サンプル IBM QRadar 違反の取り込み

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • 1 つ以上の選択された IBM QRadar ルールのサンプル違反を取り込むことができます。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. このマッピングフォームが表示されない場合は、進捗状況バーの [マッピング] をクリックします。
    2. 最新の 3 つのサンプル違反をプルするか、マッピングエクスペリエンスに使用する特定の違反の一意の違反 ID を指定できます。
      [取り込み設定] 選択リストから、次のいずれかを選択します。
      • 最新の違反を取得:選択したルールの最新の 3 つの違反が取得されます。
      • 違反 ID に基づく違反の選択:取得する違反の違反 ID を指定します。最大 3 つの違反 ID をカンマで区切って指定できます。

      IBM QRadar:プロファイルの作成:マッピング:デフォルト
    3. [サンプルデータのフェッチ] をクリックして、IBM QRadar コンソールから選択した違反ルールに対する最新のサンプル違反データをプルします。
      違反のフィールドと値の結果は、個別のタブとして表示されます。違反は、次の 3 つのタイプのルールに基づいてトリガーされます。
      • イベント:このルールでは、イベントログがチェックされ、指定された条件が満たされると違反が作成されます。
      • フロー:ネットワークデータとトラフィックがチェックされ、特定の条件が満たされると違反が作成されます。
      • 一般:この場合、イベントまたはフローの条件を指定でき、いずれかまたは両方の条件が満たされると違反が作成されます。
      サンプル違反のプルには少し時間がかかる場合があります。トランザクションが機能していることを示すメッセージが画面の上部に表示されます。違反をトリガーしたルールに応じて、次の「
      IBM QRadar サンプル違反とイベントのマッピング
      」図に示すように、違反フィールドと一緒に、イベントまたはフローフィールドに入力されます。
      注:
      表示されるイベントまたはフローフィールドは、対応するイベントまたはフロールールに基づいて違反をトリガーした最初のイベントまたはフローフィールドに属します。
    4. この統合用に作成されたカスタム違反フィールドは次のとおりです。
      これらのカスタムフィールドに加えて、標準違反フィールドをマッピングに使用できます。
      • rules_contributing_to_offense:ルール ID に基づいて違反に貢献した IBM QRadar ルール。
      • users:違反のユーザー名
      • remote_destination_ip:違反のリモート宛先 IP
        違反のローカル宛先 ID に基づいて、次のカスタムローカル宛先アドレスフィールドを使用できます。
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (id)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (magnitude)
        • local_destination_address (network)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • 違反のソース ID に基づいて、次のソースアドレスを使用できます。
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (id)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (magnitude)
        • source_addresses (network)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      [追加のイベントおよびフローフィールドをフェッチ (オプション)] チェックボックスをオンにします。任意のアクティブで有効なカスタムイベントおよびフローフィールドからサンプルイベントとフローデータをフェッチできます。次に示すように、カスタムフィールドをカンマで区切って指定します。


      IBM QRadar:プロファイルの作成:マッピング:カスタム
      [サンプルデータをフェッチ] をクリックします。指定されたイベントまたはフローフィールドとその値 (利用可能な場合) は、「
      IBM QRadar:プロファイルの作成:マッピング:カスタム:結果
      」に示すように [イベント] または [フロー] セクションに追加されます 。
      サンプルデータをフェッチすると、これらのフィールドに対応する値がフォームの左側に入力されます。
      IBM QRadar:プロファイルの作成:入力された違反

    次のタスク

    サンプルデータをフェッチした後の次のステップで、違反フィールドをセキュリティインシデントにマップします。