QRadarをVirusTotalと統合する

こんにちは。前回の記事では、 ルールの作成について考察しましたが、今日はSIEM管理者がセキュリティインシデントに迅速に対応できるようにする方法を説明したいと思います。

QRadarで情報セキュリティインシデントを処理する際、SOCでのオペレーターやアナリストの作業速度を向上させることが非常に重要です。組み込みツールの使用により、幅広い可能性が提供されますが、技術は進化しており、新しい製品やプラットフォームが登場しています。
SOCでISスペシャリストの作業を効率化するために、「Right Click Properties」機能の使用をお勧めします。この機能を利用することで、QRadarで調査中のログ内のフィールドについて、より詳細な情報を得るために様々なプラットフォームとの簡単な統合を設定することができます。統合はシンプルなタスクから始めるのが望ましく、以下の例を見て正しく行う方法を理解しましょう。

公的リソースVirusTotalとの統合

なぜこのような統合が必要なのか？これは、ISスペシャリストの作業を自動化し、評判に関する結論を出すための情報を迅速に取得するのに役立ちます。
統合を始める前に、このリソースでチェックする必要があるログのフィールドを決定する必要があります。
重要なことを忘れないでください：統合は一つか二つのフィールドから始め、その後必要なすべてのフィールドを追加してください。また、使用予定のリソースのライセンス部分を覚えておくことも重要であり、契約を違反しないようにしてください。
さあ、始めましょう。
例えば、統合のために次のフィールドを選びました： 送信元IP、ハッシュ、URL。
最初に行うべきことは、これらの変数がQRadar DBで何と呼ばれているかを確認することです。
これを行うには、検索を行い、送信元IP、ハッシュ、URLフィールドを検索列に追加します。
次に、必要な変数が選択されている列にマウスをポイントします。
画面の下部、私たちの場合は左側に、ブラウザのヒントが赤で強調表示されます。ご覧のとおり、変数は sourceIPと呼ばれています。
次に、SSHを介してQRadarサーバーに移動します。以下の場所に進みます： /opt/qradar/conf フォルダー。
必要なファイルは arielRightClick.propertiesです。変更前にファイルのバックアップコピーを作成することをお勧めします。
ファイルを開きます arielRightClick.properties。
行に “pluginActions =” QRadarウェブコンソールのログ内の対応フィールドを右クリックしたときに表示される変数の名前を追加します。
例:* pluginActions = VirusTotal_Source_IP, VirusTotal_Hash, VirusTotal_URL次に、以下を記述します：VirusTotal_Source_IP.arielProperty=sourceIP

VirusTotal_Source_IP.text= VirusTotal Source IP Check

VirusTotal_Source_IP.url= https://www.virustotal.com/#/search/$sourceIP$次に、残りの変数でも同様の操作を繰り返します。
ウェブサーバーを再起動します。 管理 – 高度な設定 – 再起動 ウェブサーバー。
お楽しみください。