QRadar: パフォーマンスの問題とサポート・ポリシーについて

Question & Answer

Question

この技術書では、 QRadar サポート・ポリシーについて管理者に通知します。 QRadar サポートは、管理者がパフォーマンスに関連するソフトウェア障害を調査および修正するために支援します。この文書は、ユーザーが生成したコンテンツがパフォーマンスに影響を与える可能性があるサポート・ケースの範囲外の作業について概説します。

Answer

重要: パフォーマンス支援のポリシーを読むには、タブを選択してください。

有効なサポート契約を結んでいるユーザーを対象に、QRadar のパフォーマンス問題の診断及びテクニカル・ヘルプを必要とされる管理者を支援します。QRadar テクニカル・サポート・チームは、すべてのパフォーマンス問題を調査します。パフォーマンス問題の原因が、DSM エディタでの正規表現のパフォーマンス低下、ルールやビルディング・ブロックのチューニング、オフェンス・パフォーマンスなど、システム構成の不備にあると判断された場合は、サポート・チームが原因の特定を支援します。

サポート・ケースにおける QRadar パフォーマンス支援

管理者は、ページ上部のタブを確認して、ログ・ソース、カスタム・プロパティ、またはルール・パフォーマンス・サポートの支援の詳細を確認できます。 QRadar テクニカル・サポート・チームは、次のようなエラー、質問、およびパフォーマンスの問題について管理者を支援できます。

システム通知とドキュメントの解釈。
サポートされているバージョンの管理者向けのトラブルシューティング。
ログとエラーを分析して、パフォーマンスの問題が発生する場所を特定します。下記を含みます。：
- 解析パフォーマンスとログ・ソース構成の検証。
- イベントが期待どおりに解析されない理由の特定。
- パフォーマンスの問題があるカスタム・プロパティの特定。
- 検索パフォーマンスに関連する問題の特定。
- 管理者が期待どおりにルールがトリガーされない理由の特定。
管理者がイベント・ソースをチューニングまたは更新した後の問題に対する確認。

パフォーマンス問題におけるサポート対象外のタスク

QRadar は非常に柔軟な性質を持っているため、効果的な更新計画を策定するには、ユースケース、環境、および全体的なセキュリティー戦略を深く理解することが重要です。QRadar を初めて使用する管理者、またはカスタム・ログ・ソース開発、カスタム・プロパティーのパフォーマンス、チューニング・ルール、またはセキュリティーのユース・ケースについて支援が必要な管理者は、IBM Security Expert Labs チームに連絡して、QRadar 技術サポートの範囲外のパフォーマンス問題について話し合うことができます。次のアクティビティは、テクニカル・サポートのケースの範囲外と見なされます。

DSM エディターで管理者用のカスタム・ログ・ソース・タイプの作成。
正規表現の記述とチューニング。
大量のオフェンスが発生している場合のシステム・チューニング。
誤検知が生成されるシステム・チューニング。
組織のセキュリティ・ポリシーのためのルール・チューニング。
ルール・テンプレートまたは、ルールの計画と検証のためのアクティビティの作成、維持、更新。
通常の更新作業中の専属サポートの提供。（オンライン状態での作業の同席）
更新後のシステム・ヘルス・チェックまたはパフォーマンス・チェックの実施。

IBM Security Expert Labs に連絡してください

ログ・ソースと解析パフォーマンスのテクニカル・サポート

QRadar には、受信イベントを解析して分類する DSM の豊富なリストがあります。QRadar のテクニカル・サポート・チームは、管理者が潜在的な解析やパフォーマンスの問題を特定して絞り込むためのお手伝いをします。

サポート・タイプ	説明	責任
ログ・ソースのエラーと調査	QRadar のテクニカル・サポートでは、管理者が潜在的なログ・ソースのパフォーマンスの問題を識別して絞り込むのを支援できます。管理者は、QRadar テクニカル・サポートを利用して次のことができます。公式にサポートされているデバイス・サポート・モジュール（ DSM ）の構成エラーの調査。 IBM 公式 DSM のリストについては、 QRadar DSM 構成ガイドを参照してください。ラボ・システムでイベントを再生した、解析エラーの原因確認。たとえば、IBM 公式 DSM を使用して"保存"となるイベントや"不明"となるイベントなど。自動更新が実行され、最新の DSM バージョンがインストールされていることの確認。リモート・イベント・ソースがデータを送信し、QRadar アプライアンスがイベント・データを受信することの確認。イベント・パイプラインに入る前に、イベントがディスクにバッファリングされる理由の特定。ログ・ソース管理アプリケーションのエラーまたはその問題判別。 IBM QRadar Identifier（ QID ）マップでイベントの説明、重大度、またはカテゴリーを改善できる場合は、イベントの分類について管理者と話し合ってください。注: テクニカル・サポート・チームは、ログ・ソースがソフトウェアのパフォーマンス低下を引き起こす場合、管理者によって作成されたカスタム・ログ・ソース・タイプを無効にすることを推奨する場合があります。	QRadar テクニカル・サポートケースを開くか、ログ・ソース・エラーを報告するには、QRadar テクニカル・サポートに連絡してください。
ログ・ソース・チューニング	管理者は、DSM エディターで作成されたカスタム・ログ・ソース・タイプに対して責任を負います。ログ・ソースの変更またはパフォーマンス・チューニングの支援は、IBM Security Expert Labs によって提供されます。次のアクティビティは、テクニカル・サポートの範囲外と見なされます。管理者用の DSM エディターでカスタム・ログ・ソース・タイプの作成。カスタム・プロトコル、文書化されていないプロトコルからのイベント・データまたは、QRadar DSM 構成ガイドにリストされていない統合に関するユーザーへのアドバイス。カスタム・ログ・ソースタイプのカスタム QID 作成。たとえば、ユーザーが生成した QID のイベントの説明を記述したり、重大度やカテゴリについてアドバイスしたりします。カスタム・ログ・ソース・タイプから多数の不明なイベントのマップ。カスタム・ログ・ソース・タイプ、イベント、または MITRE ATT&CK カバレッジのセキュリティ・ポリシーに関するアドバイス提供。	IBM Security Expert Labs

カスタム・プロパティのパフォーマンスに関するテクニカル・サポート

カスタム・プロパティーは、公式にサポートされている DSM や、アプリケーションで QRadar に追加されるか、管理者によって作成されます。カスタム・プロパティは、イベント・ペイロードから特定のデータを解析して、ユーザー・インターフェイスに PropertyName（ Custom ）として情報を表示します。カスタム・プロパティは、ルール・テスト、検索、レポート、またはダッシュボードで使用できます。

サポート・タイプ	説明	責任
カスタム・プロパティ調査と分析	QRadar テクニカル・サポートは、管理者が潜在的なカスタム・イベント・プロパティーの問題を識別して絞り込むのを支援できます。管理者は、QRadar テクニカル・サポートを利用して次のことができます。カスタム・プロパティ・エラーに関連するログとシステム通知の確認。カスタム・プロパティが指定されたログ・ソース・タイプに割り当てられていることの確認。リソースを浪費するカスタム・プロパティの調査と特定。これには、データがストレージにルーティングされる原因となる可能性のある、パフォーマンスの低いカスタム・プロパティの決定が含まれます。有効なカスタム・プロパティの数を確認した上でのサービス影響判断。カスタム・プロパティが期待される検索結果を返すことの確認。問題を確認し、公式にサポートされている DSM または IBM アプリケーションで提供される IBM 作成のカスタム・プロパティーのサポート提供。	QRadar テクニカル・サポートケースを開くか、カスタム・プロパティー・エラーを報告するには、QRadar テクニカル・サポートに連絡してください。
パフォーマンス、チューニング、カスタム・プロパティ管理	管理者は、ユーザーが生成したカスタム・プロパティ、更新、およびセキュリティ・ポリシーに対して責任を負います。カスタム・プロパティーのセキュリティー・ポリシーおよびユース・ケースの適用範囲に関する支援については、IBM Security Expert Labs に連絡して支援を求めてください。次のアクティビティは、テクニカル・サポートの範囲外と見なされます。ユーザーが生成したログ・ソース・タイプまたはイベント・データのカスタム統合用のカスタム・プロパティの作成。カスタム・プロパティでユーザーが生成した正規表現の作成またはチューニング。ユーザーが生成した検索、ルール、またはレポートに含まれるカスタム・プロパティのチューニング。複数のログ・ソースまたはドメインに対して、ユーザーが生成したカスタム・プロパティの統合。カスタム・プロパティの完全なセキュリティ評価。	管理者 IBM Security Expert Labs

ルールのパフォーマンス

IBM は、デプロイメント全体でインシデントの可視性を高めるためのさまざまなカスタム・ルールと、ビルディング・ブロックを作成して提供しています。 QRadar 技術サポートは、イベントをストレージにルーティングする高負荷なルール、イベントをディスクにバッファーするパフォーマンスの問題、および一般的なルールまたはオフェンスの問題について管理者を支援します。

サポート・タイプ	説明	責任
ルール調査	QRadar テクニカル・サポートは、管理者が潜在的なルールの問題を識別して絞り込むのを支援できます。管理者は、QRadar テクニカル・サポートを利用して次のことができます。ルールに関連するログとシステム通知の確認。ルールと個々のルールテストに関連する既知の問題とソフトウェアの不具合の特定。 IBM が生成したルールとビルディング・ブロックに関連する問題の調査及び確認。遅い（高負荷な）ルールに関連するパフォーマンスの問題の特定。期待どおりにトリガーされないルール応答の調査と確認。ログ・アクティビティとオフェンス検索で頻繁に発生するルールの特定。お客様の環境での有効状態のルールの数と、それらが IBM かユーザー生成であるかの特定。管理者に対する、パフォーマンスまたはオフェンス・モデルの問題を引き起こすユーザー生成ルールの無効化作業の支援。管理者に対する、IBM が開発したコンテンツ・パックに関連するルールの削除支援。注: QRadar 技術サポートは、アプライアンスでパフォーマンスの問題を引き起こす 5 つを超えるユーザー生成ルールが識別された場合に、ユーザーを IBM Security Expert Labs に誘導する権利を留保します。テクニカル・サポートは、アプライアンスのパフォーマンスへの影響を減らすために、高負荷なルールを無効にすることを推奨できます。	QRadar サポートケースを開くか、ルール・エラーを報告するには、QRadar テクニカル・サポートに連絡してください。
ルールのチューニングとユースケース	管理者は、ユーザーが変更したルール、更新、およびセキュリティ・ポリシーに責任を負います。誤検知を減らすためのルールの修正やルールのチューニングの支援については、IBM Security Expert Labs に連絡して、セキュリティ・ポリシーやユース・ケースの適用範囲についての支援を受けることができます。次のアクティビティは、テクニカル・サポートの範囲外と見なされます。特定のユース・ケースまたはセキュリティ・ポリシーのカスタム・ルールの作成または変更。管理者がユーザーが生成したルールやビルディング・ブロックをチューニングすることへの支援。組織のニーズに基づいたヘルス・チェックとメンテナンス・スケジュールのルール化。ビジネス・パートナー・アプリケーションで追加されたルールのチューニング。ルールまたはビルディング・ブロックの監査支援。	管理者 IBM Security Expert Labs

Related Information

QRadar: Performance issues and support policies

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Tips