IS/IPS de Cisco

Puede integrar un dispositivo de seguridad IDS/IPS de Cisco con IBM QRadar.

Cisco IDS/IPS DSM for IBM QRadar recopila Cisco IDS/IPS para sucesos utilizando el protocolo SDEE (Security Device Event Exchange).

La especificación SDEE define el formato de mensaje y el protocolo que se utiliza para comunicar los sucesos generados por el dispositivo de seguridad IDS/IPS de Cisco. QRadar da soporte a conexiones SDEE sondeando directamente en el dispositivo IDS/IPS y no en el software de gestión, que controla el dispositivo.

Nota: Debe tener acceso de seguridad o autenticación web en el dispositivo antes de conectarse a QRadar.

Después de configurar el dispositivo Cisco IDS/IPS, debe configurar el protocolo SDEE en QRadar. Cuando configure el protocolo SDEE, debe definir la URL que se utiliza para acceder al dispositivo. Un ejemplo de URL que define el dispositivo es https//www.example.com/cgi-bin/sdee-server.

Debe utilizar http o https en la URL, que es específica de su versión de Cisco IDS.

Cuando utilice RDEP (para Cisco IDS 4.0 ), asegúrese de que el URL tiene /cgi-bin/event-server al final del URL. Un ejemplo de URL es https://www.example.com/cgi-bin/event-server.
Cuando utilice SDEE/CIDEE (para Cisco IDS 5.x y posteriores), asegúrese de que el URL tiene /cgi-bin/sdee-server al final del URL. Un ejemplo de URL es https://www.example/cgi-bin/sdee-server.