Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Optimieren der aktiven Regeln, die Verstöße generieren

Die Optimierung der am häufigsten verrauschten Regeln kann einen erheblichen Einfluss auf die Reduzierung von Fehlalarmen haben.

  1. Klicken Sie im Hauptmenü des QRadar Use Case Manager auf Aktive Regeln.
  2. Wenden Sie Filter auf die aktiven Regeln an, um Ihre Untersuchung zu optimieren.
    1. Filtern Sie die Regeln, die zu Verstößen beigetragen haben, nach Kalender oder nach Zeitrahmen. Das Standarddatum liegt in den letzten drei Tagen. Ändern Sie den Zeitrahmen oder filtern Sie die Regeln, die zu Verstößen beigetragen haben, nach bestimmten Daten und Uhrzeiten.
    2. Wählen Sie Parameter aus, um Verstöße aus den Ergebnissen auszuschließen, z. B. ausgeblendete oder geschlossene Verstöße. Verstöße, die zur Nachverfolgung markiert sind, werden zur weiteren Untersuchung gekennzeichnet. Möglicherweise haben Sie Verstöße, die Sie unabhängig vom Aufbewahrungszeitraum beibehalten möchten. Diese Straftaten sind geschützt, um zu verhindern, dass sie nach Ablauf der Aufbewahrungsfrist aus QRadar entfernt werden. Inaktive Verstöße können aus der Visualisierung entfernt werden, sodass die Berichte nicht überladen werden.
    3. Wählen Sie den Schließungsgrund für einen Verstoß aus. Sie können z. B. filtern, um zu sehen, welche Regeln die Verstöße generiert haben, die als falsch positive Ergebnisse geschlossen wurden. Regeln mit vielen Falschmeldungen müssen wahrscheinlich optimiert werden. Verstöße, die als Nicht-Problem geschlossen werden, werden in der Regel als nicht kritisch für Ihre Organisation angesehen.
    4. Klicken Sie auf Filter anwenden.
  3. Sehen Sie sich die Diagramme Verstöße nach Regel, Verstößen nach Kategorie und Regel, Abgeschlossene Verstöße nach Grund und Regel, Trend zur Anzahl von Ereignissen nach Regel und Trend zur Erstellung von Verstößen nach Regel an.
    Trinkgeld:

    Das Diagramm Offense-Erstellungstrend nach Regel wird in QRadar 7.4.1 Fix Pack 2 oder höher unterstützt.
    1. Bewegen Sie den Mauszeiger über die Diagrammsegmente, um weitere Details zu einem Verstoß anzuzeigen.
    2. Ein- oder Ausblenden von Diagrammlegenden.
    3. Klicken Sie auf die Legendentasten, um die Diagrammanzeige zu optimieren.
    4. Vergrößern Sie die Ansicht für weitere Informationen.
    5. Erweitern Sie Balken- und Zeitachsendiagramme auf den Vollbildmodus.
    6. Exportieren Sie Balken- und Zeitachsendiagramme in CSV-, PNG- oder JPG-Formate.
    7. Zeigen Sie Balken- und Zeitachsendiagrammdaten im Tabellenformat an. Exportieren Sie dann die Daten im CSV-Format, um sie offline anzuzeigen oder mit Kollegen zu teilen.
  4. Optimieren Sie in der Tabelle die Regeln, indem Sie eine der folgenden Methoden auswählen:

    1. Wechseln Sie zwischen den wichtigsten lauten Regeln oder allen Regeln aus der Liste.

    2. Fügen Sie weitere Regeln hinzu, die untersucht werden sollen, indem Sie eine Gruppe von Regeln oder eine einzelne Regel aus der Liste auswählen.

      Trinkgeld:

      Die Spalte "Ereignisanzahl " im Bericht gibt an, wie viele Ereignisse, die die Regel, die den Verstößen zugeordnet ist, in der Spalte "Anzahl der Verstöße " gezählt wurden. Die Spalte Ereignisanzahl wird unter QRadar 7.4.1 Fix Pack 2 oder höher unterstützt.
  5. Klicken Sie auf Untersuchen.

    1. Sehen Sie sich ein kurzes Video an, um die Verwendung des Regelassistenten zu erfahren.

    2. Überprüfen Sie jede einzelne Regel und die BBs, die zur aktiven Regel beitragen. Für jede Regel können Sie sie weiter untersuchen, indem Sie auf Abhängigkeitsstruktur anzeigen oder Im Regel-Assistenten bearbeiten klicken.

    3. Verwenden Sie das Visualisierungsdiagramm, um alle zugehörigen Optionen für die Regel oder den Baustein weiter zu optimieren, z. B. Protokollquellentypen, benutzerdefinierte Eigenschaften oder Verweissätze.

    4. Überprüfen Sie die Verstöße, die von jeder aktiven Regel generiert werden.

    5. Überprüfen Sie die Werte in den verschiedenen Testgruppen, und optimieren Sie sie gegebenenfalls.

    6. Überprüfen Sie die MITRE ATT&CK-Zuordnungen für die Regel, und bearbeiten Sie sie bei Bedarf.

    7. Informationen zum Hinzufügen von benutzerdefinierten Regelattributen zur ausgewählten Regel oder dem ausgewählten Baustein finden Sie unter Schritt 10 in Untersuchen von QRadar-Regeln und -Bausteinen.

    8. Informationen zum Untersuchen von QRadar-Regeln zur Analyse des Benutzerverhaltens finden Sie unter Untersuchen von Regeln für die Analyse des Benutzerverhaltens.

    9. Um zur Seite "Aktive Regeln " zurückzukehren, klicken Sie in den Breadcrumbs auf "Aktive Regeln ".

  6. Um ausgewählte Regeldaten im Bericht in das CSV-Format zu exportieren, die Sie weiterverarbeiten oder in Excel anzeigen können, aktivieren Sie die entsprechenden Kontrollkästchen und klicken Sie dann auf Exportieren.

Zugehörige Dokumentation