Cisco AMP

IBM QRadar DSM for Cisco Advanced Malware Protection (Cisco AMP) recopila registros de sucesos de la plataforma Cisco AMP for Endpoints. El DSM para Cisco AMP utiliza el protocolo RabbitMQ .

Importante: La integración de Cisco AMP no da soporte a la nube privada si se necesita la indicación de nombre de servidor (SNI). Póngase en contacto con Cisco para obtener más detalles.
Para integrar Cisco AMP con QRadar, realice los pasos siguientes:
  1. Si las actualizaciones automáticas no están activadas, los RPM están disponibles para su descarga desde el IBM® (http://www.ibm.com/support). Descargue e instale los siguientes RPM en QRadar Console.
    Importante: Necesita QRadar V7.2.8 Patch 9 (V7.2.8.20170726184122) o posterior para instalar el RPM de protocolo RabbitMQ .
    • Protocol Common RPM
    • RPM DSMCommon
    • RPM de protocolo de RabbitMQ
    • RPM DE DSM DE AMP DE Cisco
  2. Cree un ID de cliente y una clave de API de Cisco AMP. De forma alternativa, puede solicitar acceso a una secuencia de sucesos ya creada al administrador. Para obtener más información sobre la creación de estos valores, vaya al procedimiento Creación de un ID de cliente y una clave de API de Cisco AMP .
  3. Cree una secuencia de sucesos AMP de Cisco. Para obtener más información sobre la creación de la secuencia de sucesos, vaya al procedimiento Creación de una secuencia de sucesos AMP de Cisco .
  4. Añada un origen de registro AMP de Cisco en QRadar Console para que un usuario gestione la secuencia de sucesos AMP de Cisco.