序文
これらの手順は、QRadar v7.2.3 - 7.2.5 で右クリック検索機能を設定することを希望するユーザーに適用されます。v7.2.7 以降のアプリは、2017 年第 1 四半期に IBM QRadar の App Exchange から利用可能になります。
I. コンソールの右クリックメニューのカスタマイズ
QRadar コンソール内からRecorded FutureのIntelligence Cardに直接すばやくアクセスできるようにするには、プラグイン アプリケーション プログラミング インターフェース (API) を使用して、「右クリック」メニュー オプションをカスタマイズできます。
手順
- SSH を使用して、 IBM ® Security QRadar ®に root ユーザーとしてログインします。
- QRadar サーバーで、ip_context_menu.xml ファイルを /opt/qradar/conf/templates ディレクトリーから /opt/qradar/conf ディレクトリーにコピーします。
- /opt/qradar/conf/ip_context_menu.xml ファイルを開いて編集します。
- ファイルを編集します。
このファイルは、右クリック メニューをカスタマイズするためのmenuEntry XML ノードを受け入れます。
<menuEntry name=" {Name} " description=" {Description} " exec=" {Command} "
url=" {URL} " 必須機能=" {Required Capabilities} "/>
次のリストは、 menuEntry要素の属性について説明しています。
名前
右クリック メニューに表示されるテキスト。
説明
エントリの説明。説明テキストはメニュー オプションのツールチップに表示されます。説明はオプションです。
URL
新しいウィンドウで開く Web アドレスを指定します。IP アドレスを表すためにプレースホルダー%IP%を使用できます。この URL に他の URL パラメータを渡すには、& オプションを使用する必要があります (例: url="/lookup?&ip= %IP% ;force=true")。
指示
コンソールで実行するコマンド。コマンドの出力は新しいウィンドウに表示されます。選択された IP アドレスを表すには、プレースホルダー%IP%を使用します。
必要な能力
このオプションを選択する前にユーザーが持つ必要がある機能 (例: 「ADMIN」) をコンマで区切ります。(例: 「ADMIN」)。ユーザーがリストされているすべての権限を持っていない場合、エントリは表示されません。必要な機能はオプションのフィールドです。
編集されたファイルは次の例のようになるはずです。
<?xml バージョン="1.0"エンコーディング="UTF-8"?>
<!-これは、IP アドレスの右クリック メニューにカスタムの Recorded Future IP カード検索を追加するための構成ファイルです。-->
<contextMenu>
<menuEntry name="記録された未来の検索" url=" https://www.recordedfuture.com/live/sc/entity/ip : %IP% "/>
</contextMenu>
- ファイルを保存して閉じます。
- サービスを再起動するには、次のコマンドを入力します。
サービスTomcatの再起動
II. イベント列とフロー列の右クリックメニューの強化
ログ アクティビティテーブルまたはネットワーク アクティビティテーブルの列で使用できる右クリック オプションに、 Recorded Future IP エンリッチメント検索アクションを追加できます。 特に、情報源 IP または宛先 IP に関する詳細情報 ( Recorded Future ) を表示するオプションを追加できます。
制限:
オプションを追加できるのは、QRadar ® SIEM コンソール アプライアンスの右クリック メニューと、一部の Ariel データベース フィールドのみです。
手順
- SSH を使用して、QRadar コンソール アプライアンスに root ユーザーとしてログインします。
- /opt/qradar/conf ディレクトリに移動し、arielRightClick.properties という名前のファイルを作成します。
- 次の行を追加して、/opt/qradar/conf/arielRightClick.properties ファイルを編集します。
プラグインアクション=ソースIPwebUrlアクション
sourceIPwebUrlAction.arielProperty=ソースIP
sourceIPwebUrlAction.text= Recorded Future検索
ソースIPwebUrlAction.url= https://www.recordedfuture.com/live/sc/entity/ip :$sourceIP$
プラグインアクション=宛先IPwebUrlアクション
destinationIPwebUrlAction.arielProperty=宛先IP
destinationIPwebUrlAction.text= Recorded Future検索
destinationIPwebUrlAction.url= https://www.recordedfuture.com/live/sc/entity/ip :$destinationIP$
- ファイルを保存して閉じます。
- QRadar ユーザー インターフェースにログインします。
- [管理]タブをクリックします。
7. [詳細設定] > [Web サーバーの再起動]を選択します。
Recorded Future Intelligence カードの詳細については、 Click Here 。
注記:
- これらの手順はQRadar v7.2.3に基づいています。
- ユーザーが Recorded Future Lookup の右クリック機能を使用すると、新しいブラウザ ウィンドウが開き、指定された IP アドレスについて知られている利用可能なオープン Web コンテンツの概要が表示されます。Recorded Future エンタープライズ プラットフォームにログインしていないユーザーには、簡略化された情報が表示されます。
情報源:
- Recorded Futureの内部文書
- 右クリックメニューのカスタマイズに関するIBMサポートページ
- イベント列とフロー列の右クリック メニューに関する IBM サポート ページ