Configurer votre Now Platform instance pour l’intégration d’ingestion d’infractions IBM QRadar

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre Now Platform® instance avant d’installer l’application à partir du ServiceNow Store.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Reportez-vous au tableau suivant et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application afin de garantir une installation et une configuration fluides.

    Tâche de configuration Description

    Vérifiez que vous avez affecté les rôles requis Now Platform® et Réponse aux incidents de sécurité (SIR).

    Les rôles suivants sont requis pour l’installation, la configuration et l’utilisation de l’intégration dans votre Now Platform® instance.

    • Un utilisateur disposant du rôle d’administrateur Now Platform® (admin) installe l’application à partir de et ServiceNow Store lui affecte le rôle d’administrateur d’incident de sécurité (sn_si.admin).
    • Un utilisateur disposant du rôle sn_si.admin supervise les tâches suivantes dans le Now Platform®:
      • Nomme, crée et modifie les profils d’infraction.
      • Sélectionne et mappe IBM QRadar les champs de données d’infractions aux champs d’incident de sécurité.
      • Prévisualise les détails de l’incident de sécurité pour plus d’exactitude avant de finaliser la configuration.
      • Planifie l’ingestion des infractions en cours.
      • Active les mises à jour de l’infraction lorsqu’un incident SIR est créé et fermé.
      • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
      • Les utilisateurs disposant du sn_si.analyst travaillent sur des incidents de sécurité.

    Pour plus d’informations sur les rôles et l’attribution de rôles aux utilisateurs, voir Rôles sur le site Web de la documentation produit ServiceNow.
    Vérifiez que vous utilisez les versions suivantes :
    • IBM QRadar version 7.3.2 ou ultérieure.
    • IBM QRadar Version d’API 10 ou ultérieure.
    Les versions antérieures ne sont pas prises en charge.

    Si vous avez accès à la IBM QRadar console, vous avez accès à l’API requise pour cette intégration. Aucune autre configuration spéciale n’est requise pour l’API.
    Vérifiez que vous avez installé et configuré une application de Serveur MID. Application Serveur MID configurée.

    Un Serveur MID dans votre Now Platform® instance est requis pour se connecter au IBM QRadar service si le serveur est déployé au sein de IBM QRadar votre réseau d’entreprise. Consultez le site Web de la documentation produit ServiceNow pour plus d’informations sur les serveurs MID.

    Si vous utilisez le IBM QRadar service Cloud, un Serveur MID n’est pas nécessaire.

    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant d’installer l’application pour l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si elle n’est pas installée, installez et activez une application à la fois dans l’ordre suivant pour assurer une installation fluide.

    1. Réponse aux incidents de sécurité
    2. Ingestion d’événements et d’alertes pour Security Operations : Cette application nécessite :
      • com.glide.hub.integration.runtime => Exécution du Centre d’intégration ServiceNow
      • com.glide.hub.action_step.rest => Étape d’action du Centre d’intégration ServiceNow : REST
      Remarque :
      Les composants du concentrateur d’intégration sont installés avec le module d’extension d’ingestion d’événements et d’alertes. Si ceux-ci ne sont pas installés, contactez le support client pour obtenir de l’aide.

    Pour plus d’informations sur l’installation Opérations de sécurité des applications principales, reportez-vous aux sections Obtenir une autorisation pour un produit ou une Opérations de sécurité application et Activer une ServiceNow Store application.

    Que faire ensuite

    Vous avez correctement configuré votre Now Platform® instance pour l’intégration. L’étape suivante consiste à installer l’application IBM QRadar à partir de ServiceNow Store pour l’intégration.