シスコSSE

IBM QRadar DSM for Cisco SSEは、 Amazon S3 互換APIを使用して、Cisco SSEストレージからDNSログを収集します。

重要: Cisco Umbrella DSMはCisco SSE DSMに名称変更されました。 DSM RPM の名前は、 QRadar の Cisco Umbrella のままです。
Cisco SSE を QRadar と統合するには、以下の手順を実行します:
  1. 自動アップデートが有効になっていない場合、RPMは IBM® サポートウェブサイト ( http://www.ibm.com/support ) からダウンロードできる。 QRadar®コンソールに、以下のRPMの最新バージョンをリスト順にダウンロードしてインストールしてください。
    • プロトコル共通 RPM
    • Amazon AWS REST API プロトコル RPM
    • Cisco Cloud Web セキュリティー DSM RPM
    • Cisco Umbrella DSM RPM
  2. Cisco SSE が QRadar と通信できるように設定する。
  3. QRadar Console に Cisco SSE ログソースを追加します。 次の表は、Cisco SSE イベント収集に特定の値を必要とするパラメータについて説明したものです。
    表 1. Amazon AWS S3 REST API ログ・ソース・パラメーター
    パラメーター
    ログ・ソース・タイプ シスコSSE
    プロトコル構成 Amazon AWS S3 REST API
    ログ・ソース ID ログ・ソースの固有名を入力します。

    「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数のCisco SSEログソースを設定した場合、最初のログソースを ciscosse1、2番目のログソースを ciscosse2、3番目のログソースを ciscosse3 と指定します。
    リージョン名 (シグネチャー V4 のみ) Amazon S3 バケットに関連付けられたリージョン。
    バケット名 ログ・ファイルが格納されている AWS S3 バケットの名前。 例えば、バケット名は cisco-managed-us-west-1 である場合があります。
    S3 エンドポイントの URL (S3 Endpoint URL)

    https://s3.amazonaws.com/<bucketname>

    AWS S3 REST API の照会に使用されるエンドポイント URL。

    エンドポイント URL は、デバイス構成に応じて異なる可能性があります。

    重要: Cisco 管理 S3 AWSケットおよび顧客管理 S3を設定するには、 URL が必要です。
    ディレクトリー接頭部 (Directory Prefix)

    <path>/

    Cisco SSEログが取得されるCisco SSEストレージバケット上のルートディレクトリの場所。 例えば、ルート・ディレクトリーの場所は dnslogs/ である可能性があります。
    ファイル・パターン .*?\.csv\.gz
    イベント・フォーマット リストから Cisco SSE CSV を選択します。 ログ・ソースは CSV 形式のイベントを取得します。

Amazon AWS S3 REST APIプロトコルのパラメータとその値の完全なリストについては、 Amazon AWS S3 REST APIプロトコルの設定オプションを参照してください。