配置外部通行證系統

使用外部通行證系統(例如,ServiceNow 或 IBM Resilient),可追蹤 Guardium 探索到的發生事件、問題及作業。

在開始之前

在您可以配置 Guardium® 以進行外部通行證作業之前,請確定已設定通行證系統。

程序

  1. 瀏覽至 設定 > 工具及視圖 > 外部通行證系統.
  2. 按一下 新的 圖示以開啟「 外部通行證系統配置 」對話框。
  3. 帳戶 標籤中,使用 帳戶 功能表來選取現有的通行證系統帳戶,或按一下 新的 圖示來新增帳戶。
  4. 新增帳戶 對話框中,選取並配置通行證系統,如下所示:
    • 若為 IBM Resilient,URL 是完整網域名稱。
    • 對於 ServiceNow, URL 通常是 <instanceName>.service-now.com
    當您建立第一個外部帳戶時,Guardium 會自動建立所有 Guardium 系統的配置。
  5. 輸入通行證系統的使用者名稱及密碼,然後按一下 測試連線 以驗證 Guardium 可以與通行證系統通訊。
    附註:
    • 通行證系統帳戶必須能夠建立及讀取與整合搭配使用的記錄。 比方說,如果使用發生事件記錄,則使用者必須能夠建立及讀取事件記錄。
    • 如果出現提示,請遵循畫面上的指示來新增通行證系統的安全憑證:從通行證系統下載憑證,並使用 store certificate keystore trusted console CLI 指令將其匯入 Guardium。
  6. 設定 標籤中,選取 Guardium 系統,然後 選取要配置的 表格
    系統是支援外部通行證整合的特定 Guardium 特性。 表格 可識別摘記卷系統上開啟的摘記卷類型。

    每一個 表格 都提供所選取系統的選項。 例如,如果您選取 Vulnerability Assessment Results 系統,則可以選取您要自動建立摘記卷的特定嚴重性。

    對於 ServiceNow,您 可以在特定欄位中搜尋特定文字,例如表格或指派群組 (視 Guardium 系統而定)。 若要搜尋特定項目,請執行下列動作:
    1. 按一下 搜尋圖示 圖示,以開啟該項目的 搜尋 頁面。
    2. 在搜尋方框中,輸入您要尋找之項目的所有或部分文字,然後按一下搜尋
    3. 從清單中選取您要的項目,然後按一下新增

    必要的話,請按一下 清除圖示 圖示來清除文字。

  7. 選取 Guardium 系統表格之後,請使用 Guardium 欄位 控制項來建立 Guardium 傳送至通行證系統的訊息 表格 。 您提供的資訊視外部通行證系統而定。


    IBM Resilient 問題單

    • 名稱 - 外部通行證類型的名稱或說明。
    • 說明 - 要併入每一個通行證的 Guardium 欄位。
    • 成員 - 接收此通行證的 Resilient 團隊成員。 成員可以是一位人員或一個群組(在 Resilient 中定義)。
      附註: 在 Guardium 中,您只能選取一個成員。 您可以在 Resilent 中新增更多的通行證接收者。
    • 發生事件類型 - 選取 Resilient 發生事件類型。
      附註: Guardium 會自動為所有四個 Guardium 系統建立配置。 不過,發生事件類型欄位會保留空白。 由於 Resilient 通行證需要「發生事件類型」,因此您需要針對每一個 Resilient 通行證類型選取發生事件類型。 您可以從 Guardium 使用者介面或 Resilient 伺服器中設定發生事件類型。
    • 按一下 其他欄位 圖示以新增欄位。 對於 IBM Resilient,您可以輸入通行證中要包括的註解。


    ServiceNow 問題單

    • 簡短說明 - 外部通行證類型的簡短說明。
    • 說明 - 要併入每一個通行證的 Guardium 欄位。
    • 指派群組 - 要指派此通行證的 ServiceNow 群組。
    • 按一下 其他欄位 圖示以配置額外欄位。 對於 ServiceNow,您可以輸入註解來併入問題單或其他資訊 (視 Guardium 系統及 表格而定)。
      附註: ServiceNow 同時支援註解和工作附註。 只有輸入 ServiceNow Additional comments (customer visible) 欄位中的註解會顯示在「Guardium 外部通行證」報告中。
  8. 狀態 標籤中,檢閱摘記卷相關日誌資訊。
    使用啟用除錯勾選框,可在日誌中包含除錯層次資訊。
    附註: 當選取或清除時,會儲存 啟用除錯 設定。
  9. 按一下 儲存 以儲存配置並結束「 外部通行證系統配置 」對話框。
  10. 必要的話,請為 外部通行證系統 表格中顯示的其他可用系統配置外部通行證。

下一步做什麼

對特定的 Guardium 系統配置通行證整合之後,請在 Guardium 使用者介面中使用下列整合點來開啟新的通行證。
Guardium 系統 整合點
警示器 瀏覽至 保護 > 資料庫侵入偵測 > 警示建置器。 配置警示。 在 新增接收端 區段中,將 通知類型 設為 TICKET。 觸發警示時,會建立通行證。
注意: 驗證警示器在啟動時處於作用中: 瀏覽至 設定 > 工具和視圖 > 警示器 並選取 啟動時為作用中 勾選框。
外部通行證會與下列類型的警示通知整合:
  • 警示建置器中定義的接收端
  • 資料的原則建置器中針對安全原則定義的通知
  • 針對審核處理程序建置器中的接收者所定義的通行證。
審核處理程序 審核處理程序通行證系統使用「警示」整合點。

瀏覽至 Comply > 工具和視圖 > 審核處理程序 建置器。 開始建立審核處理程序。 從 傳送結果 區段中,選取 新增 以新增接收端,然後將 接收端類型 設為 Ticket

執行審核處理程序時,它會將審核處理程序結果產生為 PDF,而該 PDF 將會附加到傳送至外部通行證系統的通行證。 通行證的 URL 會儲存在「審核」結果表格中以進行外部審查。

附註: 會清除下列標準審核處理程序規則的審核處理程序結果。 若要設定清除規則,請從 建立新的審核處理程序Details for: <audit process> 頁面中選取 顯示進階選項
資料的原則建置器 「資料的原則建置器」使用「警示」整合點。

瀏覽至 保護 > 安全原則 > 原則 資料的建置器。 開始建立安全原則。 從 規則動作中,選取 ALERT ONCE PER SESSION 或 ALERT PER MATCH ,然後從「 新增動作 」視窗中選取 TICKET
風險偵察程式 瀏覽至 保護 > 揭露威脅向量 > 作用中 風險偵察程式。 從 有風險的使用者 表格中選取使用者,並使用 動作 > 建立摘記卷
威脅分析 瀏覽至 保護 > 揭露威脅向量 > 作用中 威脅分析。 從表格中選取案例,並使用 動作 > 建立摘記卷
漏洞評量結果 瀏覽至 哈登 > 漏洞評量 > 評量建置器。 建立並執行評量,然後按一下檢視結果針對每一個失敗結果,按一下 建立摘記卷 以開啟摘記卷。
透過開啟 設定 > 報告 > 外部摘記卷,檢視源自 Guardium 系統的摘記卷。
附註: 問題單狀態每小時更新一次。 閒置 30 天後,將從報告中移除已關閉的通行證。