脅威のシミュレーション
企業ネットワーク内の多数のソースからデータを収集して保管するシステムがある場合でも、隠れた脅威を特定して解決するためにデータ・ポイントを取捨選択することはほとんど不可能です。
IBM® QRadar® は、ノイズを排除し、数百万件のイベント・レコードを管理可能な優先順位付けされたオフェンスのリストに削減することで、セキュリティー・アナリストが何に集中すべきかを正確に判断できるようにします。
QRadar がネットワークの保護にどのように役立つかを示すために、 IBM QRadar Experience Center アプリケーションには、エンタープライズ・ネットワークで一般的に見られる脅威シミュレーションが含まれています。
シミュレーションの仕組み
ルールは、着信イベントに対して実行されるテストの集合です。 ルールは、特定の条件が満たされたときにアクションをトリガーします。
QRadar のカスタム・ルール・エンジン (CRE) コンポーネントは、着信イベントの処理を担当します。 CRE は、定義されたルールとビルディング・ブロックに対してイベントを比較し、時間の経過に伴うルール・テストとインシデントの数を追跡します。
各シミュレーションは、 QRadar に一連のイベントを送信します。これらのイベントは、独自のネットワークで発生した場合に表示される可能性がある、表現されたユース・ケースを模倣するように設計されています。 CRE は、これらのイベントを処理し、トリガーされたルールごとに、ルールの応答で定義されたアクションを実行します。 一般的なルールの応答アクションには、イベントとオフェンスの作成、リファレンス・セットへのイベント・プロパティーの追加などがあります。
イベントはループで再生され、同じユース・ケースが複数回繰り返されます。 シミュレーションを停止するには、 「脅威シミュレーター」 タブで 「停止」 をクリックします。
テスト環境を使用したシミュレーションの実行
QRadar 実稼働環境でシミュレーションを実行する場合、 QRadar にイベントを送信するシミュレーションは削除できません。 このようなイベントは、ルールをトリガーしてオフェンスを生成し、ライセンス交付を受けた EPS の一部としてカウントされます。
「EC: Experience Center Events」 保存済み検索を実行すると、任意の IBM QRadar Experience Center シミュレーションの以前の実行によって QRadar に送信されたすべてのイベントを表示できます。