qradar 7.2 user guide

Download QRadar 7.2 User Guide

Post on 02-Jun-2018

217 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • 8/10/2019 QRadar 7.2 User Guide

    1/357

    IBM Security QRadar SIEMVersion 7.2.0

    Users Guide

    http://www.q1labs.com/
  • 8/10/2019 QRadar 7.2 User Guide

    2/357

    Note: Before using this information and the product that it supports, read the information in Notices andtrademarkson page 341.

    Copyright IBM Corp. 2013 All Rights Reserved US Government Restricted Rights - Use, duplication ordisclosure restricted by GSA ADP Schedule Contract with IBM Corp.

  • 8/10/2019 QRadar 7.2 User Guide

    3/357

    CONTENTS

    ABOUT THIS GUIDE

    Intended audience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

    Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

    Technical documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

    Contacting customer support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

    1 ABOUT QRADAR SIEMSupported web browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

    Logging in to QRadar SIEM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

    User interface tabs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Dashboard tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

    Offenses tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

    Log Activity tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

    Network Activity tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

    Assets tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

    Reports tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

    IBM Security QRadar Risk Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

    IBM Security QRadar Vulnerability Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

    Admin tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

    QRadar SIEM common procedures. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

    Viewing messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Sorting results. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

    Refreshing and pausing the user interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

    Investigating IP addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

    Investigating user names . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

    System time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

    Updating user details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

    Accessing Online Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

    Resizing columns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

    Configuring page size. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

    2 DASHBOARD MANAGEMENTDashboard overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

    Default dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

    Custom dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

    Available dashboard items. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

  • 8/10/2019 QRadar 7.2 User Guide

    4/357

    Flow search items . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

    Offense items . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

    Log Activity items. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

    Most Recent Reports items. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

    System Summary item . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

    Risk Manager items. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

    Vulnerability Management items . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

    System Notifications item . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

    Internet Threat Information Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

    Dashboard management tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

    Viewing a dashboard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

    Creating a custom dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

    Investigating log or network activity from a dashboard item . . . . . . . . . . . . . . . . 24

    Configuring charts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

    Removing items. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

    Detaching an item . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

    Renaming a dashboard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

    Deleting a dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

    Managing system notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

    Adding search-based dashboard items to the Add Items list . . . . . . . . . . . . . . . 27

    3 OFFENSEMANAGEMENTOffense overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

    Offense permission considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

    Key terms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

    Offense retention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

    Offense monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Monitoring the All Offenses or My Offenses pages . . . . . . . . . . . . . . . . . . . . . . . 31

    Monitoring offenses grouped by category . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

    Monitoring offenses grouped by source IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

    Monitoring offenses grouped by destination IP . . . . . . . . . . . . . . . . . . . . . . . . . . 32

    Monitoring offenses grouped by network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

    Offense management tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

    Adding notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

    Hiding offenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

    Showing hidden offenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

    Closing offenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

    Protecting offenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Unprotecting offenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

    Exporting offenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

    Assigning offenses to users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

    Sending email notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

    Marking an item for follow-Up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

    Offense tab toolbar functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

    Offense parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

  • 8/10/2019 QRadar 7.2 User Guide

    5/357

    4 LOG ACTIVITY INVESTIGATIONLog Activity tab overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

    Log Activity tab toolbar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

    Quick Filter syntax . . . . . . . . . . . . . . . . . . . .