The Miro Connector for IBM QRadar로 Miro Enterprise 플랜의 감사 로그에서 실무에 바로 적용 가능한 인사이트를 얻으세요. 보안 위협을 더 빠르게 감지하고 우선순위를 정해 대응하며, 이 통합을 통해 Miro 감사 로그 데이터를 IBM QRadar SIEM 시스템으로 번거로움 없이 직접 수집할 수 있습니다.
커넥터는 QRadar 7.4.2 이상에서 사용 가능합니다.
- 주요 사용자 활동을 모니터링해 실행 가능한 인사이트를 확보하고 더 나은 의사결정을 지원합니다.
- 실시간 모니터링과 가시성을 확보합니다. Miro의 감사 로그 데이터를 수동으로 내보내거나 매핑할 필요 없이 IBM QRadar로 직접 자동 수집합니다.
- 보안 모니터링을 간소화합니다. 위협이나 정책 위반을 쉽게 모니터링하고 탐지해 조직의 민감한 데이터를 보호합니다.
- QRadar의 우선순위 알림을 사용해 사고 분석과 대응 속도를 높입니다.
이 가이드는 Miro Enterprise 플랜용 IBM QRadar의 설치 및 구성 단계를 설명합니다.
개요
IBM QRadar는 기업용 보안 정보 및 이벤트 관리(SIEM) 제품입니다. 기업 고객의 네트워크 장비, 호스트 자산 및 운영 체제, 애플리케이션, 취약점, 사용자 활동 및 행태 등으로부터 로그 데이터를 수집합니다.
IBM QRadar용 Miro 앱은 Audit Logs API를 사용해 Miro Enterprise 감사 로그를 IBM QRadar로 가져옵니다.
사전 요구 사항
- 다운로드하고 설치하세요 Miro 감사 로그 사용자 지정 DSM을 IBM App Exchange에서
- Universal Cloud REST API Protocol을 설치하세요
Miro용 로그 소스 구성
새 Log Source Management 앱을 구성하려면 다음 단계를 따르세요.
1. IBM QRadar에 새 로그 소스를 추가하려면 먼저 Log Source Management 앱이 QRadar 콘솔의 관리자 탭.QRadar에서 Miro 로그 소스 구성
2. 새 탭으로 이동하면 Log Sources를 선택하세요.QRadar에서 로그 소스 관리
3. 새 로그 소스 를 클릭하고 단일 로그 소스.새 로그 소스 추가
5. 프로토콜 유형에서 Universal Cloud REST API를 검색해 선택한 다음 Step 3: Configure Log Source Parameters.을 클릭하세요프로토콜 유형 선택
6. 다음 로그 소스 매개변수를 구성하고 나머지 매개변수는 기본값으로 둡니다:
- 이름: 텍스트 필드. 예: Miro 감사 로그
- 확장: MiroAuditLogsCustom_ext
- 이벤트 병합: 꺼짐
그런 다음 4단계: 프로토콜 매개변수 구성.
로그 소스 매개변수 구성
⚠️ IBM QRadar가 모든 이벤트를 하나로 합치지 않도록 Coalescing Events 옵션을 끄는 것이 중요합니다.
7. 나머지 매개변수는 기본값으로 두고 다음 프로토콜 매개변수를 구성합니다:
- 로그 소스 식별자: 텍스트 필드. 예: miro-test
- 워크플로: Miro-Workflow.xml 콘텐츠 파일
- 워크플로 매개변수 값: Miro SIEM 인증 토큰을 Miro-Workflow-Parameter-Values.xml
<Value name="access_token" value="" />
그런 다음 Step 5: Test Protocol Parameters.을 클릭합니다프로토콜 매개변수 테스트
8. 프로토콜 매개변수가 올바르게 설정되었는지 Start Test, 를 클릭해 테스트할 수 있으며, 이 단계를 건너뛰려면 Skip Test and Finish.를 클릭하세요프로토콜 매개변수 테스트
9. 프로토콜 매개변수를 테스트하도록 선택하고 모든 설정이 올바르게 완료되면 프로토콜 매개변수 테스트 페이지에 녹색 확인 표시가 표시됩니다. 프로토콜 매개변수 테스트 성공
10. 완료를 클릭하면 새 로그 소스가 표시되고 활성화됩니다.새 로그 소스가 표시되고 활성화됨
11. 로그 소스가 생성되면 변경 사항을 배포해야 합니다. 관리자 IBM QRadar 콘솔의 탭에서 Deploy Changes를 클릭합니다. 로그 소스 변경 사항 배포
IBM QRadar에서 새 이벤트 매핑 생성(선택 사항)
다음으로 IBM QRadar에서 새 이벤트 매핑을 생성해야 합니다.
1. 로그 소스가 배포되면 IBM QRadar 콘솔의 Log Activity 탭에서 로그 활동을 확인할 수 있습니다. Add Filter 옵션을 클릭해 로그 소스를 기준으로 로그 이벤트를 필터링할 수 있습니다.QRadar의 활동 로그에 배포된 로그 소스
2. Parameter로 Log Source [Indexed]를 선택하고, 이전 단계에서 만든 Log Source (이 예시에서는 Miro Enterprise Test)을 선택한 다음 Add Filter.QRadar 활동 로그에 배포된 로그 소스
3. 새 필터를 추가한 후 시간 범위를 선택합니다. 예: Last 12 Hours.새 필터의 시간 범위 선택
4. Miro 통합에서 알 수 없는 이벤트에 대한 새 이벤트 매핑을 IBM QRadar에 생성합니다. 알 수 없는 이벤트가 포함된 새 로그 소스
5. 알 수 없는 이벤트를 선택하고 작업 옵션을 클릭한 다음 DSM 편집기 옵션을 선택합니다. 알 수 없는 이벤트 편집
6. DSM Editor에서 Event Mapping 탭을 클릭한 다음 plus 를 클릭해 이벤트를 추가합니다.새 매핑 이벤트 편집
7. 새 이벤트 매핑을 생성하려면 다음 매개변수를 입력해야 합니다:
- 이벤트 ID: 다음 이벤트 유형은 IBM 가이드 그리고 고유해야 합니다.
- 이벤트 카테고리: 이벤트
이벤트 ID를 이벤트 ID와 이벤트 카테고리,를 추가한 후 QID 선택 링크를 클릭해 QID 레코드를 추가해야 합니다. 자세한 내용은 IBM 가이드를 참조하세요. 이벤트 매핑 생성
8. QID 레코드 모달 창에서 다음 매개변수를 구성합니다:
- 이름: 텍스트 필드. 예: Organization SCIM enabled
- 설명: 텍스트 필드
- 상위 카테고리: QRadar 팀에서 권장하는 카테고리 필드
-
하위 카테고리: 권장된 하위 카테고리 필드인 QRadar 팀
⚠️ IBM 카테고리에 대해 자세히 알아보려면 IBM QRadar 문서
그런 다음 저장을 클릭하세요.QID 레코드 구성 저장
9. QID 레코드가 생성되면 확인을 클릭해 선택할 수 있습니다. 저장된 QID 레코드 선택
선택 사항: 기존 QID 레코드 편집 방법
2. 이전 응답에서 id를 복사한 다음 data_classification 폴더, qid_records 항목 및 qid_record_id. 그런 다음 qid_record_id 필터를 > 경로 > 값 에 복사한 id를 붙여넣고 Try it Out.
4. description 속성이 그에 따라 업데이트됩니다.