QRadar -Datenquelle in Grafana konfigurieren

Konfigurieren Sie eine externe Datenquelle für IBM® Security QRadar® in Ihrer Grafana -Instanz für die Kommunikation mit QRadar.

Vorbereitende Schritte

Überprüfen Sie, ob IBM Security QRadar AQL Plugin installiert ist.
  1. Klicken Sie in Ihrer Grafana-Instanz im Navigationsmenü auf Verbindungen > Datenquellen.
  2. Geben Sie im Feld Suche den Wert IBM Security QRadarein. Der Status Ihrer IBM Security QRadar AQL Plugin wird angezeigt.
  3. Weitere Informationen zur IBM Security QRadar AQL Pluginerhalten Sie, wenn Sie auf die Kachel IBM Security QRadar klicken.

Zum Konfigurieren einer QRadar -Datenquelle in Grafanamüssen Sie die folgenden Tasks ausführen:

  • Erhalten Sie Ihre QRadar URL von Ihrer QRadar -Instanz.
  • Arbeiten Sie mit einem QRadar Administrator zusammen, um ein QRadar -SSL-Zertifikat und ein autorisiertes Service-Token zu erhalten.
    Wichtig: Der QRadar IBM Security QRadar AQL Plugin -Zugriff auf QRadar Ariel-Datenbanken basiert auf der Rolle und dem Sicherheitsprofil, die dem autorisierten Service-Token zugeordnet sind. Für dieses Token sind mindestens die Berechtigungen 'Protokollaktivität' und 'Netzaktivität ' erforderlich.

Vorgehensweise

  1. Klicken Sie in Ihrer Grafana-Instanz im Navigationsmenü auf Verbindungen > Datenquellen.
  2. Klicken Sie auf der Seite Datenquellen auf Neue Datenquelle hinzufügen.
  3. Geben Sie im Feld Nach Name oder Typ filtern IBM Security QRadarein und wählen Sie dann IBM Security QRadaraus.
  4. Geben Sie im Feld "Host" von QRadar Ihre QRadar URL ein.
  5. Geben Sie im Feld QRadar Port Ihren QRadar -Port ein (der Standardwert ist 443).
  6. Geben Sie im Feld Ergebnisbereich den globalen Ergebnisbereich für alle Abfragen ein (der Standardwert ist 0 bis 49).
  7. Geben Sie im Feld Plug-in-Zeitlimit ein Antwortzeitlimit für alle Abfragen ein, die von dieser Datenquelle gesendet werden. Das Format für den Zeitlimitwert ist xxhxxmxxs (Standardwert ist 5 m).
  8. Wählen Sie im Feld Plugin TimeZone eine Zeitzone für alle Abfragen aus dem Zeitzonen-Dropdown aus (Standard ist UTC).
  9. Geben Sie im Feld SSL-Zertifikat Ihr QRadar -SSL-Zertifikat ein.
  10. Geben Sie im Feld Token für autorisierten Service Ihr Token für den autorisierten QRadar -Service ein.
  11. Klicken Sie auf Speichern und testen.
    Wenn Ihre Konfiguration erfolgreich ist,Data source is workingwird angezeigt.