IBM QRadar 用 Miro コネクターを使用して、Miro Enterprise プランの監査ログから実行可能なインサイトを取得できます。セキュリティーの脅威を迅速に検出、優先順位付けして対応し、このインテグレーションで Miro 監査ログのデータを IBM QRadar の SIEM システムへ直接かつ簡単に取り込めます。
コネクターは、QRadar 7.4.2 以降で利用できます。
- 主要なユーザー アクティビティを監視することで、より情報に基づいた意思決定を行うための実行可能なインサイトを得られます。
- リアルタイムでの監視と可視性を実現します。Miro の監査ログから IBM QRadar へ自動的に直接データを取り込み、手動でのデータのエクスポートやマッピングが不要になります。
- セキュリティー監視を合理化します。脅威やポリシー違反を簡単に監視して検出し、組織の機密データを保護します。
- QRadar の優先度付きアラートを使用して、インシデントの分析と対応を迅速化します。
このガイドでは、Miro の Enterprise プラン用に IBM QRadar をインストールして設定する手順について説明します。
概要
IBM QRadar は、企業のセキュリティ情報およびイベント管理(SIEM)製品です。企業の顧客のネットワークデバイス、ホストのアセットやオペレーティング システム、アプリケーション、脆弱性、ユーザーのアクティビティや行動などからログデータを収集します。
IBM QRadar 向けの Miro アプリは、Audit Logs API を使用して、Miro Enterprise の監査ログを IBM QRadar に取り込みます。
前提条件
- ダウンロードしてインストール Miro Audit Logs のカスタム DSM を IBM App Exchangeから
- インストール Universal Cloud REST API Protocol
Miro 用ログソースの設定
以下の手順に従って、新しいログソース管理を設定します。
1. IBM QRadar に新しいログソースを追加するには、まず Log Source Management アプリ が QRadar コンソールの 管理 タブ。QRadar での Miro のログソースの構成
2. 新しいタブにリダイレクトされたら、 ログソースを選択します。QRadar 内のログソースの管理
3. 新規ログソース をクリックし、単一ログソースを選択します.新規ログソースの追加
5. プロトコルタイプとして Universal Cloud REST API を検索して選択します。次にクリックするのは ステップ 3: ログソースのパラメーターを構成プロトコルタイプを選択
6. 以下のログソースパラメータを設定し、残りのパラメータはデフォルトのままにします:
- Name: テキストフィールド。例:Miro 監査ログ
- Extension: MiroAuditLogsCustom_ext
- Coalescing Events: オフ
次に、ステップ 4:プロトコル パラメーターの設定をクリックします。
ログソースパラメタを設定
⚠️ IBM QRadar がすべてのイベントを単一のイベントにまとめないよう、Coalescing Events オプションをオフにしてください。
7. 以下のプロトコル パラメーターを設定し、残りはデフォルトのままにします。
- ログソース識別子: テキストフィールド。例:miro-test
- ワークフロー: Miro-Workflow.xml コンテンツ ファイル
- ワークフローのパラメーター値: Miro SIEM 認証 トークンを Miro-Workflow-Parameter-Values.xml
<Value name="access_token" value="" />
次に、Step 5: Test Protocol Parameters.プロトコル パラメータのテスト
8. プロトコル パラメータが正しく設定されているかは、Start Test, をクリックして確認できます。あるいは、Skip Test and Finish. をクリックしてこのステップをスキップできます。プロトコル パラメータのテスト
9. プロトコル パラメーターをテストすることを選択し、すべてが正しく設定されている場合は、緑色のチェックマークが付いたプロトコル パラメーターのテストページが表示されます。 プロトコル パラメーターのテストに成功しました
10. 完了 をクリックすると、新しい ログソース が表示され、有効になります。新しいログソースが表示され、有効になっています
11. ログソースが作成されたら、変更をデプロイする必要があります。管理 IBM QRadar コンソールのタブで、Deploy Changes (変更をデプロイ)をクリックします。 ログソースの変更をデプロイ
IBM QRadar で新しいイベントマッピングを作成する(オプション)
次に、IBM QRadar 内に新しいイベントマッピングを作成する必要があります。
1. ログソースがデプロイされると、IBM QRadar コンソールの Log Activity (ログアクティビティ)タブでログのアクティビティを確認できます。ログイベントは、Add Filter (検索条件の追加)オプションをクリックしてログソースで絞り込むことができます。QRadar のアクティビティログにデプロイされたログソース
2. パラメーターとしてLog Source [Indexed]を選択し、前の手順で作成したLog Source(この例では Miro Enterprise Test)を選び、Add Filter.をクリックします.QRadar のアクティビティログに展開されたログソース
3. 新規に検索条件を追加した後、時間範囲を選択できます。例えば、Last 12 Hours.新しい検索条件の時間範囲を選択
4. Miro のインテグレーションで 不明なイベント 用の新しいイベントマッピングを IBM QRadar に作成します。 不明イベントを含む新しいログソース
5. 不明イベントを選択し、Actions オプションをクリックしてから、DSM Editor オプションを選択します。 不明イベントの編集
6. DSM エディタで イベント マッピング タブをクリックし、次に 「+」 をクリックしてイベントを追加します.新しいマッピングイベントの編集
7. 新規のイベントマッピングを作成するには、以下のパラメーターを入力する必要があります:
- イベント ID:次のイベントタイプ(このIBM ガイド かつ、一意である必要があります。
- イベントカテゴリ: イベント
イベント ID と イベントカテゴリ, を追加したら, QID レコードを追加するには QID を選択 リンクをクリックしてください. 詳しくは IBM ガイド. イベントマッピングの作成
8. QID レコード モーダルウィンドウで、以下のパラメーターを設定します:
- 名前: テキストフィールド。例:Organization SCIM enabled
- 説明:説明フィールド
- 上位カテゴリー:QRadar チームが推奨するカテゴリーフィールド
-
下位カテゴリー: QRadar チームが推奨するサブカテゴリー フィールド
⚠️ IBM のカテゴリーについて詳しくは、IBM QRadar ドキュメント
次に、保存をクリックします。QID レコードの構成を保存
9. QID レコードが作成されたら、OK をクリックして選択できます。 保存された QID レコードの選択
既存の QID レコードを編集する方法(オプション)
2. 前のレスポンスから id をコピーし、data_classification フォルダ、qid_records 項目、qid_record_id. を選択します。次に、qid_record_id > Path > Value でフィルターし、コピーした id を貼り付けて Try it Out. をクリックします。
4. 説明属性は、それに応じて更新されます。