QRadar Network Threat Analytics での脅威ハンティング

このワークフローを使用して、 IBM® QRadar® Network Threat Analytics を使用してネットワーク内の異常なトラフィックを分析する方法を学習します。 この脅威ハンティング・ワークフローは、ネットワーク上ではめったに見られないアプリケーションからのデータ転送を調べて、さらなる調査が必要かどうかを評価します。

このワークフローは単なる例であり、役立つと思われる特定の情報およびプロセスを強調表示することを目的としています。 ご使用の環境でネットワーク・トラフィックを調査する方法は、ここに示すものと異なる場合があります。

重要: このワークフローに表示されているイメージは、以前のバージョンの QRadar Network Threat Analyticsでキャプチャーされたものです。 インターフェースは異なる場合がありますが、ワークフローは引き続き有効です。

手順

  1. ホーム・ページを見ると、最も一般的なアプリケーションと最も一般的でないアプリケーション、およびトラフィック量が最も多い国と最も少ない国を確認できます。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. この例では、最も一般的でないアプリケーションは Misc.MITMLDeviceです。
    2. 「テーブル・ビュー」 タブをクリックして、分析されたフロー・レコードを確認します。
  2. 「テーブル・ビュー」 タブで、一部のフロー・レコードの異常値スコアが 100 であることを確認できます。 詳しくは、 フロー・レコード分析 ページを開いてください。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. 外れ値スコア は、ベースライン・オカレンスと、このトラフィックがベースラインから逸脱している量から導出されます。
    2. これまでベースラインに表示されなかったフロー・レコードは、自動的に 100 の外れ値スコアを受け取ります。
    3. ベースライン・トラフィックと一致しなかったフロー属性を確認できます。 この例では、宛先ネットワークです。
    4. 接続の概要 」ウィジェットでは、トラフィックが TLS によるローカル間通信であることも確認できます。
    突然、あるサーバーに流入し始めたこの TLS のトラフィックについては、後ほど調査した方が良いかもしれません。 しかし、現時点では、ネットワーク・トラフィックに引き続き焦点を当てます。
  3. 「テーブル・ビュー」 タブには、検討するフロー・レコードの範囲を絞り込むために役立ついくつかのフィルター・オプションがあります。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. フィルター リストをクリックして、フィルタリングに使用できるフロー属性を表示します。
    2. ベースライン・トラフィックである 属性を展開し、 を選択します。
      このフィルターは、異常値スコアが 100 のすべてのフローを削除します。 フロー・レコード テーブルには、ベースラインで以前に監視されたフローのみが表示されるようになりました。
  4. 調査するユース・ケースに合わせて、引き続き追加のフィルター基準を適用します。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. クイック・フィルターは、一般的なユース・ケースに適用される事前設定フィルター・セットです。 フィルターの説明を確認して、それぞれの基準について学習します。
      この例では、 最も一般的でないアプリケーション フィルターがユース・ケースに最も適用されます。
    2. 矢印をクリックして検索を適用し、既存のフィルター選択を上書きします。 あるいは、クイック・フィルター基準をマージして、新しいフィルターを既存の選択項目に追加することができます。
      この例では、クイック・フィルターが既存の基準とマージされます。
  5. フィルターの基準がフロー・レコードに適用されます。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. 「フィルター基準」 セクションには、適用されているフィルター基準が表示されます。
    2. フロー・レコードの数が少ないほど、 Misc.MITMLDevice アプリケーションの 3 つのフロー・レコードがあることが分かりやすくなります。
      フロー・レコード分析 ページを開いて、これらのレコードのいずれかを詳しく調べます。
  6. フロー・レコード分析 」ページには、フロー・レコードに関する詳細情報が表示されます。

    以下のリストでは、上記の画像のアノテーションについて説明します。

    1. 100 のうち 18 で、外れ値のスコアが低い場合は、トラフィックが通常のベースライン・トラフィックからわずかに逸脱していることを示します。
    2. ベースラインの発生はまれです。これは、アプリケーションがこのタイプのフローを頻繁に認識することを予期していないことを示します。
    3. 「フロー・プロパティー」 表には、フロー属性の値が表示され、ネットワーク・ベースラインで一般的に検出される属性値と比較されます。
      この例では、アプリケーション ID (34208) がベースライン値の 1 つであることが分かります。 そのため、この場合、トラフィックはまれですが、ベースライン・トラフィックに従って予期される範囲内にあります。 この相関は、フローが無害であることを示す指標である可能性があります。
  7. このフロー・レコードをさらに詳しく調べるには、いくつかの方法があります。

    1. ご使用の環境にインストールした内容に応じて、 IBM QRadar Analyst Workflow または Network Analyticsでフローを開くことができます。
      あるいは、 QRadar Network Threat Analytics アプリケーション内にとどまり、IP アドレス、フロー ID、ソース・ネットワーク、または宛先ネットワーク上でピボットを実行することもできます。

      フロー・レコードがご使用の環境に対する脅威を表していないことが納得するまで、さまざまな角度からフロー・レコードを引き続き確認することができます。