IBM
QRadar Security Threat Monitoring Content
Extension アプリケーションには、X-Force データとともに使用することに特化して設計されたルール、ビルディング・ブロック、カスタム・プロパティーなどの IBM
QRadar のコンテンツが含まれています。 この拡張コンテンツを使用すると、望ましくないアクティビティーによってネットワークの安定性が影響を受ける前に、ご使用の環境でそうしたアクティビティーを特定して修正することができます。
始める前に
IBM Security
App Exchange (https: //exchange.xforce.ibmcloud.com/hub/extension/IBMQRadar:IBMContentPackageInternalThreat) から IBM
QRadar Security Threat Monitoring Content
Extension アプリケーションをダウンロードします。
このタスクについて
QRadar のルール、オフェンス、およびイベントで X-Force データを使用するには、X-Force サーバーから QRadar アプライアンスにデータを自動的にロードするように IBM
QRadar を構成する必要があります。
X-Force データをローカルにロードするには、システム設定で X-Force Threat Intelligence フィードを有効にします。 X-Force が開始された時点で新しい情報が利用可能であれば、IPアドレスの評価または URL データベースが更新されます。 これらの更新は独自のデータベースにマージされ、内容は QRadar
Console からデプロイメント内のすべての管理対象ホストに複製されます。
X-Force 規則は、アプリケーションが後でアンインストールされた場合でも、製品に表示されます。
手順
- ナビゲーション・メニュー (
) で、 管理者をクリックします。
- システム構成 セクションで、 拡張の管理をクリックします。
- 以下の手順に従って、アプリケーションを QRadar コンソールにアップロードします。
- 追加をクリックします。
- 参照 をクリックして、拡張機能を見つけます。
- オプション: コンテンツを表示せずに拡張機能をインストールするには、 即時インストール をクリックします。
- 追加をクリックします。
- 拡張の内容を表示するには、拡張リストから拡張を選択し、 詳細をクリックします。
- 拡張をインストールするには、以下の手順に従います。
- リストから拡張機能を選択して、 インストールをクリックします。
- 拡張にデジタル署名が含まれていない場合、または署名がある一方で、その署名が IBM Security Certificate Authority (CA) に関連付けられていない場合は、それでもなおその拡張をインストールすることを確認する必要があります。 インストール をクリックして、インストールを続行します。
- インストールにより行われるシステムの変更を確認します。
- 既存のコンテンツ項目の処理方法を指定するには、 上書き または 既存データの保持 を選択します。
- インストールをクリックします。
- インストールの要約を確認して、 了解をクリックします。
ルール・リスト ウィンドウの 脅威 グループの下に規則が表示されます。 ルールは、使用する前に有効にする必要があります。