Configurando o Cyber Adversary Framework Mapping Application

Deve-se criar um token de serviço autorizado para autenticar os serviços de plano de fundo que o app usa para solicitar dados de sua instância local do IBM® QRadar®

Antes de iniciar

Com 2.6.0, o QRadar Use Case Manager é instalado com QRadar Advisor with Watson e a versão QRadar Use Case Manager é atualizada para 2.3.1. O QRadar Use Case Manager inclui mapeamento e visualização do MITRE ATT & CK. Você deve seguir as instruções para o QRadar Use Case Manager. Para obter mais informações, consulte QRadar Use Case Manager..
Atenção: se você estiver usando o QRadar Advisor with Watson 2.5.3 ou anterior, será possível usar o aplicativo Cyber Adversary Framework Mapping Application incluído com o QRadar Advisor with Watson. Não use o QRadar Use Case Manager e o Cyber Adversary Framework Mapping Application ao mesmo tempo ou você encontrará problemas fora de sincronização.

Deve-se ter privilégios de administrador do QRadar para criar tokens de serviço autorizados.

As instruções a seguir se aplicam ao Cyber Adversary Framework Mapping Application e não ao QRadar Use Case Manager.

Sobre esta tarefa

Deve-se criar um token de serviço autorizado para o Cyber Adversary Framework Mapping Application para obter o conteúdo mais recente do Cyber Adversary Framework Mapping Application.
Nota: o app QRadar Advisor with Watson mapeia automaticamente as táticas do MITRE ATT & CK para as regras do CRE Com o Cyber Adversary Framework Mapping Application, é possível mapear suas regras customizadas para táticas específicas.

Procedimento

  1. No menu de navegação ( Ícone do menu de navegação ), clique em Administrador.
  2. No QRadar 7.3.3 ou mais recente, clique em Apps > Aplicativo de Mapeamento do Cyber Adversary Framework > Configuração.
    Aplicativo de táticas.
  3. Clique no ícone Configurações .
  4. Na guia Token de Autorização , clique no link Gerenciar Serviços Autorizados .
  5. Na janela Gerenciar Serviços Autorizados , clique em Incluir Serviço Autorizado.
  6. Inclua as informações relevantes nos campos a seguir e clique em Criar serviço.
    1. No campo Nome do Serviço , digite um nome para esse serviço autorizado. O nome pode ter até 255 caracteres de comprimento.
    2. Na lista Função de Usuário , selecione a função apropriada para o tipo de usuário.
    3. Na lista Perfil de Segurança , selecione o perfil de segurança que você deseja designar a esse serviço autorizado O perfil de segurança determina as redes e origens de log que esse serviço pode acessar na QRadar interface com o usuário.
    4. Na lista Data de validade , digite ou selecione uma data em que deseja que esse serviço expire. Caso uma data de validade não seja necessária, selecione Sem expiração.
  7. Clique na linha que contém o serviço que você criou, selecione e copie a sequência de token do campo Token Selecionado na barra de menus e feche a janela Gerenciar Serviços Autorizados .
  8. Cole a sequência de token Admin no campo Token Admin .
  9. Clique em Salvar Token.
  10. Se você tiver um proxy, clique na guia Configurações de proxy e marque a caixa de seleção Usar proxy
  11. Selecione o tipo de protocolo seguro que você deseja usar para o proxy:
    • HTTPS
    • SOCKS5
  12. Se o seu servidor proxy não requerer um nome de usuário e senha, marque a caixa de seleção Desativar Autenticação .
    • No campo Servidor Proxy, digite a URL para o servidor proxy. O servidor proxy é necessário se o servidor de aplicativos utilizar um servidor proxy para se conectar à Internet.
    • No campo Porta do proxy, digite o número da porta para o servidor proxy.
    • No campo Nome de usuário do proxy, digite o nome de usuário para o servidor proxy. O nome de usuário é necessário se você estiver usando um proxy autenticado.
    • No campo Senha de Proxy, digite a senha para o servidor proxy. Uma senha é necessária se estiver usando um proxy autenticado.
  13. Se você tiver um certificado SSL customizado para comunicação de proxy entre sua instância do QRadar e o X-Force® Exchange, marque a caixa de seleção Ativar Validação de Certificado SSL Customizado .
  14. Clique no ícone de upload de arquivo Ícone de upload do arquivo de certificado SSL customizado e selecione seu certificado SSL customizado.. Apenas os arquivos .pem são suportados.
  15. Clique em Salvar Configuração.

Exemplo

Tela Configuração de Proxy