Installieren und konfigurieren Sie die Anwendung ServiceNow für die Integration der Vergehenserfassung von IBM QRadar .

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Bevor Sie die -Integration in Ihrer Instanz Now Platform® ausführen, führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in die -Produkte Security Incident Response und Security Operations in Ihrer Instanz Now Platform integriert werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn Sie die Anwendung ServiceNow StoreIBM QRadar für die Integration nicht aus [] installiert haben, rufen Sie auf und befolgen Sie die Schritte zur Installation.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen und suchen Sie die Kachel IBM QRadar.
    3. Klicken Sie zum Konfigurieren der Anwendung auf Neu.
    4. Alternativ: Wenn auf einer Kachel die Schaltfläche Konfigurieren angezeigt wird, können Sie darauf klicken, um eine vorhandene Konfiguration zu bearbeiten.
    5. Füllen Sie im angezeigten Dialogfeld „ Konfiguration der Angriffserfassungen“ die Felder aus.
      FeldBeschreibung
      Name Name der IBM QRadar -Konsole oder der IBM QRadar -Instanz, die für die Integration verwendet wird.

      Leerzeichen werden für Namen unterstützt, Klammern jedoch nicht.
      Basis-URL der IBM QRadar-API Host-URL für Ihre Instanz IBM QRadar.
      Hinweis:
      Sie müssen hier nur die URL und die Portnummer eingeben. Beispiel: https://ibm-qradar.com:8443. Wenn die Portnummer 443 ist, muss sie nicht explizit eingegeben werden.
      URL des IBM QRadar-Dashboards Die URL für das Dashboard IBM QRadar oder die -Konsole. Diese URL wird verwendet, um die Hyperlinks für Vergehen im Dashboard IBM QRadar automatisch zu erstellen.

      Geben Sie nur die Host-URL ein, z. B. https://qradar.com. Fügen Sie die .jsp-Datei nicht in die URL ein. Beispiel: https://qradar.com/console/qradar/jsp/QRadar.jsp ist ein ungültiges Format.

      Hinweis:
      Wenn die Dashboard-URL nicht verfügbar ist, geben Sie hier die Basis-URL der API IBM QRadar ein.
      IBM QRadar API-Version Version 10 und höher wird unterstützt.
      IBM QRadar API Authorized Service Token (lokal) Das autorisierte Servicetoken IBM QRadar wird für die Authentifizierung verwendet. Das autorisierte Service-Token muss die Anwenderrolle „ Administrator“ und das Sicherheitsprofil „Administrator“ aufweisen.
      Gehen Sie wie folgt vor, um das Token für den autorisierten Service zu generieren:
      • Navigieren Sie in der KonsoleIBM QRadar zur Registerkarte Administrator, und klicken Sie auf Autorisierte Services.
      • Wenn ein gültiges autorisiertes Service-Token vorhanden ist, überprüfen Sie das Ablaufdatum, und verwenden Sie dieses Token.
      Wenn kein autorisiertes Service-Token verfügbar ist, führen Sie die folgenden Schritte aus:
      • Navigieren Sie in IBM QRadarzur Registerkarte Administrator, und klicken Sie auf Autorisierter Service.
      • Klicken Sie auf Add Authorized Service (Autorisierten Service hinzufügen), und erstellen Sie ein Token mit der Anwenderrolle Administrator und dem Sicherheitsprofil Administrator. Achten Sie darauf, ein Ablaufdatum für einen langen Gültigkeitszeitraum anzugeben.
      IBM QRadar API Authorized Service Token (für QRoC) Wenn Sie IBM QRadar on Cloud (QRoC) verwenden, verwenden Sie die Selfservice-Anwendung, um das autorisierte Servicetoken mit der Administratorrolle und dem Administratorsicherheitsprofil für die Authentifizierung zu generieren.
      Lokale Bereitstellung Standardmäßig ist deaktiviert.

      Wenn diese Option aktiviert ist, müssen Sie einen MID-Anwendungsnamen angeben.

      Wenn Sie IBM QRadar in der Cloud (QRoC) verwenden, vergewissern Sie sich, dass das Kontrollkästchen deaktiviert ist.
      MID-Anwendungsname Geben Sie eine MID-Server-Anwendung an, die in Ihrer Umgebung eingerichtet ist. Wenn keine MID-Server-Anwendung konfiguriert ist,müssen Sie eine neue MID-Server-Anwendung für diese Integration erstellen.
      Hinweis:
      Die MID-Server-Anwendung kann nur von Benutzern mit der Rolle „Systemadministrator“ konfiguriert werden.
      Um eine neue MID-Server-Anwendung zu erstellen, gehen Sie wie folgt vor:
      • Navigieren zu MID-Server > Anwendungen und klicken Sie auf Neu.
      • Geben Sie einen Namen für die MID-Server-Anwendung ein, und wählen Sie einen MID-Server aus, der als Standard verwendet werden soll.
      • Deaktivieren Sie das Kontrollkästchen In Anwendung ALLE enthalten, und klicken Sie auf Speichern.
        IBM QRadar: MID-Server konfigurieren
      • Klicken Sie auf Bearbeiten. Wählen Sie auf der Seite „ Mitglieder bearbeiten “ alle verfügbaren MID-Server aus, verschieben Sie sie in die Liste der MID-Server, und klicken Sie auf Speichern. Je nach Verfügbarkeit wird einer der mit der MID Server-Anwendung konfigurierten MID Server verwendet.
    6. Geben Sie die Konfigurationsdetails ein, und geben Sie die von Ihnen erstellte MID-Server-Anwendung an.

      IBM QRadar: Konfigurationskachel

      Die Quelle, die Sie im Formular „IBM QRadar Offense Ingestion Configuration“ konfigurieren, kann für mehrere Now Platform Profile wiederverwendet werden, solange jedes Profil Vergehen erfasst.

    7. Klicken Sie auf Absenden.
      Nach erfolgreicher Validierung und Übermittlung wird jede IBM QRadar -Serverkonfiguration auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln nicht auf der Seite mit den Sicherheitsintegrationen angezeigt werden, klicken Sie in der oberen rechten Ecke der Seite in der Auswahlliste Konfigurationen anzeigen auf Ja.
      Hinweis:
      Wenn Probleme mit der Domänensegmentierungsfunktion IBM QRadar auftreten, wenden Sie sich an den Kundensupport von IBM QRadar.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Im nächsten Schritt wird das Profil erstellt.