Protokół API REST programu Universal Cloud

Protokół API usług REST Universal Cloud jest protokołem wychodzącym, aktywnym dla produktu IBM® QRadar®. Istnieje możliwość dostosowania protokołu API usług REST programu Universal Cloud do gromadzenia zdarzeń z różnych interfejsów REST API, w tym źródeł danych, które nie mają konkretnego protokołu DSM lub protokołu.

Zachowanie protokołu Universal Cloud REST API jest definiowane przez dokument XML przepływu pracy. Użytkownik może utworzyć własny dokument XML lub pobrać go z programu IBM Fix Centrallub z innych podmiotów na serwerze GitHub.

Ważne: Protokół interfejsu API usług REST programu Universal Cloud jest obsługiwany w systemie QRadar 7.3.2 lub nowszym, a aplikacja QRadar Log Source Management musi być zainstalowana. Więcej informacji na temat instalowania aplikacji zawiera sekcja Instalowanie aplikacji QRadar Log Source Management.

Przykłady protokołów interfejsu API usług REST programu Universal Cloud można znaleźć w sekcji PrzykładyGitHub (https://github.com/ibm-security-intelligence/IBM-QRadar-Universal-Cloud-REST-API).

Wskazówka: IBM obsługuje tylko przepływy pracy, które są bezpośrednio przywoływane w DSM Configuration Guide. Przepływy pracy na serwerze GitHub mogą być używane jako zasoby edukacyjne, ale nie są obsługiwane przez produkt IBM.

W poniższej tabeli opisano parametry specyficzne dla protokołu dla protokołu REST API Universal Cloud.

Tabela 1. Parametry protokołu API usług REST programu Universal Cloud
Parametr Opis
Identyfikator źródła dziennika

Wpisz unikalną nazwę źródła dziennika.

Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Może to być także ta sama wartość, co nazwa źródła dziennika. Jeśli istnieje więcej niż jedno skonfigurowane źródło dziennika interfejsu API usługi REST programu Universal Cloud, należy nadać każdemu unikalną nazwę.
Przepływ pracy

Dokument XML, który definiuje sposób, w jaki instancja protokołu gromadzi zdarzenia z docelowego interfejsu API.

Więcej informacji na ten temat zawiera sekcja Przepływ pracy.
Wartości parametrów przepływu pracy

Dokument XML, który zawiera wartości parametrów używane bezpośrednio przez przepływ pracy.

Więcej informacji na ten temat zawiera sekcja Wartości parametrów przepływu pracy.
Zezwalaj na certyfikaty niezaufane Jeśli ten parametr zostanie włączony, protokół może akceptować samopodpisane i w inny sposób niezaufane certyfikaty, które znajdują się w katalogu /opt/qradar/conf/trusted_certificates/ . Jeśli parametr zostanie wyłączony, skaner ufa tylko certyfikatami, które są podpisane przez zaufaną osobę podpisującą.

Certyfikaty muszą mieć format binarny PEM lub CZERWONO-ZAKODOWANY i zapisywane jako plik .crt lub .cert .

W przypadku zmodyfikowania przepływu pracy w taki sposób, aby uwzględniał wartość zakodowaną w parametrze Zezwalaj na certyfikaty niezaufane , przepływ pracy zastępuje wybrany przez użytkownika wybór w interfejsie użytkownika. Jeśli ten parametr nie zostanie podany w przepływie pracy, zostanie użyty wybór w interfejsie użytkownika.
Użyj proxy Jeśli dostęp do interfejsu API jest uzyskiwany za pomocą serwera proxy, należy zaznaczyć to pole wyboru.

Skonfiguruj pola Adres IP lub nazwa hosta proxy, Port proxy, Nazwa użytkownika proxyi Hasło proxy . Jeśli serwer proxy nie wymaga uwierzytelniania, można pozostawić puste pola Nazwa użytkownika proxy i Hasło proxy .
Powtarzanie Określ, jak często dziennik gromadzi dane. Wartość może być podana w minutach (M), godzinach (H) lub dniach (D). Wartość domyślna to 10 minut.
Ograniczenie EPS Limit dla maksymalnej liczby zdarzeń na sekundę (EPS) dla zdarzeń odebranych z interfejsu API. Wartością domyślną jest 5000.