Forcepoint Stonesoft Management Center

Das IBM QRadar DSM für Forcepoint Stonesoft Management Center erfasst Ereignisse von einer StoneGate -Einheit mithilfe von syslog.

In der folgenden Tabelle werden die Spezifikationen für Stonesoft Management Center DSM beschrieben:

Tabelle 1. Stonesoft Management Center DSM-Spezifikationen
Spezifikation	Wert
Hersteller	Forcepoint
DSM-Name	Stonesoft-Management-Center
Name der RPM-Datei	DSM-StonesoftManagementCenter-`QRadar_version-build_number`.noarch.rpm
Unterstützte Versionen	5.4 bis 6.1
Protokoll	Syslog
Ereignisformat	LEEF
Aufgezeichnete Ereignistypen	Management Center-, IPS-, Firewall-und VPN-Ereignisse
Automatisch erkannt?	Ja
Enthält Identität?	Nein
Angepasste Eigenschaften einschließen?	Nein
Weitere Informationen	FORCEPOINT-Website (https://www.forcepoint.com)

Gehen Sie wie folgt vor, um FORCEPOINT Stonesoft Management Center in QRadarzu integrieren:

Wenn automatische Updates nicht aktiviert sind, laden Sie die neueste Version der folgenden RPMs von der IBM® Support Website herunter und installieren Sie sie auf Ihrem QRadar Console:
- DSMCommon-RPM
- DSM-RPM für Stonesoft Management Center
Konfigurieren Sie Ihr Gerät StoneGate so, dass Syslog-Ereignisse an QRadargesendet werden.

Wenn QRadar die Protokollquelle nicht automatisch erkennt, fügen Sie eine Stonesoft Management Center-Protokollquelle auf dem QRadar Consolehinzu. In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um Ereignisse aus Stonesoft Management Center zu erfassen:

Tabelle 2. Protokollquellenparameter für Stonesoft Management Center
Parameter	Wert
Protokollquellentyp	Stonesoft-Management-Center
Protokollkonfiguration	Syslog
Protokollquellenkennung	Geben Sie einen eindeutigen Namen für die Protokollquelle ein.

Überprüfen Sie, ob QRadar ordnungsgemäß konfiguriert ist.

Die folgende Tabelle zeigt ein Beispiel für eine normalisierte Ereignisnachricht aus Stonesoft Management Center:

Ereignisname Untergeordnete Kategorie Beispielprotokollnachricht

Generischer_UDP-Robuster-Director-Denial-of-Service

Sonstige DoS

Tabelle 3. Stonesoft Management Center-Beispielnachricht
Ereignisname	Untergeordnete Kategorie	Beispielprotokollnachricht
Generischer_UDP-Robuster-Director-Denial-of-Service	Sonstige DoS	`LEEF:1.0\|FORCEPOINT\|IPS\|5.8.5\|Generic_UDP-Rugged-Director-Denial-Of-Service\|devTimeFormat=MMM dd yyyy HH:mm:ss srcMAC=00:00:00:00:00:00 sev=2 dstMAC=00:00:00:00:00:00 devTime=Feb 23 201710:13:58 proto=17 dstPort=00000 srcPort=00000 dst=127.0.0.1 src=127.0.0.1action=Permit logicalInterface=NY2-1302-DMZ_IPS_ASA_Primary sender="username" Sensor`

LEEF:1.0|FORCEPOINT|IPS|5.8.5|Generic_UDP-Rugged-Director-Denial-Of-Service|devTimeFormat=MMM dd yyyy HH:mm:ss    srcMAC=00:00:00:00:00:00    sev=2    dstMAC=00:00:00:00:00:00    devTime=Feb 23 201710:13:58    proto=17    dstPort=00000    srcPort=00000    dst=127.0.0.1    src=127.0.0.1action=Permit    logicalInterface=NY2-1302-DMZ_IPS_ASA_Primary    sender="username" Sensor