Definieren Sie einen Zeitplan für die Integration IBM QRadar .
Sie können den Zeitplan für die Erfassung des Vergehens definieren. Während dieses Schritts können Sie die Standardeinstellungen für den Abruf des Vergehens überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische Vergehen anhand eines Datumsbereichs abrufen.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Sie können auswählen, ob Sie historische Vergehen während des Schritts „Zeitplanung“ erfassen möchten. Sie können auch auswählen, wie häufig Sie Abfragen für zukünftige neue und aktualisierte Vergehen durchführen, die der Profilkonfiguration entsprechen.
Als Benutzer mit der Rolle sn_si.admin konfigurieren Sie diese Abfrageintervalle für einzelne Profile. Die Leistung der IBM QRadar -Integration zur Erfassung von Straftaten kann durch die unterschiedlichen Abfrageintervalle beeinträchtigt werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands auf dem Server IBM QRadar mit dem Wunsch in Einklang bringen, so bald wie möglich benachrichtigt zu werden, wenn ein Vergehen erstellt oder aktualisiert wird. Für jedes Profil ist ein Standardwert von fünf Minuten festgelegt. Bei Bedarf können Sie diese Einstellung jedoch auch auf einen Wert von nur einer Minute ändern.
Abrufen neuer und aktualisierter Vergehen
Wenn der Abfragezeitplan festgelegt ist, ruft die geplante Aufgabe sowohl neue als auch aktualisierte Vergehen ab, die zuvor abgerufen wurden, aber die Filterkriterien für Incidents nicht erfüllt haben. Dies gibt Ihnen die Flexibilität, Incidents basierend auf Kriterien zu erstellen, die bei der ersten Erstellung eines Vergehen möglicherweise nicht vorhanden sind, aber nach einer Aktualisierung verfügbar werden, z. B. während der Untersuchungsphase. Nachdem ein Incident für einen bestimmten Vergehen erstellt wurde, werden nachfolgende Updates ignoriert, da zu erwarten ist, dass der Vergehen jetzt als aktiver ServiceNow Security Incident behandelt wird. Alle anderen Vergehen, die zuvor erfasst wurden, aber die Kriterien für die Incident-Generierung nicht erfüllen, werden weiterhin abgerufen und anhand der Kriterien für die Incident-Generierung überprüft, bis sie Teil eines aktiven Incidents werden.
Prozedur
-
Wählen Sie eine aus, um zu planen, wie und wann Vergehen aus der Konsole IBM QRadar abgerufen werden.
Option Beschreibung Feld „Laufende Vergehenserfassung“ ausgewählt Fortlaufender Vergehen Basierend auf der Standardeinstellung ruft die Instanz Now Platform ] alle fünf Minuten neue und aktualisierte Vergehen vom Server IBM QRadar ab. Security Incidents werden erstellt, wenn Vergehen gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind. Um den Overhead-Wunsch für die Erfassungsabfrage nach dem Abrufen der neuesten Daten auszugleichen, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf bis zu eine Minute geändert werden.
- Fortlaufende Erfassung von Vergehen ausgewählt
- Legen Sie die anfängliche Zeit der Vergehenserfassung fest
Zeitpunkt der ersten Erfassung Wenn Sie die erste Erfassung zu einem bestimmten Zeitpunkt planen möchten, gehen Sie wie folgt vor:- Wählen Sie die Felder Fortlaufende Erfassung von Vergehen und Anfängliche Erfassungszeit für Vergehen festlegen aus.
- Geben Sie die Zeit im Feld Zeit für Erfassung des ersten Vergehens der Eingabe an.
Die erste Erfassung erfolgt zu dem hier angegebenen Zeitpunkt. Nachfolgende Erfassungen basieren auf dem Zeitplan, der im Feld „Abfrageschritt (Minuten)“ definiert ist.
Als Beispiel für die Planung einer ersten Vergehenserfassungszeit: Wenn Sie eine tägliche Sicherheitsprüfung IBM QRadar haben, die einmal täglich um 4:00 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Vergehensprofil in Ihrer Instanz Now Platform um 16:05 Uhr einrichten AM-Ortszeit, um den Sicherheitsfehler sofort zu erfassen und einen Security Incident zu erstellen.
Geben Sie ein<date> 04 05 00 im Feld Anfängliche Erfassung des Vergehens. Geben Sie im Feld Abfrageschritt (Minuten) ein<date> 1440 (24 Stunden), um die Erfassung des nächsten Vergehens für 24 Stunden ab der ersten Erfassung des Vergehens zu planen Sowohl die Zeit der ersten Vergehenserfassung als auch die Zeit der nächsten Vergehenserfassung werden in den Feldern angezeigt.
Die erste Erfassung erfolgt um 4:05 Uhr. Die nachfolgenden Erfassungen basieren auf dem Abfrageintervall. Da der Abfrageschritt in diesem Fall 24 Stunden beträgt, findet die nächste Erfassung am nächsten Tag um 4:05 Uhr statt.
Feld „Einmaliger Abruf“ ausgewählt Einmaliger Abruf Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf wünschen, um historische Vergehen zu erfassen.
Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um Vergehen aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld Seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Vergehen beginnen möchten. Beginnend mit dem Datumswert „Seit“ werden Vergehen bis zum aktuellen Datum abgerufen. Beachten Sie, dass der Pull rückwirkend ab dem aktuellen Datum bis zu sieben Tage möglich ist. Diese Funktion ist nicht dazu gedacht, signifikante Mengen von historischen Vergehen von IBM QRadar zu Archivierungszwecken abzurufen, sondern eine minimale Menge von Vergehen während der Ausführung, an denen zum Zeitpunkt der Profilaktivierung aktiv gearbeitet wird.
Nachdem die Vergehen abgerufen wurden, werden mit dieser Einstellung ab dem aktuellen Datum keine weiteren Vergehen für dieses Profil abgerufen. Mit dieser Einstellung wird der Security Incident mit allen Vergehen gefüllt, die für den von Ihnen eingegebenen Bereich gefunden wurden.