Impostazione del proxy QRadar

Modifica in linea

IBM® QRadar Proxy fornisce la comunicazione tra la piattaforma e QRadar® in loco o QRadar on Cloud. La distribuzione QRadar deve essere direttamente accessibile sulla rete dalla distribuzione della piattaforma.

Questa comunicazione utilizza API per eseguire il pull dei dati QRadar nei dashboard QRadar e in altri dashboard con dati QRadar .

Gli amministratori utilizzano la configurazione di QRadar Proxy per immettere le impostazioni di connessione che abilitano la comunicazione. I token di servizio autorizzati QRadar vengono utilizzati per eseguire il pull dei dati QRadar in widget come i dashboard.

Importante:

Solo una distribuzione QRadar o QRadar on Cloud può essere utilizzata per account di piattaforma. Ad esempio, se sei un provider di servizi gestito che gestisce diversi account cliente, utilizza un account di piattaforma diverso per accedere a ogni distribuzione QRadar .

Per QRadar on Cloud, devi utilizzare l'app QRadar on Cloud Self - Serve per consentire all'indirizzo IP pubblico per la piattaforma di accedere a QRadar su Cloud. Per ulteriori informazioni, consultare Consentire un indirizzo IP (https://www.ibm.com/docs/en/SSKMKU/com.ibm.qradar.doc/t_qrocss_addwhitelist.html).

Token di servizio autorizzati

Il token di autorizzazione che utilizzi in QRadar Proxy deve essere associato in QRadar con il ruolo utente e le autorizzazioni appropriati.

I ruoli utente assegnati a un servizio autorizzato in QRadar determinano le funzioni a cui ogni utente può accedere in QRadar. Per ulteriori informazioni sui ruoli utente QRadar , vedi Ruoli utente (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/c_qradar_adm_role_mgmt.html).

Il profilo di sicurezza in QRadar determina le reti e le origini log a cui ogni utente può accedere in QRadar. Il profilo di sicurezza è associato al dominio, che determina l'accesso tenant. Per ulteriori informazioni sui profili di sicurezza QRadar , consultare Profili di sicurezza (https://www.ibm.com/docs/en/SS42VS_7.5/com.ibm.qradar.doc/c_siem_ntw_man_set.html).

Importante: se più di un utente ha la stessa combinazione di ruolo utente e profilo di sicurezza, può condividere il token perché l'accesso è lo stesso.

Processo di comunicazione

Il seguente processo descrive i passi e i ruoli utente per configurare la comunicazione tra la piattaforma e QRadar.
  1. Se ti connetti a QRadar in loco, gli amministratori devono modificare la configurazione predefinita in QRadar prima di integrare la piattaforma e QRadar. Altrimenti, l'applicazione QRadar Proxy potrebbe essere bloccata per tutti gli utenti della piattaforma. Consultare la sezione Prevenzione del blocco da QRadar in loco.
  2. Gli amministratori configurano la connessione alla distribuzione QRadar :
  3. Gli amministratori e gli utenti aggiungono un token di autenticazione in modo che possano accedere ai dashboard QRadar . Consultare Aggiunta di un token di autenticazione proxy QRadar per accedere ai dashboard QRadar.
  4. Solo per QRadar in modalità prem, gli amministratori e gli utenti aggiungono il nome utente e la password in modo che possano accedere alle app QRadar . Consultare Aggiunta di un nome utente e password QRadar per accedere alle app QRadar.