Notes de travail

Une note de travail est publiée avec les détails de l’infraction qui a déclenché l’incident de sécurité.

Cliquez sur le lien de l’infraction pour accéder à l’enregistrement d’incident de sécurité interne. Le lien hypertexte Cliquez ici vous amène au tableau de IBM QRadar bord où vous pouvez afficher les détails de l’infraction.

Si vous aviez sélectionné l’option Consigner la note de travail pour la nouvelle infraction dans les critères d’agrégation de l’infraction, comme décrit dans le , une note de travail est publiée lorsque l’infraction Mappage IBM QRadar des champs d’infraction aux champs de réponse aux incidents de sécurité est agrégée.

Infractions agrégées

Cliquer sur Listes connexes > Infractions IBM QRadar agrégées pour afficher les infractions agrégées à l’incident de sécurité. Cliquez sur le lien hypertexte de l’attaque QRadar pour afficher l’infraction dans le tableau de IBM QRadar bord.

Créer un incident de sécurité : sélectionnez une infraction dans la liste, cliquez sur le menu Actions , puis sur Créer un incident de sécurité. Cette option crée un incident de sécurité pour l’infraction et cette infraction est désagrégée de l’incident de sécurité parent.

Supprimer l’enregistrement de l’infraction : sélectionnez une infraction dans la liste, cliquez sur le menu Actions , puis cliquez sur Supprimer. Cette option supprime l’enregistrement de l’infraction.

Mises à jour de l’attaque IBM QRadar

Cela montre les champs d’infraction standard et personnalisés et suit les changements apportés à l’infraction à chaque intervalle d’interrogation. Ceci est utile car vous pouvez afficher directement les mises à jour des infractions sans accéder au tableau de IBM QRadar bord. Tout changement apporté aux valeurs est affiché dans les champs Valeur précédente et Valeur actuelle.

Pour activer la fonctionnalité des mises à jour de l’infraction, accédez à Intégration IBM QRadar > Paramètres d'intégration IBM QRadar et activer Définir cette propriété pour activer la fonctionnalité Mises à jour de l’infraction. Par défaut, ce paramètre est désactivé.

Événements IBM QRadar récents

Cliquez sur l’option Extraire les événements IBM QRadar récents sous Liens connexes pour afficher les événements les plus récents IBM QRadar .

Par défaut, un nombre maximal de 100 événements s’affiche. Vous pouvez modifier ce paramètre par défaut dans le Paramètres de configuration.

Remarque :

L’image ci-dessus montre les champs d’événement standard associés à l’infraction. Si vous avez configuré et mappé des champs d’événement personnalisés (reportez-vous à la section Mappage IBM QRadar des champs d’infraction aux champs de réponse aux incidents de sécurité), vous pouvez les afficher en mode Liste en cliquant sur le lien Nom de l’événement.

Flux IBM QRadar récents

À l’aide du concentrateur d’intégration et du concepteur de flux, plusieurs flux, flux secondaires et actions sont disponibles avec l’intégration IBM QRadar . Lorsque vous cliquez sur l’option Extraire les flux IBM QRadar récents sous Liens connexes, les flux les plus récents sont récupérés. Pour afficher ces flux, cliquez sur Flux IBM QRadar récents.