Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrage des règles et des blocs modulaires en fonction de leurs propriétés

Si vous souhaitez filtrer par tactiques MITRE ATT&CK, vous devez d’abord mapper vos règles aux tactiques et techniques MITRE. Pour plus d’informations, reportez-vous à la section Modification des mappages MITRE dans une règle ou un bloc modulaire.

Ajustez vos règles ou blocs de construction en filtrant leurs attributs, tels que le type, l’origine, le groupe, etc. Vous pouvez également ajuster les règles ou les blocs modulaires en les filtrant en fonction de leurs définitions de test. Par exemple, vous pouvez ajouter un test qui correspond uniquement aux événements d’une source de journal spécifique. Examinez et améliorez votre couverture MITRE ATT&CK en filtrant vos règles en fonction de leurs correspondances avec les tactiques et techniques.

Plus vous appliquez de filtres aux règles, plus la liste des résultats que vous obtenez est affinée. QRadar Le Gestionnaire de cas d’utilisation utilise la condition OU dans les options d’un groupe de filtres et utilise la condition ET dans plusieurs groupes de filtres. La seule exception à la règle se trouve dans le groupe de filtres Autres tests , où la condition AND est utilisée pour plusieurs options de ce groupe de filtres. Toute colonne sur laquelle vous pouvez filtrer peut également être ajoutée au rapport de règles via la fonction de sélection de colonne (icône d’engrenage).

Lorsque vous sélectionnez des filtres, les balises de filtre non appliquées apparaissent dans la ligne des filtres avec un arrière-plan de couleur plus claire. Une fois que vous avez appliqué les filtres, les balises passent à un arrière-plan de couleur plus foncée.

  1. Sur la page Explorateur de cas d’utilisation, sélectionnez l’un des filtres de la section Attributs de règle. La liste suivante décrit certains des attributs de règle que vous pouvez filtrer et comment les utiliser :

    Nom de la règle

    Entrez le nom d’une règle spécifique ou recherchez-le à l’aide d’expressions régulières.

    Règle activée

    Activez ou désactivez les règles appropriées pour vous assurer que votre système génère des attaques significatives pour votre environnement.

    Catégorie de règles

    Filtrez par règles personnalisées ou de détection des anomalies dans le rapport. Les règles personnalisées effectuent des tests sur les événements, les flux et les infractions pour détecter toute activité inhabituelle sur votre réseau. Les règles de détection des anomalies effectuent des tests sur les résultats des recherches de flux ou d’événements enregistrés afin de détecter lorsque des modèles de trafic inhabituels se produisent dans votre réseau.

    Groupe

    Classez les règles ou les blocs modulaires en groupes pour vous aider à afficher et à suivre efficacement vos règles. Par exemple, vous pouvez afficher toutes les règles liées à la conformité. Sélectionnez des groupes spécifiques ou cliquez sur Tout sélectionner.

    Action

    Sélectionnez l’action que vous souhaitez que la règle entreprenne lorsqu’un événement se produit.

    Réponse

    Sélectionnez la réponse que vous souhaitez que QRadar prenne lorsqu’une règle est déclenchée.

    Dates de création et de modification

    Utilisez les filtres de date pour voir ce qui a changé au cours de la semaine dernière ou pour voir les règles qui ont été modifiées. La date de modification indique les règles qui ont été modifiées, mais pas le contenu modifié des règles.

    Note:

    Saisissez une note spécifique ou recherchez-la à l’aide d’expressions régulières. Par exemple, vous pouvez entrer ^$ pour trouver des règles avec des notes vides, puis ajouter des informations à la note.

    Règles d’analyse du comportement des utilisateurs

    Règles de filtrage pour savoir si elles sont liées à QRadar User Behavior Analytics. Ce filtre s’affiche uniquement lorsque l’application QRadar User Behavior Analytics est installée dans votre déploiement QRadar.

    Pourboire:

    Pour qu’une règle liée à QRadar User Behavior Analytics soit considérée comme étant considérée, les conditions suivantes doivent être remplies :

    • L’option Distribuer un nouvel événement doit être sélectionnée dans la réponse de la règle.
    • Le score de risque de l’analyse du comportement de l’utilisateur doit être défini sur la page Détails de la règle dans le Gestionnaire de cas d’utilisation QRadar.

    Pour plus d’informations, reportez-vous à la section Intégration de contenu QRadar nouveau ou existant.

  2. Sélectionnez l’un des filtres de la section Activité des règles. Le filtrage des règles inactives est pris en charge sur QRadar 7.4.1 ou version ultérieure.

    Règle active

    Sélectionnez Jamais pour voir quelles règles n’ont jamais attribué d’événement à une infraction depuis qu’elles ont été installées dans QRadar.

    Règle inactive (période)

    La date par défaut est la semaine dernière. Modifiez la période ou choisissez de filtrer les règles qui ne sont pas actives depuis une date spécifique.

  3. Sélectionnez l’un des filtres de la section Tests de règles . La liste suivante décrit certains des tests de règles que vous pouvez filtrer :

    Définition du test

    Entrez une définition de test spécifique ou recherchez-la à l’aide d’expressions régulières.

    Type de source du journal

    Une règle se rapporte aux types de source de journal si elle fait directement référence au type de source de journal, ou si elle fait référence à une source de journal, à un QID ou à une catégorie d’événements qui correspond au type de source de journal. Par défaut, vous ne voyez que les types de sources de journaux utilisés par les sources de journaux dans votre environnement QRadar. Cliquez sur Afficher tous les types pour afficher les types de sources de journaux que vous pouvez utiliser directement dans un test ou par catégories QID ou événement.

    Sources des journaux

    Une règle se rapporte aux sources de journal lorsque la source de journal référencée par un test est utilisée dans la règle. Utilisez le filtre de recherche pour trouver des sources de journaux spécifiques à filtrer ou cliquez sur Sélectionner tout pour filtrer toutes les sources de journaux de la liste. Vous pouvez filtrer sur le nom de la source du journal ou à l’aide d’une expression régulière. Ce type de recherche est utile lorsque votre environnement contient des centaines de milliers de sources de journaux.

    Groupe de sources de journaux

    Une règle se rapporte aux groupes de sources de journaux lorsqu’une source de journal dans le groupe de sources de journal référencée par un test est utilisée dans la règle. Par exemple, vous pouvez sélectionner le périphérique du capteur en tant que groupe de sources de journal et afficher uniquement les règles qui exécutent des tests sur les sources de journal qui font partie du groupe de sources de journal du périphérique de capteur.

    Domaines

    Une règle peut fonctionner dans le contexte d’un seul domaine ou dans le contexte de tous les domaines. S’il y a plusieurs domaines dans votre environnement, ils sont ajoutés à la liste de filtres. Utilisez cette option pour filtrer les domaines d’un environnement multi-domaines en fonction de chaque domaine individuel.

    Pour ajouter une colonne de domaine au rapport sur les règles, cliquez sur l’icône en forme d’engrenage. Faites défiler vers le bas jusqu’à la section Tests de règle de la fenêtre, sélectionnez Domaine dans la liste d’options Test , puis cliquez sur Appliquer.

    Autres tests

    Passez la souris sur le libellé de chaque case à cocher pour afficher les tests de règles spécifiques. Par exemple, recherchez une règle qui fait référence à une valeur spécifique d’un test, telle qu’une adresse IP telle que « L’adresse IP de l’identité n’est pas 0 ».

    Pourboire:

    • Pour identifier uniquement les adresses IP source, ajoutez une colonne pour Test : IP, puis un filtre source dans le champ Définition du test .

    • Si vous disposez d’une mutualisation, utilisez le test de domaine pour distinguer les règles d’un locataire à l’autre. Sélectionnez le filtre Domaine, puis ajoutez la colonne Domaine.

    • Si vous recherchez des propriétés personnalisées ou des jeux de références, utilisez les modèles prédéfinis.

    • Si vous souhaitez voir les types de sources de journal utilisés ou inutilisés, sélectionnez le filtre approprié. Par exemple, le modèle Couverture de la source de journal par règle affiche les règles associées aux types de source de journal en fonction des tests. Supposons que 342 types de sources de journaux sont disponibles dans votre environnement. Pour afficher uniquement les règles relatives aux types de source de journal actuellement utilisés (types de source de journal ayant au moins une source de journal), sélectionnez le filtre Type de source de journal - utilisé .
  4. Sélectionnez l’un des filtres de la section MITRE ATT&CK . Les options de filtrage suivantes sont disponibles :

    Tactique

    Sélectionnez des tactiques dans la liste. Par exemple, une tactique d’accès initial est utilisée par les adversaires qui tentent d’accéder à votre réseau.

    Technique

    Recherchez des techniques et leurs sous-techniques ou sélectionnez-les dans la liste. Les techniques sont préfiltrées pour correspondre à la tactique sélectionnée. Par exemple, une technique de découverte de compte se produit lorsque des adversaires tentent d’obtenir une liste de vos comptes système ou de domaine locaux.

    Les sous-techniques sont identifiées par un point dans l’ID, comme « T1003.002 Gestionnaire de compte de sécurité ». Les sous-techniques fournissent une description plus spécifique du comportement qu’un adversaire utilise pour atteindre son objectif. Par exemple, un adversaire peut vider les informations d’identification en accédant aux secrets LSA (Local Security Authority).

    Cartographier la confiance

    Indique les mappages auxquels un niveau de confiance spécifique est attribué pour la couverture des règles.

    Mappage activé

    Indique pour chaque règle si le mappage entre la tactique ou la technique et les règles est activé. Les mappages qui ne sont pas activés ne sont pas ajoutés à la carte thermique de couverture technique.

  5. Si vous disposez de nombreuses sources de journaux dans votre environnement, vous pouvez rechercher des sources spécifiques à l’aide du champ Rechercher dans le volet Filtres, puis les sélectionner pour affiner le rapport. Cette recherche peut faciliter la recherche d’un filtre spécifique dans la longue liste de filtres et de sources de journaux.
  6. Pour filtrer les attributs d’extension de contenu, suivez les étapes décrites dans Identification des lacunes dans la couverture des règles QRadar à partir des extensions de contenu.
  7. Pour effacer les résultats du rapport, cliquez sur Effacer les filtres, choisissez de nouveaux filtres dans le volet gauche, puis cliquez sur Appliquer les filtres pour afficher les nouveaux résultats.

Documentation connexe