Conector da Miro para IBM QRadar – Central de ajuda da Miro

Obtenha insights acionáveis dos logs de auditoria do seu plano Miro Enterprise com o conector da Miro para IBM QRadar. Detecte, priorize e responda a ameaças de segurança mais rapidamente e use esta integração para importar os dados dos logs de auditoria da Miro diretamente para o sistema SIEM IBM QRadar com facilidade.

O conector está disponível para QRadar 7.4.2+.

Obtenha insights acionáveis monitorando atividades-chave dos usuários para tomar decisões mais embasadas.
Tenha monitoramento e visibilidade em tempo real. Automatize a ingestão de dados dos logs de auditoria da Miro diretamente no IBM QRadar, sem exigir exportações manuais de dados ou mapeamento.
Simplifique o monitoramento de segurança. Monitore e detecte facilmente ameaças ou violações de políticas e proteja os dados confidenciais da sua organização.
Acelere a análise e a remediação de incidentes usando os alertas priorizados do QRadar.

Este guia descreve as etapas para instalar e configurar o IBM QRadar para o plano Miro Enterprise.

Visão geral

IBM QRadar é um produto empresarial de gerenciamento de eventos e informações de segurança (SIEM). Coleta dados de log de clientes empresariais, de seus dispositivos de rede, de hosts e sistemas operacionais, de aplicações, de vulnerabilidades e das atividades e comportamentos dos usuários.

O app Miro para IBM QRadar usa a API de logs de auditoria para buscar os logs de auditoria do Miro Enterprise no IBM QRadar.

Pré-requisitos

Baixe e instale o Miro Audit Logs custom DSM do IBM App Exchange
Instale Universal Cloud REST API Protocol

Configurar fontes de log para a Miro

Siga estas etapas para configurar o Log Source Management.

1. Para adicionar uma nova fonte de log no IBM QRadar, primeiro verifique se o Log Source Management app está instalado no console do QRadar na aba admin guia.Configurando Log Sources da Miro no QRadar

2. Depois de ser redirecionado para uma nova guia, selecione Log Sources.Gerenciando Log Sources no QRadar

3. Clique em New log Source e selecione Single Log Source.Adicionar uma nova fonte de log

Selecione Single Log Source

4. Pesquise e selecione Miro Audit Logs como o tipo de Log Source. Em seguida, clique em Step 2: Select Protocol Type.

Selecionar tipo de Log Source

5. Pesquise e selecione Universal Cloud REST API como tipo de protocolo. Em seguida, clique em Passo 3: Configurar parâmetros da fonte de log.Selecionar tipo de protocolo

6. Configure os seguintes parâmetros da fonte de log, deixando os demais parâmetros como padrão:

Nome: Campo de texto. Ex.: Miro Audit Logs
Extensão: MiroAuditLogsCustom_ext
Coalescing Events: desativado

Em seguida, clique em Etapa 4: Configurar parâmetros do protocolo.

Configurar parâmetros da fonte de logs

⚠️ Para evitar que o IBM QRadar combine todos os eventos em um único evento, é importante garantir que a opção Coalescing Events esteja desativada.

7. Configure os seguintes parâmetros do protocolo, deixando os demais como padrão:

Identificador da fonte de log: Campo de texto. Ex.: miro-test
Fluxo de trabalho: Miro-Workflow.xml arquivo de conteúdo
Valores de parâmetro do fluxo de trabalho: Adicione token de autenticação SIEM da Miro ao Miro-Workflow-Parameter-Values.xml

<Value name="access_token" value="" />

Em seguida, clique em Etapa 5: Testar parâmetros do protocolo.Testar os parâmetros do protocolo

8. Você pode testar se os parâmetros do protocolo foram configurados corretamente clicando em Iniciar teste, ou pular esta etapa clicando em Pular teste e concluir.Testando os parâmetros do protocolo

9. Se optar por testar os parâmetros do protocolo e tudo estiver configurado corretamente, verá a página Testar parâmetros do protocolo com uma marca de verificação verde. Teste de parâmetros do protocolo bem-sucedido

10. Depois de clicar em Concluir, o novo Log Source deve ser exibido e ativado.Novo Log Source exibido e ativado

11. Depois que o Log Source for criado, é necessário implantar as alterações. Vá para a Admin guia no console do IBM QRadar e clique em Implantar alterações. Implantar alterações do Log Source

Criar um novo mapeamento de eventos no IBM QRadar (opcional)

Em seguida, crie um novo mapeamento de eventos no IBM QRadar.

1. Depois que seu Log Source for implantado, você pode ver a atividade de logs na guia Atividade de logs no console do IBM QRadar. Você pode filtrar os eventos de log por Log Source clicando na opção Adicionar filtro.Log Source implantado no log de atividade do QRadar

2. Selecione Log Source [Indexed] como parâmetro, escolha o Log Source que você criou nos passos anteriores (neste exemplo, Miro Enterprise Test) e clique em Add Filter.Log source implantado no Log Activity do QRadar

3. Depois de adicionar o novo filtro, você pode selecionar o intervalo de tempo. Por exemplo, Últimas 12 horas.Selecionando o intervalo de tempo para o novo filtro

4. Crie um novo mapeamento de eventos no IBM QRadar para eventos desconhecidos na integração da Miro. A nova log source com evento desconhecido

5. Selecione o evento Desconhecido, clique na opção Ações e depois selecione a opção Editor DSM. Editando um evento desconhecido

6. No DSM Editor, clique na guia Event Mapping e depois clique em plus para adicionar um evento.Editando um novo mapeamento de evento

7. Para criar um novo mapeamento de evento, você precisa fornecer os seguintes parâmetros:

Event ID: deve corresponder ao Event type deste guia da IBM e deve ser único.
Categoria de evento: evento

Depois de adicionar o Event ID e o Event Category, é necessário adicionar um QID Record clicando no link Choose QID. Consulte o guia da IBM. Criando mapeamento de eventos

8. Na janela modal QID Records, configure os seguintes parâmetros:

Nome: campo de texto. Ex.: Organization SCIM enabled
Descrição: campo de descrição
Categoria de alto nível: time do QRadar sugerido para o campo Category
Categoria de nível inferior: time do QRadar conforme sugerido no campo Sub-Category

⚠️ Para saber mais sobre as categorias da IBM, leia a documentação do IBM QRadar

Em seguida, clique em Salvar.
Salvando a configuração do registro QID

9. Depois que o registro QID for criado, você pode selecioná-lo clicando em Ok. Selecionando o registro QID salvo

10. Agora você pode ver o registro QID selecionado na janela modal Criar novo mapeamento de evento. Clique em Criar para concluir a criação do novo mapeamento de evento.

Criação do novo mapeamento de evento

11. Agora você pode pesquisar o mapeamento de evento pelo ID do evento.

Pesquisando o novo mapeamento de evento

Como editar um QID Record existente (opcional)

Se precisar editar um QID Record existente, você pode usar a API interativa do IBM QRadar.

Documentação da API do IBM QRadar

1. Na API interativa, selecione a pasta data_classification e qid_records. Em seguida, pesquise um registro QID específico filtrando por nome em Consulta (por exemplo: name="Organization scim enabled") e clique em Testar Atualizando a API interativa

2. Copie o ID da resposta anterior e, em seguida, selecione a pasta data_classification, o item qid_records e qid_record_id. Depois, filtre por qid_record_id > Path > Value , cole o ID copiado e clique em Try it Out.

3. Copie o corpo da resposta anterior e mude para o método POST. Aqui, adicione o id que você copiou anteriormente em qid_record_id > Path > Value, cole o corpo que você copiou no passo anterior em qid_record > Body > Value e modifique o atributo desejado (por exemplo: description), então clique em Try it Out.

4. O atributo description será atualizado de acordo.

Atributo description atualizado

Como obter o token de acesso do SIEM da Miro

Para obter o token de acesso do SIEM da Miro:

1. Faça login na Miro como Admin da empresa

2. Vá para Configurações > Apps e integrações > Integrações da empresa

3. Ative o SIEM

4. Copie o token de acesso Token de acesso do Miro SIEM no console de admin do Enterprise

Token de acesso do Miro SIEM

Artigos nessa seção