IBM QRadar 中的定制规则
规则(有时称为关联规则)应用于用于搜索或检测异常的事件、流或攻击。 如果符合测试的所有条件,那么规则会生成响应。
什么是规则?
定制规则测试事件、流和攻击以检测网络中的异常活动。 通过使用现有规则测试的 AND 和 OR 组合来创建新规则。 异常检测规则测试已保存流或事件搜索的结果,以检测网络中发生不寻常流量模式的情况。 异常检测规则需要依据公共参数分组的已保存搜索。
什么是构建块?
构建块是不会导致响应或操作的测试集合。
构建块将常用的测试分组在一起,以构建复杂的逻辑,从而可以在规则中反复使用。 构建块通常测试 IP 地址、特权用户名或事件名称集合。 例如,构建块可包含所有 DNS 服务器的 IP 地址。 然后,规则可使用此构建块。
QRadar 具有缺省规则,您还可以从 IBM Security App Exchange 下载更多规则以创建新规则。
规则如何工作?
QRadar Event Collectors 从本地和远程源收集事件,规范化这些事件,并将其分类为低级别和高级类别。 对于流, QRadar Flow Collectors 从连线读取包或从其他设备接收流,然后将网络数据转换为流记录。 每个 事件处理器 都会处理来自 QRadar Event Collectors的事件或流数据。 Flow Processors 检查并关联信息以指示行为更改或策略违例。 定制规则引擎 (CRE) 处理事件并将它们与定义的规则进行比较以搜索异常。 满足规则条件时, 事件处理器 会生成规则响应中定义的操作。 CRE 跟踪意外事件所涉及的系统,将事件添加到攻击,并生成通知。
如何从规则创建攻击?
当事件和/或流满足规则中指定的测试条件时, QRadar 将创建攻击。
- 传入的事件和流
- 资产信息
- 已知漏洞
创建攻击的规则确定攻击类型。
Magistrate 对攻击划分优先级,基于多个因素(包括事件数、严重性、相关性和可信性)分配量级值。
例如,您有一个构建块,定义为在高量级事件上触发攻击。 日志活动可以显示存在高量级事件,但未触发任何攻击。 这可能是由于测试构建块时,事件未处于高量级。 规则进行测试之后,事件的量级才会增加。
一个解决方案是设置规则来检查严重性、可信性和相关性中的差异,而不是使用构建块。