공격 수집 통합을 위한 IBM QRadar 애플리케이션 설치 및 구성 ServiceNow

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 인스턴스에서 통합을 Now Platform® 실행하기 전에 다음 설치 및 구성 단계를 완료하여 애플리케이션이 인스턴스의 및 보안 운영 제품과 Now Platform 제대로 통합 보안 인시던트 응답 되도록 합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 통합을 위해 애플리케이션을 ServiceNow Store 설치하지 IBM QRadar 않은 경우 를 참조 보안 운영 통합 설치 하고 단계에 따라 설치합니다.
    2. 애플리케이션을 성공적으로 설치한 후 통합 > 통합 구성 타일을 IBM QRadar 찾습니다.
    3. 애플리케이션을 구성하려면 새로 만들기를 클릭합니다.
    4. 또는 구성 단추가 타일에 표시되면 클릭하여 기존 구성을 편집합니다.
    5. 표시되는 위반 수집 구성 대화 상자에서 필드를 채웁니다.
      필드설명
      이름 IBM QRadar 통합에 사용되는 콘솔 또는 IBM QRadar 인스턴스의 이름입니다.

      이름에는 공백이 지원되지만 괄호는 지원되지 않습니다.
      IBM QRadar API 기본 URL 인스턴스의 호스트 URL입니다 IBM QRadar .
      주:
      여기에 URL과 포트 번호만 입력해야 합니다. 예를 들어 https://ibm-qradar.com:8443. 포트 번호가 443이면 명시적으로 입력할 필요가 없습니다.
      IBM QRadar 대시보드 URL 대시보드 또는 콘솔의 URL입니다 IBM QRadar . 이 URL은 대시보드에서 IBM QRadar 위반에 대한 하이퍼링크를 자동으로 구성하는 데 사용됩니다.

      호스트 URL만 입력합니다(예: https://qradar.com). 예를 들어, https://qradar.com/console/qradar/jsp/QRadar.jsp 잘못된 형식이므로 URL에 .jsp 포함하지 마십시오.

      주:
      대시보드 URL을 사용할 수 없는 경우 여기에 API 기준 URL을 IBM QRadar 입력합니다.
      IBM QRadar API 버전 버전 10 이상이 지원됩니다.
      IBM QRadar API 인증 서비스 토큰(온프레미스) 인증된 서비스 토큰이 IBM QRadar 인증에 사용됩니다. 인증된 서비스 토큰에는 제한이 없는 사용자 보안 프로필과 함께 위반, 로그 활동네트워크 활동 과 같은 최소 사용자 역할이 있어야 합니다.
      권한 있는 서비스 토큰을 생성하려면 다음 단계를 수행합니다.
      • IBM QRadar 콘솔에서 Admin 탭으로 이동하여 Authorized Services를 클릭합니다.
      • 유효한 인증된 서비스 토큰이 있는 경우 만료 날짜를 확인하고 이 토큰을 사용합니다.
      권한 부여된 서비스 토큰을 사용할 수 없는 경우 다음 단계를 수행합니다.
      • 에서 IBM QRadarAdmin 탭으로 이동하여 Authorized Service를 클릭합니다.
      • Add Authorized Service (인증된 서비스 추가)를 클릭하고 사용자 역할 및 보안 프로파일을 사용하여 토큰을 생성합니다. 유효 기간이 긴 경우 만료 날짜를 지정해야 합니다.
      IBM QRadar API 인증 서비스 토큰(QRoC용) IBM QRadar on Cloud (QRoC) 를 사용 중인 경우, 셀프 서비스 애플리케이션을 사용하여 인증을 위한 관리자 역할 및 관리자 보안 프로파일로 권한 부여된 서비스 토큰을 생성하십시오.
      직접 배포 기본값은 사용 안 함입니다.

      이 옵션을 사용하는 경우 MID 애플리케이션 이름을 지정해야 합니다.

      On Cloud (QRoC) 를 사용하는 IBM QRadar 경우 선택란이 선택 취소되어 있는지 확인하십시오.
      MID 애플리케이션 이름 사용자 환경에 설치된 MID 서버 애플리케이션을 지정합니다. MID 서버 애플리케이션을 구성하지 않은 경우 이 통합을 위해 새 MID 서버 애플리케이션을 만들어야 합니다.
      주:
      MID 서버 애플리케이션은 시스템 관리자 역할의 사용자만 구성할 수 있습니다.
      그림 1. 최소 사용자 역할
      최소 사용자 역할
      새 MID 서버 애플리케이션을 작성하려면 다음 단계를 따르십시오.
      • 다음으로 이동 MID 서버 > 애플리케이션 을 클릭하고 신규를 클릭합니다.
      • MID 서버 애플리케이션의 이름을 입력하고 기본값으로 사용할 MID 서버를 선택합니다.
      • 애플리케이션 ALL에 포함됨 확인란의 선택을 취소하고 저장을 클릭합니다.
        IBM QRadar: MID 서버 구성
      • 편집을 클릭합니다. 구성원 편집 페이지에서 사용 가능한 모든 MID Server를 선택하고 MID 서버 목록으로 이동한 다음 저장을 클릭합니다. 가용성에 따라 MID Server 애플리케이션으로 구성된 MID Server 중 하나가 사용됩니다.
    6. 구성 상세 정보를 입력하고 생성한 MID 서버 애플리케이션을 지정합니다.

      IBM QRadar: 구성 타일

      IBM QRadar Offense Ingestion Configuration 양식에서 구성하는 소스는 각 프로파일이 위반을 수집하는 한 여러 Now Platform 프로파일에 재사용할 수 있습니다.

    7. 제출을 클릭합니다.
      성공적으로 확인 및 제출된 각 IBM QRadar 서버 구성은 보안 통합 페이지에 타일로 저장됩니다. 저장된 구성 타일이 보안 통합 페이지에 표시되지 않으면 페이지 오른쪽 상단 모서리에 있는 구성 선택 목록 표시에서 예를 클릭합니다.
      주:
      도메인 세분화 기능에 문제가 IBM QRadar 발생하면 고객 지원에 문의하여 IBM QRadar 도움을 받으십시오.

    다음에 수행할 작업

    애플리케이션을 성공적으로 설치하고 구성했습니다. 다음 단계는 프로필을 만드는 것입니다.