Obtén información práctica de los registros de auditoría de tu plan Enterprise de Miro con el conector de Miro para IBM QRadar. Detecta, prioriza y responde a las amenazas de seguridad más rápido y usa esta integración para asimilar sin esfuerzo los datos de registro de auditoría de Miro directamente en tu sistema IBM QRadar SIEM.
El conector está disponible para QRadar 7.4.2+.
- Obtén información práctica mediante el monitoreo de la actividad clave de los usuarios a fin de tomar decisiones más informadas.
- Obtén monitoreo y visibilidad en tiempo real. Automatiza el ingreso de datos de los registros de auditoría de Miro directamente a IBM QRadar, sin necesidad de exportar datos manualmente o crear mapas.
- Optimiza el monitoreo de seguridad. Supervisa y detecta fácilmente amenazas o violaciones de políticas, y protege los datos confidenciales de tu organización.
- Acelera el análisis de incidentes y su resolución mediante las alertas priorizadas de QRadar.
Esta guía describe los pasos para instalar y configurar IBM QRadar para el plan Enterprise de Miro.
Resumen
IBM QRadar es un producto de información de seguridad de empresa y de gestión de eventos (SIEM). Recopila datos de registro sobre clientes de la empresa, sus dispositivos de red, sus activos de hosting y sistemas operativos, aplicaciones, vulnerabilidades, y actividades y comportamientos de los usuarios.
La aplicación de Miro para IBM QRadar usa la API de registros de auditoría para transmitir los registros de auditoría Enterprise de Miro a IBM QRadar.
Requisitos previos
- Descarga e instala el DSM personalizado de los registros de auditoría de Miro desde el IBM App Exchange
Configura Orígenes de registro para Miro
Sigue estos pasos para configurar la nueva Gestión de orígenes de registro.
1. A fin de agregar una nueva fuente de registro en IBM QRadar, primero asegúrate de que la aplicación Log Source Management esté instalada en tu consola de QRadar bajo la pestaña Admin. Cómo configurar las fuentes de registro para Miro en QRadar
2. Después de ser redirigido a una nueva pestaña, selecciona Log Sources (orígenes de registro). Cómo gestionar las fuentes de registro en QRadar
3. Haz clic en New Log Source (nuevo origen de registro) y selecciona Single Log Source (fuente de registro única).Añade un nuevo origen de registro
una fuente de registro única
5. Busca y selecciona la API Universal Cloud REST como el tipo de protocolo. Luego haz clic en Step 3: Configure Log Source Parameters (paso 3: configurar parámetros de fuente de registro). Selecciona el tipo de protocolo
6. Configura los siguientes parámetros de fuente de registro y deja los parámetros restantes como predeterminados:
Nombre: Campo de texto. Es decir: registros de auditoría de Miro
Extensión: MiroAuditLogsCustom_ext
Eventos coalescentes: apagado
Luego haz clic en Paso 4: Configurar parámetros del protocolo.
Configurar parámetros de la fuente de registro
⚠️ Para evitar que IBM QRadar fusione todos los eventos en uno solo, es importante asegurarse de que la opción Coalescing Events (eventos coalescentes) esté desactivada.
7. Configura los siguientes parámetros del protocolo, dejando los parámetros restantes como predeterminados:
Identificador de la fuente de registro: campo de texto. Es decir: miro-test
Flujo de trabajo: archivo de contenido Miro-Workflow.xml
Valores de los parámetros de flujo de trabajo: Añade el token de autenticación SIEM de Miro al Miro-Workflow-Parameter-Values.xml
<Value name="access_token" value="" />
Luego haz clic en Step 5: Test Protocol Parameters (paso 5: prueba de parámetros del protocolo).Prueba los parámetros del protocolo
8. Puedes probar si los parámetros del protocolo se configuraron correctamente haciendo clic en Start Test (iniciar prueba), u optar por saltar este paso haciendo clic en Skip Test and Finish (omitir prueba y terminar). Cómo probar los parámetros del protocolo
9. Si decides probar los parámetros del protocolo y todo está configurado correctamente, verás la página Test Protocol Parameters (probar parámetros del protocolo) con una marca de verificación verde. Prueba de parámetros de protocolo exitosa
10. Una vez que hagas clic en Finish (terminar), el nuevo Origen de registro debe aparecer en pantalla y estar habilitado. Nuevo origen de registro en pantalla y habilitado
11. Una vez que el origen de registro haya sido creado, deberás desplegar los cambios. Ve a la pestaña Admin en la consola de IBM QRadar y haz clic en Deploy Changes (desplegar cambios). Desplegar cambios en el origen de registro
Crea un nuevo mapa de eventos en IBM QRadar (opcional)
A continuación, debes crear un nuevo mapa de eventos en IBM QRadar.
1. Una vez que tu origen de registro esté desplegado, podrás ver tu actividad de registro en la pestaña Log Activity (actividad de registro) en la consola de IBM QRadar. Puedes filtrar los eventos de registro por fuente de registro haciendo clic en la opción Añadir filtro.
2. Selecciona Fuente de registro [Indexada] como parámetro, elige la Fuente de registro que creaste en los pasos anteriores (en este ejemplo, Prueba de Miro Enterprise) y haz clic en Añadir filtro. Fuente de registro desplegada en el registro de actividad de QRadar
3. Después de agregar el filtro nuevo puedes seleccionar el rango de tiempo. Por ejemplo, Últimas 12 horas. Cómo seleccionar el rango de tiempo para el filtro nuevo
4. Crea un nuevo mapa de eventos en IBM QRadar para Eventos Desconocidos en la integración de Miro. La nueva fuente de registro con evento desconocido
5. Selecciona el evento Desconocido, haz clic en la opción Acciones y luego selecciona la opción Editor DSM. Cómo editar un evento desconocido
6. En el Editor de DSM haz clic en la pestaña Event Mapping (mapa de evento) y luego, haz clic en More (más) para añadir un evento.Cómo añadir un nuevo evento de mapeo
7. Para crear un nuevo mapa de eventos debes proporcionar los siguientes parámetros:
- ID de evento: debe coincidir con elTipo de eventode esta guía de IBM y debería ser único.
- Categoría del evento: evento
Una vez que hayas añadido el ID del evento y la Categoría del evento, debes agregar un Registro de QID haciendo clic en enlace Choose QID (elegir QID). Consulta la guía de IBM. Cómo crear un mapa de eventos
8. En la ventana modal de Registros de QID, configura los siguientes parámetros:
Nombre: campo de texto. Es decir: SCIM de la organización habilitado
Descripción: campo de descripción
Categoría de alto nivel: equipo QRadar como se sugirió en el campo Categoría
Categoría de nivel bajo: equipo de QRadar como se sugirió en el campo Subcategoría
⚠️ Para obtener más información sobre las categorías de IBM, lee la documentación de IBM QRadar
Luego, haz clic en Save (guardar).Cómo guardar la configuración del registro QID
Cómo editar un Registro QID existente (opcional)
2. Copia el ED de la respuesta anterior y luego selecciona la carpeta data_classification, el elemento qid_records y qid_record_id. Luego filtra por qid_record_id > path (ruta) > Value (valor) pegando el ID copiado y haz clic en Try it Out (probarlo).
4. El atributo de descripción se actualizará en consecuencia.