Question & Answer
Question
イベントのペイロード情報に送信元 IP または宛先 IP がない場合、どのように判断するのですか?
Cause
イベント・ソースは、SSH ログイン・イベントのような、送信元 または宛先 IP アドレスを含まないイベントを QRadar に送信します。このイベント・タイプは、送信元 IP アドレスのみを含み、宛先 IP アドレスは含まれません。
- 例:
<83>Jul 8 16:10:08 10.10.10.10 sshd[1004]: error: PAM: Authentication failure for user1 from 10.10.10.20
Answer
QRadar は、イベント・データを受信して処理するときに、送信元 IP と宛先 IP フィールドに IP アドレスを割り当てる必要があります。 QRadar は、以下の場所を検索して、使用する IP アドレスを次の順序で決定します。
例:
上記の例では、Cisco PIX ファイアウォール・イベントがあります。 ここには示されていませんが、このパケットの送信元 IP は中央の Syslog サーバーのものです。 中央の Syslog サーバーの IP アドレスは 10.10.10.5 です。 QRadar は、パケットの送信元 IP を使用して、最初に送信元 IP フィールドと宛先 IP フィールドの両方を 10.10.10.5 に設定します。
通常、Cisco PIX ファイアウォール メッセージには標準の Syslog ヘッダーは含まれませんが、Syslog サーバーの管理者は、新しい Syslog ヘッダーをイベントの先頭に追加するようにサーバーを構成しました。 集中型 syslog サーバの管理者は、先頭に追加された syslog ヘッダーのホスト名フィールドを Cisco PIX ファイアウォールの IP アドレスとして設定しました。 これは、上記の例では 10.10.10.2 として表示されます。 Syslog ヘッダーが使用可能であり、ホスト名フィールドに IP アドレスが含まれているため、QRadar は送信元 IP フィールドと宛先 IP フィールドをこの IP アドレスに設定するようになりました。
次に QRadar は、イベントのペイロード情報から IP アドレス・フィールドを解析します (存在する場合)。 上記の例では、送信元 IP が 10.10.10.113 であることがわかります。 上記の例では、宛先アドレスが < PUBLIC IP ADDRESS > であることも確認できます。 この場合、おそらくリモート Web サーバーである可能性が高いといえます。
注: テキストベースのホスト名ではなく、IP アドレスを含む、適切にフォーマットされた完全な Syslog ヘッダーを含めるようにログ・ソースを構成します。
- ペイロード情報の IP アドレス・フィールド
すべてのイベントに IP アドレス・フィールドが含まれているわけではないため、より詳細な IP アドレス情報を利用できるかどうかは、イベント自体を含む各ログ・ソース・タイプによって異なります。 送信元 IP アドレスが利用可能な場合、送信元 IP フィールドはこの情報で更新されます。 送信元 IP 情報が利用できない場合は、このリストの次の 2 つのオプションのいずれかに概説されている IP を使用します。 宛先 IP 情報についても同様です。 宛先情報が利用できない場合は、IP が利用可能な場合は Syslog ホスト名フィールドとして設定されたままになり、そうでない場合はパケットの送信元として設定されたままになります。
- Syslog ヘッダーのホスト名フィールド
QRadarは、Syslog ヘッダーのホスト名フィールドに IP アドレスがある場合、それを探します。
注: すべての Syslog ソースが適切なヘッダーを使用しているわけではありません。
IP アドレスが見つかった場合、送信元 IP フィールドと宛先 IP フィールドがこの IP アドレスで更新されます。 ホスト名フィールドにテキスト形式のホスト名が含まれている場合、それは使用されません。 QRadar はホスト名で DNS ルックアップを実行しません。これは、イベントごとに実行するには時間がかかりすぎ、パイプラインのスループット容量に影響を与えるためです。 - QRadarが受信したイベントのパケットの送信元 IP アドレス
送信元 IP フィールドと 宛先 IP フィールドには、パケット自体の送信元 IP アドレスが設定されます。 このデバイスは、QRadar にデータを送信したデバイスです。 イベントを QRadar に転送するために既存の一元化された Syslog サーバーを使用している場合、Syslog サーバーの IP アドレスが「送信元 IP」フィールドと「宛先 IP」フィールドに表示されることがよくあります。
この問題を回避する最善の方法は、次のいずれかを実行することです。:
- ログ・ソース・デバイスを設定して、Syslog を直接 QRadar に送信するようにします。
- 最初の Syslog ヘッダーを保持し、Syslog ヘッダーのホスト名フィールドで IP アドレスを送信するように元のデバイスを構成します。
- Syslog サーバーを再構成して、QRadar に転送するイベントの先頭に新しい Syslog ヘッダーを追加し、ホスト名ヘッダー・フィールドに発信元デバイスの IP アドレスを指定します。
例:
<182>Dec 15 10:56:58 10.10.10.2 - Aug 15 2015 10:56:57: %PIX-5-304001: 10.10.10.113 Accessed URL <PUBLIC IP ADDRESS>:/rss20.xml上記の例では、Cisco PIX ファイアウォール・イベントがあります。 ここには示されていませんが、このパケットの送信元 IP は中央の Syslog サーバーのものです。 中央の Syslog サーバーの IP アドレスは 10.10.10.5 です。 QRadar は、パケットの送信元 IP を使用して、最初に送信元 IP フィールドと宛先 IP フィールドの両方を 10.10.10.5 に設定します。
通常、Cisco PIX ファイアウォール メッセージには標準の Syslog ヘッダーは含まれませんが、Syslog サーバーの管理者は、新しい Syslog ヘッダーをイベントの先頭に追加するようにサーバーを構成しました。 集中型 syslog サーバの管理者は、先頭に追加された syslog ヘッダーのホスト名フィールドを Cisco PIX ファイアウォールの IP アドレスとして設定しました。 これは、上記の例では 10.10.10.2 として表示されます。 Syslog ヘッダーが使用可能であり、ホスト名フィールドに IP アドレスが含まれているため、QRadar は送信元 IP フィールドと宛先 IP フィールドをこの IP アドレスに設定するようになりました。
次に QRadar は、イベントのペイロード情報から IP アドレス・フィールドを解析します (存在する場合)。 上記の例では、送信元 IP が 10.10.10.113 であることがわかります。 上記の例では、宛先アドレスが < PUBLIC IP ADDRESS > であることも確認できます。 この場合、おそらくリモート Web サーバーである可能性が高いといえます。
注: テキストベースのホスト名ではなく、IP アドレスを含む、適切にフォーマットされた完全な Syslog ヘッダーを含めるようにログ・ソースを構成します。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtEAAQ","label":"Log Activity"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3.3;7.4.0;7.4.1;7.4.2;7.4.3;7.5.0"}]
Was this topic helpful?
Document Information
Modified date:
28 December 2022
UID
ibm16837553