Zeitplan definieren
Sie können den Zeitplan für die Erfassung von Straftaten definieren. Während dieses Schritts können Sie die Standardeinstellungen für den Abruf von Straftaten überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische Straftaten mithilfe eines Datumsbereichs abrufen.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Sie können auswählen, ob Sie während des Planungsschritts historische Straftaten erfassen möchten. Sie wählen auch aus, wie oft Sie nach zukünftigen neuen Straftaten und aktualisierten Straftaten abfragen, die der Profilkonfiguration entsprechen.
Als Anwender mit der Rolle „sn_si.admin“ konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung von IBM QRadar Die Integration der Verstoßerfassung kann durch die verschiedenen Abfrageintervalle beeinträchtigt werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands für ausgleichen IBM QRadar Server gegen den Wunsch, so bald wie möglich benachrichtigt zu werden, wenn eine Straftat erstellt oder aktualisiert wird. Für jedes Profil ist ein fünfminütiger Standardwert festgelegt, aber Sie können diese Einstellung bei Bedarf auf eine Minute ändern.
Neue und aktualisierte Straftaten werden abgerufen
Wenn der Abfragezeitplan festgelegt ist, ruft die geplante Aufgabe sowohl neue als auch aktualisierte Vergehen ab, die zuvor abgerufen wurden, aber die Incident-Filterkriterien nicht erfüllten. Dies bietet Ihnen die Flexibilität, Incidents basierend auf Kriterien zu erstellen, die möglicherweise nicht vorhanden sind, wenn ein Verstoß zuerst erstellt wird, aber verfügbar werden, nachdem ein Update erfolgt ist, z. B. während der Untersuchungsphase. Sobald ein Incident für eine bestimmte Straftat erstellt wurde, werden die nachfolgenden Aktualisierungen ignoriert, da erwartet wird, dass die Straftat jetzt als aktiv behandelt wird ServiceNow Security Incident. Alle anderen Straftaten, die zuvor erfasst wurden, aber die Kriterien für die Incident-Generierung nicht erfüllen, werden weiterhin abgerufen und anhand der Kriterien für die Incident-Generierung überprüft, bis sie Teil eines aktiven Incidents werden.
Prozedur
-
Wählen Sie eine Option aus, um zu planen, wie und wann Straftaten aus abgerufen werden IBM QRadar Konsole.
Option Beschreibung Feld „laufende Vergehen erfassen“ ausgewählt Laufende Vergehen Basierend auf der Standardeinstellung wird ServiceNow AI Platform Instanz wird aus abgerufen IBM QRadar Server für neue und aktualisierte Verstöße alle fünf Minuten. Security Incidents werden erstellt, wenn Verstöße gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um den Overhead der Erfassungsabfrage auszugleichen, um die aktuellsten Daten abzurufen, sind fünf Minuten die Standardeinstellung. Dieser Wert kann jedoch bei Bedarf auf eine Minute geändert werden.
- Laufende Vergehen-Erfassung ausgewählt
- Zeitpunkt der ersten Vergehenserfassung festlegen
Zeit der ersten Erfassung Wenn Sie die erste Erfassung zu einem bestimmten Zeitpunkt planen möchten, führen Sie die folgenden Schritte aus:- Wählen Sie die laufende Vergehen-Erfassung aus, und legen Sie die Zeitfelder für die erste Vergehen-Erfassung fest.
- Geben Sie die Zeit im Feld Zeit der Erfassung des ersten Verstoßes eingeben an.
Die erste Erfassung erfolgt zu dem hier angegebenen Zeitpunkt. Nachfolgende Erfassungen basieren auf dem Zeitplan, der im Feld Abfrageschritt (Minuten) definiert ist.
Als Beispiel für die Planung einer ersten Vergehen-Erfassungszeit, wenn Sie täglich eine haben IBM QRadar Sicherheitsprüfung, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird. Sie können das entsprechende Verstoßprofil in einrichten ServiceNow AI Platform Instanz, die um 4:05 Uhr Ortszeit ausgeführt werden soll, um den Sicherheitsfehler sofort zu erfassen und einen Security Incident zu erstellen.
Eingabetaste <date> 04 05 00 Im Feld „Ersteinfassung des Verstoßes“. Geben Sie im Feld Abrufschritt (Minuten) die Eingabe ein <date> 1440 (24 Stunden), um die nächste Vergehen-Erfassung für 24 Stunden ab der ersten Vergehen-Erfassung zu planen. Sowohl die erste Erfassungszeit des Verstoßes als auch die nächste Erfassungszeit des Verstoßes werden in den Feldern angezeigt.
Die erste Erfassung findet um 4:05 Uhr statt. Die nachfolgenden Erfassungen basieren auf dem Abfrageintervall. Da der Abfrageschritt in diesem Fall 24 Stunden beträgt, findet die nächste Erfassung am nächsten Tag um 4:05 Uhr statt.
Feld „Einmalabruf“ ausgewählt Einmaliger Abruf Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zur Erfassung historischer Straftaten wünschen.
Wenn diese Einstellung konfiguriert ist, wird einmal ein Profil verwendet, um Straftaten aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abruf von Straftaten beginnen möchten. Beginnend mit dem Wert seit Datum werden Straftaten bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie bis zu sieben Tage ab dem aktuellen Datum zurückrufen können. Diese Funktionalität dient nicht dazu, bedeutende Mengen historischer Straftaten von abzurufen IBM QRadar Aus Archivierungsgründen, aber eher aus einer minimalen Menge von Straftaten während der Ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.
Nachdem die Straftaten abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine weiteren Straftaten für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen Vergehen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.