Utilisation de Flow Designer et d’Integration Hub avec l’intégration de l’ingestion d’infractions IBM QRadar

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • À l’aide des fonctionnalités de Concepteur de flux et de concentrateur d’intégration, plusieurs flux secondaires et actions ont été créés dans le cadre de l’intégration de l’ingestion IBM QRadar d’infraction.

    Les flux secondaires suivants IBM QRadar sont disponibles :

    • Validation de la connexion et des informations d’identification : cette option est utilisée dans la tuile de configuration pour valider l’hôte et les informations d’identification lors de la configuration initiale.
    • Récupération des règles IBM QRadar : cette option est utilisée dans la section Règles de la configuration du profil pour récupérer toutes les règles actives dans IBM QRadar. Ce flux secondaire est déclenché de façon asynchrone.
    • Fetch Sample Offences Data (Extraire des données d’échantillons d’infractions) à partir d’IBM QRadar : cette option est utilisée dans la section Mapping (Mappage) de la configuration du profil pour extraire des exemples de données. Ce flux secondaire est déclenché de façon asynchrone.
    • Mises à jour de l’état des infractions IBM QRadar : elles sont déclenchées par une tâche planifiée toutes les minutes et mettent à jour l’infraction lors IBM QRadar de la création ou de la fermeture de l’incident de sécurité.
    • Traiter les profils à partir d’une tâche planifiée et d’une file d’attente Infractions : cette option est déclenchée par une tâche planifiée toutes les minutes pour extraire les infractions par profil en fonction de l’intervalle d’interrogation. Cela extrait les infractions et les met en file d’attente vers la table de vote pour un traitement ultérieur.
    • Traiter la file d’attente d’interrogation et l’interrogation par lots : ceci est déclenché par une tâche planifiée toutes les 30 secondes pour traiter la file d’attente de la table d’interrogation.
    • Extraire les flux IBM QRadar récents : cette option est déclenchée à partir du lien du formulaire d’incident de sécurité pour obtenir les flux d’infraction les plus récents.
    • Extraire les événements IBM QRadar récents : cette option est déclenchée à partir du lien du formulaire d’incident de sécurité pour obtenir les derniers événements d’infraction.

    Pour afficher ces flux secondaires, connectez-vous en tant qu’utilisateur ayant le rôle sn_si.admin et accédez à Concepteur de flux > Concepteur. Cliquez sur le lien Nom de l’un des flux secondaires répertoriés ci-dessus pour afficher le flux secondaire en détail.