新機能
IBM QRadar SOAR プラグイン ・アプリケーション 5.x で使用可能な新機能を最新の状態に保ち、サイバー脅威により迅速かつ効率的に対応できるようにします。
バージョン 5.6.5
このリリースには、セキュリティ上の脆弱性を修正するための更新が含まれています。
バージョン 5.6.4
rule
qradar_note for qradarのバグ修正を追加しました。さまざまなセキュリティ上の脆弱性に対する修正。
バージョン 5.6.3
- Resilient® python ライブラリを V51.0.7.2.14777 に更新した。
resilient_app_config_pluginsを V1.0.3 に更新した。requests_pkcs12を V1.27 に更新した。- V2.32.5 へのリクエストを更新した。
- ロードアーティファクトのスレッド数とペイロードサイズのパラメータが設定可能になった。
- アーティファクトの上限設定で、上限が適用されないバグを修正。
- ユーザーインターフェイスの 「エスカレーション」 タブが更新されました:
- エスカレーションの下に新しい見出しが追加されました: アーティファクトの数とケースへの追加方法を制御する。
- 新しいツールチップの追加: オフェンスのsource_addressesとlocal_destination_addressesに個別に適用され、case_createまたはcase_updateエスカレーション・アクションで許可されるIPアーティファクトの最大数を制限します。
- 新しい設定: アーティファクト スレッドの数と新しいツールチップ: ケースにアーティファクトを追加するために使用される個別のスレッドの数。
新しい設定:新しい設定: ペイロードあたりのアーティファクトの最大数および新しいツールチップ: 各ケース更新ペイロードで許可されるアーティファクトの最大数。
バージョン 5.6.2
- テンプレートマッピングでUnicode文字が使用されている場合に、オフェンスのエスカレーションに失敗するバグを修正した。
- 最初のケース作成失敗の応答後にSOARケースが重複して作成されないように、 case_crease の再試行ロジックを改善した。
- その他のバグ修正とセキュリティ脆弱性の修正。
バージョン 5.6.0
- QRadar の犯罪について既存の SOAR ケースが見つからない場合、犯罪更新メッセージを case_create リクエストとして処理する設定オプションを追加。
- オフェンスの詳細ページを開いたときに、自動的にオフェンスがエスカレーションされる問題を解決しました。
- Resilient® Circuits および Python パッケージの依存関係を新しいバージョンにアップグレードし、不具合に対応するとともに、セキュリティの脆弱性を緩和した。
- プラグインテンプレートの不正な文字のエスケープに関するバグ修正。
- SOARで JSONタイプのインシデントフィールドを持つテンプレートを編集する際のバグを修正しました。
バージョン5.5.0
- アプリケーション UI タブのフォーカスの問題を解決しました。
- オフェンスの自動エスカレーションが失敗した場合のリトライケース作成ロジックを改善した。
- 手動エスカレーションを更新し、自動エスカレーションと同じアーキテクチャを使用するようにした。
- アプリの設定中にCONFLICTステータスのエラーメッセージを改善し、診断しやすくしました。
- セキュリティーの脆弱性を軽減するために、 Python パッケージの依存関係を新しいバージョンに更新しました。
- SOARプラグインアプリとEnhanced Data Migration(SOARアプリ)を同時に使用した場合のオフェンスノートの重複問題に対応しました。
バージョン 5.4.0
- 複数のプラグイン・アプリケーション・インスタンスを作成するためのマルチテナンシー・サポートが有効になりました。
- セキュリティーの脆弱性を軽減するために、 Python パッケージの依存関係を新しいバージョンに更新しました。
- 自動エスカレーション条件規則が整数値で更新されました。
- SOARに由来するオフェンスの注記を明確にしました。
- マルチテナント・インスタンスでは、「マッピング」タブは、インスタンスのセキュリティー・プロファイルに割り当てられているドメインのみにドメイン・マッピングを制限します。
バージョン 5.3.1
- IBM QRadar 7.5.x UP7とのインストールの競合が解決されました。
- ネットワーク障害時のエスカレーションの信頼性の向上。
- 新しいアーキテクチャーとの関連性が低いため、ユーザー・インターフェースからワーカー・スレッドの数を調整する機能が削除されました。
- セキュリティーの脆弱性に対処しました。 これらの更新は、テンプレートの命名規則に影響します。 詳細については、 「アプリのアップグレード」 を参照してください。
- 接続エラーが発生した場合の回復力が追加され、接続エラーが解決されたときに再処理のためにケース・アクションがキューに入れられました。
- ケース処理を高速化するために、成果物作成の重複排除が追加されました。
- 同じオフェンスに対して重複ケースが作成されないようにするためのロジックが追加されました。
バージョン 5.0.3
- セキュリティーの脆弱性に対処しました。
- 自動エスカレーションおよびテンプレートに対するバグ修正。
バージョン 5.0.0
- マルチテナンシーが無効になっています。
- アーキテクチャーが更新されました。
アーキテクチャの改善について詳しくはこちら... - DEBUG ロギング・レベルを有効にするための製品インターフェースの新機能、プラグイン・アプリケーション UI からの SOAR 構成プッシュ、およびユーザー・インターフェースからログ・ファイルと構成ファイルをダウンロードする機能。
- SOAR ユーザー・アカウントは認証に使用できなくなりました。 認証するには API キー・アカウントが必要です。
QRadar の最小バージョン
IBM QRadar SOAR Plug-in アプリケーション 5.0 は、 IBM QRadar 7.5.x UP7 以降でのみ機能します。
アーキテクチャーの改善
QRadarからオフェンスをプルするためにポーリング・プログラムを使用する代わりに、アプリケーションが QRadar に依存して、ケース作成のためにオフェンス候補を内部 SOAR キューにプッシュするようになりました。 この変更の結果、パフォーマンスと信頼性が向上する可能性があります。
製品インターフェースの新機能
QRadar SOAR プラグイン 5.0では、以下の機能が追加されています。
- QRadar SOAR プラグイン ・アプリケーションで複数の組織を構成する場合、構成変更を SOAR内の子組織に直接プッシュできます。
- 新しい 「DEBUG モードの有効化 (Enable DEBUG mode)」 オプションを使用すると、詳細な技術情報をログ・ファイルに収集できます。
- 製品インターフェースからログ・ファイルと構成ファイルをダウンロードできます。
インバウンド宛先
QRadar SOAR プラグイン 5.xでは、 SOAR および QRadar のインバウンド宛先が自動的に作成されます。
アプリケーションを構成する前に、 SOAR CA 証明書を QRadar コンソール にコピーして、 SOAR インバウンド宛先へのアクセスを許可する必要があります。
認証の変更
SOAR ユーザー・アカウントは認証に使用できなくなりました。 認証するには API キー・アカウントが必要です。
本書で使用されている用語
IBM QRadar SOAR Plug-in アプリケーションは、いくつかの異なる SOAR インスタンスで使用できます。
IBM Cloud Pak for SecurityのSOARでは、データやシステムが危険にさらされる可能性のあるインシデントやイベントをケースと呼ぶ。 IBMSecurity SOARPlatformでは、インシデントという用語を使用している。
本書では、 case は全体を通して使用されますが、 incidentと同じように使用することができます。