Escalando um caso manualmente

Um analista de segurança pode escalar manualmente uma ofensa para SOAR a partir da guia Ofensas no QRadar® Também é possível incluir artefatos de endereço IP em casos existentes do SOAR

Importante:

Para criar um caso e incluir artefatos em um caso, sua função de usuário deve ter a permissão IBM® QRadar SOAR Plug-in . Sem essa permissão, não é possível ver o botão Enviar para SOAR na guia Ofensas no QRadar

Antes de iniciar

Assegure-se de que as janelas pop-up estejam ativadas no navegador.

Procedimento

  1. No QRadar Console, clique na guia Delitos .
  2. Selecione uma ofensa na tabela de ofensas
  3. Na barra de ferramentas, clique em Enviar para SOAR.

    A janela pop-up Selecionar Arquivo de Modelo de Caso é aberta para você selecionar o modelo de mapeamento que deseja usar para criar o caso.. Para obter mais informações, consulte Mapeamento de modelo

    Dica: se você estiver na janela QRadar Detalhes da ofensa , o botão Enviar para SOAR estará na barra de ferramentas Detalhes da ofensa .

    No QRadar Analyst Workflow, também é possível enviar uma ofensa para SOAR no menu Ações .

  4. Selecione um modelo na lista e clique em OK.

    O caso é criado e os artefatos incluídos.

    Se Suporte a diversas organizações estiver ativado, as informações de domínio da ofensa selecionada serão usadas para localizar a organização SOAR mapeada.. Se uma organização for localizada a ofensa será escalada para essa organização. Se não for localizada, uma mensagem de erro será mostrada

Resultados

A ofensa QRadar é escalada e enviada para SOAR.

Na página Offense Summary (Resumo da infração ), você pode usar o SOAR Case URL para visualizá-lo no SOAR.

Dica:

Após efetuar login no SOAR, se não for possível ver o caso e você vir a mensagem a seguir,Error: Unable to find object with ID <xxxxx>, você pode estar com login efetuado na organização errada

Verifique se você efetuou login na mesma organização SOAR que aquela configurada no app QRadar SOAR Plug-in .