JSA 规则和违规
使用自定义规则引擎 (CRE) 中定义的配置规则生成攻击。
以下列表介绍了规则和违规:
CRE --自定义规则引擎 (CRE) 显示 JSA 使用的规则和构建块。规则和构建块存储在两个单独的列表中,因为它们的功能不同。CRE 提供有关规则的分组方式、规则执行的测试类型以及每个规则生成的响应的信息。有关规则和违规的更多信息,请参阅 《瞻博网络安全分析用户指南》。
规则 --规则是在满足特定条件时触发操作的测试集合。每个规则都可以配置为捕获特定事件、事件序列、流序列或攻击并做出响应。可以触发的操作包括发送电子邮件或生成系统日志消息。规则可以使用 规则编辑器中测试组功能部分中的测试引用多个构建块。
攻击 --当事件和流数据通过 CRE 时,它与配置的规则相关联,并且可以根据此关联生成攻击。您可以在“攻击”选项卡中查看“攻击”。
使用 QRadar 用例管理器查看您的规则和违规。从 IBM Security App Exchange 下载应用程序。
查看已部署的规则
您可以查看 在 JSA 部署中部署的规则。例如,您可以确定哪些规则在生成攻击时最活跃。
单击 “攻击 ”选项卡。
在导航菜单上,单击 规则。
要确定哪些规则在生成违规时最主动,请在规则页面上单击 “违规计数 ”,以按降序重新排序列。
双击任何规则以显示 规则向导。您可以为每个规则配置一个响应。
注意:有关 CRE 配置的更多信息,请参阅 《瞻博网络安全分析用户指南》。
使用 QRadar 用例管理器调整创建攻击的最活跃规则,并调整生成 CRE 事件的规则。从 IBM Security App Exchange 下载应用程序。
调查违规
JSA 通过测试事件和流条件生成攻击。要调查 JSA 违规,您必须查看创建攻击的规则。
单击 “攻击 ”选项卡。
在导航菜单上,单击 所有攻击。
双击您感兴趣的攻击。
在“ 所有犯罪摘要 ”工具条上,单击“ 显示>Rules”。
在“ 影响违规的规则列表 ”面板中,双击您感兴趣的 规则名称 。
提示:如果 JSA 生成的违规由一系列不同的测试触发,则“所有违规规则”窗格可能会显示多个规则名称。
有关调查违规行为的更多信息,请参阅 《瞻博网络安全分析用户指南》。
使用 QRadar 用例管理器应用程序调整会引发攻击的最活跃规则。通过 IBM Security 应用程序交换下载应用程序。
将自定义规则或构建块映射到 MITRE ATT&CK 策略
使用 QRadar 用例管理器创建您自己的规则和构建块映射,或修改 JSA 默认映射,以将自定义规则和构建块映射到特定的策略和技术。
在 “规则浏览器” 页面的报告部分中,选择相关规则。
提示:筛选规则名称、策略或技术,以查找要编辑或使用正则表达式搜索的规则。您还可以使用 组 过滤器选择要搜索的组,例如身份验证或合规性。
在 调查规则 页面上,单击 MITRE ATT&CK 部分中的铅笔图标。
在 MITRE ATT&CK 映射 页面上,通过添加新战术或编辑现有战术来自定义规则映射选项。
提示:MITRE ATT&CK 映射页面仅显示与规则直接相关的映射。您可以在“调查规则”页面或规则浏览器报告中的规则详细信息部分看到规则继承自其依赖项的映射。使用报告中的映射源列或规则详细信息页面的 MITRE ATT&CK 部分查看规则与其映射之间的关系。或者,如果您为 IBM Security App Exchange 创建内容扩展,并希望在其中映射规则,请导出映射并在提交内容时上传这些映射。
要通过规则或构建块添加或移除战术,请单击加号图标,选择相关战术,然后单击 “应用”。
要添加或移除战术技术,请单击该战术的加号图标,选择相关技术,然后单击“ 应用”。
要把战术和技术包含在热图计算中,请保持选中 “启用 ”复选框。
选择每种策略的置信水平,然后单击“保存”。您必须设置置信水平;否则将无法保存映射
要重置为默认映射,请单击“战术”或“技术”列中的重置图标。
自定义映射后,单击 保存 或 保存并关闭 以返回 调查规则 页面。
要刷新报告以查看更新的内容,请单击“过滤器”面板中的“应用”。