IBM QRadarのカスタム・ルール

ルール (相関ルールと呼ぶこともある) は、アノマリを検索または検出するために、イベント、フロー、またはオフェンスに適用されます。 ルールは、テストのすべての条件が満たされると、応答を生成します。

ルールとは

カスタム・ルールは、イベント、フロー、およびオフェンスをテストし、ネットワーク内の異常なアクティビティーを検出します。 既存のルール・テストの AND と OR の組み合わせを使用して新規ルールを作成します。 アノマリ検出ルールは、ネットワークで異常なトラフィック・パターンが発生したときにそれを検出するために、保存済みのフローまたはイベント検索の結果をテストします。 アノマリ検出ルールには、共通パラメーターに沿ってグループ化された保存済みの検索が必要です。

ビルディング・ブロックとは

ビルディング・ブロックは、応答またはアクションを生じさせないテストのコレクションです。

ビルディング・ブロックは、使用頻度の高いテストをグループ化して複雑なロジックを構築し、ルールで再使用できるようにします。 ビルディング・ブロックは多くの場合、IP アドレス、特権ユーザー名、またはイベント名のコレクションをテストします。 例えば、ビルディング・ブロックには、すべての DNS サーバーの IP アドレスを含めることができます。 そうすることで、ルールはビルディング・ブロックを使用することができます。

QRadar にはデフォルトのルールがあり、 IBM Security App Exchange からさらにルールをダウンロードして新規ルールを作成することもできます。

ルールの仕組み

QRadar Event Collectors は、ローカル・ソースおよびリモート・ソースからイベントを収集し、それらのイベントを正規化し、下位カテゴリーおよび上位カテゴリーに分類します。 フローの場合、 QRadar Flow Collectors はワイヤーからパケットを読み取るか、他のデバイスからフローを受信してから、ネットワーク・データをフロー・レコードに変換します。 各 イベント・プロセッサー は、 QRadar Event Collectorsからのイベントまたはフロー・データを処理します。 Flow Processors は、動作の変更またはポリシー違反を示すために情報を調べて相関させます。 カスタム・ルール・エンジン (CRE) はイベントを処理し、定義ルールに対してそれらを比較してアノマリを検索します。 ルール条件が満たされると、 イベント・プロセッサー は、ルール応答で定義されているアクションを生成します。 CRE はインシデントに関連するシステムを追跡し、イベントをオフェンスに反映して、通知を生成します。

ルールからオフェンスが作成される方法

QRadar は、イベント、フロー、またはその両方がルールで指定されたテスト基準を満たす場合に、オフェンスを作成します。

QRadar は、以下の情報を分析します。
  • 受信イベントおよび受信フロー
  • 資産情報
  • 既知の脆弱性

オフェンスのタイプは、そのオフェンスを作成したルールによって決まります。

判定機能はオフェンスを優先順位付けし、複数の因子 (イベント数、重大度、関連性、信頼性など) に基づいてマグニチュード値を割り当てます。

注: ビルディング・ブロックは、ルールがテストされる前にテストされます。

例えば、マグニチュードの高いイベントでオフェンスをトリガーするように定義されたビルディング・ブロックがあるとします。 ログ・アクティビティーに、マグニチュードの高いイベントがあったが、オフェンスがトリガーされなかったことが示される可能性があります。 これは、ビルディング・ブロックがテストされたときに、イベントのマグニチュードが高くなかった場合に発生する可能性があります。 イベントのマグニチュードは、ルールがテストされるまでは高くなっていませんでした。

解決方法として、ビルディング・ブロックを使用するのではなく、重大度、信頼性、関連性および関連性の相違点検査ルールを設定することです。