Cisco-IDS/IPS

Sie können eine Cisco-IDS/IPS-Sicherheitseinheit mit IBM QRadarintegrieren.

Cisco IDS/IPS DSM for IBM QRadar erfasst Cisco IDS/IPS für Ereignisse unter Verwendung des SDEE-Protokolls (Security Device Event Exchange).

Die SDEE-Spezifikation definiert das Nachrichtenformat und das Protokoll für die Kommunikation der Ereignisse, die von Ihrer Cisco IDS-/IPS-Sicherheitseinheit generiert werden. QRadar unterstützt SDEE-Verbindungen durch direktes Polling zur IDS/IPS-Einheit und nicht zur Management-Software, die die Einheit steuert.

Anmerkung: Sie müssen über Sicherheitszugriff oder Webauthentifizierung auf dem Gerät verfügen, damit Sie eine Verbindung zu QRadarherstellen können.

Nach der Konfiguration Ihrer Cisco IDS/IPS-Einheit müssen Sie das SDEE-Protokoll in QRadarkonfigurieren. Wenn Sie das SDEE-Protokoll konfigurieren, müssen Sie URL definieren, die für den Zugriff auf das Gerät verwendet wird. Ein Beispiel für URL, die das Gerät definiert, ist https//www.example.com/cgi-bin/sdee-server.

Sie müssen http oder https in URL verwenden, die spezifisch für Ihre Cisco IDS-Version ist.

Wenn Sie RDEP (für 4.0 ) verwenden, stellen Sie sicher, dass URL URL /cgi-bin/event-server enthält. URL ist https://www.example.com/cgi-bin/event-server.
Wenn Sie SDEE/CIDEE (für 5.x und höher) verwenden, stellen Sie sicher, dass URL URL /cgi-bin/sdee-server enthält. URL ist https://www.example/cgi-bin/sdee-server.