Adición de canales de información de amenazas

Puede añadir y configurar los canales de información sobre amenazas que desee añadir a QRadar.

Antes de empezar

Debe configurar una señal de servicio autorizado para poder configurar una fuente de datos de alimentación de TAXII. Consulte Configuración del descargador de canales de información de amenazas.

Procedimiento

  1. En el menú de navegación del panel de control Inteligencia de amenazas, pulse el icono Descargador de canales de información (Icono para el descargador de canales de información).
  2. Pulse Icono para descargaAñadir canal de información de amenazasy, a continuación, pulse Añadir canal de información TAXII.
  3. En la ventana Añadir canal de información TAXII , pulse la pestaña Conexión y configure las opciones siguientes:
    Opción Descripción

    Punto final de TAXII

    Escriba el URL del servidor TAXII que desea utilizar.

    Los puntos finales TAXII existentes en el despliegue aparecen en una lista. Si elige un punto final existente, las opciones correspondientes se rellenan previamente.

    Nota: Para obtener colecciones de los servidores TAXII 2.0 , consulte TAXII™ API-Collections.

    Versión

    		 Seleccione TAXII 1.x o TAXII 2.0.

    Método de autenticación

    Seleccione la autenticación que desee utilizar y complete las opciones correspondientes en función de su elección.

    El método de autenticación disponible varía en función de la versión de TAXII que seleccione.

    • TAXII 1.x: Ninguna, HTTP básica, Señal web JSON.
    • TAXII 2.0: Ninguna, HTTP básica.

    Certificado de cliente

    Si desea utilizar un certificado de cliente con el servidor TAXII, pulse Seleccionar archivo en el área Certificado de cliente para seleccionar el archivo que desea cargar. Solo se da soporte al tipo de archivo .pem.

    Clave de cliente

    Si el certificado de cliente requiere un archivo de claves, pulse Seleccionar archivo en el área Clave de cliente para examinar la ubicación del archivo y cargarlo.
  4. Pulse Descubrir.
  5. En la ventana Añadir canal de información TAXII , pulse la pestaña Parámetro y configure las opciones siguientes:
    Opción Descripción

    Recopilaciones

    El conjunto de recopilación de datos de TAXII que desea utilizar.

    Tipo observable

    Un observable es un componente de esquema STIX que especifica un objeto sospechoso. Solo se utilizan los observables de este tipo. El resto se ignora.

    Intervalos de sondeo

    Frecuencia con la que QRadar Threat Intelligence sondea el servidor TAXII. El intervalo de sondeo predeterminado es cada hora.

    Fecha inicial de sondeo

    El periodo de tiempo que cubre el sondeo inicial. Puede elegir sondear datos en incrementos de minutos, horas o días.

    Conjunto de referencia

    Si desea añadir elementos que están basados en una fuente de datos de alimentación de TAXII nueva a un conjunto de referencia dedicado, debe configurarlo por adelantado. Para obtener más información sobre los conjuntos de referencia, consulte la publicación IBM QRadar Guía de administración.
  6. Pulse Añadir. Puede añadir varias recopilaciones ilimitadas al mismo punto final TAXII, o puede continuar para crear este canal de información.
  7. Cuando termine de crear los canales de información, pulse Siguiente.
  8. En la ventana Añadir canal de información TAXII , pulse la pestaña Resumen para comprobar los parámetros de configuración antes de implementar el canal de información de amenazas y, a continuación, pulse Guardar.

Resultados

Las colecciones de canales de información sobre amenazas se muestran en la página Descarga de canales de información sobre amenazas. La característica Estoy afectado compara los indicadores de canal de información STIX/TAXII que se almacenan en el conjunto de referencia con los registros de QRadar . Las coincidencias se muestran en la lista de sucesos. Pulse el icono Ver resultado Icono para Ver resultado para ver los sucesos.