Box
IBM® QRadar® DSM for Box 從 Box 企業帳戶收集企業事件。
下表說明 Box DSM 的規格:
| 規格 | 值 |
|---|---|
| 製造商 | Box |
| DSM 名稱 | Box |
| RPM 檔名 | DSM-BoxBox-QRadar_version-build_number.noarch.rpm |
| 支援的版本 | N/A |
| 通訊協定 | Box REST API |
| 事件格式 | JSON |
| 記錄的事件類型 | 管理者及企業事件 Box Shield 警示 |
| 自動探索到? | 否 |
| 包括身分? | 是 |
| 包括自訂內容? | 否 |
| 其他資訊 | 如需相關資訊,請參閱公用網站的 Box 鏈結 (https://www.box.com/home)。 |
若要將 Box 與 QRadar整合,請完成下列步驟:
- 如果未啟用自動更新,請從 IBM 支援中心網站 (https://www.ibm.com/support/fixcentral) 下載下列 RPM 的最新版本並將其安裝到 QRadar
Console:
- 通訊協定共用 RPM
- Box REST API 通訊協定 RPM
- Box DSM RPM
- 配置 Box Enterprise 帳戶以進行 API 存取。 如需相關資訊,請參閱 Box 文件 ( https://docs.box.com/docs/configuring-box-platform)。
- 下表說明需要 Box 事件集合特定值的參數:
表 2. Box 日誌來源參數 參數 值 日誌來源類型 Box 通訊協定配置 Box REST API 用戶端 ID 在 Box 管理者配置的 OAuth2 參數 窗格中產生。 用戶端機密 在 Box 管理者配置的 OAuth2 參數 窗格中產生。 金鑰 ID 在提交公開金鑰之後,於「 公開金鑰管理 」窗格中產生。 企業 ID 用於存取記號要求。 私密金鑰檔名 QRadar中 /opt/qradar/conf/trusted_certificates/box/ 目錄的私密金鑰檔名。 使用 Proxy 如果 QRadar 使用 Proxy 來存取 Box API ,請選取 使用 Proxy 勾選框。 如果 Proxy 需要鑑別,請配置 Proxy 伺服器、 Proxy 埠、 Proxy 使用者名稱及 Proxy 密碼 欄位。
如果 Proxy 不需要鑑別,請配置 Proxy 伺服器 和 Proxy 埠 欄位。
EPS 節流控制 每秒事件數上限。 預設值為 5000。
重複執行 對 Box API 查詢新事件的日誌來源之間的時間間隔。 時間間隔可以小時 (H)、分鐘 (M) 或天 (D) 為單位。 預設值為 10 分鐘。