QRadar コンテンツ拡張

コンテンツ拡張を使用して、QRadar セキュリティ テンプレート情報を更新したり、ルール、レポート、検索、参照セット、カスタム プロパティなどの新しいコンテンツを追加したりします。

QRadar コンテンツ拡張のタイプ

すべてのコンテンツ拡張は、 IBM® X-Force® Exchange ポータル (https://exchange.xforce.ibmcloud.com/) でホストされます。このポータルでは、カスタム AQL 関数やカスタム・プロパティーなどのコンテンツ・タイプでフィルターに掛けることができます。 また、コンテンツ拡張をアプリケーションとともに使用することもできます

以下の表で、 QRadarにデプロイできるコンテンツ拡張のタイプについて説明します。

表 1. コンテンツ拡張のタイプ
コンテンツ拡張のタイプ 説明
ダッシュボード ダッシュボード項目の関連セット。 QRadarの「ダッシュボード」タブに表示されます。 ダッシュボード項目は、保存済み検索の結果のビジュアル表示です。
レポート 保存済みイベントまたはフロー検索に基づき作成されるレポートのテンプレート。 オンデマンドでレポートを生成するか、一定間隔でレポートが実行されるようにスケジュールします。
保存済み検索 一連の検索基準 (フィルター、時間枠、データを表示またはグループ化するための基準となる列)。 頻繁に実行する検索の基準を保存すれば、それらを繰り返し定義せずにすみます。 保存済み検索は、レポートおよびダッシュボードに必要です。
FGroup タイプ別の類似項目のグループ (ログ・ソースのグループ、ルールのグループ、検索のグループ、レポート・テンプレートのグループなど)。 FGroup は、組織単位として使用されます。
カスタム・ルール システムに入力されるイベントまたはフローに対して実行される一連のテスト。 テストと入力が一致すると、ルールがトリガーされます。 ルールには応答を定義できます。応答は、テストの条件が満たされたときにトリガーされるアクションです。 応答には、アクション (オフェンスの生成、新規イベントの生成、E メールの送信、イベントへの注釈付け、リファレンス・データ収集へのデータの追加など) を含めることができます。
カスタム・プロパティー インバウンド・イベントまたはフローから抽出または取得されるプロパティーを定義します。 特定のイベントまたはフローのペイロードの一部をテキスト・プロパティーとして抽出する正規表現をベースとして使用できます。 計算をベースとして使用でき、イベントまたはフローの既存の数値プロパティーに対して算術演算を実行できます。 QRadar V7.3.1 以降では、AQL 関数にすることもできます。
ログ・ソース イベントのソース (サーバー、メインフレーム、ワークステーション、ファイアウォール、ルーター、アプリケーション、データベースなど) の表現。 QRadar に入り、そのソースから発生したすべてのイベントは、ログ・ソースに帰属します。 ログ・ソースには、インバウンド・イベントを受信するため、またはイベント・ソースからイベント・データをプルするために必要な構成情報が含まれます。 ログ・ソースには、IP アドレス、ホスト名、その他の有効な構成パラメーターなど、環境固有の情報が含まれます。
ログ・ソース拡張 既存の DSM がないイベント・ソースに対するカスタム DSM を合成するために使用される解析論理定義。 既存の DSM の解析動作を拡張またはオーバーライドするには、ログ・ソース拡張を使用します。
カスタム QID マップ項目 ログ・ソースが受信する可能性がある特定タイプのイベントを表すために使用されるイベント名、イベントの説明、重大度、および下位レベル・カテゴリー値の組み合わせ。 QRadarで正式にサポートされていないイベントに対して QRadar が提供するデフォルトの QID マップを補足するために、カスタム QID マップ項目が作成されます。
リファレンス・データ収集 リファレンス・データを保持するためのセット、マップ、セットのマップ、マップのマップ、またはテーブルとして表されるコンテナー定義。 検索およびルールで、リファレンス・データ収集を参照できます。
ヒストリカル相関プロファイル 保存済み検索と 1 つ以上のルールのセットの組み合わせ。 ヒストリカル相関プロファイルを使用して、ルールのサブセットが有効化されたカスタム・ルール・エンジンのオフライン・バージョンを通じて一連のヒストリカル・イベントを再実行することで、ルールをテストします。
カスタム関数 データを拡張または操作するために拡張検索で使用できる SQL に似た関数 ( JavaScriptで定義)。
カスタム・アクション ルールがトリガーされたときに実行する、ルールのカスタム応答。 カスタム・アクションは、ルールをトリガーしたイベントまたはフロー・データから引数を受け入れることができる Python、 Perl、または Bash スクリプトによって定義されます。
ビルディング・ブロック 使用頻度の高いテストをグループ化して複雑なロジックを構築し、ルール内で使用できるようにしたもの。 ビルディング・ブロックはルールで使用するものと同じテストを使用しますが、アクションは関連付けられません。ビルディング・ブロックは、IP アドレスや特権ユーザー名のグループ、またはイベント名のコレクションをテストする目的で構成されることがよくあります。