Introdução ao IBM QRadar - Incident Enrichment integration

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • IBM QRadar é um produto de gestão de eventos e informações de segurança empresarial (SIEM) que se integra facilmente com Operações de segurança. Antes de poder usar a integração IBM QRadar - Incident Enrichment, você deve baixá-la do ServiceNow Store e adicionar a URL Base de API e a Chave de API apropriadas.

    Antes de Iniciar

    Função necessária: sn_si_admin

    Procedimento

    1. Baixe a integração do ServiceNow Store.
    2. Quando a instalação estiver concluída, acesse IBM QRadar e obtenha a URL base da API e a chave de API no seu perfil IBM QRadar.
    3. Em sua instância, navegue até Operações de segurança > Integrações > Configurações de Integração.
      As integrações de segurança disponíveis aparecem como uma série de cartões.
    4. No cartão IBM QRadar - Aprimoramento de incidentes, clique em Novo.
      IBM QRadar - Configuração de aprimoramento de incidente
    5. Preencha os campos conforme necessário.
      Campo Descrição
      Nome O nome desta configuração.
      URL de Base de API do QRadar A URL base que você adquiriu do site IBM QRadar.
      URL do Link [Opcional] A URL do link que vincula a uma instância IBM QRadar, quando disponível.
      Versão A versão IBM QRadar ; 5.0 é o padrão.
      Chave de API A chave de API que você obteve do site IBM QRadar.
      Máximo de linhas O número máximo de linhas que você deseja pesquisar.
      Resultado Mais Antigo (dias) Os primeiros resultados que você deseja ver em número de dias.
      Incluir amostras de dados brutos nos resultados da pesquisa Selecione esta opção para incluir amostras de dados brutos nos resultados da pesquisa de detecções. A quantidade de dados retornados depende da configuração na propriedade do número de linhas de dados brutos nas propriedades do Security Incident Response.
      MID Server Selecione Qualquer para usar qualquer MID Server ativo ou selecione um nome de MID Server específico.
      Nota:
      A configuração desta integração ativa fluxos de trabalho. Para gerenciar os fluxos de trabalho, navegue até o Editor de fluxo de trabalho.
    6. Clique em Enviar.
      O cartão de configuração de integração é exibido.
    7. Ao exibir o novo cartão de configuração, você pode clicar em Configurar ou Excluir para mudar ou excluir a configuração, respectivamente.
    8. Para retornar à lista original de cartões de configuração de integração, selecione Não na lista suspensa Mostrar configurações.