Definieren Sie einen Zeitplan für die Integration von IBM QRadar .
Sie können den Zeitplan für die Erfassung von Straftaten definieren. Während dieses Schritts können Sie die Standardeinstellungen für den Abruf des Vergehens überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische Straftaten mithilfe eines Datumsbereichs abrufen.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Sie können wählen, ob Sie während des Schritts „Zeitplanung“ historische Verstöße erfassen möchten. Sie können auch auswählen, wie oft zukünftige neue Vergehen und aktualisierte Vergehen, die der Profilkonfiguration entsprechen, abgefragt werden sollen.
Als Benutzer mit der Rolle „sn_si.admin“ konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung der Integration der IBM QRadar -Offenheitserfassung kann durch die unterschiedlichen Abfrageintervalle beeinträchtigt werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrage-Overheads auf dem IBM QRadar -Server gegen den Wunsch ausgleichen, so schnell wie möglich benachrichtigt zu werden, wenn ein Verstoß erstellt oder aktualisiert wird. Für jedes Profil wird ein Standardwert von fünf Minuten festgelegt. Sie können diese Einstellung jedoch bei Bedarf auf eine Minute ändern.
Neue und aktualisierte Straftaten werden abgerufen
Wenn der Abfragezeitplan festgelegt ist, ruft die regelmäßige Aufgabe sowohl neue als auch aktualisierte Straftaten ab, die zuvor abgerufen wurden, aber die Incident-Filterkriterien nicht erfüllt haben. Dies bietet Ihnen die Flexibilität, Incidents basierend auf Kriterien zu erstellen, die bei der ersten Erstellung eines Vergehens möglicherweise nicht vorhanden sind, aber nach einer Aktualisierung verfügbar werden, z. B. während der Untersuchungsphase. Sobald ein Incident für einen bestimmten Verstoß erstellt wurde, werden seine nachfolgenden Aktualisierungen ignoriert, da erwartet wird, dass der Verstoß jetzt als aktiver ServiceNow Security Incident behandelt wird. Alle anderen Straftaten, die zuvor erfasst wurden, aber die Kriterien für die Incident-Generierung nicht erfüllen, werden weiterhin abgerufen und anhand der Kriterien für die Incident-Generierung überprüft, bis sie Teil eines aktiven Incident werden.
Prozedur
-
Wählen Sie einen aus, um zu planen, wie und wann Vergehen aus der Konsole IBM QRadar abgerufen werden.
Option Beschreibung Feld „Erfassung laufender Verstöße“ ausgewählt Laufende Straftat Basierend auf der Standardeinstellung ruft die Instanz Now Platform ] alle fünf Minuten neue und aktualisierte Straftaten vom Server IBM QRadar ab. Security Incidents werden erstellt, wenn Verstöße gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um den Overhead der Erfassungsabfrage auszugleichen und die aktuellsten Daten zu erhalten, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf bis zu eine Minute geändert werden.
- Laufende Vergehenserfassung ausgewählt
- Legen Sie die anfängliche Erfassungszeit für Vergehen fest
Zeit der ersten Erfassung Wenn Sie die erste Erfassung zu einem bestimmten Zeitpunkt planen möchten, führen Sie die folgenden Schritte aus:- Wählen Sie die Felder Fortlaufende Vergehenserfassung und Anfängliche Vergehenserfassungszeit festlegen aus.
- Geben Sie die Zeit im Feld Anfängliche Erfassungszeit des Verstoßes eingeben an.
Die erste Erfassung erfolgt zu dem hier angegebenen Zeitpunkt. Nachfolgende Erfassungen basieren auf dem Zeitplan, der im Feld Abfrageschritt (Minuten) definiert ist.
Beispiel: Wenn Sie eine tägliche IBM QRadar Sicherheitsprüfung haben, die einmal täglich um 4:00 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Vergehensprofil in Ihrer Now Platform -Instanz so einrichten, dass es um 16:05 Uhr ausgeführt wird Ortszeit, um den Sicherheitsfehler sofort zu erfassen und einen Security Incident zu erstellen.
Geben Sie ein<date> 04 05 00 im Feld Anfängliche Erfassung von Verstößen. Geben Sie im Feld Abfrageschritt (Minuten) ein<date> 1440 (24 Stunden), um die nächste Erfassung von Vergehen für 24 Stunden nach der ersten Erfassung von Vergehen zu planen. Sowohl die anfängliche Vergehenszeit als auch die nächste Vergehenszeit werden in den Feldern angezeigt.
Die erste Erfassung erfolgt um 4:05 Uhr. Die nachfolgenden Erfassungen basieren auf dem Abfrageintervall. In diesem Fall erfolgt die nächste Erfassung am nächsten Tag um 4:05 Uhr, da der Abfrageschritt 24 Stunden beträgt.
Feld „Einmaliger Abruf“ ausgewählt Einmaliger Abruf Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf durchführen möchten, um frühere Verstöße zu erfassen.
Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um Vergehen aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Datumsfeld Seit auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Verstößen beginnen möchten. Beginnend mit dem Datumswert Seit werden Verstöße bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie ab dem aktuellen Datum bis zu sieben Tage zurückziehen können. Diese Funktionalität dient aus Archivgründen nicht dazu, nennenswerte Mengen historischer Straftaten aus IBM QRadar abzurufen, sondern eine minimale Menge von Straftaten während der Ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.
Nachdem die Vergehen abgerufen wurden, werden mit dieser Einstellung ab dem aktuellen Datum keine weiteren Vergehen für dieses Profil abgerufen. Diese Einstellung füllt den Security Incident mit allen Vergehen, die für den von Ihnen eingegebenen Bereich gefunden wurden.