Visión general de LEEF

El formato LEEF (Log Event Extended Format) es un formato de suceso personalizado para IBM® Security QRadar®.

Cualquier proveedor puede utilizar esta documentación para generar sucesos LEEF.

QRadar puede integrar, identificar y procesar sucesos LEEF. Los sucesos LEEF deben utilizar la codificación de caracteres UTF-8 .

Puede enviar sucesos en la salida LEEF a QRadar utilizando los protocolos siguientes:

  • Syslog
  • Importación de archivos con el protocolo de archivos de registro
Importante: Antes de que QRadar pueda utilizar sucesos LEEF, debe completar las tareas de configuración de Universal LEEF. Para obtener más información sobre cómo configurar el protocolo de archivo de registro para recopilar sucesos LEEF universales, consulte DSM Configuration Guide.

El método que seleccione para proporcionar sucesos LEEF determina si los sucesos se pueden descubrir automáticamente en QRadar. Cuando los sucesos se descubren automáticamente, el nivel de configuración manual que se necesita en QRadar se reduce.

A medida que se reciben sucesos LEEF, QRadar analiza el tráfico de sucesos en un intento de identificar el dispositivo o dispositivo. Este proceso se conoce como análisis de tráfico. Normalmente se necesitan al menos 25 sucesos LEEF para identificar y crear un nuevo origen de registro en QRadar. Hasta que el análisis de tráfico identifica el origen de sucesos, los 25 sucesos iniciales se categorizan como sucesos SIM Generic Log DSM y el nombre de suceso se establece como Suceso de registro desconocido. Una vez identificado el tráfico de sucesos, QRadar crea un origen de registro para categorizar y etiquetar correctamente los sucesos que se reenvían desde el dispositivo o el software. Los sucesos que se envían desde el dispositivo se pueden ver en QRadar en la pestaña Actividad de registro .

Importante: Cuando un origen de registro no se puede identificar después de 1.000 sucesos, QRadar crea una notificación del sistema y elimina el origen de registro de la cola de análisis de tráfico. QRadar sigue siendo capaz de recopilar los sucesos, pero un usuario debe intervenir y crear un origen de registro manualmente para identificar el tipo de suceso.