ルール・アクションの作成

TAXII受信トレイ・サービスにシステム上の脅威に関する情報を投稿するルール・アクションを作成できます。

手順

  1. 「管理」 タブから、以下のようにします。 「アプリケーション」 > 「Threat Intelligence」をクリックし、 「STIX/TAXII 構成」 アイコンをクリックします。
  2. ルール・アクションの作成 > 「TAXII ルール・アクションの作成」をクリックします。
  3. 「TAXII ルール・アクションの作成」 ウィンドウの 「接続」 タブで、アップロード先の TAXII エンドポイント の URL を入力します。
    デプロイメント環境内の既存の TAXII エンドポイントがリストに表示されます。 既存のエンドポイントを選択すると、対応する認証方式クライアント証明書、および証明書を無視の各オプションが事前に取り込まれます。
  4. 関連する 「認証方式」 を選択し、基本 HTTP 認証の場合は 「ユーザー名」 および 「パスワード」 を追加し、 JSON Web Token 認証の場合はトークン・ストリングを追加します。
  5. TAXII 受信トレイ・サービスでクライアント証明書を使用する場合は、 「ファイルの選択」 をクリックしてシステム上で証明書を見つけて、 QRadar®にアップロードします。 .pem ファイル・タイプのみがサポートされます。
  6. 鍵ファイルを追加する場合は、 「ファイルの選択」 をクリックしてシステム上で鍵を見つけ、 QRadarにアップロードします。
  7. 「パラメーター」 タブで、以下のガイドラインを使用して、ルール・アクション・パラメーターを定義します。
    • イベント・データの投稿先の TAXII Inbox サービスの名前を「収集」フィールドに入力します。
    • 「指標ソース名」 「アクション名」に値を入力します。
    • 「プロパティー」リストからネットワーク・イベント・プロパティーを選択します。

      ネットワーク・イベント・プロパティーは、イベントによって生成される動的な Ariel プロパティーです。 例えば、ネットワーク・イベント・プロパティー sourceip は、トリガーされたイベントのソース IP アドレスに一致するパラメーターを提供します。 パラメーターは、追加した順序でルールに渡されます。

      Ariel プロパティーについて詳しくは、「 IBM® QRadar Ariel 照会言語ガイド」を参照してください。

    • 脅威に該当する STIX の observable type とインディケーター・タイプを「インディケーター・タイプ (Indicator type)」リストから選択します。

      TAXII サーバーに投稿するイベントに該当する observable type を選択します。 QRadarによるカスタム応答の検証は行われません。

  8. 「保存」をクリックします。
  9. 「管理」 タブのメイン・ツールバーで、 「変更のデプロイ」をクリックします。

    作成したルール・アクションが QRadar 「カスタム・アクション」 ウィンドウに追加されます。 「管理」 タブで 「アクションの定義」 をクリックして表示します。 「カスタム・アクション」ウィンドウで、ルール・アクションを編集または削除でき、その変更内容は Threat Intelligence アプリケーションに反映されます。