IBM® QRadar® は、ルールを使用してネットワーク内のイベントとフローをモニターし、セキュリティー上の脅威を検出します。 ルールで定義されているテスト基準にイベントおよびフローが一致すると、オフェンスが作成され、セキュリティー攻撃またはポリシー違反が疑われることが示されます。 オフェンスの発生を把握することは、最初の一歩にすぎません。 また、オフェンスがどのように発生したか、どこで発生したか、誰によって行われたかも特定する必要があります。
このタスクについて
「オフェンスのサマリー」 ウィンドウには、何が発生したかを理解し、問題を切り分けて解決する方法の判断に役立つコンテキストが示されます。
図 1. 「オフェンスのサマリー」ビュー
すべてのイベントがオフェンスを作成するルールをトリガーするわけではありません。 すべてのイベントを確認するには、調査する脅威シミュレーションに対して保存済み検索を実行します。 IBM QRadar Experience Center アプリケーションのすべての保存済み検索は、 「保存済み検索」 の 「Experience Center」 グループの一部です。
手順 「オフェンスのサマリー」ウィンドウを表示するには、 オフェンス タブをクリックし、確認するオフェンスをダブルクリックします。
ヒント: ログ・アクティビティー タブのイベント行の先頭にあるオフェンス・アイコンをクリックして、 オフェンスのサマリー ウィンドウを表示することもできます。
オフェンスのサマリー ウィンドウで、以下のタイプの情報を確認することにより、オフェンスを素早く分析できます。
オフェンスに関する詳細 (マグニチュード、説明、送信元 IP アドレスおよび宛先 IP アドレスなど)。
脅威が開始されたタイミングに関する情報 (最初の関連イベントが検出された日時とその期間など)。
オフェンスに寄与している「上位 5 件のカテゴリー」 。
オフェンスに寄与している「上位 5 件のログ・ソース」 。
QRadar によって作成されたイベント (ルール応答アクションなど) のログ・ソースは、 カスタム・ルール・エンジン です。
オフェンスに関連するイベントを表示するには、 イベント をクリックします。
特定の時間フレーム内に発生したイベントを表示するには、 開始時刻 、 終了時刻 、および 表示 オプションを指定します。
イベント・リストをソートするには、 イベント名 列ヘッダーをクリックします。
確認するイベントの数を減らすには、イベントのリストでイベント名を右クリックして、クイック・フィルター・オプションを適用します。
特定のイベントに関する詳細を表示するには、「 イベント・リスト 」ウィンドウに移動し、イベント名をダブルクリックします。
イベント情報 と 送信元と宛先の情報 ウィンドウを確認します。
イベントに関する既知の情報のみが表示されます。 イベントのタイプに応じて、一部のフィールドは空の場合があります。
「ペイロード情報」 ボックスで、 QRadar が正規化しなかった情報がないか未加工イベントを確認します。
正規化されていない情報は QRadar インターフェースには表示されませんが、調査に役立つ可能性があります。
イベントの以下の時間フィールドを確認します。
「開始時刻」 は、 QRadar がログ・ソースから未加工イベントを受信した時刻です。
「ストレージ時間」 は、 QRadar が正規化されたイベントを保管した時間です。
「ログ・ソースの時刻」 は、ログ・ソースからロー・イベントに記録された時刻です。
オフェンスに関与するルールのリストを表示するには、 オフェンスのサマリー ウィンドウに移動し、 をクリックします。
ルール・リストで、分析するルールの名前をダブルクリックします。
ルール・ウィザードの手順に従って、ルール・テスト、ルール・アクション、およびルール応答に関する情報を表示します。
多くの場合、ルール応答は、新規イベントをディスパッチし、その新規イベントをオフェンスに関連付けるように構成されています。
ルール・アクション を調べて、オフェンスが索引付けされているかどうかを確認します。
QRadar は、オフェンスの索引付け機能を使用して、一緒にチェーニングするオフェンスを判別します。
例えば、送信元 IP アドレスを 1 つだけ含み、宛先 IP アドレスを複数含むオフェンスは、その脅威に単一の攻撃者と複数の被害者が含まれていることを示しています。 このタイプのオフェンスを送信元 IP アドレスによって索引付けした場合、同じ送信元 IP アドレスから発生したすべてのイベントとフローが、同じオフェンスに追加されます。
次に実行するタスク
オフェンス、イベント、およびフローの調査について詳しくは、 IBM Knowledge Center の オフェンス調査 を参照してください。