調整 QRadar 系統的最佳實務
若要充分利用 QRadar® Advisor with Watson™ 應用程式,請檢閱下列指引以調整 QRadar 系統。
IBM QRadar Use Case Manager
QRadar Use Case Manager 應用程式可協助您調整 QRadar 系統。 如需相關資訊,請參閱 QRadar Use Case Manager。
系統性能狀態
| QRadar 系統 | 說明 |
|---|---|
| 平台詳細資料 | QRadar 版本為 7.3.3 或更新版本。 |
| 已啟用 XFE | QRadar 必須授權並啟用 X-Force® Threat Intelligence Premium |
| 支援問題 | 沒有與系統及硬體穩定性或效能相關的未解決 PMR。 |
| 生命週期 | 已安裝並已執行至少 3 個月的系統。 |
攻擊管理
QRadar 應每天每 1000 EPS 最多產生 10-15 個品質攻擊。 品質攻擊會產生事件及流程資料欄位,其中良好的外部可觀察資訊可以由 QRadar Advisor with Watson進行資料發掘及研究。
| 攻擊檢查 | 考量事項 |
|---|---|
| 主動攻擊數目 | 跳至攻擊標籤並檢視攻擊數目。 主動攻擊數目是否過多? |
| 每天建立的攻擊數目是多少? | 建立搜尋間隔並指定 24 小時制的特定時間範圍,例如 72 小時或 7 天。 |
| 區域或服務人員是否定期檢閱及關閉攻擊? | 是否具有一個及時檢閱、調查及關閉攻擊的程序? |
| 是否需要調整規則或提供建議? | 調整最大噪音規則會對減少誤判有明顯影響。 如需相關資訊,請參閱 調整產生攻擊的作用中規則。 |
是否已更新建置區塊?
QRadar 使用建置區塊來調整系統並容許啟用更多相關性規則。 這可以減少 QRadar 偵測到的誤判數目,並且有助於識別商業重要資產。
檢閱建置區塊
如需相關資訊,請參閱 檢閱建置區塊。
| 建置區塊檢查 | 考量事項 |
|---|---|
| 授權伺服器 | 可以將已授權的基礎架構伺服器新增至選取的建置區塊。 QRadar 會監視這些伺服器並同時抑制特定於該伺服器種類的誤判。 |
| 探索伺服器 | 伺服器探索功能會使用「 QRadar SIEM 資產設定檔」資料庫,根據埠定義來探索不同的伺服器類型。 如需相關資訊,請參閱 探索伺服器。 |
| 是否已更新網路階層? | 應該完整配置 QRadar Network Topology,並且同步化所有事件/流程時間戳記以提供事件的適當環境定義。 對具有「本端至遠端」及「遠端至本端」環境定義的事件進行資料發掘以擷取可觀察項。 也使用「本端至本端」環境定義事件中諸如雜湊及病毒名稱之類的欄位。 如需相關資訊,請參閱 檢閱網路階層。 |
資料來源
檢閱原始及正規化事件
QRadar 可以調查以滿足使用案例的所有資料來源都在調查中且運作正常(包括擷取自訂內容)。 檢閱原始有效負載及正規化事件以瞭解是否可以使用「擷取內容」或「DSM 編輯器」來擷取屬於潛在可觀察項的欄位。 如需相關資訊,請參閱 DSM 配置手冊。
連線功能
QRadar 主控台需要網際網路存取權才能使用 QRadar Advisor with Watson。
使用防火墻/Proxy 限制存取
- 埠:443 (SSL)
- IP 位址:
- 104.16.55.23
- 104.16.54.23
- Cloudflare- https://www.cloudflare.com/ips
- 網域:api.xforce.ibmcloud.com
最佳實務日誌來源及可觀察項
優先順序 1 日誌來源(資訊的最佳來源)
- Proxy – 目的地 IP(外部)、URL、網域、使用者代理程式
- 防火牆 – 來源 IP(外部)、目的地 IP(外部)
- 防病毒 – 檔案雜湊、防病毒簽章、檔名
- 郵件閘道 – 來源 IP(外部)、檔案雜湊、網域、電子郵件位址
- 使用者登入(RADIUS、LDAP)– 來源 IP(外部)、網域
- 端點 – 檔案雜湊、檔名、URL
- DNS – 來源 IP(外部)、目的地 IP(外部)、網域
優先順序 2 日誌來源
- DHCP
- 來源 IP(外部)
- 網域
- IDS
- 來源 IP(外部)
- 目的地 IP(外部)
- 網域
- 使用者代理程式
- URL
- 檔案雜湊
- 檔案名稱
- Windows
- 網域
- 檔案名稱
- 來源 IP(外部)
- 目的地 IP(外部)
| Watson 內容 (可觀察項) | NGFW/FW | Proxy | AV/端點 | HIDS | DNS | DLP | SMTP 閘道 | QRadar |
|---|---|---|---|---|---|---|---|---|
| 公用 IP | X | X | X | X | X | X | X | |
| URL | X | X | X | |||||
| 網域名稱 | X | X | X | |||||
| 檔案雜湊 | X | X | X | X | ||||
| QRadar Advisor with Watson 應用程式內容 (未傳送至 Watson,但應用程式可以使用它們) | ||||||||
| 目的地埠 | X | |||||||
| 使用者代理程式 | X | X | ||||||
| 電子郵件位址 | X | X | ||||||
| 檔案名稱 | X | X | X | |||||
| 來源埠 | X | |||||||
| 來源/目的地 ASN | X | X | ||||||
| 來源/目的地國家或地區 | X | |||||||
| 高/低層次種類 | X | |||||||
| 方向/環境定義 | X | |||||||
| 使用者名稱 | X | X | X | X | ||||
針對 QRadar Advisor with Watson 使用案例建議的「研究」
- 從參照檔案雜湊(惡意軟體事件)的優先順序 1 或 2 事件日誌觸發的攻擊。
- 從優先順序 1 或 2 中包含可觀察項組合(IP、網域、惡意探索)(可疑活動)的事件觸發的攻擊