カスタム・ルールの作成

IBM® QRadar® には、過度なファイアウォールでの拒否、複数のログイン試行失敗、潜在的なボットネット・アクティビティーなど、広範囲のアクティビティーを検出するルールが備わっています。 また、異常なアクティビティーを検出する独自のルールを作成することができます。

始める前に

新規ルールを作成する前に、「オフェンス」 > 「カスタム・ルールの保守」権限が必要です。

このタスクについて

ルール・テストを定義するときには、テストの対象となるデータをできるだけ小さくします。 このようにテストすると、ルール・テストのパフォーマンスが向上し、高負荷のルールを作成しないで済みます。 パフォーマンスを最適化するには、一般的なカテゴリーから開始して、ルール・テストによって評価されるデータを絞り込みます。 例えば、特定のログ・ソース・タイプ、ネットワーク・ロケーション、フロー・ソース、またはコンテキスト (R2L、L2R、L2L) に対するルール・テストから開始します。 中位のテストでは、IP アドレス、ポート・トラフィック、またはその他の関連するテストが含まれることがあります。 ルールでは、ペイロードおよび正規表現式を最後にテストする必要があります。

似ているルールは、カテゴリーによってグループ化されます。 例えば、監査、エクスプロイト、DDoS、スキャン行為などです。 項目をグループから削除した場合、 ルールまたはビルディング・ブロックはグループから削除されるだけです。 つまり、それらは「ルール」ページでは引き続き使用できます。 グループを削除しても、そのグループのルールやビルディング・ブロックは引き続き「ルール」ページで使用可能です。

手順

  1. 「オフェンス」から、「ログ・アクティビティー」タブまたは「ネットワーク・アクティビティー」タブを選択し、「ルール」をクリックします。
  2. 「表示」リストで「ルール」を選択し、新規ルールを作成します。
  3. オプション: 「表示」リストで「ビルディング・ブロック」を選択し、ビルディング・ブロックを使用して新規ルールを作成します。
  4. 「アクション」リストから、ルール・タイプを選択します。

    各ルール・タイプは、さまざまなソースからの入力データに対してリアルタイムでテストされます。 例えば、イベント・ルールは、入力ログ・ソース・データをテストします。オフェンス・ルールは、オフェンスのパラメーターをテストして、より多くの応答をトリガーします。

  5. ルール・ウィザード 」ウィンドウで、「 この規則ウィザードの実行時にこのページをスキップする 」チェック・ボックスを選択し、「 」をクリックします。
    この規則ウィザードの実行時にこのページをスキップする 」チェック・ボックスを選択すると、開始するたびに「 ようこそ 」ページが表示されません。
  6. 「ルール・テスト・スタック・エディター」ページの「ルール」ペインで、「適用」テキスト・ボックスに、このルールに割り当てる固有の名前を入力します。
  7. リスト・ボックスから、「ローカル (Local)」または「グローバル (Global)」を選択します。
    • 「ローカル」を選択すると、すべてのルールは受信されたイベント・プロセッサー (Event Processor) で処理され、ローカルで処理されたイベントに対してのみオフェンスが作成されます。
    • 「グローバル」を選択すると、一致するすべてのイベントが処理のために QRadar コンソールに送信されるため、QRadar コンソールはより多くの帯域幅と処理リソースを使用します。
    ローカル・ルールおよびグローバル・ルールの詳細:
    グローバル・ルール・テスト
    ユーザーからのイベントが複数のイベント・プロセッサーに表示される「複数ユーザー・ログイン失敗」などを検出するには、グローバル・ルールを使用します。 例えば、同じユーザー名から 10 分間に 5 回のログイン失敗というルールを構成し、「ローカル」ルールと設定したとすると、これらの 5 回のログイン失敗は同じイベント・プロセッサー (Event Processor) 上に表示されます。 つまり 3 回のログイン失敗が イベント・プロセッサー (Event Processor) で、2 回が別で表示された場合、オフェンスは作成されません。 しかしルールを「グローバル」に設定しておくと、オフェンスが作成されます。
  8. 「テスト・グループ」リストから、このルールに追加する 1 つ以上のテストを選択します。 CRE は、ルール・テストを行単位で順番に評価します。 最初のテストが評価され、true である場合は、次の行が評価されます。以下同様に、最終テストに到達するまで続行されます。
    新規イベント・ルールの イベントがこの AQL フィルター照会と一致する場合 テストを選択したい場合は、追加 (+) アイコンをクリックします。 「 規則 」ペインで、「 これ 」をクリックして、「 AQL フィルター照会の入力 」テキスト・ボックスに AQL WHERE 節照会を入力します。
    イベントが検出されない場合にルールを使用する方法の詳細:

    以下の場合のルール・テストは個別にトリガーできますが、同じルール・テスト・スタック内のルール・テストには作用しません。

    • この秒数の間、これらのログ・ソース・タイプの 1 つ以上によってイベントが検出されなかった場合 (when the event(s) have not been detected by one or more of these log source types for this many seconds)
    • この秒数の間、これらのログ・ソースの 1 つ以上によってイベントが検出されなかった場合 (when the event(s) have not been detected by one or more of these log sources for this many seconds)
    • この秒数の間、これらのログ・ソース・グループの 1 つ以上によってイベントが検出されなかった場合 (when the event(s) have not been detected by one or more of these log source groups for this many seconds)

    これらのルール・テストは受信イベントによってはアクティブ化されませんが、代わりに、構成済みの特定の時間間隔の間に特定のイベントが検出されなかった場合にアクティブ化されます。 QRadar は、イベントが最後に検出された時刻 (最終確認時刻) を定期的に照会する監視タスク を使用して、ログ・ソースごとに、イベントのこの時刻を保管します。 ルールがトリガーされるのは、この最終確認時刻と現在時刻の差が、ルールに構成された秒数を超えたときです。

  9. 構成したルールを他のルールと共に使用するためにビルディング・ブロックとしてエクスポートするには、「ビルディング・ブロックとしてエクスポート」をクリックします。
  10. 「ルールの応答 (Rule Responses)」ページで、このルールに生成させる応答を構成します。
    ルールの応答ページのパラメーターに関する詳細:
    表 1. 「イベント」、「フロー」、「共通ルール」、および「オフェンス・ルールの応答 (Offense Rule Response)」ページのパラメーター
    パラメーター 説明
    以降のルール相関イベントをバイパス

    一致したイベントまたはフローではルール・エンジンにおける他のすべてのルールが強制的にバイパスされ、オフェンスの作成が防止されます。 このイベントは、検索およびレポートのためにストレージに書き込まれます。
    新規イベントのディスパッチ

    元のイベントまたはフローのほかに新規イベントをディスパッチする場合は、このチェック・ボックスを選択します。新規イベントは、システム内の他のすべてのイベントと同様に処理されます。

    元のイベントと共に新規イベントをディスパッチし、システム内の他のすべてのイベントと同様に処理されます。

    「新規イベントのディスパッチ (Dispatch New Event)」パラメーターは、このチェック・ボックスを選択した場合に表示されます。 デフォルトでは、このチェック・ボックスはクリアされています。
    重大度 イベントに割り当てる重大度レベルであり、最低は 0、最高は 10 です。 この重大度は、イベント詳細の「注釈」ペインに表示されます。
    信頼性 ログ・ソースに割り当てる信頼性です。 例えば、そのログ・ソースはノイズが多いか、高コストであるかなどです。 範囲は 0 (最低) から 10 (最高) までで、デフォルトは 10 です。 この信頼性は、イベント詳細の「注釈」ペインに表示されます。
    関連性 アセットの重みに割り当てる関連性です。 例えば、そのアセットをどのくらい重視するかです。 範囲は 0 (最低) から 10 (最高) までで、デフォルトは 10 です。 この関連性は、イベント詳細の「注釈」ペインに表示されます。
    E メール 「E メールのロケール」設定を変更するには、 「管理」タブで「システム設定」を選択します。
    通知先の E メール・アドレスを入力 (Enter email addresses to notify) 複数の E メール・アドレスを指定する場合は、各アドレスをコンマで区切ってください。
    SNMP トラップ

    SNMP 通知 (トラップ) を送信するには、この機能を有効にします。

    SNMP トラップの出力には、MIB で定義されているシステム時刻、トラップ OID、通知データが含まれます。 MIB には、/opt/qradar/conf/Q1LABS-MIB.txt からアクセスできます。
    ローカル SysLog に送信

    イベントまたはフローをローカルにログに記録するには、このチェック・ボックスを選択します。

    デフォルトでは、このチェック・ボックスはクリアされています。

    注: ローカルのアプライアンスに記録できるのは、正規化イベントだけです。 生イベント・データを送信するには、「宛先転送に送信」オプションを使用して、データをリモートの syslog ホストに送信する必要があります。
    宛先転送に送信

    イベントまたはフローを宛先転送でログに記録するには、このチェック・ボックスを選択します。

    転送宛先とは、SIEM システム、チケット発行システム、アラート・システムなどのベンダー・システムです。 このチェック・ボックスを選択すると、転送宛先のリストが表示されます。

    転送宛先の追加、編集、削除を行うには、「宛先の管理」リンクをクリックします。
    通知

    このルールの結果として生成されたイベントを「ダッシュボード」タブの「システム通知」項目に表示します。

    通知を有効にする場合は、「応答リミッター」パラメーターを構成してください。
    リファレンス・セットに追加 (Add to Reference Set)

    このルールの結果として生成されたイベントをリファレンス・セットに追加します。 データをレファレンス・セットに追加するには、管理者である必要があります。

    データをリファレンス・セットに追加するには、以下のステップを実行します。

    1. 最初のリストから、追加するイベントまたはフローのプロパティーを選択します。
    2. 2 番目のリストから、指定されたデータの追加先となるリファレンス・セットを選択します。
    リファレンス・データに追加

    このルール応答を使用するには、リファレンス・データ収集を作成する必要があります。
    リファレンス・セットから削除 (Remove from Reference Set)

    このルールでデータをリファレンス・セットから削除する場合は、このチェック・ボックスを選択します。

    データをリファレンス・セットから削除するには、以下のようにします。

    1. 最初のリスト・ボックスから、削除するイベントまたはフローのプロパティーを選択します。 すべての正規化データまたはカスタム・データが、オプションとして表示されます。
    2. 2 番目のリスト・ボックスで、指定したデータを削除するリファレンス・セットを選択します。
    「リファレンス・セットから削除 (Remove from Reference Set)」ルール応答には、以下の機能が用意されています。
    最新表示
    最初のリスト・ボックスを最新表示して最新のリストを表示するには、「最新表示 (Refresh)」をクリックします。
    リファレンス・データから削除

    このルール応答を使用するには、リファレンス・データ収集がある必要があります。
    カスタム・アクションの実行 ネットワーク・イベントに対する応答として特定のアクションを実行するスクリプトを作成できます。 例えば、何度もログインに失敗した場合にネットワークから特定の送信元 IP アドレスをブロックするファイアウォール・ルールを作成するためのスクリプトを作成できます。

    カスタム・アクションを追加して構成するには、「管理」タブの「アクションの定義」アイコンを使用します。
    IF-MAP サーバーでの公開 IF-MAP パラメーターが構成されてシステム設定にデプロイされている場合、IF-MAP サーバーに関するイベント情報を公開するには、このオプションを選択します。
    応答リミッター このルールの応答頻度を構成します。
    オフェンス名

    「イベント名」情報をオフェンスの名前に反映する場合は、「この情報を、オフェンスの名前に反映する」オプションを選択します。

    構成されている「イベント名」をオフェンスの名前にする場合は、「この情報で、オフェンスの名前を設定または置換する」オプションを選択します。
    注: このオプションでは、既存のオフェンスの名前は変更されません。 既存のオフェンスの名前を変更するには、オフェンス・ルール・オプション「この情報で、オフェンスの名前を設定または置換する」を使用する必要があります。

    SNMP 通知の例を以下に示します。

    "Wed Sep 28 12:20:57 GMT 2005, Custom Rule Engine Notification -
 Rule 'SNMPTRAPTst' Fired. 172.16.20.98:0 -> 172.16.60.75:0 1, Event Name:
 ICMP Destination Unreachable Communication with Destination Host is
 Administratively Prohibited, QID: 1000156, Category: 1014, Notes:
 Offense description"

    syslog 出力の例を以下に示します。

    Sep 28 12:39:01 localhost.localdomain ECS:
 Rule 'Name of Rule' Fired: 172.16.60.219:12642
 -> 172.16.210.126:6666 6, Event Name: SCAN SYN FIN, QID:
 1000398, Category: 1011, Notes: Event description

次のタスク

作成したルールをテストするには、ヒストリカル相関を実行します。

ビルディング・ブロックに基づいてイベントによってルール・テストがトリガーされることを確認するために、E メール応答を作成できます。 E メール通知の送信 を参照します。