Universal Cloud REST API プロトコル
Universal Cloud REST API プロトコルは、 IBM® QRadar®のアウトバウンドのアクティブ・プロトコルです。 Universal Cloud REST API プロトコルをカスタマイズして、特定の DSM またはプロトコルを持たないデータ・ソースなど、さまざまな REST API からイベントを収集できます。
Universal Cloud REST API プロトコルの動作は、ワークフロー XML 文書によって定義されます。 独自の XML 文書を作成することも、IBMFix Central から取得することも、GitHub のサード・パーティーから取得することもできます。
Universal Cloud REST API プロトコルの例については、 GitHub サンプル (https://github.com/ibm-security-intelligence/IBM-QRadar-Universal-Cloud-REST-API) を参照してください。
Universal Cloud REST API プロトコルのプロトコル固有のパラメーターについて、以下の表で説明します。
| パラメーター | 説明 |
|---|---|
| ログ・ソース ID | ログ・ソースの固有名を入力します。 「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 「ログ・ソース名」と同じ値にすることもできます。 複数の Universal Cloud REST API ログ・ソースが構成されている場合は、それぞれに固有の名前を付けてください。 |
| ワークフロー | プロトコル・インスタンスがターゲット API からイベントを収集する方法を定義する XML 文書。 詳しくは、 ワークフローを参照してください。 |
| ワークフロー・パラメーター値 | ワークフローによって直接使用されるパラメーター値が含まれている XML 文書。 詳しくは、 ワークフロー・パラメーター値を参照してください。 |
| 信頼されていない証明書の許可 (Allow Untrusted Certificates) | このパラメーターを有効にすると、プロトコルは、/opt/qradar/conf/trusted_certificates/ディレクトリー内にある自己署名証明書および信頼できない証明書を受け入れることができます。 このパラメーターを無効にすると、スキャナーは、信頼できる署名者によって署名された証明書のみを信頼します。 証明書は、PEM または RED でエンコードされたバイナリー形式で、.crtファイルまたは.certファイルとして保存する必要があります。 「信頼できない証明書を許可」 パラメーターにハードコーディングされた値を含めるようにワークフローを変更すると、UI での選択内容がワークフローによってオーバーライドされます。 このパラメーターをワークフローに含めない場合は、UI での選択が使用されます。 |
| プロキシーの使用 (Use Proxy) | プロキシーを使用して API にアクセスする場合は、このチェック・ボックスを選択します。 「プロキシー IP またはホスト名 (Proxy IP or Hostname)」、「プロキシー・ポート」、「プロキシー・ユーザー名」、および「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままでかまいません。 |
| 繰り返し (Recurrence) | ログがデータを収集する頻度を指定します。 値は、分 (M)、時間 (H)、または日 (D) で指定できます。 デフォルトは 10 分です。 |
| EPS スロットル | QRadar が取り込む 1 秒当たりのイベントの最大数。 データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。 デフォルトは 5000 です。 |