You are on page 1of 166

Administering 

QRadar SIEM 7.2 


Lab Exercises 
 
Administering QRadar SIEM 7.2 
____________________________________________________________________ 
_____________________________________________________________________ 
2 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 

Contents 
1. Getting to know the environment .................... 
...................................... 7 
Exercise 1. Logging into the virtual machine of the operator ... 7 

Exercise 2. Logging into the server virtual machine .... 


.................................................. 8 2. Using the QRadar SIEM 
Dashboard ........ ................... 9 
Exercise 1. Creating a new das hboard ................................................. ............ 9 3. 
Investigation of incident incidents ................. 11 
Exercise 1. Investigation of local incidents with DNS ............................. 11 4. Investigation 
of events and incidents .............. .............. 16 
Exercise 1. Viewing events related to the incident ... 16 
Exercise 2. Saving criteria and search results ............................. 20 
Exercise 3. Detailed event information .. ....................................... 22 5. Research 
streaming incidents ........................... 25 
Exercise 1. Investigation of incidents triggered by otkam data 
................................................ .................................................. ................................. 25 
6. Using rules and their constituent elements ..... 30 
Exercise 1 Create a new rule .............................................. ............... 30 
Exercise 2. Analysis of the rules ............................. .................................................. 38 
Exercise 3. Working with rule parameters ......................................... .......... 39 

Exercise 4. Removing the changes in the rule 


................................ .................. 40 7. Creating reports 
........................... 43 
Exercise 1. Reviewing existing reports ...... ................. ......................... 43 
Exercise 2. Creating a new report .................. .............................................. 46 
Exercise 3. Creating a new report based on a new search criterion ......... 50 8. Using 
administrative tools ...... 56 
Exercise 1. Deployment Editor ............... .................................................. ........... 56 
Exercise 2. Differences in methods of soft clean and hard clean ........................... ........ 
60 
Exercise 3. Using AutoUpdate and Help ............................................................. 61 
_____________________________________________________________________ 

Administering QRadar SIEM 7.2 © QDTS 
 
Administering QRadar SIEM 7.2 
__________________________________________ ___________________________ 

9. Creating a network hierarchy ................................................ 


.. 62 
Exercise  1.  Specifying  network  hierarchy  objects 
........................................  ...  62  10.  Increased  use  of 
administrative tools ........................................ 65 
Exercise 1. Importing data from an external scanner ...... .................................... 65 
Exercise 2. Managing Device Profiles ....... ....................................... 68 
Exercise 3. Creating reference sets .... .................................................. ....... 74 
Exercise 4. Importing reference set data from a file ................................. ... 75 
Exercise 5. Using reference sets in the rules .................. 76 
Exercise 6. Index management ..... .................................................. ............ 82 11. 
User management .......................................... ........ 87 
Exercise 1. Remote Authentication .................................... 87 
Exercise 2. User Management ... 91 
Exercise 3. Exploring the operation of roles and security profiles ...... ........... 95 

Exercise 4. Learning about remote authentication 


................................ ......... 97 12. Data management 
.................................... ................... 99 
Exercise 1. Setting up a backup schedule ........................ 99 
Exercise 2. Saving events ............. .................................................. .... 101 13. 
Collection of logs and flows ....................................... ....... 103 
Exercise 1. Creating and Managing Log Sources 
...................................................................................................................... 103 

Exercise 2. Creating a Manual Log Source ... 


.........................................................................................................
.........................................................................................................
.........................................................................................................
.........................................................................................................
.........................................................................................................
.........................................................................................................
.........................................................................................................
.................................................................................................... 
108 
Exercise 1. Creating an authentication token ...... .............................. 108 
Exercise 2. Installing the WinCollect Agent ............. .......................................... 109 

Exercise  3.  the  WinCollect  agent  association  with  the  log 


source  ..................  111  15.  Managing  custom  log  sources  ... 
.................................................. .............................. 114 
Exercise 1. Export of QRadar SIEM events ............ ....................................... 114 
Exercise 2: Using regular expressions .... ................................ 117 
_____________________________________________________________________ 
4 © QDTS Administration QRadar SIEM 7.2 
 
Administration QRadar SIEM 7.2 
_____________________________________________________________________ 
Exercise 3. Creating universal DSM and their association with unknown events 
.......................................... .... .................................................. ............... 119 
Exercise 4. Creating the Log Source Event ID from the PostgreSQL dsmevent table 
..................... .................................................. 
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
................................................................................... .................................................. 
128 

Exercise 1. Interception of RPC Vulnerabilities 


........................................... ............. 128 17. Establishment of 
rules ................................ 133 
Exercise 1. Writing Event Rules .............. .................................... 133 
Exercise 2. Invoking Incidents ........ .................................................. .............. 140 
18. control false positives ..................... 142 
mgmt zhnenie 1. Manage excessive false alarms ............ 142 19. Using the guides in the rules 
................. 144 
Exercise 1: Creating directories. .................................................. ............ 144 
Exercise 2. Creating a custom rule ............................... ........ 145 
Exercise 3. Creating search criteria ... ..................... 146 
Exercise 4. Creating an ADE rule ...................... ......................................... 148 
Exercise 5. Testing the ADE rule .. .................................................. .... 149 
Exercise 6. Improvement of the ADE rule ....................................... . ... 150 
Exercise 7. Testing the Advanced Rule of ADE .................. 153 
_____________________________________________________________________ 

Administering QRadar SIEM 7.2 © QDTS 
 
Administering QRadar SIEM 7.2 
____________________________________________________________________ 
____________________________________________________________________ 
6 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 

1. Introducing the medium 


Exercise 1. Log in to the virtual machine operator 
1. Log on to the virtual machine operator with the Windows operating system using the 
following details: 
• User name Administrator 
• Password: object00 
2.  Enter  the  QRadar  SIEM  console  as  follows.  On  the  Windows  desktop,  open  the  Firefox  web 
browser. The start page of the browser is the login window for the QRadar SIEM console. 
_____________________________________________________________________ 

Administering QRadar SIEM 7.2 © QDTS 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 
3. Log in using the following details: 
• User name: admin 
• Password: object00 

Exercise 2. Logon to the server virtual machine 


1.  You  can  access  several  server  virtual  machines  running  RHEL  by  several  ways:  directly 
through  the  executable  file  of  the virtual machine or via Putty from the operator virtual machine. 
You can choose any of the ways. For access, use the following information: 
• Username: root 
• Password: object00 
_____________________________________________________________________ 
8 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 

2. Using QRadar SIEM Dashboard 


Exercise 1. Creating a new dashboard 
1. Log on to the server machine and run the following commands to generate events: 
cd / labfiles 
./sendCheckpoint.sh 1> / dev / null 2> & 1 & 
2. Enter the QRadar SIEM console. 
3. Click the New Dashboard button. 
4. In the Name field, type My Own Dashboard. 
5. Complete the Description field in any way. 
6. Click OK. The new dashboard is empty by default and you must add items to fill it. 
_____________________________________________________________________ 

Administration QRadar SIEM 7.2 © QDTS 
 
Administration QRadar SIEM 7.2 
_____________________________________________________________________ 
7. To add a new item on the dashboard of the Add Item box, select the following 
items: • Offenses> Offenses> Most Severe 
 
Log Activity> Event Searches> Event Rate (EPS) 
8. Place the items as you like. 
9. Click Refresh to refresh the screen. 
10. Make sure that your dashboard contains two log events and one incident element. 
_____________________________________________________________________ 
10 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 

3. Investigating incident incidents 


Exercise 1. Investigating local incidents with DNS 
1. In the QRadar SIEM console, double-click the Offenses tab. 
2.  Select  the  following  incident:  Local  DNS  Scanner  containing  Invalid  DNS.  You  can  find  the 
incident you are interested in using the search engine. From the Search list, select New Search. 
_____________________________________________________________________ 
11 
Administration QRadar SIEM 7.2 © QDTS 
 
Administration QRadar SIEM 7.2 
_____________________________________________________________________ 
3. In the search options in the Description field, enter the Local DNS Scanner. Note that this field 
is case sensitive. 
4. Click Search. The results that meet the criteria are displayed. 
5. Answer the following questions regarding the incident. 
What type of incident? 
_____________________________________________________________________ 
What is the source of the incident? 
_____________________________________________________________________ 
What is the magnitude of the incident? To display the exact value, you must point the cursor to a 
graphic bar of magnitude. 
_____________________________________________________________________ 
Which network belongs to the source IP (Source IP) of the incident? To see it, you need to move 
the cursor to the Offense Source field. 
____________________________________________________________________ 
_____________________________________________________________________ 
12 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
____________________________________________________________________ 
6.  Double-click  on the Local DNS Scanner Invalid DNS incident to view the page with summary 
information. On this page you can find detailed information about the incident. 
7. Answer the following questions about this incident. 
How many events or threads are associated with this incident? 
_____________________________________________________________________ 
When did the incident occur? 
_____________________________________________________________________ 
Does the source IP (Source IP) of the incident in other incidents? 
_____________________________________________________________________ 
How many end IP addresses (Destination IP) are included in the incident? 
_____________________________________________________________________ 
_____________________________________________________________________ 
13 
Administration QRadar SIEM 7.2 © QDTS 
 
Administration QRadar SIEM 7.2 
_____________________________________________________________________ 
Open the list of categories into the incident. To do this, select Categories from the Display list. 
What are the categories of the incident? 
____________________________________________________________________ 
_____________________________________________________________________ 
What can you learn about this incident from its annotation? To get to the page with the 
annotation, from the Display list select Annotations. 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
____________________________________________________________________ 
_____________________________________________________________________ 
What  is  the  name  of  the  event,  event  category  and  destination  port  (Destination  Port) for events 
from  the  Last  10  Events  list?  You  can  find  them  by  clicking  the  Summary  button  and  scrolling 
down the list. 
_____________________________________________________________________ 
In what types of server communication is this destination port used? 
____________________________________________________________________ 
_____________________________________________________________________ 
14 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
____________________________________________________________________ 
8. Do the following with this incident. In the Actions field, select Add Note. Enter any note and 
click Add Note. 
9.  To  protect  the  incident  in  the  Actions  field  on  the  page  with  summary  information  about  the 
incident,  select Protect Offense. The Protected icon should light up in the status of the incident in 
the flag column. 
Why do we need to protect incidents? 
____________________________________________________________________ 
____________________________________________________________________ 
_____________________________________________________________________ 
Ad
ministration of QRadar SIEM 7.2 © QDTS 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 

4. Investigating Events and Incidents 


Exercise 1. Viewing incident events 
1. In the QRadar SIEM console, double-click the Offenses tab. 
2. Locate and double-click on the Local DNS Scanner containing invalid DNS 
incident. 
3. Display the low-level categories of events associated with the incident by selecting Categories 
in the Display field. 
_____________________________________________________________________ 
16 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 
4.  To  investigate  incident  events  in  the  low-level  DNS  Protocol  Anomaly  category,  right-click 
the DNS Protocol Anomaly table row and select Events. A page with a list of relevant events will 
open. 
5.  Create  a  filter  that  excludes  IP  sources  that  are  associated  with  the  Local  DNS  Scanner 
incident.  To  do  this,  select the event, right-click the source address and select Filter on Source IP 
is not 10.152.247.69. 
6. What were the results of the filter? 
_____________________________________________________________________ 
7. What do these results show? 
_____________________________________________________________________ 
_____________________________________________________________________ 
 
_____________________________________________________________________ 
17 
Administration QRadar SIEM 7.2 © QDTS 
 
Administration QRadar SIEM 7.2 
_____________________________________________________________________ 
8. To view related queries not related to the incident, click the Clear Filter button for Offense is 
Local DNS Scanner filter. 
9. What results were displayed? Why? 
10. To view events in the last 24 hours, in the View list, select Last 24 Hours. 
_____________________________________________________________________ 
18 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
____________________________________________________________________ 
11.  If  there  have  been  no  events  in  the  last  24  hours,  put  a  range  of  7  last  days.  Examine  other 
suspicious DNS requests from other sources. 
_____________________________________________________________________ 
19 
Administering QRadar SIEM 7.2 © QDTS 
 
Administering QRadar SIEM 7.2 
____________________________________________________________________ 

Exercise 2. Saving search criteria and results 


1. Save search criteria. To do this, click the Save Criteria button. The Save Search Criteria 
window opens. 
2. Enter the options for saving search criteria, in accordance with the following 
data: • Search Name My DNS Protocol Anomaly 
 
24 Hours 
• Include in my Quick Searches activated 
• Set as Default is not activated 
• Share with Everyone is not activated 
_____________________________________________________________________ 
20 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 
3. Verify that the settings look like the picture and click OK. 
4. Now save the current search results. To do this, click the Save Results button. The window for 
saving search results will open. 
5. In the name field, enter My DNS Protocol Anomaly Search Results. Click OK. 
6. Refer to the previously saved results. To do this, open the Search list and select Manage 
Search Results. 
_____________________________________________________________________ 
21 
Administration QRadar SIEM 7.2 © QDTS 
 
Administration QRadar SIEM 7.2 
_____________________________________________________________________ 
7. In the window that opens, select your previously saved the result and click the Delete button. 

Exercise 3. Detailed event information 


1. In the QRadar SIEM console, double-click the Log Activity tab. 
2. In the window that opens, click the Quick Searches button. 
_____________________________________________________________________ 
22 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 
3.  Select  the  previously  saved  search  criteria.  If  you  do  not  see  your  criteria  in  the  list,  try 
refreshing the page: double-click the Log Activity tab again and click Quick Searches. 
4.  If  no  events  were  found  based  on  the  search  results,  increase  the  search  period  to  a  week.  In 
the  search  results,  double  click  on  the  event.  A  page  with  detailed  information  about  the  event 
will open. 
_____________________________________________________________________ 
23 
Administering QRadar SIEM 7.2 © QDTS 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 
5.  Think whether the log messages displayed in the Payload Information field are a DNS security 
and firewall security issue. To navigate between events, use the Previous and Next buttons. 
6. Return to the list of events by clicking the Return to Event List button. 
_____________________________________________________________________ 
24 © QDTS Administering QRadar SIEM 7.2 
 
Administering QRadar SIEM 7.2 
_____________________________________________________________________ 

5. Investigating streaming incidents 


Exercise 1. Investigating incidents that occur over data 
streams 
1. From the server virtual machine, to generate network traffic, run the following commands: 
cd / labfiles 
./startRdp.sh 
2. In the QRadar SIEM console, click the Network Activity tab. 
3.  Check  if  there  are  network events and if incidents are triggered. This may take some time. If a 
network event causes an incident to occur, a red icon will light up to the left of the event. 
_____________________________________________________________________ 
25 
Administration QRadar SIEM 7.2 © QDTS 
 
Administration QRadar SIEM 7.2 
_____________________________________________________________________ 
4.  To  investigate  the  incident,  click  on  the  red  icon.  You  can choose any. Take into account that 
between  the  time  the  red  icon appears and the time of the full creation of the incident, some time 
passes! 
5.  Firefox  can  block  pop-ups.  To  disable  this,  you  must  perform  the  following  sequence  of 
actions in the Firefox panel: Tools> Options> Content> Disable block pop-up windows> OK. 
6. In the resulting summary incident information window, find the following information. 
What is the name of the incident? 
_____________________________________________________________________ 
Каков тип инцидента и его источник? 
_____________________________________________________________________ 
Какой конечный IP (Destination IP) фигурирует в 
инциденте? 
_____________________________________________________________________ 
_____________________________________________________________________ 
26 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
Сколько событий ассоциировано с данным 
инцидентом? 
_____________________________________________________________________ 
Сколько потоков ассоциировано с данным 
инцидентом? 
_____________________________________________________________________ 
Какие правила относятся к данному 
инциденту? Чтобы это выяснить в списке Display 
выберите пункт Rules. 
_____________________________________________________________________ 
7.  Чтобы  исследовать  поток,  связанный  с 
инцидентом,  нажмите  кнопку  Flows  на  странице 
суммарной  информации  об  инциденте. 
Откроется страница списка потоков. 
_____________________________________________________________________ 
27 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
8. Дважды кликните по сетевому событию, чтобы 
открыть страницу детальной информации о 
потоке. 
9. Ответьте на следующие вопросы. 
Каково направление потока? 
_____________________________________________________________________ 
Каково имя приложения? 
_____________________________________________________________________ 
Основываясь на своих наблюдениях, 
попробуйте предположить, какое поведение 
отслеживает данный инцидент. 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
10. Пометьте событие, как событие, приведшее к 
ложному срабатыванию. Для этого кликните по 
кнопке False Positive. 
_____________________________________________________________________ 
28 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
11. В открывшемся окне кликните Tune, а затем Close. 
12. Закройте страницу детальной информации о 
потоке. 
13. Закройте инцидент. Для этого в 
навигационном меню вкладки Offenses выберите All 
Offenses. 
14. Из списка Actions выберите пункт Close. 
15. В списке причин закрытия инцидента Reason for 
Closing выберите пункт False-Positive, Tuned. Нажмите OK. 
_____________________________________________________________________ 
29 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

6. Использование правил и их составных 


элементов 
Упражнение 1. Создание нового правила 
1.  Чтобы  создать  новое правило, в нашем случае 
сперва  потребуется  создать  список 
отслеживаемых  пользователей.  Для  этого  в 
консоли QRadar SIEM откройте вкладку Admin. 
2. Щелкните по кнопке Reference Set Management. 
3. В открывшемся окне нажмите кнопку Add. 
_____________________________________________________________________ 
30 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
4. В поле Name введите значение My Watchlist. Оставьте 
тип AlphaNumeric и нажмите Create. 
5. Сейчас сущность My Watchlist не имеет элементов. 
Дважды щелкните по ней. 
6. С помощью кнопки Add добавьте следующие 
элементы: 
• dcross 
• gyates 
• jchong 
• jstarco 
• krussell 
• wallenberg 
7. Закройте все открытые ранее окна и 
перейдите во вкладку Log Activity. 
_____________________________________________________________________ 
31 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
8. В списке Rules выберите пункт Rules. 
9. Из списка Actions выберите пункт New Event Rule. 
Откроется мастер создания правил. 
10. Дважды кликните Next, пока не откроется 
редактор правил. 
11. В поле Apply введите My Watchlist Rule. 
12. Необходимо добавить к правилу тест when any of these event properties 
are contained in any of these reference set(s). 
_____________________________________________________________________ 
32 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
Чтобы  это  сделать,  в  поле  Type  to  filter  добавьте  фильтр  when  any  of  these 
event.  Щелкните  по  зеленому  плюсу  напротив  теста  when  any  of  these  event 
properties are contained in any of these reference set(s). 
13. Щелкните по гиперссылке these event properties. 
14. В открывшемся окне выберите пункт Username, 
нажмите Add +, а затем Submit. 
15. Таким же образом подставьте в качестве 
тестового объекта these reference set(s) значение My 
Watchlist. 
_____________________________________________________________________ 
33 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
16. Добавьте второй тест. Для этого в списке Test 
Group выберите пункт Functions – Simple. 
17. Щелкните по зеленому плюсу напротив 
единственного доступного теста. Щелкните 
по гиперссылке rules. 
18. Добавьте в поле Type to filter фильтр BB:Category. Выберите пункт 
BB:CategoryDefinition: Authentication Success и нажмите Add. Нажмите 
Submit. 
19. Добавьте правило в группу Authentication и введите в поле Notes 
следующую заметку: This rule tracks successful logon of Watchlist users. 
Нажмите Next. 
_____________________________________________________________________ 
34 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
20. Сконфигурируйте действие правила 
следующим образом: 
• Ensure the detected event is part of an offense активировано 
• Index offense based on Username 
• Annotate this offense активировано Watchlist user successful login 
• Annotate event активировано 
• Enter annotation for this event Watchlist user 
successful login 
• Dispatch New Event активировано 
• Event Name Watchlist user login 
• Event Description Watchlist user login 
• Severity 8 
• Credibility 10 
• Relevance 10 
• High Level Category Authentication 
• Low Level Category User Login Success 
• Annotate this offense Watchlist user login 
• Ensure the dispatched event is part of an offense активировано 
• Index offense based on Username 
• This information should contribute to the активировано naming of the 
associated offense(s) 
_____________________________________________________________________ 
35 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
21. Убедитесь, что вы сконфигурировали 
правило, как на картинке и нажмите Next. 
_____________________________________________________________________ 
36 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
22. Убедитесь, что страница суммарной 
информации выглядит похожим образом, и 
нажмите Finish. 
23. Откройте вкладку Log Activity. В поле View выберите пункт Real Time 
(streaming). 
24. Из виртуальной серверной машины 
сгенерируйте поток событий для 
срабатывания событий: 
cd /labfiles 
./sendWindows.sh 
25. Подождите пару минут, пока не появятся 
инциденты. Найдите инциденты, вызванные 
ранее созданным правилом. 
26. Ответьте на несколько вопросов. 
_____________________________________________________________________ 
37 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
Сколько инцидентов породило именно Ваше 
новое правило? 
_____________________________________________________________________ 
С какими пользователями связаны нарушения? 
_____________________________________________________________________ 

Упражнение 2. Анализ правил 


1. Найдите рассмотренный Вами ранее 
инцидент Local DNS Scanner containing Invalid DNS. 
2. Ответьте на следующие вопросы, касательно 
данного инцидента. 
Как называется правило, вызвавшее данный 
инцидент? 
_____________________________________________________________________ 
Что привело к срабатыванию правила? 
_____________________________________________________________________ 
_____________________________________________________________________ 
Если  бы  Ваше  исследование,  что  срабатывание 
ложное,  как  бы  Вы  смогли  изменить  поведение 
правила  так,  чтобы  оно не создавало инцидент 
по ложному IP адресу? 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
38 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 3. Работа с параметрами правила 


1. В консоли QRadar SIEM откройте вкладку Offenses. 
2. Откройте подпункт Rules. 
3. Упорядочьте правила по убыванию 
количества вызванных инцидентов, дважды 
щелкнув по заголовку Offense Count. 
4. Какое правило вызвало наибольшее 
количество инцидентов? 
_____________________________________________________________________ 
5. Сколько событий или потоков 
ассоциировано с правилом My Watchlist Rule? 
_____________________________________________________________________ 
6. Сколько инцидентов связано с данным 
правилом? 
_____________________________________________________________________ 
_____________________________________________________________________ 
39 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
7. Перейдите в подпункт All Offenses. Выберите инцидент An account was 
successfully logged on. 
8. Из списка Actions выберите пункт Close. 
9. В открывшемся окне в списке Reason for Closing 
выберите пункт Policy Violation и нажмите OK. 
10. Снова перейдите в подпункт Rules. Найдите там 
правило My Watchlist Rule. 
11. Сколько теперь с ним ассоциировано 
событий или потоков? 
_____________________________________________________________________ 
12. Сколько теперь с ним связано инцидентов? 
_____________________________________________________________________ 

Упражнение 4. Удаление изменений в правиле 


1. Откройте вкладку Offenses в QRadar SIEM консоли. 
Зайдите в подпункт All Offenses. 
2. Дважды кликните по инциденту Communication to a known Bot Command 
and Control с источником инцидента 10.126.152.5. 
3. Перейдите к событиям инцидента. Пометьте 
событие Firewall Deny как приведшее к ложному 
срабатыванию. 
4. Перейдите в подпункт Rules вкладки Offenses. 
_____________________________________________________________________ 
40 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
5. В списке Display выберите пункт Building Blocks. В 
списке Group выберите пункт User Tuning. 
6.  Найдите  там  составной  элемент  правила 
User-BB-FalsePositive:  User  Defined  False  Positives  Tuning.  Данный  элемент 
был  изменен  по  сравнению  со  своим  исходным 
значением. 
7. Дважды кликните по данному элементу. В 
открывшемся редакторе кликните по 
гиперссылке с содержимым CAT. 
8. В открывшемся окне выберите любой пункт и 
нажмите Remove и Submit. 
9. Нажмите Finish. Теперь верните правило к 
своему исходному системному значению. Для 
этого снова выберите данный элемент и 
нажмите Revert Rule. 
_____________________________________________________________________ 
41 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
10. Открывшееся окно покажет исходное 
системное значение. Нажмите OK. 
_____________________________________________________________________ 
42 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

7. Создание отчетов 
Упражнение 1. Просмотр существующих отчетов 
1.  QRadar  SIEM  включает  более  1500  готовых  отчетов. 
Воспользуйтесь  существующим  отчетом.  Для 
этого  в  консоли  QRadar  SIEM  перейдите  по  вкладке 
Reports. 
2. Чтобы отобразить все отчеты, снимите пункт 
Hide Inactive Reports. 
3. В списке Group выберите пункт SOX. 
4. В поле Search Report введите Daily Top и кликните по 
иконке поиска, чтобы применить фильтр. 
5. Выберите Daily Top Targeted Hosts. 
_____________________________________________________________________ 
43 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
6. В списке Actions выберите пункт Run Report. 
7. Пока генерируется отчет, ответьте на пару 
вопросов. 
Какая группа содержит отчет Daily Top Targeted Hosts? 
_____________________________________________________________________ 
8. Дважды кликните по отчету Daily Top Targeted Hosts. 
Откроется мастер отчетов. 
9. Кликайте Next, пока не увидите страницу Specify 
Report Contents. 
10. Кликните Define на верхнем контейнере. 
Откроется детальная информация. 
Какое имя у критерия поиска событий, который 
генерирует данные для контейнера? 
_____________________________________________________________________ 
Какой используется тип графика? 
_____________________________________________________________________ 
Какие параметры отображаются на осях X и Y 
графика? 
_____________________________________________________________________ 
_____________________________________________________________________ 
44 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
11.  Нажмите  кнопку  Cancel,  чтобы  выйти  из 
описания  контейнера  (это  не  самая  нижняя 
кнопка  Cancel;  чтобы  ее  увидеть,  необходимо 
пролистать  информацию  о  контейнере  до 
конца). 
12. Нажмите кнопку Define у нижнего контейнера. 
Откроется страница описания контейнера. 
Какое имя у критерия поиска событий, который 
генерирует данные для этого контейнера? 
_____________________________________________________________________ 
Какие параметры отображаются на осях X и Y 
графика этого контейнера? 
_____________________________________________________________________ 
13.  Нажмите  Cancel,  чтобы  выйти  из  описания 
контейнера  (это  не  самая  нижняя  кнопка  Cancel; 
чтобы  ее  увидеть,  необходимо  пролистать 
информацию о контейнере до конца). 
14. Дважды нажмите Next и убедитесь, что отчет 
генерируется в pdf формате. 
15. Нажмите Cancel, чтобы выйти из мастера 
отчетов. 
_____________________________________________________________________ 
45 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
16. Нажмите кнопку Refresh и проверьте статус 
генерации отчета Daily Top Targeted Hosts. 
17. Когда отчет будет готов, кликните по 
иконке PDF в колонке Formats, чтобы посмотреть 
отчет. 
18. Очистите все фильтры отчетов. Для этого в 
списке Group выберите пункт Reporting Group и очистите 
поле Search Report. 

Упражнение 2. Создание нового отчета 


1. Во вкладке Reports в списке Actions выберите пункт 
Create. Кликните по кнопке Next. 
2. На странице This report should be scheduled to generate выберите 
опцию Daily и выберите дни недели с 
понедельника по пятницу. Кликните Next. 
_____________________________________________________________________ 
46 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
3. На странице Choose a Layout из списка Orientation выберите пункт 
Landscape. 
4. Кликните по макету, состоящему из одного 
контейнера, и нажмите Next. 
5. На странице Specify Report Content в поле Report Title введите Top Log 
Sources. 
6. В списке Chart Type выберите пункт Events/Logs. 
7. Сконфигурируйте детали контейнера в 
соответствии со следующими параметрами: 
• Chart Title My Top Log Sources 
• Limit the Events/Logs to Top 10 
• Graph Type Stacked Line 
• Saved Searches Top Log Sources 
• Horizontal (X) Axis Event Count (Sum) 
• Timeline Interval 1 Minute 
_____________________________________________________________________ 
47 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
8.  Убедитесь,  что  контейнер  сконфигурирован 
как  на  картинке,  и  нажмите  Save  Container  Details.  Если 
фон  контейнера  стал  зеленым,  то  это 
означает,  что  контейнер  имеет  содержимое  и 
был успешно сконфигурирован. 
9. Дважды кликните Next. 
10. На странице Report Format выберите HTML и PDF. 
11. Нажимайте Next, пока не достигните страницы 
Finishing Up. 
_____________________________________________________________________ 
48 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
12. В поле Report Description введите The Daily Top Log Sources report lists 
the top ten log sources by event count. 
13. Убедитесь, что пункт Run this report when the wizard is complete 
активирован. 
14. Кликните Next, а затем Finish. 
15. Щелкните по иконке Refresh, чтобы обновить 
статус генерации ранее созданного отчета My 
Top Log Sources. 
16. Когда отчет будет сгенерирован (это можно 
понять по полю Next Run Time), кликните по иконке PDF 
в колонке Formats, чтобы посмотреть отчет. 
_____________________________________________________________________ 
49 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 3. Создание нового отчета на базе нового 


критерия поиска 
1. В консоли QRadar SIEM кликните по вкладке Log Activity. 
2. Из списка View выберите пункт Last 3 Hours. 
3.  Нажмите  Add  Filter  и  в  открывшемся  окне 
заполните  поля: в первом списке выберите Custom 
Rules;  во  втором  списке  выберите  Equals;  в  списке  Rule 
Group  выберите Authentication; в поле Rule выберите My Watchlist 
Rule. 
4. Нажмите Add Filter. 
5. Сгруппируйте результат поиска по имени 
пользователя. Из списка Display выберите пункт 
Username. 
6. Сохраните критерии поиска. Для этого 
щелкните Save Criteria. 
7. В поле Search Name введите Watchlist User Logins by Username. Добавьте 
свой критерий к группе Authentication, Identity and User Activity. 
_____________________________________________________________________ 
50 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
8. Убедитесь, что параметры сохранения 
критериев поиска выглядят как на картинке, и 
нажмите OK. 
9. Создайте еще один критерий поиска. Для 
этого в списке Search выберите пункт New Search. 
10.  Введите  Watchlist  в поле Type Saved Search. Выберите свой 
предыдущий  сохраненный  критерий  Watchlist  User Logins 
by Username в отобразившемся списке и нажмите Load. 
11.  Сгруппируйте  результат  поиска  по  IP 
источника  событий  (Source IP) первично и вторично 
по  имени  пользователя  (для  того,  чтобы 
сгруппировать  результат  по  источнику 
событий,  поле  Log  Source  вначале  надо  удалить  из 
результатов  поиска,  а  потом  добавить  в 
список  Group  By;  также  и  с  именем  пользователя). 
Включите  колонки  Start  Date  и  Start  Time  в  результаты 
поиска.  Упорядочьте  результат  поиска  по 
убыванию поля Count. 
_____________________________________________________________________ 
51 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
12. Убедитесь, что параметры вашего поиска 
выглядят похожим образом и нажмите Search. 
13. Сохраните критерии данного поиска. Для 
этого щелкните по кнопке Save Criteria, в поле Search Name 
введите Watchlist User Logins by Log Source. 
14. Добавьте сохраняемый критерий поиска в 
группу Authentication, Identity and User Activity и нажмите OK. 
15. Откройте вкладку Reports. 
16. В списке Actions выберите пункт Create. Щелкните 
Next в открывшемся окне. 
17. На странице This report should be scheduled to generate выберите 
Manually. 
18. На странице Choose a Layout из списка Orientation выберите пункт 
Landscape. 
19. Выберите макет, состоящий из двух 
контейнеров, и щелкните Next. 
20. На странице Specify Reports Contents в поле Report Title введите 
Terminated user logins. 
21. Для верхнего контейнера в списке Chart Type 
выберите пункт Event/Logs. 
22. Сконфигурируйте детальную информацию о 
контейнере в соответствии со следующей 
информацией: 
• Type Chart Title Terminated user logins 
_____________________________________________________________________ 
52 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Limit the Events/Logs to Top 10 
• Graph Type Bar 
• Manually Scheduling Начиная с 24 часов ранее текущего 
времени сервера по текущее системное время 
сервера 
• Saved Searches Watchlist User Logins by Username 
• Horizontal (X) Axis Username 
• Vertical (Y) Axis Count 
Чтобы задать параметры времени необходимо 
будет посмотреть системное время на 
серверной виртуал� �ной машине. 
23. Убедитесь, что параметры контейнера 
выглядят похожим образом, и нажмите Save Container 
Details. 
24. Для нижнего контейнера в списке Chart Type 
выберите пункт Events/Logs. 
_____________________________________________________________________ 
53 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
25. Сконфигурируйте этот контейнер в 
соответствии со следующими параметрами: 
• Type Chart Title Terminated user logins by IP 
• Limit the Events/Logs to Top 10 
• Graph Type Table 
• Manually Scheduling значения из предыдущего 
контейнера 
• Saved Searches Watchlist User Logins by Log Sources 
26. Нажмите Save Container Details. 
27. Дважды кликните Next. На странице Report Format 
выберите HTML и PDF. 
28. Щелкайте Next до тех пор, пока не достигните 
страницы Finishing Up. 
29. В поле Report Description введите Watchlist User Logins. 
30. Добавьте отчет к группе Authentication, Identity and User Activity. 
31. Убедитесь, что пункт Yes - Run this report when the wizard is complete 
активирован, и нажмите Finish. 
_____________________________________________________________________ 
54 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
32.  Щелкните  иконку  Refresh,  чтобы  обновить 
статус  генерации  отчета.  Когда  отчет 
сгенерируется,  щелкните  иконку  PDF  в  колонке 
Formats, чтобы его отобразить. 
_____________________________________________________________________ 
55 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

8. Использование административных 
инструментов 
Упражнение 1. Deployment Editor 
1. Откройте вкладку Admin и дважды кликните по 
кнопке Deployment Editor. 
2. Нажмите OK, чтобы открыть окно с Java 
приложением. 
3. Нажмите Run, чтобы игнорировать 
предупреждение безопасности. 
_____________________________________________________________________ 
56 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
4. Нажмите No, чтобы не блокировать Java 
компоненты. Далее откроется окно Deployment Editor. 
_____________________________________________________________________ 
57 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
5. Щелкните правой кнопкой по компоненте 
qflow0::COE и выберите пункт Configure. 
_____________________________________________________________________ 
58 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
6. В открывшемся окне нажмите по кнопке Advance 
(Advan...). 
7. Объясните назначение некоторых 
параметров. Какие значения для них заданы? 
Maximum Data Capture/Packet 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
Maximum Content Capture 
_____________________________________________________________________ 
_____________________________________________________________________ 
8. Нажмите кнопку Cancel и закройте Deployment Editor. 
_____________________________________________________________________ 
59 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 2. Отличия в методах soft clean и hard clean 


1. Во вкладке Admin нажмите по кнопке Advanced. 
2. Выберите пункт Clean SIM Model. Доступно два 
метода: Soft Clean и Hard Clean. 
3. Нажмите на значок вопроса в правом углу 
окна. Откроется справка. 
4. Попробуйте с помощью справки объяснить 
назначение двух разных методов. 
Soft Clean 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
Hard Clean 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
5. Закройте окно со справкой и затем закройте 
окно Reset Clean SIM Data Model. 
_____________________________________________________________________ 
60 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 3. Использование автообновлений и справки 


1. Во вкладке Admin дважды кликните по кнопке Auto 
Update. 
2. В навигационном меню щелкните по кнопке 
Change Settings. Откроется вкладка Update Configuration. 
3. Нажмите кнопку Advanced. В поле Web Server введите 
http://www.ibm.com/support/fixcentral/. 
4. Убедитесь, что в поле Directory выбран пункт 
autoupdates/. 
5. Щелкните по кнопке Basic. 
6. Сконфигурируйте расписание 
автообновления в соответствии со 
следующими данными: 
• Frequency Weekly 
• Hour 12:00 PM 
• Week Day Tuesday 
Для того, чтобы узнать, как это сделать, 
используйте справку. Вам потребуются пункт 
Setting up QRadar SIEM и пункт Setting up a QRadar SIEM update server. 
7.  Нажмите  Save  и  закройте  окно  Update  Configuration. 
Сейчас  сервер  QRadar  SIEM  не  сможет  соединиться 
с  сервером  обновлений,  т.к.  тестовая  среда 
изолированная,  но  этот  метод будет полезен в 
дальнейшем в продуктивной среде. 
_____________________________________________________________________ 
61 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

9. Создание сетевой иерархии 


Упражнение 1. Задание объектов сетевой иерархии 
1. Во вкладке Admin щелкните по кнопке Network Hierarchy. 
2. В открывшемся окне выберите группу all и 
нажмите Add. 
3. Щелкните по кнопке Add Group напротив поля Group. 
4. В новой группе введите Europe.Sales и нажмите OK. 
5. Добавьте сетевой объект с использованием 
следующих значений: 
• Name Ireland 
• Weight 50 
• IP/CIDR(s) 87.198.175.120/32 
• Color любой 
• Database Length System – Network Object Default 
_____________________________________________________________________ 
62 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
6. Убедитесь, что параметры выглядят похожим 
образом и нажмите Save. 
7. Щелкните Return. Убедитесь, что получили 
правильную иерархию групп. 
8. Создайте три дополнительных сетевых 
объекта с использованием следующих 
значений: 
• Group Americas.HQ 
• Name Sales 
• Weight 50 
• IP/CIDR(s) 55.0.0.0/8 
10.1.121.0/24 
• Color любой 
• Database Length System – Network Object Default 
_____________________________________________________________________ 
63 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Group Americas.HQ 
• Name Development 
• Weight 50 
• IP/CIDR(s) 74.0.0.0/8 
• Color любой 
• Database Length System – Network Object Default 
• Group Asia.Turkey 
• Name Support 
• Weight 50 
• IP/CIDR(s) 94.122.0.0/16 
• Color любой 
• Database Length System – Network Object Default 
9. Убедитесь, что новые группы и объекты 
выглядят похожим обр� �зом, и закройте окно 
Network Views. 
10. Во вкладке Admin щелкните Deploy Changes. 
_____________________________________________________________________ 
64 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

10. Расширенное использование 


административных инструментов 
Упражнение 1. Импорт данных из внешнего сканера 
1. Убедитесь, что не существует профилей 
устройств с уязвимостями. Для этого в 
консоли QRadar SIEM зайдите во вкладку Assets. 
2. В навигационном меню щелкните по вкладке 
Asset Profiles. 
3. Отсортируйте вывод в порядке убывания 
колонки Vulnerabilities. 
4. Теперь добавьте внешний сканер. Для этого 
во вкладке Admin щелкните по кнопке VA Scanners. 
5. В открывшемся окне щелкните Add. Добавьте 
новый сканер с использованием следующих 
значений: 
• Scanner Name My Nessus Scanner 
• Description Exercise 
• Type Nessus Scanner 
• Collection Type Scheduled Results Import 
• Remote Results Hostname 192.168.10.10 
• Remote Results Port 22 
• SSH Username root 
• SSH Password object00 
• Enable Key Authentication не активировано 
_____________________________________________________________________ 
65 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Remote Results Directory /labfiles/VIS 
• Remote Results File Pattern .*\.nessus 
• Remote Results Max Age 7 
• CIDR Ranges 0.0.0.0/0 
6. Убедитесь, что параметры 
сконфигурированы как на картинке, и нажмите 
Save. 
7. Во вкладке Admin щелкните по кнопке Deploy Changes. 
8. Теперь обновите файлы в директории /labfiles/VIS, 
чтобы они учитывались сканером. Войдите в 
консоль сервера и введите следующие 
команды: 
cd /labfiles/VIS 
touch * 
9. Вернитесь в консоль QRadar и в окне VA Scanner, 
выбрав My Nessus Scanner, кликните Schedule. 
_____________________________________________________________________ 
66 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
10. Нажмите Add. Создайте новый календарь с 
использованием следующих параметров: 
• VA Scanner My Nessus Scanner 
• Network CIDR 0.0.0.0/0 
• Priority Low 
• Ports 1-63553 
• Start Time сегодня + 2 минуты от текущего 
времени 
• Interval 0 Hours 
11. Убедитесь, что параметры 
сконфигурированы как на картинке, и нажмите 
Save. 
12. Подождите две минуты и проверьте статус 
расписания. Он должен перейти в состояние 
Complete. 
13. Закройте открытые окна и перейдите во 
вкладку Assets. 
14.  В  навигационном  меню  кликните  по  кнопке 
Assets  Profiles.  Отсортируйте  вывод  по  убыванию 
колонки  Vulnerabilities.  Убедитесь,  что  появились 
новые профили устройств с уязвимостями. 
_____________________________________________________________________ 
67 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 2. Управление профилями устройств 


1. Во вкладке Asset выберите адрес 10.0.100.162. 
2. В открывшемся окне кликните по кнопке Display и 
выберите пункт Services. 
3. Посмотрите на сервисы, распознанные по 
данному адресу. 
4. Закройте окно и кликните по адресу 192.168.10.10. 
5. В открывшемся окне кликните по кнопке 
Application. 
_____________________________________________________________________ 
68 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
6. Нажмите Search. 
Что Вы видите в открывшемся окне? 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
7. Закройте открытые окна. 
8. Теперь обновим MAC адрес и IP адрес для 
устройства 192.168.10.10. Для этого в консоли 
сервера QRadar введите команду: 
ifconfig 
_____________________________________________________________________ 
69 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
9. Перепишите MAC адрес и IP каждого устройства. 
Адреса Ваших устройств могут отличаться от 
MAC адресов на картинке. 
eth0 
_____________________________________________________________________ 
eth1 
_____________________________________________________________________ 
_____________________________________________________________________ 
70 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
10. В свойствах профиля устройства с адресом 
192.168.10.10 кликните по кнопке Edit Asset. 
11. Во вкладке MAC & IP Address выберите пункт Unknown NIC 
и щелкните по кнопке Edit. 
12. Измените MAC адрес на адрес устройства eth0, 
записанный ранее, и нажмите OK. 
13. Кликните по кнопке New MAC Address и введите 
адрес второго устройства eth1, также 
записанный ранее. Нажмите Add. 
14. Выберите новый MAC адрес устройства eth1 и 
щелкните по кнопке New IP Address. 
15. Введите IP адрес устройства eth1 и нажмите Add. 
_____________________________________________________________________ 
71 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
16. Убедитесь, что конфигурация выглядит 
похожим образом. 
17. Теперь измените DNS имя и операционную 
систему в свойствах профиля устройства. Для 
этого разверните вкладку Names & Description. 
18. В поле DNS Name введите COE.ibm.com и нажмите Add. 
19. В поле NetBios Name введите COE.ibm.com и нажмите Add. 
20. В поле Given Name введите QRadar Server. 
21. Разверните вкладку Operating System и введите 
следующие опции: 
• Vendor Red Hat 
• Product Enterprise Linux 
• Version 5.4.0 
22. Нажмите Add. Пролистайте окно донизу и 
нажмите Save. 
_____________________________________________________________________ 
72 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
23.  Кликните  по  иконке  обновления  страницы  в 
правой  верхней  части  окна  Asset  Details  и 
разверните  вкладку  Network  Interface  Summary. Убедитесь, 
что  профиль  устройства  выглядит  похожим 
образом. 
24. Закройте окно Asset Details. 
25. Теперь найдите профиль устройства с 
уязвимостью по порту 445. Для этого во вкладке 
Assets кликните по списку Search и выберите пункт 
New Search. 
26. Добавьте фильтр Vulnerabilities On Open Port Equals 445 и нажмите 
Search. 
_____________________________________________________________________ 
73 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
27. Убедитесь, что результаты поиска выглядят 
похожим образом. 

Упражнение 3. Создание наборов ссылок 


1. В консоли QRadar SIEM откройте вкладку Admin. 
2. Щелкните по кнопке Reference Set Management и затем по 
кнопке Add. 
3. Создайте набор ссылок (reference set) с 
использованием следующих параметров: 
• Name Newly created users 
• Type AlphaNumeric 
• Time to Live of Elements 5 Days 
• Since first seen активировано 
• Lives Forever не активировано 
4. Убедитесь, что создаваемый набор ссылок 
выглядит похожим образом, и нажмите Create. 
_____________________________________________________________________ 
74 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 4. Импорт данных набора ссылок из файла 


1. На рабочем столе создайте новый текстовый 
файл со следующими строками: 
C:\labfiles\HR 
C:\labfiles\HR\Resource Actions.txt 
2. Сохраните файл под именем HR files.txt. 
3. В окне Reference Set Management дважды щелкните по HR Data. 
4. В открывшемся окне кликните по кнопке Import. 
5. Во всплывающем окне нажмите Browse. 
6. Выберите свой ранее созданный файл и 
нажмите Open. 
7. Щелкните Import. 
8. Убедитесь, что редактируемый набор 
выглядит похожим образом, и закройте окно 
редактора. 
_____________________________________________________________________ 
75 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 5. Использование наборов ссылок в правилах 


1. Для начала создайте новый набор ссылок. Для 
этого в окне Reference Set Management щелкните Add. 
2. Создайте набор ссылок с использованием 
следующих значений: 
• Name High Surveillance 
• Type AlphaNumeric (Ignore Case) 
• Time to Live of Elements 14 Days 
• Since first seen активировано 
• Lives Forever не активировано 
3. Создайте на рабочем столе еще один 
текстовый файл со следующими строками: 
PeggyBundy 
Marcyd'Archy 
KellyBundy 
4. Сохраните файл под именем Surveillance.txt. 
5. В окне Reference Set Management дважды кликните по High Surveillance. 
6. Нажмите Import и затем во всплывающем окне 
кликните Browse. 
7. Выберите созданный ранее файл и кликните 
Open. 
8. Щелкните Import. Убедитесь, что содержимое в 
нижнем регистре. 
9.  В  окне  редактирования  набора  ссылок  High 
Surveillance  щелкните  по  кнопке  обновления 
страницы.  Если  значения  не  обновились, 
подождите минуту и повторите попытку. 
10. Убедитесь, что значение Time to Live изменилось. 
11. Добавьте к набору ссылок вручную новый 
элемент. Для этого щелкните Add. 
12. В открывшемся окне введите cary и щелкните Add. 
_____________________________________________________________________ 
76 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
13. Закройте открытые окна. 
14. В консоли QRadar SIEM откройте вкладку Offenses. 
15. В списке Display выберите пункт Rules. 
16. Создайте новое событийное правило (Event Rule). 
17. Добавьте к правилу тест when the event QID is one of the following QIDs. 
18. Тестовый объект QIDs замените на (5000094) User Account Locked Out. 
19. В поле Apply введите следующее имя правила My Rule: Add locked 
account to Surveillance list. 
20. Добавьте правило в группу Authentication. 
21. В поле Notes введите следующий комментарий: This rule adds the locked 
account to the surveillance list. 
22. Убедитесь, что правило сконфигурировано 
похожим образом, и нажмите кнопку Next. 
23. В Абзаце Rule Response включите пункт Add to a Reference Set. 
24. В списке Low Level Category выберите пункт AccountName (custom). 
25. Во втором списке того же абзаца выберите пункт High Surveillance – 
AlphaNumeric (Ignore Case). 
_____________________________________________________________________ 
77 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
26. Убедитесь, что правило сконфигурировано 
похожим образом, и нажмите кнопку Finish. 
27. Создайте еще одно событийное правило. 
28. Добавьте к правилу тест when any of these event properties are contained 
in any of these reference set(s). 
29. Замените тестовый объект these event properties на Username. 
30. Замените тестовый объект these reference set(s) на High Surveillance. 
31. В поле Apply введите следующее имя правила My Rule: Accounts under 
Surveillance. 
32. Добавьте правило в группу Authentication. 
33. В поле Notes введите следующую заметку: This rule checks if the event 
has been generated by an account under surveillance. 
_____________________________________________________________________ 
78 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
34. Убедитесь, что правило сконфигурировано 
как на картинке, и нажмите кнопку Next. 
35. В абзаце Rule Response поставьте включите пункт 
Dispatch New Event. 
36. В поле Event Name введите User Surveillance Event. 
37. В поле Event Description введите User under surveillance generated this 
event. 
38.  В  абзаце  Event  Details  в  списке  High-Level  Category  выберите  пункт 
Suspicious  Activity,  а  в  списке  Low-Level  Category  выберите  пункт  Misc 
Suspicious Event. Также включите пункт Notify. 
_____________________________________________________________________ 
79 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
39. Убедитесь, что правило сконфигурировано 
похожим образом, и нажмите Finish. 
40. Перейдите во вкладку Admin и щелкните по 
кнопке Reference Set Management. 
41. Откройте High Surveillance. Сколько записей 
отображено? 
_____________________________________________________________________ 
42. Щелкните по кнопке References. Найдите правило, 
сконфигурированное ранее. 
43. Теперь сгенерируйте события для 
срабатывания правила. Для этого в консоли 
серверной машины введите следующие 
команды: 
cd /labfiles 
./sendWindows.sh 
_____________________________________________________________________ 
80 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
44. Дайте скрипту поработать минуты две и 
остановите его сочетанием клавиш CTRL + C. 
45. В консоли QRadar SIEM дважды кликните по 
вкладке Log Activity. 
46. Добавьте фильтр Event Name Equals User Surveillance Event. 
47. В списке View выберите пункт Last 5 minutes. 
48. Ответьте на следующие вопросы. 
Сколько выведено событий? 
_____________________________________________________________________ 
Где еще имена этих пользователей 
встречаются? 
_____________________________________________________________________ 
49. Посмотрите содержимое набора ссылок High 
Surveillance. 
50.  Правило  My  Rule:  Accounts  under  Surveillance  посылает 
уведомления  в  консоль  QRadar  SIEM.  Чтобы 
посмотреть  эти  уведомления,  щелкните  по 
кнопке Messages и выберите пункт View All. 
51.  В  открывшемся  списке  дважды  кликните  по 
событию  User  Account  Locked  Out.  Откроются  все  события 
данного  типа.  Изучите  их содержимое. Найдите 
правило, которое их породило. 
_____________________________________________________________________ 
81 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 6. Управление индексами 


1. В консоли QRadar SIEM откройте вкладку Admin. 
2. Щелкните по кнопке Index Management. 
3. В открывшемся окне щелкните правой 
кнопкой мыши по пункту AccountName (custom) и 
выберите пункт Enable Index. 
4. Нажмите кнопку Save и закройте окно Index Management. 
5. Снова выполните из консоли серверной 
машины команду: 
./sendWindows.sh 
6. В консоли QRadar SIEM дважды кликните по 
вкладке Log Activity. 
7. Создайте новый поиск с использованием 
следующих параметров: 
• События за последние 24 часа 
• Фильтр AccountName (custom) is not N/A 
• Результаты поиска сгруппировать по AccountName 
• Вывести значения полей Event Names и Event Count 
• Упорядочить результаты поиска по полю Event 
Count 
_____________________________________________________________________ 
82 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
8. Убедитесь, что результаты поиска выглядят 
похожим образом, и нажмите Save Criteria. 
9. Сохраните результаты поиска с 
использованием следующих параметров: 
• Search Name My Search: Index management 
• Timespan options Recent (enable) 
Last 24 hours 
• Include in my Quick Searches активировано 
_____________________________________________________________________ 
83 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
10. Убедитесь, что параметры сохранения 
выглядят похожим образом, и нажмите OK. 
11. Подождите минут пять до завершения 
скрипта sendWindows.sh. 
12. Перейдите во вкладку Admin консоли QRadar SIEM и 
щелкните Index Management. 
13.  Убедитесь,  что  теперь  AccountName  включает 
статистику  по  индексам.  Статистика 
обновляется  каждый  час,  поэтому  может 
потребоваться  дождаться  окончания  часа, 
тогда  проверьте  этот  пункт  позже.  Закройте 
окно Index Management. 
14. Дважды кликните по вкладке Log Activity. 
15. В поле Quick Filter введите “Logon Type” вместе с 
кавычками. 
16. В списке View выберите пункт Last 24 hours. 
17. Дважды щелкните по любому событию в 
списке. 
18. В открывшемся окне щелкните по кнопке Extract 
Property. 
19. Создайте новый объект с использованием 
следующих параметров. Не указанные 
параметры оставьте в значениях по 
умолчанию: 
• New Property WinLogonType 
• Description Windows log on type determines how 
the log on was issued: interactive, 
_____________________________________________________________________ 
84 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
network, local, batch, etc. 
• Category активировано 
• High Level category Any 
• Low Level category Any 
• RegEx Logon\sType:.*?(\d{1,2}) 
• Capture Group 1 
20. Убедитесь, что конфигурация выглядит 
похожим образом, и нажмите Save. 
21. Во вкладке Admin щелкните по кнопке Index Management и найдите 
объект WinLogonType (custom). 
22. Щелкните по найденному объекту правой 
кнопкой мыши и выберите пункт Enable Index. 
23. Нажмите кнопку Save. 
24. Дважды кликните по вкладке Log Activity. 
25. Создайте критерии поиска с 
использованием индексированных объектов. 
Для этого задайте следующие параметры 
поиска: 
• Фильтр WinLogonType (custom) equals any of 3 
• События за последние 24 часа 
26. Теперь используйте индексированные 
объекты в правиле. Для этого откройте 
вкладку Offenses и, щелкнув по списку Display, 
выберите пункт Rules. 
27. Найдите правило My Rule: Accounts under Surveillance. 
_____________________________________________________________________ 
85 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
28. Отредактируйте правило DEMO: Accounts under Surveillance, заменив 
объект Username на WinLogonType (custom). 
29. Получилось ли у Вас предыдущее действие? 
Why? 
_____________________________________________________________________ 
30. Откройте вкладку Admin и щелкните по кнопке 
Custom Event Properties. 
31. Дважды кликните по объекту WinLogonType. 
32. В окне Property Definition включите опцию Optimize parsing for rules, 
reports, and searches и нажмите Save. 
33. Отредактируйте правило DEMO: Accounts under Surveillance, изменив 
тестовый объект AccountName(Custom) на WinLogonType (custom). 
34. Можете ли Вы сейчас произвести данное 
изменение? Why? 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
35. Нажмите Cancel, чтобы не сохранять возможные 
изменения. 
_____________________________________________________________________ 
86 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

11. Управление пользователями 


Упражнение 1. Удаленная аутентификация 
1. В консоли QRadar SIEM откройте вкладку Admin и 
щелкните по кнопке Authentication. 
2. В открывшемся окне из списка Authentication Module 
выберите пункт Active Directory. 
3. Сконфигурируйте параметры 
аутентификации в соответствии со 
следующими значениями: 
• Server URL ldap://192.168.10.12:389 
• LDAP Context DC=coe,DC=ibm,DC=com 
• LDAP Domain coe.ibm.com 
4. Убедитесь, что конфигурация выглядит 
похожим образом, и нажмите Save. 
5. Закройте окно Authentication Configuration. 
6. Во вкладке Admin нажмите кнопку Deploy Changes. 
7. Теперь создайте пользователя QRadar SIEM. Для 
этого во вкладке Admin щелкните по кнопке Users и 
кнопке New в открывшемся окне. 
8. Создайте нового пользователя QRadar SIEM в соответствии со следующими 
значениями: 
_____________________________________________________________________ 
87 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Username PeggyBundy 
• E-mail peggy.bundy@coe.ibm.com 
• Password object00 
• Confirm Password object00 
• Description Exercise user 
• User Role All 
• Security Profile Admin 
9. Убедитесь, что параметры создаваемого 
пользователя выглядят похожим образом, и 
нажмите Save, а затем Close. 
10. Закройте окно User Management. 
11. Во вкладке Admin нажмите кнопку Deploy Changes. 
12. Теперь проверьте созданного 
пользователя. Для этого отлогинтесь от 
консоли QRadar SIEM. 
13. Попытайтесь войти в консоль от имени 
пользователя PeggyBundy с паролем object00. 
14. Удалось ли Вам это сделать? Why? 
_____________________________________________________________________ 
88 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
15. Теперь создайте нужного пользователя в 
Active Directory. Для этого в командной строке Windows 
введите следующую команду: 
dsa.msc 
16. В открывшемся окне разверните узел coe.ibm.com. 
17. Разверните пункт Users и кликните по кнопке 
Users. 
18. Из списка Actions на рабочей панели выберите 
пункт New и пункт User. 
19. Создайте нового пользователя с 
использованием следующих значений: 
• First name Peggy 
• Last name Bundy 
• User logon name PeggyBundy 
_____________________________________________________________________ 
89 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
20. Убедитесь, что новый пользователь 
сконфигурирован похожим образом, и нажмите 
Next. 
21. Сконфигурируйте пароль с использованием 
следующих параметров: 
• Password object00 
• User must change password не активировано at next log on 
• User cannot change password активировано 
• Password never expires активировано 
• Account is disabled не активировано 
_____________________________________________________________________ 
90 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
22. Убедитесь, что параметры пароля 
сконфигурированы похожим образом, и 
нажмите Next, а затем Finish. 
23. Выйдите из Active Directory. 
24. Снова попытайтесь войти в консоль QRadar SIEM 
под пользователем PeggyBundy с паролем object00. 
25. Из списка Preferences выберите пункт User Preferences. 
26. Попытайтесь изменить пароль. Получилось 
ли у Вас это сделать? Why? 
_____________________________________________________________________ 
_____________________________________________________________________ 
27. Войдите в консоль QRadar SIEM из-под своего 
исходного пользователя. 

Упражнение 2. Управление пользователями 


1. Во вкладке Admin щелкните по кнопке Security Profiles. 
_____________________________________________________________________ 
91 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
2. Щелкните по кнопке New в открывшемся окне. 
3. Создайте новый профайл с использованием 
следующих значений: 
• Security Profile Name WinAud 
• Description Auditor with privileges to see windows 
event logs and networks 
• Permission Precedence Networks OR Log Sources 
• Networks Europe.Sales.Ireland 
Regulatory_Compliance_Servers 
• Log Sources WindowsAuthServer@10.0.120.11 
4. Убедитесь, что сетевая конфигурация 
профайла выглядит похожим образом. 
_____________________________________________________________________ 
92 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
5. Убедитесь, что журнальная конфигурация 
профайла выглядит похожим образом, и 
нажмите Save, а затем Close. 
6. Кликните по кнопке User Roles. 
7. В открывшемся окне кликните по кнопке New. 
8. Создайте новую роль с использованием 
следующих значений: 
• User Role name WinAud 
• Admin не активировано 
• Offenses активировано 
• Log Activity активировано 
• Network Activity не активировано 
• Assets активировано 
• Reports активировано 
• IP Right Click Menu Extensions не активировано 
_____________________________________________________________________ 
93 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
9. Убедитесь, что создаваемая роль выглядит 
похожим образом, и нажмите Save, а затем Close. 
10. Теперь выдайте пользователю PeggyBundy 
созданную роль. Для этого во вкладке Admin 
щелкните по кнопке Users. 
11. В открывшемся списке дважды кликните по 
пользователю PeggyBundy. 
12. Измените атрибуты User Role и Security Profile на WinAud. 
13. Нажмите кнопку Save, А затем Close. 
14. Во вкладке Admin щелкните по кнопке Deploy Changes. 
_____________________________________________________________________ 
94 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 3. Изучение работы ролей и профайлов 


безопасности 
1. Снова войдите в консоль QRadar SIEM под 
пользователем PeggyBundy. 
2. Откройте вкладку Offenses. Сколько инцидентов 
отображено? 
_____________________________________________________________________ 
3. Щелкните по кнопке Rules. 
4. Из меню Actions выберите пункт New Event Rule. 
5. Нажимайте кнопку Next до тех пор, пока не встретите пункт All Test Group, 
и выберите тест when the local network is one of the following networks. 
6. Щелкните по объекту one of the following networks. 
7. Какие объекты доступны для выбора? 
_____________________________________________________________________ 
8. Нажмите Cancel. 
9. Теперь выберите тест when the event(s) were detected by one or more of 
these log sources. 
10. Выберите тестовый объект these log sources. 
11. Какие объекты доступны для выбора? 
_____________________________________________________________________ 
12. Щелкните Cancel, а затем снова Cancel. 
13. Дважды щелкните по вкладке Log Activity. 
14. Нажмите Add Filter и выберите Log Source. Какие 
источники доступны для выбора? 
_____________________________________________________________________ 
15. Нажмите Add Filter и выберите пункт Source or Destination Network. Какие 
сетевые объекты доступны для выбора? 
_____________________________________________________________________ 
95 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
_____________________________________________________________________ 
16. Перейдите во вкладку Asset. Сколько профилей 
устройств отображается? 
_____________________________________________________________________ 
17.  Зайдите  в  консоль  QRadar  SIEM  под  своим 
исходным  пользователем  и  повторите  шаги  с  13 
по  16.  Сравните  отличия  в  отображаемых 
данных.  Каковы  отличия  между  этими  двумя 
пользователями? 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
18. В командной строке серверной машины 
введите следующие команды: 
cd /labfiles 
./sendDemologs.sh 
19. Через минуту зайдите в консоль QRadar SIEM под 
пользователем PeggyBundy и изучите следующие 
вкладки: 
• Log Activity 
• Network Activity 
• Assets 
• Offenses 
20. Почему не отображается ни одного 
инцидента? 
_____________________________________________________________________ 
_____________________________________________________________________ 
21. Из командной строки серверной машины 
остановите выполнение скрипта sendDemologs.sh с 
помощью сочетания клавиш CTRL + C. 
22. Повторите шаги с 18 по 21 под пользователем 
admin. В чем отличия? 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
96 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 4. Изучение удаленной аутентификации 


1. Войдите в консоль QRadar SIEM под пользователем 
admin. 
2. Откройте вкладку Admin и нажмите Users. 
3. Выдайте пользователю PeggyBundy роль 
администратора. 
4. Закройте окно User Management и во вкладке Admin 
щелкните по кнопке Deploy Changes. 
5. Войдите в консоль QRadar SIEM под пользователем 
PeggyBundy. 
6. В меню Preferences выберите пункт User Preferences. 
7. Можете ли Вы изменить свой пароль? Why? 
_____________________________________________________________________ 
8. Измените пароль для пользователя PeggyBundy с 
object00 на object11 и выйдите из консоли. 
9. Попробуйте войти в консоль под 
пользователем PeggyBundy с паролем object00. 
Получилось ли? 
_____________________________________________________________________ 
10. Исходя из предыдущих действий, 
предположите, что используется для 
аутентификации пользователя PeggyBundy: QRadar SIEM 
или Active Directory? 
_____________________________________________________________________ 
11. Выйдите из консоли и снова попробуйте 
войти в консоль под пользователем PeggyBundy но 
уже с паролем object11. Получилось ли сейчас? 
_____________________________________________________________________ 
_____________________________________________________________________ 
12. Что это означает? 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
97 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
13. Войдите в консоль под своим исходным 
пользователем. 
_____________________________________________________________________ 
98 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

12. Управление данными 


Упражнение 1. Настройка расписания резервного 
копирования 
1. В консоли QRadar SIEM откройте вкладку Admin. 
2. Щелкните по кнопке Backup and Recovery. 
3. В открывшемся окне щелкните по кнопке Configure. 
4. Сконфигурируйте резервное копирование в 
соответствии со следующими значениями: 
• Backup Repository Path /tmp 
• Backup Retention Period(days) 2 
• No Nightly Backups не активировано 
• Configuration Backup Only не активировано 
• Configuration and Data Backups активировано 
• COE :: 192.168.10.10 Event Data активировано 
• COE :: 192.168.10.10 Flow Data не активировано 
_____________________________________________________________________ 
99 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
5. Убедитесь, что параметры резервного 
копирования выглядят похожим образом, и 
щелкните Save. 
6. Закройте окно Backup Archives. 
7. В консоли QRadar SIEM должно было отобразиться 
сообщение There are undeployed changes. 
8. Чтобы посмотреть подробную информацию, 
щелкните по View Details, а затем по Expand All. 
Что Вы видите? 
_____________________________________________________________________ 
_____________________________________________________________________ 
9. В командной строке серверной машины 
выполните следующие команды: 
unalias ls 
ls -al /store/configservices/deployed/globalconfig/backup- recovery-config.xml 
_____________________________________________________________________ 
100 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
10. Какая дата последнего изменения 
просмотренного файла? 
_____________________________________________________________________ 
11. В командной строке серверной машины 
выполните следующие команды: 
ls -al /store/configservices/staging/globalconfig/backup- recovery-config.xml 
12. Какая дата последнего изменения 
просмотренного файла? 
_____________________________________________________________________ 
13. Вернитесь в консоль QRadar SIEM и во вкладке Admin 
щелкните по кнопке Deploy Changes. 
14. После завершения операции снова 
выполните из командной строки серверной 
машины команду: 
ls -al /store/configservices/deployed/globalconfig/backup- recovery-config.xml 
15. Какая у данного файла теперь дата 
последнего изменения? 
_____________________________________________________________________ 

Упражнение 2. Сохранение событий 


1. Во вкладке Admin щелкните по кнопке Event Retention. 
2. Выберите первую строку и щелкните кнопку 
Edit на панели. 
3. Сконфигурируйте параметры сохранения 
события в соответствии со следующими 
параметрами: 
• Name PCI Server 
• Keep data in this bucket for 3 month 
• Allow data in this bucket Never to be compressed 
• Delete data in this bucket When storage space is required 
• Description My own bucket for 3 month data 
_____________________________________________________________________ 
101 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Current Filters Source or Destination Network 
Equals Regulatory_Compliance_Server. Regulatory_Compliance_Server 
4. Убедитесь, что параметры выглядят как на 
картинке, и дважды подряд нажмите Save. 
_____________________________________________________________________ 
102 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

13. Сбор журналов и потоков 


Упражнение 1. Создание и управление источниками 
журналов 
1. В консоли QRadar SIEM откройте вкладку Admin. 
2. Щелкните по кнопке Log Sources. 
3. В открывшемся окне выберите все источники 
и удалите их. 
4. Закройте окно Log Sources. 
5. Из командной строки серверной машины 
выполните следующие команды: 
cd /labfiles 
./sendAIX.sh 
6. В консоли QRadar SIEM откройте вкладку Log Activity. В 
списке View выберите пункт Real Time (streaming). 
7. Следите за появляющимися событиями, пока 
не встретите следующие источники журналов: 
• LinuxServer@10.0.120.10 
• IBMAIXServer@10.0.120.10 
8. Остановите генерацию событий, нажав в 
командной строке серверной машины 
сочетание клавиш CTRL + C. 
9. Перейдите во вкладку Admin. 
10. Щелкните по кнопке Log Sources. 
_____________________________________________________________________ 
103 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
11. Предположите, что адрес 10.0.120.10 – это адрес AIX 
сервера. Тогда удалите сущность 
LinuxServer@10.0.120.10. 
12. Снова вернитесь ко вкладке Log Activity и снова 
запустите скрипт sendAIX.sh. 
13. Убедитесь, что теперь события не 
идентифицируются как события Linux сервера, а 
только как события источника IBMAIXServer. 
14. Теперь отключите автоматическую 
группировку событий. Для этого во вкладке 
Admin нажмите кнопку Log Sources. 
15. В открывшемся окне найдите источник 
IBMAIXServer@10.0.120.10 и нажмите кнопку Edit. 
16. Отключите атрибут Coalescing Events и нажмите Save. 
17. Переключитесь во вкладку Log Activity и 
убедитесь, что теперь все события приходят с 
параметром Count в значении единицы. 
18.  По  легенде  хост  10.0.120.10  также  содержит 
инстанцию  Oracle.  Сконфигурируйте,  в  каком 
порядке  должны  идентифицироваться 
события.  Для  этого  в  командной  строке 
серверной  машины,  остановив  предыдущий 
скрипт, выполните следующие команды: 
cd /labfiles 
./sendOracle.sh 
19. Перейдите во вкладку Admin консоли QRadar SIEM и 
нажмите кнопку Log Sources. 
_____________________________________________________________________ 
104 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
20. Убедитесь, что в открывшемся окне 
представлена сущность OracleOSAudit@10.0.120.10. 
21. Закройте окно Log Sources и кликните по кнопке Log 
Source Parsing Order. 
22. Убедитесь, что для хоста с адресом 10.0.120.10 
существуют следующие источники журналов: 
• IBMAIXServer@10.0.120.10 
• OracleOSAudit@10.0.120.10 
• LinuxServer@10.0.120.10 
23. Выберите источник OracleOSAudit@10.0.120.10 и нажмите 
кнопку UP. 
24. Нажмите кнопку Save. 
25. Выключите группировку событий для 
источника OracleOSAudit@10.0.120.10. 
26. Завершите выполнение всех запущенных 
ранее на серверной машине скриптов. 
27. Удалите все источники журналов так, как Вы 
это уже делали ранее. 

Упражнение 2. Создание источника журналов вручную 


1. В окне Log Sources щелкните по кнопке Add. 
_____________________________________________________________________ 
105 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
2. Создайте новый источник журналов в 
соответствии со следующими параметрами: 
• Log Source Name AS400 
• Log Source Description Exercise 
• Log Source Type IBM AS/400 iSeries 
• Protocol Configuration Syslog 
• Log Source Identifier 10.0.120.11 
• Enabled активировано 
• Credibility 5 
• Coalescing Events не активировано 
• Incoming Payload Encoding UTF-8 
• Store Event Payload активировано 
• Log Source Language English 
3. Убедитесь, что параметры создания 
выглядят похожим образом, и нажмите Save. 
4. Во вкладке Admin щелкните по кнопке Deploy Changes. 
5. Теперь сгенерируйте нужные AS400 события. 
Для этого из командной строки серверной 
машины запустите следующие команды: 
cd /labfiles 
./sendAS400.sh 
6. Дважды кликните по вкладку Log Activity и в списке 
View выберите пункт Real Time (streaming). Убедитесь, что 
появляются события. 
_____________________________________________________________________ 
106 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
7. Теперь добавьте к источнику журналов 
расширение. Для этого во вкладке Admin 
щелкните по кнопке Log Source Extensions. 
8. В открывшемся окне щелкните по кнопке Add и 
добавьте расширение со следующими 
параметрами: 
• Name AS400 
• Description Exercise 
• Use Condition Parsing Enhancement 
• Log Source Types IBM AS/400 iSeries 
• Upload Extension C:\Document and 
Settings\Administrator\ Desktop\IBM_AS400_EXT.xml 
Нужный тип источника необходимо перенести 
в колонку Set to default for. 
9. Убедитесь, что расширение 
сконфигурировано похожим образом, и 
нажмите кнопку Upload, а затем кнопку Save. 
10. Закройте окно Log Source Extensions и щелкните по кнопке Log Sources. 
11. Найдите в списке источник AS400, дважды по 
нему кликните и в списке Log Source Extensions выберите 
пункт AS400. 
12. Нажмите Save и закройте окно. 
13. Остановите работающие скрипты. 
_____________________________________________________________________ 
107 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

14. Сбор журналов Windows 


Упражнение 1. Создание аутентификационного токена 
1. В консоли QRadar SIEM во вкладке Admin щелкните по 
кнопке Authorized Services. 
2. Щелкните по кнопке Add Authorized Service. 
3. Сконфигурируйте сервис в соответствии со 
следующими параметрами: 
• Service Name WinCollectFSPDC 
• User Role Admin 
• No Expiry активировано 
4. Убедитесь, что конфигурация выглядит как 
на картинке, и нажмите кнопку Create Service. 
_____________________________________________________________________ 
108 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
5.  В  списке  авторизованных  сервисов 
выберите  ранее  созданный  сервис,  выделите 
содержимое  поля  Selected  Token  и,  щелкнув  правой 
кнопкой мыши, нажмите Copy. 

Упражнение 2. Установка агента WinCollect 


1. Дважды кликните по ярлыку Agent-WinCollect-7.1.1.569824-setup.exe на 
рабочем столе. 
2. В открывшемся окне кликните Next в окне 
приветствия, примите лицензионное 
соглашение, а в окне Customer Information введите 
следующие значения: 
• User Name Student 
• Organization COE 
_____________________________________________________________________ 
109 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
3. Убедитесь, что конфигурация выглядит 
похожим образом, и кликните два раза подряд 
кнопку Next. 
4. В окне Dialog Bold Title введите следующие значения: 
• Host Identifier FSPDC 
• Authentication Token скопированный ранее токен 
• Configuration Console 192.168.10.10 
_____________________________________________________________________ 
110 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
5. Убедитесь, что конфигурация выглядит 
похожим образом, и нажмите Next, затем Install, а 
затем Finish. 

Упражнение 3. Ассоциация WinCollect агента с источником 


логов 
1. Во вкладке Admin консоли QRadar SIEM кликните по 
кнопке WinCollect. 
2. Убедитесь, что созданный ранее агент 
отображается в списке. 
3. Выберите созданный ранее агент и кликните 
по кнопке Log Sources. 
4. Щелкните Add. Создайте новый источник 
журналов с использованием следующих 
параметров: 
• Name FSPDC 
• Log Source Description Exercise 
• Log Source Type Microsoft Windows Security Event Log 
• Protocol Configuration WinCollect 
_____________________________________________________________________ 
111 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Log Source Identifier FSPDC 
• User Name administrator 
• Password object00 
• Confirm Password object00 
• Standard Log Types 
o Security активировано o DNS Server активировано 
• Event Types 
o  Informational  активировано  o  Warning  активировано  o  Error 
активировано  o  Success  Audit  активировано  o  Failure  Audit 
активировано 
• WinCollect Agent WinCollect@FSPDC 
5. Убед итесь, что конфигурация выглядит 
похожим образом, и нажмите Save. 
_____________________________________________________________________ 
112 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
6. Закройте все открытые окна и кликните Deploy 
Changes во вкладке Admin. 
7.  Дважды  кликните  по  вкладке  Log  Activity  и  из 
списка  View  выберите  пункт  Real  Time  (streaming).  Вы 
должны  убедиться,  что  система  получает 
события от источника FSPDC. 
_____________________________________________________________________ 
113 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

15. Управление настраиваемыми 


источниками журналов 
Упражнение 1. Экспорт событий QRadar SIEM 
1. Из командной строки серверной машины 
запустите следующие команды: 
cd /labfiles 
./sendAIX.sh 
2. В консоли QRadar SIEM откройте вкладку Log Activity и 
из списка View выберите пункт Real Time (streaming). 
3. Дайте системе наполниться событиями 
минут 5. 
4. Остановите выполнение скрипта сочетанием 
клавиш CTRL + C. 
5. Какие источники журналов представлены 
для адреса 10.0.120.10? 
_____________________________________________________________________ 
_____________________________________________________________________ 
6. В списке View выберите пункт Last 15 Minutes. 
7. В списке Display выберите пункт Low Level Category. 
_____________________________________________________________________ 
114 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
8. Дважды кликните по категории Stored. 
Откроется список событий из этой категории. 
9. В списке Actions выберите пункт Export to XML, а затем Full Export. 
10. Сохраните zip файл на системе. 
11. Чтобы извлечь содержимое файла, кликните 
по нему правой кнопкой мыши и щелкните по 
пункту Extract All. 
_____________________________________________________________________ 
115 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
12.  Используйте  Filezilla  для  передачи  xml  файла  из 
распакованного  архива  на  серверную  машину 
в  директорию  /labfiles.  Для  этого  в  поле  Host 
используйте  значение  sftp://192.168.10.10.  В  качестве 
пользователя используйте root. 
13. В командной строке серверной машины 
выполните следующую команду: 
./xml2logfile.pl имя переданного xml файла > /tmp/AIXevents.log 
14. Дождитесь, пока скрипт закончит работать, 
а затем проверьте распакованные события: 
tail /tmp/AIXevents.log 
15. В консоли QRadar SIEM дважды кликните по 
вкладке Log Activity. 
16. В списке View выберите пункт Real Time (streaming). 
17. В командной строке серверной машины 
введите следующую команду: 
/opt/qradar/bin/logrun.pl -f /tmp/AIXevents.log -u 10.0.120.10 35 
18. Что изменилось в плане идентификации 
событий? 
_____________________________________________________________________ 
_____________________________________________________________________ 
116 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 

Упражнение 2. Использование регулярных выражений 


1. В консоли QRadar SIEM откройте вкладку Log Activity. 
2. Дважды кликните по любому событию. 
3. Щелкните по кнопке Extract Property. 
4. На рабочем столе найдите файл SampleAIXevent.txt. 
5. Скопируйте следующий текст из этого файла 
и вставьте его в поле Test Field: 
<125>Jul 8 06:38:56 10.0.120.10 <10>Jan 24 17:17:49 Message forwarded from 
ibm.aix.test.com: syslog[1855696]: [CLSLog.Handler.File/LogFile 
0x10100BE](P/PP/TID 1855696/2195608/2314) 
File(/apps/MANH/wmdev/logs/PkMHEInboundS-1855696- 0124.log).Write() 
6. В поле RegEx введите следующую строку: 
File\(.*\)\.Write\(\). 
7. Что данное регулярное выражение означает? 
_____________________________________________________________________ 
8. Замените содержимое поля RegEx на File\((.*)\)\.Write\(\). 
9. Что означает данное регулярное выражение? 
_____________________________________________________________________ 
10. Закройте окно Custom Event Properties Definition. 
11. В командной строке серверной машины 
выполните следующую команду: 
_____________________________________________________________________ 
117 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
cd /labfiles 
./sendWindows.sh 
12. Дайте скрипту поработать минут 10. Тем 
временем продолжайте выполнение 
лабораторных упражнений. 
13. Консоли QRadar SIEM откройте вкладку Log Activity. 
14. В списке View выберите пункт Real Time (streaming). 
15. Добавьте следующий фильтр: 
• High Level Category Equals Authentication 
• Low Level Category Equals User Account Added 
16. Поищите событие с именем A user account was created. 
Поставьте на паузу получение новых событий 
и дважды кликните по найденному. 
17. Щелкните по кнопке Extract Property. 
18. Напишите регулярное выражение для 
покрытия значения параметра SAM Account Name. 
Подсказка: EventID=4720.*?SAM Account Name:\s(.*?)\s{2}Display. 
19.  В  Windows  2003  события  создания  и  активации 
пользователей  имеют  идентификаторы  624  и  626. 
Как  необходимо  дополнить  предыдущее 
регулярное  выражение,  чтобы  захватывать  624 
и 626 события? 
_____________________________________________________________________ 
Подсказка: EventID=(4720|624|625).*?SAM Account Name:\s(.*?)\s{2}Display. 
_____________________________________________________________________ 
118 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
20. В поле RegEx введите следующее значение: 
.*?Account\s(\w+). 
21. Что оно означает? 
_____________________________________________________________________ 
22. Измените значение поля RegEx на .*Account\s(\w+). 
23. Что оно означает теперь? 
_____________________________________________________________________ 
24. Что означает токен ?? Что означает токен {2} 
после токена \s? 
_____________________________________________________________________ 
_____________________________________________________________________ 
25. Закройте окно Custom Event Property Definition. 

Упражнение 3. Создание универсальных DSM и их 


ассоциация с неизвестными событиями 
1. В консоли QRadar SIEM откройте вкладку Admin. 
2. Щелкните по кнопке Log Source Extensions. 
3. В открывшемся окне кликните Add. 
4. Сконфигурируйте расширение с 
использованием следующих значений и файла 
LSX_Template.xml, находящегося на рабочем столе: 
• Name CustomLogParser 
• Description Custom Application 
• Use Condition Parsing Override 
• Log Source Types IBM AS/400 iSeries 
• Upload Extension LSX_Template.xml 
_____________________________________________________________________ 
119 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
5. Убедитесь, что конфигурация выглядит 
похожим образом, и нажмите Upload, а затем Save. 
6. Щелкните по кнопке Log Sources и в открывшемся 
окне нажмите Add. 
7. Создайте универсальный DSM с 
использованием следующих значений: 
• Log Source Name CustomLog 
• Log Source Description Custom Application 
• Log Source Type Universal DSM 
• Protocol Configuration Syslog 
• Log Source Identifier 10.0.120.12 
• Enabled активировано 
• Credibility 5 
• Coalescing Events не активировано 
• Incoming Payload Encoding UTF-8 
• Store Event Payload активировано 
• Log Source Language English 
• Log Source Extension CustomLogParser 
• Extension Use Condition Parsing Override 
_____________________________________________________________________ 
120 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
8. Убедитесь, что конфигурация выглядит 
похожим образом, и нажмите Save. 
9. Закройте окно Log Sources и нажмите кнопку Deploy 
Changes во вкладке Admin. 
10. Сгенерируйте необходимые события. Для 
этого выполните следующие команды из 
командной строки серверной машины: 
cd /labfiles 
./sendUDSM.sh 
11. В консоли QRadar SIEM дважды щелкните по 
вкладке Log Activity. 
12. В списке Display выберите пункт Raw Events. 
13. В списке View выберите пункт Real Time (streaming). 
_____________________________________________________________________ 
121 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
14. Приостановите отображение новых событий 
и дважды кликните по любому от источника 
CustomLog. 
15. Убедитесь, что поле Username находится в 
значении N/A. 
16. Нажмите кнопку Map Event и убедитесь, что поле 
Log Source Event ID пустое. 
17. Остановите выполнение скрипта и закройте 
окно Log Source Event. 
18. Щелкните по кнопке Extract Property. 
19. Создайте регулярное выражение для того, 
чтобы покрывать следующие значения: 
• Временной штамп вида DD/MM/YYYY:hh:mm:ss 
_____________________________________________________________________ 
122 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Location 
• ID 
• Name 
• Entrance 
• Access 
• Direction 
Подсказка:(\d{2}/\w{3}/\d{4}:\d{2}:\d{2}:\d{2})\tLocation:(.*?)\tID:(.*?)\tName:(.*?)\t
E ntrance:(.*?)\tAccess:(.*?)\tDirection:(.*). 
20. На рабочем столе сделайте копию файла 
LSX_Template.xml и назовите ее UDSM_LSX.xml. 
21. Отредактируйте копию, вставив в нее 
выражение из шага 19 во внутренние 
квадратные кавычки следующей строки: 
<pattern id="EventName" xmlns=""><![CDATA[] ]></pattern> 
Подсказка: <pattern id="EventName" 
xmlns=""><![CDATA[(\d{2}/\w{3}/\d{4}:\d{2}:\d{2}:\d{2})\tLocation:(.*?)\tID:(.*?)\tNa 
me:(.*?)\tEntrance:(.*?)\tAccess:(.*?)\tDirection:(.*)]]></pattern>. 
22. Удалите все другие строки, начинающиеся с 
<pattern id, и строки к ним относящиеся, кроме 
строки <pattern id=”EventName” и строк к ней 
относящихся. 
23. Отформатируйте поля следующим образом: 
• EventName = “Access”:Direction value:Access value 
• DeviceTime = timestamp value 
• UserName = Name value:ID value 
• HostName = Entrance value 
Создайте для этих полей свои capture groups. 
Подсказка: EventName: pattern-id="EventName" capture-group=”Access:\7:\6” 
enable-substitutions=true”, Devicetime: pattern-id="EventName" capture- 
group="1" 
ext-date="dd/MMM/YYYY:hh:mm:ss", UserName: pattern-id="EventName" 
capture-group="\4:\3" 
enable-substitutions="true", HostName = pattern-id="EventName" capture- 
group="5" 
_____________________________________________________________________ 
123 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
24. Сохраните файл и подгрузите его к 
расширению CustomLogParser. Если у Вас возникли 
трудности с этим файлом, то Вы можете 
воспользоваться сейчас и в дальнейшем 
готовым файлом: файл под названием LSX_UDSM.xml 
лежит в директории C:\coursefiles. 
25. Нажмите Save. 
26. Из командной строки серверной машины 
снова запустите скрипт sendUDSM.sh и дайте ему 
поработать минуту. 
27. Дважды кликните по вкладке Log Activity. 
28. Отсейте события так, чтобы увидеть 
события от источника CustomLog за последние 5 
минут. 
29. Дважды кликните по данному событию. Какое 
теперь значение вписано в поле Username? 
_____________________________________________________________________ 
30. Снова кликните по кнопке Map Event. Убедитесь, 
что теперь поле Log Source Event ID находится в одном 
из значений: 
• Access:In:Granted 
• Access:In:Denied 
• Access:Out:Granted 
31. Теперь создайте QID. Для этого в командной 
строке сервера запустите следующую 
команду: 
/opt/qradar/bin/qidmap_cli.sh -c --qname "Physical entry success" 
--qdescription "Exercise" --severity 5 --lowlevelcategoryid 4014 
_____________________________________________________________________ 
124 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
32. Убедитесь, что выходные данные скрипта 
выглядят похожим образом. 
33. Откройте вкладку Log Activity в консоли QRadar SIEM. 
34. В быстром поиске введите строчку “Access\:Granted” 
и дважды кликните по любому событию. 
35. Кликните по кнопке Map Event и в поле QID/Name 
введите значение, выданное ранее скриптом. 
36. Нажмите Search, щелкните по найденному 
значению, а затем кликните OK. 
_____________________________________________________________________ 
125 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
37. Теперь проверьте корректность 
предыдущих шагов. Для этого запустите из 
командной строки сервера скрипт sendUDSM.sh и 
дайте ему поработать минуту. 
38. Дважды кликните по вкладке Log Activity в 
консоли QRadar SIEM. 
39. В списке View выставьте значение Real Time (streaming). 
40. Убедитесь, что появились события Physical entry 
success, как это показано на картинке. 
41. Создайте дополнительные QID для 
источников журналов Access:In:Denied (используйте 
LLC = 4015) и Access:Out:Granted (используйте LLC = 4014). И 
выдайте соответствующие имена каждому event ID 
этих источников. 
42. В консоли QRadar SIEM перейдите во вкладку Assets. 
Убедитесь, что появились новые профили 
устройств с именами, выданными в 
соответствии с расширением источника 
журналов. 

Упражнение 4. Создание списка Log Source Event ID из 


PostgreSQL dsmevent таблицы 
1. Из командной строки серверной машины 
выполните следующую команду: 
psql -U qradar -o /tmp/Windows_supportedevents.txt –q 
2. Наберите следующую строку: 
select  distinct  (deviceeventid)  from  dsmevent  where  devicetypeid  in  (select  id  from 
sensordevicetype  where  devicetypedescription  = 'Microsoft Windows Security Event Log') order 
by deviceeventid; 
3. Введите \q для выхода из режима ввода. 
4. Убедитесь, что запрос вернул в результате 
eventid равный 624. Для этого в командной строке 
серверной машины выполните команду: 
grep -w 624 /tmp/Windows_supportedevents.txt 
_____________________________________________________________________ 
126 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
5. Убедитесь, что вывод выглядит похожим 
образом. 
_____________________________________________________________________ 
127 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

16. Использование правил 


Упражнение 1. Перехват RPC уязвимостей 
1. В консоли QRadar SIEM во вкладке Admin щелкните по 
кнопке VA Scanners. 
2. Щелкните по кнопке Add. Создайте новый 
сканер с использованием следующих 
значений: 
• Scanner Name Nessus attack 
• Description Attack 
• Type Nessus Scanner 
• Collection Type Scheduled Results Import 
• Remote Results Host Name 192.168.10.10 
• SSH Username root 
• SSH Password object00 
• Enable Key Authentication не активировано 
• Remote Results Directory /labfiles/attack 
• Remote Results File Pattern .*\.nessus 
• Results File Max. Age 7 
• CIDR Ranges 0.0.0.0/0 
_____________________________________________________________________ 
128 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
3. Убедитесь, что конфигурация выглядит 
похожим образом, и нажмите Save. 
4. Во вкладке Admin нажмите кнопку Deploy Changes. 
5. Из командной строки серверной машины 
выполните следующие команды: 
cd /labfiles/attack 
touch *.nessus 
6. В операторской машине в окне VA Scanners 
выберите ранее созданный сканер и кликните 
Schedule. 
7. Нажмите Add. Добавьте новое расписание в 
соответствии со следующими параметрами: 
• VA Scanner Nessus attack 
• Network CIDR 0.0.0.0/0 
_____________________________________________________________________ 
129 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Priority Low 
• Ports 1-63553 
• Start Time текущее время + 2 минуты 
• Interval 0 Hours 
8. Убедитесь, что расписание выглядит 
похожим образом, и нажмите Save. 
9. Закройте все открытые окна. 
10. Теперь добавьте соответствующий 
источник журналов. Для этого во вкладке Admin 
щелкните по кнопке Log Sources. 
11. Нажмите Add и создайте новый источник в 
соответствии со следующими параметрами: 
• Log Source Name SNORT 
• Log Source Description Attack Log 
• Log Source Type Snort Open Source IDS 
• Log Source Identifier 192.168.10.11 
• Coalescing Events не активировано 
_____________________________________________________________________ 
130 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
12. Убедитесь, что источник сконфигурирован 
похожим образом, и нажмите Save. 
13. Во вкладке Admin нажмите кнопку Deploy Changes. 
14. Теперь создайте потоковое правило в 
соответствии с параметрами на картинке. 
_____________________________________________________________________ 
131 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
15. Создайте потоковое правило в 
соответствии с параметрами на картинке. 
16. Теперь запустите генерацию событий. Для 
этого из командной строки серверной машины 
выполните следующие команды: 
cd /labfiles 
./startAttack.sh 
17. Убедитесь, что через 5-10 минут появились 
инциденты. 
_____________________________________________________________________ 
132 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

17. Создание правил 


Упражнение 1. Написание событийных правил 
1.  Создайте  правило,  обнаруживающее 
появление  нового  пользовательского 
аккаунта.  Для  этого  в  консоли  QRadar  SIEM 
откройте  вкладку  Offenses  и  щелкните  по  кнопке 
Rules. 
2. Выберите пункт New Event Rule. 
3. Дважды подряд щелкните по кнопке Next. 
4. В поле Apply введите My Rule: Administrator social engineering account 
added. 
5. Добавьте в правило тест when an event matches any | all of the following 
rules. 
6. В качестве тестового объекта rules назначьте BB:CategoryDefinition: 
Superuser Accounts. 
7. Добавьте к правилу тест when the event category for the event is one of the 
following categories. 
8. В качестве тестового объекта categories назначьте Authentication.User 
Account Added. 
9. Убедитесь, что правило выглядит похожим 
образом. 
10. Добавьте правило в группу Authentication. 
_____________________________________________________________________ 
133 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
11. В графу Notes впишите Administrator creates a user account in the Windows 
environment. 
12. Нажмите Next. 
13. Сконфигурируйте секцию Rule Action в 
соответствии со следующими значениями: 
• Ensure the detected event is активировано part of an offense 
• Index offense based on Source IP 
• Annotate this offense активировано 
Administrator creates an account 
• Annotate event активировано 
Administrator creates an account 
13. Сконфигурируйте секцию Rule Response в 
соответствии со следующими значениями: 
• Add to a Reference Set активировано 
• Add the AccountName(custom) 
• Reference Set Newly created users 
_____________________________________________________________________ 
134 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
14. Убедитесь, что правило сконфигурирова� �о 
похожим образом и нажмите Next, а затем Finish. 
15. Создайте новое событийное правило, нажав 
New Event Rule. 
16. Дважды подряд щелкните по кнопке Next. 
17. Добавьте в правило тест when any of these properties match this regular 
expression. 
18. В качестве тестового объекта these properties назначьте EventID (custom). 
Если  данного  атрибута  нет,  найдите  EventID  в  Custom  Events  Properties  и 
включите пункт Optimize parsing for rules, reports, and searches. 
19. В качестве тестового объекта this regular expressions 
впишите 560. 
20. Добавьте к правилу тест when the Event Payload contains this string. 
21. В качестве тестового объекта this string впишите 
labfiles. 
_____________________________________________________________________ 
135 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
22. Убедитесь, что правило выглядит похожим 
образом, и нажмите Export as Building Block. Дайте новому 
объекту имя BB:CategoryDefinition: Sensitive data и нажмите Save. 
23. В поле Apply введите My Rule: New user accesses sensitive data. 
24. Добавьте новый тест when any of these event properties are contained in 
any of these reference set(s). 
25. В качестве тестового объекта these event properties 
назначьте Username. 
26. В качестве тестового объекта these reference set(s) выберите Newly 
created users. 
27. Добавьте к правилу тест when the event category for the event is one of the 
following categories. 
28. В качестве тестового объекта categories 
назначьте Access. 
29. Добавьте еще один тест when an event matches any | all of the following 
rules. 
30. В качестве тестового объекта rules назначьте BB:CategoryDefinition: 
Sensitive data. 
31. Убедитесь, что правило выглядит похожим 
образом. 
32. Добавьте правило в группу Category Definitions и 
нажмите Next. 
33. Сконфигурируйте действие по правилу в 
соответствии со следующими параметрами: 
• Ensure the detected event is активировано part of an offense 
_____________________________________________________________________ 
136 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
• Index offense based on Source IP 
• Annotate this offense активировано 
Recently created account used to access sensitive data 
• Annotate event активировано 
Recently created account used to access sensitive data 
34. Убедитесь, что правило сконфигурировано 
похожим образом, и нажмите Next, а затем Finish. 
35. Теперь создайте правило, которое будет 
отслеживать удаление аккаунтов. Для этого 
снова нажмите New Event Rule. 
36. Дважды подряд щелкните по кнопке Next. 
37. В поле Apply введите My Rule: Administrator social engineering new 
account deleted. 
38. Добавьте в правило тест when an event matches any | all of the following 
rules test. 
39. В качестве тестового объекта rules назначьте BB:CategoryDefinition: 
Superuser Accounts. 
40. Добавьте новый тест when the event category for the event is one of the 
following categories. 
41. В качестве тестового объекта categories назначьте Authentication.User 
Account Removed. 
42. Добавьте новый тест when any of these event properties are contained in any of 
these reference set(s). 
_____________________________________________________________________ 
137 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
43. В качестве тестового объекта these event properties назначьте 
AccountName (custom). 
44. В качестве тестового объекта these reference set(s) назначьте Newly 
created users. 
45. Убедитесь, что правило выглядит похожим 
образом. 
46. Добавьте правило в группу Category Definitions и 
нажмите Next. 
47. Сконфигурируйте секцию Rule Action в 
соответствии со следующими значениями: 
• Ensure the detected event is активировано part of an offense 
• Index offense based on Source IP 
• Annotate this offense активировано 
Administrator deletes newly created account 
• Annotate event активировано 
Administrator deletes newly created account 
48. Убедитесь, что правило сконфигурировано 
похожим образом, и нажмите Next, а затем Finish. 
_____________________________________________________________________ 
138 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
49. Теперь скомбинируйте три созданных ранее 
правила. Для этого нажмите New Event Rule. 
50. Дважды подряд щелкните по кнопке Next. 
51. В поле Apply введите My Rule: Social engineering used to access sensitive 
data. 
52. Добавьте в правило тест when these rules match at least this many times in 
this many minutes after these rules match test. 
53. В качестве тестового объекта these rules назначьте My Rule: Administrator 
social engineering new account deleted. 
54. Для первого тестового объекта this many 
назначьте 1. 
55. Для второго тестового объекта this many 
назначьте 5. 
56. Для тестового объекта minutes назначьте day(s). 
57.  В  качестве  второго  тестового  объекта  these  rules  назначьте  My  Rule: 
Administrator  social engineering account added and My Rule: New user accesses 
sensitive data. 
58. Убедитесь, что правило выглядит похожим 
образом. 
59. Добавьте правило в группу Authentication и нажмите 
Next. 
60. Сконфигурируйте действие по правилу в 
соответствии со следующими параметрами: 
• Ensure the detected event is активировано part of an offense 
• Index offense based on Source IP 
• Annotate this offense активировано 
Account created then used to access sensitive data and then deleted 
• Annotate event активировано 
Account created then used to access sensitive data and then deleted 
_____________________________________________________________________ 
139 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
61. Убедитесь, что правило сконфигурировано 
похожим образом, и нажмите Next, а затем Finish. 

Упражнение 2. Вызов инцидентов 


1. Создайте новый аккаунт в Active Directory со 
следующими параметрами: 
• First name Bad 
• Last name Person 
• User log on name bad_person 
• Password object00 
• User must change password не активировано at next log on 
• User cannot change password активировано 
• Password never expires активировано 
• Account is disabled не активировано 
_____________________________________________________________________ 
140 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
2. Щелкните по новому аккаунту правой 
кнопкой и нажмите Add to a group. 
3. В поле Enter the object name to select введите Domain Admins и нажмите 
кнопку Check Names. 
4. Нажмите OK. 
5. Войдите в систему под пользователем bad_person. 
6. Найдите файл salary.txt в директории C:\labfiles\Finance и 
измените его. 
7. Войдите в систему обратно под 
пользователем Administrator и удалите 
пользователя bad_person. 
8. В консоли QRadar SIEM перейдите во вкладку Log 
Activity. 
9. Убедитесь, что событие User Account Deleted привело к 
появлению инцидента. На это может 
потребоваться некоторое время. 
_____________________________________________________________________ 
141 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

18. Управление ложными 


срабатываниями 
Упражнение 1. Управление чрезмерными ложными 
срабатываниями 
1. В консоли QRadar SIEM откройте вкладку Offenses. 
2. Щелкните по кнопке Rules. 
3. Отредактируйте правило My Rule: Administrator social engineering used to 
access sensitive data следующим образом: 
• Удалите единственный тест 
• Добавьте тест when all of these rules, in | in any order, from the same | any 
source IP to the same | any destination IP, over this many seconds 
•  В  качестве  теста  rules  задайте  My  Rule:  Social  engineering  used  to  access 
sensitive data, My Rule: Administrator social engineering new account deleted 
• Временной тестовый объект выставьте в 
значение 24 часов 
4. Убедитесь, что правило выглядит похожим 
образом, и сохраните его. 
5.  Теперь  увеличьте  время  жизни  элементов 
набора  ссылок  Newly  created  users.  Для  этого  откройте 
вкладку  Admin  и  щелкните  по  кнопке  Reference  Set 
Management. 
_____________________________________________________________________ 
142 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
6. Выберите набор ссылок Newly created users и щелкните 
Edit. 
7. Измените атрибут Time to Live в значение 1 day Since first seen. 
_____________________________________________________________________ 
143 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

19. Использование справочников в 


правилах 
Упражнение 1. Создание справочников 
1. Копируйте с использованием Filezilla файл 
SampleRefSet.txt, находящийся на операторской 
машине на рабочем столе, в директорию /tmp 
серверной машины. 
2. Введите в командной строке серверной 
машины следующие команды для создания 
справочника (reference map): 
cd /opt/qradar/bin 
./ReferenceDataUtil.sh create PrivilegedAccess MAPofSETS 
3. Введите в командной строке серверной 
машины следующие команды для наполнения 
справочника: 
./ReferenceDataUtil.sh load PrivilegedAccess /tmp/SampleRefSet.txt 
4. Для проверки содержимого справочника 
используйте следующую команду: 
./ReferenceDataUtil.sh list PrivilegedAccess displayContents 
5. Убедитесь, что содержимое созданного 
ранее справочника выглядит похожим 
образом. 
_____________________________________________________________________ 
144 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 2. Создание пользовательского правила 


1. В консоли QRadar SIEM откройте вкладку Offenses и 
щелкните по кнопке Rules. 
2. В списке Actions выберите пункт New Event Rule. 
3. Щелкните Next два раза подряд. Затем в поле Apply 
введите следующую строчку: My Rule: Granted privileged access 
to sensitive data. 
4. Добавьте к правилу тест when any of these event properties is the key and 
any of these event properties is the value in any of these reference map of sets. 
5. В первом тестовом объекте выставьте 
значение Username. 
6. Во втором тестовом объекте выставьте 
ObjectName (custom). 
7. В последнем тестовом объекте выставьте 
значение PrivilegedAccess. 
8. Добавьте правило к группе Authentication. 
9. В графу Notes впишите: This rule is used to monitor privileged access to 
sensitive data. 
10. Убедитесь, что правило сконфигурировано 
похожим образом, и, не добавляя никаких 
действий по правилу, нажмите Finish. 
_____________________________________________________________________ 
145 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 

Упражнение 3. Создание критериев поиска 


1. В консоли QRadar SIEM дважды щелкните по 
вкладке Log Activity. 
2. Нажмите Add Filter. 
3. В первом списке выберите пункт Custom Rule Partial or Full Matched. 
4. Во втором списке – Equals. 
5. В списке Rule Group выберите пункт Authentication. 
6. А в списке Rule выберите пункт My Rule: Granted privileged access to 
sensitive data. 
7. Убедитесь, что фильтр выглядит похожим 
образом, и щелкните Add Filter. 
8. Отредактируйте результат поиска 
следующим образом: 
• Результат должен быть сгруппирован по полю 
Username 
• В результат поиска должно входить поле 
ObjectName (custom) 
• Результат должен быть упорядочен по 
убыванию поля Count 
_____________________________________________________________________ 
146 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
9. Убедитесь, что критерии поиска выглядят 
похожим образом, и сохраните их. 
10. Добавьте еще один критерий поиска. Для 
этого снова кликните по Add Filter. 
11. В открывшемся окне в первом списке 
выберите пункт Reference Map of Sets. 
12. В секции Data Entry в качестве ключа задайте 
Username, а в качестве значения ObjectName (custom). 
13. В списке Reference Maps of Sets выберите пункт PrivilegedAccess. 
14. Не забудьте нажать по иконке плюса, чтобы 
добавить фильтр. 
15. Убедитесь, что Ваш фильтр выглядит 
похожим образом, и нажмите Add Filter. 
16. Отредактируйте результаты поиска 
следующим образом: 
• Результаты должны быть выведены за 
последние 7 дней 
• Результат поиска должен быть сгруппирован 
по полю Username 
• В результат поиска должно входить поле 
ObjectName (custom) 
• Результат должен быть упорядочен по 
убыванию поля Count 
_____________________________________________________________________ 
147 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
17. Выберите график Top 10 Username Results By Count и 
щелкните по иконке конфигурации в его 
правом верхнем углу. 
18. В списке Chart Type выберите пункт Time Series. 
19. Включите пункт Capture Time Series Data. 
20. Убедитесь, что конфигурация графика 
выглядит схожим образом, и нажмите Save. 
21. Сохраните результаты поиска под именем Privileged User Monitoring 
Access, включив его в группу Authentication, Identity and User Activity. 

Упражнение 4. Создание правила ADE 


1.  Создайте  правило,  использующее 
аккумулированные  данные  двух  ранее 
созданных  критериев  поиска.  Для  этого  во 
вкладке  Log  Activity  щелкните  по  Rules  и  выберите 
пункт Add Behavioral Rule. 
2. Дважды подряд кликните по кнопке Next. 
3. В поле Apply введите следующую строку: My Rule: ADR Privleged Access. 
_____________________________________________________________________ 
148 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
4. В качестве тестового объекта this accumulated property выберите Count 
(Count). 
5. Убедитесь, что правило сконфигурировано 
похожим образом, и щелкните по кнопке Next, а 
затем по кнопке Finish. 

Упражнение 5. Тестирование правила ADE 


1. Отредактируйте источник журналов FSPDC, 
выключив в нем группировку событий. 
2. Создайте пользовательский аккаунт в Active 
Directory с использованием следующих значений: 
• First name Al 
• Last name Bundy 
• User log on name AlBundy 
• Password object00 
• User must change password не активировано at next log on 
• User cannot change password активировано 
• Password never expires активировано 
3. Добавьте пользователя AlBundy в группу Domain 
Admins. 
4. Выйдите из системы из-под пользователя 
administrator и войдите в систему под пользователем 
AlBundy. 
5. Запустите файл AlBundysLoop.bat, находящийся в директории 
C:\Documents and Settings\Administrator\Desktop. 
6. Войдите в консоль QRadar SIEM под пользователем admin, не 
перелогиниваясь. 
_____________________________________________________________________ 
149 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
7. Откройте в консоли QRadar SIEM вкладку Log Activity. 
8. В списке View выберите пункт Real Time (streaming). 
Дождитесь появления событий. 
9. Когда события появятся, задайте быстрый 
фильтр finance. 
10. В списке View выберите пункт Last 5 minutes. 
Убедитесь, что список событий содержит 
событие Object Opened Successfully. 
11. В любом событие откройте детальную 
информацию и убедитесь, что событие 
сработало по правилу My Rule: Granted privileged access to sensitive 
data. 
12. Остановите скрипт AlBundysLoop.bat и снова 
войдите в систему под пользователем Administrator. 

Упражнение 6. Усовершенствование правила ADE 


1. Откройте вкладку Offenses в консоли QRadar SIEM и 
щелкните по кнопке Rules. 
_____________________________________________________________________ 
150 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
2. В списке Actions выберите пункт New Event Rule. 
3. Два раза подряд кликните по кнопке Next. 
4. Добавьте к правилу тест when any of these properties match this regular 
expression. 
5. В качестве тестового объекта these properties 
выберите ObjectName (custom). 
6. В качестве тестового объекта this regular expression задайте 
C:\\labfiles\\.*?\\.*. 
7. В поле Notes введите: This Building Block is reserved to classify the datasets 
that are considered sensitive. 
8. Убедитесь, что правило выглядит похожим 
образом, и нажмите кнопку Export as Building Block и 
назовите его как My Rule: BB: Sensitive data sets. 
9. Теперь в поле Apply введите My Rule: Rule to add new records to the 
Privileged access reference map of sets. 
10. Добавьте к правилу тест when an event matches any | all of the following 
rules. 
11. Замените тестовый объект any на all. 
12. В качестве тестового объекта rules выберите 
My Rule: BB: Sensitive data sets. 
13. Добавьте к правилу тест when the event QID is one of the following QIDs. 
14. Для тестового объекта QID назначьте 
значение 5000026. 
15. Добавьте правило в группу Authentication. 
_____________________________________________________________________ 
151 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
16. В графу Notes впишите This rule when triggered adds the username and 
objectname to the PrivilegedAccess reference maps of sets. 
17. Убедитесь, что правило выглядит схожим 
образом, и нажмите Next. 
18. Сконфигурируйте секцию Rule Response в 
соответствии со следующими значениями: 
• Add to Reference Data активировано 
• Add to a Reference Map of Sets активировано 
Username ObjectName (custom) 
• Reference Map of Sets PrivilegedAccess 
_____________________________________________________________________ 
152 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
19. Убедитесь, что правило сконфигурировано 
похожим образом, и кликните Finish. 

Упражнение 7. Тестирование усовершенствованного 


правила ADE 
1. Откройте вкладку Log Activity в консоли QRadar SIEM. 
2. В списке View выберите пункт Real Time (streaming). 
3. В поле Quick Filter введите Backdoors*. 
4. В директории C:\labfiles\Development создайте файл Backdoors.txt. 
5. Откройте и закройте созданный файл 
несколько раз. 
6. Убедитесь, что во вкладке Log Activity появились 
события Object Opened Successfully. 
_____________________________________________________________________ 
153 
QRadar SIEM 7.2 © QDTS 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
7. Дважды кликните по любому из этих событий. 
Убедитесь, что значение атрибута ObjectName (custom) – 
это C:\labfiles\development\Backdoors.txt. 
8. Убедитесь, что событие было вызвано правилом My Rule: Rule to add new 
records to the Privileged access reference map of sets. 
9. В командной строке серверной машины 
выполните следующие команды: 
cd /opt/qradar/bin 
./ReferenceDataUtil.sh list PrivilegedAccess displayContents 
10. Попытайтесь объяснить, как изменился 
справочник и почему это произошло. 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
_____________________________________________________________________ 
154 © QDTS Администрирование QRadar SIEM 7.2 
 
QRadar SIEM 7.2 
_____________________________________________________________________ 
_____________________________________________________________________ 
155 
QRadar SIEM 7.2 © QDTS