Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration der Straftatenerfassung IBM QRadar .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Führen Sie diese Installations- und Konfigurationsschritte aus, bevor Sie die Integration in Ihrer Instanz von Now Platform® ausführen, damit die Anwendung ordnungsgemäß in die Produkte Security Incident Response und Security Operations in Ihrer Instanz von Now Platform integriert wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn Sie die Anwendung IBM QRadar nicht aus dem ServiceNow Store für die Integration installiert haben, lesen Sie Installieren Sie eine Security Operations -Integration, und führen Sie die Schritte zur Installation aus.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen und suchen Sie die Kachel IBM QRadar.
    3. Um die Anwendung zu konfigurieren, klicken Sie auf Neu.
    4. Wenn auf einer Kachel die Schaltfläche Konfigurieren angezeigt wird, klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie im angezeigten Dialogfeld „ Offense Ingestions Configuration “ (Angriffserfassungskonfiguration) die Felder aus.
      FeldBeschreibung
      Name Name der IBM QRadar -Konsole oder der IBM QRadar -Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht.
      Basis-URL der IBM QRadar-API Host-URL für Ihre Instanz IBM QRadar.
      Hinweis:
      Sie müssen hier nur die URL und die Portnummer eingeben. Beispiel: https://ibm-qradar.com:8443. Wenn die Portnummer 443 ist, muss sie nicht explizit eingegeben werden.
      URL des IBM QRadar-Dashboards Die URL für das Dashboard IBM QRadar oder die -Konsole. Diese URL wird verwendet, um die Hyperlinks für Vergehen im Dashboard IBM QRadar automatisch zu erstellen.

      Geben Sie nur die Host-URL ein, z. B. https://qradar.com. Fügen Sie die .jsp-Datei nicht in die URL ein, z. B. ist https://qradar.com/console/qradar/jsp/QRadar.jsp ein ungültiges Format.

      Hinweis:
      Wenn die Dashboard-URL nicht verfügbar ist, geben Sie hier die API-Basis-URL IBM QRadar ein.
      IBM QRadar API-Version Version 10 und höher wird unterstützt.
      IBM QRadar API Authorized Service Token (vor Ort) Das autorisierte Service-Token IBM QRadar wird für die Authentifizierung verwendet. Das autorisierte Service-Token muss über die Administrator -Benutzerrolle und das Administrator -Sicherheitsprofil verfügen.
      Führen Sie die folgenden Schritte aus, um das autorisierte Service-Token zu generieren:
      • Navigieren Sie in der KonsoleIBM QRadar zur Registerkarte „Administrator“, und klicken Sie auf Autorisierte Services.
      • Wenn ein gültiges autorisiertes Service-Token vorhanden ist, überprüfen Sie das Ablaufdatum, und verwenden Sie dieses Token.
      Wenn kein autorisiertes Service-Token verfügbar ist, führen Sie die folgenden Schritte aus:
      • Navigieren Sie in IBM QRadarzur Registerkarte Administrator, und klicken Sie auf Autorisierter Service.
      • Klicken Sie auf Autorisierten Service hinzufügen, und erstellen Sie ein Token mit der Administrator -Benutzerrolle und dem Administrator -Sicherheitsprofil. Stellen Sie sicher, dass Sie ein Ablaufdatum für einen langen Gültigkeitszeitraum angeben.
      IBM QRadar API Authorized Service Token (für QRoC) Wenn Sie IBM QRadar on Cloud (QRoC) verwenden, verwenden Sie die Selfservice-Anwendung, um das autorisierte Service-Token mit der Administrator-Benutzerrolle und dem Administrator-Sicherheitsprofil für die Authentifizierung zu generieren.
      Lokale Bereitstellung Standardmäßig deaktiviert.

      Wenn diese Option aktiviert ist, müssen Sie einen MID-Anwendungsnamen angeben.

      Wenn Sie IBM QRadar in der Cloud (QRoC) verwenden, vergewissern Sie sich, dass das Kontrollkästchen deaktiviert ist.
      MID-Anwendungsname Geben Sie eine MID Server-Anwendung an, die in Ihrer Umgebung eingerichtet ist. Wenn Sie keine MID-Server-Anwendung konfiguriert haben, müssen Sie eine neue MID-Server-Anwendung für diese Integration erstellen.
      Hinweis:
      Die MID Server-Anwendung kann nur von Benutzern mit der Systemadministratorrolle konfiguriert werden.
      Führen Sie die folgenden Schritte aus, um eine neue MID Server-Anwendung zu erstellen:
      • Navigieren zu MID-Server > Anwendungen und klicken Sie auf Neu.
      • Geben Sie einen Namen für die MID Server-Anwendung ein, und wählen Sie einen MID Server aus, der als Standard verwendet werden soll.
      • Deaktivieren Sie das Kontrollkästchen In Anwendung ALLE enthalten, und klicken Sie auf Speichern.
        IBM QRadar: MID-Server konfigurieren
      • Klicken Sie auf Bearbeiten. Wählen Sie auf der Seite „ Mitglieder bearbeiten “ alle verfügbaren MID Server aus, verschieben Sie sie in die MID Server-Liste, und klicken Sie auf Speichern. Je nach Verfügbarkeit wird einer der mit der MID Server-Anwendung konfigurierten MID Server verwendet.
    6. Geben Sie die Konfigurationsdetails ein, und geben Sie die von Ihnen erstellte MID Server-Anwendung an.

      IBM QRadar: Konfigurationskachel

      Die Quelle, die Sie im Formular „IBM QRadar – Konfiguration der Straftatenerfassung“ konfigurieren, kann für mehrere Now Platform Profile wiederverwendet werden, solange jedes Profil Straftaten erfasst.

    7. Klicken Sie auf Absenden.
      Nach erfolgreicher Validierung und Übermittlung wird jede Serverkonfiguration IBM QRadar auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite „Sicherheitsintegrationen“ angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Auswahlliste Konfigurationen anzeigen auf Ja.
      Hinweis:
      Wenn Probleme mit der Domänensegmentierungsfunktion IBM QRadar auftreten, wenden Sie sich an den Kundensupport von IBM QRadar.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, das Profil zu erstellen.