カスタム・ルールの作成
始める前に
このタスクについて
ルール・テストを定義するときには、テストの対象となるデータをできるだけ小さくします。 このようにテストすると、ルール・テストのパフォーマンスが向上し、高負荷のルールを作成しないで済みます。 パフォーマンスを最適化するには、一般的なカテゴリーから開始して、ルール・テストによって評価されるデータを絞り込みます。 例えば、特定のログ・ソース・タイプ、ネットワーク・ロケーション、フロー・ソース、またはコンテキスト (R2L、L2R、L2L) に対するルール・テストから開始します。 中位のテストでは、IP アドレス、ポート・トラフィック、またはその他の関連するテストが含まれることがあります。 ルールは、ペイロードと正規表現式を最後にテストする必要があります。
似ているルールは、カテゴリーによってグループ化されます。 例えば、監査、エクスプロイト、DDoS、スキャン行為などです。 項目をグループから削除した場合、 ルールまたはビルディング・ブロックはグループから削除されるだけです。 つまり、それらは「ルール」ページでは引き続き使用できます。 グループを削除しても、そのグループのルールやビルディング・ブロックは引き続き「ルール」ページで使用可能です。
手順
- 「オフェンス」、 「ログ・アクティビティー」、または 「ネットワーク・アクティビティー」 タブから、 「ルール」をクリックします。
- 「表示」 リストから、 「ルール」 を選択して新規ルールを作成します。
- オプション: 「表示」 リストから 「ビルディング・ブロック」 を選択して、ビルディング・ブロックを使用して新規ルールを作成します。
- 「アクション」 リストから、ルール・タイプを選択します。
各ルール・タイプは、さまざまなソースからの入力データに対してリアルタイムでテストされます。 例えば、イベント・ルールは、入力ログ・ソース・データをテストします。オフェンス・ルールは、オフェンスのパラメーターをテストして、より多くの応答をトリガーします。
- 「ルール・ウィザード」 ウィンドウで、 「このルール・ウィザードの実行時にこのページをスキップ」 チェック・ボックスを選択し、 「次へ」をクリックします。「 この規則ウィザードの実行時にこのページをスキップする 」チェック・ボックスを選択すると、開始するたびに「 ようこそ 」ページが表示されません。
- 「規則テスト・スタック・エディター」 ページの 「規則」 ペインで、この規則に割り当てる固有の名前を 「適用」 テキスト・ボックスに入力します。
- リスト・ボックスから、 「ローカル」 または 「グローバル」を選択します。
- 「ローカル」を選択すると、すべてのルールが受信された イベント・プロセッサー で処理され、ローカルで処理されるイベントに対してのみオフェンスが作成されます。
- 「グローバル」を選択すると、一致するすべてのイベントが処理のために QRadar Console に送信されるため、 QRadar Console はより多くの帯域幅と処理リソースを使用します。
ローカル・ルールとグローバル・ルールについて詳しくは、以下を参照してください。- グローバル・ルール・テスト
- グローバル規則を使用して、「複数のユーザー・ログイン失敗」 ( そのユーザーのイベントが複数のイベント・プロセッサーに表示される ) のようなものを検出します。 例えば、同じユーザー名から 10 分間に 5 回のログイン失敗に対して 「ローカル」 ルールを構成した場合、それらの 5 回のログイン失敗はすべて同じ イベント・プロセッサーに表示される必要があります。 したがって、1 つの イベント・プロセッサー で 3 つのログイン失敗が発生し、2 つのログイン失敗が別のイベント・プロセッサーで発生した場合、オフェンスは生成されません。 しかしルールを「グローバル」に設定しておくと、オフェンスが作成されます。
- 「テスト・グループ」 リストから、このルールに追加する 1 つ以上のテストを選択します。 CRE は、ルール・テストを行単位で順番に評価します。 最初のテストが評価され、true である場合は、次の行が評価されます。以下同様に、最終テストに到達するまで続行されます。新規イベント・ルールの イベントがこの AQL フィルター照会と一致する場合 テストを選択したい場合は、追加 (+) アイコンをクリックします。 「 規則 」ペインで、「 これ 」をクリックして、「 AQL フィルター照会の入力 」テキスト・ボックスに AQL WHERE 節照会を入力します。検出されないイベントに対するルールの使用について詳しくは、以下を参照してください。
以下の場合のルール・テストは個別にトリガーできますが、同じルール・テスト・スタック内のルール・テストには作用しません。
- この秒数の間、これらのログ・ソース・タイプの 1 つ以上によってイベントが検出されなかった場合 (when the event(s) have not been detected by one or more of these log source types for this many seconds)
- この秒数の間、これらのログ・ソースの 1 つ以上によってイベントが検出されなかった場合 (when the event(s) have not been detected by one or more of these log sources for this many seconds)
- この秒数の間、これらのログ・ソース・グループの 1 つ以上によってイベントが検出されなかった場合 (when the event(s) have not been detected by one or more of these log source groups for this many seconds)
これらのルール・テストは受信イベントによってはアクティブ化されませんが、代わりに、構成済みの特定の時間間隔の間に特定のイベントが検出されなかった場合にアクティブ化されます。 QRadar は ウォッチャー・タスク を使用します。このタスクは、イベントが最後に確認された時刻 (最後に確認された時刻) を定期的に照会し、イベントのこの時刻をログ・ソースごとに保管します。 ルールがトリガーされるのは、この最終確認時刻と現在時刻の差が、ルールに構成された秒数を超えたときです。
- 構成されたルールを、他のルールで使用するビルディング・ブロックとしてエクスポートするには、 「ビルディング・ブロックとしてエクスポート」をクリックします。
- 「ルールの応答」 ページで、このルールで生成する応答を構成します。 ルール応答ページのパラメーターについて詳しくは、以下を参照してください。
表 1. 「イベント」、「フロー」、「共通ルール」、および「オフェンス・ルールの応答 (Offense Rule Response)」ページのパラメーター パラメーター 説明 重大度 重大度レベルをイベントに割り当てるには、このチェック・ボックスを選択します。ここで、 0 は最低、 10 は最も高い重大度です。 この重大度は、イベント詳細の「注釈」ペインに表示されます。 信頼性 このチェック・ボックスを選択すると、ログ・ソースに信頼性が割り当てられます。 例えば、そのログ・ソースはノイズが多いか、高コストであるかなどです。 範囲は 0 (最低) から 10 (最高) までで、デフォルトは 10 です。 この信頼性は、イベント詳細の「注釈」ペインに表示されます。 関連性 アセットの重量に関連性を割り当てるには、このチェック・ボックスを選択します。 例えば、そのアセットをどのくらい重視するかです。 範囲は 0 (最低) から 10 (最高) までで、デフォルトは 10 です。 この関連性は、イベント詳細の「注釈」ペインに表示されます。 以降のルール相関イベントをバイパス このチェック・ボックスを選択すると、イベントまたはフローがルール・エンジン内の他のすべてのルールをバイパスし、それがオフェンスを作成できないようにします。 このイベントは、検索およびレポートのためにストレージに書き込まれます。
新規イベントのディスパッチ 元のイベント またはフローに加えて新しいイベントをディスパッチするには、このチェック・ボックスを選択します。これは、システム内の他のすべてのイベントと同様に処理されます。
元のイベントと共に新規イベントをディスパッチし、システム内の他のすべてのイベントと同様に処理されます。
このチェックボックスを選択すると、 新規イベントのディスパッチ パラメータが表示されます。 デフォルトでは、このチェック・ボックスはクリアされています。
E メール このチェック・ボックスを選択すると 管理者 タブの システム設定 内の E メールのロケール 設定が変更されます。 ローカル SysLog に送信 このチェック・ボックスを選択すると、イベント またはフロー をローカルに記録します。
デフォルトでは、このチェック・ボックスはクリアです。
注: アプライアンス上でローカルにログに記録できるのは、正規化されたイベントのみです。 生イベント・データを送信するには、「宛先転送に送信」オプションを使用して、データをリモートの syslog ホストに送信する必要があります。宛先転送に送信 このチェック・ボックスを選択して、転送宛先にイベント またはフロー を記録します。
転送宛先とは、SIEM システム、チケット発行システム、アラート・システムなどのベンダー・システムです。 このチェック・ボックスを選択すると、転送宛先のリストが表示されます。
転送宛先の追加、編集、削除を行うには、「宛先の管理」リンクをクリックします。
通知 このチェック・ボックスを選択すると、「ダッシュボード」タブの「システム通知」項目にこのルールの結果として生成されたイベントが表示されます。
通知を有効にする場合は、「応答リミッター」パラメーターを構成してください。
リファレンス・セットに追加 (Add to Reference Set) このルールの結果として生成されるイベントをリファレンス・セットに追加するには、このチェック・ボックスを選択します。 データをレファレンス・セットに追加するには、管理者である必要があります。
データをリファレンス・セットに追加するには、以下のステップを実行します。
- 最初のリストから、追加するイベントまたはフローのプロパティーを選択します。
- 2 番目のリストから、指定されたデータの追加先となるリファレンス・セットを選択します。
リファレンス・データに追加 このルール応答を使用するには、リファレンス・データ収集を作成する必要があります。
リファレンス・セットから削除 (Remove from Reference Set) このチェック・ボックスを選択すると、リファレンス・セットからデータを削除します。
データをリファレンス・セットから削除するには、以下のようにします。
- 最初のリスト・ボックスから、削除するイベントまたはフローのプロパティーを選択します。 すべての正規化データまたはカスタム・データが、オプションとして表示されます。
- 2 番目のリスト・ボックスで、指定したデータを削除するリファレンス・セットを選択します。
「リファレンス・セットから削除 (Remove from Reference Set)」ルール応答には、以下の機能が用意されています。- 最新表示
- 最初のリスト・ボックスを最新表示して最新のリストを表示するには、「最新表示 (Refresh)」をクリックします。
リファレンス・データから削除 このルール応答を使用するには、リファレンス・データ収集がある必要があります。
カスタム・アクションの実行 このチェック・ボックスを選択すると、ネットワーク・イベントに対する応答として特定のアクションを実行するスクリプトが書き込まれます。 例えば、何度もログインに失敗した場合にネットワークから特定の送信元 IP アドレスをブロックするファイアウォール・ルールを作成するためのスクリプトを作成できます。 カスタム・アクションを追加して構成するには、「管理」タブの「アクションの定義」アイコンを使用します。
応答リミッター このチェック・ボックスを選択して、このルールを応答する頻度を構成します。 SNMP 通知は、以下の例のようになります。
"Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification - Rule 'SNMPTRAPTst' Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name: ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited, QID: 1000156, Category: 1014, Notes: Offense description"
syslog 出力は、以下の例のようになります。
Sep 28 12:39:01 localhost.localdomain ECS: Rule 'Name of Rule' Fired: 172.16.60.219:12642 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID: 1000398, Category: 1011, Notes: Event description
次に実行するタスク
ルールをテストするには、 「ヒストリカル相関」を実行します。
イベントがビルディング・ブロックに基づいてルール・テストをトリガーすることを確認するには、E メール応答を作成します。 E メール通知の送信を参照してください。