Security Analytics Self Monitoring

IBM Security QRadar Security Analytics Self Monitoring Content Extension を使用して、QRadar 展開を詳細に監視します。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

このコンテンツ拡張には、1 つ以上の Pulse ダッシュボードが組み込まれています。 Pulse ダッシュボードについて詳しくは、 QRadar Pulse アプリケーションを参照してください。

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.2

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.2で新しく導入されたルールを示しています。

表 1. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.2 の新規ルール
タイプ 名前 説明
ルール カスタム・プロパティーが無効になりました (A Custom Property has been Disabled) パフォーマンス上の問題が原因でカスタム・プロパティー式が無効になったときにトリガーされます。
注: このルールを調整して、E メール通知を有効にすることができます。

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.1

以下の Pulse ウィジェットは、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.1で新しく導入されたか、更新されました。

  • QRadar モニター
  • QRadar Monitoring-オフェンス

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0で新しく導入されたルールを示しています。

表 2. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0 の新規ルール
タイプ 名前 説明
ルール QRadar 監査: 費用の高い CRE ルール QRadar ルールの負荷が高い場合にトリガーされます。 これらの規則を最適化して、CRE の負荷を軽減し、一部のイベントが CRE によって相関されない可能性を減らします。
ルール QRadar 監査: 経費カスタム・プロパティー QRadar カスタム・プロパティーのコストが高い場合にトリガーされます。 これらのカスタム・プロパティーを最適化して、構文解析の負荷を減らし、構文解析されないイベントの可能性を減らします。
ルール QRadar 監査: 負荷の高いログ・ソース QRadar ログ・ソースのコストが高い場合にトリガーされます。 これらのログ・ソース/ログ・ソース拡張を最適化して、解析の負荷を減らし、解析されないイベントの可能性を減らします。
ルール QRadar 監査: 高 CRE 使用率 CRE 使用率が高い場合にトリガーされます。 CRE ロードが増え続けると、飽和点に達し、一部のイベントは CRE によって相関されません。
ルール QRadar 監査: 高解析使用率 高い構文解析使用率に達したときにトリガーされます。 構文解析のロードが増え続けると、飽和点に達し、一部のイベントは構文解析されず、正規化されません。

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0の新規カスタム・プロパティーを示しています。

表 3. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0 の新規カスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
エレメント はい 1 Element = (¥ S+)
メトリック ID はい 1 MetricID=(\S+)

Parse and CRE Monitoring という名前のパルス・ダッシュボードが、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0に追加されました。 このダッシュボードは、ホストごとの CRE および解析使用率のビジュアル表示です。

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.1.0

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 4. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 2.1.0 の新規および更新されたカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
オフェンス ID はい 1 offense: (¥ d +)
オフェンスの所有者 いいえ 1 ユーザー:\s(.*?)\shas\sbeen
以下の Pulse ウィジェットは、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.1.0で新しく導入されたか、更新されました。
  • 割り当てられたオフェンス
  • 「オフェンスのクローズ理由」 ウィジェットに 「オフェンス ID」 列が追加されました。

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.1

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.1のカスタム・プロパティーを示しています。

表 5. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.1 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
CRE 名 はい 1 Rule Name=\"([^\\\"]+)
Total Events Dropped いいえ 1 Total Events Dropped:\s+(\d+)
Total Events Forwarded いいえ 1 Total Events Forwarded:\s+(\d+)
Total Events Not Correlated いいえ 1 Total Events Not Correlated:\s+(\d+)
以下の Pulse ウィジェットは、 IBM Security QRadar 製品名コンテンツ拡張 2.0.1の新機能です。
  • Audit - Routing Rules - Events Dropped
  • Audit - Routing Rules - Events Forwarded
  • Audit - Routing Rules - Events not correlated

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.0

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.0のカスタム・プロパティーを示しています。

表 6. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.0 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
エージェント・バージョン いいえ 1 IBM\|WinCollect\|([^\.]+)
Agent Version Major いいえ 1 IBM\|WinCollect\|([^\.]+)
マシン ID はい LEEF src
OS 名 いいえ LEEF os
以下の Pulse ウィジェットは、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.0の新機能です。
  • EPS 平均イベント・レート (EPS Event Rate Average)
  • EPS 最大イベント・レート (EPS Event Rate Max)
  • CRE ドーナツで生成されたイベント (Events generated by CRE Doughnut)
  • CRE テーブルで生成されたイベント (Events generated by CRE Table)
  • WinCollect エージェントのメジャー・バージョン (WinCollect Agent Major Versions)
  • WinCollect エージェントのバージョン (WinCollect Agent Version)
  • WinCollect オペレーティング・システムのバージョン (WinCollect Operating System Versions)

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0

QID が「Authentication Failure」 Pulse ウィジェットに対応して更新されました。

「Host status」カスタム・プロパティーが削除され、「System Status」カスタム・プロパティーに置き換えられています。

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 V1.2.0のカスタム・プロパティーを示しています。

表 7. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 V1.2.0 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
前のルール・フィルター いいえ 1 Previous Rule Description="([^"]+)
前のルールの注 いいえ 1 Previous Rule Notes="([^"]+)
QidMap 説明 いいえ 1 qDescription="([^"]+)

qdescription=(.*?)\scatpipename

QidMap ID いいえ 1 qId="(\d+)"

qid=(¥d+)

QidMap 名 いいえ 1 qName="([^"]+)

qname=(.*?)\srateshortwindow

ルール・フィルター いいえ 1 Updated Rule Description="([^¥"]+)

Rule Description="([^"]+)

ルール ID いいえ 1 id="(¥d+)"

ruleId="(\d+)"

ルールについてのメモ いいえ 1 Updated Rule Notes="([^"]+)

Rule Notes="([^"]+)

システム状況 (System Status) いいえ 1 Sent¥supdate¥sstatus¥sof¥shost¥s¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥sto¥s([^$]+)

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0で更新されたルールを示しています。

表 8. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0 のルール
タイプ 名前 説明
ルール QRadar 監査: QRadar Host Unavailable 「Host status」ではなく「System Status」カスタム・プロパティーを使用するように更新されました。

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0で新しく導入された保存済み検索を示しています。

表 9. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0 の保存済み検索
名前 説明
カスタム・ルール変更詳細 カスタム・ルールに対する変更 (作成、更新、削除) を取得して、変更前/変更後の関連情報を表示します。

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.1

QID が「QRadar Audit: Multiple Login Failures from the Same Source」カスタム・ルールおよび「Audit - Authentication Failure by Username」保存済み検索に対応して更新されました。

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0で新しく導入された、または更新されたカスタム・プロパティーを示します。

表 10. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
コマンド はい 1 CommandExecuted¥]¥s¥:¥s+([^¥r¥n]+)
CRE 名 はい 1

2

Rule Name="([^¥"]+)

(¥s+|Updated¥s+)Rule Name="([^¥"]+)

ホスト状況 はい 1 Sent¥supdate¥sstatus¥sof¥shost¥s¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥sto¥s([^$]+)
オフェンスのクローズ・コメント はい 1 Notes:¥s((?:[^(¥s+]|¥s(?!¥s*¥())*)
オフェンスのクローズ理由 はい 1 This offense was closed with reason:\s([^.]*)
オフェンス ID はい 1 Properties¥([¥s]id="(¥d+)"

Properties¥s¥([¥s]id="(¥d+)"

前の CRE 名 はい 1 Previous Rule Name="([^¥"]+)

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0で新しく導入された、または更新されたルールを示します。

表 11. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0 のルール
タイプ 名前 説明
ルール QRadar 監査: 作成されたオフェンスの通常ではない数 24 時間の期間にわたって作成されたオフェンスの数が通常より大きいかまたは小さく、その差が 40% を超えたときにトリガーされます。 目的のしきい値と一致するように差を調整できます。

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0で新しく導入された、または更新されたレポートを示します。

表 12. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0 のレポート
レポート名 検索名と依存関係
Qradar 監査-オフェンスのクローズ・レポート このレポートには、オフェンスが QRadar でクローズされた理由が示されます。 レポートの内容は、次のログ・アクティビティーおよびネットワーク・アクティビティーに対する検索を使用して整理されます。
  • QRadar 監査: オフェンスのクローズ理由
  • QRadar 監査: 上位のオフェンスのクローズ理由
注: この検索および関連する検索依存関係を編集して、結果を絞り込みます。

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0の新規または更新されたリファレンス・データを示しています。

表 13. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・データ pulse_imports Pulse ダッシュボードの一部。

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0で新しく導入された、または更新された保存済み検索を示しています。

表 14. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0 の保存済み検索
名前 説明
作成されたオフェンスの数 24 時間の時間フレーム以内にクローズされたオフェンスの総数を取得する検索。
Qradar 監査: オフェンスのクローズ理由 (Qradar Audit: Offenses Closed Reason) QRadarでオフェンスがクローズされた理由を取得する検索。
Qradar 監査: 上位のオフェンスのクローズ理由 (Qradar Audit: Top Offenses Closed Reason) オフェンスがクローズされた理由別にグループ化された検索。

( 上に戻る )

IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0のカスタム・プロパティーを示しています。

表 15. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0 のカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
CRE 名 はい

はい

1

2

Rule Name="([^¥"]+)

(¥s+|Updated¥s+)Rule Name="([^¥"]+)

前の CRE 名 はい 1 Previous Rule Name="([^¥"]+)
コマンド はい 1 CommandExecuted¥]¥s¥:¥s+([^¥r¥n]+)
ホスト状況 はい 1 Sent¥supdate¥sstatus¥sof¥shost¥s¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥sto¥s([^$]+)
API 検索 ID はい 1 PathInfo=¥/ariel¥/searches¥/(¥S{36})¥/results
実行された検索 はい 1 Filters:(.*?)\,\s+Columns

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0のルールを示しています。

表 16. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0 のルール
タイプ 名前 説明
ルール QRadar 監査: ペイロードの削除または変更 コマンドによってログ・ファイルが変更される可能性がある場合にそれを検出します。
ルール QRadar 監査: 同じソースからの複数のログイン失敗 QRadar Web インターフェースまたは CLI 上の同じソース IP アドレスからの認証失敗の繰り返しを検出します。
ルール QRadar 監査: 潜在的な機密ファイルの変更 機密ファイルがテキスト・エディターを使用してアクセスされた場合、または QRadar CLI を使用して移動または削除された場合にそれを検出します。 機密ファイルおよびデバイスをモニターするには、このルールを編集します。
ルール QRadar 監査: QRadar ホスト QRadar IP アドレスを「QRadar Deployment – IP」リファレンス・セットに追加します。
ルール QRadar 監査: 共有アカウント QRadarに接続されている潜在的な共有アカウントがある場合にそれを検出します。 QRadar IP アドレスを QRadar Deployment-IP リファレンス・セットに追加して、それらをソース IP アドレスとして除外します。
ルール QRadar 監査: QRadar Host Unavailable QRadar 管理対象ホストの状況をモニターします。

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0のレポートを示しています。

表 17. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0 のレポート
レポート名 検索名と依存関係
QRadar 監査-変更の概要 保存済み検索: 「SIEM Audit - Custom Rule Modification」および「SIEM Audit - Configuration Modification」
QRadar 監査-ユーザー認証アクティビティー 保存済み検索: 「SIEM Audit - Authentication Success by Username」「SIEM Audit - Authentication Failure by Username」、および「SIEM Audit - User Authentication Activity」
QRadar 監査-システム警告およびエラー 保存済み検索: 「SIEM Audit - System Notifications」
QRadar 監査-実行された検索 保存済み検索: 「Audit - User Processing Activities」および「Audit - User Processing Activities through API」

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0のリファレンス・データを示しています。

表 18. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット QRadar のデプロイメント SIEM 監査: QRadar ホストからの QRadar IP アドレスのリスト。 「SIEM Audit: Shared Account」で使用されます。 このリストには、デフォルトで 127.0.0.1 およびアプリケーションに割り当てられた範囲 (169.254.3.1 から 169.254.3.10) も含まれています。 必要に応じてこのリストを編集してください。

次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0の保存済み検索を示しています。

表 19. IBM セキュリティー QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0 の保存済み検索
名前 説明
監査-ユーザー認証アクティビティー この検索では、 QRadar システム (Web および SSH) 上の認証イベントが表示されます。
監査-認証成功 (ユーザー名別) この検索では、 QRadar システム (Web および SSH) での認証の成功が示されます。
監査-ユーザー名別認証失敗 この検索では、 QRadar システム (Web および SSH) での認証の失敗が示されます。
監査-構成の変更 この検索では、 QRadar システムで行われた構成の更新が表示されます。
監査-システム通知 この検索では、 QRadar システム上の警告とエラーが表示されます。
監査-ユーザー処理アクティビティー この検索では、ユーザーによって実行された検索が示されます。
監査-API を使用したユーザー処理アクティビティー この検索では、/ariel/searches に対して実行された検索が示されます。

( 上に戻る )