ルール・アクションの作成
TAXII受信トレイ・サービスにシステム上の脅威に関する情報を投稿するルール・アクションを作成できます。
手順
- 「管理」 タブから、以下のようにします。 「アプリケーション」 > 「Threat Intelligence」をクリックし、 「STIX/TAXII 構成」 アイコンをクリックします。
- ルール・アクションの作成 > 「TAXII ルール・アクションの作成」をクリックします。
- 「TAXII ルール・アクションの作成」 ウィンドウの 「接続」 タブで、アップロード先の TAXII エンドポイント の URL を入力します。 デプロイメント環境内の既存の TAXII エンドポイントがリストに表示されます。 既存のエンドポイントを選択すると、対応する認証方式、クライアント証明書、および証明書を無視の各オプションが事前に取り込まれます。
- 関連する 「認証方式」 を選択し、基本 HTTP 認証の場合は 「ユーザー名」 および 「パスワード」 を追加し、 JSON Web Token 認証の場合はトークン・ストリングを追加します。
- TAXII 受信トレイ・サービスでクライアント証明書を使用する場合は、 「ファイルの選択」 をクリックしてシステム上で証明書を見つけて、 QRadar®にアップロードします。 .pem ファイル・タイプのみがサポートされます。
- 鍵ファイルを追加する場合は、 「ファイルの選択」 をクリックしてシステム上で鍵を見つけ、 QRadarにアップロードします。
- 「パラメーター」 タブで、以下のガイドラインを使用して、ルール・アクション・パラメーターを定義します。
- イベント・データの投稿先の TAXII Inbox サービスの名前を「収集」フィールドに入力します。
- 「指標ソース名」 と 「アクション名」に値を入力します。
- 「プロパティー」リストからネットワーク・イベント・プロパティーを選択します。
ネットワーク・イベント・プロパティーは、イベントによって生成される動的な Ariel プロパティーです。 例えば、ネットワーク・イベント・プロパティー sourceip は、トリガーされたイベントのソース IP アドレスに一致するパラメーターを提供します。 パラメーターは、追加した順序でルールに渡されます。
Ariel プロパティーについて詳しくは、「 IBM® QRadar Ariel 照会言語ガイド」を参照してください。
- 脅威に該当する STIX の observable type とインディケーター・タイプを「インディケーター・タイプ (Indicator type)」リストから選択します。
TAXII サーバーに投稿するイベントに該当する observable type を選択します。 QRadarによるカスタム応答の検証は行われません。
- 「保存」をクリックします。
- 「管理」 タブのメイン・ツールバーで、 「変更のデプロイ」をクリックします。
作成したルール・アクションが QRadar 「カスタム・アクション」 ウィンドウに追加されます。 「管理」 タブで 「アクションの定義」 をクリックして表示します。 「カスタム・アクション」ウィンドウで、ルール・アクションを編集または削除でき、その変更内容は Threat Intelligence アプリケーションに反映されます。