Automatize atualizações de infração e fechamento com base no status do incidente SIR

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • . IBM QRadar A integração tem uma interface bidirecional que permite que ambas as infrações criem incidentes de segurança, bem como a capacidade de atualizar as infrações depois que o incidente de segurança é criado e/ou encerrado com detalhes relevantes do incidente, como número do incidente de segurança, grupo de atribuição, URL do incidente de segurança e assim por diante.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais .
    2. Siga as instruções abaixo para concluir a configuração para atualizar infrações quando o incidente de segurança for criado.
      Opção ou CampoDescrição
      Atualizar infrações após a criação do incidente SIR Selecione esta opção se quiser atualizar o status da infração e adicionar comentários adicionais quando um incidente de segurança for criado a partir da infração. Isso pode ocorrer tanto para as infrações de gatilho iniciais que criam o incidente de segurança, quanto para as infrações agregadas.
      Atualização do status da infração inicial Você pode selecionar:
      • Aberto: O status da infração é definido como Aberto e um comentário é adicionado indicando que um incidente de segurança foi criado para a infração.
      • Oculto: O status da infração é definido como Oculto e esta ofensa está oculta no IBM QRadar painel.
      Comentários iniciais retornados para a ofensa Com base na fase selecionada, os comentários iniciais conforme definido em IBM QRadar o console é exibido aqui.
      Encerrar infrações após o fechamento do incidente SIR Selecione esta opção se quiser usar a opção Encerramento automatizado de infração. Quando o incidente de segurança é encerrado em ServiceNow com um código de fechamento relevante, o status da infração é atualizado em IBM QRadar. Encerrado com comentários de fechamento.
      Nota:
      O código de fechamento especificado para o incidente de segurança deve corresponder ao motivo de fechamento especificado em IBM QRadar painel. A infração é encerrada em IBM QRadar somente se um motivo de fechamento correspondente for encontrado. Se um motivo correspondente não for encontrado, a infração será encerrada com um código de fechamento padrão.
      Comentários de fechamento retornados para Ofenção Os comentários de fechamento conforme definido em IBM QRadar os painéis são exibidos aqui.
      Motivo de fechamento padrão quando o incidente de segurança é encerrado O motivo padrão a ser usado quando um incidente de segurança é encerrado, quando um incidente de segurança é encerrado, um código de fechamento (ou o motivo do fechamento) é especificado no registro de incidente de segurança, se o código de fechamento não corresponder ao motivo de fechamento especificado em IBM QRadar e você tentar fechar o incidente de segurança, uma mensagem de erro será exibida. Nesses casos, o motivo de fechamento padrão especificado aqui é usado quando o incidente de segurança é encerrado.

      IBM QRadar: Criar perfil: Automatizar ofensa
    3. Clique em Concluir para concluir a configuração e mover o perfil para Aguardando estado.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair infrações do IBM QRadar console baseado em sua programação.