IBM Qradar SIEM - En.es

Traducido del inglés al español - www.onlinedoctranslator.
com
guía de laboratorio
Uso de IBM QRadar SIEM

Código de curso LSL0232X
edición agosto 2020
AVISOS
Esta información fue desarrollada para productos y servicios ofrecidos en los EE.UU.
Es posible que IBM no ofrezca los productos, servicios o características que se tratan en este documento en otros países. Consulte a su representante local de IBM para
obtener información sobre los productos y servicios actualmente disponibles en su área. Cualquier referencia a un producto, programa o servicio de IBM no pretende
afirmar ni implicar que solo se puede utilizar ese producto, programa o servicio de IBM. En su lugar, se puede utilizar cualquier producto, programa o servicio
funcionalmente equivalente que no infrinja ningún derecho de propiedad intelectual de IBM. Sin embargo, es responsabilidad del usuario evaluar y verificar el
funcionamiento de cualquier producto, programa o servicio que no sea de IBM.
IBM puede tener patentes o solicitudes de patentes pendientes que cubran el tema descrito en este documento. La entrega de este documento no le
otorga ninguna licencia sobre estas patentes. Puede enviar consultas sobre licencias, por escrito, a:
Director de licencias de IBM

IBM Corporation
North Castle Drive, MD-NC119
Armonk, NY 10504-1785
Estados Unidos de América
El siguiente párrafo no se aplica al Reino Unido ni a ningún otro país donde dichas disposiciones sean incompatibles con la legislación local:
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍA DE NINGÚN TIPO, YA SEA
EXPLÍCITA O IMPLÍCITA, INCLUYENDO, ENTRE OTRAS A LAS GARANTÍAS IMPLÍCITAS DE NO VIOLACIÓN, COMERCIABILIDAD O IDONEIDAD PARA
UN FIN DETERMINADO. Algunos estados no permiten la renuncia de garantías expresas o implícitas en ciertas transacciones, por lo tanto, es
posible que esta declaración no se aplique a usted.
Esta información puede incluir imprecisiones técnicas o errores tipográficos. Periódicamente se realizan cambios en la información aquí; estos
cambios se incorporarán en las nuevas ediciones de la publicación. IBM puede realizar mejoras y/o cambios en los productos y/o programas
descritos en esta publicación en cualquier momento y sin previo aviso.
Todas las referencias en esta información a sitios web que no son de IBM se proporcionan únicamente por conveniencia y de ninguna manera sirven
como respaldo de dichos sitios web. Los materiales de esos sitios web no son parte de los materiales de este producto de IBM y el uso de esos sitios web
es bajo su propio riesgo.
IBM puede utilizar o distribuir cualquier parte de la información que usted suministre de cualquier forma que considere adecuada sin incurrir en ninguna obligación para con usted.
La información sobre productos que no son de IBM se obtuvo de los proveedores de dichos productos, sus anuncios publicados u otras fuentes disponibles públicamente.
IBM no ha probado esos productos y no puede confirmar la precisión del rendimiento, la compatibilidad o cualquier otra afirmación relacionada con productos que no
sean de IBM. Las preguntas sobre las capacidades de los productos que no son de IBM deben dirigirse a los proveedores de dichos productos.
Esta información contiene ejemplos de datos e informes utilizados en las operaciones comerciales diarias. Para ilustrarlos de la forma más completa posible, los ejemplos
incluyen los nombres de personas, empresas, marcas y productos. Todos los nombres y referencias de organizaciones y otras instituciones comerciales utilizadas en los
escenarios de este entregable son ficticios. Cualquier coincidencia con organizaciones o instituciones reales es casual. Todos los nombres y la información asociada de las
personas en los escenarios de este entregable son ficticios. Cualquier coincidencia con una persona real es una coincidencia.
MARCAS
IBM, el logotipo de IBM e ibm.com son marcas comerciales o marcas comerciales registradas de International Business Machines Corp., registradas en muchas jurisdicciones de todo el
mundo. Otros nombres de productos y servicios pueden ser marcas comerciales de IBM o de otras empresas. Una lista actualizada de las marcas registradas de IBM está disponible en la
web en “Información sobre derechos de autor y marcas registradas” en www.ibm.com/legal/copytrade.shtml.
Adobe, el logotipo de Adobe, PostScript y el logotipo de PostScript son marcas comerciales registradas o marcas comerciales de Adobe Systems
Incorporated en los Estados Unidos y/o en otros países.
Java y todas las marcas comerciales y logotipos basados en Java son marcas comerciales o marcas comerciales registradas de Oracle y/o sus filiales.
La marca registrada Linux® se utiliza conforme a una sublicencia de Linux Foundation, el licenciatario exclusivo de Linus Torvalds,
propietario de la marca a nivel mundial.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas comerciales de Microsoft Corporation en los Estados Unidos, en otros países o en
ambos.
UNIX es una marca registrada de The Open Group en los Estados Unidos y otros países.
VMware, el logotipo de VMware, VMware Cloud Foundation, VMware Cloud Foundation Service, VMware vCenter Server y VMware vSphere son
marcas registradas o marcas comerciales de VMware, Inc. o sus subsidiarias en los Estados Unidos y/u otras jurisdicciones.
Red Hat®, JBoss®, OpenShift®, Fedora®, Hibernate®, Ansible®, CloudForms®, RHCA®, RHCE®, RHCSA®, Ceph® y Gluster® son marcas
comerciales o marcas registradas de Red Hat, Inc. o sus subsidiarias en los Estados Unidos y otros países.
© Copyright International Business Machines Corporation 2020.

Este documento no puede reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
Derechos restringidos de los usuarios del gobierno de EE. UU.: uso, duplicación o divulgación restringida por el contrato de programación de GSA ADP con IBM Corp.
Contenido
Ejercicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Maquinas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 Ejercicio 1
Inicio de sesión en QRadar SIEM Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejercicio 2 Uso de 2
tableros y elementos de tablero. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejercicio 3 Uso de un 3
6
elemento del tablero. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejercicio 4 Uso de Pulse
y widgets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejercicio 5 Uso de un widget 10
Pulse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Ejercicio 6 Investigación de un
delito de acceso remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Ejercicio 7 Creación de una
búsqueda de conexiones RDP a su servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Ejercicio 8 Investigación de
un delito de acceso remoto con la aplicación Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Ejercicio 9 Creación de
una búsqueda de conexiones RDP a su servidor en la aplicación Analyst . . . . . . . . . . . . . . . . . 30 Ejercicio 10
Creación de una plantilla de informe de acceso remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Ejercicio 11 Configuración de la jerarquía de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Ejercicio 12 Cierre de la ofensa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Ejercicio
13 Navegación por otras pestañas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Apéndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
© Copyright IBM Corp. 2020 iii

Los materiales del curso no pueden reproducirse en su totalidad o en parte sin el permiso previo por escrito de IBM.
Ejercicios
Con IBM Security QRadar SIEM puede minimizar el intervalo de tiempo entre el momento en que ocurre una
actividad sospechosa y el momento en que la detecta. Los ataques y las infracciones de políticas dejan sus huellas en
los eventos de registro y los flujos de red de sus sistemas de TI. QRadar SIEM conecta los puntos y le brinda
información al realizar las siguientes tareas:
• Alertas sobre sospechas de ataques y violaciones de políticas en el entorno de TI

• Brinda una visibilidad profunda de la actividad de la red, el usuario y la aplicación
• Pone los datos relevantes para la seguridad de varias fuentes en contexto entre sí
• Proporciona plantillas de informes para cumplir con los requisitos operativos y de cumplimiento
• Proporciona almacenamiento de registros confiable y a prueba de manipulaciones para investigaciones forenses y uso probatorio
Los ejercicios de este laboratorio proporcionan una amplia introducción a las funciones de QRadar SIEM. Los
ejercicios cubren los siguientes temas:
• Navegación por la interfaz web

• Investigar una actividad sospechosa
• Creación de un informe
• Administrar la jerarquía de la red
Importante:Estos ejercicios se presentan en un formato de laboratorio virtual. Un laboratorio virtual es una

simulación interactiva de las máquinas virtuales originales. Un laboratorio virtual no es una máquina virtual real. Por
lo tanto, sus oportunidades de interacción están restringidas a los pasos del ejercicio con algunas variaciones
menores. Utilice esta guía de laboratorio, que lo guiará a través del uso y las respuestas de los componentes que se
enseñan.
Puede ejecutar el laboratorio virtual varias veces sin restricciones.
Maquinas virtuales
Este laboratorio virtual simula el siguiente entorno:

• QRadar 7.4.0 fp4: una máquina virtual que ejecuta IBM QRadar en Red Hat Enterprise Linux.
• Cliente CentOS: una máquina virtual que proporciona una interfaz gráfica de usuario. Su interacción con QRadar
se realiza mediante el uso de esta máquina virtual.
© Copyright IBM Corp. 2020 1

V7.0
Ejercicios
Ejercicio 1 Inicio de sesión en QRadar SIEM Console
vacío Ejercicio 1 Inicio de sesión en QRadar SIEM

Consola
Antes de intentar crear un informe, primero debe tener datos disponibles para que se muestre. Este entorno de
laboratorio envía automáticamente datos de muestra preparados a QRadar unos minutos antes de que empiece a
seguir los pasos de esta guía.
1. Para iniciar el navegador web, haga doble clic en elFirefoxicono en el escritorio.
2. En la página de inicio de sesión de QRadar, elNombre de usuarioyContraseñalos campos ya están llenos. Para
acceder a QRadar Console en el navegador Firefox, haga clic enAcceso.
2
V7.0
Ejercicios
Ejercicio 2 Uso de paneles y elementos de panel
vacío
Después de iniciar sesión, verá una interfaz web similar a la de la siguiente imagen.
Ejercicio 2 Uso de tableros y elementos del

tablero
QRadar SIEM muestra la pestaña Panel cuando inicia sesión en QRadar SIEM. Varios elementos en un tablero
muestran información sobre las actividades en su entorno. Con estos elementos, puede concentrarse en áreas
específicas de interés, como la seguridad o las operaciones de red. Puede personalizar cada tablero para
satisfacer las necesidades y responsabilidades del analista. En este ejercicio, utilizará la pestaña Tablero para
observar las actividades de la red en su entorno de laboratorio.
1. Cada tablero muestra elementos que proporcionan información que se deriva de los datos que se introducen en
QRadar SIEM. QRadar SIEM actualiza la información en la pestaña Tablero cada minuto. Los datos se introducen
en el Dashboard automáticamente. Para pausar la actualización del Tablero, haga clic en el botón Pausa ubicado
en la parte superior derecha de la barra de herramientas. El botón cambia a un botón Reproducir.
3
V7.0
Ejercicios
vacío
2. QRadar SIEM proporciona siete paneles preconfigurados. Abre elMostrar panelmenú y
seleccione cada tablero, uno a la vez.
Los tableros aún no muestran mucha información porque el sistema acaba de iniciarse y comenzó a
recibir datos. Cuanto más tiempo se alimentan los datos de muestra a QRadar SIEM, más información
se muestra en el tablero.
3. Después de revisar los diferentes tableros, para pasar al siguiente paso, seleccione elGestión de vulnerabilidades
tablero y revise los botones de la barra de herramientas, que realizan las siguientes tareas:
– Crear un nuevo tablero

– Cambiar el nombre de un tablero existente
– Eliminar un tablero
– Agregar un elemento a un tablero existente
4. Para crear un tablero adicional, haga clic enNuevo tablero.

Se abre la ventana Nuevo panel.
5. ParaNombre, ingresarMirar.
Pista:Si desea proporcionar este tablero a otros usuarios, seleccioneCompartir.
6. Para crear el tablero Watch, haga clic enDE

ACUERDO. Se cierra la ventana Nuevo panel.
7. ElPanelLa pestaña muestra el nuevo panel Watch pero aún no muestra ningún elemento del panel. Para agregar un
elemento preconfigurado Sesgo de flujo, en la barra de herramientas, haga clic enAñadir artículo.
4
V7.0
Ejercicios
vacío
Nota:El sesgo de flujo se explica en detalle en el siguiente ejercicio.
8. SeleccioneActividad de red>Búsquedas de flujo>Sesgo de flujo.
El elemento Sesgo de flujo se muestra en el panel de Control.
Nota:Cuando usa el producto real, puede mover los elementos del tablero y reorganizar su
orden. En este entorno virtual, los artículos ya están posicionados en el centro del tablero.
Pista:Si elSesgo de flujoelemento del tablero no muestra datos, haga clic en Actualizar en la parte superior derecha de la barra de
herramientas.
5
V7.0
Ejercicios
Ejercicio 3 Uso de un elemento del tablero

vacío
La instalación de QRadar SIEM en el entorno de laboratorio tiene habilitado QFlow. QFlow aprovecha el
tráfico de la red, incluido el tráfico entre las máquinas virtuales en su entorno de laboratorio. Además, al
comienzo de esta práctica de laboratorio, cuando se generan los datos, se envían automáticamente muchas
conexiones de red de muestra a QFlow en QRadar SIEM.
En el entorno de laboratorio, QFlow supervisa la interfaz de red de las máquinas virtuales de QRadar. Para una
mayor capacidad, hay disponibles dispositivos de procesador y colector de flujo dedicados.
Además de QFlow, QRadar SIEM puede recibir información sobre conexiones IP de otros
dispositivos de red en tecnologías de contabilidad IPFIX/NetFlow, sFlow, J-Flow y Packeteer.
QRadar SIEM crea flujos a partir de la información de actividad de red que recibe. Afluires un registro de
actividad de red entre sockets de red. La dirección IP, el puerto y el protocolo de transporte identifican un
socket de red de manera única.
En este ejercicio, aprenderá a agregar un gráfico de sesgo de flujo a su tablero Watch recién creado. La razón principal
para agregar este gráfico es ayudarlo en posibles violaciones de seguridad recientes basadas en el comportamiento
del flujo de la red. Sin embargo, estos pasos se diseñaron para enseñarle cómo navegar por los gráficos en cualquier
tablero de QRadar.
Sesgo de flujo
Un flujo registra las características de la actividad de la red que representa, incluida susesgo de
flujo. El sesgo de un flujo marca la relación entre los bytes que salen y llegan al perímetro de su
organización. QRadar SIEM distingue entre los siguientes sesgos de flujo:
• Solo salida: salida unidireccional
Este sesgo indica intentos de conexión salientes que están bloqueados por un firewall, como los
intentos de señalización de un malware a sus servidores de comando y control (C&C).
• Solo en: Entrante unidireccional

Este sesgo indica intentos de conexión entrante que están bloqueados por un firewall o un intento de exploración de
puertos de una dirección IP accesible públicamente en su organización.
• Salida mayoritaria: del 70 % al 99 % de los bytes salientes
Este sesgo indica datos que salen de su organización. Solo sus servidores accesibles públicamente
deberían tener muchos flujos con este sesgo.
• Principalmente en: 70% a 99% de los bytes entrantes Este
sesgo es típico de las computadoras de los usuarios.
• Casi igual: proporción de bytes entrantes y salientes entre 31 % y 69 %

Este sesgo es típico para VOIP, chat y SSH.
• Otro
6
V7.0
Ejercicios
vacío
Este sesgo generalmente indica tráfico entre computadoras locales. También puede indicar el tráfico
entre dos equipos remotos que apunta a una configuración incorrecta de la red de una organización o
le notifica que falta una red local en la jerarquía de red SIEM de QRadar.
QRadar SIEM considera cada red que se configura en sujerarquía de redcomo parte de la red local de
su organización. Por lo tanto, el administrador de QRadar SIEM debe agregar cualquier red que
pertenezca a su organización a la jerarquía de red. Esta tarea se realiza en el Ejercicio 7, Configuración
de la jerarquía de red.
Los sesgos de flujo inusuales sugieren una mala configuración o una violación de la seguridad.
1. Para configurar lo que se muestra en el gráfico, en el encabezado del elemento Sesgo de flujo, haga clic en el
Ajustesicono.
2. Centrarse en los sesgos de flujo más recientes, porIntervalo de tiempo, seleccionarÚltimos 15 minutos.
3. Para separar el elemento Sesgo de flujo, haga clic en elSeparar este elemento(junto al ícono de Configuración) en el
encabezado del elemento Sesgo de flujo.
El elemento se abre en una ventana del navegador independiente. QRadar SIEM continúa actualizando el elemento en la
ventana, incluso si cierra la ventana principal sin cerrar sesión en QRadar SIEM. Sin embargo, no cierre la ventana principal
del navegador durante esta práctica de laboratorio. Continúe trabajando dentro de la ventana emergente hasta que se le
indique que cierre la ventana.
7
V7.0
Ejercicios
vacío
4. Para obtener información sobre los sesgos de flujo durante un intervalo de tiempo particular de 1 minuto, pase el puntero del
mouse sobre el gráfico.
5. Para ampliar a un intervalo de gráfico más corto, haga clic en el gráfico.
Importante:En este entorno virtual, este paso se simplifica. Para acercar la interfaz real de la consola,
mantenga presionado el botón izquierdo del mouse mientras mueve el puntero del mouse hacia la izquierda o
hacia la derecha. Suelte el botón del mouse cuando haya resaltado el intervalo que desea ampliar.
8
V7.0
Ejercicios
vacío
6. Para centrarse en los sesgos de flujo menos frecuentes, oculte los sesgos de flujo dominantes del gráfico. Para ocultarlos,
haga clic en la leyenda que se nombramayormente en.
Observe cómo cambia el gráfico a medida que se ocultan sesgos de flujo específicos. Haga clic en la etiqueta en la leyenda
llamadaCerca de lo mismo, seguido de la etiqueta denominadamayormente fuera.
7. Para volver al intervalo de tiempo original, haga clic enRestablecer zoomen la parte superior izquierda.
8. Para investigar este sesgo de flujo dentro de Actividad de red, haga clic en elVer en Actividad de redenlace.
9. ElActividad de redSe abre una pestaña en la ventana principal con el resultado de la consulta de búsqueda que produce el
elemento del panel de control Sesgo de flujo.
10. Cierre la ventana Sesgo de flujo.
9
V7.0
Ejercicios
Ejercicio 4 Uso de Pulse y widgets
vacío
11. Desplácese hacia abajo y revise los gráficos en la ventana principal de QRadar Console.
Pista:En un entorno real, si QRadar SIEM no muestra una tabla de sesgos de flujo o el gráfico correcto, haga
clic enActualizar detalles.
Pista:De la misma manera que con los gráficos en los elementos del tablero, puede acercar, ocultar gráficos y
pasar el puntero del mouse sobre el gráfico para ver los bytes registrados en intervalos de 1 minuto. Si desea
configurar lo que se muestra en el gráfico, haga clic en elAjustesicono en el encabezado. Esas opciones no
están disponibles en este entorno virtual.

IBM® QRadar® Pulse es una aplicación de tablero que puede utilizar para comunicar información y análisis sobre su
red. Al igual que la pestaña Panel, la aplicación Pulse tiene diferentes paneles dinámicos en tiempo real que brindan
información significativa sobre su postura de seguridad y el panorama de amenazas. Puede usarlo para visualizar
delitos, datos de red, amenazas, comportamiento de usuarios maliciosos y entornos de nube de todo el mundo en
mapas geográficos de dispersión y coropletas, un globo terráqueo de amenazas en 3D y gráficos de actualización
automática que puede personalizar.
QRadar SIEM 7.4 viene con esta aplicación. En este ejercicio, recorrerá la aplicación Pulse y sus
paneles predeterminados. A modo de comparación y para conocer las diferencias y ventajas entre
Pulse y la pestaña Tablero, cree un nuevo tablero y agregue un gráfico de Sesgo de flujo similar
10
V7.0
Ejercicios
vacío
al ejercicio 2. El objetivo de este ejercicio es enseñarle los términos más utilizados en Pulse,
como artículos, widgets, consultas AQL y más; y cómo crear un widget gráfico.
1. Para ver la aplicación Pulse, haga clic en elLegumbrespestaña.
Al igual que la pestaña Tablero, cada tablero en Pulse muestra elementos que proporcionan información
que se deriva de los datos que se alimentan automáticamente a QRadar SIEM. QRadar SIEM actualiza la
información en los tableros de Pulse cada minuto. A diferencia de la pestaña Tablero, no puede pausar los
tableros en Pulse. Sin embargo, puede compartirlo con otros usuarios de Pulse, exportarlo en formato JSON
y abrirlo en una nueva ventana si lo necesita para sus actividades diarias.
2. QRadar SIEM proporciona cinco paneles preconfigurados para Pulse. Abre elPanelmenú y
seleccione cada tablero, uno a la vez. Revise cada tablero, desplácese hacia abajo y seleccione el
siguiente.
11
V7.0
Ejercicios
vacío
Los tableros aún no muestran mucha información porque el sistema acaba de iniciarse y comenzó a recibir
datos. Cuanto más tiempo se alimentan los datos de muestra a QRadar SIEM, más información se muestra.
Los datos mostrados son suficientes para que conozcas el gran potencial que tiene cada tablero para
ayudarte a identificar amenazas.
3. Después de revisar los diferentes tableros, haga doble clic en elLegumbrespestaña para actualizar la vista del
tablero. Luego, revise las opciones adicionales del menú del tablero en la parte superior izquierda y los íconos en la
parte superior derecha de cada tablero.
Estas opciones realizan las siguientes tareas del tablero:
– Crear un nuevo tablero

– Filtre los tableros por los compartidos por mí, compartidos conmigo y los que tienen una actualización
disponible
– Configurar el tablero actual

– Comparta el tablero con otro usuario de QRadar
– Exportar el tablero en formato JSON
– Abrir panel en una nueva ventana
Pista:Al hacer doble clic, se restablece la pestaña a su configuración predeterminada.
4. Para crear un tablero adicional, desde el menú desplegable Tablero, haga clic enNuevo
tablero.
5. Haga clic enTablero en blanco.
Se abre la ventana Crear un nuevo tablero.
Nota:Además de un tablero en blanco, también puede importar tableros existentes en formato JSON y
agregar plantillas, que están disponibles en QRadar Console. Un administrador debe instalar y sincronizar
las extensiones de contenido que contienen las plantillas del tablero Pulse.
12
V7.0
Ejercicios
vacío
6. ParaNombre del panel, ingresarMirar.
Pista:Escriba una descripción opcional y si desea configurar este panel como el panel
predeterminado cuando abra la pestaña Pulse, configurePanel predeterminadoa Sí.
7. Para ver los widgets disponibles de la biblioteca que puede agregar a su nuevo tablero, haga clic en Próximoy
desplácese para ver todos los widgets.
8. Para crear el panel Watch, haga clic enCrear.

Se muestra el nuevo panel de Watch. Todavía no muestra ningún elemento del tablero.
Nota:En la aplicación Pulse, los widgets son el equivalente a los elementos del tablero.
Ahora puede agregar su primer widget a su tablero recién agregado.
9. Para agregar un widget preconfigurado, haga clic en elHaz clic para comenzarenlace en el centro del
tablero.
13
V7.0
Ejercicios
vacío
Importante:Después de agregar su primer widget, puede agregar más haciendo clic enConfigurar panel en la
parte superior derecha del tablero.
10. SeleccioneCrear nuevo widget.
Se abre la ventana Nuevo elemento del tablero.
11. En elNombreTipo de campoSesgo de flujo.
12. En elFuente de datosmenú, seleccione AQL. Deje el tiempo de actualización en su valor predeterminado de cada minuto.
Nota:También puede crear widgets desde una API de delito, lo que significa que puede seleccionar campos
específicos de un delito y aplicarles filtros, y también desde una API genérica, proporcionar el punto final de la
URL y la ruta JSON a los resultados.
13. En elDeclaración AQLcampo, copie y pegue la siguiente consulta:

SELECT starttime AS Time, flowbias AS 'Flow Bias',
long(SUM(sourcebytes+destinationbytes)) AS 'TotalBytes' FROM flow GROUP BY Time/
60000 ORDER BY Time LAST 1 HOURS
Esta consulta recupera la hora de inicio, el sesgo de flujo y el total de bytes de la base de datos de flujos
durante la última hora. Los datos se agrupan por el tiempo de los flujos y esto se utiliza como base del
gráfico.
14
V7.0
Ejercicios
vacío
Pista:Para obtener más información sobre Ariel Query Language (AQL) que utiliza en QRadar Pulse para crear
elementos de tablero, lea elDescripción general del lenguaje de consulta de ArielyCampos de evento, flujo y
simarc para consultas AQLartículos en IBM Knowledge Center.
14. Desplácese hacia abajo.
15. Deje el campo Límite de resultados en su valor predeterminado 1000, desplácese hacia abajo y haga clic enEjecutar consulta.
Asegúrese de que se muestre una muestra de los resultados junto a la declaración AQL.
Nota:El campo Declaración AQL tiene una función de autocompletar que sugiere parámetros basados en el texto que
escribe. Esta característica facilita la creación de consultas para una rápida personalización. Esta característica no está
disponible en este laboratorio virtual.
16. Desplácese hacia abajo hasta la sección Vistas.
17. EnVer nombre, tipoSesgo de flujo.
18. EnTipo de gráfico, seleccionarGráfico de serie temporaly desplácese hacia abajo.
19. Bajo General, enTiempo (eje x), seleccionarTiempo.
20. EnTipo de serie, seleccionarSerie dinámica.
21. EnSerie dividida por, seleccionarSesgo de flujo.
22. EnValores (eje y), seleccionarBytes totales.

A la derecha se muestra un gráfico de muestra. Desplácese hacia abajo.
23. Establecer elGráfico de áreayMostrar leyendabotones a Encendido y Sí.
15
V7.0
Ejercicios
Ejercicio 5 Uso de un widget Pulse
vacío
24. Desplácese hacia abajo.
25. EnOrientación de la leyenda, seleccionarAbajo.
26. En elNuevo elemento del tableroy luego en elConfigurar panelventana, haga clicAhorrar. El
gráfico de sesgo de flujo se muestra en el panel de Watch.

Este ejercicio le muestra cómo trabajar con widgets en los tableros de Pulse. Aprende cómo navegar y
ajustar el gráfico que creó en el Ejercicio 4 para que pueda comparar qué tan útil es este widget para su
trabajo como analista en comparación con el procedimiento que siguió en el Ejercicio 3.
1. Para separar el elemento Sesgo de flujo, haga clic enMas opciones...(el icono de tres puntos) en el encabezado del
widget.
2. SeleccionaAbrir en una nueva ventana.
dieciséis
V7.0
Ejercicios
vacío
El gráfico se abre en una ventana separada del navegador. QRadar SIEM continúa actualizando el widget en la
ventana, incluso si cierra la ventana principal sin cerrar sesión en QRadar SIEM. Sin embargo, no cierre la ventana
principal del navegador durante esta práctica de laboratorio.
Pista:Para obtener información sobre los sesgos de flujo durante un intervalo de tiempo particular de 1
minuto, desplace el puntero del mouse sobre el gráfico. Esta acción no se admite en este entorno virtual.
3. Para ampliar a un intervalo de gráfico más corto, haga clic una vez en el icono de zoom en la esquina superior derecha.
4. Para centrarse en los sesgos de flujo menos frecuentes, oculte los sesgos de flujo dominantes del gráfico. Para ello,
en la leyenda, haga clic enotro.
En la leyenda, haga clic enmi(principalmente en), luego haga clic eno(afuera).
Pista:Para volver al intervalo de tiempo original, haga clic enRestablecer acercamientoen elMas opciones...menú
en la parte superior derecha. Esta acción no se admite en este entorno virtual.
17
V7.0
Ejercicios
vacío
5. Para investigar los flujos más a fondoActividad de redde la interfaz web de QRadar SIEM,
haga clic enMas opciones>Abrir en Actividad de red.
ElActividad de redSe abre una pestaña en la ventana principal con el resultado de la consulta AQL que produce el
widget del panel de control de polarización de flujo que creó.
6. Desde la barra de tareas del navegador, en la parte inferior de la ventana del navegador, seleccione la ventana del widget
Sesgo de flujo y ciérrela.
7. Revise los gráficos, luego cierre la pestaña del navegador Lista de flujo en la parte superior de la ventana del navegador.
Pista:Al igual que los gráficos en los elementos del tablero, puede acercar, ocultar gráficos y pasar el puntero
del mouse sobre el gráfico para ver los bytes registrados en intervalos de 1 minuto. Si desea configurar lo que
se muestra en el gráfico, haga clic en elAjustesicono en el encabezado. Esas opciones no están disponibles en
este entorno virtual.
18
V7.0
Ejercicios
Ejercicio 6 Investigación de un delito de acceso remoto
vacío Ejercicio 6 Investigando un acceso remoto

ofensa
Elnormasde QRadar SIEM correlaciona eventos, flujos y otra información para detectar indicadores de
compromiso o ataques. Si se cumplen las condiciones de prueba de la regla, una regla puede crear unaofensao
añadir información a un delito existente. Un delito alerta sobre actividad sospechosa y enlaces a información
útil para investigarlo.
QRadar SIEM viene con reglas preconfiguradas. Las extensiones pueden agregar más reglas. Puede crear
sus propias reglas para observar indicadores específicos o observar cambios de comportamiento o
anomalías. Este ejercicio se basa en una regla de una extensión y le enseña cómo se estructuran las reglas,
cómo se activan y las diferentes respuestas y acciones que puede personalizar cuando se activan.
Pista:Si desea explorar las reglas de QRadar SIEM, vaya a laOfensapestaña y luego haga clic en
Normasen el panel izquierdo. Esta acción no se admite en este entorno virtual.
Siga estos pasos para navegar a un delito de ejemplo e investigarlo:

1. Para mostrar todos los delitos generados por los datos de muestra que se enviaron antes del comienzo de
este laboratorio, haga clic en elofensaspestaña.
2. Para abrir el resumen de delitos, haga doble clic en el delito con número de identificación 2 con la descripción
deAcceso a escritorio remoto desde Internet que contiene RemoteAccess.MSTerminal Services.
19
V7.0
Ejercicios
vacío
Elresumen del delitomuestra y vincula a una amplia gama de evidencia que es útil para
investigar el ataque sospechado o la violación de la política.
La Magnitud especifica la importancia relativa de la ofensa.

Desplácese hacia abajo para explorar la información que proporciona el resumen del delito. Luego, desplácese hacia
arriba hasta el comienzo del resumen del delito.
Nota:El delito de ejemplo es simple y, por lo tanto, su resumen de delitos contiene poca
información. Para la mayoría de los delitos, el resumen de delitos proporciona más información.
3. Para ver las reglas que contribuyen a este delito, seleccioneNormasdesde elMostrarmenú.
4. Haga doble clic en la regla que se muestra en laLista de reglas que contribuyen al delitomesa. El
Asistente para reglas se abre con la reglaRemoto: acceso a escritorio remoto desde Internet.
20
V7.0
Ejercicios
vacío
Las pruebas evaluadas por esta regla se muestran en la sección central de la ventana Asistente de reglas: Editor de
pilas de pruebas de reglas. La primera prueba comprueba si los flujos son detectados por el sistema local.
Nota:Dentro de la regla, todos los hipervínculos representan variables que puede seleccionar para modificar
el comportamiento de las pruebas y, por lo tanto, las condiciones bajo las cuales se activa la regla.
a. ¿Cuál es la segunda prueba?
_____________________________________________
b. ¿Cuántas variables hay en la segunda prueba?

_____________________________________________
C. ¿Cuál es la tercera prueba?
_____________________________________________
d. ¿Cuántas variables hay en la tercera prueba?

_____________________________________________
21
V7.0
Ejercicios
vacío
Nota:Puede encontrar todas las respuestas a las preguntas de esta guía en elApéndice en la página 48.
5. Puede modificar algunas variables en las pruebas haciendo clic en ellas. Haga clic en ely novariable de
operador lógico de la segunda prueba. Observe que cambia ay, que es la única alternativa para esta
variable.
6. Vuelva a hacer clic para volver ay no.
7. Puede modificar algunas variables seleccionando diferentes opciones de una lista. Haga clic en elDe local a local
variable de contexto de la segunda prueba.
Se abre la ventana de contexto.
a. ¿Cuáles son las opciones disponibles para este contexto?
_____________________________________________
Cercala ventana de contexto.
8. Haga clic en elBloque de construcciónvariables de la tercera prueba.
Pista:Los bloques de construcción están precedidos porCAMA Y DESAYUNO:en sus nombres.
Se abre la ventana de reglas para hacer coincidir.
a. ¿Cuáles son los dos componentes básicos seleccionados para esta variable en la lista Elementos seleccionados?
_____________________________________________
Nota:Los bloques de creación realizan pruebas con muchas variables cuando QRadar recibe sucesos y flujos.
Son útiles porque simplifican la lógica de algunas pruebas y se pueden utilizar como parte de las reglas. Se
configuran de manera similar a las reglas, pero no contienen acciones ni respuestas.
Cercalas reglas para hacer coincidir la ventana.
9. En el Asistente para reglas, haga clic enPróximo.
10. En Acción de regla, observe qué acciones se pueden realizar cuando se activa la regla.
a. ¿Qué acción está habilitada de forma predeterminada?
_____________________________________________
b. ¿En base a qué variable se indexa el delito?

_____________________________________________
22
V7.0
Ejercicios
vacío
Observe las diferentes variables sobre las que se puede indexar el delito.
Nota:La indexación basada en una variable ayuda a identificar un delito de forma única porque esta variable puede
especificar información sobre el delito que es común a todos los eventos que activan las pruebas de una regla.
11. En Respuesta de regla, observe qué respuestas se pueden realizar cuando se activa la regla.
a. ¿Cuántas respuestas se pueden habilitar en total?
_____________________________________________
b. ¿Qué respuesta está habilitada de forma predeterminada?
_____________________________________________
C. ¿Cuáles son las categorías de bajo y alto nivel definidas para el nuevo evento enviado?
_____________________________________________
d. ¿En base a qué variable se indexa el delito?

_____________________________________________
12. Haga clic enPróximo.
13. Revise toda la información que se especificó en las secciones anteriores del Asistente para reglas. Para evitar guardar
cualquier cambio involuntario en la regla, haga clic enCancelar, luego haga clicDE ACUERDO.
Importante:La modificación de la regla puede tener un comportamiento inesperado cuando se desencadenan los delitos. Por
lo tanto, modifique las reglas con precaución.
14. Para ver el flujo que activó las reglas que crearon la infracción, en elRecuento de eventos/flujos campo,
haga clic1 fluye.
Se abre la ventana Lista de flujo. La tabla contiene solo un flujo en este ejemplo.
23
V7.0
Ejercicios
vacío
15. Haga doble clic en el flujo de la tabla para navegar a la ventana Detalles del flujo.
Para investigar más a fondo el flujo, mire la información de flujo, la información de origen y de
destino, y desplácese hacia abajo para ver la carga útil de origen y la información adicional. Toda esta
información es útil cuando investiga una conexión sospechosa.
16. Haga clic enVolver a resultadosen la parte superior izquierda de la ventana Detalles del
flujo. Vuelve a la ventana Lista de flujo.
24
V7.0
Ejercicios
Ejercicio 7 Crear una búsqueda de conexiones RDP a su servidor
vacíoEjercicio 7 Creando una búsqueda para RDP

conexiones a su servidor
Hasta ahora, QRadar SIEM registró solo una conexión RDP a su servidor, pero es posible que pronto se produzcan más
flujos. La lista de flujo muestra los resultados de una búsqueda. Siga estos pasos para refinar y guardar esta búsqueda
para monitorear conexiones RDP recientes adicionales a su servidor:
1. Para hacer que la Lista de flujo muestre los flujos resumidos por dirección IP de origen y prepararlo para una plantilla
de informe, desde laMostrarmenú, seleccioneIP de origen.
2. Todavía en la ventana Lista de flujo, en la columna IP de destino, haga clic en192.168.10.12y seleccione El
filtro en IP de destino es 192.168.10.12.
3. Debido a que abrió la lista de flujos desde un resumen de delitos, filtra los flujos que contribuyen a este
delito en particular. Para eliminar el filtro del delito, haga clic enFiltro clarojunto aEl delito es el
acceso a escritorio remoto desde Internet.
4. Para guardar la búsqueda, haga clic enGuardar criteriosen la barra de herramientas.
25
V7.0
Ejercicios
Ejercicio 7 Crear una búsqueda de conexiones RDP a su servidor
vacío
5. Proporcione los siguientes criterios en elGuardar criterioscampos.
Campo Configuración
Nombre de búsqueda RDP a mi servidor

Opción de intervalo de tiempo Recientes: últimas 24 horas
Asignar búsqueda a grupo(s) Monitoreo de uso

Incluir en mis búsquedas rápidas Sí
Incluir en mi panel Sí
6. Haga clic enDE ACUERDO.
7. En la ventana de confirmación Buscar guardados, haga clic enDE ACUERDOde nuevo.
8. Cierre la ventana Lista de flujo.
Nota:Cualquier búsqueda con una agrupación y guardada con la opciónIncluir en mi panelhabilitado pasa a
estar disponible como un elemento del tablero después de actualizar elPanelpestaña.
9. Haga doble clic en elPanelpestaña para restablecerlo.
26
V7.0
Ejercicios
Ejercicio 8 Investigación de un delito de acceso remoto con la aplicación Analyst
vacío
10. Para agregar la nueva búsqueda al panel seleccionado actualmente, haga clic enAgregar elemento> Actividad
de red> Búsquedas de flujo> RDP a mi servidor.
11. Confirme que el elemento se agrega al tablero.
Nota:El nuevo gráfico está actualmente vacío porque los datos de muestra enviados a QRadar solo tenían una
conexión RDP, por lo que aún no se ha producido otra aparición de la conexión RDP.
Ejercicio 8 Investigación de un delito de acceso

remoto con la aplicación Analyst
La aplicación IBM® QRadar® Analyst es una interfaz de usuario (UI) diseñada para los analistas de su
organización para ayudarlos en sus actividades diarias. Simplifica y agiliza la investigación de delitos con un flujo
de trabajo optimizado y está diseñado para usarse junto con la pestaña Delitos normal.
Esta interfaz de usuario es compatible con QRadar SIEM 7.4 y versiones posteriores. En este ejercicio, investiga el
mismo delito que en el Ejercicio 5. Compara ambas interfaces y experimenta las ventajas que ofrece la aplicación
Analyst.
Importante:Debido a que la interfaz de usuario de la aplicación Analyst está diseñada para un análisis rápido y simplificado
de los delitos, no puede editar las reglas, sus respuestas y sus acciones, como con el Asistente de reglas.
27
V7.0
Ejercicios
vacío
Siga estos pasos para navegar a un delito de ejemplo e investigarlo:
1. Para abrir el menú principal, haga clic en el icono de menú en la esquina superior izquierda de QRadar Console.
2. Haga clic enPruebe la nueva interfaz de usuario.
La aplicación Analyst se abre en una nueva pestaña.
3. Desplácese hacia abajo hasta la parte inferior de la página y luego haga clic en el botón de flecha derecha para llegar a la página 4.
4. Haga clic en el delito número 2 con la descripción deAcceso a escritorio remoto desde Internet que
contiene RemoteAccess.MSTerminal Services.
Se abre el resumen de delitos. Aquí puede ver una descripción general de los detalles del delito que son
útiles para investigar el supuesto ataque o la infracción de la política.
5. Haga clic en la imagen Magnitud.
28
V7.0
Ejercicios
vacío
En el panel Magnitud del delito, puede ver el cálculo de la magnitud y una definición de cada uno de sus
componentes. Desplácese hacia abajo para explorar estas definiciones y luego cierre el panel Magnitud.
6. Una o más reglas que contribuyen a una infracción se muestran a la izquierda, bajoPerspectivas. Para
este delito, solo hay una regla; hacer clicRemoto: acceso a escritorio remoto desde Internet.
En el panel que se abre a la derecha, puede ver la siguiente información sobre la regla. Desplácese hacia abajo
para ver todos los elementos y compárelos con lo que vio en el Asistente para reglas en el Ejercicio 6:
– Una descripción de lo que hace esta regla

– Uno o más grupos a los que pertenece esta regla
– Las pruebas evaluadas por esta regla
– Las acciones de la regla y las variables asociadas a ellas
– Los detalles de la regla
– Las respuestas habilitadas para la regla
7. Cierre el panel de detalles de información de la regla.
Nota:La aplicación Analyst no admite la investigación de flujos asociados con un delito.
29
V7.0
Ejercicios
Ejercicio 9 Creación de una búsqueda de conexiones RDP a su servidor en la aplicación Analyst
vacíoEjercicio 9 Creando una búsqueda para RDP

conexiones a su servidor en la
aplicación Analyst
Aunque no puede explorar los flujos asociados con el delito en la aplicación Analyst, puede realizar
búsquedas avanzadas basadas en cualquier variable disponible en la base de datos de QRadar. En este
ejercicio, crea una búsqueda para las mismas conexiones RDP para las que se creó una búsqueda en el
ejercicio 7, por lo que realiza un seguimiento del delito que investigó en el ejercicio anterior.
1. En los detalles del delito de la aplicación Analyst, tome nota de la IP de destino.
_____________________________________________
2. Desde el menú principal de la aplicación Analyst en la esquina superior izquierda, haga clic enBuscar.
3. En el campo Generador de consultas, escribaseleccione * de eventos donde destinationip =

'192.168.10.12' últimas 2 horas.
Esto muestra los campos de la tabla de eventos con la misma IP de destino que el evento y el flujo que
está involucrado en el delito de RDP en las últimas 2 horas.
30
V7.0
Ejercicios
Ejercicio 9 Creación de una búsqueda de conexiones RDP a su servidor en la aplicación Analyst
vacío
4. Haga clic enEjecutar consultapara mostrar los resultados.
Nota:El campo Query Builder también tiene una función de autocompletar que sugiere parámetros basados en el
texto que está escribiendo. Esta característica no está disponible en este laboratorio virtual.
Aunque no puede guardar este resultado como una búsqueda, puede ver una búsqueda reciente.
5. En el menú principal de la aplicación Analyst, haga clic enBuscarde nuevo.
La consulta reciente se muestra en la sección Última búsqueda; Hacer clicseleccione * de eventos donde
destinationip = '192.168.10.12' últimas 2 horas.
Puede ejecutar esta consulta varias veces para verificar si la dirección IP objetivo es atacada nuevamente
o no, lo que lo ayuda a buscar rápidamente conexiones RDP recientes.
6. Cierra elResultados de búsqueda de QRadarpara volver al panel de instrumentos de QRadar.
31
V7.0
Ejercicios
Ejercicio 10 Creación de una plantilla de informe de acceso remoto
Ejercicio 10 Creación de un informe de acceso remoto

vacío
plantilla
En el ejercicio anterior, aplicó un filtro a los flujos y guardó la búsqueda. Según esta búsqueda guardada,
siga estos pasos para crear una plantilla de informe. Para monitorear el acceso remoto a su servidor, use
la plantilla para generar un informe.
1. Navegue a laInformestabula y eligeAcciones > Crear.
Con QRadar SIEM, puede programar informes para que se generen automáticamente en
momentos específicos. Por ejemplo, el horarioA diarioincluiría todos los flujos del día anterior.
Por lo tanto, dicho informe no incluye el flujo que recibió anteriormente.
3. Para incluir los últimos flujos, dejeA manoseleccionado como programa para la generación de informes. En un paso
posterior, especifica el período de tiempo para el informe.
Nota:Una plantilla de informe QRadar SIEM es un medio para programar y automatizar una o más
búsquedas guardadas.
32
V7.0
Ejercicios
vacío
5. Para el diseño del informe, seleccione el diseño de doble contenedor como se muestra en la siguiente
imagen. Este diseño muestra un gráfico en el primer contenedor y una tabla en el segundo.
7. En elTítulo del informecampo, ingreseRDP a mi servidor.
8. Para elTipo de gráficomenú en el contenedor superior, seleccioneFlujos.
9. El asistente de informes muestra automáticamente los detalles del contenedor. Complete los siguientes pasos:
a. ParaTitulo del gráfico, ingresarCuadro.
b. ParaFecha de inicioyTiempo, yFecha finalyTiempo, seleccione un período de tiempo que incluya el momento
en que capturó el flujo. En este caso, seleccione 7:00 PM como laHora de inicioy 9:30 p.m. como elHora de
finalización.
C. Para buscar y seleccionar la búsqueda que creó en el ejercicio anterior, enEscriba la búsqueda
guardada, tipordpy presionaIngresar.
33
V7.0
Ejercicios
vacío
Nota:Debe presionar Enter en este entorno virtual para acotar el resultado de la búsqueda.
d. Haga doble clic en suRDP a mi servidorbuscar.
mi. Para terminar, haga clic enGuardar detalles del contenedor.
El Asistente para informes muestra la página para volver a especificar el tipo de gráfico.
34
V7.0
Ejercicios
vacío
10. Después de configurar el primer contenedor, utilice los siguientes pasos para configurar el segundo contenedor. El
proceso es similar, pero tiene una diferencia importante. Para elTipo de gráficomenú en el contenedor inferior,
seleccioneFlujos.
11. El asistente de informes muestra automáticamente los detalles del contenedor para el contenedor inferior.
Complete los mismos pasos que para el contenedor superior, pero cambie elTipo de gráficoaMesa.
a. ParaTitulo del gráfico, ingresarDetalles.
b. ParaFecha de inicioyTiempo, yFecha finalyTiempo, deje los valores predeterminados.
C. Para buscar y seleccionar la búsqueda que creó en el ejercicio anterior, enEscriba la búsqueda
guardada, tipordpy presione Entrar.
Nota:Debe presionar Enter en este entorno virtual para acotar el resultado de la búsqueda.
35
V7.0
Ejercicios
vacío
d. Haga doble clic en suRDP a mi servidorbuscar.
mi. Desplácese hacia abajo. ParaTipo de gráfico, seleccionarMesa.
F. Para terminar, haga clic enGuardar detalles del contenedor.
36
V7.0
Ejercicios
vacío
12. Haga clic enPróximohasta llegar a laElija el formato del informepaso. PDF
está preseleccionado.
13. Haga clic enPróximohasta llegar a laTerminandopaso:

a. ParaDescripción del reporte, ingresarSupervisar RDP a mi servidor.
b. ParaGrupos, desplácese hasta el final de la lista y seleccioneMonitoreo de uso. Confirma esoSí:
ejecute este informe cuando el asistente esté completoes seleccionado.
37
V7.0
Ejercicios
vacío
14. Haga clic enPróximode nuevo.
15. Haga clic enFinalizar.
16. En elInformes de búsquedaTipo de campoPDRy haga clic en elInformes de búsquedaicono para filtrar la lista de
informes. QRadar SIEM comienza a generar el informe. Esto lleva aproximadamente un minuto en el entorno real
para completar el informe.
17. Haga clic en elActualizaricono en la parte superior derecha.
18. Cuando haya terminado, QRadar SIEM muestra unPDFicono para la nueva plantilla de informe en la columna
más a la derecha en elInformespestaña. Para ver el informe generado, haga clic en elPDFicono.
Se muestra el informe.
19. Cierre la ventana del informe y vuelva a la consola principal de QRadar.
38
V7.0
Ejercicios
Ejercicio 11 Configuración de la jerarquía de red
vacío Ejercicio 11 Configuración de la jerarquía de red

Confirmó que la dirección IP de origen de la conexión RDP pertenece a su organización. QRadar SIEM creó
un delito porque consideró que la dirección IP de origen era una dirección remota. Por lo tanto, debe
agregar la dirección IP a la jerarquía de red de QRadar SIEM, que es la única forma en que QRadar SIEM
puede identificar una dirección IP como local. Siga estos pasos para agregar una dirección IP a la jerarquía
de la red y evitar generar la ofensa RDP desde la misma IP nuevamente:
1. Para abrir la ventana Jerarquía de red, vaya a laAdministraciónpestaña.
Nota:Si la pestaña Administrador no se muestra en su Consola, abra el menú haciendo clic en el ícono de menú en la
parte superior izquierda, luego ubique y haga clic en "Administrador" en el menú.
2. En la sección Configuración del sistema, haga clic en elJerarquía de redicono.
39
V7.0
Ejercicios
vacío
Se abre la ventana Jerarquía de red.
3. Para crear un nuevo objeto de red, realice los siguientes pasos:

a. Hacer clicAgregar.
Se abre la ventana Agregar red.
b. ParaNombre, ingresarEuropa.
C. Para crear un nuevo objeto de grupo de red, haga clic en elAjustesjunto al campo Grupo.
Se abre la ventana Agregar un nuevo grupo.
d. ParaNombre, ingresarJumpbox.Soporte.Asegúrese de ingresar el período entre Jumpbox y

Support.
mi. Hacer clicAhorrar.
Se cierra la ventana Agregar un nuevo grupo.
40
V7.0
Ejercicios
vacío
F. ParaIP/CIDR(s), ingresar195.54.160.21.
gramo. Haga clic en elAgregarjunto al campo IP/CIDR(s).
H. Hacer clicCrear.
Se cierra la ventana Agregar red.
4. Creó un objeto de red con la única dirección IP del delito. Para crear un nuevo objeto de red
con dos subredes, repitapaso 3con los valores que se muestran en la siguiente tabla.
Nombre Grupo IP/CIDR(s)

Asia Jumpbox.Soporte 195.154.140.0/24
195.154.150.0/24
Nota:Como el grupo de red ya está creado, elijaCompatibilidad con Jumpboxde la lista desplegable
Grupo en su lugar y agregue ambos IP/CIDR enumerados antes de hacer clicCrear.
Importante:ParaIP/CIDR(s), introduzca las subredes con el/24sufijo. Si no introduce un sufijo, QRadar

SIEM toma por defecto el/32sufijo.
41
V7.0
Ejercicios
vacío
5. Para cerrar la ventana, haga clic enCrear.
6. Para mostrar los objetos de red que ha creado, haga clic en elAgregariconos junto aJumpboxy
Apoyoen la ventana Jerarquía de red.
7. Haga clic en los iconos Agregar junto aRed-10-172-192.
Se muestran los intervalos de direcciones IP privadas reservados por la Autoridad de Números Asignados de
Internet (IANA). La jerarquía de la red tiene estos rangos preconfigurados porque no se pueden enrutar a través de
la Internet pública y, por lo tanto, los rangos de direcciones IP privadas solo pueden ser locales.
8. Cierre la ventana Jerarquía de red.
9. Para aplicar sus modificaciones, en laAdministraciónpestaña, haga clicImplementar cambios.
42
V7.0
Ejercicios
Ejercicio 12 Cerrando la ofensa
vacío
Pista:Si hace clicImplementar cambiosno hace nada, haga doble clic en elAdministraciónpestaña. El doble clic
restablece la pestaña a su configuración predeterminada. Hacer clicImplementar cambiosde nuevo.
Nota:QRadar SIEM considera todas las redes que están configuradas en la jerarquía de red como locales para
su organización. Las reglas utilizan esta información para determinar si sospechan un ataque o una infracción
de política.

Después de asumir que la conexión RDP era legítima y actualizar la jerarquía de la red, siga
estos pasos para cerrar el delito:
1. Haga doble clic en elofensaspestaña.
Pista:Al hacer doble clic, se restablece la pestaña a su configuración predeterminada.
2. Seleccione el ID de infracción número 2 con la descripción deAcceso a escritorio remoto desde

Internet que contiene RemoteAccess.MSTerminalServices.
43
V7.0
Ejercicios
vacío
3. Desde elComportamientomenú, seleccioneCerca.
4. Se abre la ventana Cerrar delito. En elNotacampo, introduzca un motivo para cerrar el delito y haga clic enDE
ACUERDO.
Nota:Observe que el delito ya no se muestra en la pestaña Delitos. Además, debido a que

actualizó la jerarquía de la red, este delito ya no se genera en función de la misma IP.
44
V7.0
Ejercicios
Ejercicio 13 Navegación por otras pestañas
vacío Ejercicio 13 Navegación por otras pestañas

Siga estos pasos para explorar más a fondo QRadar SIEM:
1. QRadar SIEM crea automáticamente perfiles de activos para sus equipos locales. Si la dirección IP
de origen o destino de un flujo o evento cae en una de las redes que están configuradas en la
jerarquía de red, QRadar SIEM crea un perfil de activo.
En la interfaz web de QRadar SIEM, haga clic en elActivospara ver qué perfiles de activos se
crean.
2. Para ver eventos entrantes, haga doble clic en elActividad de registropestaña.
Nota:Un icono en la primera columna de laActividad de registroyActividad de redtabulaciones indica

que el evento o flujo contribuye a un delito. Puede navegar hasta el delito haciendo clic en el icono. Esta
acción no se admite en este entorno virtual.
3. Para ver los flujos entrantes, haga doble clic en elActividad de redpestaña.
4. Puede ver los flujos de eventos desde diferentes perspectivas. SeleccionarÚltimos 5 minutosdesde el
Vista seleccione IP de origen y Aplicación en el menúMostrary verifique los resultados.
QRadar SIEM agrupa los flujos según su selección en la lista Mostrar. En este ejemplo, agrupar porIP de
origenmuestra una columna de todas las IP de origen únicas e información de resumen de las otras
columnas, como la cantidad de puertos de destino únicos para cada IP de origen.
5. ElOrígenes de registrode QRadar SIEM reciben los eventos sin procesar. QRadar SIEM identifica muchas fuentes de
registro automáticamente mediante el análisis del formato de los eventos sin procesar entrantes. Si QRadar SIEM
identifica el origen de los eventos sin procesar, crea un objeto de origen de registro. Para abrir el origen del registro
45
V7.0
Ejercicios
vacío
ventana de administración, vaya a laAdministraciónmenú y luego haga clic en elaplicaciones>Gestión de fuentes
de registro de QRadar.
Se abre la ventana Orígenes de registro. Enumera los orígenes de registro que QRadar SIEM creó automáticamente a partir
del análisis de los eventos sin procesar entrantes. También puede importar o crear objetos de origen de registro
manualmente.
Pista:Para obtener más información sobre la aplicación Log Source Management, vea elGestión de fuentes de
registro de QRadarcurso en la Academia de Aprendizaje de Seguridad.
6.Cercala ventana Gestión del origen del registro.
46
V7.0
Ejercicios
vacío
Usó QRadar SIEM para separar la señal del ruido para detectar e investigar actividades
sospechosas.
47
Apéndice
Ejercicio 6, “Investigación de un delito de acceso remoto”, en la página 19
Paso 4 en la página 20
Paso a: ¿Cuál es la segunda prueba?

y NO cuando el contexto de flujo es Local a Local
Paso b: ¿Cuántas variables hay en la segunda prueba?

Dos: “y NO” y “Local a Local”
Paso c: ¿Cuál es la tercera prueba?
y cuando un flujo coincide con todas las siguientes BB:Amenazas:Violaciones de acceso remoto: Acceso a
escritorio remoto desde hosts remotos, BB:Definición de categoría: Comunicación exitosa
Paso d: ¿Cuántas variables hay en la tercera prueba?

Tres: "y", "todos" y "BB: Amenazas: Violaciones de acceso remoto: Acceso a escritorio remoto desde
hosts remotos, BB: Definición de categoría: Comunicación exitosa"
Paso a: ¿Cuáles son las opciones disponibles para este contexto?
De local a local, de local a remoto, de remoto a local y de remoto a remoto
Paso a: ¿Cuáles son los dos componentes básicos seleccionados para esta variable en la lista Elementos seleccionados?
BB:Amenazas:Violaciones de acceso remoto: acceso a escritorio remoto desde hosts remotos,
BB:Definición de categoría: Comunicación exitosa
Paso a: ¿Qué acción está habilitada de forma predeterminada?
Asegúrese de que el flujo detectado sea parte de un delito
Paso b: ¿Con base en qué variable se indexa el delito?

IP de origen
© Copyright IBM Corp. 2020 48

V7.0
Apéndice
vacío
Paso a: ¿Cuántas respuestas se pueden habilitar en total?
Once: Enviar nuevo evento, correo electrónico, enviar a SysLog local, enviar a destinos de reenvío, notificar, agregar a
un conjunto de referencia, agregar a datos de referencia, eliminar de un conjunto de referencia, eliminar de datos de
referencia, activar escaneo y ejecutar acción personalizada
Paso b: ¿Qué respuesta está habilitada de forma predeterminada?
Enviar nuevo evento
Paso c: ¿Cuáles son las categorías de bajo y alto nivel definidas para el nuevo evento enviado?
Nivel bajo: infracción de la política de acceso remoto
Alto Nivel: Política
Paso d: ¿Con base en qué variable se indexa el delito?

IP de origen
49
© Copyright IBM Corp. 2020

IBM Qradar SIEM - En.es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

IBM Qradar SIEM - En.es

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

Uso de IBM QRadar SIEM

Director de licencias de IBM

© Copyright International Business Machines Corporation 2020.

© Copyright IBM Corp. 2020 iii

• Alertas sobre sospechas de ataques y violaciones de políticas en el entorno de TI

• Navegación por la interfaz web

• Administrar la jerarquía de la red

Importante:Estos ejercicios se presentan en un formato de laboratorio virtual. Un laboratorio virtual es una

Puede ejecutar el laboratorio virtual varias veces sin restricciones.

Este laboratorio virtual simula el siguiente entorno:

© Copyright IBM Corp. 2020 1

vacío Ejercicio 1 Inicio de sesión en QRadar SIEM

1. Para iniciar el navegador web, haga doble clic en elFirefoxicono en el escritorio.

Ejercicio 2 Uso de tableros y elementos del

– Crear un nuevo tablero

4. Para crear un tablero adicional, haga clic enNuevo tablero.

Pista:Si desea proporcionar este tablero a otros usuarios, seleccioneCompartir.

6. Para crear el tablero Watch, haga clic enDE

Nota:El sesgo de flujo se explica en detalle en el siguiente ejercicio.

8. SeleccioneActividad de red>Búsquedas de flujo>Sesgo de flujo.

El elemento Sesgo de flujo se muestra en el panel de Control.

Ejercicio 3 Uso de un elemento del tablero

• Solo en: Entrante unidireccional

• Salida mayoritaria: del 70 % al 99 % de los bytes salientes

• Principalmente en: 70% a 99% de los bytes entrantes Este

sesgo es típico de las computadoras de los usuarios.

• Casi igual: proporción de bytes entrantes y salientes entre 31 % y 69 %

mouse sobre el gráfico.

5. Para ampliar a un intervalo de gráfico más corto, haga clic en el gráfico.

llamadaCerca de lo mismo, seguido de la etiqueta denominadamayormente fuera.

10. Cierre la ventana Sesgo de flujo.

Ejercicio 4 Uso de Pulse y widgets

Estas opciones realizan las siguientes tareas del tablero:

– Crear un nuevo tablero

– Configurar el tablero actual

Pista:Al hacer doble clic, se restablece la pestaña a su configuración predeterminada.

5. Haga clic enTablero en blanco.

Se abre la ventana Crear un nuevo tablero.

8. Para crear el panel Watch, haga clic enCrear.

Ahora puede agregar su primer widget a su tablero recién agregado.

10. SeleccioneCrear nuevo widget.

Se abre la ventana Nuevo elemento del tablero.

11. En elNombreTipo de campoSesgo de flujo.

13. En elDeclaración AQLcampo, copie y pegue la siguiente consulta:

14. Desplácese hacia abajo.

16. Desplácese hacia abajo hasta la sección Vistas.

17. EnVer nombre, tipoSesgo de flujo.

18. EnTipo de gráfico, seleccionarGráfico de serie temporaly desplácese hacia abajo.

19. Bajo General, enTiempo (eje x), seleccionarTiempo.

20. EnTipo de serie, seleccionarSerie dinámica.

21. EnSerie dividida por, seleccionarSesgo de flujo.

22. EnValores (eje y), seleccionarBytes totales.

23. Establecer elGráfico de áreayMostrar leyendabotones a Encendido y Sí.

25. EnOrientación de la leyenda, seleccionarAbajo.

Ejercicio 5 Uso de un widget Pulse

2. SeleccionaAbrir en una nueva ventana.

En la leyenda, haga clic enmi(principalmente en), luego haga clic eno(afuera).

vacío Ejercicio 6 Investigando un acceso remoto

Siga estos pasos para navegar a un delito de ejemplo e investigarlo:

La Magnitud especifica la importancia relativa de la ofensa.

a. ¿Cuál es la segunda prueba?

b. ¿Cuántas variables hay en la segunda prueba?