ヒストリカル相関

ヒストリカル相関を使用して、カスタム・ルール・エンジン (CRE) を通じて過去のイベントおよびフローを実行することにより、既に発生した脅威またはセキュリティー・インシデントを識別します。

制約事項: IBM QRadar Log Managerではヒストリカル相関を使用できません。 IBM QRadar SIEMIBM QRadar Log Manager の違いについては、IBM QRadar 製品の Capabilities を参照してください。
デフォルトでは、 IBM QRadar SIEM デプロイメントは、ログ・ソースおよびフロー・ソースから収集された情報をほぼリアルタイムで分析します。 ヒストリカル相関では、開始時刻またはデバイス時刻により相関付けを行うことができます。 「開始時刻」 は、 QRadarがイベントを受信した時刻です。 デバイス時刻は、デバイスでイベントが発生した時刻です。
ヒストリカル相関は、次の場合に役立ちます。
一括データを分析する。
QRadar デプロイメントにデータを一括ロードする場合は、ヒストリカル相関を使用して、リアルタイムで収集されたデータとデータを相関させることができます。 例えば、通常の営業時間中にパフォーマンスが低下しないようにするために、毎晩深夜に複数のログ・ソースからイベントをロードします。 ヒストリカル相関を使用して、デバイス時刻によってデータの相関付けを行うことにより、過去 24 時間における一連のネットワーク・イベントを発生順に表示できます。
新しいルールをテストする。
ヒストリカル相関を実行して新しいルールをテストできます。 例えば、ご使用のサーバーのいずれかが、対応するルールを用意していない新しいマルウェアにより最近攻撃されたとします。 そのマルウェアを検査するルールを作成できます。 次に、ヒストリカル相関を使用して、ヒストリカル・データに対してルールを検査することにより、攻撃時にルールを用意していた場合に、そのルールで応答がトリガーされるかどうかを確認できます。 同様に、ヒストリカル相関を使用して、最初の攻撃の時期や攻撃の頻度を特定できます。 ルールのチューニングを続行し、その後、実稼働環境内にルールを移動することができます。
損失したオフェンスまたは消去されたオフェンスを再作成する。

システムで、障害や他の理由によりオフェンスが失われた場合、その期間中に発生したイベントおよびフローに対してヒストリカル相関を実行することで、オフェンスを再作成できます。

以前に発生した隠れた脅威を識別する。
最新のセキュリティーの脅威に関する情報が認識されるのに応じて、ヒストリカル相関を使用して、既に発生したがイベントをトリガーしなかったネットワーク・イベントを識別できます。 組織のシステムまたはデータを既に危殆化した脅威を簡単にテストできます。