Definir programação

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Você pode definir a programação para a ingestão de infração. Durante esta etapa, você pode verificar as configurações padrão para a recuperação da infração ou modificar a programação conforme necessário. Esta etapa também permite recuperar infrações históricas usando um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode escolher se deseja ingerir infrações históricas durante a etapa de Programação. Você também escolhe com que frequência pesquisará novas infrações futuras e infrações atualizadas que correspondam à configuração do perfil.

    Como um usuário com a função sn_si.admin, você configura esses intervalos de pesquisa por perfil. O desempenho do IBM QRadar a integração de ingestão de ofensa pode ser afetada pelos diferentes intervalos de pesquisa. Ao programar, você pode preferir equilibrar a redução da sobrecarga de pesquisa no IBM QRadar servidor contra o desejo de ser notificado o mais rápido possível quando uma infração é criada ou atualizada. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.

    Extraindo infrações novas e atualizadas

    Quando a programação de pesquisa é definida, o trabalho agendado extrai infrações novas e atualizadas que foram extraídas anteriormente, mas não atenderam aos critérios de filtragem de incidentes. Isso fornece a flexibilidade para criar incidentes com base em critérios que podem não estar presentes quando uma infração é criada pela primeira vez, mas se torna disponível após a ocorrência de uma atualização, por exemplo, durante a fase de investigação. Quando um incidente é criado para uma infração específica, suas atualizações subsequentes são ignoradas, pois espera-se que a infração agora esteja sendo tratada como ativa ServiceNow incidente de segurança. No entanto, todas as outras infrações que foram ingeridas anteriormente, mas não atenderam aos critérios de geração de incidentes, continuarão a ser extraídas e verificadas em relação aos critérios de geração de incidentes até se tornarem parte de um incidente ativo.

    Procedimento

    1. Se a página Programação na barra de andamento não for exibida, selecione Programação .
    2. Escolha um para programar como e quando as infrações são extraídas do IBM QRadar console.
      OpçãoDescrição
      Campo Ingestão de infração contínua selecionado Ataque contínuo

      Com base na configuração padrão, o. ServiceNow AI Platform a instância extrai do IBM QRadar servidor para infrações novas e atualizadas a cada cinco minutos. Os incidentes de segurança serão criados se infrações forem encontradas e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar o desejo de sobrecarga de pesquisa de ingestão de obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, esse valor pode ser modificado para um minuto, se necessário.
      • Ingestão de infração contínua selecionada
      • Defina o tempo de ingestão da infração inicial
      		 Tempo de ingestão inicial
      Se você quiser programar a ingestão inicial em um horário específico, siga estas etapas:
      • Selecione os campos Ingestão de infração em andamento e defina Tempo de ingestão de infração inicial.
      • Especifique a hora no campo Tempo de ingestão de infração inicial de entrada.

      A ingestão inicial ocorrerá no horário especificado aqui. As ingestões subsequentes serão baseadas na programação definida no campo Incremento de pesquisa (minutos).

      Como exemplo para programar um tempo de ingestão de infração inicial, se você tiver um diário IBM QRadar Verificação de segurança que é executada uma vez por dia às 4 hora local, você pode configurar o perfil de infração correspondente em seu ServiceNow AI Platform Instância a ser executada às 4:05 hora local para capturar a falha de segurança imediatamente e criar um incidente de segurança.

      Insira <date> 04 05 00 No campo Ingestão de infração inicial. No campo Incremento de pesquisa (minutos), insira <date> 1440 (24 horas) para programar a próxima ingestão de infração por 24 horas a partir da ingestão inicial de infração. A hora de ingestão da infração inicial e a hora de ingestão da próxima infração são exibidas nos campos.

      A ingestão inicial ocorrerá às 4:05 horas. As ingestões subsequentes serão baseadas no intervalo de pesquisa. Como o incremento de Pesquisa é de 24 horas, a próxima ingestão ocorrerá no dia seguinte às 4:05 horas.
      Campo Recuperação única selecionado Recuperação Única

      Use esta configuração se quiser que uma extração única consuma infrações históricas.

      Quando esta configuração é definida, um perfil é usado uma vez para recuperar infrações de eventos históricos baseados em um intervalo de datas. À direita do campo Desde data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair infrações. A partir do valor de data Desde, as infrações são recuperadas até a data atual. Observe que você pode extrair até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de infrações históricas de IBM QRadar por motivos de arquivamento, mas sim uma quantidade mínima de infrações em voo que estão sendo ativamente trabalhadas no momento da ativação do perfil.

      Depois que as infrações forem extraídas, esta configuração não recuperará mais infrações para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todas as infrações encontradas para o intervalo inserido.

      IBM QRadar: Criar perfil: Programação
    3. Clique em Continuar Para navegar até a página Opções adicionais.