Configure sua instância Now Platform para a integração de ingestão de infração IBM QRadar

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir em sua instância Now Platform® antes de instalar a aplicação do ServiceNow Store.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração sem problemas.

    Configuração de tarefa Descrição

    Verifique se você atribuiu as funções Now Platform® e Security Incident Response (SIR) necessárias.

    As funções a seguir são necessárias para a instalação, configuração e uso da integração na sua instância Now Platform®.

    • Um usuário com a função de administrador Now Platform® (admin) instala a aplicação a partir do ServiceNow Store e atribui a função de administrador de incidente de segurança (sn_si.admin).
    • Um usuário com a função sn_si.admin supervisiona as seguintes tarefas no Now Platform®:
      • Nomeia, cria e edita perfis de infração.
      • Seleciona e mapeia IBM QRadar campos de dados de infração para os campos de incidente de segurança.
      • Visualiza os detalhes do incidente de segurança para precisão antes de finalizar a configuração.
      • Programa a ingestão de infração em andamento.
      • Habilita atualizações de infração quando um incidente de SIR é criado e encerrado.
      • Atribui a função de analista de incidente de segurança (sn_si.analyst).
      • Usuários com o sn_si.analyst trabalham com incidentes de segurança.

    Para obter mais informações sobre funções e atribuição de funções a usuários, consulte Funções no site de documentação do produto da ServiceNow.
    Verifique se você está usando as seguintes versões:
    • IBM QRadar versão 7.3.2 ou posterior.
    • IBM QRadar API versão 10 ou posterior.
    Versões anteriores não são compatíveis.

    Se você tiver acesso ao console IBM QRadar, terá acesso à API necessária para esta integração. Não há nenhuma outra configuração especial necessária para a API.
    Verifique se você instalou e configurou uma aplicação do MID Server. Aplicação do MID Server configurada.

    Um MID Server em sua instância Now Platform® é necessário para se conectar ao serviço IBM QRadar se o servidor IBM QRadar for implantado em sua rede corporativa. Consulte o site de documentação do produto da ServiceNow para obter informações sobre MID Servers.

    Se você estiver usando o serviço em nuvem IBM QRadar, um MID Server não será necessário.

    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas antes de instalar a aplicação para a integração.

    Verifique se as seguintes Security Operations aplicações estão instaladas e ativadas a partir de ServiceNow Store. Se não estiverem instalados, instale e ative um aplicativo de cada vez na ordem a seguir para garantir uma instalação sem problemas.

    1. Security Incident Response
    2. Ingestão de eventos e alertas para Security Operations: esta aplicação requer:
      • com.glide.hub.integration.runtime => ServiceNow IntegrationHub Runtime
      • com.glide.hub.action_step.rest => Etapa de ação do ServiceNow IntegrationHub - REST
      Nota:
      Os componentes do Integration Hub são instalados junto com o plug-in Event and Alert Ingestion. Se eles não estiverem instalados, entre em contato com o Suporte ao cliente para obter assistência.

    Para obter mais informações sobre como instalar as aplicações principais Security Operations, consulte Obter direito para um produto ou aplicação Security Operations e Ativar uma aplicação ServiceNow Store.

    O que Fazer Depois

    Você configurou com sucesso sua instância Now Platform® para a integração. A próxima etapa é instalar a aplicação [ IBM QRadar de ServiceNow Store para a integração.