QRadar -Proxy einrichten

Online bearbeiten

IBM® QRadar Proxy stellt die Kommunikation zwischen der Plattform und QRadar® vor Ort oder QRadar on Cloud bereit. Die QRadar -Implementierung muss über die Plattformimplementierung direkt im Netz zugänglich sein.

Diese Kommunikation verwendet APIs, um QRadar -Daten in die QRadar -Dashboards und andere Dashboards mit QRadar -Daten zu extrahieren.

Administratoren verwenden die QRadar Proxy -Konfiguration, um Verbindungseinstellungen einzugeben, die die Kommunikation ermöglichen. QRadar-berechtigte Service-Tokens werden verwendet, um QRadar-Daten in Widgets wie Dashboards zu ziehen.

Wichtig:

Pro Plattformkonto kann nur eine QRadar -oder QRadar on Cloud-Implementierung verwendet werden. Wenn Sie beispielsweise ein Managed Service Provider sind, der mehrere Kundenkonten verwaltet, verwenden Sie für den Zugriff auf jede QRadar -Bereitstellung ein anderes Plattformkonto.

Für QRadar on Cloud müssen Sie die Self-Serve-App von QRadar on Cloud verwenden, damit die öffentliche IP-Adresse für die Plattform auf QRadar on Cloud zugreifen kann. Weitere Informationen finden Sie unter IP-Adresse zulassen (https://www.ibm.com/docs/en/SSKMKU/com.ibm.qradar.doc/t_qrocss_addwhitelist.html).

Berechtigte Service-Tokens

Das Berechtigungstoken, das Sie in QRadar Proxy verwenden, muss in QRadar der entsprechenden Benutzerrolle und den entsprechenden Berechtigungen zugeordnet werden.

Die Benutzerrollen, die einem autorisierten Service in QRadar zugeordnet sind, bestimmen die Funktionen, auf die jeder Benutzer in QRadar zugreifen kann. Weitere Informationen zu QRadar -Benutzerrollen finden Sie unter Benutzerrollen (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/c_qradar_adm_role_mgmt.html).

Das Sicherheitsprofil in QRadar bestimmt die Netze und Protokollquellen, auf die jeder Benutzer in QRadar zugreifen kann. Das Sicherheitsprofil ist der Domäne zugeordnet, die wiederum den Tenantzugriff festlegt. Weitere Informationen zu QRadar -Sicherheitsprofilen finden Sie unter Sicherheitsprofile (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/c_siem_ntw_man_set.html).

Wichtig: Wenn mehrere Benutzer dieselbe Kombination aus Benutzerrolle und Sicherheitsprofil haben, können sie das Token gemeinsam nutzen, da der Zugriff identisch ist.

Kommunikationsprozess

Der folgende Prozess beschreibt die Schritte und Benutzerrollen zum Einrichten der Kommunikation zwischen der Plattform und QRadar.
  1. Wenn Sie eine Verbindung zu QRadar lokal herstellen, müssen Administratoren die Standardkonfiguration in QRadar ändern, bevor sie die Plattform und QRadarintegrieren. Andernfalls wird die QRadar Proxy -App möglicherweise für alle Plattformbenutzer gesperrt. Weitere Informationen finden Sie unter Aussperrung von QRadar vor Ort verhindern.
  2. Administratoren konfigurieren die Verbindung zu ihrer QRadar -Implementierung:
  3. Administratoren und Benutzer fügen ein Authentifizierungstoken hinzu, damit sie auf QRadar -Dashboards zugreifen können. Siehe QRadar -Proxy-Authentifizierungstoken für den Zugriff auf QRadar -Dashboards hinzufügen.
  4. Nur für QRadar vor Ort fügen Administratoren und Benutzer ihren Benutzernamen und ihr Kennwort hinzu, damit sie auf QRadar -Apps zugreifen können. Weitere Informationen finden Sie unter Benutzernamen und Kennwort für QRadar für den Zugriff auf QRadar -Apps hinzufügen.