これの続きを行っていきます。
用語
オフェンス
オフェンスとは「バラバラに発生した怪しいイベントを、一つの『事件』としてまとめたもの」のことです。通常のログ管理ツールだと、100回ログイン失敗があれば100個のアラートが出てしまいますが、QRadarはそれらを分析して「これは同一人物による一つの攻撃(事件)だ」と判断し、1つの「オフェンス」として集約します。
手順
SSH接続を短期間で連続して失敗します。
サーバに存在しているtestユーザのパスワードをあえて間違えまくります。
2,3分の間で2,30回連続でtestユーザでパスワードを失敗しました。
その結果をQRadar側でも検知していることがわかります。
オフェンスが出てきました。
円グラフなどの下にある1行をダブルクリックしてみます。
詳細を確認することが出来ます。
縦長のページであったので、PDFでエクスポートした後JPEG化したものを添付します。
確かに複数のログを1つの攻撃として集約していることがなんとなく見てわかります。
またPulseタブを開くことでオフェンスが発生しているかを確認することが出来ます。
ログイン直後のダッシュボードでもオフェンスの発生が確認できます。
