リファレンス・データ収集にデータを追加するためのルールの応答の構成

リファレンス・データを使用して疑わしいアクティビティーのアラートを出すルールをセットアップします。 例えば、特権ユーザーのリストをリファレンス・データに含めて、それらの特権ユーザーにアノマリが発生した際にトリガーされてアラートを出すルールをセットアップします。

始める前に

リファレンス・セットにデータを送信する前に、 QRadar 管理者がリファレンス・セットを作成する必要があります。

このタスクについて

QRadar は、以下のデータ収集タイプをサポートします。

リファレンス・セット
ネットワークで発生するイベントおよびフローから取得されたエレメントのセット (IP アドレスやユーザー名のリストなど)。
リファレンス・マップ
データは、1 つのキーを 1 つの値にマップするレコードに格納されます。 例えば、ネットワーク上のユーザー・アクティビティーを相互に関連させるには、Username パラメーターをキーとして使用し、ユーザーのGlobal ID を値として使用するリファレンス・マップを作成します。
セットのリファレンス・マップ
データは、1 つのキーを複数の値にマップするレコードに格納されます。 例えば、特許へのアクセスが許可されているかどうかをテストするには、キーとして Patent ID のカスタム・イベント・プロパティーを使用し、値として Username パラメーターを使用します。 セットのマップを作成して、許可されているユーザーのリストを取得します。
マップのリファレンス・マップ
データは、あるキーを別のキーにマップするレコードに格納されます。この別のキーは、次に、単一値にマップされます。 例えば、ネットワーク帯域幅の違反が発生していないかどうかをテストする場合は、マップのマップを作成します。 1 番目のキーとして Source IP パラメーター、2 番目のキーとして Application パラメーター、そして値として Total Bytes パラメーターを使用します。
リファレンス・テーブル
リファレンス・テーブルでは、あるキーを別のキーにマップするテーブルにデータが保管されてから、このキーが単一値にマップされます。 2 番目のキーには、割り当て済みタイプが含まれています。 このマッピングは、表内の各列が 1 つのタイプに関連付けられているデータベース表に類似しています。 例えば、リファレンス・テーブルを作成し、このテーブルに Username パラメーターを最初のキーとして保管し、ユーザー定義の割り当て済みタイプ (Source IP パラメーターや Source Port パラメーターを値として持つ IP タイプなど) が設定されている複数のセカンダリー・キーを保管します。 テーブル内に定義されているキーを 1 つ以上追加するためのルールの応答を構成できます。 このルール応答には、カスタム値を追加することもできます。 このカスタム値は、セカンダリー・キーのタイプに対して有効な値でなければなりません。

手順

  1. 「管理」 タブの 「リファレンス・セット管理」 ウィジェットを使用して、リファレンス・データ収集を作成します。

    また、 ReferenceDataUtil.sh スクリプトを使用して参照データ収集を作成することもできます。

  2. 「ルール」 ウィザードを使用してルールを作成します。
  3. リファレンス・データ収集にデータを送信するルールの応答を作成します。 データは、共有データとしても、ドメイン固有データとしても追加できます。
    「リファレンス・データに追加」のパラメーターについて詳しくは、以下を参照してください。
    リファレンス・マップに追加
    単一キーと複数値のペアのコレクションにデータを送信します。 データ・レコードのキーと値を選択してから、そのデータ・レコードの追加先となるリファレンス・マップを選択してください。
    セットのリファレンス・マップに追加
    キーと単一値のペアのコレクションにデータを送信します。 データ・レコードのキーと値を選択してから、そのデータ・レコードの追加先となるセットのリファレンス・マップを選択してください。
    マップのリファレンス・マップに追加
    複数キーと単一値のペアのコレクションにデータを送信します。 最初のマップのキーを選択し、2 番目のマップのキーを選択してから、データ・レコードの値を選択する必要があります。 データ・レコードの追加先となるマップのリファレンス・マップも選択する必要があります。
    リファレンス・テーブルに追加
    複数キーと単一値のペアのコレクションにデータを送信します。タイプは、セカンダリー・キーに割り当てられています。 データの追加先となるリファレンス・テーブルを選択してから、プライマリー・キーを選択します。 そのデータ・レコードについて、内部キー (セカンダリー・キー) とその値を選択します。