QRadar Network Threat Analytics イベントの調査

IBM® QRadar® Network Threat Analytics は、ネットワーク・トラフィック内の検出結果に基づいてイベントを生成します。 これらのイベントを使用して、ルールを作成し、アプリケーションによって検出された異常なアクティビティーに関する検索およびレポートを作成することができます。

このワークフローを使用して、 IBM QRadar Analyst Workflow を使用して、 QRadar Network Threat Analytics イベントおよびそれらから作成されたオフェンスを調査する方法を学習します。

このワークフローは単なる例であり、調査中に役立つ可能性がある特定の情報を強調表示することを目的としています。 独自のネットワークでイベントとオフェンスを調査する方法は、ここに示す方法とは異なる場合があります。 このワークフローでは、 QRadar Analyst Workflowの使用方法を段階的に説明することはありません。 QRadar Analyst Workflow アプリケーションの使用について詳しくは、「 IBM QRadar ユーザー・ガイド」の「 QRadar Analyst Workflow 」を参照してください。

重要: このワークフローに表示されているイメージは、以前のバージョンの QRadar Network Threat Analyticsでキャプチャーされたものです。 インターフェースは異なる場合がありますが、ワークフローは引き続き有効です。

手順

  1. IBM QRadar Analyst Workflowでは、まず、 IBM QRadar Network Threat Analyticsによって作成されたイベントを検索します。

    QRadar Analyst Workflow を使用した QRadar Network Threat Analytics によって作成されたイベントの検索

    以下のリストでは、前の図のアノテーションについて説明します。

    1. フィルター条件を使用して、ログ・ソース・タイプが IBM QRadar Network Threat Analyticsであるイベントを検索します。
    2. 検索の時間フレームを設定し、 検索の実行をクリックします。
    3. 「イベント名」 列で、 QRadar Network Threat Analyticsによって作成されたイベントを表示します。
      照会結果には、 監視されたネットワーク異常ネットワーク異常が検出されました、または ネットワーク異常が更新されました イベントが含まれる場合があります。
  2. イベント表の情報を確認して、さらに調査する QRadar Network Threat Analytics イベントを決定します。

    QRadar Analyst Workflow の表に、 QRadar Network Threat Analytics イベントに関する詳細情報が表示されます。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. 送信元 IP 列と 宛先 IP 列を使用して、情報を交換したデバイスを識別します。
    2. 脅威スコア は、検出結果の重要度を表します。 スコアは、イベントの原因となった各フロー・レコードの外れ値スコアに基づいて計算されます。
    3. NTA フロー数 」列には、検出結果に寄与するフローの数が表示されます。 数値が高いほど、脅威レベルが高いことを示している可能性があります。
    4. NTA フローの向き は通信の方向を示します。ここで、 L はローカル・ネットワークを示し、 「R」 はリモート・ネットワークを示します。
    5. テクニック 列には、検出結果で疑わしい ATT & CK (ATT CK) 技法が示されます。
  3. イベントに関する情報を使用して、特定の条件が満たされたときにオフェンスを作成するルールを作成できます。

    ルールの作成について詳しくは、「 IBM QRadar ユーザー・ガイド」の「 Custom rules in IBM QRadar 」を参照してください。

  4. QRadar Analyst Workflow を使用して、 QRadar Network Threat Analytics イベントから作成されたオフェンスに関する情報を表示することもできます。

    QRadar Analyst Workflow を使用したオフェンスに関する情報の表示。
    1. オフェンス ウィンドウの 洞察の下に、オフェンスを作成するためにトリガーされたルールが表示されます。
      ルール名をクリックして、ルール・テストに関する詳細情報を表示し、オフェンスが作成された理由を確認します。

    オフェンスをトリガーしたルール・テストに関する情報は、 QRadar Analyst Workflow に表示されます。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. テスト セクションには、イベントに対してテストされた条件が表示されます。
    2. アクション セクションには、条件が満たされたときに実行されたルール・アクションが表示されます。
  5. オフェンスに関する残りの情報を確認します。

    QRadar Analyst Workflow を使用したオフェンスに関する詳細情報の表示。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. オフェンスのタイプ は、オフェンスが検出結果に基づいて作成されたことを示します。
    2. 開始 は、ネットワーク異常が最初に検出され、検出結果が作成された時刻を示します。
    3. 期間 は、検出結果が最初に検出されてからの時間の長さを示します。
    4. 最近のイベント グラフには、時間フレーム内に発生したイベントが表示されます。 スクラバー・バーを使用して、特定の時刻およびイベント・スパイクにズームインできます。

      この例では、イベントが 6 月 4 日から 6 日の午前 0 時近くに作成されたことを確認できます。 時間の経過に伴う行動のパターンは、さらなる調査を必要とするトラフィックを示している可能性があります。

    5. オフェンスの送信元 は、検出結果 ID を示します。
      結果 ID は、 QRadar Network Threat AnalyticsQRadar Analyst Workflowの両方で使用される固有 ID と同じです。
  6. QRadar Network Threat Analyticsで、検出結果 ID を使用して調査を続行します。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. ホーム・ページで、 QRadar Analyst Workflow「最近のイベント」 グラフに使用された時間フレームと一致するように時間フレームを設定します。
    2. さらに調査する検出結果を見つけるには、検出結果 ID を使用します。

      1.2.0 「検出結果」 表に表示されなくなった検出結果を表示するには、 「ID による検出結果のロード」 をクリックして、検出結果 ID を入力します。