IBM QRadar 用 Miro コネクターを使用して、実行可能なインサイトを Miro Enterprise プランの監査ログから取得します。 セキュリティの脅威を迅速に検出し、優先順位付けをして対応し、このインテグレーションを使用して Miro 監査ログのデータを直接 IBM QRadar SIEM システムに簡単に収集します。
コネクターは、QRadar 7.4.2 以降で使用可能です。
- 主要なユーザー アクティビティをモニターし、より多くの情報に基づいた意思決定を有効化することで、実行可能なインサイトを取得します。
- リアルタイムでのモニタリングや可視性を実現します。 Miro の監査ログから IBM QRadar へ自動的に直接データを取り込み、手動でのデータのエクスポートやマッピングが不要になります。
- セキュリティ監視を合理化します。 脅威やポリシー違反を簡単にモニターして検出し、組織の機密データを保護します。
- QRadar の優先順位付けされたアラートを使用して、インシデント分析と修正を迅速化します。
このガイドでは、Miro の Enterprise プラン用に IBM QRadar をインストールして設定する手順について説明します。
概要
IBM QRadar は、企業のセキュリティ情報およびイベント管理(SIEM)製品です。企業の顧客やそのネットワークデバイス、ホストのアセットやオペレーティング システム、アプリケーション、脆弱性、ユーザーのアクティビティや行動からログデータを収集します。
IBM QRadar 用 Miro アプリは、監査ログ API を使用して、Miro Enterprise 監査ログを IBM QRadar に読み込みます。
前提条件
- IBM App Exchange から Miro 監査ログのカスタム DSM をダウンロードしてインストールする
- Universal Cloud REST API プロトコルをインストールする
Miro 用ログソースの設定
以下の手順に従って、新しいログソース管理を設定します。
1. IBM QRadar 内に新しいログソースを追加するには、まず [管理者] タブの下の QRadar コンソールにログソース管理アプリがインストールされていることを確認します。
QRadar 内の Miro 用ログソースの設定
2. 新しいタブにリダイレクトされた後、[ログソース] を選択します。
QRadar 内のログソースの管理
3. [新しいログソース] をクリックして、[シングルログソース] を選択します。
新しいログソースの追加
5. プロトコルタイプとして Universal Cloud REST API を検索して選択します。 次に、ステップ 3:[ログソース パラメーターを設定] をクリックします。
プロトコルタイプの選択
6. 以下のログソースパラメータを設定し、残りのパラメータをデフォルトとして残します。
-
名前:テキストフィールド例:Miro 監査ログ
-
拡張子: MiroAuditLogsCustom_ext
-
イベントの統合:オフ
次に、ステップ 4:[プロトコル パラメーターを設定] をクリックします。
ログソース パラメーターの設定
⚠️ IBM QRadar がすべてのイベントを単一のイベントにまとめるのを避けるために、イベントの統合オプションがオフになっていることをご確認ください。
7. 以下のプロトコル パラメーターを設定し、残りのパラメーターをデフォルトとして残します。
-
ログソース識別子:テキストフィールド例:miro-test
-
ワークフロー:Miro-Workflow.xml コンテンツファイル
-
ワークフロー パラメーター値:Miro SIEM 認証トークンを Miro-Workflow-Parameter-Values.xml に追加
<Value name="access_token" value="" /
次に、ステップ 5:[プロトコル パラメーターのテスト] をクリックします。
プロトコル パラメーターのテスト
8. [テストを開始] をクリックしてプロトコル パラメーターが正しく設定されたかどうかをテストするか、[テストをスキップして終了] をクリックしてこの手順をスキップします。
プロトコル パラメーターのテスト
9. プロトコル パラメーターをテストすることを選択し、すべてが正しく設定されている場合、緑色のチェックマークが付いた [プロトコル パラメーターのテスト] ページが表示されます。
プロトコル パラメーター テストの完了
10. [終了] をクリックすると、新しいログソースが表示され、有効化されます。
新しいログソースの表示と有効化
11.ログソースが作成されると、変更をデプロイする必要があります。 IBM QRadar コンソールで [管理者] タブに移動し、[変更をデプロイ] をクリックします。
ログソースの変更をデプロイ
IBM QRadar 内に新しいイベントマッピングの作成(オプション)
次に、IBM QRadar 内に新しいイベントマッピングを作成する必要があります。
1. ログソースがデプロイされると、IBM QRadar コンソールで [ログアクティビティ] タブにログのアクティビティが表示されます。[検索条件の追加] オプションをクリックして、ログソースでログイベントを絞り込むことができます。
QRadar 内でアクティビティログにログソースをデプロイ
2. パラメターとしてログソース [インデックス付き] を選択し、前の手順で作成したログソース(この例では Miro Enterprise Test)を選択し、[検索条件の追加] をクリックします。
QRadar 内のアクティビティログでログソースをデプロイ
3. 新規に検索条件を追加した後、時間範囲を選択することができます。 例えば、[過去 12 時間] 。
新規の検索条件用に時間範囲を指定
4. Miro のインテグレーションで [不明なイベント] 用の新規イベントマッピングを IBM QRadar で作成します。 
不明なイベントが表示される新しいログソース
5. [不明なイベント] を選択し、[アクション] のオプションをクリックし、[DSM エディター] のオプションを選択します。
不明なイベントの編集
6. DSM エディターで [イベントマッピング] タブをクリックし、[追加] をクリックしてイベントを追加します。
新しいマッピングイベントの編集
7. 新規のイベントマッピングを作成するには、以下のパラメーターを入力する必要があります。
- イベント ID:この IBM ガイドのイベントタイプと一致し、独自のものでなければなりません。
- イベントカテゴリー: イベント
イベント ID とイベントカテゴリーを追加したら、[QID を選択] リンクをクリックして、QID レコードを追加する必要があります。IBM ガイドを参照してください。
イベントマッピングの作成
8. QID レコード モーダルウィンドウで、以下のパラメーターを設定します。
-
名前:テキストフィールド。例:Organization SCIM enabled
-
説明:詳細説明フィールド
-
上位カテゴリー:カテゴリーフィールドとして推奨された QRadar チーム
-
下位カテゴリー:サブカテゴリー フィールドとして推奨された QRadar チーム
⚠️ IBM のカテゴリーの詳細については、IBM QRadar ドキュメントをご覧ください。
次に、[保存] をクリックします。
QID レコード設定の保存
保存された QID レコードの選択
新しいイベントマッピングの作成
新しいイベントマッピングの検索既存の QID レコードを編集する方法(オプション)
インタラクティブ API の更新2. ID を前のレスポンスからコピーし、data_classification フォルダー、qid_records 項目、qid_record_id を選択します。次に、コピーされた ID を貼り付けて [qid_record_id] [パス] [値] によって検索条件を絞り込み、[試行する] をクリックします。
4. 説明属性は、それに応じて更新されます。
更新された説明属性Miro SIEM アクセストークンを取得する方法
Miro SIEM アクセストークン