Automatisieren Sie die Aktualisierung und den Abschluss von Verstößen basierend auf dem SIR-Incident-Status

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die IBM QRadar Die Integration verfügt über eine bidirektionale Schnittstelle, mit der sowohl Verstöße Security Incidents erstellen als auch die Möglichkeit haben, die Verstöße zu aktualisieren, sobald der Security Incident erstellt und/oder geschlossen wurde, mit relevanten Incident-Details wie Security Incident-Nummer, Zuweisungsgruppe, Security Incident-URL usw.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn die Seite „zusätzliche Optionen“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zusätzliche Optionen .
    2. Befolgen Sie die folgenden Anweisungen, um die Konfiguration für die Aktualisierung von Straftaten abzuschließen, wenn der Security Incident erstellt wird.
      Option oder FeldBeschreibung
      Aktualisieren Sie Verstöße bei der SIR-Incident-Erstellung Wählen Sie diese Option aus, wenn Sie den Verstoßstatus aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn aus der Vergehen ein Security Incident erstellt wird. Dies kann sowohl für die anfänglich auslösenden Verstöße, die den Security Incident erstellen, als auch für zusammengefasste Verstöße auftreten.
      Aktualisierung Des Status Der Anfänglichen Straftat Sie können folgende Optionen auswählen:
      • Offen: Der Status der Straftat wird auf festgelegt Öffnen Und ein Kommentar wird hinzugefügt, der angibt, dass ein Security Incident für die Straftat erstellt wurde.
      • Ausgeblendet: Der Status der Straftat wird auf festgelegt Ausgeblendet Und diese Straftat ist in verborgen IBM QRadar Dashboard.
      Anfängliche Kommentare, die auf eine Straftat zurückgestellt wurden Basierend auf der von Ihnen ausgewählten Phase die ersten Kommentare, wie in definiert IBM QRadar Konsole wird hier angezeigt.
      Schließen Sie Verstöße nach Abschluss DES SIR-Incidents ab Wählen Sie diese Option aus, wenn Sie die Option zum automatisierten Schließen von Straftaten verwenden möchten. Wenn der Security Incident in geschlossen wird ServiceNow Mit einem relevanten Abschlusscode wird der Verstoßstatus in aktualisiert IBM QRadar Bis Geschlossen Mit Abschlusskommentaren.
      Hinweis:
      Der für den Security Incident angegebene Abschlusscode muss dem in angegebenen Abschlussgrund entsprechen IBM QRadar Dashboard. Die Straftat ist in geschlossen IBM QRadar Nur, wenn ein entsprechender Abschlussgrund gefunden wird. Wenn kein entsprechender Grund gefunden wird, wird die Straftat mit einem standardmäßigen Abschlusscode geschlossen.
      Abschlusskommentare, die zurück zu einer Straftat veröffentlicht wurden Die Abschlusskommentare wie in definiert IBM QRadar Dashboard wird hier angezeigt.
      Standardmäßiger Abschlussgrund, wenn Security Incident geschlossen wird Der Standardgrund, der verwendet werden soll, wenn ein Security Incident geschlossen wird, wenn ein Security Incident geschlossen wird, wird im Security Incident-Datensatz ein Abschlusscode (oder der Grund für das Schließen) angegeben, wenn der Abschlusscode nicht mit dem im angegebenen Abschlussgrund übereinstimmt IBM QRadar Dashboard und Sie versuchen, den Security Incident zu schließen, wird eine Fehlermeldung angezeigt. In solchen Fällen wird der hier angegebene standardmäßige Abschlussgrund verwendet, wenn der Security Incident geschlossen wird.

      IBM QRadar: Profil erstellen: Verstoß automatisieren
    3. Klicken Sie Auf Beenden Um die Konfiguration abzuschließen und das Profil in zu verschieben Warten status.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um Straftaten aus dem abzurufen IBM QRadar Konsole basierend auf Ihrer Planung.