新機能
IBM® QRadar® Network Threat Analyticsの新機能を以下に示します。
セキュリティーの更新
1.4.2 の新機能QRadar Network Threat Analytics バージョン 1.4.2 には、最新のセキュリティ更新が含まれています。
セキュリティーの更新
新着情報 1.4.1QRadar Network Threat Analytics の 1.4.1 バージョンには、最新のセキュリティアップデートが含まれています。
セキュリティーの更新
新着情報 1.4.0QRadar Network Threat Analytics の 1.4.0 バージョンには、 IPv6 サポートのための重要なセキュリティ更新と UI 修正が含まれています。
セキュリティーの更新
1.3.1QRadar Network Threat Analytics の 1.3.1 バージョンには、最新のセキュリティアップデートが含まれています。
ホーム・ページの新規ユーザー・インターフェース
1.3.0「ダッシュボード」 ページと 「ネットワーク・ビュー」 ページは、4 つのタブを持つ単一のホーム・ページに結合されます。
- 概要
- フロー情報と検出結果情報が混在していることを示す、さまざまなウィジェットが表示されたメイン・タブ。 概要を使用して、ネットワーク上で何が起こっているかについての一般的な洞察を得ることができます。
- 調査結果
- タイムライン・グラフおよび表に検出結果を表示するタブ。 使用可能なフィルターを使用して、検出結果の検索に役立てることができます。 タイムラインまたは表内の検出結果をクリックして 「検出結果」 ページに移動すると、その検出結果に関する詳細情報を表示できます。
- 地理的ビュー
- 以前はマップ・ビューと呼ばれていたこのタブには、線または国をクリックしてフロー・レコードにドリルダウンする機能など、以前と同じ表示と機能があります。 行または国をクリックすると、 「テーブル・ビュー」 タブでレコードが開きます。
- 表ビュー
- 以前に 「ネットワーク・ビュー」 ページに存在していたのと同じテーブル・ビュー。 これは、以前と同じ表示および機能を備えています。 テーブル内のフロー・レコードをクリックすると、そのフロー・レコードに関する詳細情報を含む 「フロー・レコード」 ページが表示されます。
検出結果のフィルタリング
1.3.0「地理的ビュー」 および 「表ビュー」でフィルターに掛けることができるのと同様に、検出結果をフィルターに掛けることができるようになりました。 「検出結果」 タブの 「フィルター属性」 を使用して、関心のある検出結果を素早く見つけることができます。 「検出結果」 タブには、 「地理的ビュー」 タブおよび 「表ビュー」 タブに適用されない検出結果固有のフィルターがあります。
例えば、検出結果リストから信頼できるホストを除外したり、特定のアプリや MITRE ATT & CK 技法などのフォーカス領域を選択したりすることができます。
最小スコア・フィルター
1.3.0「最小スコア」 フィルターは、スコア値を使用してフローおよび検出結果をフィルタリングします。 フィルターを使用して、表示する最小スコアを選択します。 フィルターは、すべてのタブにわたって保持されます。 例えば、 「検出結果」 タブでフィルターを設定すると、 「地理的ビュー」 タブまたは 「表ビュー」 タブに切り替えた場合でもフィルターが適用されます。
マップ・ビュー
1.2.0ネットワーク・トラフィックをオーバーレイとしてグローバル・マップ・ビューに表示できるようになりました。 「ダッシュボード」のマップ・ビューには、国別または地域別のトラフィック・ボリュームが表示されます。 「ネットワーク・データ」 ページでは、特定のマップ・ロケーションとの間のネットワーク・トラフィックに関するより詳細なデータを表示できます。
マップ・ビューを使用すると、予期しない国または地域で発生または終了するネットワーク・トラフィックを簡単に識別できます。
ネットワーク・ベースライン状況情報
1.2.0QRadar 「ネットワーク脅威分析」 「構成」 ページに、ネットワーク・ベースラインの状況に関する詳細情報が表示されるようになりました。
状況情報には、システムがいつベースラインを作成する準備をしているか、ベースライン作成の進行状況、および作成がいつ完了したかを示すメッセージが含まれるようになりました。 また、ベースラインを作成または更新できないことを示すメッセージも表示されます。
ネットワーク・ベースラインを更新する機能
1.2.0これで、プロセスを再始動してネットワーク・ベースラインを更新できます。
検出結果 ID に基づく検出結果の表示
1.2.0「検出結果」 表には、ダッシュボードで指定された期間内に更新された検出結果が表示されます。 QRadar Network Threat Analyticsの以前のリリースでは、 「検出結果」 テーブルから削除された検出結果を確認できませんでした。 検出結果 ID がある場合は、特定の検出結果の 「検出結果の詳細」 ページを開くことができます。
「 検出結果の詳細 」ウィンドウのフロー・データの追加
1.2.0「詳細の検出」 ページの 「ネットワーク・データ」 表には、検出結果に寄与するすべてのフローが表示されます。 以前のバージョンでは、スコアが最も高い上位 20 件のフローのみが表示されていました。
更新されたアプリ署名証明書
1.1.1QRadar Network Threat Analytics 1.1.1では、 IBM QRadar 7.5.0 Update Package 3 以降で使用するために、アプリケーション署名証明書が更新されました。
層 2 分析
1.1.0QRadar Network Threat Analytics 1.0.0では、 QRadar によってモニターされるネットワーク・トラフィックは、層 1 アルゴリズムを使用して解析されます。層 1 アルゴリズムは、着信ネットワーク・トラフィックを、アプリケーションによって作成されたネットワーク・ベースラインと比較します。 リアルタイム・ベースライン比較を使用して、アプリは、ネットワーク上で監視されている通常のトラフィック・パターンにフロー・レコードがどの程度逸脱しているか、または準拠しているかを測定します。 各フローは、ベースラインからどの程度逸脱しているかに基づいてスコアリングされます。これにより、スコアが最も高いフローの調査が容易になります。
QRadar Network Threat Analytics 1.1.0 では、Tier 2 分析が導入されています。 スコアが最も高いフローは、拡張分析およびデータ集約の対象となり、情報は検出結果にロールアップされます。 検出結果 とは、ベースライン・トラフィックから逸脱する、ネットワーク上の類似した通信を集約したものです。 アプリケーション・ダッシュボードでは、スコアが最も高い検出結果が表形式で表示され、最も高いランキング・スコアが最初に表示されます。 このプレゼンテーションにより、ネットワーク内でアプリが検出した最も疑わしいトラフィックに調査を集中させることが容易になります。
イベント生成
1.1.0IBM QRadar Network Threat Analytics は、検出結果に基づいてイベントを生成します。これにより、ルールを作成したり、ネットワーク内の異常なフロー・トラフィックに基づいて検索やレポートを作成したりすることができます。
- 監視されたネットワーク異常
- ネットワーク異常が検出されました
- ネットワーク異常更新 (継続中のアクティビティー)
- ネットワーク異常の更新 (スコアの変更)
- Network Anomaly Update (MITRE マッピング)
新しい製品インターフェース
1.1.0QRadar Network Threat Analytics アプリケーションが再設計され、ネットワーク内の最も疑わしいトラフィックを容易に確認できるようになりました。
同様の方法でベースライン・トラフィックから逸脱していることが検出されたネットワーク通信は、検出結果に集約されます。 「ダッシュボード」 ページに顕著な可視性が表示されるため、異常なフロー・トラフィックを調査しているときに、検出結果によってフォーカス領域の優先順位付けがこれまで以上に容易になります。
新しい製品インターフェースにより、トップダウン調査が促進され、クリックするたびに詳細なレベルの情報を掘り下げることができます。 また、新しい拡張フィルタリング・オプションを使用すると、調査するフローの範囲を素早く絞り込むことができます。
QRadar ネットワーク脅威分析のワークフローを実際に操作しながら、新製品のインターフェースについて詳しく学びましょう...