Defina a programação para IBM QRadarintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Você pode definir a programação para a ingestão de infração. Durante esta etapa, você pode verificar as configurações padrão para a recuperação da infração ou modificar a programação conforme necessário. Esta etapa também permite recuperar infrações históricas usando um intervalo de datas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode escolher se deseja ingerir infrações históricas durante a etapa de Programação. Você também escolhe a frequência com que pesquisará novas infrações futuras e infrações atualizadas que correspondam à configuração do perfil.

    Como um usuário com a função sn_si.admin, você configura esses intervalos de pesquisa por perfil. O desempenho do IBM QRadara integração de ingestão de ofensa pode ser afetada pelos diferentes intervalos de pesquisa. Ao agendar, você pode preferir equilibrar a redução da sobrecarga de pesquisa no IBM QRadarum servidor contra o desejo de ser notificado o mais rápido possível quando uma infração é criada ou atualizada. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.

    Extraindo infrações novas e atualizadas

    Quando a programação de pesquisa é definida, o trabalho agendado extrai infrações novas e atualizadas que foram extraídas anteriormente, mas não atenderam aos critérios de filtragem de incidentes. Isso fornece a flexibilidade para criar incidentes com base em critérios que podem não estar presentes quando uma infração é criada pela primeira vez, mas se tornam disponíveis após a ocorrência de uma atualização, por exemplo, durante a fase de investigação. Quando um incidente é criado para uma infração específica, suas atualizações subsequentes são ignoradas, pois espera-se que a infração esteja sendo tratada como ativa ServiceNowincidente de segurança. No entanto, todas as outras infrações que foram ingeridas anteriormente, mas não atenderam aos critérios de geração de incidentes, continuarão a ser extraídas e verificadas em relação aos critérios de geração de incidentes até que se tornem parte de um incidente ativo.

    Procedimento

    1. Se a página Programação na barra de andamento não for exibida, selecione Programação .
    2. Escolha um para programar como e quando as infrações são extraídas do IBM QRadarconsole.
      OpçãoDescrição
      Campo Ingestão de infração contínua selecionado Infração contínua

      Com base na configuração padrão, o. Now Platforma instância extrai do IBM QRadarservidor para infrações novas e atualizadas a cada cinco minutos. Os incidentes de segurança são criados se infrações forem encontradas e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar o desejo de sobrecarga de pesquisa de ingestão de obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, esse valor pode ser modificado para um minuto, se necessário.
      • Ingestão de infração contínua selecionada
      • Definir tempo de ingestão da infração inicial
      		 Tempo de ingestão inicial
      Se você quiser programar a ingestão inicial em um horário específico, siga estas etapas:
      • Selecione os campos Ingestão de infração contínua e defina o tempo de ingestão de infração inicial.
      • Especifique o tempo no campo Inserir tempo de ingestão de infração inicial.

      A ingestão inicial ocorrerá no horário especificado aqui. As ingestões subsequentes serão baseadas na programação definida no campo Incremento de pesquisa (minutos).

      Como exemplo para agendar um tempo de ingestão de infração inicial, se você tiver um diário IBM QRadarVerificação de segurança que é executada uma vez por dia às 4 hora local, você pode configurar o perfil de infração correspondente em seu Now PlatformInstância a ser executada às 4:05 hora local para capturar a falha de segurança imediatamente e criar um incidente de segurança.

      Insira <date> 04 05 00 No campo Ingestão de infração inicial. No campo Incremento de pesquisa (minutos), insira <date> 1440 (24 horas) para programar a próxima ingestão de infração por 24 horas a partir da ingestão inicial de infração. O horário de ingestão da infração inicial e o horário de ingestão da próxima infração são exibidos nos campos.

      A ingestão inicial ocorrerá às 4:05 da manhã. As ingestões subsequentes serão baseadas no intervalo de pesquisa. Nesse caso, como o incremento de Pesquisa é de 24 horas, a próxima ingestão ocorrerá no dia seguinte às 4:05 da manhã.
      Campo Recuperação única selecionado Recuperação Única

      Use esta configuração se você quiser que uma extração única ingira infrações históricas.

      Quando esta configuração é definida, um perfil é usado uma vez para recuperar infrações de eventos históricos baseados em um intervalo de datas. À direita do campo Desde data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair infrações. A partir do valor de data Desde, as infrações são recuperadas até a data atual. Observe que você pode extrair até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de infrações históricas de IBM QRadarpor motivos de arquivo, mas sim por uma quantidade mínima de infrações em voo que estão sendo ativamente trabalhadas no momento da ativação do perfil.

      Depois que as infrações forem extraídas, esta configuração não recuperará mais infrações para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todas as infrações encontradas para o intervalo inserido.

      IBM QRadar: Criar perfil: Programação
    3. Clique em Continuar Para navegar até a página Opções adicionais.