Propriétés des règles de détection

Editer en ligne

Les règles de détection prennent en charge la couverture de source de données et la couverture et le mappage MITRE ATT & CK.

Source et format de la règle

Propriété	Descriptif
Source de la règle	Les règles QRadar® sont appliquées aux événements, aux flux ou aux violations pour rechercher ou détecter des anomalies dans QRadar. Les règles de la communauté Sigma sont améliorées par les modèles STIX. Les règles Sigma sont utilisées par Threat Investigator. Vous pouvez également exécuter les modèles STIX dans Data Explorer. IBM fournit des règles de corrélation de contenu qui sont utilisées par le système pour enrichir les alertes avec des informations de gravité supplémentaires et pour corréler les alertes enrichies si nécessaire.
Origine	Système indique une règle par défaut. Remplacer indique qu'une règle par défaut a été personnalisée. Utilisateur indique une règle créée par l'utilisateur.
Format de règle pris en charge	Chaque format de règle est pris en charge par certaines applications de produit. Le format de la règle détermine l'objectif de la règle et la partie du produit qui la prend en charge. Par exemple, vous pouvez être intéressé par ce que l'enquêteur de menaces utilise ou par la bibliothèque que vous pouvez utiliser dans l'explorateur de données (STIX).

Propriété

Descriptif

Source de la règle

Les règles QRadar® sont appliquées aux événements, aux flux ou aux violations pour rechercher ou détecter des anomalies dans QRadar.

Les règles de la communauté Sigma sont améliorées par les modèles STIX. Les règles Sigma sont utilisées par Threat Investigator. Vous pouvez également exécuter les modèles STIX dans Data Explorer.

IBM fournit des règles de corrélation de contenu qui sont utilisées par le système pour enrichir les alertes avec des informations de gravité supplémentaires et pour corréler les alertes enrichies si nécessaire.

Origine

Système indique une règle par défaut.
Remplacer indique qu'une règle par défaut a été personnalisée.
Utilisateur indique une règle créée par l'utilisateur.

Format de règle pris en charge

Chaque format de règle est pris en charge par certaines applications de produit. Le format de la règle détermine l'objectif de la règle et la partie du produit qui la prend en charge. Par exemple, vous pouvez être intéressé par ce que l'enquêteur de menaces utilise ou par la bibliothèque que vous pouvez utiliser dans l'explorateur de données (STIX).

Attributs de règle

Propriété	Descriptif
Nom de règle	Entrez un nom de règle spécifique ou recherchez celui-ci en utilisant des expressions régulières.
Description de la règle	Filtrez la description de la règle à l'aide d'expressions régulières.
Règle activée	Vérifiez quelles règles sont activées ou désactivées pour vous assurer que votre système génère des violations significatives pour votre environnement.
Dates de création et de modification	Utilisez les filtres de date pour voir ce qui a changé au cours de la dernière semaine ou pour voir les règles qui ont été modifiées. La date de modification indique les règles qui ont été modifiées, mais pas le contenu modifié des règles.
Définition de test	Entrez une définition de test spécifique ou recherchez celle-ci à l'aide d'expressions régulières.

Attributs de règle QRadar

Propriété	Descriptif
Règle ou composant fonctionnel (BB)	Une règle est un ensemble de tests qui déclenchent une action lorsque des conditions spécifiques sont remplies. Chaque règle peut être configurée pour capturer et répondre à un événement spécifique, à une séquence d'événements, à une séquence de flux ou à une infraction. Les composants fonctionnels regroupent les tests couramment utilisés pour créer une logique complexe, afin de pouvoir être utilisés dans les règles. Les composants fonctionnels utilisent les mêmes tests que les règles, mais n'ont pas d'actions qui leur sont associées. Astuce: Vous pouvez ajouter d'autres attributs de règle QRadar à l'affichage du rapport, tels que la catégorie de règle, le groupe, le type de source de journal ou le test.

Propriété

Descriptif

Règle ou composant fonctionnel (BB)

Une règle est un ensemble de tests qui déclenchent une action lorsque des conditions spécifiques sont remplies. Chaque règle peut être configurée pour capturer et répondre à un événement spécifique, à une séquence d'événements, à une séquence de flux ou à une infraction.

Les composants fonctionnels regroupent les tests couramment utilisés pour créer une logique complexe, afin de pouvoir être utilisés dans les règles. Les composants fonctionnels utilisent les mêmes tests que les règles, mais n'ont pas d'actions qui leur sont associées.

Astuce: Vous pouvez ajouter d'autres attributs de règle QRadar à l'affichage du rapport, tels que la catégorie de règle, le groupe, le type de source de journal ou le test.

MITRE ATT&CK

Propriété	Descriptif
Tactique	Sélectionnez une tactique dans la liste. Par exemple, une tactique d'accès initial est utilisée par des adversaires qui tentent d'entrer dans votre réseau.
Technique	Recherchez les techniques et leurs sous-techniques ou sélectionnez-les dans la liste. Les techniques sont pré-filtrées pour correspondre à la tactique sélectionnée. Par exemple, une technique de détection de compte se produit lorsque des adversaires tentent d'obtenir la liste des comptes de votre système local ou de votre domaine. Les sous-techniques sont identifiées par un point dans l'ID, tel que « T1003.002 Security Account Manager ». Les sous-techniques fournissent une description plus spécifique du comportement utilisé par un adversaire pour atteindre son objectif. Par exemple, un adversaire peut vider les informations d'identification en accédant aux secrets de la LSA (Local Security Authority).
Fiabilité du mappage	Indique les mappages qui reçoivent un niveau de confiance spécifique pour la couverture des règles.
Mappage activé	Indique, pour chaque règle, si le mappage entre la tactique ou la technique et les règles est activé. Les mappages qui sont désactivés ne sont pas ajoutés à la carte de densité de couverture des techniques.