Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

按属性筛选规则和构建基块

如果你想按MITRE ATT&CK战术进行过滤,你必须首先将你的规则映射到MITRE战术和技术。有关详细信息,请参阅 编辑规则或构建基块中的 MITRE 映射

通过过滤规则或构建基块的属性(如类型、原点、组等)来调整它们。还可以通过根据规则或构建基块的测试定义对其进行筛选来对其进行优化。例如,您可以添加仅匹配来自特定日志源的事件的测试。检查并改善您的 MITRE ATT&ck 覆盖范围,方法是根据规则与战术和技术的映射来过滤规则。

应用于规则的筛选器越多,获得的结果列表就越精细。 QRadar 用例管理器在一个筛选器组的选项中使用 OR 条件,并在多个筛选器组中使用 AND 条件。该规则的唯一例外是在“ 其他测试” 筛选器组中,其中 AND 条件用于该筛选器组的多个选项。也可以通过列选择功能(齿轮图标)将可以筛选的任何列添加到规则报告中。

选择筛选器时,未应用的筛选器标记将显示在“筛选器”行中,背景颜色较浅。应用滤镜后,标签将更改为较深的颜色背景。

  1. 在“用例资源管理器”页面上,从“规则属性”部分中的筛选器中进行选择。以下列表描述了可以筛选的一些规则属性以及如何使用它们:

    规则名称

    输入特定规则名称或使用正则表达式进行搜索。

    已启用规则

    启用或禁用相应的规则,以确保系统为您的环境生成有意义的攻击。

    规则类别

    在报表中按自定义或异常情况检测规则进行筛选。自定义规则对事件、流量和攻击执行测试,以检测网络中的异常活动。异常检测规则对保存的流量或事件搜索结果执行测试,作为检测网络中何时出现异常流量模式的方法。

    将规则或构建基块分类为组,以帮助您高效地查看和跟踪规则。例如,您可以查看与合规性相关的所有规则。选择特定组或单击 全选

    行动

    选择您希望规则在事件发生时执行的操作。

    响应

    选择您希望 QRadar 在触发规则时采取的响应。

    创建和修改日期

    使用日期筛选器查看上周更改的内容,或查看已修改的规则。修改日期显示已修改的规则,但不显示规则的修改内容。

    注意:

    输入特定注释或使用正则表达式搜索它。例如,您可以输入 ^$ 以查找包含空注释的规则,然后向注释添加信息。

    用户行为分析规则

    过滤规则是否与QRadar用户行为分析相关。仅当 QRadar 部署中安装了 QRadar 用户行为分析应用时,才会显示此筛选器。

    提示:

    要考虑与QRadar用户行为分析相关的规则,必须满足以下条件:

    • 必须在规则响应中选择“调度新事件”选项。
    • 用户行为分析风险评分必须在 QRadar 用例管理器的“规则详细信息”页面上设置。

    有关更多信息,请参阅 集成新的或现有的 QRadar 内容

  2. 从“规则活动”部分的筛选器中进行选择。QRadar 7.4.1 或更高版本支持筛选非活动规则。

    规则处于活动状态

    选择 “从不 ”以查看哪些规则自安装在 QRadar 中以来从未将事件分配给违规行为。

    规则未激活(时间范围)

    默认日期为过去一周的日期。更改时间段,或选择筛选自特定日期以来无效的规则。

  3. 从“ 规则测试 ”部分中的筛选器中进行选择。以下列表描述了一些可以筛选的规则测试:

    测试定义

    输入特定的测试定义或使用正则表达式搜索它。

    日志源类型

    如果规则直接引用日志源类型,或者引用映射到日志源类型的日志源、QID 或事件类别,则该规则与日志源类型相关。默认情况下,您只能看到 QRadar 环境中日志源使用的日志源类型。单击“ 显示所有 类型”以查看可直接在测试中使用的日志源类型,或按 QID 或事件类别查看日志源类型。

    日志源

    当规则中使用测试引用的日志源时,规则与日志源相关。使用搜索筛选器查找要筛选的特定日志源,或单击 “全选” 筛选列表中的所有日志源。您可以按日志源名称或使用正则表达式进行筛选。当您的环境中有数十万个日志源时,这种类型的搜索非常有用。

    日志源组

    当规则中使用测试引用的日志源组中的日志源时,规则与日志源组相关。例如,可以选择传感器设备作为日志源组,并仅查看对属于传感器设备日志源组的日志源运行测试的规则。

    规则可以在单个域的上下文中工作,也可以在所有域的上下文中工作。如果环境中有多个域,则会将它们添加到筛选器列表中。使用此选项可按每个单独的域筛选多域环境中的域。

    要向规则报告添加网域列,请点击齿轮图标。向下滚动到窗口的“规则测试”部分,在“测试”选项列表中选择“”,然后单击“应用”。

    其他检查

    将鼠标悬停在每个复选框标签上可查看特定的规则测试。例如,搜索引用特定测试值的规则,例如“标识 IP 不为 0”之类的 IP。

    提示:

    • 若要仅标识源 IP 地址,请为“测试: IP”添加列,然后在“测试定义”字段中添加筛选器。

    • 如果您有多租户,请使用域测试来区分一个租户到另一个租户的规则。选择“域”筛选器,然后添加“域”列。

    • 如果要查找自定义属性或引用集,请使用预定义的模板。

    • 如果要查看已使用或未使用的日志源类型,请选择相应的筛选器。例如,按规则 划分的日志源覆盖率 模板基于测试显示与日志源类型相关的规则。假设您的环境中有 342 种日志源类型可用。若要仅查看当前使用的日志源类型(至少具有一个日志源的日志源类型)的规则,请选择 “日志源类型 - 已用 ”筛选器。
  4. MITRE ATT&CK 部分的过滤器中进行选择。以下选项可用于筛选:

    策略

    从列表中选择战术。例如,试图进入您网络的对手会使用初始访问策略。

    技术

    搜索技术及其子技术,或从列表中选择它们。这些技术经过预过滤以匹配所选策略。例如,当攻击者尝试获取本地系统或域帐户的列表时,就会发生帐户发现技术。

    子技术由 ID 中的点标识,例如“T1003.002 安全帐户管理器”。子技术更具体地描述了对手用来实现其目标的行为。例如,攻击者可能会通过访问本地安全机构 (LSA) 机密来转储凭据。

    映射置信度

    指示为规则覆盖率分配了特定置信度的映射。

    已启用映射

    指示每个规则是否打开策略或技术与规则之间的映射。未启用的映射不会添加到技术覆盖范围热点图中。

  5. 如果环境中有许多日志源,则可以使用“筛选器”窗格中的“搜索”字段搜索特定日志源,然后选择它们以微调报表。通过此搜索,可以更轻松地在筛选器和日志源的大型列表中查找特定筛选器。
  6. 若要筛选内容扩展属性,请按照 识别内容扩展的 QRadar 规则覆盖率中的差距中的步骤操作。
  7. 若要清除报表结果,请单击“ 清除筛选器”,在左窗格中选择“新建筛选器”,然后单击“ 应用筛选器 ”以显示新结果。

相关文档