QRadar Network Threat Analytics の検出結果へのドリルダウン

IBM® QRadar® Network Threat Analytics は、ネットワーク上で観測されたベースライン・トラフィックから逸脱したネットワーク通信を検出すると、検出結果を作成します。

このワークフローを使用して、 QRadar Network Threat Analyticsによって生成された検出事項にドリルダウンする方法を学習します。 ネットワーク・トラフィックを調査するためのこのトップダウン・アプローチは、ネットワーク内で何が起こっているかを真に理解するために必要な詳細情報をアプリがどのように収集するかを示しています。

このワークフローは単なる例であり、検出結果の分析中に役立つ可能性がある特定の情報を強調表示することを目的としています。 独自のネットワークで検出結果を調査する方法は、ここに表示されているものとは異なる場合があります。

ヒント: 1.3.0

特定の基準を満たす検出結果を検索できるように、フィルター属性のリストを使用して検出結果をフィルタリングします。 これらのフィルターは、検出結果を表示するすべてのタブに適用されます。

手順

  1. QRadar Network Threat Analytics ホーム・ページには、指定された時間フレーム内にネットワーク上で監視されたトラフィックに関する概要情報が表示されます。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. 時間フレームは、トラフィック分析期間を指定します。 これは、ホーム・ページ上のすべてのウィジェットに適用されます。
    2. 最初の行には、いくつかの基本的なネットワーク分析メトリックが表示されます。 「ベースライン・カバレッジ」 には、ネットワーク・ベースラインにマップできるネットワーク・トラフィックのパーセンテージが表示されます。

      この例では、ネットワーク・トラフィックの 99% がベースラインにマップされています。これは、残りの 1% のトラフィックが環境内で以前に認識されたことがないことを意味します。

    3. これらのウィジェットには、指定された時間フレーム内に監視されたネットワーク・トラフィックの中で最も頻度の高いアプリケーションと国と最も頻度の低いアプリケーションと国が表示されます。
    4. マウスをマップのさまざまな領域に移動すると、その国または地域との間のトラフィックに関するトラフィック要約情報が表示されます。
  2. 「検出結果」 タブを確認して、調査する検出結果を決定します。

    1.3.0 特定の基準を満たす検出結果を検索できるように、フィルター属性のリストを使用して検出結果をフィルタリングします。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. スコアが最も高い検出結果がリストの先頭に表示されます。 この例では、検出結果には MITRE ATT & CK 手法も関連付けられているため、その手法を詳しく調べることができます。
    2. 検出結果に関する詳細情報を表示するには、 ID または行の末尾にある矢印をクリックします。
    注: 「時間の経過に伴う検出結果アクティビティー」 グラフおよび 「検出結果」 表に検出結果が表示されない場合は、 QRadar Network Threat Analytics ホーム・ページに検出結果が表示されない を参照して、考えられる理由を調べてください。
  3. 詳細の確認 ページには、検出結果に関する詳細情報が表示されます。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. 行動分析スコア は、検出結果の重要度を表します。 これは、関与しているフローの異常値スコアに基づいて計算されます。
    2. この例では、検出結果に疑わしい MITRE ATT & CK 技法が含まれています。 技法名をクリックすると、その詳細が表示されます。
    3. 「ネットワーク」 ウィジェットで、通信に関する情報 (フローの向きなど) を表示できます。
    4. カテゴリー別の分析スコア グラフには、カテゴリーにグループ化されたフロー特性が表示されます。
      ヒント: カテゴリー名の上にマウスを移動すると、グループ内の最大逸脱フロー属性が表示されます。

      各カテゴリー内の属性について詳しくは、 ネットワーク・ベースラインを参照してください。

      最大偏差を持つグループは、グラフの外側の境界まで拡大します。 この例では、 Protocol & アプリケーション ・グループの偏差が最も高いことが分かります。

  4. 「ネットワーク・データ」 テーブルには、検出結果に関連するネットワーク通信が表示されます。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. コミュニケーションごとに、逸脱しているカテゴリーがマグニチュード順に表示されます。
    2. 各コミュニケーションには、0 から 100 までの範囲のスコアがあります。 スコアが集計され、検出結果の 行動分析スコア が導出されます。
      重要: スコアが 100 のネットワーク通信は、ネットワーク内でこれまでに観測されたことがありません。
    3. 単一のコミュニケーションについて詳しくは、 「フロー ID」 リンクをクリックして、コミュニケーション内のフロー・レコードのリストを表示します。
      1.3.0 フロー・レコードに QRadar Network Insights メタデータが含まれている場合、その行を展開して、そのレコードに適用されるメタデータを確認できます。
  5. フロー・レコードに関する詳細情報を表示するには、 「フロー・レコード」 表で、行の末尾にある矢印をクリックして 「フロー・レコード分析」 ページを開きます。

    以下のリストでは、前の図のアノテーションについて説明します。

    1. 外れ値スコア は、フロー・レコードがベースラインからどの程度逸脱しているか、およびフロー・レコードがどの程度希少であるかに基づいて計算されます。
    2. 「ベースラインの発生 (Baseline occurrence)」 は、ネットワーク・ベースラインの作成時にアプリケーションがネットワーク内でこのタイプの通信を検出した頻度を示します。

      可能な値は、 CommonRare「非常に低い」、および 「最初の確認 (First Seen)」です。

      ベースライン・スコアの上にマウスを移動すると、このタイプのフローの予期される頻度が表示されます。 分析スコアが高く、ベースラインの発生が標準的でない場合は、フローをさらに調査する必要があると判断できます。

    3. 検出結果 ID をクリックして 詳細の確認 ページを開き、フローが寄与している検出結果に関する情報を表示します。
    4. 動作 MITRE ATT & CK 技法の名前をクリックすると、その名前に関する詳細情報が表示されます。
    5. スコア・コントリビューター テーブルには、フローの異常値スコアの原因となったフロー特性が表示されます。
      一部のフロー属性は他のフロー属性よりも重みが大きく、棒の長さは、異常値スコアに対する属性の相対的な寄与率を示します。
      • 緑色のステータス・バーは、属性の値がネットワーク・ベースラインと比較して正常範囲内にあるが、属性値が異常値スコアに寄与していることを示します。

        非逸脱属性は、ネットワーク・ベースラインで検出された正常範囲内にある場合でも、異常値スコアに寄与します。

      • 紫色のステータス・バーは、値が予期した値から逸脱していることを示します。
  6. 「フロー・レコードの分析」 ページで、スクロールダウンして 「フロー・レコードのプロパティー」 表を表示します。

    この表を使用して、フロー属性とベースライン値の比較を確認します。