Universal Cloud REST API プロトコル
Universal Cloud REST API プロトコル は、 QRadar® 製品のアクティブなアウトバウンド プロトコル です。 Universal Cloud REST API プロトコル をカスタマイズして、特定の DSM または プロトコルがないデータ・ソースなど、さまざまな REST API からイベントを収集できます。
Universal Cloud REST API の プロトコル の動作は、ワークフロー XML 文書によって定義されます。 独自の XML 文書を作成することも、 Fix Centralまたは GitHubのサード・パーティーから入手することもできます。
Universal Cloud REST API プロトコル の例については、 GitHub サンプル (https://github.com/ibm-security-intelligence/IBM-QRadar-Universal-Cloud-REST-API) を参照してください。
以下の表で、Universal Cloud REST API プロトコルの プロトコル固有のパラメーターについて説明します。
| パラメーター | 説明 |
|---|---|
| ログ・ソース ID | ログ・ソースの固有の名前を入力します。 「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 「ログ・ソース名」と同じ値にすることもできます。 複数の Universal Cloud REST API ログ・ソースが構成されている場合は、それぞれに固有の名前を付けてください。 |
| ワークフロー | プロトコル ・インスタンスがターゲット API からイベントを収集する方法を定義する XML 文書。 詳しくは、 ワークフローを参照してください。 |
| ワークフロー・パラメーター値 | ワークフローによって直接使用されるパラメーター値が含まれている XML 文書。 詳しくは、 ワークフロー・パラメーター値を参照してください。 |
| 信頼されていない証明書の許可 (Allow Untrusted Certificates) | このパラメーターを有効にすると、 プロトコル は、 /opt/qradar/conf/trusted_certificates/ ディレクトリー内にある自己署名証明書および信頼できない証明書を受け入れることができます。 このパラメーターを無効にすると、スキャナーは、信頼できる署名者によって署名された証明書のみを信頼します。 証明書は、PEM または RED でエンコードされたバイナリー形式で、.crtファイルまたは.certファイルとして保存する必要があります。 「信頼できない証明書を許可」 パラメーターにハードコーディングされた値を含めるようにワークフローを変更すると、UI での選択内容がワークフローによってオーバーライドされます。 このパラメーターをワークフローに含めない場合は、UI での選択が使用されます。 |
| プロキシーの使用 | プロキシーを使用して API にアクセスする場合は、このチェック・ボックスを選択します。 「プロキシー IP またはホスト名 (Proxy IP or Hostname)」、「プロキシー・ポート」、「プロキシー・ユーザー名」、および「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままでかまいません。 |
| 繰り返し | ログがデータを収集する頻度を指定します。 値は、分 (M)、時間 (H)、または日 (D) で指定できます。 デフォルトは 10 分です。 |
| EPS スロットル | API から受信されるイベントの 1 秒当たりのイベント (EPS) の最大数の制限。 デフォルトは 5000 です。 |