QRadar
통합 버전: 56.0
지원되는 QRadar 배포
이 통합은 온프레미스 및 클라우드 QRadar 배포를 모두 지원합니다.
QRadar에 대한 네트워크 액세스
Google Security Operations에서 QRadar로의 API 액세스: 포트 443(HTTPS) 또는 환경에 구성된 대로 트래픽을 허용합니다.
QRadar 권한 설정
다음 단계에 설명된 대로 QRadar에서 전용 Google SecOps 사용자 및 보안 프로필을 만들면 권한을 더 세부적으로 제어할 수 있습니다. 이 접근 방식은 선택사항이지만 권장됩니다.
기존 관리자 계정을 사용하여 QRadar 통합을 작동시킬 수도 있습니다.
Google SecOps 사용자 만들기 {:.hide-from-toc}
QRadar에서 왼쪽 상단 아이콘을 클릭합니다.
관리로 이동하여 사용자를 클릭합니다.
새로 만들기를 클릭하고 정보를 입력하여 새 관리자 사용자를 만듭니다.
Google SecOps 보안 프로필 만들기
관리 > 사용자 관리 > 보안 프로필로 이동합니다.
다음 설정으로 프로필을 만듭니다.
- 권한 우선순위: 제한 없음
- 로그 소스: 모든 로그 소스 그룹
- 네트워크: 전체
- 도메인: 모든 도메인
변경사항 배포
화면에서 배포를 클릭합니다.
API에 액세스할 승인된 서비스 만들기
관리자 > 사용자 관리 > 승인된 서비스로 이동합니다.
다음 설정으로 서비스를 만듭니다.
- 서비스 이름: Siemplify_Application_User
- 사용자 역할: 관리자
- 보안 프로필: 관리자
- 만료일: 만료 없음
생성된 인증 키를 복사하여 Google SecOps 통합 설정 (배포 마법사)에서 사용합니다.
Google SecOps에서 QRadar 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://IP_ADDRESS |
예 | QRadar 서버를 가리키는 URL 경로입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | 인증을 위한 API 보안 토큰입니다. |
| API 버전 | 문자열 | 해당 사항 없음 | 아니요 | 사용된 API 버전입니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
유사한 흐름 쿼리
설명
미리 정의된 AQL 쿼리를 실행하여 지정된 Google SecOps IP 주소 엔티티와 관련된 흐름을 찾습니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 시간 델타(분) | 정수 | 10 | 아니요 | 지난 x분 동안의 흐름을 가져옵니다. 이 매개변수는 숫자 값(예: 10)을 허용합니다. |
| 가져올 흐름 한도 | 정수 | 23 | 예 | 작업에서 반환할 수 있는 흐름을 제한합니다. 이 매개변수는 숫자 값(예: 10)을 허용합니다. |
| 표시할 필드 | 문자열 | 해당 사항 없음 | 아니요 | 사전 정의된 필드 외에 흐름에서 가져올 필드입니다. 설정하지 않으면 작업은 흐름에 대해 사전 정의된 필드를 반환합니다. |
| 소스 IP 주소 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 흐름의 소스 IP 주소 필드를 나타내는 필드입니다. |
| 대상 IP 주소 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 흐름의 대상 IP 주소 필드를 나타내는 필드입니다. |
플레이북 사용 사례 예시
지난 x분 동안 특정 IP 주소에 등록된 흐름에 대한 정보를 QRadar에서 가져옵니다.
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"flows": [
{
"destinationflags": 27,
"destinationpackets": 5.0,
"sourcebytes": 522.0,
"protocolid": 6,
"sourceip": "195.200.72.148",
"destinationbytes": 571.0,
"lastpackettime": 1585057251000,
"sourceflags": 27,
"sourcepackets": 5.0,
"qid": 53268795,
"flowtype": 0,
"destinationip": "37.28.155.22",
"firstpackettime": 1585057224000,
"category": 18448,
"source hostname": null,
"destination hostname": null
},
{
"destinationflags": null,
"destinationpackets": 0.0,
"sourcebytes": 78.0,
"protocolid": 17,
"sourceip": "195.200.72.148",
"destinationbytes": 0.0,
"lastpackettime": 1585057220000,
"sourceflags": null,
"sourcepackets": 1.0,
"qid": 53258563,
"flowtype": 0,
"destinationip": "8.8.8.8",
"firstpackettime": 1585057177000,
"category": 18438,
"source hostname": null,
"destination hostname": null
},
...
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
| 표 | 항목의 유사한 흐름: {0}".format(Siemplify.entity.identifier) 헤더:... |
항목 |
유사한 이벤트 쿼리
설명
사전 정의된 AQL 쿼리를 실행하여 지정된 Google SecOps IP 주소, 호스트 이름 또는 사용자 이름 엔티티와 관련된 이벤트를 찾습니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 시간 델타(분) | 정수 | 10 | 아니요 | 지난 x분 동안의 흐름을 가져옵니다. 이 매개변수는 숫자 값(예: 10)을 허용합니다. |
| 가져올 이벤트 수 제한 | 정수 | 25 | 예 | 작업에서 반환할 수 있는 이벤트를 제한합니다. 매개변수는 숫자 값(예: 25)을 허용합니다. |
| 표시할 필드 | CSV | 해당 사항 없음 | 아니요 | 사전 정의된 필드 외에 이벤트에서 가져올 필드입니다. 설정하지 않으면 작업에서 이벤트의 사전 정의된 필드를 반환합니다. |
| 호스트 이름 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 이벤트의 호스트 이름 필드를 나타내는 필드입니다. |
| 소스 IP 주소 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 흐름의 소스 IP 주소 필드를 나타내는 필드입니다. |
| 대상 IP 주소 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 흐름의 대상 IP 주소 필드를 나타내는 필드입니다. |
| 사용자 이름 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 이벤트의 사용자 이름 필드를 나타내는 필드입니다. |
사용 사례 예시
지난 x분 동안 지정된 항목에 등록된 이벤트에 관한 정보를 QRadar에서 가져옵니다.
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
- 사용자
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"events": [
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
...
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
| 표 | 항목의 유사한 흐름: {0}".format(Siemplify.entity.identifier) 헤더:... |
항목 |
QRadar AQL 검색
설명
QRadar 인스턴스에 대해 임의의 AQL 쿼리를 실행합니다. 이 작업은 CSV 형식으로 출력을 반환합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 쿼리 형식 | 문자열 | 해당 사항 없음 | 예 | 예를 들어 'Select * from flows limit 10 last 10 minutes'과 같이 실행할 쿼리 형식입니다. |
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 결과 | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
| 표 | '질의 결과' 헤더:... |
일반 |
핑
설명
QRadar 인스턴스에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
의도된 사용 사례
Google Security Operations Marketplace 페이지의 통합 구성에서 제공된 매개변수를 사용하여 타겟 시스템에 대한 액세스가 성공적인지 테스트합니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
참조 세트에서 값 조회
설명
값이 특정 참조 세트에 나열되어 있는지 확인합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | 문자열 | 해당 사항 없음 | 예 | 값을 확인할 참조 세트의 이름입니다. |
| 값 | 문자열 | 해당 사항 없음 | 예 | 참조된 세트에서 확인할 값입니다. |
플레이북 사용 사례 예시
플레이북 실행에서 IP가 악성으로 확인되면 Malicious_IPs 참조 세트에 나열되어 있는지 확인합니다.
실행
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"timeout_type": "FIRST_SEEN",
"number_of_elements": 1,
"data": [
{
"last_seen": 1611149814345,
"first_seen": 1611149814345,
"source": "admin",
"value": "192.168.10.230",
"domain_id": null
}
],
"creation_time": 1440695740583,
"name": "Critical Assets",
"namespace": "SHARED",
"element_type": "IP",
"collection_id": 20
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
참조 맵에서 값 조회
설명
값이 특정 참조 맵에 나열되어 있는지 확인합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | 문자열 | 해당 사항 없음 | 예 | 값을 확인할 참조 맵의 이름입니다. |
| 값 | 문자열 | 해당 사항 없음 | 예 | 참조된 맵에서 확인할 값입니다. |
플레이북 사용 사례 예시
참조 맵 값을 기반으로 사용자 이름이 지정된 IP에 액세스할 수 있는지 확인합니다.
실행
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
세트의 참조 맵에서 값 조회
설명
값이 특정 참조 세트 맵에 나열되어 있는지 확인합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | 문자열 | 해당 사항 없음 | 예 | 값을 확인할 집합의 참조 맵 이름입니다. |
| 값 | 문자열 | 해당 사항 없음 | 예 | 참조된 집합 맵에서 확인할 값입니다. |
사용 사례 예시
setvalues의 참조 맵을 기반으로 사용자 이름이 지정된 IP에 액세스할 수 있는지 확인합니다.
실행
이 작업은 Google SecOps 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
참조 테이블에서 값 조회
설명
값이 특정 참조 표에 나열되어 있는지 확인합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | 문자열 | 해당 사항 없음 | 예 | 값을 확인할 참조 테이블의 이름입니다. |
| 값 | 문자열 | 해당 사항 없음 | 예 | 참조된 테이블에서 확인할 값입니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"Source_IP": {
"port": {
"last_seen": 1583933682283,
"first_seen": 1583933682283,
"source": "reference data api",
"value": "8080"
}
},
"192.168.1.1": {
"port": {
"last_seen": 1583990995600,
"first_seen": 1583990995600,
"source": "reference data api",
"value": "8080"
}
}
}
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
참조 맵에서 키 조회
설명
키가 특정 참조 맵에 나열되어 있는지 확인합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | 문자열 | 해당 사항 없음 | 예 | 값을 확인할 참조 맵의 이름입니다. |
| 키 | 문자열 | 해당 사항 없음 | 예 | 참조 맵에서 확인할 키입니다. |
사용 사례 예시
참조 맵 값을 기반으로 사용자 이름이 지정된 IP에 액세스할 수 있는지 확인합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
세트의 참조 맵에서 키 조회
설명
키가 특정 참조 집합 지도에 나열되어 있는지 확인합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | 문자열 | 해당 사항 없음 | 예 | 값을 확인할 집합의 참조 맵 이름입니다. |
| 키 | 문자열 | 해당 사항 없음 | 예 | 참조된 집합의 지도에서 확인할 키입니다. |
사용 사례 예시
설정된 값의 참조 맵을 기반으로 사용자 이름이 지정된 IP에 액세스할 수 있는지 확인합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
참조 세트 나열
설명
QRadar에서 사용할 수 있는 참조 세트를 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 필드 | 문자열 | 해당 사항 없음 | 아니요 | 작업에서 반환해야 하는 필드를 지정합니다. 아무것도 제공하지 않으면 작업에서 기본적으로 사용 가능한 모든 필드를 반환합니다. 이 매개변수는 쉼표로 구분된 여러 값을 허용합니다. |
| 필터 조건 | 문자열 | 해당 사항 없음 | 아니요 | 특정 요소만 반환하도록 필터 조건을 지정합니다(예: element_type = IP). |
| 반환할 요소 수 | 정수 | 25 | 예 | 작업에서 반환할 최대 요소 수를 지정합니다. |
사용 사례 예시
참조에 사용할 수 있는 요소를 나열합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"name": "Critical Assets",
"element_type": "IP"
},
{
"name": "Asset Reconciliation IPv4 Blocklist",
"element_type": "IP"
},
{
"name": "Proxy Servers",
"element_type": "IP"
}
]
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
참조 지도 나열
설명
QRadar에서 사용할 수 있는 참조 지도를 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 필드 | 문자열 | 해당 사항 없음 | 아니요 | 작업에서 반환해야 하는 필드를 지정합니다. 아무것도 제공하지 않으면 작업에서 기본적으로 사용 가능한 모든 필드를 반환합니다. 이 매개변수는 쉼표로 구분된 여러 값을 허용합니다. |
| 필터 조건 | 문자열 | 해당 사항 없음 | 아니요 | 특정 요소만 반환하도록 필터 조건을 지정합니다(예: element_type = ALNIC). |
| 반환할 요소 수 | 정수 | 25 | 예 | 작업에서 반환할 최대 요소 수를 지정합니다. |
사용 사례 예시
참조에 사용할 수 있는 요소를 나열합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"name": "User1",
"element_type": "ALNIC"
},
{
"name": "User",
"element_type": "ALNIC"
}
]
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
작업이 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
세트의 참조 맵 나열
설명
QRadar에서 사용할 수 있는 세트의 참조 맵을 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 필드 | 문자열 | 해당 사항 없음 | 아니요 | 작업에서 반환해야 하는 필드를 지정합니다. 아무것도 제공하지 않으면 작업에서 기본적으로 사용 가능한 모든 필드를 반환합니다. 이 매개변수는 쉼표로 구분된 여러 값을 허용합니다. |
| 필터 조건 | 문자열 | 해당 사항 없음 | 아니요 | 특정 요소만 반환하도록 필터 조건을 지정합니다(예: element_type = ALN). |
| 반환할 요소 수 | 정수 | 25 | 예 | 작업에서 반환할 최대 요소 수를 지정합니다. |
사용 사례 예시
참조에 사용할 수 있는 요소를 나열합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"name": "CorrelatedAttackMap",
"element_type": "ALN"
},
{
"name": "TestMapOfSets",
"element_type": "ALN"
}
]
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
작업이 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
참조 테이블 나열
설명
QRadar에서 사용할 수 있는 참조 테이블을 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 필드 | 문자열 | 해당 사항 없음 | 아니요 | 작업에서 반환해야 하는 필드를 지정합니다. 아무것도 제공하지 않으면 기본적으로 사용 가능한 모든 필드가 반환됩니다. 이 매개변수는 쉼표로 구분된 여러 값을 허용합니다. |
| 필터 조건 | 문자열 | 해당 사항 없음 | 아니요 | 특정 요소만 반환하도록 필터 조건을 지정합니다(예: element_type = ALN). |
| 반환할 요소 수 | 정수 | 25 | 예 | 작업에서 반환할 최대 요소 수를 지정합니다. |
사용 사례 예시
참조에 사용할 수 있는 요소를 나열합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"name": "TestTable2",
"element_type": "ALN"
},
{
"name": "TestTable3",
"element_type": "ALN"
}
]
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
위반 메모 추가
설명
QRadar 위반에 메모를 추가합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 위반 ID | 정수 | 해당 사항 없음 | 예 | 메모를 추가할 위반 ID입니다. |
| 메모 텍스트 | 문자열 | 해당 사항 없음 | 예 | 위반에 추가할 메모 텍스트입니다. |
플레이북 사용 사례 예시
Google SecOps에서 QRadar 위반에 대한 메모를 추가합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
작업이 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
위반 업데이트
설명
QRadar 위반을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 위반 ID | 정수 | 해당 사항 없음 | 예 | 업데이트할 위반 ID입니다. |
| 할당 대상 | 문자열 | 해당 사항 없음 | 아니요 | 위반을 할당할 사용자의 로그인입니다. |
| 상태 | DDL | " " | 아니요 | 위반의 새 상태입니다. |
| 종료 이유 | 문자열 | 해당 사항 없음 | 아니요 | 위반 상태가 종료됨으로 설정된 경우 QRadar 종료 이유를 제공해야 합니다. |
| 후속 작업 | 체크박스 | 체크박스 선택 해제됨 | 아니요 | 위반을 후속 조치로 표시할지 여부를 지정합니다. |
| 보호됨 | 체크박스 | 체크박스 선택 해제됨 | 아니요 | 위반을 보호됨으로 표시할지 여부를 지정합니다. |
플레이북 사용 사례 예시
Google SecOps와 QRadar 위반 상태를 동기화하기 위해 Google SecOps에서 QRadar 위반을 다시 업데이트합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"last_persisted_time": 1611143659000,
"username_count": 0,
"description": "Web\n",
"rules": [
{
"id": 100555,
"type": "CRE_RULE"
}
],
"event_count": 0,
"flow_count": 4,
"assigned_to": "admin",
"security_category_count": 1,
"follow_up": true,
"source_address_ids": [
50
],
"source_count": 1,
"inactive": true,
"protected": true,
"closing_user": null,
"destination_networks": [
"other"
],
"source_network": "other",
"category_count": 1,
"close_time": null,
"remote_destination_count": 1,
"start_time": 1610451749000,
"magnitude": 0,
"last_updated_time": 1610451887000,
"credibility": 0,
"id": 93,
"categories": [
"Web"
],
"severity": 0,
"policy_category_count": 0,
"log_sources": [],
"closing_reason_id": null,
"device_count": 0,
"first_persisted_time": 1610451722000,
"offense_type": 1,
"relevance": 0,
"domain_id": 0,
"offense_source": "37.28.155.22",
"local_destination_address_ids": [],
"local_destination_count": 0,
"status": "OPEN"
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업은 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
규칙 MITRE 범위 가져오기
설명
Use Case Manager 애플리케이션을 사용하여 QRadar의 규칙에 관한 MITRE 세부정보를 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 규칙 이름 | CSV | 예 | 작업에서 MITRE 세부정보를 반환해야 하는 규칙 이름의 쉼표로 구분된 목록을 지정합니다. | |
| 통계 만들기 | 불리언 | 참 | 아니요 | 사용 설정하면 작업에서 규칙의 MITRE 범위에 관한 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"rulename": "Excessive Database Connections"
"id": "SYSTEM-1431",
"has_ibm_default": true,
"last_updated": 1591634177302,
"mapping": {
"Discovery": {
"confidence": "medium",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0007",
"techniques": {}
},
"Initial Access": {
"confidence": "low",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0001",
"techniques": {}
}
},
"min-mitre-version": 7
}
}]
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
| 케이스 월 테이블 | 표 이름: MITRE Coverage(MITRE 노출 범위) 표 열:
|
QRadar Simple AQL Search
설명
QRadar의 매개변수를 기반으로 AQL 쿼리를 실행합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 테이블 이름 | DDL |
흐름 가능한 값은 다음과 같습니다.
|
예 | 쿼리할 테이블을 지정합니다. |
| 반환할 필드 | CSV | * | 아니요 | 반환할 필드를 지정합니다. 아무것도 제공되지 않으면 작업에서 모든 필드를 반환합니다. 와일드 카드도 지원됩니다. |
| Where 필터 | 문자열 | 아니요 | 실행해야 하는 쿼리의 WHERE 필터를 지정합니다.
시간 필터, 제한, 정렬을 제공할 필요가 없습니다. 또한 페이로드에 WHERE 문자열을 제공할 필요가 없습니다. |
|
| 기간 | DDL |
지난 1시간 가능한 값은 다음과 같습니다.
|
아니요 | 결과 기간을 지정합니다. '맞춤'을 선택한 경우 '시작 시간'도 제공해야 합니다. |
| 시작 시간 | 문자열 | 아니요 | 결과 시작 시간을 지정합니다. '기간' 매개변수에 '커스텀'을 선택한 경우 이 매개변수는 필수 항목입니다. 형식: ISO 8601. 예: 2021-04-23T12:38Z | |
| 종료 시간 | 문자열 | 아니요 | 결과 종료 시간을 지정합니다. 형식: ISO 8601. 아무것도 제공하지 않고 '기간' 매개변수에 '커스텀'을 선택하면 이 매개변수는 현재 시간을 사용합니다. | |
| 필드 정렬 | 문자열 | 아니요 | 정렬에 사용해야 하는 매개변수를 지정합니다. | |
| 정렬 순서 | DDL |
ASC 가능한 값은 다음과 같습니다.
|
No | 정렬 순서를 지정합니다. '정렬 필드' 매개변수를 제공해야 합니다. |
| 반환할 최대 결과 수 | 정수 | 50 | 아니요 | 반환할 결과 수를 지정합니다. |
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 결과 | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* |
이 작업이 실패하거나 플레이북 실행을 중지하지 않아야 합니다.
이 작업은 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
| 케이스 월 테이블 | 표 이름: 결과 |
커넥터
Google SecOps에서 QRadar 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
QRadar 상관관계 이벤트 커넥터 V2
설명
권장 커넥터입니다. QRadar 위반을 가져오고 Google SecOps의 동적 목록에 추가된 각 QRadar 규칙에 대한 Google SecOps 알림을 생성합니다. 커넥터는 Google SecOps 동적 목록에 추가된 규칙의 위반만 가져옵니다. 커넥터에는 최소 QRadar API 버전 10.1이 필요합니다. 커넥터는 위반 이름이 아닌 QRadar 위반의 규칙 이름을 기반으로 Google SecOps 알림을 만듭니다.
커넥터 기본 요건
필수 입력란의 QRadar 색인 QRadar New Correlation Events Connector V2 커넥터는 logsource_id, creEventList, Custom Rule Partially Matched 등 다음 위반과 관련된 이벤트에 추가 필드를 사용합니다. 이러한 필드는 기본적으로 QRadar에서 색인이 생성되지만 이러한 색인이 현재 사용 설정되어 있는지 확인해야 합니다. 사용 설정되어 있는지 확인하려면 QRadar 웹 UI에서 관리 > 색인 관리로 이동합니다. 열린 창에서 다음 색인을 찾아 사용 설정되어 있는지 확인합니다.
- 맞춤 규칙
- 로그 소스
- 맞춤 규칙이 부분적으로 일치함
자세한 내용은 색인 관리를 참고하세요.
Max Days Backwards Recommendations Max Days Backwards 커넥터 매개변수 값은 주의해서 사용해야 합니다. QRadar 위반에는 많은 이벤트가 있을 수 있으며 커넥터로 이러한 이벤트를 가져오려고 하면 QRadar 서버에 과도한 부하가 발생하거나 요청 시간 제한이 발생할 수 있습니다. 따라서 커넥터가 구성된 기간의 이벤트를 QRadar에 쿼리할 수 있도록 최대 이전 일수 매개변수를 충분히 작은 값으로 설정하는 것이 좋습니다.
커넥터 사용 참고사항
커넥터를 사용할 때는 다음 사항에 유의하세요.
QRadar 상관관계 이벤트 커넥터 v2는 위반별로 수집된 모든 이벤트를 추적합니다. 이를 위해 모든 이벤트 데이터 (QRadar API에서 반환된 이벤트의 모든 필드)를 사용하여 이벤트의 해시 합계를 계산하고 이를 위반의 이벤트 고유 식별자로 사용합니다. 따라서 모든 필드가 동일한 이벤트는 위반에 대해 수집되지 않습니다. 첫 번째 이벤트가 수집되어 관련 위반에 추가됩니다. 하지만 다음 항목은 중복으로 간주되어 삭제됩니다. 이는 QRadar의 이벤트에 고유 식별자가 없기 때문에 발생하는 QRadar 아키텍처의 문제입니다.
QRadar 상관 관계 이벤트 커넥터 v2는 위반 자체가 아닌 위반에 있는 동적 목록 규칙을 기반으로 알림을 생성합니다. 따라서 위반의 이벤트가 여러 동적 목록 규칙에 의해 플래그가 지정되면 이 이벤트는 관련 동적 목록 규칙에 대한 여러 Google SecOps 알림에 추가됩니다.
IBM QRadar는 규칙을 사용하여 네트워크의 이벤트와 흐름을 모니터링하여 보안 위협을 감지합니다. 이벤트와 흐름이 규칙에 정의된 테스트 기준을 충족하면 보안 공격이나 정책 위반이 의심된다는 것을 보여주는 위반이 생성됩니다.
새 커넥터는 일치하는 규칙에만 기반하여 위반사항을 Google SecOps에 수집합니다. 이러한 규칙은 사용자가 정의하며 Google SecOps가 사용자와 관련된 위반만 수집하도록 동적 목록에 추가해야 합니다. 따라서 새 위반이 생성되면 커넥터는 위반을 트리거한 규칙을 확인합니다 (규칙 필터링은 QRadar API 버전 9 이상에서 도입됨). 규칙이 동적 목록에 포함된 경우 커넥터는 수집을 위해 위반을 준비합니다.
커넥터 사용 사례
위반 조사
IBM QRadar는 규칙을 사용하여 네트워크의 이벤트와 흐름을 모니터링하여 보안 위협을 감지합니다. 이벤트와 흐름이 규칙에 정의된 테스트 기준을 충족하면 보안 공격이나 정책 위반이 의심된다는 것을 보여주는 위반이 생성됩니다. 하지만 위반이 발생했다는 사실을 아는 것은 첫 번째 단계일 뿐입니다. 어떻게, 어디에서, 누가 했는지 확인하려면 조사가 필요합니다.
위반 요약 창은 발생한 상황을 파악하고 문제를 격리하고 해결하는 방법을 결정하는 데 도움이 되는 컨텍스트를 제공하여 위반 조사 시작을 지원합니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 설명 | |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 해당 사항 없음 | 제품 이름이 저장된 필드의 이름을 설명합니다. | |
| 이벤트 필드 이름 | 문자열 | 해당 사항 없음 | 이벤트 이름이 저장된 필드의 이름을 설명합니다. | |
| 환경 필드 이름 | 문자열 | domain_name | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없는 경우 환경은 ''입니다. | |
| 환경 정규식 패턴 | 문자열 | .* | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. | |
| API 루트 | 문자열 | https://IP_ADDRESS:port |
QRadar 서버 주소입니다. | |
| API 토큰 | 문자열 | 해당 사항 없음 | API 인증 토큰입니다. | |
| API 버전 | 문자열 | 10.1 | 사용할 QRadar API 버전입니다. 커넥터는 API 버전 10.1부터 지원합니다. | |
| 도메인 필터 | 문자열 (CSV) | 해당 사항 없음 | 위반을 수집할 QRadar 도메인을 지정합니다. 값을 제공하지 않으면 커넥터가 모든 도메인에서 위반사항을 수집합니다. 매개변수에서 쉼표로 구분된 문자열로 여러 값을 허용합니다. | |
| Siemplify 알림당 이벤트 한도 | 정수 | 25 | 주기당 Google SecOps 알림별로 가져올 최대 이벤트 수입니다. 지정된 위반 패딩 기간 동안 많은 수의 이벤트가 지속적으로 반환되는 경우 커넥터가 더 빠르게 실행되도록 늘릴 수 있습니다. | |
| 커넥터 이벤트 페이지 크기 | 정수 | 100 | 커넥터가 이벤트를 일괄적으로 처리하는 데 사용할 페이지 크기입니다. | |
| 주기당 최대 위반 수 | 정수 | 10 | 커넥터 실행당 처리할 최대 위반 수입니다.
최적의 성능을 위해 10보다 낮은 값을 설정하지 마세요. |
|
| 스크립트 제한 시간(초) | 정수 | 300 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. | |
| 최대 이전 일수 | 정수 | 5 | 위반 데이터를 역방향으로 가져올 최대 일수입니다. | |
| 위반 패딩 기간 | 정수 | 60 | 위반을 가져올 시간 범위(분)입니다. | |
| 이벤트 패딩 기간 | 정수 | 1 | 이벤트 데이터를 가져올 기간(일)입니다. | |
| 커스텀 필드 | 문자열 | 해당 사항 없음 | QRadar에서 사용자가 구성한 맞춤 필드입니다. 값은 쉼표로 구분됩니다. 예: 필드 A, 필드 B | |
| Siemplify 알림의 이름 필드에 사용할 값은 무엇인가요? | 문자열 | custom_rule | 커넥터에서 생성된 알림의 이름을 생성할 때 따를 형식을 지정합니다.
가능한 값은 custom_rule 또는 offense_description입니다. |
|
| Siemplify 알림의 규칙 생성기 필드에 사용할 값은 무엇인가요? | 문자열 | custom_rule | 커넥터에서 생성된 알림의 rule_generator 필드를 채울 형식을 지정합니다.
가능한 값은 custom_rule 또는 offense_description입니다. |
|
| '위반에 대한 이벤트를 가져올 수 없음' 케이스를 생성하시겠어요? | 체크박스 | 선택됨 | 선택하면 커넥터가 위반사항 패딩 기간 동안 업데이트된 위반사항의 이벤트를 가져올 수 없는 경우 '위반사항의 이벤트를 가져올 수 없음' 경고 케이스를 만듭니다. | |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 프록시 서버 주소입니다. | |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 프록시 사용자 이름입니다. | |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 프록시 비밀번호입니다. | |
| Qradar 위반 규칙당 이벤트 한도 | 정수 | 100 | QRadar 위반의 단일 규칙별로 수집해야 하는 이벤트 수를 제한합니다. 이 한도에 도달하면 관련 QRadar 규칙에 대한 새로운 이벤트가 위반에 수집되지 않습니다. 예: 100 | |
| 한 커넥터 실행에서 커넥터가 쿼리할 수 있는 이벤트 수 제한 | 정수 | 해당 사항 없음 | 단일 위반 커넥터가 한 커넥터 실행에서 QRadar로부터 쿼리해야 하는 이벤트 수를 제한합니다. 예: 100
매개변수에 지정된 값은 QRadar 위반 규칙당 이벤트 한도 매개변수에 지정된 값보다 낮을 수 없습니다. 또한 커넥터가 이벤트를 가져오는 방식 때문에 오래되고 한도를 벗어나는 이벤트는 Google SecOps로 가져오지 않습니다. 커넥터는 QRadar 위반 규칙당 이벤트 한도 매개변수에 지정된 한도에 도달할 때까지 최신 이벤트를 가져옵니다. |
|
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. | |
| 오버플로 사용 중지 | 체크박스 | 선택 해제 | 사용 설정된 경우 커넥터 오버플로 메커니즘이 생성된 알림에 대해 확인되지 않고 '오버플로' 알림이 생성되지 않으며 커넥터가 QRadar에서 반환된 모든 위반을 가져오려고 시도합니다. | |
| Qradar Offense Rules Re-Sync Timer(Qradar 위반 규칙 다시 동기화 타이머) | 정수 | 10 | 아니요 | 커넥터가 QRadar 위반 규칙 목록을 다시 동기화해야 하는 빈도를 분 단위로 지정합니다. 매개변수가 설정되지 않았거나 0으로 설정된 경우 커넥터는 실행될 때마다 다시 동기화됩니다. |
커넥터 규칙
차단 목록 및 동적 목록
커넥터는 일치하는 규칙에 따라 Google SecOps로 위반사항을 인제스트하고 있습니다. 이러한 규칙은 사용자가 정의하며 Google SecOps가 사용자에게 관심이 있거나 중요한 위반만 수집하도록 동적 목록에 추가됩니다.
| RuleType (동적 목록 또는 차단 목록) | RuleName(문자열) |
|---|---|
| 동적 목록 | 로컬: 비표준 포트에서 SSH 또는 Telnet이 감지됨 |
| 동적 목록 | 동일한 소스에서 여러 번 로그인 실패 |
프록시 지원
커넥터가 프록시를 지원합니다.
암호화된 통신
커넥터는 암호화된 통신 (SSL/TLS)을 지원합니다.
유니코드 지원
커넥터는 처리된 알림에 유니코드 인코딩을 지원합니다.
QRadar 위반사항 커넥터
설명
QRadar 위반 커넥터는 다른 통합의 커넥터가 QRadar 규칙 이름을 기반으로 하는 것과 반대로 QRadar 위반 자체를 기반으로 위반을 가져오고 Google SecOps 알림을 만드는 데 사용됩니다. 커넥터는 QRadar 위반당 가져올 총 이벤트 수에 제한이 있으며, 이 제한에 도달하면 새 이벤트가 수집되지 않습니다. 커넥터는 Google SecOps 동적 목록을 사용하지만 동적 목록 규칙이 설정되지 않은 경우 기본적으로 QRadar API에서 반환된 모든 위반을 가져옵니다. 커넥터에는 QRadar API 버전 10.1 이상이 필요합니다.
커넥터는 모든 QRadar 위반 이벤트를 추적하고 수집하여 Google SecOps에 수집할 필요가 없는 경우 (통합 상관관계 커넥터가 수행하는 작업) 사용할 수 있는 구성 및 사용이 더 쉬운 버전으로 간주할 수 있습니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 해당 사항 없음 | 예 | 제품 이름이 저장된 필드의 이름을 설명합니다. |
| 이벤트 필드 이름 | 문자열 | 해당 사항 없음 | 예 | 이벤트 이름이 저장된 필드의 이름을 설명합니다. |
| 환경 필드 이름 | 문자열 | domain_name | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없는 경우 환경은 ''입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. |
| API 루트 | 문자열 | https://IP_ADDRESS:port |
예 | API 서버 주소입니다. |
| API 토큰 | 문자열 | 해당 사항 없음 | 예 | API 인증 토큰입니다. |
| API 버전 | 문자열 | 10.1 | 예 | 사용할 QRadar API 버전입니다. 커넥터는 API 버전 10.1부터 지원합니다. |
| 위반당 총 이벤트 한도 | 정수 | 100 | 예 | 이 한도에 도달한 후 커넥터가 수집해야 하는 QRadar 위반당 이벤트 수를 지정합니다. 이 한도에 도달하면 위반에 대한 새 이벤트가 수집되지 않습니다. |
| Qradar 위반 규칙당 이벤트 제한 | 정수 | 해당 사항 없음 | 아니요 | QRadar 위반의 단일 규칙당 수집할 이벤트의 선택적 한도를 지정합니다. 이 한도에 도달하면 관련 QRadar 규칙의 위반에 새 이벤트가 수집되지 않습니다. 한도는 '위반당 총 이벤트 한도'보다 클 수 없습니다. |
| 커넥터 이벤트 페이지 크기 | 정수 | 100 | 예 | 커넥터가 이벤트를 일괄적으로 처리하는 데 사용할 페이지 크기입니다. |
| 주기당 최대 위반 수 | 정수 | 10 | 예 | 커넥터 실행당 처리할 최대 위반 수입니다.
최적의 성능을 위해 10보다 낮은 값을 설정하지 마세요. |
| 스크립트 제한 시간(초) | 정수 | 300 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| 최대 이전 일수 | 정수 | 5 | 아니요 | 위반 데이터를 역방향으로 가져올 최대 일수 |
| 위반 패딩 기간 | 정수 | 60 | 예 | 위반을 가져올 시간 범위(분)입니다. |
| 이벤트 패딩 기간 | 정수 | 1 | 예 | 이벤트 데이터를 가져올 기간(일)입니다. |
| 커스텀 필드 | 문자열 | 해당 사항 없음 | 아니요 | QRadar에서 사용자가 구성한 맞춤 필드입니다(쉼표로 구분). 예: 필드 A, 필드 B |
| 도메인 필터 | 문자열 | 해당 사항 없음 | 아니요 | 위반을 수집할 QRadar 도메인을 지정합니다. 값을 제공하지 않으면 커넥터가 모든 도메인에서 위반사항을 수집합니다. 매개변수에서 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
| 크기 필터 | 정수 | 해당 사항 없음 | 아니요 | 수집할 위반 심각도를 지정합니다. 제공된 심각도와 같거나 큰 위반이 Google SecOps에 수집됩니다. |
| Siemplify 알림의 이름 필드에 사용할 값은 무엇인가요? | 문자열 | custom_alert_name | 아니요 | 커넥터에서 생성된 알림의 이름을 생성할 때 따를 형식을 지정합니다.
가능한 값은 custom_alert_name 또는 offense_description입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. 체크박스가 사용 설정되어 있지 않고 동적 목록 규칙이 설정되어 있지 않으면 커넥터가 QRadar API에서 반환된 모든 위반을 가져옵니다. |
| 오버플로 사용 중지 | 체크박스 | 선택 해제 | 아니요 | 사용 설정된 경우 커넥터 오버플로 메커니즘이 생성된 알림에 대해 확인되지 않습니다. '오버플로' 알림이 생성되지 않으며 커넥터가 QRadar에서 반환된 모든 위반을 가져오려고 시도합니다. |
| 프록시 서버 주소 | 문자열 | 아니요 | 프록시 서버 주소입니다. | |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 프록시 비밀번호입니다. |
| Qradar Offense Rules Re-Sync Timer(Qradar 위반 규칙 다시 동기화 타이머) | 정수 | 10 | 아니요 | 커넥터가 Qradar 위반 규칙 목록을 다시 동기화해야 하는 빈도를 분 단위로 지정합니다. 매개변수가 설정되지 않았거나 0으로 설정된 경우 커넥터는 실행될 때마다 다시 동기화됩니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
QRadar 기준 위반사항 커넥터
커넥터는 위반사항을 가져오고 QRadar 위반사항의 이름을 기반으로 Google SecOps 알림을 만듭니다.
커넥터는 QRadar 위반당 하나의 Google SecOps 알림을 생성하며, QRadar의 새 이벤트가 표시될 때 추가 Google SecOps 알림을 생성하지 않습니다.
커넥터는 Google SecOps 동적 목록을 사용합니다. 기본적으로 동적 목록 규칙이 설정되지 않은 경우 커넥터는 Qradar API에서 반환된 모든 위반을 가져옵니다.
커넥터 매개변수
| 매개변수 | |
|---|---|
| 제품 필드 이름 | 필수
제품 이름이 저장된 필드의 이름입니다. |
| 이벤트 필드 이름 | 필수
이벤트 이름이 저장된 필드의 이름입니다. |
| 환경 필드 이름 | 선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없는 경우 환경은 |
| 환경 정규식 패턴 | 선택사항
기본값은 |
| API 루트 | 필수
API 서버 주소입니다. |
| API 토큰 | 필수
API 인증 토큰입니다. |
| API 버전 | 필수
QRadar API 버전입니다. 커넥터는 API 버전 10.1 이상을 지원합니다. |
| 위반당 총 이벤트 한도 | 필수
커넥터가 총 수집해야 하는 QRadar 위반당 이벤트 수를 지정합니다. 설정된 한도에 도달하면 위반에 대한 새 이벤트가 수집되지 않습니다. 기본값은 100입니다. |
| QRadar 위반 규칙당 이벤트 한도 | 선택사항
단일 규칙당 QRadar 위반으로 인그레스해야 하는 이벤트 수의 선택적 제한을 지정합니다. 이 매개변수로 설정된 한도에 도달하면 관련 QRadar 규칙의 위반사항에 새로운 이벤트가 수집되지 않습니다. |
| 커넥터 이벤트 페이지 크기 | 필수
커넥터가 이벤트를 일괄적으로 처리하는 데 사용하는 페이지의 크기입니다. 기본값은 100입니다. |
| 주기당 최대 위반 수 | 필수 커넥터 실행당 처리할 최대 위반 수입니다. 최적의 성능을 위해 10보다 낮은 값을 설정하지 마세요. 기본값은 10입니다. |
| 스크립트 제한 시간(초) | 필수
현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. 기본값은 300초입니다. |
| 최대 이전 일수 | 선택사항
위반 데이터를 가져올 최대 일수입니다. 기본값은 5일입니다. |
| 위반 패딩 기간 | 필수
위반사항을 가져올 시간 프레임(분)입니다. 기본값은 60분입니다. |
| 이벤트 패딩 기간 | 필수
이벤트 데이터를 가져올 기간(일)입니다. 기본값은 1일입니다. |
| 커스텀 필드 | 선택사항
사용자가 QRadar에서 구성한 쉼표로 구분된 맞춤 필드입니다(예: |
| 도메인 필터 | 선택사항
위반을 수집할 QRadar 도메인을 지정합니다. 값을 제공하지 않으면 커넥터가 모든 도메인의 위반을 수집합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 크기 필터 | 선택사항
수집할 위반 심각도를 지정합니다. 제공된 심각도 이상의 위반사항은 Google SecOps에 인제스트됩니다. |
| Siemplify 알림의 이름 필드에 사용할 값은 무엇인가요? | 선택사항
커넥터에서 생성된 알림의 이름을 생성할 때 따라야 하는 형식을 지정합니다. 기본값은 가능한 값은 다음과 같습니다.
|
| 동적 목록을 차단 목록으로 사용 | 선택사항
선택하면 동적 목록이 차단 목록으로 사용됩니다. 체크박스가 선택 해제되어 있고 동적 목록 규칙이 설정되어 있지 않으면 커넥터가 QRadar API에서 반환된 모든 위반을 가져옵니다. 기본적으로 선택 취소되어 있습니다. |
| 오버플로 사용 중지 | 선택사항
사용 설정된 경우 커넥터 오버플로 메커니즘이 생성된 알림에 대해 확인되지 않으므로 '오버플로' 알림이 생성되지 않으며 커넥터가 QRadar에서 반환된 모든 위반을 가져옵니다. 기본적으로 선택 취소되어 있습니다. |
| 프록시 서버 주소 | 선택사항
프록시 서버 주소입니다. |
| 프록시 사용자 이름 | 선택사항
프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 선택사항
프록시 비밀번호입니다. |
| Qradar Offense Rules Re-Sync Timer(Qradar 위반 규칙 다시 동기화 타이머) | 선택사항
커넥터가 QRadar 위반 규칙 목록을 다시 동기화하는 간격(분)을 지정합니다. 매개변수가 설정되지 않았거나 0으로 설정된 경우 커넥터는 실행될 때마다 다시 동기화됩니다. 기본값은 10분입니다. |
| 이벤트가 0인 위반에 대한 SOAR 알림 만들기 | 선택사항
선택한 경우 이벤트 없이 가져온 위반에 대해 커넥터는 알림과 이벤트 모두에 QRadar 위반 데이터를 사용하여 Google SecOps 알림을 만듭니다. 기본적으로 선택 취소되어 있습니다. |
| 위반 생성 타이머 (분) | 선택사항
새로 생성된 QRadar 위반의 이벤트 데이터를 가져오기 전에 커넥터가 대기하는 시간을 지정합니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
커넥터 이벤트
이벤트의 예는 다음과 같습니다.
{
"events": [
{
"CREName": null,
"CREDescription": null,
"EventName": "WinCollect Info",
"EventDescription": "WinCollect Info",
"rulename_creEventList": [
"Destination Asset Weight is Low",
"Source Asset Weight is Low",
"Events from Windows Host - Second Rule",
"Context is Local to Local"
],
"partialmatchlist": [],
"qid": 63500003,
"category": 8052,
"sourceHostname": null,
"destinationHostname": null,
"creEventList": [
100205,
100211,
100409,
100199
],
"credibility": 5,
"destinationMAC": "01:23:45:ab:cd:ef",
"destinationIP": "192.0.2.1",
"destinationPort": 0,
"destinationv6": "2001:db8:1:1:1:1:1:1",
"deviceTime": 1583158321000,
"deviceProduct": "WinCollect",
"domainID": 0,
"duration": 10000,
"endTime": 1583165521106,
"eventCount": 1,
"eventDirection": "L2L",
"processorId": 8,
"hasIdentity": false,
"hasOffense": true,
"highLevelCategory": 8000,
"isCREEvent": false,
"magnitude": 6,
"utf8_payload": "<13>Mar 02 16:12:01 DESKTOP IBM|WinCollect|src=DESKTOP\tos=Windows 10 (Build 18363 64-bit)\tdst=\tsev=3\tlog=Code.SSLConfigServerConnection\tmsg=ApplicationHeartbeat",
"postNatDestinationIP": "198.51.100.255",
"postNatDestinationPort": 0,
"postNatSourceIP": "198.51.100.1",
"postNatSourcePort": 0,
"preNatDestinationIP": "198.0.2.255",
"preNatDestinationPort": 0,
"preNatSourceIP": "192.0.2.255",
"preNatSourcePort": 0,
"protocolName": "Reserved",
"protocolID": 255,
"relevance": 9,
"severity": 3,
"sourceIP": "192.0.2.1",
"sourceMAC": "ab:cd:ef:01:23:45",
"sourcePort": 0,
"sourcev6": "2001:db8:2:2:2:2:2:2",
"startTime": 1583165521106,
"isunparsed": false,
"userName": null
}
]
}
작업
SyncCloseOffenses
설명
종료된 Google SecOps 알림의 관련 QRadar 위반을 닫습니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://IP_ADDRESS |
예 | QRadar 서버를 가리키는 URL 경로입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | 인증을 위한 API 보안 토큰입니다. |
| API 버전 | 문자열 | 해당 사항 없음 | 아니요 | 사용된 API 버전입니다. |
| 일 전 | 정수 | 해당 사항 없음 | 아니요 | 위반을 가져올 이전 일수입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.