How To
Summary
QRadar を構成して頻繁にオフェンスを生成するお客様もいれば、高度にチューニングして 1 日に数件のオフェンスを生成するお客様もいます。この技術文書では、システムが正常であり、新しいイベントやフロー情報でオフェンスを更新していることを迅速に確認する方法について説明します。
Environment
QRadar は、判定機能 (MPC) コンポーネントを使用してオフェンスを作成します。判定機能は QRadar コンソール上に存在し、有効なルールと、デプロイメント内の他の複数のイベント・プロセッサー (EP) から受信するイベント通知の関連付けを担当します。
判定機能には、少なくとも 1 つのイベント・プロセッサー (ecs-ep) が必要です。コンソールには ecs-ep サービスが含まれており、または判定機能は任意の追加数の個別のイベント・プロセッサー・アプライアンスからデータを受信することができます。
判定機能は、以下のコンポーネントで構成されています:
- オフェンス・ルール - QRadar で定義されたルールに基づいて、イベントのオフェンスを生成します。
- オフェンスの管理 - 以前に作成されたオフェンスに一致する新規イベントが発生した場合、オフェンスを更新します。
- オフェンスのストレージ - Postgres の オフェンス・テーブル内にオフェンスを保存します。
これらの 3 つのコンポーネントが同時に機能して、オフェンスの更新が必要か、または新たなオフェンスが必要かを判断します。有効なルールがすべてのテストを True に一致させ、ルール・アクションがオフェンスを生成するように構成されている場合、新しいオフェンスが生成されます。
ユーザー・インターフェースでオフェンスの更新を確認する方法
- 「オフェンス」タブをクリックします。
- 「最後のイベント/フロー」の列をクリックすると、最新の更新でオフェンスを並べ替えることができます。
- 新しく追加されたイベントまたはフローは、システムが正常であり、アクティブなオフェンスを更新していることを示します。
コマンド・ラインを使用してオフェンスの更新を確認する方法
- root ユーザーとして QRadar コンソールにログインします。
- /var/log ディレクトリーに移動します。
- 最近のオフェンスに関する情報を表示するには、次のコマンドのいずれかを選択します:
-
grep MPC qradar.log | grep Processed| tail -n1
-
grep MPC qradar.log | grep Scheduling| tail -n1
結果
オフェンスがアクティブに生成されている場合、MPC からの処理済みまたはスケジュールされたオフェンスの詳細が、1 分ごとに qradar.log にメッセージとして投稿されます。オフェンスの結果がゼロ以外のものが出力されることがありますので、注意してください。値は、オフェンスがイベントまたはフローからより多くの情報を受信すると更新されます。
Additional Information
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwthAAA","label":"Offenses"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
26 April 2022
UID
ibm16569877