Verwendung von Flow Designer und Integration Hub mit IBM QRadar-Integration der Straftatenerfassung
Mit der Funktionalität von Flow Designer und Integration Hub wurden mehrere Subflows und Aktionen als Teil der Integration der IBM QRadar -Angriffserfassung erstellt.
Die folgenden IBM QRadar Subflows sind verfügbar:
- Validierung von Verbindungen und Anmeldeinformationen: Wird in der Konfigurationskachel zur Validierung des Hosts und der Anmeldeinformationen beim ersten Setup verwendet.
- IBM QRadar-Regelabruf: Dies wird im Abschnitt „Regeln“ des Profil-Setups verwendet, um alle aktiven Regeln in IBM QRadarabzurufen. Dieser Subflow wird asynchron ausgelöst.
- Beispieldaten zu Straftaten aus IBM QRadar abrufen: Wird im Abschnitt „Zuordnung“ des Profil-Setups verwendet, um Beispieldaten abzurufen. Dieser Subflow wird asynchron ausgelöst.
- IBM QRadar-Angriffsstatusaktualisierungen: Wird jede Minute durch eine geplante Aufgabe ausgelöst und aktualisiert den Vergehen in IBM QRadar, wenn der Security Incident erstellt oder geschlossen wird.
- Profile ausgeplanter Aufgabe und Verstößen in der Warteschlange verarbeiten: Wird jede Minute durch eine geplante Aufgabe ausgelöst, um Verstöße pro Profil basierend auf dem Abfrageintervall abzurufen. Dadurch werden Verstöße abgerufen und zur weiteren Verarbeitung in die Abfragetabelle eingereiht.
- Abfragewarteschlange verarbeiten und in Batches abfragen: Wird alle 30 Sekunden durch eine geplante Aufgabe ausgelöst, um die Abfragetabellenwarteschlange zu verarbeiten.
- Aktuelle IBM QRadar-Flows abrufen: Wird über den Link des Security Incident-Formulars ausgelöst, um die neuesten Flows des Vergehens abzurufen.
- Letzte IBM QRadar-Ereignisse abrufen: Wird über den Link des Security Incident-Formulars ausgelöst, um die neuesten Verstoßereignisse abzurufen.
Um diese Subflows anzuzeigen, melden Sie sich als Benutzer mit der Rolle sn_si.admin an, und navigieren Sie zu . Klicken Sie auf den Link Name eines der oben aufgeführten Subflows, um den Subflow im Detail anzuzeigen.