手動によるテンプレートの作成

ほとんどの場合、 ケース・マッピング・テンプレート によって生成されるテンプレートで十分です。 ただし、より高度なテンプレートを使用することもできます。 ケース・マッピング・テンプレート を使用して、既存のテンプレートを変更し、それを目的のテンプレートに近づけてから、ダウンロードして変更することができます。

始める前に

Jinja2 テンプレート言語を使用するフィルター式を作成する方法を知っている必要があります。 詳しくは、 フィルター式を参照してください。

このタスクについて

テンプレートは JSON 文書としてレンダリングされます。 ドキュメントは SOAR プラットフォームに投稿され、新しいケースが作成されるか、 SOAR ウェブ URL フォーマットのキーバリューパラメータ付き URL に変換されます。 詳細については、『 Web URL 統合ガイド 』を参照してください。

1. QRadar 「管理」 タブの IBM QRadar SOAR プラグイン」 セクションで、 「構成」をクリックします。
2. 「エスカレーション」 タブをクリックします。
3. オプション: ケース・マッピング・テンプレート を使用して、既存のテンプレートを変更します。
   1. リストからテンプレートを選択し、 「変更」をクリックします。

      ケース・マッピング・テンプレートの使用について詳しくは、 ケース・マッピング・ツールを使用したテンプレートの作成を参照してください。

4. 既存のテンプレートをダウンロードして手動で編集するには、以下の手順を実行します。
   1. QRadar 「管理」 タブの IBM QRadar SOAR プラグイン」 セクションで、 「構成」をクリックします。
   2. 「エスカレーション」 タブの 「テンプレート・ファイル」 セクションで、開始するテンプレートを選択し、 「ダウンロード」をクリックします。
   3. テキスト・エディター・アプリケーションを使用して、ダウンロードした JSON ファイルを開き、編集します。
5. 新規テンプレートを最初から作成するには、以下の手順を実行します。
   1. テキスト・エディターを使用して、新しいプレーン・テキスト・ファイルを作成します。
   2. Jinja2 テンプレート言語を使用して、ケース・マッピング・テンプレート仕様を作成します。

      変数名とストリング割り当てが二重引用符で囲まれていることを確認してください。

      以下の例では、オフェンスの説明に基づいて異なる値への 「インシデント・タイプ」 フィールドのマッピングをサポートするようにテンプレートが変更されています。

      {
      "name": "QRadar {{offense.offense_type_name}} - {{offense.offense_source}}, ID:
      {{offense.id}}",
      {# Set incident id from description #}
      {% if "malware" in offense.description %}
      "incident_type_ids": "Malware",
      {% else %}
      "incident_type_ids": "Other",
      {% endif %}
      "confirmed": 0,
      "description" : "{{offense.event_count}} events in {{offense.category_count}} categories:
      {{offense.description}}",
          "discovered_date": {{offense.start_time}},
          "start_date": {{offense.start_time}},
          "severity_code" : {{offense.severity | severity}}
      }
      "type": "IP Address",
      "value": "{{e.sourceip|js}}",
      "description": "Source {{e.sourceip|js}}" } {% if not loop.last %},{% endif %}
          {% endfor %} ]
      }
      FROZEN="incident_type_ids","name","start_date","confirmed","discovered_date"

   3. .json 拡張子を付けてファイルを保存します。
6. 改訂されたテンプレートを QRadar SOAR Plug-in アプリケーションにアップロードして戻すには、以下の手順を実行します。
   1. 「エスカレーション」 タブの 「テンプレート・ファイル」 セクションで、 「テンプレートのアップロード」をクリックします。
   2. ファイルを参照して、 「アップロード」をクリックします。
   3. テンプレートをテストするには、リストでテンプレートを選択し、 「変更」 をクリックして、 「テンプレートのテスト」をクリックします。