Instale e configure o. ServiceNow aplicação para IBM QRadar integração de ingestão de ofensa
Antes de executar a integração no seu ServiceNow AI Platform®, conclua estas etapas de instalação e configuração para que a aplicação se integre corretamente ao Resposta a incidentes de segurança e. Operações de segurança produtos em seu ServiceNow AI Platform instância.
Antes de Iniciar
Função necessária: sn_si.admin
Procedimento
- Se você não instalou o. IBM QRadar aplicação do ServiceNow Store para obter a integração, consulte Instale um Operações de segurança integração e siga as etapas para instalá-lo.
- Depois de instalar a aplicação com sucesso, navegue até Integrações > Configurações de integrações e localize IBM QRadar lado a lado.
- Para configurar a aplicação, clique em Novo .
- Como alternativa, se for um Configurar é exibido em um bloco, clique nele para editar uma configuração existente.
-
Em Configuração de ingestões de ofensa que é exibida, preencha os campos.
Campo Descrição Nome Nome do IBM QRadar console ou IBM QRadar instância usada para a integração. Espaços são compatíveis com nomes, mas parênteses não são compatíveis.
URL de base da API IBM QRadar URL do host para seu IBM QRadar instância. Nota:Você precisa inserir somente o URL e o número da porta aqui. Por exemplo, https://ibm-qradar.com:8443. Se o número da porta for 443, ele não precisará ser inserido explicitamente.URL do painel IBM QRadar O URL do IBM QRadar ou o console. Este URL é usado para criar automaticamente os hiperlinks para infrações no IBM QRadar painel. Insira somente a URL do host, por exemplo, https://qradar.com. Não inclua .jsp no URL, por exemplo, https://qradar.com/console/qradar/jsp/QRadar.jsp é um formato inválido.
Nota:Se o URL do painel não estiver disponível, insira IBM QRadar URL base da API aqui.IBM QRadar Versão da API As versões 10 e superior são compatíveis. IBM QRadar Token de serviço autorizado de API (no local) . IBM QRadar o token de serviço autorizado é usado para autenticação. O token de serviço autorizado deve ter as seguintes funções mínimas de usuário: Infrações , Atividade de log e Atividade de rede junto com um perfil de segurança do usuário que não tem restrições. Para gerar o token de serviço autorizado, siga estas etapas:- Em IBM QRadar console, navegue até Administrador e clique Serviços Autorizados .
- Se existir um token de serviço autorizado válido, verifique a data de expiração e use este token.
Se um token de serviço autorizado não estiver disponível, siga estas etapas:- Em IBM QRadar, navegue até Administrador e clique Serviço autorizado .
- Clique em Adicionar serviço autorizado e criam um token com a função do usuário e o perfil de segurança. Especifique uma data de vencimento para um longo período de validade.
IBM QRadar Token de serviço autorizado de API (para QRoC) Se você estiver usando o IBM QRadar on Cloud (QRoC), use a aplicação de autoatendimento para gerar o token de serviço autorizado com a função de usuário administrador e o perfil de segurança de administrador para autenticação. Implantação no Local O padrão é desabilitado. Se esta opção estiver habilitada, você deverá especificar um Nome de aplicação MID.
Se você estiver usando IBM QRadar Na nuvem (QRoC), verifique se a caixa de seleção está desmarcada.
Nome da aplicação do MID Especifique uma aplicação DO MID Server que esteja configurada em seu ambiente. Se você não tiver uma aplicação do MID Server configurada, deverá criar uma nova aplicação DO MID Server para esta integração. Nota:A aplicação MID Server pode ser configurada somente por usuários com função de administrador do sistema.Figura 1. Mínimo de funções de usuário Para criar uma nova aplicação DO MID Server, siga estas etapas:- Navegar até MID Server > Aplicações e clique em Novo .
- Insira um nome para a aplicação DO MID Server e selecione um MID Server a ser usado como padrão.
- Desmarque a caixa de seleção Incluído na aplicação TODOS e clique em Salvar .
- Clique em Editar. Em Editar membros , selecione todos os MID Servers disponíveis, mova-os para a Lista de MID Servers e clique em Salvar . Dependendo da disponibilidade, um dos MID Servers configurados com a aplicação MID Server será usado.
-
Insira os detalhes da configuração e especifique a aplicação do MID Server que você criou.
A origem que você configura no Configuração de ingestão de ofensa do IBM QRadar o formulário pode ser reutilizado para vários ServiceNow AI Platform perfis, desde que cada perfil ingere infrações.
-
Clique em Enviar.
Cada um deles é validado e enviado com sucesso IBM QRadar A configuração do servidor é salva na página Integrações de segurança como um bloco. Se os blocos de configuração salvos não forem exibidos na página Integrações de segurança, no canto superior direito da página, na lista de seleção Mostrar configurações, clique em Sim .Nota:Se você encontrar alguns problemas com IBM QRadar recurso de segmentação de domínio, contato IBM QRadar Suporte ao cliente para obter assistência.
O que Fazer Depois
Você instalou e configurou a aplicação com sucesso. A próxima etapa é criar o perfil.