English (United States) Español Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Beiträge in diesem Abschnitt

Miro Connector für IBM QRadar

  • Aktualisiert

Mit dem Miro Connector für IBM QRadar erhältst du umsetzbare Erkenntnisse aus den Audit-Protokollen deines Miro-Enterprise-Preisplans. Erkenne, priorisiere und reagiere schneller auf Sicherheitsbedrohungen und nutze diese Integration, um Miro-Audit-Protokolldaten mühelos direkt in dein IBM QRadar SIEM-System zu übernehmen.

Der Konnektor ist für QRadar 7.4.2+ verfügbar.

  • Gewinne umsetzbare Erkenntnisse, indem du wichtige Nutzeraktivitäten überwachst und so fundiertere Entscheidungen treffen kannst.
  • Überwachung und Transparenz in Echtzeit. Automatisiere die Aufnahme von Daten aus den Audit-Protokollen von Miro direkt in IBM QRadar, ohne dass manuelle Datenexporte oder Mapping erforderlich sind.
  • Optimierung der Sicherheitsüberwachung. Überwache und erkenne mühelos Bedrohungen oder Richtlinienverstöße und schütze die sensiblen Daten deines Unternehmens.
  • Vorfallanalyse und -behebung durch QRadars priorisierte Warnmeldungen beschleunigen.

Dieser Leitfaden beschreibt die Schritte zur Installation und Konfiguration von IBM QRadar für den Miro-Enterprise-Preisplan.

Übersicht

IBM QRadar ist ein Enterprise-SIEM-Produkt (Security Information and Event Management) für Unternehmen. Es erfasst Protokolldaten von Enterprise-Kunden, deren Netzwerkgeräten, Host-Assets und Betriebssystemen, Anwendungen, Sicherheitslücken sowie Nutzeraktivitäten und -Verhaltensweisen.

Die Miro-App für IBM QRadar verwendet die Audit Logs API, um die Audit-Protokolle von Miro Enterprise in IBM QRadar abzurufen.

Voraussetzungen

Log-Quellen für Miro konfigurieren

Führe diese Schritte aus, um die neue Protokollquellenverwaltung zu konfigurieren. 

1. Um in IBM QRadar eine neue Protokollquelle hinzuzufügen, stelle zuerst sicher, dass die Log Source Management-App in deiner QRadar-Konsole unter dem Admin Tab.Configure_log_sources_for_Miro.jpegLogquellen für Miro in QRadar konfigurieren

2. Wähle nach der Weiterleitung zu einem neuen Tab die Option Protokollquellen aus.Manage_log_sources.jpegVerwalten von Protokollquellen in QRadar

3. Klicke auf Neue Logquelle und wähle Einzelne Logquelle.New_log_source.jpegNeue Logquelle hinzufügen

Adding_a_single_or_multiple_log_sources.png
Einzelne Logquelle auswählen

4. Suche und wähle Miro Audit Logs als Logquellentyp. Klicke dann auf Schritt 2: Protokolltyp auswählen.
Protokollquellentyp auswählen.png
 
Protokollquellentyp auswählen 

5. Suche und wähle Universal Cloud REST-API als Protokolltyp aus. Klicke dann auf Schritt 3: Logquellenparameter konfigurieren.Select_a_protocol_type.pngProtokolltyp auswählen

6. Konfiguriere die folgenden Parameter der Protokollquelle und belasse die übrigen Parameter bei den Standardwerten:

  • Name: Textfeld. z. B. Miro Audit-Protokolle
  • Erweiterung: MiroAuditLogsCustom_ext
  • Coalescing Events: aus

Klicke dann auf Schritt 4: Protokollparameter konfigurieren.Configure_log_source_parameters.png

Configure_log_source_parameters_2.png Protokollquellenparameter konfigurieren 

⚠️ Um zu vermeiden, dass IBM QRadar alle Ereignisse zu einem einzigen Ereignis zusammenfasst, musst du sicherstellen, dass die Option Zusammenführen von Ereignissen ausgeschaltet ist.


7. Konfiguriere die folgenden Protokollparameter, belasse die übrigen Parameter als Standard:

<Value name="access_token" value="" />

Klicke dann auf Schritt 5: Protokollparameter testen.Protokollparameter konfigurierenProtokollparameter testen 


8. Du kannst prüfen, ob die Protokollparameter korrekt eingerichtet wurden, indem du auf Test starten klickst, oder diesen Schritt überspringen, indem du auf Test überspringen und beenden.Option zum Testen der ProtokollparameterProtokollparameter testen


9. Wenn du die Protokollparameter testen möchtest und alles korrekt eingerichtet ist, wird die Seite Protokollparameter testen mit einem grünen Häkchen angezeigt. Testing_protocol_parameters.pngProtokollparametertest erfolgreich 

10. Sobald du auf Fertig klickst, sollte die neue Protokollquelle angezeigt und aktiviert sein.New_log_source_enabled.pngNeue Protokollquelle angezeigt und aktiviert  

11. Sobald die Protokollquelle erstellt wurde, musst du die Änderungen bereitstellen. Gehe zum Admin Tab in der IBM QRadar-Konsole und klicke auf Änderungen bereitstellen. Deploy_changes.pngÄnderungen der Protokollquelle bereitstellen

Erstelle ein neues Ereignis-Mapping in IBM QRadar (optional)

Als Nächstes musst du ein neues Ereignis-Mapping in IBM QRadar erstellen.

1. Sobald deine Protokollquelle bereitgestellt ist, kannst du deine Protokollaktivität imProtokollaktivität-Tab in der IBM QRadar-Konsole einsehen. Du kannst die Protokollereignisse nach Protokollquelle filtern, indem du auf die Option Filter hinzufügen klickst.Add_filter.pngProtokollquelle im Aktivitätsprotokoll in QRadar bereitgestellt 

2. Wähle Log Source [Indexed] als Parameter, wähle die Log Source, die du in den vorherigen Schritten erstellt hast (in diesem Beispiel: Miro Enterprise Test), und klicke auf Add Filter.Adding_a_filter.pngLogquelle im Aktivitätsprotokoll in QRadar bereitgestellt 

3. Nachdem du den neuen Filter hinzugefügt hast, kannst du nun den Zeitraum auswählen. Zum Beispiel: Last 12 Hours.Select_the_time_range.pngZeitraum für den neuen Filter auswählen  

4. Erstelle ein neues Ereignis-Mapping in IBM QRadar für Unbekannte Ereignisse in der Miro-Integration.  Unknown_event.pngDie neue Logquelle mit unbekanntem Ereignis

5. Wähle das Ereignis Unbekannt, klicke auf die Option Aktionen und wähle dann die Option DSM-Editor. DSM_Editor.png Bearbeiten eines unbekannten Ereignisses 

6. Im DSM Editor klicke auf den Tab Ereignis-Mapping und dann auf Plus, um ein Ereignis hinzuzufügen.DSM_Editor.jpegNeues Ereignis-Mapping bearbeiten 

7. Um ein neues Ereignis-Mapping zu erstellen, musst du die folgenden Parameter angeben: 

  • Event-ID: sollte mit dem Event-Typ aus diesem IBM-Leitfaden und es sollte eindeutig sein.
  • Ereigniskategorie: Ereignis

Nachdem du die Event-ID und die Event-Kategorie, musst du einen QID-Eintrag hinzufügen indem du auf den Link QID auswählen klickst. Siehe den IBM-Leitfaden. Create_a_new_mapping_event.jpegEreignisabbildung erstellen

8. Konfiguriere im Modalfenster „QID-Datensätze“ die folgenden Parameter:

  • Name: Textfeld. z. B.: Organisation SCIM aktiviert
  • Description: Beschreibungsfeld
  • High-Level-Kategorie: QRadar-Team als vorgeschlagenes Kategoriefeld 

  • Low-Level-Kategorie: QRadar-Team als vorgeschlagenes Unterkategoriefeld

    ⚠️ Weitere Informationen zu den IBM-Kategorien findest du in der IBM QRadar-Dokumentation

Klicke dann auf Speichern.
QID_record.pngSpeichern der QID-Eintragskonfiguration 

9. Sobald der QID-Eintrag erstellt ist, kannst du ihn auswählen, indem du auf OK. klickst. QID_record_created.pngAuswählen des gespeicherten QID-Eintrags 

 

10. Jetzt siehst du den ausgewählten QID-Eintrag im Dialogfeld „Neues Ereignis-Mapping erstellen“. Klicke auf Erstellen, um die Erstellung des neuen Ereignis-Mappings abzuschließen. Create_a_new_event_mapping.jpegErstellung eines neuen Ereignis-Mappings 

 
11. Jetzt kannst du das Ereignis-Mapping über die Ereignis-ID suchen.  SCIM_enabled.jpegSuche nach dem neuen Ereignis-Mapping 

 

So bearbeitest du einen bestehenden QID-Datensatz (optional)

Falls du einen vorhandenen QID‑Eintrag bearbeiten musst, kannst du die IBM QRadar Interactive API.  API_documentation.pngIBM QRadar API-Dokumentation  

 
1. Wähle in der interaktiven API den Ordner data_classification und qid_records aus. Suche dann nach einem bestimmten QID-Eintrag, indem du in der Abfrage nach dem Namen filterst (z. B.: name="Organization scim enabled") und klicke auf Ausprobieren.  Search_for_QID_record.pngInteraktive API aktualisieren

2. Kopiere die ID aus der vorherigen Antwort und wähle dann den Ordner data_classification, das Element qid_records und qid_record_id. Filtere dann nach qid_record_id > Pfad > Wert , füge die kopierte ID ein und klicke auf Ausprobieren.   Test_QID_record.png

 
3. Kopiere den Textkörper aus der vorherigen Antwort und wechsle dann zur POST-Methode. Füge hier die zuvor kopierte ID in qid_record_id > Pfad > Wert ein, füge den Textkörper, den du im vorherigen Schritt kopiert hast, in qid_record > Textkörper > Wert ein und ändere das gewünschte Attribut (z. B.: Beschreibung). Klicke dann auf Ausprobieren. POST_method.png

4. Das Attribut „Beschreibung“ wird entsprechend aktualisiert. Description_attribute.jpegAttribut „Beschreibung" aktualisiert 

So erhältst du das Miro SIEM-Zugriffstoken

Um das Miro SIEM-Zugriffstoken zu erhalten:
 
1. Melde dich bei Miro als Unternehmens-Admin an
2. Gehe zu Einstellungen > Apps und Integrationen > Enterprise-Integrationen
3. Schalte SIEM ein
4. Kopiere das Zugriffstoken Miro SIEM-Zugriffstoken in der Enterprise-Admin-KonsoleMiro SIEM-Zugriffstoken
War dieser Artikel hilfreich?
Ja, danke Nicht wirklich
Das tut mir leid! Warum war der Artikel nicht hilfreich?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Zurück an den Anfang

Verwandte Beiträge