Cisco SSE

Der IBM QRadar DSM für Cisco SSE sammelt DNS-Protokolle vom Cisco SSE-Speicher unter Verwendung einer Amazon S3 kompatiblen API.

Wichtig: Der Cisco Umbrella DSM ist jetzt umbenannt in Cisco SSE DSM. Der DSM RPM-Name bleibt als Cisco Umbrella in QRadar erhalten.
Um Cisco SSE mit QRadar zu integrieren, führen Sie die folgenden Schritte aus:
  1. Wenn die automatische Aktualisierung nicht aktiviert ist, können Sie RPMs von der Support-Website IBM® ( http://www.ibm.com/support ) herunterladen. Laden Sie die neueste Version der folgenden RPMs herunter und installieren Sie sie auf Ihrer QRadar® Konsole in der Reihenfolge, in der sie aufgelistet sind.
    • Protocol Common RPM
    • Amazon AWS -REST-API-Protokoll-RPM
    • Cisco Cloud Web Security DSM-RPM
    • Cisco Umbrella DSM RPM
  2. Konfigurieren Sie Ihre Cisco SSE für die Kommunikation mit QRadar.
  3. Fügen Sie eine Cisco SSE-Protokollquelle auf QRadar Console hinzu. Die folgende Tabelle beschreibt die Parameter, die bestimmte Werte für die Cisco SSE-Ereignissammlung erfordern.
    Tabelle 1. Amazon AWS S3 REST-API-Protokollquellenparameter
    Parameter Wert
    Protokollquellentyp Cisco SSE
    Protokollkonfiguration Amazon AWS S3 -REST-API
    Log Source Identifier (Protokollquellenkennung) Geben Sie einen eindeutigen Namen für die Protokollquelle ein.

    Die Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss keinen bestimmten Server referenzieren. Die Protokollquellenkennung kann mit dem Wert für Protokollquellennameidentisch sein. Wenn Sie mehr als eine Cisco SSE-Protokollquelle konfiguriert haben, sollten Sie die erste Protokollquelle als ciscosse1, die zweite Protokollquelle als ciscosse2 und die dritte Protokollquelle als ciscosse3 bezeichnen.
    Regionsname (nur Signatur V4 ) Die Region, die dem Amazon S3 -Bucket zugeordnet ist.
    Bucketname Der Name des AWS S3 -Buckets, in dem die Protokolldateien gespeichert werden. Der Bucketname könnte beispielsweise cisco-managed-us-west-1lauten.
    URL

    https://s3.amazonaws.com/<bucketname>

    URL, die zur Abfrage S3 verwendet wird.

    URL kann je nach Gerätekonfiguration unterschiedlich sein.

    Wichtig: Sie benötigen einen Endpunkt URL, um einen von Cisco verwalteten AWS S3 -Bucket und einen vom Kunden verwalteten AWS S3 -Bucket zu konfigurieren.
    Verzeichnispräfix

    <path>/

    Der Ort des Stammverzeichnisses auf dem Cisco SSE-Speicher-Bucket, aus dem die Cisco SSE-Protokolle abgerufen werden. Die Position des Stammverzeichnisses könnte beispielsweise dnslogs/lauten.
    Dateimuster .*?\.csv\.gz
    Ereignisformat Wählen Sie Cisco SSE CSV aus der Liste. Die Protokollquelle ruft Ereignisse im CSV-Format ab.

Eine vollständige Liste der Amazon AWS S3 REST API-Protokollparameter und ihrer Werte finden Sie unter Amazon AWS S3 REST API-Protokollkonfigurationsoptionen.