QRadar での X-Force Threat Intelligence の有効化

QRadar で X-Force Threat Intelligence を有効にすると、X-Force Threat Intelligence の情報をコンソールにフィードすることができます。

始める前に

QRadar V7.2.8 以降では、 X-Force Threat Intelligence フィードを別個のライセンス・サブスクリプションとして購入する必要はなくなりました。 QRadar V7.2.8に更新すると、この機能は、サービス & サポート契約の一部として標準ライセンスに組み込まれます。

X-Force の IP および URL のレピュテーション・データ・フィードにアクセスする管理者は、コンソールで X-Force Threat Intelligence フィードを有効にする必要があります。 管理者は、「管理」タブの「システム設定」画面からこの機能を有効にすることができます。 すべての管理者は、アプライアンスで X-Force ルールを有効にする前に、X-Force IP レピュテーション・フィードが有効になっていることを確認する必要があります。 フィードを有効にすると、 QRadarでのエラーが防止され、有効化されたルールに供給データが確実に提供され、ルールが適切にトリガーされるようになります。

このタスクについて

以下のステップを使用して、 QRadar V7.2.8 以降の X-Force Threat Intelligence フィードを有効にします。

手順

  1. QRadar に管理者としてログインします。
  2. 「管理」 タブをクリックします。
  3. 「システム設定」 アイコンをクリックします。
  4. 「 X-Force Threat Intelligence フィードを有効にする」 ドロップダウン・メニューから 「はい」を選択します。
  5. 「保存」をクリックします。
  6. 「管理」 タブで、 「変更のデプロイ」 をクリックして、デプロイメントの X-Force Threat Intelligence フィードを有効にします。
    注意: 管理者は、X-Force Threat Intelligence フィード データを IBM から取得するために、QRadar コンソールから以下のアドレスへのインターネット アクセスを許可する必要があります。 以下のサーバーは、X-Force データの更新、ライセンス、ダッシュボード ウィジェットのフィード、および QRadar の自動更新の両方で使用されます:
    接続先のサーバー サーバーの説明
    update.xforce-security.com IP レピュテーション および URL データ用の X-Force Threat Intelligence フィード更新サーバー
    license.xforce-security.com X-Force Threat Intelligence ライセンス・サーバー

次に実行するタスク

X-Force Threat Intelligence フィードを有効にした後、新規インストールを実行した管理者は、Threat コンテンツ拡張をインストールしたことを確認する必要があります。 この手順については、 「拡張機能の管理を使用した拡張機能のインストール」 セクションで説明しています。このセクションでは、Threat Intelligence Feed と連動する X-Force ルールを有効にします。