Protocollo API REST Universal Cloud
Il protocollo Universal Cloud REST API è un protocollo attivo in uscita per IBM QRadar. È possibile personalizzare il protocollo API REST di Universal Cloud per raccogliere gli eventi da varie API REST, incluse le origini dati che non hanno un DSM o un protocollo specifico.
Il funzionamento del protocollo API REST di Universal Cloud è definito da un documento XML del flusso di lavoro. È possibile creare il proprio documento XML oppure ottenerlo da IBM Fix Centralo da terze parti su GitHub.
Per gli esempi di protocollo Universal Cloud REST API, vedere GitHub (https://github.com/ibm-security-intelligence/IBM®-QRadar-Universal-Cloud-REST-API).
La seguente tabella descrive i parametri specifici del protocollo per il protocollo API REST di Universal Cloud.
| Parametro | Descrizione |
|---|---|
| Identificativo origine log | Immettere un nome univoco per l'origine log. L' Identificativo origine log può essere un qualsiasi valore valido e non è necessario fare riferimento a un server specifico. Può anche essere lo stesso valore del Nome origine log. Se si dispone di più di un'origine log API REST Universal Cloud configurata, assicurarsi di assegnare a ciascuno un nome univoco.
Nota: Il valore dell' identificatore di origine del registro deve corrispondere al valore dell'attributo di origine, se l'attributo di origine è presente nel file di configurazione<PostEvents>nel flusso di lavoro. Se i valori non corrispondono, gli eventi potrebbero non essere mappati alla sorgente di log corretta.
|
| Flusso di lavoro | Il documento XML che definisce il modo in cui l'istanza del protocollo raccoglie eventi dall'API di destinazione. Per ulteriori informazioni, vedere Flusso di lavoro. |
| Valori parametro flusso di lavoro | Il documento XML che contiene i valori di parametro utilizzati direttamente dal workflow. Per ulteriori informazioni, vedere Valori dei parametri del flusso di lavoro. |
| Consenti certificati non attendibili | Se si abilita questo parametro, il protocollo può accettare certificati autofirmati e non attendibili che si trovano all'interno della directory /opt/qradar/conf/trusted_certificates/ . Se si disabilita il parametro, lo scanner considera attendibili solo i certificati firmati da un firmatario attendibile. I certificati devono essere in formato binario con codifica PEM o RED e devono essere salvati come file .crt o .cert . Se si modifica il flusso di lavoro per includere un valore codificato per il parametro Consenti certificati non attendibili , il flusso di lavoro sovrascrive la selezione nell'interfaccia utente. Se non si include questo parametro nel flusso di lavoro, viene utilizzata la selezione nell'interfaccia utente. |
| Utilizza proxy | Se si accede all'API utilizzando un proxy, selezionare questa casella di controllo. Configurare i campi Nome host o IP proxy, Porta proxy, Nome utente proxye Password proxy . Se il proxy non richiede l'autenticazione, è possibile lasciare vuoti i campi Nome utente proxy e Password proxy . |
| Ricorrenza | Specificare la frequenza con cui il log raccoglie i dati. Il valore può essere in Minuti (M), Ore (H) o Giorni (D). Il valore predefinito è 10 minuti. |
| Limitazione EPS | Il numero massimo di eventi al secondo che QRadar ingerisce. Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS. Il valore predefinito è 5000. |