以前のバージョン

リリースを見逃した場合は、以前のバージョンの QRadar® Use Case Managerの機能のリストを確認してください。

バージョン 4.0.0

  • MITRE ATT&CK産業制御システム(ICS)への対応を追加しました。これにより、産業ネットワークに対するサイバー攻撃の特定、評価、および軽減が可能となります。
  • ルール(依存関係を含む)を一括で有効化または無効化できる機能を追加し、タイムリーなルール管理を容易にしました。
  • 個々のルールに対してノートを編集する機能を追加しました。
  • 既知の脆弱性があるパッケージを更新しました。

バージョン3.10.0

  • QRadar Use Case Manager33.10.0は、'QRadar77.5.0 UP8以降でのみサポートされます。
  • MITRE ATT&CKv15.1のサポートを追加しました。
  • 既知の脆弱性があるパッケージを更新しました。
  • 活動中のルールページの「理由別閉鎖違反」と「活動中のルールの概要」チャートに新しいパブリックAPIを追加。 詳細については、 パブリックAPIエンドポイントを参照してください。

バージョン 3.9.0

  • MITRE ATT&CK v14.1のサポートを追加しました。
  • 既知の脆弱性があるパッケージを更新しました。
  • QRadar Use Case ManagerIBM QRadar 7.5.0 以降でのみサポートされるようになりました。

バージョン 3.8.1

  • 既知の脆弱性があるパッケージを更新しました。
  • 「MITRE カバレッジ要約」 レポートで、有効なルールのメトリックのみを表示するオプションが追加されました。 このオプションを有効にすると、無効化されたルールをフィルターで除外するようにレポートが微調整され、ビルディング・ブロックを除く有効化されたルールの総数が表示されます。

バージョン 3.8.0

  • 技法、グループ、キャンペーン、および Software for Enterprise を更新する MITRE ATT & CK v13.1のサポートが追加されました。 ATT & CK v13 の最大の変更点は、ATT & CK for Enterprise、モバイル・データ・ソース、および 2 つの新しいタイプの変更ログのいくつかの技法に詳細な検出ガイダンスを追加して、ATT & CKで何が変更されたかをより正確に識別できるようにすることです。 詳細については、を参照してください https://attack.mitre.org/resources/updates/updates-april-2023/index.html
  • メモリー不足の問題を削減するために、ルール・オフェンス・コントリビューション API のパフォーマンスが向上しました。
  • 数を超えた場合に検出結果をトリガーするリファレンス・セット・エレメントの数を設定する条件が追加されました。 詳細については、 「使用 QRadar の設定」 を参照 Case Manager してください。

バージョン 3.7.0

  • Enterprise の技法、グループ、およびソフトウェアを更新する MITRE ATT & CK v12.1のサポートが追加されました。 詳細については、を参照してください https://attack.mitre.org/resources/updates/updates-october-2022/index.html
  • 製品の修正後に 「空のリファレンス・セット (Empty reference set)」 チューニング検出を有効にしました。
  • 「ルールの詳細」 ページで、テスト定義に AND 演算子と AND NOT 演算子が使用されている場合により明確になるようにダイアグラムの矢印の色を変更しました。
  • 問題とパフォーマンスの修正。

バージョン 3.6.0

MITRE ATT & CK の機能拡張

デフォルトの MITRE ATT & CK プラットフォーム・フィルターとして PRE が追加されました。 現在では、関連するプラットフォーム・キャンペーンが 「Detected in timeframe」 レポートおよび 「カバレッジ・マップ」 「MITRE ATT」& CK レポートにデフォルトで組み込まれています。

MITRE ATT & CK v11.2のサポートが追加されました。これにより、Enterprise の技法、グループ、およびソフトウェアが更新され、モバイル用のサブテニークのベータ版が追加されました。 詳細については、を参照してください https://attack.mitre.org/resources/updates/updates-april-2022/index.html

グラフの機能拡張

「ログ・ソース・タイプの傾向」 グラフに、日次または週次の頻度でデータを表示するオプションが追加されました。 日付範囲が 14 日より大きい場合にのみ、週次トレンドを表示できます。 詳細については、 「ルールごとのログソースタイプのカバレッジの可視化」 を参照してください。

ドメイン名でオフェンスをフィルタリングするために、 「検出された時間フレーム内 (Detected in timeframe)」 グラフにカバレッジが追加されました。 環境内に複数のドメインがある場合、それらのドメインがフィルター・リストに追加されます。 詳細については、 特定の期間内に検出されたMITRE戦術・手法の可視化を参照してください。

新しいチューニング検出結果が追加されました

より多くのコンテキストを提供するために、以下のチューニング検出事項が追加されました。
  • ホスト定義は、宛先 IP のデフォルト値のみを使用します。
  • ホスト定義では、ソース IP のデフォルト値のみが使用されます。
  • ホスト定義は、デフォルトの IP 値のみを使用します。
詳細については、 「チューニング結果の調査」 を参照してください。

パフォーマンスおよびチューニングの検出結果のための新しい管理者構成設定

オフェンスに対する拡張ルール・コントリビューションを構成する場合、またはルールがオフェンスに寄与する日数を制限する場合は、 「パフォーマンス構成」 セクションを展開します。

チューニング検出結果の生成が原因で予期しないパフォーマンス上の問題が発生した場合 (例えば、 QRadar Use Case Manager をロードするのに時間がかかる、アプリケーションが応答しなくなるなど)、 「チューニング検出結果の構成」 セクションで個々のチューニング検出結果を無効にすることができます。

「未使用のリファレンス・セット (Unused reference set)」 チューニング検出結果を無効にすることによるパフォーマンスの向上。

誤検出のために 「空のリファレンス・セット」 チューニング検出を無効にしました。

バージョン 3.5.0

チューニング検出レポート

「チューニング検出結果」レポートには、いくつかのルール定義エラーの検出結果がリストされます。 レポートを使用して、より堅固な情報を得るためにルールまたはビルディング・ブロックを編集する必要があるかどうか、またはルールが設計どおりに機能しているかどうかを調査します。 詳細については、 「チューニング結果の調査」 を参照してください。
チューニング検出レポート

ルール・テーブルの機能拡張

「ログ・ソース・タイプ」、「Tactic」、および「技法」のフィルターに 「未割り当て」 フィルター・オプションが追加されました。 「未割り当て」フィルターは、どのグループにも属さないルールを確認するのに役立ちます。

公開されている API

以下の機能の API が追加されました。
  • MITRE エンドポイント: カスタムの攻撃者グループを作成し、それらを戦術および技法にマップします。 その後、事前定義されたグループとともに、 「強調表示グループ」 リスト内のカバレッジ・マップ上のグループにアクセスできます。

    カスタム MITRE グループと、それらのグループの戦術、技法、およびサブ技法へのルール・マッピングを含むファイルをアップロードします。 詳細については、 「API を使用したレポートデータへのアクセス」 を参照してください。

  • チューニング検出結果: チューニング検出結果に関する情報を取得します。

MITRE サポート

MITRE v11.1のサポートが追加されました。これにより、Enterprise の技法、グループ、およびソフトウェアが更新され、Mobile の Sub-テニークのベータ版が追加されました。 詳細については、を参照してください https://attack.mitre.org/resources/updates/updates-april-2022/index.html

バージョン 3.4.1

このリリースには、以下の変更点が含まれています。
  • MITRE v10.1 のサポートが追加されました。
  • 既知の脆弱性があるパッケージを更新しました。

バージョン 3.4.0

アクティブ・ルールの調整の機能拡張

「ルール別のオフェンス作成トレンド (Offense creation trend by rule)」 グラフが「アクティブなルール」ページに追加されました。 このトレンド・グラフには、選択した日付フィルターの条件を満たすルールごとに、そのルールが特定の日に反映し始めたオフェンスの数が表示されます。 例えば、あるルールが昨日 3 件のオフェンスに反映し始めたとすると、グラフにはそのルールの 3 件のオフェンスと昨日の日付が表示されます。 今日、同じルールが 4 件の新しいオフェンスに反映し始め、昨日からの 2 件のオフェンスへの反映を継続しているとします。 グラフには、そのルールの 4 件 のオフェンスと今日の日付が表示されます。 ルールの新規オフェンスは 4 件のみであるため、グラフには 6 件ではなく 4 件のみが表示されます。
ルール別のオフェンス作成傾向のレポート
注: このチャートは、 QRadar 7.4.1 フィックスパック 2 以降でのみサポートされます。

選択したルールの「ルールの詳細」ページで、「特定の時間内の現在のルールによるオフェンスの作成 (Offense creation by current rule in a certain time)」グラフ内の選択したルールのトレンドに対する日付範囲を変更できます。 以前のバージョンでは、時間制限は過去 3 日間のみでした。

「ルール別のイベント数のトレンド (Events count trend by rule)」グラフが 「アクティブなルール」ページに追加されました。 このトレンド・グラフには、選択した日付フィルターの条件を満たすルールごとに、特定の日にルールが反映し始めたオフェンスごとのイベント数が表示されます。 例えば、あるルールが昨日 100 件のイベントに関連する 3 件のオフェンスに反映し始めたとすると、グラフにはそのルールの 100 件のイベントと昨日の日付が表示されます。 今日、同じルールが 200 件のイベントに関連する 4 件の新しいオフェンスに反映し始め、昨日から 50 件のイベントに関連する 2 件のオフェンスに引き続き反映しているとします。 グラフには、そのルールの 200 件 のイベントと今日の日付が表示されます。 ルールの新規イベントは 200 件のみであるため、グラフには 250 件ではなく 200 件のみが表示されます。
ルール別のイベント・カウント・トレンドのレポート

「アクティブなルール」ページの棒グラフの表示を改善し、値の大きい棒グラフから降順にソートされるようにしました。 見やすくするために、表示するバーの数に制限を追加しました。小さなグラフではバーを最大15本、フルスクリーンに拡大された場合は最大 30 本まで表示可能です。

「アクティブなルール」「CRE レポート」「MITRE の適用範囲の要約およびトレンド」、および 「Rule-log ソース・タイプの適用範囲の要約およびトレンド (Rule-log source type coverage summary and trend)」の各ページの棒グラフと時系列グラフの視覚化機能が強化されました。 そのため、データを表形式で表示したり、グラフをフルスクリーンに展開したり、グラフを PNG、JPB、または CSV の各形式でダウンロードしたりすることができるようになりました。

ルールの HTML 文書でのエクスポートとオフラインでの表示

選択したルールを、オフラインで表示できるフォーマット済み HTML レポートにエクスポートします。 デフォルトでは、選択したルールの依存関係、従属、および表示形式をエクスポートできます。 QRadar または QRadar Use Case Manager にアクセスできない同僚や管理者とは .zip ファイルを共有してください。 詳細については、 エクスポート規則を参照してください。

ルール・テーブルの機能拡張

「グループ」、「アクション」、および「応答」の各フィルターに「未割り当て」フィルター・オプションが追加されました。 「未割り当て」フィルターは、どのグループにも属さないルールを確認するのに役立ちます。
ルールの未割り当てフィルター
「ユース・ケース・エクスプローラー」テーブル・レポートに、ルール・テストで使用されるログ・ソースへの特定の参照を返す「Test: Log source」列が追加されました。
test: logsource 列を含むレポート

ルール・ウィザードでのオフェンス・ルールの作成

ルール・ウィザードにオフェンス・ルールを作成する機能が追加されました。 ルール・ウィザードにアクセスするには、レポート・メニュー・バーの正符号アイコンをクリックしてください。

MITRE の機能拡張

MITRE v10 のサポートが追加されました。これにより、Enterprise、Mobile、および ICS の Techniques、Groups、および Software が更新されます。 バージョン 10 では、Scheduled Task/Job: Launchd サブ技法が非推奨になりました。 その結果、QRadar Use Case Manager はそのマッピングを、代わりに親の技法にリダイレクトします。 詳しくは、「Updates - October 2021」を参照してください。

カスタム・ルール属性の機能拡張

JSON ファイル内のカスタム・ルール属性データ (ルール・マッピングを含む) をエクスポートまたはインポートします。 同僚や QRadar デプロイメントの間でデータを共有し、作業の手間を省くことで、ワークフローの簡素化に役立ちます。 詳細については、 「カスタムルール属性のエクスポートとインポート」 および「 ルールのエクスポート」 を参照してください。

バージョン 3.3.0

FIPS 準拠

QRadar Use Case Manager は、連邦情報処理標準 140-2 (FIPS) に準拠しています。これは、データ・セキュリティーの確保に役立ちます。 QRadar Use Case Manager 3.3.0 以降は、 QRadar SIEM コンソールが FIPS 対応であるかどうかに関係なく、互換性のある QRadar バージョンで動作します。

カスタム・ルール属性

カスタム・ルール属性は、既存のルール属性に適合しないルールにアタッチできる情報の特定の部分を表します。 例えば、ルールが属しているユース・ケース、ルールの作成または保守を担当するチーム、またはルールのレビュー担当者が使用されます。 これで、任意のカスタム・ルール属性とその値を定義し、カスタム属性値をルールに割り当て、カスタム属性をユース・ケース・エクスプローラーの列として追加することができます。 詳細については、 カスタムルール属性をご覧ください。

ルール管理の改善

ルールが使用可能または使用不可になっている場合は、チェックが追加されるため、使用不可の依存関係のあるルールを使用可能にしたり、使用可能の従属のあるルールを使用不可にしたりすることはできません。

IBM QRadar Use Case Manager を使用して、IBM QRadar からルールを削除できるようになりました。 QRadar でルールを削除する場合と同じ制約事項が適用されます。 詳細については、 「ルールの削除」 を参照してください。

別の QRadar デプロイメントにインポートするためにルール・データをファイルにエクスポートするときに、エクスポートに関する詳細 (拡張子名や記述など) を入力することを選択できるようになりました。 これらの詳細情報は、対応する manifest.txt ファイルに含まれ、インポート時に「拡張の管理」ツールに表示されます。 詳細については、 エクスポート規則を参照してください。

MITRE の強化

選択された MITRE ATT&CK プラットフォームに基づくレポート・フィルター操作の改善。これにより、選択されていないプラットフォームに関連する結果がレポートに含まれなくなります。 選択したプラットフォームを変更するには、ユーザー設定を変更します。 詳細については、 「ユーザー設定のカスタマイズ」 を参照してください。

MITRE v9 に対するサポートが追加されました。これは、戦術、技法、グループ、ソフトウェア、およびプラットフォームを更新します。

アクティブ・ルールの調整の機能拡張

新しい Event Count 列は、Offense count 列でカウントされたオフェンスの数にルールが関連付けられているイベントの数を示します。
重要: この列は、 QRadar 7.4.1 フィックスパック 2 以降でサポートされています。

コンテンツをより正確に記述するために、クローズの理由とルールごとのオフェンスの合計 グラフが 理由とルールごとのクローズされたオフェンス に名前変更されます。

ルール調査詳細ページの機能拡張

ページの編集内容を更新するための最新表示アイコンが追加されました。

ページの「MITRE ATT&CK」セクションで、 MITRE タグの表示を拡張しました。 以前は、カラーシェーディングのみで信頼度が表わされていましたが、アクセシビリティの理由から形状が追加され、さらなる説明のために凡例が追加されました。
ミトレのタグと信頼度の凡例

コンテンツ拡張

新規コンテンツ拡張機能をインストールした後、ユース・ケース・エクスプローラー ページは 15 分以内にデータが表示され、リフレッシュされます。 以前のバージョンでは、リフレッシュは夜間にのみ行われたか、管理者 タブの 構成 ページで QRadar Use Case Manager キャッシュをクリアすることによってのみ行われました。

バージョン 3.2.0

ルールの機能拡張

特定の期間またはインストール以降にアクティブにならなかった、イベントをオフェンスに割り当てるルールについて報告できるようになりました。 特定の時間フレーム内にトリガーされないルールは誤って構成されている可能性があり、 IBM QRadar デプロイメントから最大限の価値を得られない可能性があります。 非アクティブのルールを確認して、チューニング・オプションがないか調べてください。 非アクティブなルールのフィルタリングは、 QRadar 7.4.1 フィックスパック 2 以降でサポートされています。 詳細については、 プロパティによるフィルタリングルールとビルディングブロックを参照してください。

「ユース・ケース・エクスプローラー (Use Case Explorer)」ページで使用できる任意の構成でルール・レポート・データを CSV 形式または JSON 形式にダウンロードするために、API を使用できます。 詳細については、 「API を使用したレポートデータへのアクセス」 を参照してください。

IBM QRadar User Behavior Analytics 4.1.0とのルール統合

QRadar User Behavior Analytics 4.1.0 を環境で使用している場合、QRadar User Behavior Analytics「ルールおよびチューニング」ページではなく、QRadar Use Case Manager 3.2.0 でユーザー分析ルールを管理できるようになりました。

両方のアプリケーションのアップグレード時に、アプリケーションは相互に通信し、ルールは自動的に統合されます。 QRadar Use Case Manager アプリケーションでルールをチューニングすると、変更内容が IBM QRadar User Behavior Analytics に返送され、ダッシュボードで使用できるようになります。これにより、ネットワークに対するユーザー・リスクが視覚化されます。

詳細については、 「ユーザー行動分析ルールの調査」 を参照してください。

アクティブなルールのチューニングの拡張

「アクティブなルール」ページに、クローズの理由および関連ルールでオフェンスをフィルタリングするための新しいグラフが追加されました。 例えば、フィルタリングにより、フォールス・ポジティブとしてクローズされたオフェンスを生成したルールを確認できます。 詳細については、 「違反を生成するアクティブなルールの調整」 を参照してください。
クローズ理由および関連ルール別の合計オフェンス数のグラフを示す画像

「オフェンスを生成するアクティブなルール」ページおよび「CRE イベントを生成するアクティブなルール」ページからルール・データを CSV 形式にエクスポートできるようになりました。

MITRE の機能拡張

オフェンスをクローズの理由に基づいて「時間フレーム内で検出」グラフから除外できるようになりました。 例えば、フォールス・ポジティブとしてクローズされたオフェンスを生成したルールを除外することができます。 フォールス・ポジティブが多数あるルールは、おそらく、チューニングが必要です。 「問題なし」としてクローズされたオフェンスは通常、組織にとって重要ではないと見なされます。 検出された MITRE 戦術および技法を確認する際、これらのオフェンスが含まれないようにすることができます。

企業向けの技法、グループ、およびソフトウェアを更新するサポートが MITRE v8.2 に追加されました。

すべての MITRE プラットフォームに対して、「時間フレーム内で検出」および「適用範囲のマップ (Coverage map)」の MITRE レポートをフィルタリングするためのサポートも追加されました。 デフォルトでは、Linux®、macOS,、および Windows プラットフォームがサポートされています。 プラットフォームの選択を変更すると、ヒート・マップ、フィルターでの戦術と技法の選択、および 「MITRE ATT & CK マッピング」 編集ページが影響を受けます。 詳細については、 「ユーザー設定のカスタマイズ」 を参照してください。

MITRE の適用範囲のマップおよび MITRE の適用範囲の要約グラフとトレンド・グラフを PNG イメージとしてエクスポートします。 その後、 QRadar Use Case Manager アプリケーションにアクセスできない同僚や幹部とイメージを共有することができます。

ワークフローの改善

表レポートに列を追加するためのウィンドウが再設計され、列を追加したり、レポートに表示される順序を調整したりするのが簡単になっています。 これで、列を検索したり、ウィンドウ内をスクロールして、追加する列を見つけることができます。
列選択ウィンドウを示す画像
「ルールの詳細」ページで、ルール・テスト内のビルディング・ブロックの名前がリンクされ、さらに調査するためにテスト情報が表示されるようになりました。
「ルールの詳細」ページのビルディング・ブロック・リンクを示す画像

バージョン 3.1.0

ルール・エクスポート機能の強化

ルールとその依存関係を XML としてエクスポートする機能が追加されました。その XML ファイルは、「管理」タブの「拡張の管理」機能を使用して別の QRadar デプロイメントにインポートできます。 この機能は、QRadar 7.4.0 以降でサポートされています。 詳細については、 エクスポート規則を参照してください。

MITRE 適用範囲の拡張

MITRE v8.1 に対するサポートが追加されました。 以前のバージョンのアプリケーションで作成されたすべてのカスタム・マッピングは、自動的に新規バージョンにマイグレーションされます。 現在非推奨になっている技法や特定の戦術では存在しない技法へのマッピングは削除され、マイグレーション・レポートに組み込まれます。 マイグレーション・レポートを参照して影響を受けるマッピングを確認することで、これらのルールへの新しいマッピングの作成を検討できます。 技術的な廃止に関する詳細については、を https://attack.mitre.org/resources/updates/ 参照してください。

レポート、フィルター、およびテンプレートでの MITRE サブ技法のサポートが追加されました。 これらのサブ技法は、Local Security Authority (LSA) シークレットにアクセスすることによる資格情報のダンプなど、攻撃者が目的を達成するために使用する行動をより具体的に記述します。 サブ技法は、「時間フレーム内で検出」グラフおよび「適用範囲のマップおよびレポート」グラフの MITRE ヒート・マップに追加されました。
図 1. MITRE の戦術および技法の適用範囲を示すヒート・マップ (サブ技法を含む)
MITRE の戦術および技法の適用範囲を示すヒート・マップ (サブ技法を含む)

MITRE ヒート・マップ・グラフの表示が強化され、グラフ内の縦線上にカーソルを置いたときに、ソフトウェアまたはグループの選択をリストするツールチップが追加されました。 ヒート・マップの計算は各技法に対して調整されており、そのサブ技法へのすべてのマッピングが、その技法へのマッピングであるかのようにカウントされます。 グラフのヘッダーとセル内の数字は、各戦術、技法、サブ技法にマッピングされている有効なルールの数を示しています。 ツールチップは、色とヒート・マップ計算の相関関係を説明するために追加されました。 また、戦術と技法をグラフにどのように表示するかについて、それらの名前を表示するか、ID を表示するか、あるいはその両方の組み合わせを表示するかを選択できます。 詳細については、 「特定の期間に検出されたMITRE戦術・技法の可視化」 および 「環境におけるMITRE戦術・技法のカバー率の可視化」 を参照してください。

複数のルールまたはビルディング・ブロックで MITRE マッピングを編集する際に、各技法のサブ技法を追加したり削除したりできるようになりました。 詳細については、 「複数のルールまたはビルディングブロックにおけるMITREマッピングの編集」 を参照してください。

MITRE マッピングを JSON ファイルにエクスポートし、それを MITRE ATT&CK Navigator にレイヤーとしてインポートできるようになりました。 詳細については、 「MITREマッピングファイルの共有」 を参照してください。

ログ・ソースの適用範囲の拡張

「ログ・ソース・タイプの適用範囲の要約」グラフには、各ログ・ソース・タイプの適用範囲を指定するルールの数と、各ログ・ソース・タイプが最後にオフェンスの原因となった日時が最終更新日に基づいて表示されます。 この表を使用して、対象のタイプのログ・ソースのイベント数を確認します。 オフェンスの最終更新日が古い場合は、該当するログ・ソース・タイプのルールのいずれかをチューニングしてみてください。 詳細については、 「ルールごとのログソースタイプのカバレッジの可視化」 を参照してください。
図 2. 「ログ・ソース・タイプの適用範囲の要約」グラフ
ルールごとの現在のログ・ソース・タイプの適用範囲を示すグラフ
「ログ・ソース・タイプのトレンド」グラフには、アプリケーションが最初にインストールされてから、時間の経過に伴って、ログ・ソース・タイプが原因となったオフェンスの数が表示されます。 グラフの下にあるチェック・ボックスをクリックすることで、特定のログ・ソース・タイプ別にグラフを微調整できます。
図3: 「ログ・ソース・タイプのトレンド」グラフ
ログ・ソースの傾向

「使用されるログ・ソース・タイプごとのルール」グラフに、最終更新日が追加されました。 この日付は、ルール・データを更新するか、自動更新が行われるまで待つかを決定するのに役立ちます。

詳細については、 「ルールごとのログソースタイプのカバレッジの可視化」 を参照してください。

統合

QRadar Pulse ダッシュボード・テンプレートをパッケージ化しました。 QRadar Pulse ユーザーは、このテンプレートをダッシュボードとして Pulse ワークスペースにインポートして、以下のグラフを表示できます。
  • 戦術ごとの MITRE ルール・マッピング
  • 戦術ごとの MITRE ルール・マッピングのトレンド
  • 使用されるログ・ソース・タイプごとの現在のルールおよび潜在的なルール
  • ログ・ソース・タイプの適用範囲とアクティビティー
詳細については、 「コンテンツ拡張機能からのダッシュボードテンプレートの同期」 を参照してください。 (https://www.ibm.com/support/knowledgecenter/SS42VS_SHR/com.ibm.Pulseapp.doc/t_Qapps_PulseDashboard_synchronize_templates.html)

ご使用の環境にオフェンスがインストールされている場合は、オフェンスへのリンクが QRadar Analyst Workflow の「オフェンス」ページにリンクされるようになりました。 QRadar Use Case ManagerQRadar Analyst Workflow から開かれると、Analyst ワークフローで選択されたテーマに表示されます。

ご使用の環境にリファレンス・セットがインストールされている場合、リファレンス・セットへのリンクが QRadar 「リファレンス」 Data Management アプリケーションのリファレンス・セットにリンクされるようになりました。

拡張されたテンプレートおよびレポート列データ

カスタム・テンプレートの名前と説明を編集することができます。 詳細については、 「レポートコンテンツテンプレートのカスタマイズ」 を参照してください。

デフォルトのテンプレートはいつでも変更できます。 「ユース・ケース・エクスプローラー (Use Case Explorer)」ページが最初にロードされたときに、デフォルトのテンプレートが実行されるようになりました。

新しい列「テスト: リファレンス・セット (エレメント数) (Test: Reference set (number of elements))」を使用すると、空のリファレンス・セットまたは多数のエレメントを持つリファレンス・セットに依存するルールを素早く参照できます。 例えば、「リファレンス・セットごとのルール」テンプレートを選択し、列カスタマイズ・オプションを使用して「リファレンス・セット」列を「リファレンス・セット (エレメント数) (Reference set (number of elements))」列に置き換えます。

バージョン 3.0.0

作業の効率化

カスタマイズ可能なユーザー設定に、明るいテーマと暗いテーマを使用するためのオプションと、ルール・レポートのテーブル行の高さを増減させるためのオプションが組み込まれています。 デフォルトの行の高さを低くして、スペースを節約しました。 詳細については、 「ユーザー設定のカスタマイズ」 を参照してください。

QRadar ユーザー設定に基づいて、複数言語のサポートが追加されました。 サポートされる言語は、英語、中国語 (簡体字)、中国語 (繁体字)、フランス語、ドイツ語、韓国語、ポルトガル語、ロシア語、スペイン語、イタリア語、および日本語です。

関係グラフおよび MITRE の適応範囲ヒート・マップをウィンドウいっぱいに拡大したり、ズームインやズームアウトによって詳細を確認したりすることができます。 「ユース・ケース・エクスプローラー (Use Case Explorer)」ページに戻っても、拡大したペインに適用したフィルターは維持されます。

また、レポートのグループ化モードで子の行を表示したり、子の行の数のみを表示したりするように選択することで、ルール・レポートでのテーブルのグループ化を詳細にカスタマイズすることもできます。 ツリー構造アイコンの矢印をクリックしてください。 その場合、現在表示されているグループ化可能な列から選択するか、実際の行ではなくレポート内の子行の数のみを表示します。 レポート列に項目数がある場合は、数値をクリックして実際の子項目のリストを表示します。 詳細については、 ルールレポートの表示を参照してください。

既存のルールを複製することで、新しいルールを作成する時間と手間を節約できます。 その上で、複製したルールを、ご使用の環境の要件に合わせてカスタマイズできます。 詳細については、 ルール複製によるさらなるカスタマイズを参照してください。

MITRE の適応範囲を可視化するための新しい方法

MITRE カバレッジの要約 レポートと MITRE カバレッジのトレンド レポートは、MITRE ATT&CK カバレッジを視覚化するための新しい方法を提供します。 適応範囲の要約レポートでは、現在の数および割合を調べて、ルール適応範囲から欠落している範囲を確認し、戦術の適応範囲の拡大を計画できます。 傾向レポートには、総合的ルール適用範囲の傾向が時系列で表示されます。 詳細については、 「環境におけるMITRE戦術および手法のカバレッジの可視化」 を参照してください。
MITRE のカバレッジの要約と傾向を示すグラフ

MITRE の適応範囲ヒート・マップで、MITRE によって識別されたグループまたはソフトウェアによって利用されている技法を識別できます。 レポートのフィルターで現在選択されている技法に関連しない技法をグラフから除外する (非表示にする) こともできます。 詳細については、 「環境におけるMITRE戦術と手法のカバレッジの可視化」 を参照してください。

IBM Security App Exchangeからコンテンツ拡張を追加して、ルールの適用範囲を改善します。

コンテンツ認識機能により、ルールの発生元であるコンテンツ拡張を確認できます。 IBM Security App Exchange上のコンテンツ拡張で使用可能なインストール済みルールおよびアンインストール済みルールのコンテンツ拡張でフィルタリングします。 インストールまたは更新を容易にするために、レポート内のコンテンツ拡張名から QRadar Assistant アプリケーション内の対応するダイアログにリンクします。 新しい定義済みテンプレートは、ログ・ソースおよび MITRE の適応範囲の増加に基づいて、 IBM Security App Exchange からのコンテンツ拡張を推奨します。
ルールごとに現行および潜在的なログ・ソース・タイプ・カバレッジを示すグラフ

新しいグラフには、 IBM Security App Exchangeからインストールできる、現在インストールされているルールとアンインストールされたルールによるログ・ソースの適用範囲と MITRE の適用範囲の概要が示されます。 詳細については、 「コンテンツ拡張によるルール QRadar 適用範囲の不足箇所の特定」 を参照してください。

ルールおよびビルディング・ブロック・フィルターの適用が容易に

以前は、「適用」ボタンがペインの下部に表示されており、フィルターを適用するにはクリックする必要があることが分かりにくいときがありました。 現在は、ペインで 1 つ以上のフィルターを選択している場合に限って表示されるようになっています。 フィルターを選択すると、フィルター行に別の色で表示されますが、「フィルターの適用」をクリックすると、色が変更されます。
ルール・レポートにフィルターを適用

ログ・ソース・ルール・テストに新しい検索フィルターを組み込みました。多数のログ・ソースがリストに存在する場合に、簡単にフィルタリングできます。 使用されるログ・ソース・タイプまたは未使用のログ・ソース・タイプのみに関連するルールをフィルタリングすることもできます。

ルール・ウィザードに表示されるデータが充実し、読みやすく

以下の機能強化を行い、ルール・ウィザードでのチューニングを改善しました。
  • ルール・アクションおよびルール応答のすべての部分をルール詳細ページに追加しました。 また、新しく 2 つの列「ルールの属性: ルール・アクションの詳細 (Rule attribute: Rule action details)」および「ルールの属性: ルール応答の詳細 (Rule attribute: Rule response details)」を追加しました。これらの列には、ルール・アクションおよびルール応答の詳細な情報が出力されます。
  • テスト定義セクションの前にルール有効範囲の情報を追加し、ルールがグローバルかローカルかを示すようにしました。
  • ログ・ソース・タイプのセクションをソートし、ログ・ソース・タイプの数を示すようにしました。
  • ルールの MITRE マッピングを編集した後、ルールの詳細が自動的に更新されるようにしました。
  • ルール詳細ページのレイアウトを改善しました。セクションの配置を見直して、一部のセクションをデフォルトで展開するようにしました。
ルールおよびビルディング・ブロックのチューニングのためのルール・ウィザード・レイアウトの改善

プロキシーの構成

QRadar Use Case ManagerIBM Security App Exchange にアクセスして、すべてのコンテンツ拡張のインストールされていないコンテンツ拡張および MITRE マッピングに関する最新情報を取得できるように、プロキシーを構成できるようになりました。 プロキシーを構成しなくてもアプリケーションの情報を確認できますが、古くなっている可能性があることに注意してください。

バージョン 2.3.1

パフォーマンスの向上

MITRE 関連のレポートおよびヒート・マップ適応範囲可視化の生成のほか、レポート生成全体のパフォーマンスが向上しました。

バージョン 2.3.0

アプリケーションへの MITRE マッピング機能の移動

MITRE マッピング機能が QRadar Use Case Managerに移動されました。 これにより、ルールと MITRE とのマッピングの編集プロセスが簡素化されます。 Cyber Adversary Framework Mapping app は、 QRadar Use Case Manager インストール・パッケージに含まれなくなりました。 Cyber Adversary Framework Mapping app が既にインストールされている場合、 QRadar Use Case Manager はインストール時に既存のマッピングを収集します。 その後、 Cyber Adversary Framework Mapping app を削除し、代わりに QRadar Use Case Manager を使用して、すべてのルール・マッピングがアプリケーション内で最新の状態になるようにすることができます。

メモリー所要量の削減

アプリケーションのメモリー所要量を 500 MB に削減しました。

ルールと MITRE とのマッピングの編集

いくつかのルールを選択し、それらに対する MITRE マッピングを一度に編集することで、時間と労力を節約できます。 必要であれば、編集したマッピングを選択してエクスポートすることもできます。

図 4. MITRE マッピングの編集
戦術、技法、および信頼性レベルの MITRE マッピングの編集

エクスポート機能の強化

現在のレポート・ビューに表示されているルールの MITRE マッピングのみをエクスポートするオプションと、アプリケーションのすべてのルール・マッピングをエクスポートするオプションが追加されました。 JSON ファイルを QRadar Use Case Managerの他のインスタンスと共有します。

図 5. すべてのルール、または現行ビューのルールのみの MITRE マッピングのエクスポート
ルールの「エクスポート」メニュー

ルール・エクスプローラーの機能拡張

詳細なコンテキストを提供するために、ルール・レポートで新しく「MITRE 戦術 ID (MITRE Tactic ID)」列と「MITRE 技法 ID (MITRE Technique ID)」列が使用できるようになりました。

複数のルールを選択し、それらをルール・ウィザードで開いて同時に調査します。
図 6. 複数のルールの選択およびその編集や調査の同時実行
テーブル・レポートの複数選択ルール

ルール可視化の機能拡張

関連リファレンス・セット、カスタム・プロパティー、およびログ・ソース・タイプを表示するオプションが追加されています。
図 7. ルールの関連リファレンス・セット、カスタム・プロパティー、およびログ・ソース・タイプを表示するオプション
ルールの関連リファレンス・セット、カスタム・プロパティー、およびログ・ソース・タイプを表示するオプション

修正された問題

ルールの詳細ページでルール応答の属性に「SNMP トラップ」が選択されている場合に、ルールの詳細ページで SNMP トラップが表示されない問題は修正されています。

バージョン 2.2.0

MITRE の強化

特定の期間に環境で検出された MITRE ATT&CK 戦術と技法を確認できるようになりました。 ヒート・マップと柔軟なレポートに、検出された戦術と技法、および関連するルールとオフェンスが表示されます。 詳細については、 特定の期間内に検出されたMITRE戦術・手法の可視化を参照してください。
特定の期間に検出された戦術と技法を示すヒート・マップ。

ATT &CK オプションは、ルール・エクスプローラーでより可視になりました。

ATT&CK アクション メニューにより、ヒート・マップへのアクセスが容易になり、ルールの適用範囲を確認し、戦術と技法を検出できます。 カバレッジのヒート・マップのスイッチは、現在のレポート内のルール・マッピングのみ、または環境内のすべてのルールに基づいて、テーブルの色分けをフィルターに掛けます。
ATT & CK アクション・メニューおよびルール・レポート・トグル

MITRE 戦術表のヘッダーが固定されてスクロールが簡単に

ヒート・マップの戦術ヘッダーは、表のスクロールダウン中に固定状態になるため、レビュー中の戦術と技法を追跡しやすくなりました。

ルール・エクスプローラーの強化

ドメインは、ルール・テスト・フィルターで表されるようになりました。 ドメイン・フィルター・グループには、複数ドメイン環境内のすべてのドメインがリストされます。 詳細については、 プロパティによるフィルタリングルールとビルディングブロックを参照してください。

ルール・レポートでコンテキストを詳細に説明するためのオプションとして、新しい「ルールの応答: イベントの説明」列を使用できるようになりました。

ルール・ウィザードの強化

ルール・ウィザードの「Rule details」画面内の MITRE タグに、マッピングの発生元の BB またはルールが表示されるようになりました。 この情報は、ルール・レポート内の列としても表示されます。
ルール・ウィザードの MITRE ツールチップ

修正された問題

  • ルール・エクスプローラーに古い名前または重複する名前が表示されるという、名前変更システム・ルールに関連する問題。
  • QRadar Use Case Manager 2.1.0 が動作しないという QRadar 7.3.1 の初期パッチの問題。

バージョン 2.1.0

  • レポート・テーブル内で関連するデータ・プロパティーをグループ化するオプションが追加されました。 詳細については、 ルールレポートの表示を参照してください。
  • ルール・エクスプローラーで既存のテンプレートからカスタム・テンプレートを作成するか、新規テンプレートを作成します。 詳細については、 「レポートコンテンツテンプレートのカスタマイズ」 を参照してください。
  • リスト内のすべてのグループを選択しやすくするために、ルール属性フィルターに「すべて選択」オプションが追加されました。
  • メモがある特定のルールを検索するために、「ルールの属性 (Rule attributes)」ページに「メモ」フィルターが追加されました。
  • このアプリケーションは、 IBM Security App Exchange で新しいバージョンをダウンロードできるようになったことを検出するようになりました。
  • MITRE ATT&CK に関連する以下の改善が導入されて、使いやすくなりました。
    • 技法の適用範囲のヒート・マップ内の各戦術および技法に関して、MITRE 資料を探索するためのアイコン・リンクが追加されました。
    • フィルターとレポートに 「マッピング有効 (Mapping enabled)」 列が追加されました。これは、 Cyber Adversary Framework Mapping appQRadar の間のマッピングがオンになっていることを示します。 無効になっているマッピングは、技法の適用範囲のヒート・マップに追加されません。
    • 編集のために Cyber Adversary Framework Mapping app でルールを直接開く機能がルール・ウィザードに追加されました。
    • 有効なルールのみを使用してヒート・マップの色を計算するように、ヒート・マップの式が再調整されました。
    • ツールチップを MITRE ATT&CK フィルターのページに追加して、ユーザーに Cyber Adversary Framework Mapping app の認証トークンを設定するよう通知します。
    • ルールに直接マップされている値のみを表示するように、「戦術 (ルール・レベル) (Tactic (at rule level))」および「技法 (ルール・レベル) (Technique (at rule level))」の列選択オプションが追加されました。
    • SaaS 管理者ユーザーが MITRE 関連のすべての機能にアクセスできるようにするために、 QRadar on Cloud の問題が修正されました。
  • QRadar が不完全なルールを処理する方法が原因で一部の製品バージョンの API が失敗し、 QRadar Use Case Managerでデータの不整合が発生するという問題が修正されました。
  • 50,000 個を超えるログ・ソースがある場合に、ログ・ソース・タイプ・フィルターに値が表示されない問題が修正されました。

バージョン 2.0.0

  • 属性、ルール・テスト、MITRE ATT&CK 戦術および技法などのさまざまなプロパティーによってルールをフィルタリングする、ルール・エクスプローラーが追加されました。 フィルターを使用して、ログ・ソースの適用範囲などのルールが定義されていること、および目的どおりに機能していることを確認します。 QRadar で編集する必要があるルール、または IBM QRadar Use Case Managerでさらに調査する必要があるルールを判別します。
  • Cyber Adversary Framework Mapping appが追加されました。 Cyber Adversary Framework Mapping app を使用すると、カスタム・ルールおよびビルディング・ブロックを MITRE ATT&CK 戦術および技法にマップして、QRadar のデフォルトのルール・マッピングをオーバーライドすることができます。
  • MITRE ATT&CK 戦術の可視化、および Cyber Adversary Framework Mapping app によるマッピングをカスタマイズする機能が追加されました。
  • 以下の軽微な UI の改善が行われました。
    • 調査ウィザードに移動するリンクおよびボタンにレンチ・アイコンが追加されました。
    • QRadarで開くリファレンス・セットのリンクが追加されました。

バージョン 1.1.0

  • IBM QRadar 7.3.2 以降でルールを自動的にダウンロードします。
  • 「ホスト定義」ページの「& ポート」タブで、参照セットの IP アドレスを編集する機能が追加されました。 IBM QRadar 7.3.1 以降でサポートされます。
  • 「ホスト定義」ページの「& ポート」タブで、ビルディング・ブロックおよびルールのポートを編集する機能が追加されました。 IBM QRadar 7.3.2 以降でサポートされます。

バージョン 1.0.1

rules.xml ファイルのアップロード制限が 50 MB に引き上げられました。