预定义报告内容模板
预定义内容模板定义规则报告的过滤器和列,包括列顺序和排序选项。
规则依赖性
规则对事件、流或攻击执行测试,并且在满足所有测试条件时生成响应。 每个规则中的测试还可以引用其他构建块和规则:这些关系称为依赖关系。
| 名称 | 描述 |
|---|---|
| 缺省模板 - 所有规则 | 请参阅 QRadar 中规则的缺省视图;构建块未包含在此视图中。 |
| 每个规则的引用集 | 对于规则测试中使用引用集的每个规则,显示引用集。 |
| 每个规则的引用集(包含测试定义) | 对于规则测试中使用引用集的每个规则,显示引用集和规则测试。 |
| 每个规则的引用集的数量 | 查看每个规则所引用的引用集的数量。 |
| 每个引用集的规则 | 对于规则使用的每个引用集,显示使用它的规则和规则测试。 |
| 每个定制属性的规则 | 对于规则使用的每个定制属性,显示使用它的规则和规则测试。 使用此报告可识别具有相同用途但名称不同的定制属性。 或者查看是否可以通过使用适用于新日志源的定制属性的规则来扩展新日志源。 |
| 按规则划分的日志源覆盖 - 仅限我的日志源 | 对于每个日志源类型,显示与其相关的规则。 使用此报告可帮助您确定哪些日志源需要更多覆盖。 |
| 按规则划分的日志源覆盖 | 对于每个日志源类型,显示与其相关的规则。 |
| 按规则划分的日志源覆盖(包含测试) | 对于每个日志源类型,显示与其相关的规则以及将规则绑定到日志源类型的测试。 使用此报告可帮助您确定哪些设备需要更多覆盖范围。 测试定义说明了规则与特定日志源类型相关的原因。 |
| 每个规则的日志源类型 | 对于每个规则,请参阅每个规则作用于的日志源类型。 使用此报告可帮助您确定特定规则所需的日志覆盖范围或规则覆盖范围是否低于预期。 您可以向此报告添加日志源类型测试定义,以查看规则与特定日志源的关系。 |
| 每个定制属性的日志源类型 | 对于规则引用的每个定制属性,显示与该规则相关的日志源类型。 使用此报告可识别需要定义定制属性的日志源类型。 |
MITRE ATT&CK coverage
策略代表 ATT&CK 技术或子技术的目标。 例如,对手可能希望获取对网络的凭证访问权。 技术代表了对手如何实现他们的目标。 例如,对手可能转储凭证以获取对网络的凭证访问权。 使用预定义的模板来创建或修改规则和构建块映射。
| 名称 | 描述 |
|---|---|
| 映射至规则的 MITRE ATT&CK 策略和技术 | 显示映射到规则的所有策略及其方法。 |
| 映射至 MITRE ATT&CK 策略和技术的规则 | 显示映射到至少一个策略的所有规则并查看其方法。 |
已安装的内容扩展
请参阅从 IBM® Security App Exchange安装的所有内容扩展的列表以及其中每个内容扩展的规则列表。
| 名称 | 描述 |
|---|---|
| 从 IBM Security App Exchange 安装的内容扩展 | 请参阅从 IBM Security App Exchange 安装的所有内容扩展的列表以及其中每个内容扩展的规则列表。 |
建议的未安装的内容扩展
内容扩展更新 IBM QRadar 安全信息或添加新内容,例如规则,报告,搜索,引用集和定制属性。 使用预定义模板可了解如何通过从 IBM Security App Exchange安装内容扩展来增加环境中日志源或 MITRE 策略和技术的规则覆盖率。
| 名称 | 描述 |
|---|---|
| 基于我的日志源建议的未安装的内容 | 探索如何从 IBM Security App Exchange 添加新的未安装内容,以根据每个内容扩展中每种日志源类型的规则数来扩展覆盖范围。 |
| 基于 MITRE 覆盖的建议的未安装的内容 | 探索从 IBM Security App Exchange 添加新的未安装内容如何扩展 MITRE 策略和技术的覆盖范围。 |
| 建议的未使用的日志源 | 探索如何通过添加新日志源来扩展用例的覆盖。 |
| 所有未安装的内容 | 查看所有未安装的内容扩展及其规则的列表。 以未分组的表格式显示列表。 |
User Behavior Analytics
用户行为分析规则可以帮助您识别网络中潜在的内部威胁。
| 名称 | 描述 |
|---|---|
| 所有 User Behavior Analytics 规则 | 对于所有已安装和未安装的 User Behavior Analytics 规则,显示风险评分。 |
| 已安装的 User Behavior Analytics 规则 | 对于已安装的 User Behavior Analytics 规则,显示风险评分。 |
| 未安装的 User Behavior Analytics 规则 | 对于未安装的内容扩展,显示在安装扩展时可用的 User Behavior Analytics 规则。 |
不活动规则
在特定时间段内未触发的规则可能配置错误,并且您可能无法从 IBM QRadar® 部署中获取最大价值。 请复审不活动规则以获取可能的调整选项。
| 名称 | 描述 |
|---|---|
| 过去一周内未处于活动状态的规则 | 请参阅过去一周内未将事件分配给攻击的规则列表。 |
| 自安装以来未活动的规则 | 请参阅自 QRadar中安装事件以来从未向攻击分配事件的规则的列表。 |