连接到 BigFix 数据源

在线编辑

BigFix 数据源连接到平台,以使应用程序和仪表板能够收集和分析 HCL BigFix 安全数据。 Universal Data Insights 连接器支持跨安全产品进行联合搜索。

在开始之前

BigFix 管理员协作; 可以安装 BigFix Platform 和一个或多个 BigFix 应用程序的人员。

您必须获取有权向 BigFix Platform 发送查询的用户的用户名和密码。

您必须获取认证中心 (CA) 签署的自签名证书或证书以用于 Web 报告之间或 REST API 服务器与授权用户之间的通信。

如果集群与数据源目标之间存在防火墙,请使用 IBM® Security Edge Gateway 来托管容器。 Edge Gateway 必须是 V1.6 或更高版本。 有关更多信息,请参阅 设置边缘网关

关于此任务

BigFix 旨在使用 BigFix Query clientquery API 端点来使用 BigFix 9.5 。 有关 BigFix Query clientquery API 端点的更多信息,请参阅 BigFix 查询 (https://developer.bigfix.com/rest-api/api/bigfix_query.html)。

结构化威胁信息 eXpression (STIX) 是组织用于交换网络威胁情报的语言和序列化格式。 BigFix 连接器使用 STIX 图案化来查询 BigFix 数据,并将结果作为 STIX 对象返回。 有关 BigFix 数据模式如何映射到 STIX的更多信息,请参阅 BigFix STIX 映射 (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/bigfix_supported_stix.md)。

程序

  1. 转至 菜单 > 连接 > 数据源
  2. 数据源 选项卡上,单击 连接数据源
  3. 单击 BigFix,然后单击 下一步
  4. 配置与数据源的连接。
    1. 数据源名称 字段中,分配用于唯一标识数据源连接的名称。
      可以为某个数据源创建多个连接实例,因此最好能按名称将这些实例清晰地区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    2. 数据源描述 字段中,编写描述以指示数据源连接的用途。
      您可以为某个数据源创建多个连接实例,因此按描述清晰地指示每个连接的目的非常有用。 仅允许使用字母数字字符和以下特殊字符: - . _
    3. 如果集群与数据源目标之间存在防火墙,请使用 Edge Gateway 来托管容器。 在 边缘网关 (可选) 字段中,指定要使用的 Edge Gateway
      选择 Edge Gateway 以托管连接器。 Edge Gateway 上新部署的数据源连接的状态最多可能需要 5 分钟才能显示为已连接。
    4. 管理 IP 地址或主机名 字段中,设置数据源的主机名或 IP 地址,以便平台可以与其进行通信。
    5. 主机端口 字段中,设置与数据源主机关联的端口号。
  5. 设置查询参数以控制针对数据源的搜索查询的行为。
    1. 并发搜索限制 字段中,设置可以与数据源建立的并发连接数。 连接数量缺省限制为 4。 此值不能小于 1 并且不能大于 100。
    2. 查询搜索超时限制 字段中,设置在数据源上运行查询的时间限制 (以分钟为单位)。 缺省时间限制为 30。 该值设置为零时,表示没有超时。 此值不能小于 1 并且不能大于 120。
    3. 结果大小限制 字段中,设置搜索查询返回的最大条目数或对象数。 缺省结果大小限制为 10,000。 该值不得小于 1 且不得大于 500,000。
    4. 查询时间范围 字段中,设置搜索的时间范围 (以分钟为单位) ,表示为最后的 X 分钟。 缺省值为 5 分钟。 该值不得小于 1,并且不得大于 10,000。
    重要信息: 如果增加并发搜索限制和结果大小限制,那么可以将更多的数据发送到数据源,这将增加对数据源的压力。 增大查询时间范围还会增加数据量。
  6. 可选: 如果 BigFix 配置了自签名安全套接字层 (SSL) 证书,请添加连接证书。
    缺省情况下, BigFix 配置有自签名安全套接字层 (SSL) 证书,用于在 Web 报告或 REST API 服务器与授权用户之间进行安全通信。
    1. 如果您无法使用自签名证书,那么必须针对 CA 签名的证书生成专用密钥和证书签名请求 (CSR)。
      有关创建 CA 证书和安全通信配置的逐步过程,请参阅 配置与 CA 证书的安全通信 (https://help.hcltechsw.com/bigfix/9.5/platform/Platform/Config/SSL_config_main_steps.html)。
    2. 如果 BigFix 具有安全通信所需的单独主机名,请提供服务器名称指示 (SNI)。
    3. 复制证书详细信息并将其粘贴到提供的空间中,然后单击 完成
  7. 可选: 如果需要定制 STIX 属性映射,请单击 定制属性映射 并编辑 JSON blob 以将新属性或现有属性映射到其关联的目标数据源字段。
  8. 配置身份和访问权。
    1. 单击 添加配置
    2. 配置名称 字段中,输入唯一名称以描述访问配置,并将其与您可能设置的此数据源连接的其他访问配置区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    3. 配置描述 字段中,输入唯一描述以描述访问配置,并将其与您可能设置的此数据源连接的其他访问配置区分开。 仅允许使用字母数字字符和以下特殊字符: - . _
    4. 单击 编辑访问权 ,然后选择哪些用户可以连接到数据源和访问权类型。
    5. 输入具有对搜索 API 的访问权的用户名和密码。
    6. 单击 添加
    7. 要保存配置并建立连接,请单击 完成
    您可以在“数据源设置”页面的“连接”下看到已添加的数据源连接配置。 卡片上的消息指示与数据源的连接。
    添加数据源时,可能需要几分钟时间才能将数据源显示为已连接。
    提示: 连接数据源后,检索数据可能需要最多 30 秒。 在返回完整数据集之前,数据源可能会显示为不可用。 返回数据后,数据源将显示为正在连接,并且将发生轮询机制以验证连接状态。 连接状态在每次轮询后 60 秒内有效。

    可以为此数据源添加具有不同用户和不同访问许可权的其他连接配置。

  9. 要编辑配置,请完成以下步骤:
    1. 数据源 选项卡上,选择要编辑的数据源连接。
    2. 在 " 配置 " 部分中,单击 编辑配置 ("编辑配置" 图标)。
    3. 编辑身份和访问权参数,然后单击 保存

后续步骤

通过使用 IBM Security Data Explorer 运行查询来测试连接。 要使用 Data Explorer,您必须具有已连接的数据源,以便应用程序可以在一组统一的数据源中运行查询和检索结果。 搜索结果根据配置的数据源中包含的数据的不同而不同。 有关如何在 Data Explorer中构建查询的更多信息,请参阅 构建查询