Domain separation et IBM QRadar ingestion d’infractions

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • L’ingestion d’infractions est prise en charge par IBM QRadar Domain Separation. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Niveau de prise en charge : basique

    • Logique métier : garantit que les données parviennent au bon domaine pour les cas d'utilisation du fournisseur de service de l'application.
    • L'application prend en charge Séparation de domaine lors de l'exécution. Séparation de domaine inclut la séparation à partir de l'interface utilisateur, des clés de cache, des rapports, des déploiements et des agrégations.
    • Le propriétaire de l'instance doit configurer l'application de sorte qu'elle fonctionne sur plusieurs locataires.

    Exemple de cas d'utilisation : lorsqu'un fournisseur de service (SP) utilise la messagerie instantanée pour répondre au message d'un locataire-client, le client doit pouvoir afficher la réponse du SP.

    Pour en savoir plus sur les niveaux de prise en charge, consultez la rubrique Prise en charge de Séparation de domaine par les applications.

    Fonctionnement de Domain separation dans IBM QRadar Offense Ingestion

    Pour réaliser Domain Separation, procédez comme suit :
    • Créez un utilisateur avec le rôle sn_si.admin dans le domaine respectif.
      Remarque :
      Lorsque vous créez le profil, utilisez le sélecteur de domaine pour sélectionner le domaine spécifique. Ne créez pas l’utilisateur dans le domaine parent et ne modifiez pas ultérieurement le domaine du profil. Pour chaque domaine, votre profil doit disposer d’un utilisateur spécifique avec le rôle sn_si.admin . Utilisez cet utilisateur pour créer ou modifier des paramètres dans le profil.
    • Désactivez les travaux planifiés existants.
    • Répliquer la file d’attente d’interrogation du IBM QRadar processus, les profils de IBM QRadar processus et les mises à jour des infractions planifiées pour chaque domaine.
    • Remplacez l’option Exécuter en tant que par l’utilisateur système pour l’utilisateur disposant du rôle sn_si.admin dans le domaine respectif et exécutez la tâche planifiée.

    Tâche de file d’attente d’interrogation du processus IBM QRadar

    Tâche de mises à jour des profils et des mises à jour des infractions du processus IBM QRadar