protocole de l'API REST Universal Cloud

Le protocole de l'API REST d'Universal Cloud est un protocole sortant actif pour le produit QRadar®. Vous pouvez personnaliser le protocole de l'API REST d'Universal Cloud pour collecter des événements à partir d'une variété d'API REST, y compris des sources de données pour lesquelles il n'existe pas de DSM ou de protocolespécifique.

Le comportement du protocole de l'API REST d'Universal Cloud est défini par un document XML de flux de travaux. Vous pouvez créer votre propre document XML ou l'obtenir auprès de Fix Centralou de tiers sur GitHub.

Important: Le protocole de l'API REST d'Universal Cloud est pris en charge sur QRadar 7.3.2 ou version ultérieure et l'application QRadar Log Source Management doit être installée. Pour plus d'informations sur l'installation de l'application, voir Installation de l'application QRadar Log Source Management.

Pour obtenir des exemples de protocole de l'API REST d'Universal Cloud, voir les exemplesGitHub (https://github.com/ibm-security-intelligence/IBM-QRadar-Universal-Cloud-REST-API).

Important: Le produit QRadar prend en charge uniquement les flux de travaux disponibles sur Fix Centralet ceux qui sont directement référencés dans le Guide de configuration DSM. Les flux de travaux sur Github peuvent être utilisés comme ressources de formation mais ne sont pas pris en charge par le produit QRadar .

Le tableau suivant décrit les paramètres spécifiques au protocolepour le protocolede l'API REST d'Universal Cloud.

Tableau 1. Paramètres du protocole de l'API REST d'Universal Cloud
Paramètre Descriptif
Identificateur de source de journal

Entrez un nom unique pour la source de journal.

L'identificateur de source de journal peut être n'importe quelle valeur valide et n'a pas besoin de faire référence à un serveur spécifique. Il peut également s'agir de la même valeur que le Nom de la source de journal. Si vous avez configuré plusieurs sources de journauxd'API REST Universal Cloud, veillez à leur attribuer un nom unique.
Flux de travaux

Document XML qui définit comment l'instance protocol collecte les événements de l'API cible.

Pour plus d'informations, voir Flux de travaux.
Valeurs des paramètres de flux travaux

Le document XML qui contient les valeurs de paramètre utilisées directement par le flux de travaux.

Pour plus d'informations, voir Valeurs de paramètre de flux de travaux.
Autoriser les certificats non sécurisés Si vous activez ce paramètre, le protocole peut accepter les certificats autosignés et non sécurisés qui se trouvent dans le répertoire /opt/qradar/conf/trusted_certificates/ . Si vous désactivez le paramètre, le scanner ne fait confiance qu'aux certificats signés par un signataire sécurisé.

Les certificats doivent être au format PEM ou RED et sauvegardés en tant que fichier .crt ou .cert.

Si vous modifiez le flux de travaux pour inclure une valeur codée en dur pour le paramètre Autoriser les certificats non approuvés , le flux de travaux remplace votre sélection dans l'interface utilisateur. Si vous n'incluez pas ce paramètre dans votre flux de travaux, votre sélection dans l'interface utilisateur est utilisée.
Utiliser le proxy Si l'API est accessible à l'aide d'un proxy, cochez cette case.

Configurez les zones Proxy IP or Hostname, Proxy Port, Proxy Username et Proxy Password. Si le proxy ne requiert pas d'authentification, vous pouvez laisser les zones Proxy Username et Proxy Password à vide.
Récurrence Indiquez la fréquence de collecte des données dans le journal. La valeur peut être en minutes (M), en heures (H) ou en jours (D). Par défaut, cette valeur est égale à 10 minutes.
Régulation des EPS Limite du nombre maximal d'événements par seconde (EPS) pour les événements reçus de l'API. La valeur par défaut est 5000.