Installer et configurer l’application pour l’intégration ServiceNow de l’ingestion d’infractions IBM QRadar

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Avant d’exécuter l’intégration sur votre Now Platform® instance, effectuez ces étapes d’installation et de configuration afin que l’application s’intègre correctement aux Réponse aux incidents de sécurité produits et Security Operations de votre Now Platform instance.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si vous n’avez pas installé l’application à partir de ServiceNow Store pour IBM QRadar l’intégration, consultez Installer une Security Operations intégration et suivez les étapes pour l’installer.
    2. Une fois l’application correctement installée, accédez à Intégrations > Configurations des intégrations et localisez la IBM QRadar tuile.
    3. Pour configurer l’application, cliquez sur Nouveau.
    4. Si un bouton Configurer s’affiche sur une mosaïque, vous pouvez également cliquer dessus pour modifier une configuration existante.
    5. Renseignez les champs de la boîte de dialogue Configuration des ingestions d’infractions qui s’affiche.
      ChampDescription
      Nom Nom de la console ou de l’instance IBM QRadarIBM QRadar utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais pas les parenthèses.
      URL de base de l’API IBM QRadar URL d’hôte pour votre IBM QRadar instance.
      Remarque :
      Vous n’avez besoin de saisir ici que l’URL et le numéro de port. Par exemple, https://ibm-qradar.com:8443. Si le numéro de port est 443, il n’est pas nécessaire de le saisir explicitement.
      URL du tableau de bord IBM QRadar L’URL du tableau de bord ou de la IBM QRadar console. Cette URL est utilisée pour construire automatiquement les liens hypertexte pour les infractions dans le IBM QRadar tableau de bord.

      Saisissez uniquement l’URL de l’hôte, par exemple, https://qradar.com. N’incluez pas la .jsp dans l’URL, par exemple, https://qradar.com/console/qradar/jsp/QRadar.jsp le format n’est pas valide.

      Remarque :
      Si l’URL du tableau de bord n’est pas disponible, saisissez l’URL de base de l’API IBM QRadar ici.
      IBM QRadar Version de l’API Les versions 10 et ultérieures sont prises en charge.
      IBM QRadar Jeton de service autorisé de l’API (sur site) Le IBM QRadar jeton de service autorisé est utilisé pour l’authentification. Le jeton de service autorisé doit avoir un rôle d’utilisateur administrateur et un profil de sécurité administrateur .
      Pour générer le jeton de service autorisé, procédez comme suit :
      • Dans la IBM QRadar console, accédez à l’onglet Admin et cliquez sur Services autorisés.
      • S’il existe un jeton de service autorisé valide, vérifiez la date d’expiration et utilisez-le.
      Si aucun jeton de service autorisé n’est disponible, procédez comme suit :
      • Dans , IBM QRadaraccédez à l’onglet Admin et cliquez sur Service autorisé.
      • Cliquez sur Ajouter un service autorisé et créez un jeton avec le rôle d’utilisateur administrateur et le profil de sécurité administrateur . Veillez à spécifier une date d’expiration pour une longue période de validité.
      IBM QRadar Jeton de service autorisé de l’API (pour QRoC) Si vous utilisez IBM QRadar on Cloud (QRoC), utilisez l’application en libre-service pour générer le jeton de service autorisé avec le rôle d’utilisateur administrateur et le profil de sécurité administrateur pour l’authentification.
      Déploiement sur site Cette option est désactivée par défaut.

      Si cette option est activée, vous devez spécifier un nom d’application MID.

      Si vous utilisez IBM QRadar sur Cloud (QRoC), vérifiez que la case à cocher est décochée.
      Nom de l’application MID Spécifiez une application de Serveur MID qui est configurée dans votre environnement. Si vous n’avez pas d’application MID Server configurée, vous devez créer une application MID Server pour cette intégration.
      Remarque :
      L’application MID Server ne peut être configurée que par les utilisateurs ayant le rôle d’administrateur système.
      Pour créer une application de Serveur MID, procédez comme suit :
      • Accédez à la Serveur MID > Applications et cliquez sur Nouveau.
      • Entrez un nom pour l’application MID Server et sélectionnez un MID Server à utiliser par défaut.
      • Décochez la case Inclus dans l’application TOUTES, puis cliquez sur Enregistrer.
        IBM QRadar : configurer MID Server
      • Cliquez sur Modifier. Sur la page Modifier les membres , sélectionnez tous les MID Servers disponibles, déplacez-les dans la liste des MID Servers, puis cliquez sur Enregistrer. En fonction de la disponibilité, l’un des MID Servers configurés avec l’application MID Server sera utilisé.
    6. Entrez les détails de la configuration et spécifiez l’application de Serveur MID que vous avez créée.

      IBM QRadar : vignette de configuration

      La source que vous configurez sur le formulaire Configuration de l’ingestion d’infractions IBM QRadar peut être réutilisée pour plusieurs Now Platform profils, à condition que chaque profil ingère des infractions.

    7. Cliquez sur Envoyer.
      Une fois validée et soumise avec succès, chaque IBM QRadar configuration de serveur est enregistrée sur la page Intégrations de sécurité sous forme de mosaïque. Si les vignettes de configuration que vous avez enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, cliquez sur Oui dans la liste de choix Afficher les configurations.
      Remarque :
      Si vous rencontrez des problèmes avec la fonctionnalité de segmentation de domaine, contactez IBM QRadar le support client pour obtenir de l’aideIBM QRadar.

    Que faire ensuite

    Vous avez correctement installé et configuré l’application. L’étape suivante consiste à créer le profil.