FireEye
Program IBM® QRadar® DSM for FireEye akceptuje zdarzenia syslog w formacie Extended Format (LEEF) i Common Event Format (CEF).
Ten DSM ma zastosowanie do urządzeń FireEye CMS, MPS, EX, AX, NX, FX i HX. Program QRadar rejestruje wszystkie odpowiednie alerty powiadomień, które są wysyłane przez urządzenia FireEye .
W poniższej tabeli przedstawiono specyfikacje dla FireEye DSM.
| Specyfikacja | Wartość |
|---|---|
| Producent | FireEye |
| Nazwa DSM | FireEye MPS |
| obsługiwane wersje | CMS, MPS, EX, AX, NX, FX i HX |
| Nazwa pliku RPM | DSM-FireEyeMPS-QRadar_version-Build_number.noarch.rpm |
| Protokół | Syslog i TLS Syslog |
| Format zdarzenia | Common Event Format (CEF). CEF:0 jest obsługiwany. |
| Zarejestrowane typy zdarzeń produktu QRadar | Wszystkie istotne zdarzenia |
| Czy został wykryty automatycznie? | Tak |
| Czy zawiera tożsamość? | Nie |
| Więcej informacji | Serwis WWW FireEye (www.fireeye.com) |
Aby zintegrować produkt FireEye z produktem QRadar, należy wykonać następujące procedury:
- Jeśli aktualizacje automatyczne nie są włączone, należy pobrać i zainstalować pakiet RPM DSM Common i FireEye MPS z serwisu WWW działu wsparciaIBM na konsoli produktu QRadar .
- Pobierz i zainstaluj najnowszy protokół RPM protokołu TLS Syslog na serwerze QRadar.
- Dla każdej instancji FireEye w danym wdrożeniu należy skonfigurować system FireEye w taki sposób, aby przekazywał zdarzenia do produktu QRadar.
- Dla każdej instancji klasy FireEyeutwórz źródło dziennika FireEye w konsoli QRadar . W poniższych tabelach wyjaśniono sposób konfigurowania źródła dziennika w dzienniku Syslog i dzienniku systemowym TLS Syslog dla FireEye.
Tabela 2. Konfigurowanie protokołów źródłowych dziennika Syslog dla FireEye Parametr Opis Typ źródła dziennika FireEye Konfiguracja protokołu Syslog Identyfikator źródła dziennika Wpisz adres IP lub nazwę hosta dla źródła dziennika jako identyfikator dla zdarzeń z urządzenia. Więcej wspólnych parametrów, które występują w opcjach konfiguracyjnych protokołu Syslog i TLS Syslog , można znaleźć w sekcji Dodawanie źródła dziennika , aby uzyskać więcej informacji na temat parametrów specyficznych dla protokołu Syslog protokołu TLS oraz ich konfiguracji.Tabela 3. Konfigurowanie protokołów źródłowych protokołu TLS Syslog dla FireEye Parametr Opis Typ źródła dziennika FireEye Konfiguracja protokołu Protokół syslog TLS Identyfikator źródła dziennika Wpisz adres IP lub nazwę hosta dla źródła dziennika jako identyfikator dla zdarzeń z urządzenia. Port nasłuchiwania TLS Domyślnym portem nasłuchiwania TLS jest port 6514. Tryb uwierzytelniania Tryb, w którym połączenie TLS jest uwierzytelniane. Jeśli zostanie wybrana opcja uwierzytelniania TLS i klienta, należy skonfigurować parametry certyfikatu. Typ certyfikatu Typ certyfikatu, który ma być używany do uwierzytelniania. Jeśli zostanie wybrana opcja Podaj certyfikat , należy skonfigurować ścieżki do plików dla certyfikatu serwera i klucza prywatnego. Podana Ścieżka Certyfikatu Serwera Pełna ścieżka do certyfikatu serwera. Udostępniona Ścieżka Klucza Prywatnego Ścieżka bezwzględna do klucza prywatnego. Uwaga: Odpowiedni klucz prywatny musi być zakodowany w formacie DER PKCS8 . Konfiguracja kończy się niepowodzeniem z dowolnym innym formatem klucza.Maksymalna liczba połączeń Parametr Maksymalna liczba połączeń określa liczbę jednoczesnych połączeń, które protokół Syslog protokołu TLS może zaakceptować dla każdego kolektora zdarzeń.
Limit połączeń we wszystkich konfiguracjach źródła dziennika syslog TLS wynosi 1000 połączeń dla każdego kolektora zdarzeń. Wartością domyślną dla każdego połączenia z urządzeniem jest 50.
Uwaga: Automatycznie wykrywane źródła dziennika, które współużytkują program nasłuchujący z innym źródłem dziennika, na przykład jeśli używany jest ten sam port w tym samym kolektorze zdarzeń, należy liczyć tylko jeden raz w kierunku limitu.