手動でのケースのエスカレート

セキュリティー・アナリストは、 QRadar® コンソール「オフェンス」 タブから、オフェンスを SOAR に手動でエスカレートできます。 IP アドレスのアーティファクトを既存の SOAR ケースに追加することもできます。

重要:

ケースを作成し、ケースにアーティファクトを追加するには、ユーザー・ロールに IBM® QRadar SOAR プラグイン 権限が必要です。 この権限がないと、 QRadar「オフェンス」 タブに 「SOAR に送信」 ボタンが表示されません。

始める前に

ブラウザーでポップアップ・ウィンドウが有効になっていることを確認します。

手順

  1. QRadar コンソールで、 「オフェンス」 タブをクリックします。
  2. オフェンス表でオフェンスを選択します。
  3. ツールバーで、 「SOAR に送信」をクリックします。

    「ケース・テンプレート・ファイルの選択」 ポップアップ・ウィンドウが開き、ケースの作成に使用するマッピング・テンプレートを選択できます。 詳しくは、 テンプレート・マッピングを参照してください。

    ヒント: QRadar 「オフェンスの詳細」 ウィンドウでは、 「オフェンスの詳細」 ツールバーに 「SOAR に送信」 ボタンがあります。

    QRadar Analyst Workflowでは、 「アクション」 メニューから SOAR にオフェンスを送信することもできます。

  4. リストからテンプレートを選択して、 「OK」をクリックします。

    ケースが作成され、成果物が追加されます。

    「複数組織サポート (Multiple Organization Support)」 が有効になっている場合、マップされた SOAR 組織を見つけるために、選択されたオフェンスのドメイン情報が使用されます。 組織が検出されると、オフェンスはその組織にエスカレートされます。 見つからない場合は、エラー・メッセージが表示されます。

結果

QRadar オフェンスがエスカレートされ、 SOARに送信されます。

犯罪概要ページでは、 SOAR Case URL を使用して SOARで表示することができます。

ヒント:

SOARにログインした後、ケースが表示されず、以下のメッセージが表示された場合は、以下のようにします。Error: Unable to find object with ID <xxxxx>誤った組織にログインしている可能性があります。

QRadar SOAR プラグイン ・アプリケーションで構成されている組織と同じ SOAR 組織にログインしていることを確認します。