Formular „Security Incident Response“ nach Erfassung des Verstoßes

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Nach einem IBM QRadar Verstoß wurde erfasst, ein Security Incident wird erstellt, und die entsprechenden Aktualisierungen werden am Security Incident-Datensatz vorgenommen.

    Arbeitsnotiz

    Eine Arbeitsnotiz wird mit Details zur Straftat veröffentlicht, die den Security Incident ausgelöst hat.
    IBM QRadar: SIR: Arbeitsnotiz

    Klicken Sie auf den Link Verstoß, um zum internen Security Incident-Datensatz zu navigieren. Die Klicken Sie hier Hyperlink führt Sie zu IBM QRadar Dashboard, in dem Sie die Verstoßdetails anzeigen können.

    Wenn Sie ausgewählt haben Arbeitsnotiz für neuen Verstoß protokollieren Option in den Verstoßzusammenfassungskriterien wie in beschrieben Zuordnung IBM QRadar Verstoßfelder zu Security Incident Response-Feldern, Eine Arbeitsnotiz wird veröffentlicht, wenn die Straftat aggregiert wird.


    IBM QRadar: Datensatz für interne Vergehen

    Zusammengefasste Straftaten

    Klicken Zugehörige Listen > Aggregierte IBM QRadar-Verstöße Dient zum Anzeigen der mit dem Security Incident zusammengefassten Verstöße. Klicken Sie auf den Hyperlink QRadar-Verstoß, um die Straftat in anzuzeigen IBM QRadar Dashboard.
    IBM QRadar – zusammengefasste Straftaten

    Security Incident erstellen: Wählen Sie eine Straftat aus der Liste aus, und klicken Sie auf Aktionen Und klicken Sie auf Erstellen Sie einen Security Incident . Diese Option erstellt einen Security Incident für die Straftat, und diese Straftat wird vom übergeordneten Security Incident getrennt.

    Verstoßdatensatz löschen: Wählen Sie eine Vergehen aus der Liste aus, und klicken Sie auf Aktionen Und klicken Sie auf Löschen . Mit dieser Option wird der Verstoßdatensatz gelöscht.
    IBM QRadar – zusammengefasste Verstöße: Erstellen und löschen

    Updates für IBM QRadar-Verstoß

    Dies zeigt die Felder „Standard“ und „anwenderdefinierte Straftat“ an und verfolgt Änderungen an der Straftat während jedes Abfrageintervalls. Dies ist hilfreich, da Sie Aktualisierungen von Straftaten direkt anzeigen können, ohne zu navigieren IBM QRadar Dashboard. Alle Änderungen an den Werten werden in den Feldern „vorheriger Wert“ und „Aktueller Wert“ angezeigt.

    Um die Funktion „Verstöße aktualisieren“ zu aktivieren, navigieren Sie zu Integration mit IBM QRadar > IBM QRadar-Integrationseinstellungen Und aktivieren Legen Sie diese Eigenschaft fest, um die Funktion „Verstöße aktualisieren“ zu aktivieren . Standardmäßig ist diese Einstellung deaktiviert.


    Updates für IBM QRadar-Verstoß

    Letzte IBM QRadar-Ereignisse

    Klicken Sie auf Ruft die letzten IBM QRadar-Ereignisse ab Option unter Zugehörige Links Um die neuesten anzuzeigen IBM QRadar Ereignisse.
    IBM QRadar: Letzte Ereignisse
    Standardmäßig wird eine maximale Anzahl von 100 Ereignissen angezeigt. Sie können diese Standardeinstellung in ändern Konfigurationseinstellungen.
    Hinweis:
    Die obige Abbildung zeigt die Standard-Ereignisfelder, die der Straftat zugeordnet sind. Wenn Sie anwenderdefinierte Ereignisfelder konfiguriert und zugeordnet haben (siehe Zuordnung IBM QRadar Verstoßfelder zu Security Incident Response-Feldern), können Sie sie in der Listenansicht anzeigen, indem Sie auf den Link Ereignisname klicken.

    IBM QRadar: Aktuelle IBM QRadar-Ereignisse: Listenansicht

    Aktuelle IBM QRadar-Flows

    Mit Integration Hub und Flow Designer sind mehrere Flows, Subflows und Aktionen mit verfügbar IBM QRadar Integration. Wenn Sie auf klicken Ruft die letzten IBM QRadar-Flows ab Option unter „zugehörige Links“ werden die neuesten Flows abgerufen. Um diese Flows anzuzeigen, klicken Sie auf Aktuelle IBM QRadar-Flows .
    IBM QRadar: Letzte Flows
    Standardmäßig wird eine maximale Anzahl von 100 Flows angezeigt. Sie können diese Standardeinstellung in ändern Konfigurationseinstellungen.
    Hinweis:
    Die obige Abbildung zeigt die Standard-Flow-Felder, die der Straftat zugeordnet sind. Wenn Sie anwenderdefinierte Flow-Felder konfiguriert und zugeordnet haben (siehe Zuordnung IBM QRadar Verstoßfelder zu Security Incident Response-Feldern), können Sie sie in der Listenansicht anzeigen, indem Sie auf den Link Flow-ID klicken.