공격 수집 통합을 위한 IBM QRadar 애플리케이션 설치 및 구성 ServiceNow

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 인스턴스에서 Now Platform® 통합을 실행하기 전에 다음 설치 및 구성 단계를 완료하여 애플리케이션이 인스턴스의 Now Platform AND Security Operations 제품과 올바르게 통합 보안 인시던트 응답 되도록 합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 통합을 위해 애플리케이션을 ServiceNow Store 설치 IBM QRadar 하지 않은 경우 설치 단계를 참조 Security Operations 통합 설치 하고 따르십시오.
    2. 애플리케이션을 성공적으로 설치한 후 다음으로 이동합니다. 통합 > 통합 구성 을 클릭하고 타일을 IBM QRadar 찾습니다.
    3. 응용 프로그램을 구성하려면 New( 새로 만들기)를 클릭합니다.
    4. 또는 구성 버튼이 타일에 표시되면 이를 클릭하여 기존 구성을 편집합니다.
    5. 표시되는 Offense Ingestions Configuration 대화 상자에서 필드를 채웁니다.
      필드설명
      이름 통합에 IBM QRadar 사용되는 콘솔 또는 IBM QRadar 인스턴스의 이름입니다.

      이름에 공백은 지원되지만 괄호는 지원되지 않습니다.
      IBM QRadar API 기준 URL 인스턴스의 호스트 URL입니다 IBM QRadar .
      주:
      여기에 URL과 포트 번호만 입력하면 됩니다. 예: https://ibm-qradar.com:8443. 포트 번호가 443이면 명시적으로 입력할 필요가 없습니다.
      IBM QRadar 대시보드 URL 대시보드 또는 콘솔의 IBM QRadar URL입니다. 이 URL은 대시보드에서 범죄에 IBM QRadar 대한 하이퍼링크를 자동으로 구성하는 데 사용됩니다.

      호스트 URL(예: https://qradar.com)만 입력합니다. URL에 .jsp 포함하지 마십시오(예: https://qradar.com/console/qradar/jsp/QRadar.jsp 잘못된 형식임).

      주:
      대시보드 URL을 사용할 수 없는 경우 여기에 API 기준 URL을 IBM QRadar 입력합니다.
      IBM QRadar API 버전 버전 10 이상이 지원됩니다.
      IBM QRadar API 인증 서비스 토큰(온-프레미스) 인증된 서비스 토큰이 IBM QRadar 인증에 사용됩니다. 인증된 서비스 토큰에는 관리자 사용자 역할과 관리자 보안 프로필이 있어야 합니다.
      인증된 서비스 토큰을 생성하려면 다음 단계를 수행합니다.
      • IBM QRadar 콘솔에서 Admin(관리) 탭으로 이동하고 Authorized Services(공인 서비스)를 클릭합니다.
      • 유효한 권한 있는 서비스 토큰이 있는 경우 만료 날짜를 확인하고 이 토큰을 사용합니다.
      권한 있는 서비스 토큰을 사용할 수 없는 경우 다음 단계를 수행합니다.
      • 에서 IBM QRadarAdmin(관리) 탭으로 이동하고 Authorized Service(공인 서비스)를 클릭합니다.
      • Add Authorized Service(권한 있는 서비스 추가)를 클릭하고 Admin 사용자 역할 및 Admin 보안 프로필을 사용하여 토큰을 생성합니다. 긴 유효 기간에 대해 만료 날짜를 지정해야 합니다.
      IBM QRadar API 인증 서비스 토큰(QRoC용) IBM QRadar on Cloud(QRoC)를 사용 중인 경우, 셀프 서비스 애플리케이션을 사용하여 인증을 위한 관리자 사용자 역할 및 관리자 보안 프로파일로 권한 부여된 서비스 토큰을 생성하십시오.
      직접 배포 기본값은 disabled입니다.

      이 옵션을 사용하는 경우 MID 애플리케이션 이름을 지정해야 합니다.

      온 클라우드(QRoC)를 사용 IBM QRadar 중인 경우 선택란이 선택 취소되었는지 확인하십시오.
      MID 애플리케이션 이름 사용자 환경에 설정된 MID Server 애플리케이션을 지정합니다. MID 서버 애플리케이션을 구성하지 않은 경우 이 통합을 위해 새 MID 서버 애플리케이션을 만들어야 합니다.
      주:
      MID Server 애플리케이션은 시스템 관리자 역할을 가진 사용자만 구성할 수 있습니다.
      새 MID 서버 애플리케이션을 작성하려면 다음 단계를 수행하십시오.
      • 다음으로 이동 MID Server > 애플리케이션 을 클릭하고 새로 만들기를 클릭합니다.
      • MID Server 애플리케이션의 이름을 입력하고 기본값으로 사용할 MID Server를 선택합니다.
      • Included in application ALL(애플리케이션 모두에 포함) 확인란의 선택을 취소하고 Save(저장)를 클릭합니다.
        IBM QRadar: MID Server 구성
      • 편집을 클릭합니다. 구성원 편집 페이지에서 사용 가능한 모든 MID Server를 선택하고 MID Server 목록으로 이동한 다음 저장을 클릭합니다. 가용성에 따라 MID 서버 애플리케이션으로 구성된 MID 서버 중 하나가 사용됩니다.
    6. 구성 상세 정보를 입력하고 생성한 MID Server 애플리케이션을 지정합니다.

      IBM QRadar: 구성 타일

      IBM QRadar Offense 수집 구성 양식에서 구성하는 소스는 각 프로파일이 범죄를 수집하는 한 여러 Now Platform 프로파일에 재사용할 수 있습니다.

    7. 제출을 클릭합니다.
      유효성이 검사되고 제출되면 각 IBM QRadar 서버 구성이 보안 통합 페이지에 타일로 저장됩니다. 저장된 구성 타일이 보안 통합 페이지에 표시되지 않으면 페이지 오른쪽 위에 있는 구성 선택 표시 목록에서 예를 클릭합니다.
      주:
      도메인 세분화 기능에 문제가 IBM QRadar 발생하면 고객 지원에 도움을 요청 IBM QRadar 하십시오.

    다음에 수행할 작업

    애플리케이션을 성공적으로 설치하고 구성했습니다. 다음 단계는 프로필을 만드는 것입니다.