Cyber Adversary Framework Mapping Application の構成

IBM® QRadar®のローカル・インスタンスからデータを要求するためにアプリが使用するバックグラウンド・サービスを認証するために、許可サービス・トークンを作成する必要があります。

始める前に

2.6.0では、 QRadar Use Case ManagerQRadar Advisor with Watson と共にインストールされ、 QRadar Use Case Manager のバージョンは 2.3.1に更新されます。 QRadar Use Case Manager には、MITRE ATT & CK のマッピングと視覚化が含まれています。 QRadar Use Case Managerの指示に従う必要があります。 詳しくは、 QRadar Use Case Managerを参照してください。
重要: QRadar Advisor with Watson 2.5.3 以前を使用している場合は、 QRadar Advisor with Watsonに組み込まれている Cyber Adversary Framework Mapping Application アプリケーションを使用できます。 QRadar Use Case Manager と Cyber Adversary Framework Mapping Application の両方を同時に使用しないでください。使用すると、非同期の問題が発生します。

許可サービス・トークンを作成するには、QRadar 管理者特権が必要です。

以下の手順は、 QRadar Use Case Managerではなく、Cyber Adversary Framework Mapping Application に適用されます。

このタスクについて

Cyber Adversary Framework Mapping Application で最新の Cyber Adversary Framework Mapping Application コンテンツを入手するための許可サービス・トークンを作成する必要があります。
注: QRadar Advisor with Watson アプリケーションは、MITRE ATT & CK 戦術を CRE ルールに自動的にマップします。 Cyber Adversary Framework Mapping Application を使用すると、カスタム・ルールを特定の戦術にマップできます。

手順

  1. ナビゲーション・メニュー ( ナビゲーション・メニュー・アイコン ) で、 「管理」をクリックします。
  2. QRadar 7.3.3 以降では、 「アプリケーション」 > 「Cyber Adversary Framework Mapping Application」 > 「構成」をクリックします。
    戦術アプリ
  3. 「設定」 アイコンをクリックします。
  4. 「許可トークン」 タブで、 「許可サービスの管理」 リンクをクリックします。
  5. 「許可サービスの管理」 ウィンドウで、 「許可サービスの追加」をクリックします。
  6. 以下のフィールドに関連情報を追加して、 「サービスの作成」をクリックします。
    1. 「サービス名」 フィールドに、この許可サービスの名前を入力します。 名前の長さは 255 文字まで可能です。
    2. 「ユーザー役割」 リストから、ユーザー・タイプに適切な役割を選択します。
    3. 「セキュリティー・プロファイル」 リストから、この許可サービスに割り当てるセキュリティー・プロファイルを選択します。 セキュリティー・プロファイルは、このサービスが QRadar ユーザー・インターフェースでアクセスできるネットワークおよびログ・ソースを決定します。
    4. 「有効期限日付」 リストで、このサービスを有効期限切れにする日付を入力または選択します。 有効期限日付が不要な場合は、「期限なし」を選択します。
  7. 作成したサービスを含む行をクリックし、メニュー・バーの 「選択されたトークン」 フィールドからトークン・ストリングを選択してコピーし、 「許可サービスの管理」 ウィンドウを閉じます。
  8. 管理トークン・ストリングを 「管理トークン」 フィールドに貼り付けます。
  9. 「トークンの保存」をクリックします。
  10. プロキシーがある場合は、 「プロキシー設定」 タブをクリックし、 「プロキシーの使用」 チェック・ボックスを選択します。
  11. プロキシーに使用するセキュア・プロトコルのタイプを以下から選択します。
    • HTTPS
    • SOCKS5
  12. プロキシー・サーバーがユーザー名とパスワードを必要としない場合は、 「認証を無効にする」 チェック・ボックスを選択します。
    • 「プロキシー・サーバー」フィールドに、プロキシー・サーバーの URL を入力します。 プロキシー・サーバーが必要となるのは、アプリケーション・サーバーがインターネットに接続するためにプロキシー・サーバーを使用する場合です。
    • 「プロキシー・ポート」フィールドに、プロキシー・サーバーのポート番号を入力します。
    • 「プロキシー・ユーザー名」フィールドに、プロキシー・サーバーのユーザー名を入力します。 ユーザー名が必要となるのは、認証済みプロキシーを使用する場合です。
    • 「プロキシー・パスワード」フィールドに、プロキシー・サーバーのパスワードを入力します。 パスワードが必要となるのは、認証済みプロキシーを使用する場合です。
  13. QRadar インスタンスと X-Force® Exchangeの間のプロキシー通信用のカスタム SSL 証明書がある場合は、 「カスタム SSL 証明書の検証を有効にする」 チェック・ボックスを選択します。
  14. ファイル・アップロード・アイコン カスタム SSL 証明書ファイルのアップロード・アイコン をクリックし、カスタム SSL 証明書を選択します。 サポートされるのは .pem ファイルのみです。
  15. 「構成の保存」をクリックします。

「プロキシー構成」画面