Registration is live for Miro’s biggest event of the year — Canvas 25! Sign up now to secure your spot for October 14
REGISTER NOW
Deutsch English (US) Français 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Artículos en esta sección

Conector de Miro para IBM QRadar

  • Actualización

Obtén información práctica de los registros de auditoría de tu plan Enterprise de Miro con el conector de Miro para IBM QRadar. Detecta, prioriza y responde a las amenazas de seguridad más rápido y usa esta integración para asimilar sin esfuerzo los datos de registro de auditoría de Miro directamente en tu sistema IBM QRadar SIEM.

El conector está disponible para QRadar 7.4.2+.

  • Obtén información práctica mediante el monitoreo de la actividad clave de los usuarios a fin de tomar decisiones más informadas.
  • Obtén monitoreo y visibilidad en tiempo real. Automatiza la ingestión de datos de los registros de auditoría de Miro directamente a IBM QRadar, sin necesidad de exportar datos manualmente o crear mapas.
  • Optimiza el monitoreo de seguridad. Supervisa y detecta fácilmente amenazas o violaciones de políticas, y protege los datos confidenciales de tu organización.
  • Acelera el análisis de incidentes y su resolución mediante las alertas priorizadas de QRadar.

Esta guía describe los pasos para instalar y configurar IBM QRadar para el plan Enterprise de Miro.

Resumen

IBM QRadar es un producto de información de seguridad empresarial y de gestión de eventos (SIEM). Recopila datos de registro sobre clientes de la empresa, sus dispositivos de red, sus activos de hosting y sistemas operativos, aplicaciones, vulnerabilidades, y actividades y comportamientos de los usuarios.

La app Miro para IBM QRadar utiliza la APILogs para obtener los registros de auditoría de Miro Enterprise en IBM QRadar.

Requisitos previos

Configura Orígenes de registro para Miro

Sigue estos pasos para configurar la nueva Gestión de orígenes de registro.  

1. Para añadir una nueva fuente de registro en IBM QRadar, asegúrate primero de que la appSource Management está instalada en tu consola QRadar, en la pestañaAdmin.Configure_log_sources_for_Miro.jpegConfigurar fuentes de registro para Miro en QRadar

2. Tras ser redirigido a una nueva pestaña, selecciona Log Sources.Gestionar_fuentes_de_registro.jpegGestionar fuentes de registro en QRadar

3. Haz clic en Nueva fuente de registro y selecciona Fuente de registro única.Nueva_fuente_de_registro.jpegAñadir una nueva fuente de registro

Añadir_una_o_múltiples_fuentes_de_registro.png
Selecciona una fuente de registro única

4. 4. Busca y selecciona Miro Audit Logs (registros de auditoría de Miro) como el tipo de origen de registro.  A continuación, haz clic en Paso 2: Selecciona el tipo de protocolo.
seleccionar_un_tipo_de_fuente.png
 
Selecciona el tipo de origen de registro

5. 5. Busca y selecciona la API Universal Cloud REST como el tipo de protocolo. A continuación, haz clic en Paso 3: Configura los parámetros del origen del registro.Select_a_protocol_type.pngSeleccionar tipo de protocolo

6. 6. Configura los siguientes parámetros de fuente de registro y deja los parámetros restantes como predeterminados:

  • Nombre un campo de texto Es decir Registros de auditoría de Miro
  • Ampliación: MiroAuditLogsCustom_ext
  • Eventos coalescentes: apagado

A continuación, haz clic en Paso 4: Configurar parámetros de protocolo.Configure_log_source_parameters.png

Configurar_parámetros_de_fuente_de_registro_2.png Configurar los parámetros de la fuente de registro

⚠️ Para evitar que IBM QRadar fusione todos los eventos en uno solo, es importante asegurarse de que la opción Coalescing Events (eventos coalescentes) esté desactivada.


7. 7. Configura los siguientes parámetros del protocolo, dejando los parámetros restantes como predeterminados:

  • Identificador de fuente de registro: un campo de texto Es decir: miro-test
  • flujo de trabajo
  • Valores de los parámetros del flujo de trabajo: Añade el token de autenticación SIEM de Miro a https://github.com/IBM/IBM-QRadar-Universal-Cloud-REST-API/blob/master/Community%20Developed/Miro/Miro-Workflow-Parameter-Values.xml 
<Value name="access_token" value="" />

Luego haz clic en el Paso 5: Probar parámetros de protocolo.Configurar_parámetros_de_protocolo.pngPrueba los parámetros del protocolo


8. Puedes comprobar si los parámetros del protocolo se han configurado correctamente haciendo clic en Iniciar prueba, o saltarte este paso haciendo clic en Omitir prueba y finalizar.Option_to_test_protocol_parameters.pngProbar los parámetros del protocolo


9. 9. Si decides probar los parámetros del protocolo y todo está configurado correctamente, verás la página Test Protocol Parameters (probar parámetros del protocolo) con una marca de verificación verde. Probando_parametros_de_protocolo.pngPrueba satisfactoria de los parámetros del protocolo

10. Cuando hagas clic en Finalizar, se mostrará y habilitará la nueva Fuente de Registro.Nueva_fuente_de_registro_habilitada.pngNuevafuente de registro mostrada y habilitada

11. Una vez que el origen de registro haya sido creado, deberás desplegar los cambios. Ve a la pestaña Admin en la consola de IBM QRadar y haz clic en Deploy Changes (desplegar cambios). Desplegar_cambios.pngDesplegarregistro de cambios de origen

Crear un nuevo mapa de evento en IBM QRadar (opcional)

A continuación, debes crear un nuevo mapa de eventos en IBM QRadar.

1. 1. Una vez que tu origen de registro esté desplegado, podrás ver tu actividad de registro en la pestaña Log Activity (actividad de registro) en la consola de IBM QRadar. Puedes filtrar los eventos de registro por fuente de registro haciendo clic en la opción Añadir filtro.Add_filter.pngFuente de registro desplegada en el registro de actividades en QRadar

2. Selecciona Fuente de registro [Indexada] como Parámetro, elige la Fuente de registro que creaste en los pasos anteriores (en este ejemplo, Miro Prueba de empresa) y haz clic en Añadir filtro.Añadir_un_filtro.pngFuente de registro desplegada en el registro de actividades en QRadar

3. 3. Después de añadir el filtro nuevo puedes seleccionar el rango de tiempo. Por ejemplo, Últimas 12 horas.Seleccionar_el_rango_horario.pngSeleccionarun rango horario para el nuevo filtro

4. 4. Crea un nuevo mapa de eventos en IBM QRadar para Eventos Desconocidos en la integración de Miro.   Evento_desconocido.pngLanueva fuente de registro con evento desconocido

5. 5. Selecciona el evento Unkown (desconocido), haz clic en la opción Actions (acciones) y luego, selecciona la opción DSM Editor (editor DSM). DSM_Editor.png Editar un evento desconocido

6. En el editor DSM, haz clic en la pestaña Mapeo de eventos y, a continuación, haz clic en más para añadir un evento.DSM_Editor.jpegEdición deun nuevo evento de mapeo

7. 7. Para crear un nuevo mapa de eventos debes proporcionar los siguientes parámetros:  

  • ID de evento: debe coincidir con eltipo de eventode esta guía de IBM y debería ser único.
  • Categoría del evento: evento

Una vez que hayas añadido el ID del evento y la Categoría del evento, debes agregar un Registro de QID haciendo clic en enlace Choose QID (elegir QID). Consulta la guía de IBM. Crear_un_nuevo_evento_de_mapeo.jpegCrear mapeo de eventos

8. 8. En la ventana modal de Registros de QID, configura los siguientes parámetros:

Luego haz clic en Guardar.
QID_registro.pngGuardar la configuración del registro QID

9. 9. Una vez que el Registro QID esté creado, puedes seleccionarlo haciendo clic en Ok. QID_registro_creado.pngSeleccionar el registro QID guardado

 

10. 10. Ahora puedes ver el Registro QID seleccionado en la ventana modal Crear un nuevo mapa de eventos. Haz clic en Create (crear) para terminar la creación del nuevo mapa de eventos. Crear_un_nuevo_mapeo_de_eventos.jpegCreación de un nuevo mapa de eventos

 
11. 11. Ahora puedes buscar el mapa de eventos usando el ID del evento.  SCIM_habilitado.jpegBúsqueda del nuevo mapa de eventos

 

Cómo editar un Registro QID existente (opcional)

En caso de que necesites editar un Registro QID existente, puedes utilizar la  Documentación_API.pngDocumentación de la API de IBM QRadar

 
1. 1. En la API interactiva, selecciona la carpeta data_classification y qid_records. Luego busca un registro QID específico filtrando por nombre en Query (consulta) (es decir: nombre="Scim de organización habilitado") y haz clic en Try it Out (probarlo).   Search_for_QID_record.pngActualización dela API interactiva

2. 2. Copia el ED de la respuesta anterior y luego selecciona la carpeta data_classification, el elemento qid_records y qid_record_id. Luego filtra por qid_record_id > Ruta > Valor pegando el id copiado y haz clic en Probar. Prueba_registro_QID.png

 
3. 3. Copia el cuerpo de la respuesta anterior y luego, cambia al método POST. Aquí añade el id que copiaste previamente en qid_record_id > Ruta > Valor, pega el cuerpo que copiaste del paso anterior en qid_record > Cuerpo > Valor y modifica el atributo deseado (por ejemplo: descripción), luego haz clic en Probar. POST_método.png

4. 4. El atributo de descripción se actualizará en consecuencia. Atributo_descripción.jpegAtributo Descripción actualizado

 

Cómo obtener el token de acceso SIEM de Miro

Para obtener el token de acceso SIEM de Miro:
 
1. 1. Inicia sesión en Miro como admin de empresa
2. Ve a Ajustes > Apps e integraciones > Integraciones de empresas
3. 3. Activa el SIEM
4. Copia laaltclave de accesoalt Clave de acceso a Miro SIEM en la consola admins de la empresaCódigo de acceso a Miro SIEM
¿Te resultó útil este artículo?
Sí, gracias No realmente
¡Lo lamentamos! ¿Por qué no te resultó útil el artículo?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Regresar al inicio

Artículos relacionados