Cisco SSE

IBM QRadar DSM para Cisco SSE recopila registros DNS del almacenamiento Cisco SSE mediante una API compatible con Amazon S3.

Importante: Cisco Umbrella DSM ahora se llama Cisco SSE DSM. El nombre DSM RPM permanece como Cisco Umbrella en QRadar.
Para integrar Cisco SSE con QRadar, complete los siguientes pasos:
  1. Si las actualizaciones automáticas no están activadas, los RPM están disponibles para su descarga en el sitio web de soporte IBM® ( http://www.ibm.com/support ). Descargue e instale la versión más reciente de los siguientes RPM en su QRadar® en el orden en que aparecen en la lista.
    • Protocol Common RPM
    • RPM de protocolo de API REST de Amazon AWS
    • RPM de DSM de Cisco Cloud Web Security
    • Cisco Umbrella DSM RPM
  2. Configure su Cisco SSE para comunicarse con QRadar.
  3. Añada una fuente de registro Cisco SSE en QRadar Console. La siguiente tabla describe los parámetros que requieren valores específicos para la recopilación de eventos Cisco SSE.
    Tabla 1. Parámetros de origen de registro de la API REST de Amazon AWS S3
    Parámetro Valor
    Tipo de origen de registro Cisco SSE
    Configuración de protocolo API REST de Amazon AWS S3
    Identificador de origen de registro Escriba un nombre exclusivo para el origen de registro.

    El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. El Identificador de origen de registro puede ser el mismo valor que el Nombre de origen de registro. Si ha configurado más de una fuente de registro de Cisco SSE, es posible que desee identificar la primera fuente de registro como ciscosse1, la segunda fuente de registro como ciscosse2 y la tercera fuente de registro como ciscosse3.
    Nombre de región (solo firma V4 ) La región que está asociada con el grupo Amazon S3 .
    Nombre de grupo El nombre del grupo AWS S3 donde se almacenan los archivos de registro. Por ejemplo, el nombre de grupo podría ser cisco-managed-us-west-1.
    URL punto final S3

    https://s3.amazonaws.com/<bucketname>

    La URL del punto de enlace que se utiliza para consultar la API REST de AWS S3.

    La URL del punto final puede ser diferente en función de la configuración del dispositivo.

    Importante: Debe disponer de un Endpoint URL para configurar un bucket AWS S3 gestionado por Cisco y un bucket AWS S3 gestionado por el cliente.
    Prefijo de directorio

    <path>/

    La ubicación del directorio raíz en el bucket de almacenamiento de Cisco SSE desde donde se recuperan los registros de Cisco SSE. Por ejemplo, la ubicación del directorio raíz podría ser dnslogs/.
    File Pattern .*?\.csv\.gz
    Formato de suceso Seleccione Cisco SSE CSV de la lista. El origen de registro recupera sucesos con formato CSV.

Para obtener una lista completa de los parámetros del protocolo API REST de Amazon AWS S3 y sus valores, consulte Opciones de configuración del protocolo API REST de Amazon AWS S3.