Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
guía de laboratorio
AVISOS
Esta información fue desarrollada para productos y servicios ofrecidos en los EE.UU.
Es posible que IBM no ofrezca los productos, servicios o características que se tratan en este documento en otros países. Consulte a su representante local de IBM para
obtener información sobre los productos y servicios actualmente disponibles en su área. Cualquier referencia a un producto, programa o servicio de IBM no pretende
afirmar ni implicar que solo se puede utilizar ese producto, programa o servicio de IBM. En su lugar, se puede utilizar cualquier producto, programa o servicio
funcionalmente equivalente que no infrinja ningún derecho de propiedad intelectual de IBM. Sin embargo, es responsabilidad del usuario evaluar y verificar el
funcionamiento de cualquier producto, programa o servicio que no sea de IBM.
IBM puede tener patentes o solicitudes de patentes pendientes que cubran el tema descrito en este documento. La entrega de este documento no le
otorga ninguna licencia sobre estas patentes. Puede enviar consultas sobre licencias, por escrito, a:
El siguiente párrafo no se aplica al Reino Unido ni a ningún otro país donde dichas disposiciones sean incompatibles con la legislación local:
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍA DE NINGÚN TIPO, YA SEA
EXPLÍCITA O IMPLÍCITA, INCLUYENDO, ENTRE OTRAS A LAS GARANTÍAS IMPLÍCITAS DE NO VIOLACIÓN, COMERCIABILIDAD O IDONEIDAD PARA
UN FIN DETERMINADO. Algunos estados no permiten la renuncia de garantías expresas o implícitas en ciertas transacciones, por lo tanto, es
posible que esta declaración no se aplique a usted.
Esta información puede incluir imprecisiones técnicas o errores tipográficos. Periódicamente se realizan cambios en la información aquí; estos
cambios se incorporarán en las nuevas ediciones de la publicación. IBM puede realizar mejoras y/o cambios en los productos y/o programas
descritos en esta publicación en cualquier momento y sin previo aviso.
Todas las referencias en esta información a sitios web que no son de IBM se proporcionan únicamente por conveniencia y de ninguna manera sirven
como respaldo de dichos sitios web. Los materiales de esos sitios web no son parte de los materiales de este producto de IBM y el uso de esos sitios web
es bajo su propio riesgo.
IBM puede utilizar o distribuir cualquier parte de la información que usted suministre de cualquier forma que considere adecuada sin incurrir en ninguna obligación para con usted.
La información sobre productos que no son de IBM se obtuvo de los proveedores de dichos productos, sus anuncios publicados u otras fuentes disponibles públicamente.
IBM no ha probado esos productos y no puede confirmar la precisión del rendimiento, la compatibilidad o cualquier otra afirmación relacionada con productos que no
sean de IBM. Las preguntas sobre las capacidades de los productos que no son de IBM deben dirigirse a los proveedores de dichos productos.
Esta información contiene ejemplos de datos e informes utilizados en las operaciones comerciales diarias. Para ilustrarlos de la forma más completa posible, los ejemplos
incluyen los nombres de personas, empresas, marcas y productos. Todos los nombres y referencias de organizaciones y otras instituciones comerciales utilizadas en los
escenarios de este entregable son ficticios. Cualquier coincidencia con organizaciones o instituciones reales es casual. Todos los nombres y la información asociada de las
personas en los escenarios de este entregable son ficticios. Cualquier coincidencia con una persona real es una coincidencia.
MARCAS
IBM, el logotipo de IBM e ibm.com son marcas comerciales o marcas comerciales registradas de International Business Machines Corp., registradas en muchas jurisdicciones de todo el
mundo. Otros nombres de productos y servicios pueden ser marcas comerciales de IBM o de otras empresas. Una lista actualizada de las marcas registradas de IBM está disponible en la
web en “Información sobre derechos de autor y marcas registradas” en www.ibm.com/legal/copytrade.shtml.
Adobe, el logotipo de Adobe, PostScript y el logotipo de PostScript son marcas comerciales registradas o marcas comerciales de Adobe Systems
Incorporated en los Estados Unidos y/o en otros países.
Java y todas las marcas comerciales y logotipos basados en Java son marcas comerciales o marcas comerciales registradas de Oracle y/o sus filiales.
La marca registrada Linux® se utiliza conforme a una sublicencia de Linux Foundation, el licenciatario exclusivo de Linus Torvalds,
propietario de la marca a nivel mundial.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas comerciales de Microsoft Corporation en los Estados Unidos, en otros países o en
ambos.
UNIX es una marca registrada de The Open Group en los Estados Unidos y otros países.
VMware, el logotipo de VMware, VMware Cloud Foundation, VMware Cloud Foundation Service, VMware vCenter Server y VMware vSphere son
marcas registradas o marcas comerciales de VMware, Inc. o sus subsidiarias en los Estados Unidos y/u otras jurisdicciones.
Red Hat®, JBoss®, OpenShift®, Fedora®, Hibernate®, Ansible®, CloudForms®, RHCA®, RHCE®, RHCSA®, Ceph® y Gluster® son marcas
comerciales o marcas registradas de Red Hat, Inc. o sus subsidiarias en los Estados Unidos y otros países.
Derechos restringidos de los usuarios del gobierno de EE. UU.: uso, duplicación o divulgación restringida por el contrato de programación de GSA ADP con IBM Corp.
Contenido
Ejercicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Maquinas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 Ejercicio 1
Inicio de sesión en QRadar SIEM Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejercicio 2 Uso de 2
tableros y elementos de tablero. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejercicio 3 Uso de un 3
6
elemento del tablero. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejercicio 4 Uso de Pulse
y widgets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejercicio 5 Uso de un widget 10
Pulse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Ejercicio 6 Investigación de un
delito de acceso remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Ejercicio 7 Creación de una
búsqueda de conexiones RDP a su servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Ejercicio 8 Investigación de
un delito de acceso remoto con la aplicación Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Ejercicio 9 Creación de
una búsqueda de conexiones RDP a su servidor en la aplicación Analyst . . . . . . . . . . . . . . . . . 30 Ejercicio 10
Creación de una plantilla de informe de acceso remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Ejercicio 11 Configuración de la jerarquía de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Ejercicio 12 Cierre de la ofensa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Ejercicio
13 Navegación por otras pestañas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Apéndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
• Pone los datos relevantes para la seguridad de varias fuentes en contexto entre sí
• Proporciona plantillas de informes para cumplir con los requisitos operativos y de cumplimiento
• Proporciona almacenamiento de registros confiable y a prueba de manipulaciones para investigaciones forenses y uso probatorio
Los ejercicios de este laboratorio proporcionan una amplia introducción a las funciones de QRadar SIEM. Los
ejercicios cubren los siguientes temas:
Maquinas virtuales
• Cliente CentOS: una máquina virtual que proporciona una interfaz gráfica de usuario. Su interacción con QRadar
se realiza mediante el uso de esta máquina virtual.
2. En la página de inicio de sesión de QRadar, elNombre de usuarioyContraseñalos campos ya están llenos. Para
acceder a QRadar Console en el navegador Firefox, haga clic enAcceso.
2
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 2 Uso de paneles y elementos de panel
vacío
Después de iniciar sesión, verá una interfaz web similar a la de la siguiente imagen.
3
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 2 Uso de paneles y elementos de panel
vacío
2. QRadar SIEM proporciona siete paneles preconfigurados. Abre elMostrar panelmenú y
seleccione cada tablero, uno a la vez.
Los tableros aún no muestran mucha información porque el sistema acaba de iniciarse y comenzó a
recibir datos. Cuanto más tiempo se alimentan los datos de muestra a QRadar SIEM, más información
se muestra en el tablero.
3. Después de revisar los diferentes tableros, para pasar al siguiente paso, seleccione elGestión de vulnerabilidades
tablero y revise los botones de la barra de herramientas, que realizan las siguientes tareas:
– Eliminar un tablero
– Agregar un elemento a un tablero existente
5. ParaNombre, ingresarMirar.
7. ElPanelLa pestaña muestra el nuevo panel Watch pero aún no muestra ningún elemento del panel. Para agregar un
elemento preconfigurado Sesgo de flujo, en la barra de herramientas, haga clic enAñadir artículo.
4
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 2 Uso de paneles y elementos de panel
vacío
Nota:Cuando usa el producto real, puede mover los elementos del tablero y reorganizar su
orden. En este entorno virtual, los artículos ya están posicionados en el centro del tablero.
Pista:Si elSesgo de flujoelemento del tablero no muestra datos, haga clic en Actualizar en la parte superior derecha de la barra de
herramientas.
5
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 3 Uso de un elemento del tablero
La instalación de QRadar SIEM en el entorno de laboratorio tiene habilitado QFlow. QFlow aprovecha el
tráfico de la red, incluido el tráfico entre las máquinas virtuales en su entorno de laboratorio. Además, al
comienzo de esta práctica de laboratorio, cuando se generan los datos, se envían automáticamente muchas
conexiones de red de muestra a QFlow en QRadar SIEM.
En el entorno de laboratorio, QFlow supervisa la interfaz de red de las máquinas virtuales de QRadar. Para una
mayor capacidad, hay disponibles dispositivos de procesador y colector de flujo dedicados.
Además de QFlow, QRadar SIEM puede recibir información sobre conexiones IP de otros
dispositivos de red en tecnologías de contabilidad IPFIX/NetFlow, sFlow, J-Flow y Packeteer.
QRadar SIEM crea flujos a partir de la información de actividad de red que recibe. Afluires un registro de
actividad de red entre sockets de red. La dirección IP, el puerto y el protocolo de transporte identifican un
socket de red de manera única.
En este ejercicio, aprenderá a agregar un gráfico de sesgo de flujo a su tablero Watch recién creado. La razón principal
para agregar este gráfico es ayudarlo en posibles violaciones de seguridad recientes basadas en el comportamiento
del flujo de la red. Sin embargo, estos pasos se diseñaron para enseñarle cómo navegar por los gráficos en cualquier
tablero de QRadar.
Sesgo de flujo
Un flujo registra las características de la actividad de la red que representa, incluida susesgo de
flujo. El sesgo de un flujo marca la relación entre los bytes que salen y llegan al perímetro de su
organización. QRadar SIEM distingue entre los siguientes sesgos de flujo:
• Solo salida: salida unidireccional
Este sesgo indica intentos de conexión salientes que están bloqueados por un firewall, como los
intentos de señalización de un malware a sus servidores de comando y control (C&C).
Este sesgo indica datos que salen de su organización. Solo sus servidores accesibles públicamente
deberían tener muchos flujos con este sesgo.
• Otro
6
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 3 Uso de un elemento del tablero
vacío
Este sesgo generalmente indica tráfico entre computadoras locales. También puede indicar el tráfico
entre dos equipos remotos que apunta a una configuración incorrecta de la red de una organización o
le notifica que falta una red local en la jerarquía de red SIEM de QRadar.
QRadar SIEM considera cada red que se configura en sujerarquía de redcomo parte de la red local de
su organización. Por lo tanto, el administrador de QRadar SIEM debe agregar cualquier red que
pertenezca a su organización a la jerarquía de red. Esta tarea se realiza en el Ejercicio 7, Configuración
de la jerarquía de red.
Los sesgos de flujo inusuales sugieren una mala configuración o una violación de la seguridad.
1. Para configurar lo que se muestra en el gráfico, en el encabezado del elemento Sesgo de flujo, haga clic en el
Ajustesicono.
2. Centrarse en los sesgos de flujo más recientes, porIntervalo de tiempo, seleccionarÚltimos 15 minutos.
3. Para separar el elemento Sesgo de flujo, haga clic en elSeparar este elemento(junto al ícono de Configuración) en el
encabezado del elemento Sesgo de flujo.
El elemento se abre en una ventana del navegador independiente. QRadar SIEM continúa actualizando el elemento en la
ventana, incluso si cierra la ventana principal sin cerrar sesión en QRadar SIEM. Sin embargo, no cierre la ventana principal
del navegador durante esta práctica de laboratorio. Continúe trabajando dentro de la ventana emergente hasta que se le
indique que cierre la ventana.
7
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 3 Uso de un elemento del tablero
vacío
4. Para obtener información sobre los sesgos de flujo durante un intervalo de tiempo particular de 1 minuto, pase el puntero del
Importante:En este entorno virtual, este paso se simplifica. Para acercar la interfaz real de la consola,
mantenga presionado el botón izquierdo del mouse mientras mueve el puntero del mouse hacia la izquierda o
hacia la derecha. Suelte el botón del mouse cuando haya resaltado el intervalo que desea ampliar.
8
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 3 Uso de un elemento del tablero
vacío
6. Para centrarse en los sesgos de flujo menos frecuentes, oculte los sesgos de flujo dominantes del gráfico. Para ocultarlos,
haga clic en la leyenda que se nombramayormente en.
Observe cómo cambia el gráfico a medida que se ocultan sesgos de flujo específicos. Haga clic en la etiqueta en la leyenda
7. Para volver al intervalo de tiempo original, haga clic enRestablecer zoomen la parte superior izquierda.
8. Para investigar este sesgo de flujo dentro de Actividad de red, haga clic en elVer en Actividad de redenlace.
9. ElActividad de redSe abre una pestaña en la ventana principal con el resultado de la consulta de búsqueda que produce el
elemento del panel de control Sesgo de flujo.
9
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 4 Uso de Pulse y widgets
vacío
11. Desplácese hacia abajo y revise los gráficos en la ventana principal de QRadar Console.
Pista:En un entorno real, si QRadar SIEM no muestra una tabla de sesgos de flujo o el gráfico correcto, haga
clic enActualizar detalles.
Pista:De la misma manera que con los gráficos en los elementos del tablero, puede acercar, ocultar gráficos y
pasar el puntero del mouse sobre el gráfico para ver los bytes registrados en intervalos de 1 minuto. Si desea
configurar lo que se muestra en el gráfico, haga clic en elAjustesicono en el encabezado. Esas opciones no
están disponibles en este entorno virtual.
QRadar SIEM 7.4 viene con esta aplicación. En este ejercicio, recorrerá la aplicación Pulse y sus
paneles predeterminados. A modo de comparación y para conocer las diferencias y ventajas entre
Pulse y la pestaña Tablero, cree un nuevo tablero y agregue un gráfico de Sesgo de flujo similar
10
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 4 Uso de Pulse y widgets
vacío
al ejercicio 2. El objetivo de este ejercicio es enseñarle los términos más utilizados en Pulse,
como artículos, widgets, consultas AQL y más; y cómo crear un widget gráfico.
1. Para ver la aplicación Pulse, haga clic en elLegumbrespestaña.
Al igual que la pestaña Tablero, cada tablero en Pulse muestra elementos que proporcionan información
que se deriva de los datos que se alimentan automáticamente a QRadar SIEM. QRadar SIEM actualiza la
información en los tableros de Pulse cada minuto. A diferencia de la pestaña Tablero, no puede pausar los
tableros en Pulse. Sin embargo, puede compartirlo con otros usuarios de Pulse, exportarlo en formato JSON
y abrirlo en una nueva ventana si lo necesita para sus actividades diarias.
2. QRadar SIEM proporciona cinco paneles preconfigurados para Pulse. Abre elPanelmenú y
seleccione cada tablero, uno a la vez. Revise cada tablero, desplácese hacia abajo y seleccione el
siguiente.
11
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 4 Uso de Pulse y widgets
vacío
Los tableros aún no muestran mucha información porque el sistema acaba de iniciarse y comenzó a recibir
datos. Cuanto más tiempo se alimentan los datos de muestra a QRadar SIEM, más información se muestra.
Los datos mostrados son suficientes para que conozcas el gran potencial que tiene cada tablero para
ayudarte a identificar amenazas.
3. Después de revisar los diferentes tableros, haga doble clic en elLegumbrespestaña para actualizar la vista del
tablero. Luego, revise las opciones adicionales del menú del tablero en la parte superior izquierda y los íconos en la
parte superior derecha de cada tablero.
4. Para crear un tablero adicional, desde el menú desplegable Tablero, haga clic enNuevo
tablero.
Nota:Además de un tablero en blanco, también puede importar tableros existentes en formato JSON y
agregar plantillas, que están disponibles en QRadar Console. Un administrador debe instalar y sincronizar
las extensiones de contenido que contienen las plantillas del tablero Pulse.
12
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 4 Uso de Pulse y widgets
vacío
6. ParaNombre del panel, ingresarMirar.
Pista:Escriba una descripción opcional y si desea configurar este panel como el panel
predeterminado cuando abra la pestaña Pulse, configurePanel predeterminadoa Sí.
7. Para ver los widgets disponibles de la biblioteca que puede agregar a su nuevo tablero, haga clic en Próximoy
desplácese para ver todos los widgets.
Nota:En la aplicación Pulse, los widgets son el equivalente a los elementos del tablero.
9. Para agregar un widget preconfigurado, haga clic en elHaz clic para comenzarenlace en el centro del
tablero.
13
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 4 Uso de Pulse y widgets
vacío
Importante:Después de agregar su primer widget, puede agregar más haciendo clic enConfigurar panel en la
parte superior derecha del tablero.
12. En elFuente de datosmenú, seleccione AQL. Deje el tiempo de actualización en su valor predeterminado de cada minuto.
Nota:También puede crear widgets desde una API de delito, lo que significa que puede seleccionar campos
específicos de un delito y aplicarles filtros, y también desde una API genérica, proporcionar el punto final de la
URL y la ruta JSON a los resultados.
14
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 4 Uso de Pulse y widgets
vacío
Pista:Para obtener más información sobre Ariel Query Language (AQL) que utiliza en QRadar Pulse para crear
elementos de tablero, lea elDescripción general del lenguaje de consulta de ArielyCampos de evento, flujo y
simarc para consultas AQLartículos en IBM Knowledge Center.
15. Deje el campo Límite de resultados en su valor predeterminado 1000, desplácese hacia abajo y haga clic enEjecutar consulta.
Asegúrese de que se muestre una muestra de los resultados junto a la declaración AQL.
Nota:El campo Declaración AQL tiene una función de autocompletar que sugiere parámetros basados en el texto que
escribe. Esta característica facilita la creación de consultas para una rápida personalización. Esta característica no está
disponible en este laboratorio virtual.
15
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 5 Uso de un widget Pulse
vacío
24. Desplácese hacia abajo.
26. En elNuevo elemento del tableroy luego en elConfigurar panelventana, haga clicAhorrar. El
gráfico de sesgo de flujo se muestra en el panel de Watch.
dieciséis
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 5 Uso de un widget Pulse
vacío
El gráfico se abre en una ventana separada del navegador. QRadar SIEM continúa actualizando el widget en la
ventana, incluso si cierra la ventana principal sin cerrar sesión en QRadar SIEM. Sin embargo, no cierre la ventana
principal del navegador durante esta práctica de laboratorio.
Pista:Para obtener información sobre los sesgos de flujo durante un intervalo de tiempo particular de 1
minuto, desplace el puntero del mouse sobre el gráfico. Esta acción no se admite en este entorno virtual.
3. Para ampliar a un intervalo de gráfico más corto, haga clic una vez en el icono de zoom en la esquina superior derecha.
4. Para centrarse en los sesgos de flujo menos frecuentes, oculte los sesgos de flujo dominantes del gráfico. Para ello,
en la leyenda, haga clic enotro.
Pista:Para volver al intervalo de tiempo original, haga clic enRestablecer acercamientoen elMas opciones...menú
en la parte superior derecha. Esta acción no se admite en este entorno virtual.
17
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 5 Uso de un widget Pulse
vacío
5. Para investigar los flujos más a fondoActividad de redde la interfaz web de QRadar SIEM,
haga clic enMas opciones>Abrir en Actividad de red.
ElActividad de redSe abre una pestaña en la ventana principal con el resultado de la consulta AQL que produce el
widget del panel de control de polarización de flujo que creó.
6. Desde la barra de tareas del navegador, en la parte inferior de la ventana del navegador, seleccione la ventana del widget
Sesgo de flujo y ciérrela.
7. Revise los gráficos, luego cierre la pestaña del navegador Lista de flujo en la parte superior de la ventana del navegador.
Pista:Al igual que los gráficos en los elementos del tablero, puede acercar, ocultar gráficos y pasar el puntero
del mouse sobre el gráfico para ver los bytes registrados en intervalos de 1 minuto. Si desea configurar lo que
se muestra en el gráfico, haga clic en elAjustesicono en el encabezado. Esas opciones no están disponibles en
este entorno virtual.
18
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 6 Investigación de un delito de acceso remoto
QRadar SIEM viene con reglas preconfiguradas. Las extensiones pueden agregar más reglas. Puede crear
sus propias reglas para observar indicadores específicos o observar cambios de comportamiento o
anomalías. Este ejercicio se basa en una regla de una extensión y le enseña cómo se estructuran las reglas,
cómo se activan y las diferentes respuestas y acciones que puede personalizar cuando se activan.
Pista:Si desea explorar las reglas de QRadar SIEM, vaya a laOfensapestaña y luego haga clic en
Normasen el panel izquierdo. Esta acción no se admite en este entorno virtual.
2. Para abrir el resumen de delitos, haga doble clic en el delito con número de identificación 2 con la descripción
deAcceso a escritorio remoto desde Internet que contiene RemoteAccess.MSTerminal Services.
19
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 6 Investigación de un delito de acceso remoto
vacío
Elresumen del delitomuestra y vincula a una amplia gama de evidencia que es útil para
investigar el ataque sospechado o la violación de la política.
Nota:El delito de ejemplo es simple y, por lo tanto, su resumen de delitos contiene poca
información. Para la mayoría de los delitos, el resumen de delitos proporciona más información.
3. Para ver las reglas que contribuyen a este delito, seleccioneNormasdesde elMostrarmenú.
4. Haga doble clic en la regla que se muestra en laLista de reglas que contribuyen al delitomesa. El
Asistente para reglas se abre con la reglaRemoto: acceso a escritorio remoto desde Internet.
20
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 6 Investigación de un delito de acceso remoto
vacío
Las pruebas evaluadas por esta regla se muestran en la sección central de la ventana Asistente de reglas: Editor de
pilas de pruebas de reglas. La primera prueba comprueba si los flujos son detectados por el sistema local.
Nota:Dentro de la regla, todos los hipervínculos representan variables que puede seleccionar para modificar
el comportamiento de las pruebas y, por lo tanto, las condiciones bajo las cuales se activa la regla.
_____________________________________________
_____________________________________________
21
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 6 Investigación de un delito de acceso remoto
vacío
Nota:Puede encontrar todas las respuestas a las preguntas de esta guía en elApéndice en la página 48.
5. Puede modificar algunas variables en las pruebas haciendo clic en ellas. Haga clic en ely novariable de
operador lógico de la segunda prueba. Observe que cambia ay, que es la única alternativa para esta
variable.
7. Puede modificar algunas variables seleccionando diferentes opciones de una lista. Haga clic en elDe local a local
variable de contexto de la segunda prueba.
_____________________________________________
Cercala ventana de contexto.
a. ¿Cuáles son los dos componentes básicos seleccionados para esta variable en la lista Elementos seleccionados?
_____________________________________________
Nota:Los bloques de creación realizan pruebas con muchas variables cuando QRadar recibe sucesos y flujos.
Son útiles porque simplifican la lógica de algunas pruebas y se pueden utilizar como parte de las reglas. Se
configuran de manera similar a las reglas, pero no contienen acciones ni respuestas.
10. En Acción de regla, observe qué acciones se pueden realizar cuando se activa la regla.
a. ¿Qué acción está habilitada de forma predeterminada?
_____________________________________________
22
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 6 Investigación de un delito de acceso remoto
vacío
Observe las diferentes variables sobre las que se puede indexar el delito.
Nota:La indexación basada en una variable ayuda a identificar un delito de forma única porque esta variable puede
especificar información sobre el delito que es común a todos los eventos que activan las pruebas de una regla.
11. En Respuesta de regla, observe qué respuestas se pueden realizar cuando se activa la regla.
a. ¿Cuántas respuestas se pueden habilitar en total?
_____________________________________________
_____________________________________________
C. ¿Cuáles son las categorías de bajo y alto nivel definidas para el nuevo evento enviado?
_____________________________________________
13. Revise toda la información que se especificó en las secciones anteriores del Asistente para reglas. Para evitar guardar
cualquier cambio involuntario en la regla, haga clic enCancelar, luego haga clicDE ACUERDO.
Importante:La modificación de la regla puede tener un comportamiento inesperado cuando se desencadenan los delitos. Por
lo tanto, modifique las reglas con precaución.
14. Para ver el flujo que activó las reglas que crearon la infracción, en elRecuento de eventos/flujos campo,
haga clic1 fluye.
Se abre la ventana Lista de flujo. La tabla contiene solo un flujo en este ejemplo.
23
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 6 Investigación de un delito de acceso remoto
vacío
15. Haga doble clic en el flujo de la tabla para navegar a la ventana Detalles del flujo.
Para investigar más a fondo el flujo, mire la información de flujo, la información de origen y de
destino, y desplácese hacia abajo para ver la carga útil de origen y la información adicional. Toda esta
información es útil cuando investiga una conexión sospechosa.
16. Haga clic enVolver a resultadosen la parte superior izquierda de la ventana Detalles del
flujo. Vuelve a la ventana Lista de flujo.
24
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 7 Crear una búsqueda de conexiones RDP a su servidor
1. Para hacer que la Lista de flujo muestre los flujos resumidos por dirección IP de origen y prepararlo para una plantilla
de informe, desde laMostrarmenú, seleccioneIP de origen.
2. Todavía en la ventana Lista de flujo, en la columna IP de destino, haga clic en192.168.10.12y seleccione El
filtro en IP de destino es 192.168.10.12.
3. Debido a que abrió la lista de flujos desde un resumen de delitos, filtra los flujos que contribuyen a este
delito en particular. Para eliminar el filtro del delito, haga clic enFiltro clarojunto aEl delito es el
acceso a escritorio remoto desde Internet.
25
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 7 Crear una búsqueda de conexiones RDP a su servidor
vacío
5. Proporcione los siguientes criterios en elGuardar criterioscampos.
Campo Configuración
Nota:Cualquier búsqueda con una agrupación y guardada con la opciónIncluir en mi panelhabilitado pasa a
estar disponible como un elemento del tablero después de actualizar elPanelpestaña.
26
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 8 Investigación de un delito de acceso remoto con la aplicación Analyst
vacío
10. Para agregar la nueva búsqueda al panel seleccionado actualmente, haga clic enAgregar elemento> Actividad
de red> Búsquedas de flujo> RDP a mi servidor.
Nota:El nuevo gráfico está actualmente vacío porque los datos de muestra enviados a QRadar solo tenían una
conexión RDP, por lo que aún no se ha producido otra aparición de la conexión RDP.
La aplicación IBM® QRadar® Analyst es una interfaz de usuario (UI) diseñada para los analistas de su
organización para ayudarlos en sus actividades diarias. Simplifica y agiliza la investigación de delitos con un flujo
de trabajo optimizado y está diseñado para usarse junto con la pestaña Delitos normal.
Esta interfaz de usuario es compatible con QRadar SIEM 7.4 y versiones posteriores. En este ejercicio, investiga el
mismo delito que en el Ejercicio 5. Compara ambas interfaces y experimenta las ventajas que ofrece la aplicación
Analyst.
Importante:Debido a que la interfaz de usuario de la aplicación Analyst está diseñada para un análisis rápido y simplificado
de los delitos, no puede editar las reglas, sus respuestas y sus acciones, como con el Asistente de reglas.
27
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 8 Investigación de un delito de acceso remoto con la aplicación Analyst
vacío
Siga estos pasos para navegar a un delito de ejemplo e investigarlo:
1. Para abrir el menú principal, haga clic en el icono de menú en la esquina superior izquierda de QRadar Console.
3. Desplácese hacia abajo hasta la parte inferior de la página y luego haga clic en el botón de flecha derecha para llegar a la página 4.
4. Haga clic en el delito número 2 con la descripción deAcceso a escritorio remoto desde Internet que
contiene RemoteAccess.MSTerminal Services.
Se abre el resumen de delitos. Aquí puede ver una descripción general de los detalles del delito que son
útiles para investigar el supuesto ataque o la infracción de la política.
28
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 8 Investigación de un delito de acceso remoto con la aplicación Analyst
vacío
En el panel Magnitud del delito, puede ver el cálculo de la magnitud y una definición de cada uno de sus
componentes. Desplácese hacia abajo para explorar estas definiciones y luego cierre el panel Magnitud.
6. Una o más reglas que contribuyen a una infracción se muestran a la izquierda, bajoPerspectivas. Para
este delito, solo hay una regla; hacer clicRemoto: acceso a escritorio remoto desde Internet.
En el panel que se abre a la derecha, puede ver la siguiente información sobre la regla. Desplácese hacia abajo
para ver todos los elementos y compárelos con lo que vio en el Asistente para reglas en el Ejercicio 6:
29
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 9 Creación de una búsqueda de conexiones RDP a su servidor en la aplicación Analyst
_____________________________________________
2. Desde el menú principal de la aplicación Analyst en la esquina superior izquierda, haga clic enBuscar.
30
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 9 Creación de una búsqueda de conexiones RDP a su servidor en la aplicación Analyst
vacío
4. Haga clic enEjecutar consultapara mostrar los resultados.
Nota:El campo Query Builder también tiene una función de autocompletar que sugiere parámetros basados en el
texto que está escribiendo. Esta característica no está disponible en este laboratorio virtual.
Aunque no puede guardar este resultado como una búsqueda, puede ver una búsqueda reciente.
La consulta reciente se muestra en la sección Última búsqueda; Hacer clicseleccione * de eventos donde
destinationip = '192.168.10.12' últimas 2 horas.
Puede ejecutar esta consulta varias veces para verificar si la dirección IP objetivo es atacada nuevamente
o no, lo que lo ayuda a buscar rápidamente conexiones RDP recientes.
31
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 10 Creación de una plantilla de informe de acceso remoto
plantilla
En el ejercicio anterior, aplicó un filtro a los flujos y guardó la búsqueda. Según esta búsqueda guardada,
siga estos pasos para crear una plantilla de informe. Para monitorear el acceso remoto a su servidor, use
la plantilla para generar un informe.
1. Navegue a laInformestabula y eligeAcciones > Crear.
Con QRadar SIEM, puede programar informes para que se generen automáticamente en
momentos específicos. Por ejemplo, el horarioA diarioincluiría todos los flujos del día anterior.
Por lo tanto, dicho informe no incluye el flujo que recibió anteriormente.
3. Para incluir los últimos flujos, dejeA manoseleccionado como programa para la generación de informes. En un paso
posterior, especifica el período de tiempo para el informe.
Nota:Una plantilla de informe QRadar SIEM es un medio para programar y automatizar una o más
búsquedas guardadas.
32
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 10 Creación de una plantilla de informe de acceso remoto
vacío
4. Haga clic enPróximo.
5. Para el diseño del informe, seleccione el diseño de doble contenedor como se muestra en la siguiente
imagen. Este diseño muestra un gráfico en el primer contenedor y una tabla en el segundo.
9. El asistente de informes muestra automáticamente los detalles del contenedor. Complete los siguientes pasos:
b. ParaFecha de inicioyTiempo, yFecha finalyTiempo, seleccione un período de tiempo que incluya el momento
en que capturó el flujo. En este caso, seleccione 7:00 PM como laHora de inicioy 9:30 p.m. como elHora de
finalización.
C. Para buscar y seleccionar la búsqueda que creó en el ejercicio anterior, enEscriba la búsqueda
guardada, tipordpy presionaIngresar.
33
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 10 Creación de una plantilla de informe de acceso remoto
vacío
Nota:Debe presionar Enter en este entorno virtual para acotar el resultado de la búsqueda.
El Asistente para informes muestra la página para volver a especificar el tipo de gráfico.
34
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 10 Creación de una plantilla de informe de acceso remoto
vacío
10. Después de configurar el primer contenedor, utilice los siguientes pasos para configurar el segundo contenedor. El
proceso es similar, pero tiene una diferencia importante. Para elTipo de gráficomenú en el contenedor inferior,
seleccioneFlujos.
11. El asistente de informes muestra automáticamente los detalles del contenedor para el contenedor inferior.
Complete los mismos pasos que para el contenedor superior, pero cambie elTipo de gráficoaMesa.
C. Para buscar y seleccionar la búsqueda que creó en el ejercicio anterior, enEscriba la búsqueda
guardada, tipordpy presione Entrar.
Nota:Debe presionar Enter en este entorno virtual para acotar el resultado de la búsqueda.
35
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 10 Creación de una plantilla de informe de acceso remoto
vacío
d. Haga doble clic en suRDP a mi servidorbuscar.
36
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 10 Creación de una plantilla de informe de acceso remoto
vacío
12. Haga clic enPróximohasta llegar a laElija el formato del informepaso. PDF
está preseleccionado.
37
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 10 Creación de una plantilla de informe de acceso remoto
vacío
14. Haga clic enPróximode nuevo.
16. En elInformes de búsquedaTipo de campoPDRy haga clic en elInformes de búsquedaicono para filtrar la lista de
informes. QRadar SIEM comienza a generar el informe. Esto lleva aproximadamente un minuto en el entorno real
para completar el informe.
18. Cuando haya terminado, QRadar SIEM muestra unPDFicono para la nueva plantilla de informe en la columna
más a la derecha en elInformespestaña. Para ver el informe generado, haga clic en elPDFicono.
Se muestra el informe.
38
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 11 Configuración de la jerarquía de red
Nota:Si la pestaña Administrador no se muestra en su Consola, abra el menú haciendo clic en el ícono de menú en la
parte superior izquierda, luego ubique y haga clic en "Administrador" en el menú.
39
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 11 Configuración de la jerarquía de red
vacío
Se abre la ventana Jerarquía de red.
b. ParaNombre, ingresarEuropa.
C. Para crear un nuevo objeto de grupo de red, haga clic en elAjustesjunto al campo Grupo.
40
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 11 Configuración de la jerarquía de red
vacío
F. ParaIP/CIDR(s), ingresar195.54.160.21.
H. Hacer clicCrear.
Se cierra la ventana Agregar red.
4. Creó un objeto de red con la única dirección IP del delito. Para crear un nuevo objeto de red
con dos subredes, repitapaso 3con los valores que se muestran en la siguiente tabla.
Nota:Como el grupo de red ya está creado, elijaCompatibilidad con Jumpboxde la lista desplegable
Grupo en su lugar y agregue ambos IP/CIDR enumerados antes de hacer clicCrear.
41
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 11 Configuración de la jerarquía de red
vacío
6. Para mostrar los objetos de red que ha creado, haga clic en elAgregariconos junto aJumpboxy
Apoyoen la ventana Jerarquía de red.
Se muestran los intervalos de direcciones IP privadas reservados por la Autoridad de Números Asignados de
Internet (IANA). La jerarquía de la red tiene estos rangos preconfigurados porque no se pueden enrutar a través de
la Internet pública y, por lo tanto, los rangos de direcciones IP privadas solo pueden ser locales.
42
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 12 Cerrando la ofensa
vacío
Pista:Si hace clicImplementar cambiosno hace nada, haga doble clic en elAdministraciónpestaña. El doble clic
Nota:QRadar SIEM considera todas las redes que están configuradas en la jerarquía de red como locales para
su organización. Las reglas utilizan esta información para determinar si sospechan un ataque o una infracción
de política.
43
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 12 Cerrando la ofensa
vacío
3. Desde elComportamientomenú, seleccioneCerca.
4. Se abre la ventana Cerrar delito. En elNotacampo, introduzca un motivo para cerrar el delito y haga clic enDE
ACUERDO.
44
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 13 Navegación por otras pestañas
3. Para ver los flujos entrantes, haga doble clic en elActividad de redpestaña.
4. Puede ver los flujos de eventos desde diferentes perspectivas. SeleccionarÚltimos 5 minutosdesde el
Vista seleccione IP de origen y Aplicación en el menúMostrary verifique los resultados.
QRadar SIEM agrupa los flujos según su selección en la lista Mostrar. En este ejemplo, agrupar porIP de
origenmuestra una columna de todas las IP de origen únicas e información de resumen de las otras
columnas, como la cantidad de puertos de destino únicos para cada IP de origen.
5. ElOrígenes de registrode QRadar SIEM reciben los eventos sin procesar. QRadar SIEM identifica muchas fuentes de
registro automáticamente mediante el análisis del formato de los eventos sin procesar entrantes. Si QRadar SIEM
identifica el origen de los eventos sin procesar, crea un objeto de origen de registro. Para abrir el origen del registro
45
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 13 Navegación por otras pestañas
vacío
ventana de administración, vaya a laAdministraciónmenú y luego haga clic en elaplicaciones>Gestión de fuentes
de registro de QRadar.
Se abre la ventana Orígenes de registro. Enumera los orígenes de registro que QRadar SIEM creó automáticamente a partir
del análisis de los eventos sin procesar entrantes. También puede importar o crear objetos de origen de registro
manualmente.
Pista:Para obtener más información sobre la aplicación Log Source Management, vea elGestión de fuentes de
46
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
V7.0
Ejercicios
Ejercicio 13 Navegación por otras pestañas
vacío
Usó QRadar SIEM para separar la señal del ruido para detectar e investigar actividades
sospechosas.
47
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
Apéndice
Ejercicio 6, “Investigación de un delito de acceso remoto”, en la página 19
Paso 4 en la página 20
y cuando un flujo coincide con todas las siguientes BB:Amenazas:Violaciones de acceso remoto: Acceso a
escritorio remoto desde hosts remotos, BB:Definición de categoría: Comunicación exitosa
Paso 7 en la página 22
Paso 8 en la página 22
Paso a: ¿Cuáles son los dos componentes básicos seleccionados para esta variable en la lista Elementos seleccionados?
Paso 10 en la página 22
Paso 11 en la página 23
vacío
Paso a: ¿Cuántas respuestas se pueden habilitar en total?
Once: Enviar nuevo evento, correo electrónico, enviar a SysLog local, enviar a destinos de reenvío, notificar, agregar a
un conjunto de referencia, agregar a datos de referencia, eliminar de un conjunto de referencia, eliminar de datos de
referencia, activar escaneo y ejecutar acción personalizada
Paso c: ¿Cuáles son las categorías de bajo y alto nivel definidas para el nuevo evento enviado?
Nivel bajo: infracción de la política de acceso remoto
49
Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
© Copyright IBM Corp. 2020