IBM QRadar -Vergehensfelder werden Security Incident-Antwortfeldern zugeordnet

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Ordnen Sie einzelne Vergehen-, Ereignis- und Flow-Felder Feldern in einem Security Incident Now Platform SIR zu.

    Feldzuordnung für Vergehen

    Als Benutzer mit der Rolle sn_si.admin verwenden Sie die Felder aus dem Abschnitt Beispielvergehen auf der linken Seite, und ordnen Sie sie den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ zu. Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Vergehen-, Ereignis- oder Flow-Felder aus der linken Seite in den Abschnitt ServiceNow SIR Incident-Zuordnung auf der rechten Seite ziehen. Die Zuordnung auf der rechten Seite ordnet das Feld für eingehende Vergehen einem Feld für ausgehende Security Incidents zu.

    1. Nachdem Sie die Beispieldaten abgerufen haben, besteht der nächste Schritt darin, die Felder für Vergehen, Ereignisse oder Flow dem Security Incident zuzuordnen. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf einen blauen Feldnamen auf der linken Seite des Formulars.
    2. Ziehen Sie den Feldnamen, z. B. Beschreibung, und legen Sie ihn auf ein Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“.
      Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird die Beschreibung dem Feld Beschreibung im Security Incident zugeordnet.
      IBM QRadar: Profil erstellen: Zuordnung: SIR1
      Hinweis:
      Wenn Sie den Namen des Ereignis- oder Flow-Felds manuell im Abschnitt „Eingabeausdruck“ eingeben, müssen Sie vor dem Namen des zuzuordnenden Felds ein Präfix als ${Event:eventfield}$ oder ${Flow:flowfield}$ hinzufügen.

      IBM QRadar: Profil erstellen: Zuordnung: SIR2

      Um sicherzustellen, dass im Zuordnungsprozess keine Vergehen-, Ereignis- oder Flow-Felder übersehen oder dupliziert werden, sind Felder farbcodiert. Die Farbcodierung der Vergehen-Felder hilft Ihnen, die bereits zugeordneten Vergehen-Werte nachzuverfolgen, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Auf diese Weise können Sie besser visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob wichtige Vergehensinformationen verbleiben.

      Hellblaue Felder auf der linken Seite zeigen an, dass das Feld für Vergehen noch nicht ausgewählt und dem Security Incident zugeordnet wurde. Unter Umständen möchten Sie ein eingehendes Vergehen-, Ereignis- oder Flow-Feld mehreren Feldern in einem Security Incident zuordnen. Ein graus Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.

    3. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen:
      1. Klicken Sie rechts im Formular im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Pluszeichen (+). Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte „Security Incident“ die angezeigte Auswahlliste, und wählen Sie ein Feld aus.
        In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung ist die Kategorie grau hinterlegt, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Vergehensfelder auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Felder für Security Incidents auf der rechten Seite beim Nachverfolgen der bereits zugeordneten SIR-Incident-Felder.
        IBM QRadar: Profil erstellen: Zuordnung: SIR3
        Hinweis:
        Da für denselben Security Incident mehrere erkennbare Elemente angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der mehrere Optionen ausgewählt werden können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident ebenfalls nicht ausgefüllt.
      3. Geben Sie alternativ einen Wert in das Feld Suchen für die neue Zeile ein.
      4. Wählen Sie auf der linken Seite des Formulars das Feld für den Vergehen aus, und ziehen Sie es per Drag-and-Drop in ein geeignetes Feld für Security Incidents auf der rechten Seite.
    4. Entfernen Sie Felder, indem Sie das Symbol – neben dem Feldnamen im Abschnitt „SIR-Incident-Feldzuordnung“ verwenden.
    5. Setzen Sie die Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder entfernen.

    Vergehensfelder mit mehreren Werten

    • Security Incident-Felder wie Kategorie und Anwender (z. B. Betroffener Anwender, Zugewiesen an), die mit dem Basisprodukt verfügbar sind, unterstützen nicht mehrere Werte.
    • Die folgenden IBM QRadar -Felder unterstützen mehrere Werte:
      • Kategorien
      • target_networks
      • source_address_ids
      • local_destination_address_ids
      • remote_destination_ips
      • rule_contributing_to_offense
      • Benutzer

      Wenn Sie die obigen Felder anderen Security Incident Response -Feldern als CI-Feldern und Feldern des Typs „Erkennbares Element“ zuordnen müssen, müssen Sie neue Security Incident Response -Felder vom Typ „ Liste“ erstellen und für die Zuordnung verwenden.

      Hinweis:
      Standardmäßig werden nur Nicht-Referenzfelder vom Typ Liste unterstützt.

    Formatfeldübersetzung

    In bestimmten Fällen werden Feldwerte für Vergehen in IBM QRadar möglicherweise nicht direkt in die Felder im SIR-Security Incident übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie ähnliche, aber nicht identische Werte formatieren möchten. Beispielsweise können mit dem Skript-Editor die Kategoriewerte „Malware-Warnung“ und „Virusinfizierung“ unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können mithilfe des Formats in eine gemeinsame böswillige Code-Aktivität im Feld „Kategorie“ des SIR-Security Incident übersetzt werden Feldübersetzungsfunktion.

    Um den Skript-Editor zu verwenden, klicken Sie auf das Skriptsymbol IBM QRadar: Profil erstellen:. Der Skript-Editor wird angezeigt.
    IBM QRadar: Profil erstellen: Skript-Editor

    Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um die Änderungen zu speichern und zur Zuordnungsseite zurückzukehren.

    Bedingungen für Incident-Generierung

    Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, um festzulegen, welche Vergehen Security Incidents erstellen und welche Vergehen herausgefiltert werden sollen, z. B. Vergehen mit niedriger Priorität. Dieselben Feldwerte können Sie im Builder für Bedingungen für Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehender Vergehen erfüllen muss, um einen Security Incident zu erstellen. Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
    1. Scrollen Sie im Formular zum Abschnitt „Bedingungen für Incident-Generierung“, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.

      Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

      Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen stimmen mit den Feldern überein, die im Abschnitt „Beispiel für QRadar-Vergehen – Erfassung“ für die von Ihnen erfassten Vergehen angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach den von Ihnen erfassten Vergehen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten des Vergehens IBM QRadar übereinstimmen. Wenn Sie sich bei den Werten, die Sie in die Filterfelder eingeben sollen, nicht sicher sind, kehren Sie möglicherweise zu Ihrer IBM QRadar -Konsole zurück und überprüfen Ihre Vergehen auf die Schlüsselwörter.

      Hinweis:
      Die Felder „category“, „ destination_networks“, „ source_address_ids“, „ local_destination_address_ids“, „remote_destination_ips“, „ rules_contributing_to_offense“und „users Offense“ (Anwendervergehen) können mehrere Werte enthalten (da die Werte in Arrays gespeichert werden). Da die Filterbedingung nur Zeichenfolgen abrufen kann, müssen Sie für diese Felder die Filterbedingung „ Enthält “ verwenden, um sicherzustellen, dass die Daten ordnungsgemäß gefiltert werden.
    2. Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
    3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf AND oder OR.
      • Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.
    4. (Optional) Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

      Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.


      IBM QRadar: Profil erstellen: Zuordnung: SIR5

      Sie haben die Bedingungen für die Incident-Generierung so festgelegt, dass Security Incidents nur erstellt werden, wenn die beiden von Ihnen eingegebenen Filterbedingungen erfüllt sind.

      Diese Art der Filterung von Bedingungen für die Incident-Generierung hilft Ihnen, die Vergehen einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Regel oder Filter in IBM QRadarzu ändern. Wenn zusätzliche Filterkriterien festgelegt sind, werden nur Vergehen, die allen Kriterien entsprechen, Incidents zugeordnet.

      Hinweis:
      Wenn einer der Vergehensfeldnamen Sonderzeichen wie Anführungszeichen (“), Bindestriche ('), Unterstriche (-) oder zeichenhafte Und-Zeichen (@) enthält, müssen diese Zeichen möglicherweise zu Filterzwecken ersetzt werden, es wird jedoch ein numerisches Suffix angehängt Differenzieren Sie Felder mit doppelten Vergehensnamen. Beispiel: Wenn das erste Vergehenfeld alerts.alert und das zweite Vergehenfeld alerts@alertsist, können diese Felder nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem Feld für den zweiten Vergehen ein Suffix hinzugefügt, und das Feld wird bei Anzeige in der Liste Filterbedingungen in alerts@alert(1) umbenannt.

    Zusammenfassungskriterien für Vergehen, um ähnliche Vergehen zu behandeln und doppelte Incidents zu verhindern

    Definieren Sie zusätzliche Kriterien für die Zusammenfassung von Vergehen, die einen eingehenden Vergehen zu einem vorhandenen SIR-Security Incident zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Durch die Verwendung von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Daten zu Vergehen in einem einzigen Security Incident zusammengefasst werden. Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:
    1. Scrollen Sie im Formular zum Abschnitt „Kriterien für die Strafzusammenfassung“, und aktivieren Sie das Kontrollkästchen „Zusammenfassungsbedingungen“, um diese Option zu aktivieren.

      Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die im Security Incident SIR konfiguriert sind.

    2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die mit vorhandenen Security Incidents in Now Platform abgeglichen werden sollen, und verschieben Sie sie in die Liste Ausgewählt.

      Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, damit diese eingehende Warnung an einen vorhandenen Security Incident angehängt wird. Dies umfasst Felder wie erkennbare Elemente und Konfigurationselemente, denen mehrere Vergehen-Feldwerte zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Bedingungen für die Zusammenfassung von Vergehen nicht erfüllt, und es wird ein neuer Security Incident erstellt. Screenshot unten für Feldzuordnung mit mehreren Werten.


      IBM QRadar: Profil erstellen: Zuordnung: Zusammenfassung

      Wenn ein neuer Vergehen allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird der neue Vergehen automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, der mit Security Incidents arbeiten, können Sie alle hinzugefügten aggregierten Vergehen in einer zugehörigen Liste zu einem Security Incident anzeigen. Diese Liste enthält Details zu zugehörigen Zeitstempeln und aggregierten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese Vergehen mit vorhandenen Security Incidents aggregiert werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter „Zugehörige Links“ zur linken Seite des Datensatzes, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.

    3. (Optional) Um eine Arbeitsnotiz für einen neuen Vergehen zu protokollieren, der kürzlich dem Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren. Die Arbeitsnotiz protokolliert, dass ein neuer Vergehen hinzugefügt wurde, zusammen mit einem Link zu den Vergehensdetails und allen anderen Details, die möglicherweise dem Arbeitsnotizfeld in Ihrem Zuordnungsabschnitt hinzugefügt wurden.

      Sie haben erfolgreich Werte aus einem Vergehen IBM QRadar Feldern in einem Security Incident zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben Vergehen auch an vorhandene Security Incidents angehängt, wenn Feldwerte für Vergehen den konfigurierten Zusammenfassungskriterien entsprechen.

    4. Klicken Sie auf „Fortsetzen “, um mit der Profilkonfiguration fortzufahren. Der nächste Schritt besteht in der Vorschau der Felder, die Sie im Security Incident SIR zugeordnet haben