Instale e configure o. ServiceNowaplicação para IBM QRadarintegração de ingestão de ofensa

  • Versão de lançamento: Yokohama
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura
  • Antes de executar a integração no Now Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre adequadamente ao Resposta a incidentes de segurançae. Operações de segurançaprodutos em seu Now Platforminstância.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se você não tiver instalado o. IBM QRadaraplicação do ServiceNow Storepara a integração, consulte Instale um Operações de segurançaintegraçãoe siga as etapas para instalá-lo.
    2. Depois de instalar a aplicação com sucesso, navegue até Integrações > Configurações de integrações e localize o. IBM QRadarlado a lado.
    3. Para configurar a aplicação, clique em Novo .
    4. Como alternativa, se for um Configurar é exibido em um bloco, clique nele para editar uma configuração existente.
    5. Em Configuração de ingestões de infração que é exibida, preencha os campos.
      CampoDescrição
      Nome Nome do IBM QRadarou IBM QRadarinstância usada para a integração.

      Espaços são compatíveis com nomes, mas parênteses não são compatíveis.

      URL de base da API IBM QRadar URL do host para seu IBM QRadarinstância.
      Nota:
      Você precisa inserir somente o URL e o número da porta aqui. Por exemplo, https://ibm-qradar.com:8443. Se o número da porta for 443, ele não precisará ser inserido explicitamente.
      URL do painel do IBM QRadar O URL do IBM QRadarou o console. Este URL é usado para construir automaticamente os hiperlinks para infrações no IBM QRadarpainel.

      Insira somente o URL do host, por exemplo, https://qradar.com. Não inclua .jsp no URL, por exemplo, https://qradar.com/console/qradar/jsp/QRadar.jsp é um formato inválido.

      Nota:
      Se o URL do painel não estiver disponível, insira IBM QRadarURL base da API aqui.
      IBM QRadar Versão da API As versões 10 e superiores são compatíveis.
      IBM QRadar Token de serviço autorizado da API (no local) . IBM QRadaro token de serviço autorizado é usado para autenticação. O token de serviço autorizado deve ter as seguintes funções mínimas de usuário: Infrações , Registrar atividade e. Atividade de rede junto com um perfil de segurança do usuário que não tem restrições.
      Para gerar o token de serviço autorizado, siga estas etapas:
      • Em IBM QRadarconsole, navegue até Administrador e clique em Serviços Autorizados .
      • Se existir um token de serviço autorizado válido, verifique a data de expiração e use este token.
      Se um token de serviço autorizado não estiver disponível, siga estas etapas:
      • Em IBM QRadar, navegue até Administrador e clique em Serviço autorizado .
      • Clique em Adicionar serviço autorizado e criar um token com a função de usuário e o perfil de segurança. Certifique-se de especificar uma data de vencimento para um longo período de validade.
      IBM QRadar Token de serviço autorizado da API (para QRoC) Se você estiver usando o IBM QRadar on Cloud (QRoC), use a aplicação de autoatendimento para gerar o token de serviço autorizado com a função de usuário administrador e o perfil de segurança do administrador para autenticação.
      Implantação no Local O padrão é desabilitado.

      Se esta opção estiver habilitada, você deverá especificar um Nome da aplicação MID.

      Se você estiver usando IBM QRadarNa nuvem (QRoC), verifique se a caixa de seleção está desmarcada.

      Nome da aplicação do MID Especifique uma aplicação do MID Server configurada em seu ambiente. Se você não tiver uma aplicação do MID Server configurada, você deverá criar uma nova aplicação do MID Server para esta integração.
      Nota:
      A aplicação do MID Server pode ser configurada somente por usuários com função de administrador do sistema.
      Figura 1. Mínimo de funções de usuário
      Mínimo de funções de usuário
      Para criar uma nova aplicação do MID Server, siga estas etapas:
      • Navegar até MID Server > Aplicações e clique em Novo .
      • Insira um nome para a aplicação do MID Server e selecione um MID Server a ser usado como padrão.
      • Desmarque a caixa de seleção Incluídos na aplicação TUDO e clique em Salvar .
        IBM QRadar: Configure o MID Server
      • Clique em Editar. Em Editar membros , selecione todos os MID Servers disponíveis, mova-os para a Lista de MID Servers e clique em Salvar . Dependendo da disponibilidade, um dos MID Servers configurados com a aplicação do MID Server será usado.
    6. Insira os detalhes da configuração e especifique a aplicação do MID Server que você criou.

      IBM QRadar: Bloco de configuração

      A origem que você configura no Configuração de ingestão de ofensa do IBM QRadar o formulário pode ser reutilizado para vários Now Platformperfis, desde que cada perfil ingere infrações.

    7. Clique em Enviar.
      Cada uma delas é validada e enviada com sucesso IBM QRadarA configuração do servidor é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista de seleção Mostrar configurações, clique em Sim .
      Nota:
      Se você encontrar alguns problemas com IBM QRadarrecurso de segmentação de domínio, contato IBM QRadarSuporte ao cliente para obter assistência.

    O que Fazer Depois

    Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar o perfil.