複数のホストからの脅威 (Threat from multiple hosts)
脅威のシミュレーション
「複数のホストからの脅威 (Threat from multiple hosts)」 シミュレーションでは、 QRadar が、反復的な悪意のある振る舞いとして識別されたイベントを相関させることによって脅威を検出する方法が示されます。
追加のユース・ケースをサポートする QRadar コンテンツをさらに入手するには、 IBM Security Threat Content パックを IBM Security App Exchangeからダウンロードします。
- 「ログ・アクティビティー」タブで、「Experience Center を表示 (Show Experience Center)」をクリックします。
- 「脅威シミュレーター」をクリックします。
- 「複数のホストからの脅威 (Threat from multiple hosts)」シミュレーションを見つけて、「実行」をクリックします。
に入ってくるイベントを見ることができます。 QRadar には悪意のある URL アドレスや添付ファイルが含まれている可能性があります。
脅威の検出: QRadar の動作
このシミュレーションでは、カスタム・ルール・エンジン (CRE) が着信イベントを処理し、ネットワーク内の複数のホストで潜在的に脅威となるアクティビティーが発生していると判断します。 潜在的な脅威についてユーザーに警告するために、CRE は、検出されたアクティビティーのより詳細なコンテキストを提供する新規イベントを作成します。 例えば、着信イベントが「URL 検出 - フィッシング (URL Detection - Phishing)」であり、CRE によって生成されたイベントが「同じネットワークの異なるホストでの同じ脅威の検出 (Same Threat Detected on Same Network Different Hosts)」である場合、ユーザーは、ネットワークのどの領域で脅威が発生しているかを素早く確認できます。
CRE はオフェンスを作成し、そのオフェンスには、「EC 脅威名 (EC Threat Name)」カスタム・プロパティーに基づいて索引が付けられます。これにより、同じ脅威に寄与するすべてのイベントが、同じオフェンスに関連付けられます。
脅威の調査
以下の IBM QRadar コンテンツは、 「Threat from multiple hosts」 シミュレーションによって作成されます。 シミュレーションを実行した後、このコンテンツを使用して脅威を追跡および調査できます。
| 内容 | 名前 |
|---|---|
| 保存済み検索 | EC: 複数のホストからの脅威 (EC: Threat from Multiple Hosts) |
| 着信イベント |
着信イベントのログ・ソースは、Trend Micro Deep Discovery です。 |
| ルール | EC: 複数のホストでの同じ脅威の検出 (EC: Same Threat Detected on Multiple Hosts) |
| 生成されるイベント | 作成されるメイン・イベントは、「複数のホストでの同じ脅威の検出 (Exp Center) (Same Threat Detected on Multiple Hosts (Exp Center))」です。 脅威シミュレーション・シナリオの一部として、以下のイベントも作成されます。
QRadar によって生成されるイベントのログ・ソースは、カスタム・ルール・エンジン (CRE) です。 |
| オフェンス | 複数のホストでの同じ脅威の検出 (Exp Center) (Same Threat Detected on Multiple Hosts (Exp Center)) オフェンスには、「EC 脅威名 (EC Threat Name)」カスタム・プロパティーに基づいて索引が付けられます。つまり、このルールをトリガーしたイベントのうち、同じ脅威に寄与するすべてのイベントが、同じオフェンスに属します。 使用例を実行する前に、ご使用環境にあるイベントとルールに応じて、オフェンス名の前に<offense name>が付き、<offense name>を含む場合あります。 |