Flow Designer と Integration Hub を使用した IBM QRadar 違反の取り込み統合
Flow Designer と Integration Hub 機能を使用して、いくつかのサブフローとアクションが IBM QRadar 違反の取り込み統合の一部として構築されました。
次の IBM QRadar サブフローを利用できます。
- 接続と資格情報の検証:初期設定でホストと資格情報を検証するために構成タイルで使用されます。
- IBM QRadar ルールの取得:IBM QRadar 内のすべてのアクティブなルールを取得するために、プロファイルセットアップの [ルール] セクションで使用されます。このサブフローは非同期にトリガーされます。
- IBM QRadar からサンプル違反データをフェッチ:サンプルデータをフェッチするために、プロファイルセットアップの [ マッピング] セクションで使用されます。このサブフローは非同期にトリガーされます。
- IBM QRadar 違反ステータスの更新:ジョブスケジュールで毎分トリガーされ、セキュリティインシデントが作成またはクローズされたときに IBM QRadar 内の違反を更新します。
- ジョブスケジュールとキュー違反からプロファイルを処理:ジョブスケジュールで毎分トリガーされ、ポーリング間隔に基づいてプロファイルごとに違反を取得します。これにより違反が取得され、さらに処理するためにポーリングテーブルのキューに入れられます。
- 一括でポーリングキューとポーリングを処理:ポーリングテーブルキューを処理するために、ジョブスケジュールで 30 秒ごとにトリガーされます。
- 最新の IBM QRadar フローを取得:違反の最新フローを取得するために、セキュリティインシデントフォームリンクからトリガーされます。
- 最新の IBM QRadar イベントをフェッチ:違反の最新イベントを取得するために、セキュリティインシデントフォームリンクからトリガーされます。
これらのサブフローを表示するには、 sn_si.admin ロールを持つユーザーとしてログインし、 . 上記のサブフローの [名前] リンクをクリックすると、サブフローの詳細が表示されます。