SDEE-Protokollquellenparameter für Cisco-IDS/IPS

Wenn QRadar die Protokollquelle nicht automatisch erkennt, fügen Sie eine IPS-Protokollquelle (Cisco Intrusion Prevention System) in QRadar Console hinzu, indem Sie das SDEE-Protokoll (Security Device Event Exchange) verwenden.
In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um SDEE-Ereignisse von Cisco IDS/IPS-Einheiten zu erfassen:
Tabelle 1. SDEE-Protokollquellenparameter für Cisco IDS/IPS DSM
Parameter Wert
Log Source type Cisco Intrusion Prevention System (IPS)
Protocol Configuration SDE
Log Source Identifier Geben Sie eine IP-Adresse, einen Hostnamen oder einen Namen ein, um die SDEE-Ereignisquelle anzugeben.

Die ID hilft Ihnen bei der Bestimmung, welche Ereignisse von Ihrer Cisco IDS/IPS-Einheit stammen.
URL Geben Sie URL ein, um auf die Protokollquelle zuzugreifen.
Sie müssen eine http oder https in URL verwenden. Hier einige Beispiele:
  • Wenn Sie SDEE/CIDEE (für Cisco IDS v5.x und höher) verwenden, überprüfen Sie, ob /cgi-bin/sdee-server am Ende URL steht. Beispiel: https://www.example.com/cgi-bin/sdee-server.
  • Wenn Sie RDEP (für Cisco IDS v4.0 ) verwenden, überprüfen Sie, ob /cgi-bin/event-server am Ende URL steht. Beispiel: https://www.example.com/cgi-bin/event-server.
Username Geben Sie den Benutzernamen ein.

Dieser Benutzername muss mit URL übereinstimmen, der für den Zugriff auf URL verwendet wird. Der Benutzername kann bis zu 255 Zeichen lang sein.
Password Geben Sie das Benutzerkennwort ein.

Dieses Passwort muss mit dem Passwort URL übereinstimmen, das für den Zugriff auf URL verwendet wird. Das Kennwort kann bis zu 255 Zeichen lang sein.
Events / Query Geben Sie die maximale Anzahl der pro Abfrage abzurufenden Ereignisse ein.

Der gültige Bereich ist 0-501 und der Standardwert ist 100.
Force Subscription Wählen Sie dieses Kontrollkästchen aus, um eine neue SDEE-Subskription zu erzwingen.

Das Kontrollkästchen zwingt den Server, die am wenigsten aktive Verbindung zu löschen und eine neue SDEE-Subskriptionsverbindung für diese Protokollquelle zu akzeptieren. Standardmäßig ist das Kontrollkästchen aktiviert. Wenn Sie das Kontrollkästchen abwählen, wird mit allen vorhandenen SDEE-Subskriptionen fortgefahren.
Severity Filter Low Wählen Sie dieses Kontrollkästchen aus, um die Bewertungsstufe als niedrig zu konfigurieren.

Protokollquellen, die SDEE unterstützen, geben nur die Ereignisse zurück, die dieser Bewertungsstufe entsprechen. Standardmäßig ist das Kontrollkästchen aktiviert.
Severity Filter Medium Wählen Sie dieses Kontrollkästchen aus, wenn Sie die Wertigkeit als mittel konfigurieren möchten.

Protokollquellen, die SDEE unterstützen, geben nur die Ereignisse zurück, die dieser Bewertungsstufe entsprechen. Standardmäßig ist das Kontrollkästchen aktiviert.
Severity Filter High Wählen Sie dieses Kontrollkästchen aus, um die Wertigkeit als hoch zu konfigurieren.

Protokollquellen, die SDEE unterstützen, geben nur die Ereignisse zurück, die dieser Bewertungsstufe entsprechen. Standardmäßig ist das Kontrollkästchen aktiviert.

Eine vollständige Liste der SDEE-Protokollparameter und ihrer Werte finden Sie unter SDEE-Protokollkonfigurationsoptionen.