Protocole d'API REST Universal Cloud
Le protocole d'API REST Universal Cloud est un protocole actif sortant pour IBM QRadar. Vous pouvez personnaliser le protocole Universal Cloud REST API pour collecter des événements à partir de diverses API REST, y compris des sources de données qui n'ont pas de DSM ou de protocole spécifique.
Le comportement du protocole d'API REST Universal Cloud est défini par un document XML de flux de travaux. Vous pouvez créer votre propre document XML ou l'obtenir à partir de IBM Fix Central ou auprès de tiers sur Github.
Pour des exemples de protocole API REST du nuage universel, voir GitHub samples (https://github.com/ibm-security-intelligence/IBM®-QRadar-Universal-Cloud-REST-API).
Le tableau ci-dessous décrit les paramètres spécifiques au protocole d'API REST Universal Cloud.
| Paramètre | Descriptif |
|---|---|
| Identificateur de source de journal | Entrez un nom unique pour la source de journal. L'identificateur de source de journal peut être n'importe quelle valeur valide et n'a pas besoin de faire référence à un serveur spécifique. Il peut également s'agir de la même valeur que le Nom de la source de journal. Si vous avez configuré plusieurs sources de journal d'API REST Universal Cloud, veillez à leur attribuer un nom unique.
Note : La valeur de l 'identifiant de la source du journal doit correspondre à la valeur de l'attribut de la source si l'attribut de la source est présent dans le fichier<PostEvents>dans le flux de travail. Si les valeurs ne correspondent pas, les événements risquent de ne pas être attribués à la source d'enregistrement correcte.
|
| Flux de travaux | Le document XML qui définit comment l'instance de protocole collecte des événements à partir de l'API cible. Pour plus d'informations, voir Workflow. |
| Workflow Parameter Values | Le document XML qui contient les valeurs de paramètre utilisées directement par le flux de travaux. Pour plus d'informations, voir Valeurs des paramètres du flux de travail. |
| Autoriser les certificats non sécurisés | Si vous activez ce paramètre, le protocole peut accepter des certificats auto-signés et non sécurisés qui se trouvent dans le répertoire /opt/qradar/conf/trusted_certificates/. Si vous désactivez le paramètre, le scanner ne fait confiance qu'aux certificats signés par un signataire sécurisé. Les certificats doivent être au format PEM ou RED et sauvegardés en tant que fichier .crt ou .cert. Si vous modifiez le flux de travaux pour inclure une valeur codée en dur pour le paramètre Autoriser les certificats non approuvés , le flux de travaux remplace votre sélection dans l'interface utilisateur. Si vous n'incluez pas ce paramètre dans votre flux de travaux, votre sélection dans l'interface utilisateur est utilisée. |
| Utiliser le proxy | Si l'API est accessible à l'aide d'un proxy, cochez cette case. Configurez les zones Proxy IP or Hostname, Proxy Port, Proxy Username et Proxy Password. Si le proxy ne requiert pas d'authentification, vous pouvez laisser les zones Proxy Username et Proxy Password à vide. |
| Récurrence | Indiquez la fréquence de collecte des données dans le journal. La valeur peut être en minutes (M), en heures (H) ou en jours (D). Par défaut, cette valeur est égale à 10 minutes. |
| Régulation des EPS | Nombre maximal d'événements par seconde que QRadar ingère. Si votre source de données dépasse la régulation EPS, la collecte de données est retardée. Les données sont toujours collectées, puis elles sont ingérées lorsque la source de données cesse de dépasser le régulateur EPS. La valeur par défaut est 5000. |