エスカレーション・ワークフローの構成

オフェンスは、自動的にエスカレートすることも、 IBM® QRadar®内から手動でエスカレートすることもできます。

始める前に

アプリケーションが最初にインストールされたときに、 QRadar で新規および既存のオープン・オフェンスに対して自動エスカレーションが実行されます。

重要: エスカレーション基準に一致するすべてのオープン・オフェンスに対してケースを作成しない場合は、自動エスカレーションを有効にする前に、エスカレーション基準に一致するすべてのオープン・オフェンスをクローズしてください。

このタスクについて

「エスカレーション」 タブには、オフェンスを SOARに送信する方法を構成するための設定があります。

手順

  1. QRadar 「管理」 タブの IBM QRadar SOAR プラグイン」 セクションで、 「構成」をクリックします。
  2. 「エスカレーション」 タブで、設定を構成します。
    1. 「テンプレート・ファイル」 セクションで、使用するテンプレートを選択します。

      このテンプレートは、 QRadar オフェンスのフィールドを SOAR ケース・フィールドにマップする方法を指定します。

      詳しくは、 テンプレート・マッピングを参照してください。

    2. 「無視される成果物」 セクションで、成果物の作成に使用しない IP アドレスを含むリファレンス・セットを指定します。

      例えば、内部システムのすべての IP アドレスをリファレンス・セットに追加し、そのリファレンス・セットを使用して、成果物作成用の無視リストを作成することができます。

      無視された成果物の参照について詳しくは、 ケース成果物のマッピングを参照してください。

    3. Escalations セクションで、 Artifact Limitを選択する。

      ケースを作成、または更新する必要があるたびに、アーティファクトの上限はSOARに送信されるアーティファクトの数に適用されます。 この制限は、送信元と宛先のIPアドレスのアーティファクトに別々に適用される。 デフォルト値は 20 です。 アップデートのデータとSOARの既存のIPアーティファクトの間に重複がある場合、送信される数が制限を下回る可能性がある。

    4. Escalations セクションで、 Number of Artifact threadsを選択する。

      この設定は、SOARでケースを更新するためにプラグインが行う同時リクエストの最大数を設定します。 ケース・オブジェクトの更新にアーティファクト・プレイブックを使用する場合は、この値を 1 に設定する必要があります。

    5. Escalations] セクションで、[ Maximum Number Of Artifacts Per Payload ] を選択します。

      この設定は、各ケース更新ペイロードに許可されるアーティファクトの最大数を設定します。

      プラグインは、SOARに一連のリクエストを行い、アーティファクトをケースに追加します。 各リクエストペイロードは、最大でも「ペイロードあたりのアーティファ クトの最大数」アーティファクトを含む。 小さい値の方が好ましい。

    6. 「自動エスカレーション条件」 セクションで、使用する規則条件とテンプレートを指定して、エスカレーション規則を追加します。

      重大度、マグニチュード、信頼性、およびデバイス・カウントなどの整数値を持つオフェンス・フィールドの場合、ルールは、 「値の一致式」 フィールドに指定した値と正確に一致します。

      自動エスカレーションの仕組みについては、 自動エスカレーションを参照のこと。

    7. Additional Escalation Options(追加のエスカレーション・オプション) セクションで、 Allow offense updates to create SOAR cases(SOARケースを作成するためのオフェンス・アップデートを許可する )を選択します。
      このオプションを使用すると、 QRadar オフェンスで一致する SOAR ケースが見つからないオフェンス更新メッセージは、 case_create リクエストと見なされます。
    8. 「手動エスカレーション・モード」 セクションで、ケースの作成方法を選択します。
      重要: 「複数組織のサポート」 が有効になっている場合、この設定はすべての QRadar ドメインに適用されます。
      • オフェンスを直接 SOARに送信するには、 「エスカレーション直後にインシデントを作成」 を選択します。
      • オフェンスが SOARにエスカレートされる前にケースの詳細を確認するには、 「エスカレーション前にインシデントを確認する」 を選択します。

        このオプションを使用すると、ケース作成プロセス中に IP アドレス ID がアーティファクトとして変換されません。 代わりに、以下の更新サイクルでは、ID から変換する IP アドレスがある場合、それらはユーザー指定の制限まで成果物としてマップされます。

      いずれかのオプションを使用すると、ケースが作成され、 SOARで編集できます。

  3. 「保存」をクリックします。
    エスカレーション規則を QRadarに追加するには、構成を保存する必要があります。
  4. 「検証と構成」をクリックします。

次に実行するタスク

「設定」 タブのオプションを構成します。 詳細については、 カスタムアクションを参照してください。