Automatiser les mises à jour et la fermeture des infractions en fonction de l’état de l’incident SIR

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • L’intégration IBM QRadar dispose d’une interface bidirectionnelle qui permet aux deux infractions de créer des incidents de sécurité, ainsi que la possibilité de mettre à jour les infractions une fois l’incident de sécurité créé et/ou fermé avec les détails pertinents de l’incident tels que le numéro d’incident de sécurité, le groupe d’affectation, l’URL de l’incident de sécurité, entre autres.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si la page Options supplémentaires de la barre de progression n’est pas affichée, sélectionnez Options supplémentaires.
    2. Suivez les instructions ci-dessous pour terminer la configuration de mise à jour des infractions lors de la création de l’incident de sécurité.
      Option ou champDescription
      Mettre à jour les infractions lors de la création de l’incident SIR Sélectionnez cette option si vous souhaitez mettre à jour le statut de l’infraction et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’infraction. Cela peut se produire à la fois pour les infractions déclenchantes initiales qui créent l’incident de sécurité et pour les infractions agrégées.
      Mise à jour du statut de l’infraction initiale Vous pouvez sélectionner :
      • Ouvert : le statut de l’infraction est défini sur Ouvert et un commentaire est ajouté indiquant qu’un incident de sécurité a été créé pour l’infraction.
      • Masqué : le statut de l’infraction est défini sur Masqué et cette infraction est masquée dans le IBM QRadar tableau de bord.
      Commentaires initiaux renvoyés à l’attaque En fonction de l’étape que vous avez sélectionnée, les commentaires initiaux tels que définis dans la IBM QRadar console s’affichent ici.
      Fermer les infractions lors de la fermeture de l’incident SIR Sélectionnez cette option si vous souhaitez utiliser l’option de fermeture automatisée des infractions. Lorsque l’incident de sécurité est fermé avec ServiceNow un code de fermeture pertinent, l’état de l’infraction est mis à jour dans IBM QRadarFermé avec des commentaires de fermeture.
      Remarque :
      Le code de fermeture spécifié pour l’incident de sécurité doit correspondre au motif de fermeture spécifié dans le IBM QRadar tableau de bord. L’infraction n’est IBM QRadar clôturée que si un motif de fermeture correspondant est trouvé. Si aucun motif correspondant n’est trouvé, l’infraction est fermée avec un code de fermeture par défaut.
      Commentaires de fermeture renvoyés à l’infraction Les commentaires de fermeture tels que définis dans le IBM QRadar tableau de bord sont affichés ici.
      Motif de fermeture par défaut lors de la fermeture de l’incident de sécurité Le motif par défaut à utiliser lorsqu’un incident de sécurité est fermé, Lorsqu’un incident de sécurité est fermé, un code de fermeture (ou le motif de la fermeture) est spécifié dans l’enregistrement d’incident de sécurité. Si le code de fermeture ne correspond pas au motif de fermeture spécifié dans le IBM QRadar tableau de bord et que vous tentez de fermer l’incident de sécurité, un message d’erreur s’affiche. Dans de tels cas, le motif de fermeture par défaut spécifié ici est utilisé lors de la fermeture de l’incident de sécurité.

      IBM QRadar : créer un profil : automatiser l’infraction
    3. Cliquez sur Terminer pour terminer la configuration et déplacer le profil vers l’état En attente .
      Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire les infractions de la IBM QRadar console en fonction de votre planification.