D4L1 - UBA Advanced Lab Exercise

Machine Translated by Google
Hướng dẫn thí nghiệm – Bài nâng cao
Phân tích hành vi người dùng (UBA)

Phiên bản tháng 6 năm 2023
THÔNG BÁO
Thông tin này được phát triển cho các sản phẩm và dịch vụ được cung cấp tại Hoa Kỳ.
IBM có thể không cung cấp các sản phẩm, dịch vụ hoặc tính năng được thảo luận trong tài liệu này ở các quốc gia khác. Hãy tham khảo ý kiến đại diện IBM tại địa
phương của bạn để biết thông tin về các sản phẩm và dịch vụ hiện có tại khu vực của bạn. Mọi tham chiếu đến sản phẩm, chương trình hoặc dịch vụ của IBM đều không
nhằm mục đích tuyên bố hoặc ngụ ý rằng chỉ có sản phẩm, chương trình hoặc dịch vụ đó của IBM mới được sử dụng. Bất kỳ sản phẩm, chương trình hoặc dịch vụ nào
có chức năng tương đương không vi phạm bất kỳ quyền sở hữu trí tuệ nào của IBM đều có thể được sử dụng thay thế. Tuy nhiên, trách nhiệm của người dùng là đánh
giá và xác minh hoạt động của bất kỳ sản phẩm, chương trình hoặc dịch vụ nào không phải của IBM. IBM có thể có bằng sáng chế hoặc đơn đăng ký bằng sáng chế
đang chờ xử lý về chủ đề được mô tả trong tài liệu này. Việc cung cấp tài liệu này không cấp cho bạn bất kỳ giấy phép nào đối với các bằng sáng chế này. Bạn có
thể gửi yêu cầu cấp phép bằng văn bản tới:
Giám đốc cấp phép của IBM
Tập đoàn IBM
Ổ đĩa phía Bắc Castle, MD-NC119
Armonk, NY 10504-1785
nước Mỹ
Đoạn sau đây không áp dụng cho Vương quốc Anh hoặc bất kỳ quốc gia nào khác mà các quy định đó không phù hợp với luật pháp địa phương:
CÔNG TY CỔ PHẦN MÁY KINH DOANH QUỐC TẾ CUNG CẤP ẤN BẢN NÀY "NGUYÊN TRẠNG" MÀ KHÔNG CÓ BẢO ĐẢM NÀO
LOẠI, RÕ RÀNG HAY NGỤ Ý, BAO GỒM NHƯNG KHÔNG GIỚI HẠN Ở CÁC BẢO ĐẢM NGỤ Ý VỀ SỰ KHÔNG VI PHẠM,
KHẢ NĂNG BÁN HOẶC SỰ PHÙ HỢP CHO MỘT MỤC ĐÍCH CỤ THỂ. Một số tiểu bang không cho phép từ chối trách nhiệm về các bảo đảm rõ ràng hoặc ngụ ý trong một số giao
dịch nhất định, do đó, tuyên bố này có thể không áp dụng cho bạn.
Thông tin này có thể bao gồm lỗi kỹ thuật hoặc lỗi đánh máy. Những thay đổi được thực hiện định kỳ đối với thông tin trong tài liệu này; những thay đổi này sẽ được
đưa vào các ấn bản mới của ấn phẩm. IBM có thể thực hiện các cải tiến và/hoặc thay đổi trong (các) sản phẩm và/hoặc (các) chương trình được mô tả trong ấn phẩm này
bất kỳ lúc nào mà không cần thông báo.
Mọi tham chiếu trong thông tin này đến các trang web không phải của IBM chỉ được cung cấp nhằm mục đích thuận tiện và không được coi là sự chứng thực cho các
trang web đó dưới bất kỳ hình thức nào. Các tài liệu trên các trang web đó không phải là một phần của tài liệu dành cho sản phẩm IBM này và bạn sẽ phải tự chịu
rủi ro khi sử dụng các trang web đó.
IBM có thể sử dụng hoặc phân phối bất kỳ thông tin nào mà bạn cung cấp theo bất kỳ cách nào mà IBM cho là phù hợp mà không phải chịu bất kỳ nghĩa vụ nào đối với bạn.
Thông tin liên quan đến các sản phẩm không phải của IBM được lấy từ các nhà cung cấp sản phẩm đó, các thông báo đã công bố của họ hoặc các nguồn công khai khác. IBM
chưa thử nghiệm các sản phẩm đó và không thể xác nhận tính chính xác về hiệu suất, khả năng tương thích hoặc bất kỳ tuyên bố nào khác liên quan đến các sản phẩm không phải
của IBM. Các câu hỏi về khả năng của các sản phẩm không phải của IBM nên được gửi đến các nhà cung cấp các sản phẩm đó.
Thông tin này chứa các ví dụ về dữ liệu và báo cáo được sử dụng trong hoạt động kinh doanh hàng ngày. Để minh họa chúng một cách đầy đủ nhất có thể, các ví dụ bao gồm tên
của các cá nhân, công ty, thương hiệu và sản phẩm. Tất cả tên và tài liệu tham khảo cho các tổ chức và tổ chức kinh doanh khác được sử dụng trong các tình huống của
sản phẩm này đều là hư cấu. Bất kỳ sự trùng khớp nào với các tổ chức hoặc thể chế thực sự đều là ngẫu nhiên. Tất cả tên và thông tin liên quan của những người trong kịch
bản của sản phẩm này đều là hư cấu. Bất cứ sự trùng hợp nào với người thật đều là ngẫu nhiên.
THƯƠNG HIỆU
IBM, logo IBM và ibm.com là các nhãn hiệu hoặc nhãn hiệu đã đăng ký của International Business Machines Corp., được đăng ký ở nhiều nơi.
khu vực pháp lý trên toàn thế giới. Tên sản phẩm và dịch vụ khác có thể là thương hiệu của IBM hoặc các công ty khác. Danh sách hiện tại của IBM
nhãn hiệu có sẵn trên trang web tại “Thông tin về bản quyền và nhãn hiệu” tại www.ibm.com/legal/copytrade.shtml.
Adobe, logo Adobe, PostScript và logo PostScript là các nhãn hiệu đã đăng ký hoặc nhãn hiệu của Adobe Systems Incorporated tại Hoa Kỳ và/hoặc các quốc gia
khác.
Java và tất cả các nhãn hiệu và logo dựa trên Java đều là nhãn hiệu hoặc nhãn hiệu đã đăng ký của Oracle và/hoặc các chi nhánh của nó.
Nhãn hiệu đã đăng ký Linux® được sử dụng theo giấy phép phụ từ Linux Foundation, đơn vị được cấp phép độc quyền của Linus Torvalds, chủ sở hữu nhãn hiệu trên cơ sở
toàn cầu.
Microsoft, Azure, Windows, Windows NT và logo Windows là các nhãn hiệu của Tập đoàn Microsoft tại Hoa Kỳ, các quốc gia khác hoặc cả hai.
UNIX là nhãn hiệu đã đăng ký của The Open Group tại Hoa Kỳ và các quốc gia khác.
VMware, logo VMware, VMware Cloud Foundation, VMware Cloud Foundation Service, VMware vCenter Server và VMware vSphere là các nhãn hiệu hoặc nhãn hiệu đã đăng ký
của VMware, Inc. hoặc các công ty con của nó tại Hoa Kỳ và/hoặc các khu vực pháp lý khác.
© Copyright International Business Machines Corporation 2023. Không được phép sao chép toàn bộ hoặc một phần tài liệu này nếu không có sự cho phép trước bằng văn
bản của IBM. Quyền hạn chế của người dùng là chính phủ Hoa Kỳ - Việc sử dụng, sao chép hoặc tiết lộ bị hạn chế bởi Hợp đồng lịch trình ADP của GSA với IBM Corp.
Nội dung
Giới thiệu ................................................................................. ................................................................. ...................................3
Bài tập 1 Nhập người dùng từ danh sách CSV.................................................. ................................................4
Bài tập 2 Nhập người dùng từ bảng tham chiếu.................................................. .................................................9
Tạo bảng tham chiếu................................................................................. ................................................................. ...........
Nhập bảng tham chiếu vào UBA........................... ................................................................. .12
Bài tập 3 Điều chỉnh thuộc tính từ người dùng đã nhập.................................................. .................................16
Bài tập 4 Thiết lập Machine Learning.................................................................. ................................................................. ....21
Nhập dữ liệu ML................................................................................. ................................................................. ............21
Bài tập 6 Kích hoạt tính năng lập chỉ mục.................................................. ................................................................. ......................22
Bài tập 7 Cài đặt máy học.................................................................. ................................................................. ............23
Bài tập 8 Tạo và kích hoạt các mô hình ML.................................................. ................................................................. 0,27
Bài tập 9 Chạy các sự kiện nhật ký tạo ra lưu lượng người dùng ngẫu nhiên cho UBA ......................33
Chơi nhật ký.................................................................. ................................................................. ......................33
Bài tập 10 Cấu hình các quy tắc.................................................................. ................................................................. ............34
Tạo bộ tham chiếu Danh mục điều tra BlueCoat .................................... ....34 Cập nhật UBA : Bộ tham chiếu Bộ điều khiển
miền........... ....................39 Cập nhật UBA : Bộ tham chiếu Quản trị viên Bộ điều khiển Miền...... ...................................40 Tạo quy
tắc cho các sự kiện BlueCoat .. ................................................................. ....................42 Sửa đổi quy tắc UBA hiện
có ............ ................................................................. .................................46
Bài tập 11 Điều chỉnh các quy tắc UBA.................................................. ................................................................. ......................49
Bài tập 12 Xem lại các sự kiện trong UBA Dashboard.................................................. .................................50
Bài tập 13 Sửa đổi cài đặt UBA.................................................. ................................................................. ............51
Bài tập 14 Điều tra người dùng................................................................. ................................................................. ............53
Tạo nhật ký................................................................................. ................................................................. ............53
Bài tập 15 Tạo danh sách theo dõi................................................................. ................................................................. ............54
Bài tập 16 Điều tra người dùng từ bảng điều khiển UBA.................................. ......................57
Phân tích chi tiết người dùng của Mary Coy trong bảng điều khiển UBA .................................... ............59
Bài tập 17 Phương pháp điều tra người dùng nâng cao................................................. .................................63
Mở rộng cuộc điều tra mco.................................................................. ......................................63 Điều tra và giám
sát hành vi sử dụng danh sách theo dõi.................................................................. ............71 Điều tra về Machine
Learning.................................. ................................................................. .......72 Sửa đổi biểu đồ Machine
Learning .................................... ...................................76
© Bản quyền của Tập đoàn IBM 2023
Không được phép sao chép toàn bộ hoặc một phần tài liệu khóa học nếu không có sự cho phép trước bằng văn bản của IBM.
Giới thiệu
Hướng dẫn thực hành này cung cấp một bộ bài tập thể hiện cách sử dụng ứng dụng Phân tích hành vi người dùng
QRadar, còn được gọi là UBA.
Phân tích hành vi người dùng QRadar là một ứng dụng được cài đặt trên nền tảng QRadar SIEM. Nó giúp phát
hiện hành vi bất thường và độc hại của người dùng bằng cách tích lũy hồ sơ rủi ro của người dùng.
Hồ sơ rủi ro của người dùng được đo bằng điểm rủi ro là số tích lũy được chỉ định cho người dùng, dựa trên
hoạt động nhật ký được ghi trong QRadar SIEM. UBA áp dụng phân tích và các thuật toán học máy khác nhau cho
dữ liệu SIEM QRadar rộng lớn.
Đối với phòng thí nghiệm này, ứng dụng QRadar UBA đã được cài đặt và cấu hình ban đầu đã hoàn tất.
Lưu ý: Để kiểm tra quá trình thiết lập, hãy xem lại thiết lập Phân tích hành vi người dùng (UBA)
khóa học về Học viện Học tập Bảo mật của IBM.
LƯU Ý:- Bạn có thể tiếp tục bài tập này bằng cách truy cập GUI QRadar và CLI bằng cách sử dụng Phương pháp
2 hoặc Phương pháp 3 được nêu trong Hướng dẫn khu công nghệ.
Không được phép sao chép toàn bộ hoặc một phần tài liệu khóa học nếu không có sự cho phép trước bằng văn bản của IBM.
Bài tập 1:- Nhập người dùng từ danh sách CSV
Trong phòng thí nghiệm này, bạn nhập dữ liệu người dùng vào Phân tích hành vi người dùng (UBA) bằng cách sử dụng tệp giá trị được phân tách bằng dấu phẩy (CSV)
và điều chỉnh các thuộc tính được sử dụng để theo dõi hoạt động của người dùng một cách thích hợp trong công cụ UBA.
1. Để mở giao diện người dùng bảng điều khiển mới của QRadar, hãy nhấp vào Menu chính > Dùng thử giao diện người dùng mới.
2. Trong chế độ tối giao diện người dùng mới, từ menu chính, chọn Phân tích người dùng.
Lưu ý: Vì dữ liệu vẫn chưa được chuyển vào QRadar nên bảng điều khiển UBA trống.
Tài liệu khóa học không được phép sao chép toàn bộ hoặc một phần nếu không có sự cho phép trước bằng văn bản của IBM
3
3. Nhấp vào nút Nhập người dùng .
4. Trên trang Nhập người dùng, nhấp vào Thêm.
4
5. Chọn tệp CSV.
6. Để chọn tệp nhập, hãy nhấp vào duyệt.
5
7. Đi tới thư mục /Downloads/labfiles/UBA/ và chọn tệp import_demo_user_list.csv .
8. Xác nhận rằng quá trình nhập tệp đã thành công và nhấp vào Tiếp theo.
6
9. Trên màn hình Cài đặt nhập khác, để nguyên tất cả các giá trị mặc định và nhấp vào Tiếp theo.
10.Trên màn hình Tóm tắt, nhấp vào Lưu.
11.Trên trang Tóm tắt , đợi vài giây và xác nhận rằng nhóm người dùng thành công và 50 người dùng
được tải vào UBA. KHÔNG đóng tab Nhập người dùng.
7
Bài tập 2:- Nhập người dùng từ bảng tham chiếu
Trong phòng thí nghiệm này, bạn nhập dữ liệu người dùng vào Phân tích hành vi người dùng (UBA) bằng cách sử dụng tệp giá trị được phân
tách bằng dấu phẩy (CSV).
Tạo bảng tham chiếu
1. Chuyển về Bảng điều khiển QRadar mới, mở menu chính và nhấp vào Dữ liệu tham khảo
Sự quản lý.
2. Trong ứng dụng Quản lý dữ liệu tham chiếu, hãy nhấp vào Bảng tham chiếu.
Tài liệu khóa học không được phép sao chép toàn bộ hoặc một phần nếu không có sự cho phép trước bằng văn bản của IBM số 8
3. Nhấp vào Tạo mới.
4. Trong cửa sổ Thêm bảng tham chiếu mới vào cơ sở dữ liệu, trong trường Tên bảng tham chiếu, hãy nhập:
Thông tin người dùng UBA
5. Để tất cả các trường khác làm mặc định và nhấp vào Tạo.
6. Xác nhận rằng bảng tham chiếu mới được tạo không có dữ liệu.
7. Trong cửa sổ Chi tiết bảng tham chiếu, nhấp vào Nhập từ tệp.
9
8. Trong cửa sổ Nhập dữ liệu bảng tham chiếu, nhấp vào Kéo và thả tệp vào đây hoặc nhấp để tải lên.
9. Xác định vị trí tệp theo đường dẫn sau: /Downloads/labfiles/UBA/userinfo.csv.
10.Nhấp vào Lưu.
11.Lưu ý người dùng được tải vào bảng tham chiếu.
10
Nhập bảng tham chiếu vào UBA
1. Quay lại trang Nhập người dùng và nhấp vào Thêm.
11
2. Chọn Bảng tham khảo.
3. Chọn bảng Thông tin người dùng UBA từ menu thả xuống.
12
4. Xem lại các mẫu và nhấp vào Tiếp theo.
5. Trên màn hình Cài đặt nhập khác, để nguyên tất cả các giá trị mặc định và nhấp vào Tiếp theo.
13
6. Trên màn hình Tóm tắt, nhấp vào Lưu.
7. Trên trang Cấu hình Nhập, sau vài giây, hãy xác nhận quá trình nhập thành công hoặc
bắt đầu tổng hợp bằng cách sử dụng biểu tượng Nhập dữ liệu ngay .
14
Bài tập 3:- Điều chỉnh thuộc tính từ người dùng đã nhập
Trong bài tập này, bạn điều chỉnh các thuộc tính được sử dụng để theo dõi hoạt động của người dùng trong công cụ UBA.
1. Nhấp vào Điều chỉnh.
2. Ở góc trên bên phải màn hình, hãy nhấp vào Thuộc tính tùy chỉnh.
15
3. Trên màn hình Thuộc tính tùy chỉnh, chọn Thêm mới.
4. Trong trường Tên thuộc tính , gõ:
ID tùy chỉnh
5. Trong trường Công thức , nhập: {uid}({groupid}).
6. Nhấp vào Lưu.
16
7. Sau khi xác nhận lưu, hãy nhấp vào Điều chỉnh trong đường dẫn.
8. Trong phần Hợp nhất người dùng, nhấp vào Chỉnh sửa và thêm giá trị accountid vào Bí danh.
9. Đóng bảng điều khiển bên Chỉnh sửa: Bí danh .
10.Trong phần Trường hiển thị, thực hiện các thay đổi sau:
Quan trọng: Đọc hướng dẫn trên màn hình: “Thứ tự của các thuộc tính hiển thị là mức độ ưu tiên của các thuộc tính hiển
thị. "Tên hiển thị" là tên người dùng chính được hiển thị trên bảng điều khiển UBA cho mỗi người dùng. Vì thứ tự rất
quan trọng nên hãy bật và tắt các thuộc tính trong ngăn bên Chỉnh sửa của từng thuộc tính để chúng có cùng thứ tự với
bảng sau.
17
Hiển thị thuộc tính đã nộp Giá trị
Tên đầy
Tên hiển thị đủ tùy
chỉnh
Họ và tên Họ và tên
11.Cuộn xuống và nhấp vào Lưu.
12.Đóng tab Trình duyệt điều chỉnh .
13.Từ tab Giao diện người dùng mới, quay lại Bảng điều khiển UBA bằng cách nhấp vào Menu chính > Người dùng
Phân tích.
14.Xác nhận rằng 50 người dùng đã được tải vào bảng điều khiển UBA.
18
Lưu ý: Đôi khi phải mất một phút người dùng mới hiển thị trên bảng điều khiển. Sử dụng nút làm mới trình duyệt để
xem danh sách.
15.Trong trường Tìm kiếm người dùng , gõ: mcoy.
16.Click vào người dùng và quan sát thông tin hiển thị của người dùng.
19
Bài tập 4: - Thiết lập cho Machine Learning

Trong phòng thí nghiệm này, chúng tôi thiết lập môi trường bắt chước môi trường hiện có để chạy Machine Learning.
Điền dữ liệu ML
1. Mở thiết bị đầu cuối và sử dụng thiết bị đầu cuối SSH để kết nối với máy ảo QRadar.
2. Chạy các lệnh sau: cd /labfiles/UBA/
ML ./back_date_data.sh
3. Kịch bản này mất khoảng 10 phút để hoàn thành. Trong khi nó kết thúc, hãy chuyển sang bài tập tiếp theo.
20
Bài tập 6:- Kích hoạt tính năng lập chỉ mục
Để cải thiện tốc độ tìm kiếm trong IBM QRadar và ứng dụng UBA, hãy thêm các trường được lập chỉ mục sau vào
truy vấn tìm kiếm của bạn.
1. Trên Bảng điều khiển dành cho quản trị viên , nhấp vào biểu tượng Quản lý chỉ mục .
Cửa sổ Quản lý chỉ mục sẽ mở ra.
2. Trong trường Tìm kiếm , nhập danh mục và nhấn Enter.
3. Chọn Danh mục cấp cao và nhấp vào Bật chỉ mục.
Một vòng tròn màu xanh lá cây được hiển thị trên cột Indexed. Đảm bảo Danh mục cấp thấp cũng được bật.
Lưu ý: Tên người dùng là một tham số được sử dụng rộng rãi nên nó cũng cần được lập chỉ mục, nhưng điều này được bật theo
mặc định.
4. Lặp lại quy trình này để thêm các chỉ mục sau bằng cách nhập ý nghĩa vào trường Tìm kiếm :
• senseValue (tùy chỉnh)
• senseOverallScore (tùy chỉnh)
6. Xác nhận rằng bạn muốn lưu các thay đổi.
Cửa sổ Quản lý chỉ mục đóng lại.
21
Bài 7:- Cài đặt machine learning

1. Trước khi tiếp tục, hãy quay lại cửa sổ Terminal và xác nhận rằng tập lệnh từ Bài tập 4 là
hoàn thành.
2. Bằng cách sử dụng trình duyệt, hãy quay lại tab Bảng điều khiển UBA .
3. Trong Phân tích hoạt động, chọn Học máy.
22
4. Trên trang Cài đặt Machine Learning, hãy xác minh rằng tất cả các tham số đều ở trạng thái màu xanh lục.
5. Nhấp vào Cài đặt ứng dụng ML.
6. Trong hộp thoại xác nhận, chọn Có.
23
7. Sau khoảng 6 phút, trang cài đặt Machine Learning sẽ mở ra. KHÔNG đóng tab này.
24
8. Trên trang Tổng quan có một tiện ích mới: Trạng thái của các mô hình học máy.
25
Bài tập 8: – Tạo và kích hoạt các mô hình ML

Trong phòng thí nghiệm này, bạn tạo một mô hình học máy mới, chỉnh sửa và mô hình hiện có, đồng thời cho phép xây dựng các
mô hình.
1. Quay lại trang cài đặt Machine Learning, nhấp vào Tạo mô hình.
26
2. Trong hộp thoại mô hình mới, đối với mẫu, hãy chọn IP cục bộ được liên kết với người dùng.
3. Nhấp vào Xác thực truy vấn.
27
4. Trong tab trình duyệt mới, hãy quan sát thông tin được thu thập từ truy vấn.
5. Đóng tab Danh sách Sự kiện .
6. Chọn tab Cài đặt chung .
28
7. Nhập thông tin sau.
Tham số Giá trị

Mô hình thử nghiệm
Tên
Sự miêu tả Mô hình theo dõi các thay đổi

liên kết IP
Rủi ro Giá trị của sự kiện giác quan

10
29
9. Kích hoạt các mô hình sau:
• Hoạt động truy cập
• Hoạt động tổng hợp
• Chuyển động ngang: Sử dụng tài sản nội bộ
• Hoạt động truy cập và xác thực thành công
• Mô hình thử nghiệm
10.Đóng tab cài đặt Machine Learning .
30
11.Trên phần Tổng quan về UBA, hãy xem lại tiện ích Trạng thái của mô hình học máy .
Thanh tiến trình màu tím và biểu tượng xử lý màu xanh lam cho biết các mô hình đang nhập dữ liệu. Sau khi bắt đầu xây
dựng, chúng chuyển sang màu xanh lam. Khi hoàn thành, chúng chuyển sang màu xanh. Nếu có bất kỳ cảnh báo hoặc lỗi nào,
chúng sẽ được biểu thị bằng biểu tượng mới thay cho biểu tượng tải. Di chuột qua biểu tượng này sẽ hiển thị văn bản
hướng dẫn.
31
Bài tập 9:- Chạy các sự kiện nhật ký tạo lưu lượng truy cập người dùng ngẫu nhiên cho UBA
Bạn có thể bắt đầu tạo một số hoạt động trên bảng điều khiển UBA bằng cách phát một số tệp nhật ký mô phỏng hoạt động
ngẫu nhiên của người dùng cho nhóm 50 người dùng.
Để tạo một số lưu lượng truy cập và xem lại nhật ký bằng Bảng điều khiển QRadar, bạn phải kết nối với QRadar bằng
SSH và phát lại nhật ký bằng cách sử dụng tập lệnh shell đã chuẩn bị sẵn.
Chơi nhật ký
1. Chuyển sang cửa sổ Terminal và sử dụng thiết bị đầu cuối SSH để kết nối với máy ảo QRadar.
GỢI Ý: Sử dụng phím mũi tên lên để phát lại lệnh đã gõ gần đây nhất.
2. Chạy các lệnh trôi chảy:
cd /labfiles/UBA/scripts ./playuba.sh
3. Để bắt đầu tạo ra các điểm bất thường trong học máy trên biểu đồ, hãy chạy tập lệnh sau:
Hướng đến
cd /labfiles/UBA
Thực hiện lệnh dưới đây
/opt/qradar/bin/logrun.pl -f ML_ucEvents.syslog -l 5 >/dev/null 2>&1 &

từ chối
32
Bài 10:- Cấu hình các quy tắc
Trong phần này, bạn định cấu hình các quy tắc để hỗ trợ kịch bản phòng thí nghiệm cho việc điều tra hành vi người
dùng. Bạn tạo một quy tắc mới để phát hiện lưu lượng truy cập đáng ngờ của thiết bị Blue Coat và bạn bật quy tắc UBA
được định cấu hình sẵn để kiểm tra trường hợp sử dụng trong đó người dùng truy cập vào Microsoft Windows Bộ điều khiển
miền không có đặc quyền quản trị.
Để hỗ trợ điều tra, bạn phải định cấu hình ba bộ tham chiếu:
• Danh mục điều tra BlueCoat Đây là một

bộ tài liệu tham khảo mới.
• UBA : Bộ điều khiển miền Quá

trình cài đặt UBA tạo ra bộ tham chiếu này.
• UBA: Quản trị viên điều khiển miền
Quá trình cài đặt UBA tạo ra bộ tham chiếu này.
Tạo bộ tham chiếu Danh mục điều tra BlueCoat
Kịch bản bạn chạy trong phòng thí nghiệm này mô phỏng lưu lượng truy cập đến từ thiết bị proxy BlueCoat. Công
cụ proxy BlueCoat phát hiện và báo cáo về hoạt động HTTP của người dùng. Ngoài ra, nó thực hiện phân loại URL
dựa trên thông tin thu được từ cơ sở dữ liệu độc quyền. Trong phòng thí nghiệm này, bạn sẽ sử dụng tập hợp con
của các danh mục dựa trên danh sách sau:
• Thư rác
• Chưa được phân loại
• Nguồn/Malnet độc hại
• Proxy Avoidance
• Khả nghi
• Cần sa
• Dữ liệu/Botnet gửi đi độc hại
• Phần mềm có thể không mong muốn
• Nội dung Người lớn/Người lớn
• Hack
• Máy chủ DNS động
• Lừa đảo
• Nội dung khiêu dâm
• Bạo lực/Ghét thù/Phân biệt chủng tộc
• Lừa đảo/Có vấn đề/Bất hợp pháp
• Bài bạc
• Ngang hàng (P2P)
• Nội dung khiêu dâm trẻ em
33
Lưu ý: Bạn có thể tìm thấy danh sách phân loại URL đầy đủ cho công cụ Blue Coat tại
http://ibm.biz/ProxyCategories.
Để tạo bộ tham chiếu Danh mục điều tra BlueCoat và thêm danh sách danh mục URL, hãy thực hiện các bước sau:
1. Từ Bảng điều khiển QRadar mới, hãy mở menu chính và nhấp vào Quản lý dữ liệu tham chiếu.
2. Trong ứng dụng Quản lý dữ liệu tham chiếu, hãy nhấp vào Bộ tham chiếu.
34
3. Nhấp vào Tạo mới.
4. Trong cửa sổ Thêm bộ tham chiếu mới vào cơ sở dữ liệu, trong trường Tên bộ tham chiếu, hãy nhập:
Danh mục điều tra BlueCoat
5. Để tất cả các trường khác làm mặc định và nhấp vào Tạo.
6. Xác nhận rằng bộ tham chiếu mới được tạo không có dữ liệu.
7. Trong cửa sổ chi tiết Bộ tham chiếu, nhấp vào Nhập từ tệp.
35
8. Trong cửa sổ Thêm mục nhập, nhấp vào Kéo và thả tệp vào đây hoặc nhấp để tải lên.
9. Xác định vị trí tệp theo đường dẫn sau:
/Tải xuống/UBA/bluecoat.txt
10. Xóa CVS chứa các tiêu đề.
36
11.Nhấp vào Lưu.
Các danh mục Blue Coat được tải vào bộ tham chiếu.
37
Cập nhật UBA : Bộ tham chiếu Bộ điều khiển miền
Mô phỏng trong phòng thí nghiệm này thực hiện các hoạt động độc hại trên máy chủ Microsoft Active Directory, cũng là bộ
điều khiển miền của một công ty hư cấu. Đối với mô phỏng, địa chỉ IP 10.64.2.13 là địa chỉ của Bộ điều khiển miền Active
Directory.
Để định cấu hình đúng quy tắc UBA phát hiện quyền truy cập không phải của quản trị viên vào bộ điều khiển miền, địa chỉ
IP này cần được thêm vào bộ tham chiếu UBA : Domain Controllers.
Thực hiện các bước sau để cập nhật bộ tham chiếu:
1. Trong khi bạn vẫn đang ở trong cửa sổ Quản lý dữ liệu tham chiếu , trong trường tìm kiếm, hãy nhập:
UBA : Tên miền
2. Chọn UBA : Bộ tham chiếu Bộ điều khiển miền.
3. Nhấp vào Thêm mục nhập.
4. Trong cửa sổ Thêm mục nhập, nhập 10.64.2.13 làm địa chỉ IP của bộ điều khiển miền.
38
6. Xác nhận rằng mục đã được thêm vào danh sách. Cũng lưu ý các quy tắc UBA có liên quan đến điều này
bộ tham chiếu.
Cập nhật UBA: - Bộ tham chiếu Quản trị viên Bộ điều khiển Miền
Để mô phỏng, người dùng jwilliams và jsprat là Quản trị viên bộ điều khiển miền Active Directory.
Để so sánh hành vi, những người dùng này cần được thêm vào UBA: Bộ tham chiếu Quản trị viên bộ điều khiển miền.
39
Thực hiện các bước sau để cập nhật bộ tham chiếu.
1. Chọn UBA : Bộ tham chiếu Quản trị viên Bộ điều khiển Miền từ khung bên trái.
3. Trong cửa sổ Thêm mục nhập, nhập jwilliams
6. Trong cửa sổ Add Entry, gõ: jsprat
8. Xác nhận rằng các mục đã được thêm vào danh sách. Ngoài ra, hãy lưu ý các quy tắc UBA có liên quan đến điều này
bộ tham chiếu.
40
Tạo quy tắc cho các sự kiện BlueCoat
Sau khi bạn hoàn thành công việc trên các bộ tham chiếu, hãy điều hướng đến ứng dụng Trình quản lý trường hợp sử dụng để tạo quy tắc cho
các sự kiện BlueCoat kích hoạt vi phạm khi người dùng truy cập vào trang web tiềm ẩn rủi ro từ Bộ điều khiển miền.
1. Từ menu chính, chọn Trình quản lý ca sử dụng.
2. Trong ứng dụng UCM, hãy nhấp vào biểu tượng Dấu cộng, biểu tượng này có thể nhanh chóng dẫn bạn đến Trình hướng dẫn quy tắc cho việc này
ví dụ phòng thí nghiệm.
3. Trong kịch bản thời gian thực, bạn có thể cần chọn Sự kiện hoặc Luồng như được đề cập bên dưới
screeshot và flow bước 4 và bước 5 để truy cập Trình hướng dẫn quy tắc.
4. Trong màn hình chào mừng của Rule Wizard, nhấp vào Next.
41
5. Chọn Nguồn của quy tắc, chọn Sự kiện và nhấp vào Tiếp theo.
6. Trong Trình hướng dẫn quy tắc, nhập tên quy tắc sự kiện BlueCoat từ Máy chủ. Sao chép tên này.
7. Chọn các bài kiểm tra sau:
• khi (các) sự kiện được phát hiện bởi một hoặc nhiều nguồn nhật ký này Chọn nguồn nhật ký
BlueCoat.
• khi bất kỳ thuộc tính sự kiện nào được chứa trong bất kỳ bộ tham chiếu nào trong số này
Trong trường thuộc tính sự kiện, chọn Nguồn hoặc IP đích và đối với bộ tham chiếu, chọn UBA : Bộ điều khiển miền
- IP.
• Chọn lại, khi bất kỳ thuộc tính sự kiện nào được chứa trong bất kỳ tham chiếu nào trong số này
(các) bộ
Đối với trường thuộc tính sự kiện, hãy chọn Danh mục web (tùy chỉnh) và đối với bộ tham chiếu, hãy chọn Danh mục điều
tra BlueCoat – AlphaNumeric.
Quy tắc cuối cùng của bạn phải phù hợp với hình ảnh sau đây.
8. Cuộn xuống và chọn quy tắc mới để trở thành thành viên của nhóm Phân tích hành vi người dùng .
9. Nhấp vào Tiếp theo.
10.Trong phần Hành động quy tắc, hãy định cấu hình như sau:
• Bật Đảm bảo sự kiện được phát hiện là một phần của hành vi phạm tội.
• Chỉ số vi phạm dựa trên: IP nguồn.
11. Cấu hình phần Phản hồi quy tắc như sau:
• Chọn Gửi sự kiện mới.
42
• Trong Tên sự kiện, dán tên bạn đã sao chép trước đó: Sự kiện BlueCoat từ Máy chủ.
Quan trọng: Tên sự kiện phải khớp với tên quy tắc, nếu không có thể ảnh hưởng đến thời gian xử lý các sự kiện
trong UBA.
• Loại mô tả sự kiện: senseValue=60,senseDesc='Thử nghiệm quy tắc BlueCoat cho UBA.'
Các quy tắc mặc định đi kèm với UBA có tham số điểm rủi ro (senseValue) được đặt trong khoảng từ 5 đến 25 điểm. Bạn
đặt giá trị này cao hơn trong phòng thí nghiệm nhằm mục đích trình diễn. Tuy nhiên, bạn có thể áp dụng điểm rủi ro
trong tổ chức của mình dựa trên các hoạt động quan trọng mà bạn muốn theo dõi.
Các phiên bản trước của UBA yêu cầu bạn tạo và sửa đổi điểm rủi ro UBA bằng phương pháp này. Phiên bản mới nhất
của UBA giữ điểm rủi ro trong bảng tham chiếu QRadar và cách ưa thích để sửa đổi và cập nhật điểm rủi ro là
sử dụng ứng dụng Trình quản lý trường hợp sử dụng. Chúng tôi chứng minh điều đó trong phần tiếp theo “Sửa đổi
quy tắc UBA hiện có”.
• Danh mục cấp cao: Hoạt động đáng ngờ.
• Danh mục cấp thấp: Sự kiện đáng ngờ linh tinh.
Lưu ý: Các phiên bản trước của UBA yêu cầu Hạng mục Cấp cao cho sự kiện liên quan đến UBA là Sense. Đây không
còn là trường hợp nữa và bạn có thể chọn bất kỳ Danh mục cấp cao nào.
• Chọn Đảm bảo sự kiện được cử đi là một phần của hành vi phạm tội.
• Chỉ số vi phạm dựa trên: Tên người dùng.
Gợi ý: Chỉ những hành vi phạm tội được thuộc tính tên người dùng lập chỉ mục mới được hiển thị trên bảng điều
khiển UBA. Vì vậy, bạn nên lập chỉ mục hành vi phạm tội này theo tên người dùng để có kết quả xét nghiệm thích hợp.
• Đặt tên hành vi phạm tội: Thông tin này sẽ không góp phần vào việc đặt tên cho các hành vi liên quan
(các) hành vi phạm tội.
Cài đặt quy tắc cuối cùng của bạn phải khớp với hình ảnh sau.
43
44
12.Cuộn xuống và đảm bảo rằng quy tắc mới này được bật.
13.Nhấp vào Tiếp theo.
14.Xem lại cài đặt quy tắc và nhấp vào Kết thúc.
Sửa đổi quy tắc UBA hiện có
Ứng dụng IBM QRadar UBA cài đặt nhiều quy tắc QRadar áp dụng cho nhiều trường hợp sử dụng UBA khác nhau liên quan đến hành vi khác
nhau của người dùng. Một số quy tắc này bị tắt theo mặc định. Một ví dụ là quy tắc có tên UBA: Quyền truy cập không phải của quản trị
viên vào Bộ điều khiển miền.
Để kích hoạt trường hợp sử dụng được quy tắc này hỗ trợ, bạn phải:
• Thêm tất cả tài khoản quản trị viên vào UBA : Bộ tham chiếu Quản trị viên Bộ điều khiển Miền .
• Thêm địa chỉ IP của Domain Controller vào UBA : Bộ tham chiếu Domain Controllers.
Bạn đã thực hiện hai bước này trước đó trong bài tập này.
• Kích hoạt quy tắc.
Bởi vì bạn đã cập nhật UBA : Bộ tham chiếu Bộ điều khiển miền và người dùng thử nghiệm chưa có trong UBA : Bộ tham chiếu Quản trị
viên, bạn chỉ phải kích hoạt quy tắc để hỗ trợ sử dụng UBA
trường hợp.
Để làm việc với các quy tắc dành riêng cho UBA, hãy thực hiện các bước sau trong ứng dụng UCM:
1. Trong phần Bộ lọc, chọn Phân tích hành vi người dùng > Quy tắc có liên quan đến ứng dụng.
2. Nhấp vào Áp dụng bộ lọc.
Phần chính của màn hình hiển thị các quy tắc QRadar phù hợp với ứng dụng UBA.
3. Trong trường tìm kiếm của bảng lọc, loại: domain.
45
4. Từ danh sách các quy tắc UBA liên quan đến miền, nhấp vào Quyền truy cập không phải của quản trị viên vào Bộ điều khiển miền
luật lệ.
5. Trong cửa sổ Chi tiết quy tắc, cuộn xuống và mở phần điểm rủi ro Phân tích hành vi người dùng ,
6. Tăng điểm rủi ro lên 30 điểm.
Gợi ý: Lưu ý sự phụ thuộc giữa quy tắc và bộ tham chiếu mà bạn vừa chỉnh sửa ở phía bên phải màn hình.
7. Bạn có thể đóng biểu ngữ thông báo cho bạn về những thay đổi về điểm rủi ro.
8. Đóng chi tiết quy tắc.
46
9. Trong cửa sổ Use Case Manager chính , hãy bật quy tắc.
47
Bài 11:- Điều chỉnh luật UBA
1. Trong cửa sổ chính của Trình quản lý ca sử dụng, hãy tìm kiếm UBA : Quy tắc truy cập người dùng từ nhiều vị trí.
Gợi ý: Sử dụng từ in nghiêng làm từ khóa để thu hẹp danh sách quy tắc.
2. Nhấp vào quy tắc.
3. Trong cửa sổ Chi tiết quy tắc, cuộn xuống và mở phần điểm rủi ro Phân tích hành vi người dùng.
4. Tăng điểm rủi ro lên 30 điểm.
5. Đóng chi tiết quy tắc và kích hoạt quy tắc trong cửa sổ Trình quản lý ca sử dụng chính .
6. Lặp lại các bước từ 1 đến 6 cho các quy tắc sau:
• UBA : Quyền truy cập của người dùng từ nhiều máy chủ
• UBA : Đã duyệt đến trang web độc hại
• UBA: Người dùng truy cập phần mềm độc hại IP nguy hiểm
• UBA : Đã duyệt đến Trang web Lừa đảo/Có vấn đề/Bất hợp pháp
• UBA : Người dùng có khả năng bị lừa đảo
• UBA : Quyền truy cập của người dùng vào những thời điểm bất thường
• UBA : Người dùng truy cập URL rủi ro
• UBA : Truy cập ban đầu, tiếp theo là hoạt động đáng ngờ
• UBA : Quyền truy cập của người dùng từ nhiều máy chủ
• UBA : Quyền truy cập của người dùng từ nhiều địa điểm
48
Bài 12:- Xem lại các sự kiện trong UBA Dashboard
1. Quay lại bảng điều khiển Phân tích người dùng .
2. Xác nhận rằng bạn thấy hoạt động của người dùng như trong hình sau.
Lưu ý rằng màn hình của bạn có thể khác vì các tập lệnh đang chạy sẽ đưa vào nhật ký hoạt động của người
dùng với tốc độ một sự kiện mỗi giây.
Bạn có thể phải đợi vài phút trước khi thấy một số hoạt động trong bảng điều khiển UBA. Làm mới tab trình
duyệt cho đến khi bạn thấy hoạt động.
49
Bài 13:- Sửa đổi cài đặt UBA
Trước khi chạy tập lệnh cho kịch bản điều tra, bạn phải xem lại cài đặt UBA và sửa đổi chúng:
1. Trong bảng điều khiển UBA, hãy nhấp vào biểu tượng Cài đặt UBA , nằm ở góc trên bên phải màn hình.
Trang Cài đặt UBA sẽ mở trong tab trình duyệt mới.
50
2. Chuyển ngưỡng Rủi ro từ Động sang Tĩnh.
3. Trong trường Ngưỡng rủi ro tĩnh , thay đổi giá trị thành 120.
4. Kích hoạt Tạo hành vi phạm tội đối với người dùng có mức độ rủi ro cao.
5. Trong trường Rủi ro phân rã theo hệ số mỗi giờ này , hãy thay đổi giá trị thành 0,2.
6. Xem lại các cài đặt khác.
7. Ở cuối trang, nhấp vào Lưu cấu hình.
8. Đóng tab trình duyệt Cài đặt UBA và quay lại bảng điều khiển UBA.
51
Bài 14:- Điều tra người dùng

Sau khi bạn chuẩn bị phòng thí nghiệm cho cuộc điều tra, hãy tạo nhật ký đưa luồng kịch bản vào thiết bị
QRadar.
Tạo nhật ký
1. Chuyển về cửa sổ Terminal và chạy các lệnh sau:
cd /labfiles/UBA/script
./runlogs.sh
/opt/qradar/bin/logrun.pl -f /labfiles/UBA/scripts/win_login.syslog -u
10.64.2.13 -l 1 20
LƯU Ý: - đợi 30 đến 40 giây rồi nhấn ctrl + c để dừng tập lệnh và tiếp tục với lệnh sau
/opt/qradar/bin/logrun.pl -f /labfiles/Bluecoat.syslog -u 192.168.10.224 1
2. Xem lại kết quả nhật ký.
52
Bài tập 15:- Tạo danh sách theo dõi
Một cách để hỗ trợ điều tra người dùng là tạo danh sách theo dõi. Danh sách theo dõi có thể được sử dụng để giám sát một nhóm người dùng cụ
thể, chẳng hạn như tài khoản dịch vụ, để chúng hiển thị rõ hơn ngay cả khi điểm của họ không cao. Có lẽ hành động của quản trị viên của bạn
quan trọng hơn nên bạn muốn tăng điểm của họ lên gấp 5 hoặc 10 lần. Hoặc, bạn muốn bộ phận nhân sự luôn được giám sát bằng máy học. Những
điều này có thể được thực hiện bằng cách tạo danh sách theo dõi cho người dùng.
1. Quay lại trang Tổng quan về phân tích người dùng , chọn biểu tượng Danh sách theo dõi bên cạnh bất kỳ người dùng nào.
2. Từ menu, chọn Tạo danh sách theo dõi.
3. Trong cửa sổ Tạo danh sách theo dõi , đặt tên Quản trị viên miền cho danh sách theo dõi.
4. Trong phần Quy mô rủi ro theo hệ số, đặt giá trị thành 5. Bạn cũng có thể cung cấp cho người dùng mức cao, bình thường hoặc không
mức độ ưu tiên được theo dõi bởi máy học. Để cài đặt này là Bình thường.
53
5. Nhấp vào Tiếp theo.
6. Trên tab Cài đặt thành viên , trong trường tìm kiếm bên dưới Nhập từ bộ tham chiếu QRadar, hãy nhập: quản trị viên.
7. Từ danh sách, chọn UBA : Quản trị viên bộ điều khiển miền.
Lưu ý: Bạn cũng có thể tạo danh sách theo dõi bằng cách truy vấn cơ sở dữ liệu UBA để tìm các biểu thức ở một trong các
trường được nhập từ mục nhập của Người dùng.
54
Quay lại trang Tổng quan về UBA , một danh sách theo dõi mới có tên Quản trị viên miền được tạo ở dưới cùng và
hai quản trị viên đã được thêm vào bộ tham chiếu trước đó sẽ được liệt kê trong bộ này.
Lưu ý: Kết quả này có thể mất vài giây. Làm mới tab để xem người dùng xuất hiện trong danh sách theo
dõi.
55
Bài tập 16:- Điều tra người dùng từ bảng điều khiển UBA
Vì đây là hệ thống trình diễn với nguồn lực hạn chế nên có thể mất vài phút để xử lý nhật ký, xử lý các quy tắc QRadar và UBA
có liên quan cũng như hiển thị kết quả trên bảng điều khiển UBA.
1. Làm mới tab Phân tích người dùng một vài lần cho đến khi bạn thấy người dùng mcoy (1GT-6SP) với Tổng thể
điểm rủi ro từ 200 trở lên trong danh sách Người dùng được giám sát .
2. Xem lại kết quả trên bảng điều khiển và lưu ý những điểm sau:
• Ứng dụng giám sát 50 người dùng được nhập từ máy chủ thư mục (LDAP).
Tổng số người dùng được theo dõi có thể cao hơn vì một số người trong số họ có thể bị phát hiện thông qua các sự kiện.
• Người dùng Mary Coy (mcoy) có mức độ rủi ro cao. Điểm Rủi ro được hiển thị bằng màu đỏ sẫm.
Trang tổng quan hiển thị hơn 200 điểm cho điểm rủi ro của Mary, nhưng trang tổng quan của bạn có thể hiển thị kết
quả hơi khác do yếu tố phân rã và thời gian xử lý QRadar của các sự kiện và hành vi phạm tội.
• Danh sách Vi phạm Gần đây hiển thị các vi phạm liên quan đến hoạt động của người dùng. Trong trường hợp này, Mary Coy là
liên quan đến hai tội:
o Sự kiện đáng ngờ khác
o Vi phạm UBA - Người dùng vượt ngưỡng rủi ro
• Sơ đồ Phân tích Danh mục Rủi ro trình bày ảnh chụp nhanh tổng thể về hoạt động của người dùng từ
giờ cuối cùng.
56
Ảnh chụp màn hình sau đây cho thấy Đặc quyền của người dùng, Rủi ro tài nguyên và Địa lý của người dùng là những
danh mục quan trọng nhất.
Vì tập lệnh playuba.sh tạo hoạt động ngẫu nhiên của người dùng vào QRadar nên sơ đồ này và sơ đồ người dùng
được giám sát có thể hiển thị các kết quả khác nhau trong phiên bản phòng thí nghiệm của bạn.
57
Phân tích chi tiết người dùng của Mary Coy trong bảng điều khiển UBA
Mary Coy thể hiện là người dùng có nguy cơ cao với hành vi phạm tội liên quan. Xem lại hoạt động của người dùng cho Mary Coy một
cách chi tiết hơn.
1. Từ danh sách Người dùng được giám sát , hãy nhấp vào Mary Coy.
58
2. Xem lại chi tiết người dùng trong bảng điều khiển bên cạnh và nhấp vào Xem chi tiết người dùng.
Tại thời điểm này, biểu đồ ML chưa được tạo.
3. Từ bảng thông tin Chi tiết người dùng, hãy lưu ý những điều sau:
• Dòng thời gian trình bày tổng số sự kiện của người dùng, bao gồm cả các sự kiện rủi ro.
• Một trong những vi phạm gần đây cho thấy người dùng đã vượt quá điểm rủi ro mà bạn đặt ra. Một hành vi vi phạm
gần đây khác đề cập đến hành vi nguy hiểm được xác định trong quy tắc bạn đã tạo. Những quan sát này sẽ được đề
cập chi tiết hơn sau này trong quá trình điều tra.
Gợi ý: Đôi khi phải mất một thời gian để công cụ QRadar tải tội phạm vào bảng điều khiển UBA. Nếu vậy, hãy đợi
vài phút và làm mới trình duyệt của bạn.
• Trong biểu đồ phân tích danh mục Rủi ro, bạn có thể quan sát loại hành vi rủi ro mà người dùng này thực hiện, bao
gồm danh mục hành vi Sự kiện đáng ngờ linh tinh được tạo bởi quy tắc bạn đã tạo.
4. Ở bên phải bảng điều khiển, hãy mở điểm rủi ro mới nhất, 210 theo hình ảnh, nhưng điểm của bạn có thể khác một chút, tùy
thuộc vào hoạt động UBA và các quy tắc được phát hiện. Lưu ý những điều dưới đây:
59
• Sự kiện BlueCoat từ Máy chủ đóng góp số điểm cao nhất vào điểm rủi ro. Điểm cao vì bạn đã tạo quy tắc với
senseValue=60 trước đó trong phòng thí nghiệm này.
• Quyền truy cập của người không phải quản trị viên vào Bộ điều khiển miền đứng thứ hai về rủi ro trường hợp sử dụng. Tuy nhiên,
hãy nhớ rằng senseValue đã được cập nhật lên 30 điểm.
• Các sự kiện khác mà bạn đã sửa đổi cũng được kích hoạt, chẳng hạn như quyền truy cập vào trang web độc hại, phần
mềm độc hại IP nguy hiểm và quyền truy cập của người dùng vào nhiều máy chủ và nhiều vị trí.
Với lượng thông tin như vậy, bạn có thể kết luận rằng tài khoản người dùng này đã truy cập một trang web độc hại, bị
xâm phạm và tài khoản đã bị đánh cắp và sử dụng trên toàn thế giới.
• Quan sát một số thống kê khác về rủi ro liên quan đến người dùng này là: hai bí danh, 8 sự kiện rủi ro đã kích
hoạt 6 trường hợp sử dụng UBA với 7 IP nguồn và 4 IP đích có liên quan.
5. Nhấp vào một số danh mục số liệu khác, ví dụ: danh mục Sự kiện . Lưu ý tên và số lượng
các sự kiện đang góp phần vào điểm số hành vi nguy hiểm này.
6. Nhấp vào biểu tượng cấu hình để xem lại các danh mục số liệu khác có thể được hiển thị trong tiện ích này.
7. Để hiểu người dùng đã truy cập trang web độc hại nào, hãy thay thế các sai lệch và Bí danh của nhóm ngang hàng
số liệu với Nguồn nhật ký và URL.
60
8. Trong cửa sổ Cài đặt số liệu, nhấp vào Lưu.
9. Nhấp vào phần URL và chúng tôi có thể kiểm tra danh tiếng từ IBM Xforce Exchange bằng URL bên dưới
10.Xem lại trang web trên X-Force Exchange: (Có khả năng Điểm Rủi ro có thể hiển thị dưới dạng
Xforce thấp.)
https://exchange.xforce.ibmcloud.com/url/businesstobuy.net
Lưu ý rằng X-Force đã gắn cờ trang web đó là độc hại, điều này giải thích tại sao một số sự kiện và quy tắc
UBA khác được kích hoạt. Vì QRadar UBA được bổ sung thêm thông tin về mối đe dọa X-Force nên UBA sẽ chỉ
ra URL có nguy cơ truy cập của người dùng và URL bất hợp pháp.
61
Bài 17:- Phương pháp điều tra người dùng nâng cao
Trong bài tập này, hãy khám phá một số kỹ thuật nâng cao về điều tra người dùng bằng ứng dụng UBA.
Mở rộng cuộc điều tra Mcoy
1. Quay lại trang Tổng quan về phân tích người dùng và nhấp vào mcoy để mở trang Chi tiết người dùng .
2. Mở rộng dòng thời gian với điểm rủi ro là 210 và nhấp vào Xem trong hoạt động nhật ký.
62
Tab trình duyệt mới sẽ mở ra với tìm kiếm AQL, được sử dụng để tạo dòng thời gian cho bảng Trường hợp sử dụng.
3. Xem lại truy vấn AQL. Lưu ý rằng một truy vấn tương tự sẽ giúp xây dựng biểu đồ phân tích danh mục Rủi ro.
Hãy nhớ rằng bạn có thể sửa đổi AQL để mở rộng tìm kiếm về hành vi của người dùng. Điều này sẽ được chứng minh sau.
4. Đóng tab tìm kiếm.
5. Quay lại bảng Dòng thời gian > Trường hợp sử dụng và nhấp vào Trường hợp sử dụng máy chủ của biểu mẫu sự kiện BlueCoat .
6. Mở rộng sự kiện và phân tích tải trọng.
63
7. Nhấp vào Xem trong hoạt động nhật ký.
8. Xem lại truy vấn AQL và dữ liệu trong bảng kết quả.
9. Nhấp vào IP nội bộ (INT) 10.64.2.13 và lưu ý rằng nội dung nội bộ có trọng số là 10 và được gắn nhãn là Bộ điều khiển miền.
64
10.Chọn IP bên ngoài 162.214.196.167 có hình tam giác màu đỏ. Lưu ý rằng nó có rủi ro về mối đe dọa X-Force
điểm được đặt thành Quan trọng.
11. Để nhận thêm dữ liệu thông minh X-Force cho IP đó, hãy nhấp vào Xem thông tin X-Force.
12.Đóng tab tìm kiếm AQL.
13.Từ Dòng thời gian, chọn URL rồi chọn Xem trong hoạt động nhật ký.
14.Kích hoạt Nguồn cấp dữ liệu thông minh về mối đe dọa X-Force trong phần Quản trị viên Cài đặt hệ thống trước khi tiếp tục bước tiếp theo
bươ c chân.
15. Để kiểm tra danh tiếng X-Force của URL được phát hiện, hãy định dạng lại AQL như sau:
Lưu ý: Xóa mệnh đề GROUP BY và ORDER BY ở cuối AQL
65
Gợi ý: hãy tận dụng chức năng tự động điền của trường Tìm kiếm để gõ thông tin chính xác hiệu quả hơn
và tránh mắc lỗi khi gõ.
CHỌN url làm khóa, xforce_url_category(key)
TỪ các sự kiện Ở ĐÂU ( LOWER(username) in
('mcoy','mcoy@ibmemm.edu','uc_1_2_midexpected-1') )
VÀ loại thiết bị không có trong (16, 105, 147, 262, 267, 275, 355, 368, 500)
VÀ islogonly=FALSE
Khóa AND không rỗng
VÀ LOGSOURCETYPENAME(devicetype) != 'Công cụ quy tắc tùy chỉnh'
VÀ LOGSOURCETYPENAME(devicetype) != 'IBM Sense'
24 GIỜ qua
Gợi ý: Giữ giá trị thời gian Bắt đầu và Dừng mặc định trong truy vấn AQL. Đừng sửa đổi chúng.
16.Click Chạy tìm kiếm và quan sát kết quả.
Mặc dù bạn đang đi sâu vào cuộc điều tra nhưng bạn muốn thông báo cho một nhà phân tích khác của UBA rằng bạn đang phân
tích hoạt động của người dùng này.
17.Quay lại tab Phân tích người dùng và nhấp vào lá cờ trong trang Chi tiết người dùng để bắt đầu
cuộc điều tra.
66
67
18.Quay lại trang Tổng quan về phân tích người dùng.
Một tiện ích mới có tên Điều tra đang hoạt động chứa người dùng mcoy đã được tạo.
Cuối cùng, bạn có thể kiểm tra địa chỉ IP nào được kết nối với Cổng VPN của mình.
19.Truy cập trang Chi tiết người dùng của mcoy.
20.Từ dòng thời gian, chọn Nguồn nhật ký.
21.Nhấp vào Xem hoạt động nhật ký.
68
22.Sửa đổi truy vấn AQL mặc định như sau. Loại bỏ các mệnh đề GROUP BY và ORDER BY tại
phần dưới cùng của AQL:
CHỌN LOGSOURCENAME(logsourceid) làm khóa, sourceip, xforce_ip_category(sourceip) làm

Loại
TỪ các sự kiện Ở ĐÂU ( LOWER(username) in
('mcoy','mcoy@ibmemm.edu','uc_1_2_midexpected-1') )
VÀ loại thiết bị không có trong (16, 105, 147, 262, 267, 275, 355, 368, 500)
VÀ islogonly=FALSE
Phím AND = 'Cổng VPN'
VÀ LOGSOURCETYPENAME(devicetype) != 'Công cụ quy tắc tùy chỉnh'
VÀ LOGSOURCETYPENAME(devicetype) != 'IBM Sense'
24 GIỜ qua
23.Click Chạy Tìm kiếm và xem lại kết quả.
69
24.Để tra cứu điểm số intel về mối đe dọa X-Force, hãy nhấp vào địa chỉ IP.
Điều tra và giám sát hành vi bằng danh sách theo dõi
1. Quay lại trang Tổng quan về phân tích người dùng , cuộn xuống danh sách theo dõi Quản trị viên tên miền .
2. Lưu ý rằng hai người dùng được liệt kê là Quản trị viên miền cũng là những người dùng có nguy cơ cao. Danh sách theo dõi làm cho nó
dễ dàng hơn để theo dõi các nhóm người dùng cụ thể.
Danh sách theo dõi có thể được sử dụng để tăng hoặc giảm điểm số của người dùng. Chúng cũng có thể được sử dụng để cung cấp cho người dùng
mức độ ưu tiên cao hơn hoặc thấp hơn trong việc theo dõi bằng máy học.
Danh sách theo dõi có thể được tạo theo những cách sau:
• Từ danh sách người dùng được tìm thấy trong bộ tham chiếu
Danh sách theo dõi được cập nhật khi người dùng được thêm hoặc xóa khỏi bộ tham chiếu. Danh sách theo dõi các tài khoản
Không hoạt động mặc định dựa trên bộ tham chiếu UBA : Tài khoản không hoạt động , không được chỉnh sửa hoặc xóa.
• Bằng cách đặt biểu thức dựa trên trường được nhập từ mục nhập của Người dùng
Ví dụ: tạo danh sách theo dõi cho tất cả người dùng có Bộ phận được đặt thành Nhân sự. Một ví dụ khác là thêm tất cả người
dùng có tên người dùng bắt đầu bằng svc (^svc).
70
Điều tra học máy
Với các mô hình học máy, bạn có thể thấy nhiều hoạt động khác nhau của người dùng. Biểu đồ cho từng mô hình xuất hiện
trên trang chi tiết người dùng. Chúng cho biết trạng thái của các mô hình. Sau khi mô hình được xây dựng, nó sẽ trình
bày dữ liệu trên biểu đồ với các mẫu hoạt động thực tế và đã học. Nếu hoạt động của người dùng thay đổi so với mẫu
thông thường của họ, thì điều bất thường sẽ được kích hoạt và biểu thị trên biểu đồ bằng vòng tròn màu đỏ.
1. Trên trang Tổng quan về phân tích người dùng , hãy tìm tiện ích Trạng thái của mô hình học máy . Các
widget cho biết khi nào các mô hình đã hoàn tất hoặc có vấn đề gì không.
Khi tất cả các mô hình được tạo thành công, tiện ích sẽ trông giống như ảnh chụp màn hình sau.
2. Từ Bảng điều khiển UBA, chọn người dùng jwilliams(5GT-3SP) để điều hướng đến trang hồ sơ của họ.
3. Hãy chú ý đến biểu đồ máy học trên trang của anh ấy.
71
Nếu mô hình của bạn đã hoàn tất, bạn có thể có biểu đồ tương tự như ảnh chụp màn hình sau đây.
72
Nếu các mô hình trong phòng thí nghiệm có đủ thời gian để hoàn thành việc xây dựng thì các biểu đồ sẽ trông giống như ảnh
chụp màn hình sau đây.
Biểu đồ hiển thị mẫu Đã học của người dùng về hoạt động xác thực và truy cập thành công (biểu đồ màu tím). Mẫu dựa trên dữ
liệu lịch sử đã được xử lý trong khi xây dựng mô hình.
Mẫu Thực tế (biểu đồ màu xanh lam) cho biết mẫu hoạt động của người dùng trong khi mô hình vẫn đang xử lý (đọc)
dữ liệu và xây dựng độ tin cậy.
Sau khi mô hình đã nhập đủ dữ liệu để đạt đến mức độ tin cậy mà mô hình chỉ định, mô hình sẽ bắt đầu báo cáo các điểm bất
thường nếu mẫu của người dùng thay đổi.
4. Lưu ý rằng bạn có thể sử dụng các bộ lọc cho các mẫu Đã học và Thực tế trong biểu đồ.
73
5. Nếu bạn thấy các chấm đỏ trên biểu đồ của mình thì mô hình học máy đã nhận thấy những thay đổi trong hành vi và tạo
ra điểm rủi ro trong trường hợp sử dụng. Nếu bạn nhấp vào dấu chấm màu đỏ, nó cũng cung cấp cho bạn điểm tin cậy về
độ chính xác của đánh giá khi sự kiện bất thường (hoặc sự kiện rủi ro) được gửi đi.
Lưu ý: Hãy nhớ rằng bạn kiểm soát mức độ tin cậy được sử dụng để kích hoạt điểm rủi ro trong cài đặt mô hình học
máy.
74
6. Trong bảng Dòng thời gian, trong Hoạt động của người dùng, hãy nhấp vào Trường hợp sử dụng > ML Tăng bất thường.
Lưu ý rằng loại mô hình nghiêng máy này là loại có thể quan sát được . Do đó, nó không có biểu đồ nhưng tạo ra hai
sự kiện ca sử dụng; một dành cho việc sử dụng tài sản lần đầu tiên (trong trường hợp này là IP) và một dành cho sai lệch
so với việc sử dụng tài sản thông thường.
Sửa đổi biểu đồ Machine Learning
Hầu hết các mô hình mặc định trong UBA đều giống với biểu đồ trước đó. Khi bạn tạo một mô hình tùy chỉnh, tùy chọn có biểu
đồ sẽ bị tắt theo mặc định.
1. Điều hướng đến trang Tổng quan về Bảng điều khiển UBA .
2. Để mở cài đặt ML, hãy nhấp vào liên kết Machine Learning .
3. Cuộn để tìm Mô hình thử nghiệm đã được tạo trước đó.
4. Để xem số lượng người dùng được mô hình này giám sát và những người dùng đó là gì, hãy nhấp vào số liên kết
bên cạnh mô hình.
75
5. Để chỉnh sửa mô hình, nhấp vào hình elip ở bên phải.
6. Nhấp vào Chỉnh sửa.
76
7. Trong hộp thoại Chỉnh sửa, lưu ý các cài đặt cho mô hình và bật trang Hiển thị biểu đồ trên chi tiết người dùng.
9. Đợi xác nhận và đóng tab Cài đặt .
10.Mở lại trang hồ sơ người dùng jwilliams .
11.Lưu ý hiện có biểu đồ cho Mô hình thử nghiệm trên trang.
Biểu đồ từ mô hình Mô hình thử nghiệm cho thấy việc sử dụng IP nhất quán. Do đó, không có đỉnh hoặc dị thường nào
hiện diện.
Điều này kết thúc các bài tập trong phòng thí nghiệm.
77

D4L1 - UBA Advanced Lab Exercise

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

D4L1 - UBA Advanced Lab Exercise

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Hướng dẫn thí nghiệm – Bài nâng cao

Phân tích hành vi người dùng (UBA)

Phiên bản tháng 6 năm 2023

Giám đốc cấp phép của IBM

Tập đoàn IBM

Ổ đĩa phía Bắc Castle, MD-NC119

bất kỳ lúc nào mà không cần thông báo.

rủi ro khi sử dụng các trang web đó.

Bài tập 1 Nhập người dùng từ danh sách CSV.................................................. ................................................4

Bài tập 2 Nhập người dùng từ bảng tham chiếu.................................................. .................................................9

Tạo bảng tham chiếu................................................................................. ................................................................. ...........

Nhập bảng tham chiếu vào UBA........................... ................................................................. .12

Bài tập 4 Thiết lập Machine Learning.................................................................. ................................................................. ....21

Nhập dữ liệu ML................................................................................. ................................................................. ............21

Bài tập 7 Cài đặt máy học.................................................................. ................................................................. ............23

Chơi nhật ký.................................................................. ................................................................. ......................33

Bài tập 10 Cấu hình các quy tắc.................................................................. ................................................................. ............34

có ............ ................................................................. .................................46

Bài tập 13 Sửa đổi cài đặt UBA.................................................. ................................................................. ............51

Bài tập 14 Điều tra người dùng................................................................. ................................................................. ............53

Tạo nhật ký................................................................................. ................................................................. ............53

Bài tập 15 Tạo danh sách theo dõi................................................................. ................................................................. ............54

Mở rộng cuộc điều tra mco.................................................................. ......................................63 Điều tra và giám

Learning.................................. ................................................................. .......72 Sửa đổi biểu đồ Machine

Learning .................................... ...................................76

© Bản quyền của Tập đoàn IBM 2023

© Bản quyền của Tập đoàn IBM 2023

Bài tập 1:- Nhập người dùng từ danh sách CSV

3. Nhấp vào nút Nhập người dùng .

4. Trên trang Nhập người dùng, nhấp vào Thêm.

5. Chọn tệp CSV.

6. Để chọn tệp nhập, hãy nhấp vào duyệt.

7. Đi tới thư mục /Downloads/labfiles/UBA/ và chọn tệp import_demo_user_list.csv .

10.Trên màn hình Tóm tắt, nhấp vào Lưu.

Bài tập 2:- Nhập người dùng từ bảng tham chiếu

tách bằng dấu phẩy (CSV).

Tạo bảng tham chiếu

3. Nhấp vào Tạo mới.

Thông tin người dùng UBA

9. Xác định vị trí tệp theo đường dẫn sau: /Downloads/labfiles/UBA/userinfo.csv.

10.Nhấp vào Lưu.

11.Lưu ý người dùng được tải vào bảng tham chiếu.

Nhập bảng tham chiếu vào UBA

1. Quay lại trang Nhập người dùng và nhấp vào Thêm.

2. Chọn Bảng tham khảo.

4. Xem lại các mẫu và nhấp vào Tiếp theo.

6. Trên màn hình Tóm tắt, nhấp vào Lưu.

1. Nhấp vào Điều chỉnh.

4. Trong trường Tên thuộc tính , gõ:

5. Trong trường Công thức , nhập: {uid}({groupid}).

6. Nhấp vào Lưu.

9. Đóng bảng điều khiển bên Chỉnh sửa: Bí danh .

Hiển thị thuộc tính đã nộp Giá trị

11.Cuộn xuống và nhấp vào Lưu.

12.Đóng tab Trình duyệt điều chỉnh .

15.Trong trường Tìm kiếm người dùng , gõ: mcoy.

Bài tập 4: - Thiết lập cho Machine Learning

2. Chạy các lệnh sau: cd /labfiles/UBA/

truy vấn tìm kiếm của bạn.

Cửa sổ Quản lý chỉ mục sẽ mở ra.

2. Trong trường Tìm kiếm , nhập danh mục và nhấn Enter.

• senseValue (tùy chỉnh)