Universal Cloud REST API Protokoll

Das Universal Cloud REST API- Protokoll ist ein aktives abgehendes Protokoll für das ProduktQRadar®. Sie können das Protokoll der Universal Cloud-REST-API anpassen, um Ereignisse aus einer Vielzahl von REST-APIs zu erfassen, einschließlich Datenquellen, für die es kein bestimmtes DSM oder Protokollgibt.

Das Verhalten des Universal Cloud REST API- Protokolls wird durch ein Workflow-XML-Dokument definiert. Sie können ein eigenes XML-Dokument erstellen oder es von Fix Centraloder von anderen Anbietern auf GitHubabrufen.

Wichtig: Das Universal Cloud REST API-Protokoll wird unter QRadar 7.3.2 oder höher unterstützt und Sie müssen die App QRadar Log Source Management installiert haben. Informationen zur Installation der Anwendung finden Sie unter QRadar Log Source Management-App installieren.

Beispiele für das Protokoll der Universal Cloud-REST-APIs finden Sie unter GitHub -Beispiele (https://github.com/ibm-security-intelligence/IBM-QRadar-Universal-Cloud-REST-API).

Wichtig: Das Produkt QRadar unterstützt nur die Workflows, die in Fix Centralverfügbar sind, sowie die Workflows, auf die im DSM-Konfigurationshandbuchdirekt verwiesen wird. Die Workflows auf Github können als Schulungsressourcen verwendet werden, werden jedoch vom ProduktQRadar nicht unterstützt.

In der folgenden Tabelle werden die protokollspezifischenParameter für das Protokollder Universal Cloud-REST-API beschrieben.

Tabelle 1. Parameter für Protokoll der Universal Cloud-REST-API
Parameter Beschreibung
Log Source Identifier (Protokollquellenkennung)

Geben Sie einen eindeutigen Namen für die Protokollquelleein.

Die Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Es kann auch denselben Wert wie der Protokollquellennamehaben. Wenn Sie mehrere konfigurierte Universal Cloud-REST-API- Protokollquellenhaben, stellen Sie sicher, dass Sie jedem einen eindeutigen Namen geben.
Workflow

Das XML-Dokument, das definiert, wie die Protokoll instanz Ereignisse von der Ziel-API erfasst.

Weitere Informationen finden Sie unter Workflow.
Workflowparameterwerte

Das XML-Dokument, das die Parameterwerte enthält, die direkt vom Workflow verwendet werden.

Weitere Informationen finden Sie unter Workflowparameterwerte.
Nicht vertrauenswürdige Zertifikate zulassen Wenn Sie diesen Parameter aktivieren, kann das Protokoll selbst signierte und sonst nicht vertrauenswürdige Zertifikate akzeptieren, die sich im Verzeichnis /opt/qradar/conf/trusted_certificates/ befinden. Wenn Sie den Parameter inaktivieren, erkennt der Scanner nur Zertifikate an, die von einem vertrauenswürdigen Unterzeichner signiert wurden.

Die Zertifikate müssen im PEM-oder RED-codierten Binärformat vorliegen und als .crt -oder .cert -Datei gespeichert werden.

Wenn Sie den Workflow so ändern, dass er einen fest codierten Wert für den Parameter Nicht vertrauenswürdige Zertifikate zulassen enthält, überschreibt der Workflow Ihre Auswahl in der Benutzerschnittstelle. Wenn Sie diesen Parameter nicht in Ihren Workflow einschließen, wird Ihre Auswahl in der Benutzerschnittstelle verwendet.
Proxy verwenden Wenn auf die API über einen Proxy zugegriffen wird, wählen Sie dieses Markierungsfeld aus.

Konfigurieren Sie die Felder Proxy-IP oder -Hostname, Proxy-Port, Proxy-Benutzernameund Proxy-Kennwort . Wenn der Proxy keine Authentifizierung erfordert, können Sie die Felder Proxy-Benutzername und Proxy-Kennwort leer lassen.
Wiederholung Geben Sie an, wie oft das Protokoll Daten erfasst. Der Wert kann in Minuten (M), Stunden (H) oder Tagen (D) angegeben werden. Der Standardwert beträgt 10 Minuten.
EPS-Regulierung Der Grenzwert für die maximale Anzahl von Ereignissen pro Sekunde (EPS) für Ereignisse, die von der API empfangen werden. Der Standardwert ist 5000.