IBM Guardium

IBM® Guardium ® ® es una herramienta de seguimiento de auditoría y actividad de base de datos para que los administradores del sistema recuperen sucesos de auditoría detallados en las plataformas de base de datos.

IBM QRadar recopila información, errores, alertas y avisos de IBM Guardium utilizando syslog. IBM QRadar recibe IBM eventos de Guardium Policy Builder en el formato Log Event Extended Format (LEEF).

QRadar solo puede descubrir y correlacionar automáticamente sucesos de las políticas predeterminadas que se suministran con IBM Guardium. Los sucesos configurados por el usuario que son necesarios se visualizan como desconocidos en QRadar y debe correlacionar manualmente los sucesos desconocidos.

visión general de la configuración

La lista siguiente describe el proceso necesario para integrar IBM Guardium con QRadar.

1. Cree un destino de syslog para sucesos de violación de política. Para obtener más información, consulte Creación de un destino syslog para eventos.
2. Configure las políticas existentes para generar sucesos de syslog. Para obtener más información, consulte Configuración de políticas para generar eventos syslog.
3. Instale la política en IBM Guardium. Para más información, consulte Instalación de una política IBM Guardium.
4. Configure el origen de registro en QRadar. Para obtener más información, consulte Parámetros de origen de registro Syslog para IBM Guardium.
5. Identifique y correlacione sucesos de política desconocidos en QRadar. Para obtener más información, consulte Creación de un mapa de eventos para eventos de IBM Guardium.