Mapeamento de campos de infração IBM QRadar para campos de resposta a incidente de segurança

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 10 min. de leitura

    • Mapeie campos de ofensa, evento e fluxo individuais para campos em um incidente de segurança Now Platform SIR.

    Mapeamento de campo de infração

    Como um usuário com a função sn_si.admin, use os campos da seção Infrações de amostra à esquerda e mapeie-os para os campos de incidente de segurança na coluna Mapeamento de campo de incidente SIR. Edite a configuração de mapeamento arrastando os campos de ofensa, evento ou fluxo do lado esquerdo e soltando-os na seção de mapeamento de incidente ServiceNow SIR à direita. O mapeamento à direita associa o campo de infração de entrada a um campo de incidente de segurança de saída.

    1. Depois de buscar os dados de amostra, a próxima etapa é mapear os campos de infração, evento ou fluxo para o incidente de segurança. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e mantenha pressionado um nome de campo azul no lado esquerdo do formulário.
    2. Arraste o nome do campo, por exemplo, descriçãoe solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.
      O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, a descrição é mapeada para o campo Descrição no incidente de segurança.
      IBM QRadar: criar perfil: mapeamento: SIR1
      Nota:
      Se você inserir o nome do campo de evento ou fluxo manualmente na seção Expressão de entrada, deverá adicionar um prefixo como ${Event:eventfield}$ ou ${Flow:flowfield}$ antes do nome do campo que está sendo mapeado.

      IBM QRadar: criar perfil: mapeamento: SIR2

      Para ajudar a garantir que nenhum campo de ofensa, evento ou fluxo seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. A codificação por cores dos campos de infração ajuda a rastrear os valores de infração que você já mapeou conforme eles se tornam esmaecidos, enquanto todos os campos não mapeados restantes aparecem em azul. Isso ajuda a visualizar melhor quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de infração importante restante permanece não mapeada.

      Os campos azul claro à esquerda indicam que um campo de infração ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar uma ofensa, um evento ou um campo de fluxo de entrada a mais de um campo em um incidente de segurança. Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Essa codificação de cores ajuda a rastrear o mapeamento.

    3. Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas:
      1. À direita do formulário na seção Mapeamento de campo de incidente de SIR, na parte inferior da grade, clique no ícone de adição (+). Um novo campo é exibido.
      2. Na coluna Incidente de segurança, expanda a lista de seleção exibida e selecione um campo.
        Na lista de seleção expandida para o novo campo, alguns campos estão sombreados. Na figura a seguir, Categoria tem um plano de fundo cinza porque foi mapeada no incidente de segurança. Semelhante à codificação de cores dos campos de infração no lado esquerdo do formulário, essa codificação de cores para os campos de incidente de segurança à direita ajuda a rastrear os campos de incidente de SIR já mapeados.
        IBM QRadar: criar perfil: mapeamento: SIR3
        Nota:
        Como vários observáveis podem ser exibidos no mesmo incidente de segurança, o campo Observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho oferecem suporte a vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, será exibida uma mensagem de erro informando que não há nenhum valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista de seleção na qual você pode escolher várias opções e você tentar mapear uma opção para esse campo que não é exibido na lista de seleção, o campo não será preenchido no incidente de segurança.
      3. Como alternativa, digite um valor no campo Pesquisar da nova linha.
      4. No lado esquerdo do formulário, selecione o campo de infração e arraste e solte-o em um campo de incidente de segurança apropriado à direita.
    4. Remova campos usando o ícone - ao lado do nome do campo na seção de mapeamento de campo de incidente SIR.
    5. Continue mapeando adicionando ou removendo valores de campo para o mapeamento.

    Campos de infração com vários valores

    • Os campos de incidente de segurança, como os campos Categoria e Usuário (por exemplo, Usuário afetado, Atribuído a) disponíveis com o produto base não oferecem suporte a vários valores.
    • Os seguintes campos IBM QRadar oferecem suporte a vários valores:
      • categorias
      • destino_redes
      • source_address_ids
      • local_destination_address_ids
      • remote_destination_ips
      • rules_contributing_to_offense
      • usuários

      Se você precisar mapear os campos acima para qualquer campo Security Incident Response além dos campos do tipo IC e Observável, deverá criar novos campos Security Incident Response do tipo Lista e usá-los para mapeamento.

      Nota:
      Por padrão, somente os campos do tipo Lista sem referência são compatíveis.

    Formatar tradução de campo

    Em determinados casos, os valores de campo de infração em IBM QRadar podem não ser traduzidos diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de script se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de script, um valor de categoria de Alerta de malware e Infecção de vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser convertidos em uma Atividade de código malicioso comum no campo Categoria no incidente de segurança SIR usando o formato Funcionalidade de tradução de campo.

    Para usar o editor de script, clique no IBM QRadar: Criar perfil: ícone de script. O editor de script é exibido.
    IBM QRadar: criar perfil: editor de script

    Insira as mudanças no script e clique em Atualizar para salvar as mudanças e retornar à página Mapeamento.

    Condições de geração de incidentes

    Depois que a seção de mapeamento estiver concluída, você poderá definir condições de filtro para especificar quais infrações devem criar incidentes de segurança e quais devem ser filtradas, por exemplo, infrações de baixa prioridade. Você pode usar os mesmos valores de campo no construtor Condições de geração de incidentes para definir critérios adicionais que uma ofensa de entrada deve satisfazer para criar um incidente de segurança. Para definir condições de geração de incidentes, siga estas etapas.
    1. Role até a seção Condições de geração de incidente no formulário e marque a caixa de seleção Filtrar com base nas condições para habilitar a opção.

      O construtor de Condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

      As opções nas listas de seleção para o primeiro campo no construtor de Condições de filtro correspondem aos campos que são exibidos na seção Ingestão de infração do QRadar de amostra para as infrações que você ingeriu. Esses campos são dinâmicos e mudam dependendo das ofensas que você ingere. Os critérios inseridos fazem distinção entre maiúsculas e minúsculas e devem corresponder exatamente aos valores da ofensa IBM QRadar. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao console IBM QRadar e revisar suas infrações para as palavras-chave.

      Nota:
      As categorias, target_networks, source_address_ids, local_destination_address_ids,remote_destination_ips, rules_contributing_to_offensee os campos de infração de usuários podem ter vários valores (já que os valores são armazenados em matrizes). Como a condição do filtro pode recuperar somente cadeias de caracteres, você deve usar a condição do filtro " contém " para esses campos para garantir que os dados sejam filtrados corretamente.
    2. Usando as listas de seleção e os campos do construtor de condições, defina filtros para a primeira linha.
    3. Para adicionar mais condições, à direita dos campos, clique em E ou OU.
      • Se AND for selecionado, todas as condições deverão ser correspondidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
    4. (Opcional) Na segunda linha, defina uma segunda condição de filtro.

      A imagem a seguir é um exemplo com duas condições que devem ser correspondidas antes que os incidentes de segurança sejam criados.


      IBM QRadar: criar perfil: mapeamento: SIR5

      Você definiu as condições de geração de incidentes para que os incidentes de segurança sejam criados somente quando ambas as condições de filtragem inseridas forem correspondidas.

      Esse tipo de filtragem de condição de geração de incidente ajuda a restringir as ofensas e limita o número de incidentes de segurança desnecessários que você cria sem modificar a regra subjacente ou os filtros em IBM QRadar. Se critérios de filtragem adicionais forem definidos, somente as infrações que corresponderem a todos os critérios serão mapeadas para incidentes.

      Nota:
      Se algum dos nomes de campo de infração tiver caracteres especiais, como aspas (“), hifens ('), sublinhados (-) ou e comercial (@), talvez esses caracteres precisem ser substituídos para fins de filtragem, mas um sufixo numérico será anexado a diferencie campos com nomes de infração duplicados. Por exemplo, se o primeiro campo de violação for alerts.alert e o segundo campo de violação for alerts@alerts, esses campos não poderão ser identificados exclusivamente, pois os caracteres de texto padrão restantes são os mesmos. Nesse caso, um sufixo é adicionado ao segundo campo de infração e o campo é renomeado para alerts@alert(1) quando exibido na lista Condições do filtro.

    Critérios de agregação de infração para lidar com infrações semelhantes e evitar incidentes duplicados

    Defina critérios de agregação de infração adicionais que agregam uma infração de entrada a um incidente de segurança SIR existente em vez de criar incidentes semelhantes, potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, essa capacidade de agregação adicional pode reduzir o número de incidentes de segurança ativos e sobrepostos, colocando todos os dados de infração relacionados em um único incidente de segurança. Para definir os critérios, siga estas etapas abaixo:
    1. Role até a seção Critérios de agregação de infração no formulário e marque a caixa de seleção Condições de agregação para habilitar esta opção.

      As colunas Valores correspondentes do campo de incidente são exibidas. Esses nomes de campo são os campos no incidente de segurança que incluem todos os campos personalizados que estão configurados no incidente de segurança SIR.

    2. Na lista Disponível, selecione os valores de campo que você deseja corresponder aos incidentes de segurança existentes no seu Now Platform e mova-os para a lista Selecionado.

      Todos os valores de campo selecionados devem ser correspondidos para anexar este alerta de entrada a um incidente de segurança existente. Isso inclui campos, como observáveis e itens de configuração, que podem ter vários valores de campo de ofensa mapeados para eles. Todos os valores devem corresponder. Se apenas um subconjunto dos valores for correspondido, as condições de agregação de infração não serão atendidas e um novo incidente de segurança será criado. Veja a captura de tela abaixo para mapeamento de campo de vários valores.


      IBM QRadar: criar perfil: mapeamento: agregação

      Se uma nova infração corresponder a todos os valores selecionados nas condições de campo de agregação na etapa de mapeamento, a nova infração será adicionada automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todas as ofensas agregadas adicionadas em uma lista relacionada em um incidente de segurança. Esta lista detalha os carimbos de data/hora associados e os valores de campos agregados. Essas informações ajudam a entender por que essas infrações estão sendo agregadas a incidentes de segurança existentes. Se esta guia não for exibida, role até o lado esquerdo do registro em Links relacionados e clique no link Mostrar todas as listas relacionadas.

    3. (Opcional) Para registrar uma anotação de trabalho para uma nova ofensa que foi adicionada recentemente ao incidente de segurança, marque a caixa de seleção para habilitar esta opção. A anotação de trabalho registra que uma nova infração foi adicionada junto com um link para os detalhes da infração e quaisquer outros detalhes que possam ter sido adicionados ao campo de anotação de trabalho na seção de mapeamento.

      Você mapeou com sucesso valores de uma ofensa IBM QRadar para campos em um incidente de segurança. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidentes. Você também anexou infrações a incidentes de segurança existentes quando os valores do campo de infração correspondem aos critérios de agregação configurados.

    4. Clique em Continuar para prosseguir com a configuração do perfil. A próxima etapa é visualizar os campos mapeados em um incidente de segurança SIR