IBM QRadar 安全威胁监控内容扩展
IBM Security App Exchange 上的 IBM QRadar Security Threat Monitoring Content Extension 包含用于 X-Force 源数据的规则、构建块和定制属性。
X-Force 数据包括潜在恶意 IP 地址和 URL 的列表以及相应的威胁分数。您可以使用 X-Force 规则自动标记涉及地址的任何安全事件或网络活动数据,并在开始调查事件之前确定事件的优先级。
以下列表显示了可以使用 X-Force 规则识别的事件类型的示例:
[source IP|destinationIP|anyIP]当 是以下[remote network locations]任何一项的一部分时
当被 X-Force 分类为[Anonymization Servers|Botnet C&C|DynamicIPs|Malware|ScanningIPs|Spam]具有置信度值[equal to] [this amount]时[this host property]
何时[this URL property]被 X-Force 分类为[Gambling|Auctions|Job Search|Alcohol|Social Networking|Dating]
当您启用 X-Force 威胁情报源以用于 IBM QRadar Security Threat Monitoring Content Extension 时,JSA 每天下载大约 30 MB 的 IP 信誉数据。
安装 IBM QRadar Security Threat Monitoring Content Extension 应用程序
IBM QRadar Security Threat Monitoring Content Extension 应用程序包含专门为与 X-Force 数据一起使用而设计的 JSA 内容,例如规则、构建块和定制属性。增强的内容可以帮助您识别和修复环境中的不良活动,以免威胁到网络的稳定性。
从 IBM Security App Exchange 下载 IBM QRadar Security Threat Monitoring Content Extension 应用程序。
要在 JSA 规则、攻击和事件中使用 X-Force 数据,必须将 JSA 配置为自动将数据从 X-Force 服务器加载到 JSA 设备。
要在本地加载 X-Force 数据,请在系统设置中启用 X-Force 威胁情报源。如果在 X-Force 启动时有新信息可用,则会更新 IP 地址信誉或 URL 数据库。这些更新将合并到其自己的数据库中,并且内容将从 JSA 控制台 复制到部署中的所有受管主机。
X-Force 规则在产品中可见,即使以后卸载了应用程序也是如此。
在导航菜单 (
) 上,单击 管理员在“ 系统配置 ”部分,单击 “扩展管理”。
-
按照以下步骤将应用程序上传到 JSA 控制台:
-
单击“添加”。
-
单击浏览并浏览以查找扩展程序。
-
单击“立即安装”以安装扩展,而不查看内容。
-
单击“添加”。
-
要查看扩展的内容,请从扩展列表中选择它,然后单击 更多详细信息。
若要安装扩展,请执行以下步骤:
从列表中选择扩展,然后单击安装。
如果扩展不包含数字签名,或者已签名但签名未与 JSA 安全性证书颁发机构 (CA) 关联,则必须确认是否仍要安装它。单击“安装”以继续安装。
查看安装对系统所做的更改。
选择“覆盖”或“保留现有数据”以指定如何处理现有内容项。
单击安装。
查看安装摘要,然后单击确定。
规则显示在“规则列表”窗口中的“威胁”组下。必须先启用它们,然后才能使用它们。
启用 X-Force 威胁情报源,以便您可以使用 X-Force 规则或将 X-Force 函数添加到 AQL 搜索中。有关更多信息,请参阅启用 X-Force 威胁情报源。