ルール・パフォーマンスの視覚化

ルール・パフォーマンスの視覚化により、 QRadar パイプラインにおけるパフォーマンスの低下と高コストのカスタム・ルールに関する現在のロギングが拡張されます。 ルール パフォーマンスの可視化により、Rules ページから直接、QRadar パイプライン内のルールの効率を簡単に判断できます。

ルール・パフォーマンスの視覚化がオンになると、「パフォーマンス」列が「ルール」ページに追加されます。 「パフォーマンス (Performance)」列は、カスタム・ルール・エンジンにパフォーマンスの問題が発生するまで空白になります。

イベントまたはフローがストレージにルーティングされると、 QRadar は、効率性の測定のために、有効なルールに関するメトリックの収集を開始します。 メトリックは、すべてのイベント・ルール、共通ルール、およびフロー・ルールについて収集されます。 ルールの更新を保存すると、パフォーマンスおよび更新したルールに関する混乱を避けるために、更新したルールのメトリックがクリアされます。 このオプションは、管理者が構成可能です。

パフォーマンス・メトリックによってルールをソートし、コストの高いルールを特定できます。 ルールをレビューするとき、各ルールを最適化するためのテストを調整し、システムに対する負荷を軽減できます。

ルール・パフォーマンスの視覚化により、ルールのコストがどの程度高いか確認できます。 QRadar 運用チームは、コストのかかるルールをモニターして、将来パフォーマンスの問題が発生しないようにすることができます。

ルールを効率的に実行することで、システムへの作業負荷を軽減できます。 時間の経過とともに、この効率化により、 QRadar は、ルール相関をバイパスする原因となる、ルールに関するパフォーマンス低下を回避することができます。 これにより、潜在的な疑わしいアクティビティーによって通知がトリガーされなくなり、将来のセキュリティー関連の問題が見逃される可能性が生じます。

チューニング・ルールの詳細については、IBM® QRadar® チューニング・ガイドを参照してください。

ルールのメトリックの表示

ルールのメトリックは、「ルール」ページで「パフォーマンス」列および「パフォーマンス分析 (Performance Analysis)」テキスト・ボックス (「ルール」ページの右下隅にある) の色付きバーの上にマウス・ポインターを移動すると表示されます。 ルールのメトリックは、ルールを編集するときに「ルール・ウィザード」で表示することもできます。 「パフォーマンス分析」テキスト・ボックスのタイム・スタンプは、ルールのメトリックがいつ更新されたかを示します。 ルールの作成について詳しくは、 ルール のトピックを参照してください。

「ネットワーク・アクティビティー」タブまたは「ログ・アクティビティー」タブから、「ルール」をクリックして「ルール」ページを表示します。 ルールをダブルクリックして「ルール・ウィザード」を開きます。

「ルール」ページの「パフォーマンス (Performance)」列の色およびバー

表示されるバーの数は、色覚異常のある方のためのビジュアル・エイドです。

1 つの赤いバー

ルールはパフォーマンスが十分でなく、チューニングする必要があります。 このルールの EPS/FPS スループットは下限を下回っています。 ルールを開いて、テストをチューニングします。

2 つのオレンジ色のバー

ルールに多少のチューニングが必要です。

3 つの緑のバー

ルールのスループットは高く、EPS/FPS しきい値の上限を超えています。

注: バーの色と数は変更できません。 パフォーマンスが十分でないルールの定義は、管理者が構成できます。

以下の画像は、QRadar のデフォルトのカスタム・ルール設定を示しています。

ルールのチューニングについて詳しくは、 カスタム・ルールのテスト順序を参照してください。