IBM QRadar -Angriffsfelder werden Security Incident-Antwortfeldern zugeordnet

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 9 Minuten Lesedauer

    • Ordnen Sie einzelne Vergehens-, Event- und Flow-Felder Feldern in einem Now Platform SIR Security Incident zu.

    Feldzuordnung für Vergehen

    Verwenden Sie als Benutzer mit der Rolle „sn_si.admin“ die Felder aus dem Abschnitt „Beispielvergehen“ auf der linken Seite, und ordnen Sie sie den Security Incident-Feldern in der Spalte SIR-Incident-Feldzuordnung zu. Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Vergehen-, Event- oder Flow-Felder von der linken Seite ziehen und sie im Incident-Zuordnungsabschnitt ServiceNow SIR auf der rechten Seite ablegen. Die Zuordnung auf der rechten Seite ordnet das eingehende Vergehensfeld einem ausgehenden Security Incident-Feld zu.

    1. Nachdem Sie die Beispieldaten abgerufen haben, ordnen Sie im nächsten Schritt die Felder für Vergehen, Ereignisse oder Flows dem Security Incident zu. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken und halten Sie einen blauen Feldnamen auf der linken Seite des Formulars.
    2. Ziehen Sie den Feldnamen, z. B. Beschreibung, in ein Feld in der Spalte Eingabeausdruck neben einem Feldnamen in der Spalte Security Incident.
      Der Feldwert wird in der Spalte Eingabeausdruck angezeigt. In der folgenden Abbildung wird die Beschreibung dem Feld Beschreibung im Security Incident zugeordnet.
      IBM QRadar: Profil erstellen: Zuordnung: SIR1
      Hinweis:
      Wenn Sie den Event- oder Flow-Feldnamen manuell im Abschnitt „Eingabeausdruck“ eingeben, müssen Sie vor dem Namen des zugeordneten Felds ein Präfix wie ${Event:eventfield}$ oder ${Flow:flowfield}$ hinzufügen.

      IBM QRadar: Profil erstellen: Zuordnung: SIR2

      Damit Sie sicherstellen können, dass keine Vergehen-, Event- oder Flow-Felder im Zuordnungsprozess übersehen oder dupliziert werden, sind die Felder farbcodiert. Die Farbcodierung der Vergehen-Felder hilft Ihnen, die Vergehen-Werte nachzuverfolgen, die Sie bereits zugeordnet haben, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder in Blau angezeigt werden. Auf diese Weise können Sie besser visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Vergehensinformationen nicht zugeordnet wurden.

      Hellblaue Felder auf der linken Seite zeigen an, dass noch kein Vergehensfeld ausgewählt und dem Security Incident zugeordnet wurde. Möglicherweise möchten Sie einen eingehenden Verstoß, ein Ereignis oder ein Flow-Feld mehr als einem Feld in einem Security Incident zuordnen. Ein graues Feld zeigt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.

    3. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen:
      1. Klicken Sie rechts im Formular im Abschnitt „SIR-Incident-Feldzuordnung“ am unteren Rand des Rasters auf das Pluszeichen (+). Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Auswahlliste, und wählen Sie ein Feld aus.
        In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert dargestellt. In der folgenden Abbildung hat die Kategorie einen grauen Hintergrund, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Vergehensfelder auf der linken Seite des Formulars hilft Ihnen diese Farbcodierung für die Security Incident-Felder auf der rechten Seite, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.
        IBM QRadar: Profil erstellen: Zuordnung: SIR3
        Hinweis:
        Da mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „Erkennbares Element“ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
      4. Wählen Sie auf der linken Seite des Formulars das Feld „Vergehen“ aus, und ziehen Sie es per Drag-and-Drop in ein entsprechendes Feld für Security Incidents auf der rechten Seite.
    4. Entfernen Sie Felder mithilfe des Symbols „-“ neben dem Feldnamen im Abschnitt „SIR-Incident-Feldzuordnung“.
    5. Setzen Sie die Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder daraus entfernen.

    Straftatfelder mit mehreren Werten

    • Security Incident-Felder wie Kategorie und Benutzerfelder (z. B. Betroffener Benutzer, Zugewiesen an), die mit dem Basisprodukt verfügbar sind, unterstützen nicht mehrere Werte.
    • Die folgenden IBM QRadar Felder unterstützen mehrere Werte:
      • Kategorien
      • destination_networks
      • source_address_ids
      • local_destination_address_ids
      • remote_destination_ips
      • rules_contributing_to_offense
      • Benutzer

      Wenn Sie die obigen Felder anderen Security Incident Response -Feldern als CI- und erkennbaren Feldern zuordnen müssen, müssen Sie neue Security Incident Response -Felder vom Typ „ Liste “ erstellen und für die Zuordnung verwenden.

      Hinweis:
      Standardmäßig werden nur Nicht-Referenzfelder vom Typ Liste unterstützt.

    Formatfeldübersetzung

    In bestimmten Fällen werden Feldwerte für Vergehen in IBM QRadar möglicherweise nicht direkt in die Felder des SIR-Security Incident übertragen. Für diese Werte können Sie einen Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Zum Beispiel kann mit dem Skript-Editor ein Kategoriewert von Malware-Warnung und Virusinfection unterschiedliche Feldwerte für die Quellkategorie haben, aber beide Werte können in eine gemeinsame böswillige Codeaktivität im Feld Kategorie des SIR-Security Incident mit Format übersetzt werden Feldübersetzungsfunktion.

    Um den Skript-Editor zu verwenden, klicken Sie auf das Skriptsymbol IBM QRadar: Profil erstellen:. Der Skript-Editor wird angezeigt.
    IBM QRadar: Profil erstellen: Skript-Editor

    Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um die Änderungen zu speichern und zur Seite „Zuordnung“ zurückzukehren.

    Bedingungen für die Incident-Generierung

    Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, um anzugeben, welche Vergehen Security Incidents erstellen und welche Vergehen herausgefiltert werden sollen, z. B. Vergehen mit niedriger Priorität. Sie können dieselben Feldwerte im Generator für Bedingungen für die Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehender Verstoß erfüllen muss, um einen Security Incident zu erstellen. Führen Sie die folgenden Schritte aus, um Bedingungen für die Incident-Generierung festzulegen.
    1. Scrollen Sie im Formular zum Abschnitt „ Bedingungen für Incident-Generierung “, und aktivieren Sie das Kontrollkästchen Basierend auf Bedingungen filtern, um die Option zu aktivieren.

      Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den in den Feldern beschriebenen spezifischen Bedingungen entsprechen.

      Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen stimmen mit den Feldern überein, die im Abschnitt „Beispiel für QRadar-Offene Ingestion“ für die von Ihnen erfassten Vergehen angezeigt werden. Diese Felder sind dynamisch und ändern sich in Abhängigkeit von den von Ihnen erfassten Straftaten. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden, und sie müssen genau mit den Werten des Vergehens IBM QRadar übereinstimmen. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, kehren Sie möglicherweise zu Ihrer IBM QRadar -Konsole zurück und überprüfen Ihre Vergehen auf die Stichwörter.

      Hinweis:
      Die Felder „ categories“, „ destination_networks“, „source_address_ids“, „local_destination_address_ids“, „remote_destination_ips“, „regeln_contributing_to_offense“und „ users “ können mehrere Werte haben (da die Werte in Arrays gespeichert werden). Da die Filterbedingung nur Zeichenfolgen abrufen kann, müssen Sie für diese Felder die Filterbedingung Enthält verwenden, um sicherzustellen, dass die Daten richtig gefiltert werden.
    2. Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
    3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND oder ODER.
      • Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein.
      • Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein.
    4. (Optional) Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

      Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt sein müssen, bevor Security Incidents erstellt werden.


      IBM QRadar: Profil erstellen: Zuordnung: SIR5

      Sie haben die Generierungsbedingungen für Incidents so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.

      Diese Art der Filterung der Incident-Generierungsbedingung hilft Ihnen, die Vergehen einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegenden Regeln oder Filter in IBM QRadarzu ändern. Wenn zusätzliche Filterkriterien festgelegt sind, werden Incidents nur Vergehen zugeordnet, die allen Kriterien entsprechen.

      Hinweis:
      Wenn einer der Feldnamen für Vergehen Sonderzeichen enthält, z. B. Anführungszeichen (“), Bindestriche ('), Unterstriche (-) oder kaufmännische Und-Zeichen (@), müssen diese Zeichen möglicherweise zu Filterzwecken ersetzt werden, es wird jedoch ein numerisches Suffix angehängt Felder mit doppelten Vergehensnamen unterscheiden. Beispiel: Wenn das erste Vergehensfeld alerts.alert und das zweite Vergehensfeld alerts @alerts ist, können diese Felder nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Vergehensfeld ein Suffix hinzugefügt, und das Feld wird in alerts@alert(1) umbenannt, wenn es in der Liste „Filterbedingungen“ angezeigt wird.

    Zusammenfassungskriterien für Straftaten, um ähnliche Straftaten zu behandeln und doppelte Incidents zu verhindern

    Definieren Sie zusätzliche Vergehenszusammenfassungskriterien, die einen eingehenden Verstoß zu einem vorhandenen SIR-Security Incident zusammenfassen, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Durch die Verwendung von Wertkriterien für den Feldabgleich für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Vergehensdaten auf einem einzigen Security Incident platziert werden. Führen Sie die folgenden Schritte aus, um die Kriterien festzulegen:
    1. Scrollen Sie im Formular zum Abschnitt „Kriterien für die Zusammenfassung von Straftaten“, und aktivieren Sie das Kontrollkästchen „Zusammenfassungsbedingungen“, um diese Option zu aktivieren.

      Die Spalten „Übereinstimmungswerte für Incident-Feld“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle benutzerdefinierten Felder enthalten, die im Security Incident SIR konfiguriert wurden.

    2. Wählen Sie in der Liste Verfügbar die Feldwerte aus, die Sie mit vorhandenen Security Incidents in Now Platform abgleichen möchten, und verschieben Sie sie in die Liste Ausgewählt.

      Alle von Ihnen ausgewählten Feldwerte müssen übereinstimmen, um diese eingehende Warnung an einen vorhandenen Security Incident anzuhängen. Dies umfasst Felder wie erkennbare Elemente und Konfigurationselemente, denen mehrere Feldwerte für Vergehen zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte abgeglichen wird, sind die Bedingungen für die Zusammenfassung von Verstößen nicht erfüllt, und es wird ein neuer Security Incident erstellt. Im Screenshot unten sehen Sie die Zuordnung von Feldern mit mehreren Werten.


      IBM QRadar: Profil erstellen: Zuordnung: Zusammenfassung

      Wenn ein neuer Verstoß mit allen Werten übereinstimmt, die in den Zusammenfassungsfeldbedingungen im Zuordnungsschritt ausgewählt sind, wird der neue Verstoß automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Benutzer mit der Rolle sn_si.analyst, der an Security Incidents arbeitet, können Sie alle hinzugefügten zusammengefassten Vergehen in einer zugehörigen Liste zu einem Security Incident anzeigen. Diese Liste enthält die zugehörigen Zeitstempel und zusammengefassten Feldwerte. Diese Informationen helfen Ihnen zu verstehen, warum diese Straftaten zu vorhandenen Security Incidents zusammengefasst werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie zur linken Seite des Datensatzes unter Zugehörige Links, und klicken Sie auf den Link Alle zugehörigen Listen anzeigen.

    3. (Optional) Um eine Arbeitsnotiz für einen neuen Verstoß zu protokollieren, der dem Security Incident kürzlich hinzugefügt wurde, aktivieren Sie diese Option. Die Arbeitsnotiz protokolliert, dass ein neuer Vergehen hinzugefügt wurde, zusammen mit einem Link zu den Vergehensdetails und anderen Details, die dem Arbeitsnotizfeld in Ihrem Zuordnungsabschnitt hinzugefügt wurden.

      Sie haben Werte aus einem Vergehen IBM QRadar erfolgreich Feldern in einem Security Incident zugeordnet. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung zu begrenzen. Sie haben auch Vergehen an vorhandene Security Incidents angehängt, wenn Feldwerte für Vergehen den konfigurierten Zusammenfassungskriterien entsprechen.

    4. Klicken Sie auf Fortsetzen, um mit der Profilkonfiguration fortzufahren. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem SIR Security Incident zugeordnet haben