Utilisation de Flow Designer et d’Integration Hub avec intégration de l’ingestion d’infractions IBM QRadar

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • À l’aide de la fonctionnalité Flow Designer et du concentrateur d’intégration, plusieurs flux secondaires et actions ont été créés dans le cadre de l’intégration de l’ingestion IBM QRadar d’infraction.

    Les flux secondaires suivants IBM QRadar sont disponibles :

    • Validation de la connexion et des informations d’identification : utilisé dans la vignette de configuration pour valider l’hôte et les informations d’identification dans la configuration initiale.
    • Récupération des règles IBM QRadar : cette option est utilisée dans la section Règles de la configuration du profil pour récupérer toutes les règles actives dans IBM QRadar. Ce flux secondaire est déclenché de façon asynchrone.
    • Fetch Sample Offences Data From IBM QRadar (Extraire les données d’échantillons d’infractions) à partir d’IBM QRadar : cette option est utilisée dans la section Mapping (Mappage) de la configuration du profil pour extraire des exemples de données. Ce flux secondaire est déclenché de façon asynchrone.
    • Mises à jour de l’état des infractions IBM QRadar : ces mises à jour sont déclenchées par une tâche planifiée toutes les minutes et mettent à jour l’infraction lors IBM QRadar de la création ou de la fermeture de l’incident de sécurité.
    • Traiter les profils à partir d’une tâche planifiée et des infractions de file d’attente : cette action est déclenchée par une tâche planifiée toutes les minutes pour extraire les infractions par profil en fonction de l’intervalle d’interrogation. Cela extrait les infractions et les place dans la file d’attente vers la table de sondage en vue d’un traitement ultérieur.
    • Traiter la file d’attente d’interrogation et l’interrogation par lots : cette action est déclenchée par une tâche planifiée toutes les 30 secondes pour traiter la file d’attente de la table d’interrogation.
    • Fetch Recent IBM QRadar Flows (Extraire les flux IBM QRadar récents) : cette action est déclenchée à partir du lien du formulaire d’incident de sécurité pour obtenir les flux d’infractions les plus récents.
    • Fetch Recent IBM QRadar Events (Extraire les événements IBM QRadar récents) : cette action est déclenchée à partir du lien du formulaire d’incident de sécurité pour obtenir les derniers événements d’infraction.

    Pour afficher ces flux secondaires, connectez-vous en tant qu’utilisateur avec le rôle sn_si.admin et accédez à Concepteur de flux > Concepteur. Cliquez sur le lien Nom de l’un des flux secondaires répertoriés ci-dessus pour afficher le flux secondaire en détail.