通用云 REST API 协议
Universal Cloud REST API 协议是 IBM QRadar的出站活动协议。 您可以定制通用云 REST API 协议以从各种 REST API (包括没有特定 DSM 或协议的数据源) 收集事件。
通用云 REST API 协议行为由工作流程 XML 文档定义。 您可以创建自己的 XML 文档,也可以从 IBM Fix Central或 GitHub上的第三方获取该文档。
要点: 通用云 REST API 协议在 QRadar 7.3.2 或更高版本上受支持,并且必须安装 QRadar Log Source
Management 应用程序。 有关如何安装应用程序的详细信息,请参阅 安装 QRadar® 日志源管理应用程序。
有关通用云 REST API 协议示例,请参阅 GitHub 示例 (https://github.com/ibm-security-intelligence/IBM®-QRadar-Universal-Cloud-REST-API) 。
提示: IBM 仅支持在 DSM Configuration Guide中直接引用的工作流程。 GitHub 上的工作流程可用作教育资源,但不受 IBM支持。
下表描述通用云 REST API 协议的特定于协议的参数。
| 参数 | 描述 |
|---|---|
| 日志源标识 | 输入日志源的唯一名称。 日志源标识 可以是任何有效值,并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 如果您有多个已配置的 Universal Cloud REST API 日志源,请确保为每个配置的通用云 REST API 日志源提供唯一的名称。
注意: 如果源属性存在于日志源标识符中, 则日志源标识符值必须与源属性值匹配<PostEvents>标签。 如果值不匹配,事件可能无法映射到正确的日志源。
|
| 工作流程 | 用于定义协议实例如何从目标 API 收集事件的 XML 文档。 更多信息,请参阅工作流程。 |
| 工作流程参数值 | 包含工作流程直接使用的参数值的 XML 文档。 更多信息,请参阅工作流参数值。 |
| 允许不可信证书 | 如果启用此参数,那么协议可以接受位于 /opt/qradar/conf/trusted_certificates/ 目录中的自签名证书和其他不可信证书。 如果禁用该参数,那么扫描程序仅信任由可信签署者签署的证书。 这些证书必须采用 PEM 或 RED 编码的二进制格式,并保存为 .crt 或 .cert 文件。 如果修改工作流程以包含 允许不可信证书 参数的硬编码值,那么工作流程将覆盖您在 UI 中的选择。 如果未在工作流程中包含此参数,那么将使用 UI 中的选择。 |
| 使用代理 | 如果使用代理访问 API ,请选中此复选框。 配置 代理 IP 或主机名, 代理端口, 代理用户名和 代理密码 字段。 如果代理不需要认证,那么可以将 代理用户名 和 代理密码 字段留空。 |
| 重复 | 指定日志收集数据的频率。 该值可以是分钟 (M) ,小时 (H) 或天 (D)。 缺省值为 10 分钟。 |
| EPS 调速 | 每秒 QRadar 摄入的最大事件数。 如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。 缺省值 5000。 |