カスタム・モデルの作成
カスタム・モデルを作成して、特定のユーザーの 1 時間ごとの数値特性を測定してベースラインを設定します。
始める前に
各モデル・テンプレートの以下のモデル詳細を確認します。
このタスクについて
カスタム・モデルを作成することで、ユーザーの学習行動および実際のデータを確認できます。 ベースラインの動作からの重大な変化が検出された場合は、ユーザーのリスク・スコアの上昇を知らせるアラートが届きます。 作成可能なモデルとしては、ユーザーがダウンロードしたデータ量、ユーザーが実行したアプリケーション数、ユーザーが送信した 1 時間当たりのメールの数などが例として挙げられます。
重要: 設定を構成または変更した後、データを取り込み、初期モデルを作成し、ユーザーの初期結果を確認するには、少なくとも 1 時間かかります。
アクティブ・ユーザーは継続的にモニターされます。 28 日間アクティビティーがないユーザーは、ユーザー自体とそのデータがモデルから削除されます。 ユーザーが再びアクティブになった場合は、新規ユーザーとして復帰します。
手順
アプリケーション・イベント
手順
- イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
- senseValue = 5
- 必須の構成: システムが QRadar 上位カテゴリー「アプリケーション」のイベントをモニターしている。
- Log source types: APC UPS, Apache HTTP Server, Application Security DbProtect, Array Networks SSL VPN Access Gateways, Aruba ClearPass Policy Manager, Aruba Mobility Controller, Avaya VPN Gateway, Barracuda Web Application Firewall, Barracuda Web Filter, Blue Coat Web Security Service, BlueCat Networks Adonis, CRE System, Centrify Infrastructure Services, Check Point, Cilasoft QJRN/400, Cisco Call Manager, Cisco CatOS for Catalyst Switches, Cisco FireSIGHT Management Center, Cisco IOS, Cisco Identity Services Engine, Cisco Intrusion Prevention System (IPS), Cisco IronPort, Cisco Meraki, Cisco Nexus, Cisco PIX Firewall, Cisco Stealthwatch, Cisco Umbrella, Cisco Wireless Services Module (WiSM), Citrix Access Gateway, Citrix NetScaler, Custom Rule Engine, Cyber-Ark Vault, DG Technology MEAS, EMC VMWare, Event CRE Injected, Extreme Matrix K/N/S Series Switch, Extreme Stackable and Standalone Switches, F5 Networks BIG-IP AFM, F5 Networks BIG-IP ASM, F5 Networks BIG-IP LTM, Fidelis XPS, FireEye, Flow Classification Engine, Flow Device Type, Forcepoint Sidewinder, Forcepoint V Series, Fortinet FortiGate Security Gateway, FreeRADIUS, H3C Comware Platform, Huawei S Series Switch, HyTrust CloudControl, IBM AIX Audit, IBM AIX Server, IBM DB2, IBM DataPower, IBM Lotus Domino, IBM Proventia Network Intrusion Prevention System (IPS), IBM Resource Access Control Facility (RACF), IBM Security Directory Server, IBM Tivoli Access Manager for e-business, IBM i, IBM z/OS, ISC BIND, Imperva SecureSphere, Infoblox NIOS, Juniper Junos OS Platform, Juniper MX Series Ethernet Services Router, Juniper Networks AVT, Juniper Networks Firewall and VPN, Juniper Networks Intrusion Detection and Prevention (IDP), Juniper WirelessLAN, Kisco Information Systems SafeNet/i, Linux DHCP Server, McAfee Network Security Platform, McAfee Web Gateway, Metainfo MetaIP, Microsoft DHCP Server, Microsoft DNS Debug, Microsoft Exchange Server, Microsoft IIS, Microsoft Office 365, Microsoft Operations Manager, Microsoft Windows Security Event Log, Motorola SymbolAP, NGINX HTTP Server, Nortel Contivity VPN Switch, Nortel VPN Gateway, OS Services Qidmap, OSSEC, ObserveIT, Okta, Open LDAP Software, OpenBSD OS, Oracle BEA WebLogic, Oracle Database Listener, PostFix MailTransferAgent, ProFTPD Server, Proofpoint Enterprise Protection/Enterprise Privacy, Pulse Secure Pulse Connect Secure, RSA Authentication Manager, Radware DefensePro, SSH CryptoAuditor, Skyhigh Networks Cloud Security Platform, Solaris Operating System Authentication Messages, Solaris Operating System DHCP Logs, SonicWALL SonicOS, Sophos Astaro Security Gateway, Sophos Web Security Appliance, Squid Web Proxy, Starent Networks Home Agent (HA), Stonesoft Management Center, Sun ONE LDAP, Symantec Critical System Protection, Symantec Encryption Management Server, Symantec Endpoint Protection, TippingPoint Intrusion Prevention System (IPS), Top Layer IPS, Trend InterScan VirusWall, Trend Micro Deep Security, Universal DSM, Venustech Venusense Security Platform, Verdasys Digital Guardian, WatchGuard Fireware OS, genua genugate, iT-CUBE agileSI
SourceIP
手順
- イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
- sensevalue: 5
- ログ・ソース・タイプ: イベントにユーザー名と送信元 IP が含まれるすべてのログ・ソース。
宛先ポート
手順
- イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
- sensevalue: 5
- ログ・ソース・タイプ: イベントにユーザー名と宛先ポートが含まれるすべてのログ・ソース。
Office ファイル・アクセス
手順
- イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
- sensevalue: 5
- 必須の構成: システムが QRadar イベント名に「file」という語句が含まれるイベントをモニターしている。
- ログ・ソース・タイプ: Microsoft Office 365
AWS アクセス
手順
- イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
- sensevalue: 5
- 必須の構成: システムが QRadar イベント名に「bucket」という語句が含まれるイベントをモニターしている。
- ログ・ソース・タイプ: Amazon AWS Cloudtrail
プロセス
手順
- イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
- sensevalue: 5
- 必須の構成: 目的のログ・ソース・タイプにカスタム・イベント・プロパティー「Process」が存在すること。
- ログ・ソース・タイプ: Microsoft Windows セキュリティー・イベント・ログ、Linux OS
Web サイト
手順
- イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
- sensevalue: 5
- サポート・ルール: 「UBA: エンターテインメントに関連する Web サイトをブラウズ」、「UBA: ライフスタイル Web サイトの参照」、 「UBA : ビジネス/サービスの Web サイトをブラウズ」、「UBA : コミュニケーションに関連する Web サイトをブラウズ」
- 必須の構成: 目的のログ・ソース・タイプにカスタム・イベント・プロパティー「Web Category」が存在すること。
- ログ・ソース・タイプ: Blue Coat SG アプライアンス、Cisco IronPort、McAfee Web Gateway、Check Point、Squid Web プロキシー、Palo Alto PA シリーズ; Forcepoint V シリーズ、Fortinet FortiGate セキュリティー・ゲートウェイ
リスクのある IP
手順
- イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
- sensevalue: 5
- 必要な構成: で「 X-Force Threat Intelligence フィードを有効にする」を「はい」に設定します。
- ログ・ソース・タイプ: ユーザー名が存在するイベントを含むすべてのログ・ソース。

