Definir programação para a integração IBM QRadar
Você pode definir a programação para a ingestão de infração. Durante esta etapa, você pode verificar as configurações padrão para a recuperação da ofensa ou modificar a programação conforme necessário. Esta etapa também permite que você recupere o histórico de infrações usando um intervalo de datas.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
Você pode escolher se deseja ingerir alguma ofensa histórica durante a etapa de Programação. Você também escolhe com que frequência pesquisará novas infrações futuras e infrações atualizadas que correspondam à configuração do perfil.
Como um usuário com a função sn_si.admin, você configura esses intervalos de pesquisa por perfil. O desempenho da integração de ingestão de infração IBM QRadar pode ser afetado pelos diferentes intervalos de pesquisa. Ao programar, talvez você prefira equilibrar a redução da sobrecarga de pesquisa no servidor IBM QRadar com o desejo de ser notificado o mais rápido possível quando uma ofensa for criada ou atualizada. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.
Extraindo ofensas novas e atualizadas
Quando a programação de pesquisa é definida, o trabalho programado extrai ofensas novas e atualizadas que foram extraídas anteriormente, mas não atenderam aos critérios de filtragem de incidentes. Isso fornece a flexibilidade para criar incidentes com base em critérios que podem não estar presentes quando uma ofensa é criada pela primeira vez, mas se tornam disponíveis após uma atualização, por exemplo, durante a fase de investigação. Depois que um incidente é criado para uma ofensa específica, suas atualizações subsequentes são ignoradas, pois é esperado que a ofensa agora seja tratada como um incidente de segurança ativo ServiceNow. No entanto, todas as outras ofensas que foram ingeridas anteriormente, mas não atenderam aos critérios de geração de incidentes, continuarão a ser extraídas e verificadas em relação aos critérios de geração de incidentes até que se tornem parte de um incidente ativo.
Procedimento
-
Escolha um para programar como e quando as ofensas são extraídas do console IBM QRadar.
Opção Descrição Campo de ingestão de infração contínua selecionado Infração em andamento Com base na configuração padrão, a instância Now Platform extrai do servidor IBM QRadar para ofensas novas e atualizadas a cada cinco minutos. Os incidentes de segurança serão criados se forem encontradas infrações e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a sobrecarga de pesquisa de ingestão para obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, este valor pode ser modificado para até um minuto, se necessário.
- Ingestão de infração em andamento selecionada
- Definir tempo de ingestão da ofensa inicial
Tempo de ingestão inicial Se você quiser programar a ingestão inicial em um horário específico, siga estas etapas:- Selecione os campos Ingestão de infração em andamento e Definir tempo de ingestão de infração inicial.
- Especifique a hora no campo Entrada de tempo de adição da ofensa inicial.
A ingestão inicial ocorrerá no horário especificado aqui. As adições subsequentes serão baseadas na programação definida no campo Incremento de pesquisa (minutos).
Como exemplo para programar um horário de ingestão de infração inicial, se você tiver uma verificação de segurança diária IBM QRadar que é executada uma vez por dia às 4h no horário local, é possível configurar o perfil de infração correspondente em sua instância Now Platform para ser executado às 4h05 Hora local AM para capturar a falha de segurança imediatamente e criar um incidente de segurança.
Enter<date> 04 05 00 no campo Ingestão de infração inicial. No campo Incremento de pesquisa (minutos), insira<date> 1440 (24 horas) para programar a próxima ingestão de infração por 24 horas a partir da ingestão de infração inicial. O tempo de ingestão da ofensa inicial e o tempo de ingestão da próxima ofensa são exibidos nos campos.
A ingestão inicial ocorrerá às 4h05. As adições subsequentes serão baseadas no intervalo de pesquisa. Nesse caso, como o incremento de pesquisa é de 24 horas, a próxima ingestão ocorrerá no dia seguinte às 4h05.
Campo de recuperação única selecionado Recuperação Única Use esta configuração se quiser que uma extração única inclua ofensas históricas.
Quando esta configuração é definida, um perfil é usado uma vez para recuperar infrações de eventos históricos que são baseados em um intervalo de datas. À direita do campo Desde a data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair as infrações. Começando com o valor de data Desde, as infrações são recuperadas até a data atual. Observe que você pode retroceder até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de infrações históricas de IBM QRadar por motivos de arquivamento, mas sim uma quantidade mínima de infrações em andamento que estão sendo trabalhadas ativamente no momento da ativação do perfil.
Depois que as infrações forem extraídas, esta configuração não recuperará mais infrações para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todas as infrações encontradas para o intervalo inserido.