Translated Copy of 291087134-QRadar-XStud

Administering
QRadar SIEM 7.2

Lab Exercises

Administering QRadar SIEM 7.2
____________________________________________________________________
_____________________________________________________________________
2 © QDTS Administering QRadar SIEM 7.2

_____________________________________________________________________
Contents
1. Getting to know the environment ....................
...................................... 7
Exercise 1. Logging into the virtual machine of the operator ... 7
Exercise 2. Logging into the server virtual machine ....

.................................................. 8 2. Using the QRadar SIEM
Dashboard ........ ................... 9
Exercise 1. Creating a new das hboard ................................................. ............ 9 3.
Investigation of incident incidents ................. 11
Exercise 1. Investigation of local incidents with DNS ............................. 11 4. Investigation
of events and incidents .............. .............. 16
Exercise 1. Viewing events related to the incident ... 16
Exercise 2. Saving criteria and search results ............................. 20
Exercise 3. Detailed event information .. ....................................... 22 5. Research
streaming incidents ........................... 25
Exercise 1. Investigation of incidents triggered by otkam data
................................................ .................................................. ................................. 25
6. Using rules and their constituent elements ..... 30
Exercise 1 Create a new rule .............................................. ............... 30
Exercise 2. Analysis of the rules ............................. .................................................. 38
Exercise 3. Working with rule parameters ......................................... .......... 39
Exercise 4. Removing the changes in the rule

................................ .................. 40 7. Creating reports
........................... 43
Exercise 1. Reviewing existing reports ...... ................. ......................... 43
Exercise 2. Creating a new report .................. .............................................. 46
Exercise 3. Creating a new report based on a new search criterion ......... 50 8. Using
administrative tools ...... 56
Exercise 1. Deployment Editor ............... .................................................. ........... 56
Exercise 2. Differences in methods of soft clean and hard clean ........................... ........
60
Exercise 3. Using AutoUpdate and Help ............................................................. 61
_____________________________________________________________________
3
Administering QRadar SIEM 7.2 © QDTS

__________________________________________ ___________________________
9. Creating a network hierarchy ................................................

.. 62
Exercise 1. Specifying network hierarchy objects
........................................ ... 62 10. Increased use of
administrative tools ........................................ 65
Exercise 1. Importing data from an external scanner ...... .................................... 65
Exercise 2. Managing Device Profiles ....... ....................................... 68
Exercise 3. Creating reference sets .... .................................................. ....... 74
Exercise 4. Importing reference set data from a file ................................. ... 75
Exercise 5. Using reference sets in the rules .................. 76
Exercise 6. Index management ..... .................................................. ............ 82 11.
User management .......................................... ........ 87
Exercise 1. Remote Authentication .................................... 87
Exercise 2. User Management ... 91
Exercise 3. Exploring the operation of roles and security profiles ...... ........... 95
Exercise 4. Learning about remote authentication

................................ ......... 97 12. Data management
.................................... ................... 99
Exercise 1. Setting up a backup schedule ........................ 99
Exercise 2. Saving events ............. .................................................. .... 101 13.
Collection of logs and flows ....................................... ....... 103
Exercise 1. Creating and Managing Log Sources
...................................................................................................................... 103
Exercise 2. Creating a Manual Log Source ...

.........................................................................................................
.........................................................................................................
.........................................................................................................
.........................................................................................................
.........................................................................................................
.........................................................................................................
.........................................................................................................
....................................................................................................
108
Exercise 1. Creating an authentication token ...... .............................. 108
Exercise 2. Installing the WinCollect Agent ............. .......................................... 109
Exercise 3. the WinCollect agent association with the log

source .................. 111 15. Managing custom log sources ...
.................................................. .............................. 114
Exercise 1. Export of QRadar SIEM events ............ ....................................... 114
Exercise 2: Using regular expressions .... ................................ 117
_____________________________________________________________________
4 © QDTS Administration QRadar SIEM 7.2

Administration QRadar SIEM 7.2
_____________________________________________________________________
Exercise 3. Creating universal DSM and their association with unknown events
.......................................... .... .................................................. ............... 119
Exercise 4. Creating the Log Source Event ID from the PostgreSQL dsmevent table
..................... ..................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
................................................................................... ..................................................
128
Exercise 1. Interception of RPC Vulnerabilities

........................................... ............. 128 17. Establishment of
rules ................................ 133
Exercise 1. Writing Event Rules .............. .................................... 133
Exercise 2. Invoking Incidents ........ .................................................. .............. 140
18. control false positives ..................... 142
mgmt zhnenie 1. Manage excessive false alarms ............ 142 19. Using the guides in the rules
................. 144
Exercise 1: Creating directories. .................................................. ............ 144
Exercise 2. Creating a custom rule ............................... ........ 145
Exercise 3. Creating search criteria ... ..................... 146
Exercise 4. Creating an ADE rule ...................... ......................................... 148
Exercise 5. Testing the ADE rule .. .................................................. .... 149
Exercise 6. Improvement of the ADE rule ....................................... . ... 150
Exercise 7. Testing the Advanced Rule of ADE .................. 153
_____________________________________________________________________
5

____________________________________________________________________
____________________________________________________________________

_____________________________________________________________________
1. Introducing the medium

Exercise 1. Log in to the virtual machine operator
1. Log on to the virtual machine operator with the Windows operating system using the
following details:
• User name Administrator
• Password: object00
2. Enter the QRadar SIEM console as follows. On the Windows desktop, open the Firefox web
browser. The start page of the browser is the login window for the QRadar SIEM console.
_____________________________________________________________________
7

_____________________________________________________________________
3. Log in using the following details:
• User name: admin
Exercise 2. Logon to the server virtual machine

1. You can access several server virtual machines running RHEL by several ways: directly
through the executable file of the virtual machine or via Putty from the operator virtual machine.
You can choose any of the ways. For access, use the following information:
• Username: root
_____________________________________________________________________

_____________________________________________________________________
2. Using QRadar SIEM Dashboard

Exercise 1. Creating a new dashboard
1. Log on to the server machine and run the following commands to generate events:
cd / labfiles
./sendCheckpoint.sh 1> / dev / null 2> & 1 &
2. Enter the QRadar SIEM console.
3. Click the New Dashboard button.
4. In the Name field, type My Own Dashboard.
5. Complete the Description field in any way.
6. Click OK. The new dashboard is empty by default and you must add items to fill it.
_____________________________________________________________________
9
Administration QRadar SIEM 7.2 © QDTS

_____________________________________________________________________
7. To add a new item on the dashboard of the Add Item box, select the following
items: • Offenses> Offenses> Most Severe

Log Activity> Event Searches> Event Rate (EPS)
8. Place the items as you like.
9. Click Refresh to refresh the screen.
10. Make sure that your dashboard contains two log events and one incident element.
_____________________________________________________________________

_____________________________________________________________________
3. Investigating incident incidents

Exercise 1. Investigating local incidents with DNS
1. In the QRadar SIEM console, double-click the Offenses tab.
2. Select the following incident: Local DNS Scanner containing Invalid DNS. You can find the
incident you are interested in using the search engine. From the Search list, select New Search.
_____________________________________________________________________
11

_____________________________________________________________________
3. In the search options in the Description field, enter the Local DNS Scanner. Note that this field
is case sensitive.
4. Click Search. The results that meet the criteria are displayed.
5. Answer the following questions regarding the incident.
What type of incident?
_____________________________________________________________________
What is the source of the incident?
_____________________________________________________________________
What is the magnitude of the incident? To display the exact value, you must point the cursor to a
graphic bar of magnitude.
_____________________________________________________________________
Which network belongs to the source IP (Source IP) of the incident? To see it, you need to move
the cursor to the Offense Source field.
____________________________________________________________________
_____________________________________________________________________

____________________________________________________________________
6. Double-click on the Local DNS Scanner Invalid DNS incident to view the page with summary
information. On this page you can find detailed information about the incident.
7. Answer the following questions about this incident.
How many events or threads are associated with this incident?
_____________________________________________________________________
When did the incident occur?
_____________________________________________________________________
Does the source IP (Source IP) of the incident in other incidents?
_____________________________________________________________________
How many end IP addresses (Destination IP) are included in the incident?
_____________________________________________________________________
_____________________________________________________________________
13

_____________________________________________________________________
Open the list of categories into the incident. To do this, select Categories from the Display list.
What are the categories of the incident?
____________________________________________________________________
_____________________________________________________________________
What can you learn about this incident from its annotation? To get to the page with the
annotation, from the Display list select Annotations.
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
_____________________________________________________________________
What is the name of the event, event category and destination port (Destination Port) for events
from the Last 10 Events list? You can find them by clicking the Summary button and scrolling
down the list.
_____________________________________________________________________
In what types of server communication is this destination port used?
____________________________________________________________________
_____________________________________________________________________

____________________________________________________________________
8. Do the following with this incident. In the Actions field, select Add Note. Enter any note and
click Add Note.
9. To protect the incident in the Actions field on the page with summary information about the
incident, select Protect Offense. The Protected icon should light up in the status of the incident in
the flag column.
Why do we need to protect incidents?
____________________________________________________________________
____________________________________________________________________
_____________________________________________________________________
Ad
ministration of QRadar SIEM 7.2 © QDTS

_____________________________________________________________________
4. Investigating Events and Incidents

Exercise 1. Viewing incident events
1. In the QRadar SIEM console, double-click the Offenses tab.
2. Locate and double-click on the Local DNS Scanner containing invalid DNS
incident.
3. Display the low-level categories of events associated with the incident by selecting Categories
in the Display field.
_____________________________________________________________________

_____________________________________________________________________
4. To investigate incident events in the low-level DNS Protocol Anomaly category, right-click
the DNS Protocol Anomaly table row and select Events. A page with a list of relevant events will
open.
5. Create a filter that excludes IP sources that are associated with the Local DNS Scanner
incident. To do this, select the event, right-click the source address and select Filter on Source IP
is not 10.152.247.69.
6. What were the results of the filter?
_____________________________________________________________________
7. What do these results show?
_____________________________________________________________________
_____________________________________________________________________

_____________________________________________________________________
17

_____________________________________________________________________
8. To view related queries not related to the incident, click the Clear Filter button for Offense is
Local DNS Scanner filter.
9. What results were displayed? Why?
10. To view events in the last 24 hours, in the View list, select Last 24 Hours.
_____________________________________________________________________

____________________________________________________________________
11. If there have been no events in the last 24 hours, put a range of 7 last days. Examine other
suspicious DNS requests from other sources.
_____________________________________________________________________
19

____________________________________________________________________
Exercise 2. Saving search criteria and results

1. Save search criteria. To do this, click the Save Criteria button. The Save Search Criteria
window opens.
2. Enter the options for saving search criteria, in accordance with the following
data: • Search Name My DNS Protocol Anomaly

24 Hours
• Include in my Quick Searches activated
• Set as Default is not activated
• Share with Everyone is not activated
_____________________________________________________________________

_____________________________________________________________________
3. Verify that the settings look like the picture and click OK.
4. Now save the current search results. To do this, click the Save Results button. The window for
saving search results will open.
5. In the name field, enter My DNS Protocol Anomaly Search Results. Click OK.
6. Refer to the previously saved results. To do this, open the Search list and select Manage
Search Results.
_____________________________________________________________________
21

_____________________________________________________________________
7. In the window that opens, select your previously saved the result and click the Delete button.
Exercise 3. Detailed event information

1. In the QRadar SIEM console, double-click the Log Activity tab.
2. In the window that opens, click the Quick Searches button.
_____________________________________________________________________

_____________________________________________________________________
3. Select the previously saved search criteria. If you do not see your criteria in the list, try
refreshing the page: double-click the Log Activity tab again and click Quick Searches.
4. If no events were found based on the search results, increase the search period to a week. In
the search results, double click on the event. A page with detailed information about the event
will open.
_____________________________________________________________________
23

_____________________________________________________________________
5. Think whether the log messages displayed in the Payload Information field are a DNS security
and firewall security issue. To navigate between events, use the Previous and Next buttons.
6. Return to the list of events by clicking the Return to Event List button.
_____________________________________________________________________

_____________________________________________________________________
5. Investigating streaming incidents

Exercise 1. Investigating incidents that occur over data
streams
1. From the server virtual machine, to generate network traffic, run the following commands:
cd / labfiles
./startRdp.sh
2. In the QRadar SIEM console, click the Network Activity tab.
3. Check if there are network events and if incidents are triggered. This may take some time. If a
network event causes an incident to occur, a red icon will light up to the left of the event.
_____________________________________________________________________
25

_____________________________________________________________________
4. To investigate the incident, click on the red icon. You can choose any. Take into account that
between the time the red icon appears and the time of the full creation of the incident, some time
passes!
5. Firefox can block pop-ups. To disable this, you must perform the following sequence of
actions in the Firefox panel: Tools> Options> Content> Disable block pop-up windows> OK.
6. In the resulting summary incident information window, find the following information.
What is the name of the incident?
_____________________________________________________________________
Каков тип инцидента и его источник?
_____________________________________________________________________
Какой конечный IP (Destination IP) фигурирует в
инциденте?
_____________________________________________________________________
_____________________________________________________________________
26 © QDTS Администрирование QRadar SIEM 7.2

QRadar SIEM 7.2
_____________________________________________________________________
Сколько событий ассоциировано с данным
инцидентом?
_____________________________________________________________________
Сколько потоков ассоциировано с данным
инцидентом?
_____________________________________________________________________
Какие правила относятся к данному
инциденту? Чтобы это выяснить в списке Display
выберите пункт Rules.
_____________________________________________________________________
7. Чтобы исследовать поток, связанный с
инцидентом, нажмите кнопку Flows на странице
суммарной информации об инциденте.
Откроется страница списка потоков.
_____________________________________________________________________
27
QRadar SIEM 7.2 © QDTS

QRadar SIEM 7.2
_____________________________________________________________________
8. Дважды кликните по сетевому событию, чтобы
открыть страницу детальной информации о
потоке.
9. Ответьте на следующие вопросы.
Каково направление потока?
_____________________________________________________________________
Каково имя приложения?
_____________________________________________________________________
Основываясь на своих наблюдениях,
попробуйте предположить, какое поведение
отслеживает данный инцидент.
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
10. Пометьте событие, как событие, приведшее к
ложному срабатыванию. Для этого кликните по
кнопке False Positive.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
11. В открывшемся окне кликните Tune, а затем Close.
12. Закройте страницу детальной информации о
потоке.
13. Закройте инцидент. Для этого в
навигационном меню вкладки Offenses выберите All
Offenses.
14. Из списка Actions выберите пункт Close.
15. В списке причин закрытия инцидента Reason for
Closing выберите пункт False-Positive, Tuned. Нажмите OK.
_____________________________________________________________________
29

QRadar SIEM 7.2
_____________________________________________________________________
6. Использование правил и их составных

элементов
Упражнение 1. Создание нового правила
1. Чтобы создать новое правило, в нашем случае
сперва потребуется создать список
отслеживаемых пользователей. Для этого в
консоли QRadar SIEM откройте вкладку Admin.
2. Щелкните по кнопке Reference Set Management.
3. В открывшемся окне нажмите кнопку Add.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
4. В поле Name введите значение My Watchlist. Оставьте
тип AlphaNumeric и нажмите Create.
5. Сейчас сущность My Watchlist не имеет элементов.
Дважды щелкните по ней.
6. С помощью кнопки Add добавьте следующие
элементы:
• dcross
• gyates
• jchong
• jstarco
• krussell
• wallenberg
7. Закройте все открытые ранее окна и
перейдите во вкладку Log Activity.
_____________________________________________________________________
31

QRadar SIEM 7.2
_____________________________________________________________________
8. В списке Rules выберите пункт Rules.
9. Из списка Actions выберите пункт New Event Rule.
Откроется мастер создания правил.
10. Дважды кликните Next, пока не откроется
редактор правил.
11. В поле Apply введите My Watchlist Rule.
12. Необходимо добавить к правилу тест when any of these event properties
are contained in any of these reference set(s).
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
Чтобы это сделать, в поле Type to filter добавьте фильтр when any of these
event. Щелкните по зеленому плюсу напротив теста when any of these event
properties are contained in any of these reference set(s).
13. Щелкните по гиперссылке these event properties.
14. В открывшемся окне выберите пункт Username,
нажмите Add +, а затем Submit.
15. Таким же образом подставьте в качестве
тестового объекта these reference set(s) значение My
Watchlist.
_____________________________________________________________________
33

QRadar SIEM 7.2
_____________________________________________________________________
16. Добавьте второй тест. Для этого в списке Test
Group выберите пункт Functions – Simple.
17. Щелкните по зеленому плюсу напротив
единственного доступного теста. Щелкните
по гиперссылке rules.
18. Добавьте в поле Type to filter фильтр BB:Category. Выберите пункт
BB:CategoryDefinition: Authentication Success и нажмите Add. Нажмите
Submit.
19. Добавьте правило в группу Authentication и введите в поле Notes
следующую заметку: This rule tracks successful logon of Watchlist users.
Нажмите Next.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
20. Сконфигурируйте действие правила
следующим образом:
• Ensure the detected event is part of an offense активировано
• Index offense based on Username
• Annotate this offense активировано Watchlist user successful login
• Annotate event активировано
• Enter annotation for this event Watchlist user
successful login
• Dispatch New Event активировано
• Event Name Watchlist user login
• Event Description Watchlist user login
• Severity 8
• Credibility 10
• Relevance 10
• High Level Category Authentication
• Low Level Category User Login Success
• Annotate this offense Watchlist user login
• Ensure the dispatched event is part of an offense активировано
• Index offense based on Username
• This information should contribute to the активировано naming of the
associated offense(s)
_____________________________________________________________________
35

QRadar SIEM 7.2
_____________________________________________________________________
21. Убедитесь, что вы сконфигурировали
правило, как на картинке и нажмите Next.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
22. Убедитесь, что страница суммарной
информации выглядит похожим образом, и
нажмите Finish.
23. Откройте вкладку Log Activity. В поле View выберите пункт Real Time
(streaming).
24. Из виртуальной серверной машины
сгенерируйте поток событий для
срабатывания событий:
cd /labfiles
./sendWindows.sh
25. Подождите пару минут, пока не появятся
инциденты. Найдите инциденты, вызванные
ранее созданным правилом.
26. Ответьте на несколько вопросов.
_____________________________________________________________________
37

QRadar SIEM 7.2
_____________________________________________________________________
Сколько инцидентов породило именно Ваше
новое правило?
_____________________________________________________________________
С какими пользователями связаны нарушения?
_____________________________________________________________________
Упражнение 2. Анализ правил

1. Найдите рассмотренный Вами ранее
инцидент Local DNS Scanner containing Invalid DNS.
2. Ответьте на следующие вопросы, касательно
данного инцидента.
Как называется правило, вызвавшее данный
инцидент?
_____________________________________________________________________
Что привело к срабатыванию правила?
_____________________________________________________________________
_____________________________________________________________________
Если бы Ваше исследование, что срабатывание
ложное, как бы Вы смогли изменить поведение
правила так, чтобы оно не создавало инцидент
по ложному IP адресу?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 3. Работа с параметрами правила

1. В консоли QRadar SIEM откройте вкладку Offenses.
2. Откройте подпункт Rules.
3. Упорядочьте правила по убыванию
количества вызванных инцидентов, дважды
щелкнув по заголовку Offense Count.
4. Какое правило вызвало наибольшее
количество инцидентов?
_____________________________________________________________________
5. Сколько событий или потоков
ассоциировано с правилом My Watchlist Rule?
_____________________________________________________________________
6. Сколько инцидентов связано с данным
правилом?
_____________________________________________________________________
_____________________________________________________________________
39

QRadar SIEM 7.2
_____________________________________________________________________
7. Перейдите в подпункт All Offenses. Выберите инцидент An account was
successfully logged on.
8. Из списка Actions выберите пункт Close.
9. В открывшемся окне в списке Reason for Closing
выберите пункт Policy Violation и нажмите OK.
10. Снова перейдите в подпункт Rules. Найдите там
правило My Watchlist Rule.
11. Сколько теперь с ним ассоциировано
событий или потоков?
_____________________________________________________________________
12. Сколько теперь с ним связано инцидентов?
_____________________________________________________________________
Упражнение 4. Удаление изменений в правиле

1. Откройте вкладку Offenses в QRadar SIEM консоли.
Зайдите в подпункт All Offenses.
2. Дважды кликните по инциденту Communication to a known Bot Command
and Control с источником инцидента 10.126.152.5.
3. Перейдите к событиям инцидента. Пометьте
событие Firewall Deny как приведшее к ложному
срабатыванию.
4. Перейдите в подпункт Rules вкладки Offenses.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
5. В списке Display выберите пункт Building Blocks. В
списке Group выберите пункт User Tuning.
6. Найдите там составной элемент правила
User-BB-FalsePositive: User Defined False Positives Tuning. Данный элемент
был изменен по сравнению со своим исходным
значением.
7. Дважды кликните по данному элементу. В
открывшемся редакторе кликните по
гиперссылке с содержимым CAT.
8. В открывшемся окне выберите любой пункт и
нажмите Remove и Submit.
9. Нажмите Finish. Теперь верните правило к
своему исходному системному значению. Для
этого снова выберите данный элемент и
нажмите Revert Rule.
_____________________________________________________________________
41

QRadar SIEM 7.2
_____________________________________________________________________
10. Открывшееся окно покажет исходное
системное значение. Нажмите OK.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
7. Создание отчетов
Упражнение 1. Просмотр существующих отчетов
1. QRadar SIEM включает более 1500 готовых отчетов.
Воспользуйтесь существующим отчетом. Для
этого в консоли QRadar SIEM перейдите по вкладке
Reports.
2. Чтобы отобразить все отчеты, снимите пункт
Hide Inactive Reports.
3. В списке Group выберите пункт SOX.
4. В поле Search Report введите Daily Top и кликните по
иконке поиска, чтобы применить фильтр.
5. Выберите Daily Top Targeted Hosts.
_____________________________________________________________________
43

QRadar SIEM 7.2
_____________________________________________________________________
6. В списке Actions выберите пункт Run Report.
7. Пока генерируется отчет, ответьте на пару
вопросов.
Какая группа содержит отчет Daily Top Targeted Hosts?
_____________________________________________________________________
8. Дважды кликните по отчету Daily Top Targeted Hosts.
Откроется мастер отчетов.
9. Кликайте Next, пока не увидите страницу Specify
Report Contents.
10. Кликните Define на верхнем контейнере.
Откроется детальная информация.
Какое имя у критерия поиска событий, который
генерирует данные для контейнера?
_____________________________________________________________________
Какой используется тип графика?
_____________________________________________________________________
Какие параметры отображаются на осях X и Y
графика?
_____________________________________________________________________
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
11. Нажмите кнопку Cancel, чтобы выйти из
описания контейнера (это не самая нижняя
кнопка Cancel; чтобы ее увидеть, необходимо
пролистать информацию о контейнере до
конца).
12. Нажмите кнопку Define у нижнего контейнера.
Откроется страница описания контейнера.
Какое имя у критерия поиска событий, который
генерирует данные для этого контейнера?
_____________________________________________________________________
Какие параметры отображаются на осях X и Y
графика этого контейнера?
_____________________________________________________________________
13. Нажмите Cancel, чтобы выйти из описания
контейнера (это не самая нижняя кнопка Cancel;
чтобы ее увидеть, необходимо пролистать
информацию о контейнере до конца).
14. Дважды нажмите Next и убедитесь, что отчет
генерируется в pdf формате.
15. Нажмите Cancel, чтобы выйти из мастера
отчетов.
_____________________________________________________________________
45

QRadar SIEM 7.2
_____________________________________________________________________
16. Нажмите кнопку Refresh и проверьте статус
генерации отчета Daily Top Targeted Hosts.
17. Когда отчет будет готов, кликните по
иконке PDF в колонке Formats, чтобы посмотреть
отчет.
18. Очистите все фильтры отчетов. Для этого в
списке Group выберите пункт Reporting Group и очистите
поле Search Report.
Упражнение 2. Создание нового отчета

1. Во вкладке Reports в списке Actions выберите пункт
Create. Кликните по кнопке Next.
2. На странице This report should be scheduled to generate выберите
опцию Daily и выберите дни недели с
понедельника по пятницу. Кликните Next.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
3. На странице Choose a Layout из списка Orientation выберите пункт
Landscape.
4. Кликните по макету, состоящему из одного
контейнера, и нажмите Next.
5. На странице Specify Report Content в поле Report Title введите Top Log
Sources.
6. В списке Chart Type выберите пункт Events/Logs.
7. Сконфигурируйте детали контейнера в
соответствии со следующими параметрами:
• Chart Title My Top Log Sources
• Limit the Events/Logs to Top 10
• Graph Type Stacked Line
• Saved Searches Top Log Sources
• Horizontal (X) Axis Event Count (Sum)
• Timeline Interval 1 Minute
_____________________________________________________________________
47

QRadar SIEM 7.2
_____________________________________________________________________
8. Убедитесь, что контейнер сконфигурирован
как на картинке, и нажмите Save Container Details. Если
фон контейнера стал зеленым, то это
означает, что контейнер имеет содержимое и
был успешно сконфигурирован.
9. Дважды кликните Next.
10. На странице Report Format выберите HTML и PDF.
11. Нажимайте Next, пока не достигните страницы
Finishing Up.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
12. В поле Report Description введите The Daily Top Log Sources report lists
the top ten log sources by event count.
13. Убедитесь, что пункт Run this report when the wizard is complete
активирован.
14. Кликните Next, а затем Finish.
15. Щелкните по иконке Refresh, чтобы обновить
статус генерации ранее созданного отчета My
Top Log Sources.
16. Когда отчет будет сгенерирован (это можно
понять по полю Next Run Time), кликните по иконке PDF
в колонке Formats, чтобы посмотреть отчет.
_____________________________________________________________________
49

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 3. Создание нового отчета на базе нового

критерия поиска
1. В консоли QRadar SIEM кликните по вкладке Log Activity.
2. Из списка View выберите пункт Last 3 Hours.
3. Нажмите Add Filter и в открывшемся окне
заполните поля: в первом списке выберите Custom
Rules; во втором списке выберите Equals; в списке Rule
Group выберите Authentication; в поле Rule выберите My Watchlist
Rule.
4. Нажмите Add Filter.
5. Сгруппируйте результат поиска по имени
пользователя. Из списка Display выберите пункт
Username.
6. Сохраните критерии поиска. Для этого
щелкните Save Criteria.
7. В поле Search Name введите Watchlist User Logins by Username. Добавьте
свой критерий к группе Authentication, Identity and User Activity.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
8. Убедитесь, что параметры сохранения
критериев поиска выглядят как на картинке, и
нажмите OK.
9. Создайте еще один критерий поиска. Для
этого в списке Search выберите пункт New Search.
10. Введите Watchlist в поле Type Saved Search. Выберите свой
предыдущий сохраненный критерий Watchlist User Logins
by Username в отобразившемся списке и нажмите Load.
11. Сгруппируйте результат поиска по IP
источника событий (Source IP) первично и вторично
по имени пользователя (для того, чтобы
сгруппировать результат по источнику
событий, поле Log Source вначале надо удалить из
результатов поиска, а потом добавить в
список Group By; также и с именем пользователя).
Включите колонки Start Date и Start Time в результаты
поиска. Упорядочьте результат поиска по
убыванию поля Count.
_____________________________________________________________________
51

QRadar SIEM 7.2
_____________________________________________________________________
12. Убедитесь, что параметры вашего поиска
выглядят похожим образом и нажмите Search.
13. Сохраните критерии данного поиска. Для
этого щелкните по кнопке Save Criteria, в поле Search Name
введите Watchlist User Logins by Log Source.
14. Добавьте сохраняемый критерий поиска в
группу Authentication, Identity and User Activity и нажмите OK.
15. Откройте вкладку Reports.
16. В списке Actions выберите пункт Create. Щелкните
Next в открывшемся окне.
17. На странице This report should be scheduled to generate выберите
Manually.
18. На странице Choose a Layout из списка Orientation выберите пункт
Landscape.
19. Выберите макет, состоящий из двух
контейнеров, и щелкните Next.
20. На странице Specify Reports Contents в поле Report Title введите
Terminated user logins.
21. Для верхнего контейнера в списке Chart Type
выберите пункт Event/Logs.
22. Сконфигурируйте детальную информацию о
контейнере в соответствии со следующей
информацией:
• Type Chart Title Terminated user logins
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
• Graph Type Bar
• Manually Scheduling Начиная с 24 часов ранее текущего
времени сервера по текущее системное время
сервера
• Saved Searches Watchlist User Logins by Username
• Horizontal (X) Axis Username
• Vertical (Y) Axis Count
Чтобы задать параметры времени необходимо
будет посмотреть системное время на
серверной виртуал� �ной машине.
23. Убедитесь, что параметры контейнера
выглядят похожим образом, и нажмите Save Container
Details.
24. Для нижнего контейнера в списке Chart Type
выберите пункт Events/Logs.
_____________________________________________________________________
53

QRadar SIEM 7.2
_____________________________________________________________________
25. Сконфигурируйте этот контейнер в
• Type Chart Title Terminated user logins by IP
• Graph Type Table
• Manually Scheduling значения из предыдущего
контейнера
• Saved Searches Watchlist User Logins by Log Sources
26. Нажмите Save Container Details.
27. Дважды кликните Next. На странице Report Format
выберите HTML и PDF.
28. Щелкайте Next до тех пор, пока не достигните
страницы Finishing Up.
29. В поле Report Description введите Watchlist User Logins.
30. Добавьте отчет к группе Authentication, Identity and User Activity.
31. Убедитесь, что пункт Yes - Run this report when the wizard is complete
активирован, и нажмите Finish.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
32. Щелкните иконку Refresh, чтобы обновить
статус генерации отчета. Когда отчет
сгенерируется, щелкните иконку PDF в колонке
Formats, чтобы его отобразить.
_____________________________________________________________________
55

QRadar SIEM 7.2
_____________________________________________________________________
8. Использование административных
инструментов
Упражнение 1. Deployment Editor
1. Откройте вкладку Admin и дважды кликните по
кнопке Deployment Editor.
2. Нажмите OK, чтобы открыть окно с Java
приложением.
3. Нажмите Run, чтобы игнорировать
предупреждение безопасности.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
4. Нажмите No, чтобы не блокировать Java
компоненты. Далее откроется окно Deployment Editor.
_____________________________________________________________________
57

QRadar SIEM 7.2
_____________________________________________________________________
5. Щелкните правой кнопкой по компоненте
qflow0::COE и выберите пункт Configure.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
6. В открывшемся окне нажмите по кнопке Advance
(Advan...).
7. Объясните назначение некоторых
параметров. Какие значения для них заданы?
Maximum Data Capture/Packet
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Maximum Content Capture
_____________________________________________________________________
_____________________________________________________________________
8. Нажмите кнопку Cancel и закройте Deployment Editor.
_____________________________________________________________________
59

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 2. Отличия в методах soft clean и hard clean

1. Во вкладке Admin нажмите по кнопке Advanced.
2. Выберите пункт Clean SIM Model. Доступно два
метода: Soft Clean и Hard Clean.
3. Нажмите на значок вопроса в правом углу
окна. Откроется справка.
4. Попробуйте с помощью справки объяснить
назначение двух разных методов.
Soft Clean
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Hard Clean
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
5. Закройте окно со справкой и затем закройте
окно Reset Clean SIM Data Model.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 3. Использование автообновлений и справки

1. Во вкладке Admin дважды кликните по кнопке Auto
Update.
2. В навигационном меню щелкните по кнопке
Change Settings. Откроется вкладка Update Configuration.
3. Нажмите кнопку Advanced. В поле Web Server введите
http://www.ibm.com/support/fixcentral/.
4. Убедитесь, что в поле Directory выбран пункт
autoupdates/.
5. Щелкните по кнопке Basic.
6. Сконфигурируйте расписание
автообновления в соответствии со
следующими данными:
• Frequency Weekly
• Hour 12:00 PM
• Week Day Tuesday
Для того, чтобы узнать, как это сделать,
используйте справку. Вам потребуются пункт
Setting up QRadar SIEM и пункт Setting up a QRadar SIEM update server.
7. Нажмите Save и закройте окно Update Configuration.
Сейчас сервер QRadar SIEM не сможет соединиться
с сервером обновлений, т.к. тестовая среда
изолированная, но этот метод будет полезен в
дальнейшем в продуктивной среде.
_____________________________________________________________________
61

QRadar SIEM 7.2
_____________________________________________________________________
9. Создание сетевой иерархии

Упражнение 1. Задание объектов сетевой иерархии
1. Во вкладке Admin щелкните по кнопке Network Hierarchy.
2. В открывшемся окне выберите группу all и
нажмите Add.
3. Щелкните по кнопке Add Group напротив поля Group.
4. В новой группе введите Europe.Sales и нажмите OK.
5. Добавьте сетевой объект с использованием
следующих значений:
• Name Ireland
• Weight 50
• IP/CIDR(s) 87.198.175.120/32
• Color любой
• Database Length System – Network Object Default
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
6. Убедитесь, что параметры выглядят похожим
образом и нажмите Save.
7. Щелкните Return. Убедитесь, что получили
правильную иерархию групп.
8. Создайте три дополнительных сетевых
объекта с использованием следующих
значений:
• Group Americas.HQ
• Name Sales
• Weight 50
• IP/CIDR(s) 55.0.0.0/8
10.1.121.0/24
_____________________________________________________________________
63

QRadar SIEM 7.2
_____________________________________________________________________
• Group Americas.HQ
• Name Development
• Weight 50
• IP/CIDR(s) 74.0.0.0/8
• Group Asia.Turkey
• Name Support
• Weight 50
• IP/CIDR(s) 94.122.0.0/16
9. Убедитесь, что новые группы и объекты
выглядят похожим обр� �зом, и закройте окно
Network Views.
10. Во вкладке Admin щелкните Deploy Changes.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
10. Расширенное использование

административных инструментов
Упражнение 1. Импорт данных из внешнего сканера
1. Убедитесь, что не существует профилей
устройств с уязвимостями. Для этого в
консоли QRadar SIEM зайдите во вкладку Assets.
2. В навигационном меню щелкните по вкладке
Asset Profiles.
3. Отсортируйте вывод в порядке убывания
колонки Vulnerabilities.
4. Теперь добавьте внешний сканер. Для этого
во вкладке Admin щелкните по кнопке VA Scanners.
5. В открывшемся окне щелкните Add. Добавьте
новый сканер с использованием следующих
значений:
• Scanner Name My Nessus Scanner
• Description Exercise
• Type Nessus Scanner
• Collection Type Scheduled Results Import
• Remote Results Hostname 192.168.10.10
• Remote Results Port 22
• SSH Username root
• SSH Password object00
• Enable Key Authentication не активировано
_____________________________________________________________________
65

QRadar SIEM 7.2
_____________________________________________________________________
• Remote Results Directory /labfiles/VIS
• Remote Results File Pattern .*\.nessus
• Remote Results Max Age 7
• CIDR Ranges 0.0.0.0/0
6. Убедитесь, что параметры
сконфигурированы как на картинке, и нажмите
Save.
7. Во вкладке Admin щелкните по кнопке Deploy Changes.
8. Теперь обновите файлы в директории /labfiles/VIS,
чтобы они учитывались сканером. Войдите в
консоль сервера и введите следующие
команды:
cd /labfiles/VIS
touch *
9. Вернитесь в консоль QRadar и в окне VA Scanner,
выбрав My Nessus Scanner, кликните Schedule.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
10. Нажмите Add. Создайте новый календарь с
использованием следующих параметров:
• VA Scanner My Nessus Scanner
• Network CIDR 0.0.0.0/0
• Priority Low
• Ports 1-63553
• Start Time сегодня + 2 минуты от текущего
времени
• Interval 0 Hours
11. Убедитесь, что параметры
сконфигурированы как на картинке, и нажмите
Save.
12. Подождите две минуты и проверьте статус
расписания. Он должен перейти в состояние
Complete.
13. Закройте открытые окна и перейдите во
вкладку Assets.
14. В навигационном меню кликните по кнопке
Assets Profiles. Отсортируйте вывод по убыванию
колонки Vulnerabilities. Убедитесь, что появились
новые профили устройств с уязвимостями.
_____________________________________________________________________
67

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 2. Управление профилями устройств

1. Во вкладке Asset выберите адрес 10.0.100.162.
2. В открывшемся окне кликните по кнопке Display и
выберите пункт Services.
3. Посмотрите на сервисы, распознанные по
данному адресу.
4. Закройте окно и кликните по адресу 192.168.10.10.
5. В открывшемся окне кликните по кнопке
Application.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
6. Нажмите Search.
Что Вы видите в открывшемся окне?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
7. Закройте открытые окна.
8. Теперь обновим MAC адрес и IP адрес для
устройства 192.168.10.10. Для этого в консоли
сервера QRadar введите команду:
ifconfig
_____________________________________________________________________
69

QRadar SIEM 7.2
_____________________________________________________________________
9. Перепишите MAC адрес и IP каждого устройства.
Адреса Ваших устройств могут отличаться от
MAC адресов на картинке.
eth0
_____________________________________________________________________
eth1
_____________________________________________________________________
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
10. В свойствах профиля устройства с адресом
192.168.10.10 кликните по кнопке Edit Asset.
11. Во вкладке MAC & IP Address выберите пункт Unknown NIC
и щелкните по кнопке Edit.
12. Измените MAC адрес на адрес устройства eth0,
записанный ранее, и нажмите OK.
13. Кликните по кнопке New MAC Address и введите
адрес второго устройства eth1, также
записанный ранее. Нажмите Add.
14. Выберите новый MAC адрес устройства eth1 и
щелкните по кнопке New IP Address.
15. Введите IP адрес устройства eth1 и нажмите Add.
_____________________________________________________________________
71

QRadar SIEM 7.2
_____________________________________________________________________
16. Убедитесь, что конфигурация выглядит
похожим образом.
17. Теперь измените DNS имя и операционную
систему в свойствах профиля устройства. Для
этого разверните вкладку Names & Description.
18. В поле DNS Name введите COE.ibm.com и нажмите Add.
19. В поле NetBios Name введите COE.ibm.com и нажмите Add.
20. В поле Given Name введите QRadar Server.
21. Разверните вкладку Operating System и введите
следующие опции:
• Vendor Red Hat
• Product Enterprise Linux
• Version 5.4.0
22. Нажмите Add. Пролистайте окно донизу и
нажмите Save.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
23. Кликните по иконке обновления страницы в
правой верхней части окна Asset Details и
разверните вкладку Network Interface Summary. Убедитесь,
что профиль устройства выглядит похожим
образом.
24. Закройте окно Asset Details.
25. Теперь найдите профиль устройства с
уязвимостью по порту 445. Для этого во вкладке
Assets кликните по списку Search и выберите пункт
New Search.
26. Добавьте фильтр Vulnerabilities On Open Port Equals 445 и нажмите
Search.
_____________________________________________________________________
73

QRadar SIEM 7.2
_____________________________________________________________________
27. Убедитесь, что результаты поиска выглядят
похожим образом.
Упражнение 3. Создание наборов ссылок

1. В консоли QRadar SIEM откройте вкладку Admin.
2. Щелкните по кнопке Reference Set Management и затем по
кнопке Add.
3. Создайте набор ссылок (reference set) с
• Name Newly created users
• Type AlphaNumeric
• Time to Live of Elements 5 Days
• Since first seen активировано
• Lives Forever не активировано
4. Убедитесь, что создаваемый набор ссылок
выглядит похожим образом, и нажмите Create.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 4. Импорт данных набора ссылок из файла

1. На рабочем столе создайте новый текстовый
файл со следующими строками:
C:\labfiles\HR
C:\labfiles\HR\Resource Actions.txt
2. Сохраните файл под именем HR files.txt.
3. В окне Reference Set Management дважды щелкните по HR Data.
4. В открывшемся окне кликните по кнопке Import.
5. Во всплывающем окне нажмите Browse.
6. Выберите свой ранее созданный файл и
нажмите Open.
7. Щелкните Import.
8. Убедитесь, что редактируемый набор
выглядит похожим образом, и закройте окно
редактора.
_____________________________________________________________________
75

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 5. Использование наборов ссылок в правилах

1. Для начала создайте новый набор ссылок. Для
этого в окне Reference Set Management щелкните Add.
2. Создайте набор ссылок с использованием
• Name High Surveillance
• Type AlphaNumeric (Ignore Case)
• Time to Live of Elements 14 Days
• Since first seen активировано
• Lives Forever не активировано
3. Создайте на рабочем столе еще один
текстовый файл со следующими строками:
PeggyBundy
Marcyd'Archy
KellyBundy
4. Сохраните файл под именем Surveillance.txt.
5. В окне Reference Set Management дважды кликните по High Surveillance.
6. Нажмите Import и затем во всплывающем окне
кликните Browse.
7. Выберите созданный ранее файл и кликните
Open.
8. Щелкните Import. Убедитесь, что содержимое в
нижнем регистре.
9. В окне редактирования набора ссылок High
Surveillance щелкните по кнопке обновления
страницы. Если значения не обновились,
подождите минуту и повторите попытку.
10. Убедитесь, что значение Time to Live изменилось.
11. Добавьте к набору ссылок вручную новый
элемент. Для этого щелкните Add.
12. В открывшемся окне введите cary и щелкните Add.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
13. Закройте открытые окна.
15. В списке Display выберите пункт Rules.
16. Создайте новое событийное правило (Event Rule).
17. Добавьте к правилу тест when the event QID is one of the following QIDs.
18. Тестовый объект QIDs замените на (5000094) User Account Locked Out.
19. В поле Apply введите следующее имя правила My Rule: Add locked
account to Surveillance list.
20. Добавьте правило в группу Authentication.
21. В поле Notes введите следующий комментарий: This rule adds the locked
account to the surveillance list.
22. Убедитесь, что правило сконфигурировано
похожим образом, и нажмите кнопку Next.
23. В Абзаце Rule Response включите пункт Add to a Reference Set.
24. В списке Low Level Category выберите пункт AccountName (custom).
25. Во втором списке того же абзаца выберите пункт High Surveillance –
AlphaNumeric (Ignore Case).
_____________________________________________________________________
77

QRadar SIEM 7.2
_____________________________________________________________________
похожим образом, и нажмите кнопку Finish.
27. Создайте еще одно событийное правило.
28. Добавьте к правилу тест when any of these event properties are contained
in any of these reference set(s).
29. Замените тестовый объект these event properties на Username.
30. Замените тестовый объект these reference set(s) на High Surveillance.
31. В поле Apply введите следующее имя правила My Rule: Accounts under
Surveillance.
33. В поле Notes введите следующую заметку: This rule checks if the event
has been generated by an account under surveillance.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
как на картинке, и нажмите кнопку Next.
35. В абзаце Rule Response поставьте включите пункт
Dispatch New Event.
36. В поле Event Name введите User Surveillance Event.
37. В поле Event Description введите User under surveillance generated this
event.
38. В абзаце Event Details в списке High-Level Category выберите пункт
Suspicious Activity, а в списке Low-Level Category выберите пункт Misc
Suspicious Event. Также включите пункт Notify.
_____________________________________________________________________
79

QRadar SIEM 7.2
_____________________________________________________________________
похожим образом, и нажмите Finish.
40. Перейдите во вкладку Admin и щелкните по
кнопке Reference Set Management.
41. Откройте High Surveillance. Сколько записей
отображено?
_____________________________________________________________________
42. Щелкните по кнопке References. Найдите правило,
сконфигурированное ранее.
43. Теперь сгенерируйте события для
срабатывания правила. Для этого в консоли
серверной машины введите следующие
команды:
cd /labfiles
./sendWindows.sh
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
44. Дайте скрипту поработать минуты две и
остановите его сочетанием клавиш CTRL + C.
45. В консоли QRadar SIEM дважды кликните по
вкладке Log Activity.
46. Добавьте фильтр Event Name Equals User Surveillance Event.
47. В списке View выберите пункт Last 5 minutes.
48. Ответьте на следующие вопросы.
Сколько выведено событий?
_____________________________________________________________________
Где еще имена этих пользователей
встречаются?
_____________________________________________________________________
49. Посмотрите содержимое набора ссылок High
Surveillance.
50. Правило My Rule: Accounts under Surveillance посылает
уведомления в консоль QRadar SIEM. Чтобы
посмотреть эти уведомления, щелкните по
кнопке Messages и выберите пункт View All.
51. В открывшемся списке дважды кликните по
событию User Account Locked Out. Откроются все события
данного типа. Изучите их содержимое. Найдите
правило, которое их породило.
_____________________________________________________________________
81

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 6. Управление индексами

2. Щелкните по кнопке Index Management.
3. В открывшемся окне щелкните правой
кнопкой мыши по пункту AccountName (custom) и
выберите пункт Enable Index.
4. Нажмите кнопку Save и закройте окно Index Management.
5. Снова выполните из консоли серверной
машины команду:
./sendWindows.sh
7. Создайте новый поиск с использованием
следующих параметров:
• События за последние 24 часа
• Фильтр AccountName (custom) is not N/A
• Результаты поиска сгруппировать по AccountName
• Вывести значения полей Event Names и Event Count
• Упорядочить результаты поиска по полю Event
Count
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
8. Убедитесь, что результаты поиска выглядят
похожим образом, и нажмите Save Criteria.
9. Сохраните результаты поиска с
• Search Name My Search: Index management
• Timespan options Recent (enable)
Last 24 hours
• Include in my Quick Searches активировано
_____________________________________________________________________
83

QRadar SIEM 7.2
_____________________________________________________________________
10. Убедитесь, что параметры сохранения
выглядят похожим образом, и нажмите OK.
11. Подождите минут пять до завершения
скрипта sendWindows.sh.
12. Перейдите во вкладку Admin консоли QRadar SIEM и
щелкните Index Management.
13. Убедитесь, что теперь AccountName включает
статистику по индексам. Статистика
обновляется каждый час, поэтому может
потребоваться дождаться окончания часа,
тогда проверьте этот пункт позже. Закройте
окно Index Management.
14. Дважды кликните по вкладке Log Activity.
15. В поле Quick Filter введите “Logon Type” вместе с
кавычками.
16. В списке View выберите пункт Last 24 hours.
17. Дважды щелкните по любому событию в
списке.
18. В открывшемся окне щелкните по кнопке Extract
Property.
19. Создайте новый объект с использованием
следующих параметров. Не указанные
параметры оставьте в значениях по
умолчанию:
• New Property WinLogonType
• Description Windows log on type determines how
the log on was issued: interactive,
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
network, local, batch, etc.
• Category активировано
• High Level category Any
• Low Level category Any
• RegEx Logon\sType:.*?(\d{1,2})
• Capture Group 1
похожим образом, и нажмите Save.
21. Во вкладке Admin щелкните по кнопке Index Management и найдите
объект WinLogonType (custom).
22. Щелкните по найденному объекту правой
кнопкой мыши и выберите пункт Enable Index.
23. Нажмите кнопку Save.
25. Создайте критерии поиска с
использованием индексированных объектов.
Для этого задайте следующие параметры
поиска:
• Фильтр WinLogonType (custom) equals any of 3
• События за последние 24 часа
26. Теперь используйте индексированные
объекты в правиле. Для этого откройте
вкладку Offenses и, щелкнув по списку Display,
выберите пункт Rules.
27. Найдите правило My Rule: Accounts under Surveillance.
_____________________________________________________________________
85

QRadar SIEM 7.2
_____________________________________________________________________
28. Отредактируйте правило DEMO: Accounts under Surveillance, заменив
объект Username на WinLogonType (custom).
29. Получилось ли у Вас предыдущее действие?
Why?
_____________________________________________________________________
30. Откройте вкладку Admin и щелкните по кнопке
Custom Event Properties.
31. Дважды кликните по объекту WinLogonType.
32. В окне Property Definition включите опцию Optimize parsing for rules,
reports, and searches и нажмите Save.
33. Отредактируйте правило DEMO: Accounts under Surveillance, изменив
тестовый объект AccountName(Custom) на WinLogonType (custom).
34. Можете ли Вы сейчас произвести данное
изменение? Why?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
35. Нажмите Cancel, чтобы не сохранять возможные
изменения.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
11. Управление пользователями

Упражнение 1. Удаленная аутентификация
1. В консоли QRadar SIEM откройте вкладку Admin и
щелкните по кнопке Authentication.
2. В открывшемся окне из списка Authentication Module
выберите пункт Active Directory.
3. Сконфигурируйте параметры
аутентификации в соответствии со
следующими значениями:
• Server URL ldap://192.168.10.12:389
• LDAP Context DC=coe,DC=ibm,DC=com
• LDAP Domain coe.ibm.com
5. Закройте окно Authentication Configuration.
6. Во вкладке Admin нажмите кнопку Deploy Changes.
7. Теперь создайте пользователя QRadar SIEM. Для
этого во вкладке Admin щелкните по кнопке Users и
кнопке New в открывшемся окне.
8. Создайте нового пользователя QRadar SIEM в соответствии со следующими
значениями:
_____________________________________________________________________
87

QRadar SIEM 7.2
_____________________________________________________________________
• Username PeggyBundy
• E-mail peggy.bundy@coe.ibm.com
• Password object00
• Confirm Password object00
• Description Exercise user
• User Role All
• Security Profile Admin
9. Убедитесь, что параметры создаваемого
пользователя выглядят похожим образом, и
нажмите Save, а затем Close.
10. Закройте окно User Management.
12. Теперь проверьте созданного
пользователя. Для этого отлогинтесь от
консоли QRadar SIEM.
13. Попытайтесь войти в консоль от имени
пользователя PeggyBundy с паролем object00.
14. Удалось ли Вам это сделать? Why?
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
15. Теперь создайте нужного пользователя в
Active Directory. Для этого в командной строке Windows
введите следующую команду:
dsa.msc
16. В открывшемся окне разверните узел coe.ibm.com.
17. Разверните пункт Users и кликните по кнопке
Users.
18. Из списка Actions на рабочей панели выберите
пункт New и пункт User.
19. Создайте нового пользователя с
использованием следующих значений:
• First name Peggy
• Last name Bundy
• User logon name PeggyBundy
_____________________________________________________________________
89

QRadar SIEM 7.2
_____________________________________________________________________
20. Убедитесь, что новый пользователь
сконфигурирован похожим образом, и нажмите
Next.
21. Сконфигурируйте пароль с использованием
следующих параметров:
• User must change password не активировано at next log on
• User cannot change password активировано
• Password never expires активировано
• Account is disabled не активировано
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
22. Убедитесь, что параметры пароля
сконфигурированы похожим образом, и
нажмите Next, а затем Finish.
23. Выйдите из Active Directory.
24. Снова попытайтесь войти в консоль QRadar SIEM
под пользователем PeggyBundy с паролем object00.
25. Из списка Preferences выберите пункт User Preferences.
26. Попытайтесь изменить пароль. Получилось
ли у Вас это сделать? Why?
_____________________________________________________________________
_____________________________________________________________________
27. Войдите в консоль QRadar SIEM из-под своего
исходного пользователя.
Упражнение 2. Управление пользователями

1. Во вкладке Admin щелкните по кнопке Security Profiles.
_____________________________________________________________________
91

QRadar SIEM 7.2
_____________________________________________________________________
2. Щелкните по кнопке New в открывшемся окне.
3. Создайте новый профайл с использованием
• Security Profile Name WinAud
• Description Auditor with privileges to see windows
event logs and networks
• Permission Precedence Networks OR Log Sources
• Networks Europe.Sales.Ireland
Regulatory_Compliance_Servers
• Log Sources WindowsAuthServer@10.0.120.11
4. Убедитесь, что сетевая конфигурация
профайла выглядит похожим образом.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
5. Убедитесь, что журнальная конфигурация
профайла выглядит похожим образом, и
нажмите Save, а затем Close.
6. Кликните по кнопке User Roles.
7. В открывшемся окне кликните по кнопке New.
8. Создайте новую роль с использованием
• User Role name WinAud
• Admin не активировано
• Offenses активировано
• Log Activity активировано
• Network Activity не активировано
• Assets активировано
• Reports активировано
• IP Right Click Menu Extensions не активировано
_____________________________________________________________________
93

QRadar SIEM 7.2
_____________________________________________________________________
9. Убедитесь, что создаваемая роль выглядит
похожим образом, и нажмите Save, а затем Close.
10. Теперь выдайте пользователю PeggyBundy
созданную роль. Для этого во вкладке Admin
щелкните по кнопке Users.
11. В открывшемся списке дважды кликните по
пользователю PeggyBundy.
12. Измените атрибуты User Role и Security Profile на WinAud.
13. Нажмите кнопку Save, А затем Close.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 3. Изучение работы ролей и профайлов

безопасности
1. Снова войдите в консоль QRadar SIEM под
пользователем PeggyBundy.
2. Откройте вкладку Offenses. Сколько инцидентов
отображено?
_____________________________________________________________________
3. Щелкните по кнопке Rules.
4. Из меню Actions выберите пункт New Event Rule.
5. Нажимайте кнопку Next до тех пор, пока не встретите пункт All Test Group,
и выберите тест when the local network is one of the following networks.
6. Щелкните по объекту one of the following networks.
7. Какие объекты доступны для выбора?
_____________________________________________________________________
8. Нажмите Cancel.
9. Теперь выберите тест when the event(s) were detected by one or more of
these log sources.
10. Выберите тестовый объект these log sources.
11. Какие объекты доступны для выбора?
_____________________________________________________________________
12. Щелкните Cancel, а затем снова Cancel.
13. Дважды щелкните по вкладке Log Activity.
14. Нажмите Add Filter и выберите Log Source. Какие
источники доступны для выбора?
_____________________________________________________________________
15. Нажмите Add Filter и выберите пункт Source or Destination Network. Какие
сетевые объекты доступны для выбора?
_____________________________________________________________________
95

QRadar SIEM 7.2
_____________________________________________________________________
_____________________________________________________________________
16. Перейдите во вкладку Asset. Сколько профилей
устройств отображается?
_____________________________________________________________________
17. Зайдите в консоль QRadar SIEM под своим
исходным пользователем и повторите шаги с 13
по 16. Сравните отличия в отображаемых
данных. Каковы отличия между этими двумя
пользователями?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
18. В командной строке серверной машины
введите следующие команды:
cd /labfiles
./sendDemologs.sh
19. Через минуту зайдите в консоль QRadar SIEM под
пользователем PeggyBundy и изучите следующие
вкладки:
• Log Activity
• Network Activity
• Assets
• Offenses
20. Почему не отображается ни одного
инцидента?
_____________________________________________________________________
_____________________________________________________________________
21. Из командной строки серверной машины
остановите выполнение скрипта sendDemologs.sh с
помощью сочетания клавиш CTRL + C.
22. Повторите шаги с 18 по 21 под пользователем
admin. В чем отличия?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 4. Изучение удаленной аутентификации

1. Войдите в консоль QRadar SIEM под пользователем
admin.
2. Откройте вкладку Admin и нажмите Users.
3. Выдайте пользователю PeggyBundy роль
администратора.
4. Закройте окно User Management и во вкладке Admin
щелкните по кнопке Deploy Changes.
5. Войдите в консоль QRadar SIEM под пользователем
PeggyBundy.
6. В меню Preferences выберите пункт User Preferences.
7. Можете ли Вы изменить свой пароль? Why?
_____________________________________________________________________
8. Измените пароль для пользователя PeggyBundy с
object00 на object11 и выйдите из консоли.
9. Попробуйте войти в консоль под
пользователем PeggyBundy с паролем object00.
Получилось ли?
_____________________________________________________________________
10. Исходя из предыдущих действий,
предположите, что используется для
аутентификации пользователя PeggyBundy: QRadar SIEM
или Active Directory?
_____________________________________________________________________
11. Выйдите из консоли и снова попробуйте
войти в консоль под пользователем PeggyBundy но
уже с паролем object11. Получилось ли сейчас?
_____________________________________________________________________
_____________________________________________________________________
12. Что это означает?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
97

QRadar SIEM 7.2
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
13. Войдите в консоль под своим исходным
пользователем.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
12. Управление данными

Упражнение 1. Настройка расписания резервного
копирования
2. Щелкните по кнопке Backup and Recovery.
3. В открывшемся окне щелкните по кнопке Configure.
4. Сконфигурируйте резервное копирование в
соответствии со следующими значениями:
• Backup Repository Path /tmp
• Backup Retention Period(days) 2
• No Nightly Backups не активировано
• Configuration Backup Only не активировано
• Configuration and Data Backups активировано
• COE :: 192.168.10.10 Event Data активировано
• COE :: 192.168.10.10 Flow Data не активировано
_____________________________________________________________________
99

QRadar SIEM 7.2
_____________________________________________________________________
5. Убедитесь, что параметры резервного
копирования выглядят похожим образом, и
щелкните Save.
6. Закройте окно Backup Archives.
7. В консоли QRadar SIEM должно было отобразиться
сообщение There are undeployed changes.
8. Чтобы посмотреть подробную информацию,
щелкните по View Details, а затем по Expand All.
Что Вы видите?
_____________________________________________________________________
_____________________________________________________________________
выполните следующие команды:
unalias ls
ls -al /store/configservices/deployed/globalconfig/backup- recovery-config.xml
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
10. Какая дата последнего изменения
просмотренного файла?
_____________________________________________________________________
ls -al /store/configservices/staging/globalconfig/backup- recovery-config.xml
12. Какая дата последнего изменения
просмотренного файла?
_____________________________________________________________________
13. Вернитесь в консоль QRadar SIEM и во вкладке Admin
щелкните по кнопке Deploy Changes.
14. После завершения операции снова
выполните из командной строки серверной
машины команду:
ls -al /store/configservices/deployed/globalconfig/backup- recovery-config.xml
15. Какая у данного файла теперь дата
последнего изменения?
_____________________________________________________________________
Упражнение 2. Сохранение событий

1. Во вкладке Admin щелкните по кнопке Event Retention.
2. Выберите первую строку и щелкните кнопку
Edit на панели.
3. Сконфигурируйте параметры сохранения
события в соответствии со следующими
параметрами:
• Name PCI Server
• Keep data in this bucket for 3 month
• Allow data in this bucket Never to be compressed
• Delete data in this bucket When storage space is required
• Description My own bucket for 3 month data
_____________________________________________________________________
101

QRadar SIEM 7.2
_____________________________________________________________________
• Current Filters Source or Destination Network
Equals Regulatory_Compliance_Server. Regulatory_Compliance_Server
4. Убедитесь, что параметры выглядят как на
картинке, и дважды подряд нажмите Save.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
13. Сбор журналов и потоков

Упражнение 1. Создание и управление источниками
журналов
2. Щелкните по кнопке Log Sources.
3. В открывшемся окне выберите все источники
и удалите их.
4. Закройте окно Log Sources.
cd /labfiles
./sendAIX.sh
6. В консоли QRadar SIEM откройте вкладку Log Activity. В
списке View выберите пункт Real Time (streaming).
7. Следите за появляющимися событиями, пока
не встретите следующие источники журналов:
• LinuxServer@10.0.120.10
• IBMAIXServer@10.0.120.10
8. Остановите генерацию событий, нажав в
командной строке серверной машины
сочетание клавиш CTRL + C.
9. Перейдите во вкладку Admin.
10. Щелкните по кнопке Log Sources.
_____________________________________________________________________
103

QRadar SIEM 7.2
_____________________________________________________________________
11. Предположите, что адрес 10.0.120.10 – это адрес AIX
сервера. Тогда удалите сущность
LinuxServer@10.0.120.10.
12. Снова вернитесь ко вкладке Log Activity и снова
запустите скрипт sendAIX.sh.
13. Убедитесь, что теперь события не
идентифицируются как события Linux сервера, а
только как события источника IBMAIXServer.
14. Теперь отключите автоматическую
группировку событий. Для этого во вкладке
Admin нажмите кнопку Log Sources.
15. В открывшемся окне найдите источник
IBMAIXServer@10.0.120.10 и нажмите кнопку Edit.
16. Отключите атрибут Coalescing Events и нажмите Save.
17. Переключитесь во вкладку Log Activity и
убедитесь, что теперь все события приходят с
параметром Count в значении единицы.
18. По легенде хост 10.0.120.10 также содержит
инстанцию Oracle. Сконфигурируйте, в каком
порядке должны идентифицироваться
события. Для этого в командной строке
серверной машины, остановив предыдущий
скрипт, выполните следующие команды:
cd /labfiles
./sendOracle.sh
19. Перейдите во вкладку Admin консоли QRadar SIEM и
нажмите кнопку Log Sources.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
20. Убедитесь, что в открывшемся окне
представлена сущность OracleOSAudit@10.0.120.10.
21. Закройте окно Log Sources и кликните по кнопке Log
Source Parsing Order.
22. Убедитесь, что для хоста с адресом 10.0.120.10
существуют следующие источники журналов:
• IBMAIXServer@10.0.120.10
• OracleOSAudit@10.0.120.10
• LinuxServer@10.0.120.10
23. Выберите источник OracleOSAudit@10.0.120.10 и нажмите
кнопку UP.
24. Нажмите кнопку Save.
25. Выключите группировку событий для
источника OracleOSAudit@10.0.120.10.
26. Завершите выполнение всех запущенных
ранее на серверной машине скриптов.
27. Удалите все источники журналов так, как Вы
это уже делали ранее.
Упражнение 2. Создание источника журналов вручную

1. В окне Log Sources щелкните по кнопке Add.
_____________________________________________________________________
105

QRadar SIEM 7.2
_____________________________________________________________________
2. Создайте новый источник журналов в
• Log Source Name AS400
• Log Source Description Exercise
• Log Source Type IBM AS/400 iSeries
• Protocol Configuration Syslog
• Log Source Identifier 10.0.120.11
• Enabled активировано
• Credibility 5
• Coalescing Events не активировано
• Incoming Payload Encoding UTF-8
• Store Event Payload активировано
• Log Source Language English
3. Убедитесь, что параметры создания
выглядят похожим образом, и нажмите Save.
5. Теперь сгенерируйте нужные AS400 события.
Для этого из командной строки серверной
машины запустите следующие команды:
cd /labfiles
./sendAS400.sh
6. Дважды кликните по вкладку Log Activity и в списке
View выберите пункт Real Time (streaming). Убедитесь, что
появляются события.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
7. Теперь добавьте к источнику журналов
расширение. Для этого во вкладке Admin
щелкните по кнопке Log Source Extensions.
8. В открывшемся окне щелкните по кнопке Add и
добавьте расширение со следующими
параметрами:
• Name AS400
• Description Exercise
• Use Condition Parsing Enhancement
• Log Source Types IBM AS/400 iSeries
• Upload Extension C:\Document and
Settings\Administrator\ Desktop\IBM_AS400_EXT.xml
Нужный тип источника необходимо перенести
в колонку Set to default for.
9. Убедитесь, что расширение
сконфигурировано похожим образом, и
нажмите кнопку Upload, а затем кнопку Save.
10. Закройте окно Log Source Extensions и щелкните по кнопке Log Sources.
11. Найдите в списке источник AS400, дважды по
нему кликните и в списке Log Source Extensions выберите
пункт AS400.
12. Нажмите Save и закройте окно.
13. Остановите работающие скрипты.
_____________________________________________________________________
107

QRadar SIEM 7.2
_____________________________________________________________________
14. Сбор журналов Windows

Упражнение 1. Создание аутентификационного токена
1. В консоли QRadar SIEM во вкладке Admin щелкните по
кнопке Authorized Services.
2. Щелкните по кнопке Add Authorized Service.
3. Сконфигурируйте сервис в соответствии со
следующими параметрами:
• Service Name WinCollectFSPDC
• User Role Admin
• No Expiry активировано
4. Убедитесь, что конфигурация выглядит как
на картинке, и нажмите кнопку Create Service.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
5. В списке авторизованных сервисов
выберите ранее созданный сервис, выделите
содержимое поля Selected Token и, щелкнув правой
кнопкой мыши, нажмите Copy.
Упражнение 2. Установка агента WinCollect

1. Дважды кликните по ярлыку Agent-WinCollect-7.1.1.569824-setup.exe на
рабочем столе.
2. В открывшемся окне кликните Next в окне
приветствия, примите лицензионное
соглашение, а в окне Customer Information введите
следующие значения:
• User Name Student
• Organization COE
_____________________________________________________________________
109

QRadar SIEM 7.2
_____________________________________________________________________
похожим образом, и кликните два раза подряд
кнопку Next.
4. В окне Dialog Bold Title введите следующие значения:
• Host Identifier FSPDC
• Authentication Token скопированный ранее токен
• Configuration Console 192.168.10.10
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
похожим образом, и нажмите Next, затем Install, а
затем Finish.
Упражнение 3. Ассоциация WinCollect агента с источником

логов
1. Во вкладке Admin консоли QRadar SIEM кликните по
кнопке WinCollect.
2. Убедитесь, что созданный ранее агент
отображается в списке.
3. Выберите созданный ранее агент и кликните
по кнопке Log Sources.
4. Щелкните Add. Создайте новый источник
журналов с использованием следующих
параметров:
• Name FSPDC
• Log Source Description Exercise
• Log Source Type Microsoft Windows Security Event Log
• Protocol Configuration WinCollect
_____________________________________________________________________
111

QRadar SIEM 7.2
_____________________________________________________________________
• Log Source Identifier FSPDC
• User Name administrator
• Confirm Password object00
• Standard Log Types
o Security активировано o DNS Server активировано
• Event Types
o Informational активировано o Warning активировано o Error
активировано o Success Audit активировано o Failure Audit
активировано
• WinCollect Agent WinCollect@FSPDC
5. Убед итесь, что конфигурация выглядит
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
6. Закройте все открытые окна и кликните Deploy
Changes во вкладке Admin.
7. Дважды кликните по вкладке Log Activity и из
списка View выберите пункт Real Time (streaming). Вы
должны убедиться, что система получает
события от источника FSPDC.
_____________________________________________________________________
113

QRadar SIEM 7.2
_____________________________________________________________________
15. Управление настраиваемыми

источниками журналов
Упражнение 1. Экспорт событий QRadar SIEM
запустите следующие команды:
cd /labfiles
./sendAIX.sh
2. В консоли QRadar SIEM откройте вкладку Log Activity и
из списка View выберите пункт Real Time (streaming).
3. Дайте системе наполниться событиями
минут 5.
4. Остановите выполнение скрипта сочетанием
клавиш CTRL + C.
5. Какие источники журналов представлены
для адреса 10.0.120.10?
_____________________________________________________________________
_____________________________________________________________________
6. В списке View выберите пункт Last 15 Minutes.
7. В списке Display выберите пункт Low Level Category.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
8. Дважды кликните по категории Stored.
Откроется список событий из этой категории.
9. В списке Actions выберите пункт Export to XML, а затем Full Export.
10. Сохраните zip файл на системе.
11. Чтобы извлечь содержимое файла, кликните
по нему правой кнопкой мыши и щелкните по
пункту Extract All.
_____________________________________________________________________
115

QRadar SIEM 7.2
_____________________________________________________________________
12. Используйте Filezilla для передачи xml файла из
распакованного архива на серверную машину
в директорию /labfiles. Для этого в поле Host
используйте значение sftp://192.168.10.10. В качестве
пользователя используйте root.
выполните следующую команду:
./xml2logfile.pl имя переданного xml файла > /tmp/AIXevents.log
14. Дождитесь, пока скрипт закончит работать,
а затем проверьте распакованные события:
tail /tmp/AIXevents.log
16. В списке View выберите пункт Real Time (streaming).
введите следующую команду:
/opt/qradar/bin/logrun.pl -f /tmp/AIXevents.log -u 10.0.120.10 35
18. Что изменилось в плане идентификации
событий?
_____________________________________________________________________
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Упражнение 2. Использование регулярных выражений

1. В консоли QRadar SIEM откройте вкладку Log Activity.
2. Дважды кликните по любому событию.
3. Щелкните по кнопке Extract Property.
4. На рабочем столе найдите файл SampleAIXevent.txt.
5. Скопируйте следующий текст из этого файла
и вставьте его в поле Test Field:
<125>Jul 8 06:38:56 10.0.120.10 <10>Jan 24 17:17:49 Message forwarded from
ibm.aix.test.com: syslog[1855696]: [CLSLog.Handler.File/LogFile
0x10100BE](P/PP/TID 1855696/2195608/2314)
File(/apps/MANH/wmdev/logs/PkMHEInboundS-1855696- 0124.log).Write()
6. В поле RegEx введите следующую строку:
File\(.*\)\.Write\(\).
7. Что данное регулярное выражение означает?
_____________________________________________________________________
8. Замените содержимое поля RegEx на File\((.*)\)\.Write\(\).
9. Что означает данное регулярное выражение?
_____________________________________________________________________
10. Закройте окно Custom Event Properties Definition.
_____________________________________________________________________
117

QRadar SIEM 7.2
_____________________________________________________________________
cd /labfiles
./sendWindows.sh
12. Дайте скрипту поработать минут 10. Тем
временем продолжайте выполнение
лабораторных упражнений.
13. Консоли QRadar SIEM откройте вкладку Log Activity.
15. Добавьте следующий фильтр:
• High Level Category Equals Authentication
• Low Level Category Equals User Account Added
16. Поищите событие с именем A user account was created.
Поставьте на паузу получение новых событий
и дважды кликните по найденному.
18. Напишите регулярное выражение для
покрытия значения параметра SAM Account Name.
Подсказка: EventID=4720.*?SAM Account Name:\s(.*?)\s{2}Display.
19. В Windows 2003 события создания и активации
пользователей имеют идентификаторы 624 и 626.
Как необходимо дополнить предыдущее
регулярное выражение, чтобы захватывать 624
и 626 события?
_____________________________________________________________________
Подсказка: EventID=(4720|624|625).*?SAM Account Name:\s(.*?)\s{2}Display.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
20. В поле RegEx введите следующее значение:
.*?Account\s(\w+).
21. Что оно означает?
_____________________________________________________________________
22. Измените значение поля RegEx на .*Account\s(\w+).
23. Что оно означает теперь?
_____________________________________________________________________
24. Что означает токен ?? Что означает токен {2}
после токена \s?
_____________________________________________________________________
_____________________________________________________________________
25. Закройте окно Custom Event Property Definition.
Упражнение 3. Создание универсальных DSM и их

ассоциация с неизвестными событиями
2. Щелкните по кнопке Log Source Extensions.
3. В открывшемся окне кликните Add.
4. Сконфигурируйте расширение с
использованием следующих значений и файла
LSX_Template.xml, находящегося на рабочем столе:
• Name CustomLogParser
• Description Custom Application
• Use Condition Parsing Override
• Log Source Types IBM AS/400 iSeries
• Upload Extension LSX_Template.xml
_____________________________________________________________________
119

QRadar SIEM 7.2
_____________________________________________________________________
похожим образом, и нажмите Upload, а затем Save.
6. Щелкните по кнопке Log Sources и в открывшемся
окне нажмите Add.
7. Создайте универсальный DSM с
использованием следующих значений:
• Log Source Name CustomLog
• Log Source Description Custom Application
• Log Source Type Universal DSM
• Protocol Configuration Syslog
• Enabled активировано
• Credibility 5
• Incoming Payload Encoding UTF-8
• Store Event Payload активировано
• Log Source Language English
• Log Source Extension CustomLogParser
• Extension Use Condition Parsing Override
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
9. Закройте окно Log Sources и нажмите кнопку Deploy
Changes во вкладке Admin.
10. Сгенерируйте необходимые события. Для
этого выполните следующие команды из
командной строки серверной машины:
cd /labfiles
./sendUDSM.sh
11. В консоли QRadar SIEM дважды щелкните по
12. В списке Display выберите пункт Raw Events.
_____________________________________________________________________
121

QRadar SIEM 7.2
_____________________________________________________________________
14. Приостановите отображение новых событий
и дважды кликните по любому от источника
CustomLog.
15. Убедитесь, что поле Username находится в
значении N/A.
16. Нажмите кнопку Map Event и убедитесь, что поле
Log Source Event ID пустое.
17. Остановите выполнение скрипта и закройте
окно Log Source Event.
19. Создайте регулярное выражение для того,
чтобы покрывать следующие значения:
• Временной штамп вида DD/MM/YYYY:hh:mm:ss
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
• Location
• ID
• Name
• Entrance
• Access
• Direction
Подсказка:(\d{2}/\w{3}/\d{4}:\d{2}:\d{2}:\d{2})\tLocation:(.*?)\tID:(.*?)\tName:(.*?)\t
E ntrance:(.*?)\tAccess:(.*?)\tDirection:(.*).
20. На рабочем столе сделайте копию файла
LSX_Template.xml и назовите ее UDSM_LSX.xml.
21. Отредактируйте копию, вставив в нее
выражение из шага 19 во внутренние
квадратные кавычки следующей строки:
<pattern id="EventName" xmlns=""><![CDATA[] ]></pattern>
Подсказка: <pattern id="EventName"
xmlns=""><![CDATA[(\d{2}/\w{3}/\d{4}:\d{2}:\d{2}:\d{2})\tLocation:(.*?)\tID:(.*?)\tNa
me:(.*?)\tEntrance:(.*?)\tAccess:(.*?)\tDirection:(.*)]]></pattern>.
22. Удалите все другие строки, начинающиеся с
<pattern id, и строки к ним относящиеся, кроме
строки <pattern id=”EventName” и строк к ней
относящихся.
23. Отформатируйте поля следующим образом:
• EventName = “Access”:Direction value:Access value
• DeviceTime = timestamp value
• UserName = Name value:ID value
• HostName = Entrance value
Создайте для этих полей свои capture groups.
Подсказка: EventName: pattern-id="EventName" capture-group=”Access:\7:\6”
enable-substitutions=true”, Devicetime: pattern-id="EventName" capture-
group="1"
ext-date="dd/MMM/YYYY:hh:mm:ss", UserName: pattern-id="EventName"
capture-group="\4:\3"
enable-substitutions="true", HostName = pattern-id="EventName" capture-
group="5"
_____________________________________________________________________
123

QRadar SIEM 7.2
_____________________________________________________________________
24. Сохраните файл и подгрузите его к
расширению CustomLogParser. Если у Вас возникли
трудности с этим файлом, то Вы можете
воспользоваться сейчас и в дальнейшем
готовым файлом: файл под названием LSX_UDSM.xml
лежит в директории C:\coursefiles.
25. Нажмите Save.
снова запустите скрипт sendUDSM.sh и дайте ему
поработать минуту.
28. Отсейте события так, чтобы увидеть
события от источника CustomLog за последние 5
минут.
29. Дважды кликните по данному событию. Какое
теперь значение вписано в поле Username?
_____________________________________________________________________
30. Снова кликните по кнопке Map Event. Убедитесь,
что теперь поле Log Source Event ID находится в одном
из значений:
• Access:In:Granted
• Access:In:Denied
• Access:Out:Granted
31. Теперь создайте QID. Для этого в командной
строке сервера запустите следующую
команду:
/opt/qradar/bin/qidmap_cli.sh -c --qname "Physical entry success"
--qdescription "Exercise" --severity 5 --lowlevelcategoryid 4014
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
32. Убедитесь, что выходные данные скрипта
выглядят похожим образом.
33. Откройте вкладку Log Activity в консоли QRadar SIEM.
34. В быстром поиске введите строчку “Access\:Granted”
и дважды кликните по любому событию.
35. Кликните по кнопке Map Event и в поле QID/Name
введите значение, выданное ранее скриптом.
36. Нажмите Search, щелкните по найденному
значению, а затем кликните OK.
_____________________________________________________________________
125

QRadar SIEM 7.2
_____________________________________________________________________
37. Теперь проверьте корректность
предыдущих шагов. Для этого запустите из
командной строки сервера скрипт sendUDSM.sh и
дайте ему поработать минуту.
38. Дважды кликните по вкладке Log Activity в
консоли QRadar SIEM.
39. В списке View выставьте значение Real Time (streaming).
40. Убедитесь, что появились события Physical entry
success, как это показано на картинке.
41. Создайте дополнительные QID для
источников журналов Access:In:Denied (используйте
LLC = 4015) и Access:Out:Granted (используйте LLC = 4014). И
выдайте соответствующие имена каждому event ID
этих источников.
42. В консоли QRadar SIEM перейдите во вкладку Assets.
Убедитесь, что появились новые профили
устройств с именами, выданными в
соответствии с расширением источника
журналов.
Упражнение 4. Создание списка Log Source Event ID из

PostgreSQL dsmevent таблицы
psql -U qradar -o /tmp/Windows_supportedevents.txt –q
2. Наберите следующую строку:
select distinct (deviceeventid) from dsmevent where devicetypeid in (select id from
sensordevicetype where devicetypedescription = 'Microsoft Windows Security Event Log') order
by deviceeventid;
3. Введите \q для выхода из режима ввода.
4. Убедитесь, что запрос вернул в результате
eventid равный 624. Для этого в командной строке
серверной машины выполните команду:
grep -w 624 /tmp/Windows_supportedevents.txt
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
5. Убедитесь, что вывод выглядит похожим
образом.
_____________________________________________________________________
127

QRadar SIEM 7.2
_____________________________________________________________________
16. Использование правил

Упражнение 1. Перехват RPC уязвимостей
1. В консоли QRadar SIEM во вкладке Admin щелкните по
кнопке VA Scanners.
2. Щелкните по кнопке Add. Создайте новый
сканер с использованием следующих
значений:
• Scanner Name Nessus attack
• Description Attack
• Type Nessus Scanner
• Collection Type Scheduled Results Import
• Remote Results Host Name 192.168.10.10
• SSH Username root
• SSH Password object00
• Enable Key Authentication не активировано
• Remote Results Directory /labfiles/attack
• Remote Results File Pattern .*\.nessus
• Results File Max. Age 7
• CIDR Ranges 0.0.0.0/0
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
cd /labfiles/attack
touch *.nessus
6. В операторской машине в окне VA Scanners
выберите ранее созданный сканер и кликните
Schedule.
7. Нажмите Add. Добавьте новое расписание в
• VA Scanner Nessus attack
• Network CIDR 0.0.0.0/0
_____________________________________________________________________
129

QRadar SIEM 7.2
_____________________________________________________________________
• Priority Low
• Ports 1-63553
• Start Time текущее время + 2 минуты
• Interval 0 Hours
8. Убедитесь, что расписание выглядит
9. Закройте все открытые окна.
10. Теперь добавьте соответствующий
источник журналов. Для этого во вкладке Admin
щелкните по кнопке Log Sources.
11. Нажмите Add и создайте новый источник в
• Log Source Name SNORT
• Log Source Description Attack Log
• Log Source Type Snort Open Source IDS
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
12. Убедитесь, что источник сконфигурирован
14. Теперь создайте потоковое правило в
соответствии с параметрами на картинке.
_____________________________________________________________________
131

QRadar SIEM 7.2
_____________________________________________________________________
15. Создайте потоковое правило в
соответствии с параметрами на картинке.
16. Теперь запустите генерацию событий. Для
этого из командной строки серверной машины
cd /labfiles
./startAttack.sh
17. Убедитесь, что через 5-10 минут появились
инциденты.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
17. Создание правил

Упражнение 1. Написание событийных правил
1. Создайте правило, обнаруживающее
появление нового пользовательского
аккаунта. Для этого в консоли QRadar SIEM
откройте вкладку Offenses и щелкните по кнопке
Rules.
2. Выберите пункт New Event Rule.
3. Дважды подряд щелкните по кнопке Next.
4. В поле Apply введите My Rule: Administrator social engineering account
added.
5. Добавьте в правило тест when an event matches any | all of the following
rules.
6. В качестве тестового объекта rules назначьте BB:CategoryDefinition:
Superuser Accounts.
7. Добавьте к правилу тест when the event category for the event is one of the
following categories.
8. В качестве тестового объекта categories назначьте Authentication.User
Account Added.
9. Убедитесь, что правило выглядит похожим
образом.
_____________________________________________________________________
133

QRadar SIEM 7.2
_____________________________________________________________________
11. В графу Notes впишите Administrator creates a user account in the Windows
environment.
12. Нажмите Next.
13. Сконфигурируйте секцию Rule Action в
• Ensure the detected event is активировано part of an offense
• Index offense based on Source IP
• Annotate this offense активировано
Administrator creates an account
Administrator creates an account
13. Сконфигурируйте секцию Rule Response в
• Add to a Reference Set активировано
• Add the AccountName(custom)
• Reference Set Newly created users
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
14. Убедитесь, что правило сконфигурирова� �о
похожим образом и нажмите Next, а затем Finish.
15. Создайте новое событийное правило, нажав
New Event Rule.
17. Добавьте в правило тест when any of these properties match this regular
expression.
18. В качестве тестового объекта these properties назначьте EventID (custom).
Если данного атрибута нет, найдите EventID в Custom Events Properties и
включите пункт Optimize parsing for rules, reports, and searches.
19. В качестве тестового объекта this regular expressions
впишите 560.
20. Добавьте к правилу тест when the Event Payload contains this string.
21. В качестве тестового объекта this string впишите
labfiles.
_____________________________________________________________________
135

QRadar SIEM 7.2
_____________________________________________________________________
образом, и нажмите Export as Building Block. Дайте новому
объекту имя BB:CategoryDefinition: Sensitive data и нажмите Save.
23. В поле Apply введите My Rule: New user accesses sensitive data.
24. Добавьте новый тест when any of these event properties are contained in
any of these reference set(s).
25. В качестве тестового объекта these event properties
назначьте Username.
26. В качестве тестового объекта these reference set(s) выберите Newly
created users.
27. Добавьте к правилу тест when the event category for the event is one of the
28. В качестве тестового объекта categories
назначьте Access.
29. Добавьте еще один тест when an event matches any | all of the following
rules.
Sensitive data.
образом.
32. Добавьте правило в группу Category Definitions и
нажмите Next.
33. Сконфигурируйте действие по правилу в
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
Recently created account used to access sensitive data
Recently created account used to access sensitive data
похожим образом, и нажмите Next, а затем Finish.
35. Теперь создайте правило, которое будет
отслеживать удаление аккаунтов. Для этого
снова нажмите New Event Rule.
37. В поле Apply введите My Rule: Administrator social engineering new
account deleted.
38. Добавьте в правило тест when an event matches any | all of the following
rules test.
Superuser Accounts.
40. Добавьте новый тест when the event category for the event is one of the
41. В качестве тестового объекта categories назначьте Authentication.User
Account Removed.
42. Добавьте новый тест when any of these event properties are contained in any of
these reference set(s).
_____________________________________________________________________
137

QRadar SIEM 7.2
_____________________________________________________________________
43. В качестве тестового объекта these event properties назначьте
AccountName (custom).
44. В качестве тестового объекта these reference set(s) назначьте Newly
created users.
образом.
46. Добавьте правило в группу Category Definitions и
нажмите Next.
47. Сконфигурируйте секцию Rule Action в
Administrator deletes newly created account
Administrator deletes newly created account
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
49. Теперь скомбинируйте три созданных ранее
правила. Для этого нажмите New Event Rule.
51. В поле Apply введите My Rule: Social engineering used to access sensitive
data.
52. Добавьте в правило тест when these rules match at least this many times in
this many minutes after these rules match test.
53. В качестве тестового объекта these rules назначьте My Rule: Administrator
social engineering new account deleted.
54. Для первого тестового объекта this many
назначьте 1.
55. Для второго тестового объекта this many
назначьте 5.
56. Для тестового объекта minutes назначьте day(s).
57. В качестве второго тестового объекта these rules назначьте My Rule:
Administrator social engineering account added and My Rule: New user accesses
sensitive data.
образом.
59. Добавьте правило в группу Authentication и нажмите
Next.
60. Сконфигурируйте действие по правилу в
Account created then used to access sensitive data and then deleted
Account created then used to access sensitive data and then deleted
_____________________________________________________________________
139

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 2. Вызов инцидентов

1. Создайте новый аккаунт в Active Directory со
следующими параметрами:
• First name Bad
• Last name Person
• User log on name bad_person
• Account is disabled не активировано
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
2. Щелкните по новому аккаунту правой
кнопкой и нажмите Add to a group.
3. В поле Enter the object name to select введите Domain Admins и нажмите
кнопку Check Names.
4. Нажмите OK.
5. Войдите в систему под пользователем bad_person.
6. Найдите файл salary.txt в директории C:\labfiles\Finance и
измените его.
7. Войдите в систему обратно под
пользователем Administrator и удалите
пользователя bad_person.
8. В консоли QRadar SIEM перейдите во вкладку Log
Activity.
9. Убедитесь, что событие User Account Deleted привело к
появлению инцидента. На это может
потребоваться некоторое время.
_____________________________________________________________________
141

QRadar SIEM 7.2
_____________________________________________________________________
18. Управление ложными

срабатываниями
Упражнение 1. Управление чрезмерными ложными
срабатываниями
2. Щелкните по кнопке Rules.
3. Отредактируйте правило My Rule: Administrator social engineering used to
access sensitive data следующим образом:
• Удалите единственный тест
• Добавьте тест when all of these rules, in | in any order, from the same | any
source IP to the same | any destination IP, over this many seconds
• В качестве теста rules задайте My Rule: Social engineering used to access
sensitive data, My Rule: Administrator social engineering new account deleted
• Временной тестовый объект выставьте в
значение 24 часов
образом, и сохраните его.
5. Теперь увеличьте время жизни элементов
набора ссылок Newly created users. Для этого откройте
вкладку Admin и щелкните по кнопке Reference Set
Management.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
6. Выберите набор ссылок Newly created users и щелкните
Edit.
7. Измените атрибут Time to Live в значение 1 day Since first seen.
_____________________________________________________________________
143

QRadar SIEM 7.2
_____________________________________________________________________
19. Использование справочников в

правилах
Упражнение 1. Создание справочников
1. Копируйте с использованием Filezilla файл
SampleRefSet.txt, находящийся на операторской
машине на рабочем столе, в директорию /tmp
серверной машины.
2. Введите в командной строке серверной
машины следующие команды для создания
справочника (reference map):
cd /opt/qradar/bin
./ReferenceDataUtil.sh create PrivilegedAccess MAPofSETS
3. Введите в командной строке серверной
машины следующие команды для наполнения
справочника:
./ReferenceDataUtil.sh load PrivilegedAccess /tmp/SampleRefSet.txt
4. Для проверки содержимого справочника
используйте следующую команду:
./ReferenceDataUtil.sh list PrivilegedAccess displayContents
5. Убедитесь, что содержимое созданного
ранее справочника выглядит похожим
образом.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 2. Создание пользовательского правила

1. В консоли QRadar SIEM откройте вкладку Offenses и
щелкните по кнопке Rules.
2. В списке Actions выберите пункт New Event Rule.
3. Щелкните Next два раза подряд. Затем в поле Apply
введите следующую строчку: My Rule: Granted privileged access
to sensitive data.
4. Добавьте к правилу тест when any of these event properties is the key and
any of these event properties is the value in any of these reference map of sets.
5. В первом тестовом объекте выставьте
значение Username.
6. Во втором тестовом объекте выставьте
ObjectName (custom).
7. В последнем тестовом объекте выставьте
значение PrivilegedAccess.
8. Добавьте правило к группе Authentication.
9. В графу Notes впишите: This rule is used to monitor privileged access to
sensitive data.
похожим образом, и, не добавляя никаких
действий по правилу, нажмите Finish.
_____________________________________________________________________
145

QRadar SIEM 7.2
_____________________________________________________________________
Упражнение 3. Создание критериев поиска

1. В консоли QRadar SIEM дважды щелкните по
2. Нажмите Add Filter.
3. В первом списке выберите пункт Custom Rule Partial or Full Matched.
4. Во втором списке – Equals.
5. В списке Rule Group выберите пункт Authentication.
6. А в списке Rule выберите пункт My Rule: Granted privileged access to
sensitive data.
7. Убедитесь, что фильтр выглядит похожим
образом, и щелкните Add Filter.
8. Отредактируйте результат поиска
• Результат должен быть сгруппирован по полю
Username
• В результат поиска должно входить поле
ObjectName (custom)
• Результат должен быть упорядочен по
убыванию поля Count
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
9. Убедитесь, что критерии поиска выглядят
похожим образом, и сохраните их.
10. Добавьте еще один критерий поиска. Для
этого снова кликните по Add Filter.
11. В открывшемся окне в первом списке
выберите пункт Reference Map of Sets.
12. В секции Data Entry в качестве ключа задайте
Username, а в качестве значения ObjectName (custom).
13. В списке Reference Maps of Sets выберите пункт PrivilegedAccess.
14. Не забудьте нажать по иконке плюса, чтобы
добавить фильтр.
15. Убедитесь, что Ваш фильтр выглядит
похожим образом, и нажмите Add Filter.
16. Отредактируйте результаты поиска
• Результаты должны быть выведены за
последние 7 дней
• Результат поиска должен быть сгруппирован
по полю Username
• В результат поиска должно входить поле
ObjectName (custom)
• Результат должен быть упорядочен по
убыванию поля Count
_____________________________________________________________________
147

QRadar SIEM 7.2
_____________________________________________________________________
17. Выберите график Top 10 Username Results By Count и
щелкните по иконке конфигурации в его
правом верхнем углу.
18. В списке Chart Type выберите пункт Time Series.
19. Включите пункт Capture Time Series Data.
20. Убедитесь, что конфигурация графика
выглядит схожим образом, и нажмите Save.
21. Сохраните результаты поиска под именем Privileged User Monitoring
Access, включив его в группу Authentication, Identity and User Activity.
Упражнение 4. Создание правила ADE

1. Создайте правило, использующее
аккумулированные данные двух ранее
созданных критериев поиска. Для этого во
вкладке Log Activity щелкните по Rules и выберите
пункт Add Behavioral Rule.
2. Дважды подряд кликните по кнопке Next.
3. В поле Apply введите следующую строку: My Rule: ADR Privleged Access.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
4. В качестве тестового объекта this accumulated property выберите Count
(Count).
похожим образом, и щелкните по кнопке Next, а
затем по кнопке Finish.
Упражнение 5. Тестирование правила ADE

1. Отредактируйте источник журналов FSPDC,
выключив в нем группировку событий.
2. Создайте пользовательский аккаунт в Active
Directory с использованием следующих значений:
• First name Al
• Last name Bundy
• User log on name AlBundy
3. Добавьте пользователя AlBundy в группу Domain
Admins.
4. Выйдите из системы из-под пользователя
administrator и войдите в систему под пользователем
AlBundy.
5. Запустите файл AlBundysLoop.bat, находящийся в директории
C:\Documents and Settings\Administrator\Desktop.
6. Войдите в консоль QRadar SIEM под пользователем admin, не
перелогиниваясь.
_____________________________________________________________________
149

QRadar SIEM 7.2
_____________________________________________________________________
7. Откройте в консоли QRadar SIEM вкладку Log Activity.
Дождитесь появления событий.
9. Когда события появятся, задайте быстрый
фильтр finance.
10. В списке View выберите пункт Last 5 minutes.
Убедитесь, что список событий содержит
событие Object Opened Successfully.
11. В любом событие откройте детальную
информацию и убедитесь, что событие
сработало по правилу My Rule: Granted privileged access to sensitive
data.
12. Остановите скрипт AlBundysLoop.bat и снова
войдите в систему под пользователем Administrator.
Упражнение 6. Усовершенствование правила ADE

1. Откройте вкладку Offenses в консоли QRadar SIEM и
щелкните по кнопке Rules.
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
2. В списке Actions выберите пункт New Event Rule.
3. Два раза подряд кликните по кнопке Next.
4. Добавьте к правилу тест when any of these properties match this regular
expression.
5. В качестве тестового объекта these properties
выберите ObjectName (custom).
6. В качестве тестового объекта this regular expression задайте
C:\\labfiles\\.*?\\.*.
7. В поле Notes введите: This Building Block is reserved to classify the datasets
that are considered sensitive.
образом, и нажмите кнопку Export as Building Block и
назовите его как My Rule: BB: Sensitive data sets.
9. Теперь в поле Apply введите My Rule: Rule to add new records to the
Privileged access reference map of sets.
10. Добавьте к правилу тест when an event matches any | all of the following
rules.
11. Замените тестовый объект any на all.
12. В качестве тестового объекта rules выберите
My Rule: BB: Sensitive data sets.
13. Добавьте к правилу тест when the event QID is one of the following QIDs.
14. Для тестового объекта QID назначьте
значение 5000026.
_____________________________________________________________________
151

QRadar SIEM 7.2
_____________________________________________________________________
16. В графу Notes впишите This rule when triggered adds the username and
objectname to the PrivilegedAccess reference maps of sets.
17. Убедитесь, что правило выглядит схожим
образом, и нажмите Next.
18. Сконфигурируйте секцию Rule Response в
• Add to Reference Data активировано
• Add to a Reference Map of Sets активировано
Username ObjectName (custom)
• Reference Map of Sets PrivilegedAccess
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
похожим образом, и кликните Finish.
Упражнение 7. Тестирование усовершенствованного

правила ADE
1. Откройте вкладку Log Activity в консоли QRadar SIEM.
3. В поле Quick Filter введите Backdoors*.
4. В директории C:\labfiles\Development создайте файл Backdoors.txt.
5. Откройте и закройте созданный файл
несколько раз.
6. Убедитесь, что во вкладке Log Activity появились
события Object Opened Successfully.
_____________________________________________________________________
153

QRadar SIEM 7.2
_____________________________________________________________________
7. Дважды кликните по любому из этих событий.
Убедитесь, что значение атрибута ObjectName (custom) –
это C:\labfiles\development\Backdoors.txt.
8. Убедитесь, что событие было вызвано правилом My Rule: Rule to add new
records to the Privileged access reference map of sets.
cd /opt/qradar/bin
./ReferenceDataUtil.sh list PrivilegedAccess displayContents
10. Попытайтесь объяснить, как изменился
справочник и почему это произошло.
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

QRadar SIEM 7.2
_____________________________________________________________________
_____________________________________________________________________
155

Translated Copy of 291087134-QRadar-XStud

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Translated Copy of 291087134-QRadar-XStud

Uploaded by

Copyright:

Available Formats

Administering

QRadar SIEM 7.2

Exercise 2. Logging into the server virtual machine ....

Exercise 4. Removing the changes in the rule

9. Creating a network hierarchy ................................................

Exercise 4. Learning about remote authentication

Exercise 2. Creating a Manual Log Source ...

Exercise 3. the WinCollect agent association with the log

Exercise 1. Interception of RPC Vulnerabilities

1. Introducing the medium

Exercise 2. Logon to the server virtual machine

2. Using QRadar SIEM Dashboard

3. Investigating incident incidents

4. Investigating Events and Incidents

Exercise 2. Saving search criteria and results

Exercise 3. Detailed event information

5. Investigating streaming incidents

6. Использование правил и их составных

Упражнение 2. Анализ правил

Упражнение 3. Работа с параметрами правила

Упражнение 4. Удаление изменений в правиле

Упражнение 2. Создание нового отчета

Упражнение 3. Создание нового отчета на базе нового

Упражнение 2. Отличия в методах soft clean и hard clean

Упражнение 3. Использование автообновлений и справки

9. Создание сетевой иерархии

10. Расширенное использование

Упражнение 2. Управление профилями устройств

Упражнение 3. Создание наборов ссылок

Упражнение 4. Импорт данных набора ссылок из файла

Упражнение 5. Использование наборов ссылок в правилах

Упражнение 6. Управление индексами

11. Управление пользователями

Упражнение 2. Управление пользователями

Упражнение 3. Изучение работы ролей и профайлов

Упражнение 4. Изучение удаленной аутентификации

12. Управление данными

Упражнение 2. Сохранение событий

13. Сбор журналов и потоков

Упражнение 2. Создание источника журналов вручную

14. Сбор журналов Windows

Упражнение 2. Установка агента WinCollect

Упражнение 3. Ассоциация WinCollect агента с источником

15. Управление настраиваемыми

Упражнение 2. Использование регулярных выражений

Упражнение 3. Создание универсальных DSM и их

Упражнение 4. Создание списка Log Source Event ID из

16. Использование правил

17. Создание правил

Упражнение 2. Вызов инцидентов

18. Управление ложными

19. Использование справочников в

Упражнение 2. Создание пользовательского правила

Упражнение 3. Создание критериев поиска

Упражнение 4. Создание правила ADE

Упражнение 5. Тестирование правила ADE

Упражнение 6. Усовершенствование правила ADE

Упражнение 7. Тестирование усовершенствованного

You might also like