Troubleshooting
Problem
場合によってユーザーは、イベントがルールのトリガーに失敗したことに気付き、原因のトラブルシューティングが必要になることがあります。この技術情報では、ルールが予期したとおりにトリガーされなかった原因を QRadar サポートが診断する際に実行する基本的なステップの概要およびその例をご案内します。
Cause
ルール内のルール・テストが必要な条件を満たしていなかった。
Diagnosing The Problem
QRadar のカスタム・ルールは、イベントおよびフロー・レコードに対して、リアルタイムでシンプルかつステートフルに条件を当てはめます。これらのテストは、一度に 1 つのイベントのデータ・セットに対してクイック検索を実行します。そのため、予期しないトリガーまたはトリガーに失敗するルールをトラブルシューティングする際にとるべき最も有効な最初のステップは、ログ・アクティビティーまたはネットワーク・アクティビティーで検索を行うことです。
ルール・テストのトラブルシューティングの一般的な概要:
- ルールに一致するようにしている最初のイベントの開始時刻を識別する。
- 簡易なプロパティー・テストおよびルックアップ・テストを複製するための検索条件を追加する。
- 機能テストの識別および必要に応じて検索時間の条件とグループ化を変更する。
- 検索条件の有効性を評価するため、検索結果を確認する。
1. ルールに一致するようにしている最初のイベントの開始時刻を識別する
このプロセスの基本的な要件の 1 つは、カスタム・ルールをトリガーする予定の少なくとも 1 つのイベント・レコードまたはフロー・レコードを知ることです。
機能テストが複数の条件(同じソース・ワークステーション(カスタム)、ユーザー名、および異なる宛先 IP など) を評価する場合、それらの「グループ化」フィールドを確認し、テスト条件と比較します。
- QRadar コンソールにログインします。
- 「ログ・アクティビティー」タブ、または「ネットワーク・アクティビティー」タブをクリックします。
- カスタム・ルールをトリガーする予定のイベント・レコードまたはフロー・レコードの検索を作成します。
- イベント・レコードまたはフロー・レコードの詳細から開始時刻に着目します。
- 表示時刻範囲を開始時刻の 2 分前に開始、2 分後に終了するように設定します。
2. 簡易なプロパティー・テストおよびルックアップ・テストを複製するための検索条件を追加する
ほとんどのルール・テストでは、レコード内のプロパティー値に基づいて、レコード内のプロパティー値またはルックアップを素早く比較します。これらのテストに一致する検索条件を識別することは比較的簡単です。
例として、以下の条件を使用してカスタム・ルールを作成することを検討します:
例として、以下の条件を使用してカスタム・ルールを作成することを検討します:
- 「オフェンス」タブをクリックします。
- 「ルール」をクリックします。
- 「アクション」>「新規イベント・ルール」の順にクリックします。
- 「次へ」をクリックし、ルール・ウィザードにアクセスします。
- イベントまたはフローを確認するため、適切なボックスをクリックします。
- 検索バーで「 When the event(s) were detected by one or more of these log source types 」と入力し、ルールに追加します。
- 「 these log source types 」をクリックし、「 Microsoft Security Event Log 」に変更します。
- 検索バーで「 when the event QID is one of the following QIDs 」と入力し、ルールに追加します。
- 「 QID 」をクリックし、「 5001528 」と同等に値を更新します。
- 検索バーで「 when any of these properties match this regular expression 」と入力し、ルールに追加します。
and when the event(s) were detected by one or more of Microsoft Windows Security Event Log and when the event QID is one of the following (5001528) Network Share Object Added and when any of ShareName (custom) match .*?\$ and when any of ShareName (custom) are contained in any of Test RefSet - AlphaNumeric- 最初の 2 つのテストでは、ログ・ソース・タイプと QID を確認します。
- 3 番目のテストは Ariel ベースのフィルターを使用しているため、一致する検索条件として「 ShareName (custom) match .*?\$ 」 を使用できます。
- 4 番目のテストでは、検索機能にあるリファレンス・セット・フィルターでダイレクトに一致するリファレンス・セットに対してプロパティーの値をテストします。
このカスタム・ルールに一致する可能性のあるイベントを表示することを目的としている検索では、以下の条件が含まれます:
Log source Type is Microsoft Windows Security Event Log
QID Number is 5,001,528
ShareName (custom) contains any of .*?\$
ShareName exists in any of Test RefSet
3. 機能テストの識別および必要に応じて検索時間の条件とグループ化を変更する
複数のレコードが条件に一致していることを検出した後にこれらテストの一致を行うため、このトラブルシューティング方法を適用する時に機能テストは問題を提供します。
このタイプのテストをエミュレートするには:
このタイプのテストをエミュレートするには:
- 「ログ・アクティビティー」タブをクリックします。
- 「検索の編集」をクリックし、機能テストで参照されるプロパティーを「グループ化」フィールドとして追加します。
- 機能テストで時間間隔をメモし、検索の開始時刻をその時間分だけ戻します。
例えば、検索時間が 18:05-18:10 に設定され、機能テストの時間間隔が 1 時間である場合、新たに検索時間を 17:05-18:10 に更新する必要があります。
4. どの検索条件がターゲット・イベントの一致に失敗するか識別するため、検索結果を確認する
検索を実行し、結果を調査します。問題のイベントが検索結果に表示されない場合は、ルール・テストの 1 つが一致に失敗したことを意味します。各ルール・テストを任意の順序で 1 つずつフィルタリングして、調査を行います。
前述のステップ 1 で説明したテスト例からの作業:
- 最後のルール・テストから開始し、リファレンス・セットに ShareName が存在するかどうかを検証します。
- 検索フィルターから「 ShareName exists in any of Test RefSet 」フィルターを削除します。
- イベントが検索結果に表示される場合は、リファレンス・セットで ShareName の値が見つからない問題があることを識別できます。
- イベントが見つからない場合は、次のルール・テストに進みます。
- 問題のあるルール・テストを識別するには、この手順を継続してください。
機能テストを検証するには、検索結果を確認し、指定された時刻範囲内の完全な条件に一致するイベントの数をカウントする必要があります。前述のステップ 3 で案内した「グループ化」フィールドを使用する場合、条件に一致するイベントの数を評価するには「カウント」フィールドを使用します。
機能テストが複数の条件(同じソース・ワークステーション(カスタム)、ユーザー名、および異なる宛先 IP など) を評価する場合、それらの「グループ化」フィールドを確認し、テスト条件と比較します。
例えば、機能ルール・テストの例として、マッチング・カウント・ルール・テストがあります:
and when RuleTest1 match at least 10 times with the same Source IP in 5 minutes
検索によってこのルール・テストを検証するには、時刻範囲を 5 分前に拡張およびフィルターの追加を使用する必要があります:
Custom Rule Partial or Full Matched is RuleTest1
Source IP [Indexed] equals x.x.x.x
次に、5 分の時刻範囲内に少なくとも 10 個のイベントがあるかどうかを判別するため、イベントの数を検証します。ターゲット・イベントに一致しないルール・テストを識別する場合は、カスタム・ルール・テストを調整できます。
Resolving The Problem
ルールが一致しない原因となったルール・テストを訂正してください。
注: IBM サポートは、ソフトウェアの問題によりルールが機能していないかどうか識別するユーザーを支援します。ただし、ユーザーへのカスタム・ルールの調整または作成は、IBM サポート対象外となります。 詳細は、パフォーマンスの「ルール」セクションの技術情報をご参照ください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtrAAA","label":"Rules"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
22 March 2022
UID
ibm16516058