Mapeamento IBM QRadarcampos de infração para campos de resposta a incidentes de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 10 min. de leitura

    • Mapeie campos de infração individual, evento e fluxo para campos em um Now Platform SIRincidente de segurança.

    Mapeamento de campo de infração

    Como usuário com a função sn_si.admin, use os campos da seção Exemplos de infrações à esquerda e mapeie-os para os campos de incidente de segurança na coluna Mapeamento de campo de incidente de SIR. Edite a configuração de mapeamento arrastando campos de ofensa, evento ou fluxo do lado esquerdo e soltando-os no ServiceNow SIRseção de mapeamento de incidentes à direita. O mapeamento à direita associa o campo de infração de entrada a um campo de incidente de segurança de saída.

    1. Depois de buscar os dados de amostra, a próxima etapa é mapear os campos de infração, evento ou fluxo para o incidente de segurança. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e segure um nome de campo azul no lado esquerdo do formulário.
    2. Arraste o nome do campo, por exemplo, descrição E solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.
      O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, descrição está mapeado para Descrição campo no incidente de segurança.
      IBM QRadar: Criar perfil: Mapeamento: SIR1
      Nota:
      Se você inserir o nome do campo de fluxo ou evento manualmente na seção Expressão de entrada, será preciso adicionar um prefixo como Event:eventfield ou (Flow:flowfield) antes do nome do campo que está sendo mapeado.

      IBM QRadar: Criar perfil: Mapeamento: SIR2

      Para ajudar você a garantir que nenhum campo de infração, evento ou fluxo seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. A codificação por cores dos campos de infração ajuda você a acompanhar os valores de infração que você já mapeou, pois eles ficam esmaecidos, enquanto todos os campos não mapeados restantes aparecem em azul. Isso ajuda você a visualizar melhor quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de infração importante restante permanece não mapeada.

      Os campos azuis claros à esquerda indicam que um campo de infração ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo de infração, evento ou fluxo de entrada a mais de um campo em um incidente de segurança. Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Esta codificação por cores ajuda você a rastrear o mapeamento.

    3. Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas:
      1. À direita do formulário, na seção Mapeamento de campo de incidente SIR, na parte inferior da grade, clique no ícone de mais. Um novo campo é exibido.
      2. Na coluna Incidente de segurança, expanda a lista de seleção exibida e selecione um campo.
        Na lista de seleção expandida para o novo campo, alguns campos são sombreados. Na figura a seguir, Categoria tem um fundo cinza, porque foi mapeada no incidente de segurança. Semelhante à codificação por cores dos campos de infração no lado esquerdo do formulário, essa codificação por cores para os campos de incidente de segurança à direita ajuda você a rastrear os campos de incidente DE SIR já mapeados.
        IBM QRadar: Criar perfil: Mapeamento: SIR3
        Nota:
        Como vários observáveis podem ser exibidos no mesmo incidente de segurança, o campo observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho são compatíveis com vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, uma mensagem de erro será exibida informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista de seleção na qual você pode escolher várias opções e você tentar mapear uma opção para esse campo que não seja exibida na lista de seleção, o campo não será preenchido no incidente de segurança.
      3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
      4. No lado esquerdo do formulário, selecione o campo Ofensão e arraste-o e solte-o em um campo de incidente de segurança apropriado à direita.
    4. Remova campos usando o ícone - ao lado do nome do campo na seção Mapeamento de campo de incidente de SIR.
    5. Continue o mapeamento adicionando ou removendo valores de campo ao mapeamento.

    Campos de infração com vários valores

    • Campos de incidente de segurança, como Categoria e. Usuário Os campos (por exemplo, usuário afetado, atribuído a) disponíveis com o produto de base não são compatíveis com vários valores.
    • O seguinte IBM QRadaros campos oferecem suporte a vários valores:
      • categorias
      • destination_networks
      • source_address_ids
      • local_destination_address_ids
      • remote_destination_ips
      • rules_contributing_to_offense
      • usuários

      Se você precisar mapear os campos acima para qualquer Resposta a incidentes de segurançaAlém de campos de IC e de tipo observável, você deve criar novos Resposta a incidentes de segurançacampos do tipo Lista e usá-los para mapeamento.

      Nota:
      Por padrão, somente não referência Lista campos de tipo são compatíveis.

    Tradução de campo de formatação

    Em determinados casos, os valores do campo de infração em IBM QRadarPode não ser traduzido diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de scripts se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de scripts, um valor de categoria Alerta de malware e infecção por vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser convertidos em uma Atividade de código mal-intencionado comum no campo Categoria no incidente de segurança SIR usando a funcionalidade Tradução de campo de formatação.

    Para usar o editor de scripts, clique em IBM QRadar: Criar perfil: Ícone de script. O editor de scripts é exibido.
    IBM QRadar: Criar perfil: Editor de scripts

    Insira as mudanças no script e clique em Atualizar Para salvar as mudanças e retornar à página Mapeamento.

    Condições de geração de incidentes

    Quando a seção de mapeamento estiver concluída, você poderá definir condições de filtro para especificar quais infrações devem criar incidentes de segurança versus quais infrações devem ser filtradas, por exemplo, infrações de baixa prioridade. Você pode usar os mesmos valores de campo no construtor de condições de geração de incidentes para definir critérios adicionais que uma infração de entrada deve atender para criar um incidente de segurança. Para definir condições de geração de incidentes, siga estas etapas.
    1. Role até Condições de geração de incidente no formulário e selecione Filtro com base em condições para habilitar a opção.

      O construtor de condições de filtro é exibido. Use estes filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

      As opções nas listas de seleção do primeiro campo no construtor de condições de filtro correspondem aos campos exibidos na seção de ingestão de infrações do QRadar de amostra para as infrações que você ingeriu. Esses campos são dinâmicos e mudam dependendo das infrações que você ingerir. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores de IBM QRadarinfração. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao IBM QRadarconsole e revise suas infrações em busca das palavras-chave.

      Nota:
      . categorias , destination_networks , source_address_ids , local_destination_address_ids , remote_destination_ips , regras_contributing_to_ofension e. usuários os campos de infração podem ter vários valores (pois os valores são armazenados em matrizes). Como a condição de filtro pode recuperar somente cadeias de caracteres, você deve usar contém condição de filtro para esses campos para garantir que os dados sejam filtrados corretamente.
    2. Usando as listas de seleção e os campos do construtor de condições, defina filtros para a primeira linha.
    3. Para adicionar mais condições, à direita dos campos, clique em E. ou OU .
      • Se E. está selecionado, todas as condições devem ser correspondidas.
      • Se OU é selecionado, qualquer condição pode ser correspondida.
    4. (Opcional) Na segunda linha, defina uma segunda condição de filtro.

      A imagem a seguir é um exemplo com duas condições que devem ser correspondidas antes que os incidentes de segurança sejam criados.


      IBM QRadar: Criar perfil: Mapeamento: SIR5

      Você definiu as condições de geração de incidentes para que os incidentes de segurança sejam criados somente quando as duas condições de filtragem inseridas forem correspondidas.

      Esse tipo de filtragem de condição de geração de incidentes ajuda a restringir as infrações e limitar o número de incidentes de segurança desnecessários que você cria sem modificar a regra ou filtros subjacentes em IBM QRadar. Se critérios de filtragem adicionais forem definidos, somente infrações que correspondam a todos os critérios serão mapeadas para incidentes.

      Nota:
      Se qualquer um dos nomes do campo de ofensa tiver caracteres especiais, como aspas ("), hifens ("), sublinhados (-) ou "E" comercial ("), esses caracteres talvez precisem ser substituídos para fins de filtragem, mas um sufixo numérico será anexado para diferenciar campos com nomes de ofensa duplicados. Por exemplo, se o primeiro campo de infração for alerts.alert e o segundo campo de ofensa é alertas em alertas , esses campos não podem ser identificados exclusivamente, pois os caracteres de texto padrão restantes são os mesmos. Nesse caso, um sufixo é adicionado ao segundo campo de infração e o campo é renomeado para alertas em alerta(1) Quando exibido na lista Condições de filtro.

    Critérios de agregação de infrações para lidar com infrações semelhantes e evitar incidentes duplicados

    Defina critérios de agregação de infração adicionais que agregue uma infração de entrada a um incidente de segurança SIR existente em vez de criar incidentes semelhantes e potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, essa capacidade de agregação adicional pode reduzir o número de incidentes de segurança ativos sobrepostos, colocando todos os dados de infração relacionados em um único incidente de segurança. Para definir os critérios, siga estas etapas abaixo:
    1. Role até a seção Critérios de agregação de infrações no formulário e selecione Condições de agregação para habilitar esta opção.

      As colunas Valores de correspondência do campo do incidente são exibidas. Esses nomes de campo são os campos no incidente de segurança que incluem todos os campos personalizados configurados no SIRincidente de segurança.

    2. Na lista Disponível, selecione os valores de campo que você deseja corresponder nos incidentes de segurança existentes no Now PlatformE mova-os para a lista Selecionados.

      Todos os valores de campo selecionados devem ser correspondidos para anexar este alerta de entrada a um incidente de segurança existente. Isso inclui campos, como Observáveis e Itens de configuração, que podem ter vários valores de campo de infração mapeados para eles. Todos os valores devem corresponder. Se somente um subconjunto dos valores for correspondido, as condições de agregação de infração não serão atendidas e um novo incidente de segurança será criado. Consulte a captura de tela abaixo para obter o mapeamento de campos de vários valores.


      IBM QRadar: Criar perfil: Mapeamento: Agregação

      Se uma nova infração corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, a nova infração será adicionada automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analista trabalhando com incidentes de segurança, você pode exibir todas as infrações agregadas adicionadas em uma lista relacionada em um incidente de segurança. Esta lista detalha carimbos de data/hora associados e valores de campo agregados. Essas informações ajudam você a entender por que essas infrações estão sendo agregadas a incidentes de segurança existentes. Se esta guia não for exibida, role para o lado esquerdo do registro em Links relacionados e clique em Mostrar todas as listas relacionadas link.

    3. (Opcional) Para registrar uma anotação de trabalho para uma nova infração que foi adicionada recentemente ao incidente de segurança, marque a caixa de seleção para habilitar esta opção. A anotação de trabalho registra que uma nova infração foi adicionada junto com um link para os detalhes da infração e quaisquer outros detalhes que possam ter sido adicionados ao campo de anotação de trabalho na seção de mapeamento.

      Você mapeou com sucesso valores de um IBM QRadarinfração aos campos em um incidente de segurança. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidentes. Você também anexou infrações a incidentes de segurança existentes quando os valores do campo de infração correspondem aos critérios de agregação configurados.

    4. Clique em Continuar para continuar com a configuração do perfil. A próxima etapa é visualizar os campos mapeados em um SIRincidente de segurança