Configuración de categorías de registro en Cisco ISE

El DSM de Cisco Identity Services Engine para IBM QRadar recopila sucesos de syslog de varias categorías de registro de sucesos. Para definir qué sucesos se reenvían a QRadar, debe configurar cada categoría de registro de sucesos en el dispositivo Cisco ISE.

Procedimiento

  1. Inicie sesión en la interfaz de administración de Cisco ISE.
  2. En el menú de navegación, seleccione Administración > Sistema > Registro > Categorías de registro.
    La lista siguiente muestra las categorías de registro de sucesos soportadas para IBM QRadar DSM for Cisco Identity Services Engine:
    • Auditoría AAA
    • Intentos fallidos
    • Autenticación pasada
    • Diagnósticos AAA
    • Autenticación y autorización de administrador
    • Diagnósticos de flujo de autenticación
    • Diagnósticos del almacén de identidades
    • Diagnósticos de política
    • Diagnósticos de radio
    • Invitado
    • Gestión de Cuentas
    • Contabilidad de radio
    • Auditoría administrativa y operativa
    • Auditoría de suministro de cliente y postura
    • Diagnóstico de suministro de cliente y postura
    • Perfilador
    • Diagnóstico del sistema
    • Gestión distribuida
    • Diagnósticos de operaciones internas
    • Estadísticas del sistema
  3. Seleccione una categoría de registro de sucesos y, a continuación, pulse Editar.
  4. En la lista Registrar gravedad , seleccione una gravedad para la categoría de registro.
  5. En el campo Destino , añada el destino de registro remoto para QRadar al recuadro Seleccionar .
  6. Pulse Guardar.
  7. Repita este proceso para cada categoría de registro que desee reenviar a QRadar.

    Los sucesos reenviados por Cisco ISE se muestran en la pestaña Actividad de registro en QRadar.