El canal de información de IBM Security X-Force Threat Intelligence proporciona una lista en tiempo real de direcciones IP potencialmente maliciosas. Utilice estas direcciones IP con IBM QRadar Security Intelligence Platform para identificar actividad sospechosa en el entorno.
Debe tener una suscripción al canal de información de X-Force Threat Intelligence para utilizarla con QRadar.
Al contenido del canal de información de X-Force se le da una puntuación de amenaza relativa. Los usuarios de QRadar pueden utilizar esta puntuación de amenaza para priorizar los incidentes y delitos que se generan mediante este contenido. Los datos de estos orígenes de inteligencia se incorporan
automáticamente en las funciones de correlación y análisis de QRadar y enriquecen las capacidades de detección de amenazas con datos de amenaza de Internet de última hora. Los datos de actividad de red o de suceso de seguridad que impliquen estas direcciones se señalan automáticamente y, por consiguiente, añaden contexto valiosos a las investigaciones y los análisis de incidentes de seguridad
Para priorizar la amenaza e identificar los incidentes de seguridad que requieren más análisis, puede elegir qué canales de información de X-Force se deben incorporar en las reglas, los delitos y los sucesos de QRadar. Por ejemplo, puede utilizar los canales de información para identificar estos tipos de incidentes: v Una serie de inicios de sesión intentados para un rango dinámico de direcciones
IP
v Una conexión proxy anónima a un portal de business partner
v Una conexión entre un punto final interno y un mandato y control de botnet conocido
v Comunicación entre un punto final y un sitio distribución de programas maliciosos conocido
El canal de información de X-Force Threat Intelligence categoriza las direcciones IP y, a continuación, crea una clasificación de confianza que se utiliza para evaluar la amenaza. Las direcciones IP se agrupan en las categorías siguientes:
v Hosts de programas maliciosos v Orígenes de SPAM
v Direcciones IP dinámicas v Proxies anónimos
v Mandato y control de Botnet
El canal de información de X-Force Threat Intelligence también categoriza direcciones URL. Por ejemplo, las direcciones URL pueden categorizarse como sitios de citas, apuestas o pornografía. Para ver la lista completa de categorías para la clasificación de URL, consulte el sitio web de X-Force (www.xforce-security.com). Antes de poder utilizar reglas basadas en URL, debe crear una propiedad de suceso personalizada para extraer el URL de la carga útil. La propiedad
personalizada de URL ya está definida para sucesos de diversos orígenes como orígenes de registro de Blue Coat SG y Juniper Networks Secure Access.
Reglas de X-Force mejoradas
Después de añadir el canal de información de X-Force Threat Intelligence a IBM QRadar Security Intelligence Platform, puede recibir inmediatamente datos de amenaza avanzados.
Las reglas siguientes forman parte del grupo de Reglas de X-Force mejoradas. Se pueden utilizar tal cual o se pueden personalizar.
Estas reglas están basadas en IP:
X-Force Premium: Conexión interna a posible host de programa malicioso
Esta comunicación indica una fuerte posibilidad de que se haya realizado un intento de infectar el sistema cliente o de que se haya descargado un programa malicioso.
X-Force Premium: Hosts internos comunicándose con proxies anónimos
Los proxies anónimos son direcciones que son conocidas por enmascarar la identidad. Las utilizan con frecuencia los programas maliciosos o se utilizan durante las amenazas persistentes avanzadas de ocultar el origen de las comunicaciones con los orígenes externos. Estas direcciones pueden estar relacionadas con actividades tales como la comunicación de
programas maliciosos o la exfiltración de datos.
X-Force Premium: Servidor de correo interno que envía correo a posible host de correo no deseado
Normalmente, los servidores de correo que se comunican con hosts de correo no deseado se están utilizando incorrectamente.
X-Force Premium: Servidores no de correo que se comunican con hosts de envío de correo no deseado conocidos
Este comportamiento es un fuerte indicador de que el servidor se ha comprometido y está siendo utilizado como una retransmisión de correo no deseado.
X-Force Premium: No servidores que se comunican con IP dinámica externa
Las direcciones IP asignadas dinámicamente no están normalmente asociadas con servidores legítimos en Internet. Las estaciones de trabajo internas que se están comunicando con direcciones dinámicas pueden indicar actividad interna sospechosa o actividad de botnet o programas maliciosos.
X-Force Premium: El servidor ha iniciado la conexión con hosts dinámicos
Generalmente, los servidores se comunican con hosts que tienen una identidad fija y no direcciones IP dinámicas.
Dado que el URL es un indicador más específico de los datos que se transfieren, las reglas basadas en URL pueden ser más precisas que las reglas basadas en IP. Estas reglas están basadas en URL:
X-Force Premium: Host interno que se comunica con URL de mandato y control de Botnet
A veces los servidores legítimos pueden utilizarse para proporcionar conectividad de botnet en direcciones de URL específicas.
X-Force Premium: Comunicación de host interno con URL de programa malicioso
A veces los servidores legítimos pueden utilizarse para proporcionar programas maliciosos en direcciones de URL específicas.
Ejemplo: Creación de una regla utilizando la categorización de URL
para supervisar el acceso a determinados tipos de sitios web
Puede crear una regla que envíe una notificación de correo electrónico si los usuarios de la red interna acceden a direcciones de URL que están categorizadas como sitios web de apuestas.
Antes de empezar
Para utilizar reglas de categorización de URL, debe tener una suscripción al canal de información de X-Force Threat Intelligence.
Para crear una regla nueva, debe tener el permiso Delitos > Mantener reglas
personalizadas.
Procedimiento
1. Pulse la pestaña Delitos.
2. En el menú de navegación, pulse Reglas.
3. En el recuadro de lista Acciones, seleccione Nueva regla de sucesos. 4. Lea el texto introductorio en el asistente de reglas y pulse Siguiente. 5. Pulse Sucesos y pulse Siguiente.
6. En el recuadro de lista Grupo de pruebas, seleccione X-Force Tests. 7. Pulse el signo más (+) signo junto a la prueba when this URL property is
categorized by X-Force as one of the following categories.
8. En el campo especifique aquí el nombre de la regla en el panel Regla, escriba un nombre exclusivo que desee asignar a esta regla.
9. En el recuadro de lista, seleccione Local o Global.
10. Pulse los parámetros configurables subrayados para personalizar las variables de la prueba.
a. Pulse URL (personalizado).
b. Seleccione la propiedad de URL que contiene el URL que se ha extraído de la carga útil y pulse Enviar.
c. Pulse una de las siguientes categorías.
d. Seleccione Gambling / Lottery en las categorías de URL de X-Force, pulse
Añadir +y pulse Enviar.
11. Para exportar la regla configurada como un componente básico para utilizarlo con otras reglas:
a. Pulse Exportar como componente básico.
b. Escriba un nombre exclusivo para este componente básico. c. Pulse Guardar.
12. En el panel Grupos, seleccione los recuadros de selección de los grupos a los que desea asignar esta regla.
13. En el campo Notas, escriba una nota que desee incluir para esta regla y pulse
14. En la página Respuestas de regla, pulse Correo electrónico y escriba las direcciones de correo electrónico que recibirán la notificación. Para obtener información sobre otros parámetros de respuesta para una regla de suceso, consulte Parámetros de página de respuesta de regla común, flujo y suceso. 15. Pulse Siguiente.