リファレンス・セットは、IP アドレスやユーザー名などのプロパティー値をリストに照らして比較するために使用します。 リファレンス・セットをルールと共に使用して、ウォッチ・リストを維持できます。 例えば、禁止されている Web サイトにアクセスする従業員を検出して、その従業員の IP アドレスをリファレンス・セットに追加するためのルールを作成できます。
このタスクについて
リファレンス・セットにデータを追加すると、「エレメント数」パラメーターと「関連付けられているルール」パラメーターが自動的に更新されます。
リファレンス・セットを編集するとき、データ値は変更できますが、リファレンス・セットに含まれているデータのタイプは変更できません。
リファレンス・セットが削除される前に、 QRadar は依存関係チェックを実行して、リファレンス・セットに関連付けられたルールがあるかどうかを確認します。
注: リファレンス・セット・データと比較するイベント・プロパティーのデータを難読化する手法を使用する場合は、英数字のリファレンス・セットを使用して、難読化されたデータ値を追加してください。
手順
- ナビゲーション・メニュー (
) で、 「管理」をクリックします。
- 「システム構成」 セクションで、 「リファレンス・セット管理」をクリックします。
- リファレンス・セットを追加するには、以下の手順を実行します。
- 「追加」 をクリックして、パラメーターを構成します。
リファレンス・セット・パラメーターについて詳しくは、以下を参照してください。以下の表では、リファレンス・セットの構成に使用する各パラメーターについて説明します。
表 1. リファレンス・セットのパラメーター
| パラメーター |
説明 |
| 名前 |
リファレンス・セット名の最大長は 255 文字です。 |
| タイプ |
リファレンス・エレメントのデータ・タイプを選択します。 リファレンス・セットの作成後に「タイプ」パラメーターを編集することはできません。
「IP」タイプには、IPv4 のアドレスが格納されます。 「英数字 (大/小文字は無視)」タイプでは、英数字の値が自動的に小文字に変更されます。
難読化されたイベント・プロパティーおよびフロー・プロパティーをリファレンス・データと比較するには、英数字のリファレンス・セットを使用する必要があります。
|
| エレメントの存続時間 |
リファレンス・エレメントの有効期限を指定します。 「永久に存続」のデフォルト設定を選択すると、リファレンス・エレメントは期限切れしません。
時間を指定する場合は、存続時間間隔が、データが最初に確認された時間と最後に確認された時間のどちらに基づくのかを指定します。
QRadar は、期限切れのエレメントを定期的に (デフォルトでは 5 分ごとに) リファレンス・セットから削除します。
|
| エレメントの有効期限が切れるとき |
期限切れ参照エレメントがリファレンス・セットから削除されたときに qradar.log ファイルに記録される方法を指定します。
「エレメントごとに別々のログ項目に記録する」オプションは、削除されるリファレンス・エレメントごとに「Expired ReferenceData element」ログ・イベントをトリガーします。 このイベントには、リファレンス・セット名とエレメント値が含まれています。
「エレメントを 1 つのログ項目に記録する」オプションは、同時に削除されるすべてのリファレンス・エレメントに対して 1 つの「Expired ReferenceData element」ログ・イベントをトリガーします。 このイベントには、リファレンス・セット名とエレメント値が含まれています。
「エレメントを記録しない」オプションは、削除されたリファレンス・エレメントに対してログ・イベントをトリガーしません。
|
- 「作成」をクリックします。
- 既存のリファレンス・セットを操作するには、 「編集」 または 「削除」 をクリックします。
ヒント: 複数のリファレンス・セットを削除するには、 「クイック検索」 テキスト・ボックスを使用して、削除するリファレンス・セットを検索し、 「リストから削除」をクリックします。