カスタム・ルール
IBM QRadar には、過剰なファイアウォール拒否、複数回のログイン試行の失敗、潜在的なボットネット・アクティビティーなど、幅広いアクティビティーを検出するルールが含まれています。 また、異常なアクティビティーを検出する独自のルールを作成することができます。
カスタム・ルールとは
ネットワーク内の異常なアクティビティーを検出するために、デフォルト・ルールをカスタマイズします。
ルール・タイプ
- イベント・ルール
- QRadar イベント・プロセッサーによってリアルタイムで処理される着信ログ・ソース・データに対してテストします。 単一イベント、またはイベント・シーケンスを検出するためのイベント・ルールを作成します。 例えば、ネットワークをモニターして、失敗したログイン試行、複数ホストへのアクセス、エクスプロイトが後に続くスキャン行為イベントを調べるために、イベント・ルールを作成します。 通常、イベント・ルールは、応答としてオフェンスを作成します。
- フロー・ルール
- QRadar Flow Processorによって処理される着信フロー・データに対してテストします。 単一フロー、またはフロー・シーケンスを検出するためのフロー・ルールを作成することができます。 通常、フロー・ルールは、応答としてオフェンスを作成します。
- 共通ルール
- イベント・データとフロー・データに対してテストを行います。 例えば、特定の送信元 IP アドレスを持つイベントとフローを検出するための共通ルールを作成することができます。 通常、共通ルールは、応答としてオフェンスを作成します。
- オフェンス・ルール
- オフェンスのパラメーターをテストして、より多くの応答をトリガーします。 例えば、特定の日時の間にオフェンスが発生する場合に応答が生成されます。 オフェンス・ルールは、オフェンスが変更された場合にのみ、オフェンスの処理を行います。 例えば、新規イベントが追加された場合や、オフェンスの再評価がシステムによってスケジュールされた場合などです。 通常、オフェンス・ルールは、応答として通知を E メールで送信します。
ルールの管理
ルールの作成、編集、グループへの割り当て、およびルールのグループの削除を行うことができます。 ルールまたはビルディング・ブロックをグループに分類することにより、ルールを効率良く表示および追跡することができます。 例えば、コンプライアンスに関連するすべてのルールを表示することができます。
ドメイン固有のルール
ルールにドメイン・テストがある場合、指定されたドメイン内部で発生するイベントにのみ適用されるようにそのルールを制限することができます。 ルールに設定されたドメインとは異なるドメイン・タグを持つイベントは、応答をトリガーしません。
システム全体における条件をテストするルールを作成するには、ドメイン条件を「任意のドメイン」に設定します。
ルール条件
多くのルール・テストは、単一の条件 (リファレンス・データ・コレクション内のエレメントの存在、またはイベントのプロパティーに対する値のテストなど) を評価します。 複雑な比較の場合、WHERE 節条件を使用して Ariel 照会言語 (AQL) 照会を作成することにより、イベント・ルールをテストできます。 すべての WHERE 節関数を使用して、複雑な基準を作成できます。こうすると、個別のテストを数多く実行する必要がなくなります。 例えば、AQL WHERE 節を使用して、インバウンド SSL トラフィックまたは Web トラフィックのどちらがリファレンス・セット上で追跡されているかを検査します。
イベント、フロー、またはオフェンスのプロパティー (送信元 IP アドレス、イベントの重大度、またはレート分析など) についてテストを実行することができます。
関数により、ビルディング・ブロックおよび他のルールを使用して複数イベント、複数フロー、または複数オフェンスの機能を作成できます。 ブール演算子 (OR や AND など) をサポートする関数を使用して、ルールを結合させることができます。 例えば、イベント・ルールを結合する場合、「イベントが以下のルールのいずれかまたはすべてに一致する場合 (when an event matches any|all of the following rules)」関数を使用できます。