自動エスカレーション
QRadar® 管理者は、オフェンスを SOARに自動的にエスカレートするようにルールを構成できます。 エスカレーション・ルールは、重大度、オフェンス・タイプ、またはその他の基準に基づくことができます。
QRadarで新しいオフェンスが作成されると、潜在的なケース候補が識別されたことを示すメッセージが QRadar SOAR インバウンド・キューに追加されます。
エスカレーション・ルールが QRadar SOAR プラグインで構成されている場合、自動化タスクがバックグラウンドで実行されてキューをモニターし、エスカレーション条件に一致する場合は着信オフェンスをエスカレートします。
| パターン | 意味 |
|---|---|
| * | すべてに一致します。 |
| ? | 単一文字と一致します。 |
| [seq] | シーケンス内の任意の文字と一致します。 |
| [!seq] | シーケンス内にない任意の文字と一致します。 |
オフェンスがエスカレーション基準を満たすと、アプリケーションは、同じオフェンス ID で以前にエスカレートされたオープン・ケースを SOAR で検索します。 見つからない場合は、新しいケースが作成されます。 この方法で、新しいオフェンスは自動的かつ継続的に新しい SOAR ケースにマップされます。
「複数組織サポート」 が有効になっている場合、自動エスカレーション・ルールは、マップされたすべての QRadar ドメインに適用されます。 オフェンスのドメイン情報は、 SOARでマップされた組織を検索するために使用されます。 マップされた組織が見つからない場合、自動エスカレーション条件が満たされても、オフェンスはエスカレートされません。
オフェンスとケースの間のフィールド・マッピングは、マッピング・テンプレートによって定義されます。 テンプレートにより、ケース・タイプ、割り当てられたグループ、およびその他のケース・フィールドが自動的に決定されます。 各ケース・エスカレーション規則は、異なるテンプレートを使用できます。 テンプレートを使ってフィールドをマッピングする方法の詳細については、テンプレートマッピングを参照してください。