O que há de novo
Mantenha-se atualizado com os novos recursos que estão disponíveis no IBM QRadar SOAR Plug-in app 5.x para que seja possível responder a ameaças cibernéticas com mais rapidez e eficiência.
Versão 5.6.5
Esta versão inclui atualizações para correção de vulnerabilidades de segurança.
Versão 5.6.4
Foi adicionada uma correção de bug para
qradar_note for qradara regra.Várias correções de vulnerabilidades de segurança.
Versão 5.6.3
- Atualização das bibliotecas python do Resilient® para V51.0.7.2.14777.
- Atualizado
resilient_app_config_pluginspara V1.0.3. - Atualizado
requests_pkcs12para V1.27. - Solicitações atualizadas para V2.32.5.
- O número de threads do artefato de carga e os parâmetros de tamanho da carga útil agora podem ser configurados.
- Foi corrigido um erro na configuração do limite de artefatos, em que o limite não era aplicado.
- Atualizações na guia Escalonamento da interface do usuário:
- Novo título adicionado em Escalonamentos : Controle o número de artefatos e como eles são adicionados a um caso.
- Nova dica de ferramenta adicionada: Aplicada separadamente para source_addresses e local_destination_addresses em uma ofensa, limita o número máximo de artefatos IP permitidos para uma ação de escalonamento case_create ou case_update.
- Nova configuração: Número de linhas de artefatos e nova dica de ferramenta: O número de linhas separadas usadas para adicionar artefatos a um caso.
Nova configuração: Número máximo de artefatos por carga útil e nova dica de ferramenta: O número máximo de artefatos permitido para cada carga útil de atualização de caso.
Versão 5.6.2
- Correção de bug para falha no escalonamento de ofensas quando caracteres Unicode são usados no mapeamento de modelos.
- Melhoria da lógica de nova tentativa case_crease para evitar a criação de casos SOAR duplicados após a resposta de falha na criação do caso original.
- Outras correções de bugs e vulnerabilidades de segurança.
Versão 5.6.0
- Foi adicionada uma opção de configuração para processar a mensagem de atualização da ofensa como uma solicitação case_create quando um caso SOAR existente não for encontrado para a ofensa QRadar.
- Foi resolvido o problema de escalonamento automático de ofensas que ocorria ao abrir a página de detalhes da ofensa.
- Atualizamos as dependências dos pacotes Resilient® Circuits e Python para versões mais recentes, a fim de solucionar defeitos e mitigar vulnerabilidades de segurança.
- Correções de bugs para escapar de caracteres ilegais no modelo do plug-in.
- Correções de bugs na edição de modelos que têm campos de incidente do tipo JSON no SOAR.
Versão 5.5.0
- Resolvido o problema de foco da guia da IU do aplicativo.
- Melhoria na lógica de criação de casos de nova tentativa para falhas no escalonamento automático de ofensas.
- Atualização do escalonamento manual para usar a mesma arquitetura do escalonamento automático.
- Melhoria da mensagem de erro sobre o status CONFLITO durante a configuração do aplicativo para um melhor diagnóstico.
- Dependências do pacote Python atualizadas para versões mais recentes para minimizar vulnerabilidades de segurança.
- Resolvido o problema de duplicação de notas ofensivas quando o aplicativo de plug-in SOAR e o Enhanced Data Migration (um aplicativo SOAR) são usados juntos.
Versão 5.4.0
- Suporte de ocupação variada ativado para criar várias instâncias do aplicativo de plug-in.
- Dependências do pacote Python atualizadas para versões mais recentes para minimizar vulnerabilidades de segurança.
- Atualizadas as regras de condição de escalação automática com valores inteiros.
- Notas de ofensa esclarecidas originadas de SOAR
- Em instâncias com diversos arrendamentos, a guia de mapeamento restringe o mapeamento de domínio a apenas aqueles domínios que são designados ao perfil de segurança de uma instância
Versão 5.3.1
- Conflito de instalação resolvido com o IBM QRadar 7.5.x UP7.
- Confiabilidade de escalação melhorada durante indisponibilidade de rede.
- Removida a capacidade de ajustar o número de encadeamentos do trabalhador a partir da interface com o usuário, pois ela é menos relevante com a nova arquitetura.
- Corrigidas as vulnerabilidades de segurança Essas atualizações impactam as convenções de nomenclatura do modelo Para obter mais informações, consulte a seção “Atualização do aplicativo ”.
- Resiliência incluída quando ocorrerem erros de conexão, enfileirando a ação de caso para reprocessamento quando o erro de conexão for resolvido
- Incluída a deduplicação da criação de artefato para processamento de caso mais rápido.
- Lógica incluída para evitar criar casos duplicados para a mesma ofensa.
Versão 5.0.3
- Corrigidas as vulnerabilidades de segurança
- Correções de erros para escalações e modelos automáticos
Versão 5.0.0
- A ocupação variada está desativada
- Arquitetura atualizada.
Saiba mais sobre as melhorias na arquitetura... - Novos recursos na interface com o produto para ativar o nível de criação de log DEBUG, SOAR Configuration Push da IU do aplicativo Plug-in e a capacidade de fazer download de arquivos de log e de configuração da interface com o usuário.
- Contas do usuário SOAR não podem mais ser usadas para autenticação. Deve-se ter uma Conta de Chave API para autenticar.
Versão mínima do QRadar
O IBM QRadar SOAR Plug-in app 5.0 funciona somente com IBM QRadar 7.5.x UP7 ou posterior.
Melhorias de arquitetura
Em vez de usar um poller para extrair ofensas do QRadar, o app agora conta com o QRadar para enviar por push os candidatos de ofensa para uma fila interna do SOAR para a criação de caso Você pode ver melhorias no desempenho e na confiabilidade como resultado dessa mudança
Novos recursos na interface do produto
Os recursos a seguir foram incluídos no QRadar SOAR Plug-in 5.0:
- Ao configurar diversas organizações no aplicativo QRadar SOAR Plug-in , é possível enviar por push as mudanças na configuração diretamente para as organizações-filhas no SOAR
- Com a nova opção Ativar modo DEBUG , é possível coletar informações técnicas avançadas nos arquivos de log..
Saiba mais sobre como configurar o registro de erros DEBUG... - É possível fazer download de arquivos de log e de configuração a partir da interface com o produto
Destinos de entrada
No QRadar SOAR 5.x, os destinos de entrada para SOAR e QRadar são criados automaticamente.
Antes de configurar o aplicativo, deve-se copiar os certificados de autoridade de certificação SOAR para o QRadar Console para permitir o acesso aos destinos de entrada SOAR .
Saiba mais sobre como configurar o acesso aos destinos de entrada...
Mudanças de autenticação..
Contas do usuário SOAR não podem mais ser usadas para autenticação. Deve-se ter uma Conta de Chave API para autenticar.
Saiba mais sobre como configurar a autenticação por chave de API...
Terminologia usada neste documento
É possível usar o app IBM QRadar SOAR Plug-in com várias instâncias diferentes do SOAR
No SOAR do IBM Cloud Pak for Security, o termo caso é usado para se referir a um incidente ou evento no qual os dados ou um sistema podem ser comprometidos. IBM Security SOAR Platform usa o termo incidente.
Neste documento, case é usado por toda parte, mas pode ser usado intercambiavelmente com incident.