샘플 IBM QRadar 위반 수집

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 하나 이상의 선택한 IBM QRadar 규칙에 대한 샘플 위반을 수집할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
    2. 가장 최근의 세 가지 샘플 위반을 가져오거나 매핑 환경에 사용하려는 특정 위반에 대한 고유 위반 ID를 제공할 수 있습니다.
      수집 기본 설정 선택 목록에서 다음 중 하나를 선택합니다.
      • 최근 위반 검색: 선택한 규칙에 대한 가장 최근의 위반 3건이 검색됩니다.
      • 위반 ID를 기준으로 위반 선택: 검색할 위반의 위반 ID를 지정합니다. 쉼표로 구분된 최대 3개의 위반 ID를 지정할 수 있습니다.

      IBM QRadar: 프로파일 작성: 매핑: 기본값
    3. Fetch Sample Data(샘플 데이터 가져오기)를 클릭하여 콘솔에서 IBM QRadar 선택한 위반 규칙에 대한 최신 샘플 위반 데이터를 가져옵니다.
      공격 필드 및 값 결과는 개별 탭으로 표시됩니다. 공격은 다음 세 가지 유형의 규칙에 의해 트리거될 수 있습니다.
      • 이벤트: 이 규칙에서 이벤트 로그를 검사하고 지정된 기준이 충족되면 위반이 생성됩니다.
      • 흐름: 네트워크 데이터 및 트래픽을 확인하고 특정 조건이 충족되면 위반이 생성됩니다.
      • 공통: 이 경우 이벤트 또는 플로우에 대한 조건을 지정할 수 있으며 조건 중 하나 또는 둘 다 충족되면 위반이 작성됩니다.
      샘플 위반을 뽑는 데 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동 중임을 나타내는 메시지가 화면 상단에 표시됩니다. 위반을 트리거한 규칙에 따라, 위반 필드와 함께 이벤트 또는 플로우 필드가 아래 그림과 같이 채워집니다.
      IBM QRadar 매핑 샘플 위반 및 이벤트
      주:
      표시된 이벤트 또는 플로우 필드는 해당 이벤트 또는 플로우 규칙에 따라 위반을 트리거한 첫 번째 이벤트 또는 플로우 필드에 속합니다.
    4. 다음은 이 통합을 위해 생성된 사용자 지정 공격 필드입니다.
      이러한 사용자 지정 필드 외에 표준 위반 필드를 매핑에 사용할 수 있습니다.
      • rules_contributing_to_offense: IBM QRadar 규칙 ID를 기반으로 공격에 기여한 규칙입니다.
      • users: 위반의 사용자 이름
      • remote_destination_ip: 공격에 대한 원격 대상 IP입니다.
        공격에 대한 로컬 대상 ID를 기반으로 다음과 같은 사용자 지정 로컬 대상 주소 필드를 사용할 수 있습니다.
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address(id)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address(크기)
        • local_destination_address(네트워크)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • 공격의 소스 ID에 따라 다음 소스 주소를 사용할 수 있습니다.
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses(id)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses(크기)
        • source_addresses(네트워크)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      추가 이벤트 및 플로우 필드 가져오기(선택 사항) 확인란을 선택합니다. 유효한 활성 사용자 지정 이벤트 및 플로우 필드에서 샘플 이벤트 및 플로우 데이터를 가져올 수 있습니다. 아래 그림과 같이 사용자 지정 필드를 쉼표로 구분하여 지정합니다.


      IBM QRadar: 프로파일 작성: 매핑: 사용자 정의
      Fetch Sample Data(샘플 데이터 가져오기)를 클릭합니다. 아래와 같이 지정된 이벤트 또는 플로우 필드와 해당 값(사용 가능한 경우)이 이벤트 또는 플로우 섹션에 추가됩니다.
      IBM QRadar: 프로파일 작성: 매핑: 사용자 지정: 결과
      샘플 데이터를 가져오면 이러한 필드에 해당하는 값이 양식 왼쪽에 채워집니다.
      IBM QRadar: 프로파일 작성: 채워진 범죄

    다음에 수행할 작업

    샘플 데이터를 가져온 후 다음 단계는 공격 필드를 보안 인시던트에 매핑하는 것입니다.