Définir le calendrier
Vous pouvez définir le calendrier de l’ingestion de l’infraction. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut de récupération de l’infraction ou modifier la planification si nécessaire. Cette étape vous permet également de récupérer les infractions historiques à l’aide d’une plage de dates.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Vous pouvez choisir d’ingérer des infractions historiques pendant l’étape de planification. Vous choisissez également la fréquence à laquelle vous interrogerez les nouvelles infractions futures et les infractions mises à jour qui correspondent à la configuration du profil.
En tant qu’utilisateur disposant du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les différents intervalles d’interrogation peuvent affecter les performances de l’intégration de l’ingestion IBM QRadar d’infraction. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le IBM QRadar désir d’être averti dès que possible lorsqu’une infraction est créée ou mise à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.
Extraction des infractions nouvelles et mises à jour
Lorsque la planification d’interrogation est définie, la tâche planifiée extrait les infractions nouvelles et mises à jour qui ont été extraites précédemment, mais qui ne répondaient pas aux critères de filtrage des incidents. Vous avez ainsi la possibilité de créer des incidents basés sur des critères qui peuvent ne pas être présents lors de la création d’une infraction, mais qui deviennent disponibles après une mise à jour, par exemple pendant la phase d’enquête. Une fois qu’un incident est créé pour une infraction spécifique, ses mises à jour ultérieures sont ignorées, car il est prévu que l’infraction soit maintenant traitée comme un incident de sécurité actif ServiceNow . Toutefois, toutes les autres infractions qui ont été précédemment ingérées, mais qui ne répondent pas aux critères de génération d’incidents, continueront d’être extraites et vérifiées par rapport aux critères de génération d’incidents jusqu’à ce qu’elles fassent partie d’un incident actif.
Procédure
-
Choisissez-en un pour planifier comment et quand les infractions sont extraites de la IBM QRadar console.
Option Description Champ d’ingestion de l’infraction en cours sélectionné Attaque continue En fonction du paramètre par défaut, l’instance ServiceNow AI Platform extrait du IBM QRadar serveur les infractions nouvelles et mises à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des infractions sont constatées et que les critères de filtrage de génération d’incidents correspondent. Pour équilibrer le désir d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être modifiée pour atteindre une minute si nécessaire.
- Ingestion de l’infraction en cours sélectionnée
- Définir le délai d'ingestion de l'infraction initiale
Délai d’ingestion initial Si vous souhaitez planifier l’ingestion initiale à une heure précise, procédez comme suit :- Sélectionnez les champs Ingestion de l’infraction en cours et Définir le délai d’ingestion de l’infraction initiale.
- Spécifiez l’heure dans le champ Entrer le délai d’ingestion de l’infraction initiale.
L’ingestion initiale aura lieu à l’heure spécifiée ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrément d’interrogation (minutes).
Par exemple, pour planifier une heure d’ingestion d’infraction initiale, si vous avez un contrôle de sécurité quotidien IBM QRadar qui s’exécute une fois par jour à 4 heures du matin, heure locale, vous pouvez configurer le profil d’infraction correspondant dans votre ServiceNow AI Platform instance pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer immédiatement la défaillance de sécurité et de créer un incident de sécurité.
Saisissez <date> 04 05 00 dans le champ Ingestion de l’infraction initiale. Dans le champ Incrémentation du sondage (minutes), saisissez <date> 1 440 (24 heures) pour planifier la prochaine ingestion d’infraction pendant 24 heures à compter de l’ingestion initiale de l’infraction. Le temps d’ingestion de l’infraction initiale et le temps d’ingestion de l’infraction suivante sont affichés dans les champs.
L’ingestion initiale aura lieu à 4h05. Les ingestions suivantes seront basées sur l’intervalle d’interrogation. Dans ce cas, étant donné que l’incrémentation du sondage est de 24 heures, l’ingestion suivante aura lieu le lendemain à 4h05.
Champ Récupération ponctuelle sélectionné Récupération ponctuelle Utilisez cette configuration si vous souhaitez une extraction unique pour ingérer des infractions historiques.
Lorsque ce paramètre est configuré, un profil est utilisé une seule fois pour récupérer des infractions à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les infractions. En commençant par la valeur Depuis la date, les infractions sont récupérées jusqu’à la date actuelle. Notez que vous pouvez remonter jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer un nombre important d’infractions IBM QRadar historiques pour des raisons d’archivage, mais plutôt un nombre minimal d’infractions en vol qui font l’objet d’un travail actif au moment de l’activation du profil.
Une fois les infractions extraites, ce paramètre ne récupère plus d’infractions pour ce profil à partir de la date actuelle. Ce paramètre renseigne l’incident de sécurité avec toutes les infractions trouvées pour la plage que vous saisissez.