「中程度」検査

「中程度」の検査レベルでは、Protocol Inspector または Domain Inspector によって各フローが識別および検査されます。 フロー検査レベルが 「中程度」に設定されている場合、 IBM QRadar Network Insights はコンテンツ・フローを作成します。

重要: QRadarにフィールドにデータが取り込まれるようにするには、ソース・コンテンツにデータが存在している必要があります。 例えば、一部のコンテンツは X-Force Threat Intelligence フィードによって取り込まれますが、 X-Forceで情報が使用できない場合、 QRadar ではこのフィールドが空の状態で表示されることがあります。

以下の表に、 QRadar Network Insights「中程度」 検査レベルを使用するように構成されている場合に取り込まれるフィールドを示します。

表 1. 「中程度」検査レベルで取り込まれるコンテンツ
照会ビルダー名 拡張検索名 説明
アクション action フロー分析で HTTP フローに対するアクションが示されたときに、データが設定されます。 アクションに使用できる値は以下のとおりです。
  • 書き込み/投稿/チャット
  • ストリーム/ダウンロード
  • 共有
  • アプリケーションの開始
  • オーディオ・チャット/ビデオ・チャット
  • ソフトウェア/アンチウィルスのアップデート
フロー分析は X-Force データに基づいており、このフィールドには、 X-Force データが使用可能な場合にのみデータが取り込まれます。
認証メカニズム "authentication mechanism" クライアントが認証された方法。
コンテンツの件名 "content subject" データが設定された場合、フロー内容のSubjectフィールドから抽出されます。

例えば、件名は E メールから得られる場合も、メタデータに埋め込まれている場合もあります。
コンテンツ・タイプ "content type" HTTP、Content Inspector

ファイル・タイプが認識されない場合にのみデータが設定されます。

DNS 照会

 "dns query" フローに DNS 照会のデータがある場合のみ、データが設定されます。

DNS 応答

 "dns response" フローに DNS 応答のデータがある場合のみ、データが設定されます。
DNS 照会 ID "dns query id" フローに DNS 要求または応答に関する情報が含まれている場合のみ、データが設定されます。
DNS ドメイン名 "dns domain name" フローに DNS 要求に関する情報が含まれている場合のみ、データが設定されます。
DNS 要求タイプ "dns request type" フローに DNS 要求に関する情報が含まれている場合のみ、データが設定されます。
DNS 応答コード "dns response code" フローに DNS 応答に関する情報が含まれている場合のみ、データが設定されます。
DNS フラグ "dns flags" フローに DNS 要求に関する情報が含まれている場合のみ、データが設定されます。
DNS の回答 "dns answers" すべての DNS フィールド (フォーマット済みリスト)。

フローに DNS 応答に関する情報が含まれている場合のみ、データが設定されます。
DNS 未加工回答 "dns raw answer" すべての DNS フィールド (バイナリー・フォーマット)。

フローに DNS 応答に関する情報が含まれている場合のみ、データが設定されます。
ファイル・エントロピー "file entropy" ファイル全体がフロー・データに埋め込まれて検出される場合のみ、データが設定されます。
ファイル・ハッシュ

(非推奨)

 "file hash" ファイル全体がフロー・データに埋め込まれて検出される場合のみ、データが設定されます。

QRadar Network Insights V7.3.2 パッチ3の時点では、File Hash属性はSHA256 File HashSHA1 File HashおよびMD5 File Hash属性に置き換えられています。
ファイル名 "file name" 指定されたファイルがフロー・データに埋め込まれて検出される場合のみ、データが設定されます。
ファイル・サイズ "file size" ファイル全体がフロー・データに埋め込まれて検出される場合のみ、データが設定されます。
FTP コマンド "ftp command" 使用された FTP コマンド。
FTP ReplyCode "ftp reply code" FTP コマンドに応答して FTP サーバーが発行する数値コード。
FTP 応答 "ftp response" FTP サーバーが発行する数値応答コードの説明。
HTTP ホスト "http host" HTTP 要求内のホスト・フィールド。

HTTP プロトコルが使用される場合にのみデータが設定されます。
HTTPメソッド "http method" 実行が推奨されるアクションを示す、HTTP 要求のメソッド。

HTTP プロトコルが使用される場合にのみデータが設定されます。
HTTP リファラー "http referrer" HTTP 要求内のリファラー・フィールド。

HTTP プロトコルが使用される場合にのみデータが設定されます。
HTTP 応答コード "http response code" HTTP 要求からの応答。

HTTP プロトコルが使用される場合にのみデータが設定されます。
HTTP Server "http server" HTTP 要求内のサーバー・フィールド。

HTTP プロトコルが使用される場合にのみデータが設定されます。
HTTP ユーザー・エージェント "http user agent" HTTP 要求内のユーザー・エージェント・フィールド。

HTTP プロトコルが使用される場合にのみデータが設定されます。
HTTP バージョン "http version" HTTP 要求内のバージョン・フィールド。

HTTP プロトコルが使用される場合にのみデータが設定されます。

Kerberos 暗号スイート (Kerberos Cipher Suite)

 "kerberos cipher suite" Kerberos トランザクションの暗号化に使用される暗号のスイート。

Kerberos チケット暗号スイート

 "kerberos ticket cipher suite" 7.5.0 Update Package 5 の新機能

Kerberos チケットの暗号化に使用される一連の暗号。

Kerberos クライアント・プリンシパル名

 "kerberos client principal name" チケットの発行先の ID。 例えば、サービスに対する認証を受けるためにチケットを要求しているユーザーまたはデバイスです。

Kerberos が発行したチケット・ハッシュ (Kerberos Issued Ticket Hash)

 "kerberos issued ticket hash" クライアントに発行された Kerberos チケットのハッシュ。

Kerberos が提示したチケット・ハッシュ (Kerberos Presented Ticket Hash)

 "kerberos presented ticket hash" リソースへのアクセス権限を取得するために提示された Kerberos チケットのハッシュ。

このプロパティーは、HTTP インスペクターと SMB インスペクター以外に、Kerberos インスペクターによっても設定されます (該当するとき)。

Kerberos レルム

 "kerberos realm" このアクティビティーが発生した Kerberos レルム。

Kerberos サーバー・プリンシパル名

 "kerberos server principal name" チケットの発行対象のサービスの ID。 例えば、ユーザーがアクセスを要求しているサービスです。
最後のプロキシー・ベース "last proxy basis"

HTTP 要求が明示的に転送されることがわかった場合、転送を指示した HTTP ヘッダーのタイプ。

「最後のプロキシー・ベース」属性には、以下のいずれかの値が含まれる場合があります。

  • RFC 7239 転送ヘッダー
  • X-Forwarded-For ヘッダー
  • Akamai True-Client-IP ヘッダー
最後のプロキシー IPv4 "last proxy ipv4" IPv4 アドレスとして表示される最終の転送宛先。

HTTP プロトコルが使用され、転送が検出された場合にのみデータが設定されます。
最後のプロキシー IPv6 "last proxy ipv6" IPv6 アドレスとして表示される最終の転送宛先。

HTTP プロトコルが使用され、転送が検出された場合にのみデータが設定されます。
MD5 ファイル・ハッシュ "md5 file hash" フロー・データからファイルが抽出されるときに、元のファイルの MD5 ハッシュでデータが設定されます。
発信元ユーザー "originating user" 発信元ユーザーを検出できる場合に複数の送信元からデータが設定されます (E メールまたはチャット・メッセージのフロー・データなど)。
パスワード password 平文パスワード交換がフローで検出される場合のみデータが設定されます。 例えば、FTP フローにおける平文パスワード交換。
プロトコル名 "protocol name" インスペクターによって処理されるすべてのフローにデータを設定します。
プロトコル・バージョン "protocol version" インスペクターによってバージョンが抽出される場合にのみデータが設定されます。
プロトコル・バージョンの抽出がサポートされているインスペクターは次のとおりです。
  • NFS バージョン 3
  • POP バージョン 3
  • SSL バージョン 3
  • TLS (すべてのバージョン)
  • HTTP (すべてのバージョン)
  • ICAP (すべてのバージョン)
  • SMB (すべてのバージョンと、該当する場合はダイアレクト)
  • SSH (すべてのバージョン)
  • RDP (すべてのバージョン)
RDP 暗号化方式 (RDP Encryption Method) "rdp encryption method" フローがリモート・デスクトップ・プロトコル (RDP) に関連付けられるときの暗号化方式でデータが設定されます。
RDP 暗号化レベル (RDP Encryption Level) "rdp encryption level" フローがリモート・デスクトップ・プロトコル (RDP) に関連付けられるときの暗号化レベルでデータが設定されます。
Recipient Users "recipient users" 1 人以上の宛先ユーザーがフローで検出される場合にデータが設定されます。
要求 URL "request url" URL ストリングが HTTP フロー・データで検出される場合のみ、データが設定されます。
検索引数 "search arguments" 検索要求のパターンが HTTP フロー・データで検出される場合のみ、データが設定されます。
SHA1 ファイル・ハッシュ "sha1 file hash" フロー・データからファイルが抽出されるときに、元のファイルの SHA1 ハッシュでデータが設定されます。
SHA256 ファイル・ハッシュ "sha256 file hash" フロー・データからファイルが抽出されるときに、元のファイルの SHA256 ハッシュでデータが設定されます。
SMTP hello "smtp hello" SMTP 要求を開始するフローのデータが取り込まれます。

HELOコマンドの後に続くデータをキャプチャーします。 詳細については、Request for Comments (RFC) 2821 および 1651 を参照してください。
SSH 認証試行 "ssh authentication attempts" 7.5.0 更新パッケージ 8 の新機能検出されたヒューリスティック・ベースの認証試行の数。
SSH 認証の成功 "ssh authentication success" ヒューリスティックによって決定される認証結果。 値 1 は成功を示し、値 0 は失敗を示します。
SSH 圧縮アルゴリズム・クライアント "ssh compression algorithm client" SSH クライアントによって使用されている圧縮アルゴリズム。
SSH 圧縮アルゴリズム・サーバー "ssh compression algorithm server" SSH サーバーで使用されている圧縮アルゴリズム。
SSH 暗号化アルゴリズム・クライアント "ssh encryption algorithm client" SSH クライアントによって使用されている暗号化アルゴリズム。
SSH 暗号化アルゴリズム・サーバー "ssh encryption algorithm server" SSH サーバーで使用されている暗号化アルゴリズム。
SSH Hassh (SSH Hassh) "ssh hassh" SSH クライアントの HASSH フィンガープリント。
SSH Hassh サーバー "ssh hassh server" SSH サーバーの HASSH フィンガープリント。
SSH Hassh バージョン "ssh hassh version" 使用中の HASSH ネットワーク・フィンガープリント標準のバージョン。
SSH ホスト鍵アルゴリズム "ssh host key algorithm" サーバー・ホスト鍵のアルゴリズム。
SSH Kex アルゴリズム "ssh kex algorithm" SSH クライアントと SSH サーバーの両方で使用されている鍵交換 (kex) アルゴリズム。
SSH MAC アルゴリズム・クライアント "ssh mac algorithm client" SSH クライアントによって使用されている署名 (MAC) アルゴリズム。
SSH MAC アルゴリズム・サーバー "ssh mac algorithm server" SSH サーバーによって使用されている署名 (MAC) アルゴリズム。
SSL/TLS 暗号スイート (SSL/TLS Cipher Suite) "ssl/tls cipher suite" セッションに使用するようにクライアントとサーバーによって合意された暗号化スイート仕様。
SSL/TLS 圧縮方式 (SSL/TLS Compression Method) "ssl/tls compression method" セッションに使用するようにクライアントとサーバーによって合意された圧縮方式。

プロトコル・レベルの攻撃に対するぜい弱性が原因で、ほとんどのクライアントでは TLS 圧縮はサポートされていないため、通常、この方式はヌルになっています。
SSL/TLS セッション ID "ssl/tls session id" セッション ID。
SSL/TLS のバージョン "ssl/tls version" SSL または TLS のバージョン。
以下のバージョンが検出されます。
  • SSLv3
  • TLSv1.0
  • TLSv1.1
  • TLSv1.2
疑わしいコンテンツの説明 (Suspect Content Descriptions) "suspect content descriptions" 疑わしいエンティティーが検出された場合に、複数の送信元からデータが設定されます。 例えば、疑わしいコンテンツは Web サイト・カテゴリー、埋め込みリンク、または Yara ルールに由来する可能性があります。

TFTP 状況

 "tftp status" TFTP の読み取り要求または書き込み要求。

転送プロトコルが TFTP の場合のみ設定されます。

TFTP モード

 "tftp mode" TFTP ファイル転送のモード。 可能値はnetasciiまたはoctetです。

転送プロトコルが TFTP のときにのみ設定されます。

TFTP 要求オプション (TFTP Requested Options)

 "tftp requested options" 転送前にネゴシエーションされる TFTP ファイル転送オプション。次のオプションがあります。
  • blocksizeにより、クライアントとサーバーがファイル転送のブロックサイズをネゴシエートできるようになります。
  • timeoutにより、クライアントとサーバーが送信ファイルのタイムアウト間隔を設定できるようになります。
  • tsizeにより、ファイル受信側が転送サイズを決定できるようになります。

転送プロトコルが TFTP のときにのみ設定されます。
TLS アプリケーション層プロトコル (TLS Application Layer Protocol) "tls application layer protocol" アプリケーション層プロトコル・ネゴシエーション TLS 拡張経由でクライアントとサーバーによって合意されているアプリケーション層プロトコルの値。
TLS JA3 ハッシュ (TLS JA3 Hash) "tls ja3 hash" クライアントによって送信される元のファイルの JA3 ハッシュでデータが設定されます。
TLS JA3S ハッシュ (TLS JA3S Hash) "tls ja3s hash" サーバーによって返される元のファイルの JA3S ハッシュでデータが設定されます。
TLS Server Name Indication "tls server name indication" TLS サーバー名表示 (SNI) 拡張の値。

クライアントはハンドシェーク・プロセスの開始時に SNI 拡張を送信し、通信するサーバーを識別します。
トンネルの深さ "tunnel depth" 現行コンテンツ・レポート内のトンネルの深さ。 特定のトンネル接続の場合、値の範囲は 0 から接続トンネル・レベル-1 までです。
トンネル・プロトコル ID "tunnel protocol id" トンネル・プロトコルのアプリケーション ID (例えば、GRE)
トンネル・トランスポート・プロトコル ID "tunnel transport protocol id" プロトコルトンネルが動作するアプリケーションID(例:IPまたは UDP )
トンネル・ソース・アドレス IPv4 "tunnel source address ipv4" トンネル・ソースの IPv4 アドレス
トンネル宛先アドレス IPv4 "tunnel destination address ipv4" トンネル宛先の IPv4 アドレス
トンネル・ソース・アドレス IPv6 "tunnel source address ipv6" トンネル送信元の IPv6 アドレス
トンネル宛先アドレス IPv6 "tunnel destination address ipv6" トンネル宛先の IPv6 アドレス
トンネル・ソース・ポート "tunnel source port" トンネル・ソースのポート
トンネル宛先ポート "tunnel destination port" トンネル宛先のポート
トンネル・フロー ID "tunnel flow id" トンネル接続のフロー ID
接続トンネル・レベル "connection tunnel level" 最終接続の深さ
GRE キー "gre key" GRE プロトコルの「Key」値
Web カテゴリー "web categories" HTTP URL またはエンドポイントが既知の X-Force ウェブカテゴリーに一致する場合のみ入力されます。
X509 証明書エクステンション "x509 certificate extensions" 証明書の使用方法、識別方法、および検証方法に関する詳細情報を表示します。

X509 証明書拡張は、コンマ区切りのリストで表示されます。
X509 証明書指紋ハッシュ (X509 Certificate Fingerprint Hash) "x509 certificate fingerprint hash" 証明書の指紋照合に使用できる証明書内のさまざまなフィールドのハッシュ。

この値は、脅威ハンティングおよび異常検出シナリオで有用です。 例えば、所有者が同じで指紋ハッシュが異なる有効な証明書が異なるフローで同時に検出された場合、いずれかのフローで中間者攻撃が発生していることを示している可能性があります。
X509 証明書発行元共通名 (X509 Certificate Issuer Common Name) "x509 certificate issuer common name" 証明書を発行したエンティティーの共通名。

このフィールドは、発行元名の最後の 'CN = ' セグメントです。 例えば、値はGeoTrust RSA CA 2018という文字列のようになります。
x509 証明書の発行者名 "x509 certificate issuer name" 証明書を発行したエンティティーの完全な名前。

例えば、発行者名は、文字列C=US, O=DigiCert Inc, OU=www.digicert.com, CN=GeoTrust RSA CA 2018のようになります。
X509 証明書有効期間終了時刻タイム・スタンプ (X509 Certificate Not-After Validity Timestamp) "x509 certificate not-after validity timestamp" 証明書が最後に有効だったときのタイム・スタンプ。

値は、エポック (1970-01-01 00:00:00 UTC) からの秒数です。 この値は、Certificate invalid疑わしい内容アラート生成理由を理解するのに役立ちます。
X509 証明書有効期間開始時刻タイム・スタンプ (X509 Certificate Not-Before Validity Timestamp) "x509 certificate not-before validity timestamp" 証明書が有効である最初の時刻のタイム・スタンプ。

値は、エポック (1970-01-01 00:00:00 UTC) からの秒数です。 この値は、Certificate invalid疑わしい内容アラート生成理由を理解するのに役立ちます。
X509 証明書公開鍵アルゴリズム (X509 Certificate Public Key Algorithm) "x509 certificate public key algorithm" 認証公開鍵に使われるアルゴリズムを識別します(例:rsaEncryption)。
X509 証明書公開鍵サイズ (X509 Certificate Public Key Size) "x509 certificate public key size" 証明書の公開鍵のサイズ。 例えば、2048 バイトの鍵サイズなどです。

この値は、Weak public key length疑わしい内容アラート生成理由を理解するのに役立ちます。
X509 証明書シリアル番号 (X509 Certificate Serial Number) "x509 certificate serial number" 証明書のシリアル番号。

この番号により、証明書は認証局 (CA) で一意に識別されます。 この値は、証明書失効リストを相互参照する場合に役立つことがあります。
X509 証明書署名アルゴリズム (X509 Certificate Signature Algorithm) "x509 certificate signature algorithm" 証明書への署名に使用されたアルゴリズムを識別します。 例えば、アルゴリズムは sha256WithRSAEncryptionになる可能性があります。

この値がTo-Be-Signed Signature Algorithmと一致しない場合、Signature Algorithm does not match To-Be-Signed Signature Algorithm疑わしい内容アラートが生成されます。
X509 証明書所有者代替名 (X509 Certificate Subject Alternative Names) "x509 certificate subject alternative names" 証明書に使用できる代替名。

名前は、コンマ区切りリストとして表示されます(例:www.ibm.com, ibm.com, 1.dam.s81c.com, 1.wwwstage.s81c.com, www-01.ibm.com, www-112.ibm.com)。
X509 証明書所有者共通名 (X509 Certificate Subject Common Name) "x509 certificate subject common name" 証明書が属するエンティティーの共通名。

このエントリはサブジェクト名名の'CN ='セグメントです。例えば、www.ibm.com
X509 証明書所有者名 "x509 certificate subject name" 認証が属するエンティティーのフル名。例えば、C=US, ST=New York, L=Armonk, O=IBM, CN=www.ibm.com

「所有者名 (Subject Name)」フィールド、「所有者共通名 (Subject Common Name)」フィールド、および「所有者代替名 (Subject Alternative Names)」フィールドは、これらのフィールドを使用しなければ SSL/TLS として表示されるフローに関するコンテキストを提供する場合に便利です。
X509 証明書必須署名アルゴリズム (Certificate To-Be-Signed Signature Algorithm) "x509 certificate to-be-signed signature algorithm" 証明書への署名に使用された可能性があるアルゴリズムを識別します。

この値が署名アルゴリズムと一致しない場合、Signature Algorithm does not match To-Be-Signed Signature Algorithm疑わしい内容アラートが生成されます。
x509 証明書バージョン "x509 certificate version" 証明書が準拠する X509 プロトコルのバージョン。

ほとんどの証明書では、この値は 3 です。