Opciones de configuración del protocolo SDEE
Puede configurar un origen de registro para utilizar el protocolo Security Device Event Exchange (SDEE). QRadar utiliza el protocolo para recopilar sucesos de dispositivos que utilizan servidores SDEE.
El protocolo SDEE es un protocolo de salida/activo.
| Parámetro | Descripción |
|---|---|
| Configuración de protocolo | SDEE |
| Identificador de origen de registro | Escriba un nombre exclusivo para el origen de registro. El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. También puede ser el mismo valor que el Nombre de origen de registro. Si tiene más de un origen de registro SDEE configurado, asegúrese de que asigna a cada uno un nombre exclusivo. |
| URL | La URL HTTP o HTTPS necesaria para acceder al origen del registro, por ejemplo, https://www.example.com/cgi-bin/sdee-server Para SDEE/CIDEE (Cisco IDS v5.x y posterior), el URL debe finalizar con /cgi-bin/sdee-server. Para administradores con RDEP (Cisco IDS v4.x), el URL debe finalizar con /cgi-bin/event-server. |
| Forzar suscripción | Cuando se selecciona esta casilla, el protocolo obliga al servidor a cerrar la conexión menos activa y aceptar una nueva conexión de suscripción SDEE para el origen de registro. |
| Espera máxima para bloquear sucesos | Cuando se realiza una solicitud de recopilación y no hay nuevos sucesos disponibles, el protocolo permite un bloqueo de sucesos. El bloqueo impide que se realice otra solicitud de sucesos a un dispositivo remoto que no tiene sucesos nuevos. Este tiempo de espera está pensado para ahorrar recursos del sistema. |