Erste Schritte mit IBM QRadar– Integration der Incident-Anreicherung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • IBM QRadarIst ein SIEM-Produkt (Enterprise Security Information and Event Management), das sich problemlos in integrieren lässt Security Operations. Bevor Sie verwenden können IBM QRadar– Integration der Incident-Anreicherung. Sie müssen sie von herunterladen ServiceNow StoreUnd fügen Sie die entsprechende API-Basis-URL und den API-Schlüssel hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_si_admin

    Prozedur

    1. Laden Sie die Integration von herunter ServiceNow Storean.
    2. Wenn die Installation abgeschlossen ist, greifen Sie auf zu IBM QRadarUnd erhalten Sie die API-Basis-URL und den API-Schlüssel unter Ihrem IBM QRadarProfil.
    3. Navigieren Sie in Ihrer Instanz zu Security Operations > Integrationen > Integrationskonfigurationenan.
      Die verfügbaren Sicherheitsintegrationen werden als Reihe von Karten angezeigt.
    4. In IBM QRadar– Incident-Anreicherungskarte, klicken Sie auf Neu .
      IBM QRadar: Konfiguration der Incident-Anreicherung
    5. Füllen Sie die Felder nach Bedarf aus.
      Feld Beschreibung
      Name Der Name dieser Konfiguration.
      Basis-URL der QRadar-API Die Basis-URL, die Sie von erworben haben IBM QRadarWebsite.
      Link-URL [Optional] die Link-URL, die mit verknüpft ist IBM QRadarInstanz, falls verfügbar.
      Version Die IBM QRadarVersion; 5,0 ist der Standard.
      API-Schlüssel Der API-Schlüssel, den Sie von erhalten haben IBM QRadarWebsite.
      Max. Zeilen Die maximale Anzahl von Zeilen, die Sie durchsuchen möchten.
      Erstes Ergebnis (Tage) Die frühesten Ergebnisse, die Sie in Tagen anzeigen möchten.
      Rohdatenmuster in Suchergebnissen berücksichtigen Wählen Sie diese Option aus, um Beispiele von Rohdaten in Ihre Sichtungssuchergebnisse einzubeziehen. Die Menge der zurückgegebenen Daten hängt von Ihrer Einstellung in ab Anzahl der Zeilen mit Rohdaten Eigenschaft in Eigenschaften der Reaktion auf Security Incidents .
      MID-Server Wählen Sie Aus Beliebig Um einen aktiven MID-Server zu verwenden, oder wählen Sie einen bestimmten MID-Servernamen aus.
      Hinweis:
      Durch die Konfiguration dieser Integration werden Workflows aktiviert. Navigieren Sie zum Verwalten der Workflows zu Workflow-Editor .
    6. Klicken Sie auf Absenden.
      Die Integrationskonfigurationskarte wird angezeigt.
    7. Wenn Sie die neue Konfigurationskarte anzeigen, können Sie auf klicken Konfigurieren Oder Löschen Zum Ändern oder Löschen der Konfiguration.
    8. Um zur ursprünglichen Liste der Integrationskonfigurationskarten zurückzukehren, wählen Sie aus Nein Von Konfigurationen Anzeigen Dropdown-Liste.