フローデザイナーと Integration Hub を使用した IBM QRadar 違反の取り込み統合
フローデザイナーと Integration Hub 機能を使用して、いくつかのサブフローとアクションが IBM QRadar 違反の取り込み統合の一部としてビルドされました。
次の IBM QRadar サブフローを利用できます。
- 接続と資格情報の検証:初期設定でホストと認証情報を検証するために構成タイルで使用されます。
- IBM QRadar ルールの取得:IBM QRadar 内のすべてのアクティブなルールを取得するために、プロファイルセットアップの [ルール] セクションで使用されます。このサブフローは非同期にトリガーされます。
- IBM QRadar からサンプル違反データをフェッチ:サンプルデータをフェッチするために、プロファイルセットアップの [ マッピング] セクションで使用されます。このサブフローは非同期にトリガーされます。
- IBM QRadar 違反ステータスの更新:スケジュール済みジョブで毎分トリガーされ、セキュリティインシデントが作成またはクローズされたときに IBM QRadar 内の違反を更新します。
- スケジュール済みジョブとキュー違反からプロファイルを処理:スケジュール済みジョブで毎分トリガーされ、ポーリング間隔に基づいてプロファイルごとに違反を取得します。これにより違反が取得され、さらに処理するためにポーリングテーブルのキューに入れられます。
- 一括でポーリングキューとポーリングを処理:ポーリングテーブルキューを処理するために、スケジュール済みジョブで 30 秒ごとにトリガーされます。
- 最新の IBM QRadar フローを取得:違反の最新フローを取得するために、セキュリティインシデントフォームリンクからトリガーされます。
- 最新の IBM QRadar イベントをフェッチ:違反の最新イベントを取得するために、セキュリティインシデントフォームリンクからトリガーされます。
これらのサブフローを表示するには、 sn_si.admin ロールを持つユーザーとしてログインし、 . 上記のサブフローの [名前] リンクをクリックすると、サブフローの詳細が表示されます。