レイジー・サーチを使用した迅速な IOC の検索

IBM QRadar 遅延検索 を使用して、異常なアウトバウンド・ネットワーク・トラフィックや特権ユーザー・アカウント・アクティビティーでの異常など、危殆化指標 (IOC) を検索します。

始める前に

レイジー・サーチ は、検索条件に関連した最初の 1000 件のイベントを返します。 例えば、マルウェアのアウトブレーク調査の一環として特定の MD5 を検索する必要がある場合、すべての関連イベントを確認する必要はありません。 レイジー・サーチ を実行して、制限された結果セットを迅速に返します。

レイジー・サーチ を利用するには、管理セキュリティー・プロファイル、または以下のように構成された非管理者セキュリティー・プロファイルが必要です。

• 許可の優先順位が「制限なし」に設定されている。
• すべてのネットワークおよびログ・ソースへのアクセス権限を備えている。

ドメインが構成されているネットワークでは、非管理者セキュリティー・プロファイルを備えているユーザーは、レイジー・サーチを使用できません。

1. クイック・フィルターのレイジー・サーチを実行するには、以下のステップを実行します。
   1. 「ログ・アクティビティー」 タブの 「クイック・フィルター」 フィールドに値を入力します。
   2. 「表示」 リストから、時刻範囲を選択します。
2. 基本検索のレイジー・サーチを実行するには、以下のステップを実行します。
   1. 「ログ・アクティビティー」タブで、 検索 > 「新規検索」をクリックします。
   2. 「最近」 時刻範囲を選択するか、 「特定の間隔」を設定します。
   3. 「Order by」 フィールドの値が Start Time に設定され、 「Results Limit」 フィールドの値が 1000 以下であることを確認します。 検索に集約列を含めてはなりません。
   4. 「クイック・フィルター」 パラメーターの値を入力して、 「フィルターの追加」をクリックします。
3. レイジー・サーチを完全に無効にするには、以下のステップを実行します。
   1. 「管理」 タブの 「システム設定」 をクリックします。
   2. 「システム設定」 ウィンドウで、 「デフォルトの検索制限」 フィールドの値をすべて削除します。