Cisco Identity Services Engine
IBM QRadar DSM for Cisco Identity Services Engine (ISE) recopila sucesos de dispositivo de dispositivos Cisco ISE utilizando el protocolo syslog multilínea UDP.
La tabla siguiente describe las especificaciones para el DSM de Cisco Identity Services Engine:
| Especificación | Valor |
|---|---|
| Fabricante | Cisco |
| Nombre de DSM | Cisco Identity Services Engine |
| Nombre de archivo RPM | DSM-CiscoISE-QRadar_version-build_number.noarch.rpm |
| Versiones soportadas | 1.1 a 2.2 |
| Protocolo | UDP Multiline Syslog |
| Formato del evento | Syslog |
| Tipos de sucesos registrados | Sucesos de dispositivo |
| ¿Descubierto automáticamente? | Nee |
| ¿Incluye identidad? | Sí |
| ¿Incluye propiedades personalizadas? | Nee |
| Más información | Sitio web de Cisco (https://www.cisco.com/c/en/us/products/security/identity-services-engine/index.html) |
Para integrar Cisco ISE con QRadar, realice los pasos siguientes:
- Si las actualizaciones automáticas no están habilitadas, descargue e instale la versión más reciente de los siguientes RPM en QRadar
Console. Los RPM están disponibles para su descarga desde la IBM® sitio web de apoyo (http://www.ibm.com/support):
- RPM DSMCommon
- RPM de DSM de motor de servicios de identidad de Cisco
- Configure el dispositivo Cisco ISE para enviar sucesos de syslog de varias líneas de UDP a QRadar.
- Añada un origen de registro de Cisco Identity Services Engine en la consola de QRadar . La tabla siguiente describe los parámetros que requieren valores específicos para recopilar sucesos de Cisco ISE:
Tabla 2. Parámetros de origen de registro de Cisco Identity Services Engine Parámetro Valor Tipo de origen de registro Motor de servicio de identidad de Cisco Configuración de protocolo UDP Multiline Syslog Identificador de origen de registro La dirección IP o el nombre de host del dispositivo Cisco Identity Service Engine que envía sucesos de Syslog UDP Multiline a QRadar. Puerto de escucha Escriba 517 como el número de puerto utilizado por QRadar para aceptar sucesos entrantes UDP Multiline Syslog. El rango de puertos válido es de 1 a 65535.Nota: Los sucesos de Multiline Syslog de UDP se pueden asignar a cualquier puerto que no esté en uso, excepto para el puerto 514. El puerto predeterminado que se asigna al protocolo UDP Multilínea es el puerto UDP 517. Para obtener una lista de los puertos que utiliza QRadar, consulte Puertos y servidores comunes utilizados por QRadar® en IBM QRadar Administration Guide o en IBM Knowledge Center (https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.0/com.ibm.qradar.doc/c_qradar_adm_ports_and_servers.html).Para editar una configuración guardada para utilizar un nuevo número de puerto, realice los pasos siguientes:
- En el campo Puerto de escucha , escriba el nuevo número de puerto para recibir sucesos UDP Multiline Syslog.
- Pulse Guardar.
La actualización del puerto se ha completado y la recopilación de sucesos se inicia en el nuevo número de puerto.
Patrón de ID de mensaje Escriba la siguiente expresión regular (regex) para filtrar los mensajes de carga útil de suceso:
CISE_\S+ (\d{10})
Para obtener una lista completa de los parámetros del protocolo syslog multilínea UDP y sus valores, consulte Opciones de configuración del protocolo de registro de sistema multilínea UDP.
- Configure un destino de registro remoto en el dispositivo Cisco ISE.
- Configure las categorías de registro de sucesos en el dispositivo Cisco ISE.