Hybrid Cloud Use Cases
IBM Security QRadar Content Extension for Hybrid Cloud Use Cases を使用して、ハイブリッド クラウドの展開を詳細に監視します。
IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケースについて
IBM Security QRadar Content Extension for Hybrid Cloud Use Cases は、仮想化アクティビティーの検出に焦点を当てたいくつかのルールと保存済み検索を追加します。
- IBM セキュリティ QRadar ハイブリッド・クラウドのユースケースのためのコンテンツ拡張 2.3.2
- IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.3.1
- IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.3.0
- IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.2.1
- IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.2.0
- IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.1.0
- IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.0.0
- IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 1.0.0
IBM セキュリティ QRadar ハイブリッド・クラウドのユースケースのためのコンテンツ拡張 2.3.2
次の表は、IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.2 で新しく追加されたルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | Logs Have Been Deleted/Disabled or Stopped (ログは削除/使用不可または停止されました) | このルールは、ログが削除、無効化、または停止されるときにトリガーされる。 |
| ルール | Azure用に追加された管理者ロール | このルールは、Azureに追加された管理者ロールを検出します。 |
次の表は、IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.2 のカスタム イベント プロパティを示しています。
| カスタム・プロパティー | フォースパース | 説明 | UUID | 場所 |
|---|---|---|---|---|
| アラートの重大度 | はい | DSMペイロードからのアラート深刻度のデフォルトカスタム抽出 | cfa63d4b-ee3c-40b6-bb3b-1913a35cdb23 | アマゾン AWS Azure |
IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.3.1
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1で新しく導入されたルールを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | Azure用に追加された管理者ロール | Azureに追加された管理者ロールを検出します。 |
以下の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.3.1で新しく追加されたカスタム・プロパティーを示します。
| 名前 | 最適化済み | 説明 |
|---|---|---|
| 属性の新しい値 | いいえ | DSM ペイロードからの属性の新規値のデフォルト・カスタム抽出。 |
IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.3.0
「多要素認証のバイパス (Multi-Factor Authentication Bypass)」 ルール・フィルターが、 lower 関数を使用するように更新されました。
「ログの削除/無効化または停止」 ルールが更新され、他のクラウド・デバイスをキャプチャーするための汎用性が向上しました。
IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.2.1
次の表は、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1で新しく導入された、または更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:BehaviorDefinition: 管理ロールの割り当てを追加(Office 365) | 管理役割がいつ管理役割グループ、管理役割割り当てポリシー、ユーザー、または汎用セキュリティー・グループ (USG) に割り当てられたかを識別します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: 管理ロールの割り当てが削除されました (Office 365) | 管理役割が管理役割グループ、管理役割割り当てポリシー、ユーザー、または汎用セキュリティー・グループ (USG) からいつ削除されたかを識別します。 |
| ビルディング・ブロック | BB:CategoryDefinition: オブジェクト・アクセス・イベント | すべてのオブジェクト (ファイル、フォルダーなど) のアクセス関連イベント・カテゴリーを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:CategoryDefinition: オブジェクトダウンロードイベント | すべてのオブジェクト (ファイル、フォルダーなど) のダウンロード関連イベント・カテゴリーを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:CategoryDefinition: オブジェクト・アップロード・イベント | すべてのオブジェクト (ファイル、フォルダーなど) のアップロード関連イベント・カテゴリーを含めるには、このビルディング・ブロックを編集します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: 正規の仮想化管理 | マシン管理や権利管理などの通常の仮想環境管理アクティビティーを定義します。 |
| ルール | Logs Have Been Deleted/Disabled or Stopped (ログは削除/使用不可または停止されました) | ログが削除、無効化、または停止されるときにトリガーされます。 |
| ルール | 短期間での同じ管理ポリシーの追加および削除 (Office 365) | 仮想化システムまたはクラウド・システムで同じ送信元アドレスからの認証が複数回失敗した場合にトリガーされます。 |
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1で新しく導入された、または更新されたカスタム・プロパティーを示します。
| 名前 | 最適化済み |
|---|---|
| 影響を受けるワークロード | はい |
| ポリシー名 | はい |
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1で新しく導入されたレポートを示します。
| レポート名 | 説明 |
|---|---|
| Office 365 ファイル・アクティビティー-月次 | 保存済み検索: Office 365: ファイル・アクティビティー |
| Office 365 ファイル・アクティビティー-週次 | 保存済み検索: Office 365: ファイル・アクティビティー |
| Office 365 ワークロードの正常性に影響を与えた Office 365 インシデント-月次 | 保存済み検索: Office 365: Office 365 ワークロードの正常性に影響を与えたインシデント |
| Office 365 ワークロードの正常性に影響を及ぼした Office 365 インシデント-週次 | 保存済み検索: Office 365: Office 365 ワークロードの正常性に影響を与えたインシデント |
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.1で新しく導入された保存済み検索を示します。
| 名前 | 説明 |
|---|---|
| Office365: ファイル・アクティビティー | Office 365 ファイル・アクティビティー・イベントについて説明します。 |
| Office 365: Office 365 ワークロードの正常性に影響を与えたインシデント | Office 365 ワークロードの正常性に影響を与えたインシデントについて説明します。 |
IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.2.0
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0で新しく導入された、または更新されたルールおよびビルディング・ブロックを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB: AWS クラウド: API 要求が拒否されました | 拒否されたパイ要求を定義します (AWS)。 |
| ビルディング・ブロック | BB:BehaviourDefinition: インスタンス・プロファイルの変更 (AWS) | AWSのインスタンス・プロファイル値の変更を定義します。 インスタンス・プロファイルには 1 つのロールが含まれ、ロールは自由に変更できます。 例えば、「制限付き役割」を持つ「制限付きインスタンス・プロファイル」は、代わりに「管理者役割」を持つように変更できます。 この場合、インスタンス・プロファイル名は変更されません。これは気付くのが難しくなります。 |
| ビルディング・ブロック | BB:DeviceDefinition: Cloud | ビルディング・ブロックにさらにデバイスが追加されました。 |
| ルール | 異なるソース IP からのハイブリッド・クラウドの複数ログインの失敗 | ユーザーが異なる送信元 IP アドレスから 2 分間に 25 回クラウド・プラットフォームにログインできなかった場合にトリガーされます。 |
| ルール | Logs Have Been Deleted/Disabled or Stopped (AWS) | 削除、無効化、または停止されている Amazon AWS ログにアラートがある場合にトリガーされます。 |
| ルール | 同じソース IP からの複数の失敗した API 要求 (AWS) | 同じ送信元 IP から 2 分間に 10 個以上の失敗した API 要求が開始された場合にトリガーされます。 |
| ルール | 同じユーザー名からの複数の失敗した API 要求 (AWS) | 2 分以内に同じユーザー名から少なくとも 10 個の失敗した API 要求が開始された場合にトリガーされます。 |
| ルール | AWS トレール・ロギング構成に対する潜在的な変更 | Cloud Trail ログに対する構成変更に関するアラートがある場合にトリガーされます。 |
| ルール | インスタンス・プロファイルを介した潜在的な特権のエスカレーション (AWS) | AWS インスタンス・プロファイルの変更後に管理アクションが実行されるとトリガーされます。 ユーザーは、 AWS インスタンス・プロファイルを変更して別のロールを割り当てることができます。 管理アクティビティーがこのアクションの後に続く場合は、潜在的な特権エスカレーション・イベントを示している可能性があります。 |
| ルール | 作成または削除されたセキュリティー・ルール (Azure) | 低い特権ユーザーによってセキュリティー・ルールが作成または削除されたときにトリガーされます。 これは、仮想マシンまたはリソースへのアクセスを許可または拒否するセキュリティー・ルールを作成または削除する攻撃者を示す可能性があります。 |
次の表は、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0で新しく導入された、または更新されたカスタム・プロパティーを示しています。
| 名前 | 最適化済み | 説明 |
|---|---|---|
| 連携ユーザー (federated user) | いいえ | このプロパティーは、DSM ペイロードからの フェデレーテッド・ユーザー のデフォルト・カスタム抽出のプレースホルダーです。 |
| Group Name | はい | このプロパティーは、DSM ペイロードからの グループ名 のデフォルト・カスタム抽出のプレースホルダーです。 |
| ローカル・ネットワーク・ゲートウェイ | いいえ | このプロパティーは、DSM ペイロードからの ローカル・ネットワーク・ゲートウェイ のデフォルト・カスタム抽出のプレースホルダーです。 |
| ネットワーク・インターフェース | いいえ | このプロパティーは、DSM ペイロードからの ネットワーク・インターフェース のデフォルト・カスタム抽出のプレースホルダーです。 |
| ネットワーク・セキュリティー・グループ | いいえ | このプロパティーは、DSM ペイロードからの ネットワーク・セキュリティー・グループ のデフォルト・カスタム抽出のプレースホルダーです。 |
| ネットワーク監視 | いいえ | このプロパティーは、DSM ペイロードからの Network Watcher のデフォルト・カスタム抽出のプレースホルダーです。 |
| プロファイル | はい | このプロパティーは、DSM ペイロードからの Profile のデフォルト・カスタム抽出のプレースホルダーです。 |
| セキュリティー・ルール | いいえ | このプロパティーは、DSM ペイロードからの セキュリティー・ルール のデフォルト・カスタム抽出のプレースホルダーです。 |
| UserType | はい | このプロパティーは、DSM ペイロードからの UserType のデフォルト・カスタム抽出のプレースホルダーです。 |
| Virtual Network | いいえ | このプロパティーは、DSM ペイロードからの 仮想ネットワーク のデフォルト・カスタム抽出のプレースホルダーです。 |
| VPC ID | はい | このプロパティーは、DSM ペイロードからの VPC ID のデフォルト・カスタム抽出のプレースホルダーです。 |
次の表は、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0で新しく導入されたリファレンス・セットを示しています。
| タイプ | 名前 |
|---|---|
| リファレンス・セット | AWS -監査イベント |
| リファレンス・セット | AWS -VPC イベント |
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0の新機能レポートを示します。
| レポート名 | 説明 |
|---|---|
| AWS 監査イベント-月次 | AWS 監査アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS 監査イベント-週次 | AWS 監査アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS 失敗したコンソール・ログイン・フェデレーテッド・ユーザー-月次 | AWS ログイン・アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS Failed Console Logins Federated Users - Weekly | AWS ログイン・アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS 失敗したコンソール・ログイン (非フェデレーテッド・ユーザー)-月次 | AWS ログイン・アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS 失敗したコンソール・ログイン (非フェデレーテッド・ユーザー)-週次 | AWS ログイン・アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS ポリシー変更の監査-月次 | AWS ポリシー変更アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS ポリシー変更監査-週次 | AWS ポリシー変更アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS Security Group Ingress-月次 | AWS セキュリティー・グループ入口アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS Security Group Ingress-週次 | AWS セキュリティー・グループ入口アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS 成功したコンソール・ログイン・フェデレーテッド・ユーザー-月次 | AWS ログイン・アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS 成功したコンソール・ログイン・フェデレーテッド・ユーザー-週次 | AWS ログイン・アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS 成功したコンソール・ログイン (非フェデレーテッド・ユーザー)-月次 | AWS ログイン・アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS 成功したコンソール・ログイン (非フェデレーテッド・ユーザー)-週次 | AWS ログイン・アクティビティーのモニターおよび傾向の特定をより大規模に行います。 |
| AWS VPC イベント監査-月次 | Amazon Virtual Private Cloud からのイベントの傾向を特定します。 |
| AWS VPC イベント監査-週次 | Amazon Virtual Private Cloud からのイベントの傾向を特定します。 |
| Azure ネットワーク・セキュリティー・グループの作成または更新-月次 | Azure セキュリティー・グループをより大規模にモニターし、傾向を特定します。 |
| Azure ネットワーク・セキュリティー・グループの作成または更新-週次 | Azure セキュリティー・グループをより大規模にモニターし、傾向を特定します。 |
| Azure セキュリティー・ルールの作成、更新、または削除-月次 | Azure セキュリティー・ルールをより大規模にモニターし、傾向を特定します。 |
| Azure セキュリティー・ルールの作成、更新、または削除-週次 | Azure セキュリティー・ルールをより大規模にモニターし、傾向を特定します。 |
| Azure 仮想ネットワークの作成または更新-月次 | Azure 仮想ネットワークをより大規模にモニターし、傾向を特定します。 |
| Azure 仮想ネットワークの作成または更新-週次 | Azure 仮想ネットワークをより大規模にモニターし、傾向を特定します。 |
| Azure Web Apps 仮想接続の削除-月次 | Azure Web アプリの仮想接続をより大規模にモニターし、傾向を特定します。 |
| Azure Web Apps 仮想接続の削除-週次 | Azure Web アプリの仮想接続をより大規模にモニターし、傾向を特定します。 |
| 仮想化-グループ監査-月次 | クラウド・グループ監査アクティビティーの監視と傾向追跡を強化します。 |
| 仮想化-グループ監査-週次 | クラウド・グループ監査アクティビティーの監視と傾向追跡を強化します。 |
| 仮想化-役割の作成、削除、および更新-月次 | クラウド・ロール・アクティビティーの監視と傾向追跡を強化します。 |
| 仮想化-役割の作成、削除、および更新-週次 | クラウド・ロール・アクティビティーの監視と傾向追跡を強化します。 |
| 仮想化-作成されたユーザー・アカウント-月次 | クラウド・ユーザー・アカウント作成アクティビティーの監視と傾向追跡を強化します。 |
| 仮想化-作成されたユーザー・アカウント-週次 | クラウド・ユーザー・アカウント作成アクティビティーの監視と傾向追跡を強化します。 |
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.2.0で新しく導入された保存済み検索を示します。
| 名前 | 説明 |
|---|---|
| AWS 監査イベント | この保存済み検索は、 「監査イベント」 レポートで使用されます。 |
| AWS Failed Console Logins Fed User-Group by Username and Source IP | この保存済み検索は、 「Failed Console Logins Federated User」 レポートで使用されます。 |
| AWS Failed Console Logins Non-Fed User-Grouped by Username and Source IP | この保存済み検索は、 「Failed Console Logins Non-Federated User」 レポートで使用されます。 |
| AWS ポリシー変更監査 | この保存済み検索は、 「ポリシー変更」 レポートで使用されます。 |
| AWS セキュリティー・グループ Ingress | この保存済み検索は、 Security Group Ingress レポートで使用されます。 |
| AWS Success Console Logins Fed User-Group by Username and Source IP | この保存済み検索は、 「成功したコンソール・ログイン・フェデレーテッド・ユーザー (Successful Console Logins Federated User)」 レポートで使用されます。 |
| AWS Success Console Logins Non-Fed User-Group by Username and Source IP | この保存済み検索は、 「成功したコンソール・ログイン (非フェデレーテッド・ユーザー)」 レポートで使用されます。 |
| AWS VPC 監査イベント | この保存済み検索は、 「VPC イベント監査」 レポートで使用されます。 |
| Azure : 作成または更新されたネットワーク・セキュリティー・グループ | この保存済み検索は、 「Security Group Created or Updated」 レポートで使用されます。 |
| Azure セキュリティー・ルールの作成、更新、または削除 | この保存済み検索は、 「Security Rule Created, Updated or Deleted」 レポートで使用されます。 |
| Azure 仮想ネットワークの作成または更新 | この保存済み検索は、 「仮想ネットワークの作成または更新 (Virtual Network Created or Updated)」 レポートで使用されます。 |
| Azure Web Apps 仮想ネットワーク接続の削除 | この保存済み検索は、 「Web アプリの仮想ネットワーク接続の削除」 レポートで使用されます。 |
| 仮想化-グループ変更の監査 | この保存済み検索は、 「グループ変更」 レポートで使用されます。 |
| 仮想化-役割の作成、削除、および更新 | この保存済み検索は、 「役割」 レポートで使用されます。 |
| 仮想化-作成されたユーザー・アカウント | この保存済み検索は、 「ユーザー・アカウントの作成」 レポートで使用されます。 |
IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.1.0
次の表は、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.1.0で新しく導入された、または更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:DeviceDefinition: Cloud | システムのすべてのクラウド・ソースを定義します。 |
| ルール | Hybrid Cloud Multiple Login Failures from Same Source | 仮想化システムまたはクラウド・システムで同じ送信元アドレスからの認証が複数回失敗した場合にトリガーされます。 |
| ルール | Hybrid Cloud Multiple Login Failures from Same Username | 仮想化システムまたはクラウド・システムで同じユーザー名の認証に複数回失敗した場合にトリガーされます。 |
IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 2.0.0
このコンテンツ拡張は、 IBM Security QRadar Virtualized Environment Content Extension から IBM Security QRadar Content Extension for Hybrid Cloud Use Cases に名前変更されました。
次の表では、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases V2.0.0のカスタム・イベント・プロパティーを示しています。
| カスタム・プロパティー | 場所 |
|---|---|
| アクセス・キー ID | Amazon AWS |
| アラートの重大度 | |
| 監査フラグ | |
| MFA 使用 (MFA Used) | |
| オブジェクト ID | Azure |
| ObjectName | Microsoft Office 365 |
| ObjectType | |
| 実行された検索 (Search Executed) | Microsoft Office 365 |
| ターゲット・アクセス・キー ID | Amazon AWS |
| ターゲット・ユーザー ID | Azure |
| ユーザー ID | Azure |
| UserType | Amazon AWS |
| ボリューム ID | Amazon AWS |
次の表は、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0で新しく導入された、または更新されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:BehaviorDefinition: 別ユーザーのアクセスキー作成 (AWS) | 別のユーザーのアクセス・キーを作成するユーザーを定義します。 AWS では、iam:CreateAccessKey権限を持つユーザーは、自分がアクセスできるユーザーのためにアクセス・キーを作成できます。 攻撃者が、管理ユーザーに対するアクセス権限を取得する可能性があります。 AWS アクセス・キーは、AWS CLI または API に対する要求に使用される資格情報です。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Amazonにおけるクレデンシャルの流出 GuardDuty Amazonにおけるクレデンシャルの流出 | Amazon GuardDuty で資格情報の引き出しがいつ検出されるかを定義します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: デフォルトポリシー作成 (AWS) | ユーザーがいつ新規ポリシー・バージョンを作成して default(current) バージョンに設定したかを定義します。 AWS では、iam:CreatePolicyVersion権限を持つユーザーは、ポリシーの新規バージョンを作成して既存のポリシーを上書きすることができます。 攻撃者が、最高の特権を自身に割り当てたり、セキュリティー・マネージャーの許可を取り消したりする可能性があります。これらは、特権のエスカレーションおよび防御の回避の技法です。 |
| ビルディング・ブロック | BB:BehaviorDefinition: デフォルトポリシーバージョンの変更(AWS) | ユーザーのデフォルト・ポリシー・バージョンがいつ変更されるかを定義します。 AWS では、iam: SetDefaultPolicyVersion権限を持つユーザーは、デフォルト (現行) バージョン・ポリシーと呼ばれるポリシーを別のバージョンに変更できます。 ユーザーにはポリシーを再書き込みする許可がないため、ポリシー・バージョンを事前に定義する必要があります。 例えば、 |
| ビルディング・ブロック | BB:BehaviorDefinition: 中程度または高重度の仮想化イベント | 仮想化環境の中重大度および高重大度のイベントを定義します。 重大度の各レベルを定義するための基礎として以下の指標が使用されています。
しきい値をニーズに合わせて調整してください。 Azure では、イベント重大度は Azure Security Center および Azure Defender に基づいています。 ご使用の環境で表示されるアラートは、リソースおよびサービスのほか、カスタム構成によって異なります。 AWS GuardDuty では、以下の定義によって重大度が定義されます。
|
| ビルディング・ブロック | BB:BehaviorDefinition: 正規の仮想化管理 | マシン管理や権限管理など、通常の仮想環境管理アクティビティーを定義します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Managed Identityを持つリソースに割り当てられた役割(Azure) | 管理対象 ID を持つ Azure リソース・インスタンスがいつ別のリソースに対するロールを割り当てられるかを定義します。 管理対象 ID を持つリソースは、Azure Active Directory 認証を介して他のリソースにアクセスして管理することができます。 |
| ビルディング・ブロック | BB:BehaviorDefinition: Suspicious Virtualization Activities(不審な仮想化活動) | 疑わしい仮想化アクティビティーを定義します。 |
| ビルディング・ブロック | BB:BehaviorDefinition: ボリュームが同じマシン上でデタッチされ、アタッチされる | マシンから切り離され、そのマシンに 1 時間以内に再接続されているボリュームを検出します。 |
| ビルディング・ブロック | BB:CategoryDefinition: クラウドオブジェクト共有 ( O365 ) | カレンダー、連絡先、および E メールに関するポリシーなど、Office 365 のポリシー共有カテゴリーを定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition: 仮想マシンのネットワーク構成の更新 | このビルディング・ブロックは、コンテンツ拡張から削除されました。 |
| ビルディング・ブロック | BB:CategoryDefinition:仮想マシンの構成変更 | このビルディング・ブロックのルール・フィルターは更新されました。 |
| ルール | 同じユーザーからの資格情報の引き出しタスクと管理タスク | 管理タスクが観察された前後の短期間に資格情報引き出しアラートが発生したときにトリガーします。これは、攻撃者がプラットフォームに対するアクセス権限を利用したことを示している可能性があります。 |
| ルール | 疑わしいアクションを実行する高特権仮想マシン | クレジット・カード番号などの個人情報が格納されているストレージにアクセスできる仮想マシンが疑わしいアクティビティーを実行したときにトリガーします。 このアクションは、仮想マシンが悪意のあるアクションを実行するために許可を変更していることを示している可能性があります。 |
| ルール | 多要素認証のバイパス | 多要素認証 (MFA) を使用しない仮想化システムまたはクラウド・システムへのログイン試行時にトリガーします。 注: 一部のビジネス・シナリオでは MFA を有効化または使用できない場合があるため、このルールはデフォルトで無効になっています。 MFA が使用されている環境でのみ、このルールを有効にしてください。
|
| ルール | 疑わしいアクティビティーの後に仮想化管理タスク (Suspicious activity フォロー by Virtualization Administration Task) | 仮想化環境で通常の管理タスクの後に疑わしいアクティビティーが検出されたときにトリガーします。 疑わしいアクティビティーには、複数の仮想マシンの削除や、資格情報引き出しの検出が含まれます。 通常の管理タスクには、仮想マシンの作成または削除、およびロールの更新が含まれます。 |
| ルール | 仮想マシンに対して行われた変更の疑わしい数 | 「Abnormal Number of Modifications Made on Virtual Machines」から名前変更されました。 |
| ルール | 疑わしい仮想マシン作成数 (Suspicious Number of Virtual Machines Created) | 「Abnormal Number of Virtual Machines Created」から名前変更されました。 |
| ルール | ユーザーによる特権アクセスの想定 (AWS) | 一時的な特権アクセスを持つユーザーが検出されたときにトリガーします。 AWS では、ロールの指定により、ユーザーがアクセスを要求したリソースに一時的な資格情報が返されます。 ユーザーの一時的なセキュリティー資格情報またはアクセス・キーは、デフォルトで存続時間間隔が 1 時間に設定された「Temporary Access Keys」リファレンス・セットに追加されます。 この時間を環境の有効期限構成に応じて調整してください。 注: 「Low Privilege Role Names」 リファレンス・セットに、関連する役割名を取り込む必要があります。 このリファレンス・セットで定義されていないものはすべて、特権に関して疑わしいものと見なされます。
|
| ルール | ユーザーが特権が高い役割に変更されました | 「User Role Changed to High Privilege Role Names」から名前変更されました。 |
| ルール | ユーザーの特権が低い役割に変更されました | 「User Role Changed to Low Privilege Role Names」から名前変更されました。 |
| ルール | 疑わしいアクティビティーを実行する一時アクセス権限を持つユーザー (AWS) | 一時的なアクセス権限を持つユーザーが疑わしいアクティビティーを実行したときにトリガーします。 AWS では、ロールの指定により、ユーザーがアクセスを要求したリソースに一時的な資格情報が返されます。 資格情報が使用されていない可能性やユーザーが正当である可能性があるため、これだけでは攻撃を示すものではありませんが、さらにアクティビティーをモニターする必要があります。 |
| ルール | 割り当てられた仮想マシン高特権ロール | 仮想マシンのマシン ID を、高特権ロールが割り当てられていた場合に「Resources with High Privilege
Roles」リファレンス・セットに追加します。 注: 「Low Privilege Role Names」 リファレンス・セットに、関連する役割名を取り込む必要があります。 このリファレンス・セットで定義されていないものはすべて、特権に関して疑わしいものと見なされます。
|
| ルール | 割り当てられていない仮想マシン高特権ロール (Virtual Machine High Privilege Role Unassigned) | 仮想マシンのマシン ID を、高特権ロールが割り当てられていなかった場合に「Resources with High Privilege
Roles」リファレンス・セットから削除します。 注: 「Low Privilege Role Names」 リファレンス・セットに、関連する役割名を取り込む必要があります。 このリファレンス・セットで定義されていないものはすべて、特権に関して疑わしいものと見なされます。
|
| ルール | 異なるマシンで接続され、切り離されたボリューム | 単一のボリュームが複数のマシンで接続されてから切り離されたときにトリガーします。 例えば、AWS 環境で SSH 鍵ペアを置き換えるには、ボリュームを別のインスタンスで切り替える必要があります。 ボリュームに対するこのような操作は、悪意のある振る舞いを示している可能性があります。 |
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0で新しく導入された、または更新されたレポートを示します。
| レポート名 | 検索名と説明 |
|---|---|
| 仮想化-マシンの作成 | 保存済み検索: Virtualization - Machine Creation, Virtualization - Machine Creation per
Username 過去 24 時間に作成された仮想マシンのレポート。 |
| 仮想化-国ごとのユーザー作成 | 保存済み検索: Cloud User Creation by Country 国ごとのユーザー作成を示します。 レポート・コンテンツは、「Cloud User Creation by Country」検索を使用して照合されます。 結果を詳細化するには、この検索と関連する検索の依存関係を編集します。 |
次の表では、 IBM Security QRadar 仮想化コンテンツ拡張 2.0.0で新しく導入された、または更新されたリファレンス・データを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | 特権が高い役割を持つリソース | 高特権ロールを持つリソースを定義します。 |
| リファレンス・セット | 一時アクセス・キー | AWS 一時アクセス・キーを定義します。 |
次の表に、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 2.0.0で新しく導入された、または更新された保存済み検索を示します。
| 名前 | 説明 |
|---|---|
| Microsoft Office365 eDiscovery 作成または開始された検索 | 作成または開始された検索の Azure eDiscovery イベントを定義します。 |
| Microsoft Office365 eDiscovery 削除された検索 | 削除された検索の Azure eDiscovery イベントを定義します。 |
| Microsoft Office365 eDiscovery エクスポートまたはダウンロードされた検索 | エクスポートまたはダウンロードされた検索の Azure eDiscovery イベントを定義します。 |
| 仮想化-マシンの作成 | 仮想マシン作成イベントを定義します。 |
| 仮想化-ユーザー名ごとのマシン作成 | ユーザー名でグループ化された仮想マシン作成イベントを定義します。 |
| 仮想化-国ごとのユーザー作成 | クラウド・デバイスの国別のユーザー作成イベントを定義します。 |
| 仮想化-ユーザーのロックされたアカウント | クラウド・デバイスのロックされたユーザー・アカウントを定義します。 |
IBM Security QRadar Content Extension for Hybrid Cloud のユース・ケース 1.0.0
次の表では、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0のカスタム・イベント・プロパティーを示しています。
| カスタム・プロパティー | 最適化済み | 場所 |
|---|---|---|
| マシン ID | はい |
|
| ロール名 (Role Name) | はい |
|
| ターゲット・ユーザー名 | はい |
|
次の表では、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0のビルディング・ブロックとルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:CategoryDefinition: ユーザー役割割り当てイベント | このビルディング・ブロックを編集して、任意のユーザー・ロールの割り当てイベントを含めます。 |
| ビルディング・ブロック | BB:DeviceDefinition: 仮想化 | このルールは、システムのすべてのハイパーバイザーを定義します。 |
| ビルディング・ブロック | BB:DeviceDefinition: Cloud | このルールは、システムのすべてのクラウド・ソースを定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition: 仮想マシンが再起動しました | このビルディング・ブロックを編集して、仮想マシンの再始動を示すすべてのイベントを含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition: 仮想マシンが起動しました | このビルディング・ブロックを編集して、仮想マシンの始動を示すすべてのイベントを含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition: 仮想マシンが停止しました | このビルディング・ブロックを編集して、仮想マシンの停止を示すすべてのイベントを含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition: 仮想マシンが削除されました | このビルディング・ブロックを編集して、仮想マシンの削除を示すすべてのイベントを含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition: 仮想マシンの構成変更イベント | このビルディング・ブロックを編集して、任意の構成イベントを含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition: 仮想マシンのネットワーク構成の更新 | このビルディング・ブロックを編集して、仮想マシン上のネットワーク構成の更新を示すすべてのイベントを含めます。 |
| ビルディング・ブロック | BB:CategoryDefinition: システムの構成 | このビルディング・ブロックは、システム構成イベントを定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition: 仮想マシンが作成されました | このビルディング・ブロックを編集して、仮想マシンの作成を示すすべてのイベントを含めます。 |
| ルール | ユーザー・ロールが低特権ロール名に変更されました | このルールは、ユーザーに下位の特権ロールが付与された場合に、リファレンス・セット「Users with High Privilege Role Names」からそのユーザー名を削除します。 注: 「Low Privilege Role Names」リファレンス・セットに、関連する役割名を取り込む必要があります。 このリファレンス・セットで定義されていないものはすべて、特権に関して疑わしいものと見なされます。
|
| ルール | Sensitive Virtual Machines Unavailable for a Long Period of Time (機密仮想マシンが長時間使用不可) | このルールは、機密性の高い仮想マシンが停止し、長時間使用できなくなったときにトリガーされます。 機密性の高い仮想マシンのダウン時間を変更して、このルールを調整します。 |
| ルール | ユーザー・ロールが高特権ロール名に変更されました | このルールは、ユーザーによる潜在的な高特権ロールの取得が発生した場合に、リファレンス・セット「User with High Privilege Role Names」にそのユーザー名を追加します。 注: 「Low Privilege Role Names」リファレンス・セットに、関連する役割名を取り込む必要があります。 このリファレンス・セットで定義されていないものはすべて、特権に関して疑わしいものと見なされます。
|
| ルール | 疑わしいアクションを実行する特権が高いユーザー | このルールは、ユーザー・ロールが高い特権 (管理者など) で変更された後、疑わしいアクティビティーが発生した場合にトリガーされます。 このアクションは、ユーザーがアクセス許可を変更して、悪意のあるアクションを実行したり、許可されていないマシンにアクセスしたりすることを示す場合があります。 |
| ルール | 短期間に複数の機密性の高い仮想マシンが削除されました | このルールは、短期間に複数の機密性の高いマシンまたはセキュリティー・デバイスが削除されるときにトリガーされます。 これは、侵入者が機密情報を危険にさらしているか、攻撃を行う前に隠れていることを示している可能性があります。 注: 「機密仮想マシン」リファレンス・セットには、関連するマシン名を取り込む必要があります。
注:
許可ユーザーがこのアクションを頻繁に実行する場合は、そのユーザーをルール条件に追加して除外します。 例については、Abnormal Number of Modifications Made on Virtual Machines を参照してください。 |
| ルール | 短期間での複数の仮想セキュリティー・デバイスの電源オフ | このルールは、短期間に複数の仮想セキュリティー・デバイス (仮想 IDS、仮想 SIEM コンポーネントなど) の電源が切られたときにトリガーされます。 注: 「セキュリティー・デバイス」リファレンス・セットには、関連するマシンの名前または ID を取り込む必要があります。
注:
許可ユーザーがこのアクションを頻繁に実行する場合は、そのユーザーをルール条件に追加して除外します。 例については、Abnormal Number of Modifications Made on Virtual Machines を参照してください。 |
| ルール | Abnormal Number of Modifications Made on Virtual Machines (仮想マシンで行われた変更の異常数) | このルールは、仮想マシンで構成の更新が異常な回数実行されたときにトリガーされます。 一般的な管理では、複数の構成の更新 (メモリーの追加や 1 台または複数のマシンのストレージ・サイズの縮小など) を意味することはありません。 これは、疑わしい動作を示しています。 注: 「許可ユーザー」 リファレンス・セットに、これらのアクションの実行を許可されているユーザーを取り込みます。
|
| ルール | 作成された仮想マシンの異常数 | このルールは、短期間に多数の仮想マシンが作成されたときにトリガーされます。 これは、悪意のあるユーザーの動作を示す可能性があります。 例については、Abnormal Number of Modifications Made on Virtual Machines を参照してください。 |
次の表では、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0のリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | 許可されたユーザー | 許可ユーザーを定義します。 このリファレンス・セットを使用すると、高特権のアクションを実行するときに、許可ユーザーをフォールス・ポジティブのトリガーから除外できます。 |
| リファレンス・セット | 低特権ロール名 | 高特権ロール名を持つユーザー名を収集します。 |
| リファレンス・セット | セキュリティー・デバイス | セキュリティー・デバイスの名前または ID を定義します。 |
| リファレンス・セット | 機密仮想マシン | 機密性の高い仮想マシンの名前または ID を定義します。 |
| リファレンス・セット | 特権が高い役割名を持つユーザー | 高特権ロール名を持つユーザー名を収集します。 |
次の表では、 IBM Security QRadar Content Extension for Hybrid Cloud Use Cases 1.0.0の保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| VMWare 監査イベント | VMware 監査イベントを定義します。 |
| VMWare システム状況 | VMware システム状況イベントを定義します。 |