Aggiunta di feed di intelligence delle minacce

È possibile aggiungere e configurare i feed di intelligence delle minacce che si desidera aggiungere a QRadar.

Prima di iniziare

È necessario configurare un token di servizio autorizzato prima di poter configurare un feed TAXII. Consultare Configurazione di Threat Feeds Downloader.

Procedura

  1. Dal menu di navigazione sul dashboard Threat Intelligence, fare clic su Downloader dei feed (Icona per Downloader feed).
  2. Fare clic su Icona per il downloadAggiungi feed minaccia, quindi fare clic su Aggiungi feed TAXII.
  3. Nella finestra Aggiungi feed TAXII , selezionare la scheda Connessione e configurare le seguenti opzioni:
    Opzione Descrizione

    Endpoint TAXII

    Immettere l' URL del server TAXII che si desidera utilizzare.

    Gli endpoint TAXII esistenti nella distribuzione vengono visualizzati in un elenco. Se si sceglie un endpoint esistente, le opzioni corrispondenti vengono prepopolate.

    Nota: per ottenere le raccolte dai server TAXII 2.0 , consultare TAXII™ API - Collections.

    Versione

    		 Selezionare TAXII 1.x oTAXII 2.0.

    Metodo di autenticazione

    Selezionare l'autenticazione che si desidera utilizzare e completare le opzioni corrispondenti in base alla propria scelta.

    Il metodo di autenticazione disponibile varia in base alla versione TAXII selezionata.

    • TAXII 1.x: Nessuno, HTTP Basic, JWT (JSON Web Token).
    • TAXII 2.0: Nessuno, HTTP Base.

    Certificato client

    Se si desidera utilizzare un certificato client con il server TAXII, fare clic su Scegli file nell'area Certificato client per selezionare il file che si desidera caricare. È supportato solo il tipo di file .pem .

    Chiave client

    Se il certificato client richiede un file di chiavi, fare clic su Scegli file nell'area Chiave client per individuare l'ubicazione del file e caricarla.
  4. Fare clic su Rileva.
  5. Nella finestra Aggiungi feed TAXII , selezionare la pagina Parametro e configurare le seguenti opzioni:
    Opzione Descrizione

    Raccolte

    La serie di raccolta dati TAXII che si desidera utilizzare.

    Tipo osservabile

    Un osservabile è un componente dello schema STIX che specifica un oggetto sospetto. Vengono utilizzati solo elementi osservabili di questo tipo. Tutti gli altri vengono ignorati.

    Intervalli di polling

    La frequenza con cui QRadar Threat Intelligence esegue il polling del server TAXII. L'intervallo di polling predefinito è orario.

    Data iniziale sondaggio

    Il periodo di tempo coperto dal polling iniziale. È possibile scegliere di eseguire il polling dei dati con incrementi di minuti, ore o giornalieri.

    Serie di riferimento

    Se si desidera aggiungere elementi basati su un nuovo feed TAXII a una serie di riferimento dedicata, è necessario impostarli in anticipo. Per ulteriori informazioni sulle serie di riferimento, consultare IBM QRadar Administration Guide.
  6. Fare clic su Aggiungi. È possibile aggiungere più raccolte illimitate allo stesso endpoint TAXII oppure continuare a creare questo feed.
  7. Una volta terminata la creazione dei feed, fare clic su Successivo.
  8. Nella finestra Aggiungi feed TAXII , selezionare la scheda Riepilogo per controllare i parametri di configurazione prima di implementare il feed di intelligence delle minacce e fare clic su Salva.

Risultati

Le raccolte di feed delle minacce vengono visualizzate nella pagina Downloader dei feed delle minacce . La funzione Sono interessato confronta gli indicatori di feed STIX/TAXII memorizzati nella serie di riferimento con i log QRadar . Le corrispondenze vengono visualizzate nell'elenco eventi. Fare clic su Visualizza risultato Icona per il risultato della vista per vedere gli eventi.