QRadar

Versi integrasi: 56.0

Deployment QRadar yang didukung

Integrasi ini mendukung deployment QRadar lokal dan cloud.

Akses jaringan ke QRadar

Akses API dari Google Security Operations ke QRadar: Izinkan traffic melalui port 443 (HTTPS) atau seperti yang dikonfigurasi di lingkungan Anda.

Menetapkan izin QRadar

Saat Anda membuat profil keamanan dan pengguna Google SecOps khusus di QRadar (seperti yang diuraikan dalam langkah-langkah berikut), Anda akan mendapatkan kontrol yang lebih terperinci atas izin. Pendekatan ini bersifat opsional, tetapi direkomendasikan.

Integrasi QRadar juga dapat berfungsi menggunakan akun administrator yang ada.

Membuat pengguna Google SecOps {:.hide-from-toc}

  1. Di QRadar, klik ikon kiri atas.

  2. Buka Admin, lalu klik Pengguna.

  3. Klik Baru dan isi informasi untuk membuat pengguna Admin baru.

Membuat profil keamanan Google SecOps

  1. Buka Admin > Pengelolaan Pengguna > Profil Keamanan.

  2. Buat profil dengan setelan berikut:

    • Prioritas Izin: Tanpa Batasan
    • Sumber Log: Semua Grup Sumber Log
    • Jaringan: Semua
    • Domain: Semua Domain

    Membuat profil keamanan Google SecOps

Men-deploy perubahan

Klik Deploy di layar.

Buat Layanan yang Diotorisasi untuk mengakses API

  1. Buka Admin > Pengelolaan Pengguna > Layanan yang Diizinkan.

  2. Buat layanan dengan setelan berikut:

    • Nama Layanan: Siemplify_Application_User
    • Peran Pengguna: admin
    • Profil Keamanan: admin
    • Tanggal Habis Masa Berlaku: Tidak Ada Tanggal Habis Masa Berlaku

  3. Salin kunci autentikasi yang dibuat dan gunakan di setelan integrasi Google SecOps (Wizard Deployment).

Mengonfigurasi integrasi QRadar di Google SecOps

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama Instance String T/A Tidak Nama Instance yang ingin Anda konfigurasi integrasinya.
Deskripsi String T/A Tidak Deskripsi Instance.
Root API String https://IP_ADDRESS Ya Jalur URL yang mengarah ke server QRadar.
Token API Sandi T/A Ya Token keamanan API untuk autentikasi.
Versi API String T/A Tidak Versi API yang digunakan.
Menjalankan dari Jarak Jauh Kotak centang Tidak dicentang Tidak Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen).

Tindakan

Kueri Alur Serupa

Deskripsi

Jalankan kueri AQL yang telah ditentukan sebelumnya untuk menemukan alur yang terkait dengan entitas alamat IP Google SecOps yang ditentukan.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Selisih Waktu dalam Menit Bilangan bulat 10 Tidak Mengambil alur selama x menit terakhir. Parameter menerima nilai numerik, misalnya 10.
Batas Alur yang Akan Diambil Bilangan bulat 23 Ya Membatasi alur yang dapat ditampilkan oleh tindakan. Parameter menerima nilai numerik, misalnya 10.
Kolom yang Akan Ditampilkan String T/A Tidak Kolom yang akan diambil dari alur selain kolom yang telah ditentukan sebelumnya. Jika tidak disetel, tindakan akan menampilkan kolom yang telah ditentukan sebelumnya untuk alur.
Nama Kolom Alamat IP Sumber String T/A Tidak Kolom yang merepresentasikan Kolom Alamat IP Sumber alur.
Nama Kolom Alamat IP Tujuan String T/A Tidak Kolom yang merepresentasikan Kolom Alamat IP Tujuan alur.

Contoh kasus penggunaan playbook

Mendapatkan informasi dari QRadar tentang alur yang terdaftar untuk alamat IP tertentu selama x menit terakhir.

Dijalankan pada

Tindakan ini dijalankan pada entity Alamat IP.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "flows": [
      {
        "destinationflags": 27,
        "destinationpackets": 5.0,
        "sourcebytes": 522.0,
        "protocolid": 6,
        "sourceip": "195.200.72.148",
        "destinationbytes": 571.0,
        "lastpackettime": 1585057251000,
        "sourceflags": 27,
        "sourcepackets": 5.0,
        "qid": 53268795,
        "flowtype": 0,
        "destinationip": "37.28.155.22",
        "firstpackettime": 1585057224000,
        "category": 18448,
        "source hostname": null,
        "destination hostname": null
      },
      {
        "destinationflags": null,
        "destinationpackets": 0.0,
        "sourcebytes": 78.0,
        "protocolid": 17,
        "sourceip": "195.200.72.148",
        "destinationbytes": 0.0,
        "lastpackettime": 1585057220000,
        "sourceflags": null,
        "sourcepackets": 1.0,
        "qid": 53258563,
        "flowtype": 0,
        "destinationip": "8.8.8.8",
        "firstpackettime": 1585057177000,
        "category": 18438,
        "source hostname": null,
        "destination hostname": null
      },
      ...
    ]
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal, dan tidak boleh menghentikan eksekusi playbook:

  • Jika tindakan menemukan alur serupa: "Alur serupa ditemukan untuk entity berikut: {entityList}"
  • Jika tindakan tidak menemukan alur serupa untuk sebagian kecil entitas: "Entitas berikut berhasil diproses, tetapi tidak ada alur serupa yang ditemukan untuk entitas tersebut: {entityList}"
  • Jika tindakan tidak menemukan alur serupa untuk semua entity yang diberikan: "Tidak ada alur serupa yang ditemukan".
  • Jika tindakan memiliki error non-kritis saat memproses subset entitas: "Gagal memproses entitas berikut: {entityList}""

Tindakan akan gagal dan menghentikan eksekusi playbook:

  • Jika gagal terhubung: "Failed to execute action, the error is {o}""".format(exception.stacktrace)"
 Umum
Tabel

Alur serupa untuk entity: {0}".format(Siemplify.entity.identifier)

Judul:...

 Entity

Kueri Acara Serupa

Deskripsi

Jalankan kueri AQL yang telah ditentukan sebelumnya untuk menemukan peristiwa yang terkait dengan entity Alamat IP, Nama Host, atau Nama Pengguna Google SecOps yang ditentukan.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Selisih Waktu dalam Menit Bilangan bulat 10 Tidak Mengambil alur selama x menit terakhir. Parameter menerima nilai numerik, misalnya 10.
Batas Peristiwa yang Akan Diambil Bilangan bulat 25 Ya Membatasi peristiwa yang dapat ditampilkan oleh tindakan. Parameter ini menerima nilai numerik, misalnya, 25.
Kolom yang Akan Ditampilkan CSV T/A Tidak Kolom yang akan diambil dari peristiwa selain kolom yang telah ditentukan sebelumnya. Jika tidak disetel, tindakan akan menampilkan kolom yang telah ditentukan sebelumnya untuk acara.
Nama Kolom Nama Host String T/A Tidak Kolom yang merepresentasikan Kolom Nama Host dari peristiwa.
Nama Kolom Alamat IP Sumber String T/A Tidak Kolom yang merepresentasikan Kolom Alamat IP Sumber alur.
Nama Kolom Alamat IP Tujuan String T/A Tidak Kolom yang mewakili Kolom Alamat IP Tujuan alur.
Nama Kolom Nama Pengguna String T/A Tidak Kolom yang mewakili Kolom Nama Pengguna peristiwa.

Contoh kasus penggunaan

Mendapatkan informasi dari QRadar tentang peristiwa yang terdaftar untuk entitas tertentu selama x menit terakhir.

Dijalankan pada

Tindakan ini berjalan di entity berikut:

  • Alamat IP
  • Hostname
  • Pengguna

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "events": [
      {
        "starttime": 1585288010745,
        "protocolid": 255,
        "sourceip": "10.0.100.250",
        "logsourceid": 62,
        "qid": 18750001,
        "sourceport": 0,
        "eventcount": 1,
        "magnitude": 10,
        "identityip": "0.0.0.0",
        "destinationip": "10.0.100.250",
        "destinationport": 0,
        "category": 10008,
        "username": null,
        "hostname": null
      },
      {
        "starttime": 1585288010745,
        "protocolid": 255,
        "sourceip": "10.0.100.250",
        "logsourceid": 62,
        "qid": 18750001,
        "sourceport": 0,
        "eventcount": 1,
        "magnitude": 10,
        "identityip": "0.0.0.0",
        "destinationip": "10.0.100.250",
        "destinationport": 0,
        "category": 10008,
        "username": null,
        "hostname": null
      },
      ...
    ]
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal, dan tidak boleh menghentikan eksekusi playbook:

  • Jika tindakan menemukan alur serupa: "Alur serupa ditemukan untuk entity berikut: {entityList}"
  • Jika tindakan tidak menemukan alur serupa untuk sebagian kecil entitas: "Entitas berikut berhasil diproses, tetapi tidak ada alur serupa yang ditemukan untuk entitas tersebut: {entityList}"
  • Jika tindakan tidak menemukan alur serupa untuk semua entity yang diberikan: "Tidak ada alur serupa yang ditemukan".
  • Jika tindakan memiliki error non-kritis saat memproses subset entitas: "Gagal memproses entitas berikut: {entityList}""

Tindakan akan gagal dan menghentikan eksekusi playbook:

  • Jika gagal terhubung: "Failed to execute action, the error is {o}""".format(exception.stacktrace)"
 Umum
Tabel

Alur serupa untuk entity: {0}".format(Siemplify.entity.identifier)

Judul:...

 Entity

Deskripsi

Menjalankan kueri AQL arbitrer terhadap instance QRadar. Tindakan ini akan menampilkan output dalam format CSV.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Format Kueri String T/A Ya Format kueri yang akan dijalankan, misalnya, "Select * from flows limit 10 last 10 minutes".

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
hasil T/A T/A
Hasil JSON
{
    "events": [
        {
            "username": "None",
            "category": 4003,
            "starttime": 1548682790158,
            "destinationip": "1.1.1.1",
            "eventcount": 13,
            "qid": 20257872,
            "magnitude": 3,
            "destinationport": 53,
            "protocolid": 17,
            "sourceport": 50597,
            "identityip": "1.1.1.1",
            "sourceip": "1.1.1.1",
            "logsourceid": 71
        }, {
            "username": "None",
            "category": 8053,
            "starttime": 1548682800217,
            "destinationip": "1.1.1.1",
            "eventcount": 1,
            "qid": 20280296,
            "magnitude": 3,
            "destinationport": 443,
            "protocolid": 6,
            "sourceport": 49230,
            "identityip": "1.1.1.1",
            "sourceip": "1.1.1.1",
            "logsourceid": 71
        }
    ]
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal, dan tidak boleh menghentikan eksekusi playbook

  • Jika tindakan menemukan data: "Menemukan data untuk kueri."
  • Jika tindakan tidak menemukan data: "Tidak ada data yang ditemukan untuk kueri."

Tindakan akan gagal dan menghentikan eksekusi playbook:

  • Jika gagal terhubung: "Failed to execute action, the error is {o}".format(exception.stacktrace)
 Umum
Tabel

"Hasil kueri"

Header:...

 Umum

Ping

Deskripsi

Uji konektivitas ke instance QRadar.

Parameter

T/A

Kasus penggunaan yang dimaksudkan

Menguji apakah akses ke sistem target berhasil atau tidak dengan parameter, yang diberikan pada konfigurasi integrasi di halaman Google Security Operations Marketplace.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal, dan tidak boleh menghentikan eksekusi playbook.

  • Jika berhasil terhubung: "Berhasil terhubung"

Tindakan akan gagal dan menghentikan eksekusi playbook:

  • Jika gagal terhubung: "Gagal terhubung ke instance QRadar, errornya adalah {o}".format(exception.stacktrace)
 Umum

Mencari Nilai dalam Set Referensi

Deskripsi

Periksa apakah suatu nilai tercantum dalam set referensi tertentu.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama String T/A Ya Nama set referensi untuk memeriksa nilai.
Nilai String T/A Ya Nilai yang akan diperiksa dalam set yang dirujuk.

Contoh kasus penggunaan playbook

IP ditemukan berbahaya dalam playbook yang dijalankan, periksa apakah IP tersebut tercantum dalam set referensi Malicious_IPs.

Dijalankan pada

Tindakan ini tidak berjalan di entity Google SecOps.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "timeout_type": "FIRST_SEEN",
    "number_of_elements": 1,
    "data": [
      {
        "last_seen": 1611149814345,
        "first_seen": 1611149814345,
        "source": "admin",
        "value": "192.168.10.230",
        "domain_id": null
      }
    ],
    "creation_time": 1440695740583,
    "name": "Critical Assets",
    "namespace": "SHARED",
    "element_type": "IP",
    "collection_id": 20
  }
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error yang dilaporkan:

    Jika nilai ditemukan: "Ditemukan {value} dalam set referensi."

    Jika nilai tidak ditemukan: "Could not find value in the reference set". (Tidak dapat menemukan nilai dalam set rujukan).

  • Jika error dilaporkan (is_success=False): "Gagal mencari {value} dalam set referensi."

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "Lookup for a value in a reference set". Alasan: {0}".format(error.Stacktrace)
 Umum

Mencari Nilai dalam Peta Referensi

Deskripsi

Periksa apakah suatu nilai tercantum dalam peta referensi tertentu.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama String T/A Ya Nama peta referensi untuk memeriksa nilai.
Nilai String T/A Ya Nilai yang akan diperiksa dalam peta yang dirujuk.

Contoh kasus penggunaan playbook

Memeriksa apakah nama pengguna diizinkan mengakses IP tertentu berdasarkan nilai peta referensi.

Dijalankan pada

Tindakan ini tidak berjalan di entity Google SecOps.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "data": {
        "1001": {
            "last_seen": 1583903726952,
            "first_seen": 1583903726952,
            "source": "reference data api",
            "value": "jack"
        }
    }
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika nilai ditemukan: "Ditemukan {value} dalam peta referensi."

    Jika nilai tidak ditemukan: "Could not find value in the reference map" (Tidak dapat menemukan nilai dalam peta referensi).

  • If errors (is_success=False): "Gagal mencari {value} dalam set referensi."

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "Lookup for a value in a reference map". Alasan: {0}".format(error.Stacktrace)
 Umum

Mencari Nilai dalam Peta Referensi set

Deskripsi

Memeriksa apakah suatu nilai tercantum dalam peta referensi kumpulan tertentu.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama String T/A Ya Nama peta referensi set untuk memeriksa nilai.
Nilai String T/A Ya Nilai yang akan diperiksa dalam peta set yang dirujuk.

Contoh kasus penggunaan

Periksa apakah nama pengguna diizinkan untuk mengakses IP tertentu berdasarkan peta referensi setvalue.

Dijalankan pada

Tindakan ini dijalankan pada entity Google SecOps.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
"data": {
        "192.168.1.1": [
            {
                "last_seen": 1583912905418,
                "first_seen": 1583912905418,
                "source": "reference data api",
                "value": "jack, john, huey"
            },
            {
                "last_seen": 1583913398524,
                "first_seen": 1583913398524,
                "source": "reference data api",
                "value": "zz"
            },
            {
                "last_seen": 1583913639025,
                "first_seen": 1583913639025,
                "source": "reference data api",
                "value": "jane"
            }
        ]
        }
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika nilai ditemukan: "Nilai ditemukan dalam peta referensi set."

    Jika nilai tidak ditemukan: "Could not find value {value} in the reference map of sets." (Tidak dapat menemukan nilai {value} dalam peta referensi set.)

  • Jika terjadi error (is_success=False): "Failed to lookup {value} in the reference map of sets." (Gagal mencari {value} di peta referensi set.)

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "Lookup for a value in a reference map of sets". Alasan: {0}".format(error.Stacktrace)
 Umum

Mencari Nilai dalam Tabel Referensi

Deskripsi

Memeriksa apakah suatu nilai tercantum dalam tabel referensi tertentu.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama String T/A Ya Nama tabel referensi untuk memeriksa nilai.
Nilai String T/A Ya Nilai yang akan diperiksa dalam tabel yang dirujuk.

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "data": {
        "Source_IP": {
            "port": {
                "last_seen": 1583933682283,
                "first_seen": 1583933682283,
                "source": "reference data api",
                "value": "8080"
            }
        },
        "192.168.1.1": {
            "port": {
                "last_seen": 1583990995600,
                "first_seen": 1583990995600,
                "source": "reference data api",
                "value": "8080"
            }
        }
    }
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika nilai ditemukan: "Nilai ditemukan dalam Tabel referensi".

    Jika nilai tidak ditemukan: "Could not find value in the reference tables." (Nilai tidak dapat ditemukan dalam tabel referensi).

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error: "Error saat menjalankan tindakan "Cari nilai dalam tabel referensi". Alasan: {0}".format(error.Stacktrace)"
 Umum

Mencari Kunci di Peta Referensi

Deskripsi

Periksa apakah kunci tercantum dalam peta referensi tertentu.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama String T/A Ya Nama peta referensi untuk memeriksa nilai.
Kunci String T/A Ya Kunci yang akan diperiksa dalam peta referensi.

Contoh kasus penggunaan

Memeriksa apakah nama pengguna diizinkan mengakses IP tertentu berdasarkan nilai peta referensi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "data": {
        "1001": {
            "last_seen": 1583903726952,
            "first_seen": 1583903726952,
            "source": "reference data api",
            "value": "jack"
        }
    }
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika kunci ditemukan: "Found {key} in reference map."

    Jika kunci tidak ditemukan: "Could not find key {key} in the reference map." (Tidak dapat menemukan kunci {key} dalam peta referensi.)

  • If errors (is_success=False): "Gagal mencari {key} dalam set rujukan."

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "Lookup for a value in a reference map". Alasan: {0}".format(error.Stacktrace)
Umum

Pencarian Kunci dalam Peta Referensi set

Deskripsi

Memeriksa apakah kunci tercantum dalam peta referensi set tertentu.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama String T/A Ya Nama peta referensi set untuk memeriksa nilai.
Kunci String T/A Ya Kunci yang akan diperiksa dalam peta set yang direferensikan.

Contoh kasus penggunaan

Periksa apakah nama pengguna diizinkan untuk mengakses IP tertentu berdasarkan peta referensi nilai yang ditetapkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
"data": {
        "192.168.1.1": [
            {
                "last_seen": 1583912905418,
                "first_seen": 1583912905418,
                "source": "reference data api",
                "value": "jack, john, huey"
            },
            {
                "last_seen": 1583913398524,
                "first_seen": 1583913398524,
                "source": "reference data api",
                "value": "zz"
            },
            {
                "last_seen": 1583913639025,
                "first_seen": 1583913639025,
                "source": "reference data api",
                "value": "jane"
            }
        ]
    }
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika kunci ditemukan: "Found key {key} in reference map of sets." (Kunci {key} ditemukan di peta referensi set.)

    Jika kunci tidak ditemukan: "Could not find key {key} in the reference map of sets." (Tidak dapat menemukan kunci {key} dalam peta referensi set.)

  • Jika terjadi error (is_success=False): "Gagal mencari {key} di peta referensi set."

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "Error saat menjalankan tindakan "Lookup for a value in a reference map of sets". Alasan: {0}".format(error.Stacktrace)
 Umum

Mencantumkan Set Referensi

Deskripsi

Mencantumkan set referensi yang tersedia di QRadar.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Kolom yang Akan Ditampilkan String T/A Tidak Tentukan kolom yang harus ditampilkan oleh tindakan. Jika tidak ada yang diberikan, tindakan akan menampilkan semua kolom yang tersedia secara default. Parameter ini menerima beberapa nilai yang dipisahkan dengan koma.
Kondisi Filter String T/A Tidak Tentukan kondisi filter untuk menampilkan hanya elemen tertentu, misalnya: element_type = IP
Jumlah Elemen yang Akan Ditampilkan Bilangan bulat 25 Ya Tentukan jumlah maksimum elemen yang akan ditampilkan oleh tindakan.

Contoh kasus penggunaan

Mencantumkan elemen yang tersedia untuk referensi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    {
        "name": "Critical Assets",
        "element_type": "IP"
    },
    {
        "name": "Asset Reconciliation IPv4 Blocklist",
        "element_type": "IP"
    },
    {
        "name": "Proxy Servers",
        "element_type": "IP"
    }
]
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika data ditampilkan:"Tindakan berhasil diselesaikan dan data ditampilkan."

    Jika tidak ada yang ditemukan, misalnya nilai filter yang diberikan tidak ada: Tindakan berhasil diselesaikan, tetapi tidak menampilkan data apa pun."

  • Jika error, seperti sintaksis yang salah, dilaporkan (is_success=False): "Gagal menjalankan tindakan karena error (0).format(error text)"

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan. Alasan: {0}".format(error.Stacktrace)
 Umum

Mencantumkan Peta Referensi

Deskripsi

Mencantumkan peta referensi yang tersedia di QRadar.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Kolom yang Akan Ditampilkan String T/A Tidak Tentukan kolom yang harus ditampilkan oleh tindakan. Jika tidak ada yang diberikan, tindakan akan menampilkan semua kolom yang tersedia secara default. Parameter ini menerima beberapa nilai yang dipisahkan dengan koma.
Kondisi Filter String T/A Tidak Tentukan kondisi filter untuk menampilkan hanya elemen tertentu, misalnya: element_type = ALNIC
Jumlah Elemen yang Akan Ditampilkan Bilangan bulat 25 Ya Tentukan jumlah maksimum elemen yang akan ditampilkan oleh tindakan.

Contoh kasus penggunaan

Mencantumkan elemen yang tersedia untuk referensi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    {
        "name": "User1",
        "element_type": "ALNIC"
    },
    {
        "name": "User",
        "element_type": "ALNIC"
    }
]
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika data ditampilkan: "Tindakan berhasil diselesaikan dan data ditampilkan."

    Jika tidak ada yang ditemukan, misalnya nilai filter yang diberikan tidak ada: "Tindakan berhasil diselesaikan, tetapi tidak menampilkan data apa pun."

  • Jika error, seperti sintaksis yang salah diberikan dilaporkan (is_success=False): "Failed to execute action due to errors (0).format(error text)"

Tindakan akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan. Alasan: {0}".format(error.Stacktrace)
 Umum

Mencantumkan Peta Referensi Set

Deskripsi

Mencantumkan peta referensi set yang tersedia di QRadar.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Kolom yang Akan Ditampilkan String T/A Tidak Tentukan kolom yang harus ditampilkan oleh tindakan. Jika tidak ada yang diberikan, tindakan akan menampilkan semua kolom yang tersedia secara default. Parameter ini menerima beberapa nilai yang dipisahkan dengan koma.
Kondisi Filter String T/A Tidak Tentukan kondisi filter untuk menampilkan hanya elemen tertentu, misalnya: element_type = ALN
Jumlah Elemen yang Akan Ditampilkan Bilangan bulat 25 Ya Tentukan jumlah maksimum elemen yang akan ditampilkan oleh tindakan.

Contoh kasus penggunaan

Mencantumkan elemen yang tersedia untuk referensi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    {
        "name": "CorrelatedAttackMap",
        "element_type": "ALN"
    },
    {
        "name": "TestMapOfSets",
        "element_type": "ALN"
    }
]
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika data ditampilkan: "Tindakan berhasil diselesaikan dan data ditampilkan."

    Jika tidak ada yang ditemukan, misalnya nilai filter yang diberikan tidak ada: "Tindakan berhasil diselesaikan, tetapi tidak menampilkan data apa pun."

  • Jika error, seperti sintaksis yang salah, dilaporkan (is_success=False): "Gagal menjalankan tindakan karena error (0).format(error text)"

Tindakan akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan. Alasan: {0}".format(error.Stacktrace)
 Umum

Mencantumkan Tabel Referensi

Deskripsi

Mencantumkan tabel referensi yang tersedia di QRadar.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Kolom yang Akan Ditampilkan String T/A Tidak Tentukan kolom yang harus ditampilkan oleh tindakan. Jika tidak ada yang diberikan, tindakan akan menampilkan semua kolom yang tersedia secara default. Parameter ini menerima beberapa nilai yang dipisahkan dengan koma.
Kondisi Filter String T/A Tidak Tentukan kondisi filter untuk menampilkan hanya elemen tertentu, misalnya: element_type = ALN
Jumlah Elemen yang Akan Ditampilkan Bilangan bulat 25 Ya Tentukan jumlah maksimum elemen yang akan ditampilkan oleh tindakan.

Contoh kasus penggunaan

Mencantumkan elemen yang tersedia untuk referensi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
    {
        "name": "TestTable2",
        "element_type": "ALN"
    },
    {
        "name": "TestTable3",
        "element_type": "ALN"
    }
]
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika tidak ada error:

    Jika data ditampilkan: "Tindakan berhasil diselesaikan dan data ditampilkan."

    Jika tidak ada yang ditemukan, misalnya nilai filter yang diberikan tidak ada: "Tindakan berhasil diselesaikan, tetapi tidak menampilkan data apa pun."

  • Jika terjadi error, seperti sintaksis yang salah (is_success=False): "Gagal menjalankan tindakan karena error (0).format(error text)"

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan. Alasan: {0}".format(error.Stacktrace)
 Umum

Menambahkan Catatan Pelanggaran

Deskripsi

Menambahkan catatan ke pelanggaran QRadar.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID Pelanggaran Bilangan bulat T/A Ya ID pelanggaran untuk menambahkan catatan.
Teks Catatan String T/A Ya Catatan teks untuk ditambahkan ke pelanggaran.

Contoh kasus penggunaan playbook

Menambahkan catatan pada pelanggaran QRadar dari Google SecOps.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika berhasil: "Added a note to offense {0}".format(offense_id)"
  • Jika is_success=False, misalnya terjadi error internal di sisi QRadar: "Failed to add a note to offense {0}".format(offense_id)"

    • Tindakan akan gagal dan menghentikan eksekusi playbook:

  • Jika error penting, seperti kredensial yang salah atau konektivitas terputus dilaporkan: "Gagal terhubung ke server QRadar. Error adalah {0}".format(exception.stacktrace)
 Umum

Memperbarui Pelanggaran

Deskripsi

Perbarui Pelanggaran QRadar.

Parameter

Nama Tampilan Parameter Jenis Nilai default Wajib diisi Deskripsi
ID Pelanggaran Bilangan bulat T/A Ya ID pelanggaran yang akan diperbarui.
Ditugaskan Kepada String T/A Tidak Login pengguna untuk menetapkan pelanggaran.
Status DDL " " Tidak Status baru pelanggaran.
Alasan Penutupan String T/A Tidak Jika status pelanggaran ditetapkan ke ditutup, Anda harus memberikan alasan penutupan QRadar.
Tindak Lanjut Kotak centang Kotak Centang Tidak Dicentang Tidak Menentukan apakah pelanggaran harus ditandai sebagai tindak lanjut.
Terlindungi Kotak centang Kotak Centang Tidak Dicentang Tidak Tentukan apakah pelanggaran harus ditandai sebagai dilindungi.

Contoh kasus penggunaan playbook

Perbarui pelanggaran QRadar dari Google SecOps untuk menyelaraskan status pelanggaran QRadar dengan Google SecOps.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "last_persisted_time": 1611143659000,
    "username_count": 0,
    "description": "Web\n",
    "rules": [
        {
            "id": 100555,
            "type": "CRE_RULE"
        }
    ],
    "event_count": 0,
    "flow_count": 4,
    "assigned_to": "admin",
    "security_category_count": 1,
    "follow_up": true,
    "source_address_ids": [
        50
    ],
    "source_count": 1,
    "inactive": true,
    "protected": true,
    "closing_user": null,
    "destination_networks": [
        "other"
    ],
    "source_network": "other",
    "category_count": 1,
    "close_time": null,
    "remote_destination_count": 1,
    "start_time": 1610451749000,
    "magnitude": 0,
    "last_updated_time": 1610451887000,
    "credibility": 0,
    "id": 93,
    "categories": [
        "Web"
    ],
    "severity": 0,
    "policy_category_count": 0,
    "log_sources": [],
    "closing_reason_id": null,
    "device_count": 0,
    "first_persisted_time": 1610451722000,
    "offense_type": 1,
    "relevance": 0,
    "domain_id": 0,
    "offense_source": "37.28.155.22",
    "local_destination_address_ids": [],
    "local_destination_count": 0,
    "status": "OPEN"
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal dan tidak boleh menghentikan eksekusi playbook:

  • Jika berhasil: "Pelanggaran {0} telah diperbarui".format(offense_id)"
  • Jika is_success=False, misalnya tidak ada pelanggaran dengan ID yang diberikan: "Fail to update offense for provided id {0}".format(offense_id)"

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error penting, seperti kredensial yang salah atau konektivitas terputus dilaporkan: "Gagal terhubung ke server QRadar. Error adalah {0}".format(exception.stacktrace)
 Umum

Mendapatkan Cakupan MITRE Aturan

Deskripsi

Dapatkan detail MITRE tentang aturan di QRadar menggunakan aplikasi Use Case Manager.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama Aturan CSV Ya Tentukan daftar nama aturan yang dipisahkan koma yang tindakannya harus menampilkan detail MITRE.
Buat Insight Boolean Benar Tidak Jika diaktifkan, tindakan ini akan membuat insight yang berisi informasi tentang cakupan MITRE dari aturan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[{
    "rulename": "Excessive Database Connections"
        "id": "SYSTEM-1431",
        "has_ibm_default": true,
        "last_updated": 1591634177302,
        "mapping": {
            "Discovery": {
                "confidence": "medium",
                "user_override": false,
                "enabled": true,
                "ibm_default": true,
                "id": "TA0007",
                "techniques": {}
            },
            "Initial Access": {
                "confidence": "low",
                "user_override": false,
                "enabled": true,
                "ibm_default": true,
                "id": "TA0001",
                "techniques": {}
            }
        },
        "min-mitre-version": 7
    }
}]
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal atau menghentikan eksekusi playbook:

  • Jika ditemukan minimal satu aturan (is_success=true): "Berhasil menemukan cakupan MITRE untuk aturan berikut di QRadar Use Case Manager: {rule name}\n."
  • Jika tidak ditemukan minimal satu aturan (is_success=true): "Action didn't find MITRE coverage for the following rules in QRadar Use Case Manager: {rule name}\n." (Tindakan tidak menemukan cakupan MITRE untuk aturan berikut di QRadar Use Case Manager: {rule name}\n.)
  • Jika tidak ada aturan yang ditemukan (is_success=false): "No MITRE coverage was found for the provided rules in QRadar Use Case Manager." (Tidak ada cakupan MITRE yang ditemukan untuk aturan yang diberikan di QRadar Use Case Manager.)

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Rule MITRE Coverage". Alasan: {0}''.format(error.Stacktrace)
  • Jika kode status 404 dilaporkan dalam respons: "Error saat menjalankan tindakan "Get Rule MITRE Coverage". Alasan: Use Case Manager tidak diinstal.'
 Umum
Tabel Repositori Kasus

Nama Tabel: Cakupan MITRE

Kolom Tabel:

  • Nama Aturan
  • Pemetaan

Deskripsi

Jalankan kueri AQL berdasarkan parameter di QRadar.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama Tabel DDL

Flow

Nilai yang memungkinkan:

  • Flow
  • Acara
 Ya Tentukan tabel yang harus dikueri.
Kolom yang Akan Ditampilkan CSV * Tidak Tentukan kolom yang akan ditampilkan. Jika tidak ada yang diberikan, tindakan akan menampilkan semua kolom. Karakter pengganti juga didukung.
Filter Where String Tidak Tentukan filter WHERE untuk kueri yang perlu dijalankan.

Anda tidak perlu menyediakan filter waktu, pembatasan, dan pengurutan. Selain itu, Anda tidak perlu memberikan string WHERE dalam payload.
Jangka Waktu DDL

Sejam Terakhir

Nilai yang Mungkin:

  • Sejam Terakhir
  • 6 Jam Terakhir
  • 24 Jam Terakhir
  • Seminggu Terakhir
  • Sebulan Terakhir
  • Kustom
 Tidak Tentukan jangka waktu untuk hasil. Jika "Kustom" dipilih, Anda juga perlu memberikan "Waktu Mulai".
Waktu Mulai String Tidak Tentukan waktu mulai untuk hasil. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601. Contoh: 2021-04-23T12:38Z
Waktu Berakhir String Tidak Tentukan waktu berakhir untuk hasil. Format: ISO 8601. Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini.
Kolom Pengurutan String Tidak Tentukan parameter yang harus digunakan untuk pengurutan.
Tata Urutan DDL

ASC

Nilai yang Mungkin:

  • ASC
  • DESC
 Tidak Tentukan urutan penyortiran. Memerlukan parameter "Kolom Pengurutan" untuk diberikan.
Jumlah Hasil Maksimum yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah hasil yang akan ditampilkan.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
hasil T/A T/A
Hasil JSON
{
    "events": [
        {
            "username": "None",
            "category": 4003,
            "starttime": 1548682790158,
            "destinationip": "1.1.1.1",
            "eventcount": 13,
            "qid": 20257872,
            "magnitude": 3,
            "destinationport": 53,
            "protocolid": 17,
            "sourceport": 50597,
            "identityip": "1.1.1.1",
            "sourceip": "1.1.1.1",
            "logsourceid": 71
        }, {
            "username": "None",
            "category": 8053,
            "starttime": 1548682800217,
            "destinationip": "1.1.1.1",
            "eventcount": 1,
            "qid": 20280296,
            "magnitude": 3,
            "destinationport": 443,
            "protocolid": 6,
            "sourceport": 49230,
            "identityip": "1.1.1.1",
            "sourceip": "1.1.1.1",
            "logsourceid": 71
        }
    ]
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan ini tidak boleh gagal atau menghentikan eksekusi playbook:

  • Jika menemukan setidaknya beberapa data (is_success=true): "Berhasil mengambil hasil untuk kueri "{constructed query}" di QRadar.".
  • Jika tidak ada hasil yang ditemukan (is_success=false): "No results found for the query {constructed query} in QRadar".

Tindakan ini akan gagal dan menghentikan eksekusi playbook:

  • Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "QRadar Simple AQL Search". Alasan: {0}''.format(error.Stacktrace)
  • Jika ada error dalam kueri dan kode status 422 dilaporkan: "Error saat menjalankan tindakan "QRadar Simple AQL Search". Alasan: {message}''.format(error.Stacktrace)
 Umum
Tabel Repositori Kasus Nama Tabel: Hasil

Konektor

Halaman Aturan QRadar

Mengonfigurasi konektor QRadar di Google SecOps

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Konektor Peristiwa Korelasi QRadar V2

Deskripsi

Konektor yang direkomendasikan. Mengambil pelanggaran QRadar dan membuat pemberitahuan Google SecOps untuk setiap aturan QRadar yang ditambahkan ke daftar dinamis di Google SecOps. Konektor hanya mengambil pelanggaran untuk aturan yang ditambahkan ke daftar dinamis Google SecOps. Konektor memerlukan versi API QRadar minimum 10.1. Konektor membuat pemberitahuan Google SecOps berdasarkan nama aturan pelanggaran QRadar, bukan nama pelanggaran.

Prasyarat konektor

  1. Indeks QRadar untuk kolom wajib diisi. Konektor QRadar New Correlation Events Connector V2 menggunakan kolom tambahan untuk peristiwa yang terkait dengan pelanggaran berikut: logsource_id, creEventList, Custom Rule Partially Matched. Kolom tersebut harus diindeks secara default di QRadar, tetapi Anda harus memastikan bahwa indeks ini saat ini diaktifkan. Untuk memeriksa apakah fitur ini diaktifkan, di UI Web QRadar, buka Admin > Pengelolaan Indeks. Di jendela yang terbuka, Anda akan menemukan indeks berikut, pastikan indeks tersebut diaktifkan:

    • Aturan Khusus
    • Sumber Log
    • Aturan Kustom Cocok Sebagian

    Indeks di QRadar

    Untuk mengetahui informasi selengkapnya, lihat Pengelolaan indeks.

  2. Rekomendasi Mundur Maksimum Nilai parameter konektor Mundur Maksimum harus digunakan dengan hati-hati. Pelanggaran QRadar dapat memiliki banyak peristiwa, dan mencoba mengambil peristiwa tersebut oleh konektor dapat menyebabkan beban berlebihan pada server QRadar dan/atau waktu tunggu permintaan. Oleh karena itu, sebaiknya tetapkan parameter Max Days Backwards ke nilai yang cukup kecil untuk memastikan konektor dapat membuat kueri QRadar untuk peristiwa selama periode yang dikonfigurasi.

Catatan penggunaan konektor

Perhatikan hal-hal berikut saat menggunakan konektor:

  1. QRadar Correlation Events Connector v2 melacak setiap peristiwa yang di-ingest per pelanggaran. Untuk melakukannya, aplikasi menghitung jumlah hash peristiwa menggunakan semua data peristiwa (setiap kolom untuk peristiwa yang ditampilkan oleh QRadar API) dan menggunakannya sebagai ID unik peristiwa untuk pelanggaran. Akibatnya, peristiwa yang memiliki setiap kolom yang identik tidak akan diproses untuk pelanggaran. Peristiwa pertama diserap dan ditambahkan ke pelanggaran terkait. Namun, item berikut dihapus karena duplikat. Hal tersebut disebabkan oleh arsitektur QRadar karena peristiwa di QRadar tidak memiliki ID unik.

  2. QRadar Correlation Events Connector v2 membuat pemberitahuan berdasarkan aturan daftar dinamis yang ada untuk pelanggaran, bukan untuk pelanggaran itu sendiri. Akibatnya, jika suatu peristiwa dalam pelanggaran ditandai oleh beberapa aturan daftar dinamis, peristiwa ini akan ditambahkan ke beberapa pemberitahuan Google SecOps untuk aturan daftar dinamis terkait.

IBM QRadar menggunakan aturan untuk memantau peristiwa dan alur di jaringan Anda guna mendeteksi ancaman keamanan. Jika peristiwa dan alur memenuhi kriteria pengujian, yang ditentukan dalam aturan, pelanggaran akan dibuat untuk menunjukkan bahwa serangan keamanan atau pelanggaran kebijakan dicurigai.

Konektor baru menyerap pelanggaran ke Google SecOps hanya berdasarkan aturan yang cocok. Aturan ini ditentukan pengguna dan perlu ditambahkan ke daftar dinamis untuk memastikan Google SecOps hanya menyerap pelanggaran yang relevan bagi pengguna. Oleh karena itu, setelah pelanggaran baru dibuat, konektor akan memeriksa aturan yang memicu pelanggaran (pemfilteran aturan diperkenalkan pada QRadar API versi 9+). Jika aturan adalah bagian dari daftar dinamis, konektor akan menyiapkan pelanggaran untuk penyerapan.

Kasus penggunaan konektor

Menyelidiki pelanggaran

IBM QRadar menggunakan aturan untuk memantau peristiwa dan alur di jaringan Anda guna mendeteksi ancaman keamanan. Jika peristiwa dan alur memenuhi kriteria pengujian yang ditentukan dalam aturan, pelanggaran akan dibuat untuk menunjukkan bahwa serangan keamanan atau pelanggaran kebijakan dicurigai. Namun, mengetahui bahwa pelanggaran terjadi hanyalah langkah pertama. Mengidentifikasi bagaimana hal itu terjadi, di mana hal itu terjadi, dan siapa yang melakukannya memerlukan penyelidikan.

Jendela Ringkasan Pelanggaran membantu Anda memulai investigasi pelanggaran dengan memberikan konteks untuk membantu Anda memahami apa yang terjadi dan menentukan cara mengisolasi serta menyelesaikan masalah.

Ringkasan Pelanggaran lihat

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama parameter Jenis Nilai Default Deskripsi
Nama Kolom Produk String T/A Mendeskripsikan nama kolom tempat nama produk disimpan.
Nama Kolom Peristiwa String T/A Mendeskripsikan nama kolom tempat nama peristiwa disimpan.
Nama Kolom Lingkungan String domain_name Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan adalah "".
Pola Regex Lingkungan String .* Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan".
Root API String https://IP_ADDRESS:port Alamat server QRadar.
Token API String T/A Token autentikasi API.
Versi API String 10.1 Versi QRadar API yang akan digunakan, Konektor mendukung versi API mulai dari 10.1.
Filter Domain String (CSV) T/A Tentukan domain QRadar dari mana pelanggaran harus di-ingest. Jika tidak ada nilai yang diberikan, konektor akan menyerap pelanggaran dari semua domain. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Batas Peristiwa per Pemberitahuan Siemplify Bilangan bulat 25 Jumlah maksimum peristiwa yang akan diambil per Pemberitahuan Google SecOps per Siklus. Dapat ditingkatkan untuk membuat konektor berjalan lebih cepat, jika untuk periode padding pelanggaran yang ditentukan, sejumlah besar peristiwa terus-menerus ditampilkan.
Ukuran Halaman Peristiwa Konektor Bilangan bulat 100 Ukuran halaman yang akan digunakan konektor untuk memproses peristiwa dalam batch.
Pelanggaran Maksimum per Siklus Bilangan bulat 10 Jumlah pelanggaran maksimum yang akan diproses per eksekusi konektor.

Hindari menetapkan nilai yang lebih rendah dari 10 untuk memastikan performa yang optimal.

Waktu Tunggu Skrip (Detik) Bilangan bulat 300 Batas waktu untuk proses python yang menjalankan skrip saat ini.
Maksimum Hari Mundur Bilangan bulat 5 Jumlah maksimum hari untuk mengambil data pelanggaran ke belakang.
Periode Padding Pelanggaran Bilangan bulat 60 Rentang waktu dalam menit untuk mengambil pelanggaran dalam menit.
Periode Pengoptimalan Acara Bilangan bulat 1 Jangka waktu dalam hari untuk mengambil data peristiwa.
Kolom Kustom String T/A Kolom kustom yang dikonfigurasi oleh pengguna di QRadar, nilainya dipisahkan dengan koma. Contoh: Kolom A, Kolom B
Nilai Apa yang harus digunakan untuk Kolom Nama Pemberitahuan Siemplify? String custom_rule Tentukan format yang harus diikuti untuk membuat nama bagi pemberitahuan yang dibuat oleh konektor.

Nilai yang mungkin adalah: custom_rule atau offense_description
Nilai apa yang akan digunakan untuk Kolom Pembuat Aturan pada Pemberitahuan Siemplify? String custom_rule Tentukan format yang harus diikuti untuk mengisi kolom rule_generator bagi pemberitahuan yang dibuat oleh konektor.

Nilai yang mungkin adalah: custom_rule atau offense_description
Membuat Kasus "Tidak Dapat Mengambil Peristiwa untuk Pelanggaran"? Kotak centang Dicentang Jika dicentang, konektor akan membuat kasus peringatan "Tidak dapat mengambil peristiwa untuk pelanggaran" jika konektor tidak dapat mengambil peristiwa untuk pelanggaran yang diperbarui selama periode padding pelanggaran.
Alamat Server Proxy String T/A Alamat server proxy.
Nama Pengguna Proxy String T/A Nama pengguna proxy.
Sandi Proxy Sandi T/A Sandi proxy.
Batas Peristiwa per Aturan Pelanggaran Qradar Bilangan bulat 100 Tentukan batas untuk jumlah peristiwa yang harus di-ingest per satu aturan dalam pelanggaran QRadar. Tidak ada peristiwa baru yang dimasukkan ke dalam pelanggaran untuk aturan QRadar terkait setelah batas ini tercapai. Contoh: 100
Batas Peristiwa untuk Kueri Konektor dalam Satu Eksekusi Konektor Bilangan bulat T/A Tentukan batas untuk jumlah peristiwa yang harus dikueri oleh satu konektor pelanggaran dari QRadar dalam satu eksekusi konektor. Contoh: 100.

Perhatikan bahwa nilai yang ditentukan dalam parameter tidak boleh lebih rendah dari nilai yang ditentukan dalam parameter Batas Peristiwa per Aturan Pelanggaran QRadar. Selain itu, karena cara konektor mengambil peristiwa, peristiwa yang lebih lama dan di luar batas tidak akan diambil ke Google SecOps. Konektor mengambil peristiwa terbaru hingga batas yang ditentukan dalam parameter Batas Peristiwa per Aturan Pelanggaran QRadar tercapai.
Menggunakan daftar yang diizinkan sebagai daftar yang diblokir Kotak centang Tidak dicentang Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang diblokir.
Menonaktifkan Overflow Kotak centang Tidak dicentang Jika diaktifkan, mekanisme overflow konektor tidak diperiksa untuk pemberitahuan yang dibuat, pemberitahuan "overflow" tidak dibuat, dan konektor mencoba mengambil semua pelanggaran yang ditampilkan dari QRadar.
Timer Sinkronisasi Ulang Aturan Pelanggaran QRadar Bilangan bulat 10 Tidak Tentukan dalam hitungan menit seberapa sering konektor harus menyinkronkan ulang daftar aturan pelanggaran QRadar. Jika parameter tidak disetel atau disetel ke 0, konektor akan menyinkronkan ulang setiap kali dijalankan.

Aturan konektor

Daftar yang tidak diizinkan dan daftar dinamis

Konektor ini menyerap pelanggaran ke Google SecOps berdasarkan aturan yang cocok. Aturan ini ditentukan pengguna dan ditambahkan ke daftar dinamis untuk memastikan bahwa SecOps Google hanya menyerap pelanggaran yang menarik/penting bagi pengguna.

RuleType (Daftar dinamis atau daftar pemblokiran) RuleName (string)
Daftar dinamis Lokal: SSH atau Telnet Terdeteksi di Port Non-Standar
Daftar dinamis Beberapa Kegagalan Login dari Sumber yang Sama

Dukungan proxy

Konektor mendukung proxy.

Komunikasi Terenkripsi

Konektor mendukung komunikasi terenkripsi (SSL/TLS).

Dukungan Unicode

Konektor mendukung encoding Unicode untuk pemberitahuan yang diproses.

Konektor Pelanggaran QRadar

Deskripsi

Konektor pelanggaran QRadar digunakan untuk mengambil pelanggaran dan membuat alert Google SecOps berdasarkan pelanggaran QRadar itu sendiri, berbeda dengan cara konektor integrasi lainnya melakukannya berdasarkan nama aturan QRadar. Konektor memiliki batas jumlah total peristiwa yang akan diambil per pelanggaran QRadar. Setelah mencapai batas tersebut, peristiwa baru tidak akan di-ingest. Konektor menggunakan daftar dinamis Google SecOps, tetapi secara default jika tidak ada aturan daftar dinamis yang ditetapkan, konektor akan mengambil semua pelanggaran yang ditampilkan dari QRadar API. Konektor memerlukan QRadar API versi 10.1 atau yang lebih tinggi.

Konektor dapat dianggap sebagai versi yang lebih mudah dikonfigurasi dan digunakan yang dapat dimanfaatkan jika tidak perlu melacak dan menyerap semua peristiwa pelanggaran QRadar serta menyerapnya ke Google SecOps (seperti yang dilakukan konektor korelasi integrasi).

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama Kolom Produk String T/A Ya Mendeskripsikan nama kolom tempat nama produk disimpan.
Nama Kolom Peristiwa String T/A Ya Mendeskripsikan nama kolom tempat nama peristiwa disimpan.
Nama Kolom Lingkungan String domain_name Tidak Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan adalah "".
Pola Regex Lingkungan String .* Tidak Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan".
Root API String https://IP_ADDRESS:port Ya Alamat server API.
Token API String T/A Ya Token autentikasi API.
Versi API String 10.1 Ya Versi QRadar API yang akan digunakan, Konektor mendukung versi API mulai dari 10.1.
Batas total peristiwa per pelanggaran Bilangan bulat 100 Ya Tentukan jumlah total peristiwa per pelanggaran QRadar yang harus di-ingest oleh konektor. Setelah mencapai batas tersebut, peristiwa baru tidak akan di-ingest untuk pelanggaran tersebut.
Batas Peristiwa per Aturan Pelanggaran Qradar Bilangan bulat T/A Tidak Tentukan batas opsional untuk jumlah peristiwa yang harus di-ingest per aturan tunggal dalam pelanggaran QRadar. Tidak ada peristiwa baru yang akan di-ingest ke pelanggaran untuk aturan QRadar terkait setelah batas ini tercapai. Batas tidak boleh lebih besar dari "Total batas peristiwa per pelanggaran".
Ukuran Halaman Peristiwa Konektor Bilangan bulat 100 Ya Ukuran halaman yang akan digunakan konektor untuk memproses peristiwa dalam batch.
Pelanggaran Maksimum per Siklus Bilangan bulat 10 Ya Jumlah pelanggaran maksimum yang akan diproses per eksekusi konektor.

Hindari menetapkan nilai yang lebih rendah dari 10 untuk memastikan performa yang optimal.

Waktu Tunggu Skrip (Detik) Bilangan bulat 300 Ya Batas waktu untuk proses python yang menjalankan skrip saat ini.
Maksimum Hari Mundur Bilangan bulat 5 Tidak Jumlah maksimum hari untuk mengambil data pelanggaran ke belakang
Periode Padding Pelanggaran Bilangan bulat 60 Ya Rentang waktu dalam menit untuk mengambil pelanggaran dalam menit.
Periode Pengoptimalan Acara Bilangan bulat 1 Ya Jangka waktu dalam hari untuk mengambil data peristiwa.
Kolom Kustom String T/A Tidak Kolom kustom yang dikonfigurasi oleh pengguna di QRadar, dipisahkan dengan koma, misalnya. Kolom A, Kolom B.
Filter Domain String T/A Tidak Tentukan domain QRadar dari mana pelanggaran harus di-ingest. Jika tidak ada nilai yang diberikan, konektor akan menyerap pelanggaran dari semua domain. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Filter Magnitudo Bilangan bulat T/A Tidak Tentukan besarnya pelanggaran yang akan diproses. Pelanggaran dengan besaran yang sama atau lebih besar dari yang diberikan akan diproses ke Google SecOps.
Nilai Apa yang harus digunakan untuk Kolom Nama Pemberitahuan Siemplify? String custom_alert_name Tidak Tentukan format yang harus diikuti untuk membuat nama bagi pemberitahuan yang dibuat oleh konektor.

Kemungkinan nilainya adalah: custom_alert_name atau offense_description.
Menggunakan daftar yang diizinkan sebagai daftar yang diblokir Kotak centang Tidak dicentang Tidak Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar yang tidak diizinkan. Jika kotak centang tidak diaktifkan dan tidak ada aturan daftar dinamis yang ditetapkan, konektor akan mengambil semua pelanggaran yang ditampilkan dari QRadar API.
Menonaktifkan Overflow Kotak centang Tidak dicentang Tidak Jika diaktifkan, mekanisme overflow konektor tidak akan diperiksa untuk pemberitahuan yang dibuat - pemberitahuan "overflow" tidak akan dibuat, konektor akan mencoba mengambil semua pelanggaran yang ditampilkan dari QRadar.
Alamat Server Proxy String Tidak Alamat server proxy.
Nama Pengguna Proxy String T/A Tidak Nama pengguna proxy.
Sandi Proxy Sandi T/A Tidak Sandi proxy.
Timer Sinkronisasi Ulang Aturan Pelanggaran QRadar Bilangan bulat 10 Tidak Tentukan dalam hitungan menit seberapa sering konektor harus menyinkronkan ulang daftar aturan pelanggaran Qradar. Jika parameter tidak disetel atau disetel ke 0, konektor akan menyinkronkan ulang setiap kali dijalankan.

Aturan konektor

Dukungan Proxy

Konektor mendukung proxy.

Konektor Pelanggaran Dasar QRadar

Konektor mengambil pelanggaran dan membuat pemberitahuan Google SecOps berdasarkan nama pelanggaran QRadar.

Konektor membuat satu pemberitahuan Google SecOps per pelanggaran QRadar, dan tidak membuat pemberitahuan Google SecOps tambahan saat peristiwa baru dari QRadar muncul.

Konektor menggunakan daftar dinamis Google SecOps. Secara default, jika tidak ada aturan daftar dinamis yang ditetapkan, konektor akan mengambil semua pelanggaran yang ditampilkan dari Qradar API.

Parameter konektor

Parameter
Nama Kolom Produk Wajib

Nama kolom tempat nama produk disimpan.
Nama Kolom Peristiwa Wajib

Nama kolom tempat nama peristiwa disimpan.
Nama Kolom Lingkungan Opsional

Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan akan disetel ke "".
Pola Regex Lingkungan Opsional

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name.

Nilai defaultnya adalah .*
Root API Wajib

Alamat server API.
Token API Wajib

Token autentikasi API.
Versi API Wajib

Versi QRadar API. Konektor mendukung API versi 10.1 dan yang lebih baru.
Batas total peristiwa per pelanggaran Wajib

Menentukan jumlah total peristiwa per pelanggaran QRadar yang harus di-ingest oleh konektor. Setelah mencapai batas yang ditetapkan, peristiwa baru tidak akan diproses untuk pelanggaran tersebut.

Nilai defaultnya adalah 100.
Batas Peristiwa per Aturan Pelanggaran QRadar Opsional

Menentukan batas opsional untuk jumlah peristiwa yang harus di-ingest per aturan tunggal ke dalam pelanggaran QRadar.

Tidak ada peristiwa baru yang dimasukkan ke dalam pelanggaran untuk aturan QRadar terkait setelah batas yang ditetapkan oleh parameter ini tercapai.
Ukuran Halaman Peristiwa Konektor Wajib

Ukuran halaman yang digunakan konektor untuk memproses peristiwa dalam batch.

Nilai defaultnya adalah 100.
Pelanggaran Maksimum per Siklus Wajib

Jumlah pelanggaran maksimum yang akan diproses per eksekusi konektor.

Hindari menetapkan nilai yang lebih rendah dari 10 untuk memastikan performa yang optimal.

Nilai defaultnya adalah 10.
Waktu Tunggu Skrip (Detik) Wajib

Batas waktu tunggu untuk proses python yang menjalankan skrip saat ini.

Nilai default-nya adalah 300 detik.
Maksimum Hari Mundur Opsional

Jumlah maksimum hari untuk mengambil data pelanggaran.

Nilai defaultnya adalah 5 hari.
Periode Padding Pelanggaran Wajib

Jangka waktu dalam menit untuk mengambil pelanggaran.

Nilai defaultnya adalah 60 menit.
Periode Pengoptimalan Acara Wajib

Jangka waktu dalam hari untuk mengambil data peristiwa.

Nilai defaultnya adalah satu hari.
Kolom Kustom Opsional

Kolom kustom yang dipisahkan koma yang dikonfigurasi oleh pengguna di QRadar, seperti Field A, Field B.
Filter Domain Opsional

Menentukan domain QRadar untuk menyerap pelanggaran dari. Jika tidak ada nilai yang diberikan, konektor akan menyerap pelanggaran dari semua domain. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma.
Filter Magnitudo Opsional

Menentukan besarnya pelanggaran yang akan diproses. Pelanggaran dengan besaran yang sama dengan atau lebih besar dari yang diberikan akan diproses ke Google SecOps.
Nilai Apa yang harus digunakan untuk Kolom Nama Pemberitahuan Siemplify? Opsional

Menentukan format yang harus diikuti untuk membuat nama bagi pemberitahuan yang dibuat oleh konektor.

Nilai defaultnya adalah custom_alert_name.

Nilai yang memungkinkan:

  • custom_alert_name
  • offense_description
Menggunakan daftar dinamis sebagai daftar yang tidak diizinkan Opsional

Jika dicentang, daftar dinamis akan digunakan sebagai daftar yang diblokir.

Jika kotak centang tidak dicentang dan tidak ada aturan daftar dinamis yang ditetapkan, konektor akan mengambil semua pelanggaran yang ditampilkan dari QRadar API.

Tidak dicentang secara default.
Menonaktifkan Overflow Opsional

Jika diaktifkan, mekanisme overflow konektor tidak akan diperiksa untuk pemberitahuan yang dibuat sehingga pemberitahuan "overflow" tidak akan dibuat dan konektor akan mengambil semua pelanggaran yang ditampilkan dari QRadar.

Tidak dicentang secara default.
Alamat Server Proxy Opsional

Alamat server proxy.
Nama Pengguna Proxy Opsional

Nama pengguna proxy.
Sandi Proxy Opsional

Sandi proxy.
Timer Sinkronisasi Ulang Aturan Pelanggaran QRadar Opsional

Menentukan interval dalam menit agar konektor menyinkronkan ulang daftar aturan pelanggaran QRadar. Jika parameter tidak disetel atau disetel ke 0, konektor akan menyinkronkan ulang setiap kali dijalankan.

Nilai defaultnya adalah 10 menit.
Membuat pemberitahuan SOAR untuk pelanggaran dengan 0 peristiwa Opsional

Jika dicentang, untuk pelanggaran yang diambil tanpa peristiwa, konektor akan membuat pemberitahuan Google SecOps menggunakan data pelanggaran QRadar untuk pemberitahuan dan peristiwa.

Tidak dicentang secara default.
Timer Pembuatan Pelanggaran (menit) Opsional

Menentukan durasi tunggu konektor sebelum mengambil data peristiwa untuk pelanggaran QRadar yang baru dibuat.
Jika konektor gagal mendapatkan peristiwa setelah timer habis dan parameter Create SOAR alerts if failed to get events for it? diaktifkan, konektor akan menggunakan penggantian untuk membuat pemberitahuan dan peristiwa Google SecOps dari data pelanggaran QRadar yang sama.

Aturan konektor

Konektor mendukung Proxy.

Peristiwa konektor

Contoh peristiwa adalah sebagai berikut:

{
    "events": [
      {
        "CREName": null,
        "CREDescription": null,
        "EventName": "WinCollect Info",
        "EventDescription": "WinCollect Info",
        "rulename_creEventList": [
          "Destination Asset Weight is Low",
          "Source Asset Weight is Low",
          "Events from Windows Host - Second Rule",
          "Context is Local to Local"
        ],
        "partialmatchlist": [],
        "qid": 63500003,
        "category": 8052,
        "sourceHostname": null,
        "destinationHostname": null,
        "creEventList": [
          100205,
          100211,
          100409,
          100199
        ],
        "credibility": 5,
        "destinationMAC": "01:23:45:ab:cd:ef",
        "destinationIP": "192.0.2.1",
        "destinationPort": 0,
        "destinationv6": "2001:db8:1:1:1:1:1:1",
        "deviceTime": 1583158321000,
        "deviceProduct": "WinCollect",
        "domainID": 0,
        "duration": 10000,
        "endTime": 1583165521106,
        "eventCount": 1,
        "eventDirection": "L2L",
        "processorId": 8,
        "hasIdentity": false,
        "hasOffense": true,
        "highLevelCategory": 8000,
        "isCREEvent": false,
        "magnitude": 6,
        "utf8_payload": "<13>Mar 02 16:12:01 DESKTOP IBM|WinCollect|src=DESKTOP\tos=Windows 10 (Build 18363 64-bit)\tdst=\tsev=3\tlog=Code.SSLConfigServerConnection\tmsg=ApplicationHeartbeat",
        "postNatDestinationIP": "198.51.100.255",
        "postNatDestinationPort": 0,
        "postNatSourceIP": "198.51.100.1",
        "postNatSourcePort": 0,
        "preNatDestinationIP": "198.0.2.255",
        "preNatDestinationPort": 0,
        "preNatSourceIP": "192.0.2.255",
        "preNatSourcePort": 0,
        "protocolName": "Reserved",
        "protocolID": 255,
        "relevance": 9,
        "severity": 3,
        "sourceIP": "192.0.2.1",
        "sourceMAC": "ab:cd:ef:01:23:45",
        "sourcePort": 0,
        "sourcev6": "2001:db8:2:2:2:2:2:2",
        "startTime": 1583165521106,
        "isunparsed": false,
        "userName": null
      }
    ]
}

Pekerjaan

SyncCloseOffenses

Deskripsi

Menutup pelanggaran QRadar terkait untuk pemberitahuan Google SecOps yang ditutup.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Root API String https://IP_ADDRESS Ya Jalur URL yang mengarah ke server QRadar.
Token API Sandi T/A Ya Token keamanan API untuk autentikasi.
Versi API String T/A Tidak Versi API yang digunakan.
Mundur Beberapa Hari Bilangan bulat T/A Tidak Jumlah hari ke belakang untuk mendapatkan pelanggaran.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.