Installieren und konfigurieren Sie ServiceNowAnwendung für IBM QRadarIntegration der Erfassung von Straftaten

  • Freigeben Version: Yokohama
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer
  • Bevor Sie die Integration auf ausführen Now Platform®Führen Sie diese Installations- und Konfigurationsschritte aus, damit die Anwendung ordnungsgemäß in integriert wird Security Incident ResponseUnd Security OperationsProdukte auf Ihrem Now PlatformInstanz.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn Sie nicht installiert haben IBM QRadarAnwendung von ServiceNow StoreInformationen zur Integration finden Sie unter Installieren Sie ein Security OperationsIntegrationUnd befolgen Sie die Schritte, um es zu installieren.
    2. Nachdem Sie die Anwendung erfolgreich installiert haben, navigieren Sie zu Integrationen > Integrationskonfigurationen Und suchen Sie IBM QRadarKachel.
    3. Klicken Sie auf, um die Anwendung zu konfigurieren Neu .
    4. Alternativ, wenn ein Konfigurieren Die Schaltfläche wird auf einer Kachel angezeigt. Klicken Sie darauf, um eine vorhandene Konfiguration zu bearbeiten.
    5. In Konfiguration Von Vergehen-Erfassungen Füllen Sie die Felder aus, das angezeigt wird.
      FeldBeschreibung
      Name Name von IBM QRadarKonsole oder IBM QRadarFür die Integration verwendete Instanz.

      Leerzeichen werden für Namen unterstützt, Klammern werden jedoch nicht unterstützt.

      Basis-URL der IBM QRadar-API Host-URL für Ihr IBM QRadarInstanz.
      Hinweis:
      Sie müssen hier nur die URL und die Portnummer eingeben. Beispiel: https://ibm-qradar.com:8443. Wenn die Portnummer 443 lautet, muss sie nicht explizit eingegeben werden.
      IBM QRadar-Dashboard-URL Die URL für IBM QRadarDashboard oder die Konsole. Diese URL wird verwendet, um die Hyperlinks für Straftaten in automatisch zu erstellen IBM QRadarDashboard.

      Geben Sie nur die Host-URL ein, z. B. https://qradar.com. Fügen Sie .jsp nicht in die URL ein. Beispiel: https://qradar.com/console/qradar/jsp/QRadar.jsp ist ein ungültiges Format.

      Hinweis:
      Wenn die Dashboard-URL nicht verfügbar ist, geben Sie ein IBM QRadarAPI-Basis-URL hier.
      IBM QRadar API-Version Version 10 und höher werden unterstützt.
      IBM QRadar API-Autorisiertes Servicetoken (lokal) Die IBM QRadarAutorisiertes Service-Token wird für die Authentifizierung verwendet. Das autorisierte Service-Token muss die folgenden Mindestanwenderrollen haben: Vergehen , Protokollaktivität , Und Netzwerkaktivität Zusammen mit einem Anwendersicherheitsprofil ohne Einschränkungen.
      Führen Sie die folgenden Schritte aus, um das autorisierte Service-Token zu generieren:
      • In IBM QRadarKonsole, navigieren Sie zu Administrator Registerkarte und klicken Sie auf Autorisierte Services .
      • Wenn ein gültiges autorisiertes Service-Token vorhanden ist, überprüfen Sie das Ablaufdatum, und verwenden Sie dieses Token.
      Wenn kein autorisiertes Service-Token verfügbar ist, führen Sie die folgenden Schritte aus:
      • In IBM QRadar, Navigieren Sie zu Administrator Registerkarte und klicken Sie auf Autorisierter Service .
      • Klicken Sie Auf Fügen Sie Einen Autorisierten Service Hinzu Und erstellen Sie ein Token mit der Anwenderrolle und dem Sicherheitsprofil. Stellen Sie sicher, dass Sie ein Ablaufdatum für einen langen Gültigkeitszeitraum angeben.
      IBM QRadar API-autorisiertes Servicetoken (für QRoC) Wenn Sie IBM QRadar on Cloud (QRoC) verwenden, verwenden Sie die Selfservice-Anwendung, um das autorisierte Service-Token mit der Administratoranwenderrolle und dem Administratorsicherheitsprofil für die Authentifizierung zu generieren.
      Lokale Bereitstellung Standard ist deaktiviert.

      Wenn diese Option aktiviert ist, müssen Sie einen MID-Anwendungsnamen angeben.

      Wenn Sie verwenden IBM QRadarStellen Sie in der Cloud (QRoC) sicher, dass das Kontrollkästchen deaktiviert ist.

      MID-Anwendungsname Geben Sie eine MID-Serveranwendung an, die in Ihrer Umgebung eingerichtet ist. Wenn Sie keine MID-Serveranwendung konfiguriert haben, müssen Sie eine neue MID-Serveranwendung für diese Integration erstellen.
      Hinweis:
      Die MID-Serveranwendung kann nur von Anwendern mit der Systemadministratorrolle konfiguriert werden.
      Abbildung : 1. Mindestanzahl Von Anwenderrollen
      Mindestanzahl Von Anwenderrollen
      Führen Sie die folgenden Schritte aus, um eine neue MID-Serveranwendung zu erstellen:
      • Navigieren zu MID-Server > Anwendungen Und klicken Sie auf Neu .
      • Geben Sie einen Namen für die MID-Serveranwendung ein, und wählen Sie einen MID-Server aus, der als Standard verwendet werden soll.
      • Deaktivieren Sie das Kontrollkästchen in Anwendung ALLE eingeschlossen, und klicken Sie auf Speichern .
        IBM QRadar: Konfigurieren Sie DEN MID-Server
      • Klicken Sie auf Bearbeiten. In Bearbeiten Sie Mitglieder Wählen Sie alle verfügbaren MID-Server aus, verschieben Sie sie in die MID-Serverliste, und klicken Sie auf Speichern . Je nach Verfügbarkeit wird einer der mit der MID-Serveranwendung konfigurierten MID-Server verwendet.
    6. Geben Sie die Konfigurationsdetails ein, und geben Sie die von Ihnen erstellte MID-Serveranwendung an.

      IBM QRadar: Konfigurationskachel

      Die Quelle, die Sie auf konfigurieren Konfiguration der Erfassung von IBM QRadar-Vergehen Formular kann für mehrere wiederverwendet werden Now PlatformProfile, solange jedes Profil Straftaten erfasst.

    7. Klicken Sie auf Absenden.
      Nachdem sie erfolgreich validiert und übermittelt wurde, jeweils IBM QRadarDie Serverkonfiguration wird auf der Seite „Sicherheitsintegrationen“ als Kachel gespeichert. Wenn Ihre gespeicherten Konfigurationskacheln auf der Seite „Sicherheitsintegrationen“ nicht angezeigt werden, klicken Sie oben rechts auf der Seite in der Auswahlliste „Konfigurationen anzeigen“ auf Ja .
      Hinweis:
      Wenn Probleme mit auftreten IBM QRadarDomänensegmentierungsfunktion, Kontakt IBM QRadarKundensupport für Unterstützung.

    Nächste Maßnahme

    Sie haben die Anwendung erfolgreich installiert und konfiguriert. Der nächste Schritt besteht darin, das Profil zu erstellen.