IBM QRadar Security Threat Monitoring コンテンツ拡張

IBM Security App Exchange (https://exchange.xforce.ibmcloud.com/hub) の IBM® QRadar® Security Threat Monitoring コンテンツ拡張 には、 X-Force フィード・データで使用するためのルール、ビルディング・ブロック、およびカスタム・プロパティーが含まれています。

X-Force データには、潜在的に悪意のある IP アドレスと URL のリストが、対応する脅威スコアとともに含まれています。 X-Force ルールを使用して、アドレスに関連するすべてのセキュリティー・イベント・データまたはネットワーク・アクティビティー・データに自動的にフラグを立て、インシデントの調査を開始する前に優先順位を付けます。

以下のリストは、 X-Force ルールを使用して識別できるインシデントのタイプの例を示しています。
  • [source IP|destinationIP|anyIP] が、次の [remote network locations] のいずれかの一部であるとき
  • [this host property] が確信度値 [equal to] [this amount] を持つ [Anonymization Servers|Botnet C&C|DynamicIPs|Malware|ScanningIPs|Spam] として X-Force によって分類される場合
  • [this URL property] が、X-Force によって [Gambling|Auctions|Job Search|Alcohol|Social Networking|Dating] というカテゴリーに分類されているとき

QRadar は、 IBM QRadar Security Threat Monitoring Content Extensionで使用するために X-Force Threat Intelligence フィードを有効にすると、1 日当たり約 30 MB の IP レピュテーション・データをダウンロードします。