Introduction à l’intégration de l’enrichissement IBM QRadar des incidents

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • IBM QRadar est un produit SIEM (Enterprise Security Information and Event Management) qui s’intègre facilement à Security Operations. Avant de pouvoir utiliser l’intégration d’enrichissement des IBM QRadar incidents, vous devez la télécharger à partir de et ServiceNow Store ajouter l’URL de base de l’API et la clé API appropriées.

    Avant de commencer

    Rôle requis : sn_si_admin

    Procédure

    1. Télécharger l’intégration à partir de ServiceNow Store.
    2. Lorsque l’installation est terminée, accédez IBM QRadar à l’URL de base de l’API et à la clé API sous votre profil, et obtenez-les IBM QRadar .
    3. Dans votre instance, accédez à Security Operations > Intégrations > Configurations d'intégration.
      Les intégrations de sécurité disponibles apparaissent sous la forme d’une série de cartes.
    4. Dans la IBM QRadar carte Enrichissement des incidents, cliquez sur Nouveau.
      IBM QRadar : configuration de l’enrichissement des incidents
    5. Renseignez les champs nécessaires.
      Champ Description
      Nom Nom de cette configuration.
      URL de Base de l'API QRadar L’URL de base que vous avez acquise sur le IBM QRadar site.
      URL de lien [Facultatif] L’URL de lien qui renvoie à une IBM QRadar instance, lorsqu’elle est disponible.
      Version La IBM QRadar version 5.0 est la version par défaut.
      Clé API La clé API que vous avez obtenue à partir du IBM QRadar site.
      Lignes max. Nombre maximal de lignes que vous souhaitez rechercher.
      Tout premier résultat (jours) Les résultats les plus récents que vous souhaitez voir, en nombre de jours.
      Inclure les exemples de données brutes dans les résultats de recherche Sélectionnez cette option pour inclure des échantillons de données brutes dans vos résultats de recherche d’observations. La quantité de données renvoyées dépend de votre configuration du nombre de lignes de propriété de données brutes dans lespropriétés de Security Incident Response.
      Serveur MID Sélectionnez N’importe lequel pour utiliser un MID Server actif ou sélectionnez un nom de MID Server spécifique.
      Remarque :
      La configuration de cette intégration active les workflows. Pour gérer les workflows, accédez à l’éditeur de workflow.
    6. Cliquez sur Envoyer.
      La carte de configuration de l’intégration s’affiche.
    7. Lors de l’affichage de la nouvelle carte de configuration, vous pouvez cliquer sur Configurer ou Supprimer pour modifier ou supprimer la configuration, respectivement.
    8. Pour revenir à la liste d’origine des cartes de configuration d’intégration, sélectionnez Non dans la liste déroulante Afficher les configurations .