IBM Support

QRadar: イベントから送信元 IP と宛先 IP を判別する方法

Question & Answer


Question

イベントのペイロード情報で送信元 IP または宛先 IP が使用できない場合は、どのようにして送信元 IP または宛先 IP が決定されますか?

Cause

イベントソースは、送信元または宛先 IP アドレス( SSH ログインイベントなど)を含まないイベントを QRadar に送信しています。
このイベントタイプには通常、送信元 IP アドレスは含まれるものの、宛先 IP アドレスは含まれません。

例:
<83>Jul 8 16:10:08 10.10.10.10 sshd[1004]: error: PAM: Authentication failure for user1 from 10.10.10.20

Answer

QRadar がイベントを受信し​​処理するときは、送信元 IP および宛先 IP フィールドに IP アドレスを割り当てる必要があります。
QRadar は、使用する IP アドレスを以下の順序で、下記箇所を確認しています。

  1. ペイロード情報の IP アドレスフィールド
    すべてのイベントに IP アドレスフィールドが含まれるわけではないため、有効な IP アドレス情報は、各ログ・ソース・タイプとイベントによって異なります。
    送信元 IP が使用可能な場合は、送信元 IP フィールドがこの情報で更新されます。
    送信元 IP が使用可能でない場合、前のステップで最後に設定された情報のままになります。 宛先 IP 情報も同様です。
    宛先情報が使用可能でない場合は、 Syslog ホスト名フィールドにセットされた IP のままに更新されます。
    それ以外の場合は、パケットの送信元の IP に更新されます。
     
  2.  Syslog ヘッダーのホスト名フィールド
    IP 情報が利用可能であれば、 QRadar は Syslog ヘッダーのホスト名フィールドの IP アドレスを確認します。
注:すべての Syslog ソースが適切なヘッダーを使用するわけではありません。

IP アドレスが見つかると、 送信元 IP および 宛先 IP フィールドがこの IP アドレスで更新されます。 hostname フィールドにテキストホスト名が含まれている場合は使用されません。 QRadar は、ホスト名に対して DNS ルックアップを実行しません。すべてのイベントに対して実行するには時間がかかり、パイプライン処理能力に影響します。
3. イベントが発生したパケットの送信元 IP アドレス( QRadar が受信したとき)

送信元 IP および宛先 IP フィールドが、パケットのソース IP アドレスに更新されます。 これは QRadar にデータを送信したデバイスです。 既存の集中型 Syslog サーバを使用してイベントを QRadar に転送する場合は、 Source IP および Destination IP フィールドに Syslog サーバの IP アドレスが表示されることがよくあります。
これを回避する最善の方法は、次のいずれかを実行することです。

  • Syslog を QRadar に直接送信するように Log Source デバイスを設定します。
  • 最初の Syslog ヘッダーを保持し、 Syslog ヘッダーのホスト名フィールドに IP アドレスを送信するように、元のデバイスを設定します。
  • Syslog サーバを再構成して、発信元デバイスのIPアドレスをホスト名ヘッダー・フィールドに追加した新しい Syslog ヘッダーを、 QRadar に転送するイベントに追加します。

例:
<182>Dec 15 10:56:58 10.10.10.2 - Aug 15 2015 10:56:57: %PIX-5-304001: 10.10.10.113 Accessed URL <PUBLIC IP ADDRESS> :/rss20.xml

上記の例は、 Cisco PIX のファイアウォールイベントです。 ここには示していませんが、このパケットの送信元 IP はセントラル Syslog サーバの送信元 IP です。 セントラル Syslog サーバの IP アドレスは 10.10.10.5 です。  QRadar は、パケットの送信元 IP を使用して、送信元 IP フィールドと宛先 IP フィールドの両方を 10.10.10.5 に設定します。

Cisco PIX ファイアウォールメッセージには通常、標準の Syslog ヘッダーは含まれていませんが、 Syslog サーバーの管理者は、新しい Syslog ヘッダーをイベントに追加するようにサーバーを構成しました。 集中型 syslog サーバの管理者は、 Cisco PIX ファイアウォールの IP アドレスとして、先頭に付いた Syslog ヘッダーの hostname フィールドを設定します。 これは上の例では 10.10.10.2 となっています。  Syslog ヘッダーが使用可能で、ホスト名フィールドに IP アドレスが含まれているので、 QRadar は 送信元 IP および 宛先 IP フィールドをこの IP アドレスに設定されます。

QRadar は、イベントのペイロード情報から IP アドレスフィールドを解析します(存在する場合)。 上記の例では、ソース IP が10.10.10.113であることがわかります。 上記の例では、宛先アドレスが <PUBLIC IP ADDRESS> であることも分かります 。 この場合、リモート Web サーバーと思われます。

注:テキストベースのホスト名ではなく、 IP アドレスを含む完全で適切な形式の Syslog ヘッダーを含めるようにログ・ソースデバイスを設定することをお勧めします。

QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
27 February 2019

UID

ibm10731403

Page Feedback