X-Force から派生したサスペクト・コンテンツ記述

7.5.0 の新機能

IBM X-Force 署名ライブラリーには、数千のシグニチャーの記述が含まれています。

拡張検査レベルおよび拡張検査レベルでは、QRadar Network InsightsX-Force 署名ライブラリーを使用して、疑わしいコンテンツを検出することができます。

シグニチャーと問題は、ネットワーク・アクティビティー タブ上の名寄せ候補コンテンツとして報告されます。 名寄せ候補コンテンツの説明の形式は、使用可能な情報によって異なります。
  • 検出された問題 ID の名前が分かっている場合は、疑わしいコンテンツの説明が以下の場所に表示されます。XForceIssue <Name>形式。

    例えば、名前付きの問題が XForceIssue Land_Attack と表示される場合があります。

  • 検出された問題に対して名前を解決できない場合、問題 ID は名寄せ候補コンテンツの説明に表示されます。

    例えば、名前を識別できない場合は、問題が XForceIssueID 2000001と表示されることがあります。

不審なコンテンツについて詳しく知るには、フロー情報 ウィンドウの一部のフィールドには、X-Force Exchange 内の詳細情報を表示するための直接リンクがあります。

署名ポリシー

QRadar Network Insightsによって報告されるのは、単一の接続に関連付けられている署名のみです。

現在のデプロイメントでサポートされている問題の完全なリストを表示するには、QRadar Network Insights アプライアンス上の /opt/ibm/xforce/metadata/issues.csv ファイルを表示します。 アタック・シグニチャーは、 「アタック」 列で識別されます。 デフォルトでは、すべてのアタック・シグニチャーが報告されます。 監査のみの署名の場合、 「監査」 列に示されているように、レポートはデフォルトで非アクティブ化されます。

7.5.0 Update Package 5 の新機能

PAM 構成設定を変更して、 IBM X-Force 署名の報告方法を変更できます。

注:

IBM X-Force 署名レポートの変更に使用できる PAM 構成スニペットを表示します。

以下の構成スニペットを PAM に適用する方法について詳しくは、 プロトコル分析モジュールの構成を参照してください。

明示的なポリシーが採用されていない場合は、以下の構成スニペットを使用して、 QRadar Network Insights がアタックおよび監査について報告する方法を変更できます。
この属性 デフォルト値 構成スニペット

攻撃に関するレポート

アクティブ化

この設定を非アクティブにするには、このスニペットを適用します。

<Pam reportAttacks="false">

</Pam>

監査に関するレポート

非アクティブ化

この設定をアクティブにするには、このスニペットを適用します。

<Pam reportAudits="true">

</Pam>
あるいは、事前構成されたポリシーを選択することもできます。 事前構成されたポリシーは、個々のアタックおよび監査の設定よりも優先されます。
ポリシー 説明 構成スニペット

中程度

ほとんどのアタック・イベントを有効にします。

誤アラームの可能性を最小限に抑えながら、優れたレベルのセキュリティー検出を提供します。

<Pam policy="moderate">

</Pam>

攻撃的である

高い割合のアタック・イベントを有効にします。

誤ったアラームが発生する可能性がある高水準のセキュリティー検出を提供します。

<Pam policy="aggressive">

</Pam>

極度

ほとんどすべてのアタック・イベントを使用可能にします。

誤アラームの可能性が高い、非常に高いレベルのセキュリティー検出を提供します。

<Pam policy="paranoid">

</Pam>

特定のポリシーで有効になっているシグニチャーを判別するには、 QRadar システム上の /opt/ibm/xforce/metadata/<policy>_issue_responses.csv ファイルを参照してください。

ポリシー設定全体が存在するかどうかに関係なく、以下の構成スニペットを使用して、個々の署名の設定を変更できます。
シグニチャーの状態 構成スニペット

非アクティブ化

このコード・スニペットを使用して、 2101118 を非アクティブ化するシグニチャー ID に置き換えます。

<Pam>
    <TuningParameters>
        <pam.report.2101118 value="0" />
    </TuningParameters>
</Pam>

アクティブ化

このコード・スニペットを使用し、 2101118 をアクティブ化する署名 ID に置き換えます。

<Pam>
    <TuningParameters>
        <pam.report.2101118 value="1" />
    </TuningParameters>
</Pam>

ルール内のコンテンツ記述のサスペクト

ご使用の環境に大きなリスクを提示するシグニチャーの場合、これらの脅威を検出して調査するのに役立つルールとオフェンスの通知を作成します。

ユーザー自身の環境で優先順位付けするシグニチャーを判別するには、以下の情報を考慮してください。
  • ユーザー自身の環境に最も関係のあるユース・ケース。
  • IBM X-Forceによって決定される署名の優先順位。
  • アップグレードの完了後に、/opt/ibm/xforce/metadata ディレクトリーに定義されている、中程度、攻撃的、または偏執的な問題ポリシー。
ルールで名寄せ候補コンテンツの説明を使用する場合は、検出するシグニチャーに固有のものを指定します。 このイメージは、テスト基準で名寄せ候補コンテンツ記述を使用するルールの例を示しています。
単一の規則で複数の署名を検出する場合は、リファレンス・セットを使用します。