API REST Universal Cloud protocollo

Il protocollo dell'API REST Universal Cloud è un protocollo in uscita attivo per il QRadar® QRadar. Puoi personalizzare il protocollo dell'API REST Universal Cloud per raccogliere gli eventi da una varietà di API REST, incluse le origini dati per cui non esiste un DSM o un protocollospecifico.

Il funzionamento del protocollo dell'API REST di Universal Cloud è definito da un documento XML del workflow. È possibile creare il proprio documento XML oppure ottenerlo da Fix Centralo da terze parti su GitHub.

Importante: il protocollo API REST di Universal Cloud è supportato su QRadar 7.3.2 o versione successiva e deve essere installata l'app QRadar Log Source Management . Per informazioni su come installare l'app, consultare Installazione dell'app Gestione origine log QRadar.

Per gli esempi di API REST Universal Cloud protocol , vedi GitHub samples (https://github.com/ibm-security-intelligence/IBM-QRadar-Universal-Cloud-REST-API).

Importante: il prodotto QRadar supporta solo i workflow disponibili in Fix Centrale quelli a cui si fa riferimento direttamente nel manuale DSM Configuration Guide. I flussi di lavoro su Github possono essere utilizzati come risorse didattiche ma non sono supportati dal prodotto QRadar .

La seguente tabella descrive i parametri specifici del protocolloper l'API REST Universal Cloud protocollo.

Tabella 1. API REST Universal Cloud protocollo parametri
Parametro Descrizione
Identificativo origine log

Immettere un nome univoco per l' origine log.

L' Identificativo origine log può essere un qualsiasi valore valido e non è necessario fare riferimento a un server specifico. Può anche essere lo stesso valore del Nome origine log. Se hai più di un'API REST Universal Cloud configurata origine log, assicurati di assegnare a ciascuno un nome univoco.
Flussi di lavoro

Il documento XML che definisce il modo in cui l'istanza del protocollo raccoglie gli eventi dall'API di destinazione.

Per ulteriori informazioni, consultare Workflow.
Valori parametro flusso di lavoro

Il documento XML che contiene i valori di parametro utilizzati direttamente dal workflow.

Per ulteriori informazioni, consultare Valori dei parametri del flusso di lavoro.
Consenti certificati non attendibili Se si abilita questo parametro, il protocollo può accettare certificati autofirmati e non attendibili che si trovano all'interno della directory /opt/qradar/conf/trusted_certificates/ . Se si disabilita il parametro, lo scanner considera attendibili solo i certificati firmati da un firmatario attendibile.

I certificati devono essere in formato binario con codifica PEM o RED e devono essere salvati come file .crt o .cert .

Se si modifica il flusso di lavoro per includere un valore codificato per il parametro Consenti certificati non attendibili , il flusso di lavoro sovrascrive la selezione nell'interfaccia utente. Se non si include questo parametro nel flusso di lavoro, viene utilizzata la selezione nell'interfaccia utente.
Utilizza proxy Se si accede all'API utilizzando un proxy, selezionare questa casella di controllo.

Configurare i campi Nome host o IP proxy, Porta proxy, Nome utente proxye Password proxy . Se il proxy non richiede l'autenticazione, è possibile lasciare vuoti i campi Nome utente proxy e Password proxy .
Ricorrenza Specificare la frequenza con cui il log raccoglie i dati. Il valore può essere in Minuti (M), Ore (H) o Giorni (D). Il valore predefinito è 10 minuti.
Limitazione EPS Il limite per il numero massimo di eventi al secondo (EPS) per gli eventi ricevuti dall'API. Il valore predefinito è 5000.