リファレンス・データ収集にデータを追加するためのルールの応答の構成
リファレンス・データを使用して疑わしいアクティビティーのアラートを出すルールをセットアップします。 例えば、特権ユーザーのリストをリファレンス・データに含めて、それらの特権ユーザーにアノマリが発生した際にトリガーされてアラートを出すルールをセットアップします。
始める前に
このタスクについて
QRadar は、以下のデータ収集タイプをサポートします。
- リファレンス・セット
- ネットワークで発生するイベントおよびフローから取得されたエレメントのセット (IP アドレスやユーザー名のリストなど)。
- リファレンス・マップ
- データは、1 つのキーを 1 つの値にマップするレコードに格納されます。 例えば、ネットワーク上のユーザー・アクティビティーを相互に関連させるには、Username パラメーターをキーとして使用し、ユーザーのGlobal ID を値として使用するリファレンス・マップを作成します。
- セットのリファレンス・マップ
- データは、1 つのキーを複数の値にマップするレコードに格納されます。 例えば、特許へのアクセスが許可されているかどうかをテストするには、キーとして Patent ID のカスタム・イベント・プロパティーを使用し、値として Username パラメーターを使用します。 セットのマップを作成して、許可されているユーザーのリストを取得します。
- マップのリファレンス・マップ
- データは、あるキーを別のキーにマップするレコードに格納されます。この別のキーは、次に、単一値にマップされます。 例えば、ネットワーク帯域幅の違反が発生していないかどうかをテストする場合は、マップのマップを作成します。 1 番目のキーとして Source IP パラメーター、2 番目のキーとして Application パラメーター、そして値として Total Bytes パラメーターを使用します。
- リファレンス・テーブル
- リファレンス・テーブルでは、あるキーを別のキーにマップするテーブルにデータが保管されてから、このキーが単一値にマップされます。 2 番目のキーには、割り当て済みタイプが含まれています。 このマッピングは、表内の各列が 1 つのタイプに関連付けられているデータベース表に類似しています。 例えば、リファレンス・テーブルを作成し、このテーブルに Username パラメーターを最初のキーとして保管し、ユーザー定義の割り当て済みタイプ (Source IP パラメーターや Source Port パラメーターを値として持つ IP タイプなど) が設定されている複数のセカンダリー・キーを保管します。 テーブル内に定義されているキーを 1 つ以上追加するためのルールの応答を構成できます。 このルール応答には、カスタム値を追加することもできます。 このカスタム値は、セカンダリー・キーのタイプに対して有効な値でなければなりません。