Symantec Data Loss Prevention (DLP)

IBM® QRadar® 用の Symantec Data Loss Protection (DLP) DSM は syslog を使用して Symantec DLP アプライアンスからのイベントを受け取ります。

QRadar を構成する前に、Symantec DLP で応答ルールを構成する必要があります。応答ルールにより、データ損失ポリシー違反が発生したときに Symantec DLP アプライアンスが syslog イベントを QRadar に転送することができます。Symantec DLP を統合するには、QRadar 用の 2 つのプロトコル応答ルール (SMTP および None of SMTP) を作成する必要があります。これらのプロトコル応答ルールは、インシデントがトリガーされたときに syslog を使用してイベント情報を転送するためのアクションを作成します。

QRadar で Symantec DLP を構成するには、以下の手順を実行します。

SMTP 応答ルールを作成します。
None of SMTP 応答ルールを作成します。
QRadar でログ・ソースを構成します。
QRadar で Symantec DLP イベントをマップします。