Arbeitsnotiz

Eine Arbeitsnotiz mit Details zu dem Vergehen, das den Security Incident ausgelöst hat, wird veröffentlicht.

Klicken Sie auf den Link für den Verstoß, um zum internen Security Incident-Datensatz zu navigieren. Der Hyperlink Hier klicken führt Sie zum Dashboard IBM QRadar, in dem Sie die Vergehensdetails anzeigen können.

Wenn Sie die Option Arbeitsnotiz für neuen Verstoß protokollieren in den Kriterien für die Zusammenfassung von Straftaten ausgewählt haben, wie in IBM QRadar -Angriffsfelder werden Security Incident-Antwortfeldern zugeordnetbeschrieben, wird bei der Zusammenfassung des Vergehens eine Arbeitsnotiz veröffentlicht.

Zusammengefasste Straftaten

Klicken Zugehörige Listen > Zusammengefasste IBM QRadar-Vergehen , um die zum Security Incident zusammengefassten Straftaten anzuzeigen. Klicken Sie auf den Hyperlink QRadar-Vergehen, um den Vergehen im Dashboard IBM QRadar anzuzeigen.

Security Incident erstellen: Wählen Sie einen Verstoß aus der Liste aus, klicken Sie auf das Menü Aktionen und dann auf Security Incident erstellen. Diese Option erstellt einen Security Incident für den Vergehen, und dieser Vergehen wird vom übergeordneten Security Incident getrennt.

Verstoßdatensatz löschen: Wählen Sie einen Verstoß aus der Liste aus, klicken Sie auf das Menü Aktionen und dann auf Löschen. Mit dieser Option wird der Vergehensdatensatz gelöscht.

Aktualisierungen für IBM QRadar-Vergehen

Dies zeigt die standardmäßigen und benutzerdefinierten Vergehensfelder und verfolgt Änderungen am Vergehen während jedes Abfrageintervalls. Dies ist hilfreich, da Sie Aktualisierungen von Vergehen direkt anzeigen können, ohne zum Dashboard IBM QRadar navigieren zu müssen. Alle Änderungen an den Werten werden in den Feldern Vorheriger Wert und Aktueller Wert angezeigt.

Um die Funktion „Aktualisierungen von Straftaten“ zu aktivieren, navigieren Sie zu Integration mit IBM QRadar > IBM QRadar-Integrationseinstellungen und aktivieren Legen Sie diese Eigenschaft fest, um die Funktion „Aktualisierungen von Straftaten“ zu aktivieren. Standardmäßig ist diese Einstellung deaktiviert.

Aktuelle IBM QRadar-Events

Klicken Sie unter Zugehörige Links auf die Option Recent IBM QRadar Events abrufen, um die neuesten IBM QRadar Events anzuzeigen.

Standardmäßig werden maximal 100 Events angezeigt. Sie können diese Standardeinstellung in IBM QRadar Konfigurationseinstellungen für -Integrationenändern.

Hinweis:

Die obige Abbildung zeigt die standardmäßigen Event-Felder, die dem Vergehen zugeordnet sind. Wenn Sie benutzerdefinierte Event-Felder konfiguriert und zugeordnet haben (siehe IBM QRadar -Angriffsfelder werden Security Incident-Antwortfeldern zugeordnet), können Sie sie in der Listenansicht anzeigen, indem Sie auf den Link Event-Name klicken.

Aktuelle IBM QRadar-Flows

Mit Integration Hub und Flow Designer sind mehrere Flows, Subflows und Aktionen mit der IBM QRadar -Integration verfügbar. Wenn Sie unter den zugehörigen Links auf die Option Recent IBM QRadar Flows abrufen klicken, werden die neuesten Flows abgerufen. Um diese Flows anzuzeigen, klicken Sie auf Recent IBM QRadar Flows(Letzte IBM QRadar-Flows).