IBM QRadar 違反の取り込み統合用の ServiceNow アプリケーションのインストールと設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • Now Platform® インスタンスで統合を実行する前に、これらのインストールと構成のステップを完了して、Now Platform インスタンスでアプリケーションが セキュリティインシデントレスポンスSecurity Operations 製品と適切に統合されるようにします。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. ServiceNow Store から統合用の IBM QRadar アプリケーションをインストールしていない場合は、「Security Operations 統合のインストール」を参照し、ステップに従ってインストールしてください。
    2. アプリケーションを正常にインストールしたら、次の場所に移動します。 統合 > 統合構成 タイルを見つけますIBM QRadar
    3. アプリケーションを設定するには、[新規] をクリックします。
    4. または、[構成] ボタンがタイルに表示されている場合は、そのボタンをクリックして既存の構成を編集します。
    5. 表示される [違反の取り込み構成] ダイアログで、フィールドに入力します。
      フィールド説明
      名前 統合に使用される IBM QRadar コンソールまたは IBM QRadar インスタンスの名前。

      名前ではスペースがサポートされていますが、括弧はサポートされていません。
      IBM QRadar API のベース URL IBM QRadar インスタンスのホスト URL。
      注:
      ここでは、URL とポート番号のみを入力する必要があります。たとえば、「https://ibm-qradar.com:8443」と入力します。ポート番号が 443 の場合は、明示的に入力する必要はありません。
      IBM QRadar ダッシュボード URL IBM QRadar ダッシュボードまたはコンソールの URL。この URL は、IBM QRadar ダッシュボードで違反のハイパーリンクを自動構築するために使用されます。

      ホスト URL のみを入力します (例:https://qradar.com)。URL に .jsp を含めないでください。たとえば、https://qradar.com/console/qradar/jsp/QRadar.jsp は無効な形式です。

      注:
      ダッシュボード URL を利用できない場合は、IBM QRadar API ベース URL をここに入力します。
      IBM QRadar API バージョン バージョン 10 以降がサポートされています。
      IBM QRadar API 認定サービストークン (オンプレミス) IBM QRadar 認定サービストークンが認証に使用されます。認定サービストークンには、管理者ユーザーロールと管理者セキュリティプロファイルが必要です。
      認定サービストークンを生成するには、次のステップを実行します。
      • IBM QRadar コンソールで、[管理] タブに移動し、[認定サービス (Authorized Services)] をクリックします。
      • 有効な認定サービストークンが存在する場合は、有効期限を確認してそのトークンを使用します。
      認定サービストークンを利用できない場合は、次のステップを実行します。
      • IBM QRadar で、[管理] タブに移動し、[認定サービス (Authorized Services)] をクリックします。
      • [認定サービスを追加 (Add Authorized Service)] をクリックして、管理者ユーザーロールと管理者セキュリティプロファイルでトークンを作成します。長い有効期間の有効期限を指定していることを確認してください。
      IBM QRadar API 認定サービストークン (QRoC 用) IBM QRadar on Cloud (QRoC) を使用している場合は、セルフサービスアプリケーションを使用して、認証用に管理者ユーザーロールと管理者セキュリティプロファイルで認定サービストークンを生成します。
      オンプレミス展開 デフォルトでは無効になっています。

      このオプションを有効にする場合は、MID アプリケーション名を指定する必要があります。

      Cloud (QRoC) で IBM QRadar を使用している場合は、チェックボックスがオフになっていることを確認します。
      MID アプリケーション名 環境に設定されている MID Server アプリケーションを指定します。MID Server アプリケーションが設定されていない場合は、この統合用の新しい MID Server アプリケーションを作成する必要があります。
      注:
      MID Server アプリケーションは、システム管理者ロールを持つユーザーのみが設定できます。
      新しい MID Server アプリケーションを作成するには、次の手順を実行します。
      • 移動先 MID サーバー > アプリケーション をクリックし、「 新規」をクリックします。
      • MID Server アプリケーションの名前を入力し、デフォルトとして使用する MID Server を選択します。
      • [すべてのアプリケーションに含める] チェックボックスをオフにして、[保存] をクリックします。
        IBM QRadar:MID Server の構成
      • [編集] をクリックします。[メンバーの編集] ページで、利用可能なすべての MID Server を選択し、[MID Server] リストに移動して、[保存] をクリックします。可用性に応じて、MID Server アプリケーションで構成された MID Server の 1 つが使用されます。
    6. 構成の詳細を入力し、作成した MID Server アプリケーションを指定します。

      IBM QRadar:構成タイル

      [IBM QRadar 違反の取り込み構成] フォームで構成したソースは、各プロファイルが違反を取り込む限り、複数の Now Platform プロファイルで再利用できます。

    7. [Submit] をクリックします。
      検証と送信が正常に完了すると、各 IBM QRadar サーバー構成は [セキュリティ統合] ページにタイルとして保存されます。保存された構成タイルが右上隅にある [セキュリティ統合] ページに表示されていない場合、[構成を表示] 選択リストから [はい] をクリックします。
      注:
      IBM QRadar ドメインセグメンテーション機能で問題が発生した場合は、 IBM QRadar カスタマーサポートにお問い合わせください。

    次のタスク

    アプリケーションのインストールと設定が正常に完了しました。次のステップは、プロファイルの作成です。