アプリケーション設定の構成

IBM® QRadar® User Entity Behavior Analytics (UEBA) アプリケーションで情報を表示するには、 UEBA アプリケーション設定を構成する必要があります。

手順

  1. ナビゲーション・メニュー ( ナビゲーション・メニュー・アイコン ) で、 「管理」をクリックします。
  2. 「UBA の設定 (UBA Settings)」 アイコンをクリックします。 ( Apps > User Entity Analytics > UBA Settings )。
  3. 「アプリケーション設定」セクションで、以下の設定を構成します。
    オプション 説明
    インポートされたユーザーのみをモニター

    「インポートされたユーザーのみをモニター」 設定を選択すると、 UEBA アプリケーションは、イベントから検出された新規ユーザーをモニターしません。 UEBA は、インポートしたユーザーのみをモニターします。

    ユーザー・リスクしきい値

    オフェンスのトリガー基準とするリスク・スコアの値を指定します。ユーザーのリスク・スコアがこの値に達するまで、そのユーザーに対してオフェンスはトリガーされません。 リスク・スコア は、 UEBA ルールが検出するすべてのリスク・イベントの合計です。

    次のオプションのいずれかを選択します。
    • 動的: デフォルト値は 4.0 です。 値が大きいほど、動的しきい値が高くなり、オフェンスの数が少なくなります。 設定が少なくとも 1 日実行されるまで、 「高リスク・ユーザーのオフェンスの生成 (Generate an offense for high risk users)」 をオフにします。 動的しきい値は、システム内のリスク・スコアの分布に基づいて 1 時間ごとに更新されます。 トリガーされる可能性があるオフェンスの数に基づいて、この設定を有効にするかどうかを決定できます。 詳しくは『ヒント』を参照してください。
      注: スコアに十分な種類がない場合、リスク・スコアは最高リスク・ユーザーの +10 に設定されます。 このようにして、多くのオフェンスが不必要に生成されないようにします。
    • 静的: デフォルト値は 100,000 です。 環境が分析される前にオフェンスがトリガーされないようにするために、デフォルトでは大きな値に設定されています。 「高リスク・ユーザーのオフェンスを生成」をオンにすると、リスクしきい値を超えたユーザーのユーザー名タイプのオフェンスをオープンできます。 トリガーされる可能性があるオフェンスの数に基づいて、この設定を有効にするかどうかを決定できます。
    ヒント: UEBA をセットアップし、デフォルト値のままにすることを検討してください。 この設定を少なくとも 1 日間実行し、どのようなスコアが返されるかを調べます。 数日後、ダッシュボードで結果を確認してパターンを判別します。 それに基づいて、しきい値を調整できます。 例えば、500 秒でこのスコアに達するユーザーが 1 人か 2 人いる一方で、ほとんどのユーザーは 100 秒でこのスコアに達するような場合は、しきい値を 200 か 300 に設定することを検討します。 つまり、この環境での「標準」はおよそ 100 であり、これを上回るスコアには注意しなければならない可能性があります。

    事業体 リスク閾値

    エンティティのリスク・スコアがどの程度になると、そのエンティティに対する攻撃が開始されるかを示す。 リスク・スコア は、 UEBA ルールが検出するすべてのリスク・イベントの合計です。

    次のオプションのいずれかを選択します。
    • 動的: デフォルト値は 4.0 です。 値が大きいほど、動的しきい値が高くなり、オフェンスの数が少なくなります。 設定が少なくとも1日実行されるまでは、 高リスクのユーザーとエンティティの違反を生成するをオフにします。 動的しきい値は、システム内のリスク・スコアの分布に基づいて 1 時間ごとに更新されます。 トリガーされる可能性があるオフェンスの数に基づいて、この設定を有効にするかどうかを決定できます。 詳しくは『ヒント』を参照してください。
      注: スコアに十分な種類がない場合、リスク・スコアは最高リスク・ユーザーの +10 に設定されます。 このようにして、多くのオフェンスが不必要に生成されないようにします。
    • 静的: デフォルト値は 100,000 です。 環境が分析される前にオフェンスがトリガーされないようにするために、デフォルトでは大きな値に設定されています。
    ヒント: UEBA をセットアップし、デフォルト値のままにすることを検討してください。 この設定を少なくとも 1 日間実行し、どのようなスコアが返されるかを調べます。 数日後、ダッシュボードで結果を確認してパターンを判別します。 それに基づいて、しきい値を調整できます。 例えば、500 秒でこのスコアに達するユーザーが 1 人か 2 人いる一方で、ほとんどのユーザーは 100 秒でこのスコアに達するような場合は、しきい値を 200 か 300 に設定することを検討します。 つまり、この環境での「標準」はおよそ 100 であり、これを上回るスコアには注意しなければならない可能性があります。

    1 時間ごとのリスク減衰の係数

    リスク減衰とは、毎時削減されるリスク・スコアの割合です。 デフォルト値は 0.5 です。
    ヒント: 数値が大きいほど、リスク・スコアの減衰が速くなります。数値が小さいほど、リスク・スコアの減衰が遅くなります。 値ゼロを指定すると、この機能は無効になります。

    ユーザーの詳細グラフの日付範囲 (Date range for user detail graphs)

    「ユーザーの詳細」ページのユーザーの詳細グラフに表示される日付範囲。 デフォルト値は 1 です。

    調査状況の期間 (Duration of investigation status)

    調査が完了するまでに割り当てられる時間数 (1 - 10,000)。

    ユーザーの非アクティブ間隔

    「ユーザーの詳細」ページには、セッションごとにグループ化されたアクティビティーを示すタイムラインが表示されます。 「ユーザーの非アクティブ間隔」フィールドに入力された時間の間ユーザーが非アクティブである場合、セッションは終了します。 デフォルト値は 15 分です。

    休止アカウントのしきい値

    ユーザーの非アクティブ期間の日数であり、この期間が過ぎるとそのユーザーは休止と見なされます。 デフォルト値は 14 日です。 詳細については、 休眠口座を参照のこと。

    最大リスク・スコア

    「ルールおよびチューニング」 ページで、最大リスク・スコアの制限を設定する値を入力します。 現在のリスク・スコアは、この設定の変更による影響を受けません。 注: UEBA アプリケーションで提供されるルールには、通常、5 から 25 の範囲のリスク・スコアがあります。

    イベント・データまたはフロー・データにユーザー名がない場合、アセットでユーザー名を検索します

    アセット・テーブル内でユーザー名を検索する場合は、このチェック・ボックスを選択します。 UEBA アプリケーションは、イベントにユーザーがリストされていない場合に、アセットを使用してユーザーの IP アドレスを検索します。
    重要: この機能により、 UEBA アプリケーションおよび QRadar システムでパフォーマンスの問題が発生する可能性があります。
    重要: 「UBA の設定」 ページの 「イベント・データまたはフロー・データでユーザー名が使用できない場合にユーザー名をアセットで検索する」 チェック・ボックスを有効にすると、 「ユーザーの詳細」 ページがロードされないことがあります。 「ルール」ページを確認して、有効なルールがこの設定を必要とするかどうかを判別します。 必要でない場合は、無効にしてください。
    ヒント: 照会タイムアウトしきい値を超えた場合、アプリケーションはデータを返しません。 UEBA ダッシュボードにエラー・メッセージが表示された場合は、チェック・ボックスをクリアして、 「最新表示」をクリックします。
    IP アドレスの国/地域フラグの表示 (Display country/region flags for IP addresses)

    IP アドレスの国および地域フラグを表示しない場合は、チェック・ボックスをクリアします。

    監視対象

    エンティティを監視しない場合はチェックボックスをオフにする。

    「アプリケーション設定」画面
    「アプリケーション設定」画面

次に実行するタスク

「ユーザーのインポート」ウィザードからユーザーをインポートできます。 詳細については、 ユーザーのインポートを参照してください。