ESET Zdalny administrator

Program IBM® QRadar® DSM for ESET Remote Administrator gromadzi dzienniki ze zdalnego administratora ESET.

W poniższej tabeli opisano specyfikacje zdalnego administratora ESET DSM:

Tabela 1. Specyfikacja EDSET Remote Administrator DSM
Specyfikacja	Wartość
Producent	Eset
Nazwa DSM	ESET Zdalny administrator
Nazwa pliku RPM	DSM-ESETRemoteAdministrator-`QRadar_version-build_number`.noarch.rpm
obsługiwane wersje	6.4.270
Protokół	Syslog
Format zdarzenia	Rozszerzony format zdarzenia dziennika (LEEF)
Zarejestrowane typy zdarzeń	Zagrożenie Zagregowany firewall System HIPS (Host intrusion protection System) Kontrola
Czy został automatycznie wykryty?	Tak
Czy zawiera tożsamość?	Tak
Zawiera właściwości niestandardowe?	Nie
Więcej informacji	Serwis WWW ESET (https://www.eset.com/us/support/download/business/remote-administrator-6)

Aby zintegrować program ESET Remote Administrator z produktem QRadar, wykonaj następujące kroki:

Jeśli aktualizacje automatyczne nie są włączone, należy pobrać i zainstalować najnowszą wersję następujących pakietów RPM z serwisu WWW działu wsparciaIBM w kolejności, w jakiej zostały wymienione na liście QRadar Console:
- DSMCommon RPM
- ESET Remote Administrator DSM RPM
Skonfiguruj zdalny serwer administratora ESET w taki sposób, aby wysyłał zdarzenia syslog w formacie LEEF do programu QRadar.

Jeśli produkt QRadar nie wykryje automatycznie źródła dziennika, dodaj źródło dziennika ESET Remote Administrator na serwerze QRadar Console. W poniższej tabeli opisano parametry, które wymagają konkretnych wartości dla kolekcji zdarzeń programu ESET Remote Administrator:

Tabela 2. Parametry źródła dziennika programu ESET Remote Administrator
Parametr	Wartość
Typ źródła dziennika	ESET Zdalny administrator
Konfiguracja protokołu	Syslog
Identyfikator źródła dziennika	Adres IP lub nazwa hosta zdalnego serwera administracyjnego ESET.

Aby sprawdzić, czy program QRadar poprawnie analizuje zdarzenia, przejrzyj następujący przykładowy komunikat o zdarzeniu.

W poniższej tabeli przedstawiono przykładowy komunikat zdarzenia ze zdalnego administratora ESET:

Nazwa zdarzenia Kategoria niskiego poziomu Przykładowy komunikat dziennika

Logowanie użytkownika rodzimego

Powodzenie logowania użytkownika

Tabela 3. Komunikat przykładowy ESET Remote Administrator
Nazwa zdarzenia	Kategoria niskiego poziomu	Przykładowy komunikat dziennika
Logowanie użytkownika rodzimego	Powodzenie logowania użytkownika	`<14>1 2016-08-15T14:52:31.888Z hostname ERAServer 28021 - - LEEF:1.0\|ESET\|RemoteAdministrator\|<Version>\|Native user login\|cat=ESET RA Audit Event sev=2 devTime=Aug 15 2016 14:52:31 devTimeFormat=MMM dd yyyy HH:mm:ss src=<Source_IP_address> domain=Native user action=Login attempt target=username detail=Native user 'username' attempted to authenticate. result=Success`

<14>1 2016-08-15T14:52:31.888Z hostname ERAServer 28021 - - LEEF:1.0|ESET|RemoteAdministrator|<Version>|Native user login|cat=ESET RA Audit Event sev=2 devTime=Aug 15 2016 14:52:31 devTimeFormat=MMM dd yyyy HH:mm:ss src=<Source_IP_address> domain=Native user action=Login attempt target=username detail=Native user 'username' attempted to authenticate. result=Success