Question & Answer
Question
ログ・ソースのイベント統合はどのように機能しますか?
どのデータが保持され、イベントが統合したときに失われるデータは?
イベントの統合を有効にしてイベントを表示するにはどうすればよいですか?
Answer
イベント統合は、特定の基準に一致する大量イベントの受信時に、パフォーマンスを向上させ、ストレージへの影響を軽減するのに役立ちます。
例えば、サービス拒否攻撃( Denial Of Service attack )の際に作成される可能性のある多数の同様のイベントは、受信した実際のイベントの数を維持しながら、何十万ものイベントからわずか数十のレコードに変換できます。
イベント統合はどのように機能しますか?
QRadar によって受信されたイベント・ログは、元のペイロードと共に正規化されたフィールドに処理されます。
イベントの統合が有効になっている場合は、次の 5 つのプロパティで評価されます。
- QID
- ソース IP
- 宛先 IP
- 宛先ポート
- ユーザー名
イベントの結合は、 3 つのイベントが検出された後、 10 秒以内に上記 5 つのプロパティが一致した際に開始します。
10 秒間に発生したイベントは統合されイベントの数がレコードに記録されます。 統合されたイベントを含むレコードごとに、最初のイベントのペイロードのみが保持されます。
例えば、 QID、送信元 IP、宛先 IP、宛先ポート、およびユーザー名がすべて同じ 10 秒の期間内に 104 個のイベントが表示される場合、ログアクティビティタブにはその 10 秒間の 4 つのレコードが表示されます。
最初の 3 つのレコードには、イベントペイロードをそのまま残して個々のイベントが表示されます。
4 番目のレコードには 4 番目のイベントのペイロードが含まれますが、 10 秒間に到着した残りの 100 個のイベントは統合されます。
101 の統合があったので、 4 番目のレコードの情報の件数は 101 とカウント表示されます。
4 番目のレコードには 4 番目のイベントのペイロードが含まれますが、 10 秒間に到着した残りの 100 個のイベントは統合されます。
統合は、連続して続く 10 秒ごとに継続され、基準のすべての値が一致します。
イベント・カウントに基づいてトリガーするルールは、非統合イベントと統合イベントの両方を評価します。 これにより、イベント統合が有効になったときにルールが正しくカウントされます。
イベントの統合設定箇所
すべてのペイロードを保持する必要がある場合は統合を無効にします。 これは、システム・レベルまたはログ・ソース毎に行うことができます。
手順:
システム・レベルで統合を無効にするには以下の手順です。
- 管理タブのシステム設定アイコンをクリックします。
- 拡張をクリックします 。
- システム設定からイベントの統合設定を確認します。
- すべてのログソースの統合イベントを無効にするには、 いいえを選択します。
- 保存をクリックし、ウィンドウを閉じます。
- 管理タブで変更のデプロイを実行します。
ログ・ソース毎のイベント統合
ログ・ソース毎の統合は、作成時または既存のログ・ソースの設定を編集するときに行うことができます。
手順:
ログ・ソース毎で統合を無効にするには以下の手順です。
- 管理タブのログ・ソースアイコンをクリックします。
- 編集するログ・ソース行をダブルクリックします。
- イベントの統合チェックボックスをオフにします。
イベントの統合を無効化することを考慮する必要があるログ・ソースは何ですか?
DNS、プロキシサーバ、アンチウィルスシステム、Windows サーバ、およびエンドポイントのログソースは、イベントの統合をオフにするのに適しています。
これらのログソースには、QRadar の正規化されたフィールドを超えるペイロード情報が含まれていることがよくあります。このフィールドは、管理者がキャプチャして調査可能なペイロードに固有のものです。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
Was this topic helpful?
Document Information
Modified date:
07 September 2018
UID
ibm10726085