QRadar のリファレンス・データ
リファレンス・データ収集を使用して、 IBM QRadar 環境内のイベントおよびフローと相関させるビジネス・データを保管および管理します。 ビジネス・データまたは外部ソースからのデータをリファレンス・データ収集に追加し、そのデータを QRadar の検索、フィルター、ルール・テスト条件、およびルール応答で使用することができます。
リファレンス・データ収集は QRadar コンソールに保管されますが、収集は各管理対象ホストに定期的にコピーされます。 データのルックアップで最適なパフォーマンスを得るために、管理対象ホストは最も頻繁に参照されるデータの値をキャッシュに入れます。
外部の脅威インテリジェンス・データ
リファレンス・データ収集を使用して、サード・パーティー・ベンダーからの IOC (Indicator of Compromise) データを QRadarに統合できます。 QRadar は、IOC データを使用して疑わしい振る舞いをより迅速に検出することで、セキュリティー・アナリストが脅威を調査し、インシデントにより迅速に対応できるようにします。
例えば、オープン・ソースまたはサブスクリプション・ベースの脅威データ・プロバイダーからの IOC データのインポート(IP アドレス、DNS 名、URL、および MD5sなど) をネットワーク上のイベントおよびインシデントと相関させることができます。
ビジネス・データ
リファレンス・データ収集には、所属する組織に固有のビジネス・データ (システムへの特権アクセスを持つユーザーのリストなど) が含まれている可能性があります。 ビジネス・データを使用して、ブロック・リストおよび allowlistsを作成します。
例えば、解雇された従業員のユーザー ID を含むリファレンス・セットを使用して、それらの従業員がネットワークにログインするのを防止します。 あるいは、ビジネス・データを使用して、特定の機能を実行するために限定された IP アドレスのセットのみを許可する allowlist を作成することもできます。