Automatizar atualizações e fechamento de infração com base no status do incidente no SIR

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • A integração IBM QRadar tem uma interface bidirecional que permite que ambas as infrações criem incidentes de segurança, bem como a capacidade de atualizar as infrações depois que o incidente de segurança é criado e/ou encerrado com detalhes relevantes do incidente, como número do incidente de segurança, atribuição grupo, URL do incidente de segurança e assim por diante.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais.
    2. Siga as instruções abaixo para concluir a configuração para atualizar as infrações quando o incidente de segurança for criado.
      Opção ou campoDescrição
      Atualizar infrações após a criação do incidente no SIR Selecione esta opção se quiser atualizar o status da infração e adicionar comentários adicionais quando um incidente de segurança for criado a partir da infração. Isso pode ocorrer para as infrações de gatilho iniciais que criam o incidente de segurança, bem como para as infrações agregadas.
      Atualização de status de infração inicial Você pode selecionar:
      • Aberto: o status da infração é definido como Aberto e um comentário é adicionado indicando que um incidente de segurança foi criado para a infração.
      • Oculto: o status da ofensa é definido como Oculto e esta ofensa está oculta no painel IBM QRadar.
      Comentários iniciais publicados de volta para a ofensa Com base na fase selecionada, os comentários iniciais conforme definidos no console IBM QRadar são exibidos aqui.
      Encerrar infrações após o fechamento do incidente no SIR Selecione esta opção se quiser usar a opção de fechamento de ofensa automatizado. Quando o incidente de segurança é encerrado em ServiceNow com um código de encerramento relevante, o status da infração é atualizado em IBM QRadar para Encerrado com comentários de encerramento.
      Nota:
      O código de encerramento especificado para o incidente de segurança deve corresponder ao motivo de encerramento especificado no painel IBM QRadar. A infração será encerrada em IBM QRadar somente se um motivo de encerramento correspondente for encontrado. Se um motivo correspondente não for encontrado, a ofensa será encerrada com um código de encerramento padrão.
      Comentários de fechamento publicados de volta para a ofensa Os comentários de fechamento conforme definidos no painel IBM QRadar são exibidos aqui.
      Motivo de encerramento padrão quando o incidente de segurança é encerrado O motivo padrão a ser usado quando um incidente de segurança é encerrado. Quando um incidente de segurança é encerrado, um código de encerramento (ou o motivo do encerramento) é especificado no registro do incidente de segurança. Se o código de encerramento não corresponder ao motivo de encerramento especificado em o painel IBM QRadar e você tenta fechar o incidente de segurança, uma mensagem de erro é exibida. Nesses casos, o motivo de encerramento padrão especificado aqui é usado quando o incidente de segurança é encerrado.

      IBM QRadar: criar perfil: automatizar ataque
    3. Clique em Concluir para concluir a configuração e mover o perfil para o estado Aguardando.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com êxito a instalação e a configuração da integração. Ative este perfil para extrair ofensas do console IBM QRadar com base em sua programação.