関係グラフの表示

QRadar® Advisor with Watson アプリケーションの「関係グラフ」ページには、調査対象として選択したインシデントに関する詳細が表示されます。 観察事項をフィルタリングして関係性を表示することで、オフェンスをより詳しく理解することができます。

始める前に

関係グラフを表示する前に、調査のためにオフェンスを Watson に送信するか、オフェンスが自動的に調査されるように構成する必要があります。

このタスクについて

「関係グラフ」ページで、調査の結果をグラフ形式で表示できます。 関係グラフには、調査の各フェーズで検出された洞察が示されます。

手順

  1. 「グラフ関係」 をクリックして、「関係グラフ」ページを開きます。
    • 「Watson 調査」ページで、オフェンスをクリックし、「グラフ関係」をクリックします。
    • 「オフェンス」 ページで、オフェンスをダブルクリックします。 「グラフ関係」をクリックします。
  2. 「関係グラフ」 ページで、結果のグラフを表示できます。 グラフでは、色とアイコンを使用して、次の情報が示されます。
    観察事項の例 説明
    黄色で強調表示されたアイコン 黄色の強調表示は、ルート・ノードを示します。
    赤のアイコン 赤色のアイコンは、悪質なノードを表します。
    青い丸のアイコン 青色の丸のアイコンは、クラスター化されたノードを示します。 クラスター化されたノードの数が数字で示されます。
    二重円アイコン付きの資産 二重丸のアイコンは、QRadar システムで割り当てられた高価値を持つアセットを示します。 アセットに割り当てられたアセット重要度が数字で示されます。 7 以上の重要度を割り当てられたアセットは、高価値のアセットとして表示されます (V1.9.0 以降で使用可能)。
    二重円アイコンを持つユーザー 二重丸付きのユーザー・アイコンは、高価値とみなされる、重要なユーザーおよびマシン/サービス・アカウントを示します。 注: 高価値のユーザーまたはサービス・アカウントは、リファレンス・セット「UBA : Executive Users」および「UBA : Service, Machine Account」で見つかります。
  3. オフェンスの優先順位について Watson の評価に同意するか、同意しないか、分からないかを判断します。 「評価の変更」をクリックして、オフェンスの優先順位の評価を変更することもできます。 ヒント: 評価するオフェンスの数が多くなるほど、モデルによるご使用の環境の学習が上達します
  4. 以下のオプションでフィルタリングして、グラフに特定のデータを表示できます。
    表 1. グラフのフィルタリング
    filter options 説明
    関係 関係性を選択すると、ローカル・リンクまたは拡張リンクが重点的に示されます。
    • ローカル・イン・オフェンス: QRadar インスタンスから情報を収集するローカル・グラフ生成フェーズでディスカバーされたエッジとリンクを表示します。
    • Watson 拡張: IBM® X-Force® Exchangeからインシデント情報を収集する拡張グラフ生成フェーズ中にディスカバーされた拡張エッジおよびリンクを表示します。
    • ローカル-オフェンスの外部 (Local-outside offense): Watson エンリッチメント分析中にローカル QRadar 環境でディスカバーされた、元のオフェンスにはない観察事項に関連するエッジとリンクが表示されます。 拡張ローカル・コンテキスト分析により、悪意のあるアクティビティーの証拠をさらに得られます。
      注: Watson の強化された調査中に追加の観察事項が見つからなかった場合、拡張されたローカル・コンテキストで調査できるものはありません。
    • ローカル (ブロック): ブロックされたイベントとブロックされたフローがナレッジ・グラフに表示されます。 注: イベントの下位カテゴリーを検査して、接続がブロックされている可能性があるかどうかを判別することで、ブロックされたイベントが判別されます。 イベントの下位カテゴリーにアクセス拒否項目が存在する場合、接続はブロックされたものとして報告されます。 プロトコルに転送された宛先バイト数を調べることで、ブロックされたフローが判別されます。 プロトコルが tcp_ip である場合、バイト数が合計され、destinationBytes がゼロである場合、フローがブロックされています。
    • Watson 拡張 (ブロック): IP アドレスなど、ローカルでブロックされたエンティティーを指し示す拡張が表示されます。 グラフでは、ローカル・エンティティーはブロックされたものとして表示されます。
    シナリオ 「実行されたマルウェア」に焦点を当てるオプションが表示されます (構成されている場合)。
    問題 問題レベルを選択し、特定の問題レベルに焦点を当てます。
    観察事項 (Observables) 観察事項のタイプを選択すると、インシデントの特定の詳細が重点的に示されます。 グラフに表示される観察事項は、問題レベルで示されている関連性を表すようにサイズ変更されます。 詳しくは、 選択した観察事項または関係の詳細の表示を参照してください。
    MITRE ATT&CK 戦術と技法 戦術および関連付けられている技法を選択して、オフェンスに関連する特定のイベントに焦点を当てます。
    リファレンス

    選択した観察事項に応じて、以下の関連データ・ソースをフィルタリングできます。

    • IBM X-Force Exchange
    • 信頼できるビジネス・パートナーの脅威インテリジェンス
      注: ライセンスの制限のため、データ・プロバイダーは表示されません。
    • オープン・ソースのインテリジェンス
  5. グラフ上の観察事項または関係性をクリックして、詳細ペインを開きます。
  6. 「エクスポート」 をクリックして、以下の選択項目からエクスポート・タイプを選択できます。
    オプション 説明
    STIX にエクスポート 「STIX にエクスポート」をクリックして、調査の分析結果を STIX 形式でダウンロードします。 詳しくは、 STIX への分析結果のエクスポートを参照してください。
    CSV にエクスポート 「CSV にエクスポート」をクリックして、調査の分析結果を CSV 形式でダウンロードします。 詳しくは、 CSV への分析結果のエクスポートを参照してください。
    リファレンス・セットにエクスポート 「リファレンス・セットにエクスポート」をクリックして、観察事項のタイプを選択し、「エクスポート」をクリックして、調査中に検出された十分に毒性のある観察事項をエクスポートします。
    注: エクスポートを実行する前にリファレンス・セットを作成する必要はありません。 リファレンス・セットを作成するのは、エクスポートすべき値が分析に含まれている場合のみです。
    詳しくは、 リファレンス・セットのエクスポートを参照してください。

以下の例は、 QRadar Advisor with Watson 2.6.0の関係グラフの軽量テーマ UI を示しています。
関係グラフのライト・テーマ UI 2.6.0
以下の例は、 QRadar Advisor with Watson 2.6.0 および QRadar Analyst Workflow 1.2.0の関係グラフのダーク・テーマ UI を示しています。
ダーク・テーマ UI 2.6.0 の関係グラフ