脅威インテリジェンスのマップ
オフェンス分析を強化するために、 IBM® QRadar® 脅威インテリジェンス・データを QRadar Advisor with Watson アプリケーションのプロパティー名にマップできます。
始める前に
脅威インテリジェンス・リファレンス・セットをマップするには、 QRadar 管理者特権が必要です。
脅威インテリジェンス・データから最良の結果を得るには、すべてのカスタム・プロパティーが QRadar Advisor with Watson アプリケーションにマップされていることを確認してください。 詳しくは、 カスタム・プロパティーのマッピングを参照してください。
このタスクについて
「ローカル脅威インテリジェンス相関を有効にする」チェック・ボックスは、デフォルトで選択されています。 リファレンス・セットのWatson Advisor: Hash、Watson Advisor: IpAddress、および Watson Advisor: DomainName はすべて、デフォルトでマップされています。 以下に、V2.5.0 以降の脅威インテリジェンスのマッピングのデフォルト構成の画面を示します。

リファレンス・セットに含まれているローカル脅威インテリジェンス・データを QRadar Advisor with Watson アプリケーションのプロパティー名に相関させるように、脅威インテリジェンス・マッピングを構成します。 QRadar Advisor with Watson アプリケーションは、構成済みで使用可能な既存の脅威インテリジェンス・データを相関させることができます。
- ユーザー名
- ドメイン
- ハッシュ
- URL
- AV シグニチャー (AVSignature)
- 「ファイル名」では、英数字、および大/小文字が区別されない英数字がサポートされています。
- 「IP アドレス」では、英数字、大/小文字が区別されない英数字、および IP アドレスがサポートされています。
脅威インテリジェンス・リファレンス・セットと一致する観察事項が見つかると、ナレッジ・グラフの観察事項アイコンが赤色で表示され、毒性が 1.0 に設定されます。 赤色の観察事項をクリックして詳細ペインを開き、一致したリファレンス・セットを表示できます。