Cisco Identity Services Engine
Le DSMIBM QRadar de Cisco Identity Services Engine (ISE) collecte les événements d'unité à partir des appliances Cisco ISE à l'aide du protocole UDP multiligne syslog.
Le tableau suivant décrit les spécifications du DSM de Cisco Identity Services Engine DSM :
| Spécification | Valeur |
|---|---|
| Fabricant | Cisco |
| Nom du DSM | Cisco Identity Services Engine |
| Nom du fichier RPM | DSM-CiscoISE-QRadar_version-build_number.noarch.rpm |
| Versions prises en charge | 1.1 à 2.2 |
| Protocole | UDP Multiline Syslog |
| Format d'événement | Syslog |
| Types d'événements enregistrés | Evénements d'unité |
| Reconnu automatiquement ? | Non |
| Inclut l'identité ? | Oui |
| Inclut les propriétés personnalisées ? | Non |
| Informations complémentaires | Site Web de Cisco (https://www.cisco.com/c/en/us/products/security/identity-services-engine/index.html) |
Pour intégrer Cisco ISE à QRadar, procédez comme suit :
- Si les mises à jour automatiques ne sont pas activées, téléchargez et installez la version la plus récente des RPM suivants sur votre QRadar
Console. Les RPM peuvent être téléchargés à partir du site Web d'assistance IBM® (http://www.ibm.com/support) :
- RPM DSMCommon
- RPM Cisco Identity Services Engine DSM
- Configurez votre dispositif Cisco ISE pour envoyer des événements syslog multiligne UDP à QRadar.
- Ajoutez une source de journal Cisco Identity Services Engine sur la console QRadar. Le tableau suivant décrit les paramètres qui requièrent des valeurs spécifiques pour collecter des événements depuis Cisco ISE :
Tableau 2. Paramètres de la source de journal de Cisco Identity Services Engine Paramètre Valeur Type de source de journal Moteur de service d'identité Cisco Configuration du protocole UDP Multiline Syslog Identificateur de source de journal Adresse IP ou nom d'hôte de l'unité Cisco Identity Service Engine qui envoie des événements UDP Multiline Syslog à QRadar. Port d'écoute Entrez 517 comme numéro de port utilisé par QRadar pour accepter les événements UDP Multiline Syslog entrants. La plage valide est comprise entre 1 et 65535.Remarque: Les événements UDP Multiline Syslog peuvent être affectés à tout port qui n'est pas utilisé, à l'exception du port 514. Le port par défaut affecté au protocole UDP multiligne est le port UDP 517. Pour obtenir une liste des ports utilisés par QRadar, voir Ports et serveurs communs utilisés par QRadar® dans le IBM QRadar Administration Guide ou dans le IBM Knowledge Center (https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.0/com.ibm.qradar.doc/c_qradar_adm_ports_and_servers.html).Pour modifier une configuration enregistrée afin d'utiliser un nouveau numéro de port, procédez comme suit :
- Dans la zone Port d'écoute, entrez le nouveau numéro de port pour la réception des événements UDP multiligne syslog.
- Cliquez sur Sauvegarder.
La mise à jour du port est terminée et la collecte d'événements démarre sur le nouveau numéro de port.
Modèle d'ID message Entrez l'expression régulière suivante (regex) pour filtrer les messages de charge d'événement :
CISE_\S+ (\d{10})
Pour obtenir la liste complète des paramètres du protocole UDP multiligne syslog et leurs valeurs, voir Options de configuration du protocole UDP multiligne syslog.
- Configurez une cible de journalisation distante sur votre appareil Cisco ISE.
- Configurez les catégories de consignation des événements sur votre appliance Cisco ISE.