English (US) Español Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Beiträge in diesem Abschnitt

Miro Connector für IBM QRadar

  • Aktualisiert

Mit dem Miro Connector für IBM QRadar erhältst du umsetzbare Erkenntnisse aus den Audit-Protokollen deines Miro-Enterprise-Preisplans. Erkenne, priorisiere und reagiere schneller auf Sicherheitsbedrohungen und nutze diese Integration, um Miro-Audit-Protokolldaten mühelos direkt in dein IBM QRadar SIEM-System zu übernehmen.

Der Konnektor ist für QRadar 7.4.2+ verfügbar.

  • Gewinnung umsetzbarer Erkenntnisse durch die Überwachung wichtiger Nutzeraktivitäten, um fundiertere Entscheidungen treffen zu können.
  • Überwachung und Transparenz in Echtzeit. Automatische Aufnahme von Daten aus den Audit-Protokollen von Miro direkt in IBM QRadar, ohne dass manuelle Datenexporte oder Mapping erforderlich sind.
  • Optimierung der Sicherheitsüberwachung. Überwache und erkenne mühelos Bedrohungen oder Richtlinienverstöße und schütze die vertraulichen Daten deines Unternehmens.
  • Behebung von Vorfällen durch die Verwendung von QRadars priorisierten Warnmeldungen.

Dieser Leitfaden beschreibt die Schritte zum Installieren und Konfigurieren von IBM QRadar für Miro-Enterprise-Pläne.

Übersicht

IBM QRadar ist ein Enterprise-SIEM-Produkt (Security Information and Event Management) für Unternehmen. Es erfasst Protokolldaten von Enterprise-Kunden und -Kundinnen, deren Netzwerkgeräten, Host-Assets und Betriebssystemen, Anwendungen, Sicherheitslücken sowie Nutzeraktivitäten und -Verhaltensweisen.

Die Miro App für IBM QRadar nutzt die Logs API, um Miro Enterprise Audit-Protokolle in IBM QRadar zu holen.

Voraussetzungen

  • Herunterladen und Installieren des benutzerdefinierten DSM für Miro Audit-Protokolle aus dem
  • Cloud REST API Protokoll

Log-Quellen für Miro konfigurieren

Führe diese Schritte aus, um eine neue Protokollquellenverwaltung zu konfigurieren.  

1. Um eine neue Protokollquelle in IBM QRadar hinzuzufügen, stelle zunächst sicher, dass die AppSource Management in deiner QRadar-Konsole unter dem TabAdmin installiert ist .Configure_log_sources_for_Miro.jpegKonfigurieren von Protokollquellen für Miro in QRadar

2, Nachdem du zu einem neuen Tab weitergeleitet wurdest, wähle Log Sources.Manage_log_sources.jpegVerwalten von Log-Quellen in QRadar

3. Klicken Sie auf Neue Anmeldequelle und wähle Einzelne Protokollquelle.Neue_Log-Quelle.jpegHinzufügen einer neuen Log-Quelle

Adding_a_single_or_multiple_log_sources.png
Einzelne Protokollquelle auswählen

4. 4. Suche und wähle Miro Protokollquellen als Protokollquellentyp aus.  Klicke dann auf Schritt 2: Wähle den Protokolltyp aus.
Select_a_log_source_type.png
 
Protokollquellentyp auswählen 

5. 5. Suche und wähle Universal Cloud REST-API als Protokolltyp aus. Klicke dann auf Schritt 3: Konfiguriere die Parameter der Protokollquelle.Select_a_protocol_type.pngProtokolltyp auswählen

6. 6. Konfiguriere die folgenden Parameter als Protokollquelle und belasse die übrigen Parameter als Standard:

  • Name Textfeld D.h.: Miro Audit-Protokolle
  • Erweiterung: MiroAuditLogsCustom_ext
  • Zusammenführen von Ereignissen: aus

Klicke dann auf Schritt 4: Konfiguriere die Protokollparameter.Configure_log_source_parameters.png

Log-Quellen-Parameter_2.png konfigurieren Parameter für die Protokollquelle konfigurieren

⚠️ Um zu vermeiden, dass IBM QRadar alle Ereignisse zu einem einzigen Ereignis zusammenfasst, muss sichergestellt werden, dass die Option Zusammenführen von Ereignissen ausgeschaltet ist.


7. 7. Konfiguriere die folgenden Protokollparameter und belasse die übrigen Parameter als Standard:

  • Log Source Identifier: Textfeld z. B. miro-test
  • Workflow
  • Workflow Parameterwerte: Füge das SIEM-Authentifizierungstoken von Miro in die Dateihttps://github.com/IBM/IBM-QRadar-Universal-Cloud-REST-API/blob/master/Community%20Developed/Miro/Miro-Workflow-Parameter-Values.xml eintitle.title 
<Value name="access_token" value="" />

Klicke dann auf Schritt 5: Protokollparameter testen.Protokollparameter_konfigurieren.pngTeste die Protokollparameter


8. Du kannst testen, ob die Protokollparameter korrekt eingerichtet wurden, indem du auf Test starten klickst, oder diesen Schritt überspringen, indem du auf Test überspringen und beenden klickst .Option_to_test_protocol_parameters.pngTesten der Protokollparameter


9, 9. Wenn du die Protokollparameter testen möchtest und alles korrekt eingerichtet ist, wird die Seite Protokollparameter testen mit einem grünen Häkchen angezeigt.  Test_protokoll_parameter.pngErfolgreicher Test der Protokollparameter

10, Sobald du auf Fertig stellen klickst, sollte die neue Protokollquelle angezeigt und aktiviert werden.New_log_source_enabled.pngNeueProtokollquelle angezeigt und aktiviert

11, Sobald die Protokollquelle erstellt wurde, musst du die Änderungen bereitstellen. Wechsle zum Tab Admin in der IBM QRadar-Konsole und klicke auf Änderungen bereitstellen.  Deploy_changes.pngDeploylog source changes

Erstelle ein neues Ereignis-Mapping in IBM QRadar (optional)

Als Nächstes musst du ein neues Ereignis-Mapping in IBM QRadar erstellen.

1. 1. Sobald deine Protokollquelle bereitgestellt ist, kannst du deine Protokollaktivität in der Registerkarte Protokollaktivität in der IBM QRadar-Konsole einsehen. Du kannst die Log-Ereignisse nach Log-Quelle filtern, indem du auf die Option Filter hinzufügen klickst.Add_filter.pngEingesetzte Protokollquelle im Aktivitätsprotokoll in QRadar

2. Wähle als Parameter Log Source [Indexed], wähle die Log Source, die du in den vorherigen Schritten erstellt hast (in diesem Beispiel Miro Enterprise Test) und klicke auf Add Filter.Adding_a_filter.pngEingesetzte Protokollquelle im Aktivitätsprotokoll in QRadar

3. 3. Nach dem Hinzufügen des neuen Filters kannst du nun den Zeitbereich auswählen. Zum Beispiel "Letzte 12 Stunden".Select_the_time_range.pngAuswahleines Zeitbereichs für den neuen Filter

4. 4. Erstelle ein neues Ereignis-Mapping in IBM QRadar für Unbekannte Ereignisse in der Miro-Integration.    Unknown_event.pngDieneue Log-Quelle mit unbekanntem Ereignis

5. 5. Wähle das Unbekannte Ereignis aus, klicke auf die Option Aktionen und wähle dann die Option DSM-Editor aus. DSM_Editor.png Ein unbekanntes Ereignis bearbeiten

6. Klicke im DSM Bearbeiter auf den Tab Event Mapping und dann auf Plus , um ein Ereignis hinzuzufügen.DSM_Editor.jpegEinneues Mapping-Ereignis

7. 7. Um ein neues Ereignis-Mapping zu erstellen, musst du die folgenden Parameter angeben:  

  • Ereignis-ID: sollte dem Ereignistyp aus diesem IBM-Leitfaden entsprechen und eindeutig sein.
  • Ereigniskategorie: Ereignis

Sobald du die Ereignis-ID und die Ereigniskategorie hinzugefügt hast, musst du einen QID-Datensatz hinzufügen, indem du auf den Link QID auswählen klickst. Mehr dazu findest du im IBM-Leitfaden. Erstellen_eines_neuen_Mapping-Ereignisses.jpegEreigniskartierung erstellen

8. 8. Konfiguriere im Modalfenster „QID-Datensätze“ die folgenden Parameter:

Dann klicken Sie auf Speichern.
QID_record.pngSpeichern der QID-Datensatz-Konfiguration

9, 9. Sobald der QID-Datensatz erstellt ist, kannst du ihn auswählen, indem du auf Ok klickst.  QID_record_created.pngAuswählen des gespeicherten QID-Datensatzes

 

10, 10. Jetzt siehst du den ausgewählten QID-Datensatz im Modalfenster „Neues Ereignis-Mapping erstellen“. Klicke auf Erstellen, um die Erstellung des neuen Ereignis-Mapping zu beenden.  Erstellen_einer_neuen_Ereigniszuordnung.jpegNeues Event Mapping erstellen

 
11, 11. Jetzt kannst du das Ereignis-Mapping über die Ereignis-ID suchen.    SCIM_enabled.jpegSuche nach der neuen Ereigniszuordnung

 

So bearbeitest du einen bestehenden QID-Datensatz (optional)

Wenn du einen bestehenden QID-Datensatz bearbeiten musst, kannst du die verwenden title.title  API_documentation.pngIBM QRadar API-Dokumentation

 
1. 1. Wähle in der interaktiven API die Ordner data_classification und qid_records. Suche dann nach einem bestimmten QID-Datensatz, indem du in der Abfrage nach Namen filterst (z. B.: name="Organization scim enabled"), und klicke auf Ausprobieren.    Search_for_QID_record.pngAktualisierungder interaktiven API

2. 2. Kopiere die ID aus der vorherigen Antwort und wähle dann den Ordner data_classification, das Element qid_records und qid_record_id. Dann filterst du nach qid_record_id > Pfad > Wert , fügst die kopierte ID ein und klickst auf Ausprobieren. Test_QID_record.png

 
3. 3. Kopiere den Textkörper aus der vorherigen Antwort und wechsle dann zur Methode POST. Füge die Id, die du zuvor kopiert hast, in qid_record_id > Path > Value ein, füge den Body, den du im vorherigen Schritt kopiert hast, in qid_record > Body > Value ein und ändere das gewünschte Attribut (z.B. description). Klicke dann auf Try it Out. POST_method.png

4. 4. Das Attribut „Beschreibung“ wird entsprechend aktualisiert.  Beschreibung_Attribut.jpegAttribut Beschreibung aktualisiert

 

So erhältst du das Miro SIEM-Zugriffstoken

Um das Miro SIEM-Zugriffstoken zu erhalten:
 
1. 1. Melde dich bei Miro als Unternehmens-Admin an
2. Gehe zu Einstellungen > Apps und Integrationen > Unternehmensintegrationen
3. 3. Schalte auf SIEM um
4. Kopieren des Zugriffstokens SIEM Zugriffstoken in der Enterprise Admin-Konsole MiroMiro SIEM-Zugriffstoken
War dieser Artikel hilfreich?
Ja, danke Nicht wirklich
Das tut mir leid! Warum war der Artikel nicht hilfreich?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Zurück an den Anfang

Verwandte Beiträge