IBM QRadar에서 규칙 생성하기

전에 쓴 기사에서, 저는 IBM QRadar를 업데이트하는 방법에 대해 썼습니다. 하지만 어떤 SIEM의 올바른 운영은 빌드 업데이트, 다양한 데이터 소스에서 이벤트 수집 및 저장뿐만이 아닙니다. SIEM의 주요 과제는 보안 사건을 식별하는 것입니다. 공급업체는 IBM QRadar에 대한 사전 구성된 탐지 규칙을 제공합니다. 그러나 대부분의 경우, 이러한 규칙은 귀하의 인프라, 보안 정책 및 사건 대응 절차에 맞게 변경해야 하는 템플릿입니다.
회사의 인프라에서 보안 사건을 탐지하기 위한 규칙을 작성하기 전에, SIEM을 성공적으로 구성하고 모든 데이터 소스를 연결하며 구문 분석 오류를 수정해야 합니다. 그렇지 않으면 규칙을 다시 작성해야 합니다.
어떤 것을 발견하고 싶은지, 규칙 트리거 기준은 무엇인지 이해해야 합니다.
규칙은 다섯 가지 카테고리로 나눌 수 있습니다:
1. 이벤트 기반 규칙.
2. 데이터 흐름 기반 규칙.
3. 이벤트와 데이터 흐름 기반 규칙.
4. Offences 기반 규칙.
5. 정상 행동의 편차 찾기. your IBM QRadar. But the correct operation of any SIEM is not only updating the build, or collection and storage of events from various data sources. The primary task of SIEM is to identify security incidents. The vendor provides preconfigured detection rules for IBM QRadar, but most often, these rules are templates that you need to change for your infrastructure, security policies, and incident response procedures.
Before writing the rules for detecting security incidents in the company’s infrastructure, you need successfully configure your SIEM, connect all data sources and fix parsing errors. Otherwise, you will have to re-write them.
It is necessary to understand what do you want to discover and what are the criteria for rule triggering.
The rules can be divided into five categories:
1. Rules based on events.
2. Rules based on data flows.
3. Rules based on events and data flows.
4. Rules based on Offences.
5. Finding deviations from normal behavior.

이벤트 기반 규칙 만들기

이러한 규칙은 QRadar가 서로 다른 종류의 데이터 소스와 필드를 연결하고, 이벤트를 다른 이벤트와 연결하며, 특정 규칙성을 식별하도록 허용합니다.

규칙을 만들려면 다음을 수행해야 합니다:
1. 접속 Offences – 규칙 – 작업 – 새 이벤트 규칙 탭.2. 규칙 이름 필드를 작성합니다. 조건을 추가하세요. 조건의 값을 설정하십시오. 이 규칙의 그룹을 선택하십시오. 노트를 작성하십시오. 다음.

3. 그 다음, 다음을 명시해야 합니다 규칙 작업, 규칙 응답, 규칙 제한자 및 규칙 사용를 작성하십시오. 다음.

4. 열려있는 창은 규칙에 적용되는 모든 매개변수와 조건을 표시합니다. 모든 것이 올바르면, 완료.

데이터 흐름 기반의 규칙 만들기

이러한 유형의 규칙은 네트워크 이벤트를 분석하고 조정할 수 있게 합니다.

이런 규칙을 생성하려면, 다음을 수행해야 합니다:
1. 접속 Offences – 규칙 – 작업 – 새 흐름 규칙 탭.다른 단계들은 모두 이벤트 규칙.

와 동일합니다.

이벤트와 데이터 흐름 기반 규칙 만들기. 이벤트 및 네트워크 데이터 흐름 기반의 규칙은 데이터 흐름의 유사한 필드와 다양한 종류의 데이터 소스로부터의 필드를 연결합니다.

규칙을 만들려면 다음을 수행해야 합니다:
1. 접속 탭.2. 다른 단계들은 모두 이벤트 규칙.

Offences 기반 규칙 만들기

기존 Offences(트리거 조건 및 소스에 따라) 기반의 규칙은 추가 작업을 수행할 수 있게 합니다.

규칙을 만들려면 다음을 수행해야 합니다:
1. 접속 Offences – 규칙 – 작업 – 새 Offence 규칙 탭.2. 다른 단계들은 모두 이벤트 규칙.

정상 행동에서의 편차 탐지

정상 행동의 편차를 탐지하기 위한 규칙은 검색 요청을 기반으로 합니다. 요청은 특정 형식을 가져야 하며, 무엇이 정상 행동인지 설명해야 합니다.
이런 규칙을 만들려면, 정상 행동을 설명하는 검색를 생성해야 합니다. 검색을 만들기 위한 필수 기준은 하나 이상의 필드를 통한 집계입니다. (주의: 생성된 검색을 저장하는 것을 잊지 마십시오.)
그런 다음 그것을 실행해야 합니다.
그 후, 규칙 탭을 클릭하고 아래 그림과 같이 규칙 유형 중 하나를 선택하십시오.마지막으로, 이벤트 기반 규칙 만들기 섹션에서 했던 대로 규칙 트리거 조건을 명시해야 합니다.

규칙 사용은 SIEM이 사용자 행동의 이상을 자동으로 발견하고 특정 보안 사건을 탐지하게 합니다. 규칙 트리거 결과 처리는 SIEM 관리자의 부담을 줄이고 조직 내 보안 수준을 높일 수 있게 합니다.

위협 사냥 및 콘텐츠 개발에 드는 시간을 절약하고 SOC Prime Platform에서 CTI로 강화되고 MITRE ATT&CK®에 맞춘 최신 탐지를 통해 보안 효율성을 높일 수 있습니다.

플랫폼으로 이동 주도금 수익