Formulário de resposta a incidentes de segurança após ingestão de infração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Após um IBM QRadara infração foi ingerida, um incidente de segurança é criado e as atualizações correspondentes são feitas no registro de incidente de segurança.

    Anotações de trabalho

    Uma anotação de trabalho é publicada com detalhes da infração que acionou o incidente de segurança.
    IBM QRadar: SIR: Worknote

    Clique no link de infração para navegar até o registro de incidente de segurança interno. . Clique aqui o hiperlink leva você para IBM QRadarpainel onde você pode exibir os detalhes da infração.

    Se você tiver selecionado o. Registrar anotação de trabalho para nova infração Nos critérios de agregação de infrações, conforme descrito em Mapeamento IBM QRadarcampos de infração para campos de resposta a incidentes de segurança, uma anotação de trabalho é publicada quando a infração é agregada.


    IBM QRadar: Registro de infração interna

    Infrações agregadas

    Clicar Listas relacionadas > Infrações agregadas do IBM QRadar para exibir as infrações agregadas ao incidente de segurança. Clique no hiperlink Ofensão do QRadar para exibir a infração no IBM QRadarpainel.
    Infrações agregadas do IBM QRadar

    Criar incidente de segurança: Selecione uma infração na lista e clique em Ações e clique em Criar incidente de segurança . Esta opção cria um incidente de segurança para a infração e esta infração é desagregada do incidente de segurança primário.

    Excluir registro de infração: Selecione uma infração na lista e clique em Ações e clique em Excluir . Esta opção exclui o registro de infração.
    Infrações agregadas do IBM QRadar: Criar e excluir

    Atualizações de infrações do IBM QRadar

    Isso mostra os campos de infração padrão e personalizado e rastreia as mudanças na infração durante cada intervalo de pesquisa. Isso é útil, pois você pode exibir todas as atualizações de infração diretamente sem navegar até IBM QRadarpainel. Todas as mudanças nos valores são exibidas nos campos Valor anterior e Valor atual.

    Para habilitar o recurso de atualizações de infração, navegue até Integração do IBM QRadar > Configurações de integração do IBM QRadar e habilitar Defina esta propriedade para ativar o recurso Atualizações de infração . Por padrão, esta configuração está desabilitada.


    Atualizações de infrações do IBM QRadar

    Eventos recentes do IBM QRadar

    Clique em Buscar eventos recentes do IBM QRadar em Links relacionados para exibir o mais recente IBM QRadareventos.
    IBM QRadar: Eventos recentes
    Por padrão, um número máximo de 100 eventos é exibido. Você pode modificar esta configuração padrão no IBM QRadar definições de configuração de integração.
    Nota:
    A imagem acima mostra os campos de evento padrão associados à infração. Se você tiver configurado e mapeado campos de evento personalizado (consulte Mapeamento IBM QRadarcampos de infração para campos de resposta a incidentes de segurança), você pode exibi-los na Exibição de lista clicando no link Nome do evento.

    IBM QRadar: Eventos recentes do IBM QRadar: Exibição de lista

    Fluxos recentes do IBM QRadar

    Usando o Hub de integração e o Designer de fluxo, vários fluxos, subfluxos e ações estão disponíveis com o. IBM QRadarintegração. Quando você clica em Buscar fluxos recentes do IBM QRadar Nos links relacionados, os fluxos mais recentes são recuperados. Para exibir esses fluxos, clique em Fluxos recentes do IBM QRadar .
    IBM QRadar: Fluxos recentes
    Por padrão, um número máximo de 100 fluxos é exibido. Você pode modificar esta configuração padrão no IBM QRadar definições de configuração de integração.
    Nota:
    A imagem acima mostra os campos de fluxo padrão associados à infração. Se você tiver configurado e mapeado campos de fluxo personalizados (consulte Mapeamento IBM QRadarcampos de infração para campos de resposta a incidentes de segurança), você pode exibi-los na Exibição de lista clicando no link ID de fluxo.