Visión general de la gestión de orígenes de registro

Puede configurar IBM QRadar para que acepte registros de sucesos de los orígenes de registro que están en la red. Un origen de registro es un origen de datos que crea un registro de sucesos.

Por ejemplo, un cortafuegos o sistema de prevención de intrusiones (IPS) registra sucesos de seguridad y conmuta o direcciona sucesos de red.

Para recibir sucesos en bruto de orígenes de registro, QRadar da soporte a muchos protocolos. Los protocolos pasivos están a la escucha de sucesos en puertos determinados. Los protocolos activos utilizan interfaces de programación de aplicaciones (API) u otros métodos de comunicación para conectar con sistemas externos que sondean y recuperan sucesos.

En función de los límites de licencia, QRadar puede leer e interpretar sucesos de más de 300 orígenes de registro.

Para configurar un origen de registro para QRadar, debe realizar las tareas siguientes:
  1. Descargue e instale un módulo de soporte de dispositivo (DSM) que sea compatible con el origen de registro. Un DSM es una aplicación de software que contiene los patrones de sucesos necesarios para identificar y analizar sucesos desde el formato original del registro de sucesos al formato que QRadar puede utilizar.
  2. Si el descubrimiento automático está soportado para el DSM, espere a que QRadar añada automáticamente el origen de registro a la lista de orígenes de registro configurados.
  3. Si el descubrimiento automático no está soportado para el DSM, cree manualmente la configuración de origen de registro.