脅威インテリジェンスのマップ

オフェンス分析を強化するために、 IBM® QRadar® 脅威インテリジェンス・データを QRadar Advisor with Watson アプリケーションのプロパティー名にマップできます。

始める前に

脅威インテリジェンス・リファレンス・セットをマップするには、 QRadar 管理者特権が必要です。

脅威インテリジェンス・データから最良の結果を得るには、すべてのカスタム・プロパティーが QRadar Advisor with Watson アプリケーションにマップされていることを確認してください。 詳しくは、 カスタム・プロパティーのマッピングを参照してください。

注意:
リファレンス・セットに一致するかどうかは、カスタム・イベント・プロパティーで構成された値に基づいて判別されます。 例えば、URL のカスタム・イベント・プロパティーが「www.ibm.com」をキャプチャーする場合は、リファレンス・セット内の一致する値も「www.ibm.com」である必要があります。 「http://www.ibm.com」などの値は一致しません。

このタスクについて

「ローカル脅威インテリジェンス相関を有効にする」チェック・ボックスは、デフォルトで選択されています。 リファレンス・セットのWatson Advisor: HashWatson Advisor: IpAddress、および Watson Advisor: DomainName はすべて、デフォルトでマップされています。 以下に、V2.5.0 以降の脅威インテリジェンスのマッピングのデフォルト構成の画面を示します。

脅威インテリジェンスの構成画面

リファレンス・セットに含まれているローカル脅威インテリジェンス・データを QRadar Advisor with Watson アプリケーションのプロパティー名に相関させるように、脅威インテリジェンス・マッピングを構成します。 QRadar Advisor with Watson アプリケーションは、構成済みで使用可能な既存の脅威インテリジェンス・データを相関させることができます。

以下のリファレンス・セット・タイプがサポートされています。
  • ユーザー名
  • ドメイン
  • ハッシュ
  • URL
  • AV シグニチャー (AVSignature)
  • 「ファイル名」では、英数字、および大/小文字が区別されない英数字がサポートされています。
  • 「IP アドレス」では、英数字、大/小文字が区別されない英数字、および IP アドレスがサポートされています。

脅威インテリジェンス・リファレンス・セットと一致する観察事項が見つかると、ナレッジ・グラフの観察事項アイコンが赤色で表示され、毒性が 1.0 に設定されます。 赤色の観察事項をクリックして詳細ペインを開き、一致したリファレンス・セットを表示できます。

注: 脅威インテリジェンス・データは、ローカルおよび拡張ローカル・コンテキスト分析にのみ含まれます。

手順

  1. ナビゲーション・メニュー ( ナビゲーション・メニュー・アイコン ) で、 「管理」をクリックします。
  2. 「アプリケーション」セクションの「 QRadar Advisor with Watson」の下で、 「構成」をクリックします。
  3. 「オプション設定」 をクリックして、 「オプション設定」 メニュー・ページを開きます。
  4. 「脅威インテリジェンス」をクリックします。
  5. 「ローカル脅威インテリジェンスの相関を有効にする」 チェック・ボックスを選択します。
  6. 相関させる正規プロパティー名を選択して、 「編集」をクリックします。
  7. 「使用可能なリファレンス・セット」 リストから、1 つ以上のリファレンス・セットを選択し、下矢印をクリックしてそれらを 「選択されたリファレンス・セット」 リストに追加できます。
    注: すべての正規タイプは、1 つ以上のリファレンス・セットにマップできます。
  8. 「実行」をクリックします。