作業メモ

セキュリティインシデントをトリガーした違反の詳細を含む作業メモが投稿されます。

違反リンクをクリックして、内部セキュリティインシデントレコードに移動します。[ここをクリック] ハイパーリンクをクリックすると、違反の詳細を表示できる IBM QRadar ダッシュボードに移動します。

IBM QRadar 違反フィールドのセキュリティインシデントレスポンスフィールドへのマッピング で説明されているように、違反集計基準で [新規違反の作業メモを記録] オプションを選択した場合、違反が集計されると作業メモが投稿されます。

集計された違反

Click 関連リスト > 集計された IBM QRadar 違反 セキュリティインシデントに集計された違反を表示します。QRadar 違反のハイパーリンクをクリックして、IBM QRadar ダッシュボードで違反を表示します。

セキュリティインシデントの作成：リストから違反を選択し、[アクション] メニューをクリックして、[セキュリティインシデントの作成] をクリックします。このオプションは、違反のセキュリティインシデントを作成します。この違反は親セキュリティインシデントからは集計されません。

違反レコードの削除：リストから違反を選択し、[アクション] メニューをクリックして、[削除] をクリックします。このオプションは、違反レコードを削除します。

IBM QRadar 違反の更新

これにより標準違反フィールドとカスタム違反フィールドが表示され、ポーリング間隔ごとに違反の変更が追跡されます。IBM QRadar ダッシュボードに移動せずに違反の更新が直接表示されるため便利です。値の変更は [前の値] フィールドと [現在の値] フィールドに表示されます。

違反の更新機能を有効にするには、次に移動します IBM QRadar 統合 > IBM QRadar 統合設定 および有効化 違反 の更新機能をアクティブ化するには、このプロパティを設定します。デフォルトでは、この設定は無効になっています。

最新の IBM QRadar イベント

[関連リンク] の [最近の IBM QRadar イベントをフェッチ] オプションをクリックして、最新の IBM QRadar イベントを表示します。

デフォルトでは、最大 100 件のイベントが表示されます。このデフォルト設定は 構成設定 で変更できます。

注:

上の画像は、違反に関連付けられた標準イベントフィールドを示しています。カスタムイベントフィールドを設定してマッピングした場合 (「IBM QRadar 違反フィールドのセキュリティインシデントレスポンスフィールドへのマッピング」を参照)、[イベント名] リンクをクリックして [リストビュー] に表示できます。

最近の IBM QRadar フロー

Integration Hub とフローデザイナーを使用すると、いくつものフロー、サブフロー、およびアクションを IBM QRadar 統合で使用できます。[関連リンク] の [最近の IBM QRadar フローをフェッチ] オプションをクリックすると、最新のフローが取得されます。これらのフローを表示するには、[最近の IBM QRadar フロー] をクリックします。