QRadar システムのチューニングのためのベスト・プラクティス

QRadar® Advisor with Watson アプリケーションを最大限に活用するには、 QRadar システムを調整するための以下のガイダンスを確認してください。

IBM QRadar Use Case Manager

QRadar Use Case Manager アプリケーションは、 QRadar システムの調整に役立ちます。 詳しくは、 QRadar Use Case Managerを参照してください。

システムの正常性

表 1. QRadar システムのヘルス・チェック
QRadar システム 説明
プラットフォームの詳細 QRadar バージョンが 7.3.3 以降です。
XFE の有効化 X-Force® Threat Intelligence Premium Admin > 「システム設定」 > 「 X-Force Threat Intelligence フィードを有効にする (はい)」 に対して QRadar のライセンス交付を受けて有効にする必要があります。
サポートの問題 システムおよびハードウェアの安定性またはパフォーマンスに関連する未解決の PMR はありません。
ライフサイクル インストールされてから少なくとも 3 カ月にわたって実行されているシステムである必要があります。

オフェンスの管理

QRadar では、毎日、1000 EPS 当たり最大で 10 から 15 の品質オフェンスが発生します。 品質オフェンスにより、イベント・データ・フィールドとフロー・データ・フィールドが生成されます。これらのフィールドでは、適切な外部観察事項の情報を QRadar Advisor with Watsonによってデータ・マイニングおよび調査することができます。

表 2. 品質オフェンス
オフェンス・チェック 考慮事項
アクティブなオフェンスの数 「オフェンス」タブに移動し、オフェンスの数を表示します。 アクティブなオフェンスの数が多すぎませんか?
1 日に作成されるオフェンスの数 検索間隔を作成し、72 時間または 7 日などの特定の 24 時間の時刻範囲を指定します。
ローカル・スタッフまたはサービス・スタッフがオフェンスを定期的に確認およびクローズするかどうか オフェンスを適切なタイミングで確認、調査、およびクローズするプロセスが確立されていますか?
ルールのチューニングが必要であるかまたは推奨されるか

最もノイズが多いルールをチューニングすると、フォールス・ポジティブの削減に大きな効果があります。 詳しくは、 オフェンスを生成するアクティブなルールのチューニングを参照してください。

ビルディング・ブロックの更新

QRadar はビルディング・ブロックを使用してシステムをチューニングし、さらなる相関ルールの有効化を許可します。 これにより、QRadar によって検出されるフォールス・ポジティブの数が減り、ビジネスに重要なアセットを特定するのに役立ちます。

ビルディング・ブロックの確認

詳しくは、 ビルディング・ブロックの確認を参照してください。

表 3. ビルディング・ブロック
ビルディング・ブロック・チェック 考慮事項
許可されるサーバー

許可されたインフラストラクチャー・サーバーを、選択したビルディング・ブロックに追加することができます。 QRadar は、サーバー・カテゴリーに固有のフォールス・ポジティブを抑制しながら、これらのサーバーをモニターします。

サーバーのディスカバー サーバー・ディスカバリー機能は、 QRadar SIEM アセット・プロファイル・データベースを使用して、ポート定義に基づいてさまざまなサーバー・タイプをディスカバーします。 詳しくは、 サーバーのディスカバーを参照してください。
ネットワーク階層の更新 イベントの適切なコンテキストを提供するには、QRadar ネットワーク・トポロジーを完全に構成し、すべてのイベント/フローのタイム・スタンプを同期する必要があります。 「ローカルからリモート」コンテキストおよび「リモートからローカル」コンテキストを持つイベントが、観察事項抽出のためにデータ・マイニングされます。 また、「ローカルからローカル」コンテキストのイベントからは、ハッシュやウィルス名などのフィールドが使用されます。 詳しくは、 ネットワーク階層の確認を参照してください。

データ・ソース

未加工イベントおよび正規化イベントの確認

ユース・ケースに応じて QRadar が取り込むことができるすべてのデータ・ソースが取り込まれていて、正しく機能している必要があります (カスタム・プロパティーの抽出を含む)。 未加工ペイロード・イベントおよび正規化イベントを確認して、観察事項の可能性があるフィールドを「プロパティーの抽出」または「DSM エディター」によって抽出できるかどうかを確認します。 詳しくは、「 DSM 構成ガイド」を参照してください。

接続

QRadar コンソールでは、 QRadar Advisor with Watsonを使用するためにインターネット・アクセスが必要です。

ファイアウォール/プロキシーによるアクセスの制限

ベスト・プラクティスのログ・ソースおよび観察事項

優先順位 1 のログ・ソース (最良の情報ソース)
  • プロキシー – 宛先 IP (外部)、URL、ドメイン、ユーザー・エージェント
  • ファイアウォール – 送信元 IP (外部)、宛先 IP (外部)
  • アンチウィルス – ファイル・ハッシュ、アンチウィルス・シグニチャー、ファイル名
  • メール・ゲートウェイ – 送信元 IP (外部)、ファイル・ハッシュ、ドメイン、E メール・アドレス
  • ユーザー・ログオン (RADIUS、LDAP) – 送信元 IP (外部)、ドメイン
  • エンドポイント – ファイル・ハッシュ、ファイル名、URL
  • DNS – 送信元 IP (外部)、宛先 IP (外部)、ドメイン
優先順位 2 のログ・ソース
  • DHCP
    • 送信元 IP (外部)
    • ドメイン
  • IDS
    • 送信元 IP (外部)
    • 宛先 IP (外部)
    • ドメイン
    • ユーザー・エージェント
    • URL
    • ファイル・ハッシュ
    • ファイル名
  • Windows
    • ドメイン
    • ファイル名
    • 送信元 IP (外部)
    • 宛先 IP (外部)
表 4. プロパティー (観察事項)
Watson プロパティー (観察事項) NGFW/FW プロキシー AV/エンドポイント HIDS DNS DLP SMTP ゲートウェイ QRadar
パブリック IP X X X X X X X
URL X X X
ドメイン名 X X X
ファイル・ハッシュ X X X X
QRadar Advisor with Watson アプリ・プロパティー ( Watsonには送信されませんが、アプリはそれらを使用できます)
宛先ポート X
ユーザー・エージェント X X
E メール・アドレス X X
ファイル名 X X X
送信元ポート X
送信元/宛先 ASN X X
送信元/宛先の国 X
上位/下位カテゴリー X
方向/コンテキスト X
ユーザー名 X X X X

QRadar Advisor with Watson ユース・ケースで推奨される「調査」

  1. ファイル・ハッシュを参照する優先順位 1 または 2 のイベント・ログからトリガーされるオフェンス (マルウェア・イベント)。
  2. 観察事項の組み合わせ (IP、ドメイン、エクスプロイト) を含む優先順位 1 または 2 のイベントからトリガーされるオフェンス (疑わしいアクティビティー)。