統合ワークフローの例
ユーザーおよびグループの情報が収集され、リファレンス・データ収集に保管された後、 IBM QRadar SIEMでデータを使用する方法は多数あります。
会社のセキュリティー・ポリシーに対するユーザーの順守を示す有効なレポートとアラートを作成することができます。
ここでは、以下の例について考えてみます。
特権 ISIM ユーザーが実行するアクティビティーがセキュリティー・ポリシーに準拠するようにするには、以下のタスクを実行します。
各 ISIM サーバーの監査データを収集して解析するためのログ・ソース (ログの収集元) を作成します。 ログ・ソースの作成方法について詳しくは、「 ログ・ソース・ガイドの管理」を参照してください。
- ISIM サーバー用のユーザー情報ソースを作成して、ISIM 管理者ユーザー・グループ情報を収集します。 このステップにより、「ISIM 管理者」というリファレンス・データ収集が作成されます。
- 送信元 IP アドレスが ISIM サーバーで、ユーザー名が ISIM 管理者リファレンス・データ収集にリストされているイベントをテストするビルディング・ブロックを構成します。 ビルディング・ブロックについて詳しくは、「ユーザーズ・ガイド」を参照してください。
- カスタムのビルディング・ブロックをフィルターとして使用するイベント検索を作成します。 イベント検索について詳しくは、ご使用の製品の「 IBM QRadar ユーザー・ガイド 」を参照してください。
- カスタム・イベントを使用するカスタム・レポートを作成し、特権 ISIM ユーザーの監査アクティビティーに関する日次レポートを生成します。 生成されたレポートには、セキュリティー・ポリシーに違反している ISIM 管理者アクティビティーかないかどうかが示されます。 レポートについて詳しくは、ご使用の製品の「 IBM QRadar ユーザー・ガイド 」を参照してください。
注: アプリケーション・セキュリティー・ログを収集する場合は、デバイス・サポート・モジュール (DSM) を作成する必要があります。 詳細については、「 IBM
QRadar DSM 構成ガイド」を参照してください。