IBM QRadar 用 Miro コネクターを使用して、実行可能なインサイトを Miro Enterprise プランの監査ログから取得します。 セキュリティの脅威を迅速に検出し、優先順位付けをして対応し、このインテグレーションを使用して Miro 監査ログのデータを直接 IBM QRadar SIEM システムに簡単に収集します。
コネクターは、QRadar 7.4.2 以降で使用可能です。
- 主要なユーザー アクティビティをモニターし、より多くの情報に基づいた意思決定を有効化することで、実行可能なインサイトを取得します。
- リアルタイムでのモニタリングや可視性を実現します。 Miro の監査ログから IBM QRadar へ自動的に直接データを取り込み、手動でのデータのエクスポートやマッピングが不要になります。
- セキュリティ監視を合理化します。 脅威やポリシー違反を簡単にモニターして検出し、組織の機密データを保護します。
- QRadar の優先順位付けされたアラートを使用して、インシデント分析と修正を迅速化します。
このガイドでは、Miro の Enterprise プラン用に IBM QRadar をインストールして設定する手順について説明します。
概要
IBM QRadar は、企業のセキュリティ情報およびイベント管理(SIEM)製品です。企業の顧客やそのネットワークデバイス、ホストのアセットやオペレーティング システム、アプリケーション、脆弱性、ユーザーのアクティビティや行動からログデータを収集します。
IBM QRadar用のMiroアプリは、Logs APIを使用して、Miro Enterprise監査ログをIBM QRadarにフェッチします。
前提条件
Miro 用ログソースの設定
以下の手順に従って、新しいログソース管理を設定します。
1. IBM QRadarで新しいログソースを追加するには、まず QRadarコンソールの 管理者 タブに Source Managementアプリが インストールされている ことを確認して ください。QRadarにおけるMiroのログソースの設定
3.新しいタブにリダイレクトされたら、「ログ・ソース」を選択します。QRadarでのログソースの管理
3. 新しいログソース をクリックし を選択します。新しいログソースの追加
5. 5. プロトコルタイプとして Universal Cloud REST API を検索して選択します。 次に、ステップ3をクリックします:ログソースパラメータの設定プロトコルタイプの選択
6. 6. 以下のログソースパラメータを設定し、残りのパラメータをデフォルトとして残します。
- 名前テキストフィールドつまりMiro監査ログ
- 延長:MiroAuditLogsCustom_ext
- イベントの統合:オフ
次に、ステップ4をクリックします:プロトコル・パラメータの設定
ログソースパラメータの設定
⚠️ IBM QRadar がすべてのイベントを単一のイベントに融合するのを避けるために、Coalescing Events オプションがオフになっていることをご確認ください。
7. 7. 以下のプロトコル パラメーターを設定し、残りのパラメーターをデフォルトとして残します。
- ログソース識別子:テキストフィールド例:miro-test
- ワークフロー
- ワークフローパラメータ値:https://github.com/IBM/IBM-QRadar-Universal-Cloud-REST-API/blob/master/Community%20Developed/Miro/Miro-Workflow-Parameter-Values.xmlにMiro SIEM 認証トークンを追加します。
<Value name="access_token" value="" />
次にステップ5をクリックします:プロトコルパラメータのテストプロトコル・パラメータのテスト
8. プロトコルのパラメータが正しく設定されているかどうかは、「テストを開始 」をクリックしてテストすることもできますし、「テストをスキップして終了」をクリックしてこのステップをスキップすることもできます。Option_to_test_protocol_parametersプロトコルパラメータのテスト
3.9. プロトコル パラメーターをテストすることを選択し、すべてが正しく設定されている場合、緑色のチェックマークが付いた [プロトコル パラメーターのテスト] ページが表示されます。プロトコル・パラメータのテスト成功
3.Finishをクリックすると、新しいログ・ソースが表示され、有効になります。ログソースが表示され、有効になっています。
3.ログソースが作成されると、変更をデプロイする必要があります。 IBM QRadar コンソールで [管理者] タブに移動し、[Deploy Changes](変更をデプロイ)をクリックします。変更点
IBM QRadar 内に新しいイベントマッピングの作成(オプション)
次に、IBM QRadar 内に新しいイベントマッピングを作成する必要があります。
1. 1. ログソースがデプロイされると、IBM QRadar コンソールで [ログアクティビティー] タブにログのアクティビティーが表示されます。 フィルタの追加オプションをクリックすると、ログソースによってログイベントをフィルタリングできます。QRadarのアクティビティログに配置されたログソース
2. パラメータとしてログソース[Indexed]を選択し、前の手順で作成したログソース(この例ではMiro Enterprise Test)を選択し、[Add Filter]をクリックします。QRadarのアクティビティログに展開されたログソース
3. 3. 新規に検索条件を追加した後、時間範囲を選択することができます。 例えば、過去12時間。新しいフィルタの時間範囲を
4. 4. Miro のインテグレーションで [不明なイベント] 用の新規イベントマッピングを IBM QRadar で作成します。 未知のイベントを含む新しいログソース
5. 5. [不明なイベント] を選択し、[アクション] のオプションをクリックし、[DSM エディター] のオプションを選択します。 未知のイベントの編集
6. DSM EditorでEvent Mappingタブをクリックし、プラスを クリックしてイベントを追加します。新規マッピングイベントの
7. 7. 新規のイベントマッピングを作成するには、以下のパラメーターを入力する必要があります。
- イベント ID:この IBM ガイドのイベントタイプと一致し、独自のものでなければなりません。
- イベントカテゴリー:イベント
イベント ID とイベントカテゴリーを追加したら、[QID を選択] リンクをクリックして、QID レコードを追加する必要があります。IBM ガイドを参照してください。イベント・マッピングの作成
8. 8. QID レコード モーダルウィンドウで、以下のパラメーターを設定します。
- 名前:テキストフィールド。つまりSCIMが有効な組織
- 概要:説明フィールド
- ハイレベル・カテゴリーQRadarチームが提案するカテゴリフィールド
-
低レベルのカテゴリーQRadarチームが提案するサブカテゴリフィールド
をクリックします。 保存.QIDレコード設定の保存
3.9. QID レコードが作成されたら、[Ok] をクリックして選択することができます。保存されたQIDレコードの選択
既存の QID レコードを編集する方法(オプション)
2. 2. ID を前のレスポンスからコピーし、data_classification フォルダー、qid_records 項目、qid_record_id を選択します。次に、qid_record_id > Path > Valueで フィルタリングし、コピーしたidを貼り付けてTry it Outを クリックします。
4. 4. 説明属性は、それに応じて更新されます。