Deutsch English (US) Español Français 日本語 한국어(대한민국) Polski (Polska)

Artigos nessa seção

Conector Miro para IBM QRadar

  • Atualizado

Obtenha insights acionáveis ​​dos Logs de Auditoria do seu plano Miro Enterprise com o Miro Connector para IBM QRadar. Detecte, priorize e responda a ameaças de segurança mais rapidamente e use essa integração para ingerir facilmente dados do Miro Audit Log diretamente no seu sistema IBM QRadar SIEM.

O conector está disponível para QRadar 7.4.2+.

  • Obtenha insights úteis monitorando as principais atividades dos usuário para permitir uma tomada de decisões mais informada.
  • Obtenha monitoramento e visibilidade em tempo real. Automatize a ingestão de dados dos Logs de Auditoria do Miro diretamente no IBM QRadar, sem exigir exportações ou mapeamentos manuais de dados.
  • Simplifique o monitoramento de segurança. Monitore e detecte facilmente ameaças ou violações de políticas e proteja os dados confidenciais da sua organização.
  • Acelere a análise e a correção de incidentes usando os alertas priorizados do QRadar.

Este guia descreve as etapas para instalar e configurar o IBM QRadar para o plano Miro Enterprise .

Visão geral

O IBM QRadar é um produto de gerenciamento de eventos e informações de segurança empresarial (SIEM). Ele coleta dados de log de clientes corporativos, seus dispositivos de rede, ativos de host e sistemas operacionais, aplicativos, vulnerabilidades e atividades e comportamentos do usuário .

O aplicativo da Miro para IBM QRadar usa a API de logs de auditoria para buscar logs de auditoria do Miro Enterprise no IBM QRadar.

Pré-requisitos

Configurar fontes de log para Miro

Siga estas etapas para configurar o novo Log Source Management. 

1. Para adicionar uma nova fonte de log no IBM QRadar, primeiro certifique-se de que o aplicativo Log Source Management esteja instalado no console do QRadar na guiaadmin .Configure_log_sources_for_Miro.jpegConfigurando fontes de log para Miro no QRadar

2. Após ser redirecionado para uma nova aba, selecioneFontes de Log.Manage_log_sources.jpegGerenciando fontes de log no QRadar

3. Clique em Nova fonte de log e selecione Fonte de log única.New_log_source.jpegAdicione uma nova fonte de log

Adicionando_uma_fonte_de_log_única_ou_múltipla.png
Selecione uma única fonte de log

4. Pesquisar e selecione Miro Audit Logs como o Tipo de fonte do log. Então clique Passo 2: Selecione o tipo de protocolo.
Selecione_um_tipo_de_origem_de_log.png
 
Selecione o tipo de fonte de log 

5. Pesquise e selecione Universal Cloud REST API como o tipo de protocolo. Então clique Etapa 3: Configurar parâmetros de origem do log.Select_a_protocol_type.pngSelecione o tipo de protocolo

6. Configure os seguintes parâmetros de origem do log, deixando os parâmetros restantes como padrão:

  • Nome Campo de texto Ou seja: Registros de auditoria do Miro
  • Extensão: MiroAuditLogsExtensão personalizada
  • Eventos de Coalescência: desligado

Então clique Passo 4: Configurar parâmetros de protocolo.Configure_log_source_parameters.png

Configure_log_source_parameters_2.png Configurar parâmetros de origem de log

⚠️ Para evitar que o IBM QRadar combine todos os eventos em um único evento, é importante certificar-se de que a opção Eventos Coalescentes esteja desativada.


7. Configure os seguintes parâmetros de protocolo, deixando os parâmetros restantes como padrão:

<Nome do valor="access_token" valor="" />

Em seguida, clique em Etapa 5: Parâmetros do protocolo de teste.Configure_protocol_parameters.pngTeste os parâmetros do protocolo


8. Você pode testar se os parâmetros do protocolo foram configurados corretamente clicando em Iniciar teste ou pular esta etapa clicando em Ignorar teste e concluir.Option_to_test_protocol_parameters.pngTestando parâmetros de protocolo


9. Se você optar por testar os parâmetros do protocolo e tudo estiver configurado corretamente, você verá a página Testar parâmetros do protocolo com uma marca de seleção verde. Testing_protocol_parameters.pngTeste de parâmetro de protocolo bem-sucedido

10. Depois de clicar em Concluir,a nova Fonte de Log deverá ser exibida e habilitada.New_log_source_enabled.pngNova fonte de log exibida e habilitada

11. Depois que a origem do log for criada, você precisará implantar as alterações. Vá para a guia admin no console do IBM QRadar e clique em Implementar alterações. Deploy_changes.pngImplantar alterações na fonte de log

Crie um novo mapeamento de eventos no IBM QRadar (opcional)

Em seguida, você precisa criar um novo mapeamento de eventos no IBM QRadar.

1. Depois que sua origem de log for implantada, você poderá ver sua atividade de log na guia Atividade de Log no console do IBM QRadar. Você pode filtrar os eventos de log por fonte de log clicando na opção Adicionar filtro .Add_filter.pngFonte de log implantada no log de atividades no QRadar

2. Selecione Origem do Log [Indexado] como Parâmetro, escolha a Origem do Log que você criou nas etapas anteriores (neste exemplo, Miro Enterprise Test) e clique em Adicionar Filtro.Adding_a_filter.pngFonte de log implantada no log de atividades no QRadar

3. Depois de adicionar o novo filtro, agora você pode selecionar o intervalo de tempo. Por exemplo, Últimas 12 horas.Select_the_time_range.pngSelecionando um intervalo de tempo para o novo filtro

4. Crie um novo mapeamento de eventos no IBM QRadar para eventos desconhecidos na integração do Miro .  Unknown_event.pngA nova fonte de log com evento desconhecido

5. Selecione o evento Desconhecido , clique na opção Ações e depois selecione a opção Editor DSM . DSM_Editor.png Editando um evento desconhecido

6. No Editor DSM, clique na aba mapeamento de Eventos e depois clique no sinal de mais para adicionar um evento.DSM_Editor.jpegEditando um novo evento de mapeamento

7. Para criar um novo mapeamento de eventos, você precisa fornecer os seguintes parâmetros: 

  • ID do evento: deve corresponder ao tipo de evento deste guia da IBM e deve ser exclusivo.
  • Categoria do evento: evento

Depois de adicionar o ID do evento e a categoria do evento, você precisa adicionar um registro QID clicando no link Escolher QID . Consulte o guia da IBM. Create_a_new_mapping_event.jpegCriando mapeamento de eventos

8. Na janela modal Registros QID, configure os seguintes parâmetros:

  • Nome: campo de texto. Ou seja: Organização SCIM habilitada
  • Descrição Campo de descrição
  • Categoria de alto nível: time QRadar conforme sugerido Campo de categoria 
  • Categoria de nível baixo: time QRadar conforme campo de subcategoria sugerido

    ⚠️ Para saber mais sobre as categorias da IBM, leia a documentação do IBM QRadar

Em seguida, clique em Salvar.
QID_record.pngSalvando a configuração do registro QID

9. Depois que o registro QID for criado, você pode selecioná-lo clicando em Ok. QID_record_created.pngSelecionando o registro QID salvo

 

10. Agora você pode ver o registro QID selecionado na janela modal Criar um novo mapeamento de eventos. Clique em Criar para finalizar a criação do novo mapeamento de eventos. Create_a_new_event_mapping.jpegCriação de novo mapeamento de eventos

 
11. Agora você pode pesquisar o mapeamento de eventos pelo ID do evento.  SCIM_enabled.jpegProcurando o novo mapeamento de eventos

 

Como editar um registro QID existente (opcional)

Caso precise editar um registro QID existente, você pode usar a API interativa do IBM QRadar.  IBMDocumentação da API do QRadar

 
1. Na API interativa, selecione a pasta data_classification e qid_records. Em seguida, pesquise um registro QID específico filtrando por nome na Consulta (por exemplo: name="Organização scim habilitada") e clique em TExperimente.  Search_for_QID_record.pngAtualizando a API interativa

2. Copie o id da resposta anterior e selecione a pasta data_classification , item qid_records e ID_do_registro_qid. Em seguida, filtre por qid_record_id > Caminho > Valor colando o id copiado e clique em Experimentar.Registro_QID_de_teste.png

 
3. Copie o corpo da resposta anterior e depois mude para o método POST . Aqui, adicione o id que você copiou anteriormente em qid_record_id > Caminho > Valor, cole o corpo que você copiou da etapa anterior em qid_record > Corpo > Valor e modifique o atributo desejado (por exemplo: descrição) e clique em Experimentar. Método POST.png

4. O atributo description será atualizado adequadamente. Descrição_atributo.jpegAtributo de descrição atualizado

 

Como obter o token de acesso Miro SIEM

Para obter o token de acesso Miro SIEM:
 
1. Faça login no Miro como Admin da empresa
2. Vá para Configurações > Aplicativos e integrações > Integrações Enterprise
3. Ativar SIEM
4. Copie o token de acesso Token de acesso Miro SIEM no console de admin EnterpriseToken de acesso Miro SIEM
Este artigo foi útil?
Sim, eu agradeço Não muito
Ah, que pena! Pedimos desculpas. Por que o artigo não foi útil?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
Voltar ao topo

Artigos relacionados