Automate atualizações de infração e fechamento com base no status do incidente de SIR

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • . IBM QRadarA integração tem uma interface bidirecional que permite que ambas as infrações criem incidentes de segurança, bem como a capacidade de atualizar as infrações depois que o incidente de segurança é criado e/ou encerrado com detalhes relevantes do incidente, como número do incidente de segurança, grupo de atribuição, URL do incidente de segurança e assim por diante.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais .
    2. Siga as instruções abaixo para concluir a configuração para atualizar infrações quando o incidente de segurança for criado.
      Opção ou CampoDescrição
      Atualizar infrações após a criação do incidente de SIR Selecione esta opção se quiser atualizar o status da infração e adicionar comentários adicionais quando um incidente de segurança for criado a partir da infração. Isso pode ocorrer tanto para as infrações iniciais que geram o incidente de segurança, quanto para infrações agregadas.
      Atualização de status da infração inicial Você pode selecionar:
      • Aberto: O status da infração está definido como Aberto e um comentário é adicionado indicando que um incidente de segurança foi criado para a infração.
      • Oculto: O status da infração está definido como Oculto e esta ofensa está escondida no IBM QRadarpainel.
      Comentários iniciais retornados para a infração Com base na fase que você selecionou, os comentários iniciais conforme definido em IBM QRadaro console é exibido aqui.
      Encerrar infrações após o fechamento do incidente de SIR Selecione esta opção se quiser usar a opção Encerramento automatizado de infração. Quando o incidente de segurança é encerrado em ServiceNowcom um código de fechamento relevante, o status da infração é atualizado em IBM QRadarpara Encerrado com comentários de fechamento.
      Nota:
      O código de fechamento especificado para o incidente de segurança deve corresponder ao motivo de fechamento especificado em IBM QRadarpainel. A infração foi encerrada em IBM QRadarsomente se um motivo de fechamento correspondente for encontrado. Se um motivo correspondente não for encontrado, a infração será encerrada com um código de fechamento padrão.
      Comentários de fechamento publicados de volta para ofensa Os comentários de fechamento, conforme definido em IBM QRadaro painel é exibido aqui.
      Motivo de encerramento padrão quando o incidente de segurança é encerrado O motivo padrão a ser usado quando um incidente de segurança é encerrado, quando um incidente de segurança é encerrado, um código de fechamento (ou o motivo do fechamento) é especificado no registro de incidente de segurança, se o código de fechamento não corresponder ao motivo de fechamento especificado em IBM QRadare você tentar fechar o incidente de segurança, uma mensagem de erro será exibida. Nesses casos, o motivo de fechamento padrão especificado aqui é usado quando o incidente de segurança é encerrado.

      IBM QRadar: Criar perfil: Automatizar ofensa
    3. Clique em Concluir para concluir a configuração e mover o perfil para Aguardando estado.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair infrações do IBM QRadarconsole com base em sua programação.