JSAのルールと違反
カスタム ルール エンジン (CRE) で定義されている構成ルールは、オフェンスの生成に使用されます。
次の一覧では、ルールと違反について説明します。
CRE -- カスタム ルール エンジン(CRE)には、 JSA で使用されるルールとビルディング ブロックが表示されます。ルールと構成要素は、機能が異なるため、2 つの別個のリストに格納されます。CRE は、ルールのグループ化方法、ルールが実行するテストの種類、および各ルールが生成する応答に関する情報を提供します。ルールと違反の詳細については、 Juniper Secure Analyticsユーザーガイドを参照してください。
ルール -- ルールは、特定の条件が満たされたときにアクションをトリガーするテストのコレクションです。各ルールは、特定のイベント、イベントのシーケンス、フローシーケンス、または攻撃をキャプチャして応答するように設定できます。トリガーできるアクションには、電子メールの送信や syslog メッセージの生成が含まれます。ルールは、 ルール・エディター内のテスト・グループの関数セクションにあるテストを使用して、複数のビルディング・ブロックを参照できます。
オフェンス -- イベント データとフロー データが CRE を通過すると、設定されているルールと相関し、この相関関係に基づいてオフェンスを生成できます。オフェンスは [オフェンス] タブで表示します。
QRadar ユースケース・マネージャーを使用して、ルールと違反を確認します。 IBM セキュリティー・アプリ交換からアプリをダウンロードします。
展開されたルールの表示
JSA展開に展開されているルールを表示できます。たとえば、オフェンスの生成に最もアクティブなルールを決定できます。
「 オフェンス」 タブをクリックします。
ナビゲーション・メニューで、「 ルール」をクリックします。
オフェンスの生成に最もアクティブなルールを決定するには、ルールページで [オフェンスカウント ] をクリックして、列を降順に並べ替えます。
ルールをダブルクリックして、 ルール ウィザードを表示します。各ルールへの応答を設定できます。
メモ:CRE設定の詳細については、 『Juniper Secure Analyticsユーザーガイド』を参照してください。
QRadar ユースケース・マネージャーを使用して、オフェンスを作成する最もアクティブなルールをチューニングし、CRE イベントを生成するルールを調整します。 IBM セキュリティー・アプリ交換からアプリをダウンロードします。
違反行為の調査
JSAは、イベントとフローの状態をテストすることで攻撃を生成します。JSA 違反を調査するには、違反を作成したルールを表示する必要があります。
「 オフェンス」 タブをクリックします。
ナビゲーション・メニューで、「 すべての違反」をクリックします。
関心のあるオフェンスをダブルクリックします。
「すべてのオフェンスの概要」ツールバーで、「表示 >ルール」をクリックします。
[攻撃に寄与するルールのリスト] ペインで、目的のルール名をダブルクリックします。
ヒント:JSA によって生成されたオフェンスが一連の異なるテストによってトリガーされる場合、[すべてのオフェンス ルール] ペインに複数のルール名が表示されることがあります。
違反行為の調査の詳細については、 『Juniper Secure Analyticsユーザーガイド』を参照してください。
QRadar ユースケース・マネージャー・アプリケーションを使用して、オフェンスを作成する最もアクティブなルールを調整します。 IBM セキュリティー・アプリ交換でアプリをダウンロードします。
カスタムルールまたはビルディングブロックをMITRE ATT&CK戦術にマッピングする
QRadar ユースケース・マネージャーを使用して、独自のルールおよびビルディング・ブロック・マッピングを作成するか、 JSA デフォルト・マッピングを変更して、カスタム・ルールおよびビルディング・ブロックを特定の戦術および技法にマップします。
[ルール エクスプローラー] ページのレポート セクションで、関連するルールを選択します。
ヒント:ルール名、戦術、または手法をフィルタリングして、正規表現を使用して編集または検索するルールを見つけます。 [グループ ] フィルターを使用して、認証やコンプライアンスなど、検索するグループを選択することもできます。
[ ルールの調査 ] ページで、[ MITRE ATT&CK ] セクションの鉛筆アイコンをクリックします。
MITRE ATT&CK Mappingページで、新しい戦術を追加するか、既存の戦術を編集して、ルールマッピングオプションをカスタマイズします。
ヒント:MITRE ATT&CK マッピング ページには、ルールに直接関連するマッピングのみが表示されます。ルールが依存関係から継承したマッピングは、[ルールの調査] ページのルールの詳細セクションまたはルール エクスプローラー レポートで確認できます。レポートの [マッピング ソース] 列、またはルールの詳細ページの MITRE ATT&CK セクションを使用して、ルールとそのマッピングの関係を確認します。あるいは、IBM Security App Exchange のコンテンツ拡張機能を作成し、その中にルールをマップする場合は、マッピングをエクスポートし、コンテンツのサブミット時にアップロードします。
ルールまたは文書パーツを使用して戦術を追加または削除するには、プラス記号アイコンをクリックし、関連する戦術を選択して、[ 適用] をクリックします。
戦術のテクニックを追加または削除するには、戦術のプラス記号アイコンをクリックし、関連するテクニックを選択して、[ 適用] をクリックします。
戦術とテクニックをヒート マップの計算に含めるには、[ 有効化 ] チェック ボックスをオンのままにします。
各戦術の信頼レベルを選択し、[保存] をクリックします。信頼レベルを設定する必要があります。そうしないと、マッピングを保存できません。
デフォルトのマッピングにリセットするには、「戦術」列または「テクニック」列の「リセット」アイコンをクリックします。
マッピングのカスタマイズが完了したら、[ 保存 ] または [保存して閉じる ] をクリックして [ ルールの調査] ページに戻ります。
レポートを更新して更新されたコンテンツを表示するには、[フィルター] ペインの [適用] をクリックします。