Gerenciando serviços autorizados - IBM Security QRadar SIEM Guia de Administração do Versão Gua

Você pode configurar serviços autorizados na guia Admin para pré-autenticar um serviço de suporte ao cliente para seu QRadar de implementação.

Autenticando um serviço de suporte ao cliente permite que o serviço se a sua interface com o usuário QRadar e ou fechar ou atualizar as notas para uma ofensa utilizando um serviço da Web. Você pode incluir ou revogar um serviço autorizado a qualquer momento.

O Gerenciar Serviços Autorizados janela fornece as seguintes informações: Tabela 31. Parâmetros para serviços autorizados

Parâmetro Descrição

Nome do Serviço O nome do serviço autorizado.

Autorizado Por O nome do usuário ou administrador que autorizou o além do serviço.

Autenticação do Token de O token que está associada a este serviço autorizado.

Função de usuário O user que está associada a este serviço autorizado.

Criado A data em que este serviço autorizado foi criado.

Expira em A data e hora em que o serviço autorizado expirar. Por padrão, o serviço autorizado é válido por 30 dias.

Visualizando Serviços Autorizados

A janela Serviços Autorizados exibe uma lista de serviços autorizados, a partir da qual é possível copiar o token para o serviço.

Procedimento

1. Clique na guia Admin.

2. No menu de navegação, clique em Configuração do sistema. 3. Clique em Serviços Autorizados.

4. Na janela Gerenciar Serviços Autorizados, selecione o serviço autorizado apropriado.

O token é exibido no campo Token Selecionado na barra superior. É possível copiar o token para o software do fornecedor para autenticar com o QRadar.

Adicionando um serviço autorizado

Use a janela adicionando um serviço aoutorizado, adicione um novo serviço autorizado.

Procedimento

1. Clique na guia Admin.

2. No menu de navegação, clique em Configuração do sistema. 3. Clique em Serviços Autorizados.

4. Clique em Incluir Serviço Autorizado.

5. No campo Nome do Serviço , digite um nome para este serviço autorizado. O nome pode ter até 255 caracteres de comprimento.

6. Na lista Função do Usuário, selecione a função do usuário que você deseja designar a esse serviço autorizado. As funções de usuário que são designadas a

um serviço autorizado para determinar as funções que este serviço pode acessar na interface com o usuário QRadar.

7. Na lista Data de Expiração, digite ou selecione uma data que você deseja que esse serviço para expirar. Se uma data de expiração não é necessária, selecione

Sem Expiração

8. Clique em Criar Serviço.

A mensagem de confirmação contém um campo de token que você deve copiar para seu fornecedor de software para autenticar com QRadar SIEM.

Revogando Serviços Autorizados

Utilize a janela Incluir Serviço Autorizado para revogar um serviço autorizado.

Procedimento

1. Clique na guia Admin.

2. No menu de navegação, clique em Configuração do sistema. 3. Clique em Serviços Autorizados.

4. Na janela Gerenciar Serviços Autorizados, selecione o serviço que você deseja revogar.

5. Clique em Revogar Autorização.

Suporte ao cliente de serviços autenticados

Após configurar um serviço autorizado, você deve configurar seu serviço de suporte ao cliente para acessar QRadar informações de ofensa.

Por exemplo, é possível configurar QRadar para enviar um trap SNMP que incluem as ofensas de informação de ID.

Seu serviço usa um token autorizado para autenticar QRadar pela passagem de informação atravéz de uma sequência de conmsulta HTTP. Quando autenticada, o serviço interpreta o token de autorização como o nome de ususário durante a sessão.

Seu soporte ao cliente deve usar uma sequencia de consulta para atualizar notas, ideferir ou fechar uma ofensa.

Descartar uma ofensa

O suporte ao cliente de serviço deve utilizar uma cadeia de consulta para fechar uma ofensa.

Para fechar uma ofensa, serviço de suporte ao cliente deve utilizar a cadeia de consultas a seguir :

https://<IP address >/console/do/sem/properties?appName=Sem& dispatch=updateProperties&ID=<Offense ID>&nextPageId= OffenseList &nextForward=offensesearch&attribute=dismiss&daoName =ofensa&Saída=1 &authenticationToken=<Token>

Tabela 32. Parâmetros de sequência de consultas para o serviço de suporte ao cliente

Parâmetro Descrição

Tabela 32. Parâmetros de sequência de consultas para o serviço de suporte ao cliente (continuação)

Parâmetro Descrição

<ID da Ofensa> O identificador que é designado para a ofensa QRadar. Para obter o ID da ofensa, consulte a guia Ofensas. Para obter informações adicionais, consulte Guia dos Usuários do IBM Security QRadar SIEM. <Token> O identificador de token que é fornecido para o serviço autorizado

na interface com o usuário do QRadar.

Fechando uma ofensa

O suporte ao cliente de serviço deve utilizar uma cadeia de consulta para fechar uma ofensa.

Para fechar uma ofensa, serviço de suporte ao cliente deve utilizar a cadeia de consultas a seguir :

https://<IP Address>/console/do/sem/properties?appName=Sem& dispatch=updateProperties&ID=<Offense ID>&nextPageId= OffenseList &nextForward=offensesearch&attribute=dismiss&daoName =ofensa&value=2 &authenticationToken=<Token>

Tabela 33. Parâmetros de sequência de consultas para o serviço de suporte ao cliente

Parâmetro Descrição

<Endereço IP> O endereço IP de seu sistema QRadar.

na interface com o usuário do QRadar.

Incluir notas a uma ofensa

Deve-se usar uma sequência de consulta para incluir notas a uma ofensa.

Para incluir notas a uma ofensa, seu serviço de suporte ao cliente deve usar as seguintes sequências de consulta:

https://<Endereço IP>/console/do/sem/properties?appName=Sem&

dispatch=updateProperties&ID=<ID da Ofensa>& OffenseList nextPageId= amp; & nextForward=offensesearch amp; & attribute=notes amp; & valor= amp;daoName =ofensa&<NOTES>& authenticationToken= amp;<Token>

Tabela 34. Parâmetros de sequência de consultas para o serviço de suporte ao cliente

Parâmetro Descrição

<Endereço IP> O endereço IP de seu sistema QRadar.

No documento IBM Security QRadar SIEM Guia de Administração do Versão Gua de administração S (páginas 107-111)