Arbeitsnotiz

Es wird eine Arbeitsnotiz mit Details zu dem Vergehen veröffentlicht, das den Security Incident ausgelöst hat.

Klicken Sie auf den Link für den Vergehen, um zum Datensatz des internen Security Incident zu navigieren. Über den Hyperlink Hier klicken gelangen Sie zum Dashboard IBM QRadar, in dem Sie die Vergehensdetails anzeigen können.

Wenn Sie die Option Arbeitsnotiz für neuen Vergehen protokollieren in den Kriterien für die Zusammenfassung von Vergehen ausgewählt hatten, wie in IBM QRadar -Vergehensfelder werden Security Incident-Antwortfeldern zugeordnetbeschrieben, wird bei der Zusammenfassung des Vergehen eine Arbeitsnotiz veröffentlicht.

Aggregierte Vergehen

Klicken Zugehörige Listen > Aggregierte IBM QRadar-Vergehen um die für den Security Incident aggregierten Vergehen anzuzeigen. Klicken Sie auf den Hyperlink für QRadar-Vergehen, um den Vergehen im Dashboard IBM QRadar anzuzeigen.

Security Incident erstellen: Wählen Sie einen Vergehen aus der Liste aus, klicken Sie auf das Menü Aktionen, und klicken Sie auf Security Incident erstellen. Durch diese Option wird ein Security Incident für den Vergehen erstellt, und für diesen Vergehen wird die Zusammenfassung des übergeordneten Security Incident aufgehoben.

Vergehendatensatz löschen: Wählen Sie einen Vergehen aus der Liste aus, klicken Sie auf das Menü Aktionen, und klicken Sie auf Löschen. Mit dieser Option wird der Vergehensdatensatz gelöscht.

IBM QRadar-Vergehensaktualisierungen

Dies zeigt die Standard- und anwenderdefinierten Vergehen-Felder und verfolgt Änderungen am Vergehen während jedes Abfrageintervalls. Dies ist hilfreich, da Sie alle Vergehensaktualisierungen direkt anzeigen können, ohne zum Dashboard IBM QRadar navigieren zu müssen. Alle Änderungen an den Werten werden in den Feldern Vorheriger Wert und Aktueller Wert angezeigt.

Um die Funktion zur Aktualisierung von Vergehen zu aktivieren, navigieren Sie zu Integration mit IBM QRadar > IBM QRadar-Integrationseinstellungen und aktivieren Sie Diese Eigenschaft festlegen, um die Funktion zur Aktualisierung von Vergehen zu aktivieren. Standardmäßig ist diese Einstellung deaktiviert.

Letzte IBM QRadar-Ereignisse

Klicken Sie unter „ Zugehörige Links “ auf die Option Aktuelle IBM QRadar-Ereignisse abrufen, um die neuesten IBM QRadar -Ereignisse anzuzeigen.

Standardmäßig werden maximal 100 Ereignisse angezeigt. Sie können diese Standardeinstellung unter IBM QRadar Konfigurationseinstellungen für die Integrationändern.

Hinweis:

Die obige Abbildung zeigt die Standardereignisfelder, die dem Vergehen zugeordnet sind. Wenn Sie anwenderdefinierte Ereignisfelder konfiguriert und zugeordnet haben (siehe IBM QRadar -Vergehensfelder werden Security Incident-Antwortfeldern zugeordnet), können Sie sie in der Listenansicht anzeigen, indem Sie auf den Link Ereignisname klicken.

Aktuelle IBM QRadar-Flows

Bei Verwendung von Integration Hub und Flow Designer sind mit der Integration IBM QRadar mehrere Flows, Subflows und Aktionen verfügbar. Wenn Sie unter den zugehörigen Links auf die Option Aktuelle IBM QRadar-Flows abrufen klicken, werden die neuesten Flows abgerufen. Um diese Flows anzuzeigen, klicken Sie auf Recent IBM QRadar Flows(Aktuelle IBM QRadar-Flows).