und Datenflussnutzdaten optimieren, indem Sie einen Nutzdatenindex in der Eigenschaft Schnellfilter der Protokollaktiität und der Netzaktiität aktiieren. Vorgehensweise 1. Klicken Sie auf die Registerkarte Admin. 2. Klicken Sie im Naigationsbereich auf Systemkonfiguration. 3. Klicken Sie auf das Symbol Indexerwaltung. 4. Geben Sie im Feld Schnellsuche den Eintrag Schnellfilter ein. 5. Klicken Sie auf die Eigenschaft Schnellfilter, die Sie indexieren möchten. 6. Klicken Sie auf Index aktiieren. 7. Klicken Sie auf Speichern. 8. Klicken Sie auf OK. 9. Optional: Wählen Sie zur Inaktiierung eines Nutzlastenindex eine der folgenden Optionen aus: Klicken Sie auf Index inaktiieren. Klicken Sie mit der rechten Maustaste auf eine Eigenschaft und wählen Sie im Kontextmenü die Option Index inaktiieren aus. Nächste Schritte Ausführliche Informationen zu den im Fenster Indexerwaltung angezeigten Parametern finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. Serer und Bausteine QRadar SIEM erkennt und klassifiziert Serer automatisch in Ihrem Netz. Auf diese Weise sind eine schnellere erste Bereitstellung und eine einfachere Optimierung bei Netzänderungen möglich. Um sicherzustellen, dass die richtigen Regeln auf den Serertyp angewendet werden, können Sie einzelne Geräte oder ganze Adressbereiche on Geräten hinzufügen. Sie können die Serertypen, die nicht eindeutigen Protokollen entsprechen, manuell in ihrem entsprechenden Hostdefinitionsbaustein eingeben. Beispiel: Wenn Sie folgende Serertypen in Bausteine eingeben, ist keine weitere Fehlalarmoptimierung erforderlich: Fügen Sie dem Baustein BB:HostDefinition: Netzmanagement-Serer Netzmanagement-Serer hinzu. Fügen Sie dem Baustein BB:HostDefinition: Proxy-Serer Proxy-Serer hinzu. Fügen Sie dem Baustein BB:HostDefinition: Virusdefinition und andere Aktualisierungsserer Virus- und Windows-Aktualisierungsserer hinzu. Fügen Sie dem Baustein BB-HostDefinition: VA-Scanner Quell-IP VA-Scanner hinzu. Die Funktion zur Serererkennung ermittelt die unterschiedlichen Serertypen in Ihrem Netz mithilfe der Asset-Profildatenbank. Die Funktion zur Serererkennung führt automatisch erkannte Serer auf. Sie können dann auswählen, welche Serer Sie in die Bausteine einschließen möchten. Kapitel 2. Einführung in die Bereitstellung on QRadar SIEM 13

20 Weitere Informationen zur Serererkennung finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. Mithilfe on Bausteinen können Sie bestimmte Regelprüfungen in anderen Regeln erwenden. Sie haben die Möglichkeit, die Anzahl der Fehlalarme zu erringern, indem Sie QRadar SIEM mithilfe on Bausteinen optimieren und zusätzliche Korrelationsregeln aktiieren. Serer automatisch zu Bausteinen hinzufügen Sie können Serer automatisch zu Bausteinen hinzufügen. Vorgehensweise 1. Klicken Sie auf die Registerkarte Assets. 2. Klicken Sie im Naigationsbereich auf Serererkennung. 3. Wählen Sie in der Liste Serertyp den Serertyp aus, der erkannt werden soll. Lassen Sie die Standardeinstellungen der übrigen Parameter unerändert. 4. Klicken Sie auf Serer erkennen. 5. Aktiieren Sie im Bereich Übereinstimmende Serer das entsprechende Kontrollkästchen jedes Serers, der der Sererrolle zugewiesen werden soll. 6. Klicken Sie auf Ausgewählte Serer prüfen. Hinweis: Wenn Sie mit der rechten Maustaste auf die IP-Adresse bzw. den Hostnamen klicken, werden Informationen zur DNS-Auflösung angezeigt. Serer manuell zu Bausteinen hinzufügen Wenn ein Serer nicht automatisch erkannt wird, können Sie ihn manuell seinem entsprechenden Hostdefinitionsbaustein hinzufügen. Vorgehensweise 1. Klicken Sie auf die Registerkarte Angriffe. 2. Klicken Sie im Naigationsbereich auf Regeln. 3. Wählen Sie in der Liste Anzeige den Eintrag Bausteine aus. 4. Wählen Sie in der Liste Gruppe den Eintrag Hostdefinitionen aus. Der Name des Bausteins entspricht dem Serertyp. So gilt beispielsweise der Name BB:HostDefinition: Proxy-Serer für alle Proxy-Serer in Ihrer Umgebung. 5. Um einen Host oder ein Netz manuell hinzuzufügen, doppelklicken Sie auf den entsprechenden Hostdefinitionsbaustein für Ihre Umgebung. 6. Klicken Sie im Feld Baustein auf den unterstrichenen Wert nach dem Ausdruck, wenn die Quellen-IP oder die Ziel-IP wahlweise wie folgt lauten: 7. Geben Sie im Feld Enter an IP address or CIDR (IP-Adresse oder CIDR eingeben) die Hostnamen oder IP-Adressbereiche ein, die Sie dem Baustein zuweisen möchten. 8. Klicken Sie auf Hinzufügen. 9. Klicken Sie auf Übergeben. 10. Klicken Sie auf Beenden. 11. Wiederholen Sie diese Schritte für jeden Serertyp, den Sie hinzufügen möchten. 14 QRadar SIEM Einführungshandbuch

21 Regeln konfigurieren Auf den Registerkarten Protokollaktiität, Netzaktiität und Angriffe können Sie Regeln oder Bausteine konfigurieren. Vorgehensweise 1. Klicken Sie auf die Registerkarte Angriffe. 2. Doppelklicken Sie auf den Angriff, den Sie untersuchen möchten. 3. Klicken Sie auf Anzeige > Regeln. 4. Doppelklicken Sie auf eine Regel. Sie können die Regeln weiter optimieren. Weitere Informationen zum Optimieren on Regeln finden Sie im IBM Security QRadar SIEM - Verwaltungshandbuch. 5. Schließen Sie den Regelassistenten. 6. Klicken Sie auf der Seite Regeln auf Aktionen. 7. Optional: Wenn der Angriff nach Ablauf der Aufbewahrungsdauer für Angriffe nicht aus der Datenbank entfernt werden soll, wählen Sie Angriffe schützen aus. 8. Optional: Wenn Sie den Angriff einem QRadar SIEM-Benutzer zuweisen möchten, wählen Sie Zuweisen aus. Zugehörige Konzepte: Regeln in QRadar SIEM auf Seite 4 Mit Regeln prüfen Sie Ereignisse, Datenflüsse oder Angriffe. Wenn alle Bedingungen einer Prüfung erfüllt werden, dann generieren Regeln eine Antwort. SIM-Model bereinigen Bereinigen Sie das SIM-Modell, um sicherzustellen, dass jeder Host Angriffe erstellt, die auf den aktuellsten Regeln, auf erkannten Serern und auf der Netzhierarchie basieren. Vorgehensweise 1. Klicken Sie auf die Registerkarte Admin. 2. Wählen Sie in der Symbolleiste Erweitert > SIM-Modell bereinigen aus. 3. Klicken Sie auf die erforderlichen Optionen: Schwache Bereinigung, um die Angriffe auf inakti zu setzen. Schwache Bereinigung, dazu optional Alle Angriffe inaktiieren, um alle Angriffe zu schließen. Starke Bereinigung, um alle Einträge zu löschen. 4. Klicken Sie auf Soll das Datenmodell wirklich zurückgesetzt werden?. 5. Klicken Sie auf Fortfahren. 6. Nachdem das SIM-Modell zurückgesetzt wurde, muss der Browser aktualisiert werden. Ergebnisse Wenn Sie das SIM-Modell bereinigen, werden alle orhandenen Angriffe geschlossen. Die Bereinigung des SIM-Modells hat keine Auswirkung auf orhandene Ereignisse und Datenflüsse. Kapitel 2. Einführung in die Bereitstellung on QRadar SIEM 15

22 16 QRadar SIEM Einführungshandbuch

23 Kapitel 3. QRadar SIEM-Einführung Ereignisse suchen Zur Einführung in IBM Security QRadar SIEM lernen Sie die Vorgehensweise beim Durchsuchen on Ereignissen, Datenflüssen und Assets kennen. Zudem erfahren Sie, wie Sie Angriffe untersuchen und Berichte erstellen. Sie können beispielsweise nach Informationen suchen, indem Sie gespeicherte Standardsuchen in den Registerkarten Protokollaktiität und Netzaktiität erwenden. Des Weiteren haben Sie die Möglichkeit, eigene benutzerdefinierte Suchen zu erstellen und zu speichern. Administratoren können folgende Aufgaben durchführen: Ereignisdaten mittels bestimmter Kriterien durchsuchen und Ereignisse, die den Suchkriterien entsprechen, in einer Ergebnisliste anzeigen sowie die Spalten mit den Ereignisdaten auswählen, zusammenfassen und gruppieren. Datenflussdaten in Echtzeit isuell überwachen und untersuchen oder erweiterte Suchen durchführen, um die angezeigten Datenflüsse zu filtern. Datenflussdaten anzeigen, um zu ermitteln, welcher Netzdatenerkehr wie übertragen wird. Alle bekannten Assets anzeigen oder die Umgebung auf bestimmte Assets durchsuchen. Angriffe, IP-Quelladressen, IP-Zieladressen, Netzerhalten sowie Unregelmäßigkeiten in Ihrem Netz untersuchen. Benutzerdefinierte oder Standardberichte bearbeiten, planen und erteilen. Sie haben die Möglichkeit, nach allen Authentifizierungsereignissen zu suchen, die QRadar SIEM in den ergangenen 6 Stunden empfangen hat. Vorgehensweise 1. Klicken Sie auf die Registerkarte Protokollaktiität. 2. Klicken Sie in der Symbolleiste auf Suchen > Neue Suche. 3. Definieren Sie im Bereich Zeitraum den Zeitraum für die Ereignissuche: a. Klicken Sie auf Aktuelle. b. Wählen Sie in der Liste Aktuelle den Eintrag Letzte 6 Stunden aus. 4. Definieren Sie im Bereich Suchparameter die Suchparameter: a. Wählen Sie in der ersten Liste Kategorie aus. b. Wählen Sie in der zweiten Liste Gleich aus. c. Wählen Sie in der Liste Übergeordnete Kategorie den Eintrag Authentifizierung aus. d. Übernehmen Sie in der Liste Untergeordnete Kategorie den Standardwert Beliebige. e. Klicken Sie auf Filter hinzufügen. 5. Wählen Sie im Bereich Spaltendefinition in der Liste Anzeige den Eintrag Ereignisname aus. 6. Klicken Sie auf Suchen. Copyright IBM Corp. 2012,

24 Kriterien zur Ereignissuche speichern Sie haben die Möglichkeit, bestimmte Kriterien zur Ereignissuche zur späteren Verwendung zu speichern. Vorgehensweise 1. Klicken Sie auf die Registerkarte Protokollaktiität. 2. Klicken Sie in der Symbolleiste auf Kriterien speichern. 3. Geben Sie im Feld Suchname den Eintrag Beispiel Suche 1 ein. 4. Klicken Sie im Bereich Zeitdaueroptionen auf Aktuelle. 5. Wählen Sie in der Liste Aktuelle den Eintrag Letzte 6 Stunden aus. 6. Klicken Sie auf In meine Schnellsuche aufnehmen. 7. Klicken Sie auf In mein Dashboard aufnehmen. Wenn In mein Dashboard aufnehmen nicht angezeigt wird, klicken Sie auf Suche > Suche bearbeiten, um zu prüfen, ob im Bereich Spaltendefinition die Option Ereignisname ausgewählt wurde. 8. Klicken Sie auf OK. Nächste Schritte Konfigurieren Sie ein Zeitreihendiagramm. Weitere Informationen finden Sie im Abschnitt Zeitreihendiagramme konfigurieren. Zeitreihendiagramme konfigurieren Sie haben die Möglichkeit, interaktie Zeitreihendiagramme anzuzeigen, die jeweils die Datensätze darstellen, die einer bestimmten Zeitinterallsuche entsprechen. Vorgehensweise 1. Klicken Sie in der Titelleiste des Diagramms auf das Symbol Konfigurieren. 2. Wählen Sie in der Liste Wert zu Diagramm den Eintrag Ziel-IP (Eindeutiger Zähler) aus. 3. Wählen Sie in der Liste Diagrammtyp den Eintrag Zeitreihe aus. 4. Klicken Sie auf Zeitreihendaten erfassen. 5. Klicken Sie auf Speichern. 6. Klicken Sie auf Details aktualisieren. 7. Filtern Sie die Suchergebnisse: a. Klicken Sie mit der rechten Maustaste auf das Ereignis, das Sie filtern möchten. b. Klicken Sie auf Filter on Eent Name is <Eent Name> (Filter für Ereignisname ist "Ereignisname"). 8. Um die Ereignisliste nach Benutzernamen gruppiert anzuzeigen, wählen Sie Benutzername aus der Liste Anzeigen aus. 9. Stellen Sie sicher, dass Ihre Suche auf der Registerkarte Dashboard angezeigt wird: a. Klicken Sie auf die Registerkarte Dashboard. b. Klicken Sie auf das Symbol Dashboard. c. Geben Sie im Feld Name den Eintrag Beispiel benutzerdefiniertes Dashboard ein. d. Klicken Sie auf OK. 18 QRadar SIEM Einführungshandbuch

25 Datenflüsse suchen e. Wählen Sie in der Liste Element hinzufügen, die Einträge Protokollaktiität > Ereignissuchen > Beispiel Suche 1 aus. Ergebnisse Die Ergebnisse Ihres gespeicherten Suchereignisses werden im Dashboard angezeigt. Datenflussdaten können Sie in Echtzeit suchen, überwachen und untersuchen. Des Weiteren haben Sie die Möglichkeit, erweiterte Suchen auszuführen, um die angezeigten Datenflüsse zu filtern. Sie können Datenflussdaten anzeigen, um zu ermitteln, welcher Netzdatenerkehr wie übertragen wird. Vorgehensweise 1. Klicken Sie auf die Registerkarte Netzaktiität. 2. Klicken Sie in der Symbolleiste auf Suchen > Neue Suche. 3. Definieren Sie im Bereich Zeitraum den Zeitraum für die Datenflusssuche: a. Klicken Sie auf Aktuelle. b. Wählen Sie in der Liste Aktuelle den Eintrag Letzte 6 Stunden aus. 4. Definieren Sie Ihre Suchkriterien im Bereich Suchparameter: a. Wählen Sie in der ersten Liste Flussrichtung aus. b. Wählen Sie in der zweiten Liste Gleich aus. c. Wählen Sie in der dritten Liste R2L aus. d. Klicken Sie auf Filter hinzufügen. 5. Wählen Sie im Bereich Spaltendefinition in der Liste Anzeige den Eintrag Anwendung aus. 6. Klicken Sie auf Suchen. Ergebnisse Alle Datenflüsse mit der Ablaufrichtung R2L (Remote to Local) aus den ergangenen 6 Stunden werden im Feld Anwendungsname angezeigt und sortiert. Kriterien zur Datenflusssuche speichern Sie haben die Möglichkeit, bestimmte Kriterien zur Datenflusssuche zur späteren Verwendung zu speichern. Vorgehensweise 1. Klicken Sie in der Symbolleiste der Registerkarte Netzaktiität auf Kriterien speichern. 2. Geben Sie im Feld Suchname den Eintrag Beispiel Suche 2 ein. 3. Wählen Sie in der Liste Aktuelle den Eintrag Letzte 6 Stunden aus. 4. Klicken Sie auf In mein Dashboard aufnehmen und auf In meine Schnellsuche aufnehmen. 5. Klicken Sie auf OK. Kapitel 3. QRadar SIEM-Einführung 19

26 Nächste Schritte Dashboardelemente erstellen Erstellen Sie ein Dashboardelement. Weitere Informationen finden Sie im Abschnitt Dashboardelemente erstellen. Mithilfe gespeicherter Suchkriterien für Datenflüsse können Sie ein Dashboardelement erstellen. Vorgehensweise 1. Wählen Sie in der Symbolleiste Netzaktiität die Einträge Schnellsuchorgänge > Beispiel Suche 2 aus. 2. Stellen Sie sicher, dass Ihre Suche im Dashboard enthalten ist: a. Klicken Sie auf die Registerkarte Dashboard. b. Wählen Sie in der Liste Dashboard anzeigen den Eintrag Beispiel benutzerdefiniertes Dashboard aus. c. Wählen Sie in der Liste Element hinzufügen die Einträge Suchorgänge im Datenfluss > Beispiel Suche 2 aus. 3. Konfigurieren Sie das Dashboarddiagramm: a. Klicken Sie auf das Symbol Einstellungen. b. Ändern Sie mithilfe der Konfigurationsoptionen den im Diagramm dargestellten Wert, die Menge der angezeigten Objekte, den Diagrammtyp oder den Zeitbereich, der im Diagramm angezeigt wird. 4. Wenn Sie Datenflüsse untersuchen möchten, die aktuell im Diagramm angezeigt werden, klicken Sie auf View in Network Actiity (In Netzaktiität anzeigen). Ergebnisse Assets durchsuchen Auf der Seite Netzaktiität werden Ergebnisse angezeigt, die den Parametern Ihres Zeitreihendiagramms entsprechen. Weitere Informationen zu Zeitreihendiagrammen finden Sie im IBM Security QRadar SIEM Users Guide. Wenn Sie die Registerkarte Assets aufrufen, wird die Seite Asset mit allen Assets angezeigt, die in Ihrem Netz gefunden wurden. Sie optimieren diese Liste, indem Sie Suchparameter konfigurieren, um nur die Assetprofile anzuzeigen, die Sie untersuchen möchten. Informationen zu diesem Vorgang Mithilfe der Suchfunktion können Sie Hostprofile, Assets und Identitätsinformationen durchsuchen. Identitätsinformationen liefern mehr Details wie beispielsweise DNS-Informationen, Benutzer-Logins und MAC-Adressen in Ihrem Netz. Beispiel: Vorgehensweise 1. Klicken Sie auf die Registerkarte Assets. 2. Klicken Sie im Naigationsbereich auf Assetprofile. 3. Klicken Sie in der Symbolleiste auf Suchen > Neue Suche. 20 QRadar SIEM Einführungshandbuch

27 4. Wenn Sie eine gespeicherte Suche laden möchten, gehen Sie wie folgt or: a. Optional: Wählen Sie in der Liste Gruppe die Asset-Suchgruppe aus, die in der Liste Verfügbare gespeicherte Suchorgänge angezeigt werden soll. b. Wählen Sie eine der folgenden Optionen aus: Geben Sie im Feld Geben Sie den gespeicherten Suchorgang ein oder treffen Sie eine Auswahl in der Liste den Namen der Suche ein, die geladen werden soll. Wählen Sie in der Liste Verfügbare gespeicherte Suchorgänge die gespeicherte Suche aus, die geladen werden soll. c. Klicken Sie auf Laden. 5. Definieren Sie Ihre Suchkriterien im Bereich Suchparameter: a. Wählen Sie in der ersten Liste den Assetparameter aus, nach dem gesucht werden soll, beispielsweise Hostname, Schwachstellenrisikoklassifizierung oder Technischer Eigentümer. b. Wählen Sie in der zweiten Liste den Modifikator aus, der für die Suche erwendet werden soll. c. Geben Sie im Feld Eintrag konkrete für den Suchparameter spezifische Informationen ein. d. Klicken Sie auf Filter hinzufügen. e. Wiederholen Sie diese Schritte für jeden Filter, den Sie den Suchkriterien hinzufügen möchten. 6. Klicken Sie auf Suchen. Beispiel Angriffe untersuchen Sie erhalten eine Benachrichtigung, dass für CVE-ID CVE ein aktier Exploit orliegt. Um festzustellen, ob Hosts in Ihrer Implementierung on diesem Exploit betroffen sind, gehen Sie wie folgt or: 1. Wählen Sie in der Liste der Suchparameter die Option Schwachstelle externe Referenz aus. 2. Wählen Sie CVE aus. 3. Geben Sie " " ein, um eine Liste aller Hosts anzuzeigen, die für diese konkrete CVE-ID anfällig sind. Weitere Informationen hierzu finden Sie auf der Open Source Vulnerability Database-Website ( ) und in der National Vulnerability Database ( nd.nist.go/ ). Mithilfe der Registerkarte Angriffe können Sie Angriffe, IP-Quelladressen, IP-Zieladressen, Netzerhalten sowie Unregelmäßigkeiten in Ihrem Netz untersuchen. QRadar SIEM kann Ereignisse und Datenflüsse mit IP-Zieladressen, die sich in mehreren Netzen befinden, im selben Angriff und letztlich in derselben Netzstörung korrelieren. Auf diese Weise können Sie jeden Angriff in Ihrem Netz erfolgreich untersuchen. Angriffe anzeigen Sie haben die Möglichkeit, jeden Angriff in Ihrem Netz zu untersuchen, Kapitel 3. QRadar SIEM-Einführung 21