IBM QRadarでのルール作成

前回の記事で、 IBM QRadarの更新方法について書きました。SIEMの正しい運用は、単にビルドの更新や、さまざまなデータソースからのイベントの収集と保存だけではありません。SIEMの主要な役割は、セキュリティインシデントを特定することです。ベンダーはIBM QRadar用の事前設定された検出ルールを提供していますが、これらのルールは多くの場合、インフラストラクチャ、セキュリティポリシー、インシデント対応手順に合わせて変更する必要があるテンプレートです。
会社のインフラストラクチャでセキュリティインシデントを検出するためのルールを作成する前に、SIEMを正しく設定し、すべてのデータソースを接続し、解析エラーを修正する必要があります。それをしないと、再度作成し直すことになります。
何を発見したいのか、ルールトリガーの基準は何かを理解することが重要です。
ルールは5つのカテゴリーに分けることができます。
1. イベントに基づくルール。
2. データフローに基づくルール。
3. イベントとデータフローに基づくルール。
4. オフェンスに基づくルール。
5. 通常の動作からの逸脱を発見。 your IBM QRadar. But the correct operation of any SIEM is not only updating the build, or collection and storage of events from various data sources. The primary task of SIEM is to identify security incidents. The vendor provides preconfigured detection rules for IBM QRadar, but most often, these rules are templates that you need to change for your infrastructure, security policies, and incident response procedures.
Before writing the rules for detecting security incidents in the company’s infrastructure, you need successfully configure your SIEM, connect all data sources and fix parsing errors. Otherwise, you will have to re-write them.
It is necessary to understand what do you want to discover and what are the criteria for rule triggering.
The rules can be divided into five categories:
1. Rules based on events.
2. Rules based on data flows.
3. Rules based on events and data flows.
4. Rules based on Offences.
5. Finding deviations from normal behavior.

イベントに基づくルールの作成

このようなルールにより、QRadarはさまざまなデータソースのフィールドを相関させ、イベントを他のイベントと相関させ、特定の規則性を特定できます。

ルールを作成するには、
1. オフェンス – ルール – アクション – 新しいイベントルール タブに移動します。2. ルール名 フィールドを埋めます。条件を追加します。条件の値を設定します。このルールのグループを選択します。 メモを記入します。次に 次へ.

をクリックします。
3. その後、 ルールアクション, ルール応答, ルールリミッター および ルール有効化を記入します。次に 次へ.

を指定する必要があります。
4. 開かれたウィンドウにそのルールに適用されるすべてのパラメータと条件が表示されます。すべてが正しい場合、 終了.

をクリックします。

この種のルールにより、ネットワークイベントを分析し相関させることができます。

このようなルールを作成するには、
1. オフェンス – ルール – アクション – 新しいフロールール タブに移動します。に移動します。他のすべての手順は イベントルール.

の場合と同じです。

イベントとデータフローに基づくルールの作成。 Offences – Rules – Actions – New Common Rule タブに移動します。

2. All other steps are the same as for イベントルール.

Creating rules based on Offences

既存のオフェンス（そのトリガー条件やソースに依存する）に基づくルールを使用すると、いくつかの追加のアクションを実行できます。

ルールを作成するには、
1. オフェンス – ルール – アクション – 新しいオフェンスルール タブに移動します。

2. All other steps are the same as for イベントルール.

通常の動作からの逸脱を検出

通常の動作からの逸脱を検出するためのルールは、検索リクエストに基づいています。リクエストは特定の形式に従わなければならず、通常の動作が何であるかを説明する必要があります。
この種のルールを作成するには、 検索を作成し、通常の動作を説明する必要があります。検索を作成するための必須要件は、1つまたは複数のフィールドの集約です。（注：作成した 検索を保存することを忘れないでください）。
その後、それを実行する必要があります。
その後、 ルール タブをクリックし、以下の図に示すようにルールタイプの1つを選択します。最後に、セクションで示したように、ルールのトリガー条件を指定する必要があります。

ルールの使用により、SIEMはユーザーの行動における異常を自動的に発見し、特定のセキュリティインシデントを検出することができます。ルールのトリガー結果の処理は、SIEM管理者の負担を減らし、組織内のセキュリティレベルを向上させることができます。

脅威ハンティングおよびコンテンツ開発を時間を節約し、最新の検出をCTIとMITRE ATT&CK®に合わせてSOCプライムプラットフォームでセキュリティ効果を高めましょう。 イベントに基づくルールの作成 section.

The usage of rules allows your SIEM automatically uncover anomalies in users behavior and detect specific security incidents. Processing of rule triggering results reduces SIEM administrator’s burden and allows to increase the security level within the organization.

Save hours on threat hunting and content development and boost your security effectiveness by reaching the most up-to-date detections enriched with CTI and aligned with MITRE ATT&CK® on the SOC Prime Platform.

プラットフォームにアクセス 脅威バウンティに参加