Incluindo feeds de inteligência de ameaças

É possível incluir e configurar os feeds de inteligência de ameaça que deseja incluir no QRadar.

Antes de iniciar

Deve-se configurar um token de serviço autorizado antes de poder configurar um feed do TAXII. Veja Configurando o Ameaçado Feeds Downloader.

Procedimento

  1. A partir do menu de navegação no painel de Inteligência de ameaças, clique no ícone Feeds Downloader (Ícone para Feeds Downloader).
  2. Clique Em Ícone para downloadAdicionar Feed de ameaçase, em seguida, clique em Adicionar o Feed TAXII.
  3. Na janela Add TAXII Feed , clique na guia Conexão , e configure as seguintes opções:
    Opção Descrição

    Terminal do TAXII

    Digite a URL do servidor TAXII que deseja usar.

    Os terminais TAXII existentes na sua implementação aparecem em uma lista. Se você escolher um terminal existente, as opções correspondentes serão pré-preenchidas.

    Nota: Para obter coleções dos servidores TAXII 2.0 , consulte TAXII™ API-Collections..

    Versão

    Selecione TAXII 1.x ouTAXII 2.0.

    Método de autenticação

    Selecione a autenticação que deseja usar e conclua as opções correspondentes com base em sua escolha.

    O método de autenticação disponível varia de acordo com a versão TAXII selecionada.

    • TAXII 1.x: Nenhum, HTTP Basic, JSON Web Token.
    • TAXII 2.0: None, HTTP Basic.

    Certificado do cliente

    Se desejar usar um certificado de cliente com o servidor do TAXII, clique em Escolher Arquivo na área Certificado do Cliente para selecionar o arquivo que deseja fazer upload. Somente o tipo de arquivo .pem é suportado.

    Chave do cliente

    Se o certificado do cliente exigir um arquivo-chave, clique em Escolher arquivo na área Chave do cliente para navegar até o local do arquivo e fazer upload do arquivo.

  4. Clique em Descobrir.
  5. Na janela Add TAXII Feed , clique na guia Parâmetro , e configure as seguintes opções:
    Opção Descrição

    Coleções

    A configuração de coleta de dados do TAXII que deseja utilizar.

    Tipo observável

    Um tipo observável é um componente de esquema STIX que especifica um objeto suspeito. Somente observáveis desse tipo são usados. Todos os outros são ignorados.

    Intervalos de pesquisa

    Quantas vezes o QRadar Threat Intelligence pesquisa o servidor TAXII. O intervalo de pesquisa padrão é de hora em hora.

    Data inicial da pesquisa

    O período de tempo que é coberto pela pesquisa inicial. É possível pesquisar dados em incrementos de minutos, horas ou diários.

    Conjunto de Referências

    Caso deseje incluir elementos baseados em um novo feed do TAXII em um conjunto de referência dedicado, deve-se configurá-lo com antecedência. Para obter mais informações sobre conjuntos de referência, consulte o IBM QRadar Administration Guide.

  6. Clique em Adicionar. É possível incluir um número ilimitado de coleções no mesmo terminal TAXII ou continuar criando esse feed.
  7. Quando você terminar de criar os feeds, clique em Avançar.
  8. Na janela Add TAXII Feed , clique na aba Resumo para verificar seus parâmetros de configuração antes de implementar o feed de inteligência de ameaças e, em seguida, clique em Salvar.

Resultados

As coleções de feeds de ameaças são exibidas na página Threat Feeds Downloader. O recurso am i affected compara indicadores de feed STIX/TAXII que são armazenados no conjunto de referência com logs do QRadar . As correspondências são exibidas na lista de eventos. Clique no ícone Visualizar Resultado Ícone para Resultado de Visualização para ver os eventos.