Zuordnung IBM QRadar Verstoßfelder zu Security Incident Response-Feldern

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer

    • Ordnen Sie einzelne Vergehen-, Ereignis- und Flow-Felder Feldern Feldern in einem zu ServiceNow AI Platform SIR Security Incident.

    Zuordnung des Verstoßfelds

    Verwenden Sie als Anwender mit der Rolle „sn_si.admin“ die Felder aus dem Abschnitt „Beispielvergehen“ auf der linken Seite, und ordnen Sie sie den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ zu. Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Vergehen-, Ereignis- oder Flow-Felder von der linken Seite ziehen und auf dem ablegen ServiceNow SIR Incident-Zuordnungsabschnitt auf der rechten Seite. Die Zuordnung auf der rechten Seite ordnet das Feld „eingehender Verstoß“ einem Feld „ausgehender Security Incident“ zu.

    1. Nachdem Sie die Beispieldaten abgerufen haben, ordnen Sie die Felder „Verstoß“, „Ereignis“ oder „Flow“ dem Security Incident zu. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf der linken Seite des Formulars auf einen blauen Feldnamen.
    2. Ziehen Sie den Feldnamen, z. B. Beschreibung , Und legen Sie es in einem Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“ ab.
      Der Feldwert wird in der Spalte „Eingabeausdruck“ angezeigt. In der folgenden Abbildung: Beschreibung Ist dem zugeordnet Beschreibung Feld im Security Incident.
      IBM QRadar: Profil erstellen: Zuordnung: SIR1
      Hinweis:
      Wenn Sie den Namen des Ereignis- oder Flow-Felds im Abschnitt „Eingabeausdruck“ manuell eingeben, müssen Sie ein Präfix als hinzufügen ${Event:eventfield}$ Oder ${Flow:Flowfield}$ Vor dem Namen des zugeordneten Felds.

      IBM QRadar: Profil erstellen: Zuordnung: SIR2

      Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Vergehen-, Ereignis- oder Flow-Felder übersehen oder dupliziert werden, sind Felder farbcodiert. Die Farbcodierung der Verstoßfelder hilft Ihnen, die Verstoßwerte nachzuverfolgen, die Sie bereits zugeordnet haben, da sie ausgegraut werden, während alle verbleibenden nicht zugeordneten Felder blau angezeigt werden. Dies hilft Ihnen, besser zu visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Verstoßinformationen nicht zugeordnet sind.

      Hellblaue Felder auf der linken Seite zeigen an, dass ein Verstoßfeld noch nicht ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes Vergehen-, Ereignis- oder Flow-Feld mit mehr als einem Feld in einem Security Incident verknüpfen. Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen.

    3. Führen Sie die folgenden Schritte aus, um den Standardfeldern, die im Security Incident auf der rechten Seite des Formulars angezeigt werden, Felder hinzuzufügen:
      1. Klicken Sie auf der rechten Seite des Formulars im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plus-Symbol (+). Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Auswahlliste, und wählen Sie ein Feld aus.
        In der erweiterten Auswahlliste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung hat Kategorie einen grauen Hintergrund, da sie im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für die Verstoßfelder auf der linken Seite des Formulars hilft diese Farbcodierung für die Security Incident-Felder auf der rechten Seite Ihnen, die bereits zugeordneten SIR-Incident-Felder nachzuverfolgen.
        IBM QRadar: Profil erstellen: Zuordnung: SIR3
        Hinweis:
        Da mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „erkennbares Element“ mehrmals verschiedenen Werten zugeordnet werden. Ebenso unterstützen die Felder „Konfigurationselement“ und „Arbeitsnotizen“ mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Auswahlliste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Auswahlliste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
      4. Wählen Sie auf der linken Seite des Formulars das Feld Verstoß aus, und ziehen Sie es per Drag-and-Drop in ein entsprechendes Security Incident-Feld auf der rechten Seite.
    4. Entfernen Sie Felder, indem Sie das Symbol „ –“ neben dem Feldnamen im Abschnitt „SIR-Incident-Feldzuordnung“ verwenden.
    5. Fahren Sie mit der Zuordnung fort, indem Sie der Zuordnung Feldwerte hinzufügen oder entfernen.

    Verstoßfelder mit mehreren Werten

    • Security Incident-Felder wie Kategorie Und Anwender Felder (z. B. Betroffener Anwender, Zugewiesen an), die mit dem Basisprodukt verfügbar sind, unterstützen nicht mehrere Werte.
    • Folgendes IBM QRadar Felder unterstützen mehrere Werte:
      • Kategorien
      • Target_Networks
      • Source_address_IDs
      • LOCAL_destination_address_IDs
      • Remote_destination_ips
      • Rules_Contributing_to_offense
      • Anwender

      Wenn Sie die obigen Felder einem zuordnen müssen Security Incident Response Neben CI- und erkennbaren Feldern müssen Sie neue Felder erstellen Security Incident Response Felder vom Typ Liste Und verwenden Sie sie für die Zuordnung.

      Hinweis:
      Standardmäßig nur nicht-Referenz Liste Typfelder werden unterstützt.

    Formatierungsfeldübersetzung

    In bestimmten Fällen werden Feldwerte für Verstoß in angegeben IBM QRadar Kann nicht direkt in die Felder des SIR Security Incident übersetzt werden. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Beispielsweise kann ein Kategoriewert von Malware-Warnung und Virusinfektion mit dem Skript-Editor verschiedene Feldwerte für die Quellkategorie haben, aber beide Werte können mithilfe der Funktionalität Formatierungsfeldübersetzung in eine allgemeine schädliche Code-Aktivität im Feld Kategorie des SIR Security Incident übersetzt werden.

    Um den Skript-Editor zu verwenden, klicken Sie auf IBM QRadar: Profil erstellen: Skript-Symbol. Der Skripteditor wird angezeigt.
    IBM QRadar: Profil erstellen: Skript-Editor

    Geben Sie alle Änderungen am Skript ein, und klicken Sie auf Aktualisieren Um die Änderungen zu speichern und zur Zuordnungsseite zurückzukehren.

    Bedingungen für die Incident-Generierung

    Sobald der Zuordnungsabschnitt abgeschlossen ist, können Sie Filterbedingungen festlegen, damit Sie angeben können, welche Verstöße Security Incidents erstellen sollen und welche Verstöße herausgefiltert werden sollen, z. B. Verstöße mit niedriger Priorität. Sie können dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Straftat erfüllen muss, um einen Security Incident zu erstellen. Um Bedingungen für die Incident-Generierung festzulegen, gehen Sie wie folgt vor.
    1. Scrollen Sie zu Bedingungen Für Die Incident-Generierung Abschnitt im Formular, und wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen zum Aktivieren der Option.

      Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den spezifischen Bedingungen entsprechen, die in den Feldern beschrieben werden.

      Die Optionen in den Auswahllisten für das erste Feld im Generator für Filterbedingungen stimmen mit den Feldern überein, die im Abschnitt „QRadar-Vergehen-Erfassung“ für die von Ihnen erfassten Vergehen angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach den Vergehen, die Sie erfassen. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden und müssen genau mit den Werten von übereinstimmen IBM QRadar Vergehen. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, kehren Sie möglicherweise zu zurück IBM QRadar Konsole und überprüfen Sie Ihre Verstöße auf die Stichwörter.

      Hinweis:
      Die Kategorien , Target_Networks , Source_address_IDs , LOCAL_destination_address_IDs , Remote_destination_ips , Rules_Contributing_to_offense , Und Anwender Verstoßfelder können mehrere Werte haben (da die Werte in Arrays gespeichert werden). Da die Filterbedingung nur Zeichenfolgen abrufen kann, müssen Sie verwenden Enthält Filterbedingung für diese Felder, um sicherzustellen, dass die Daten korrekt gefiltert werden.
    2. Legen Sie mithilfe der Auswahllisten und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
    3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND Oder ODER .
      • Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein.
      • Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.
    4. (Optional) Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

      Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt werden müssen, bevor Security Incidents erstellt werden.


      IBM QRadar: Profil erstellen: Zuordnung: SIR5

      Sie haben die Bedingungen für die Incident-Generierung so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.

      Diese Art der Bedingungsfilterung für die Incident-Generierung hilft Ihnen, die Verstöße einzugrenzen und die Anzahl der unnötigen Security Incidents zu begrenzen, die Sie erstellen, ohne die zugrunde liegende Regel oder Filter in zu ändern IBM QRadar. Wenn zusätzliche Filterkriterien festgelegt sind, werden Incidents nur Vergehen zugeordnet, die allen Kriterien entsprechen.

      Hinweis:
      Wenn eines der Verstoßfeldnamen Sonderzeichen wie Anführungszeichen (“), Bindestriche (‘), Unterstriche (-) oder Ampersand (@) enthält, müssen diese Zeichen möglicherweise zu Filterzwecken ersetzt werden, es wird jedoch ein numerisches Suffix angehängt, um Felder mit doppelten Verstoßnamen zu unterscheiden. Beispiel: Wenn das Feld erster Verstoß lautet Warnungen.Warnung Und das zweite Vergehen-Feld ist Warnungen@Warnungen , Diese Felder können nicht eindeutig identifiziert werden, da die verbleibenden Standardtextzeichen identisch sind. In diesem Fall wird dem zweiten Verstoßfeld ein Suffix hinzugefügt, und das Feld wird in umbenannt Warnungen@Alert(1) Wenn in der Liste Filterbedingungen angezeigt.

    Zusammenfassungskriterien für Straftaten, um ähnliche Straftaten zu behandeln und doppelte Incidents zu verhindern

    Definieren Sie zusätzliche Zusammenfassungskriterien für Straftaten, die eine eingehende Straftat zu einem vorhandenen SIR Security Incident aggregieren, anstatt ähnliche, potenziell doppelte Incidents zu erstellen. Mithilfe von Feldübereinstimmungswertkriterien für jedes Profil kann diese zusätzliche Zusammenfassungsfunktion die Anzahl aktiver, sich überschneidender Security Incidents reduzieren, indem alle zugehörigen Verstoßdaten in einem einzelnen Security Incident platziert werden. Um die Kriterien festzulegen, führen Sie die folgenden Schritte aus:
    1. Scrollen Sie im Formular zum Abschnitt „Aggregationskriterien für Straftaten“, und wählen Sie aus Zusammenfassungsbedingungen Kontrollkästchen zum Aktivieren dieser Option.

      Die Spalten „Incident-Feld-Übereinstimmungswerte“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die in konfiguriert sind SIR Security Incident.

    2. Wählen Sie in der Liste verfügbar die Feldwerte aus, die Sie für vorhandene Security Incidents in abgleichen möchten ServiceNow AI Platform Und verschieben Sie sie in die Liste ausgewählt.

      Alle von Ihnen ausgewählten Feldwerte müssen abgeglichen werden, um diese eingehende Warnung an einen vorhandenen Security Incident anzuhängen. Dies umfasst Felder, z. B. erkennbare Elemente und Konfigurationselemente, denen mehrere Vergehen-Feldwerte zugeordnet sein können. Alle Werte müssen übereinstimmen. Wenn nur eine Teilmenge der Werte übereinstimmt, werden die Aggregationsbedingungen für Straftaten nicht erfüllt, und ein neuer Security Incident wird erstellt. Siehe Screenshot unten für die Feldzuordnung mit mehreren Werten.


      IBM QRadar: Profil erstellen: Zuordnung: Zusammenfassung

      Wenn eine neue Straftat allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird die neue Straftat automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Anwender mit der Rolle „sn_si.Analyst“, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten Verstöße in einer zugehörigen Liste zu einem Security Incident anzeigen. Diese Liste enthält Details zu zugehörigen Zeitstempeln und zusammengefassten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum diese Verstöße zu vorhandenen Security Incidents zusammengefasst werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter zugehörige Links zur linken Seite des Datensatzes, und klicken Sie auf Alle Zugehörigen Listen Anzeigen Link.

    3. (Optional) um eine Arbeitsnotiz für eine neue Straftat zu protokollieren, die kürzlich zum Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren. In der Arbeitsnotiz wird protokolliert, dass eine neue Straftat hinzugefügt wurde, zusammen mit einem Link zu den Verstoßdetails und allen anderen Details, die dem Feld „Arbeitsnotiz“ in Ihrem Zuordnungsabschnitt hinzugefügt wurden.

      Sie haben erfolgreich Werte aus einem zugeordnet IBM QRadar Verstoß gegen Felder in einem Security Incident. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien für die Incident-Generierung einzuschränken. Sie haben auch Vergehen an vorhandene Security Incidents angehängt, wenn die Feldwerte des Verstoßes den konfigurierten Zusammenfassungskriterien entsprechen.

    4. Klicken Sie Auf Fahren Sie Fort Um mit der Profilkonfiguration fortzufahren. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem zugeordnet haben SIR Security Incident