Konfigurationsoptionen für das SDEE-Protokoll
Sie können eine Protokollquelle für die Verwendung des SDEE-Protokolls (Security Device Event Exchange) konfigurieren. QRadar verwendet das Protokoll, um Ereignisse von Appliances zu erfassen, die SDEE-Server verwenden.
Das SDEE-Protokoll ist ein abgehendes/aktives Protokoll.
| Parameter | Beschreibung |
|---|---|
| Protokollkonfiguration | SDEE |
| Protokollquellenkennung | Geben Sie einen eindeutigen Namen für die Protokollquelle ein. Die Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Es kann auch denselben Wert wie der Protokollquellennamehaben. Wenn Sie mehr als eine konfigurierte SDEE-Protokollquelle haben, müssen Sie jedem einen eindeutigen Namen geben. |
| URL | Die HTTP oder HTTPS URL, die für den Zugriff auf die Protokollquelle erforderlich ist, z. B. https://www.example.com/cgi-bin/sdee-server. Für SDEE/CIDEE (Cisco IDS v5.x und höher) muss URL mit /cgi-bin/sdee-server enden. Administratoren mit RDEP (Cisco IDS v4.x ) muss URL mit /cgi-bin/event-server enden. |
| Abonnement erzwingen | Wenn das Kontrollkästchen ausgewählt ist, erzwingt das Protokoll, dass der Server die am wenigsten aktive Verbindung löscht und eine neue SDEE-Subskriptionsverbindung für die Protokollquelle akzeptiert. |
| Maximale Wartezeit Zum Blockieren Von Ereignissen | Wenn eine Erfassungsanforderung gestellt wird und keine neuen Ereignisse verfügbar sind, aktiviert das Protokoll einen Ereignisblock. Der Block verhindert, dass eine andere Ereignisanfrage an eine ferne Einheit gestellt wird, die keine neuen Ereignisse hatte. Dieses Zeitlimit soll Systemressourcen schonen. |