ESET 원격 관리자

IBM QRadar DSM for ESET Remote Administrator는 ESET Remote Administrator에서 로그를 수집합니다.

다음 표에서는 ESET 원격 관리자 DSM의 스펙에 대해 설명합니다.

표 1. ESET 원격 관리자 DSM 스펙
스펙	값
제조업체	Eset
DSM 이름	ESET 원격 관리자
RPM 파일 이름	DSM-ESETRemoteAdministrator-`QRadar_version-build_number`.noarch.rpm
지원되는 버전	6.4.270
프로토콜	Syslog
이벤트 형식	LEEF(Log Event Extended Format)
기록되는 이벤트 유형	위협 방화벽이 집계됨 HIPS (Host Intrusion Protection System) 집계 감사
자동 감지 여부	예
ID 포함 여부	예
사용자 정의 특성 포함 여부	아니오
자세한 정보	ESET웹 사이트 (https://www.eset.com/us/support/download/business/remote-administrator-6)

ESET Remote Administrator를 QRadar와 통합하려면 다음 단계를 완료하십시오.

자동 업데이트가 활성화되어 있지 않은 경우, IBM® 지원 웹사이트에서 다음 RPM의 최신 버전을 나열된 순서대로 QRadar Console에 다운로드하여 설치합니다:
- DSMCommon RPM
- ESET 원격 관리자 DSM RPM
LEEF 형식화된 syslog 이벤트를 QRadar에 전송하도록 ESET 원격 관리자 서버를 구성하십시오.

QRadar 가 자동으로 로그 소스를 발견하지 못하는 경우 QRadar Console에서 ESET 원격 관리자 로그 소스를 추가하십시오. 다음 표에서는 ESET 원격 관리자 이벤트 콜렉션에 대한 특정 값이 필요한 매개변수를 설명합니다.

표 2. ESET 원격 관리자 로그 소스 매개변수
매개변수	값
로그 소스 유형	ESET 원격 관리자
프로토콜 구성	Syslog
로그 소스 ID	ESET 원격 관리 서버의 IP 주소 또는 호스트 이름입니다.

QRadar 가 이벤트를 올바르게 구문 분석하는지 확인하려면 다음 샘플 이벤트 메시지를 검토하십시오.

다음 표는 ESET Remote Administrator의 샘플 이벤트 메시지를 표시합니다.

이벤트 이름 하위 레벨 카테고리 샘플 로그 메시지

기본 사용자 로그인

사용자 로그인 완료

표 3. ESET 원격 관리자 샘플 메시지
이벤트 이름	하위 레벨 카테고리	샘플 로그 메시지
기본 사용자 로그인	사용자 로그인 완료	`<14>1 2016-08-15T14:52:31.888Z hostname ERAServer 28021 - - LEEF:1.0\|ESET\|RemoteAdministrator\|<Version>\|Native user login\|cat=ESET RA Audit Event sev=2 devTime=Aug 15 2016 14:52:31 devTimeFormat=MMM dd yyyy HH:mm:ss src=<Source_IP_address> domain=Native user action=Login attempt target=username detail=Native user 'username' attempted to authenticate. result=Success`

<14>1 2016-08-15T14:52:31.888Z hostname ERAServer 28021 - - LEEF:1.0|ESET|RemoteAdministrator|<Version>|Native user login|cat=ESET RA Audit Event sev=2 devTime=Aug 15 2016 14:52:31 devTimeFormat=MMM dd yyyy HH:mm:ss src=<Source_IP_address> domain=Native user action=Login attempt target=username detail=Native user 'username' attempted to authenticate. result=Success