Seculert Protection REST API プロトコルの構成オプション

Seculert からイベントを受信するには、Seculert Protection REST API プロトコルを使用するようにログ・ソースを構成します。

Seculert Protection REST API プロトコルは、アクティブな通信または情報の引き出しを行っているマルウェアの確認済みインシデントに関するアラートを提供するアクティブなアウトバウンド・プロトコルです。

重要: Seculert のログ・ソースを構成する前に、以下の手順を使用して Seculert Web ポータルから API 鍵を取得する必要があります。
  1. Seculert Web ポータルにログインします。
  2. ダッシュボードで、 「API」 タブをクリックします。
  3. 「Your API Key」の値をコピーします。
Seculert Protection REST API プロトコルのプロトコル固有のパラメーターについて、以下の表で説明します。
表 1. Seculert Protection REST API プロトコルのパラメーター
パラメーター 説明
ログ・ソース・タイプ Seculert
プロトコル構成 Seculert Protection REST API
ログ・ソース ID

Seculert からのイベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。

複数のインストール済み環境がある場合に作成する追加の各ログ・ソースには、IP アドレスやホスト名などの固有 ID が含まれていることが理想的です。

API 鍵

Seculert Protection REST API での認証に使用される API 鍵。 API キーは、Seculert Web ポータルから取得されます。

プロキシーの使用 (Use Proxy) プロキシーを使用して API にアクセスする場合は、このチェック・ボックスを選択します。

「プロキシー IP またはホスト名 (Proxy IP or Hostname)」「プロキシー・ポート」「プロキシー・ユーザー名」、および「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままでかまいません。

繰り返し (Recurrence) ログがデータを収集する頻度を指定します。 値は、分 (M)、時間 (H)、または日 (D) で指定できます。 デフォルトは 10 分です。
EPS スロットル

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。

拡張オプションを有効にする

構成オプション、サーバーAPI バージョン照会時間間隔信頼できない証明書を許可ワークフローのオーバーライドワークフロー、およびワークフロー・パラメーターを有効にするには、このチェック・ボックスを選択します。

これらのパラメーターは、このチェック・ボックスを選択した場合にのみ表示されます。

サーバー

API 照会を形成するために使用されるサーバー。

例えば、[Server]/1.1/incidents/recordsなどです。

デフォルト値は https://api.seculert.com]../ です。

API バージョン

API 照会を形成するために使用される API バージョン。

例えば、https://api.seculert.com/[API Version]/incidents/recordsなどです。

デフォルト値は 1.1 です。

照会時間間隔 各照会がイベントを収集する最大時間間隔。

例えば、間隔を 15 分に設定した場合、照会は最後の照会時刻から 15 分後までのイベントを収集します。 現在時刻が最後の照会から 15 分未満の場合、照会は最後の照会時刻から現在時刻までのイベントを収集します。

値はミリ秒 (ms) 単位でなければなりません。1000 ミリ秒は 1 秒です。 デフォルト値は 900000 ミリ秒 (15 分) です。

信頼できないものを許可 このパラメーターを有効にすると、プロトコルは、/opt/qradar/conf/trusted_certificates/ディレクトリー内にある自己署名証明書および信頼できない証明書を受け入れることができます。 このパラメーターを無効にすると、スキャナーは、信頼できる署名者によって署名された証明書のみを信頼します。

証明書は、PEM または RED でエンコードされたバイナリー形式で、.crtファイルまたは.certファイルとして保存する必要があります。

「信頼できない証明書を許可」 パラメーターにハードコーディングされた値を含めるようにワークフローを変更すると、UI での選択内容がワークフローによってオーバーライドされます。 このパラメーターをワークフローに含めない場合は、UI での選択が使用されます。

ワークフローのオーバーライド ワークフローをカスタマイズするには、このオプションを有効にします。 このオプションを有効にすると、ワークフロー・パラメーターとワークフロー・パラメーター・パラメーターが表示されます。
ワークフロー

プロトコル・インスタンスがターゲット API からイベントを収集する方法を定義する XML 文書。

デフォルトのワークフローについて詳しくは、 Seculert Protection REST API プロトコルのワークフローを参照してください。

ワークフローのパラメーター

ワークフローによって直接使用されるパラメーター値が含まれている XML 文書。

デフォルトのワークフロー・パラメーターについて詳しくは、 Seculert Protection REST API プロトコルのワークフローを参照してください。

有効 デフォルトでは、このチェック・ボックスは、ログ・ソースがQRadarと通信できるようにするために選択されています。
信頼性

ログ・ソースの「信頼性」を選択します。 範囲は 0 から 10 です。

送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。 複数の送信元が同じイベントを報告する場合、信頼性は高くなります。 デフォルトは 5 です。

ターゲット・イベント・コレクター ログ・ソースのターゲットとして使用する「ターゲット・イベント・コレクター」を選択します。
イベントの統合

ログ・ソースがイベントを統合 (バンドル) できるようにするには、このチェック・ボックスを選択します。

デフォルトでは、自動的にディスカバーされたログ・ソースは、 QRadarの「システム設定」の 「イベントの統合」 リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。

イベント・ペイロードの保管

ログ・ソースがイベント・ペイロード情報を保管できるようにするには、このチェック・ボックスを選択します。

デフォルトでは、自動的に検出されたログ・ソースは、 QRadarの「システム設定」から ストア・イベント・ペイロード リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。