Deutsch English (United States) Español 日本語 한국어(대한민국) Polski (Polska) Português do Brasil

Articles dans cette section

Connecteur Miro pour IBM QRadar

  • Mise à jour

Obtenez des informations exploitables à partir des journaux d’audit de votre forfait Miro Enterprise grâce au Connecteur Miro pour IBM QRadar. Détectez les menaces de sécurité, définissez leur priorité et répondez-y plus rapidement et utilisez cette intégration pour intégrer facilement les données des journaux d’audit de Miro directement dans votre système IBM QRadar SIEM.

Le connecteur est disponible pour QRadar 7.4.2+.

  • Obtenez des informations exploitables en surveillant l’activité utilisateur clé pour favoriser une prise de décision plus éclairée.
  • Profitez d’une surveillance et d’une visibilité en temps réel. Automatisez l’intégration des données des journaux d’audit de Miro directement dans IBM QRadar, sans passer par des exportations ou une cartographie manuelles des données.
  • Rationalisez votre système de surveillance. Surveillez et détectez facilement les menaces ou les violations de politique et protégez les données sensibles de votre organisation.
  • Accélérez l’analyse et la rectification des incidents en utilisant les alertes prioritaires de QRadar.

Ce guide décrit les étapes de l’installation et de la configuration d’IBM QRadar pour le plan Miro Enterprise.

Aperçu

IBM QRadar est un produit de gestion des informations et des événements de sécurité (SIEM) pour les entreprises. Il collecte des données de journaux provenant des entreprises clientes, de leurs équipements réseau, de leurs hôtes et systèmes d’exploitation, des applications, des vulnérabilités, ainsi que des activités et comportements des utilisateurs.

L’application Miro pour IBM QRadar utilise le Audit Logs API pour récupérer les Miro Enterprise Audit Logs dans IBM QRadar.

Prérequis

Configurez des Log Sources (Sources de journaux) pour Miro

Suivez ces étapes pour configurer la nouvelle application Log Source Management. 

1. Pour ajouter une nouvelle source de journaux dans IBM QRadar, assurez-vous d’abord que l’application Log Source Management est installée dans votre console QRadar sous l’onglet onglet Admin.Configure_log_sources_for_Miro.jpegConfiguration des sources de journaux pour Miro dans QRadar

2. Une fois redirigé vers un nouvel onglet, sélectionnez Sources de journaux.Manage_log_sources.jpegGestion des sources de journaux dans QRadar

3. Cliquez sur Nouvelle source de journal et sélectionnez Source de journal unique.New_log_source.jpegAjouter une nouvelle source de journal

Ajout d’une source de journal unique ou multiple
Sélectionnez une source de journal unique

4. Recherchez et sélectionnez Miro Audit Logs comme type de source de logs. Cliquez ensuite sur Étape 2 : sélectionnez le type de protocole.
Select_a_log_source_type.png
 
Sélection du type de source de journaux 

5. Recherchez et sélectionnez Universal Cloud REST API comme type de protocole. Puis cliquez sur Étape 3 : Configurer les paramètres de la source de logsSelect_a_protocol_type.pngSélectionner le type de protocole

6. Configurez les paramètres de source des journaux suivants et laissez les paramètres restants sur leurs valeurs par défaut :

  • Nom: Champ de texte. Par exemple : Journaux d’audit Miro
  • Extension: MiroAuditLogsCustom_ext
  • Regroupement des évènements: désactivé

Cliquez ensuite sur Étape 4 : Configurer les paramètres du protocole.Configure_log_source_parameters.png

Configure_log_source_parameters_2.pngConfigurer les paramètres de la source des journaux 

⚠️ Afin d’éviter qu’IBM QRadar ne combine tous les événements en un seul, assurez-vous que l’option Coalescing Events est désactivée.


7. Configurez les paramètres de protocole suivants et laissez les paramètres restants sur leur valeur par défaut :

<Value name="access_token" value="" />

Cliquez ensuite sur Étape 5 : Tester les paramètres du protocoleConfigure_protocol_parameters.pngTester les paramètres du protocole 


8. Vous pouvez vérifier que les paramètres du protocole sont correctement configurés en cliquant sur Démarrer le test, ou passer cette étape en cliquant sur Ignorer le test et terminer.Option_to_test_protocol_parameters.pngTest des paramètres du protocole


9. Si vous choisissez de tester les paramètres du protocole et que tout est configuré correctement, vous verrez la page Tester les paramètres du protocole accompagnée d’une coche verte. Testing_protocol_parameters.pngTest des paramètres du protocole réussi 

10. Une fois que vous cliquez sur Terminer, la nouvelle source des journaux devrait s’afficher et être activée.New_log_source_enabled.pngNouvelle source des journaux affichée et activée  

11. Une fois la source des journaux créée, vous devez déployer les modifications. Accédez à l’admin onglet de la console IBM QRadar et cliquez sur Déployer les modifications. Deploy_changes.pngDéployer les modifications de la source de journaux

Créer une nouvelle cartographie d’événement dans IBM QRadar (facultatif)

Ensuite, vous devez créer une nouvelle cartographie d’événement dans IBM QRadar.

1. Une fois votre source de journaux déployée, vous pouvez voir l’activité de vos journaux dans l’onglet Activité des journaux de la console IBM QRadar. Vous pouvez filtrer les événements des journaux par source de journaux en cliquant sur l’option Ajouter un filtre.Add_filter.pngSource des journaux déployée dans le journal des activités dans QRadar 

2. Sélectionnez Source de journal [indexée] comme paramètre, choisissez la Source de journal que vous avez créée lors des étapes précédentes (dans cet exemple, Miro Enterprise Test) et cliquez sur Ajouter un filtre.Adding_a_filter.pngSource de journal déployée dans le journal d’activité de QRadar 

3. Après avoir ajouté le nouveau filtre, vous pouvez à présent sélectionner la plage horaire. Par exemple, les 12 dernières heures.Select_the_time_range.pngSélection de la plage horaire pour le nouveau filtre  

4. Créez une nouvelle cartographie d’événements dans IBM QRadar pour Unknown events dans l’intégration de Miro.  Unknown_event.pngLa nouvelle source de logs avec un événement inconnu

5. Sélectionnez l’événement Unknown, cliquez sur l’option Actions puis sélectionnez l’option DSM Editor. DSM_Editor.png Modification d’un événement inconnu 

6. Dans l’Éditeur DSM, cliquez sur l’onglet Cartographie d’événement puis sur plus pour ajouter un événement.DSM_Editor.jpegModification d’un nouvel événement de cartographie 

7. Pour créer une nouvelle cartographie d’événement, vous devez fournir les paramètres suivants: 

  • ID d’événement: doit correspondre au Type d’événement de ce guide IBM et il doit être unique.
  • Catégorie d’évènement : évènement

Une fois que vous avez ajouté le ID d’événement et la Catégorie d’événement, vous devez ajouter un QID Record en cliquant sur le lien Choose QID. Reportez-vous au guide IBM. Create_a_new_mapping_event.jpegCréation de la cartographie des événements

8. Dans la fenêtre modale QID Records, configurez les paramètres suivants :

  • Nom : champ de texte. Par exemple : SCIM de l’organisation activé
  • Description : champ de description
  • Catégorie de haut niveau : l’équipe QRadar suggérée dans le champ Category 

  • Catégorie de bas niveau : Équipe QRadar suggérée dans le champ Sous-catégorie

    ⚠️ Pour en savoir plus sur les catégories IBM, consultez la documentation IBM QRadar

Ensuite, cliquez sur Enregistrer.
QID_record.pngEnregistrement de la configuration de l’entrée QID 

9. Une fois le fichier QID créé, vous pouvez le sélectionner en cliquant sur OK. QID_record_created.pngSélection du fichier QID enregistré 

 

10. Vous pouvez maintenant voir le fichier QID sélectionné dans la fenêtre modale « Créer une nouvelle cartographie d’événement ». Cliquez sur Créer pour terminer la création de la nouvelle cartographie d’événement. Create_a_new_event_mapping.jpegCréation d’une nouvelle cartographie d’événement 

 
11. Vous pouvez maintenant rechercher la cartographie par l’ID de l’événement.  SCIM_enabled.jpegRecherche de la nouvelle cartographie d’événement 

 

Comment modifier une entrée QID existante (facultatif)

Si vous devez modifier une entrée QID existante, vous pouvez utiliser l’API interactive d’IBM QRadar.  API_documentation.pngDocumentation de l’API d’IBM QRadar  

 
1. Dans l’API interactive, sélectionnez le dossier data_classification et qid_records. Ensuite, recherchez un enregistrement QID spécifique en filtrant par nom dans Query (par exemple : name="Organization scim enabled") et cliquez sur Tester.  Search_for_QID_record.pngMise à jour de l’API interactive

2. Copiez l’identifiant de la réponse précédente, puis sélectionnez le dossier data_classification, l’élément qid_records et qid_record_id. Ensuite, filtrez par qid_record_id > Chemin > Valeur en collant l’identifiant copié, puis cliquez sur Tester.   Test_QID_record.png

 
3. Copiez le corps de la réponse précédente, puis passez à la méthode POST. Ensuite, ajoutez l’id que vous avez précédemment copié dans qid_record_id > Path > Value, collez le corps que vous avez copié à l’étape précédente dans qid_record > Body > Value et modifiez l’attribut souhaité (par exemple : description), puis cliquez sur Essayer. POST_method.png

4. L’attribut description sera mis à jour en conséquence. Description_attribute.jpegAttribut description mis à jour 

Comment obtenir le jeton d’accès Miro SIEM

Pour obtenir le jeton d’accès Miro SIEM :
 
1. Connectez-vous à Miro en tant qu’admin d’entreprise.
2. Accédez à Paramètres > Applications et intégrations > Intégrations d’entreprise
3. Activez SIEM
4. Copiez le jeton d’accès Jeton d’accès Miro SIEM dans la console d’admin EnterpriseJeton d’accès Miro SIEM
Cet article vous a-t-il été utile ?
Oui, merci Pas vraiment
Toutes nos excuses ! Pourquoi cet article ne vous a-t-il pas été utile ?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Retour en haut

Articles associés