ヒストリカル相関の概要
ヒストリカル相関プロファイルを構成して、分析するヒストリカル・データおよびテストする対象のルール・セットを指定します。 ルールがトリガーされると、オフェンスが作成されます。 調査および修復のためにオフェンスを割り当てることができます。
データ選択
プロファイルは、保存済み検索を使用して、実行時に使用するヒストリカル・イベント・データおよびヒストリカル・フロー・データを収集します。 ヒストリカル相関の実行に含めるイベントおよびフローを表示する権限がセキュリティー・プロファイルによって付与されていることを確認してください。
ルール選択および処理
QRadar コンソールは、ヒストリカル相関プロファイルに指定されているルールに対してのみデータを処理します。
イベントとフローの両方の共通ルール・テスト・データ。 イベントとフローの両方を表示する権限を持っていなければ、共通ルールをプロファイルに追加することはできません。 イベントとフローの両方を表示する権限を持たないユーザーがプロファイルを編集すると、自動的に共通ルールがプロファイルから削除されます。
無効なルールをヒストリカル相関プロファイルに含めることができます。 プロファイルの実行時には、無効なルールが入力イベントおよびフローに対して評価されます。 ルールがトリガーされ、ルール・アクションでオフェンスの生成が指定されている場合は、ルールが無効になっていても、オフェンスが作成されます。 不要な情報によって注意が妨げられないように、ヒストリカル相関中は、ルールの応答 (レポート生成やメール通知など) が無視されます。
ヒストリカル相関の処理は単一のロケーションで実行されるため、プロファイルに含まれているルールはグローバル・ルールとして扱われます。 この処理によってルールがローカルからグローバルに変更されることはありませんが、ヒストリカル相関の実行時には、ルールはグローバルであるかのように扱われます。 ステートフル・ルールなどの一部のルールは、ローカルのイベント・プロセッサーで実行される通常の相関の場合と同じ応答を起動しないことがあります。 例えば、5 分以内に同一のユーザー名からの 5 回のログイン失敗がないかを追跡するローカルのステートフル・ルールは、通常の相関の実行とヒストリカル相関の実行では振る舞いが異なります。 通常の相関では、このローカル・ルールは、ローカルの各イベント・プロセッサーが受け取ったログイン失敗数のカウンターを維持します。 ヒストリカル相関では、このルールは QRadar システム全体に対して単一のカウンターを維持します。 この状態では、通常の相関の実行と比べて、オフェンスの作成の仕方が異なる場合があります。
オフェンス作成
ヒストリカル相関がオフェンスの作成を実行するのは、ルールがトリガーされ、ルール・アクションでオフェンスの作成が指定されている場合のみです。 ヒストリカル相関の実行は、リアルタイムのオフェンスには反映されず、同じプロファイルを使用されている場合でも、前のヒストリカル相関の実行から作成されたオフェンスには反映されません。
ヒストリカル相関の実行によって作成できるオフェンスの最大数は 100 件です。 制限に達すると、ヒストリカル相関の実行が停止します。
リアルタイムのオフェンスを確認するのと同時に、「脅威およびセキュリティーのモニター」ダッシュボードおよび「オフェンス」タブにヒストリカル・オフェンスを表示できます。