Automatiser les mises à jour et la fermeture des infractions en fonction de l’état de l’incident SIR

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • L’intégration IBM QRadar dispose d’une interface bidirectionnelle qui permet aux deux infractions de créer des incidents de sécurité, ainsi que de mettre à jour les infractions une fois l’incident de sécurité créé et/ou fermé avec les détails d’incident pertinents tels que le numéro d’incident de sécurité, le groupe d’affectation, l’URL de l’incident de sécurité, etc.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si la page Options supplémentaires de la barre de progression n’est pas affichée, sélectionnez Options supplémentaires.
    2. Suivez les instructions ci-dessous pour terminer la configuration de mise à jour des infractions lors de la création de l’incident de sécurité.
      Option ou champDescription
      Mettre à jour les infractions lors de la création de l’incident SIR Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’infraction et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’infraction. Cela peut se produire à la fois pour les infractions déclenchantes initiales qui créent l’incident de sécurité et pour les infractions regroupées.
      Mise à jour du statut de l’infraction initiale Vous pouvez sélectionner :
      • Ouvert : l’état de l’infraction est défini sur Ouvert et un commentaire est ajouté indiquant qu’un incident de sécurité a été créé pour l’infraction.
      • Masqué : le statut de l’infraction est défini sur Masqué et cette infraction est masquée dans le IBM QRadar tableau de bord.
      Commentaires initiaux renvoyés à l’attaque En fonction de l’étape que vous avez sélectionnée, les commentaires initiaux tels que définis dans la console s’affichent IBM QRadar ici.
      Clôturer les infractions lors de la fermeture de l’incident SIR Sélectionnez cette option si vous souhaitez utiliser l’option de fermeture automatisée des infractions. Lorsque l’incident de sécurité est fermé avec ServiceNow un code de fermeture pertinent, l’état de l’infraction est mis à jour dans IBM QRadarFermé avec des commentaires de fermeture.
      Remarque :
      Le code de fermeture spécifié pour l’incident de sécurité doit correspondre au motif de fermeture spécifié dans le IBM QRadar tableau de bord. L’infraction n’est IBM QRadar clôturée que si un motif de fermeture correspondant est trouvé. Si aucune raison correspondante n’est trouvée, l’infraction est fermée avec un code de fermeture par défaut.
      Commentaires de fermeture republiés dans Offense Les commentaires de fermeture tels que définis dans le IBM QRadar tableau de bord sont affichés ici.
      Motif de fermeture par défaut lors de la fermeture d’un incident de sécurité Motif par défaut à utiliser lors de la fermeture d’un incident de sécurité. Lorsqu’un incident de sécurité est fermé, un code de fermeture (ou le motif de la fermeture) est spécifié dans l’enregistrement de l’incident de sécurité. Si le code de fermeture ne correspond pas au motif de fermeture spécifié dans le IBM QRadar tableau de bord et que vous tentez de fermer l’incident de sécurité, un message d’erreur s’affiche. Dans ce cas, le motif de fermeture par défaut spécifié ici est utilisé lors de la fermeture de l’incident de sécurité.

      IBM QRadar : Créer un profil : automatiser les infractions
    3. Cliquez sur Terminer pour terminer la configuration et faire passer le profil à l’état En attente .
      Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire les infractions de la IBM QRadar console en fonction de votre planification.