QRadar
統合バージョン: 56.0
サポートされている QRadar デプロイ
この統合は、オンプレミスとクラウドの両方の QRadar デプロイをサポートしています。
QRadar へのネットワーク アクセス
Google Security Operations から QRadar への API アクセス: ポート 443(HTTPS)または環境で構成されているトラフィックを許可します。
QRadar の権限を設定する
QRadar で専用の Google SecOps ユーザーとセキュリティ プロファイルを作成すると(次の手順で説明)、権限をより細かく制御できます。このアプローチは省略可能ですが、行うことをおすすめします。
QRadar 統合は、既存の管理者アカウントを使用して機能することもできます。
Google SecOps ユーザーを作成する {:.hide-from-toc}
QRadar で、左上のアイコンをクリックします。
[管理] に移動して [ユーザー] をクリックします。
[新規] をクリックして情報を入力し、新しい管理者ユーザーを作成します。
Google SecOps セキュリティ プロファイルを作成する
[管理者] > [ユーザー管理] > [セキュリティ プロファイル] に移動します。
次の設定でプロファイルを作成します。
- 権限の優先順位: 制限なし
- ログのソース: すべてのログソース グループ
- ネットワーク: すべて
- ドメイン: すべてのドメイン
変更をデプロイする
画面で [デプロイ] をクリックします。
API にアクセスするための承認済みサービスを作成する
[管理者] > [ユーザー管理] > [承認済みサービス] に移動します。
次の設定でサービスを作成します。
- サービス名: Siemplify_Application_User
- ユーザーロール: 管理者
- セキュリティ プロファイル: admin
- 有効期限: なし
生成された認証鍵をコピーし、Google SecOps 統合設定(デプロイ ウィザード)で使用します。
Google SecOps で QRadar の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://IP_ADDRESS |
はい | QRadar サーバーを指す URL パス。 |
| API トークン | パスワード | なし | はい | 認証用の API セキュリティ トークン。 |
| API バージョン | 文字列 | なし | いいえ | 使用される API バージョン。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
類似のフローのクエリ
説明
事前定義された AQL クエリを実行して、指定された Google SecOps IP アドレス エンティティに関連するフローを見つけます。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 時間の差分処理(分)。 | Integer | 10 | いいえ | 過去 x 分間のフローを取得します。このパラメータには、数値(例: 10)を指定します。 |
| 取得するフローの制限 | Integer | 23 | はい | アクションが返すことができるフローを制限します。このパラメータには、数値(例: 10)を指定します。 |
| 表示するフィールド | 文字列 | なし | いいえ | 事前定義されたフィールドに加えて、フローから取得するフィールド。設定されていない場合、アクションはフローの事前定義済みフィールドを返します。 |
| 送信元 IP アドレス フィールド名 | 文字列 | なし | いいえ | フローの送信元 IP アドレス フィールドを表すフィールド。 |
| 宛先 IP アドレス フィールド名 | 文字列 | なし | いいえ | フローの宛先 IP アドレス フィールドを表すフィールド。 |
プレイブックのユースケースの例
過去 x 分間に特定の IP アドレスに登録されたフローに関する情報を QRadar から取得します。
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"flows": [
{
"destinationflags": 27,
"destinationpackets": 5.0,
"sourcebytes": 522.0,
"protocolid": 6,
"sourceip": "195.200.72.148",
"destinationbytes": 571.0,
"lastpackettime": 1585057251000,
"sourceflags": 27,
"sourcepackets": 5.0,
"qid": 53268795,
"flowtype": 0,
"destinationip": "37.28.155.22",
"firstpackettime": 1585057224000,
"category": 18448,
"source hostname": null,
"destination hostname": null
},
{
"destinationflags": null,
"destinationpackets": 0.0,
"sourcebytes": 78.0,
"protocolid": 17,
"sourceip": "195.200.72.148",
"destinationbytes": 0.0,
"lastpackettime": 1585057220000,
"sourceflags": null,
"sourcepackets": 1.0,
"qid": 53258563,
"flowtype": 0,
"destinationip": "8.8.8.8",
"firstpackettime": 1585057177000,
"category": 18438,
"source hostname": null,
"destination hostname": null
},
...
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
| テーブル | エンティティの類似フロー: {0}".format(Siemplify.entity.identifier) Headers:... |
エンティティ |
類似イベントのクエリ
説明
事前定義された AQL クエリを実行して、指定された Google SecOps の IP アドレス、ホスト名、ユーザー名のエンティティに関連するイベントを検索します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 時間の差分処理(分)。 | Integer | 10 | いいえ | 過去 x 分間のフローを取得します。このパラメータには、数値(例: 10)を指定します。 |
| 取得するイベント数の上限 | Integer | 25 | はい | アクションが返すことができるイベントを制限します。このパラメータには、数値(例: 25)を指定します。 |
| 表示するフィールド | CSV | なし | いいえ | 事前定義されたフィールドに加えて、イベントから取得するフィールド。設定されていない場合、アクションはイベントの事前定義済みフィールドを返します。 |
| ホスト名フィールド名 | 文字列 | なし | いいえ | イベントのホスト名フィールドを表すフィールド。 |
| 送信元 IP アドレス フィールド名 | 文字列 | なし | いいえ | フローの送信元 IP アドレス フィールドを表すフィールド。 |
| 宛先 IP アドレス フィールド名 | 文字列 | なし | いいえ | フローの宛先 IP アドレス フィールドを表すフィールド。 |
| ユーザー名フィールド名 | 文字列 | なし | いいえ | イベントのユーザー名フィールドを表すフィールド。 |
ユースケースの例
指定されたエンティティに登録されたイベントに関する情報を、過去 x 分間について QRadar から取得します。
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
- ユーザー
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"events": [
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
...
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
| テーブル | エンティティの類似フロー: {0}".format(Siemplify.entity.identifier) Headers:... |
エンティティ |
QRadar AQL 検索
説明
QRadar インスタンスに対して任意の AQL クエリを実行します。このアクションは、CSV 形式で出力を返します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリの形式 | 文字列 | なし | はい | 実行するクエリ形式(例: 「Select * from flows limit 10 last 10 minutes」)。 |
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 結果 | なし | なし |
JSON の結果
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
| テーブル | 「クエリ結果」 Headers:... |
全般 |
Ping
説明
QRadar インスタンスへの接続をテストします。
パラメータ
なし
想定されるユースケース
Google Security Operations Marketplace ページの統合構成で提供されるパラメータを使用して、ターゲット システムへのアクセスが成功したかどうかをテストします。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
参照セット内の値を検索する
説明
値が特定の参照セットにリストされているかどうかを確認します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 名前 | 文字列 | なし | はい | 値を確認する参照セットの名前。 |
| 値 | 文字列 | なし | はい | 参照セットで確認する値。 |
プレイブックのユースケースの例
プレイブックの実行で IP が悪意のあるものと判断された場合は、Malicious_IPs 参照セットにリストされているかどうかを確認します。
実行
このアクションは Google SecOps エンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"timeout_type": "FIRST_SEEN",
"number_of_elements": 1,
"data": [
{
"last_seen": 1611149814345,
"first_seen": 1611149814345,
"source": "admin",
"value": "192.168.10.230",
"domain_id": null
}
],
"creation_time": 1440695740583,
"name": "Critical Assets",
"namespace": "SHARED",
"element_type": "IP",
"collection_id": 20
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
参照マップ内の値のルックアップ
説明
値が特定の参照マップにリストされているかどうかを確認します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 名前 | 文字列 | なし | はい | 値を確認する参照マップの名前。 |
| 値 | 文字列 | なし | はい | 参照されるマップで確認する値。 |
プレイブックのユースケースの例
参照マップの値に基づいて、特定の IP にアクセスできるユーザー名かどうかを確認します。
実行
このアクションは Google SecOps エンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
セットの参照マップで値をルックアップする
説明
値がセットの特定のリファレンス マップにリストされているかどうかを確認します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 名前 | 文字列 | なし | はい | 値の確認に使用するセットの参照マップの名前。 |
| 値 | 文字列 | なし | はい | 参照先のセットのマップで確認する値。 |
ユースケースの例
setvalues の参照マップに基づいて、ユーザー名が特定の IP にアクセスできるかどうかを確認します。
実行
このアクションは Google SecOps エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
リファレンス テーブル内の値を検索する
説明
値が特定の参照テーブルにリストされているかどうかを確認します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 名前 | 文字列 | なし | はい | 値を確認する参照テーブルの名前。 |
| 値 | 文字列 | なし | はい | 参照先のテーブルで確認する値。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"Source_IP": {
"port": {
"last_seen": 1583933682283,
"first_seen": 1583933682283,
"source": "reference data api",
"value": "8080"
}
},
"192.168.1.1": {
"port": {
"last_seen": 1583990995600,
"first_seen": 1583990995600,
"source": "reference data api",
"value": "8080"
}
}
}
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
リファレンス マップでキーを検索する
説明
特定の参照マップにキーがリストされているかどうかを確認します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 名前 | 文字列 | なし | はい | 値を確認する参照マップの名前。 |
| キー | 文字列 | なし | はい | 参照マップで確認するキー。 |
ユースケースの例
参照マップの値に基づいて、特定の IP にアクセスできるユーザー名かどうかを確認します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
セットの参照マップでキーを検索する
説明
キーが特定のセットの参照マップにリストされているかどうかを確認します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 名前 | 文字列 | なし | はい | 値の確認に使用するセットの参照マップの名前。 |
| キー | 文字列 | なし | はい | 参照されるセットのマップで確認するキー。 |
ユースケースの例
設定値の参照マップに基づいて、特定の IP にアクセスできるユーザー名かどうかを確認します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
参照セットの一覧表示
説明
QRadar で使用可能な参照セットを一覧表示します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返されるフィールド | 文字列 | なし | いいえ | アクションによって返されるフィールドを指定します。何も指定しないと、アクションはデフォルトですべての利用可能なフィールドを返します。このパラメータは、カンマ区切りの複数の値を受け入れます。 |
| Filter Condition | 文字列 | なし | いいえ | 特定の要素のみを返すフィルタ条件を指定します(例: element_type = IP)。 |
| 返される要素の数 | Integer | 25 | はい | アクションで返される要素の最大数を指定します。 |
ユースケースの例
参照で使用可能な要素を一覧表示します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"name": "Critical Assets",
"element_type": "IP"
},
{
"name": "Asset Reconciliation IPv4 Blocklist",
"element_type": "IP"
},
{
"name": "Proxy Servers",
"element_type": "IP"
}
]
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
参照マップの一覧表示
説明
QRadar で使用可能な参照マップを一覧表示します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返されるフィールド | 文字列 | なし | いいえ | アクションによって返されるフィールドを指定します。何も指定しないと、アクションはデフォルトですべての利用可能なフィールドを返します。このパラメータは、カンマ区切りの複数の値を受け入れます。 |
| Filter Condition | 文字列 | なし | いいえ | 特定の要素のみを返すフィルタ条件を指定します(例: element_type = ALNIC)。 |
| 返される要素の数 | Integer | 25 | はい | アクションで返される要素の最大数を指定します。 |
ユースケースの例
参照で使用可能な要素を一覧表示します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"name": "User1",
"element_type": "ALNIC"
},
{
"name": "User",
"element_type": "ALNIC"
}
]
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、Playbook の実行が停止します。
|
全般 |
セットの参照マップを一覧表示する
説明
QRadar で使用可能なセットのリファレンス マップを一覧表示します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返されるフィールド | 文字列 | なし | いいえ | アクションによって返されるフィールドを指定します。何も指定しないと、アクションはデフォルトですべての利用可能なフィールドを返します。このパラメータは、カンマ区切りの複数の値を受け入れます。 |
| Filter Condition | 文字列 | なし | いいえ | 特定の要素のみを返すフィルタ条件を指定します(例: element_type = ALN)。 |
| 返される要素の数 | Integer | 25 | はい | アクションで返される要素の最大数を指定します。 |
ユースケースの例
参照で使用可能な要素を一覧表示します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"name": "CorrelatedAttackMap",
"element_type": "ALN"
},
{
"name": "TestMapOfSets",
"element_type": "ALN"
}
]
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、Playbook の実行が停止します。
|
全般 |
参照テーブルの一覧表示
説明
QRadar で使用可能な参照テーブルを一覧表示します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返されるフィールド | 文字列 | なし | いいえ | アクションによって返されるフィールドを指定します。何も指定しないと、アクションはデフォルトですべての利用可能なフィールドを返します。このパラメータは、カンマ区切りの複数の値を受け入れます。 |
| Filter Condition | 文字列 | なし | いいえ | 特定の要素のみを返すフィルタ条件を指定します(例: element_type = ALN)。 |
| 返される要素の数 | Integer | 25 | はい | アクションで返される要素の最大数を指定します。 |
ユースケースの例
参照で使用可能な要素を一覧表示します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"name": "TestTable2",
"element_type": "ALN"
},
{
"name": "TestTable3",
"element_type": "ALN"
}
]
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
違反メモを追加する
説明
QRadar オフェンスにメモを追加します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 違反 ID | Integer | なし | はい | メモを追加する違反 ID。 |
| メモのテキスト | 文字列 | なし | はい | 違反に追加するメモのテキスト。 |
プレイブックのユースケースの例
Google SecOps から QRadar オフェンスにメモを追加します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、Playbook の実行が停止します。
|
全般 |
違反を更新する
説明
QRadar の違反を更新します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 違反 ID | Integer | なし | はい | 更新する違反 ID。 |
| 割り当て先 | 文字列 | なし | いいえ | 違反を割り当てるユーザーのログイン。 |
| ステータス | DDL | " " | いいえ | 違反の新しいステータス。 |
| 終了理由 | 文字列 | なし | いいえ | 違反ステータスが [closed] に設定されている場合は、QRadar の終了理由を指定する必要があります。 |
| フォローアップ | チェックボックス | チェックボックスがオフになっています | いいえ | 違反をフォローアップとしてマークするかどうかを指定します。 |
| 保護 | チェックボックス | チェックボックスがオフになっています | いいえ | 違反を保護対象としてマークするかどうかを指定します。 |
プレイブックのユースケースの例
Google SecOps から QRadar オフェンスを更新して、QRadar オフェンスのステータスを Google SecOps と同期します。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"last_persisted_time": 1611143659000,
"username_count": 0,
"description": "Web\n",
"rules": [
{
"id": 100555,
"type": "CRE_RULE"
}
],
"event_count": 0,
"flow_count": 4,
"assigned_to": "admin",
"security_category_count": 1,
"follow_up": true,
"source_address_ids": [
50
],
"source_count": 1,
"inactive": true,
"protected": true,
"closing_user": null,
"destination_networks": [
"other"
],
"source_network": "other",
"category_count": 1,
"close_time": null,
"remote_destination_count": 1,
"start_time": 1610451749000,
"magnitude": 0,
"last_updated_time": 1610451887000,
"credibility": 0,
"id": 93,
"categories": [
"Web"
],
"severity": 0,
"policy_category_count": 0,
"log_sources": [],
"closing_reason_id": null,
"device_count": 0,
"first_persisted_time": 1610451722000,
"offense_type": 1,
"relevance": 0,
"domain_id": 0,
"offense_source": "37.28.155.22",
"local_destination_address_ids": [],
"local_destination_count": 0,
"status": "OPEN"
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
ルールの MITRE カバレッジを取得する
説明
Use Case Manager アプリケーションを使用して、QRadar のルールに関する MITRE の詳細を取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ルール名 | CSV | はい | アクションで MITRE の詳細を返すルールの名前のカンマ区切りのリストを指定します。 | |
| インサイトの作成 | ブール値 | 正しい | いいえ | 有効にすると、アクションによってルールの MITRE カバレッジに関する情報を含む分析情報が作成されます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"rulename": "Excessive Database Connections"
"id": "SYSTEM-1431",
"has_ibm_default": true,
"last_updated": 1591634177302,
"mapping": {
"Discovery": {
"confidence": "medium",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0007",
"techniques": {}
},
"Initial Access": {
"confidence": "low",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0001",
"techniques": {}
}
},
"min-mitre-version": 7
}
}]
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
| Case Wall テーブル | テーブル名: MITRE カバレッジ テーブル列:
|
QRadar Simple AQL Search
説明
QRadar のパラメータに基づいて AQL クエリを実行します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| テーブル名 | DDL |
フロー 値は次のいずれかです。
|
はい | クエリを実行するテーブルを指定します。 |
| 返されるフィールド | CSV | * | いいえ | 返すフィールドを指定します。何も指定しないと、アクションですべてのフィールドが返されます。ワイルドカードもサポートされています。 |
| Where フィルタ | 文字列 | いいえ | 実行する必要のあるクエリの WHERE フィルタを指定します。 時間フィルタ、制限、並べ替えを指定する必要はありません。また、ペイロードで WHERE 文字列を指定する必要はありません。 |
|
| 期間 | DDL |
Last Hour 有効な値:
|
いいえ | 結果の期間を指定します。「カスタム」を選択した場合は、「開始時刻」も指定する必要があります。 |
| 開始時刻 | 文字列 | いいえ | 結果の開始時刻を指定します。[期間] パラメータに [カスタム] が選択されている場合、このパラメータは必須です。形式: ISO 8601。例: 2021-04-23T12:38Z | |
| 終了時刻 | 文字列 | いいえ | 結果の終了時刻を指定します。形式: ISO 8601。何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 | |
| フィールドの並べ替え | 文字列 | いいえ | 並べ替えに使用するパラメータを指定します。 | |
| 並べ替え順序 | DDL |
昇順 有効な値:
|
いいえ | 並べ替えの順序を指定します。「並べ替えフィールド」パラメータを指定する必要があります。 |
| 返される結果の最大数 | 整数 | 50 | いいえ | 返す結果の数を指定します。 |
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 結果 | なし | なし |
JSON の結果
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
このアクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
このアクションは失敗し、ハンドブックの実行を停止します。
|
全般 |
| Case Wall テーブル | テーブル名: 結果 |
コネクタ
![QRadar の [ルール] ページ](https://docs.cloud.google.com/static/chronicle/images/integrations/ibm-qradar-rules-page.png?hl=ja)
Google SecOps で QRadar コネクタを構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
QRadar Correlation Events Connector V2
説明
推奨されるコネクタ。QRadar の違反を取得し、Google SecOps の動的リストに追加された各 QRadar ルールに対して Google SecOps アラートを生成します。コネクタは、Google SecOps の動的リストに追加されたルールの違反のみを取得します。コネクタには、最小 QRadar API バージョン 10.1 が必要です。コネクタは、違反名ではなく、QRadar 違反のルール名に基づいて Google SecOps アラートを作成します。
コネクタの前提条件
必須フィールドの QRadar インデックス。QRadar New Correlation Events Connector V2 コネクタは、次の違反に関連付けられたイベントに追加のフィールド(logsource_id、creEventList、Custom Rule Partially Matched)を使用します。これらのフィールドはデフォルトで QRadar によってインデックス登録されますが、これらのインデックスが現在有効になっていることを確認する必要があります。有効になっているかどうかを確認するには、QRadar Web UI で [Admin] > [Index Management] に移動します。開いたウィンドウに次のインデックスが表示されます。これらが有効になっていることを確認します。
- カスタムルール
- ログソース
- カスタムルールが部分的に一致しました
詳細については、インデックス管理をご覧ください。
Max Days Backwards の推奨事項: Max Days Backwards コネクタ パラメータ値は慎重に使用する必要があります。QRadar オフェンスには多くのイベントが含まれる可能性があり、コネクタでそれらのイベントを取得しようとすると、QRadar サーバーに過剰な負荷がかかったり、リクエストがタイムアウトしたりする可能性があります。そのため、コネクタが構成された期間のイベントについて QRadar にクエリを実行できるように、Max Days Backwards パラメータを十分に小さい値に設定することをおすすめします。
コネクタの使用上の注意
コネクタを使用する場合は、次の点に注意してください。
QRadar Correlation Events Connector v2 は、違反ごとに取り込まれたすべてのイベントを追跡します。これを行うために、すべてのイベントデータ(QRadar API から返されるイベントのすべてのフィールド)を使用してイベントのハッシュ合計を計算し、それをオフェンスのイベントの固有識別子として使用します。その結果、すべてのフィールドが同一のイベントは、オフェンスに対して取り込まれません。最初のイベントが取り込まれ、関連する違反に追加されます。ただし、次のものは重複として破棄されます。前述の現象は、QRadar のアーキテクチャが原因で発生します。QRadar のイベントには一意の識別子がないためです。
QRadar Correlation Events Connector v2 は、違反自体ではなく、違反に存在する動的リストルールに基づいてアラートを作成します。そのため、違反のイベントが複数の動的リストルールによってフラグ設定された場合、このイベントは関連する動的リストルールの複数の Google SecOps アラートに追加されます。
IBM QRadar は、ルールを使用してネットワーク内のイベントとフローをモニタリングし、セキュリティの脅威を検出します。イベントとフローがルールで定義されたテスト基準を満たすと、セキュリティ攻撃またはポリシー違反の疑いがあることを示す違反が作成されます。
新しいコネクタは、一致したルールに基づいてのみ、違反を Google SecOps に取り込みます。これらのルールはユーザー定義であり、Google SecOps がユーザーに関連する違反のみを取り込むように、動的リストに追加する必要があります。そのため、新しい違反が作成されると、コネクタは違反をトリガーしたルールをチェックします(ルール フィルタリングは QRadar API バージョン 9 以降で導入されました)。ルールが動的リストの一部である場合、コネクタは取り込みのために違反を準備します。
コネクタのユースケース
違反を調査する
IBM QRadar は、ルールを使用してネットワーク内のイベントとフローをモニタリングし、セキュリティの脅威を検出します。イベントとフローがルールで定義されたテスト基準を満たすと、セキュリティ攻撃またはポリシー違反の疑いがあることを示す違反が作成されます。しかし、違反が発生したことを知ることは最初の一歩にすぎません。どのように発生したか、どこで発生したか、誰が実行したかを特定するには、調査が必要です。
[Offense Summary] ウィンドウは、何が起こったかを把握し、問題を特定して解決する方法を判断するのに役立つコンテキストを提供することで、攻撃の調査を開始するのに役立ちます。
ビュー](https://docs.cloud.google.com/static/chronicle/images/integrations/qradar-offence-summary-dialog.png?hl=ja)
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | タイプ | デフォルト値 | 説明 | |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | なし | 商品名が保存されるフィールドの名前を記述します。 | |
| イベント フィールド名 | 文字列 | なし | イベント名が保存されるフィールドの名前を記述します。 | |
| 環境フィールド名 | 文字列 | domain_name | 環境名が保存されるフィールドの名前を記述します。環境フィールドが見つからない場合、環境は "" です。 | |
| 環境の正規表現パターン | 文字列 | .* | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 | |
| API ルート | 文字列 | https://IP_ADDRESS:port |
QRadar サーバーのアドレス。 | |
| API トークン | 文字列 | なし | API 認証トークン。 | |
| API バージョン | 文字列 | 10.1 | 使用する QRadar API のバージョン。コネクタは 10.1 以降の API バージョンをサポートしています。 | |
| ドメイン フィルタ | 文字列(CSV) | なし | 違反を取り込む QRadar ドメインを指定します。値が指定されていない場合、コネクタはすべてのドメインから違反を取り込みます。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 | |
| Siemplify アラートあたりのイベント数の上限 | Integer | 25 | サイクルごとに Google SecOps アラートから取得するイベントの最大数。指定された違反のパディング期間に大量のイベントが常に返される場合は、コネクタの実行速度を上げるために増やすことができます。 | |
| Connector Events Page Size | Integer | 100 | コネクタがイベントをバッチで処理するために使用するページサイズ。 | |
| サイクルあたりの最大違反数 | Integer | 10 | コネクタの実行ごとに処理する違反の最大数。 最適なパフォーマンスを確保するため、10 より小さい値を設定しないでください。 |
|
| スクリプトのタイムアウト(秒) | Integer | 300 | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 | |
| 遡る最大日数 | Integer | 5 | 違反データを遡って取得する最大日数。 | |
| 違反のパディング期間 | Integer | 60 | 違反を取得する時間枠(分単位)。 | |
| イベントのパディング期間 | Integer | 1 | イベント データを取得する期間(日数)。 | |
| カスタム フィールド | 文字列 | なし | QRadar でユーザーが構成したカスタム フィールド。値はカンマ区切りです。例: フィールド A、フィールド B | |
| Siemplify アラートの名前フィールドにはどのような値を使用すればよいですか? | 文字列 | custom_rule | コネクタによって作成されたアラートの名前を生成する形式を指定します。 指定可能な値は、custom_rule または offense_description です。 |
|
| Siemplify アラートのルール ジェネレータ フィールドに使用する値 | 文字列 | custom_rule | コネクタによって作成されたアラートの rule_generator フィールドに入力する形式を指定します。 指定可能な値は、custom_rule または offense_description です。 |
|
| 「Cannot Fetch Events for the Offense」ケースを作成しますか? | チェックボックス | オン | オンにすると、コネクタは、違反のパディング期間中に更新された違反のイベントを取得できない場合、「Cannot fetch events for the offense」という警告ケースを作成します。 | |
| プロキシ サーバーのアドレス | 文字列 | なし | プロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | なし | プロキシのユーザー名。 | |
| プロキシ パスワード | パスワード | なし | プロキシ パスワード。 | |
| QRadar オフェンス ルールあたりのイベント数の上限 | Integer | 100 | QRadar オフェンスの単一ルールで取り込むイベント数の上限を指定します。この上限に達すると、関連する QRadar ルールの違反に新しいイベントが取り込まれなくなります。例: 100 | |
| 1 回のコネクタ実行でクエリを実行するコネクタのイベント数の上限 | Integer | なし | 1 回のコネクタ実行で 1 つの違反コネクタが QRadar からクエリするイベント数の上限を指定します。例: 100。
パラメータで指定する値は、[Events Limit per QRadar Offense Rule] パラメータで指定する値より小さくすることはできません。また、コネクタがイベントを取得する方法により、制限を超えた古いイベントは Google SecOps に取得されません。コネクタは、[Events Limit per QRadar Offense Rule] パラメータで指定された上限に達するまで、最新のイベントを取得します。 |
|
| 許可リストをブロックリストとして使用する | チェックボックス | オフ | 有効にすると、動的リストがブロックリストとして使用されます。 | |
| オーバーフローを無効化 | チェックボックス | オフ | 有効にすると、作成されたアラートに対してコネクタのオーバーフロー メカニズムがチェックされず、「オーバーフロー」アラートが作成されません。コネクタは、QRadar から返されたすべての違反を取得しようとします。 | |
| Qradar Offense Rules Re-Sync Timer | Integer | 10 | いいえ | コネクタが QRadar オフェンス ルールリストを再同期する頻度を分単位で指定します。パラメータが設定されていない場合、または 0 に設定されている場合、コネクタは実行ごとに再同期します。 |
コネクタルール
ブロックリストと動的リスト
コネクタは、一致したルールに基づいて違反を Google SecOps に取り込んでいます。これらのルールはユーザーが定義し、動的リストに追加されます。これにより、Google SecOps はユーザーにとって関心のある、または重要な違反のみを取り込みます。
| RuleType(動的リストまたはブロックリスト) | RuleName(文字列) |
|---|---|
| 動的リスト | ローカル: 非標準ポートで SSH または Telnet が検出されました |
| 動的リスト | 同じソースからのログインの複数回の失敗 |
プロキシのサポート
コネクタでプロキシがサポートされます。
暗号化された通信
コネクタは、暗号化された通信(SSL/TLS)をサポートしています。
Unicode のサポート
コネクタは、処理されたアラートの Unicode エンコードをサポートしています。
QRadar Offenses コネクタ
説明
QRadar オフェンス コネクタは、オフェンスを取得し、QRadar オフェンス自体に基づいて Google SecOps アラートを作成するために使用されます。これは、他の統合のコネクタが QRadar ルール名に基づいて行う方法とは逆です。コネクタが QRadar オフェンスごとに取得するイベントの合計数には上限があります。この上限に達すると、新しいイベントは取り込まれません。コネクタは Google SecOps 動的リストを使用しますが、デフォルトでは動的リストルールが設定されていない場合、QRadar API から返されたすべての違反を取得します。コネクタには QRadar API バージョン 10.1 以降が必要です。
コネクタは、すべての QRadar オフェンス イベントを追跡して取り込み、Google SecOps に取り込む必要がない場合(統合相関コネクタのように)に使用できる、構成と使用が容易なバージョンと見なすことができます。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | なし | はい | 商品名が保存されるフィールドの名前を記述します。 |
| イベント フィールド名 | 文字列 | なし | はい | イベント名が保存されるフィールドの名前を記述します。 |
| 環境フィールド名 | 文字列 | domain_name | いいえ | 環境名が保存されるフィールドの名前を記述します。環境フィールドが見つからない場合、環境は "" です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 |
| API ルート | 文字列 | https://IP_ADDRESS:port |
はい | API サーバーのアドレス。 |
| API トークン | 文字列 | なし | はい | API 認証トークン。 |
| API バージョン | 文字列 | 10.1 | はい | 使用する QRadar API のバージョン。コネクタは 10.1 以降の API バージョンをサポートしています。 |
| 違反ごとのイベントの合計上限 | Integer | 100 | はい | コネクタで取り込む QRadar オフェンスあたりのイベントの合計数を指定します。この上限に達すると、そのオフェンスの新しいイベントは取り込まれません。 |
| Qradar オフェンス ルールあたりのイベント数の上限 | Integer | なし | いいえ | QRadar オフェンスの単一ルールごとに取り込むイベント数の上限(省略可)を指定します。この上限に達すると、関連する QRadar ルールのオフェンスに新しいイベントは取り込まれません。上限は「違反ごとのイベントの合計上限」を超えることはできません。 |
| Connector Events Page Size | Integer | 100 | はい | コネクタがイベントをバッチで処理するために使用するページサイズ。 |
| サイクルあたりの最大違反数 | Integer | 10 | はい | コネクタの実行ごとに処理する違反の最大数。 最適なパフォーマンスを確保するため、10 より小さい値を設定しないでください。 |
| スクリプトのタイムアウト(秒) | Integer | 300 | ○ | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| 遡る最大日数 | Integer | 5 | いいえ | 違反データを遡って取得する最大日数 |
| 違反のパディング期間 | Integer | 60 | はい | 違反を取得する時間枠(分単位)。 |
| イベントのパディング期間 | Integer | 1 | はい | イベント データを取得する期間(日数)。 |
| カスタム フィールド | 文字列 | なし | いいえ | QRadar でユーザーが構成したカスタム フィールド(カンマ区切り)。例: Field A、Field B。 |
| ドメイン フィルタ | 文字列 | なし | いいえ | 違反を取り込む QRadar ドメインを指定します。値が指定されていない場合、コネクタはすべてのドメインから違反を取り込みます。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| Magnitude Filter | Integer | なし | いいえ | 取り込む違反の重大度を指定します。指定された重大度以上の違反が Google SecOps に取り込まれます。 |
| Siemplify アラートの名前フィールドにはどのような値を使用すればよいですか? | 文字列 | custom_alert_name | いいえ | コネクタによって作成されたアラートの名前を生成する形式を指定します。 指定可能な値は、custom_alert_name または offense_description です。 |
| 許可リストをブロックリストとして使用する | チェックボックス | オフ | いいえ | 有効にすると、動的リストがブロックリストとして使用されます。チェックボックスが有効になっておらず、動的リストルールが設定されていない場合、コネクタは QRadar API から返されたすべての違反を取得します。 |
| オーバーフローを無効化 | チェックボックス | オフ | いいえ | 有効にすると、作成されたアラートに対してコネクタのオーバーフロー メカニズムがチェックされなくなります。オーバーフロー アラートは作成されず、コネクタは QRadar から返されたすべての違反を取得しようとします。 |
| プロキシ サーバーのアドレス | 文字列 | いいえ | プロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | なし | いいえ | プロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | プロキシ パスワード。 |
| Qradar Offense Rules Re-Sync Timer | Integer | 10 | いいえ | コネクタが Qradar オフェンス ルールリストを再同期する頻度を分単位で指定します。パラメータが設定されていない場合、または 0 に設定されている場合、コネクタは実行ごとに再同期します。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
QRadar ベースライン違反コネクタ
コネクタは、QRadar の違反の名前に基づいて違反を取得し、Google SecOps アラートを作成します。
コネクタは、QRadar オフェンスごとに 1 つの Google SecOps アラートを作成します。QRadar から新しいイベントが表示されても、追加の Google SecOps アラートは作成されません。
コネクタは Google SecOps の動的リストを使用します。デフォルトでは、動的リストルールが設定されていない場合、コネクタは Qradar API から返されたすべての違反を取得します。
コネクタ パラメータ
| パラメータ | |
|---|---|
| プロダクト フィールド名 | 必須
商品名が保存されるフィールドの名前。 |
| イベント フィールド名 | 必須
イベント名が保存されるフィールドの名前。 |
| 環境フィールド名 | 省略可 環境名が保存されるフィールドの名前。環境フィールドが見つからない場合、環境は |
| 環境の正規表現パターン | 省略可
デフォルト値は |
| API ルート | 必須
API サーバーのアドレス。 |
| API トークン | 必須
API 認証トークン。 |
| API バージョン | 必須
QRadar API バージョン。Connector は、API バージョン 10.1 以降をサポートしています。 |
| 違反ごとのイベントの合計上限 | 必須
コネクタで取り込む QRadar オフェンスあたりのイベントの合計数を指定します。設定した上限に達すると、新しいイベントは違反に対して取り込まれません。 デフォルト値は 100 です。 |
| QRadar 違反ルールあたりのイベント数の上限 | 省略可 単一のルールごとに QRadar オフェンスに取り込むイベントの数量のオプションの制限を指定します。 このパラメータで設定された上限に達すると、関連する QRadar ルールの違反に新しいイベントが取り込まれなくなります。 |
| Connector Events Page Size | 必須
コネクタがイベントをバッチで処理するために使用するページのサイズ。 デフォルト値は 100 です。 |
| サイクルあたりの最大違反数 | 必須 コネクタの実行ごとに処理する違反の最大数。 最適なパフォーマンスを確保するため、10 より小さい値を設定しないでください。 デフォルト値は 10 です。 |
| スクリプトのタイムアウト(秒) | 必須
現在のスクリプトを実行している Python プロセスのタイムアウト上限。 デフォルト値は 300 秒です。 |
| 遡る最大日数 | 省略可 違反データを取得する最大日数。 デフォルト値は 5 日です。 |
| 違反のパディング期間 | 必須
違反を取得する時間枠(分単位)。 デフォルト値は 60 分です。 |
| イベントのパディング期間 | 必須
イベント データを取得する期間(日数)。 デフォルト値は 1 日です。 |
| カスタム フィールド | 省略可 QRadar でユーザーが構成したカンマ区切りのカスタム フィールド( |
| ドメイン フィルタ | 省略可 違反を取り込む QRadar ドメインを指定します。値が指定されていない場合、コネクタはすべてのドメインから違反を取り込みます。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| Magnitude Filter | 省略可 取り込む違反の重大度を指定します。指定された重大度以上の違反は、Google SecOps に取り込まれます。 |
| Siemplify アラートの名前フィールドにはどのような値を使用すればよいですか? | 省略可 コネクタによって作成されたアラートの名前を生成する形式を指定します。 デフォルト値は 有効な値:
|
| 動的リストをブロックリストとして使用する | 省略可 オンにすると、動的リストがブロックリストとして使用されます。 チェックボックスがオフで、動的リストルールが設定されていない場合、コネクタは QRadar API から返されたすべての違反を取得します。 デフォルトではオフになっています。 |
| オーバーフローを無効化 | 省略可 有効にすると、作成されたアラートに対してコネクタのオーバーフロー メカニズムがチェックされないため、「オーバーフロー」アラートは作成されず、コネクタは QRadar から返されたすべての違反を取得します。 デフォルトではオフになっています。 |
| プロキシ サーバーのアドレス | 省略可 プロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 省略可 プロキシのユーザー名。 |
| プロキシ パスワード | 省略可 プロキシ パスワード。 |
| Qradar Offense Rules Re-Sync Timer | 省略可 コネクタが QRadar オフェンス ルールリストを再同期する間隔を分単位で指定します。パラメータが設定されていない場合、または 0 に設定されている場合、コネクタは実行ごとに再同期します。 デフォルト値は 10 分です。 |
| イベントが 0 件の違反に対して SOAR アラートを作成する | 省略可 オンにすると、イベントなしで取得された違反について、コネクタはアラートとイベントの両方に QRadar 違反データを使用して Google SecOps アラートを作成します。 デフォルトではオフになっています。 |
| 違反作成タイマー(分) | 省略可 新しく作成された QRadar オフェンスのイベントデータを取得する前にコネクタが待機する時間を指定します。 |
コネクタルール
コネクタはプロキシをサポートしています。
コネクタ イベント
イベントの例は次のとおりです。
{
"events": [
{
"CREName": null,
"CREDescription": null,
"EventName": "WinCollect Info",
"EventDescription": "WinCollect Info",
"rulename_creEventList": [
"Destination Asset Weight is Low",
"Source Asset Weight is Low",
"Events from Windows Host - Second Rule",
"Context is Local to Local"
],
"partialmatchlist": [],
"qid": 63500003,
"category": 8052,
"sourceHostname": null,
"destinationHostname": null,
"creEventList": [
100205,
100211,
100409,
100199
],
"credibility": 5,
"destinationMAC": "01:23:45:ab:cd:ef",
"destinationIP": "192.0.2.1",
"destinationPort": 0,
"destinationv6": "2001:db8:1:1:1:1:1:1",
"deviceTime": 1583158321000,
"deviceProduct": "WinCollect",
"domainID": 0,
"duration": 10000,
"endTime": 1583165521106,
"eventCount": 1,
"eventDirection": "L2L",
"processorId": 8,
"hasIdentity": false,
"hasOffense": true,
"highLevelCategory": 8000,
"isCREEvent": false,
"magnitude": 6,
"utf8_payload": "<13>Mar 02 16:12:01 DESKTOP IBM|WinCollect|src=DESKTOP\tos=Windows 10 (Build 18363 64-bit)\tdst=\tsev=3\tlog=Code.SSLConfigServerConnection\tmsg=ApplicationHeartbeat",
"postNatDestinationIP": "198.51.100.255",
"postNatDestinationPort": 0,
"postNatSourceIP": "198.51.100.1",
"postNatSourcePort": 0,
"preNatDestinationIP": "198.0.2.255",
"preNatDestinationPort": 0,
"preNatSourceIP": "192.0.2.255",
"preNatSourcePort": 0,
"protocolName": "Reserved",
"protocolID": 255,
"relevance": 9,
"severity": 3,
"sourceIP": "192.0.2.1",
"sourceMAC": "ab:cd:ef:01:23:45",
"sourcePort": 0,
"sourcev6": "2001:db8:2:2:2:2:2:2",
"startTime": 1583165521106,
"isunparsed": false,
"userName": null
}
]
}
ジョブ
SyncCloseOffenses
説明
クローズされた Google SecOps アラートに関連する QRadar の防御をクローズします。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://IP_ADDRESS |
はい | QRadar サーバーを指す URL パス。 |
| API トークン | パスワード | なし | はい | 認証用の API セキュリティ トークン。 |
| API バージョン | 文字列 | なし | いいえ | 使用される API バージョン。 |
| 遡る日数 | Integer | なし | いいえ | 違反を取得するまでの日数。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。