参考ドキュメント
X-Forceの有効化
Web UIから[system Settings]をクリックする。
Enable X-Force Threat intelligence Feedを[Yes]に変更する。Saveボタンを押す。
(これをYesにしないとルール作成でCategoryを選ぶことができない)
[Deploy Changes]をクリックする。
X-Forceのリストをルールに組み込む
X-Forceで脅威判定されたIOC(IP,URL,Fileハッシュ等)がある場合には、通知をする仕組みを実装できる。
以下の手順では、通信先IPアドレスが脅威であるとX-Forceが判定する場合には通知をする手順を記載する。
[Offense] ->[Rules]をクリックする
[Actions]をクリックしてプルダウンメニューから[New Event Rule]を選ぶ。
Rule Wizardが立ち上がるので[Next]をクリックする。
Eventsが選ばれていることを確認して[Next]をクリックする。
Test Groupから[X-Force Tests]を選ぶ。
X-Forceで評価判定できる2つのルールが表示される。これらを使って脅威検知ルールを作成する。
Confidenceは、0(信頼性低い)~ 100 (信頼性高い)の範囲で設定する。以下の文書の推奨である50を採用する。
緑色の+をクリックし、ルール名を入力、ルール条件文のそれぞれ(Destination IP),(Malware),(greater),(50)を設定する。[Next]をクリックする。
[Email]に☑を入れて任意のメールアドレスを入力して[Next]をクリックする。
[Finish]をクリックする。
X-ForceによるIPアドレスの評価
QradarのLog Activity画面で、対象のIPの評価を確認することができる。
正常な場合(リスク1)
疑わしい場合
