投稿者:セキュリティ編集者

◆はじめに

みなさま、こんにちは。
今回はIBM QRadar SIEMの、QRadar Use Case Managerアプリケーションをご紹介します。

IBM QRadar SIEMとは、ネットワーク上に存在するサーバー、ネットワーク機器、セキュリティー製品等のログと、ネットワーク・フロー・データを一元的に集約してリアルタイムで分析し、セキュリティ脅威をあぶり出すSIEM(Security Information and Event Management(※1))製品です。

IBM QRadar SIEMには分析用のルールが事前定義済みのものやIBM Security App Exchange上で公開されているもの、ユーザーが独自で作成したもの等多数ありますが、自社の環境にあわせルールのチューニングを進めていきたいというお客様もいらっしゃるのではないでしょうか。

QRadar Use Case Managerは、IBM X-Force App ExchangeからダウンロードしてIBM QRadar SIEMにインストールして利用する無料の追加アプリケーションです。
IBM QRadar SIEMのルールをMITRE ATT&CK(※2)のフレームワークに沿って可視化する「ユース・ケース・エクスプローラー」や、ウィザードに沿ってルールのチューニングを行うメニューが用意されています。
対象となるルールは事前定義済みのルール、ユーザーが独自で作成したルールすべてです。(※3)

(※1)SIEM(Security Information and Event Management)
複数セキュリティ製品のログを一元管理し、相関分析で横断的に脅威を監視し分析を行うことにより、セキュリティ驚異を検知することを目的とした仕組みです。
QRadarは自社に導入済みのセキュリティ製品を一元管理し、リアルタイムな情報をもとに、貴社で起きているインシデントを横断的に相関分析し、正確な脅威の把握と迅速な対策の実施を可能にします。

(※2)MITRE ATT&CK(Adversarial Tactics Techniques and Common Knowledge)
MITREという組織が公開するセキュリティに関する攻撃者の戦術と技術のナレッジベース、フレームワークです。
Webページで公開されており、下記のURLから閲覧できます。
https://attack.mitre.org/

(※3)ユーザーが独自で作成したルールは、このアプリからMITRE ATT&CKフレームワークにマッピングを行う必要があります。

今回は、QRadar Use Case Managerの画面と、QRadarで検知したオフェンスの元になったルールのチューニング画面をご紹介したいと思います。

◆環境

IBM QRadar SIEM 7.4.1 FixPack 2
QRadar Use Case Manager 3.1.0

◆QRadar Use Case Managerの画面紹介

QRadar Use Case Managerの画面を開くと、以下のようなトップページが表示されます。
この画面は、「ユース・ケース・エクスプローラー」といい、MITRE ATT&CKのマトリクスが画面中央に表示されています。
()内の数字はMITRE ATT&CKの各戦術(Initial Access、Execution、等)に対し、QRadar上で有効になっているルールの数です。
画面左側のフィルターや、MITRE ATT&CKの各戦術名をクリックし、対応するルールを確認することが可能です。
ちなみに、MITRE ATT&CKのフレームワーク(ヒートマップ)の色分けは、このアプリケーションが対応するルール数や信頼性に応じて自動計算し色付けしています。

UCM_01.jpg

戦術名をクリックすると、対応するルールが下段に表示されます。
ここでルールを選択し、ルールを編集することが可能です。

UCM_02.jpg

次に、検知したオフェンスから、ルールを調査しチューニングする画面をご紹介します。

◆最近発生したオフェンスに関連するルールについての調査しチューニングを行う

QRadar Use Case Manager画面に移動し、チューニング・ホームへ移動します。

今回は直近3日間の日付・時刻を対象に、オフェンスのもとになったルールを確認します。
「オフェンス数に基づいた最もアクティブなルールのチューニング」をクリックします。

UCM_03.jpg

フィルターに日付・時刻を指定すると結果が表示されます。調査対象のルールにチェックをいれ「調査」をクリックします。今回は「Excessive Firewall Denies from Single Source」というルールについて調査してみることにします。

UCM_04.jpg

「ルールの調査」の画面です。
対象のルールについて、内容、MITRE ATT&CKのマッピング状況、ルールの依存関係等が表示されます。「オフェンスの確認」とクリックし次の画面に進みます。

UCM_05.jpg

「オフェンスの確認」画面です。このルールによって検知されたオフェンス(この環境でQRadarが検知したセキュリティ脅威)が表示されます。必要に応じ、内容を確認します。「ホスト定義の確認」をクリックし次の画面に進みます。

UCM_06.jpg

関連するホストの定義を確認、自身の環境に合った内容にチューニングすることができる画面です。「しきい値の変更」をクリックし次の画面に進みます。

UCM_07.jpg

ルールのしきい値変更画面です。ここでは「Firewall拒否イベントが、XX分間にXX回」といったしきい値をチューニングします。「エンドポイントBBの編集」をクリックし次の画面に進みます。

UCM_08.jpg

関連するBB(ビルディングブロック)について自身の環境にあわせチューニングを行います。

UCM_09.jpg

ルールによって表示されるウィザードのメニューが増減することがありますが、画面の紹介は以上です。

◆所感

QRadar Use Case Managerを使って、ルールについてMITRE ATT&CKのフレームワークとの対応を可視化、ルールのチューニングについてご紹介しました。
マトリクスや関連性を表す図としてルールを表示できるところがいい点ですね。
また、MITRE ATT&CKのフレームワークと照らし合わせることで、ルールの抜け漏れがないか確認することもできるのではないでしょうか。
ぜひIBM QRadar SIEMとあわせて、QRadar Use Case Managerアプリケーションをご利用頂ければと思います。

IBM QRadar SIEMについてはこちらを御覧ください。
https://www.niandc.co.jp/sol/product/qradar/

QRadar Use Case Managerのアプリケーションについてはこちらを御覧ください。
IBM X-Force Exchangeのサイトに移動します。
https://exchange.xforce.ibmcloud.com/hub/extension/bf01ee398bde8e5866fe51d0e1ee684a

自社のセキュリティで何に手を付けてよいかわからないか課題をお持ちの方は以下をご覧ください。
https://www.niandc.co.jp/sol/product/security_assessment/

記事及び、この製品(IBM QRadar、QRadar Use Case Manager)に関するお問い合わせは
NIC_Contact@niandc.co.jp
までお問合せください。