Zeitplan definieren

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

3 Minuten Lesedauer

Sie können den Zeitplan für die Erfassung von Straftaten definieren. Während dieses Schritts können Sie die Standardeinstellungen für den Abruf von Straftaten überprüfen oder die Planung nach Bedarf ändern. Mit diesem Schritt können Sie auch historische Straftaten mithilfe eines Datumsbereichs abrufen.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Sie können auswählen, ob Sie während des Planungsschritts historische Verstöße erfassen möchten. Sie wählen auch aus, wie oft Sie nach zukünftigen neuen Vergehen und aktualisierten Vergehen abfragen, die der Profilkonfiguration entsprechen.

Als Benutzer mit der Rolle sn_si.admin konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung von IBM QRadar Die Integration der Verstoßerfassung kann durch die verschiedenen Abfrageintervalle beeinträchtigt werden. Bei der Planung möchten Sie möglicherweise die Reduzierung des Abfrageaufwands auf dem abgleichen IBM QRadar Server gegen den Wunsch, so bald wie möglich benachrichtigt zu werden, wenn eine Straftat erstellt oder aktualisiert wird. Für jedes Profil ist ein fünf-Minuten-Standardwert festgelegt. Sie können diese Einstellung jedoch bei Bedarf auf eine Minute ändern.

Neue und aktualisierte Verstöße werden abgerufen

Wenn der Abfragezeitplan festgelegt ist, ruft die geplante Aufgabe sowohl neue als auch aktualisierte Verstöße ab, die zuvor abgerufen wurden, aber die Incident-Filterkriterien nicht erfüllten. Dies bietet Ihnen die Flexibilität, Incidents basierend auf Kriterien zu erstellen, die möglicherweise nicht vorhanden sind, wenn eine Straftat erstmals erstellt wird, aber verfügbar werden, nachdem ein Update erfolgt ist, z. B. während der Untersuchungsphase. Sobald ein Incident für eine bestimmte Straftat erstellt wurde, werden die nachfolgenden Aktualisierungen ignoriert, da erwartet wird, dass die Straftat jetzt als aktiv behandelt wird ServiceNow Security Incident. Alle anderen Straftaten, die zuvor erfasst wurden, aber die Kriterien für die Incident-Generierung nicht erfüllen, werden weiterhin abgerufen und anhand der Incident-Generierungskriterien überprüft, bis sie Teil eines aktiven Incident werden.

Prozedur

Wenn die Seite „Zeitplanung“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zeitplanung .

Wählen Sie eine aus, um zu planen, wie und wann Straftaten aus abgerufen werden IBM QRadar Konsole.

Option	Beschreibung
Feld „laufende Vergehen erfassen“ ausgewählt	Laufende Vergehen Basierend auf der Standardeinstellung ServiceNow AI Platform Instanz ruft aus ab IBM QRadar Server für neue und aktualisierte Verstöße alle fünf Minuten. Security Incidents werden erstellt, wenn Verstöße gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind. Um den Overhead der Erfassungsabfrage auszugleichen, der die aktuellsten Daten abrufen möchte, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf eine Minute geändert werden.
Laufende Vergehen-Erfassung ausgewählt Legen Sie die Erfassungszeit des ersten Verstoßes fest	Zeit der ersten Erfassung Wenn Sie die erste Erfassung zu einem bestimmten Zeitpunkt planen möchten, gehen Sie wie folgt vor: Wählen Sie die laufende Vergehen-Erfassung aus, und legen Sie die Zeitfelder für die erste Vergehen-Erfassung fest. Geben Sie die Zeit im Feld Zeit der Erfassung des ersten Verstoßes eingeben an. Die erste Erfassung erfolgt zu dem hier angegebenen Zeitpunkt. Nachfolgende Erfassungen basieren auf dem Zeitplan, der im Feld Abfrageschritt (Minuten) definiert ist. Beispiel für die Planung einer ersten Vergehen-Erfassungszeit, wenn Sie täglich eine haben IBM QRadar Sicherheitsprüfung, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird. Sie können das entsprechende Verstoßprofil in einrichten ServiceNow AI Platform Instanz, die um 4:05 UHR Ortszeit ausgeführt werden soll, um den Sicherheitsfehler sofort zu erfassen und einen Security Incident zu erstellen. Geben Sie Ein `<date> 04 05 00` Im Feld Erfassung des ersten Verstoßes. Geben Sie im Feld Abrufschritt (Minuten) ein `<date> 1440` (24 Stunden), um die nächste Vergehen-Erfassung für 24 Stunden ab der ersten Vergehen-Erfassung zu planen. In den Feldern werden sowohl die erste Erfassungszeit des Verstoßes als auch die nächste Erfassungszeit des Verstoßes angezeigt. Die erste Erfassung erfolgt um 4:05 Uhr. Die nachfolgenden Erfassungen basieren auf dem Abfrageintervall. Da der Abfrageschritt in diesem Fall 24 Stunden beträgt, findet die nächste Erfassung am nächsten Tag um 4:05 Uhr statt.
Feld „Einmalabruf“ ausgewählt	Einmaliger Abruf Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zur Erfassung historischer Straftaten wünschen. Wenn diese Einstellung konfiguriert ist, wird einmal ein Profil verwendet, um Straftaten aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Vergehen beginnen möchten. Ab dem Wert seit Datum werden Straftaten bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie bis zu sieben Tage ab dem aktuellen Datum zurückrufen können. Diese Funktionalität dient nicht dazu, erhebliche Mengen historischer Straftaten von abzurufen IBM QRadar Aus Archivierungsgründen, aber eher aus einer minimalen Menge von Vergehen während der Ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden. Nachdem die Vergehen abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine weiteren Vergehen für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen Vergehen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

Option

Beschreibung

Feld „laufende Vergehen erfassen“ ausgewählt

Laufende Vergehen

Basierend auf der Standardeinstellung ServiceNow AI Platform Instanz ruft aus ab IBM QRadar Server für neue und aktualisierte Verstöße alle fünf Minuten. Security Incidents werden erstellt, wenn Verstöße gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind. Um den Overhead der Erfassungsabfrage auszugleichen, der die aktuellsten Daten abrufen möchte, ist die Standardeinstellung fünf Minuten. Dieser Wert kann jedoch bei Bedarf auf eine Minute geändert werden.

Laufende Vergehen-Erfassung ausgewählt
Legen Sie die Erfassungszeit des ersten Verstoßes fest

Zeit der ersten Erfassung

Wenn Sie die erste Erfassung zu einem bestimmten Zeitpunkt planen möchten, gehen Sie wie folgt vor:

Wählen Sie die laufende Vergehen-Erfassung aus, und legen Sie die Zeitfelder für die erste Vergehen-Erfassung fest.
Geben Sie die Zeit im Feld Zeit der Erfassung des ersten Verstoßes eingeben an.

Die erste Erfassung erfolgt zu dem hier angegebenen Zeitpunkt. Nachfolgende Erfassungen basieren auf dem Zeitplan, der im Feld Abfrageschritt (Minuten) definiert ist.

Beispiel für die Planung einer ersten Vergehen-Erfassungszeit, wenn Sie täglich eine haben IBM QRadar Sicherheitsprüfung, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird. Sie können das entsprechende Verstoßprofil in einrichten ServiceNow AI Platform Instanz, die um 4:05 UHR Ortszeit ausgeführt werden soll, um den Sicherheitsfehler sofort zu erfassen und einen Security Incident zu erstellen.

Geben Sie Ein <date> 04 05 00 Im Feld Erfassung des ersten Verstoßes. Geben Sie im Feld Abrufschritt (Minuten) ein <date> 1440 (24 Stunden), um die nächste Vergehen-Erfassung für 24 Stunden ab der ersten Vergehen-Erfassung zu planen. In den Feldern werden sowohl die erste Erfassungszeit des Verstoßes als auch die nächste Erfassungszeit des Verstoßes angezeigt.

Die erste Erfassung erfolgt um 4:05 Uhr. Die nachfolgenden Erfassungen basieren auf dem Abfrageintervall. Da der Abfrageschritt in diesem Fall 24 Stunden beträgt, findet die nächste Erfassung am nächsten Tag um 4:05 Uhr statt.

Feld „Einmalabruf“ ausgewählt

Einmaliger Abruf

Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf zur Erfassung historischer Straftaten wünschen.

Wenn diese Einstellung konfiguriert ist, wird einmal ein Profil verwendet, um Straftaten aus historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Vergehen beginnen möchten. Ab dem Wert seit Datum werden Straftaten bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie bis zu sieben Tage ab dem aktuellen Datum zurückrufen können. Diese Funktionalität dient nicht dazu, erhebliche Mengen historischer Straftaten von abzurufen IBM QRadar Aus Archivierungsgründen, aber eher aus einer minimalen Menge von Vergehen während der Ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

Nachdem die Vergehen abgerufen wurden, ruft diese Einstellung ab dem aktuellen Datum keine weiteren Vergehen für dieses Profil ab. Diese Einstellung füllt den Security Incident mit allen Vergehen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

Klicken Sie Auf Fahren Sie Fort Um zur Seite „zusätzliche Optionen“ zu navigieren.