IBM Support

QRadar: マッチング・カウント・ルールを動作させる方法

Troubleshooting


Problem

マッチング・カウント・ルールが動作しないのは、なぜでしょうか ?

Symptom


Resolving The Problem

“at least This Many events (x) in This Amount of  time (y)”  のルールがある場合、指定されたイベントの数が受信されるとルールが一致します。 アクションがオフェンスの作成である場合、オフェンスは元の名前で作成されます。新しいイベントおよびオフェンスを作成するために応答が必要な場合は、 CRE イベントが生成されます。この新しいイベントおよびオフェンスは、「ルールの応答」の「新規イベントのディスパッチ」ウィザードを使用して作成できます。 CRE イベントがオフェンス名を置き換える場合、 " This Many events (x) " の値が最初に受信された時に発生します。ただし、イベントが受信し続けられ、 " This Amount of  time (y) " の値を経過しないと追加の CRE イベントは発生しません。ルールで指定された時間内にオフェンスがクローズされた場合は、元のオフェンス名を使用して新しいオフェンスが作成されます。オフェンス名の変更は、ルール内で設定された " This Amount of  time (y) " が経過するまで発生しません。管理者は、ルールで指定された時間内に" This Many events (x) " とともにオフェンスをクローズする時、カウンターがリセットされないことを理解することが必要です。新しいオフェンスは作成されますが、指定された時間内( y )にイベント・カウント( x )が一致しない状態では CRE イベントは再度発生しません。これは意図した設計になります。

注: 時間の値( y )は、最後に受信したイベントから測定されます。

例 1 : 一致する基準が" when at least 5 events are seen with the same Source IP and different Username in 1 hour(s) " の場合

これを見ると、 1 時間以内に 5 つのイベントが受信されると、正しい名前でオフェンスが作成されることになります。 1 時間以内にオフェンスがクローズされた場合は新しいオフェンスが作成されますが、 CRE は元の名前から名前を変更することはありません。オフェンス名を正しく指定するためには、 1 時間以内に 5 イベント未満にする必要があります。

Computer 1 / User 1 / Source IP 1 / start time 00:00.00
Computer 2 / User 1 / Source IP 1 / start time 00:01.00
Computer 1 / User 1 / Source IP 1 / start time 00:02.00
Computer 2 / User 1 / Source IP 1 / start time 00:03.00
Computer 1 / User 1 / Source IP 1 / start time 00:04.00
Computer 1 / User 1 / Source IP 1 / start time 00:04.30
Computer 1 / User 2 / Source IP 1 / start time 00:05.00
CRE event fired - offense created and named correctly for Source IP 1

例 2 : 同じ基準の場合

Computer 1 / User 1 / Source IP 2 / start time 00:10.00
Computer 2 / User 1 / Source IP 2 / start time 00:11.00
Computer 1 / User 1 / Source IP 2 / start time 00:21.00
Computer 2 / User 1 / Source IP 2 / start time 00:31.00
Computer 1 / User 1 / Source IP 2 / start time 00:31.30
Computer 1 / User 1 / Source IP 2 / start time 00:41.00
Computer 1 / User 2 / Source IP 2 / start time 00:51.00

条件が Computer 1 User 1 で一致しているため、 CRE イベントは発生しませんでした。これはまだ 1 時間以内のウィンドウですが、 Source IP 2 に対して、誤った名前でオフェンスが作成されます。一致する Computer 1 を使用せずに 1 時間経過すると、新しい CRE イベントが発生します。 1 時間で受信した 5 イベントのレートが満たされていない場合、 CRE イベントは発生しません。

注: 1 時間はローリング・ウィンドウであるため、複数のユーザーから 5 つのイベントが表示されると、この条件を一致させるために 1 時間経過するまで条件は一致しません。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Rules;Offenses","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
08 April 2020

UID

ibm10887185

Page Feedback