IBM QRadar の開始 - インシデント拡張統合

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:1分

    • IBM QRadar は、 セキュリティオペレーション と簡単に統合できるエンタープライズセキュリティ情報およびイベント管理 (SIEM) 製品です。IBM QRadar - インシデント拡張統合を使用する前に、ServiceNow Store から統合をダウンロードし、適切な API Base URL と API キーを追加する必要があります。

    始める前に

    必要なロール:sn_si_admin

    手順

    1. から統合をダウンロードします ServiceNow Store.
    2. インストールが完了したら、IBM QRadar にアクセスし、IBM QRadar プロファイルの下の API Base URL と API キーを取得します。
    3. インスタンスで、 セキュリティオペレーション > 統合 > 統合設定.
      利用可能なセキュリティ統合が一連のカードとして表示されます。
    4. IBM QRadar - インシデント拡張カードで、[新規] をクリックします。
      IBM QRadar - Incident Enrichment の構成
    5. 必要に応じて、フィールドに入力します。
      フィールド 説明
      名前 この構成の名前。
      QRadar API のベース URL IBM QRadar サイトから取得したベース URL。
      リンク URL [オプション] IBM QRadar インスタンスに接続するリンク URL (利用可能な場合)。
      バージョン IBM QRadar バージョン。 5.0 がデフォルトです。
      API キー IBM QRadar サイトから取得した API キー。
      最大行数 検索する行の最大行数。
      最も早い結果 (日数) 表示する最も早い結果 (日数単位)。
      検索結果に生データサンプルを含める サイティング検索結果に生データのサンプルを含めるには、これを選択します。返されるデータの量は、[セキュリティインシデントレスポンス] プロパティの [生データの行数] プロパティの設定によって異なります。
      MID サーバー [任意] を選択して、 任意のアクティブな MID サーバーを使用するか、特定の MID サーバー名を選択します。
      注:
      この統合を設定すると、ワークフローが有効になります。ワークフローを管理するには、[ワークフローエディター] に移動します。
    6. [Submit] をクリックします。
      統合構成カードが表示されます。
    7. 新しい構成カードを表示すると、[構成] または [削除] をクリックして、構成を変更または削除できます。
    8. 統合構成カードの元のリストに戻るには、[構成を表示] ドロップダウンから [いいえ] を選択します。