Vakaları otomatik olarak kapatma

İlgili hücum kapatıldığında, IBM® QRadar ® SOAR Plug-in uygulamasını otomatik olarak bir SOAR vakasını kapatabilmek için ayarlayabilirsiniz.

Bu görev hakkında

Bir hücum kapatıldığında, IBM QRadar SOAR Plug-in 5.x içerik paketi içerik paketinde bulunan kurallar, ileti kuyruğunda bir kapatma iletisi göndermek için kullanılır. Uygulama kapatma iletisini algıladığında, karşılık gelen SOAR kutusu kapatılır.

Vakaları otomatik olarak kapatmak için, uygulamadaki SOAR çözünürlük alanlarını yapılandırmalısınız.

İşlem

  1. QRadar Konsolu ' ta yönetici olarak oturum açın.
  2. Admin sekmesinde, IBM QRadar SOAR Plugin bölümünde Configuration(Yapılandırma) seçeneğini tıklatın.
  3. Tercihler sekmesinde, Offense kapandığında Vakayı Kapat onay kutusunu seçin.
  4. Kapanışta Gerekli Olan SOAR Alanlarını Eşle bölümünde, kapatıldıktan sonra gerekli olan her vaka alanı için bir değer eşleyin.
    Çözünürlük değerlerini eşlemek için uygulama yapılandırma ekranını gösteren resim.

    Çözüm Özeti metin ya da hücum alanları içerebilir ve bazı alanların kapatılması gerekebilir. Jinja2 sözdizimini kullanarak bu alanları eşlemeniz gerekir.

    Örneğin, Çözüm Özeti şu şekilde görünebilir: QRadar Offense Status: {{offense.status}}.

    Jinja2 sözdizimi hakkında daha fazla bilgi için bkz. İfadeleri süzgeç uygula.