QRadar Magnitude
Bir QRadar yöneticisi oluşan offenseleri incelerken işini çok kolaylaştıracak yöntemlerden biri de; magnitude değeri yüksek olanlarla incelemeye başlamak olacaktır.
Offenseler için magnitude değeri 0 ile 10 arasında aşağıdaki 3 değerin ortalamasından oluşan bir değerdir.
- Relevance
- Magnitude değerinin %50 ‘si bu bölümden oluşur.
- Varsayılan değer 5’dir.
- Etkilenecek hedef sistemin önemi belirtilir. O sistemde gerçekleşecek bir olay düşük öneme sahipse değer düşük, kritik bir öneme sahipse yüksek değer verilir.
- Severity
- Magnitude değerinin %30 ‘u bu bölümden oluşur.
- Varsayılan değer 5’dir.
- Etkilenecek hedef sistemin tehdite açık olma hassasiyeti belirtilir.
- Credibility
- Magnitude değerinin %20 ‘si bu bölümden oluşur.
- Bütünlük belirtilir. Örneğin bir çok log kaynağından offense olarak raporlanan bir olayın credibility artar.
Yukarıda belirttiğimiz %50, %30 ve %20 değerleri ise basit bir kuraldır. Detaya indiğiniz de durum biraz daha farklıdır ve bu yüzdelik dilimleri de kendi içlerinde parçalara ayrılır. Örneğin aşağıdaki değerler için:
Magnitude = 5 * 0.5 + 8 * 0.3 + 3 * 0.2 = 2.5 + 2.4 + 0.6 = 5.5 ‘dir. Ancak bu değer kesir olarak gösterilmediğinden bazen 5, bazense 6 şeklinde görmeniz mümkün. Daha detaylı hesaplama için IBM Magnitude Calculation dokümanını inceleyebilirsiniz.
Magnitude’daki bu 3 alan için renk gösterimi ise şu şekilde yapılmaktadır.
- 0 : Renk yok ( | şeklinde gösterilir.)
- 1- 3 arası : Sarı
- 4 – 6 arası : Turuncu
- 7-10 arası : Kırmızı