Automatisieren Sie die Aktualisierung und den Abschluss von Vergehen basierend auf dem SIR-Incident-Status

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die IBM QRadar -Integration verfügt über eine bidirektionale Schnittstelle, die die Erstellung von Security Incidents durch Vergehen ermöglicht, sowie über die Möglichkeit, die Vergehen zu aktualisieren, sobald der Security Incident mit relevanten Incident-Details wie Security Incident-Nummer und -Zuweisung erstellt und/oder geschlossen wurde -Gruppe, Security Incident-URL usw.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn die Seite „Zusätzliche Optionen“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zusätzliche Optionenaus.
    2. Befolgen Sie die nachstehenden Anweisungen, um die Konfiguration für die Aktualisierung von Verstößen abzuschließen, wenn der Security Incident erstellt wird.
      Option oder FeldBeschreibung
      Aktualisiert Vergehen bei SIR-Incident-Erstellung Wählen Sie diese Option aus, wenn Sie den Vergehenstatus aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn aus dem Vergehen ein Security Incident erstellt wird. Dies kann sowohl für die anfänglichen auslösenden Straftaten, die den Security Incident verursachen, als auch für zusammengefasste Straftaten auftreten.
      Anfängliche Aktualisierung des Vergehensstatus Sie können folgende Optionen auswählen:
      • Offen: Der Status des Vergehens wird auf „ Offen “ gesetzt, und es wird ein Kommentar hinzugefügt, der angibt, dass für den Vergehen ein Security Incident erstellt wurde.
      • Ausgeblendet: Der Status des Verstoßes wird auf Ausgeblendet gesetzt, und dieser Verstoß wird im Dashboard IBM QRadar ausgeblendet.
      Anfangskommentare, die an den Vergehen zurückgesendet werden Basierend auf der von Ihnen ausgewählten Phase werden hier die Anfangskommentare angezeigt, wie in der IBM QRadar -Konsole definiert.
      Schließt Verstöße bei Abschluss von SIR-Incidents aus Wählen Sie diese Option aus, wenn Sie die Option zum automatisierten Schließen von Straftaten verwenden möchten. Wenn der Security Incident in ServiceNow mit einem relevanten Abschlusscode geschlossen wird, wird der Verstoßstatus in IBM QRadar mit Abschlusskommentaren auf „ Geschlossen “ aktualisiert.
      Hinweis:
      Der für den Security Incident angegebene Abschlusscode muss dem im Dashboard IBM QRadar angegebenen Abschlussgrund entsprechen. Der Verstoß wird in IBM QRadar nur geschlossen, wenn ein entsprechender Abschlussgrund gefunden wird. Wenn kein entsprechender Grund gefunden wird, wird der Verstoß mit einem standardmäßigen Abschlusscode geschlossen.
      Abschlusskommentare wurden an „Vergehen“ zurückgesendet Die Abschlusskommentare, wie im Dashboard IBM QRadar definiert, werden hier angezeigt.
      Standardmäßiger Abschlussgrund, wenn ein Security Incident geschlossen wird Der Standardgrund, der verwendet werden soll, wenn ein Security Incident geschlossen wird. Wenn ein Security Incident geschlossen wird, wird im Security Incident-Datensatz ein Abschlusscode (oder der Grund für das Schließen) angegeben, wenn der Abschlusscode nicht mit dem in angegebenen Abschlussgrund übereinstimmt Im Dashboard IBM QRadar wird eine Fehlermeldung angezeigt, wenn Sie versuchen, den Security Incident zu schließen. In solchen Fällen wird der hier angegebene Standardabschlussgrund verwendet, wenn der Security Incident geschlossen wird.

      IBM QRadar: Profil erstellen: Straftat automatisieren
    3. Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen und das Profil in den Status Warten zu verschieben.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um basierend auf Ihrer Planung Vergehen aus der Konsole IBM QRadar abzurufen.