사용자 정의 룰
IBM QRadar 에는 과도한 방화벽 거부, 여러 번의 실패한 로그인 시도 및 잠재적인 봇넷 활동을 포함하여 광범위한 활동을 발견하는 규칙이 포함되어 있습니다. 또한 비정상적인 활동을 발견하기 위해 사용자의 자체 룰을 작성할 수도 있습니다.
사용자 정의 룰의 정의
사용자 네트워크에서 비정상적인 활동을 발견하기 위해 기본 룰을 사용자 정의합니다.
룰 유형
- 이벤트 룰
- QRadar 이벤트 프로세서가 실시간으로 처리하는 수신 로그 소스 데이터에 대해 테스트합니다. 이벤트 룰을 작성하여 단일 이벤트 또는 이벤트 순서를 발견할 수 있습니다. 예를 들어, 실패한 로그인 시도, 다중 호스트 액세스 또는 정찰 이벤트 후의 악용이 없는지 네트워크를 모니터하려면 이벤트 룰을 작성합니다. 이벤트 룰은 응답으로 오펜스를 작성하는 것이 일반적입니다.
- 플로우 룰
- QRadar Flow Processor에서 처리하는 수신 플로우 데이터에 대해 테스트합니다. 플로우 룰을 작성하여 단일 플로우 또는 플로우 순서를 발견할 수 있습니다. 플로우 룰은 응답으로 오펜스를 작성하는 것이 일반적입니다.
- 이벤트+플로우 룰
- 이벤트 및 플로우 데이터에 대해 테스트합니다. 예를 들면, 특정 소스 IP 주소를 갖고 있는 이벤트와 플로우를 발견하는 공통 룰을 만들 수 있습니다. 이벤트+플로우 룰은 응답으로 오펜스를 작성하는 것이 일반적입니다.
- 오펜스 룰
- 추가 응답을 트리거하기 위해 오펜스의 매개변수를 테스트합니다. 예를 들어, 응답은 특정 날짜 및 시간 동안 오펜스가 발생할 때 생성됩니다. 오펜스 룰은 오펜스가 변경되는 경우에만 오펜스를 처리합니다. 예를 들면 새 이벤트가 추가되거나 시스템이 오펜스를 재평가하도록 스케줄한 경우입니다. 오펜스 룰은 응답으로 알림을 이메일로 발송하는 것이 일반적입니다.
룰 관리
룰을 작성, 편집 및 그룹에 지정하고 룰 그룹을 삭제할 수 있습니다. 룰 또는 빌딩 블록을 그룹으로 분류하여 룰을 효율적으로 보고 추적할 수 있습니다. 예를 들어, 준수에 관련된 모든 룰을 볼 수 있습니다.
도메인 특정 룰
룰에 도메인 테스트가 있는 경우 지정된 도메인 내에서 발생하는 이벤트에만 적용되도록 해당 룰을 제한할 수 있습니다. 룰에 설정되어 있는 도메인과 다른 도메인 태그가 있는 이벤트는 응답을 트리거하지 않습니다.
전체 시스템에서 조건을 테스트하는 룰을 작성하려면 도메인 조건을 모든 도메인으로 설정하십시오.
규칙 조건
대부분의 룰 테스트는 이벤트 특성에 대한 값 테스트 또는 참조 데이터 콜렉션의 요소 존재와 같은 단일 조건을 평가합니다. 복합 비교의 경우 WHERE절 조건으로 AQL ( Ariel Query Language) 조회를 빌드하여 이벤트 규칙을 테스트할 수 있습니다. 모든 WHERE절 함수를 사용하여 많은 개별 테스트를 실행할 필요가 없도록 해주는 복잡한 기준을 작성할 수 있습니다. 예를 들어, AQL WHERE절을 사용하여 인바운드 SSL 또는 웹 트래픽이 참조 세트에서 추적되고 있는지 여부를 확인합니다.
이벤트, 플로우 또는 오펜스의 특성(예: 소스 IP 주소, 이벤트의 심각도 또는 비율 분석)에 대해 테스트를 실행할 수 있습니다.
함수를 통해 빌딩 블록 및 기타 룰을 사용하여 다중 이벤트, 다중 플로우 또는 다중 오펜스 함수를 작성할 수 있습니다. 부울 연산자(예: OR 및 AND)를 지원하는 함수를 사용하여 룰을 연결할 수 있습니다. 예를 들어 이벤트 룰을 연결하려는 경우 이벤트가 다음 룰 중 하나|모두와 일치하는 경우 함수를 사용할 수 있습니다.