Notes de travail

Une note de travail est publiée avec les détails de l’infraction qui a déclenché l’incident de sécurité.

Cliquez sur le lien de l’infraction pour accéder à l’enregistrement d’incident de sécurité interne. Le lien hypertexte Cliquez ici vous amène au tableau de IBM QRadar bord où vous pouvez voir les détails de l’infraction.

Si vous aviez sélectionné l’option Consigner la note de travail pour la nouvelle infraction dans les critères d’agrégation des infractions, comme décrit dans le Mapper IBM QRadar les champs d’infraction aux champs de réponse aux incidents de sécurité, une note de travail est publiée lorsque l’infraction est agrégée.

Infractions agrégées

Cliquer sur Listes connexes > Infractions IBM QRadar agrégées pour afficher les infractions regroupées à l’incident de sécurité. Cliquez sur le lien hypertexte de l’attaque QRadar pour voir l’attaque dans le tableau de IBM QRadar bord.

Créer un incident de sécurité : sélectionnez une infraction dans la liste, cliquez sur le menu Actions , puis sur Créer un incident de sécurité. Cette option crée un incident de sécurité pour l’infraction et cette infraction est désagrégée de l’incident de sécurité parent.

Supprimer l’enregistrement de l’infraction : sélectionnez une infraction dans la liste, cliquez sur le menu Actions , puis cliquez sur Supprimer. Cette option supprime l’enregistrement de l’infraction.

Mises à jour de l’attaque IBM QRadar

Cela montre les champs d’attaque standard et personnalisés et suit les modifications apportées à l’attaque à chaque intervalle d’interrogation. Ceci est utile car vous pouvez voir les mises à jour des infractions directement sans naviguer vers le tableau de IBM QRadar bord. Tous les changements apportés aux valeurs sont affichés dans les champs Valeur précédente et Valeur actuelle.

Pour activer la fonctionnalité de mise à jour de l’infraction, accédez à Intégration d’IBM QRadar > Paramètres d’intégration d’IBM QRadar et activer Définir cette propriété pour activer la fonctionnalité Mises à jour des infractions. Par défaut, ce paramètre est désactivé.

Événements IBM QRadar récents

Cliquez sur l’option Extraire les événements IBM QRadar récents sous Liens connexes pour afficher les événements les plus récents IBM QRadar .

Par défaut, un nombre maximal de 100 événements s’affiche. Vous pouvez modifier ce paramètre par défaut dans le IBM QRadar Paramètres de configuration de l’intégrationfichier .

Remarque :

L’image ci-dessus montre les champs d’événement standard associés à l’infraction. Si vous avez configuré et mappé des champs d’événements personnalisés (reportez-vous à la section Mapper IBM QRadar les champs d’infraction aux champs de réponse aux incidents de sécurité), vous pouvez les afficher en mode Liste en cliquant sur le lien Nom de l’événement.

Flux IBM QRadar récents

À l’aide du concentrateur d’intégration et de Concepteur de flux, plusieurs flux, flux secondaires et actions sont disponibles avec l’intégration IBM QRadar . Lorsque vous cliquez sur l’option Fetch Recent IBM QRadar Flows (Extraire les flux IBM QRadar récents ) sous les liens connexes, les flux les plus récents sont récupérés. Pour afficher ces flux, cliquez sur Recent IBM QRadar Flows.