カスタム・アクションの追加
ネットワーク・イベントに応答して特定のアクションを実行するために、カスタム・ルールにスクリプトを添付します。 「カスタム・アクション」ウィンドウを使用して、カスタム・アクション・スクリプトを管理します。
カスタム・アクションを使用して、スクリプトに渡される値およびその結果実行されるアクションを選択または定義します。
例えば、ログイン試行の失敗回数を定義し、それによってトリガーされるルールへの応答として、ご使用のネットワークからあるソース IP アドレスをブロックするファイアウォール・ルールを作成するスクリプトを作成できます。
スクリプトに値を渡すことで実行できるカスタム・アクションの例を以下に示します。
- ユーザーおよびドメインのブロック。
- 外部システムでのワークフローおよび更新の開始。
- STIX 形式の脅威による TAXI サーバーの更新。
カスタム・アクションは、低ボリュームのカスタム・ルール・イベントと、応答リミッター値が低いカスタム・ルールで最も適切に機能します。
- ナビゲーション・メニュー (
) で、「管理」をクリックします。 - 「カスタム・アクション」セクションで、をクリックします。
- スクリプトをアップロードするには、「追加」をクリックします。 製品でサポートされているプログラミング言語のバージョンが「インタープリター」リストにリストされています。
デプロイメントのセキュリティーを確保するため、QRadar® は、Python、Perl、および Bash 言語で提供されるスクリプト機能の一部をサポートしていません。
- アップロードしたスクリプトに渡すパラメーターを指定します。
表 1. カスタム・アクション・パラメーター パラメーター 説明 Fixed property カスタム・アクション・スクリプトに渡される値。 これらのプロパティーはイベントまたはフロー自体に基づくものではありませんが、定義済みのその他の値が、スクリプトを使用したアクションの実行対象に含まれます。 例えば、サード・パーティー・システムの固定プロパティー username と password をスクリプトに渡して、SMS アラートを送信します。
固定プロパティーを暗号化するには、「暗号化値」チェック・ボックスを選択します。
Network event property イベントにより生成される動的な Ariel プロパティー。 「プロパティー」リストから選択します。 例えば、ネットワーク・イベント・プロパティー sourceip は、トリガーされたイベントのソース IP アドレスに一致するパラメーターを提供します。
Ariel プロパティーについて詳しくは、「IBM QRadar Ariel 照会言語ガイド」を参照してください。
パラメーターは、「カスタム・アクション」ウィンドウで追加した順でスクリプトに渡されます。
カスタム・アクション・スクリプトが実行されると、 chroot jail が /opt/qradar/bin/ca_jail/ ディレクトリー内にセットアップされます。 /opt/qradar/bin/ca_jail/ ディレクトリー内のコンテンツは、スクリプトによって変更および書き込みが可能です。 カスタム・アクション・ユーザーのホーム・ディレクトリー (/home/customactionuser) も変更することができます。
スクリプトは jail 環境内部からのみ実行可能であり、QRadar 実行環境は干渉されません。 カスタム・アクション実行中のすべてのファイル・アクセスは、 /opt/qradar/bin/ca_jail/ ディレクトリーを基準とします。
カスタム・アクションのユーザー・アカウントは、ファイアウォールへのログイン、IP アドレスのブロックなどのフォローアップ・コマンドの実行権限を持っていない可能性があります。 スクリプトをルールに関連付ける前に、スクリプトが正常に実行されるかどうかをテストしてください。
Windows システムや DOS システムから取り込んだスクリプトには dos2unix ユーティリティーを実行する必要があります。 Windows システムや DOS システムでは、通常は制御文字が追加されます。 QRadar でスクリプトの「テストの実行」機能を使用してカスタム・アクションのスクリプトを正常にテストするには、これらの制御文字を除去する必要があります。