La última versión de IBM QRadar SIEM, la V 7.3.3 es la release previa a la publicación de la esperada 7.4 para finales del primer trimestre de 2020. Incluye mejoras en el rendimiento, el flujo de trabajo de los analistas, la seguridad del producto, y, fundamentalmente, en la experiencia del usuario. La actualización es sencilla, a través de un script proporcionado por IBM que desde la consola, actualiza el conjunto del despliegue.
A continuación vamos repasar algunos elementos, que a nuestro juicio, hacen interesante actualizar a esta versión mientras se publica la ansiada 7.4 en los próximas meses.
Soporte para pares de claves y valores en el editor de DSM.
Hasta ahora, al crear un origen de log manualmente, necesitábamos hacer uso de expresiones regulares para extraer cada uno de los campos. Desde la versión 7.3.3 es posible usar simples delimitadores del tipo clave = valor. Esto va un paso más allá de la mejora en el procesamiento de eventos en formato CEF y LEEF de QRadar 7.3.2 que permitía por primera vez detectar de manera automática nuevas propiedades. Además los usuarios con permisos, pueden dar de alta esa “custom properties” directamente desde el editor de DSM, ahorrando tiempo y facilitando el conjunto del proceso. Por último se ha implementado una opción para exportar las configuraciones de los nuevos orígenes de logs desde el mismo editor.
Mejoras en los flujos (flows)
Desde esta versión se detecta la información VXLAN que está presente en los paquetes que se envían a QFlow (a través de Azure vTap, Technocrat
o tarjeta de monitorización, o NIC) se extrae y se añade a los registros de flujo del QRadar.
Novedades en Network Insights
Si se dispone de Network Insights se ha mejorado el modulo que inspecciona las conexiones RDP detectando el tipo de encriptación utilizada y se ha añadido un módulo para detectar conexiones rsh, rexec y rlogin. Otra mejora interesante es que desde ahora todos los protocolos: NFS , POP, SSL, TSL, HTTP, SSH, RDP, etc son detectados acompañados de su versión, como se muestra en esta tabla.
¿Qué nos espera en la versión 7.4?
El lanzamiento del QRadar 7.4 está planificado para el primer trimestre de 2020 e incluirá importantes mejoras. Esta versión se basará en Red Hat Enterprise Linux 7.7. Se espera que tenga soporte para Python 3.X y, como curiosidad, no está claro que sea compatible en navegadores Internet Explorer. Es importante destacar que se trata de una actualización mayor, con cambios en la versión base del sistema operativo. Esto implica tareas adicionales y precauciones adicionales.
Si das servicios a varios clientes desde tu SOC y usas QRadar estás de enhorabuena. Hay bastantes esperanzas que en por fin veamos importantes mejoras la interfaz gráfico junto con una actualización mayor del Framework de Aplicaciones que proporcione un completo soporte multi-tenancy. Eso si, las aplicaciones tendrán que ser actualizadas para que sean totalmente compatibles. Se sabe que el equipo de desarrollo de la UBA ya está trabajando en una actualización que haciendo uso de estas funciones, permita segmentar los datos de comportamiento de usuarios por cliente y dominio.
De hecho serán las empresas que proporcionen servicios de SOC virtuales o en remoto en entornos multi-cliente quienes más se beneficiarán de las nuevas características de la versión 7.4. En otro post hablaremos más de esto y de como integrar QRadar en entornos semi-automatizados de respuesta ante incidentes a través de diferentes soluciones SOAR como Resilient IRP. El futuro de los SOCs pasara por seguir integrando herramientas y automatizando procesos, como se lleva años haciendo en entornos distribuidos con la implantación de las metodologías de DevOps & SysOps.
Si quieres saber más de esta solución, en Sixe ofrecemos servicios de formación, consultoría y soporte técnico para IBM QRadar SIEM. También vendemos y desplegamos, migramos e integramos QRadar en todo tipo de entornos y clientes. Contáctanos si necesitas nuestra ayuda :)