STIX Bundle データ・ソースへの接続

STIX Bundle データ・ソースを IBM Security QRadar® Suite Software に接続して、アプリケーションおよびダッシュボードが STIX Bundle セキュリティー・データを収集および分析できるようにします。 Universal Data Insights コネクターを使用すると、セキュリティー製品全体でフェデレーテッド検索を行うことができます。

Structured Threat Information eXpression (STIX) は、言語およびシリアライゼーション・フォーマットです。 STIX Bundle は、単一コンテナーにグループ化された STIX オブジェクトおよびマーキング定義の集合です。 組織は、 STIX オブジェクトを使用して、サイバー脅威インテリジェンス (CTI) を共有できます。 マーキング定義は、CTI データの処理と共有のための要件として使用されます。

始める前に

有効な STIX Bundle が生成されていることを確認してください。 STIX Bundle ファイルを検証するには、STIX-Shifter GitHub リポジトリーの bundle_validator フォルダーに保管されているバンドル・バリデーター・スクリプトを使用できます。 バンドル JSON ファイルを検証してトラブルシューティングするには、README.md ファイルの説明に従ってください。

有効な STIX Bundleを含む JSON ファイルへのアクセスを提供します。 JSON ファイルは、Web サーバー、クラウド・ストレージ、または HTTP 要求からアクセス可能な任意の場所にアップロードできます。 オプションで、JSON ファイルの URLに基本認証要件を設定することもできます。

あるいは、実際のデータ・ソースに接続されていないアダプターをデモンストレーションのために構成できます。 このダミー・コネクターは、 IBM® QRadarSplunk Enterprise Security、または Carbon Black CB Responseからデータを返すのと同じ方法で、常にサンプル・データを返します。 例えば、管理者は UI を使用してコネクターを構成でき、 Data Explorer ユーザーはコネクターに対して照会を実行し、サンプル結果を表示することができます。

クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 IBM Security Edge Gateway を使用してコンテナーをホストします。 Edge Gateway は V1.6 以降でなければなりません。 詳しくは、 エッジ・ゲートウェイを参照してください。

このタスクについて

STIX Bundleを照会するには、バンドルが STIX 2.0 であり、監視データ・オブジェクトを含んでいる必要があります。

手順

  1. IBM Security QRadar Suite Softwareにログインします。
  2. メニューから、 「接続」 > 「データ・ソース」をクリックします。
  3. Integration data sources] ページの [STIX Bundle] タイルで、[ Set up a connection ]をクリックします。
  4. Connection services ページで、 Federated searches サービスタイルを選択し、 Enable をクリックします。
  5. 「次へ」をクリックします。
  6. 接続の詳細ページで、以下のパラメータを設定する。
    1. データ・ソースへの接続を設定する。
      表 1. 接続パラメーター
      パラメーター 説明
      データ・ソース名 データ・ソース接続を識別するための一意の名前を入力します。 データ・ソースへの接続は複数作成できるので、名前によって明確に区別しておくと便利である。

      英数字と以下の特殊文字のみを使用できます。 - . _
      データ・ソースの説明 データソース接続の目的を示す説明を入力します。 データ・ソースへの接続は複数作成できるので、各接続の目的を説明で明確に示すと便利です。

      英数字と以下の特殊文字のみを使用できます。 - . _
      エッジ・ゲートウェイ クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。 Edge gateway] フィールドで、コネクタをホストする Edge Gateway を指定します。

      Edge Gateway 、新しくデプロイされたデータソース接続のステータスが接続済みと表示されるまで、最大5分かかることがあります。
      stix-bundle ファイルの詳細 URL プラットフォームが通信できるように、 STIX Bundle JSONファイルの URL。 この情報は必須です。
      あるいは、以下の URL を使用して、デモンストレーションのためのみのダミー・データ・ソース接続を構成することもできます。 STIX Bundle URL には、それぞれのデータ・ソースのサンプル・データが含まれています。
      • CloudWatch: https://raw.github.com/opencybersecurityalliance/stix-shifter/develop/data/cybox/aws/aws_cloudwatch_logs_19062020.json
      • QRadar: https://raw.github.com/opencybersecurityalliance/stix-shifter/develop/data/cybox/qradar/qradar_observed_2000.json
      • Splunk: https://raw.github.com/opencybersecurityalliance/stix-shifter/develop/data/cybox/splunk/splunk_observed_1143.json
      • Carbon Black CB Response: https://raw.github.com/opencybersecurityalliance/stix-shifter/develop/data/cybox/carbon_black/cb_observed_156.json
    2. クエリ・パラメータを設定して、データ・ソース上での連携検索クエリの動作を制御します。
      表 2. 照会パラメーター
      照会パラメーター 説明
      並行検索限界 データソースへの同時接続数を入力します。 デフォルトの接続数制限は 4 です。 1 より小さい値や 100 より大きい値は使用できません。
      照会検索タイムアウト制限 データ・ソース上でクエリを実行する時間制限を分単位で入力します。 デフォルトの制限時間は 30 です。 値がゼロに設定されている場合、タイムアウトは発生しない。 値は 1 以上、120 以下でなければなりません。
      結果サイズ制限 (Result size limit) 検索クエリによって返されるエントリまたはオブジェクトの最大数を入力します。 デフォルトの結果サイズ制限は 10,000 です。 この値は1より小さくはならず、500,000より大きくはならない。
      照会の時刻範囲 (Query time range) 検索の時間範囲を分単位で入力します (最後の X 分として表されます)。 デフォルトは 5 分です。 値は 1 以上、10,000 以下でなければなりません。
      カスタムマッピング(オプション) STIX 属性マッピングをカスタマイズする必要がある場合は、 [属性マッピングのカスタマイズ ]をクリックして JSON blob を編集し、新規または既存のプロパティを関連するターゲット・データ・ソース・フィールドにマッピングします。
      重要: 同時検索制限と 結果サイズ制限を増やすと、データ・ソースに送信できるデータ量が多くなり、データ・ソースへの負担が増えます。 クエリー時間の範囲を広げると、データ量も増える。
    3. 「次へ」をクリックします。
  7. 接続構成ページで、IDとアクセスを構成する。
    1. 設定の追加をクリックします。
    2. コンフィギュレーションの詳細ウィンドウで、以下のパラメータを設定する。
      表 3. 構成パラメーター
      パラメーター 説明
      構成名 一意の名前を入力して、アクセス構成を説明し、このデータ ソース接続用に設定した他のアクセス構成と区別します。 英数字と以下の特殊文字のみを使用できます。 - . _
      構成の説明 一意の説明を入力して、アクセス構成を説明し、設定する可能性のあるこのデータ ソース接続の他のアクセス構成と区別します。 英数字と以下の特殊文字のみを使用できます。 - . _
      Username 検索APIにアクセスできるユーザー名を入力してください。
      パスワード ユーザー名に関連付けられたパスワードを入力します。
    3. 設定を保存して接続を確立するには、 「保存 」をクリックします。
  8. 「次へ」をクリックします。
  9. ユーザー アクセスを割り当てるには、 [ユーザー アクセス制御] ページで、 [アクセス] リストから 1 つまたは複数のデータ ソース構成を選択し、[ 完了]をクリックします。
  10. アクティブな接続を管理するには、以下の手順を実行します:
    1. 統合データソースページの該当するデータソースのタイルで、 アクティブな接続のうち <x >を管理するをクリックします。
    2. 接続ステータスページで、関連するデータ ソースのタイル上で、データ ソース接続を編集、更新、または削除できます。

結果

ステップ 5 で概説されているように、提供された URL を使用してダミー・データ・ソース接続を構成する場合、これらの URL にはサンプル・データのみが含まれます。 したがって、照会がサンプル・データに基づく場合を除いて、データ・ソースへの照会ではデータが戻されません。 以下の単純な照会例では、URL に含まれているサンプル・データに基づく結果が戻されます。
    [ ipv4-addr:value != '127.0.0.1' ]
    [ network-traffic:src_ref.value != '127.0.0.1' ]
    [ network-traffic:dst_port = 443 ]
    [ user-account:user_id = 'test' ]

次の作業

アセット・データ・ソースに一致する IP アドレスを IBM Security Data Explorer で検索して、接続をテストします。 Data Explorerで、IP アドレスをクリックすると、その IP アドレスに関連付けられているアセットとリスクが表示されます。

Data Explorerを使用するには、アプリケーションが統一されたデータ・ソース・セット全体で照会を実行して結果を取得できるように、データ・ソースが接続されている必要があります。 検索結果は構成済みのデータ・ソースに含まれるデータによって異なります。 Data Explorer でのクエリの構築方法については、 クエリの構築を参照してください。