Universal Cloud-REST-API-Protokoll
Das Universal Cloud REST API-Protokoll ist ein abgehendes, aktives Protokoll für IBM QRadar. Sie können das Universal Cloud-REST-API-Protokoll anpassen, um Ereignisse von verschiedenen REST-APIs zu erfassen, einschließlich Datenquellen, die kein bestimmtes DSM oder Protokoll haben.
Das Verhalten des Universal Cloud REST API-Protokolls wird durch ein Workflow-XML-Dokument definiert. Sie können ein eigenes XML-Dokument erstellen oder es von IBM Fix Centraloder von anderen Anbietern auf GitHubabrufen.
Beispiele für Universal Cloud REST API-Protokolle finden Sie unter GitHub-Beispiele (https://github.com/ibm-security-intelligence/IBM®-QRadar-Universal-Cloud-REST-API).
In der folgenden Tabelle werden die protokollspezifischen Parameter für das Protokoll der Universal Cloud-REST-API beschrieben.
| Parameter | Beschreibung |
|---|---|
| Log Source Identifier (Protokollquellenkennung) | Geben Sie einen eindeutigen Namen für die Protokollquelle ein. Die Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Es kann auch denselben Wert wie der Protokollquellennamehaben. Wenn Sie mehr als eine konfigurierte Universal Cloud REST API-Protokollquelle haben, stellen Sie sicher, dass Sie jedem einen eindeutigen Namen geben.
Hinweis: Der Wert des Log Source Identifier muss mit dem Wert des Quellattributs übereinstimmen, wenn das Quellattribut in der Datei<PostEvents>tag im Arbeitsablauf. Wenn die Werte nicht übereinstimmen, werden die Ereignisse möglicherweise nicht der richtigen Protokollquelle zugeordnet.
|
| Workflow | Das XML-Dokument, das definiert, wie die Protokollinstanz Ereignisse aus der Ziel-API erfasst. Weitere Informationen finden Sie unter Workflow. |
| Workflowparameterwerte | Das XML-Dokument, das die Parameterwerte enthält, die direkt vom Workflow verwendet werden. Weitere Informationen finden Sie unter Workflow-Parameterwerte. |
| Nicht vertrauenswürdige Zertifikate zulassen | Wenn Sie diesen Parameter aktivieren, kann das Protokoll selbst signierte und nicht vertrauenswürdige Zertifikate akzeptieren, die sich im Verzeichnis /opt/qradar/conf/trusted_certificates/ befinden. Wenn Sie den Parameter inaktivieren, erkennt der Scanner nur Zertifikate an, die von einem vertrauenswürdigen Unterzeichner signiert wurden. Die Zertifikate müssen im PEM-oder RED-codierten Binärformat vorliegen und als .crt -oder .cert -Datei gespeichert werden. Wenn Sie den Workflow so ändern, dass er einen fest codierten Wert für den Parameter Nicht vertrauenswürdige Zertifikate zulassen enthält, überschreibt der Workflow Ihre Auswahl in der Benutzerschnittstelle. Wenn Sie diesen Parameter nicht in Ihren Workflow einschließen, wird Ihre Auswahl in der Benutzerschnittstelle verwendet. |
| Proxy verwenden | Wenn auf die API über einen Proxy zugegriffen wird, wählen Sie dieses Markierungsfeld aus. Konfigurieren Sie die Felder Proxy-IP oder -Hostname, Proxy-Port, Proxy-Benutzernameund Proxy-Kennwort . Wenn der Proxy keine Authentifizierung erfordert, können Sie die Felder Proxy-Benutzername und Proxy-Kennwort leer lassen. |
| Wiederholung | Geben Sie an, wie oft das Protokoll Daten erfasst. Der Wert kann in Minuten (M), Stunden (H) oder Tagen (D) angegeben werden. Der Standardwert beträgt 10 Minuten. |
| EPS-Regulierung | Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt. Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet. Der Standardwert ist 5000. |