IBM Security Randori REST API プロトコルの構成オプション

IBM Security Randori® からイベントを受信するには、 IBM Security Randori REST API プロトコルと通信するようにログ・ソースを設定する。

IBM Security Randori REST API プロトコルは、組織の攻撃対象領域の変化に関するアラートを提供するアクティブなアウトバウンド・プロトコルです。 例えば、ディスカバーされた新規ターゲットなどです。

重要: Randoriのログ・ソースを構成する前に、 Randori Web ポータルから API キー を取得する必要があります。

この値の取得について詳しくは、 API トークンの追加方法 (https://www.ibm.com/docs/en/SSD5I5K/intapi_api_AddAPIToken.html) を参照してください。

以下の表で、 IBM Security Randori REST API プロトコル用のプロトコル固有のパラメーターについて説明します。

表 1. IBM Security Randori REST API プロトコル・パラメーター
パラメーター 説明
プロトコル構成 IBM セキュリティ乱取 REST API
ログ・ソース ID

ログ・ソースの固有名を入力します。

「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 「ログ・ソース名」と同じ値にすることもできます。 複数の IBM Security Randori ログ・ソースが構成されている場合は、それぞれに固有の名前を付けてください。

INSTANCE

インスタンス値は、 Randori にアクセスする際に使用する URL です。例えば、app2.randori.ioInstance 値の構造は以下のとおりです。

app[#].randori.io

ここで、 [#] は、 Randori インスタンスにアクセスするために必要な場合がある番号です。

API 鍵 IBM Security Randori REST API にアクセスするために使用される API キー。

この値の取得について詳しくは、 API トークンの追加方法 (https://www.ibm.com/docs/en/SSD5I5K/intapi_api_AddAPIToken.html) を参照してください。

最小優先順位スコア 選択した優先順位スコアを使用して新規ターゲットをフィルタリングします。
  • -すべての新規ターゲット
  • -20 より大きい優先順位を持つ新規ターゲット
  • -優先順位が 30 以上の新規ターゲット
Minimum Temptation (最小誘惑) 変更された誘惑値を持つ既存のターゲットをフィルタリングします。 このフィルターは、選択した誘惑値に基づいています。
  • -テンプテーション値が変更されたすべてのターゲット
  • -14 より大きい誘惑値を持つターゲット。
  • 「高」 -誘惑値が 29 より大きいターゲット
  • クリティカル -誘惑の値が 39 より大きいターゲット。
プロキシーの使用 (Use Proxy) プロキシーを使用して API にアクセスする場合は、このチェック・ボックスを選択します。

「プロキシー IP またはホスト名 (Proxy IP or Hostname)」「プロキシー・ポート」「プロキシー・ユーザー名」、および「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままでかまいません。

繰り返し (Recurrence) ログがデータを収集する頻度を指定します。 値は、分 (M)、時間 (H)、または日 (D) で指定できます。 デフォルトは、1 分です。
EPS スロットル

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。

拡張オプションを有効にする

このチェック・ボックスを選択すると、 「信頼できないものを許可」 および 「ワークフローのオーバーライド」という構成オプションが有効になります。

これらのパラメーターは、このチェック・ボックスを選択した場合にのみ表示されます。

履歴データの初期日数 現在日付の何日前にヒストリカル・データを収集するかを入力します。 新しいログ・ソースを構成すると、 IBM QRadar によって以下が生成されます。New Target入力した日数内の最初の表示日付を持つ既存のターゲットのイベント。 この値は、ログ・ソースが初めて実行される前にのみ使用されます。
信頼できないものを許可 このパラメーターを有効にすると、プロトコルは、/opt/qradar/conf/trusted_certificates/ディレクトリー内にある自己署名証明書および信頼できない証明書を受け入れることができます。 このパラメーターを無効にすると、スキャナーは、信頼できる署名者によって署名された証明書のみを信頼します。

証明書は、PEM または RED でエンコードされたバイナリー形式で、.crtファイルまたは.certファイルとして保存する必要があります。

「信頼できない証明書を許可」 パラメーターにハードコーディングされた値を含めるようにワークフローを変更すると、UI での選択内容がワークフローによってオーバーライドされます。 このパラメーターをワークフローに含めない場合は、UI での選択が使用されます。

ワークフローのオーバーライド ワークフローをカスタマイズするには、このオプションを有効にします。 このオプションを有効にすると、ワークフロー・パラメーターとワークフロー・パラメーター・パラメーターが表示されます。
ワークフロー

プロトコル・インスタンスがターゲット API からイベントを収集する方法を定義する XML 文書。

デフォルト・ワークフローについて詳しくは、 IBM Security Randori REST API プロトコルのワークフローを参照してください。

ワークフローのパラメーター

ワークフローによって直接使用されるパラメーター値が含まれている XML 文書。

デフォルトのワークフロー・パラメーターについて詳しくは、 IBM Security Randori REST API プロトコルのワークフローを参照してください。