Security Analytics Self Monitoring
IBM Security QRadar Security Analytics Self Monitoring Content Extension を使用して、QRadar 展開を詳細に監視します。
このコンテンツ拡張には、1 つ以上の Pulse ダッシュボードが組み込まれています。 Pulse ダッシュボードについて詳しくは、 QRadar Pulse アプリケーションを参照してください。
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.2
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.1
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.1.0
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.1
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.0
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.1
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0
- IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.2
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.2で新しく導入されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | カスタム・プロパティーが無効になりました (A Custom Property has been Disabled) | パフォーマンス上の問題が原因でカスタム・プロパティー式が無効になったときにトリガーされます。 注: このルールを調整して、E メール通知を有効にすることができます。
|
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.1
以下の Pulse ウィジェットは、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.1で新しく導入されたか、更新されました。
- QRadar モニター
- QRadar Monitoring-オフェンス
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0で新しく導入されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | QRadar 監査: 費用の高い CRE ルール | QRadar ルールの負荷が高い場合にトリガーされます。 これらの規則を最適化して、CRE の負荷を軽減し、一部のイベントが CRE によって相関されない可能性を減らします。 |
| ルール | QRadar 監査: 経費カスタム・プロパティー | QRadar カスタム・プロパティーのコストが高い場合にトリガーされます。 これらのカスタム・プロパティーを最適化して、構文解析の負荷を減らし、構文解析されないイベントの可能性を減らします。 |
| ルール | QRadar 監査: 負荷の高いログ・ソース | QRadar ログ・ソースのコストが高い場合にトリガーされます。 これらのログ・ソース/ログ・ソース拡張を最適化して、解析の負荷を減らし、解析されないイベントの可能性を減らします。 |
| ルール | QRadar 監査: 高 CRE 使用率 | CRE 使用率が高い場合にトリガーされます。 CRE ロードが増え続けると、飽和点に達し、一部のイベントは CRE によって相関されません。 |
| ルール | QRadar 監査: 高解析使用率 | 高い構文解析使用率に達したときにトリガーされます。 構文解析のロードが増え続けると、飽和点に達し、一部のイベントは構文解析されず、正規化されません。 |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0の新規カスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| エレメント | はい | 1 | Element = (¥ S+) |
| メトリック ID | はい | 1 | MetricID=(\S+) |
Parse and CRE Monitoring という名前のパルス・ダッシュボードが、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.2.0に追加されました。 このダッシュボードは、ホストごとの CRE および解析使用率のビジュアル表示です。
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.1.0
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.1.0で新しく導入された、または更新されたカスタム・プロパティーを示します。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| オフェンス ID | はい | 1 | offense: (¥ d +) |
| オフェンスの所有者 | いいえ | 1 | ユーザー:\s(.*?)\shas\sbeen |
- 割り当てられたオフェンス
- 「オフェンスのクローズ理由」 ウィジェットに 「オフェンス ID」 列が追加されました。
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.1
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.1のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| CRE 名 | はい | 1 | Rule Name=\"([^\\\"]+) |
| Total Events Dropped | いいえ | 1 | Total Events Dropped:\s+(\d+) |
| Total Events Forwarded | いいえ | 1 | Total Events Forwarded:\s+(\d+) |
| Total Events Not Correlated | いいえ | 1 | Total Events Not Correlated:\s+(\d+) |
- Audit - Routing Rules - Events Dropped
- Audit - Routing Rules - Events Forwarded
- Audit - Routing Rules - Events not correlated
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.0
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 2.0.0のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| エージェント・バージョン | いいえ | 1 | IBM\|WinCollect\|([^\.]+) |
| Agent Version Major | いいえ | 1 | IBM\|WinCollect\|([^\.]+) |
| マシン ID | はい | LEEF | src |
| OS 名 | いいえ | LEEF | os |
- EPS 平均イベント・レート (EPS Event Rate Average)
- EPS 最大イベント・レート (EPS Event Rate Max)
- CRE ドーナツで生成されたイベント (Events generated by CRE Doughnut)
- CRE テーブルで生成されたイベント (Events generated by CRE Table)
- WinCollect エージェントのメジャー・バージョン (WinCollect Agent Major Versions)
- WinCollect エージェントのバージョン (WinCollect Agent Version)
- WinCollect オペレーティング・システムのバージョン (WinCollect Operating System Versions)
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0
QID が「Authentication Failure」 Pulse ウィジェットに対応して更新されました。
「Host status」カスタム・プロパティーが削除され、「System Status」カスタム・プロパティーに置き換えられています。
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 V1.2.0のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| 前のルール・フィルター | いいえ | 1 | Previous Rule Description="([^"]+) |
| 前のルールの注 | いいえ | 1 | Previous Rule Notes="([^"]+) |
| QidMap 説明 | いいえ | 1 | qDescription="([^"]+) qdescription=(.*?)\scatpipename |
| QidMap ID | いいえ | 1 | qId="(\d+)" qid=(¥d+) |
| QidMap 名 | いいえ | 1 | qName="([^"]+) qname=(.*?)\srateshortwindow |
| ルール・フィルター | いいえ | 1 | Updated Rule Description="([^¥"]+) Rule Description="([^"]+) |
| ルール ID | いいえ | 1 | id="(¥d+)" ruleId="(\d+)" |
| ルールについてのメモ | いいえ | 1 | Updated Rule Notes="([^"]+) Rule Notes="([^"]+) |
| システム状況 (System Status) | いいえ | 1 | Sent¥supdate¥sstatus¥sof¥shost¥s¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥sto¥s([^$]+) |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0で更新されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | QRadar 監査: QRadar Host Unavailable | 「Host status」ではなく「System Status」カスタム・プロパティーを使用するように更新されました。 |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.2.0で新しく導入された保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| カスタム・ルール変更詳細 | カスタム・ルールに対する変更 (作成、更新、削除) を取得して、変更前/変更後の関連情報を表示します。 |
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.1
QID が「QRadar Audit: Multiple Login Failures from the Same Source」カスタム・ルールおよび「Audit - Authentication Failure by Username」保存済み検索に対応して更新されました。
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0で新しく導入された、または更新されたカスタム・プロパティーを示します。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| コマンド | はい | 1 | CommandExecuted¥]¥s¥:¥s+([^¥r¥n]+) |
| CRE 名 | はい | 1 2 |
Rule Name="([^¥"]+) (¥s+|Updated¥s+)Rule Name="([^¥"]+) |
| ホスト状況 | はい | 1 | Sent¥supdate¥sstatus¥sof¥shost¥s¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥sto¥s([^$]+) |
| オフェンスのクローズ・コメント | はい | 1 | Notes:¥s((?:[^(¥s+]|¥s(?!¥s*¥())*) |
| オフェンスのクローズ理由 | はい | 1 | This offense was closed with reason:\s([^.]*) |
| オフェンス ID | はい | 1 | Properties¥([¥s]id="(¥d+)" Properties¥s¥([¥s]id="(¥d+)" |
| 前の CRE 名 | はい | 1 | Previous Rule Name="([^¥"]+) |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0で新しく導入された、または更新されたルールを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | QRadar 監査: 作成されたオフェンスの通常ではない数 | 24 時間の期間にわたって作成されたオフェンスの数が通常より大きいかまたは小さく、その差が 40% を超えたときにトリガーされます。 目的のしきい値と一致するように差を調整できます。 |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0で新しく導入された、または更新されたレポートを示します。
| レポート名 | 検索名と依存関係 |
|---|---|
| Qradar 監査-オフェンスのクローズ・レポート | このレポートには、オフェンスが QRadar でクローズされた理由が示されます。 レポートの内容は、次のログ・アクティビティーおよびネットワーク・アクティビティーに対する検索を使用して整理されます。
注: この検索および関連する検索依存関係を編集して、結果を絞り込みます。
|
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0の新規または更新されたリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・データ | pulse_imports | Pulse ダッシュボードの一部。 |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.1.0で新しく導入された、または更新された保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| 作成されたオフェンスの数 | 24 時間の時間フレーム以内にクローズされたオフェンスの総数を取得する検索。 |
| Qradar 監査: オフェンスのクローズ理由 (Qradar Audit: Offenses Closed Reason) | QRadarでオフェンスがクローズされた理由を取得する検索。 |
| Qradar 監査: 上位のオフェンスのクローズ理由 (Qradar Audit: Top Offenses Closed Reason) | オフェンスがクローズされた理由別にグループ化された検索。 |
IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| CRE 名 | はい はい |
1 2 |
Rule Name="([^¥"]+) (¥s+|Updated¥s+)Rule Name="([^¥"]+) |
| 前の CRE 名 | はい | 1 | Previous Rule Name="([^¥"]+) |
| コマンド | はい | 1 | CommandExecuted¥]¥s¥:¥s+([^¥r¥n]+) |
| ホスト状況 | はい | 1 | Sent¥supdate¥sstatus¥sof¥shost¥s¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥sto¥s([^$]+) |
| API 検索 ID | はい | 1 | PathInfo=¥/ariel¥/searches¥/(¥S{36})¥/results |
| 実行された検索 | はい | 1 | Filters:(.*?)\,\s+Columns |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0のルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | QRadar 監査: ペイロードの削除または変更 | コマンドによってログ・ファイルが変更される可能性がある場合にそれを検出します。 |
| ルール | QRadar 監査: 同じソースからの複数のログイン失敗 | QRadar Web インターフェースまたは CLI 上の同じソース IP アドレスからの認証失敗の繰り返しを検出します。 |
| ルール | QRadar 監査: 潜在的な機密ファイルの変更 | 機密ファイルがテキスト・エディターを使用してアクセスされた場合、または QRadar CLI を使用して移動または削除された場合にそれを検出します。 機密ファイルおよびデバイスをモニターするには、このルールを編集します。 |
| ルール | QRadar 監査: QRadar ホスト | QRadar IP アドレスを「QRadar Deployment – IP」リファレンス・セットに追加します。 |
| ルール | QRadar 監査: 共有アカウント | QRadarに接続されている潜在的な共有アカウントがある場合にそれを検出します。 QRadar IP アドレスを QRadar Deployment-IP リファレンス・セットに追加して、それらをソース IP アドレスとして除外します。 |
| ルール | QRadar 監査: QRadar Host Unavailable | QRadar 管理対象ホストの状況をモニターします。 |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0のレポートを示しています。
| レポート名 | 検索名と依存関係 |
|---|---|
| QRadar 監査-変更の概要 | 保存済み検索: 「SIEM Audit - Custom Rule Modification」および「SIEM Audit - Configuration Modification」 |
| QRadar 監査-ユーザー認証アクティビティー | 保存済み検索: 「SIEM Audit - Authentication Success by Username」、「SIEM Audit - Authentication Failure by Username」、および「SIEM Audit - User Authentication Activity」 |
| QRadar 監査-システム警告およびエラー | 保存済み検索: 「SIEM Audit - System Notifications」 |
| QRadar 監査-実行された検索 | 保存済み検索: 「Audit - User Processing Activities」および「Audit - User Processing Activities through API」 |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0のリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | QRadar のデプロイメント | SIEM 監査: QRadar ホストからの QRadar IP アドレスのリスト。 「SIEM Audit: Shared Account」で使用されます。 このリストには、デフォルトで 127.0.0.1 およびアプリケーションに割り当てられた範囲 (169.254.3.1 から 169.254.3.10) も含まれています。 必要に応じてこのリストを編集してください。 |
次の表では、 IBM Security QRadar Security Analytics Self Monitoring コンテンツ拡張 1.0.0の保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| 監査-ユーザー認証アクティビティー | この検索では、 QRadar システム (Web および SSH) 上の認証イベントが表示されます。 |
| 監査-認証成功 (ユーザー名別) | この検索では、 QRadar システム (Web および SSH) での認証の成功が示されます。 |
| 監査-ユーザー名別認証失敗 | この検索では、 QRadar システム (Web および SSH) での認証の失敗が示されます。 |
| 監査-構成の変更 | この検索では、 QRadar システムで行われた構成の更新が表示されます。 |
| 監査-システム通知 | この検索では、 QRadar システム上の警告とエラーが表示されます。 |
| 監査-ユーザー処理アクティビティー | この検索では、ユーザーによって実行された検索が示されます。 |
| 監査-API を使用したユーザー処理アクティビティー | この検索では、/ariel/searches に対して実行された検索が示されます。 |