Cisco NGIPS
IBM® QRadar® Risk Manager をネットワーク・デバイスと統合するには、Cisco Ni-Generation Intrusion Prevention System (NGIPS) アダプターの要件を必ず確認してください。
Cisco NGIPS アダプターとともに以下のフィーチャーを使用できます。
- IPS
- SSH 接続プロトコル
制限事項
- 個々のアクセス制御ルールに付加された侵入ポリシーは、 QRadar Risk Managerでは使用されません。 デフォルトの侵入ポリシーだけがサポートされています。
- NAT と VPN はサポートされていません。
以下の表で、Cisco NGIPS アダプターの統合要件を説明します。
統合要件 |
説明 |
|---|---|
バージョン |
6.2.0 |
SNMP ディスカバリー |
いいえ |
必須資格情報パラメーター QRadarで資格情報を追加するには、管理者としてログインし、 「リスク」 タブの 「構成モニター」 を使用します。 |
Username パスワード |
サポート対象接続プロトコル QRadarでプロトコルを追加するには、管理者としてログインし、 「リスク」 タブの 「構成モニター」 を使用します。 |
SSH |
ログインしてデータを収集するためにアダプターが必要とするコマンド。 |
show version
|
| 構成情報を読み取るためにアダプターが使用するコマンド: | |
| ハードウェア情報を取得します。 | sudo su df |
| システムのホスト名を取得します。 | sudo su hostname |
| ルーティング情報を取得します。 | sudo su route -n |
| cat コマンドまたは head コマンドを使用してファイルを読み取り、構成を取得します。 | /etc/sf/ims.conf |
| SNORT インスタンスのベース・ディレクトリーを取得するために読み取ります。これは、以下の 3 つの例では、 $DE_DIR として参照されています: | $SNORT_DIR/fwcfg/affinity.conf |
| IPS のルールとオブジェクトを読み取ります。 | $DE_DIR/policyText_full.yaml |
| SNORT 構成を読み取ります。 | $DE_DIR/snort.conf |
| ファイルは、 policyText_full.yaml ファイルで参照される時に動的に読み取られます。 | $DE_DIR/* |
| アダプターは、find コマンドを使用してこのディレクトリー内の IP レピュテーション・ファイルを検索します。 | $SNORT_DIR/iprep_download |
| データベース接続の資格情報を取得するために読み取られるファイル。 | /etc/sf/ims-data.conf |