Table des Matières
Publicité
détecter les modèles de trafic inhabituels dans votre réseau. Cette catégorie de
règle inclut les types de règles suivants : anomalie, seuil et comportement.
Une règle d'anomalie teste le trafic des flux pour une activité anormale, telle que
l'existence d'un trafic nouveau ou inconnu, qui cesse brusquement ou un
changement de pourcentage de la durée où un objet est actif. Par exemple, vous
pouvez créer une règle d'anomalie pour comparer le volume moyen du trafic des
cinq dernières minutes avec le volume moyen du trafic au cours de la dernière
heure. S'il existe un changement de plus de 40 %, la règle génère une réponse.
Une règle de seuil teste les événements et le flux de l'activité qui est inférieure,
égale ou supérieure à un seuil défini, ou à l'intérieur d'une plage spécifiée. Les
seuils peuvent reposer sur toutes les données collectées. Par exemple, vous pouvez
créer une règle de seuil en indiquant que le nombre de clients qui peuvent se
connecter au serveur ne doit pas dépasser 220 clients entre 08h00 et 17h00. La règle
de seuil génère une alerte lorsque le 221ème client tente de se connecter.
Une règle de comportement teste le trafic de flux pour un changement de volume
dans le comportement qui se produit dans les modèles saisonniers réguliers. Par
exemple, si un serveur de messagerie communique habituellement avec 100 hôtes
par seconde à minuit puis qu'il commence subitement à communiquer avec 1000
hôtes par seconde, une règle de comportement génère une alerte.
Types de règles
Il existe quatre types de règles différents : événement, flux, communes et
violations.
Règle d'événement
Une règle d'événement effectue des tests sur les événements comme ils sont traités
en temps réel par le processeur d'événement. Vous pouvez créer une règle
d'événement pour détecter un événement unique (au sein de certaines propriétés)
ou des séquences d'événements. Par exemple, si vous souhaitez surveiller votre
réseau en ce qui concerne les tentatives de connexion infructueuses, l'accès à des
hôtes multiples ou un événement de reconnaissance suivi par un exploit, vous
pouvez créer une règle d'événement. Les règles d'événement créent généralement
des violations à titre de réponse.
Règle de flux
Une règle de flux effectue des tests sur les flux au fur et à mesure qu'ils sont
traités en temps réel par le collecteur QFlow. Vous pouvez créer une règle de flux
pour détecter un événement unique (au sein de certaines propriétés) ou des
séquences de flux. Les règles de flux créent généralement des violations à titre de
réponse.
Règle commune
Une règle commune effectue des tests sur les zones qui sont communes aux
enregistrements de flux et d'événements. Par exemple, vous pouvez créer une règle
commune qui détecte les événements et les flux qui ont une adresse IP source
spécifique. Les règles communes créent généralement des violations à titre de
réponse.
148
IBM Security QRadar - Guide d'utilisation
Publicité
Table des Matières
