Deutsch English (United States) Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Artículos en esta sección

Conector de Miro para IBM QRadar

  • Actualización

Obtén información práctica de los registros de auditoría de tu plan Enterprise de Miro con el conector de Miro para IBM QRadar. Detecta, prioriza y responde a las amenazas de seguridad más rápido y usa esta integración para asimilar sin esfuerzo los datos de registro de auditoría de Miro directamente en tu sistema IBM QRadar SIEM.

El conector está disponible para QRadar 7.4.2+.

  • Obtén información práctica mediante el monitoreo de la actividad clave de los usuarios a fin de tomar decisiones más informadas.
  • Obtén monitoreo y visibilidad en tiempo real. Automatiza la ingestión de datos de los registros de auditoría de Miro directamente a IBM QRadar, sin necesidad de exportar datos manualmente o crear mapas.
  • Optimiza el monitoreo de seguridad. Supervisa y detecta fácilmente amenazas o violaciones de políticas, y protege los datos confidenciales de tu organización.
  • Acelera el análisis de incidentes y su resolución mediante las alertas priorizadas de QRadar.

Esta guía describe los pasos para instalar y configurar IBM QRadar para el plan Enterprise de Miro.

Vista general

IBM QRadar es un producto SIEM (administración de información y eventos de seguridad) para empresas. Recopila datos de registro de clientes empresariales, sus dispositivos de red, activos de host y sistemas operativos, aplicaciones, vulnerabilidades y las actividades y el comportamiento de los usuarios.

La aplicación de Miro para IBM QRadar usa la API de registros de auditoría para importar los registros de auditoría de Miro Enterprise a IBM QRadar.

Requisitos previos

Configura Orígenes de registro para Miro

Sigue estos pasos para configurar la nueva Gestión de orígenes de registro. 

1. Para agregar un nuevo origen de registro en IBM QRadar, primero asegúrate de que la aplicación Log Source Management esté instalada en tu consola de QRadar en la admin pestaña.Configure_log_sources_for_Miro.jpegConfiguración de fuentes de registro de Miro en QRadar

2. Después de ser redirigido a una nueva pestaña, selecciona Log Sources.Manage_log_sources.jpegCómo gestionar las fuentes de registro en QRadar

3. Haz clic en Nueva fuente de registro y selecciona Fuente de registro individual.New_log_source.jpegAgregar una nueva fuente de registro

Adding_a_single_or_multiple_log_sources.png
Seleccionar fuente de registro individual

4. Busca y selecciona Miro Audit Logs como tipo de Log Source. Luego, haz clic en Paso 2: Seleccionar tipo de protocolo.
Select_a_log_source_type.png
 
Seleccionar tipo de origen de registro 

5. Busca y selecciona la API Universal Cloud REST como el tipo de protocolo. Luego haz clic en Paso 3: Configurar parámetros de origen de registro.Select_a_protocol_type.pngSeleccionar tipo de protocolo

6. Configura los siguientes parámetros de fuente de registro y deja los parámetros restantes como predeterminados:

  • Nombre: Campo de texto. Es decir: Miro Audit Logs
  • Extensión: MiroAuditLogsCustom_ext
  • Coalescing Events: desactivado

Luego haz clic en Paso 4: Configurar parámetros del protocolo.configurar_parámetros_de_fuente_de_registro.png

configurar_parámetros_de_fuente_de_registro_2.png Configurar parámetros de la fuente de registro 

⚠️ Para evitar que IBM QRadar agrupe todos los eventos en uno solo, es importante asegurarse de que la opción Coalescing Events esté desactivada.


7. Configura los siguientes parámetros del protocolo, dejando los parámetros restantes como predeterminados:

<Value name="access_token" value="" />

Luego haz clic en Paso 5: Probar parámetros del protocolo.Configure_protocol_parameters.pngProbar los parámetros del protocolo 


8. Para comprobar si los parámetros del protocolo se configuraron correctamente, haz clic en Iniciar prueba, o bien omite este paso haciendo clic en Omitir prueba y finalizar.Option_to_test_protocol_parameters.pngPrueba de parámetros del protocolo


9. Si decides probar los parámetros del protocolo y todo está configurado correctamente, verás la página Probar parámetros del protocolo con una marca de verificación verde. Testing_protocol_parameters.pngPrueba de parámetros de protocolo exitosa 

10. Una vez que hagas clic en Finalizar el nuevo origen de registro debería mostrarse y estar habilitado.New_log_source_enabled.pngNuevo origen de registro mostrado y habilitado  

11. Una vez que se haya creado el origen de registro, debes desplegar los cambios. Ve a la admin pestaña en la consola de IBM QRadar y haz clic en Deploy Changes. Deploy_changes.pngDesplegar cambios del origen de registro

Crear un nuevo mapeo de eventos en IBM QRadar (opcional)

A continuación, debes crear un nuevo mapeo de eventos en IBM QRadar.

1. Una vez que tu origen de registro esté desplegado, puedes ver tu actividad de registro en la pestaña Log Activity en la consola de IBM QRadar. Puedes filtrar los eventos de registro por origen de registro haciendo clic en la opción Add Filter.Add_filter.pngOrigen de registro desplegado en el registro de actividad en QRadar 

2. Selecciona Fuente de registros [indexada] como parámetro, elige la Fuente de registros que creaste en los pasos anteriores (en este ejemplo, Miro Enterprise Test) y haz clic en Añadir filtro.Adding_a_filter.pngFuente de registros desplegada en el registro de actividad en QRadar 

3. Después de añadir el filtro nuevo ahora puedes seleccionar el rango de tiempo. Por ejemplo, Últimas 12 horas.Select_the_time_range.pngSeleccionar el rango de tiempo para el filtro nuevo  

4. Crea un nuevo mapa de eventos en IBM QRadar para Eventos desconocidos en la integración de Miro.  Unknown_event.pngLa nueva fuente de registro con evento desconocido

5. Selecciona el evento Unknown, haz clic en la opción Actions y luego selecciona la opción DSM Editor. DSM_Editor.png Editar un evento desconocido 

6. En el Editor DSM haz clic en la pestaña Mapeo de eventos y luego haz clic en más para añadir un evento.DSM_Editor.jpegEditando un nuevo mapa de eventos 

7. Para crear un nuevo mapa de eventos debes proporcionar los siguientes parámetros: 

  • Event ID: debe coincidir con el Event type de esta guía de IBM y debe ser único.
  • Categoría de evento: evento

Una vez que hayas agregado el ID de evento y la Categoría de evento, debes agregar un Registro de QID haciendo clic en el enlace Elegir QID. Consulta la guía de IBM. Create_a_new_mapping_event.jpegCreación de mapas de eventos

8. En la ventana modal de Registros de QID, configura los siguientes parámetros:

  • Nombre: campo de texto. Es decir: SCIM de la organización habilitado
  • Descripción: campo de descripción
  • Categoría de alto nivel: equipo de QRadar como se sugirió en el campo Categoría 

  • Categoría de nivel bajo: Equipo de QRadar, como se sugiere en el campo Subcategoría

    ⚠️ Para obtener más información sobre las categorías de IBM, consulta la documentación de IBM QRadar

Luego haz clic en Guardar.
QID_record.pngGuardando la configuración del registro QID 

9. Una vez creado el Registro QID, puedes seleccionarlo haciendo clic en Aceptar. QID_record_created.pngSelección del registro QID guardado 

 

10. Ahora puedes ver el Registro QID seleccionado en la ventana modal Crear un nuevo mapa de eventos. Haz clic en Crear para terminar la creación del nuevo mapa de eventos. Create_a_new_event_mapping.jpegCreación de un nuevo mapa de eventos 

 
11. Ahora puedes buscar el mapa de eventos por el ID del evento.  SCIM_enabled.jpegBúsqueda del nuevo mapa de eventos 

 

Cómo editar un Registro QID existente (opcional)

Si necesitas editar un registro QID existente, puedes usar la API interactiva de IBM QRadar.  API_documentation.pngDocumentación de la API de IBM QRadar  

 
1. En la API interactiva, selecciona la carpeta data_classification y qid_records. Luego busca un registro QID específico filtrando por nombre en Query (p. ej.: name="Organization scim enabled") y haz clic en Try it Out.  Search_for_QID_record.pngActualizando la API interactiva

2. Copia el id de la respuesta anterior y luego selecciona la carpeta data_classification, el elemento qid_records y qid_record_id. Luego filtra por qid_record_id > Path > Value, pega el id copiado y haz clic en Probar.   Test_QID_record.png

 
3. Copia el cuerpo de la respuesta anterior y luego cambia al método POST. Aquí añade el ID que copiaste previamente en qid_record_id > Path > Value, pega el cuerpo que copiaste del paso anterior en qid_record > Body > Value y modifica el atributo deseado (es decir: description), luego haz clic en Probarlo. POST_method.png

4. El atributo de descripción se actualizará en consecuencia. Description_attribute.jpegAtributo de descripción actualizado 

Cómo obtener el token de acceso SIEM de Miro

Para obtener el token de acceso SIEM de Miro:
 
1. Inicia sesión en Miro como admin de empresa
2. Ve a Configuración > Aplicaciones e integraciones > Integraciones empresariales
3. Activa SIEM
4. Copia el token de acceso Token de acceso SIEM de Miro en la consola de administración de Enterprisetoken de acceso SIEM de Miro
¿Te resultó útil este artículo?
Sí, gracias No realmente
¡Lo lamentamos! ¿Por qué no te resultó útil el artículo?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Regresar al inicio

Artículos relacionados