Connessione a un'origine dati STIX Bundle

Modifica in linea

Connettere l'origine dati STIX Bundle alla piattaforma per consentire alle applicazioni e ai dashboard di raccogliere e analizzare i dati di sicurezza STIX Bundle . I connettori Universal Data Insights abilitano la ricerca federata tra i tuoi prodotti di sicurezza.

Structured Threat Information eXpression (STIX) è un formato di lingua e serializzazione. Un STIX Bundle è una raccolta di oggetti STIX e definizioni di contrassegno raggruppati in un singolo contenitore. Le organizzazioni possono condividere CTI (cyberthreat intelligence) utilizzando gli oggetti STIX . Le definizioni di marcatura sono utilizzate come requisiti per la gestione e la condivisione dei dati CTI.

Prima di iniziare

Assicurarsi che venga generato un STIX Bundle valido. Per convalidare un file STIX Bundle , è possibile utilizzare lo script di convalida del bundle memorizzato nella cartella bundle_validator del repository STIX-Shifter GitHub . Per convalidare e risolvere i problemi del file JSON del bundle, seguire le istruzioni nel file README.md .

Fornire accesso a un file JSON che contiene un STIX Bundlevalido. Il file JSON può essere caricato su un server web, in cloud storage o in qualsiasi posizione accessibile tramite richiesta HTTP. Facoltativamente, l'URL del file JSON può avere un requisito di autenticazione di base.

In alternativa, è possibile configurare un adattatore per scopi dimostrativi non collegato ad alcuna fonte di dati reale. Questo connettore fittizio restituisce sempre i dati di esempio nello stesso modo in cui restituisce i dati da IBM® QRadar, Splunk Enterprise Securityo Carbon Black CB Response. Ad esempio, un amministratore può configurare il connettore tramite l'interfaccia utente e un utente Data Explorer può quindi eseguire query sul connettore e visualizzare risultati di esempio.

Se hai un firewall tra il tuo cluster e la destinazione dell'origine dati, utilizza IBM Security Edge Gateway per ospitare i contenitori. Edge Gateway deve essere V1.6 o successiva. Per ulteriori informazioni, vedi Configurazione di Edge Gateway.

Informazioni su questa attività

Per interrogare un file STIX Bundle, il bundle deve essere STIX 2.0 e deve contenere oggetti di dati osservati.

Procedura

  1. Andare a Menu > Connessioni > Origini dati.
  2. Nella scheda Origini dati , fare clic su Connetti un'origine dati.
  3. Fare clic su Bundle STIX, quindi su Avanti.
  4. Configurare la connessione all'origine dati
    1. Nel campo Nome origine dati , assegnare un nome per identificare in modo univoco la connessione all'origine dati.
      È possibile creare più istanze di connessione a una origine dati in modo che sia utile distinguerle chiaramente per nome. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    2. Nel campo Descrizione origine dati , scrivere una descrizione per indicare lo scopo della connessione dell'origine dati.
      È possibile creare più istanze di connessione a una origine dati, quindi è utile indicare chiaramente lo scopo di ciascuna connessione in base alla descrizione. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    3. Se hai un firewall tra il tuo cluster e la destinazione dell'origine dati, utilizza Edge Gateway per ospitare i contenitori. Nel campo Edge gateway (facoltativo) , specificare quale Edge Gateway utilizzare.
      Selezionare un Edge Gateway per ospitare il connettore. Potrebbero essere necessari fino a cinque minuti per visualizzare lo stato delle connessioni alle origini dati appena distribuite su Edge Gateway come connesse.
    4. Nel campo URL completo di un file stix - bundle , impostare l'URL del file JSON STIX Bundle in modo che la piattaforma possa comunicare con esso. Queste informazioni sono obbligatorie.
      In alternativa, è possibile utilizzare i seguenti URL per configurare una connessione di origine dati fittizio che sia solo a fini dimostrativi. Gli URL di STIX Bundle contengono dati di esempio per le rispettive origini dati.
      • CloudWatch: https://raw.github.com/opencybersecurityalliance/stix-shifter/develop/data/cybox/aws/aws_cloudwatch_logs_19062020.json
      • QRadar®: https://raw.github.com/opencybersecurityalliance/stix-shifter/develop/data/cybox/qradar/qradar_observed_2000.json
      • Splunk: https://raw.github.com/opencybersecurityalliance/stix-shifter/develop/data/cybox/splunk/splunk_observed_1143.json
      • Carbon Black CB Response: https://raw.github.com/opencybersecurityalliance/stix-shifter/develop/data/cybox/carbon_black/cb_observed_156.json
  5. Impostare i parametri di query per controllare il comportamento della query di ricerca sull'origine dati
    1. Nel campo Limite ricerca simultanea , impostare il numero di connessioni simultanee che possono essere effettuate all'origine dati. Il limite predefinito per il numero di connessioni è di 4. Il valore non deve essere minore di 1 e non deve essere maggiore di 100.
    2. Nel campo Limite timeout di ricerca query , impostare il limite di tempo in minuti per il tempo di esecuzione della query sull'origine dati. Il limite di tempo predefinito è di 30 minuti. Quando il valore è impostato su zero, non si verifica alcun timeout. Il valore non deve essere minore di 1 e non deve essere maggiore di 120.
    3. Nel campo Intervallo di tempo query , impostare l'intervallo di tempo in minuti per la ricerca, rappresentato come gli ultimi X minuti. Il valore predefinito è 5 minuti. Il valore non deve essere minore di 1 e non deve essere maggiore di 10.000.
  6. Facoltativo: se è necessario personalizzare l'associazione degli attributi STIX, fare clic su Personalizza associazione attributi e modificare il blob JSON per associare le proprietà nuove o esistenti ai campi dell'origine dati di destinazione associati.
  7. Configurare l'identità e l'accesso.
    1. Fare clic su Aggiungi una configurazione.
    2. Nel campo Nome configurazione , immettere un nome univoco per descrivere la configurazione di accesso e distinguerla dalle altre configurazioni di accesso per questa connessione all'origine dati che è possibile impostare. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    3. Nel campo Descrizione configurazione , immettere una descrizione univoca per descrivere la configurazione di accesso e distinguerla dalle altre configurazioni di accesso per questa connessione all'origine dati che è possibile impostare. Sono consentiti solo caratteri alfanumerici e i seguenti caratteri speciali: - . _
    4. Fare clic su Modifica accesso e scegliere quali utenti possono connettersi all'origine dati e il tipo di accesso.
    5. Nel campo Nome utente (facoltativo) , immettere un nome utente con accesso all'API di ricerca.
    6. Nel campo Password (facoltativa) , immettere la password per tale nome utente.
    7. Fare clic su Aggiungi.
    8. Per salvare la propria configurazione e stabilire la connessione, fare clic su Fine.
    È possibile visualizzare la configurazione della connessione all'origine dati aggiunta in Connections nella pagina delle impostazioni dell'origine dati. Un messaggio sulla scheda indica la connessione con l'origine dati.
    Quando si aggiunge un'origine dati, potrebbero essere necessari alcuni minuti prima che l'origine dati venga visualizzata come connessa.
    Suggerimento: dopo aver connesso un'origine dati, potrebbero essere necessari fino a 30 secondi per richiamare i dati. Prima che venga restituito il dataset completo, l'origine dati potrebbe essere visualizzata come non disponibile. Una volta restituiti i dati, l'origine dati viene visualizzata come connessa e si verifica un meccanismo di polling per convalidare lo stato della connessione. Lo stato della connessione è valido per 60 secondi dopo ogni polling.

    È possibile aggiungere altre configurazioni di connessione per questa sorgente dati che hanno utenti diversi e differenti permessi di accesso ai dati.

  8. Per modificare le configurazioni, completare la seguente procedura:
    1. Nella scheda Origini dati , selezionare la connessione all'origine dati che si desidera modificare.
    2. Nella sezione Configurazioni , fare clic su Modifica configurazione (Icona Modifica configurazione).
    3. Modificare i parametri di identità e di accesso e fare clic su Salva.

Risultati

Se si utilizzano gli URL forniti per configurare una connessione di origine dati fittizia, come descritto nel passo 6, tali URL contengono solo dati di esempio. Pertanto, le query all'origine dati non restituiscono dati a meno che la query non si basi sui dati di esempio. Le seguenti semplici query di esempio restituiscono i risultati in base ai dati di esempio contenuti negli URL.

[ ipv4-addr:value != '127.0.0.1' ]
[ network-traffic:src_ref.value != '127.0.0.1' ]
[ network-traffic:dst_port = 443 ]
[ user-account:user_id = 'test' ]

Operazioni da eseguire successivamente

Verificare la connessione eseguendo una query con IBM Security Data Explorer. Per utilizzare Data Explorer, è necessario disporre di origini dati connesse in modo che l'applicazione possa eseguire query e richiamare risultati in una serie unificata di origini dati. I risultati della ricerca variano a seconda dei dati che sono contenuti nelle tue origini dati configurate. Per ulteriori informazioni su come creare una query in Data Explorer, vedi Crea una query.