调查工作流
初步评估(Triage)
打开 Offense 后先看 Summary:
Triage 检查清单
| 检查项 | 阈值 | 行动 |
|---|---|---|
| Magnitude | >= 7 | 立即处理 |
| Event Count | 过去 1 小时突增 > 50% | 关注攻击升级 |
| Source IP | 外部 + 首次出现 | 可能新威胁 |
| Destination | Critical/High 资产 | 优先处理 |
| Category | Malware / Exploit | 高优先级 |
| Start Time | 持续 > 24h | 长期攻击需深入 |
深度调查
1. 查看 Events 时间线
分析要点:
- 按时间顺序查看关联事件
- 注意 Event Count 的突增点
- 右键 Event → Investigate → 查看 Asset 详情
2. Right-Click Investigation
3. 关联 Asset 信息
4. Network Activity 关联分析
如果 Offense 涉及网络流量:
1. 切换到 Network Activity
2. 过滤: sourceip = 攻击源 IP
3. 查看 Flow 大小、方向、协议分布
4. 发现异常大流量 → 可能数据外泄
AQL 查询示例:
-- 查看攻击源 IP 的所有外部连接
SELECT sourceip, destinationip, destinationport,
SUM(sourcebytes) as total_bytes,
COUNT(*) as connection_count
FROM flows
WHERE sourceip = '203.0.113.50'
AND destinationip NOT IN REFERENCESET('Internal_Networks')
GROUP BY sourceip, destinationip, destinationport
ORDER BY total_bytes DESC
LAST 24 HOURS调查笔记模板
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Offense #12345 调查记录
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[10:15] 收到 Offense,Magnitude 8,疑似恶意软件通信
- Source IP: 192.168.1.100
- Category: Malware
- Event Count: 45 (持续增长)
[10:20] 调查 Source IP
- 资产: 财务部门工作站 WS-FIN-03
- OS: Windows 10
- 漏洞: CVE-2023-XXXX (未修补)
- 该主机存在 3 个 High 漏洞
[10:30] 查看 Events 时间线
- 10:00 首次检测到可疑 DNS 查询
- 10:05 开始与外部 IP 通信
- 10:10 大量数据上传 (5GB)
- 10:15 规则触发,生成 Offense
[10:35] Network Activity 分析
- 发现与已知 C2 IP 通信
- 上传方向流量异常
- 端口: 443 (伪装 HTTPS)
[10:45] 联系终端安全团队
- 已远程隔离该主机
- 开始磁盘镜像取证
[11:00] 初步结论
- 确认感染: TrickBot 变种
- 外泄数据: 客户数据库 (约 5GB)
- 感染途径: 钓鱼邮件附件
[下一步]
- 扩大搜索: 检查是否有其他主机感染
- 通知法务/合规部门
- 启动事件响应流程
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━常用 AQL 调查查询
-- 1. 查看特定 IP 在过去 7 天的所有事件
SELECT DATEFORMAT(starttime,'YYYY-MM-dd HH:mm') as time,
QIDNAME(qid) as event_name,
username,
sourceip,
destinationip,
magnitude
FROM events
WHERE sourceip = '192.168.1.100'
OR destinationip = '192.168.1.100'
ORDER BY starttime
LAST 7 DAYS
-- 2. 统计某用户的登录活动
SELECT username,
QIDNAME(qid),
COUNT(*) as count,
MIN(starttime) as first_seen,
MAX(starttime) as last_seen
FROM events
WHERE username = 'zhangsan'
AND CATEGORYNAME(category) = 'Authentication'
GROUP BY username, QIDNAME(qid)
LAST 24 HOURS
-- 3. 发现外部通信异常
SELECT sourceip,
destinationip,
destinationport,
SUM(sourcebytes) as upload_bytes,
COUNT(*) as connections
FROM flows
WHERE destinationip NOT IN REFERENCESET('Internal_Networks')
AND sourceip IN (SELECT sourceip FROM events WHERE offenseid = 12345)
GROUP BY sourceip, destinationip, destinationport
HAVING upload_bytes > 104857600 -- > 100MB
ORDER BY upload_bytes DESC
LAST 24 HOURS
-- 4. 检查账号共享
SELECT username,
COUNT(DISTINCT sourceip) as unique_ips,
ARRAY_AGG(DISTINCT sourceip) as ip_list
FROM events
WHERE CATEGORYNAME(category) = 'Authentication'
AND QIDNAME(qid) = 'Successful Login'
GROUP BY username
HAVING unique_ips > 3
LAST 24 HOURS处置建议矩阵
| 攻击类型 | 即时处置 | 后续措施 | 升级路径 |
|---|---|---|---|
| 恶意软件 | 隔离主机 | 杀毒/重建/取证 | 通知管理层 |
| 暴力破解 | 封锁 IP | 重置密码/启用 MFA | 若成功需升级 |
| 数据外泄 | 阻断连接 | 审计日志/评估影响 | 通知法务/合规 |
| 内部威胁 | 禁用账号 | HR/法务介入 | 保密调查 |
| 误报 | 调整规则 | 更新白名单 | 记录原因 |
配套资源
- 📄
00-official-docs/7.5/IBM_QRadar_7.5_User_Guide.pdf第 5 章 - 📄
06-cheatsheets/aql-cheatsheet.md
上一章:02 - 规则与构建块 下一章:04 - 资产管理