ドメイン固有のルールおよびオフェンス

ルールは、単一ドメインのコンテキストで機能することも、全ドメインのコンテキストで機能することもできます。 ドメイン認識ルールには、「次のドメインと一致 (And Domain Is)」テストを含めるオプションがあります。

以下の図には、複数のドメインを使用した例が示されています。

図1: ドメイン認識ルール
ドメイン認識ルールの例

指定されたドメイン内部で発生するイベントにのみ適用されるようにルールを制限することができます。 ルールに設定されたドメインとは異なるドメイン・タグを持つイベントは、イベント応答をトリガーしません。

ユーザー定義ドメインがない IBM QRadar システムでは、ルールはオフェンスを作成し、ルールが起動するたびにオフェンスに寄与し続けます。 ドメイン認識環境では、異なるドメインのコンテキストでルールがトリガーされるたびに、新規のオフェンスが作成されます。

全ドメインのコンテキストで機能するルールは、システム規模のルールと呼ばれます。 システム全体で条件をテストするシステム規模のルールを作成するには、「次のドメインと一致 (And Domain Is)」テストのドメイン・リストで「任意のドメイン」を選択します。 「任意のドメイン」ルールによって「任意のドメイン」オフェンスが作成されます。

単一ドメインのルール
ルールがステートフル・ルールである場合は、ドメインごとに状態が個別に維持されます。 ルールは各ドメインで個別にトリガーされます。 ルールがトリガーされると、関連するドメインごとに個別にオフェンスが作成され、各オフェンスにそれらのドメインのタグが付けられます。
単一ドメインのオフェンス
このオフェンスには、対応するドメイン名を使用したタグが付けられます。 これに含めることができるのは、そのドメインでタグ付けされたイベントのみです。
システム規模のルール
ルールがステートフル・ルールである場合は、システム全体に対して単一の状態が維持され、ドメイン・タグは無視されます。 このルールが実行されると、単一のシステム規模のオフェンスを作成するか、またはそのオフェンスに寄与します。
システム規模のオフェンス
このオフェンスには、「任意のドメイン」のタグが付けられます。 これに含めることができるのは、全ドメインでタグ付けされたイベントのみです。

以下の表に、ドメイン認識ルールの例を示します。 これらの例では、Domain_A、Domain_B、Domain_C の 3 つのドメインが定義されたシステムを使用します。

以下の表の規則の例は、ご使用の QRadar 環境に適用できない場合があります。 例えば、フローとオフェンスを使用するルールは、 IBM QRadar Log Managerでは適用されません。

表 1. ドメイン認識ルール
ドメイン・テキスト 説明 ルールの応答
ドメインが次のいずれか: Domain_A Domain_A でタグ付けされたイベントのみを認識し、他のドメインでタグ付けされたルールは無視します。 Domain_A でタグ付けされたオフェンスを作成するか、またはこのオフェンスに寄与します。
ドメインが次のいずれか: Domain_A、および HTTP フローが 1 分以内に 10 回検出されたときとして定義されたステートフル・テスト Domain_A でタグ付けされたイベントのみを認識し、他のドメインでタグ付けされたルールは無視します。 Domain_A でタグ付けされたオフェンスを作成するか、またはこのオフェンスに寄与します。 単一状態 (HTTP フロー・カウンター) が Domain_A に対して維持されます。
ドメインが次のいずれか: Domain_A、Domain_B Domain_A および Domain_B でタグ付けされたイベントのみを認識し、Domain_C でタグ付けされたルールは無視します。

このルールは、単一ドメイン・ルールの 2 つの独立したインスタンスとして動作し、異なるドメインに対して個別のオフェンスを作成します。

Domain_Aでタグ付けされたデータの場合は、Domain_A タグ付けされた単一ドメインのオフェンスを作成するか、またはこのオフェンスに寄与します。

Domain_Bでタグ付けされたデータの場合は、Domain_B タグ付けされた単一ドメインのオフェンスを作成するか、またはこのオフェンスに寄与します。

ドメインが次のいずれか: Domain_A、Domain_B、および HTTP フローが 1 分以内に 10 回検出されたときとして定義されたステートフル・テスト Domain_A および Domain_B でタグ付けされたイベントのみを認識し、Domain_C でタグ付けされたルールは無視します。

このルールは、単一ドメイン・ルールの 2 つの独立したインスタンスとして動作し、2 つの異なるドメインに対して 2 つの個別の状態 (HTTP フロー・カウンター) を維持します。

このルールが Domain_A でタグ付けされた HTTP フローを 1 分以内に 10 件検出した場合は、Domain_A でタグ付けされたオフェンスを作成するか、またはこのオフェンスに寄与します。

このルールが Domain_B でタグ付けされた HTTP フローを 1 分以内に 10 件検出した場合は、Domain_B でタグ付けされたオフェンスを作成するか、またはこのオフェンスに寄与します。

ドメイン・テストが定義されていない 全ドメインでタグ付けされたイベントを認識し、ドメインごとにオフェンスを作成するか、またはこのオフェンスに寄与します。 各独立ドメインには専用のオフェンスが生成されますが、オフェンスには他のドメインからの寄与は含まれません。
HTTP フローが 1 分以内に 10 回検出されたときとして定義されたステートフル・テストがルールにあり、ドメイン・テストが定義されていない Domain_ADomain_B、または Domain_C でタグ付けされたイベントを認識します。 ドメインごとに別個の状態を維持し、別個のオフェンスを作成します。
ドメインが次のいずれか: 任意のドメイン どのドメインでタグ付けされているかにかかわらず、すべてのイベントを認識します。 Any Domain でタグ付けされた単一のシステム規模のオフェンスを作成するか、またはこのオフェンスに寄与します。
ドメインが次のいずれか: 任意のドメイン、および HTTP フローが 1 分以内に 10 回検出されたときとして定義されたステートフル・テスト どのドメインでタグ付けされているかにかかわらず、すべてのイベントを認識し、すべてのドメインに対して単一の状態を維持します。

Any Domain でタグ付けされた単一のシステム規模のオフェンスを作成するか、またはこのオフェンスに寄与します。

例えば、Domain_A でタグ付けされたイベント 3 件、Domain_B でタグ付けされたイベント 3 件、Domain_C でタグ付けされたイベント 4 件を 1 分以内に検出した場合は、合計で 10 件のイベントが検出されたので、オフェンスが作成されます。

ドメインが次のいずれか: 任意のドメイン、Domain_A 「ドメインが次のいずれか: 任意のドメイン」が設定されたルールと同じように機能します。 ドメイン・テストにAny Domainが含まれる場合は、リストされた単一ドメインがすべて無視されます。

オフェンス表を表示する際には、「ドメイン」列をクリックしてオフェンスをソートすることができます。 「デフォルト・ドメイン」はソート機能には含まれないため、アルファベット順には表示されません。 ただし、列が昇順と降順のどちらでソートされているかに応じて、「ドメイン」リストの先頭または末尾に表示されます。 「任意のドメイン」は、オフェンスのリストには表示されません。