Question & Answer
Question
ユーザーが追加または削除されたときに検出するルールを作成する方法はありますか?
Answer
この問題を解決するには:
QID : 28250067 には、新しく追加された QRadar ユーザー・アカウントに関するすべての情報が含まれています。
QRadar はコンソール上で行われたすべての変更について、監査イベント( SIM Audit-2 イベント)を作成します。
- QRadar ユーザー・インターフェースにログインします。
- 「ログ・アクティビティー」タブをクリックします。
- 「フィルターの追加」をクリックします。
- パラメーターから「 QID [索引付き] 」を選択します。
- 下記のイベント QID を入力し、「フィルターの追加」をクリックします。 ===================================QID : 28250067イベント名: 追加されたユーザー・アカウント
===================================
QID : 28250067 には、新しく追加された QRadar ユーザー・アカウントに関するすべての情報が含まれています。
ルール・ウィザードを使用して、このイベント QID を検索し、「オフェンス E メール」としてレスポンスを持つ
イベント・ルールを作成できます。
※ルール・ウィザードを開く手順
- 「オフェンス」タブをクリックします。
- 左側のメニューから「ルール」をクリックします。
- 「アクション」のプルダウンをクリックし、「新規イベント・ルール」を選択します。
同様に、ユーザー・アカウントが削除・変更された場合も、下記の QID でフィルターを追加後にイベントが発生します。
===================================
QID : 28250068
イベント名: 追加されたユーザー・アカウント
===================================
===================================
ルールの作成の詳細については、IBM Knowledge Center の下記リンクをご参照ください。
Related Information
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Rules","Platform":[{"code":"PF016","label":"Linux"}],"Version":"Version Independent","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
08 April 2020
UID
ibm10880673