QRadar Threat Intelligence の新機能

IBM® QRadar® Threat Intelligence アプリケーションの各リリースの新機能について説明します。

バージョン 2.5.0

STIX 2.1 および TAXII のサポートを追加 2.1
最新の脅威インテリジェンス標準との幅広い互換性を実現。
新しいオブジェクトの導入
  • type (例:マルウェア、インフラストラクチャー)
  • confidence_score
脅威データのコンテキストの強化
ユーザーは、フィードプロバイダーに関係なく、より豊かで実用的な洞察を得ることができる。
複数の STIX 2.1 フォーマットをサポート
脅威フィードのカバレッジとSTIX 2.1 のフォーマットが向上。 QRadar フィードソースに関係なく、不審なIP、ハッシュ、ファイルなどを検出できるようになりました。
コンフィギュレーションの保持
以前は、アップグレード後にすべてのフィード設定が失われました。 TI アプリの最新バージョンにアップグレードしても、すべてのメタデータと設定が保持されるようになりました。
顧客の要望に直接応える
TIアプリを好みのフィードで柔軟に使用したいという100人以上の顧客からの要望に対応。

バージョン2.4.3

  • このアプリケーションは現在、連邦情報セキュリティ近代化法(FISMA)に準拠している。
  • アプリケーションのベースイメージをV22からV4に移行。
  • IBM® X-Force Exchange(XFE) Freemium ユーザーが IP アドレスのツールチップを表示できない問題を修正しました。

バージョン 2.4.2

  • アプリ検証のための証明書署名要求を生成するための更新された CA 証明書。
  • ユーザー・インターフェースのバグ修正。

バージョン 2.4.1

  • 30 万を超える要素を持つ Advanced Threat Protection Feed IOC は、複数のリファレンス・セットを持つようになりました。
  • AQL 検索のパフォーマンスの向上。

バージョン 2.4.0

  • 影響を受ける機能がQRadarコンソールの「ネットワーク・アクティビティー」タブに拡張され、Threat Intelligenceアプリケーションを使用して、QRadarイベントをより完全に調査できるようになりました。
  • X-Force Exchangeの無料層およびIBM Advanced Threat Protectionフィードの有料サブスクリプションのライセンス情報が追加され、ユーザーが使用可能なThreat Intelligence機能を確認できるようになりました。

バージョン 2.3.0

  • パターンの単一監視で、STIX/TAXIIバージョン2.0のサポートが追加されました。
  • ユーザーエクスペリエンス(UX)の向上:
    • フィード・ダウンロード・プログラムのリファレンス・セットへの直接リンク。
    • ATPフィード管理リファレンス・セットへの直接リンク。
    • 脅威インテリジェンスダッシュボードの設定は、従来のSTIX/TAXIIの機能設定と同期されるようになりました。

バージョン 2.2.0

  • すべてのThreat Intelligence機能を、Threat Intelligenceダッシュボードに統合しました。 ルールの作成アクションはダッシュボードではサポートされていませんが、管理者タブの設定ページでは使用できます。
  • 最新のSTIX/TAXIIフィードを含む脅威フィード・ダウンローダー (ベータ)ページが追加されました。
  • IBM X-Force® Exchangeから 「影響の確認」 オプションとの統合が追加されました。 「影響の確認」 オプションは、 IBM QRadar 環境を検索し、 X-Force Exchange コレクションで特定された脅威が発生しやすいかどうかを通知します。 QRadar Threat Intelligence は、STIX/TAXII フィードからの危殆化指標 (IOC) と、リファレンス・セットに保管されている IBM Advanced Threat Protection Feed を QRadar ログと比較します。 いずれかのログに、リファレンス・セットにリストされているインディケーターが含まれている場合、一致するものがイベント・リストに表示されます。

バージョン 2.1.0

  • 「最近のコレクション」ページの名前を「コレクションのハイライト」に変更しました。
  • 「コレクションの強調表示」ページには、「最近のコレクション」と「早期警告」の2つのセクションがあります。
  • 「最近のコレクション」には、X-Force Exchangeによって提供される、4つの最新の実用的な脅威インテリジェンス・コレクションがリストされるようになりました。
  • Early Warningは、Quad9とのIBMのコラボレーションによって日々表面化している数百の新しい悪意のあるドメインに、最新の4つの早期警告フィード・コレクションをリストするようになりました。
  • IBM Advanced Threat Protection Feed Managementページのユーザー・インターフェースが拡張され、データ可視化と分析の効率が向上しました。
  • IBM Advanced Threat Protection Feedと統合するために、Ready for IBM Security Intelligence (RFISI)ルールが更新されました。
  • IBM Security QRadar Analyst Workflowアプリケーションとの統合が追加されました。これにより、オフェンスおよびイベントをフィルタリングするための簡単な方法が提供されます。
  • HTTPSのサポートが追加されました。

バージョン 2.0.0

  • 「最近のコレクション(Recent Collections)」機能、「公開コレクション(Public Collections)」機能、および「影響の確認(Am I Affected)」機能などの重要なX-Force Exchange機能を導入します。
  • QRadarのイベント・ページ上のインディケーターの上にカーソルを移動することで、特定の脅威に関するX-Forceインテリジェンスを提供します。
  • X-ForceによるAdvanced Threat Protection FeedをQRadarに統合することで、実用的なフィードで脅威の先を行くことができます。
  • X-ForceによるAdvanced Threat Protection Feedの視覚化されたビューを提供します。

バージョン 1.4.6

  • 新規 XFE Public Collections I follow 収集からデータを再フェッチするオプションを追加しました。

    最近、新しいXFE Public Collections I follow 収集をフォローし始めた場合は、以前のすべてのデータを再フェッチできます。 再フェッチしない場合は、フォローを開始した後のデータのみを取得します。 特定の日付からデータを再フェッチすることを選択した場合、その日付がフィードの新しい開始日として設定され、署名カウントは、0にリセットされます。 既にこのフィードによって収集されているデータは、リファレンス・セットにそのままの状態で保たれます。

  • TAXII フィードのポーリング間隔のメモリー管理が向上しました。

バージョン 1.4.5

  • STIX 1.2 のみを使用する TAXII フィードにアプリケーションが接続できるように、STIX 1.2 のサポートが追加されました。 このバージョンは、SWIFTフィードをサポートしません。これは、SWIFTフィードが通常のフィードと比較して必要とする追加の認証プロセスが原因です。
  • ポーリング中に、ポーリングの開始時刻、日付、および状況を表示します。
  • TAXII フィードのポーリング間隔のメモリー管理が向上しました。 アプリケーションは、ポーリング・プロセス中の失敗を検出し、要求データの時間フレームを半分である 30 分間に削減します。 ポーリングが失敗するたびに、データの時間フレームは半分に削減され、1 分間になるまで続行されます。 ポーリングの時間フレームが短くなると、各要求で受信するデータが少なくなりますが、ポーリングには長くかかるようになります。 前回のポーリングが正常に終了すると、時間フレームは 60 分間に増大します。
  • 特殊文字を含むリファレンス・セット名に送信された TAXII フィード・データによってエラーが発生するエラーが修正されました。 例えば、UBA: Trusted Usernames です。
  • このアプリケーションは、 QRadar Assistant アプリケーションまたは IBM Security App Exchange から新しいバージョンを入手できるかどうかを自動検出します。これにより、最新のアプリケーション機能をより簡単に最新の状態に保つことができます。

バージョン 1.4.4

  • TAXII フィードのポーリングを一時点で 1 フィードにすることで、パフォーマンスが向上しました。
  • TAXII フィードを追加するときの監視対象タイプとして E メールが追加されました。
  • 証明書エラーを修正するために、Python 2.7 にマイグレーションしました。

バージョン 1.4.3

  • TAXII フィード (米国国土安全保障省など) のクライアント証明書用のクライアント鍵をアップロードする機能が追加されました。
  • プロキシー検証が追加されました。
  • パスワードでの特殊文字の試用を許可するようにアプリケーションが更新されました。
  • RFISI コンテンツが更新されました。

バージョン 1.4.2

IBM Security App Exchange からダウンロードしたアプリケーションをオフラインでインストールする機能が追加されました。

バージョン 1.4.1

  • ログを日次ログ・ファイルに分離し、30 日ごとにこれらのファイルを削除することにより、GDPR へのコンプライアンスが追加されました。
  • TAXII フィードのクライアント証明書用のクライアント鍵をアップロードする機能が追加されました。

バージョン 1.4

  • 脅威フィードまたはルール・アクションを追加するときに、既存の TAXII エンドポイントから選択する機能が追加されました。
  • TAXII エンドポイントごとに複数の収集を追加する機能が追加されました。
  • TAXII フィードの応答に「説明」フィールドがない場合に「収集」リストに空のリストがレンダリングされる問題が修正されました。
  • アプリケーションを V1.1 から V1.2 にアップグレードすると、プロキシーを使用するフィードが破損する場合がある問題が修正されました。

バージョン 1.3

Threat Intelligence ユーザーは、 X-Force Exchangeからコレクションをプルするために無制限に無料でアクセスできるようになりました。

バージョン 1.3 では、以下の問題を修正しています。

  • ユーザー名とパスワードを含むプロキシーと共に脅威情報を使用するフィードが機能できなかった。
  • Inbox サービス名が収集に含まれていた。
  • ポーリングが失敗した場合、アプリケーションがフィードの再ポーリングを続け、他のフィードをポーリングできなかった。
  • アプリケーションが、一部のルート認証局を認識しなかった。
  • クライアント証明書が指定されたときにフィードの編集が機能しなかった。
  • アプリケーションが、フィードの追加時に有効な URL を入力する方法をサポートしていなかったため、XFE URL レポート収集のフィードが機能しなかった。
  • エラー処理が改善されました。

バージョン 1.2

  • 脅威フィードおよびルール・アクションを編集する機能を追加しました。
  • 脅威フィードを編集する際の「ポーリング開始日 (Poll Initial Date)」フィールド内の記述を明確にしました。
  • アプリケーション・フィードがプロキシーを使用して HTTP フィードに接続できない問題が修正されました。

バージョン 1.1.3

  • IBM Security RFISI Content( IBM App Exchange でも別途入手可能)をバンドルし、 IBM QRadar SIEM Console にルールと参照コレクションを追加します。 TAXII フィードからのデータのレシーバーとして動作できるリファレンス・セットが追加され、リファレンス・セットおよびそのリファレンス・セットに含まれているデータに対して動作するルールを手動で作成する必要がなくなりました。
    注: Threat Intelligence アプリケーションを削除した場合、ルールは QRadarに残ります。
  • ユーザーがルールを作成できない問題を修正しました。
  • インターネットに接続していないシステムにアプリケーションをインストールできない問題が修正されました。

バージョン 1.1.2

  • マイナー修正
  • オープン TAXII サーバーに対するディスカバリーとポーリングのサポート
  • 認証トークンを保存できない問題を修正しました。

バージョン 1.1.1

  • オープン TAXII サーバーに対するディスカバリーとポーリングのサポート
  • マイナー修正

バージョン 1.1.0

  • IBM® QRadar® と TAXII サーバーの間を仲介するプロキシー・サーバーを追加できます。
  • プライベート・ルート認証局 (CA) バンドルをアップロードして IBM® QRadar® Threat Intelligence アプリケーションで使用できます。
  • 脅威フィードを追加し、ルール・アクションを作成する際に、クライアント証明を追加します。

バージョン 1.0.2

  • 特定の監視対象タイプがアプリケーションでキャプチャーされない問題が修正されました。 この問題により、ポーリングがデータなしで返されていました。

バージョン 1.0.1

  • システム上の脅威に関する情報を TAXII Inbox サービスに投稿するルール・アクションを作成する機能が追加されたため、より広範なコミュニティーと情報を共有できます。
  • JSON 認証トークンがサポートされます。
  • SSL および SNI 認証がサポートされます。
  • 非認証接続がサポートされます。