IBM QRadar 用 Miro コネクターを使用して、実行可能なインサイトを Miro Enterprise プランの監査ログから取得します。 セキュリティーの脅威を迅速に検出し、優先順位付けをして対応し、このインテグレーションを使用して Miro 監査ログのデータを直接 IBM QRadar SIEM システムに簡単に収集します。
コネクターは、QRadar 7.4.2 以降で使用可能です。
- 主要なユーザー アクティビティをモニターし、より多くの情報に基づいた意思決定を有効化することで、実行可能なインサイトを取得します。
- リアルタイムでのモニタリングや可視性を実現します。 Miro の監査ログから IBM QRadar へ自動的に直接データを取り込み、手動でのデータのエクスポートやマッピングが不要になります。
- セキュリティ監視が合理化されます。 脅威やポリシー違反を簡単にモニターして検出し、組織の機密データを保護します。
- QRadar の優先順位付けされたアラートを使用して、インシデント分析と修正を迅速化します。
このガイドでは、Miro の Enterprise プラン用に IBM QRadar をインストールして設定する手順について説明します。
概要
IBM QRadar は、企業のセキュリティ情報およびイベント管理(SIEM)製品です。企業の顧客やそのネットワークデバイス、ホストのアセットやオペレーティング システム、アプリケーション、脆弱性、ユーザーのアクティビティや行動からログデータを収集します。
IBM QRadar 用 Miro アプリは、監査ログ API を使用して、Miro Enterprise 監査ログを IBM QRadar に読み込みます。
前提条件
- Universal Cloud REST API プロトコルをインストールする
Miro 用ログソースの設定
以下の手順に従って、新しいログソース管理を設定します。
1. IBM QRadar 内に新しいログソースを追加するには、まず [管理者] タブの下の QRadar コンソールにログソース管理アプリがインストールされていることを確認します。QRadar 内で Miro 用ログソースを設定
2. 新しいタブにリダイレクトされた後、[ログソース] を選択します。QRadar 内のログソースの管理
3. [新しいログソース] をクリックして、[シングルログソース] を選択します。新しいログソースの追加
5. Universal Cloud REST API をプロトコルタイプとして検索して選択します。 次に、ステップ 3:[Configure Log Source Parameters](ログソースパラメータを設定)をクリックします。プロトコルタイプを選択
6. 以下のログソースパラメータを設定し、残りのパラメータをデフォルトとして残します。
名前:テキストフィールド例:Miro 監査ログ
拡張子: MiroAuditLogsCustom_ext
イベントの統合:オフ
次に、ステップ 4:[Configure Protocol Parameters](プロトコルパラメータを設定)をクリックします。
ログソース パラメーターの設定
⚠️ IBM QRadar がすべてのイベントを単一のイベントにまとめるのを避けるために、イベントの統合オプションがオフになっていることをご確認ください。
7. 以下のプロトコル パラメーターを設定し、残りのパラメーターをデフォルトとして残します。
Log Source Identifier(ログソース識別子):テキストフィールド例:miro-test
ワークフロー:Miro-Workflow.xml コンテンツファイル
ワークフロー パラメーター値:Miro SIEM 認証トークンを Miro-Workflow-Parameter-Values.xml に追加
<Value name="access_token" value="" />
次に、ステップ 5:[プロトコル パラメーターのテスト] をクリックします。プロトコル パラメーターのテスト
8. [テストを開始] をクリックしてプロトコル パラメーターが正しく設定されたかどうかをテストするか、[テストをスキップして終了] をクリックしてこの手順をスキップします。プロトコル パラメーターのテスト
9. プロトコルパラメータをテストすることを選択し、すべてが正しく設定されている場合、緑色のチェックマークが付いた [Test Protocol Parameters](プロトコルパラメータをテスト)ページが表示されます。プロトコルパラメータ テストの完了
10. [Finish](終了)をクリックすると、新しいログソースが表示され、有効化されます。新しいログソースの表示と有効化
11.ログソースが作成されると、変更をデプロイする必要があります。 IBM QRadar コンソールで [管理者] タブに移動し、[変更をデプロイ] をクリックします。ログソースの変更をデプロイ
IBM QRadar 内に新しいイベントマッピングの作成(オプション)
次に、IBM QRadar 内に新しいイベントマッピングを作成する必要があります。
1. ログソースがデプロイされると、IBM QRadar コンソールで [ログアクティビティ] タブにログのアクティビティが表示されます。[検索条件の追加] オプションをクリックして、ログソースでログイベントを絞り込むことができます。QRadar 内でアクティビティログにログソースをデプロイ
2. パラメターとしてログソース [インデックス付き] を選択し、前の手順で作成したログソース(この例では Miro Enterprise Test)を選択し、[検索条件の追加] をクリックします。QRadar 内のアクティビティログでログソースをデプロイ
3. 新規に絞り込みを追加した後、時間範囲を選択することができます。 例えば、[過去 12 時間] 。新規の検索条件用に時間範囲を指定
4. Miro のインテグレーションで [不明なイベント] 用の新規イベントマッピングを IBM QRadar で作成します。 不明なイベントが表示される新しいログソース
5. [不明なイベント] を選択し、[アクション] のオプションをクリックし、[DSM エディター] のオプションを選択します。unknown event を編集
6. DSM Editor で [Event Mapping](イベントマッピング) タブをクリックし、[plus](追加)をクリックしてイベントを追加します。新しいマッピングイベントを編集
7. 新規のイベントマッピングを作成するには、以下のパラメーターを入力する必要があります。
イベント ID と イベントカテゴリーを追加したら、[Choose QID](QID を選択) リンクをクリックして、QID レコードを追加する必要があります。IBM ガイドを参照してください。イベントマッピングの作成
8. QID レコード モーダルウィンドウで、以下のパラメーターを設定します。
名前:テキストフィールド。例:Organization SCIM enabled
説明:詳細説明フィールド
上位カテゴリー:カテゴリーフィールドとして推奨された QRadar チーム
下位カテゴリー:サブカテゴリー フィールドとして推奨された QRadar チーム
⚠️ IBM のカテゴリーの詳細については、IBM QRadar ドキュメントをご覧ください。
次に、[保存] をクリックします。QID レコード設定の保存
既存の QID レコードを編集する方法(オプション)
2. ID を前のレスポンスからコピーし、data_classification フォルダー、qid_records 項目、qid_record_id を選択します。次に、コピーされた ID を貼り付けて [qid_record_id] > [パス] > [値] によって検索条件を絞り込み、[試行する] をクリックします。
4. 説明属性は、それに応じて更新されます。