ネットワーク・アノマリ (Network Anomaly)
IBM Security QRadar Network Anomaly Content Extension を使用して、異常を詳細に監視します。
重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。
このコンテンツ拡張には、1 つ以上の Pulse ダッシュボードが組み込まれています。 Pulse ダッシュボードについて詳しくは、 QRadar Pulse アプリケーションを参照してください。
IBM Security QRadar ネットワーク・アノマリ・コンテンツ拡張 1.1.1
次の表では、 IBM Security QRadar Network Anomaly Content Extension 1.1.1で更新されたルールを示しています。
| 名前 | 説明 |
|---|---|
| Suspicious Number of Account Lockouts | 同じユーザーがロックアウトされた回数が異常に多い場合にトリガーされます。 注: コンプライアンス要件に従ってこのルールをチューニングしてください。
このルールは以前は「Unusually High Number of Account Lockouts for Same User」という名前でした。 |
| Suspicious Number of Same User Logins to Multiple Devices | 同じユーザーが短期間に複数のデバイスにログインしようとした場合にトリガーされます。 注: コンプライアンス要件に従ってこのルールをチューニングしてください。
|
IBM Security QRadar Network Anomaly コンテンツ拡張 1.1.0
次の表では、 IBM Security QRadar Network Anomaly Content Extension 1.1.0で更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:HostDefinition: Mail Servers | 標準的なメール・サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: Mail Server False Positives Categories」および「BB:FalsePositve: Mail Server False Positive Events」の各ビルディング・ブロックと共に使用します。 |
| ビルディング・ブロック | BB:Policy Violation: IRC IM Policy Violation: IM Communications | インスタント・メッセージ通信であることが特定されているフローを検出します。 |
| ビルディング・ブロック | BB:Policy Violation: Mail Policy Violation: Outbound Mail Sender | リモート・ホストにホストがメールを送信していることを示すフローを検出します。 |
| ルール | Anomaly: DMZ Jumping | ネットワーク DMZ をまたいで接続がブリッジされていると思われる場合にトリガーされます。 |
| ルール | コンプライアンス: DMZ から内部ネットワークへのトラフィック | DMZ から内部ネットワークにトラフィックが渡された場合にトリガーされます。 通常、これはコンプライアンス規制の下では許可されません。 ネットワーク階層内の DMZ オブジェクトを必ず定義し、その上でこのルールを有効にする必要があります。 |
| ルール | Impossible Travel Detected | 移動速度と距離に基づくと短時間での移動が不可能な場所から認証成功が検出された場合にトリガーされます。 |
| ルール | Local: SSH or Telnet Detected on Non-Standard Port | 非標準ポートでリモート FTP 通信が検出された場合にトリガーされます。 FTP 用のデフォルトのポートは TCP ポート 21 です。 他のポートで FTP が検出されるということは、ホストが不正侵入され、ホストへのバックドア・アクセスを提供するために攻撃者がこのサービスをホストにインストールしたことを示している可能性があります。 |
| ルール | Local: SSH or Telnet Detected on Non-Standard Port | 非標準ポートでローカルの SSH または Telnet 通信が検出された場合にトリガーされます。 SSH サーバーと Telnet サーバーのデフォルトのポートは、TCP ポート 22 と 23 です。 他のポートで稼動する SSH または Telnet の検出は、攻撃者がホストへのバックドア・アクセスを可能にするためにこれらのサーバーをインストールしたエクスプロイト・ホストを示している可能性があります。 |
| ルール | リモート: 非標準ポートで FTP が検出されました | 非標準ポートでリモート FTP 通信が検出された場合にトリガーされます。 FTP 用のデフォルトのポートは TCP ポート 21 です。 他のポートで FTP が検出されるということは、ホストが不正侵入され、ホストへのバックドア・アクセスを提供するために攻撃者がこのサービスをホストにインストールしたことを示している可能性があります。 |
| ルール | Remote: Local P2P Client Connected to more than 100 Servers | ローカル・ホストがピアツーピア (P2P) クライアントとして動作している場合にトリガーされます。 これはローカル・ネットワークのポリシーの違反を示しており、著作権侵害などの違法なアクティビティーを示している場合があります。 |
| ルール | Remote: Local P2P Client Detected | ローカル・ホストがピアツーピア (P2P) クライアントとして動作している場合にトリガーされます。 これはローカル・ネットワークのポリシーの違反を示しており、著作権侵害などの違法なアクティビティーを示している場合があります。 |
| ルール | Remote: Local P2P Server Detected | ローカル・ホストがピアツーピア (P2P) サーバーとして動作している場合にトリガーされます。 これはローカル・ネットワークのポリシーの違反を示しており、著作権侵害などの違法なアクティビティーを示している場合があります。 |
| ルール | Remote: Possible Tunneling | ポリシーのバイパスを示す可能性があるトンネリング、または感染したシステムが検出された場合にトリガーされます。 |
| ルール | Remote: SMTP Mail Sender | 同じ送信元からインターネットにローカル・ホストが多数の SMTP フローを 1 回の間隔で送信した場合にトリガーされます。 これは、大量メール送信、ワーム、またはスパム・リレーが存在することを示している可能性があります。 |
| ルール | Remote: SSH or Telnet Detected on Non-Standard Port | 非標準ポートでリモートの SSH または Telnet 通信が検出された場合にトリガーされます。 SSH サーバーと Telnet サーバーのデフォルトのポートは、TCP ポート 22 と 23 です。 他のポートで稼動する SSH または Telnet の検出は、攻撃者がホストへのバックドア・アクセスを可能にするためにこれらのサーバーをインストールしたエクスプロイト・ホストを示している可能性があります。 |
| ルール | リモート: 疑わしい量の IM/Chat トラフィック (Remote: Suspicious Amount of IM/Chat Traffic) | 単一の送信元からの過剰な量の IM/チャットのトラフィックが検出された場合にトリガーされます。 |
| ルール | 複数の MAC アドレスを持つ単一 IP | 1 つの IP アドレスに関連付けられた MAC アドレスが一定期間に複数回変更された場合にトリガーされます。 |
| ルール | Successful Login from Specific City | 選択した IP アドレスについて MaxMind から提供されたロケーション・データを返し、「Impossible Travel」リファレンス・テーブルにデータを取り込みます。 |
| ルール | 多数の異なるプロトコルを使用するシステム | ローカル・システムが 1 時間に 50 個を超える DST ポートでインターネットに接続している場合にトリガーされます。 接続に成功する必要があります。 このルールを編集して、有益な場合もある失敗した通信を検出することもできます。 |
| ルール | Unusual Number of Devices Logged on by Same User | 同じユーザーが短期間に異常な数のデバイスにログオンしたと考えられる場合にトリガーされます。 |
| ルール | Unusually High Number of Account Lockouts for Same User | 同じユーザーがロックアウトされた回数が異常に多い場合にトリガーされます。 |
以下のビルディング・ブロックおよびルールは、 IBM Security QRadar Network Anomaly Content Extension 1.1.0で削除されました。 これらは、コンプライアンス・コンテンツ拡張で使用できます。
- BB:CategoryDefinition: Countries/Regions with no Remote Access
- Excessive Firewall Accepts From Multiple Sources to a Single Destination
- 海外の国/地域からのリモート・アクセス
- 外部の国/地域からのリモート・インバウンド通信
次の表では、 IBM Security QRadarNetwork Anomaly コンテンツ拡張 1.1.0の新規または更新されたリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・テーブル | Impossible Travel | 特定の市区町村に関連する IP アドレスとユーザー名のリストが入れられます。 |
| リファレンス・テーブル | Impossible Travel Users | 速度と距離に基づくと不可能な移動に関連するユーザーのリストが入れられます。 |
| リファレンス・データ | pulse_imports | Pulse ダッシュボードの一部。 |
IBM Security QRadar ネットワーク・アノマリ・コンテンツ拡張 1.0.3
コンテンツ拡張で誤った数のルールが表示されることがなくなりました。
IBM Security QRadar Network Anomaly コンテンツ拡張 1.0.2
次の表では、 IBM Security QRadar Network Anomaly Content Extension 1.0.2で更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:DeviceDefinition: FW / Router / Switch | FW/ルーター/スイッチ・デバイスによってビルディング・ブロックを更新しました。 |
| ルール | Excessive Firewall Accepts From Multiple Sources to a Single Destination | 命名基準に従ってルール名を変更しました。 |
| ルール | 多数の異なるプロトコルを使用するシステム | 命名基準に従ってルール名を変更しました。 |
| ルール | 複数の MAC アドレスを持つ単一 IP | 命名基準に従ってルール名を変更しました。 |
IBM Security QRadar Network Anomaly コンテンツ拡張 1.0.1
次の表では、 IBM Security QRadar Network Anomaly Content Extension 1.0.1で更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:DeviceDefinition: FW / Router / Switch | 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。 |
| ビルディング・ブロック | BB:HostDefinition: DHCP Servers | 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。 |
| ビルディング・ブロック | BB:CategoryDefinition: Successful Communication | 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。 |
| ルール | Anomaly: Excessive Firewall Accepts From Multiple Sources to a Single Destination | BB:DeviceDefinition: FW / Router / Switch ビルディング・ブロックにルール・テストを追加しました。 |
| ルール | Anomaly: さまざまなプロトコルを使用するシステム | BB:DeviceDefinition: FW / Router / Switch ビルディング・ブロックにルール・テストを追加しました。 |
| ルール | 複数の MAC アドレスを持つ単一 IP | BB:HostDefinition: DHCP Servers ビルディング・ブロックにルール・テストを追加しました。 |
IBM Security QRadar Network Anomaly コンテンツ拡張 1.0.0
次の表では、 IBM Security QRadar Network Anomaly コンテンツ拡張 1.0.0のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:CategoryDefinition: プリ・リバースDMZジャンプ | DMZ ジャンプ・シナリオ内で見られる場合があるアクションを識別します。 これは主に Anomaly: DMZ Jumping および Anomaly: DMZ Reverse Tunnel によって使用されます。 |
| ビルディング・ブロック | BB:CategoryDefinition: Authentication Success | ネットワークへのアクセスに成功した試行を示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:CategoryDefinition: Countries/Regions with no Remote Access | 通常は企業へのリモート・アクセスが許可されない任意の地理的位置を含めるには、このビルディング・ブロックを編集します。 構成すると、「アノマリ: 外国/外部地域からのリモート・アクセス」ルールを有効にすることができます。 |
| ビルディング・ブロック | BB:CategoryDefinition: Firewall or ACL Accept | ファイアウォールへのアクセスを示すすべてのイベントを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:CategoryDefinition: 逆DMZジャンプ | DMZ ジャンプ・シナリオ内で見られる場合があるアクションを識別します。 これは主に Anomaly: DMZ Jumping および Anomaly: DMZ Reverse Tunnel によって使用されます。 |
| ビルディング・ブロック | BB:CategoryDefinition: Successful Communication | 成功した通信の特徴であるフローを定義します。 この率を 1 パケット当たり 64 バイトに下げることもできます。ただし、これを行うと多くのフォールス・ポジティブが発生することになり、フラグやその他のプロパティーを使用した追加の調整が必要となる場合があります。 |
| ビルディング・ブロック | BB:CategoryDefinition: Pre DMZ Jump | DMZ ジャンプ・シナリオ内で見られる場合があるアクションを識別します。 これは主に Anomaly: DMZ Jumping および Anomaly: DMZ Reverse Tunnel によって使用されます。 |
| ビルディング・ブロック | BB:CategoryDefinition: Post DMZ Jump | DMZ ジャンプ・シナリオ内で見られる場合があるアクションを識別します。 これは主に Anomaly: DMZ Jumping および Anomaly: DMZ Reverse Tunnel によって使用されます。 |
| ビルディング・ブロック | BB:DeviceDefinition: FW / Router / Switch | システムのすべてのファイアウォール、ルーター、およびスイッチを定義します。 |
| ビルディング・ブロック | BB:HostDefinition: DHCP Servers | 標準的な DHCP サーバーを定義するには、このビルディング・ブロックを編集します。 このビルディング・ブロックは、「BB:False Positive: DHCP Server False Positives Categories」および「BB:FalsePositve: DHCP Server False Positive Events」の各ビルディング・ブロックと共に使用します。 |
| ビルディング・ブロック | BB:NetworkDefinition: DMZ Addresses | DMZ に入れられているアドレスを含めるには、このビルディング・ブロックを更新します。 このビルディング・ブロックは、デフォルトのネットワーク階層を参照します。 別のネットワーク階層を使用している場合は、このビルディング・ブロックを更新してください。 |
| ルール | Excessive Firewall Accepts From Multiple Sources to a Single Destination | 5 分間に 100 以上の固有の送信元 IP アドレスから同じ宛先に対して出された過剰なファイアウォール許可をレポートします。 |
| ルール | DMZ リバース・トンネル | このルールは、接続がリバース・トンネルを通じてネットワークの DMZ を超えてブリッジされていると判断された場合に起動します。 |
| ルール | 外部の国/地域からのリモート・インバウンド通信 | ある国/地域に属することが分かっていて、リモート・アクセス権限がない IP アドレスからのトラフィックをレポートします。 このルールを有効にする前に、「BB:CategoryDefinition: Countries/Regions with no Remote Access」ビルディング・ブロックを構成します。 リモート・ホストによって Web スキャナーで頻繁にプローブされる DMZ 内のリモート Web サーバーの除去が必要な場合があります。 |
| ルール | 海外の国/地域からのリモート・アクセス | ある国/地域に属することが分かっていて、リモート・アクセス権限がない IP アドレスからの成功したログインまたはアクセスをレポートします。 このルールを有効にする前に、「BB:CategoryDefinition: Countries/Regions with no Remote Access」ビルディング・ブロックを構成します。 |
| ルール | 複数の MAC アドレスを持つ単一 IP | ある 1 つの IP アドレスの MAC アドレスが一定期間にわたって複数回変更されると、このルールが起動します。 |
| ルール | 多数の異なるプロトコルを使用するシステム | 1 時間に 50 個を超える数の DST ポートでインターネットに接続しているローカル・システム。 接続に成功する必要があります。 このルールを編集して、有益な場合もある失敗した通信を検出することもできます。 |