リファレンス・セットへの IOC のインポート

リファレンス・セットにエレメントを追加するには、危殆化指標 (IOC) データをリファレンス・セットにインポートします。 IBM QRadar でプロパティーをエレメント値と比較する場合は、IOC データをリファレンス・セットにインポートします。 QRadar を使用して、リファレンス・セットにエレメントを手動で追加したり、 .csv ファイルからエレメントをインポートしたりします。

始める前に

エレメントをインポートするには、 .csv ファイルがローカルに保管されていることを確認してください。

このタスクについて

リファレンス・データを特定のドメインに割り当てることができます。 ドメイン固有のリファレンス・データは、そのドメインへのアクセス権限を持つテナント・ユーザー、MSSP 管理者、およびテナントが割り当てられていないユーザーが参照できます。 すべてのテナントのユーザーが、共有リファレンス・データを参照できます。 例えば、管理者でない MSSP ユーザーは、あるドメインに割り当てられているリファレンス・データを参照できます。

手順

  1. 「管理」 タブに移動します。
  2. 「システム構成」 セクションで、 「リファレンス・セット管理」をクリックします。
  3. エレメントを追加するリファレンス・セットを選択し、 「内容の表示」をクリックします。
  4. 「コンテンツ」 タブをクリックします。
  5. データ・エレメントを手動で追加するには、以下の手順を実行します。
    1. 「追加」 をクリックして、パラメーターを構成します。

      有効なポート値は 0 から 65535 までです。 有効な IP アドレスは 0 から 255.255.255.255 までです。

      注: リファレンス・セット・データと比較するイベント・プロパティーでデータ難読化手法を使用する場合は、難読化されたデータ値を含む英数字のリファレンス・セットを使用する必要があります。
    2. 「追加」をクリックします。
  6. .csv ファイルからエレメントを追加するには、以下のステップを実行します。
    1. 「インポート」をクリックします。
    2. 「ファイルの選択」 をクリックし、インポートする .csv ファイルを参照して選択します。

      .csv ファイルは、すべての項目をコンマで区切る形式で、単一行で区切る必要があります。または、各項目を別々の行に指定する必要があります。 1 行に 1 アイテムずつリストされている場合は区切り文字は不要です。

    3. リファレンス・セット・データを追加する 「ドメイン」 を選択します。
    4. 「インポート」をクリックします。
      インポートにより、テキスト・ファイルの内容がリファレンス・セットに追加されます。