Connecteur Miro pour IBM QRadar – Centre d'aide de Miro

Obtenez des informations exploitables à partir des journaux d’audit de votre plan Miro Enterprise grâce au Connecteur Miro pour IBM QRadar. Détectez les menaces de sécurité, définissez leur priorité et répondez-y plus rapidement et utilisez cette intégration pour intégrer facilement les données des journaux d’audit de Miro dans votre système IBM QRadar SIEM.

Le connecteur est disponible pour QRadar 7.4.2+.

Obtenez des informations exploitables en surveillant l’activité utilisateur clé pour favoriser une prise de décision plus éclairée.
Profitez d’une surveillance et d’une visibilité en temps réel. Automatisez l’intégration des données des journaux d’audit de Miro directement dans IBM QRadar, sans passer par des exportations ou une cartographie manuelles des données.
Rationalisez votre système de surveillance. Surveillez et détectez facilement les menaces ou les violations de politique et protégez les données sensibles de votre organisation.
Accélérez l’analyse et la rectification des incidents en utilisant les alertes prioritaires de QRadar.

Ce guide décrit les étapes de l’installation et de la configuration d’IBM QRadar pour le plan Miro Enterprise.

Aperçu

IBM QRadar est une société de logiciel de gestion de l’information et des événements de sécurité (SIEM). Elle recueille des données de journaux de leurs entreprises clientes, de leurs appareils de réseau, de leurs ressources centrales et de leurs systèmes d’exploitation, des applications, des vulnérabilités et des activités et des comportements utilisateurs.

L'application Miro pour IBM QRadar utilise l'APILogs pour récupérer les journaux d'audit de Miro Enterprise dans IBM QRadar.

Prérequis

Téléchargez et installez le DSM personnalisé Miro Audit Logs à partir de l'
Installez le

Configurez des Log Sources (Sources de journaux) pour Miro.

Suivez ces étapes pour configurer la nouvelle application Log Source Management.

1. Afin d'ajouter une nouvelle source de log dans IBM QRadar, assurez-vous d'abord que l'applicationSource Management est installée dans votre console QRadar sous l' ongletAdmin.Configuration des sources de log pour Miro dans QRadar

2. Après avoir été redirigé vers un nouvel onglet, sélectionnez Log Sources. Gérer les sources de logs.jpeg Gérer les sources de logs dans QRadar

3. Cliquez sur Nouvelle source de données et sélectionnez Source d'enregistrement unique.Ajoutez une nouvelle source d'enregistrement

Adding_a_single_or_multiple_log_sources.png

Sélection d’une source de journaux unique.

4. 4. Recherchez et sélectionnez Miro Audit Logs (Journaux d’audit de Miro) comme Log Source type (type de source de journaux). Cliquez ensuite sur Étape 2 : Sélectionnez le type de protocole.

Select_a_log_source_type.png

Sélection du type de source de journaux

5. 5. Recherchez et sélectionnez Universal Cloud REST API comme type de protocole. Cliquez ensuite sur Étape 3 : Configurez les paramètres de la source du journal.Sélectionnez le type de protocole

6. 6. Configurez les paramètres de source des journaux suivants et laissez les paramètres restants sur leurs valeurs par défaut :

Nom un champ texte C'est-à-dire Journaux d'audit Miro
Extension: MiroAuditLogsCustom_ext
Coalescing Events (Fusion des événements) : off

Cliquez ensuite sur Étape 4 : Configurez les paramètres du protocole.

Configurer les paramètres de la source du journal

⚠️ Afin d’éviter qu’IBM QRadar combine tous les événements en un seul événement, il est important de vous assurer de désactiver l’option Coalescing Events (Fusion des événements).

7. 7. Configurez les paramètres de protocole suivants et laissez les paramètres restants sur leur valeur par défaut :

Identifiant de la source du journal : un champ texte Par exemple : miro-test
workflow
Valeurs des paramètres du workflow: Ajoutez le jeton d'authentification Miro SIEM à l'adresse https://github.co Miro-Workflow-Parameter-Values.xml.

<Value name="access_token" value="" />

Cliquez ensuite sur l'étape 5: Tester les paramètres du protocole. Configurer les paramètres du protocole.png Tester les paramètres du protocole

8. Vous pouvez vérifier si les paramètres du protocole ont été définis correctement en cliquant sur Démarrer le test, ou sauter cette étape en cliquant sur Sauter le test et Termineralt.altTest des paramètres du protocole

9. 9. Si vous avez choisi de tester les paramètres du protocole et que tout est configuré correctement, vous verrez la page Test Protocol Parameters (Tester les paramètres du protocole) accompagnée d’une coche verte. Test des paramètres de protocole.png Test réussi des paramètres du protocole

10. Une fois que vous avez cliqué sur Terminer, la nouvelle source d'enregistrement devrait être affichée et activée.source de journalisation affichée et activée

11. Une fois la source des journaux créée, vous devez déployer les modifications. Rendez-vous dans l’onglet Admin de la console IBM QRadar et cliquez sur Deploy Changes (Déployer les modifications). de la source du journal de

Créer une nouvelle cartographie d’événement dans IBM QRadar (facultatif)

Ensuite, vous devez créer une nouvelle cartographie d’événement dans IBM QRadar.

1. 1. Une fois votre source de journaux déployée, vous pouvez voir l’activité de vos journaux dans l’onglet Log Activity (Activité des journaux) de la console IBM QRadar. Vous pouvez filtrer les événements du journal par source de journal en cliquant sur l'option Ajouter un filtre.Source de journal déployée dans le journal d'activité dans QRadar

2. Sélectionnez Log Source [Indexed] comme Parameter, choisissez la Log Source que vous avez créée aux étapes précédentes (dans cet exemple, Miro Enterprise Test) et cliquez sur Add Filter.Source de journal déployée dans le journal d'activité dans QRadar

3. 3. Après avoir ajouté le nouveau filtre, vous pouvez à présent sélectionner la plage de temps. Par exemple, les 12 dernières heures.une plage de temps pour le nouveau filtre

4. 4. Créez une nouvelle cartographie d’événement dans IBM QRadar pour les Unknown events (Événements inconnus) dans l’intégration de Miro. nouvelle source d'enregistrement avec un événement inconnu

5. 5. Sélectionnez l’événement inconnu, cliquez sur l’option Actions et sélectionnez l’option DSM Editor. Édition d'un événement inconnu

6. Dans l'éditeur du DSM, cliquez sur l'onglet Mappage d'événements, puis sur plus pour ajouter un événement.un nouvel événement de mappage

7. 7. Pour créer une nouvelle cartographie d’événement, vous devez fournir les paramètres suivants :

Event ID (ID de l’événement) : doit correspondre au Event type (type d’événement) issu de ce guide IMB et il doit être unique.
Event Category (Catégorie d’événement) : event (événement)

Une fois que vous avez renseigné les champs Event ID (ID d’événement) et Event Category (Catégorie d’événement), vous devez ajouter un QID Record (Fichier QID) en cliquant sur le lien Choose QID (Choisir le QID). Reportez-vous au guide IBM (disponible uniquement en anglais). Créer un nouvel événement de cartographie.jpeg Création d'une cartographie d'événement

8. 8. Dans la fenêtre du modal QID Records (Fichiers QID), configurez les paramètres suivants :

Name (Nom) : champ texte. C'est-à-dire Organisation SCIM activé
Description : Champ de description
Catégorie de haut niveau : L'équipe QRadar comme suggéré Champ de la catégorie
Faible niveau Catégorie : L'équipe QRadar comme suggéré Champ de sous-catégorie
⚠️ Pour en savoir plus sur les catégories IBM, veuillez lire la documentation IBM QRadar.

Cliquez ensuite sur Enregistrer.
Sauvegarde de la configuration de l'enregistrement QID

9. 9. Une fois le fichier QID créé, vous pouvez le sélectionner en cliquant sur Ok. Sélection de l'enregistrement QID sauvegardé

10. 10. Vous pouvez maintenant voir le fichier QID sélectionné dans la fenêtre du modal Create a new Event Mapping (Créer une nouvelle cartographie d’événement). Cliquez sur Create (Créer) pour terminer la création de la nouvelle cartographie d’événement.

Créer une nouvelle cartographie d'événements.jpeg

Création d'une nouvelle cartographie d'événements

11. 11. Vous pouvez maintenant rechercher la cartographie de l’événement en fonction de l’ID de l’événement.

Recherche de la nouvelle cartographie des événements

Comment modifier un fichier QID existant (facultatif)

Si vous devez modifier un enregistrement QID existant, vous pouvez utiliser l'.

Documentation de l'API IBM QRadar

1. 1. Dans l’API interactive, sélectionnez les dossiers data_classification et qid_records. Cherchez ensuite un fichier QID spécifique en filtrant son nom dans l’invite de recherche(par exemple : name="Organization scim enabled") et cliquez sur Try it Out (L’essayer). l'API interactive

2. 2. Copiez l’id de la réponse précédente, puis sélectionnez le dossier data_classification, l’élément qid_records et qid_record_id. Filtrez ensuite par qid_record_id > Path > Value en collant l'identifiant copié et cliquez sur Try it Out.

3. 3. Copiez le corps de la réponse précédente, puis passez à la méthode POST. Ajoutez ici l'identifiant que vous avez précédemment copié dans qid_record_id > Path > Value, collez le corps que vous avez copié à l'étape précédente dans qid_record > Body > Value et modifiez l'attribut souhaité (c'est-à-dire la description), puis cliquez sur Try it Out.

4. 4. L’attribut de la description sera mis à jour en conséquence. Attribut de description.jpeg

Mise à jour de l'attribut de description

Comment obtenir le jeton d’accès Miro SIEM

Pour obtenir le jeton d’accès Miro SIEM :

1. 1. Connectez-vous à Miro en tant qu’admin d’entreprise.

2. Allez dans Paramètres > Applications et intégrations > Intégrations Enterprise

3. 3. Activez l’option SIEM.

4. Copiez le jetonaltd'accèsalt

MiroJeton d'accès Miro SIEM

Articles dans cette section