IBM QRadarのカスタム・ルール
ルール (相関ルールと呼ぶこともある) は、アノマリを検索または検出するために、イベント、フロー、またはオフェンスに適用されます。 ルールは、テストのすべての条件が満たされると、応答を生成します。
ルールとは
カスタム・ルールは、イベント、フロー、およびオフェンスをテストし、ネットワーク内の異常なアクティビティーを検出します。 既存のルール・テストの AND と OR の組み合わせを使用して新規ルールを作成します。 アノマリ検出ルールは、ネットワークで異常なトラフィック・パターンが発生したときにそれを検出するために、保存済みのフローまたはイベント検索の結果をテストします。 アノマリ検出ルールには、共通パラメーターに沿ってグループ化された保存済みの検索が必要です。
ビルディング・ブロックとは
ビルディング・ブロックは、応答またはアクションを生じさせないテストのコレクションです。
ビルディング・ブロックは、使用頻度の高いテストをグループ化して複雑なロジックを構築し、ルールで再使用できるようにします。 ビルディング・ブロックは多くの場合、IP アドレス、特権ユーザー名、またはイベント名のコレクションをテストします。 例えば、ビルディング・ブロックには、すべての DNS サーバーの IP アドレスを含めることができます。 そうすることで、ルールはビルディング・ブロックを使用することができます。
QRadar にはデフォルトのルールがあり、 IBM Security App Exchange からさらにルールをダウンロードして新規ルールを作成することもできます。
ルールの仕組み
QRadar Event Collectors は、ローカル・ソースおよびリモート・ソースからイベントを収集し、それらのイベントを正規化し、下位カテゴリーおよび上位カテゴリーに分類します。 フローの場合、 QRadar Flow Collectors はワイヤーからパケットを読み取るか、他のデバイスからフローを受信してから、ネットワーク・データをフロー・レコードに変換します。 各 イベント・プロセッサー は、 QRadar Event Collectorsからのイベントまたはフロー・データを処理します。 Flow Processors は、動作の変更またはポリシー違反を示すために情報を調べて相関させます。 カスタム・ルール・エンジン (CRE) はイベントを処理し、定義ルールに対してそれらを比較してアノマリを検索します。 ルール条件が満たされると、 イベント・プロセッサー は、ルール応答で定義されているアクションを生成します。 CRE はインシデントに関連するシステムを追跡し、イベントをオフェンスに反映して、通知を生成します。
ルールからオフェンスが作成される方法
QRadar は、イベント、フロー、またはその両方がルールで指定されたテスト基準を満たす場合に、オフェンスを作成します。
- 受信イベントおよび受信フロー
- 資産情報
- 既知の脆弱性
オフェンスのタイプは、そのオフェンスを作成したルールによって決まります。
判定機能はオフェンスを優先順位付けし、複数の因子 (イベント数、重大度、関連性、信頼性など) に基づいてマグニチュード値を割り当てます。
例えば、マグニチュードの高いイベントでオフェンスをトリガーするように定義されたビルディング・ブロックがあるとします。 ログ・アクティビティーに、マグニチュードの高いイベントがあったが、オフェンスがトリガーされなかったことが示される可能性があります。 これは、ビルディング・ブロックがテストされたときに、イベントのマグニチュードが高くなかった場合に発生する可能性があります。 イベントのマグニチュードは、ルールがテストされるまでは高くなっていませんでした。
解決方法として、ビルディング・ブロックを使用するのではなく、重大度、信頼性、関連性および関連性の相違点検査ルールを設定することです。