Automatiser les mises à jour et les fermetures d’infractions en fonction du statut de l’incident SIR
L’intégration IBM QRadar dispose d’une interface bidirectionnelle qui permet aux deux infractions de créer des incidents de sécurité, ainsi que de mettre à jour les infractions une fois l’incident de sécurité créé et/ou fermé avec les détails pertinents de l’incident tels que le numéro d’incident de sécurité, le groupe d’affectation, l’URL de l’incident de sécurité, et ainsi de suite.
Avant de commencer
Procédure
-
Suivez les instructions ci-dessous pour terminer la configuration de la mise à jour des infractions lors de la création de l’incident de sécurité.
Option ou champ Description Mettre à jour les infractions lors de la création de l'incident SIR Sélectionnez cette option si vous souhaitez mettre à jour le statut de l’infraction et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’infraction. Cela peut se produire à la fois pour les infractions déclencheurs initiales qui créent l’incident de sécurité et pour les infractions agrégées. Mise à jour de statut de l'infraction initiale Vous pouvez sélectionner : - Ouvert : le statut de l’infraction est défini sur Ouvert et un commentaire est ajouté indiquant qu’un incident de sécurité a été créé pour l’infraction.
- Masqué : le statut de l’infraction est défini sur Masqué et cette infraction est masquée dans le tableau de IBM QRadar bord.
Commentaires initiaux renvoyés à l'infraction En fonction de l’étape que vous avez sélectionnée, les commentaires initiaux tels que définis dans la IBM QRadar console sont affichés ici. Extraire les infractions fermées Sélectionnez cette option si vous souhaitez que l’intégration extrait les infractions fermées à partir de IBM QRadar. Ces infractions seront évaluées pour la création d’incidents de sécurité, la corrélation et la visibilité historique dans ServiceNow®.
Par défaut, les infractions fermées sont ignorées et les infractions ouvertes sont récupérées lors de l’interrogation IBM QRadar .
Clôturer les infractions lors de la fermeture de l’incident SIR Sélectionnez cette option si vous souhaitez utiliser l’option de fermeture automatisée des infractions. Lorsque l’incident de sécurité est fermé ServiceNow avec un code de fermeture pertinent, l’état de l’infraction est mis à jour dans IBM QRadarFermé avec commentaires de fermeture. Remarque :Le code de fermeture spécifié pour l’incident de sécurité doit correspondre au motif de fermeture spécifié dans le tableau de IBM QRadar bord. L’infraction n’est IBM QRadar fermée que si un motif de fermeture correspondant est trouvé. Si aucun motif correspondant n’est trouvé, l’infraction est fermée avec un code de fermeture par défaut.Commentaires de fermeture renvoyés à l’attaque Les commentaires de fermeture tels que définis dans le tableau de IBM QRadar bord sont affichés ici. Motif de fermeture par défaut lors de la fermeture d'un incident de sécurité Motif par défaut à utiliser lorsqu’un incident de sécurité est fermé, Lorsqu’un incident de sécurité est fermé, un code de fermeture (ou le motif de fermeture) est spécifié dans l’enregistrement d’incident de sécurité, Si le code de fermeture ne correspond pas au motif de fermeture spécifié dans le tableau de IBM QRadar bord et que vous essayez de fermer l’incident de sécurité, un message d’erreur s’affiche. Dans ce cas, le motif de fermeture par défaut spécifié ici est utilisé lors de la fermeture de l’incident de sécurité.