IBM Support

QRadar:ルールおよびルール・パフォーマンスのサポート・ポリシー

Question & Answer


Question

この記事は QRadar® のサポート・ポリシーについて管理者に説明します。Qradar サポートは、管理者がパフォーマンスに関するソフトウェアの問題を調査、修正することを支援します。また、ユーザーが作成したコンテンツがパフォーマンスに影響を与えている可能性がある場合のテクニカル・サポートの範囲外の作業について概要を説明します。

Answer

重要:パフォーマンス支援のポリシーを読むには、タブを選択してください。

ルール・パフォーマンス


IBM はデプロイメントを通じて、インシデントを可視性を高める様々なカスタム・ルールとビルディング・ブロックを作成、提供しています。QRadar テクニカル・サポートは、イベントをストレージにルーティングする高負荷なルール、イベントをディスクにバッファーするパフォーマンスの問題、および一般的なルールやオフェンスの問題について管理者を支援します

サポート・タイプ 説明 責任
ルールの調査
QRadar テクニカル・サポートは、管理者が潜在的なカスタム・イベント・プロパティーの問題を特定、絞り込むための支援を行います。

管理者 ( お客様 ) は、QRadarテクニカル・サポートを使用して次のことができます。
  1. ルールに関連するログやシステム通知の確認。
  2. ルールや個々のルール・テストに関する既知の問題やソフトウェアの不具合の特定。
  3. IBM が生成したルールやビルディング・ブロックに関する問題の調査。
  4. 動作の遅い ( 高負荷な ) ルールに関するパフォーマンス上の問題点の洗い出し。
  5. 想定通りにトリガーしないルールの応答の調査、確認。
  6. ログ・アクティビティーやオフェンスの検索で頻繁に起動しているルールの特定。
  7. お客様の有効なルールの数と、それが IBM 製なのかユーザー作成なのかを特定。
  8. パフォーマンスやオフェンス・モデルの問題を引き起こしているユーザー生成のルールを無効化するための支援。
  9. IBM が開発したコンテンツ・パックに関連するルールを削除ための支援。

    5 つ以上のユーザー生成のルールがアプライアンスのパフォーマンス問題を引き起こしていると判断できる場合、QRadar テクニカル・サポートはユーザーを IBM Security Expert Labs に誘導する権利を有します。テクニカル・サポートは、アプライアンスのパフォーマンスへの影響を軽減するために、高負荷なルールを無効にすることを推奨できます。
  • QRadar サポート

文書化されていないルール・エラーを報告するには、 QRadar テクニカル・サポートにお問い合わせください。
ルールのチューニングとユース・ケース
管理者 ( お客様 ) は、ユーザーが変更したルール、更新、およびセキュリティ・ポリシーの責任を負います。フォールス・ポジティブを減らすためのルールの変更やルールの調整に関して IBM Security® Expert Labs に連絡すると、セキュリティー・ポリシーおよびユース・ケースの範囲についてサポートを受けることができます。

以下の内容は、テクニカル・サポートの範囲外です。
  • 特定のユース・ケース、セキュリティ・ポリシーのためのカスタム・ルールの作成や修正。
  • ユーザー作成のルール、ビルディング・ブロックの調整に関する支援。
  • 組織のニーズに基づくルールの正常性確認やメンテナンスのスケジュール化。
  • ビジネス・パートナーのアプリケーションによって追加されたルールのチューニング。
  • ルールやビルディング・ブロックの監査の支援。
  • 管理者
  • IBM Security® Expert Labs
IBM Security® Expert Labs へお問い合わせください。( IBM Security® Expert Labs は IBM が提供する有償サービスです。詳細は QRadar ご購入元の IBM ビジネス・パートナーもしくは IBM 営業、あるいは IBM Web サイトのお問い合わせ先(https://www.ibm.com/contact/jp/ja/) にお問い合わせください。
尚、上記 IBM Web サイトからお問い合わせの際は、「ビジネス上の課題への取り組みのご相談」の「問い合わせフォーム」を使用してください。)
有効なサポート契約を結ばれているユーザーは、QRadar® のパフォーマンスの問題を診断するための管理者向けの支援としてテクニカル・ヘルプを利用することができます。QRadar テクニカル・サポート・チームは、すべてのパフォーマンスの問題を調査します。パフォーマンスの問題の原因が望ましくないシステム構成 (DSM エディターの正規表現のパフォーマンスの低さ、ルールやビルディング・ブロックのチューニング、または、オフェンスのパフォーマンスなど ) であると判断された場合、サポートが原因の特定を支援します。

サポート Case における QRadar パフォーマンス支援

管理者 ( お客様 ) は、ログソース、カスタムプロパティ、またはルール・パフォーマンスのサポート支援の詳細について、ページの上部にあるタブを確認できます。QRadar テクニカル・サポート・チームは以下のようなエラー、質問、パフォーマンスの問題について管理者を支援します。
  • システム通知やドキュメントの解釈
  • サポートされているバージョンにおける管理者向けのトラブルシューティング
  • パフォーマンスの問題が発生する箇所を特定するためのログやエラーの解析。これには以下が含まれます。
    • 解析パフォーマンスとログ・ソース構成の検証
    • イベントが想定通りに解析されない理由の特定
    • パフォーマンスの問題があるカスタム・プロパティーの特定
    • 検索パフォーマンスに関連する問題の特定 。
    • 想定通りにルールがトリガーしない理由の特定 。
  • 管理者(お客様)がイベント・ソースをチューニング、更新した後、不具合の確認を実施。

範囲外のパフォーマンスの問題


QRadar は非常にフレキシブルな性質を持つため、効果的な更新計画を立てるには、ユース・ケース、環境、全体的なセキュリティー戦略について深く理解することが重要です。Qradar を初めて使用する、またはカスタム・ログ・ソースの開発、カスタム・プロパティーのパフォーマンス、チューニング・ルール、セキュリティー・ユース・ケースについて支援を要する管理者は、IBM Security Expert Labs チームに連絡して、QRadar テクニカル・サポートの範囲外であるパフォーマンス問題についてお問い合わせいただけます。以下の内容は、テクニカル・サポートの範囲外です。
 
  • DSM エディター で管理者用のカスタム・ログ・ソース・タイプの作成
  • 正規表現の作成とチューニング
  • 大量のオフェンスが生成されている場合のシステム・チューニング。
  • フォールス・ポジティブが生成されている場合のシステム・チューニング。
  • 組織のセキュリティ・ポリシーに合わせたルール・チューニング。
  • ルール・テンプレートの作成、維持、更新、またはルールの計画・検証作業。
  • 通常の更新作業に対する専用サポート(オンラインによる付き添い)。
  • 更新後のシステムの正常性チェックやパフォーマンスチェックの実施。

IBM Security Expert Labs へ連絡する

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Document Information

Modified date:
29 June 2022

UID

ibm16540894

Page Feedback