X-Force から派生したサスペクト・コンテンツ記述
IBM X-Force 署名ライブラリーには、数千のシグニチャーの記述が含まれています。
拡張検査レベルおよび拡張検査レベルでは、QRadar Network Insights は X-Force 署名ライブラリーを使用して、疑わしいコンテンツを検出することができます。
- 検出された問題 ID の名前が分かっている場合は、疑わしいコンテンツの説明が以下の場所に表示されます。XForceIssue <Name>形式。
例えば、名前付きの問題が XForceIssue Land_Attack と表示される場合があります。
- 検出された問題に対して名前を解決できない場合、問題 ID は名寄せ候補コンテンツの説明に表示されます。
例えば、名前を識別できない場合は、問題が XForceIssueID 2000001と表示されることがあります。
不審なコンテンツについて詳しく知るには、フロー情報 ウィンドウの一部のフィールドには、X-Force Exchange 内の詳細情報を表示するための直接リンクがあります。
署名ポリシー
QRadar Network Insightsによって報告されるのは、単一の接続に関連付けられている署名のみです。
現在のデプロイメントでサポートされている問題の完全なリストを表示するには、QRadar Network Insights アプライアンス上の /opt/ibm/xforce/metadata/issues.csv ファイルを表示します。 アタック・シグニチャーは、 「アタック」 列で識別されます。 デフォルトでは、すべてのアタック・シグニチャーが報告されます。 監査のみの署名の場合、 「監査」 列に示されているように、レポートはデフォルトで非アクティブ化されます。
7.5.0 Update Package 5 の新機能PAM 構成設定を変更して、 IBM X-Force 署名の報告方法を変更できます。
IBM X-Force 署名レポートの変更に使用できる PAM 構成スニペットを表示します。
以下の構成スニペットを PAM に適用する方法について詳しくは、 プロトコル分析モジュールの構成を参照してください。
| この属性 | デフォルト値 | 構成スニペット |
|---|---|---|
攻撃に関するレポート |
アクティブ化 |
この設定を非アクティブにするには、このスニペットを適用します。
|
監査に関するレポート |
非アクティブ化 |
この設定をアクティブにするには、このスニペットを適用します。
|
| ポリシー | 説明 | 構成スニペット |
|---|---|---|
中程度 |
ほとんどのアタック・イベントを有効にします。 誤アラームの可能性を最小限に抑えながら、優れたレベルのセキュリティー検出を提供します。 |
|
攻撃的である |
高い割合のアタック・イベントを有効にします。 誤ったアラームが発生する可能性がある高水準のセキュリティー検出を提供します。 |
|
極度 |
ほとんどすべてのアタック・イベントを使用可能にします。 誤アラームの可能性が高い、非常に高いレベルのセキュリティー検出を提供します。 |
|
特定のポリシーで有効になっているシグニチャーを判別するには、 QRadar システム上の /opt/ibm/xforce/metadata/<policy>_issue_responses.csv ファイルを参照してください。
| シグニチャーの状態 | 構成スニペット |
|---|---|
非アクティブ化 |
このコード・スニペットを使用して、 2101118 を非アクティブ化するシグニチャー ID に置き換えます。
|
アクティブ化 |
このコード・スニペットを使用し、 2101118 をアクティブ化する署名 ID に置き換えます。
|
ルール内のコンテンツ記述のサスペクト
ご使用の環境に大きなリスクを提示するシグニチャーの場合、これらの脅威を検出して調査するのに役立つルールとオフェンスの通知を作成します。
- ユーザー自身の環境に最も関係のあるユース・ケース。
- IBM X-Forceによって決定される署名の優先順位。
- アップグレードの完了後に、/opt/ibm/xforce/metadata ディレクトリーに定義されている、中程度、攻撃的、または偏執的な問題ポリシー。

