デフォルトのリモート・ネットワーク・グループ
IBM QRadar には、デフォルトのリモート・ネットワーク・グループがあります。
以下の表で、デフォルトのリモート・ネットワーク・グループについて説明します。
| グループ | 説明 |
|---|---|
| BOT | BOT アプリケーションから発生するトラフィックを指定します。 詳しくは、 「新しい脅威」Web サイトの「Botnet Command and Control drop rules」 (http://rules.emergingthreats.net/blockrules/emerging-botcc.rules) を参照してください。 |
| Bogon | 未割り当ての IP アドレスから発生するトラフィックを指定します。 詳しくは、 Team CYMRU Web サイトの bogon リファレンス (http://www.team-cymru.org/Services/Bogons/bogon-bn-nonagg.txt) を参照してください。 |
| HostileNets | 悪意のある既知のネットワークから発生するトラフィックを指定します。 HostileNets には、20 (ランク 1 から 20 まで) の構成可能な CIDR 範囲があります。 詳しくは、DShield Web サイトの HostileNets リファレンス (http://www.dshield.org/ipsascii.html?limit=20) を参照してください。 |
| Neighbours | 組織がネットワーク・ピアリング契約を結んでいる近隣ネットワークから発生するトラフィックを指定します。 このグループは、デフォルトでブランクになっています。 近隣ネットワークから発生するトラフィックを分類するには、このグループを構成する必要があります。 |
| Smurfs | スマーフ攻撃から発生するトラフィックを指定します。 スマーフ攻撃は、スプーフされたブロードキャスト ping メッセージで宛先システムをあふれさせるサービス拒否攻撃の一種です。 |
| スーパーフロー | このグループを構成することはできません。 スーパーフローは、類似する一連の事前定義エレメントを持つ多数のフローを集約したフローです。 |
| TrustedNetworks | トラステッド・ネットワーク (重要なアプリケーションおよびサービスに対するリモート・アクセス権限を持つビジネス・パートナーを含む) からのトラフィックを指定します。 このグループは、デフォルトでブランクになっています。 トラステッド・ネットワークから発生するトラフィックを分類するには、このグループを構成する必要があります。 |
| ウォッチ・リスト | モニター対象のネットワークから発生するトラフィックを分類します。 このグループは、デフォルトでブランクになっています。 |
スーパーフローを持つグループとオブジェクトは、情報提供だけを目的としているため、編集することはできません。 bogon を持つグループとオブジェクトは、自動更新機能によって構成されます。