Parâmetros de origem de log do SDEE para o Cisco IDS/IPS

Se o QRadar não detectar automaticamente a fonte de log, inclua uma origem de log do Cisco Intrusion Prevention System (IPS) no QRadar Console usando o protocolo Security Device Event Exchange (SDEE).
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos SDEE dos dispositivos Cisco IDS/IPS:
Tabela 1. Parâmetros de origem de log do SDEE para o DSM do Cisco IDS/IPS
Parâmetro Valor
Log Source type Cisco Intrusion Prevention System (IPS)
Protocol Configuration SDEE
Log Source Identifier Digite um endereço IP, nome de host ou nome para identificar a origem de eventos SDEE.

O identificador ajuda a determinar quais eventos vieram do seu dispositivo Cisco IDS/IPS.
URL Digite o endereço da URL para acessar a origem de log.
Deve-se usar um http ou https na URL. A seguir estão alguns exemplos:
  • Se você estiver usando SDEE/CIDEE (para Cisco IDS v5.x e mais recente), verifique se /cgi-bin/sdee-server está no final da URL. Por exemplo, https://www.example.com/cgi-bin/sdee-server
  • Se você estiver usando RDEP (para Cisco IDS v4.0), verifique se /cgi-bin/event-server está no final da URL. Por exemplo, https://www.example.com/cgi-bin/event-server
Username Digite o nome do usuário.

Esse nome de usuário deve corresponder ao nome de usuário da URL SDEE que é usado para acessar a URL SDEE. O nome de usuário pode ter até 255 caracteres de comprimento.
Password Digite a senha do usuário.

Essa senha deve corresponder à senha da URL SDEE que é usada para acessar a URL SDEE. A senha pode ter até 255 caracteres de comprimento.
Events / Query Digite o número máximo de eventos a serem recuperados por consulta.

O intervalo válido vai de 0 a 501 e o padrão é 100.
Force Subscription Marque essa caixa de seleção se você deseja forçar uma nova assinatura SDEE.

A caixa de seleção força o servidor a descartar a conexão menos ativa e aceitar uma nova conexão de assinatura SDEE para essa origem de log. Por padrão, essa caixa de seleção é marcada. Desmarcar a caixa de seleção continua com qualquer assinatura SDEE existente.
Severity Filter Low Marque essa caixa de seleção se você deseja configurar o nível de gravidade como baixo.

As origens de log que suportam SDEE retornam somente os eventos que correspondem a esse nível de gravidade. Por padrão, essa caixa de seleção é marcada.
Severity Filter Medium Marque essa caixa de seleção se você deseja configurar o nível de severidade como médio.

As origens de log que suportam SDEE retornam somente os eventos que correspondem a esse nível de gravidade. Por padrão, essa caixa de seleção é marcada.
Severity Filter High Marque essa caixa de seleção se você quiser configurar o nível de severidade como alto.

As origens de log que suportam SDEE retornam somente os eventos que correspondem a esse nível de gravidade. Por padrão, essa caixa de seleção é marcada.

Para obter uma lista completa de parâmetros de protocolo SDEE e seus valores, consulte Opções de configuração do protocolo SDEE.