Instalar e configurar a aplicação ServiceNow para a integração de ingestão de infração IBM QRadar

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Antes de executar a integração em sua instância Now Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre corretamente aos produtos Security Incident Response e Operações de segurança em sua instância Now Platform.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se você não instalou a aplicação [ IBM QRadar de ServiceNow Store para a integração, consulte e siga as etapas para instalá-la.
    2. Depois de instalar a aplicação com sucesso, navegue até Integrações > Configurações de integrações e localize o bloco IBM QRadar.
    3. Para configurar a aplicação, clique em Novo.
    4. Como alternativa, se um botão Configurar for exibido em um bloco, clique nele para editar uma configuração existente.
    5. Na caixa de diálogo Configuração de ingestões de infração exibida, preencha os campos.
      CampoDescrição
      Nome Nome do console IBM QRadar ou da instância IBM QRadar usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis.
      URL base da API do IBM QRadar URL do host para sua instância IBM QRadar.
      Nota:
      Você precisa inserir apenas o URL e o número da porta aqui. Por exemplo, https://ibm-qradar.com:8443. Se o número da porta for 443, ele não precisará ser inserido explicitamente.
      URL do painel do IBM QRadar O URL do painel IBM QRadar ou do console. Este URL é usado para construir automaticamente os hiperlinks para infrações no painel IBM QRadar.

      Insira somente a URL do host, por exemplo, https://qradar.com. Não inclua .jsp no URL, por exemplo, https://qradar.com/console/qradar/jsp/QRadar.jsp é um formato inválido.

      Nota:
      Se a URL do painel não estiver disponível, insira a URL base da API IBM QRadar aqui.
      IBM QRadar Versão da API As versões 10 e superiores são compatíveis.
      IBM QRadar Token de serviço autorizado da API (no local) O IBM QRadar token de serviço autorizado é usado para autenticação. O token de serviço autorizado deve ter a função de usuário administrador e o perfil de segurança de administrador.
      Para gerar o token de serviço autorizado, siga estas etapas:
      • No console IBM QRadar, navegue até a guia Administrador e clique em Serviços autorizados.
      • Se existir um token de serviço autorizado válido, verifique a data de vencimento e use este token.
      Se um token de serviço autorizado não estiver disponível, siga estas etapas:
      • No IBM QRadar, navegue até a guia Administrador e clique em Serviço autorizado.
      • Clique em Adicionar serviço autorizado e crie um token com a função de usuário administrador e o perfil de segurança de administrador. Certifique-se de especificar uma data de vencimento para um longo período de validade.
      IBM QRadar Token de serviço autorizado da API (para QRoC) Se você estiver usando o IBM QRadar on Cloud (QRoC), use a aplicação de autoatendimento para gerar o token de serviço autorizado com função de usuário administrador e perfil de segurança de administrador para autenticação.
      Implantação no Local O padrão é desabilitado.

      Se esta opção estiver habilitada, você deverá especificar um Nome da aplicação MID.

      Se você estiver usando IBM QRadar na nuvem (QRoC), verifique se a caixa de seleção está desmarcada.
      Nome da aplicação MID Especifique uma aplicação de MID Server que esteja configurada em seu ambiente. Se você não tiver uma aplicação de MID Server configurada, deverá criar uma nova aplicação de MID Server para esta integração.
      Nota:
      A aplicação do MID Server pode ser configurada somente por usuários com a função de administrador do sistema.
      Para criar uma nova aplicação do MID Server, siga estas etapas:
      • Navegar até MID Server > Aplicações e clique em Novo.
      • Insira um nome para a aplicação do MID Server e selecione um MID Server a ser usado como padrão.
      • Desmarque a caixa de seleção Incluído na aplicação TODAS e clique em Salvar.
        IBM QRadar: configurar o MID Server
      • Clique em Editar. Na página Editar Membros, selecione todos os MID Servers disponíveis, mova-os para a Lista de MID Servers e clique em Salvar. Dependendo da disponibilidade, um dos MID Servers configurados com a aplicação MID Server será usado.
    6. Insira os detalhes da configuração e especifique a aplicação do MID Server que você criou.

      IBM QRadar: bloco de configuração

      A origem que você configura no formulário Configuração de ingestão de infração do IBM QRadar pode ser reutilizada para vários Now Platform perfis, desde que cada perfil ingira infrações.

    7. Clique em Enviar.
      Depois de ser validada e enviada com sucesso, cada configuração de servidor IBM QRadar é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista de seleção Mostrar configurações, clique em Sim.
      Nota:
      Se você encontrar alguns problemas com o recurso de segmentação de domínio IBM QRadar, entre em contato com o Suporte ao cliente IBM QRadar para obter assistência.

    O que Fazer Depois

    Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar o perfil.