事前定義されたレポート・コンテンツ・テンプレート
事前定義されたコンテンツ・テンプレートは、ルール・レポートのフィルターおよび列を定義します。これには、列の順序とソート・オプションが含まれます。
ルールの依存関係
ルールは、イベント、フロー、またはオフェンスに対してテストを実行し、すべてのテスト条件が満たされた場合に応答を生成します。 各ルールのテストは他のビルディング・ブロックおよびルールを参照することもできます。このような関係は依存関係と呼ばれます。
| 名前 | 説明 |
|---|---|
| デフォルトのテンプレート - すべてのルール | QRadar でルールのデフォルトのビューを参照してください。このビューには、ビルディング・ブロックが含まれていません。 |
| ルールごとのリファレンス・セット | ルール・テスト内でリファレンス・セットを使用する各ルールについて、リファレンス・セットを表示します。 |
| テスト定義を含むルールごとのリファレンス・セット | ルール・テスト内でリファレンス・セットを使用する各ルールについて、リファレンス・セットおよびルール・テストを表示します。 |
| ルール当たりのリファレンス・セット数 | 各ルールで参照されているリファレンス・セットの数を表示します。 |
| リファレンス・セットごとのルール | ルールによって使用されている各リファレンス・セットについて、それを使用するルールおよびルール・テストを表示します。 |
| カスタム・プロパティーごとのルール | ルールによって使用されている各カスタム・プロパティーについて、それを使用するルールおよびルール・テストを表示します。 このレポートを使用して、目的が同じで名前が異なるカスタム・プロパティーを特定します。 または、新規のログ・ソースに適用可能なカスタム・プロパティーを使用するルールによって新規のログ・ソースを拡張できるかどうかを確認します。 |
| ルール別のログ・ソースの適用範囲 - 自分のログ・ソースのみ | 各ログ・ソース・タイプについて、それに関連するルールを表示します。 このレポートを使用すると、適用範囲を広げる必要があるログ・ソースを判別できます。 |
| ルール別のログ・ソースの適用範囲 | 各ログ・ソース・タイプについて、それに関連するルールを表示します。 |
| テストを含むルール別のログ・ソースの適用範囲 | 各ログ・ソース・タイプについて、それに関連するルールと、ルールをログ・ソース・タイプに関連付けるテストを表示します。 このレポートを使用すると、さらに多くの適用範囲が必要なデバイスを判別するのに役立ちます。 テスト定義では、ルールが特定のログ・ソース・タイプに関連付けられている理由が説明されます。 |
| ルールごとのログ・ソース・タイプ | 各ルールについて、各ルールが機能するログ・ソース・タイプを確認します。 このレポートを使用すると、特定のルールに必要なログの適用範囲を判別したり、ルールの適用範囲が意図したよりも少ないかどうかを判別したりするのに役立ちます。 ログ・ソース・タイプのテスト定義をこのレポートに追加して、ルールが特定のログ・ソースにどのように関連しているかを確認できます。 |
| カスタム・プロパティーごとのログ・ソース・タイプ | ルールによって参照されるカスタム・プロパティーごとに、ルールに関連するログ・ソース・タイプを表示します。 このレポートを使用して、カスタム・プロパティーの定義が必要なログ・ソース・タイプを識別します。 |
MITRE ATT&CK 適用範囲
戦術は、ATT&CK 技法またはサブ技法の目的を表します。 例えば、攻撃者がネットワークへの資格情報アクセスを取得しようとしているなどです。 技法は、攻撃者がどのように目的を達成するかを表します。 例えば、攻撃者がネットワークへの資格情報アクセスを取得するために資格情報のダンプを取得するなどです。 ルールおよびビルディング・ブロックのマッピングを作成または変更するには、事前定義されたテンプレートを使用します。
| 名前 | 説明 |
|---|---|
| ルールにマップされた MITRE ATT&CK の戦術と技法 | ルールにマップされているすべての戦術とその技法を表示します。 |
| MITRE ATT&CK の戦術および技法にマップされたルール | 1 つ以上の戦術にマップされているすべてのルールを表示し、その技法を表示します。 |
インストールされているコンテンツ拡張機能
IBM® Security App Exchangeからインストールされたすべてのコンテンツ拡張のリストと、それぞれのルールのリストを表示します。
| 名前 | 説明 |
|---|---|
| IBM Security App Exchange からインストールされたコンテンツ拡張 | IBM Security App Exchange からインストールされたすべてのコンテンツ拡張のリストと、それぞれのルールのリストを参照してください。 |
推奨される未インストールのコンテンツ拡張機能
コンテンツ拡張は、IBM QRadar のセキュリティー情報を更新したり、ルール、レポート、検索、リファレンス・セット、カスタム・プロパティーなどの新しいコンテンツを追加したりします。 事前定義されたテンプレートを使用して、 IBM Security App Exchangeからコンテンツ拡張をインストールすることにより、ご使用の環境でログ・ソースまたは MITRE の戦術および技法のルール適用範囲を拡大する方法を確認します。
| 名前 | 説明 |
|---|---|
| ログ・ソースに基づいて推奨される未インストールのコンテンツ | IBM Security App Exchange からインストールされていない新しいコンテンツを追加することで、各コンテンツ拡張のログ・ソース・タイプごとのルール数に基づいて適用範囲を拡張できる方法を検討します。 |
| MITRE の適用範囲に基づいて推奨される未インストールのコンテンツ | インストールされていない新しいコンテンツを IBM Security App Exchange から追加することで、MITRE の戦術および技法の適応範囲をどのように拡張できるかを検討します。 |
| 推奨される未使用のログ・ソース | ユース・ケースに対して、新しいログ・ソースの追加によって適用範囲がどの程度拡張できるか検討します。 |
| すべての未インストール・コンテンツ | すべての未インストール・コンテンツとそのルールのリストを表示します。 リストはグループ解除された表形式で表示されます。 |
User Behavior Analytics
User Behavior Analytics ルールは、ネットワーク内の潜在的な内部の脅威を識別する上で役立ちます。
| 名前 | 説明 |
|---|---|
| すべての User Behavior Analytics ルール | インストールされているかインストールされていないかにかかわらず、すべての User Behavior Analytics ルールを対象としてリスク・スコアを表示します。 |
| インストール済みの User Behavior Analytics ルール | インストール済みの User Behavior Analytics ルールを対象としてリスク・スコアを表示します。 |
| インストールされていない User Behavior Analytics ルール | インストールされていないコンテンツ拡張を対象として、拡張がインストールされた場合に使用可能になる User Behavior Analytics ルールを表示します。 |
非アクティブのルール
特定の期間内にトリガーされないルールは誤って構成されている可能性があり、 IBM QRadar® デプロイメントから最大限の価値が得られない可能性があります。 非アクティブのルールを確認して、チューニング・オプションがないか調べてください。
| 名前 | 説明 |
|---|---|
| 過去 1 週間にアクティブにならなかったルール | 過去 1 週間にイベントをオフェンスに割り当てなかったルールのリストを表示します。 |
| インストール以降にアクティブにならなかったルール | イベントが QRadarにインストールされた日付以降にオフェンスに割り当てられたことがないルールのリストを表示します。 |