IBM Security QRadar EDR REST API 协议配置选项
要从 IBM Security QRadar EDR 接收事件,请配置日志源与 IBM Security QRadar EDR REST API 协议通信。
IBM Security QRadar EDR REST API 协议是活动出站协议,用于提供有关正在主动通信或渗透信息的已确认恶意软件事件的警报。
- 登录到 IBM Security QRadar EDR 控制台。
- 在 管理 选项卡上,选择 API 应用程序,然后单击 创建应用程序。
- 在 应用程序名称 字段中,输入应用程序的唯一名称。 然后,单击 创建。
- 复制并保存 App ID 和 密钥 值。 您必须具有这些值才能为 IBM Security QRadar EDR添加日志源。
下表描述了 IBM Security QRadar EDR REST API 协议的特定于协议的参数:
| 参数 | 描述 |
|---|---|
| 协议配置 | IBM QRadar EDR 安全REST API |
| 日志源标识 | 输入日志源的唯一名称。 日志源标识 可以是任何有效值,并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 如果您有多个已配置的 IBM Security QRadar EDR 日志源,请确保为每个日志源提供唯一的名称。 |
| 服务器地址 | IBM Security QRadar EDR 服务器的 IP 地址或主机名。 |
| App ID | 从 IBM Security QRadar EDR 应用程序配置复制并保存的 App ID 值。 |
| 私钥 | 从 IBM Security QRadar EDR 应用程序配置复制并保存的 密钥 值。 |
| 使用代理 | 如果使用代理访问 API ,请选中此复选框。 配置 代理 IP 或主机名, 代理端口, 代理用户名和 代理密码 字段。 如果代理不需要认证,那么可以将 代理用户名 和 代理密码 字段留空。 |
| 重复 | 指定日志收集数据的频率。 该值可以是分钟 (M) ,小时 (H) 或天 (D)。 缺省值为 1 分钟。 |
| EPS 调速 | 每秒 QRadar 摄入的最大事件数。 如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。 缺省值 5000。 |
| 启用高级选项 | 选中此复选框以启用以下配置选项: 允许不可信, 覆盖工作流程, 工作流程和 工作流程参数。 仅当选中此复选框时,这些参数才可视。 |
| 允许不受信任 | 如果启用此参数,那么协议可以接受位于 /opt/qradar/conf/trusted_certificates/ 目录中的自签名证书和其他不可信证书。 如果禁用该参数,那么扫描程序仅信任由可信签署者签署的证书。 这些证书必须采用 PEM 或 RED 编码的二进制格式,并保存为 .crt 或 .cert 文件。 如果修改工作流程以包含 允许不可信证书 参数的硬编码值,那么工作流程将覆盖您在 UI 中的选择。 如果未在工作流程中包含此参数,那么将使用 UI 中的选择。 |
| 覆盖工作流程 | 启用此选项以定制工作流程。 启用此选项时,将显示 工作流程 和 工作流程参数 参数。 |
| 工作流程 | 用于定义协议实例如何从目标 API 收集事件的 XML 文档。 有关缺省工作流程的更多信息,请参阅 IBM Security QRadar EDR REST API 协议工作流程。 |
| 工作流程参数 | 包含工作流程直接使用的参数值的 XML 文档。 有关缺省工作流程参数的更多信息,请参阅 IBM Security QRadar EDR REST API 协议工作流程。 |