Formulário do Security Incident Response após ingestão de infração

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Depois que uma infração IBM QRadar é ingerida, um incidente de segurança é criado e as atualizações correspondentes são feitas no registro do incidente de segurança.

    Anotações de trabalho

    Uma anotação de trabalho é publicada com detalhes da infração que acionou o incidente de segurança.
    IBM QRadar: SIR: anotação de trabalho

    Clique no link da infração para navegar até o registro do incidente de segurança interna. O hiperlink Clique aqui leva você para o painel IBM QRadar, onde você pode exibir os detalhes da infração.

    Se você selecionou a opção Registrar anotação de trabalho para nova infração nos Critérios de agregação de infração conforme descrito em Mapeamento de campos de infração IBM QRadar para campos de resposta a incidentes de segurança, uma anotação de trabalho será publicada quando a infração for agregada.


    IBM QRadar: registro de infração interna

    Infrações agregadas

    Clicar Listas relacionadas > Infrações agregadas do IBM QRadar para exibir as infrações agregadas ao incidente de segurança. Clique no hiperlink de infração do QRadar para exibir a infração no painel IBM QRadar.
    Infrações agregadas do IBM QRadar

    Criar incidente de segurança: selecione uma infração na lista, clique no menu Ações e clique em Criar incidente de segurança. Esta opção cria um incidente de segurança para a infração e esta infração é desagregada do incidente de segurança primário.

    Excluir registro de infração: selecione uma infração na lista, clique no menu Ações e clique em Excluir. Esta opção exclui o registro de infração.
    Infrações agregadas do IBM QRadar: criar e excluir

    Atualizações de infração do IBM QRadar

    Mostra os campos de infração padrão e personalizados e rastreia as mudanças na infração durante cada intervalo de pesquisa. Isso é útil, pois você pode exibir todas as atualizações de infração diretamente sem navegar até o painel IBM QRadar. Todas as mudanças nos valores são exibidas nos campos Valor anterior e Valor atual.

    Para habilitar o recurso de atualizações de infração, navegue até Integração do IBM QRadar > Configurações de integração do IBM QRadar e habilite Defina esta propriedade para ativar o recurso Atualizações de infração. Por padrão, essa configuração está desabilitada.


    Atualizações de infração do IBM QRadar

    Eventos recentes do IBM QRadar

    Clique na opção Buscar eventos recentes do IBM QRadar em Links relacionados para exibir os eventos IBM QRadar mais recentes.
    IBM QRadar: eventos recentes
    Por padrão, um número máximo de 100 eventos é exibido. Você pode modificar esta configuração padrão no IBM QRadar definições de configuração de integração.
    Nota:
    A imagem acima mostra os campos de evento padrão associados à infração. Se você configurou e mapeou campos de evento personalizados (consulte Mapeamento de campos de infração IBM QRadar para campos de resposta a incidentes de segurança), poderá exibi-los na Exibição de lista clicando no link Nome do evento.

    IBM QRadar: eventos recentes do IBM QRadar: exibição de lista

    Fluxos recentes do IBM QRadar

    Usando o Integration Hub e o Flow Designer, vários fluxos, subfluxos e ações estão disponíveis com a integração IBM QRadar. Quando você clica na opção Buscar fluxos recentes do IBM QRadar em Links relacionados, os fluxos mais recentes são recuperados. Para exibir esses fluxos, clique em Fluxos recentes do IBM QRadar.
    IBM QRadar: fluxos recentes
    Por padrão, um número máximo de 100 fluxos é exibido. Você pode modificar esta configuração padrão no IBM QRadar definições de configuração de integração.
    Nota:
    A imagem acima mostra os campos de fluxo padrão associados à infração. Se você configurou e mapeou campos de fluxo personalizados (consulte Mapeamento de campos de infração IBM QRadar para campos de resposta a incidentes de segurança), poderá exibi-los na Exibição de lista clicando no link do ID de fluxo.