Cisco NGIPS

Para integrar IBM® QRadar® Risk Manager con los dispositivos de red, asegúrese de revisar los requisitos del adaptador Cisco Next-Generation Intrusion Prevention System (NGIPS).

Las siguientes características están disponibles con el adaptador NGIPS de Cisco:
  • IPS
  • Protocolo de conexión SSH
Limitaciones:
  • QRadar Risk Managerno utiliza las políticas de intrusión conectadas a reglas de control de acceso individuales. Sólo se da soporte a la política de intrusión predeterminada.
  • NAT y VPN no están soportadas.

La tabla siguiente describe los requisitos de integración para el adaptador NGIPS de Cisco.

Tabla 1. Requisitos de integración para el adaptador Cisco NGIPS

Requisitos de integración

Descripción

Versiones

6.2.0

Descubrimiento de SNMP

Nee

Parámetros de credencial necesarios

Para añadir credenciales en QRadar, inicie sesión como administrador y utilice Supervisor de configuración en la pestaña Riesgos .

Nombre de usuario

Contraseña

Protocolos de conexión soportados

Para añadir protocolos en QRadar, inicie sesión como administrador y utilice Supervisor de configuración en la pestaña Riesgos .

SSH

Mandatos que el adaptador necesita para iniciar sesión y recopilar datos.

 show version

show memory

show network

show interfaces

expert

sudo

su

df

hostname

ip addr

route

cat

find

head

mysql
Mandatos que el adaptador utiliza para leer información de configuración:

Para obtener información de hardware. sudo su df
Para obtener el nombre de host del sistema. sudo su hostname
Para obtener información de direccionamiento. sudo su route -n
Utilice el mandato cat o head para leer archivos y obtener configuraciones. /etc/sf/ims.conf
Lea para obtener el directorio base para la instancia de SNORT , al que se hace referencia como $DE_DIR en los tres ejemplos siguientes: $SNORT_DIR/fwcfg/affinity.conf
Lea las reglas y objetos IPS. $DE_DIR/policyText_full.yaml
Lea la configuración de SNORT. $DE_DIR/snort.conf
Los archivos se leen dinámicamente cuando se hace referencia a ellos en el archivo policyText_full.yaml . $DE_DIR/*
El adaptador utiliza el mandato find para buscar archivos de reputación de IP en este directorio. $SNORT_DIR/iprep_download
Archivo que se lee para obtener las credenciales de conexión de base de datos. /etc/sf/ims-data.conf