ベースライン保守

IBM Security QRadar Baseline Maintenance Content Extension は、QRadar のコア エンタープライズ テンプレートから、いくつかのルール、ビルディング ブロック、およびその他のコンテンツを更新します。

ベースライン保守拡張について

この拡張をインストールしても、ユーザーが変更したルールに影響はありません。ただし、複数のカテゴリーにわたってルールやビルディング・ブロックの問題を修正し、パフォーマンス調整を修正するために、ルール・テンプレートが更新されます。 アプリケーションによってインストールされたカスタム・プロパティー、検索、またはダッシュボードのアイテムは、既存の値を上書きして最新の状態に維持します。

IBM Security QRadar ベースライン保守コンテンツ拡張 2.0.0 以降には、 QRadar 7.3.3 フィックスパック 4 以降が必要です。 以前のバージョンの QRadarを使用している場合は、代わりに IBM Security QRadar ベースライン保守コンテンツ拡張 1.1.0 を使用してください。

IBM Security QRadar ベースライン保守コンテンツ拡張 2.0.0 には、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.1.0 以前のコンテンツは含まれていません。 このコンテンツは、デフォルトでは QRadar 7.3.3 フィックスパック 4 以降に含まれています。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

ベースライン保守拡張のデフォルトのバージョン

IBM Security QRadar は、デフォルトで以下のベースライン保守拡張機能とともにインストールされます。

  • IBM Security QRadar バージョン 7.4.0 FP3、 7.4.1、 7.4.2、および 7.4.3 は、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.1.0とともにインストールされます。
  • IBM Security QRadar バージョン 7.3.3 FP4 および 7.4.0 は、 IBM Security QRadar Baseline Maintenance Content Extension 1.0.10とともにインストールされます。これは後で 1.1.0に再番号付けされました。
  • IBM Security QRadar バージョン 7.3.3 は、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.8とともにインストールされます。
  • IBM Security QRadar バージョン 7.3.2 は、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.4とともにインストールされます。

IBM Security QRadar ベースライン保守コンテンツ拡張

IBM セキュリティ QRadar ベースライン保守コンテンツ拡張 2.2.6

以下の表は、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.6 で新規または更新されたルールを示しています。

表 1. IBM セキュリティ規則 QRadar ベースライン保守コンテンツ拡張 2.2.6
名前 説明
システム: 通知 4つの新しいQIDを追加しました。 このルールは、通知イベントが確実に通知フレームワークに送信されるようにします。

IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.5

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.5で新しく導入された、または更新されたルールを示します。

表 2. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.2.5 のルール
名前 説明
システム: 通知 2 つの新しい QID が追加されました。 このルールは、通知イベントが確実に通知フレームワークに送信されるようにします。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.5で更新されたカスタム・プロパティーを示しています。

表 3. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.2.5 で更新されたカスタム・プロパティー
前のプロパティー名 更新されたプロパティー名
EventID イベント ID

IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.4

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.4で新しく導入された、または更新されたルールを示します。

表 4. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.2.4 のルール
名前 説明
システム: 通知 2 つの新しい QID が追加されました。 このルールは、通知イベントが確実に通知フレームワークに送信されるようにします。

IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.3

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.3で新しく導入された、または更新されたカスタム・プロパティーを示します。

表5. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.2.3 で更新されたカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
SHA1 ハッシュ はい 1
\bSHA1[":]+"([^"]*)"
Sha1":"(.*?)"
脅威カテゴリー (Threat Category) いいえ 1
ThreatCategory":"(.*?)"
脅威ファミリー (Threat Family) いいえ 1
ThreatFamily":"(.*?)"
脅威の重大度 いいえ 1
Severity":"(.*?)"

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.3で新しく導入された、または更新されたルールを示します。

表6. IBM Security の構成要素とルール QRadar ベースライン保守コンテンツ拡張 2.2.3
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition: Superuser Accounts ユーザー名がスーパーユーザー・アカウントであるすべてのイベントを定義します。
ビルディング・ブロック BB:DeviceDefinition: Endpoint Protection Devices システム上のすべてのエンドポイント保護デバイスを定義します
ビルディング・ブロック BB:NetworkDefinition:信頼された宛先ネットワークセグメント 信頼できる宛先ネットワーク・セグメントを定義します。
ビルディング・ブロック BB:NetworkDefinition:信頼できるソース・ネットワーク・セグメント 信頼できる送信元ネットワーク・セグメントを定義します
ルール 基本ビルディング・ブロックのロード レポート作成を支援するために実行する必要があるビルディング・ブロックをロードします。 このルールにはアクションも応答もありません。
ルール システム: 通知 通知イベントが通知フレームワークに送信されるようにします。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.3で更新された保存済み検索を示しています。

表 7. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.2.3 の保存済み検索
保存済み検索 説明
マルウェア・イベント (名前別) システムで検出されたマルウェアの説明を名前で検索します。

IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.2

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.2で新しく導入された、または更新されたルールを示します。

表 8. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.2.2 のルール
名前 説明
Botnet: Potential Botnet Connection (DNS) ホストがインターネット上の DNS サーバーに接続または接続試行した場合にトリガーされます。 これは、ボットネットに接続しているホストを示す場合があります。 悪質なコードについてそのホストを調査する必要があります。
Local Mass Mailing Host Detected ローカル・ホストが 1 分間に 20 を超える SMTP フローを送信した場合にトリガーされます。 これは、ホストがスパム・リレーとして使用されているか、一種の大量メール送信ワームに感染していることを示している可能性があります。
ローカル: 非標準ポートで FTP が検出されました 非標準ポートでローカル FTP 通信が検出された場合にトリガーされます。 FTP 用のデフォルトのポートは TCP ポート 21 です。 他のポートで FTP が検出されるということは、ホストが不正侵入され、ホストへのバックドア・アクセスを提供するために攻撃者がこのサービスをホストにインストールしたことを示している可能性があります。
Local: SSH or Telnet Detected on Non-Standard Port 非標準ポートでローカルの SSH または Telnet 通信が検出された場合にトリガーされます。 SSH サーバーと Telnet サーバーのデフォルトのポートは、TCP ポート 22 と 23 です。 他のポートで SSH または Telnet の稼働が検出されるということは、ホストが不正侵入され、ホストへのバックドア・アクセスを提供するために攻撃者がこれらのサーバーをホストにインストールしたことを示している可能性があります。
Potential Honeypot Access ハニーポットまたはターピットのアドレスとして定義されている送信元または宛先がイベントに含まれている場合にトリガーされます。 このルールを有効にする前に、「BB:NetworkDefinition: Honeypot like addresses」 ビルディング・ブロックを構成しておく必要があります。
システム: 通知 通知イベントが通知フレームワークに送信されるようにします。 新規 QID を追加しました。

IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.1

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.1で新しく導入された、または更新されたルールを示します。

表 9. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.2.1 のルール
名前 説明
AssetExclusion: IPによるDNS名の除外 特定の時間フレームにわたって、N 個の異なる IP アドレスに関連付けられた DNS 名をブロックリストに登録します。
AssetExclusion: MACアドレスによるDNS名の除外 特定の時間フレームにわたって、N 個の異なる MAC に関連付けられた DNS 名をブロックリストに登録します。
AssetExclusion: NetBIOS名でDNS名を除外 特定の時間フレームにわたって、N 個の異なる NetBIOS 名に関連付けられた DNS 名をブロックリストに登録します。
AssetExclusion: DNS名によるIPの除外 特定の時間フレームにわたって、N 個の異なる DNS 名に関連付けられた IP アドレスをブロックリストに登録します。
AssetExclusion: MACアドレスによるIPの除外 特定の時間フレームにわたって、N 個の異なる MAC アドレスに関連付けられた IP アドレスをブロックリストに登録します。
AssetExclusion: 名前によるIPの除外 NetBIOS 名前によるIPの除外 特定の時間フレームにわたって、N 個の異なる NetBIOS 名に関連付けられた IP アドレスをブロックリストに登録します。
AssetExclusion: DNS名によるMACアドレスの除外 特定の時間フレームにわたって、N 個の異なる DNS 名に関連付けられた MAC アドレスをブロックリストに登録します。
AssetExclusion: IPによるMACアドレスの除外 特定の時間フレームにわたって、N 個の異なる IPv4 アドレスに関連付けられた MAC アドレスをブロックリストに登録します。
AssetExclusion: MACアドレスをNetBIOS名で除外する 特定の時間フレームにわたって、N 個の異なる NetBIOS 名に関連付けられた MAC アドレスをブロックリストに登録します。
AssetExclusion: DNS名によるNetBIOS名の除外 特定の時間フレームにわたって、N 個の異なる DNS 名に関連付けられた NetBIOS 名をブロックリストに登録します。
AssetExclusion: IPによる名前の除外 NetBIOS IPによる名前の除外 特定の時間フレームにわたって、N 個の異なる IPv4 アドレスに関連付けられた NetBIOS 名をブロックリストに登録します。
AssetExclusion: 除外 NetBIOS MACアドレスによる名前 特定の時間フレームにわたって、N 個の異なる MAC アドレスに関連付けられた NetBIOS 名をブロックリストに登録します。
システム: 通知 新規 QID を追加しました。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.2.1で新しく導入された、または更新されたリファレンス・セットを示します。

表 10. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.2.1 のリファレンス・セット
名前 説明
資産差分検出 DNS ブラックリスト DNS 名のブロックリスト。
資産差分検出 DNS ホワイトリスト DNS 名の許可リスト。
資産差分検出 IPv4 ブラックリスト IP アドレスのブロックリスト。
資産差分検出 IPv4 ホワイトリスト IP アドレスの許可リスト。
資産差分検出 MAC ブラックリスト MAC アドレスのブロックリスト。
資産差分検出 MAC ホワイトリスト MAC アドレスの許可リスト。
資産差分検出 NetBIOS ブラックリスト NetBIOS ホスト名のブロックリスト。
資産差分検出 NetBIOS ホワイトリスト NetBIOS ホスト名の許可リスト。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 2.1.0

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.1.0で新しく導入された、または更新されたビルディング・ブロックを示しています。

表 11. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.1.0 のビルディング・ブロック
名前 説明
BB:CategoryDefinition: Authentication Success ネットワークへのアクセスに成功した試行を示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。
BB:CategoryDefinition:監査が変更されました 監査変更イベントを識別します。
BB:DeviceDefinition: Cloud システムのすべてのクラウド・ソースを定義します。
BB:FalsePositive: Windows AD ソース認証イベント Windows 認証サーバーまたは Active Directory サーバーのアドレスを定義します。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 2.0.0

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.0.0で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 12. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.0.0 で更新されたカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
1 秒当たりのイベント数 (統合) - 平均 1 分 はい 1 StatFilter.+60s¥:(¥d+)¥,¥d+¥s
1 秒当たりのイベント数 (統合) - ピーク 1 秒 はい 1 StatFilter.+1s¥:(¥d+)¥,¥d+¥s
1 秒当たりのイベント数 (未加工) - 平均 1 分 はい 1 StatFilter.+60s¥:¥d+¥,(¥d+)¥s
1 秒当たりのイベント数 (未加工) - ピーク 1 秒 はい 1 StatFilter.+1s¥:¥d+¥,(¥d+)¥s
はい 1 ¥[parent=(.+?)¥].+StatFilter

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.0.0で新しく導入された、または更新されたルールを示します。

表 13. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.0.0 のルール
名前 説明
重要な資産への初回ユーザー・アクセス ルールは「ユーザー・システム認証または使用 - IP」セットのリファレンス・マップに正常にリンクされました。
Large Outbound Transfer High Rate of Transfer しきい値が 500MB に更新されました。
大容量アウトバウンド転送速度の低下 しきい値が 500MB に更新されました。
失敗したマルウェアまたはウィルスのクリーニング システムがウィルスを検出したが、クリーニングまたは除去できなかった場合にそのことを検出します。 新規 QID を追加しました。
システム: 通知 通知イベントが必ず通知フレームワークに送られるようにします。 新規 QID を追加しました。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.0.0で新しく導入された、または更新されたリファレンス・データを示します。

表 14. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.0.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット 重要な資産 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
セットのリファレンス・マップ ユーザー・システム認証または使用法 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 2.0.0で更新された保存済み検索を示しています。

表 15. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 2.0.0 の保存済み検索
保存済み検索 説明
イベント・レート (EPS) 「親が N/A ではない (Parent is not N/A)」を条件とする追加のフィルターを使用するように保存済み検索が更新されました。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.1.0

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.1.0で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 16. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.1.0 で更新されたカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
イベントのサマリー はい 1 sum=([^¥t]+)

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.1.0で新しく導入された、または更新されたビルディング・ブロックを示しています。

表 17. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.1.0 のビルディング・ブロック
名前 説明
BB:HostDefinition: DHCP Servers 標準的な DHCP サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: DHCP Server False Positives Categories」および「BB:FalsePositve: DHCP Server False Positive Events」の各ビルディング・ブロックと共に使用します。
BB:HostDefinition: DNS Servers 標準的な DNS サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:FalsePositive: DNS Server False Positives Categories」および「BB:FalsePositve: DNS Server False Positive Events」の各ビルディング・ブロックと共に使用します。
BB:HostDefinition: Proxy Servers 標準的なプロキシー・サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: Proxy Server False Positives Categories」および「BB:FalsePositve: Proxy Server False Positive Events」の各ビルディング・ブロックと共に使用します。
BB:HostReference: Database Servers データベース・サーバー IP アドレスを「Database Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: DHCP Servers DHCP サーバー IP アドレスを「DHCP Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: DNS Servers DNS サーバー IP アドレスを「DNS Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: FTP Servers FTP サーバー IP アドレスを「FTP Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: LDAP Servers LDAP サーバー IP アドレスを「LDAP Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: Mail Servers メール・サーバー IP アドレスを「Mail Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: Proxy Servers プロキシー・サーバー IP アドレスを「Proxy Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: SSH Servers SSH サーバー IP アドレスを「SSH Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: Web Servers Web サーバー IP アドレスを「Web Servers - IP」リファレンス・セットに組み込みます。
BB:HostReference: Windows Servers Windows サーバー IP アドレスを「Windows Servers - IP」リファレンス・セットに組み込みます。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.1.0で更新されたリファレンス・セットを示しています。

表 18. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.1.0 で更新されたリファレンス・セット
リファレンス・セット 説明
QRadar のデプロイメント このリファレンス・セットに含まれている IP アドレスの数が修正されました。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.1.0で新しく導入された、または更新された保存済み検索を示します。

表 19. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.1.0 の保存済み検索
保存済み検索 説明
アセットの異常な増加: アセット・レポート 検索の変換を許可するように更新されました。
アセットの異常な増加: ログ・ソース・レポート 検索の変換を許可するように更新されました。
イベント・レート (EPS) 検索値を「Average」から「Count」に変更することで、EPS 関数から COUNT 関数に更新されました。
フロー・レート (FPS) 検索値を「Average」から「Count」に変更することで、FPS 関数から COUNT 関数に更新されました。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.9

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.9の新規または更新されたルールおよびビルディング・ブロックを示しています。

表 20. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.9 の新規または更新されたルールおよびビルディング・ブロック
タイプ 名前 説明
ルール 基本ビルディング・ブロックのロード このルールは、レポート作成支援のために実行する必要があるビルディング・ブロックを読み込みます。 このルールにはアクションも応答もありません。
次のビルディング・ブロックがこのルールに追加されました。
  • BB:CategoryDefinition: Malicious Attacks

  • BB:CategoryDefinition: SIEM User and Role Modifications

  • BB:DeviceDefinition: Proxy

  • BB:DeviceDefinition: Cloud

  • BB:DeviceDefinition: Operating System

  • BB:DeviceDefinition: Mail

  • BB:DeviceDefinition: DLP Devices

ビルディング・ブロック BB:CategoryDefinition: SIEM User and Role Modifications 新規ビルディング・ブロックを追加しました。

QRadar のユーザーおよびロールの作成と変更に固有の QID を検査します。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.8

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.8の新規または更新されたカスタム・プロパティーを示しています。

表 21. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.8 の新規または更新されたカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
ファイル・パス いいえ 1 filePath=([^¥t]+)[¥t]*
アクセス数 はい 1 Accesses: (.*?) Privileges:
アクセス・インテント はい 1 intent=([^¥t]+)

このリリースでは、「Avt-App-VolumePackets」「AVT-App-NAme」「AVT-App-VolumeBytes」、および「AVT-App-Category」の各カスタム・プロパティーが削除されました。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.8の新規または更新されたルールおよびビルディング・ブロックを示しています。

表 22. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.8 の新規または更新されたルールおよびビルディング・ブロック
タイプ 名前 説明
ルール システム: 通知 一般警告用の QID 38750002 を削除しました。
ビルディング・ブロック BB:DeviceDefinition: Proxy 新規デバイス (Forcepoint V シリーズ、Microsoft ISA、McAfee Web Gateway) を追加しました。
ビルディング・ブロック BB:DeviceDefinition: Cloud 新規ビルディング・ブロックを追加しました。

システム上のすべてのクラウド・デバイスを定義します。

ビルディング・ブロック BB:DeviceDefinition: DLP Devices 新規ビルディング・ブロックを追加しました。

システム上のすべてのデータ損失防止 (DLP) デバイスを定義します。

ビルディング・ブロック BB:DeviceDefinition: Mail 新規ビルディング・ブロックを追加しました。

システム上のすべてのメール・デバイスを定義します。

ビルディング・ブロック BB:DeviceDefinition: Operating System 新規ビルディング・ブロックを追加しました。

システム上のすべてのオペレーティング・システムを定義します。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.7

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.7の新規または変更されたカスタム・プロパティーを示しています。

表 23. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.7 の新規または変更されたカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
宛先ホスト名 はい 1 dstHostName=([^¥t]+)[¥t]*
EventID はい 1 ¥d{1,2}¥s¥d{1,2}[:¥s]¥d{1,2}[:¥s]¥d{1,2}¥s+¥d{1,4}¥s+(¥d+)

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.7の新規または変更されたルールおよびビルディング・ブロックを示しています。

表 24. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.7 の新規または変更されたルールおよびビルディング・ブロック
タイプ 名前 説明
ルール システム: 通知 このルールは、通知イベントが必ず通知フレームワークに送られるようにします。 新規 QID を追加しました。
ビルディング・ブロック BB:HostReference: Database Servers このビルディング・ブロックは、標準的なデータベース・サーバーを定義します。
ビルディング・ブロック BB:HostReference: DHCP Servers このビルディング・ブロックは、標準的な DHCP サーバーを定義します。
ビルディング・ブロック BB:HostReference: DNS Servers このビルディング・ブロックは、標準的な DNS サーバーを定義します。
ビルディング・ブロック BB:HostReference: FTP Servers このビルディング・ブロックは、標準的な FTP サーバーを定義します。
ビルディング・ブロック BB:HostReference: LDAP Servers このビルディング・ブロックは、標準的な LDAP サーバーを定義します。
ビルディング・ブロック BB:HostReference: Mail Servers このビルディング・ブロックは、標準的なメール・サーバーを定義します。
ビルディング・ブロック BB:HostReference: SSH Servers このビルディング・ブロックは、標準的な SSH サーバーを定義します。
ビルディング・ブロック BB:HostReference: Web Servers このビルディング・ブロックは、標準的な Web サーバーを定義します。
ビルディング・ブロック BB:HostReference: Windows Servers このビルディング・ブロックは、標準的な Microsoft Windows サーバーを定義します。
ビルディング・ブロック BB:CategoryDefinition: Authentication Success このビルディング・ブロックを更新して 2 つの LLC (「Privilege Escalation Succeeded」および「Password Changed Succeeded」) を削除しました。
ビルディング・ブロック BB:CategoryDefinition: 認証に失敗しました このビルディング・ブロックを更新して 2 つの LLC (「Privilege Escalation Failed」および「Password Changed Failed」) を削除しました。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.7の新規または変更された保存済み検索を示しています。

表 25. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.7 の新規または変更された保存済み検索
名前 説明
SSH ログイン QRadar システム自体 (Web および SSH) での認証の成功を取得する検索。
UI ログイン QRadar システム自体 (Web および SSH) での認証の成功を取得する検索。
一定期間にわたるオフェンス QRadar システム自体 (Web および SSH) での認証の成功を取得する検索。
アセットの異常な増加: アセット・レポート QRadar システム自体 (Web および SSH) での認証の成功を取得する検索。
アセットの異常な増加: ログ・ソース・レポート QRadar システム自体 (Web および SSH) での認証の成功を取得する検索。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.6

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.6のカスタム・プロパティーを示しています。

表 26. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.6 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
ObjectName はい 1 ObjectName: (.*)
イベントのサマリー はい 1 sum=([^¥t]+)
EventID はい 1 ¥d{1,2}¥:¥d{1,2}¥:¥d{1,2}¥s+¥d{1,4}¥s+(¥d+)
SSH ログイン監査 はい 1 ¥[Authentication¥] ¥[User¥] ¥[(UserLogin|LoginAttempt)¥] .*? on host .*
ログ・ソースのホスト はい 1 \s+hostName=(\S+)
VirusName はい 1 Virus Name: (.*?),
監査オブジェクト ID はい 1 ¥s+id=(¥S+)

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.6のルールおよびビルディング・ブロックを示しています。

表 27. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.6 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:CategoryDefinition:監査が変更されました 新規 QID を追加し、その他の一部 QID を削除しました。
ビルディング・ブロック BB:CategoryDefinition: データベース接続に成功 「BB:CategoryDefinition: Database Connections」から名前を変更しました。 「Oracle RDBMS Audit Record」を削除し、「BB:DeviceDefinition: Database」を追加しました。
ビルディング・ブロック BB:CategoryDefinition: Malicious Attacks 「BB:Malicious Attacks」から名前を変更しました。 悪意のある攻撃を定義するには、このビルディング・ブロックを編集します。
ルール Destination Vulnerable to Detected Exploit 脆弱なローカル宛先 (存在が既知であり、かつ攻撃に対して脆弱なホスト) に対する攻撃を検出します。
ルール Destination Vulnerable to Detected Exploit on a Different Port 脆弱なローカル宛先ホスト (存在が既知であり、かつ別のポートへの攻撃に対して脆弱なホスト) に対する攻撃を検出します。
ルール ターゲット・ポートで試行されたものとは異なるエクスプロイトに対して脆弱な宛先 脆弱なローカル宛先ホスト (存在が既知であり、かつ何らかの攻撃に対して脆弱ではあるが、試行はされていないホスト) に対する攻撃を検出します。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.6の保存済み検索を示しています。

表 28. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.6 の保存済み検索
名前 説明
SSH ログイン QRadar システム自体での ssh 認証の成功を取得する検索。
UI ログイン QRadar システム自体での UI 認証の成功を取得する検索。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.5

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.5で更新されたカスタム・プロパティーを示しています。

表 29. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.5 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
1 秒当たりのイベント数 (未加工) - ピーク 1 秒 はい 1 StatFilter.+1s¥:¥d+¥,¥d+¥s¥(peak¥s¥d+¥,(¥d+)
1 秒当たりのイベント数 (統合) - ピーク 1 秒 はい 1 StatFilter.+1s\:\d+\,\d+\s\(peak\s(\d+)
AccountName はい 2 Account Name:\s*(.+?)\s+Account Name:\s*(.+?)\s+

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.5のルールおよびビルディング・ブロックを示しています。

表 30. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.5 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB:DeviceDefinition: IDS / IPS システム上のすべての侵入検知システム (IDS) と侵入防止システム (IPS) を定義します。
ビルディング・ブロック BB:DeviceDefinition: FW / Router / Switch システムのすべてのファイアウォール、ルーター、およびスイッチを定義します。
ビルディング・ブロック BB:DeviceDefinition: VPN システム上のすべての仮想プライベート・ネットワーク (VPN) を定義します。
ビルディング・ブロック BB:DeviceDefinition: Database システムのすべてのデータベースを定義します。
ビルディング・ブロック BB:DeviceDefinition: Proxy システム上のすべてのプロキシー・ソースを定義します。
ビルディング・ブロック BB:DeviceDefinition: AV/AM システム上のすべてのアンチウィルス (AV) システムおよびアンチマルウェア (AM) システムを定義します。
ビルディング・ブロック BB:HostDefinition: Servers 汎用サーバーを定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:Failed Events (BB:失敗したイベント) 失敗したイベントを定義するにはこのビルディング・ブロックを編集します。
ビルディング・ブロック BB:IT 管理イベント IT 管理スタッフによって実行されるアクションを定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:External Contractor Policy Violation イベント 外部の請負業者が原因のポリシー違反行為を定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:Mobile ワーカー・ポリシー違反イベント (BB:Mobile Worker Policy Violation Events) モバイル作業者が原因のポリシー違反行為を定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:テレワーカーポリシー違反事象 テレワーカーが原因のポリシー違反行為を定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:External Contractor 失敗イベント 外部の請負業者が原因の障害を定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:Mobile Worker の失敗イベント (BB:Mobile Worker Failed Events) モバイル作業者が原因の障害を定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB: テレワーカー失敗イベント テレワーカーが原因の障害を定義するには、このビルディング・ブロックを編集します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Illegal TCP Flag Combination 正しくない TCP フラグの組み合わせが含まれているフローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: Suspicious ICMP Type Code 疑わしい Internet Control Message Protocol (ICMP) タイプ・コードが使用されている ICMP フローを識別します。
ビルディング・ブロック BB:Threats: Suspicious IP Protocol Usage: TCP or UDP Port 0 ポート 0 を使用する疑わしいフローを識別します。
ビルディング・ブロック BB:CategoryDefinition: 特権のエスカレーション イベントにおける特権エスカレーションを識別します。
ビルディング・ブロック BB:CategoryDefinition:特権のエスカレーションに失敗しました イベントにおける特権エスカレーションの失敗を識別します。
ビルディング・ブロック BB:Malズ・アタック 悪意のある攻撃を定義するには、このビルディング・ブロックを編集します。
ルール 失敗したマルウェアまたはウィルスのクリーニング システムがウィルスを検出したが、クリーニングまたは除去できなかった場合にそのことを検出します。

次の新規 QID を追加しました。

  • 42002845: Virus Detected, Actual action: Left alone
  • 42002836: Security risk found, Actual action: Left alone
  • 42002833: Security risk found, Actual action: All actions failed
  • 42003869: Virus Detected, Actual action: Actions failed
ルール 脆弱性: スキャナーにより報告された脆弱性 ローカル・ホストで脆弱性が発見された場合にそれを検出します。
ルール ポリシー: 新規サービスの検出 既存のホストで新規サービスがディスカバーされるとそれを検出します。
ルール ポリシー: DMZ でディスカバーされた新規サービス 既存のホストで新規サービスがディスカバーされるとそれを検出します。
ルール ポリシー: ディスカバーされた新規ホスト ネットワークで新規ホストがディスカバーされると、それを検出します。
ルール ポリシー: DMZ で検出された新規ホスト ネットワークで新規ホストがディスカバーされると、それを検出します。
ルール Destination Vulnerable to Detected Exploit 脆弱なローカル宛先 (存在が既知であり、かつ攻撃に対して脆弱なホスト) に対する攻撃を検出します。
ルール Destination Vulnerable to Detected Exploit on a Different Port 脆弱なローカル宛先ホスト (存在が既知であり、かつ別のポートへの攻撃に対して脆弱なホスト) に対する攻撃を検出します。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.5のレポートを示しています。

表 31. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.5 のレポート
レポート名 検索名と依存関係
成功したログイン・イベント 保存済み検索: 「SSH Logins」「UI Logins」

リファレンス・セット: 「QRadar Deployment」

結果を詳細化するには、保存済み検索とリファレンス・セットを編集します。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.5のリファレンス・データを示しています。

表 32. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.5 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット QRadar のデプロイメント QRadar IP アドレスのリスト。

このリファレンス・セットは「UI Logins」保存済み検索によって使用されます。 デフォルトでは 127.0.0.1 とアプリケーションに割り当てられた範囲 (169.254.3.1 から 169.254.3.10) が含まれます。 必要に応じてこのリストを編集してください。

セットのリファレンス・マップ CorrelatedAttackMap このセットのリファレンス・マップは、宛先 IP アドレスを QID にマップします。

次の表では、 IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.5の保存済み検索を示しています。

表33. IBM セキュリティー QRadar ベースライン保守コンテンツ拡張 1.0.5 の保存済み検索
名前 説明
アセットの異常な増加: アセット・レポート この検索では、システム通知警告メッセージが Vortex アセット ID とともに表示されます。
アセットの異常な増加: ログ・ソース・レポート この検索では、「アセット逸脱レポート」カテゴリーが表示されます。
ファイアウォールの拒否 (DST ポート別) この検索では、ファイアウォール、ルーター、またはスイッチの各デバイスからのファイアウォールまたは ACL 拒否イベントが宛先ポート別にグループ化して表示されます。
UI ログイン この検索では UI ログインが表示されます。
SSH ログイン この検索では SSH ログインが表示されます。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.4

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.4 の更新

タイプ 名前 変更の説明
ビルディング・ブロック BB:CategoryDefinition: Authentication to Disabled Account
以下の QID を追加しました。
  • 5001959: An account failed to log on: Account Disabled
  • 5001959: An account failed to log on: Account Disabled
  • 5001954: Failure Audit: An account failed to log on: User Locked Out
  • 5001965: An account failed to log on: User Locked Out
  • 5001949: Failure Audit: An account failed to log on: Account Expired
  • 5001960: An account failed to log on: Account Expired
  • 5001951: Failure Audit: An account failed to log on: Logon Outside Normal Time
  • 5001962: An account failed to log on: Logon Outside Normal Time
ビルディング・ブロック BB:DeviceDefinition: 一般消費者向けルーター パフォーマンス向上のために ID チェックを追加しました。 このビルディング・ブロックでは、ID のあるイベントについてのみ MAC アドレスのチェックが行われるようになりました。
ビルディング・ブロック BB:DeviceDefinition: FW / Router / Switch ルールを更新して追加のデバイスを付加します。
ルール すべてのエクスプロイトがオフェンスになる イベントでのレバレッジ攻撃を報告します。 デフォルトでは、このルールは無効になっています。 レバレッジに分類されたすべてのイベントによって 1 つのオフェンスを作成するには、このルールを有効にします。
ルール フロー・ソースがフローの送信を停止しました このルールのディスパッチ・イベントは、「アクセス」>「ACL の拒否」ではなく「アクセス」>「システム障害」に分類されるようになりました。
ルール デバイスがイベント (ファイアウォール、IPS、VPN、またはスイッチ) の送信を停止した このルールのインポートの問題を修正しました。
レポート アクセス可能なファイルの脆弱性 すべての脆弱性ではなくアクセス可能なファイルの脆弱性だけを返すようにこのレポートを更新しました。 また、このレポートの fiiles のすべてのオカレンスを files に置換。
リファレンス・データ アセット調整 IPv4 ブラックリスト、アセット調整 NetBIOS ブラックリスト、アセット調整 DNS ブラックリスト、アセット調整 MAC ブロックリスト
次のリファレンス・データにデフォルトの 7 日間の有効期限を設定します。
  • Asset Reconciliation IPv4 Blacklist
  • Asset Reconciliation NetBIOS Blacklist
  • Asset Reconciliation DNS Blacklist
  • Asset Reconciliation MAC Blacklist

拡張がインストールされると、最終検出日が 7 日よりも前である既存のすべてのエレメントがリファレンス・データから削除されます。 このデフォルト値は、ユーザーのニーズおよび環境を反映して変更できます。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.3

IBM QRadar ベースライン保守コンテンツ拡張 1.0.3 の更新

タイプ 名前 変更の説明
ルール/ビルディング・ブロック Recon の受け入れ

QRadarRecon Followed by Accept ルールを更新し、BB:ReconDetected 基本 Recon ルール 構成ブロックを使用するようにし、All Recon Rules 構成ブロックの参照を削除しました。

古いルール:
同じ送信元 IP から任意の宛先までの通信において、5 分以内に次のルールが表示されている順にすべて満たされた場合に、追加のマークとして使用されます。
  • BB:ReconDetected:すべてのReconルール
  • BB:CategoryDefinition: Firewall or ACL Accept
  • BB:DeviceDefinition: FW / Router / Switch
更新されたルール:
同じ送信元 IP から任意の宛先までの通信において、5 分以内に次のルールが表示されている順にすべて満たされた場合に、追加のマークとして使用されます。
  • BB:ReconDetected:偵察の基本ルール
  • BB:CategoryDefinition: Firewall or ACL Accept
  • BB:DeviceDefinition: FW / Router / Switch
ルール/ビルディング・ブロック DoS マグニチュードが高いイベントがオフェンスになる

QRadarDoS Events with High Magnitude Become Offenses ルールが更新され、関連するビルディング ブロック BB:CategoryDefinition: High Magnitude Events の重大度が 7 より大きい場合にトリガーされるように変更されました。

この変更により、重大度が 8、9、または 10 のイベントに対してオフェンスを生成できます。

ルール/ビルディング・ブロック FalsePositive:偽陽性のルールとビルディング・ブロック

コアである「FalsePositive: False Positive Rules and Building Blocks」を更新して、3 つのビルディング・ブロックを削除し、検出漏れルールのトリガー回数を減らしました。

旧ルール:
ローカル・システムによって検出されたイベントまたはフローが次のルールと一致する場合に、そのイベントまたはフローに対して「FalsePositive: False Positive Rules and Building Blocks」を適用します。
  • BB:FalsePositive: All Default False Positive BBs
  • BB:HostDefinition: VA スキャナのソース IP
  • BB:NetworkDefinition:NATアドレス範囲
  • BB:HostDefinition: Proxy Servers
更新されたルール:

ローカル・システムによって検出されたイベントまたはフローが「BB:FalsePositive: All Default False Positive BBs」と一致する場合に、そのイベントまたはフローに対して「FalsePositive: False Positive Rules and Building Blocks」を適用します。

ルール/ビルディング・ブロック BB:FalsePositive: All Default False Positive BBs 「BB:HostDefinition: VA Scanner Source IP」「BB:FalsePositive: All Default False Positive」ルールに追加しました。
ルール/ビルディング・ブロック BB:HostDefinition: Proxy Servers

「Proxy Servers Host Definition」を更新して、ビルディング・ブロックに新規行を追加し、BB:PortDefinition: Proxy Ports Building Block」がチェックされるようにしました。

古いルール:

ローカル・システムによって検出されたイベントまたはフローの送信元 IP または宛先 IP が 127.0.0.2 である場合に、そのイベントまたはフローに対して 「BB:HostDefinition: Proxy Servers」を適用します。

更新されたルール:
次の条件が満たされた場合に、ローカル・システムによって検出されたイベントまたはフローに対して「BB:HostDefinition: Proxy Servers」を適用します。
  • フローまたはイベントが「BB:PortDefinition: Proxy Ports」と一致する。
  • 送信元 IP または宛先 IP が 127.0.0.2 である。
ルール/ビルディング・ブロック 同じ宛先への複数のログイン失敗

「Multiple Login Failures to the Same Destination」ルールを更新して、プロキシー・サーバーのイベントから誤検出が生成されないようにしました。

古いルール:

ローカル・システムによって検出されたイベントのうち、「BB:CategoryDefinition: Authentication Failures」と一致するものに、「Multiple Login Failures to the Same Destination」を適用します。 「Multiple Login Failures to the Same Destination」は、宛先 IP は同じであるが送信元 IP とユーザー名が異なるイベントが 5 分間に 10 個以上検出された場合にも、適用する必要があります。

更新されたルール:
宛先 IP は同じであるが送信元 IP とユーザー名が異なるイベントが 5 分間に 10 個以上検出されたが、次のビルディング・ブロックと一致するイベントが存在しない場合に、ローカル・システムによって検出されたイベントのうち「BB:CategoryDefinition: Authentication Failures」と一致するものに対して、「Multiple Login Failures to the Same Destination」を適用します。
  • BB:HostDefinition: Proxy Servers
  • BB:HostReference: Proxy Servers
ルール/ビルディング・ブロック ローカル・ホストからの過度のファイアウォールによる拒否

「Excessive Firewall Denies from Local Host」ルールを更新して、プロキシー・サーバーのイベントから誤検出が生成されないようにしました。

古いルール:

ローカル・システムによって検出されたイベントに「Excessive Firewall Denies from Local Host」が適用されるのは、イベント・コンテキストが「ローカルからローカル」または「ローカルからリモート」であり、イベントが「BB:CategoryDefinition: Firewall」または「ACL Denies」と一致し、そのイベントが同じ送信元 IP から 40 件を超える宛先 IP に対して 5 分間に 40 回を超えて発生した場合です。

更新後のルール: ローカル・システムによって検出されたイベントに「Excessive Firewall Denies from Local Host」が適用されるのは、イベント・コンテキストが「ローカルからローカル」または「ローカルからリモート」であり、イベントが「BB:CategoryDefinition: Firewall」または「ACL Denies」と一致し、そのイベントが同じ送信元 IP から 40 件を超える宛先 IP に対して 5 分間に 40 回を超えて発生したが、そのイベントが次のどのルールにも一致しない場合です。
  • BB:HostDefinition: Proxy Servers
  • BB:HostReference: Proxy Servers
ルール/ビルディング・ブロック Policy: Large Outbound Transfer Slow Rate of TransferPolicy: Large Outbound Transfer High Rate of Transfer

高速および低速の両方のデータ転送ポリシー・ルールのパフォーマンスが更新されました。 この更新により、ルール・テストの順序が変更され、両方のポリシー・ルール (低速転送と高速転送) について、「送信元 IP、宛先 IP が同じであるフローが Y 分間に X 個以上検出される」というフレーズが最終行に移動しています。 次に示す更新後のルールの例で、このルールの変更について詳しく説明します。

旧ルール:
「Large Outbound Transfer Slow Rate of Transfer」は、次の条件が満たされた場合に、ローカル・システムによって検出されたフローに適用されます。
  • 送信元バイト数が 20000 を超える。
  • 送信元 IP、宛先ポート、および宛先 IP が同じであるフローが、120 分間に 100 個以上検出される。
  • フロー・コンテキストが「ローカルからリモート」である。
  • フロー・バイアスが「ほとんどアウトバウンド」である。
更新されたルール:
「Large Outbound Transfer Slow Rate of Transfer」は、次の条件が満たされた場合に、ローカル・システムによって検出されたフローに適用されます。
  • 送信元バイト数が 20000 を超える。
  • フロー・コンテキストが「ローカルからリモート」である。
  • フロー・バイアスが「ほとんどアウトバウンド」である。
  • 送信元 IP、宛先ポート、および宛先 IP が同じであるフローが、120 分間に 100 個以上検出される。
ルール/ビルディング・ブロック すべての「Asset Reconciliation Exclusion」ルールについて、リファレンス・セットに関するルールの応答を更新
この変更により、「Asset Exclusion」ルールの応答が更新され、ルール応答のトリガー時に ID データが正しいリファレンス・セット・ブラックリストに追加されるようになりました。 この変更によって更新されたルールは次のとおりです。
  • AssetExclusion: IPによるDNS名の除外
  • AssetExclusion: MACアドレスによるDNS名の除外
  • AssetExclusion: NetBIOS名でDNS名を除外する
  • AssetExclusion: DNS名でIPを除外する
  • AssetExclusion: MACアドレスによるIPの除外
  • AssetExclusion: 名前によるIPの除外 NetBIOS 名前によるIPの除外
  • AssetExclusion: DNS名によるMACアドレスの除外
  • AssetExclusion: IPによるMACアドレスの除外
  • AssetExclusion: NetBIOS名でMACアドレスを除外
  • AssetExclusion: DNS名でNetBIOS名を除外する
  • AssetExclusion: IPによる名前の除外 NetBIOS 名前の除外
  • AssetExclusion: MACアドレスでNetBIOS名を除外する

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.2

タイプ 名前 変更の説明
保存済み検索 フロー・レート (FPS)

「Flow Rate (FPS)」保存済み検索の検索値を「Count」から「Average」に変更して、COUNT 関数から FPS 関数に更新しました。

Old:

Top 10 Flow Source Results By Flows per Second - Peak 1 Min (Count)

新規:

Top 10 Flow Source Results By Flows per Second - Peak 1 Min (Average)

ダッシュボード 「Top 10 Flow Source Results By Flows per Second - Peak 1 Min (Average)」を「システム・モニター」ダッシュボードに追加

修正された「Flow Rate Results (FPS)」保存済み検索が、すべてのユーザー向けの「システム・モニター」ダッシュボードに追加されました。

このグラフは、「ログ・アクティビティー」タブに「Top 10 Flow Source (custom) Results By Flows per Second - Peak 1 Min (custom) (Average)」として表示されます。

レポート システム・サマリー 「System Summary」レポートを更新しました。「Flow Rate (FPS)」検索結果に依存します。
依存関係としてコンテンツ・パックに含まれるもの
保存済み検索 イベント・レート (EPS) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
保存済み検索 時系列でのオフェンス 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
保存済み検索 リンク使用状況 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
保存済み検索 イベント・プロセッサーの分布 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス 平均 (1 秒当たりのフロー数-ピーク 1 分) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス AVG (1 秒当たりのフロー数-平均 15 分) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス AVG (1 秒当たりのイベント数の合体-平均 1 分) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス AVG (eventsper second raw-average 1 分) (AVG (eventsper second raw-average 1 分)) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス 一定期間にわたるオフェンス-SUM (休止オフェンス数) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス 一定期間にわたるオフェンス-SUM (アクティブなオフェンスの数) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス イベント・プロセッサーの分布-カウント 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス イベント・プロセッサー分布-合計 (eventCount) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
アキュムレーター・リファレンス イベント・プロセッサの分布 - UniqueCount(device) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Flow Source: SourceMonitor.+¥[NOT¥:¥d+¥]¥[(¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}).*¥] 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Flows per Second - Average 15 Min: SourceMonitor.+900s\:\s\([\d|\.]+\)\:\(([\d|\.]+)\) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Parent \[parent=(.+?)\].+StatFilter 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Events per Second Coalesced - Peak 1 Sec: StatFilter.+1s¥:(¥d+)¥,¥d+¥s 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Events per Second Raw - Peak 1 Sec: StatFilter.+1s¥:¥d+¥,(¥d+)¥s 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Events per Second Coalesced - Average 1 Min: StatFilter.+60s¥:(¥d+)¥,¥d+¥s 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Events per Second Raw - Average 1 Min: StatFilter.+60s¥:¥d+¥,(¥d+)¥s 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Dormant Offense Count: ¥,¥sdormant¥:¥s(¥d+)¥, 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
カスタム・プロパティー Active Offense Count: ¥,¥sactive¥:¥s(¥d+)¥, 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
ダッシュボード システム・モニター: 5 (システム) 10 (管理) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
FGroup 構成と変更管理 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
FGroup システム・モニター (通知、障害、およびエラー) 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。
FGroup ネットワーク・モニターと管理 更新はありません。 別のプロパティーに依存しているため、拡張フレームワークに含める必要があります。

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.1

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.1 で更新されたルールおよびビルディング・ブロック

タイプ 名前 変更の説明
ルール 重要な資産への初回ユーザー・アクセス 「First-Time User Access」ルールに「ユーザー名が N/A でない」をルール・テストとして追加しました。
ルール Remote SSH Server Scanner ルール・テスト順序を修正し、次のテストをルール・テスト順序の最後の位置に移動しました: and when BB:CategoryDefinition: Recon Events, BB:CategoryDefinition: Suspicious Events with the same Source IP more than five times, across more than 29 Destination IPs within 10 minutes
ビルディング・ブロック BB:Suspicious: Remote: Unidirectional UDP or Misc Flows

ルール・テスト内の次のビルディング・ブロックを修正。

Old:

「BB:Threats: Suspicious IP Protocol Usage:Unidirectional TCP Flows」と 1 分間に 15 回以上一致した場合

更新済み:

「BB:Threats: Suspicious IP Protocol Usage:Unidirectional UDP and Misc Flows」と 1 分間に15 回以上一致した場合

ルール BB:Suspicious: Local: Unidirectional UDP or Misc Flows

ルール・テスト内の次のビルディング・ブロックを修正。

Old:

「BB:Threats: Suspicious IP Protocol Usage: Unidirectional TCP Flows」と 1 分間に 15 回以上一致した場合

更新済み:

「BB:Threats: Suspicious IP Protocol Usage:Unidirectional UDP and Misc Flows」と 1 分間に15 回以上一致した場合

ルール BB:External Contractor Policy Violation イベント

ルール・テストの問題を解決して、最後のルール・テストとしてリファレンス・セットのルックアップを実行するようにしました。

正しい順序:
  • 「BB:External Contractor Policy Violation Events」がローカル・システムによって検出されたイベントに適用される
  • イベントのイベント・カテゴリーが「Policy.Application Policy Violation」である場合
  • いずれかのユーザー名が「External Contractor - AlphaNumeric」に含まれている場合
ルール BB:External Contractor 失敗イベント

ルール・テストの問題を解決して、最後のルール・テストとしてリファレンス・セットのルックアップを実行するようにしました。

正しい順序:
  • 「BB:External Contractor Policy Violation Events」がローカル・システムによって検出されたイベントに適用される
  • イベントのイベント・カテゴリーが「Policy.Application Policy Violation」である場合
  • いずれかのユーザー名が「External Contractor - AlphaNumeric」に含まれている場合
ルール BB:Mobile ワーカー・ポリシー違反イベント (BB:Mobile Worker Policy Violation Events)

ルール・テストの問題を解決して、最後のルール・テストとしてリファレンス・セットのルックアップを実行するようにしました。

正しい順序:
  • 「BB:External Contractor Policy Violation Events」がローカル・システムによって検出されたイベントに適用される
  • イベントのイベント・カテゴリーが「Policy.Application Policy Violation」である場合
  • いずれかのユーザー名が「External Contractor - AlphaNumeric」に含まれている場合
ルール BB:Mobile Worker の失敗イベント (BB:Mobile Worker Failed Events)

ルール・テストの問題を解決して、最後のルール・テストとしてリファレンス・セットのルックアップを実行するようにしました。

正しい順序:
  • 「BB:External Contractor Policy Violation Events」がローカル・システムによって検出されたイベントに適用される
  • イベントのイベント・カテゴリーが「Policy.Application Policy Violation」である場合
  • いずれかのユーザー名が「External Contractor - AlphaNumeric」に含まれている場合
ルール BB:テレワーカーポリシー違反事象

ルール・テストの問題を解決して、最後のルール・テストとしてリファレンス・セットのルックアップを実行するようにしました。

正しい順序:
  • 「BB:External Contractor Policy Violation Events」がローカル・システムによって検出されたイベントに適用される
  • イベントのイベント・カテゴリーが「Policy.Application Policy Violation」である場合
  • いずれかのユーザー名が「External Contractor - AlphaNumeric」に含まれている場合
ルール BB: テレワーカー失敗イベント

ルール・テストの問題を解決して、最後のルール・テストとしてリファレンス・セットのルックアップを実行するようにしました。

正しい順序:
  • 「BB:External Contractor Policy Violation Events」がローカル・システムによって検出されたイベントに適用される
  • イベントのイベント・カテゴリーが「Policy.Application Policy Violation」である場合
  • いずれかのユーザー名が「External Contractor - AlphaNumeric」に含まれている場合
ルール BB:IT 管理イベント

ルール・テストの問題を解決して、最後のルール・テストとしてリファレンス・セットのルックアップを実行するようにしました。

正しい順序:
  • 「BB:External Contractor Policy Violation Events」がローカル・システムによって検出されたイベントに適用される
  • イベントのイベント・カテゴリーが「Policy.Application Policy Violation」である場合
  • いずれかのユーザー名が「External Contractor - AlphaNumeric」に含まれている場合

( 上に戻る )

IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.0

QRadar IBM Security QRadar ベースライン保守コンテンツ拡張 1.0.0 で更新されたルールおよびビルディング・ブロック

カテゴリー 名前 変更の説明
X-Force ルール X-Force Premium: SPAM に分類されるサーバーにメールを送信する非メール・サーバー パフォーマンスの問題を解決するためにルールを更新しました。
カスタム・イベント・プロパティー 1 秒当たりのイベント数 (未加工) - ピーク 1 秒 使用する正規表現が StatFilter に更新されました: +1s\:\d+\,\d+ \(peak \d+\,(\d+)
ビルディング・ブロック BB:CategoryDefinition: Authentication to Disabled Account 「QID 5000475: Failure Audit: An account failed to log on」を追加しました。
ビルディング・ブロック BB:CategoryDefinition: Authentication to Expired Account
次の 2 つの QID を追加しました。
  • 5001653: An account failed to log on. The specified account's password expired.
  • 5001654: The domain controller failed to validate the credentials for an account.
ビルディング・ブロック BB:DeviceDefinition: 一般消費者向けルーター ルール・テスト「BB:DeviceDefinition: DHCP Server」を追加しました。
ルール 異常: 複数のホストにわたる過剰なファイアウォール受け入れ ルール・テスト「BB:DeviceDefinition: FW/Router/Switch to rule」を追加しました。
ルール Botnet: Potential Botnet Connection (DNS) ルール・テスト「BB:DeviceDefinition: FW/Router/Switch to rule」を追加しました。
ルール Recon: Recon の後に Accept ルール・テスト「BB:DeviceDefinition: FW/Router/Switch to rule」を追加しました。
ルール ポリシー: ホストに既知の脆弱性がある ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 悪用: 検出されたエクスプロイトに対して脆弱な宛先 ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール Exploit: Destination Vulnerable to Detected Exploit on a Different Port ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール Large Outbound Transfer High Rate of Transfer ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 大容量アウトバウンド転送速度の低下 ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 送信元ネットワークの重みが高い ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 送信元ネットワークの重みが中 ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 送信元ネットワークの重みが低い ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 宛先ネットワークの重みが高い ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 宛先ネットワークの重みが中 ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 宛先ネットワークの重みが低い ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ルール 単一宛先に対する複数のエクスプロイト・タイプ ユーザー・インターフェース名とルールのテキスト記述を更新しました。
ビルディング・ブロック BB:HostDefinition: DNS Servers 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:HostDefinition: Servers 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:HostDefinition: DHCP Servers 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:ReconDetected:すべてのReconルール 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:CategoryDefinition: Exploits Backdoors and Trojans 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:CategoryDefinition: Firewall or ACL Accept 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:CategoryDefinition: Firewall or ACL Denies 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:DeviceDefinition: FW / Router / Switch 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
ビルディング・ブロック BB:CategoryDefinition: Any Flow 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。

( 上に戻る )