Cisco Cloud Web Security

Le DSM IBM QRadar pour Cisco Cloud Web Security (CWS) collecte des journaux d'utilisation Web à partir d'une mémoire Cisco Cloud Web Security (CWF) à l'aide d'une API compatible avec Amazon S3.

Le tableau suivant décrit les spécifications pour le DSM Cisco Cloud Web Security :

Tableau 1. Spécifications du DSM Cisco Cloud Web Security
Spécification	Valeur
Fabricant	Cisco
Nom du DSM	Cisco Cloud Web Security
Nom du fichier RPM	DSM-CiscoCloudWebSecurity-`QRadar_version-build_number`.noarch.rpm
Versions prises en charge	N/A
Protocole	API REST Amazon AWS S3
Format d'événement	W3C
Types d'événements enregistrés	Tous les journaux d'utilisation Web
Reconnu automatiquement ?	Non
Inclut l'identité ?	Non
Inclut les propriétés personnalisées ?	Non
Informations complémentaires	Informations produit Cisco SCF (https://www.cisco.com/go/cws)

Pour intégrer la Cisco Cloud Web Security à QRadar, procédez comme suit :

Si les mises à jour automatiques ne sont pas activées, téléchargez et installez la version la plus récente des RPM suivants à partir du IBM® Support Website, dans l'ordre où ils sont listés, sur votre QRadar Console :
- Protocol Common RPM
- RPM de protocole d'API REST Amazon AWS
- RPM DSMCommon
- RPM de Cisco Cloud Web Security DSM
Activez l'extraction de journal dans votre ScanCenter Cisco (portail d'administration).

Ajoutez une source de journal Cisco Cloud Web Security à QRadar Console. Le tableau suivant décrit les paramètres qui requièrent des valeurs spécifiques pour la collecte d'événements Cisco Cloud Web Security :

Tableau 2. Paramètres de source de journal Cisco Cloud Web Security
Paramètre	Valeur
Type de source de journal	Cisco Cloud Web Security
Configuration du protocole	API REST Amazon AWS S3
Identificateur de source de journal	L'identificateur de source de journal peut être n'importe quelle valeur valide et n'a pas besoin de faire référence à un serveur spécifique. L'identificateur de source de journal peut avoir la même valeur que le Nom de la source du journal. Si vous avez configuré plusieurs sources de journal Cisco CWS, vous pouvez identifier la première source de journal en tant que ciscocws1, la seconde source de journal en tant que ciscocws2, et la troisième en tant que ciscocws13.
Version de la signature	Sélectionnez Signature version 2. Si votre API Cisco CWS utilise Signature version 4, contactez votre administrateur système.
Nom de région (Signature V4 uniquement)	Région associée au compartiment Amazon S3.
Nom du service (Signature V4 uniquement)	Entrez `s3`. Nom du service Web Amazon.
Nom du compartiment	Nom du compartiment Cisco CWS où les fichiers journaux sont stockés.
URL du noeud final	`https://vault.scansafe.com/`
Clé publique	Clé d'accès permettant l'extraction de journaux à partir du compartiment Cisco CWS.
Clé d'accès	Clé secrète permettant d'activer l'extraction de journal à partir du compartiment Cisco CWS.
Préfixe de répertoire	Emplacement du répertoire racine sur le compartiment de stockage Cisco CWS à partir duquel les journaux Cisco CWS sont extraits. Par exemple, l'emplacement du répertoire racine peut être cws-logs/.
Modèle de fichier	.*?\.txt\.gz
Format d'événement	W3C. La source de journal extrait les événements au format texte W3C .
Utiliser le proxy	Lorsqu'un proxy est configuré, tout le trafic de la source de journal se déplace via le proxy de sorte que QRadar puisse accéder aux compartiments Amazon AWS S3. Configurez les zones Serveur proxy, Port du proxy, Nom d'utilisateur du proxyet Mot de passe proxy. Si le proxy ne requiert pas d'authentification, laissez les zones Nom d'utilisateur du proxy et Mot de passe proxy vides.
Acquérir automatiquement les certificats de serveur	Si vous sélectionnez Oui dans la liste, QRadar télécharge le certificat et commence à faire confiance au serveur cible.
Récurrence	Spécifie à quelle fréquence le protocole API REST Amazon AWS S3 se connecte à l'API Cisco CWS pour vérifier l'existence de nouveaux fichiers et les extrait le cas échéant. Le format est M/H/J (minutes/heures/jours). La valeur par défaut est 5 M. Chaque accès à un compartiment AWS S3 a un coût financier sur le compte qui le détient. Par conséquent, une valeur de récurrence plus petite augmente le coût.

Le tableau suivant présente un exemple de message d'événement de Cisco Cloud Web Security :

Nom de l'événement catégorie de niveau inférieur Exemple de message de journal

c:comp - block

Accès refusé

Tableau 3. Exemple de message Web Cisco Cloud Web Security
Nom de l'événement	catégorie de niveau inférieur	Exemple de message de journal
c:comp - block	Accès refusé	`2016-08-22 18:22:34 GMT <IP_address1> <IP_address1> GET http www.example.com 80 / Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 - 0 0 0 <IP_address2> c:comp Block all block category Computers and Internet <IP_address1> 0 Unknown`

2016-08-22 18:22:34 GMT    <IP_address1>        <IP_address1>    GET    http    www.example.com    80    /        Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0    -    0    0    0        <IP_address2>    c:comp    Block all    block    category    Computers and Internet    <IP_address1>        0    Unknown