認証アクティビティー

「認証アクティビティー」機械学習モデルを有効にして、「ユーザーの詳細」ページで上位カテゴリー「認証」のユーザー・アクティビティーを表示します。

始める前に

以下のモデルの詳細を確認してください。
  • イベント名: UBA: 認証アクティビティーの異常な増加
  • sensevalue: 5
  • 必須の構成: システムが QRadar 上位カテゴリー「認証」のイベントをモニターしている。
  • ログ・ソース・タイプ: 3Com 8800 シリーズ・スイッチ、APC UPS、AhnLab Policy Center APC、Amazon AWS CloudTrail、Apache HTTP Server、Application Security DbProtect、Arbor Networks Pravail、Arpeggio SIFT-IT、Array Networks SSL VPN アクセス・ゲートウェイ、Aruba ClearPass Policy Manager、Aruba Introspect、Aruba モビリティー・コントローラー、Avaya VPN Gateway、Barracuda Spam & Virus Firewall、Barracuda Web Application Firewall、Barracuda Web Filter、Bit9 Security Platform、Box、Bridgewater Systems AAA サービス・コントローラー、Brocade FabricOS、CA ACF2、CA SiteMinder、CA Top Secret、CRE システム、CRYPTOCard CRYPTOShield、Carbon Black Protection、Centrify Identity Platform、Centrify Infrastructure Services、Check Point、Cilasoft QJRN/400、Cisco ACS、Cisco Adaptive Security Appliance (ASA)、Cisco Aironet、Cisco CSA、Cisco Call Manager、Catalyst スイッチ 用 Cisco CatOS、Cisco FireSIGHT Management Center、Cisco ファイアウォール・サービス・モジュール (FWSM)、Cisco IOS、Cisco Identity Services Engine、Cisco Intrusion Prevention System (IPS)、Cisco IronPort、Cisco NAC アプライアンス、Cisco Nexus、Cisco PIX Firewall、Cisco VPN 3000 シリーズ・コンセントレーター、Cisco ワイヤレス LAN コントローラー、Cisco Wireless Services Module (WiSM)、Citrix Access Gateway、Citrix NetScaler、CloudPassage Halo、Cloudera Navigator、構成可能な認証メッセージ・フィルター、CorreLog Agent for IBM zOS、CrowdStrike Falcon Host、カスタム・ルール・エンジン、Cyber-Ark Vault、CyberGuard TSP Firewall/VPN、DCN DCS/DCRS シリーズ、DG Technology MEAS、EMC VMWare、ESET Remote Administrator、Enterprise-IT-Security.com SF-Sherlock、Epic SIEM、イベント CRE インジェクション、Extreme 800 シリーズ・スイッチ、Extreme Dragon Network IPS、Extreme HiPath、Extreme Matrix E1 スイッチ、 Extreme Matrix K/N/S シリーズ・スイッチ、Extreme NAC、Extreme NetsightASM、Extreme Networks ExtremeWare オペレーティング・システム (OS)、Extreme スタック可能スイッチおよびスタンドアロン・スイッチ、 Extreme XSR セキュリティー・ルーター、 F5 Networks BIG-IP APM、F5 Networks BIG-IP ASM、F5 Networks BIG-IP LTM、F5 Networks FirePass、FireEye、フロー分類エンジン、Forcepoint Sidewinder、 ForeScout CounterACT、Fortinet FortiGate セキュリティー・ゲートウェイ、Foundry Fastiron、FreeRADIUS、H3C Comware Platform、HBGary Active Defense、HP Network Automation、HP ProCurve、HP Tandem、Huawei AR Series Router、Huawei S シリーズ・スイッチ、HyTrust CloudControl、IBM AIX Audit、IBM AIX Server、IBM BigFix、IBM Bluemix Platform、IBM DB2、IBM DataPower、IBM Fiberlink MaaS360、IBM Guardium、IBM IMS、IBM Lotus Domino、IBM Proventia Network Intrusion Prevention System (IPS)、IBM QRadar Network Security XGS、IBM QRadar Packet Capture、IBM Resource Access Control Facility (RACF)、IBM Security Access Manager for Enterprise Single Sign-On、IBM Security Access Manager for Mobile、IBM Security Directory Server、IBM Security Identity Governance、IBM Security Identity Manager、IBM SmartCloud Orchestrator、IBM Tivoli Access Manager for e-business、IBM WebSphere Application Server、IBM i、IBM z/OS、IBM zSecure Alert、ISC BIND、Illumio Adaptive Security Platform、Imperva SecureSphere、Infoblox NIOS、Itron Smart Meter、Juniper Junos OS Platform、Juniper Junos WebApp Secure、Juniper MX シリーズ・イーサネット・サービス・ルーター、Juniper Networks ファイアウォールおよび VPN、Juniper Networks Intrusion Detection and Prevention (IDP)、 Juniper Networks Network and Security Manager、Juniper Steel-Belted Radius、Juniper WirelessLAN、 Kaspersky Security Center、Lieberman Random Password Manager、LightCyber Magna、Linux OS、Mac OS X、 McAfee Application/Change Control、McAfee Network Security Platform、McAfee ePolicy Orchestrator、 Metainfo MetaIP、Microsoft Azure、Microsoft DHCP Server、Microsoft Exchange Server、Microsoft Hyper-V、Microsoft IAS サーバー、Microsoft IIS、Microsoft ISA、Microsoft Office 365、Microsoft Operations Manager、Microsoft SCOM、Microsoft SQL Server、Microsoft SharePoint、Microsoft Windows セキュリティー・イベント・ログ、Motorola SymbolAP、NCC Group DDos Secure、Netskope Active、Nortel Application Switch、Nortel Contivity VPN スイッチ、Nortel Contivity VPN スイッチ (廃止)、Nortel Ethernet Routing Switch 2500/4500/5500、Nortel Ethernet Routing Switch 8300/8600、Nortel Multiprotocol Router、Nortel Secure Network Access Switch (SNAS)、Nortel Secure Router、Nortel VPN Gateway、Novell eDirectory、OS サービスの Qidmap、OSSEC、ObserveIT、Okta、Open LDAP ソフトウェア、OpenBSD OS、Oracle Acme Packet SBC、 Oracle Audit Vault、Oracle BEA WebLogic、Oracle Database リスナー、Oracle Enterprise Manager、Oracle RDBMS 監査レコード、Oracle RDBMS OS 監査レコード、Palo Alto Endpoint Security Manager、Palo Alto PA シリーズ、 Pirean Access: One、PostFix MailTransferAgent、ProFTPD サーバー、Proofpoint Enterprise Protection/Enterprise Privacy、Pulse Secure Pulse Connect Secure、RSA Authentication Manager、 Radware AppWall、Radware DefensePro、Redback ASE、Riverbed SteelCentral NetProfiler Audit、SIM Audit、SSH CryptoAuditor、STEALTHbits StealthINTERCEPT、SafeNet DataSecure/KeySecure、Salesforce Security Auditing、Salesforce Security Monitoring、Sentrigo Hedgehog、Skyhigh Networks クラウド・セキュリティー・プラットフォーム、Snort オープン・ソース IDS、Solaris BSM、 Solaris オペレーティング・システム認証メッセージ、Solaris オペレーティング・システム Sendmail ログ、SonicWALL SonicOS、Sophos Astaro Security Gateway、 Squid Web プロキシー、Starent Networks Home Agent (HA)、Stonesoft Management Center、Sybase ASE、Symantec Encryption Management Server、Symantec Endpoint Protection、ThreatGRID Malware Threat Intelligence Platform、TippingPoint Intrusion Prevention System (IPS)、TippingPoint X Series アプライアンス、Top Layer IPS、Trend Micro Deep Discovery Email Inspector、Trend Micro Deep Discovery Inspector、Trend Micro Deep Security、Tripwire Enterprise、Tropos Control、ユニバーサル DSM、VMware vCloud Director、 VMware vShield、Vectra Networks Vectra、Venustech Venusense Security Platform、Verdasys Digital Guardian、Vormetric Data Security、WatchGuard Fireware OS、genua genugate、iT-CUBE agileSI

このタスクについて

「認証アクティビティー」モデルを有効にして、上位カテゴリー「認証」でのユーザー・アクティビティーを追跡し、毎時の学習行動モデルを作成します。ユーザーの認証アクティビティーが学習行動から逸脱している場合、疑わしい振る舞いとみなされ、センス・イベントが生成されて、ユーザーのリスク・スコアが上昇します。

重要: 設定を構成または変更した後、データを取り込んで初期モデルを作成し、ユーザーの最初の結果が表示されるまでには、少なくとも 1 時間かかります。

アクティブ・ユーザーは継続的にモニターされます。28 日間アクティビティーがないユーザーは、ユーザー自体とそのデータがモデルから削除されます。ユーザーが再びアクティブになった場合は、新規ユーザーとして復帰します。

手順

  1. ナビゲーション・メニュー (ナビゲーション・メニュー・アイコン) で、「管理」をクリックして管理タブを開きます。
  2. QRadar 7.3.2 以降では、「アプリケーション」 > 「ユーザー分析」 > 「機械学習の設定」をクリックします。
  3. 「機械学習の設定」ページで、「有効」トグル・アイコンをクリックして、「認証アクティビティー」モデルをオンにします。
  4. デフォルト設定を編集する場合は、「認証アクティビティー」をクリックします。
  5. 「センス・イベントのリスク値」フィールドで、センス・イベントがトリガーされる際にユーザーのリスク・スコアを増やすための値を入力します。デフォルト値は 5 です。
  6. トグルを有効にしてリスク値をスケーリングします。有効にすると、基本リスク値が係数 (1 ~ 10 の範囲) で乗算されます。この係数は、ユーザーが期待される行動から逸脱しているというだけでなく、どれだけ逸脱しているかによって決まります。
  7. 「アノマリをトリガーする信頼性間隔」フィールドで、異常なイベントをトリガーするまでの機械学習アルゴリズムの信頼性をパーセンテージで入力します。デフォルト値は 0.95 です。
  8. 「データ保存期間」フィールドで、モデル・データを保存する日数を設定します。デフォルト値は 30 です。
  9. 「ユーザーの詳細ページにグラフを表示」トグルがデフォルトで有効になっており、「ユーザーの 詳細」ページに「認証アクティビティー」グラフが表示されます。「ユーザーの詳細」ページに「認証アクティビティー」グラフが表示されないようにするには、トグルをクリックしてください。
  10. オプション: 「AQL 検索フィルター」フィールドに AQL フィルターを追加して、QRadar 内の分析で照会するデータを絞り込むことができます。AQL 照会を使用してフィルタリングを行うことによって、分析するユーザーの数またはデータ・タイプを削減できます。設定を保存する前に、 「照会の妥当性検査」をクリックして QRadar で AQL 照会全体を起動することで、照会を確認して結果を検証できます。
    重要: AQL フィルターを変更した場合、既存のモデルに無効のマークが付けられ、モデルが再作成されます。再作成に必要な時間の長さは、変更されたフィルターによって返されるデータの量によって異なります。
    特定のログ・ソース、ネットワーク名、または特定のユーザーを含むリファレンス・セットにフィルターを適用できます。次の例を参照してください。
    • REFERENCESETCONTAINS('Important People', username)
    • LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
    • INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
    詳しくは、Ariel 照会言語を参照してください。
  11. 「保存」をクリックします。
    「認証アクティビティー」モデル設定画面

タスクの結果

アプリがデータを取り込んで初期モデルを作成するまでに、少なくとも 1 時間かかります。