Configuration de Trend Micro Deep Security pour communiquer avec QRadar

Pour collecter tous les événements de Trend Micro Deep Security, vous devez spécifier IBM QRadar comme serveur Syslog et configurer le format Syslog sur votre unité Trend Micro Deep Security.

Avant de commencer

Vérifiez que Deep Security Manager est installé et configuré sur votre unité Trend Micro Deep Security.

Procédure

  1. Cliquez sur Administration > Paramètres système > SIEM.
  2. Dans le panneau Notification d'événement système de la section Gestionnaire, activez l'option Réacheminer les événements système vers l'ordinateur distant (via Syslog) .
  3. Entrez le nom d'hôte ou l'adresse IP du système QRadar .
  4. Entrez 514 pour le port UDP.
  5. Sélectionnez la fonction Syslog que vous souhaitez utiliser.
  6. Sélectionnez LEEF pour le format Syslog.
    Remarque: Trend Micro Deep Security envoie des événements uniquement au format LEEF à partir de Deep Security Manager. Si vous sélectionnez l'option Direct forward dans l'onglet SIEM, vous ne pouvez pas sélectionner Log Event Extended Format 2.0 pour Syslog Format.