Obtenha insights acionáveis dos logs de auditoria do seu plano Enterprise da Miro com o conector da Miro para IBM QRadar. Detecte, priorize e responda a ameaças de segurança mais rapidamente e use esta integração para ingerir facilmente os dados do log de auditoria da Miro diretamente no seu sistema IBM QRadar SIEM.
O conector está disponível para QRadar 7.4.2+.
- Obtenha insights acionáveis monitorando a atividade do usuário principal para habilitar a tomada de decisões mais informada.
- Obtenha monitoramento e visibilidade em tempo real. Automatize a ingestão de dados dos logs de auditoria da Miro diretamente no IBM QRadar, sem exigir exportações manuais de dados ou mapeamento.
- Simplifique o monitoramento de segurança. Monitore e detecte facilmente ameaças ou violações de política e proteja os dados sensíveis da sua organização.
- Acelere a análise e a remediação de incidentes usando os alertas priorizados do QRadar.
Este guia descreve as etapas para instalar e configurar o plano IBM QRadar para Miro Enterprise.
Visão geral
O IBM QRadar é um produto de informações de segurança corporativa e gerenciamento de eventos (SIEM). Ele coleta dados de log de clientes empresariais, seus dispositivos de rede, assets do host e sistemas operacionais, aplicativos, vulnerabilidades e atividades e comportamentos do usuário.
O aplicativo da Miro para IBM QRadar usa a API de logs de auditoria para buscar os logs de auditoria Enterprise da Miro para o IBM QRadar.
Pré-requisitos
- Baixe e instale o DSM personalizado dos logs de auditoria da Miro a partir do IBM App Exchange.
Configurar fontes de log para a Miro
Siga estas etapas para configurar o novo gerenciamento de fonte de log.
1. Para adicionar uma nova fonte de log no IBM QRadar, certifique-se de que o aplicativo de gerenciamento de fontes de log esteja instalado no seu console do QRadar na guia admin.Como configurar as fontes de log para a Miro no QRadar
2. Depois de ser redirecionado para uma nova guia, selecione Fontes de log.Como gerenciar fontes de log no QRadar
3. Clique em Nova fonte do log e selecione Fonte de log único.Adicionar uma nova fonte de log
5. Pesquise e selecione Universal Cloud REST API como o tipo de protocolo. Em seguida, clique no Passo 3: Configurar os parâmetros da fonte do log.Selecione o tipo de protocolo
6. Configure os seguintes parâmetros de fonte do log, deixando os parâmetros restantes como padrão:
Nome: campo de texto. Por exemplo: logs de auditoria da Miro
Extensão: MiroAuditLogsPerson_ext
Eventos de coalescência: desligado
Em seguida, clique em Passo 4: Configurar os Parâmetros do Protocolo.
Configurar os parâmetros da fonte do log
⚠️ Para evitar o IBM QRadar, combinar todos os eventos em um único evento é importante para garantir que a opção Eventos em coalescença esteja desabilitada.
7. Configure os seguintes parâmetros do protocolo, deixando os parâmetros restantes como padrão:
Identificador de fonte de log: campo de texto. I.e: miro-test
Fluxo de trabalho: arquivo de conteúdo da Miro-Workflow.xml
Valores do parâmetro do fluxo de trabalho: adicione o token de autenticação da Miro SIEM à Miro-Workflow-Parameter-Values.xml
<Value name="access_token" value="" />
Em seguida, clique em Passo 5: Parâmetros do protocolo de teste.Teste os parâmetros do protocolo
8. Você pode testar se os parâmetros do protocolo foram configurados corretamente clicando em Iniciar teste ou pular esta etapa clicando em Ignorar teste e concluir.Parâmetros do protocolo de teste
9. Se optar por testar os parâmetros do protocolo e tudo estiver configurado corretamente, verá a página Parâmetros do protocolo de teste com uma marca de seleção verde. Teste de parâmetro do protocolo
bem-sucedido 10. Depois de clicar em Concluir,a nova fonte de log deve ser exibida e habilitada.Nova fonte de log exibida e
habilitada 11. Depois que a fonte do log for criada, você precisa implantar as alterações. Vá para a guia Admin no console do IBM QRadar e clique em Implantar alterações. Implantar alterações na fonte do log
Criar um novo mapeamento de eventos no IBM QRadar (opcional)
Em seguida, você precisa criar um novo mapeamento de eventos no IBM QRadar.
1. Depois que sua fonte de log for implantada, você pode ver sua atividade de log na guia Atividade de log no console do IBM QRadar. Você pode filtrar os eventos de log por fonte do log clicando na opção Adicionar filtro.Fonte de log implantada no log de atividade no QRadar
2. Selecione Fonte de log [indexada] como Parâmetro, escolha a Fonte de log que você criou nas etapas anteriores (neste exemplo, teste do Enterprise da Miro) e clique em Adicionar filtro.Fonte de log implantada no log de atividade no QRadar
3. Depois de adicionar o novo filtro, você agora pode selecionar o intervalo de tempo. Por exemplo, Últimas 12 horas.Como selecionar um intervalo de rime para o novo filtro
4. Crie um novo mapeamento de eventos no IBM QRadar para eventos desconhecidos na integração da Miro. A nova fonte de log com evento desconhecido
5. Selecione o evento Desconhecido, clique na opção Ações e selecione a opção Editor do DSM. Como editar um evento desconhecido
6. No editor do DSM, clique na guia Mapeamento de eventos e clique em mais para adicionar um evento.Como editar um novo evento de mapeamento
7. Para criar um novo mapeamento de eventos, você precisa fornecer os seguintes parâmetros:
- ID do evento: deve corresponder ao tipo de evento deste guia da IBM e ele deve ser único.
- Categoria do evento: evento
Depois de adicionar o ID do evento e a categoria do evento, você deve adicionar um registro QID clicando no link Escolher QID. Consulte o guia da IBM. Como criar mapeamento de eventos
8. Na janela do modal Registros do QID, configure os seguintes parâmetros:
Nome: campo de texto. Por exemplo: organização SCIM habilitada
Descrição: campo de descrição
Categoria de nível alto: time do QRadar como campo de categoria sugerido
Categoria de nível baixo: time do QRadar como campo de subcategoria sugerido
⚠️ Para saber mais sobre as categorias da IBM, leia a documentação do IBM QRadar
Em seguida, clique em Salvar.Como salvar a configuração de registro QID
Como editar um registro QID existente (opcional)
2. Copie o id da resposta anterior e selecione a pasta data_classification, o item qid_records e qid_record_id. Em seguida, filtre por qid_record_id > Caminho > Valor colando o id copiado e clique em Experimentar.
4. O atributo de descrição será atualizado de acordo.