Définir le calendrier de l’intégration IBM QRadar
Vous pouvez définir le calendrier de l’ingestion d’infraction. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération de l’infraction ou modifier la planification si nécessaire. Cette étape vous permet également de récupérer les infractions historiques à l’aide d’une plage de dates.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
Vous pouvez choisir d’ingérer des infractions historiques pendant l’étape de planification. Vous choisissez également la fréquence à laquelle vous interrogerez les nouvelles infractions futures et les infractions mises à jour qui correspondent à la configuration du profil.
En tant qu’utilisateur disposant du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les performances de l’intégration de l’ingestion IBM QRadar d’infraction peuvent être impactées par les différents intervalles d’interrogation. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le IBM QRadar désir d’être averti dès que possible lorsqu’une infraction est créée ou mise à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférez peut-être modifier ce paramètre à une minute si nécessaire.
Extraction d’infractions nouvelles et mises à jour
Lorsque le calendrier d’interrogation est défini, la tâche planifiée extrait les infractions nouvelles et mises à jour qui ont été extraites précédemment, mais qui ne répondent pas aux critères de filtrage des incidents. Cela vous donne la possibilité de créer des incidents basés sur des critères qui peuvent ne pas être présents lors de la création d’une infraction pour la première fois, mais qui deviennent disponibles après une mise à jour, par exemple pendant la phase d’enquête. Une fois qu’un incident est créé pour une infraction spécifique, ses mises à jour ultérieures sont ignorées, car il est prévu que l’infraction soit maintenant traitée comme un incident de sécurité actif ServiceNow . Toutefois, toutes les autres infractions qui ont déjà été ingérées, mais qui ne répondent pas aux critères de génération d’incidents, continueront d’être extraites et vérifiées par rapport aux critères de génération d’incidents jusqu’à ce qu’elles fassent partie d’un incident actif.
Procédure
-
Choisissez-en un pour planifier comment et quand les infractions sont extraites de la IBM QRadar console.
Option Description Champ d’ingestion d’infraction en cours sélectionné Attaque en cours En fonction du paramètre par défaut, l’instance Now Platform extrait du IBM QRadar serveur les infractions nouvelles et mises à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des infractions sont découvertes et que les critères de filtrage de génération d’incidents sont vérifiés. Pour équilibrer le désir d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être réduite à une minute si nécessaire.
- Ingestion d’infractions en cours sélectionnée
- Définir le délai d’ingestion de l’infraction initiale
Délai d’ingestion initial Si vous souhaitez planifier l’ingestion initiale à une heure précise, procédez comme suit :- Sélectionnez les champs Ingestion de l’infraction en cours et Définir la durée d’ingestion de l’infraction initiale.
- Spécifiez l’heure dans le champ Entrer le délai d’ingestion de l’infraction initiale.
L’ingestion initiale aura lieu à l’heure spécifiée ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrémentation de l’interrogation (minutes).
Par exemple, pour planifier une heure d’ingestion d’infraction initiale, si vous avez un contrôle de sécurité quotidien IBM QRadar qui s’exécute une fois par jour à 4 heures du matin, heure locale, vous pouvez configurer le profil d’infraction correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer immédiatement la défaillance de sécurité et de créer un incident de sécurité.
Saisissez <date> 04 05 00 dans le champ d’ingestion de l’infraction initiale. Dans le champ Incrémentation du sondage (minutes), saisissez <date> 1 440 (24 heures) pour planifier la prochaine ingestion d’infraction dans les 24 heures suivant l’ingestion de l’infraction initiale. Le délai d’ingestion de l’infraction initiale et le temps d’ingestion de l’infraction suivante sont affichés dans les champs.
L’ingestion initiale aura lieu à 4h05. Les ingestions suivantes seront basées sur l’intervalle d’interrogation. Dans ce cas, étant donné que l’incrément d’interrogation est de 24 heures, la prochaine ingestion aura lieu le lendemain à 4h05.
Champ de récupération unique sélectionné Récupération ponctuelle Utilisez cette configuration si vous souhaitez une extraction ponctuelle pour ingérer des infractions historiques.
Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer les infractions à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les infractions. À partir de la valeur Depuis la date, les infractions sont récupérées jusqu’à la date actuelle. Notez que vous pouvez revenir jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer un nombre important d’infractions IBM QRadar historiques pour des raisons d’archivage, mais plutôt un nombre minimal d’infractions en cours qui sont activement traitées au moment de l’activation du profil.
Une fois les infractions extraites, ce paramètre ne récupère plus d’infractions pour ce profil à partir de la date actuelle. Ce paramètre renseigne l’incident de sécurité avec toutes les infractions constatées pour la plage que vous saisissez.