RFISI

IBM Security QRadar Ready for IBM Security Intelligence (RFISI) Content Extension を使用して、RFISI Threat Intelligence アプリを補完します。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM Security QRadar RFISI コンテンツ拡張 V1.0.1

以下のビルディング・ブロックは、デフォルトで QRadar に既に含まれているため、 IBM Security QRadar RFISI コンテンツ拡張 V1.0.1では削除されています。

  • BB:HostDefinition: Mail Servers
  • BB:HostReference: Mail Servers
  • BB:PortDefinition: Mail Ports

次の表では、 IBM Security QRadar RFISI コンテンツ拡張 V1.0.1で更新されたリファレンス・セットを示しています。

表 1. IBM セキュリティー QRadar RFISI コンテンツ拡張 V1.0.1 のリファレンス・セット
名前 説明
Malicious URLs refset エレメント・タイプを英数字 (大/小文字は無視) に変更しました。
Malware URLs refset エレメント・タイプを英数字 (大/小文字は無視) に変更しました。
フィッシング URL refset エレメント・タイプを英数字 (大/小文字は無視) に変更しました。
不正なプロセス名 refset エレメント・タイプを英数字 (大/小文字は無視) に変更しました。
マルウェア・ホスト名 refset エレメント・タイプを英数字 (大/小文字は無視) に変更しました。
Malware Hashes MD5 refset エレメント・タイプを英数字 (大/小文字は無視) に変更しました。
Malware Hashes SHA refset エレメント・タイプを英数字 (大/小文字は無視) に変更しました。

IBM Security QRadar RFISI コンテンツ拡張 V1.0.0

次の表では、 IBM Security QRadar RFISI コンテンツ拡張 V1.0.0のルールおよびビルディング・ブロックを示しています。

表 2. IBM セキュリティー QRadar RFISI コンテンツ拡張 V1.0.0 のルール
名前 説明
RFISI: URL との内部通信 マルウェアをホストすることが判明している URL を内部クライアントがロードした場合に通知します。
RFISI: ホスティング・マルウェアへの内部接続 マルウェアをホストしていると考えられる IP アドレスと内部システムが通信した場合に通知します。
RFISI: ボットネット・コマンドおよび制御による内部接続 ボットネット・コマンドおよび制御サーバーであることが判明している IP アドレスと内部ホストが通信した場合に通知します。
RFISI: Anonymizer ホストと通信する内部ホスト 内部ホストが匿名のプロキシーまたは VPN を使用していることが考えられる場合に通知します。 これは一般にポリシー違反を示していますが、内部の脅威アクティビティーを示している可能性もあります。
RFISI: メール・サーバーからスパム・サーバーへのメール送信 スパムを送信することが判明している IP アドレスと内部メール・サーバーが通信した場合に通知します。 通常、正規のメール・サーバーがスパム・サーバーと見なされることはないため、これは不正なアクティビティーまたは内部の感染を示している可能性があります。
RFISI: 内部メール・サーバーに送信されるフィッシング E メール フィッシング・キャンペーンに関連しているサーバーからメールを受信した場合に通知します。 内部者が攻撃対象となっていることを示している可能性があります。
BB:HostReference: Mail Servers 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
BB:HostDefinition: Mail Servers 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。
BB:PortDefinition: Mail Ports 更新はありません。 別のルールに依存しているため、拡張フレームワークに組み込む必要があります。

次の表では、 IBM Security QRadar RFISI コンテンツ拡張 V1.0.0のリファレンス・データを示しています。

表 3. IBM セキュリティー QRadar RFISI コンテンツ拡張 V1.0.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット マルウェアの送信者 悪意のある E メール (ウィルス/マルウェアの添付ファイル、および html エクスプロイト) を送信することが判明しているメール・ホストの IP アドレスを取得します。 プロバイダーがこれらとその他のスパムを区別しない場合は、すべてを「Spam Senders」セットに入れてください。
リファレンス・セット Anonymizer IPs VPN プロバイダー、TOR 終了ノード、およびその他のプロキシーなど、匿名化されたサービスの IP アドレスを取得します。
リファレンス・セット Botnet C&C IPs ノードではなく C&C サーバーであることが判明している IP アドレスを取得します。 プロバイダーがノードと C&C を区別しない場合には、すべてを「Botnet IP addresses」セットに入れてください。
リファレンス・セット Botnet IPs ボットネット・アクティビティーに関連する IP アドレスを取得します。 C&C ではなくノードの IP アドレスを対象としていますが、プロバイダーが区別しない場合には、両方をこのセットに入れてください。
リファレンス・セット メール・サーバー 環境のメール・サーバーのリスト。
リファレンス・セット Malicious URLs ブラウザー・エクスプロイトおよびその他のエクスプロイト・タイプの URL を取得します。
リファレンス・セット Malware Hashes MD5 マルウェア・ファイルの MD5 の合計を取得します。
リファレンス・セット Malware Hashes SHA マルウェア・ファイルの SHA (SHA-1、SHA-256 など) の合計を取得します。
リファレンス・セット マルウェア・ホスト名 マルウェアのダウンロードを提供しているサーバーのホスト (または IP アドレス) を取得します。 仮想ホスティングのため、ホスト名の方が適しています。
リファレンス・セット Malware IPs マルウェアのエクスプロイト後の通信に関連する IP アドレスを対象としています。
リファレンス・セット Malware URLs マルウェアのダウンロードであることが判明している URL を取得します。
リファレンス・セット Phishing IPs フィッシングの試行に関連する IP アドレスを取得します。
リファレンス・セット フィッシング送信者 フィッシングの送信を試行することが判明しているか疑われるホストの IP アドレスを取得します。
リファレンス・セット Phishing Subjects フィッシングを試行することが判明している E メール・キャンペーンから件名行を取得します。
リファレンス・セット フィッシング URL フィッシング E メールに関連する URL を取得します。
リファレンス・セット 不正なプロセス名 既知のマルウェア、トロイの木馬、およびその他の不正なプロセスのプロセス名または実行可能ファイル名を取得します。
リファレンス・セット スパム送信者 既知のスパム・サーバーの IP アドレスを取得します。 プロバイダーがフィッシングとその他のスパムを区別しない場合は、両方をこのセットに入れてください。
マップのリファレンス・マップ マルウェア送信者データ 「Malware Senders」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ Anonymizer IP データ 「Anonymizer IPs」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ ボットネット C & C IP データ 「ボットネット C & C IP」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ ボットネット IP データ 「Botnet IPs」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ 悪意のある URL データ 「Malicious URLs」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ マルウェア・ハッシュ MD5 データ 「Malware Hashes MD5」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ マルウェア・ハッシュ SHA データ 「Malware Hashes SHA」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ マルウェア・ホスト名データ 「Malware Hostnames」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ マルウェア IP データ 「Malware IPs」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ マルウェア URL データ 「Malware URLs」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ フィッシング IP データ 「Phishing IPs」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ フィッシング送信者データ 「Phishing Senders」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ フィッシング・サブジェクト・データ 「Phishing Subjects」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ フィッシング URL データ 「Phishing URLs」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ 不正なプロセス名データ 「Rogue Process Names」リファレンス・セットに関連する拡張データを保持します。
マップのリファレンス・マップ スパム送信者データ 「Spam Senders」リファレンス・セットに関連する拡張データを保持します。