Définir le calendrier de l’intégration IBM QRadar
Vous pouvez définir le calendrier d’ingestion de l’infraction. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération de l’infraction ou modifier la planification selon vos besoins. Cette étape vous permet également de récupérer les infractions historiques à l’aide d’une plage de dates.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Vous pouvez choisir si vous souhaitez ingérer des infractions historiques au cours de l’étape de planification. Vous choisissez également la fréquence à laquelle vous serez interrogé pour détecter les nouvelles infractions futures et les infractions mises à jour qui correspondent à la configuration du profil.
En tant qu’utilisateur doté du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les différents intervalles d’interrogation peuvent affecter les performances de l’intégration IBM QRadar de l’ingestion d’infractions. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le IBM QRadar désir d’être averti dès que possible lorsqu’une infraction est créée ou mise à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.
Extraction des infractions nouvelles et mises à jour
Lorsque le calendrier d’interrogation est défini, la tâche planifiée extrait les infractions nouvelles et mises à jour qui ont été extraites précédemment, mais qui ne répondaient pas aux critères de filtrage des incidents. Cela vous donne la possibilité de créer des incidents basés sur des critères qui peuvent ne pas être présents lors de la création d’une infraction, mais qui deviennent disponibles après qu’une mise à jour se produit, par exemple pendant la phase d’enquête. Une fois qu’un incident est créé pour une infraction spécifique, ses mises à jour ultérieures sont ignorées, car il est prévu que l’infraction soit maintenant traitée comme un incident de sécurité actif ServiceNow . Toutefois, toutes les autres infractions qui ont déjà été ingérées, mais qui n’ont pas réussi à répondre aux critères de génération d’incidents, continueront d’être extraites et vérifiées par rapport aux critères de génération d’incidents jusqu’à ce qu’elles fassent partie d’un incident actif.
Procédure
-
Choisissez-en un pour planifier comment et quand les infractions sont extraites de la IBM QRadar console.
Option Description Champ d’ingestion de l’infraction en cours sélectionné Attaque en cours En fonction du paramètre par défaut, l’instance Now Platform extrait du IBM QRadar serveur les infractions nouvelles et mises à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des infractions sont détectées et si les critères de filtrage de génération d’incidents correspondent. Pour équilibrer les frais généraux d’interrogation d’ingestion afin d’obtenir les données les plus récentes, cinq minutes est le paramètre par défaut. Toutefois, cette valeur peut être modifiée jusqu’à une minute si nécessaire.
- Ingestion de l’infraction en cours sélectionnée
- Définir le délai d’intégration de l’infraction initiale
Délai d’intégration initial Si vous souhaitez planifier l’ingestion initiale à un moment précis, procédez comme suit :- Sélectionnez les champs Intégration de l’infraction en cours et Définir le délai d’ingestion de l’infraction initiale.
- Spécifiez le délai dans le champ Délai d’intégration de l’infraction initiale d’entrée.
L’ingestion initiale aura lieu au moment spécifié ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrément d’interrogation (minutes).
Par exemple, pour planifier une heure d’ingestion d’infraction initiale, si vous avez un contrôle de sécurité quotidien IBM QRadar qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’infraction correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer immédiatement la défaillance de sécurité et créer un incident de sécurité.
Entrez <date> 04 05 00 dans le champ Ingestion de l’infraction initiale. Dans le champ Incrément d’interrogation (minutes), saisissez <date> 1440 (24 heures) pour planifier l’ingestion de la prochaine infraction dans les 24 heures suivant l’ingestion de l’infraction initiale. Le temps d’intégration de l’infraction initiale et le délai d’intégration de l’infraction suivante sont affichés dans les champs.
L’ingestion initiale aura lieu à 4h05. Les ingestions suivantes seront basées sur l’intervalle d’interrogation. Dans ce cas, étant donné que l’incrément d’interrogation est de 24 heures, la prochaine ingestion aura lieu le lendemain à 4 h 05.
Champ de récupération ponctuelle sélectionné Récupération ponctuelle Utilisez cette configuration si vous souhaitez une transmission par pull unique pour ingérer des infractions historiques.
Lorsque ce paramètre est configuré, un profil est utilisé une seule fois pour récupérer les infractions à partir d’événements historiques basés sur une plage de dates. À droite du champ Date de depuis, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les infractions. En commençant par la valeur Date de début, les infractions sont récupérées jusqu’à la date actuelle. Notez que vous pouvez remonter jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’infractions historiques à partir de problèmes d’archivage IBM QRadar , mais plutôt une quantité minimale d’infractions en cours qui sont activement traitées au moment de l’activation du profil.
Une fois les infractions extraites, ce paramètre ne récupère pas d’autres infractions pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec toutes les infractions détectées pour la plage que vous saisissez.