IBM QRadar 統合のスケジュール定義

Yokohama 市セキュリティマネジメント

Release

yokohama

ft:locale

ja-JP

ft:publication_title

Yokohama 市セキュリティマネジメント

ft:clusterId

security

bundleId

security

workflow

Technology

IBM QRadar 統合のスケジュール定義

リリースバージョン: Yokohama

更新日 2025年01月30日

所要時間：4分

違反の取り込みのスケジュールを定義できます。このステップでは、必要に応じて、違反取得のデフォルトの設定を確認したり、スケジュールを変更したりすることができます。このステップでは、日付範囲を使用して履歴違反を取得することもできます。

始める前に

必要なロール：sn_si.admin

このタスクについて

[スケジュール] ステップで履歴違反を取り込むかどうかを選択できます。また、プロファイル構成に一致する将来の新しい違反と更新された違反をポーリングする頻度も選択します。

sn_si.admin ロールを持つユーザーは、これらのポーリング間隔をプロファイルごとに設定します。IBM QRadar 違反の取り込み統合のパフォーマンスは、ポーリング間隔が異なると影響を受ける可能性があります。スケジューリングでは、IBM QRadar サーバーのポーリングのオーバーヘッドを減らすことと、違反が作成または更新されたときにできるだけ早く通知することのバランスを取ることをお勧めします。どのプロファイルにも 5 分のデフォルト値が設定されていますが、必要に応じてこの設定を 1 分に変更することもできます。

新規および更新された違反のプル

ポーリングスケジュールが設定されると、スケジュール済みジョブは、以前にプルされたが、インシデントのフィルター条件を満たしていなかった新規違反と更新された違反の両方をプルします。これにより、違反が最初に作成されたときに存在しなくても、たとえば調査フェーズ中に更新が発生した後に存在する可能性がある条件に基づいて、インシデントを作成できます。特定の違反に対してインシデントが作成されると、その後の更新は無視されます。これは、違反がアクティブな ServiceNow セキュリティインシデントとして扱われていることが想定されるためです。ただし、以前に取り込まれたが、インシデント生成条件を満たしていない他のすべての違反は引き続きプルされ、アクティブなインシデントの一部になるまでインシデント生成条件と照合されます。

手順

進捗状況バーに [スケジュール] ページが表示されない場合は、[スケジュール] を選択します。

IBM QRadar コンソールから違反をプルする方法とタイミングをスケジュールするものを選択します。

オプション	説明
[進行中の違反の取り込み] フィールドが選択されています	進行中の違反デフォルト設定に基づいて、Now Platform インスタンスは IBM QRadar サーバーから新しい違反と更新された違反を 5 分ごとにプルします。違反が検出され、インシデント生成のフィルター条件が一致すると、セキュリティインシデントが作成されます。最新のデータを取得するための取り込みポーリングのオーバーヘッドのバランスを取るため、デフォルト設定は 5 分です。ただし、この値は必要に応じて 1 分程度に変更できます。
[進行中の違反の取り込み] を選択初期違反の取り込み時刻を設定	初期取り込み時刻特定の時刻に初期取り込みをスケジュールする場合は、次のステップを実行します。 [進行中の違反の取り込み] フィールドと [初期違反の取り込み時刻を設定] フィールドを選択します。 [入力初期違反の取り込み時刻] フィールドに時刻を指定します。ここで指定した時刻に最初の取り込みが行われます。後続の取り込みは、[ポーリングインクリメント (分)] フィールドで定義されたスケジュールに基づきます。初期違反の取り込み時刻をスケジュールする例として、現地時間の午前 4 時に 1 日 1 回実行される日次 IBM QRadar セキュリティチェックがある場合、Now Platform インスタンスで対応する違反プロファイルを現地時間午前 4 時 5 分に実行するように設定して、セキュリティ障害をすぐにキャプチャし、セキュリティインシデントを作成できます。 [初期違反の取り込み] フィールドに「`<日付> 04 05 00`」と入力します。[ポーリングインクリメント (分)] フィールドに「`<日付> 1440` (24 時間)」と入力して、初期違反の取り込みから 24 時間後に次の違反の取り込みをスケジュールします。初期違反の取り込み時刻と次の違反の取り込み時刻の両方がフィールドに表示されます。初期違反は午前 4 時 5 分に行われます。後続の取り込みは、ポーリング間隔に基づきます。この場合、ポーリングインクリメントは 24 時間であるため、次の取り込みは翌日の午前 4 時 5 分に行われます。
[1 回限りの取得] フィールドを選択	1 回限りの取得 1 回限りのプルで履歴違反を取り込む場合は、この設定を使用します。この設定を構成すると、日付範囲に基づく履歴イベントから違反を取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、違反のプルを開始する日付を選択します。[開始日] の値から、現在の日付までの違反が取得されます。現在の日付から 7 日間さかのぼって注目イベントを取得できることに注意してください。この機能は、アーカイブ上の理由により IBM QRadar から大量の履歴違反を取得することを意図したものではなく、プロファイルのアクティブ化時にアクティブに作業されている最小限の実行中のイベントを取得します。違反がプルされた後、この設定では、現在の日付以降はこのプロファイルの違反が取得されません。この設定により、入力した範囲で検出されたすべての違反がセキュリティインシデントに入力されます。

オプション

説明

[進行中の違反の取り込み] フィールドが選択されています

進行中の違反

デフォルト設定に基づいて、Now Platform インスタンスは IBM QRadar サーバーから新しい違反と更新された違反を 5 分ごとにプルします。違反が検出され、インシデント生成のフィルター条件が一致すると、セキュリティインシデントが作成されます。最新のデータを取得するための取り込みポーリングのオーバーヘッドのバランスを取るため、デフォルト設定は 5 分です。ただし、この値は必要に応じて 1 分程度に変更できます。

[進行中の違反の取り込み] を選択
初期違反の取り込み時刻を設定

初期取り込み時刻

特定の時刻に初期取り込みをスケジュールする場合は、次のステップを実行します。

[進行中の違反の取り込み] フィールドと [初期違反の取り込み時刻を設定] フィールドを選択します。
[入力初期違反の取り込み時刻] フィールドに時刻を指定します。

ここで指定した時刻に最初の取り込みが行われます。後続の取り込みは、[ポーリングインクリメント (分)] フィールドで定義されたスケジュールに基づきます。

初期違反の取り込み時刻をスケジュールする例として、現地時間の午前 4 時に 1 日 1 回実行される日次 IBM QRadar セキュリティチェックがある場合、Now Platform インスタンスで対応する違反プロファイルを現地時間午前 4 時 5 分に実行するように設定して、セキュリティ障害をすぐにキャプチャし、セキュリティインシデントを作成できます。

[初期違反の取り込み] フィールドに「<日付> 04 05 00」と入力します。[ポーリングインクリメント (分)] フィールドに「<日付> 1440 (24 時間)」と入力して、初期違反の取り込みから 24 時間後に次の違反の取り込みをスケジュールします。初期違反の取り込み時刻と次の違反の取り込み時刻の両方がフィールドに表示されます。

初期違反は午前 4 時 5 分に行われます。後続の取り込みは、ポーリング間隔に基づきます。この場合、ポーリングインクリメントは 24 時間であるため、次の取り込みは翌日の午前 4 時 5 分に行われます。

[1 回限りの取得] フィールドを選択

1 回限りの取得

1 回限りのプルで履歴違反を取り込む場合は、この設定を使用します。

この設定を構成すると、日付範囲に基づく履歴イベントから違反を取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、違反のプルを開始する日付を選択します。[開始日] の値から、現在の日付までの違反が取得されます。現在の日付から 7 日間さかのぼって注目イベントを取得できることに注意してください。この機能は、アーカイブ上の理由により IBM QRadar から大量の履歴違反を取得することを意図したものではなく、プロファイルのアクティブ化時にアクティブに作業されている最小限の実行中のイベントを取得します。

違反がプルされた後、この設定では、現在の日付以降はこのプロファイルの違反が取得されません。この設定により、入力した範囲で検出されたすべての違反がセキュリティインシデントに入力されます。

[続行] をクリックして、[他のオプション] ページに移動します。