创建定制规则

IBM QRadar 包含用于检测各种活动的规则,包括过多的防火墙拒绝,多次失败的登录尝试以及潜在的僵尸网络活动。 您还可以创建自己的规则来检测异常活动。

在开始之前

在创建新规则之前,必须具有 攻击 > 维护定制规则 许可权。

关于此任务

定义规则测试时,尽可能针对最小的数据执行测试。 以此方式执行测试有助于提高规则测试性能,并确保不会创建成本高昂的规则。 为了优化性能,请以可减少规则测试所评估数据的广义类别入手。 例如,请以针对特定日志源类型、网络位置、流源或上下文的规则测试(R2L、L2R 和 L2L)入手。 任何中等级别测试可能包括 IP 地址、端口流量或任何其他相关联的测试。 该规则必须最后测试有效内容和正则表达式。

相似规则按类别分组。 例如,审计、利用、DDoS 和侦察等。 从组中删除规则或构建块时,该项将仅从组中删除,并在“规则”页面上保持可用。 删除组后,该组的规则或构建块将仍显示在“规则”页面上。

过程

  1. 攻击日志活动网络活动 选项卡中,单击 规则
  2. 显示 列表中,选择 规则 以创建新规则。
  3. 可选: 显示 列表中,选择 构建块 以使用构建块创建新规则。
  4. 操作 列表中,选择规则类型。

    每种规则类型都以实时方式对来自不同来源的传入数据执行测试。 例如,事件规则测试传入日志源数据,而攻击规则测试攻击参数以触发更多响应。

  5. 在 " 规则向导 " 窗口中,选中 运行此规则向导时跳过此页面 复选框,然后单击 下一步
    如果选中运行此规则向导时跳过此页面复选框,那么每次启动时都不会显示欢迎页面。
  6. 在 " 规则测试堆栈编辑器 " 页面上的 " 规则 " 窗格中,在 应用 文本框中输入要分配给此规则的唯一名称。
  7. 从列表框中,选择 本地全局
    • 如果选择 本地,那么将在接收到规则的 事件处理器 上处理所有规则,并且仅针对本地处理的事件创建攻击。
    • 如果选择 全局,那么会将所有匹配事件发送到 QRadar Console 以进行处理,因此, QRadar Console 将使用更多带宽和处理资源。
    了解有关本地和全局规则的更多信息:
    全局规则测试
    使用全局规则来检测“用户登录多次失败”之类的事件,其中来自该用户的事件可能显示在多个事件处理器上。 例如,如果为来自同一用户名的 5 个登录失败在 10 分钟内配置了 本地 规则,那么这些登录失败中的所有 5 都必须出现在同一 事件处理器上。 因此,如果三个登录失败在一个 事件处理器 上,而 2 在另一个事件处理器上,那么不会生成攻击。 但是,如果将此规则设置为全局,那么会生成攻击。
  8. 测试组 列表中,选择要添加到此规则的一个或多个测试。 CRE 将按顺序逐行评估规则测试。 即,先评估第一项测试,此测试成功时,再评估下一行,直至达到最后一项测试为止。
    如果要为新事件规则选择当事件与此 AQL 过滤器查询匹配时测试,请单击“添加”(+) 图标。 在规则窗格中,单击这个并在输入 AQL 过滤器查询文本框中输入 AQL WHERE 子句查询。
    了解有关对未检测到的事件使用规则的更多信息:

    以下规则测试可单独触发,但是不会根据相同规则测试堆栈中的规则测试采取行动。

    • 当一种或多种日志源类型经过此时间(以秒计)仍无法检测到事件时
    • 当一个或多个日志源经过此时间(以秒计)仍无法检测到事件时
    • 当一个或多个日志源组经过此时间(以秒计)仍无法检测到事件时

    传入事件不会激活这些规则测试,改为当在配置的特定时间间隔内未出现特定事件的情况下激活这些规则测试。 QRadar 使用 观察器任务 ,该任务定期查询上次看到事件的时间 (上次看到时间) ,并针对每个日志源存储该事件的此时间。 当上次出现时间与当前时间相距超出规则中配置的时间(以秒计)时触发此规则。

  9. 要将已配置的规则导出为要与其他规则配合使用的构建块,请单击 导出为构建块
  10. 在 " 规则响应 " 页面上,配置您希望此规则生成的响应。
    了解有关规则响应页面参数的更多信息:
    表 1. 事件规则、流规则、公共规则和攻击规则响应页面参数
    参数 描述
    严重性 选中此复选框以将严重性级别分配给事件,其中 0 是最低,10 是最高。 严重性将显示在事件详细信息的“注释”窗格中。
    可信性 选中此复选框以将可信性分配给日志源。 例如,日志源为噪音还是极其重要? 范围为 0(最低)到 10(最高),且缺省值为 10。 可信性将显示在事件详细信息的“注释”窗格中。
    相关性 选中此复选框以指定与资产权重的相关性。 例如,您对资产的关注程度? 范围为 0(最低)到 10(最高),且缺省值为 10。 相关性将显示在事件详细信息的“注释”窗格中。
    绕过进一步的规则关联事件

    选中此复选框以匹配事件或流以绕过规则引擎中的所有其他规则并防止其创建攻击。 事件写入存储器以用于搜索和报告。
    分派新事件

    选中此复选框可在原始事件或流之外分派一个新事件,该事件或流的处理方式与系统中的所有其他事件一样。

    为原始事件分派一个新事件,并且新事件将像系统中的所有其他事件一样进行处理。

    选中此复选框时,将显示分派新事件参数。 缺省情况下,复选框未选中。
    电子邮件 选中此复选框以从管理选项卡上的系统设置更改电子邮件语言环境设置。
    发送到本地系统日志

    选中此复选框以在本地记录事件或流

    缺省情况下,此复选框未选中。

    注: 只能在设备上本地记录规范化事件。 如果要发送原始事件数据,那么必须使用“发送到转发目标”选项将该数据发送到远程系统日志主机。
    发送到转发目标

    选中此复选框以在转发目标上记录事件或流

    转发目标是供应商系统,例如 SIEM、凭单发放或报警系统。 选中此复选框时,将显示转发目标的列表。

    要添加、编辑或删除转发目标,请单击管理目标链接。
    通知

    选中此复选框以在“仪表板”选项卡上的“系统通知”项中显示作为此规则的结果生成的事件。

    如果启用了通知,请配置响应限制器参数。
    添加到引用集

    选中此复选框以将作为此规则结果生成的事件添加到引用集。 您必须是管理员才能向引用集添加数据。

    要向引用集添加数据,请遵循以下步骤:

    1. 从第一个列表,选择要添加的事件或流的属性。
    2. 从第二个列表,选择要将指定数据添加到的引用集。
    添加到引用数据

    要使用此规则响应,您必须创建引用数据集合。
    从引用集除去

    选中此复选框以从引用集中除去数据。

    要从引用集除去数据,请执行以下操作:

    1. 从第一个列表框,选择要除去的事件或流的属性。 选项包括所有规范化或定制数据。
    2. 从第二个列表框,选择想要从中除去指定的数据的引用集。
    从引用集除去规则响应提供了下列功能:
    刷新
    单击刷新可以刷新第一个列表框,以确保列表最新。
    从参考数据中除去

    要使用此规则响应,您必须具有引用数据集合。
    执行定制操作 选中此复选框以编写针对网络事件执行特定操作的脚本。 例如,您可以编写脚本以创建用于阻止网络中的特定源 IP 地址响应重复登录故障的防火墙规则。

    通过使用管理选项卡上的定义操作图标,您可以添加和配置定制操作。
    响应限制器 选中此复选框以配置您希望此规则响应的频率。

    SNMP 通知可能类似于以下示例:

    "Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification -
 Rule 'SNMPTRAPTst' Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name:
 ICMP Destination Unreachable Communication with Destination Host is
 Administratively Prohibited, QID: 1000156, Category: 1014, Notes:
 Offense description"

    系统日志输出可能类似于以下示例:

    Sep 28 12:39:01 localhost.localdomain ECS:
 Rule 'Name of Rule' Fired: 172.16.60.219:12642
 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID:
 1000398, Category: 1011, Notes: Event description

后续步骤

要测试规则,请运行 历史关联

要验证事件是否根据构建块触发规则测试,您可以创建电子邮件响应,请参阅 发送电子邮件通知