例: MD5 シグニチャーに基づいたマルウェアのアウトブレークの検出
大規模な組織のネットワーク・セキュリティー・アナリストは、 QRadar を使用して、マルウェアの発生を検出します。 アウトブレークの基準を、4 時間に 10 台のホストで発生する脅威と設定します。 この脅威検出の基盤として MD5 シグニチャーを使用します。
脅威が存在するかどうかを判別するために着信ログを評価するように IBM
QRadar を構成してから、同じ MD5 シグニチャーを含むすべての起動されたルールを単一のオフェンスにグループ化します。
- カスタム・プロパティーを作成 して、ログから MD5 署名を抽出します。 カスタム・プロパティーは必ず、最適化および有効化してください。
- ルールを作成 し、 MD5 シグニチャー・カスタム・プロパティーをオフェンス索引フィールドとして使用するオフェンスを作成するようにルールを構成します。 ルールが起動すると、オフェンスが作成されます。 同じ MD5 シグニチャーを持つ起動されたルールはすべて 1 つのオフェンスにグループ化されます。
- オフェンスのタイプで検索 して、 MD5 シグニチャー・カスタム・プロパティーによって索引付けされたオフェンスを見つけることができます。