Définir le calendrier de l’intégration IBM QRadar
Vous pouvez définir le calendrier de l’ingestion de l’infraction. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération des infractions ou modifier la planification selon vos besoins. Cette étape vous permet également de récupérer les infractions historiques à l’aide d’une plage de dates.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Vous pouvez choisir d’ingérer des infractions historiques au cours de l’étape de planification. Vous choisissez également la fréquence à laquelle vous allez interroger les nouvelles infractions futures et les infractions mises à jour qui correspondent à la configuration du profil.
En tant qu’utilisateur disposant du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les performances de l’intégration de l’ingestion IBM QRadar d’infractions peuvent être impactées par les différents intervalles d’interrogation. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le IBM QRadar désir d’être averti dès que possible lorsqu’une infraction est créée ou mise à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.
Extraction des infractions nouvelles et mises à jour
Lorsque le calendrier d’interrogation est défini, la tâche planifiée extrait les infractions nouvelles et mises à jour qui ont été extraites précédemment mais qui ne répondaient pas aux critères de filtrage des incidents. Vous avez ainsi la possibilité de créer des incidents en fonction de critères qui peuvent ne pas être présents lors de la création d’une infraction, mais qui deviennent disponibles après une mise à jour, par exemple pendant la phase d’enquête. Une fois qu’un incident est créé pour une infraction spécifique, ses mises à jour ultérieures sont ignorées, car il est prévu que l’infraction soit maintenant traitée comme un incident de sécurité actif ServiceNow . Toutefois, toutes les autres infractions qui ont déjà été ingérées, mais qui ne répondent pas aux critères de génération d’incidents, continueront d’être extraites et vérifiées par rapport aux critères de génération d’incidents jusqu’à ce qu’elles fassent partie d’un incident actif.
Procédure
-
Choisissez-en un pour planifier comment et quand les infractions sont extraites de la IBM QRadar console.
Option Description Champ d’ingestion de l’infraction en cours sélectionné Attaque en cours En fonction du paramètre par défaut, l’instance Now Platform extrait du serveur pour les IBM QRadar infractions nouvelles et mises à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des infractions sont détectées et si les critères de filtrage de génération d’incidents sont respectés. Pour équilibrer les frais généraux d’interrogation d’ingestion afin d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être modifiée jusqu’à une minute si nécessaire.
- Ingestion d’infractions en cours sélectionnée
- Définir le délai d’ingestion de l’infraction initiale
Délai d’ingestion initial Si vous souhaitez planifier l’ingestion initiale à une heure précise, procédez comme suit :- Sélectionnez les champs Intégration de l’infraction en cours et Définir la durée d’ingestion de l’infraction initiale.
- Spécifiez le délai dans le champ Délai d’ingestion de l’infraction initiale d’entrée.
L’ingestion initiale aura lieu à l’heure spécifiée ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrémentation de l’interrogation (minutes).
Par exemple, pour planifier un délai d’ingestion d’une infraction initiale, si vous avez un contrôle de sécurité quotidien IBM QRadar qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’infraction correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer immédiatement la défaillance de sécurité et créer un incident de sécurité.
Entrez <date> 04 05 00 dans le champ Ingestion de l’infraction initiale. Dans le champ Incrémentation de l’interrogation (minutes), saisissez <date> 1440 (24 heures) pour planifier l’ingestion de la prochaine infraction dans les 24 heures suivant l’ingestion de l’infraction initiale. Le temps d’ingestion de l’infraction initiale et le temps d’ingestion de l’infraction suivante sont affichés dans les champs.
L’ingestion initiale aura lieu à 4h05. Les ingestions suivantes seront basées sur l’intervalle d’interrogation. Dans ce cas, étant donné que l’incrément d’interrogation est de 24 heures, la prochaine ingestion aura lieu le lendemain à 4h05.
Champ de récupération unique sélectionné Récupération ponctuelle Utilisez cette configuration si vous souhaitez une transmission par pull unique pour ingérer des infractions historiques.
Lorsque ce paramètre est configuré, un profil est utilisé une seule fois pour récupérer les infractions à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les infractions. À partir de la valeur Date de début, les infractions sont récupérées jusqu’à la date actuelle. Notez que vous pouvez remonter jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’infractions historiques à partir IBM QRadar de raisons d’archivage, mais plutôt une quantité minimale d’infractions en cours de traitement au moment de l’activation du profil.
Une fois les infractions extraites, ce paramètre ne récupérera pas d’autres infractions pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec toutes les infractions détectées pour la plage que vous saisissez.