QRadarに追加する脅威インテリジェンス・フィードを追加および構成できます。
手順
- 「脅威インテリジェンス」ダッシュボードのナビゲーション・メニューから、 「フィード・ダウンローダー」 アイコン (
) をクリックします。
-
「Threat フィードの追加 (Add Threat Feed)」をクリックしてから、 「TAXII フィードの追加 (Add TAXII Feed)」をクリックします。
- 「TAXII フィードの追加」 ウィンドウで、 「接続」 タブをクリックし、以下のオプションを構成します。
| オプション |
説明 |
|---|
TAXIIエンドポイント
|
使用するTAXIIサーバーのURLを入力します。
デプロイメント環境内の既存の TAXII エンドポイントがリストに表示されます。 既存のエンドポイントを選択すると、対応するオプションが事前に取り込まれます。
|
バージョン
|
TAXII 1.xまたはTAXII 2.0のいずれかを選択します。 |
認証方法
|
使用する認証を選択し、選択内容に応じて対応するオプションを実行します。
使用可能な認証方式は、選択したTAXIIバージョンによって異なります。
- TAXII 1.x: なし、HTTP Basic、JSON Web Token。
- TAXII 2.0: なし、HTTP Basic。
|
クライアント証明書
|
TAXIIサーバーでクライアント証明書を使用する場合は、クライアント証明書領域のファイルの選択をクリックして、アップロードするファイルを選択します。 .pemファイル・タイプのみがサポートされます。
|
クライアント・キー
|
クライアント証明書に鍵ファイルが必要な場合は、ファイルの選択をクライアント・キー領域でクリックし、ファイルの場所を参照してアップロードします。
|
- 「ディスカバー」をクリックします。
- 「TAXII フィードの追加」 ウィンドウで、 「パラメーター」 タブをクリックし、以下のオプションを構成します。
| オプション |
説明 |
|---|
コレクション
|
使用する TAXII データ収集セット。
|
監視対象タイプ
|
監視対象とは、疑わしいオブジェクトを指定する STIX スキーマ・コンポーネントです。 このタイプの監視対象のみが使用されます。 これ以外はすべて無視されます。
|
ポーリング間隔
|
QRadar Threat Intelligence が TAXII サーバーをポーリングする頻度。 デフォルトのポーリング間隔は毎時です。
|
ポーリング開始日 (Poll Initial Date)
|
初期ポーリングに含まれる期間。 分、時間、または日ごとに増分する間隔でデータをポーリングすることを選択できます。
|
リファレンス・セット
|
新規 TAXII フィードに基づくエレメントを専用のリファレンス・セットに追加する場合は、事前にそのセットを設定する必要があります。 リファレンス・セットについて詳しくは、「 IBM QRadar 管理ガイド」を参照してください。
|
- 「追加」をクリックします。 同じ TAXII エンドポイントに複数の収集を無制限に追加できます。あるいは、このフィードの作成を継続できます。
- フィードの作成が完了したら、 「次へ」をクリックします。
- 「TAXII フィードの追加」 ウィンドウで、 「要約」 タブをクリックして、脅威インテリジェンス・フィードを実装する前に構成パラメーターを確認し、 「保存」をクリックします。
結果
脅威フィード・コレクションが脅威フィード・ダウンローダーページに表示されます。 「影響の確認」 機能は、リファレンス・セットに保管されている STIX/TAXII フィード・インディケーターを QRadar ログと比較します。 一致がイベント・リストに表示されます。 イベントを表示するには、 「結果の表示」 アイコン 
をクリックします。