O que há de novo

Mantenha-se atualizado com os novos recursos que estão disponíveis no IBM QRadar SOAR Plug-in app 5.x para que seja possível responder a ameaças cibernéticas com mais rapidez e eficiência.

Versão 5.6.5

Esta versão inclui atualizações para correção de vulnerabilidades de segurança.

Versão 5.6.4

  • Foi adicionada uma correção de bug para qradar_note for qradar a regra.

  • Várias correções de vulnerabilidades de segurança.

Versão 5.6.3

  • Atualização das bibliotecas python do Resilient® para V51.0.7.2.14777.
  • Atualizado resilient_app_config_plugins para V1.0.3.
  • Atualizado requests_pkcs12 para V1.27.
  • Solicitações atualizadas para V2.32.5.
  • O número de threads do artefato de carga e os parâmetros de tamanho da carga útil agora podem ser configurados.
  • Foi corrigido um erro na configuração do limite de artefatos, em que o limite não era aplicado.
  • Atualizações na guia Escalonamento da interface do usuário:
    • Novo título adicionado em Escalonamentos : Controle o número de artefatos e como eles são adicionados a um caso.
    • Nova dica de ferramenta adicionada: Aplicada separadamente para source_addresses e local_destination_addresses em uma ofensa, limita o número máximo de artefatos IP permitidos para uma ação de escalonamento case_create ou case_update.
    • Nova configuração: Número de linhas de artefatos e nova dica de ferramenta: O número de linhas separadas usadas para adicionar artefatos a um caso.
    • Nova configuração: Número máximo de artefatos por carga útil e nova dica de ferramenta: O número máximo de artefatos permitido para cada carga útil de atualização de caso.

Versão 5.6.2

  • Correção de bug para falha no escalonamento de ofensas quando caracteres Unicode são usados no mapeamento de modelos.
  • Melhoria da lógica de nova tentativa case_crease para evitar a criação de casos SOAR duplicados após a resposta de falha na criação do caso original.
  • Outras correções de bugs e vulnerabilidades de segurança.

Versão 5.6.0

  • Foi adicionada uma opção de configuração para processar a mensagem de atualização da ofensa como uma solicitação case_create quando um caso SOAR existente não for encontrado para a ofensa QRadar.
  • Foi resolvido o problema de escalonamento automático de ofensas que ocorria ao abrir a página de detalhes da ofensa.
  • Atualizamos as dependências dos pacotes Resilient® Circuits e Python para versões mais recentes, a fim de solucionar defeitos e mitigar vulnerabilidades de segurança.
  • Correções de bugs para escapar de caracteres ilegais no modelo do plug-in.
  • Correções de bugs na edição de modelos que têm campos de incidente do tipo JSON no SOAR.

Versão 5.5.0

  • Resolvido o problema de foco da guia da IU do aplicativo.
  • Melhoria na lógica de criação de casos de nova tentativa para falhas no escalonamento automático de ofensas.
  • Atualização do escalonamento manual para usar a mesma arquitetura do escalonamento automático.
  • Melhoria da mensagem de erro sobre o status CONFLITO durante a configuração do aplicativo para um melhor diagnóstico.
  • Dependências do pacote Python atualizadas para versões mais recentes para minimizar vulnerabilidades de segurança.
  • Resolvido o problema de duplicação de notas ofensivas quando o aplicativo de plug-in SOAR e o Enhanced Data Migration (um aplicativo SOAR) são usados juntos.

Versão 5.4.0

  • Suporte de ocupação variada ativado para criar várias instâncias do aplicativo de plug-in.
  • Dependências do pacote Python atualizadas para versões mais recentes para minimizar vulnerabilidades de segurança.
  • Atualizadas as regras de condição de escalação automática com valores inteiros.
  • Notas de ofensa esclarecidas originadas de SOAR
  • Em instâncias com diversos arrendamentos, a guia de mapeamento restringe o mapeamento de domínio a apenas aqueles domínios que são designados ao perfil de segurança de uma instância

Versão 5.3.1

  • Conflito de instalação resolvido com o IBM QRadar 7.5.x UP7.
  • Confiabilidade de escalação melhorada durante indisponibilidade de rede.
  • Removida a capacidade de ajustar o número de encadeamentos do trabalhador a partir da interface com o usuário, pois ela é menos relevante com a nova arquitetura.
  • Corrigidas as vulnerabilidades de segurança Essas atualizações impactam as convenções de nomenclatura do modelo Para obter mais informações, consulte a seção “Atualização do aplicativo ”.
  • Resiliência incluída quando ocorrerem erros de conexão, enfileirando a ação de caso para reprocessamento quando o erro de conexão for resolvido
  • Incluída a deduplicação da criação de artefato para processamento de caso mais rápido.
  • Lógica incluída para evitar criar casos duplicados para a mesma ofensa.

Versão 5.0.3

  • Corrigidas as vulnerabilidades de segurança
  • Correções de erros para escalações e modelos automáticos

Versão 5.0.0

  • A ocupação variada está desativada
  • Arquitetura atualizada. Novas informações Saiba mais sobre as melhorias na arquitetura...
  • Novos recursos na interface com o produto para ativar o nível de criação de log DEBUG, SOAR Configuration Push da IU do aplicativo Plug-in e a capacidade de fazer download de arquivos de log e de configuração da interface com o usuário.
  • Contas do usuário SOAR não podem mais ser usadas para autenticação. Deve-se ter uma Conta de Chave API para autenticar.

Versão mínima do QRadar

O IBM QRadar SOAR Plug-in app 5.0 funciona somente com IBM QRadar 7.5.x UP7 ou posterior.

Novas informações Saiba mais sobre os requisitos mínimos do sistema...

Melhorias de arquitetura

Em vez de usar um poller para extrair ofensas do QRadar, o app agora conta com o QRadar para enviar por push os candidatos de ofensa para uma fila interna do SOAR para a criação de caso Você pode ver melhorias no desempenho e na confiabilidade como resultado dessa mudança

Novas informações Saiba mais sobre as melhorias na arquitetura...

Novos recursos na interface do produto

Os recursos a seguir foram incluídos no QRadar SOAR Plug-in 5.0:

Destinos de entrada

No QRadar SOAR 5.x, os destinos de entrada para SOAR e QRadar são criados automaticamente.

Antes de configurar o aplicativo, deve-se copiar os certificados de autoridade de certificação SOAR para o QRadar Console para permitir o acesso aos destinos de entrada SOAR .

Novas informações Saiba mais sobre como configurar o acesso aos destinos de entrada...

Mudanças de autenticação..

Contas do usuário SOAR não podem mais ser usadas para autenticação. Deve-se ter uma Conta de Chave API para autenticar.

Novas informaçõesSaiba mais sobre como configurar a autenticação por chave de API...

Terminologia usada neste documento

É possível usar o app IBM QRadar SOAR Plug-in com várias instâncias diferentes do SOAR

No SOAR do IBM Cloud Pak for Security, o termo caso é usado para se referir a um incidente ou evento no qual os dados ou um sistema podem ser comprometidos. IBM Security SOAR Platform usa o termo incidente.

Neste documento, case é usado por toda parte, mas pode ser usado intercambiavelmente com incident.