SIR インシデント状況に基づく違反の更新とクローズの自動化
IBM QRadar 統合には、違反からセキュリティインシデントを作成する機能と、セキュリティインシデント番号、アサイン先グループ、セキュリティインシデント URL などの関連するインシデントの詳細を使用して、セキュリティインシデントが作成および/またはクローズされると違反を更新する機能を許可する双方向インターフェイスがあります。
始める前に
手順
-
以下の手順に従って、セキュリティインシデントが作成されたときに違反を更新するための構成を完了します。
オプションまたはフィールド 説明 SIR インシデントの作成時に違反を更新する 違反ステータスを更新し、セキュリティインシデントが違反から作成されたときに違反ステータスを更新し、コメントを追加する場合は、このオプションを選択します。これは、セキュリティインシデントを作成する最初のトリガー違反と集計された違反の両方で発生します。 初期違反のステータスの更新 次を選択できます。 - オープン:違反のステータスが [オープン] に設定され、違反に対してセキュリティインシデントが作成されたことを示すコメントが追加されます。
- 非表示:違反のステータスが [非表示] に設定され、この違反は IBM QRadar ダッシュボードで非表示になります。
最初のコメントが違反に投稿されました 選択したステージに基づいて、IBM QRadar コンソールで定義されたように最初のコメントがここに表示されます。 SIR インシデントのクローズ時に違反をクローズする 自動違反クローズオプションを使用する場合は、このオプションを選択します。セキュリティインシデントが ServiceNow で関連するクローズコードでクローズされると、IBM QRadar の違反ステータスがクローズコメントとともに [クローズ] に更新されます。 注:セキュリティインシデントに指定されたクローズコードは、IBM QRadar ダッシュボードで指定されたクローズ理由に対応している必要があります。対応するクローズ理由が見つかった場合にのみ、IBM QRadar で違反がクローズされます。対応する理由が見つからない場合、違反はデフォルトのクローズコードでクローズされます。クローズコメントが違反に投稿されました IBM QRadar ダッシュボードで定義されたとおりにクローズコメントがここに表示されます。 セキュリティインシデントがクローズされるときのデフォルトのクローズ理由 セキュリティインシデントがクローズされるときに使用されるデフォルトの理由。セキュリティインシデントがクローズされると、クローズコード (またはクローズ理由) がセキュリティインシデントレコードに指定されます。クローズコードが IBM QRadar ダッシュボードで指定されたクローズ理由と一致しない場合、セキュリティインシデントをクローズしようとすると、エラーメッセージが表示されます。このような場合、セキュリティインシデントがクローズされるときに、ここで指定されたデフォルトのクローズ理由が使用されます。