QRadar Network Threat Analytics -Ereignisse

IBM® QRadar® Network Threat Analytics -Ergebnisse können drei verschiedene Ereignistypen generieren. Mithilfe dieser Ereignisse können Sie Regeln schreiben und Suchvorgänge und Berichte erstellen.

Wenn Sie die Unterschiede zwischen den einzelnen Ereignistypen kennen, können Sie leichter feststellen, welche Ereignisse eine weitere Untersuchung rechtfertigen.

Netzanomalie beobachtet

Dieser Ereignistyp wird generiert, wenn die App ein neues Ergebnis erstellt, nachdem eine potenzielle Netzanomalie erkannt wurde.

Weitere Analysen sind erforderlich, um festzustellen, ob das Verhalten wirklich anomal ist.

Netzanomalie erkannt

Nach einer weiteren Analyse wird eine beobachtete Anomalie zu einer erkannten Anomalie, wenn die App bestätigt, dass das Ergebnis wirklich anomal ist und zuvor kein unbeobachtetes normales Verhalten aufweist.

Wenn das Verhalten als normal, aber zuvor nicht sichtbar eingestuft wird, wird es als Teil der nächsten geplanten Aktualisierung zur Netzreferenzversion hinzugefügt.

Aktualisierung von Netzanomalien

Da im Laufe der Zeit mehr Datenverkehr analysiert wird, werden Aktualisierungsereignisse erstellt, die darauf hinweisen, dass ein Ergebnis fortlaufend ist.

Die App erstellt drei Typen von Aktualisierungsereignissen:

• Aktualisierung der Netzanomalie (Fortsetzung der Aktivität) gibt an, dass eine neue Kommunikation zu einem vorhandenen Ergebnis hinzugefügt wurde oder dass neue Datenflussdatensätze zu einer vorhandenen Kommunikation hinzugefügt wurden, die bereits Teil eines Ergebnisses ist.
• Aktualisierung der Netzanomalie (Bewertungsänderung) gibt an, dass eine Ergebnisbewertung erhöht wurde, da mehr Datenverkehr analysiert wurde.
• Aktualisierung der Netzanomalie (MITRE-Zuordnung) gibt an, dass ein Ergebnis mit einem neuen mutmaßlichen MITRE ATT & CK -Verfahren aktualisiert wurde.