Algılama kuralı özellikleri

Algılama kuralları, veri kaynağı kapsamını ve MITRE ATT & CK kapsamını ve eşlemesini destekler.

Kural kaynağı ve biçimi

Özellik	Açıklama
Kural kaynağı	QRadar® kuralları, QRadariçinde anormallikleri aramak ya da saptamak için olaylara, akışlara ya da hücumlara uygulanır. Sigma topluluğundaki kurallar STIX kalıpları ile geliştirilmiştir. Sigma kuralları Tehdit Araştırmacısı tarafından kullanılır. Ayrıca, Veri Gezgini 'nde STIX örüntülerini çalıştırabilirsiniz. IBM , sistem tarafından uyarıların ek önem düzeyi bilgileriyle zenginleştirilmesini ve gerektiğinde zenginleştirilmiş uyarıların ilişkilendirilmesini sağlamak için kullanılan içerik ilintilendirme kurallarını sağlar.
Kaynak	Sistem varsayılan bir kuralı belirtir. Geçersiz Kıl , varsayılan bir kuralın uyarlandığını gösterir. Kullanıcı , kullanıcı tarafından oluşturulan bir kuralı belirtir.
Desteklenen kural biçimi	Her kural biçimi belirli ürün uygulamaları tarafından desteklenir. Kural biçimi, kuralın amacını ve ürünün hangi kısmının kuralı desteklediğini belirler. Örneğin, Veri Gezgini 'nde (STIX) hangi Tehdit Araştırmacısı 'nı kullandığınızı ya da hangi kitaplığı çalıştırabileceğinizi merak ediyor olabilirsiniz.

Özellik

Açıklama

Kural kaynağı

QRadar® kuralları, QRadariçinde anormallikleri aramak ya da saptamak için olaylara, akışlara ya da hücumlara uygulanır.

Sigma topluluğundaki kurallar STIX kalıpları ile geliştirilmiştir. Sigma kuralları Tehdit Araştırmacısı tarafından kullanılır. Ayrıca, Veri Gezgini 'nde STIX örüntülerini çalıştırabilirsiniz.

IBM , sistem tarafından uyarıların ek önem düzeyi bilgileriyle zenginleştirilmesini ve gerektiğinde zenginleştirilmiş uyarıların ilişkilendirilmesini sağlamak için kullanılan içerik ilintilendirme kurallarını sağlar.

Kaynak

Sistem varsayılan bir kuralı belirtir.
Geçersiz Kıl , varsayılan bir kuralın uyarlandığını gösterir.
Kullanıcı , kullanıcı tarafından oluşturulan bir kuralı belirtir.

Desteklenen kural biçimi

Her kural biçimi belirli ürün uygulamaları tarafından desteklenir. Kural biçimi, kuralın amacını ve ürünün hangi kısmının kuralı desteklediğini belirler. Örneğin, Veri Gezgini 'nde (STIX) hangi Tehdit Araştırmacısı 'nı kullandığınızı ya da hangi kitaplığı çalıştırabileceğinizi merak ediyor olabilirsiniz.

Kural öznitelikleri

Özellik	Açıklama
Kural Adı	Belirli bir kural adı girin ya da düzenli ifadeler kullanarak bu kural adını arayın.
Kural Açıklaması	Düzenli ifadeler kullanarak kural tanımına süzgeç uygulayın.
Kural etkinleştirildi	Sisteminizin ortamınız için anlamlı hücumlar oluşturduğundan emin olmak için hangi kuralların etkinleştirildiğini ya da devre dışı bırakıldığını görün.
Yaratma ve değiştirme tarihleri	Son hafta içinde nelerin değiştiğini görmek ya da değiştirilen kuralları görmek için tarih süzgeçlerini kullanın. Değişiklik tarihi, kuralların değiştirilmiş içeriğini değil, değiştirilmiş kuralları gösterir.
Test tanımlaması	Belirli bir test tanımlaması girin ya da düzenli ifadeler kullanarak bu test tanımlamasını arayın.

QRadar kuralı öznitelikleri

Özellik	Açıklama
Kural ya da Oluşturma Öbeği (BB)	Kural, belirli koşullar karşılandığında bir işlemi tetikleyen sınamalar toplamasıdır. Her kural, belirli bir olayı, olay sırasını, akış sırasını ya da hücumu yakalamak ve bunlara yanıt vermek üzere yapılandırılabilir. Yapı taşları, kurallarda kullanılabilmeleri için karmaşık mantık oluşturmak için yaygın olarak kullanılan testleri gruplar. Oluşturma öbekleri, kuralların kullandığı, ancak bunlarla ilişkili bir işlemi olmayan testleri kullanır. İpucu: Kural kategorisi, grup, günlük kaynağı tipi ya da test gibi rapor görüntüsüne diğer QRadar kural özniteliklerini ekleyebilirsiniz.

Özellik

Açıklama

Kural ya da Oluşturma Öbeği (BB)

Kural, belirli koşullar karşılandığında bir işlemi tetikleyen sınamalar toplamasıdır. Her kural, belirli bir olayı, olay sırasını, akış sırasını ya da hücumu yakalamak ve bunlara yanıt vermek üzere yapılandırılabilir.

Yapı taşları, kurallarda kullanılabilmeleri için karmaşık mantık oluşturmak için yaygın olarak kullanılan testleri gruplar. Oluşturma öbekleri, kuralların kullandığı, ancak bunlarla ilişkili bir işlemi olmayan testleri kullanır.

İpucu: Kural kategorisi, grup, günlük kaynağı tipi ya da test gibi rapor görüntüsüne diğer QRadar kural özniteliklerini ekleyebilirsiniz.

& MITRE ATT

Özellik	Açıklama
Taktik	Listeden taktikleri seçin. Örneğin, bir İlk Erişim taktiği, ağınıza girmeye çalışan rakipler tarafından kullanılır.
Teknik	Ve alt tekniklerini arayın ya da listeden seçin. Teknikler, seçilen taktiğe uygun olarak önceden süzgeçten geçirilir. Örneğin, bir Hesap Keşfi tekniği, rakipler yerel sisteminizin ya da etki alanı hesaplarınızın bir listesini almaya çalıştığında ortaya çıkar. Alt teknikler, "dim yine ... dim!" ile tanımlanır. Örneğin, "T1003.002 Security Account Manager." Alt teknikler, bir rakibin amacına ulaşmak için kullandığı davranışın daha spesifik bir açıklamasını sağlar. Örneğin, bir düşman Yerel Güvenlik Yetkilisi (LSA) Sırlarına erişerek kimlik bilgilerinin dökümünü atabilir.
Eşleme güvenilirliği	Kural kapsamı için belirli bir güven düzeyi atanan eşlemeleri belirtir.
Eşleme etkin	Her kural için taktik ya da teknik ve kurallar arasındaki eşlemenin açık olup olmadığını belirtir. Etkinleştirilmeyen eşlemeler, teknik kapsam ısı haritasına eklenmez.