Japan QRadar User Group

 View Only

SIEM学習に最適な QRadar Experience Center アプリでユースケースを流してみましょう

By Katsuyuki Hirayama posted Fri July 24, 2020 05:24 AM

  

はじめに

Experience Centerというアプリをご存知でしょうか。
他のアプリと同じように App Exchange からダウンロードできます。

App Exchangeの概要をベースに主なポイントをあげますと:
  • QRadar Experience Centerアプリには、QRadarがセキュリティーの脅威を検出するのにどのように役立つかを示すために実行できる、いくつかの事前定義されたセキュリティーのユース・ケースが付属しています。ボタンをクリックするだけで、シミュレーション・データがQRadarに送信され、QRadarの動作を見ることができます
  • このアプリは、独自ログをアップロードして再生する機能も提供し、IBM QRadarの強力な脅威検出機能を使用して自分のネットワークを保護する方法を学ぶのに理想的な方法です
注意点:このアプリはシステムから削除できないダミー・イベントを送信するため、本番システムには適していません(ログソースやSaved Searchも追加されます)。テスト環境に最適です。

要するに、SIEMの学習教材としてよいアプリだということです。

今回は、QRadar CE V7.3.3 にこのアプリをインストールして、Experience Center のユースケースの1つである「不審なアカウントの変更」を検知させてみたいと思います。

トップに戻る

Experience Centerアプリのインストール

注意:QRadarアプリは、導入した全アプリの合計で All-in-One構成の10%しかメモリーを使用できないため、QRadar CE V7.3.3 にこのアプリをインストールする場合、最小の8GBではメモリーが不足します(アプリのインストールが失敗します)。
仮想基盤から割り当てるメモリー設定を増やすか、V7.3.3では必須とは言えない (けれどデフォルトで入っている) Assistant アプリを削除して、メモリーの空きを広げる方法が考えられます。
(削除したアプリは、必要に応じて後日 App Exchange から入手してインストールできます)

注意:Experience Center を QRadar CE V7.3.3で動かす場合、デフォルトのQRadar CEで不足しているDSMを(アプリのインストール前に)追加しておく必要があります。「QRadar CE (Community Edition) 7.3.3 のインストール手順」の「足りないDSMを追加する」を参照してください。

IBM QRadar Experience Centerアプリをインストールするには、管理者である必要があります。
「管理」メニューの「拡張の管理」から、QRadarコンソールにインストールします。 App Exchange からアプリExperience Centerをダウンロード(IBMidが必要です) し、次の手順を実行します。

  1. QRadarコンソールで、「管理」>「拡張の管理」をクリックします。
    expcenter_install_001.png
  2. [拡張の管理]ウィンドウで、[追加]をクリックし、コンソールにアップロードするアプリ・アーカイブ(ZIPファイルなど)を選択します。
    (ZIPファイルを手動で展開する必要はありません)
  3. [即時にインストール]チェックボックスをオンにします。
    重要:アプリがアクティブになるまでに数分かかる場合があります。
インストールが完了したら、アプリを使用する前に念のためにブラウザーのキャッシュをクリアし、ブラウザー・ウィンドウを更新してください。
アプリを開くには、[ログ・アクティビティー]タブで、[Show Experience Center]をクリックします。

ヒント:
  • 他のアプリのような専用のタブはありません。上記手順を行うことによってブラウザー画面の右側にドロワーのように引き出せる画面のタブが付きます。
  • インストール直後は、まだアプリケーション本体の開始が完了しておらず、リトライを促す画面が表示されることがあります。その場合は、しばらく待ってからもう一度[ログ・アクティビティー]タブの[Show Experience Center]をクリックしてください。
  • しばらく待っても状況が変わらない場合は、ブラウザーの再ロードによって表示されることがあります。
  • 「Experience Center」タブが画面の右側に表示されておらず、しかも[ログ・アクティビティー]タブの[Show Experience Center]をクリックしても何も反応がない場合は、既に「Experience Center」を表示する状態になっているものの、Experience Centerアプリの開始が完了していない可能性があります(QRadarの再起動後など)。その場合は、しばらく待ってからブラウザーの再起動によって表示されることがあります。

Experience Centerアプリを アンインストール する場合も、QRadarコンソールの「管理」>「拡張の管理」から行います。

トップに戻る

事前準備

既に多数のオフェンス(QRadarにおけるアラート)が存在する場合、ユースケースを実行することで新たに追加されたオフェンスが分かりにくい場合がありますので、[オフェンス]タブから既存のオフェンスを「クローズ」することができます。

「すべてのオフェンス」で既存のオフェンスをリストし、クローズしたい対象を選択(Shiftキーを押しながら範囲選択、またはCtrlキーを押しながら個々に選択)し、「アクション」メニューから「クローズ」をクリックします。

expcenter_prep_001.png
「クローズの理由」として任意のものを選択し、「OK」をクリックします。

expcenter_prep_002.png
トップに戻る

脅威のシミュレーション

今回は、「不審なアカウントの変更」ユースケースを実行します。

IBM QRadarは、異常なまたは悪意のある動作の検出に役立つユーザー・ベースのアクティビティー監視をサポートしています。 たとえば、不審なアカウントの変更は、会社の所有するデータの変更や流出など、悪意のある目的で不正なアクセスを試みる試みを示している可能性があります。

QRadarは、ネットワーク、ログ、脆弱性、および脅威のデータにユーザー・コンテキストを追加することにより、ネットワーク内のユーザーのリスク・プロファイルを迅速に判別し、脅威と見なされる可能性のある一般的なユーザーの行動からの逸脱を調査するのに役立ちます。

ヒント:今回のユースケースでは使用していませんが、QRadar環境でユーザー・ベースのアクティビティーを機械学習を使用して本格的にモニターするには、IBM QRadar User Behavior Analytics (UBA) アプリを使用します。

このシミュレーションでは、受信イベントは、アカウントが作成、使用、および削除されたことを示しています。 カスタムルールエンジン(CRE)はイベントを処理し、このアクティビティーが悪意のある可能性があると判断します。

QRadarが脅威を検出する方法を体験するには、シミュレーションを実行します。

  1. [ログ・アクティビティー]タブで、[Show Experience Center]をクリックします。expcenter_use_001.png
  2. 右側から Experience Center の画面が現れますので、[Threat simulator]をクリックします。expcenter_use_002.png
  3. Suspicious account modificationシミュレーションを見つけ、[Run]をクリックします。
    ※家(🏠)のアイコンをクリックするとトップページに戻ります。( X ) はアプリを閉じます。expcenter_use_003.png

「ログ・アクティビティー」タブで、イベントがQRadarに届き始めたことを確認できます。
各イベントは、アカウントが追加または削除されたことを示しています。

expcenter_use_005.png
イベントはループで再生され、同じユースケースが複数回繰り返されます。
シミュレーションを停止するには、[Threat simulator]タブの[Stop]をクリックします。

expcenter_use_004.png

トップに戻る

脅威の検出:QRadarの動作

この脅威シミュレーションでは、次のリファレンス・セット(データの一時保管リスト)を使用します。
リファレンス・セットは、過去1時間以内に収集されなかったデータ要素を削除することにより、データを最新に保つように構成されています。

EC UserAccountCreated リファレンス・セット EC:User Account-Add Account Name to EC UserAccountCreated ルールによって入力されます。
イベントがユーザーアカウント追加カテゴリーに分類されると、ルールは対象となるユーザーアカウント名をリファレンス・セットに追加します。
EC UserAccountUsed リファレンス・セット EC:User Account-Add Account Name to EC UserAccountUsed ルールによって入力されます。
イベントがユーザーログイン成功カテゴリーに分類されると、ルールはユーザーアカウント名をリファレンス・セットに追加します。

EC: User Account Created and Used and Removed ルールのみが、オフェンス(QRadarにおけるアラート)を作成します。

他のルール(EC: Add Account Name to EC UserAccountCreatedEC: Add Account Name to EC UserAccountUsed)は、アカウント操作に関連する履歴をリファレンス・セットに追加する処理を行い、EC: User Account Created and Used and Removed ルールが違反を検知するための判断データを提供します。

expcenter_use_011.png
アカウントの作成、使用、削除をすべて短時間で含むアカウントアクティビティーは、悪意のある可能性のある動作と見なされます。削除されるアカウントが両方のリファレンス・セットにも存在する場合(つまり、アカウントが過去1時間以内に作成され、使用された履歴が存在する場合)、QRadarは User Account Created and Deleted within a short time frame (Exp Center) というオフェンスを作成して、潜在的な脅威について警告します。

expcenter_use_006.png
トップに戻る

オフェンスに関連するイベントの表示

オフェンスに関連するイベントを表示するには、「オフェンス」タブの「すべてのオフェンス」から目的のオフェンスを開き、一番上のバーで「イベント」をクリックします。

expcenter_use_007.png
自動的にフィルターが適用され、オフェンスに関連するイベントのみが画面に表示されます。

トップに戻る

オフェンスに関連するルールの表示

オフェンスに関連するルールを表示するには、「オフェンス」タブの「すべてのオフェンス」から目的のオフェンスを開き、メニューから「表示」>「ルール」をクリックします。

expcenter_use_008.png
「オフェンスを検知させたルールのリスト」に、目的のルールがリストされますので、ダブルクリックすることで「ルール・ウィザード」を開き、内容を確認できます。
(以下の画面は別のユースケースのものですので、ルール名は異なります)

expcenter_use_009.png
ルール・ウィザードは編集機能を持つ画面ですので、閲覧するだけの場合は最後に「キャンセル」で画面を抜けてください。

expcenter_use_010.png
トップに戻る

その他のユースケース

その他のユースケースについては、製品マニュアル QRadar Experience Center app (英語) に記述があります。
その情報をベースに日本語化した補足資料は、コミュニティーのライブラリー「SIEM学習に最適な QRadar Experience Center アプリの日本語ガイド」に登録されています。

トップに戻る

参考文献
#QRadar
0 comments
25 views

Permalink