Notes de travail

Une note de travail est publiée avec les détails de l’infraction qui a déclenché l’incident de sécurité.

Cliquez sur le lien de l’infraction pour accéder à l’enregistrement interne de l’incident de sécurité. Le lien hypertexte Cliquez ici vous dirige vers le IBM QRadar tableau de bord où vous pouvez afficher les détails de l’infraction.

Si vous aviez sélectionné l’option Consigner la note de travail pour une nouvelle infraction dans les critères d’agrégation des infractions, comme décrit dans , une note de Mapper IBM QRadar les champs d’infraction aux champs de réponse aux incidents de sécuritétravail est publiée lorsque l’infraction est agrégée.

Infractions regroupées

Cliquer sur Listes connexes > Infractions IBM QRadar agrégées pour afficher les infractions agrégées à l’incident de sécurité. Cliquez sur le lien hypertexte de l’infraction QRadar pour afficher l’infraction dans le IBM QRadar tableau de bord.

Créer un incident de sécurité : sélectionnez une infraction dans la liste, cliquez sur le menu Actions , puis cliquez sur Créer un incident de sécurité. Cette option crée un incident de sécurité pour l’infraction et cette infraction est désagrégée de l’incident de sécurité parent.

Supprimer un enregistrement d’infraction : sélectionnez une infraction dans la liste, cliquez sur le menu Actions , puis cliquez sur Supprimer. Cette option supprime l’enregistrement de l’infraction.

Mises à jour des infractions IBM QRadar

Cela affiche les champs d’infraction standard et personnalisés et suit les modifications apportées à l’infraction pendant chaque intervalle d’interrogation. Cela est utile, car vous pouvez afficher toutes les mises à jour d’infractions directement sans accéder au IBM QRadar tableau de bord. Tous les changements apportés aux valeurs sont affichés dans les champs Valeur précédente et Valeur actuelle.

Pour activer la fonctionnalité de mise à jour des infractions, accédez à Intégration d’IBM QRadar > Paramètres d’intégration IBM QRadar et activez Définir cette propriété pour activer la fonctionnalité Mises à jour de l’infraction. Par défaut, ce paramètre est désactivé.

Événements IBM QRadar récents

Cliquez sur l’option Fetch Recent IBM QRadar Events (Extraire les événements IBM QRadar récents ) sous Related Links (Liens connexes ) pour afficher les événements les plus récents IBM QRadar .

Par défaut, un nombre maximal de 100 événements est affiché. Vous pouvez modifier ce paramètre par défaut dans le IBM QRadar Paramètres de configuration de l’intégration.

Remarque :

L’image ci-dessus montre les champs d’événement standard associés à l’infraction. Si vous avez configuré et mappé des champs d’événements personnalisés (reportez-vous Mapper IBM QRadar les champs d’infraction aux champs de réponse aux incidents de sécuritéà la section ), vous pouvez les afficher dans la vue de listes en cliquant sur le lien Nom de l’événement.

Flux IBM QRadar récents

À l’aide du concentrateur d’intégration et de Flow Designer, plusieurs flux, flux secondaires et actions sont disponibles avec l’intégration IBM QRadar . Lorsque vous cliquez sur l’option Fetch Recent IBM QRadar Flows (Extraire les flux IBM QRadar récents ) sous Related Links (Liens connexes), les flux les plus récents sont récupérés. Pour afficher ces flux, cliquez sur Flux IBM QRadar récents.