Uzyskaj użyteczne obserwacje z dzienników audytu abonamentu Miro Enterprise dzięki konektorowi Miro dla IBM QRadar. Szybciej wykrywaj, priorytetyzuj i reaguj na zagrożenia bezpieczeństwa oraz użyj tej integracji, aby bez wysiłku przesyłać dane z dzienników audytu Miro bezpośrednio do systemu SIEM IBM QRadar.
Konektor jest dostępny dla QRadar 7.4.2+.
- Uzyskaj praktyczne obserwacje, monitorując kluczową aktywność użytkowników, aby podejmować lepsze decyzje.
- Uzyskaj monitorowanie i widoczność w czasie rzeczywistym. Automatyzuj pobieranie danych z dzienników audytu Miro bez potrzeby ręcznego eksportu ani mapowania, bezpośrednio do IBM QRadar.
- Usprawnij monitorowanie bezpieczeństwa. Łatwo wykrywaj zagrożenia i naruszenia zasad oraz chroń wrażliwe dane organizacji.
- Przyspiesz analizę incydentów i ich usuwanie dzięki priorytetowym alertom QRadar.
Ten przewodnik opisuje kroki instalacji i konfiguracji IBM QRadar dla abonamentu Miro Enterprise.
Przegląd
IBM QRadar to produkt z zakresu zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM). Zbiera dane z dzienników od klientów korporacyjnych — z urządzeń sieciowych, zasobów hostów i systemów operacyjnych, aplikacji, informacji o podatnościach oraz aktywności i zachowań użytkowników.
Aplikacja Miro dla IBM QRadar korzysta z API dzienników audytu, aby pobierać dzienniki audytu Miro Enterprise do IBM QRadar.
Wymagania wstępne
- Pobierz i zainstaluj niestandardowy DSM Miro Audit Logs z IBM App Exchange
- Zainstaluj Universal Cloud REST API Protocol
Konfiguracja źródeł logów dla Miro
Wykonaj poniższe kroki, aby skonfigurować Log Source Management.
1. Aby dodać nowe źródło logów w IBM QRadar, najpierw upewnij się, że aplikacja Log Source Management jest zainstalowana w konsoli QRadar w Administrator karta.Konfigurowanie źródeł logów Miro w QRadar
2. Po przekierowaniu do nowej karty wybierz Log Sources.Zarządzanie źródłami logów w QRadar
3. Kliknij Nowe źródło logów i wybierz Pojedyncze źródło logów.Dodawanie nowego źródła logów
5. Wyszukaj i wybierz Universal Cloud REST API jako typ protokołu. Następnie kliknij Krok 3: Skonfiguruj parametry źródła logów.Wybierz typ protokołu
6. Skonfiguruj następujące parametry źródła logów, pozostawiając pozostałe parametry jako domyślne:
- Nazwa: pole tekstowe. np.: Miro Audit Logs
- Rozszerzenie: MiroAuditLogsCustom_ext
- Coalescing Events: wyłączone
Następnie kliknij Krok 4: Skonfiguruj parametry protokołu.
Skonfiguruj parametry źródła logów
⚠️ Aby zapobiec łączeniu wszystkich zdarzeń przez IBM QRadar w jedno, ważne jest, aby opcja Coalescing Events była wyłączona.
7. Skonfiguruj następujące parametry protokołu, pozostawiając pozostałe parametry jako domyślne:
- Identyfikator źródła logów: Pole tekstowe. Np.: miro-test
- Przepływ pracy: Miro-Workflow.xml plik zawartości
- Wartości parametrów przepływu pracy: Dodaj token uwierzytelniania Miro SIEM do Miro-Workflow-Parameter-Values.xml
<Value name="access_token" value="" />
Następnie kliknij Krok 5: Test parametrów protokołu.Przetestuj parametry protokołu
8. Możesz sprawdzić, czy parametry protokołu zostały poprawnie skonfigurowane, klikając Rozpocznij test, lub pominąć ten krok, klikając Pomiń test i zakończ.Testowanie parametrów protokołu
9. Jeśli zdecydujesz się przetestować parametry protokołu i wszystko zostało poprawnie skonfigurowane, zobaczysz stronę Test Protocol Parameters z zielonym znacznikiem. Pomyślny test parametrów protokołu
10. Po kliknięciu Finish nowe Log Source powinno zostać wyświetlone i włączone.Nowe źródło logów wyświetlone i włączone
11. Po utworzeniu źródła logów musisz wdrożyć zmiany. Przejdź do Admin karta w konsoli IBM QRadar i kliknij Deploy Changes. Wdróż zmiany źródła logów
Tworzenie nowego mapowania zdarzeń w IBM QRadar (opcjonalne)
Następnie utwórz nowe mapowanie zdarzeń w IBM QRadar.
1. Po wdrożeniu źródła logów możesz zobaczyć aktywność logów na karcie Log Activity w konsoli IBM QRadar. Możesz filtrować zdarzenia logów według źródła, klikając opcję Add Filter.Źródło logów wdrożone w dzienniku aktywności w QRadar
2. Wybierz Źródło logów [zindeksowane] jako parametr, wybierz Źródło logów, które utworzyłeś w poprzednich krokach (w tym przykładzie, Miro Enterprise Test) i kliknij Dodaj filtr.Źródło logów wdrożone w dzienniku aktywności w QRadar
3. Po dodaniu nowego filtra możesz teraz wybrać zakres czasu. Na przykład: Ostatnie 12 godzin.Wybieranie zakresu czasu dla nowego filtra
4. Utwórz nowe mapowanie zdarzeń w IBM QRadar dla Nieznanych zdarzeń w integracji Miro. Nowe źródło logów z nieznanym zdarzeniem
5. Wybierz zdarzenie Nieznane, kliknij opcję Akcje, a następnie wybierz opcję Edytor DSM. Edycja nieznanego zdarzenia
6. W edytorze DSM kliknij kartę Mapowanie zdarzeń, a następnie kliknij plus, aby dodać zdarzenie.Edycja nowego mapowania zdarzeń
7. Aby utworzyć nowe mapowanie zdarzeń, podaj następujące parametry:
- ID zdarzenia: powinien odpowiadać typowi zdarzenia z tego przewodnika IBM i powinien być unikalny.
- Kategoria zdarzenia: zdarzenie
Po dodaniu Event ID i Event Category, musisz dodać wpis QID, klikając łącze Choose QID. Zapoznaj się z przewodnikiem IBM. Tworzenie mapowania zdarzeń
8. W oknie modalnym QID Records skonfiguruj następujące parametry:
- Nazwa: pole tekstowe. Np.: Organization SCIM enabled
- Opis: pole opisu
- Kategoria ogólna: wartość pola Kategoria sugerowana przez zespół QRadar
-
Kategoria szczegółowa: zespół QRadar jako sugerowane pole podkategorii
⚠️ Aby dowiedzieć się więcej o kategoriach IBM, przeczytaj dokumentację IBM QRadar
Kliknij Zapisz.Zapisywanie konfiguracji wpisu QID
9. Gdy wpis QID zostanie utworzony, możesz go wybrać, klikając OK. Wybór zapisanego wpisu QID
Edycja istniejącego wpisu QID (opcjonalnie)
2. Skopiuj id z poprzedniej odpowiedzi, a następnie wybierz folder data_classification, qid_records pozycję i qid_record_id. Następnie przefiltruj według qid_record_id > Ścieżka > Wartość wklejając skopiowane id i kliknij Wypróbuj.
4. Atrybut description zostanie zaktualizowany.