QRadar への QID のインポート
2024年4月11日
ID 171611
QRadar は Kaspersky CyberTrace サービスからの受信イベントを正しく処理する必要があります。それには、許容されるイベントのリスト(QRadar 識別子(QID)のリスト)を QRadar に追加する必要があります。Kaspersky CyberTrace サービスでは、イベントカテゴリは設定情報ファイルの[Feeds
]→[Feed
]→[Field
]要素の category
属性で定義されます。
Kaspersky CyberTrace の配布キットには sample_qid.txt というファイルがあり、このファイルには Kaspersky CyberTrace サービスからの必要なイベントが含まれています。これらのイベントの記述を変更せずに、ユーザー独自のイベントをこのファイルに追加してください。
「KL_<feed>_<object_type>」
の形式に従ってイベントカテゴリの名前を付けることを推奨します。意味は次の通りです:
<feed>
—イベントを検知するフィードの名前(例:PhishingUrl
)<object_type>
—イベントが検知されるフィールド(例:URL
、Hash_MD5
、Hash_SHA1
、Hash_SHA256
)
QID のリストを QRadar にインポートするには:
- 必要な場合は(テクニカルアカウントマネージャーが推奨する場合など)、設定情報ファイルにあるすべてのイベントカテゴリをファイル
%service_dir%/integration/qradar/sample_qid.txt
に追加して編集します。イベントカテゴリはいずれも、次の形式に従って 1 行で記述する必要があります:
,<event>,<descr>,<sev>,<cat_id>
意味は次の通りです:
<event>
—受信イベントの名前<descr>
—イベントの説明<sev>
—イベントの重大度<cat_id>
—下位の QRadar イベント識別子QRadar イベント識別子の全リストは、次のコマンドで出力できます:
/opt/qradar/bin/qidmap_cli.sh -l
<sev>
と<cat_id>
の値は QRadar のドキュメントに従って使用することを推奨します。
例:
,KL_Malicious_URL,Malicious URL is detected by Kaspersky Threat Feed Service,8,7058
- ファイル
%service_dir%/integration/qradar/sample_qid.txt
を、QRadar がインストールされたサーバーにアップロードします。 - コマンドを起動します:
/opt/qradar/bin/qidmap_cli.sh -i -f <filename>
<filename>
は、ステップ 2 でアップロードしたファイルsample_qid.txt
の宛先パスです。 - 追加したカスタム QID を表示するには、次のコマンドを実行します:
/opt/qradar/bin/qidmap_cli.sh –e
エラーが発生した場合に問題を解決するには、『IBM Security QRadar SIEM 管理ガイド』を参照してください。