Erste Schritte mit der Integration IBM QRadar - Incident Enrichment

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • IBM QRadar ist ein SIEM-Produkt (Enterprise Security Information and Event Management), das sich problemlos in Security Operationsintegrieren lässt. Bevor Sie die Integration IBM QRadar - Incident Enrichment verwenden können, müssen Sie sie von ServiceNow Store herunterladen und die entsprechende API-Basis-URL und den API-Schlüssel hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Laden Sie die -Integration aus dem herunter ServiceNow Store.
    2. Wenn die Installation abgeschlossen ist, rufen Sie in Ihrem Profil IBM QRadar auf IBM QRadar auf, und rufen Sie die API-Basis-URL und den API-Schlüssel ab.
    3. Navigieren Sie in Ihrer -Instanz zu Security Operations > Integrationen > Integrationskonfigurationen.
      Die verfügbaren Sicherheitsintegrationen werden als Reihe von Karten angezeigt.
    4. Klicken Sie auf der Karte IBM QRadar – Incident-Ergänzung auf Neu.
      IBM QRadar – Konfiguration der Incident-Ergänzung
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Basis-URL der QRadar-API Die Basis-URL, die Sie von der Website IBM QRadar erhalten haben.
      Link-URL [Optional] Die Link-URL, die auf eine Instanz IBM QRadar vom Typ verweist, falls verfügbar.
      Version Die Version IBM QRadar ; 5.0 ist der Standardwert.
      API-Schlüssel Der API-Schlüssel, den Sie von der Website IBM QRadar erhalten haben.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie anzeigen möchten, in Tagen.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in die Ergebnisse der Sichtungssuche aufzunehmen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in der Anzahl der Zeilen der Rohdateneigenschaft in den Security Incident Response-Eigenschaftenab.
      MID-Server Wählen Sie Beliebig aus, um einen beliebigen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Server-Namen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden -Workflows aktiviert. Um die Workflows zu verwalten, navigieren Sie zum Workflow-Editor.
    6. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    7. Wenn Sie die neue Konfigurationskarte anzeigen, können Sie auf Konfigurieren oder Löschen klicken, um die Konfiguration zu ändern bzw. zu löschen.
    8. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie Nein in der Dropdown-Liste Konfigurationen anzeigen aus.