CyberArk -Vault

Das CyberArk Vault DSM for IBM QRadar akzeptiert Ereignisse unter Verwendung von syslog, das für Log Event Extended Format (LEEF) formatiert ist.

QRadar zeichnet sowohl Benutzeraktivitäten als auch sichere Aktivitäten aus dem CyberArk -Vault in den Prüfereignisprotokollen auf. CyberArk Vault kann mit QRadar integriert werden, um Prüfprotokolle mithilfe von syslog weiterzuleiten, um ein detailliertes Protokoll der Aktivitäten privilegierter Konten zu erstellen.

Ereignistypformat

CyberArk Vault muss konfiguriert werden, um Ereignisse im Log Event Extended Format (LEEF) zu generieren und diese Ereignisse mithilfe von syslog weiterzuleiten. Das LEEF-Format besteht aus einer Pipe (|). Begrenzte syslog-Header und durch Tabulatoren getrennte Felder im Abschnitt mit den Protokollnutzdaten.

Wenn die Syslog-Ereignisse aus CyberArk Vault nicht ordnungsgemäß formatiert sind, untersuchen Sie Ihre Gerätekonfiguration oder Softwareversion, um sicherzustellen, dass Ihre Appliance LEEF unterstützt. Ordnungsgemäß formatierte LEEF-Ereignisnachrichten werden automatisch erkannt und als Protokollquelle zu QRadarhinzugefügt.