Criando ações de regra

É possível criar ações de regra que postem informações sobre ameaças em seu sistema para um serviço de caixa de entrada do TAXII.

Procedimento

  1. A partir da guia Admin , clique em Apps > Ameaçar Inteligência, e clique no ícone Configuração STIX/TAXII .
  2. Clique em Criar Ação de Regra > Criar uma Ação de Regra TAXII.
  3. Na guia Conexão da janela Criar Ação de Regra TAXII , insira a URL do Terminal TAXII para o qual você deseja fazer upload
    Os terminais TAXII existentes em sua implementação aparecem em uma lista. Ao escolher um terminal existente, as opções de Método de autenticação, Certificado de cliente e Ignorar certificado correspondentes são pré-preenchidas.
  4. Selecione o Método de autenticação relevante e inclua o Nome do usuário e a Senha para a autenticação básica HTTP ou uma sequência de token para a autenticação JSON Web Token .
  5. Se desejar usar um certificado de cliente com o serviço de caixa de entrada TAXII, clique em Escolher Arquivo para localizar o certificado em seu sistema e faça upload dele para o QRadar®. Apenas o tipo de arquivo .pem é suportado
  6. Se desejar incluir um arquivo-chave, clique em Escolher Arquivo para localizar a chave em seu sistema e faça upload dele para QRadar.
  7. Na guia Parâmetros , use as seguintes diretrizes para definir os parâmetros de ação de regra.
    • Insira o nome do serviço de caixa de entrada TAXII no qual deseja postar dados do evento no campo de Coleta.
    • Insira valores para o Nome Fonte do Indicador e o Nome da Ação.
    • Selecione uma propriedade de evento de rede nas listas de Propriedades.

      Propriedades de eventos de rede são propriedades dinâmicas em Ariel que são geradas por eventos. Por exemplo, a propriedade de evento de rede sourceip fornece um parâmetro que corresponde ao endereço IP de origem do evento acionado. Os parâmetros são passados para a regra na ordem em que foram incluídos.

      Para obter mais informações sobre as propriedades do Ariel, consulte o IBM® QRadar Ariel Query Language Guide.

    • Selecione o tipo observável STIX e tipo de indicador relevante para a ameaça nas listas de Tipo de indicador.

      Selecione o tipo observável apropriado para o evento que você deseja postar para o servidor TAXII. Nenhuma validação é feita na resposta customizada pelo QRadar..

  8. Clique em Salvar.
  9. Na barra de ferramentas principal do Admin , clique em Deploy Changes.

    As ações de regra que você cria são incluídas na janela QRadar Ações customizadas . Clique em Definir Ações na guia Admin para visualizar. É possível editar ou excluir uma ação de regra da janela Ações customizadas e as mudanças são refletidas no app Threat Intelligence.