Criando ações de regra
É possível criar ações de regra que postem informações sobre ameaças em seu sistema para um serviço de caixa de entrada do TAXII.
Procedimento
- A partir da guia Admin , clique em Apps > Ameaçar Inteligência, e clique no ícone Configuração STIX/TAXII .
- Clique em Criar Ação de Regra > Criar uma Ação de Regra TAXII.
- Na guia Conexão da janela Criar Ação de Regra TAXII , insira a URL do Terminal TAXII para o qual você deseja fazer upload Os terminais TAXII existentes em sua implementação aparecem em uma lista. Ao escolher um terminal existente, as opções de Método de autenticação, Certificado de cliente e Ignorar certificado correspondentes são pré-preenchidas.
- Selecione o Método de autenticação relevante e inclua o Nome do usuário e a Senha para a autenticação básica HTTP ou uma sequência de token para a autenticação JSON Web Token .
- Se desejar usar um certificado de cliente com o serviço de caixa de entrada TAXII, clique em Escolher Arquivo para localizar o certificado em seu sistema e faça upload dele para o QRadar®. Apenas o tipo de arquivo .pem é suportado
- Se desejar incluir um arquivo-chave, clique em Escolher Arquivo para localizar a chave em seu sistema e faça upload dele para QRadar.
- Na guia Parâmetros , use as seguintes diretrizes para definir os parâmetros de ação de regra.
- Insira o nome do serviço de caixa de entrada TAXII no qual deseja postar dados do evento no campo de Coleta.
- Insira valores para o Nome Fonte do Indicador e o Nome da Ação.
- Selecione uma propriedade de evento de rede nas listas de Propriedades.
Propriedades de eventos de rede são propriedades dinâmicas em Ariel que são geradas por eventos. Por exemplo, a propriedade de evento de rede sourceip fornece um parâmetro que corresponde ao endereço IP de origem do evento acionado. Os parâmetros são passados para a regra na ordem em que foram incluídos.
Para obter mais informações sobre as propriedades do Ariel, consulte o IBM® QRadar Ariel Query Language Guide.
- Selecione o tipo observável STIX e tipo de indicador relevante para a ameaça nas listas de Tipo de indicador.
Selecione o tipo observável apropriado para o evento que você deseja postar para o servidor TAXII. Nenhuma validação é feita na resposta customizada pelo QRadar..
- Clique em Salvar.
- Na barra de ferramentas principal do Admin , clique em Deploy Changes.
As ações de regra que você cria são incluídas na janela QRadar Ações customizadas . Clique em Definir Ações na guia Admin para visualizar. É possível editar ou excluir uma ação de regra da janela Ações customizadas e as mudanças são refletidas no app Threat Intelligence.