Definir programação para a integração IBM QRadar
Você pode definir a programação para a ingestão de infração. Durante esta etapa, você pode verificar as configurações padrão para a recuperação da infração ou modificar a programação conforme necessário. Esta etapa também permite que você recupere infrações históricas usando um intervalo de datas.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
Você pode escolher se deseja ingerir quaisquer infrações históricas durante a etapa de Programação. Você também escolhe com que frequência pesquisará novas infrações futuras e infrações atualizadas que correspondam à configuração do perfil.
Como um usuário com a função sn_si.admin, você configura esses intervalos de pesquisa por perfil. O desempenho da integração de ingestão de infração IBM QRadar pode ser afetado pelos diferentes intervalos de pesquisa. Ao programar, você pode preferir equilibrar a redução da sobrecarga de pesquisa no servidor IBM QRadar com o desejo de ser notificado assim que possível quando uma infração for criada ou atualizada. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.
Extraindo infrações novas e atualizadas
Quando a programação de pesquisa é definida, o trabalho agendado extrai infrações novas e atualizadas que foram extraídas anteriormente, mas não atenderam aos critérios de filtragem de incidentes. Isso oferece a flexibilidade de criar incidentes com base em critérios que podem não estar presentes quando uma infração é criada pela primeira vez, mas se tornam disponíveis após a ocorrência de uma atualização, por exemplo, durante a fase de investigação. Depois que um incidente é criado para uma violação específica, suas atualizações subsequentes são ignoradas, pois espera-se que a violação esteja sendo tratada como um incidente de segurança ativo ServiceNow. No entanto, todas as outras infrações que foram ingeridas anteriormente, mas não atenderam aos critérios de geração de incidentes, continuarão a ser extraídas e verificadas em relação aos critérios de geração de incidentes até que se tornem parte de um incidente ativo.
Procedimento
-
Escolha um para programar como e quando as infrações são extraídas do console IBM QRadar.
Opção Descrição Campo de ingestão de infração contínua selecionado Infração contínua Com base na configuração padrão, a instância Now Platform extrai do servidor IBM QRadar para infrações novas e atualizadas a cada cinco minutos. Os incidentes de segurança serão criados se forem encontradas infrações e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a sobrecarga de pesquisa de ingestão para obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, este valor pode ser modificado para até um minuto, se necessário.
- Ingestão de infração contínua selecionada
- Definir tempo de ingestão da infração inicial
Tempo de ingestão inicial Se você quiser programar a ingestão inicial em um horário específico, siga estas etapas:- Selecione os campos Ingestão de infração contínua e Definir tempo de ingestão da infração inicial.
- Especifique o tempo no campo Tempo de ingestão da infração inicial de entrada.
A ingestão inicial ocorrerá no horário especificado aqui. As ingestões subsequentes serão baseadas na programação definida no campo Incremento de pesquisa (minutos).
Como um exemplo para programar um horário de ingestão de infração inicial, se você tiver uma verificação de segurança diária IBM QRadar que é executada uma vez por dia às 4h no horário local, você pode configurar o perfil de infração correspondente em sua instância Now Platform para ser executado às 4:05 Hora local AM para capturar a falha de segurança imediatamente e criar um incidente de segurança.
Inserir<date> 04 05 00 no campo Ingestão de infração inicial. No campo Incremento de pesquisa (minutos), insira<date> 1440 (24 horas) para programar a próxima ingestão de infração por 24 horas a partir da ingestão de infração inicial. O tempo de ingestão da infração inicial e o tempo de ingestão da próxima infração são exibidos nos campos.
A ingestão inicial ocorrerá às 4h05. As ingestões subsequentes serão baseadas no intervalo de pesquisa. Nesse caso, como o incremento de pesquisa é de 24 horas, a próxima ingestão ocorrerá no dia seguinte às 4h05.
Campo de recuperação única selecionado Recuperação Única Use esta configuração se quiser que uma extração única inclua ofensas históricas.
Quando esta configuração é definida, um perfil é usado uma vez para recuperar infrações de eventos históricos que são baseados em um intervalo de datas. À direita do campo Data desde, clique no ícone de calendário. No calendário exibido, selecione a data em que deseja começar a extrair infrações. Começando com o valor de data Desde, as infrações são recuperadas até a data atual. Observe que você pode retroceder até sete dias a partir da data atual. Esta funcionalidade não tem como objetivo recuperar quantidades significativas de infrações históricas de IBM QRadar por motivos de arquivamento, mas sim uma quantidade mínima de infrações em curso que estão sendo trabalhadas ativamente no momento da ativação do perfil.
Depois que as infrações forem extraídas, esta configuração não recuperará mais infrações para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todas as infrações encontradas para o intervalo inserido.