IBM Security Randori REST API 协议配置选项
要从 IBM Security Randori® 接收事件,请配置日志源,以便与 IBM Security Randori REST API 协议通信。
IBM Security Randori REST API 协议是一个活动的出站协议,用于提供有关组织攻击面中的更改的警报。 例如,发现的新目标。
有关获取此值的更多信息,请参阅 如何添加 API 令牌 (https://www.ibm.com/docs/en/SSD5I5K/intapi_api_AddAPIToken.html)。
下表描述了 IBM Security Randori REST API 协议的特定于协议的参数:
| 参数 | 描述 |
|---|---|
| 协议配置 | IBM 安全乱取 REST API |
| 日志源标识 | 输入日志源的唯一名称。 日志源标识 可以是任何有效值,并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 如果您配置了多个 IBM Security Randori 日志源,请确保为每个日志源提供唯一的名称。 |
| 实例 | 实例值是您用于访问 RandoriURL ,例如app2.randori.io. Instance 值的结构为: app[#].randori.io 其中, [#] 是访问 Randori 实例时可能需要的数字。 |
| API 密钥 | 用于访问 IBM Security Randori REST API 的 API 密钥。 有关获取此值的更多信息,请参阅 如何添加 API 令牌 (https://www.ibm.com/docs/en/SSD5I5K/intapi_api_AddAPIToken.html)。 |
| 最低优先级分数 | 使用您选择的优先级分数来过滤新目标。
|
| 最小诱惑 | 过滤具有已修改的诱惑值的现有目标。 此过滤器基于您选择的诱惑值。
|
| 使用代理 | 如果使用代理访问 API ,请选中此复选框。 配置 代理 IP 或主机名, 代理端口, 代理用户名和 代理密码 字段。 如果代理不需要认证,那么可以将 代理用户名 和 代理密码 字段留空。 |
| 重复 | 指定日志收集数据的频率。 该值可以是分钟 (M) ,小时 (H) 或天 (D)。 缺省值为 1 分钟。 |
| EPS 调速 | 每秒 QRadar 摄入的最大事件数。 如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。 缺省值 5000。 |
| 启用高级选项 | 选中此复选框以启用以下配置选项: 允许不可信 和 覆盖工作流程。 仅当选中此复选框时,这些参数才可视。 |
| 历史数据的初始天数 | 输入当前日期之前收集历史数据的天数。 配置新的日志源时, IBM QRadar 会生成New Target在您输入的天数内具有首次查看日期的现有目标的事件。 仅在首次运行日志源之前使用此值。 |
| 允许不受信任 | 如果启用此参数,那么协议可以接受位于 /opt/qradar/conf/trusted_certificates/ 目录中的自签名证书和其他不可信证书。 如果禁用该参数,那么扫描程序仅信任由可信签署者签署的证书。 这些证书必须采用 PEM 或 RED 编码的二进制格式,并保存为 .crt 或 .cert 文件。 如果修改工作流程以包含 允许不可信证书 参数的硬编码值,那么工作流程将覆盖您在 UI 中的选择。 如果未在工作流程中包含此参数,那么将使用 UI 中的选择。 |
| 覆盖工作流程 | 启用此选项以定制工作流程。 启用此选项时,将显示 工作流程 和 工作流程参数 参数。 |
| 工作流程 | 定义协议实例如何从目标 API 收集事件的 XML 文档。 有关缺省工作流程的更多信息,请参阅 IBM Security Randori REST API 协议工作流程。 |
| 工作流程参数 | 包含工作流程直接使用的参数值的 XML 文档。 有关缺省工作流程参数的更多信息,请参阅 IBM Security Randori REST API 协议工作流程。 |