FireEye
El IBM QRadar DSM para FireEye acepta sucesos de syslog en formato LEEF (Log Event Extended Format) y CEF (Common Event Format).
Este DSM se aplica a los dispositivos FireEye CMS, MPS, EX, AX, NX, FX y HX. QRadar registra todas las alertas de notificación relevantes que envían los dispositivos FireEye .
La tabla siguiente identifica las especificaciones para el DSM FireEye .
| Especificación | Valor |
|---|---|
| Fabricante | FireEye |
| Nombre de DSM | FireEye MPS |
| Versiones soportadas | CMS, MPS, EX, AX, NX, FX y HX |
| Nombre de archivo RPM | DS M-FireEyeMPS-QRadar_versión-Número de compilación. noarch.rpm |
| Protocolo | Syslog y TLS Syslog |
| Formato de suceso | Formato de suceso común (CEF). CEF:0 está soportado. |
| Tipos de sucesos registrados de QRadar | Todos los sucesos relevantes |
| ¿Descubierto automáticamente? | Sí |
| ¿Incluye identidad? | Nee |
| Más información | Sitio web deFireEye (www.fireeye.com) |
Para integrar FireEye con QRadar, utilice los procedimientos siguientes:
- Si las actualizaciones automáticas no están activadas, descargue e instale DSM Common y FireEye MPS RPM desde el IBM® en su QRadar Consola.
- Descargue e instale el último RPM del protocolo Syslog de TLS en QRadar.
- Para cada instancia de FireEye en el despliegue, configure el sistema FireEye para reenviar sucesos a QRadar.
- Para cada instancia de FireEye, cree una FireEye fuente de registro en la QRadar Consola. En las tablas siguientes se explica cómo configurar un origen de registro en Syslog y TLS Syslog para FireEye.
Tabla 2. Configuración de los protocolos de origen de registro de Syslog para FireEye Parámetro Descripción Tipo de origen de registro FireEye Configuración de protocolo Syslog Identificador de origen de registro Escriba la dirección IP o el nombre de host del origen de registro como identificador de los sucesos del dispositivo. Consulte Adición de un origen de registro para ver parámetros más comunes que se producen en Syslog y Opciones de configuración del protocolo TLS Syslog para obtener más parámetros específicos del protocolo TLS Syslog y sus configuraciones.Tabla 3. Configuración de los protocolos de origen de registro Syslog TLS para FireEye Parámetro Descripción Tipo de origen de registro FireEye Configuración de protocolo TLS Syslog Identificador de origen de registro Escriba la dirección IP o el nombre de host del origen de registro como identificador de los sucesos del dispositivo. Puerto de escucha TLS El puerto de escucha predeterminado de TLS es 6514. Modo de autenticación Modalidad utilizada para autenticar la conexión TLS. Si selecciona la opción TLS y Autenticación de cliente, debe configurar los parámetros de certificado. Tipo de certificado Tipo de certificado que se debe utilizar para la autenticación. Si selecciona la opción Proporcionar certificado, debe definir las vías de acceso del certificado de servidor y la clave privada. Vía de acceso de certificado de servidor proporcionada Vía de acceso absoluta del certificado de servidor. Vía de acceso de clave privada proporcionada Vía de acceso absoluta de la clave privada. Nota: La clave privada correspondiente debe ser una clave PKCS8 codificada con DER. La configuración falla si se utiliza cualquier otro formato de clave.Conexiones máximas El parámetro Número máximo de conexiones controla cuántas conexiones simultáneas puede aceptar el protocolo TLS Syslog para cada recopilador de sucesos.
El límite de conexiones entre todas las configuraciones de origen de registro de syslog TLS es de 1000 conexiones para cada recopilador de sucesos. El valor predeterminado para cada conexión de dispositivo es de 50.
Nota: Los orígenes de registro descubiertos automáticamente que comparten un escucha con otro origen de registro, como por ejemplo si utiliza el mismo puerto en el mismo recopilador de sucesos, cuentan sólo una vez para el límite.