QRadar システムのチューニングのためのベスト・プラクティス
QRadar® Advisor with Watson アプリケーションを最大限に活用するには、 QRadar システムを調整するための以下のガイダンスを確認してください。
IBM QRadar Use Case Manager
QRadar Use Case Manager アプリケーションは、 QRadar システムの調整に役立ちます。 詳しくは、 QRadar Use Case Managerを参照してください。
システムの正常性
| QRadar システム | 説明 |
|---|---|
| プラットフォームの詳細 | QRadar バージョンが 7.3.3 以降です。 |
| XFE の有効化 | X-Force® Threat Intelligence Premium に対して QRadar のライセンス交付を受けて有効にする必要があります。 |
| サポートの問題 | システムおよびハードウェアの安定性またはパフォーマンスに関連する未解決の PMR はありません。 |
| ライフサイクル | インストールされてから少なくとも 3 カ月にわたって実行されているシステムである必要があります。 |
オフェンスの管理
QRadar では、毎日、1000 EPS 当たり最大で 10 から 15 の品質オフェンスが発生します。 品質オフェンスにより、イベント・データ・フィールドとフロー・データ・フィールドが生成されます。これらのフィールドでは、適切な外部観察事項の情報を QRadar Advisor with Watsonによってデータ・マイニングおよび調査することができます。
| オフェンス・チェック | 考慮事項 |
|---|---|
| アクティブなオフェンスの数 | 「オフェンス」タブに移動し、オフェンスの数を表示します。 アクティブなオフェンスの数が多すぎませんか? |
| 1 日に作成されるオフェンスの数 | 検索間隔を作成し、72 時間または 7 日などの特定の 24 時間の時刻範囲を指定します。 |
| ローカル・スタッフまたはサービス・スタッフがオフェンスを定期的に確認およびクローズするかどうか | オフェンスを適切なタイミングで確認、調査、およびクローズするプロセスが確立されていますか? |
| ルールのチューニングが必要であるかまたは推奨されるか | 最もノイズが多いルールをチューニングすると、フォールス・ポジティブの削減に大きな効果があります。 詳しくは、 オフェンスを生成するアクティブなルールのチューニングを参照してください。 |
ビルディング・ブロックの更新
QRadar はビルディング・ブロックを使用してシステムをチューニングし、さらなる相関ルールの有効化を許可します。 これにより、QRadar によって検出されるフォールス・ポジティブの数が減り、ビジネスに重要なアセットを特定するのに役立ちます。
ビルディング・ブロックの確認
詳しくは、 ビルディング・ブロックの確認を参照してください。
| ビルディング・ブロック・チェック | 考慮事項 |
|---|---|
| 許可されるサーバー | 許可されたインフラストラクチャー・サーバーを、選択したビルディング・ブロックに追加することができます。 QRadar は、サーバー・カテゴリーに固有のフォールス・ポジティブを抑制しながら、これらのサーバーをモニターします。 |
| サーバーのディスカバー | サーバー・ディスカバリー機能は、 QRadar SIEM アセット・プロファイル・データベースを使用して、ポート定義に基づいてさまざまなサーバー・タイプをディスカバーします。 詳しくは、 サーバーのディスカバーを参照してください。 |
| ネットワーク階層の更新 | イベントの適切なコンテキストを提供するには、QRadar ネットワーク・トポロジーを完全に構成し、すべてのイベント/フローのタイム・スタンプを同期する必要があります。 「ローカルからリモート」コンテキストおよび「リモートからローカル」コンテキストを持つイベントが、観察事項抽出のためにデータ・マイニングされます。 また、「ローカルからローカル」コンテキストのイベントからは、ハッシュやウィルス名などのフィールドが使用されます。 詳しくは、 ネットワーク階層の確認を参照してください。 |
データ・ソース
未加工イベントおよび正規化イベントの確認
ユース・ケースに応じて QRadar が取り込むことができるすべてのデータ・ソースが取り込まれていて、正しく機能している必要があります (カスタム・プロパティーの抽出を含む)。 未加工ペイロード・イベントおよび正規化イベントを確認して、観察事項の可能性があるフィールドを「プロパティーの抽出」または「DSM エディター」によって抽出できるかどうかを確認します。 詳しくは、「 DSM 構成ガイド」を参照してください。
接続
QRadar コンソールでは、 QRadar Advisor with Watsonを使用するためにインターネット・アクセスが必要です。
- ポート: 443 (SSL)
- IP アドレス:
- 104.16.55.23
- 104.16.54.23
- Cloudflare- https://www.cloudflare.com/ips
- ドメイン: api.xforce.ibmcloud.com
ベスト・プラクティスのログ・ソースおよび観察事項
- プロキシー – 宛先 IP (外部)、URL、ドメイン、ユーザー・エージェント
- ファイアウォール – 送信元 IP (外部)、宛先 IP (外部)
- アンチウィルス – ファイル・ハッシュ、アンチウィルス・シグニチャー、ファイル名
- メール・ゲートウェイ – 送信元 IP (外部)、ファイル・ハッシュ、ドメイン、E メール・アドレス
- ユーザー・ログオン (RADIUS、LDAP) – 送信元 IP (外部)、ドメイン
- エンドポイント – ファイル・ハッシュ、ファイル名、URL
- DNS – 送信元 IP (外部)、宛先 IP (外部)、ドメイン
- DHCP
- 送信元 IP (外部)
- ドメイン
- IDS
- 送信元 IP (外部)
- 宛先 IP (外部)
- ドメイン
- ユーザー・エージェント
- URL
- ファイル・ハッシュ
- ファイル名
- Windows
- ドメイン
- ファイル名
- 送信元 IP (外部)
- 宛先 IP (外部)
| Watson プロパティー (観察事項) | NGFW/FW | プロキシー | AV/エンドポイント | HIDS | DNS | DLP | SMTP ゲートウェイ | QRadar |
|---|---|---|---|---|---|---|---|---|
| パブリック IP | X | X | X | X | X | X | X | |
| URL | X | X | X | |||||
| ドメイン名 | X | X | X | |||||
| ファイル・ハッシュ | X | X | X | X | ||||
| QRadar Advisor with Watson アプリ・プロパティー ( Watsonには送信されませんが、アプリはそれらを使用できます) | ||||||||
| 宛先ポート | X | |||||||
| ユーザー・エージェント | X | X | ||||||
| E メール・アドレス | X | X | ||||||
| ファイル名 | X | X | X | |||||
| 送信元ポート | X | |||||||
| 送信元/宛先 ASN | X | X | ||||||
| 送信元/宛先の国 | X | |||||||
| 上位/下位カテゴリー | X | |||||||
| 方向/コンテキスト | X | |||||||
| ユーザー名 | X | X | X | X | ||||
QRadar Advisor with Watson ユース・ケースで推奨される「調査」
- ファイル・ハッシュを参照する優先順位 1 または 2 のイベント・ログからトリガーされるオフェンス (マルウェア・イベント)。
- 観察事項の組み合わせ (IP、ドメイン、エクスプロイト) を含む優先順位 1 または 2 のイベントからトリガーされるオフェンス (疑わしいアクティビティー)。