Obtenez des informations exploitables à partir des journaux d’audit de votre plan Miro Enterprise grâce au Connecteur Miro pour IBM QRadar. Détectez les menaces de sécurité, définissez leur priorité et répondez-y plus rapidement et utilisez cette intégration pour intégrer facilement les données des journaux d’audit de Miro dans votre système IBM QRadar SIEM.
Le connecteur est disponible pour QRadar 7.4.2+.
- Obtenez des informations exploitables en surveillant l’activité utilisateur clé pour favoriser une prise de décision plus éclairée.
- Profitez d’une surveillance et d’une visibilité en temps réel. Automatisez l’intégration des données des journaux d’audit de Miro directement dans IBM QRadar, sans passer par des exportations ou une cartographie manuelles des données.
- Rationalisez votre système de surveillance. Surveillez et détectez facilement les menaces ou les violations de politique et protégez les données sensibles de votre organisation.
- Accélérez l’analyse et la rectification des incidents en utilisant les alertes prioritaires de QRadar.
Ce guide décrit les étapes de l’installation et de la configuration d’IBM QRadar pour le plan Miro Enterprise.
Aperçu
IBM QRadar est une société de logiciel de gestion de l’information et des événements de sécurité (SIEM). Elle recueille des données de journaux de leurs entreprises clientes, de leurs appareils de réseau, de leurs ressources centrales et de leurs systèmes d’exploitation, des applications, des vulnérabilités et des activités et des comportements utilisateurs.
L’application Miro pour IBM QRadar utilise l’API des journaux d’audit pour récupérer les journaux d’audit des comptes Miro Enterprise et les transférer dans IBM QRadar.
Prérequis
- Téléchargez et installez le DSM personnalisé des journaux d’audit de Miro à partir de l’IBM App Exchange.
- Installez le Universal Cloud Rest API Protocol.
Configurez des Log Sources (Sources de journaux) pour Miro.
Suivez ces étapes pour configurer la nouvelle application Log Source Management.
1. Afin d’ajouter une nouvelle source de journaux dans IBM QRadar, assurez-vous d’abord que l’application Log Source Management est installée dans votre console QRadar sous l’onglet Admin.Configuration des sources de journaux pour Miro dans QRadar
2. Un nouvel onglet s’ouvre. Sélectionnez Log Sources (Sources de journaux).Gestion des sources de journaux dans QRadar
3. Cliquez sur New log Source (Nouvelle source de journaux) et sélectionnez Single Log Source (Source de journaux unique).Ajout d’une nouvelle source de journaux
5. Recherchez et sélectionnez Universal Cloud REST API comme type de protocole. Cliquez ensuite sur Step 3: Configure Log Source Parameters (Étape 3 : configurer les paramètres de la source de journaux).Sélection du type de protocole
6. Configurez les paramètres de source des journaux suivants et laissez les paramètres restants sur leurs valeurs par défaut :
Name (Nom) : champ texte. Par exemple : Journaux d’audit Miro
Extension : MiroAuditLogsCustom_ext
Coalescing Events (Fusion des événements) : off
Cliquez ensuite sur Step 4: Configure Protocol Parameters (Étape 4 : configurer les paramètres du protocole).
Configuration des paramètres de source des journaux
⚠️ Afin d’éviter qu’IBM QRadar combine tous les événements en un seul événement, il est important de vous assurer de désactiver l’option Coalescing Events (Fusion des événements).
7. Configurez les paramètres de protocole suivants et laissez les paramètres restants sur leur valeur par défaut :
Log Source Identifier (Identifiant de la source des journaux) : champ texte. Par exemple : miro-test
Workflow : fichier de contenu Miro-Workflow.xml
Workflow Parameter Values (Valeurs des paramètres de workflow) : ajoutez le jeton d’authentification SIEM de Miro dans Miro-Workflow-Parameter-Values.xml
<Value name="access_token" value="" />
Puis, cliquez sur Step 5: Test Protocol Parameters (Étape 5 : tester les paramètres du protocole).Test des paramètres du protocole
8. Vous pouvez tester les paramètres du protocole et vérifier s’ils ont été configurés correctement en cliquant sur Start Test (Démarrer le test) ou passez cette étape en cliquant sur Skip Test and Finish (Passer le test et terminer).Test des paramètres du protocole en cours
9. Si vous avez choisi de tester les paramètres du protocole et que tout est configuré correctement, la page Test Protocol Parameters (Tester les paramètres du protocole) accompagnée d’une coche verte. Test des paramètres du protocole réussi
10. Une fois que vous avez cliqué sur Finish (Terminer), la nouvelle source de journaux devrait être affichée et activée.Nouvelle source de journaux affichée et activée
11. Une fois la source des journaux créée, vous devez déployer les modifications. Rendez-vous dans l’onglet Admin de la console IBM QRadar et cliquez sur Deploy Changes (Déployer les modifications). Déploiement des modifications de la source des journaux
Créer une nouvelle cartographie d’événement dans IBM QRadar (facultatif)
Ensuite, vous devez créer une nouvelle cartographie d’événement dans IBM QRadar.
1. Une fois votre source de journaux déployée, vous pouvez voir l’activité de vos journaux dans l’onglet Log Activity (Activité des journaux) de la console IBM QRadar. Vous pouvez filtrer les événements des journaux par source de journaux en cliquant sur l’option Add Filter (Ajouter un filtre).Source des journaux déployée dans le journal des activités dans QRadar
2. Sélectionnez le paramètre Log Source [Indexed] (Source des journaux [indexée]), choisissez la source de journaux que vous avez créée dans les étapes précédentes (dans cet exemple, Miro Entreprise Test) et cliquez sur Add Filter (Ajouter un filtre).Source de journaux déployée dans le journal des activités dans QRadar
3. Après avoir ajouté le nouveau filtre, vous pouvez à présent sélectionner la plage de temps. Par exemple, les 12 dernières heures.Sélection de la plage de temps pour le nouveau filtre
4. Créez une nouvelle cartographie d’événement dans IBM QRadar pour les Unknown events (Événements inconnus) dans l’intégration de Miro. La nouvelle source de journaux avec un événement inconnu
5. Sélectionnez l’événement inconnu, cliquez sur l’option Actions et sélectionnez l’option DSM Editor. Modification d’un événement inconnu
6. Sur le DSM Editor, cliquez sur l’onglet Event Mapping (Cartographie d’événement) et cliquez sur le plus pour ajouter un événement.Modification d’un nouvel événement de cartographie
7. Pour créer une nouvelle cartographie d’événement, vous devez fournir les paramètres suivants :
- Event ID (ID de l’événement) : doit correspondre au Event type (type d’événement) issu de ce guide IMB et il doit être unique.
- Event Category (Catégorie d’événement) : event (événement)
Une fois que vous avez renseigné les champs Event ID (ID d’événement) et Event Category (Catégorie d’événement), vous devez ajouter un QID Record (Fichier QID) en cliquant sur le lien Choose QID (Choisir le QID). Reportez-vous au guide IBM (disponible uniquement en anglais). Création d’une cartographie d’événement
8. Dans la fenêtre du modal QID Records (Fichiers QID), configurez les paramètres suivants :
Name (Nom) : champ texte. Par exemple : SCIM de l’organisation activé
Description : champ de description
High Level Category (Catégorie de haut niveau) : l’équipe QRadar suggérée dans le champ Category (Catégorie)
Low Level Category (Catégorie de bas niveau) : l’équipe QRadar suggérée dans le champ Sub-Category (Sous-catégorie)
⚠️ Pour en savoir plus sur les catégories IBM, veuillez lire la documentation IBM QRadar.
Ensuite, cliquez sur Save (Enregistrer).Enregistrement de la configuration du fichier QID
Comment modifier un fichier QID existant (facultatif)
2. Copiez l’id de la réponse précédente, puis sélectionnez le dossier data_classification, l’élément qid_records et qid_record_id. Filtrez ensuite par qid_record_id > Path (Chemin) > Value (Valeur) en copiant l’id copié et cliquez sur Try it Out (L’essayer).
4. L’attribut de la description sera mis à jour en conséquence.