Erkennungsregeleigenschaften

Erkennungsregeln unterstützen Datenquellenabdeckung und MITRE ATT & CK-Abdeckung und -Zuordnung.

Regelquelle und -format

Eigenschaft	Beschreibung
Regelquelle	QRadar®-Regeln werden für die Suche oder Aufdeckung von Anomalien in QRadar auf Ereignisse, Datenflüsse oder Angriffe angewendet. Regeln aus der Sigma-Community werden durch STIX-Muster erweitert. Sigma-Regeln werden von Threat Investigator verwendet. Sie können die STIX-Muster auch in Data Explorer ausführen. IBM stellt Inhaltskorrelationsregeln bereit, die vom System verwendet werden, um Alerts mit zusätzlichen Wertigkeitsinformationen aufzubereiten und die aufbereiteten Alerts bei Bedarf zu korrelieren.
Ursprung	System gibt eine Standardregel an. Überschreiben gibt an, dass eine Standardregel angepasst wurde. Benutzer gibt eine vom Benutzer erstellte Regel an.
Unterstütztes Regelformat	Jedes Regelformat wird von bestimmten Produktanwendungen unterstützt. Das Regelformat bestimmt den Zweck der Regel und den Teil des Produkts, der die Regel unterstützt. Sie könnten beispielsweise daran interessiert sein, was Threat Investigator verwendet oder welche Bibliothek Sie für die Ausführung in Data Explorer (STIX) zur Verfügung haben.

Eigenschaft

Beschreibung

Regelquelle

QRadar®-Regeln werden für die Suche oder Aufdeckung von Anomalien in QRadar auf Ereignisse, Datenflüsse oder Angriffe angewendet.

Regeln aus der Sigma-Community werden durch STIX-Muster erweitert. Sigma-Regeln werden von Threat Investigator verwendet. Sie können die STIX-Muster auch in Data Explorer ausführen.

IBM stellt Inhaltskorrelationsregeln bereit, die vom System verwendet werden, um Alerts mit zusätzlichen Wertigkeitsinformationen aufzubereiten und die aufbereiteten Alerts bei Bedarf zu korrelieren.

Ursprung

System gibt eine Standardregel an.
Überschreiben gibt an, dass eine Standardregel angepasst wurde.
Benutzer gibt eine vom Benutzer erstellte Regel an.

Unterstütztes Regelformat

Jedes Regelformat wird von bestimmten Produktanwendungen unterstützt. Das Regelformat bestimmt den Zweck der Regel und den Teil des Produkts, der die Regel unterstützt. Sie könnten beispielsweise daran interessiert sein, was Threat Investigator verwendet oder welche Bibliothek Sie für die Ausführung in Data Explorer (STIX) zur Verfügung haben.

Regelattribute:

Eigenschaft	Beschreibung
Regelname	Geben Sie einen bestimmten Regelnamen ein oder suchen Sie mithilfe von regulären Ausdrücken danach.
Regelbeschreibung	Filtern Sie die Regelbeschreibung mithilfe von regulären Ausdrücken.
Regel aktiviert	Stellen Sie fest, welche Regeln aktiviert oder inaktiviert sind, um sicherzustellen, dass Ihr System aussagekräftige Angriffe für Ihre Umgebung generiert.
Erstellungs- und Änderungsdatum	Verwenden Sie die Datumsfilter, um zu sehen, was sich in der letzten Woche geändert hat oder welche Regeln geändert wurden. Das Änderungsdatum zeigt die Regeln an, die geändert wurden, aber nicht den geänderten Inhalt der Regeln.
Testdefinition	Geben Sie eine bestimmte Testdefinition ein oder suchen Sie mithilfe von regulären Ausdrücken danach.

QRadar-Regelattribute

Eigenschaft	Beschreibung
Regel oder Baustein	Eine Regel ist eine Zusammenstellung von Tests, die eine Aktion auslöst, wenn bestimmte Bedingungen erfüllt sind. Jede Regel kann so konfiguriert werden, dass sie ein bestimmtes Ereignis, eine Abfolge von Ereignissen oder Datenflüssen oder einen Angriff erfasst und auf sie reagiert. Bausteine gruppieren häufig verwendete Tests, um komplexe Logik zu erstellen, sodass sie in Regeln verwendet werden können. Bausteine verwenden dieselben Tests, die von Regeln verwendet werden, ihnen sind aber keine Aktionen zugeordnet. Tipp: Sie können weitere QRadar -Regelattribute wie Regelkategorie, Gruppe, Protokollquellentyp oder Test zur Berichtsanzeige hinzufügen.

Eigenschaft

Beschreibung

Regel oder Baustein

Eine Regel ist eine Zusammenstellung von Tests, die eine Aktion auslöst, wenn bestimmte Bedingungen erfüllt sind. Jede Regel kann so konfiguriert werden, dass sie ein bestimmtes Ereignis, eine Abfolge von Ereignissen oder Datenflüssen oder einen Angriff erfasst und auf sie reagiert.

Bausteine gruppieren häufig verwendete Tests, um komplexe Logik zu erstellen, sodass sie in Regeln verwendet werden können. Bausteine verwenden dieselben Tests, die von Regeln verwendet werden, ihnen sind aber keine Aktionen zugeordnet.

Tipp: Sie können weitere QRadar -Regelattribute wie Regelkategorie, Gruppe, Protokollquellentyp oder Test zur Berichtsanzeige hinzufügen.

MITRE ATT&CK

Eigenschaft	Beschreibung
Taktik	Wählen Sie Taktiken in der Liste aus. Die Taktik 'Erstzugriff' wird beispielsweise von Angreifern verwendet, die versuchen, in Ihr Netz einzudringen.
Technik	Suchen Sie nach Techniken und deren Untertechniken oder wählen Sie sie aus der Liste aus. Die Techniken sind vorgefiltert, sodass sie zur ausgewählten Taktik passen. Beispielsweise kommt die Technik 'Account Discovery' (Kontoerkennung) zum Einsatz, wenn Angreifer versuchen, an eine Liste Ihrer lokalen System- oder Domänenkonten zu gelangen. Untertechniken werden durch einen Punkt in der ID gekennzeichnet, wie z. B. "T1003.002 Security Account Manager". Unterverfahren bieten eine genauere Beschreibung des Verhaltens, das ein Angreifer verwendet, um sein Ziel zu erreichen. Ein Angreifer kann beispielsweise einen Speicherauszug der Berechtigungsnachweise erstellen, indem er auf geheime LSA-Schlüssel (Local Security Authority) zugreift.
Zuordnungskonfidenz	Zeigt Zuordnungen an, die einer bestimmten Zuverlässigkeit der Regelabdeckung zugewiesen sind.
Zuordnung aktiviert	Zeigt für jede Regel an, ob die Zuordnung zwischen der Taktik oder Technik und den Regeln aktiviert ist. Zuordnungen, die nicht aktiviert sind, werden nicht der Heat-Map zur Technikabdeckung hinzugefügt.