Parámetros de origen de registro SDEE para Cisco IDS/IPS

Si QRadar no detecta automáticamente el origen de registro, añada un origen de registro Cisco Intrusion Prevention System (IPS) en QRadar Console utilizando el protocolo SDEE (Security Device Event Exchange).
La tabla siguiente describe los parámetros que requieren valores específicos para recopilar sucesos SDEE de dispositivos Cisco IDS/IPS:
Tabla 1. Parámetros de origen de registro SDEE para Cisco IDS/IPS DSM
Parámetro Valor
Log Source type Cisco Intrusion Prevention System (IPS)
Protocol Configuration SDEE
Log Source Identifier Escriba una dirección IP, nombre de host o nombre para identificar el origen de sucesos SDEE.

El identificador le ayuda a determinar qué sucesos proceden del dispositivo Cisco IDS/IPS.
URL Escriba la dirección URL para acceder a la fuente de registro.
Debe utilizar http o https en la URL. A continuación, se muestran algunos ejemplos:
  • Si utiliza SDEE/CIDEE (para Cisco IDS v5.x y posteriores), compruebe que /cgi-bin/sdee-server se encuentra al final de la URL. Por ejemplo, https://www.example.com/cgi-bin/sdee-server.
  • Si utiliza RDEP (para Cisco IDS v4.0 ), compruebe que /cgi-bin/event-server se encuentra al final de la URL. Por ejemplo, https://www.example.com/cgi-bin/event-server.
Username Escriba el nombre de usuario.

Este nombre de usuario debe coincidir con el nombre de usuario de SDEE URL que se utiliza para acceder a SDEE URL. El nombre de usuario puede tener hasta 255 caracteres de longitud.
Password Escriba la contraseña de usuario.

Esta contraseña debe coincidir con la contraseña URL SDEE que se utiliza para acceder a la URL SDEE. La contraseña puede tener hasta 255 caracteres de longitud.
Events / Query Escriba el número máximo de sucesos a recuperar por consulta.

El rango válido es 0-501 y el valor predeterminado es 100.
Force Subscription Marque este recuadro de selección si desea forzar una nueva suscripción SDEE.

El recuadro de selección fuerza al servidor a descartar la conexión menos activa y a aceptar una nueva conexión de suscripción SDEE para este origen de registro. De manera predeterminada, el recuadro de selección aparece seleccionado. Si desmarca el recuadro de selección, continúa con cualquier suscripción SDEE existente.
Severity Filter Low Marque este recuadro de selección si desea configurar el nivel de gravedad como bajo.

Los orígenes de registro que dan soporte a SDEE sólo devuelven los sucesos que coinciden con este nivel de gravedad. De manera predeterminada, el recuadro de selección aparece seleccionado.
Severity Filter Medium Marque este recuadro de selección si desea configurar el nivel de gravedad como medio.

Los orígenes de registro que dan soporte a SDEE sólo devuelven los sucesos que coinciden con este nivel de gravedad. De manera predeterminada, el recuadro de selección aparece seleccionado.
Severity Filter High Marque este recuadro de selección si desea configurar el nivel de gravedad como alto.

Los orígenes de registro que dan soporte a SDEE sólo devuelven los sucesos que coinciden con este nivel de gravedad. De manera predeterminada, el recuadro de selección aparece seleccionado.

Para obtener una lista completa de los parámetros del protocolo SDEE y sus valores, consulte Opciones de configuración del protocolo SDEE.