オフェンスの連鎖
IBM QRadar は、レビューする必要があるオフェンスの数を減らすためにオフェンスをまとめてチェーニングします。これにより、脅威の調査と修復にかかる時間が短縮されます。
オフェンスの連鎖は、複数の症状を繋げて単一のオフェンスに見せることで、問題の根本原因を探しやすくします。 オフェンスが時間の経過と共にどのように変化したかを理解することで、分析時に見落とされていた可能性がある事項を確認できます。 それ自体だけでは調査に値しない一部のイベントも、他のイベントと関連付けられてパターンを示す場合に、突如として関心を持たれる可能性があります。
オフェンスの連鎖は、ルールに指定されているオフェンスの索引フィールドに基づいています。 例えば、オフェンスの索引フィールドとして送信元 IP アドレスを使用するようにルールが構成されている場合、その送信元 IP アドレスを持つオフェンスがアクティブである間は、そのオフェンスが 1 つのみ存在します。
チェーニングされたオフェンスは、「オフェンスのサマリー」ページの「説明」フィールドで「
preceded by」を検索することで判別できます。 以下の例では、 QRadar は、3 つのルールのそれぞれに対して発生したすべてのイベントを 1 つのオフェンスに結合し、 「説明」 フィールドにルール名を追加します。Exploit Followed By Suspicious Host Activity - Chained
preceded by Local UDP Scanner Detected
preceded by XForce Communication to a known Bot Command and Control