Mit dem Miro Connector für IBM QRadar erhältst du umsetzbare Erkenntnisse aus den Audit-Protokollen deines Miro-Enterprise-Preisplans. Erkenne, priorisiere und reagiere schneller auf Sicherheitsbedrohungen und nutze diese Integration, um Miro-Audit-Protokolldaten mühelos direkt in dein IBM QRadar SIEM-System zu übernehmen.
Der Connector ist für QRadar 7.4.2+ verfügbar.
- Gewinnung umsetzbarer Erkenntnisse durch die Überwachung wichtiger Nutzeraktivitäten, um fundiertere Entscheidungen treffen zu können.
- Überwachung und Transparenz in Echtzeit. Automatische Aufnahme von Daten aus den Audit-Protokollen von Miro direkt in IBM QRadar, ohne dass manuelle Datenexporte oder Mapping erforderlich sind.
- Optimierung der Sicherheitsüberwachung. Überwache und erkenne mühelos Bedrohungen oder Richtlinienverstöße und schütze die vertraulichen Daten deines Unternehmens.
- Behebung von Vorfällen durch die Verwendung von QRadars priorisierten Warnmeldungen.
Dieser Leitfaden beschreibt die Schritte zum Installieren und Konfigurieren von IBM QRadar für Miro-Enterprise-Pläne.
Übersicht
IBM QRadar ist ein Enterprise-SIEM-Produkt (Security Information and Event Management) für Unternehmen. Es erfasst Protokolldaten von Enterprise-Kunden und -Kundinnen, deren Netzwerkgeräten, Host-Assets und Betriebssystemen, Anwendungen, Sicherheitslücken sowie Nutzeraktivitäten und -Verhaltensweisen.
Die Miro-App für IBM QRadar verwendet Audit-Protokoll-API, um die Miro-Enterprise Audit-Protokolle in IBM QRadar abzurufen.
Voraussetzungen
- Lade den benutzerdefinierten DSM für Miro Audit-Protokolle vom IBM App Exchange herunter und installiere ihn.
- Installiere das Universal Cloud REST-API-Protokoll
Log-Quellen für Miro konfigurieren
Führe diese Schritte aus, um eine neue Protokollquellenverwaltung zu konfigurieren.
1. Um eine neue Protokollquelle in IBM QRadar hinzuzufügen, stelle zunächst sicher, dass die App „Log Source Management“ in deiner QRadar-Konsole unter der Registerkarte Admin installiert ist.Konfigurieren von Protokollquellen für Miro in QRadar
2. Wähle nach der Weiterleitung zu einer neuen Registerkarte die Option Protokollquellen aus. Verwalten von Protokollquellen in QRadar
3. Klicke auf Neue Protokollquelle und wähle Einzelne Protokollquelle aus.Eine neue Protokollquelle hinzuzufügen


5. Suche und wähle Universal Cloud REST-API als Protokolltyp aus. Klicke dann auf Schritt 3: Parameter der Protokollquelle konfigurieren.Protokolltyp auswählen
6. Konfiguriere die folgenden Parameter als Protokollquelle und belasse die übrigen Parameter als Standard:
Name: Textfeld. z. B. Miro Audit-Protokolle
Erweiterung: MiroAuditLogsCustom_ext
Zusammenführen von Ereignissen: aus
Klicke dann auf Schritt 4: Protokollparameter konfigurieren.
Parameter der Protokollquelle konfigurieren
⚠️ Um zu vermeiden, dass IBM QRadar alle Ereignisse zu einem einzigen Ereignis zusammenfasst, muss sichergestellt werden, dass die Option Zusammenführen von Ereignissen ausgeschaltet ist.
7. Konfiguriere die folgenden Protokollparameter und belasse die übrigen Parameter als Standard:
Bezeichner der Protokollquelle: Textfeld. z. B. miro-test
Workflow: Miro-Workflow.xml Inhaltsdatei
Workflow-Parameter-Werte: Füge das Miro-SIEM-Authentifizierungstoken zur Datei Miro-Workflow-Parameter-Values.xml hinzu.
<Value name="access_token" value="" />
Klicke dann auf Schritt 5: Protokollparameter testen.Die Protokollparameter testen
8. Du kannst testen, ob die Protokollparameter korrekt eingerichtet wurden, indem du auf Test starten klickst, oder diesen Schritt überspringen, indem du auf Test überspringen und Fertigstellen klickst.Testen der Protokollparameter
9. Wenn du die Protokollparameter testen möchtest und alles korrekt eingerichtet ist, wird die Seite Protokollparameter testen mit einem grünen Häkchen angezeigt. Protokollparametertest erfolgreich
10. Sobald du auf Fertigstellen klickst, sollte die neue Protokollquelle angezeigt und aktiviert werden.Neue Protokollquelle angezeigt und aktiviert
11. Sobald die Protokollquelle erstellt wurde, musst du die Änderungen bereitstellen. Wechsle zur Registerkarte Admin in der IBM QRadar-Konsole und klicke auf Änderungen bereitstellen. Änderungen der Protokollquelle bereitstellen
Erstelle ein neues Ereignis-Mapping in IBM QRadar (optional)
Als Nächstes musst du ein neues Ereignis-Mapping in IBM QRadar erstellen.
1. Sobald deine Protokollquelle bereitgestellt ist, kannst du deine Protokollaktivität in der Registerkarte Protokollaktivität in der IBM QRadar-Konsole einsehen. Du kannst die Protokollereignisse nach Protokollquelle filtern, indem du auf die Option Filter hinzufügen klickst.Protokollquelle, die im Aktivitätsprotokoll in QRadar bereitgestellt wird
2. Wähle als Parameter Protokollquelle [Indiziert] aus, wähle die Protokollquelle, die du in den vorherigen Schritten erstellt hast (in diesem Beispiel, Miro Enterprise-Test) und klicke auf Filter hinzufügen.Protokollquelle, die im Aktivitätsprotokoll in QRadar bereitgestellt wird
3. Nach dem Hinzufügen des neuen Filters kannst du nun den Zeitbereich auswählen. Zum Beispiel „Letzte 12 Stunden“:Auswahl eines Zeitbereichs für den neuen Filter
4. Erstelle ein neues Ereignis-Mapping in IBM QRadar für Unbekannte Ereignisse in der Miro-Integration. Die neue Protokollquelle mit unbekanntem Ereignis
5. Wähle das Unbekannte Ereignis aus, klicke auf die Option Aktionen und wähle dann die Option DSM-Editor aus. Bearbeiten eines unbekannten Ereignisses
6. Klicke im DSM-Editor auf die Registerkarte Ereignis-Mapping und dann auf Plus, um ein Ereignis hinzuzufügen.Bearbeiten eines neuen Mapping-Ereignisses
7. Um ein neues Ereignis-Mapping zu erstellen, musst du die folgenden Parameter angeben:
- Ereignis-ID: sollte dem Ereignistyp aus diesem IBM-Leitfaden entsprechen und eindeutig sein.
- Ereigniskategorie: Ereignis
Sobald du die Ereignis-ID und die Ereigniskategorie hinzugefügt hast, musst du einen QID-Datensatz hinzufügen, indem du auf den Link QID auswählen klickst. Mehr dazu findest du im IBM-Leitfaden. Erstellen eines Ereignis-Mappings
8. Konfiguriere im Modalfenster „QID-Datensätze“ die folgenden Parameter:
Name: Textfeld. z. B. Organisation SCIM aktiviert
Beschreibung: Beschreibungsfeld
High-Level-Kategorie: QRadar-Team als vorgeschlagenes Kategoriefeld
Low-Level-Kategorie: QRadar-Team als vorgeschlagenes Unterkategoriefeld
⚠️ Um mehr über die IBM Kategorien zu erfahren, lies bitte die IBM-QRadar-Dokumentation
Klicke dann auf Speichern.Speichern der Konfiguration des QID-Datensatzes



So bearbeitest du einen bestehenden QID-Datensatz (optional)


2. Kopiere die ID aus der vorherigen Antwort und wähle dann den Ordner data_classification, das Element qid_records und qid_record_id. Filtere dann nach qid_record_id > Pfad > Wert, füge die kopierte ID ein und klicke auf Ausprobieren.


4. Das Attribut „Beschreibung“ wird entsprechend aktualisiert.

So erhältst du das Miro SIEM-Zugriffstoken
