カスタム・モデルの作成

カスタム・モデルを作成して、特定のユーザーの 1 時間ごとの数値特性を測定してベースラインを設定します。

始める前に

このタスクについて

カスタム・モデルを作成することで、ユーザーの学習行動および実際のデータを確認できます。 ベースラインの動作からの重大な変化が検出された場合は、ユーザーのリスク・スコアの上昇を知らせるアラートが届きます。 作成可能なモデルとしては、ユーザーがダウンロードしたデータ量、ユーザーが実行したアプリケーション数、ユーザーが送信した 1 時間当たりのメールの数などが例として挙げられます。

重要: 設定を構成または変更した後、データを取り込み、初期モデルを作成し、ユーザーの初期結果を確認するには、少なくとも 1 時間かかります。

アクティブ・ユーザーは継続的にモニターされます。 28 日間アクティビティーがないユーザーは、ユーザー自体とそのデータがモデルから削除されます。 ユーザーが再びアクティブになった場合は、新規ユーザーとして復帰します。

手順

  1. ナビゲーション・メニュー ( ナビゲーション・メニュー・アイコン ) で、 「管理」をクリックします。
  2. アプリ > ユーザー エンティティ分析 > Machine Learning 設定をクリックします。
  3. Machine Learning 「設定」 ページで、 「モデルの作成」をクリックします。
  4. 「モデル定義」 タブで、テンプレートを選択して AQL フィールドにデータを取り込むことも、カスタム AQL 照会を作成することもできます。
  5. 「次へ」をクリックします。
    カスタム・モデル設定画面
  6. 「一般設定」 タブで、名前と説明を入力します。
  7. 「センス・イベントのリスク値」 フィールドに、センス・イベントがトリガーされたときにユーザーのリスク・スコアを上げる量を入力します。 デフォルト値は 5 です。
  8. トグルを有効にしてリスク値をスケーリングします。 有効にすると、基本リスク値が係数 (1 ~ 10 の範囲) で乗算されます。 この係数は、ユーザーが期待される行動から逸脱しているというだけでなく、どれだけ逸脱しているかによって決まります。
  9. 「異常をトリガーする信頼区間 (Confidence interval to trigger anomaly)」 フィールドに、異常イベントをトリガーするまでの機械学習アルゴリズムの信頼性のパーセンテージを入力します。 デフォルト値は 0.95 です。
  10. 「データ保存期間」 フィールドで、モデル・データを保存する日数を設定します。 デフォルト値は 30 です。
  11. 「ユーザーの詳細ページにグラフを表示」 トグルは、デフォルトでは無効になっています。 「ユーザーの詳細」ページにカスタム・モデル・グラフを表示する場合は、トグルをクリックしてください。
  12. オプション: 「AQL 検索フィルター」 フィールドに AQL フィルターを追加して、 QRadarで分析が照会するデータを絞り込むことができます。 AQL 照会を使用してフィルタリングを行うことによって、分析するユーザーの数またはデータ・タイプを削減できます。 設定を保存する前に、「照会の妥当性検査」をクリックして QRadar で AQL 照会全体を起動することで、照会を確認して結果を検証できます。
    重要: AQL フィルターを変更すると、既存のモデルに無効のマークが付けられ、再作成されます。 再作成に必要な時間の長さは、変更されたフィルターによって返されるデータの量によって異なります。
    特定のログ・ソース、ネットワーク名、または特定のユーザーを含むリファレンス・セットにフィルターを適用できます。 次の例を参照してください。
    • REFERENCESETCONTAINS('Important People', username)
    • LOGSOURCETYPENAME(devicetype) in ('Linux OS', 'Blue Coat SG Appliance', 'Microsoft Windows Security Event Log')
    • INCIDR('172.16.0.0/12', sourceip) or INCIDR('10.0.0.0/8', sourceip) or INCIDR('192.168.0.0/16', sourceip)
    詳しくは、 Ariel 照会言語を参照してください。
  13. 「保存」をクリックします。
    モデルを作成するための「一般設定」タブ

アプリケーション・イベント

手順

  • イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
  • senseValue = 5
  • 必須の構成: システムが QRadar 上位カテゴリー「アプリケーション」のイベントをモニターしている。
  • Log source types: APC UPS, Apache HTTP Server, Application Security DbProtect, Array Networks SSL VPN Access Gateways, Aruba ClearPass Policy Manager, Aruba Mobility Controller, Avaya VPN Gateway, Barracuda Web Application Firewall, Barracuda Web Filter, Blue Coat Web Security Service, BlueCat Networks Adonis, CRE System, Centrify Infrastructure Services, Check Point, Cilasoft QJRN/400, Cisco Call Manager, Cisco CatOS for Catalyst Switches, Cisco FireSIGHT Management Center, Cisco IOS, Cisco Identity Services Engine, Cisco Intrusion Prevention System (IPS), Cisco IronPort, Cisco Meraki, Cisco Nexus, Cisco PIX Firewall, Cisco Stealthwatch, Cisco Umbrella, Cisco Wireless Services Module (WiSM), Citrix Access Gateway, Citrix NetScaler, Custom Rule Engine, Cyber-Ark Vault, DG Technology MEAS, EMC VMWare, Event CRE Injected, Extreme Matrix K/N/S Series Switch, Extreme Stackable and Standalone Switches, F5 Networks BIG-IP AFM, F5 Networks BIG-IP ASM, F5 Networks BIG-IP LTM, Fidelis XPS, FireEye, Flow Classification Engine, Flow Device Type, Forcepoint Sidewinder, Forcepoint V Series, Fortinet FortiGate Security Gateway, FreeRADIUS, H3C Comware Platform, Huawei S Series Switch, HyTrust CloudControl, IBM AIX Audit, IBM AIX Server, IBM DB2, IBM DataPower, IBM Lotus Domino, IBM Proventia Network Intrusion Prevention System (IPS), IBM Resource Access Control Facility (RACF), IBM Security Directory Server, IBM Tivoli Access Manager for e-business, IBM i, IBM z/OS, ISC BIND, Imperva SecureSphere, Infoblox NIOS, Juniper Junos OS Platform, Juniper MX Series Ethernet Services Router, Juniper Networks AVT, Juniper Networks Firewall and VPN, Juniper Networks Intrusion Detection and Prevention (IDP), Juniper WirelessLAN, Kisco Information Systems SafeNet/i, Linux DHCP Server, McAfee Network Security Platform, McAfee Web Gateway, Metainfo MetaIP, Microsoft DHCP Server, Microsoft DNS Debug, Microsoft Exchange Server, Microsoft IIS, Microsoft Office 365, Microsoft Operations Manager, Microsoft Windows Security Event Log, Motorola SymbolAP, NGINX HTTP Server, Nortel Contivity VPN Switch, Nortel VPN Gateway, OS Services Qidmap, OSSEC, ObserveIT, Okta, Open LDAP Software, OpenBSD OS, Oracle BEA WebLogic, Oracle Database Listener, PostFix MailTransferAgent, ProFTPD Server, Proofpoint Enterprise Protection/Enterprise Privacy, Pulse Secure Pulse Connect Secure, RSA Authentication Manager, Radware DefensePro, SSH CryptoAuditor, Skyhigh Networks Cloud Security Platform, Solaris Operating System Authentication Messages, Solaris Operating System DHCP Logs, SonicWALL SonicOS, Sophos Astaro Security Gateway, Sophos Web Security Appliance, Squid Web Proxy, Starent Networks Home Agent (HA), Stonesoft Management Center, Sun ONE LDAP, Symantec Critical System Protection, Symantec Encryption Management Server, Symantec Endpoint Protection, TippingPoint Intrusion Prevention System (IPS), Top Layer IPS, Trend InterScan VirusWall, Trend Micro Deep Security, Universal DSM, Venustech Venusense Security Platform, Verdasys Digital Guardian, WatchGuard Fireware OS, genua genugate, iT-CUBE agileSI

SourceIP

手順

  • イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
  • sensevalue: 5
  • ログ・ソース・タイプ: イベントにユーザー名と送信元 IP が含まれるすべてのログ・ソース。

宛先ポート

手順

  • イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
  • sensevalue: 5
  • ログ・ソース・タイプ: イベントにユーザー名と宛先ポートが含まれるすべてのログ・ソース。

Office ファイル・アクセス

手順

  • イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
  • sensevalue: 5
  • 必須の構成: システムが QRadar イベント名に「file」という語句が含まれるイベントをモニターしている。
  • ログ・ソース・タイプ: Microsoft Office 365

AWS アクセス

手順

  • イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
  • sensevalue: 5
  • 必須の構成: システムが QRadar イベント名に「bucket」という語句が含まれるイベントをモニターしている。
  • ログ・ソース・タイプ: Amazon AWS Cloudtrail

プロセス

手順

  • イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
  • sensevalue: 5
  • 必須の構成: 目的のログ・ソース・タイプにカスタム・イベント・プロパティー「Process」が存在すること。
  • ログ・ソース・タイプ: Microsoft Windows セキュリティー・イベント・ログ、Linux OS

Web サイト

手順

  • イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
  • sensevalue: 5
  • サポート・ルール: 「UBA: エンターテインメントに関連する Web サイトをブラウズ」、「UBA: ライフスタイル Web サイトの参照」、 「UBA : ビジネス/サービスの Web サイトをブラウズ」、「UBA : コミュニケーションに関連する Web サイトをブラウズ」
  • 必須の構成: 目的のログ・ソース・タイプにカスタム・イベント・プロパティー「Web Category」が存在すること。
  • ログ・ソース・タイプ: Blue Coat SG アプライアンス、Cisco IronPort、McAfee Web Gateway、Check Point、Squid Web プロキシー、Palo Alto PA シリーズ; Forcepoint V シリーズ、Fortinet FortiGate セキュリティー・ゲートウェイ

リスクのある IP

手順

  • イベント名: UBA : カスタム分析アノマリ (Custom Analytic Anomaly)
  • sensevalue: 5
  • 必要な構成: 「管理設定」 > 「システム設定」で「 X-Force Threat Intelligence フィードを有効にする」を「はい」に設定します。
  • ログ・ソース・タイプ: ユーザー名が存在するイベントを含むすべてのログ・ソース。