Installer et configurer l’application pour l’intégration de l’ingestion d’infractions ServiceNowIBM QRadar

  • Rversion finale: Yokohama
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Avant d’exécuter l’intégration sur votre Now Platform® instance, effectuez ces étapes d’installation et de configuration afin que l’application s’intègre correctement aux Réponse aux incidents de sécurité produits sur Opérations de sécurité votre Now Platform instance.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si vous n’avez pas installé l’application IBM QRadar à partir de pour ServiceNow Store l’intégration, consultez Installer une Opérations de sécurité intégration et suivez les étapes pour l’installer.
    2. Une fois l’application installée, accédez à Intégrations > Configurations des intégrations et localisez la IBM QRadar tuile.
    3. Pour configurer l’application, cliquez sur Nouveau.
    4. Sinon, si un bouton Configurer est affiché sur une tuile, cliquez dessus pour modifier une configuration existante.
    5. Dans la boîte de dialogue Configuration des ingestions d’infractions qui s’affiche, renseignez les champs.
      ChampDescription
      Nom Nom de la console ou de l’instance IBM QRadarIBM QRadar utilisée pour l’intégration.

      Les espaces sont pris en charge pour les noms, mais les parenthèses ne sont pas prises en charge.
      URL de base de l’API IBM QRadar URL d’hôte de votre IBM QRadar instance.
      Remarque :
      Vous devez saisir uniquement l’URL et le numéro de port ici. Par exemple, https://ibm-qradar.com:8443. Si le numéro de port est 443, il n’est pas nécessaire de le saisir explicitement.
      URL du tableau de bord IBM QRadar URL du tableau de bord ou de IBM QRadar la console. Cette URL est utilisée pour construire automatiquement les liens hypertexte pour les infractions dans le tableau de IBM QRadar bord.

      Entrez uniquement l’URL de l’hôte, par exemple https://qradar.com. N’incluez pas le .jsp dans l’URL, par exemple, https://qradar.com/console/qradar/jsp/QRadar.jsp format n’est pas valide.

      Remarque :
      Si l’URL du tableau de bord n’est pas disponible, entrez l’URL de base de l’API IBM QRadar ici.
      IBM QRadar Version de l’API Les versions 10 et supérieures sont prises en charge.
      IBM QRadar Jeton de service autorisé API (sur site) Le IBM QRadar jeton de service autorisé est utilisé pour l’authentification. Le jeton de service autorisé doit avoir les rôles d’utilisateur minimum suivants : Infractions, Activité du journal et Activité du réseau , ainsi qu’un profil de sécurité utilisateur qui n’a aucune restriction.
      Pour générer le jeton de service autorisé, procédez comme suit :
      • Dans la IBM QRadar console, accédez à l’onglet Administrateur et cliquez sur Services autorisés.
      • S’il existe un jeton de service autorisé valide, vérifiez la date d’expiration et utilisez-le.
      Si un jeton de service autorisé n’est pas disponible, procédez comme suit :
      • Dans , IBM QRadaraccédez à l’onglet Administrateur et cliquez sur Service autorisé.
      • Cliquez sur Ajouter un service autorisé et créez un jeton avec le rôle d’utilisateur et le profil de sécurité. Assurez-vous de spécifier une date d’expiration pour une longue période de validité.
      IBM QRadar Jeton de service autorisé API (pour QRoC) Si vous utilisez IBM QRadar on Cloud (QRoC), utilisez l’application en libre-service pour générer le jeton de service autorisé avec le rôle d’utilisateur administrateur et le profil de sécurité administrateur pour l’authentification.
      Déploiement sur site Désactivé par défaut.

      Si cette option est activée, vous devez spécifier un nom d’application MID.

      Si vous utilisez IBM QRadar dans le cloud (QRoC), vérifiez que la case est décochée.
      Nom de l’application MID Spécifiez une application de Serveur MID configurée dans votre environnement. Si vous n’avez pas configuré d’application de Serveur MID, vous devez créer une nouvelle application de Serveur MID pour cette intégration.
      Remarque :
      L’application Serveur MID ne peut être configurée que par les utilisateurs ayant le rôle d’administrateur système.
      Figure 1. Rôles d’utilisateur minimum
      Rôles d’utilisateur minimum
      Pour créer une application de Serveur MID, procédez comme suit :
      • Accédez à la Serveur MID > Demandes et cliquez sur Nouveau.
      • Entrez un nom pour l’application de Serveur MID et sélectionnez un serveur MID à utiliser par défaut.
      • Décochez la case Inclus dans l’application TOUT et cliquez sur Enregistrer.
        IBM QRadar : configurer le Serveur MID
      • Cliquez sur Modifier. Dans la page Modifier les membres , sélectionnez tous les serveurs MID disponibles, déplacez-les vers la liste des serveurs MID, puis cliquez sur Enregistrer. En fonction de la disponibilité, l’un des MID Servers configurés avec l’application MID Server est utilisé.
    6. Entrez les détails de la configuration et indiquez l’application Serveur MID que vous avez créée.

      IBM QRadar : mosaïque de configuration

      La source que vous configurez sur le formulaire Configuration de l’ingestion d’infractions IBM QRadar peut être réutilisée pour plusieurs Now Platform profils tant que chaque profil ingère des infractions.

    7. Cliquez sur Envoyer.
      Une fois validée et soumise, chaque IBM QRadar configuration de serveur est enregistrée sur la page Intégrations de sécurité sous forme de tuile. Si les tuiles de configuration que vous avez enregistrées ne s’affichent pas sur la page Intégrations de sécurité, dans le coin supérieur droit de la page, dans la liste de choix Afficher les configurations, cliquez sur Oui.
      Remarque :
      Si vous rencontrez des problèmes avec la fonctionnalité de segmentation de domaine, contactez IBM QRadar l’assistance clientèle pour obtenir de IBM QRadar l’aide.

    Que faire ensuite

    Vous avez correctement installé et configuré l’application. L’étape suivante consiste à créer le profil.