Opciones de configuración del protocolo de API REST Seculert Protection
Para recibir sucesos de Seculert, configure un origen de registro para utilizar el protocolo de API REST Seculert Protection.
El protocolo de API REST de protección de Seculert es un protocolo de salida activo que proporciona alertas sobre incidencias confirmadas de programas maliciosos que están comunicando o exfiltrando información de forma activa.
- Inicie la sesión en el portal web de Seculert.
- En el panel de control, pulse la pestaña API .
- Copie el valor de Your API Key.
| Parámetro | Descripción |
|---|---|
| Tipo de origen de registro | Seculert |
| Configuración de protocolo | API REST de Seculert Protection |
| Identificador de origen de registro | Escriba la dirección IP o el nombre de host del origen de registro como identificador de sucesos de Seculert. Cada origen de registro adicional que cree cuando tenga varias instalaciones incluye idealmente un identificador exclusivo, como una dirección IP o un nombre de host. |
| Clave de API | La clave de API utilizada para autenticarse en la API REST de Seculert Protection. La clave de API se obtiene del portal web de Seculert. |
| Utilizar proxy | Si se accede a la API utilizando un proxy, seleccione este recuadro de selección. Configure los campos IP o nombre de host de proxy, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy. Si el proxy no requiere autenticación, puede dejar en blanco los campos Nombre de usuario de proxy y Contraseña de proxy. |
| Recurrencia | Especifique la frecuencia con la que el registro recopila datos. El valor puede estar en Minutos (M), Horas (H) o Días (D). El valor predeterminado es de 10 minutos. |
| Regulador de EPS | El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000. |
| Habilitar opciones avanzadas | Seleccione este recuadro de selección para habilitar las siguientes opciones de configuración: Servidor, Versión de API, Intervalo de tiempo de consulta, Permitir certificados no de confianza, Sustituir flujo de trabajo, Flujo de trabajoy Parámetros de flujo de trabajo. Estos parámetros sólo son visibles si selecciona este recuadro de selección. |
| Servidor | El servidor que se utiliza para formar la consulta de API. Por ejemplo, [Server]/1.1/incidents/records. El valor predeterminado es https://api.seculert.com]../. |
| Versión de API | La versión de API que se utiliza para formar la consulta de API. Por ejemplo, https://api.seculert.com/[API Version]/incidents/records. El valor predeterminado es 1.1. |
| Intervalo de tiempo de consulta | El intervalo de tiempo máximo para cada consulta para recopilar sucesos. Por ejemplo, si establece el intervalo en 15 minutos, la consulta recopila sucesos de la última hora de consulta a 15 minutos después. Si la hora actual es inferior a 15 minutos desde la última consulta, la consulta recopila sucesos desde la última hora de consulta hasta la hora actual. El valor debe estar en milisegundos (ms); 1000 ms es 1 segundo. El valor predeterminado es 900000 ms (15 minutos). |
| Permitir no fiables | Si habilita este parámetro, el protocolo puede aceptar certificados autofirmados y no de confianza que se encuentran en el directorio /opt/qradar/conf/trusted_certificates/ . Si inhabilita el parámetro, el explorador sólo confía en los certificados firmados por un firmante de confianza. Los certificados deben estar en formato binario codificado en PEM o RED y guardarse como un archivo .crt o .cert . Si modifica el flujo de trabajo para incluir un valor codificado para el parámetro Permitir certificados no de confianza , el flujo de trabajo altera temporalmente la selección en la interfaz de usuario. Si no incluye este parámetro en el flujo de trabajo, se utiliza la selección en la interfaz de usuario. |
| Alterar temporalmente flujo de trabajo | Habilite esta opción para personalizar el flujo de trabajo. Cuando habilita esta opción, aparecen los parámetros Flujo de trabajo y Parámetros de flujo de trabajo . |
| Flujo de trabajo | El documento XML que define cómo la instancia de protocolo recopila sucesos de la API de destino. Para obtener más información sobre el flujo de trabajo predeterminado, consulte Flujo de trabajo de protocolo de API REST de protección de Seculert. |
| Parámetros de flujo de trabajo | El documento XML que contiene los valores de parámetro utilizados directamente por el flujo de trabajo. Para obtener más información sobre los parámetros de flujo de trabajo predeterminados, consulte Flujo de trabajo de protocolo de API REST de protección de Seculert. |
| Habilitado | De forma predeterminada, el recuadro de selección está seleccionado para permitir que el origen de registro se comunique con QRadar. |
| Credibilidad | Seleccione la Credibilidad del origen de registro. El rango de valores es de 0 a 10. La credibilidad indica la integridad de un suceso o un delito según viene determinada por la valoración de credibilidad de los dispositivos de origen. La credibilidad aumenta si varios orígenes informan del mismo suceso. El valor predeterminado es 5. |
| Recopilador de sucesos de destino | Seleccione el Recopilador de sucesos de destino para utilizarlo como destino para el origen de registro. |
| Fusionar sucesos | Seleccione este recuadro de selección para habilitar el origen de registro para fusionar (empaquetar) sucesos. De forma predeterminada, los orígenes de registro descubiertos automáticamente heredan el valor de la lista Sucesos de fusión de los valores del sistema en QRadar. Cuando crea un origen de registro o edita una configuración existente, puede alterar temporalmente el valor predeterminado configurando esta opción para cada origen de registro. |
| Almacenar carga útil de suceso | Seleccione este recuadro de selección para habilitar el origen de registro para almacenar información de carga útil de sucesos. De forma predeterminada, los orígenes de registro descubiertos automáticamente heredan el valor de la lista Almacenar carga útil de sucesos de los valores del sistema en QRadar. Cuando crea un origen de registro o edita una configuración existente, puede alterar temporalmente el valor predeterminado configurando esta opción para cada origen de registro. |