샘플 IBM QRadar 위반 수집

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기3분

    • 하나 이상의 선택한 IBM QRadar 규칙에 대해 샘플 위반을 수집할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
    2. 가장 최근의 샘플 위반 3개를 끌어오거나 매핑 경험에 사용할 특정 위반에 대한 고유한 위반 ID를 제공할 수 있습니다.
      수집 기본 설정 선택 목록에서 다음 중 하나를 선택합니다.
      • 가장 최근 위반 검색: 선택한 규칙의 가장 최근 위반 3개가 검색됩니다.
      • 위반 ID를 기준으로 위반 선택: 검색할 위반에 대한 위반 ID를 지정합니다. 쉼표로 구분된 최대 3개의 위반 ID를 지정할 수 있습니다.

      IBM QRadar: 프로파일 작성: 맵핑: 기본값
    3. 샘플 데이터 가져오기를 클릭하여 선택한 위반 규칙에 대한 콘솔에서 최신 샘플 위반 데이터를 IBM QRadar 가져옵니다.
      위반 필드와 값 결과는 개별 탭으로 표시됩니다. 공격은 다음 세 가지 유형의 규칙에 의해 트리거될 수 있습니다.
      • 이벤트: 이 규칙에서는 이벤트 로그를 확인하고 지정된 기준이 충족되면 위반이 생성됩니다.
      • 흐름: 네트워크 데이터 및 트래픽을 확인하고 특정 조건이 충족되면 공격이 생성됩니다.
      • 공통: 이 경우 이벤트 또는 플로우에 대한 조건을 지정할 수 있으며 조건 중 하나 또는 둘 다 충족되면 위반이 생성됩니다.
      샘플 공격에 대한 풀링은 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동 중임을 나타내는 메시지가 화면 맨 위에 표시됩니다. 아래 그림에 표시된 대로 위반 필드와 함께 위반을 트리거한 규칙에 따라 이벤트 또는 플로우 필드가 채워집니다.
      IBM QRadar Mapping 샘플 위반 및 이벤트
      주:
      표시된 이벤트 또는 플로우 필드는 해당 이벤트 또는 플로우 규칙에 따라 공격을 트리거한 첫 번째 이벤트 또는 플로우 필드에 속합니다.
    4. 다음은 이 통합에 대해 작성된 사용자 지정 공격 필드입니다.
      이러한 사용자 지정 필드 외에 표준 위반 필드를 매핑에 사용할 수 있습니다.
      • rules_contributing_to_offense: IBM QRadar 규칙 ID에 따라 공격에 기여한 규칙입니다.
      • users: 위반의 사용자 이름
      • remote_destination_ip: 공격의 원격 대상 IP입니다.
        위반에 대한 로컬 대상 ID를 기반으로 다음 사용자 지정 로컬 대상 주소 필드를 사용할 수 있습니다.
        • local_destination_address(domain_id)
        • local_destination_address(event_flow_count)
        • local_destination_address(first_event_flow_seen)
        • local_destination_address(id)
        • local_destination_address(last_event_flow_seen)
        • local_destination_address(local_destination_address_ids)
        • local_destination_address(크기)
        • local_destination_address(네트워크)
        • local_destination_address(offense_ids)
        • local_destination_address(local_destination_ip)
      • 공격의 소스 ID를 기반으로 다음 소스 주소를 사용할 수 있습니다.
        • source_addresses(domain_id)
        • source_addresses(event_flow_count)
        • source_addresses(first_event_flow_seen)
        • source_addresses(id)
        • source_addresses(last_event_flow_seen)
        • source_addresses(source_address_ids)
        • source_addresses(크기)
        • source_addresses(네트워크)
        • source_addresses(offense_ids)
        • source_addresses(source_ip)

      추가 이벤트 및 플로우 필드 가져오기(선택 사항) 확인란을 선택합니다. 활성의 유효한 사용자 지정 이벤트 및 플로우 필드에서 샘플 이벤트 및 플로우 데이터를 가져올 수 있습니다. 아래와 같이 쉼표로 구분된 사용자 지정 필드를 지정합니다.


      IBM QRadar: 프로파일 작성: 맵핑: 사용자 정의
      샘플 데이터 가져오기를 클릭합니다. 아래와 같이 지정된 이벤트 또는 플로우 필드가 해당 값(사용 가능한 경우)과 함께 이벤트 또는 플로우 섹션에 추가됩니다.
      IBM QRadar: 프로파일 작성: 맵핑: 사용자 정의: 결과
      샘플 데이터를 가져오면 이러한 필드의 해당 값이 양식 왼쪽에 채워집니다.
      IBM QRadar: 프로파일 작성: 채워진 위반

    다음에 수행할 작업

    샘플 데이터를 가져온 후 다음 단계는 위반 필드를 보안 인시던트에 매핑하는 것입니다.