IBM QRadar Security Threat Monitoring Content Extension アプリケーションのインストール

IBM QRadar Security Threat Monitoring Content Extension アプリケーションには、X-Force データとともに使用することに特化して設計されたルール、ビルディング・ブロック、カスタム・プロパティーなどの IBM QRadar のコンテンツが含まれています。 この拡張コンテンツを使用すると、望ましくないアクティビティーによってネットワークの安定性が影響を受ける前に、ご使用の環境でそうしたアクティビティーを特定して修正することができます。

始める前に

IBM Security App Exchange (https: //exchange.xforce.ibmcloud.com/hub/extension/IBMQRadar:IBMContentPackageInternalThreat) から IBM QRadar Security Threat Monitoring Content Extension アプリケーションをダウンロードします。

このタスクについて

QRadar のルール、オフェンス、およびイベントで X-Force データを使用するには、X-Force サーバーから QRadar アプライアンスにデータを自動的にロードするように IBM QRadar を構成する必要があります。

X-Force データをローカルにロードするには、システム設定で X-Force Threat Intelligence フィードを有効にします。 X-Force が開始された時点で新しい情報が利用可能であれば、IPアドレスの評価または URL データベースが更新されます。 これらの更新は独自のデータベースにマージされ、内容は QRadar Console からデプロイメント内のすべての管理対象ホストに複製されます。

X-Force 規則は、アプリケーションが後でアンインストールされた場合でも、製品に表示されます。

手順

  1. ナビゲーション・メニュー ( ナビゲーション・メニュー・アイコン ) で、 管理者をクリックします。
  2. システム構成 セクションで、 拡張の管理をクリックします。
  3. 以下の手順に従って、アプリケーションを QRadar コンソールにアップロードします。
    1. 追加をクリックします。
    2. 参照 をクリックして、拡張機能を見つけます。
    3. オプション: コンテンツを表示せずに拡張機能をインストールするには、 即時インストール をクリックします。
    4. 追加をクリックします。
  4. 拡張の内容を表示するには、拡張リストから拡張を選択し、 詳細をクリックします。
  5. 拡張をインストールするには、以下の手順に従います。
    1. リストから拡張機能を選択して、 インストールをクリックします。
    2. 拡張にデジタル署名が含まれていない場合、または署名がある一方で、その署名が IBM Security Certificate Authority (CA) に関連付けられていない場合は、それでもなおその拡張をインストールすることを確認する必要があります。 インストール をクリックして、インストールを続行します。
    3. インストールにより行われるシステムの変更を確認します。
    4. 既存のコンテンツ項目の処理方法を指定するには、 上書き または 既存データの保持 を選択します。
    5. インストールをクリックします。
    6. インストールの要約を確認して、 了解をクリックします。

      ルール・リスト ウィンドウの 脅威 グループの下に規則が表示されます。 ルールは、使用する前に有効にする必要があります。