リファレンス・データ収集のタイプ
IBM® QRadar® には、さまざまなレベルのデータ複雑さを処理できるさまざまなタイプのリファレンス・データ収集があります。 最も一般的なタイプはリファレンス・セットとリファレンス・マップです。
QRadar SIEM と QRadar Risk Managerの両方で同じリファレンス・データを使用する場合は、リファレンス・セットを使用します。 QRadar Risk Managerでは、他のタイプのリファレンス・データ収集を使用できません。
| 収集のタイプ | 説明 | 使用方法 | 例 |
|---|---|---|---|
| リファレンス・セット | 固有値の集合。 | リファレンス・セットを使用して、IP アドレスやユーザー名などのリストに対してプロパティー値を比較します。 | QRadar へのログインに使用されたログイン ID がユーザーに割り当てられているかどうかを検証するには、LoginID パラメーターを使用してリファレンス・セットを作成します。 |
| リファレンス・マップ | 1 つの固有のキーを 1 つの値にマップするデータの集合です。 | リファレンス・マップを使用して、2 つのプロパティー値の固有の組み合わせを検証します。 | 例えば、ネットワーク上のユーザー・アクティビティーを相互に関連させるために、LoginID パラメーターをキーとして使用し、Username パラメーターを値として使用するリファレンス・マップを作成できます。 |
| セットのリファレンス・マップ | 1 つのキーを複数の値にマップするデータの集合です。 どのキーも固有であり、いずれも 1 つのリファレンス・セットにマップします。 | セットのリファレンス・マップを使用して、2 つのプロパティー値の組み合わせをリストに対して検証します。 | 例えば、ある特許への許可アクセスをテストするために、Patent ID のカスタム・イベント・プロパティーをキーとして使用し、Username パラメーターを値として使用するセットのマップを作成できます。 セットのマップを使用して、許可されたユーザーのリストにデータを取り込みます。 |
| マップのリファレンス・マップ | 1 つのキーを別のキーにマップし、その後、このキーが単一値にマップされるデータの集合です。 どのキーも固有であり、いずれも 1 つのリファレンス・マップにマップします。 | マップのリファレンス・マップを使用して、3 つのプロパティー値の組み合わせを検証します。 | 例えば、ネットワーク帯域幅の違反が発生していないかをテストするために、1 番目のキーとして Source IP パラメーター、2 番目のキーとして Application パラメーター、そして値として Total Bytes パラメーターを使用するマップのマップを作成できます。 |
| リファレンス・テーブル | 1 つのキーを別のキーにマップし、その後、このキーが単一値にマップされるデータの集合です。 2 番目のキーにはデータ・タイプが割り当てられます。 |
プロパティーのいずれかが特定のデータ・タイプである場合、リファレンス・テーブルを使用して、3 つのプロパティー値の組み合わせを検証します。 | 例えば、1 番目のキーとして Username、2 番目のキーとして Source IP (割り当てられた cidr データ・タイプを持つ)、そして値として Source Port を保管するリファレンス・テーブルを作成できます。 |