框
IBM QRadar DSM for Box 从 Box 企业帐户收集企业事件。
下表描述了 Box DSM 的规范:
| 规范 | 值 |
|---|---|
| 制造商 | 框 |
| DSM 名称 | 框 |
| RPM 文件名 | DSM-BoxBox-QRadar_version-build_number.noarch.rpm |
| 受支持的版本 | 不适用 |
| 协议 | Box REST API |
| 事件格式 | JSON |
| 记录的事件类型 | 管理员和企业事件 Box 保护盾警报 |
| 自动发现? | 否 |
| 包含身份? | 是 |
| 是否包含定制属性? | 否 |
| 更多信息 | 有关更多信息,请参阅指向公共站点 Web 站点 (https://www.box.com/home) 的 Box 链接。 |
要将 Box 与 QRadar集成,请完成以下步骤:
- 如果未启用自动更新,请从 IBM®支持网站 (https://www.ibm.com/support/fixcentral)下载下列 RPM 的最新版本并安装到 QRadar
Console 上:
- Protocol Common RPM
- Box REST API 协议 RPM
- Box DSM RPM
- 配置 Box Enterprise 帐户以进行 API 访问。 有关更多信息,请参阅 Box 文档 ( https://docs.box.com/docs/configuring-box-platform)。
- 下表描述了需要 Box 事件集合的特定值的参数:
表 2. Box 日志源参数 参数 值 日志源类型 框 协议配置 Box REST API 客户机标识 在 Box 管理员配置的 OAuth2 参数 窗格中生成。 客户机私钥 在 Box 管理员配置的 OAuth2 参数 窗格中生成。 密钥标识 提交公用密钥后在 " 公用密钥管理 " 窗格中生成。 企业标识 用于访问令牌请求。 专用密钥文件名 QRadar中 /opt/qradar/conf/trusted_certificates/box/ 目录中的专用密钥文件名。 使用代理 如果 QRadar 使用代理访问 Box API ,请选中 使用代理 复选框。 如果代理需要认证,请配置 代理服务器, 代理端口, 代理用户名和 代理密码 字段。
如果代理不需要认证,请配置 代理服务器 和 代理端口 字段。
EPS 调速 每秒 QRadar 摄入的最大事件数。
如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。
缺省值 5000。
重复 针对新事件的 Box API 的日志源查询之间的时间间隔。 时间间隔可以是小时 (H) ,分钟 (M) 或天 (D)。 缺省值为 10 分钟。