定制规则
IBM QRadar 包含用于检测各种活动的规则,包括过多的防火墙拒绝,多次失败的登录尝试以及潜在的僵尸网络活动。 您还可以创建自己的规则来检测异常活动。
什么是定制规则?
定制缺省规则以检测网络中的异常活动。
规则类型
每种事件规则、流规则、公共规则和攻击规则类型都以实时方式对来自不同来源的传入数据执行测试。 存在多种类型的规则测试。 从数据集对简单属性执行一些检查。 其他规则测试更为复杂。 它们可跟踪一段时间内多个序列、事件序列、流序列和攻击序列,并先使用基于一个或多个参数的“计数器”,然后再触发规则响应。
- 事件规则
- 针对 QRadar 事件处理器实时处理的入局日志源数据进行测试。 因此,您可以创建事件规则来检测单个事件或事件序列。 例如,要监视网络中不成功的登录尝试、访问多台主机或者随后进行渗透的侦察事件,您可以可以创建事件规则。 事件规则创建攻击作为响应十分常见。
- 流规则
- 针对 QRadar Flow Processor处理的传入流数据进行测试。 您可以创建流规则,用于检测单个流或流序列。 流规则创建攻击作为响应十分常见。
- 公共规则
- 针对事件和流数据进行测试。 例如,您可以创建公共规则,用于检测具有特定源 IP 地址的事件和流。 公共规则创建攻击作为响应十分常见。
- 攻击规则
- 测试攻击参数以触发更多响应。 例如,在特定日期和时间内发生攻击时生成响应。 仅当对攻击进行更改时,攻击规则才会处理攻击。 例如,添加新事件时,或者系统调度攻击以进行重估时。 攻击规则通过电子邮件发送通知作为响应十分常见。
管理规则
您可以创建规则、编辑规则、将规则分配给组以及删除规则组。 通过对规则分类或者将块构建到组中,您可以高效地查看和跟踪规则。 例如,您可以查看与合规性有关的所有规则。
特定于域的规则
如果规则具有域测试,那么可限制此规则,以便其仅适用于在指定域中发生的事件。 如果事件具有与设置的域不同的域标记,那么规则不会触发响应。
要创建用于在整个系统中测试条件的规则,请将域条件设置为任何域。
规则条件
大部分规则测试评估单个条件,例如引用数据集合中是否存在某个元素,或者针对事件的属性来测试某个值。 对于复杂比较,您可以通过构建具有 WHERE 子句条件的 Ariel 查询语言 (AQL) 查询来测试事件规则。 您可使用所有的 WHERE 子句函数来编写复杂条件,这样就不需要运行许多单独的测试。 例如,使用 AQL WHERE 子句来检查是否对引用集跟踪了入站 SSL 或 Web 流量。
可以对事件、流或攻击的属性(例如源 IP 地址、事件严重性或事件率分析)运行测试。
借助函数,您可以使用构建块和其他规则来创建多事件、多流或多攻击函数。 可以使用支持布尔运算符(例如 OR 和 AND)的函数来连接规则。 例如,如果要连接事件规则,那么可以使用事件与下列任意/全部规则匹配时函数。