Radware DefensePro

El DSM de Radware DefensePro para IBM QRadar acepta sucesos utilizando syslog. Las condiciones de excepción de sucesos también se pueden duplicar en un servidor syslog.

Antes de configurar QRadar para integrarse con un dispositivo Radware DefensePro , debe configurar el dispositivo Radware DefensePro para reenviar sucesos de syslog a QRadar. Debe configurar la información adecuada utilizando la opción Dispositivo > Condición de excepción y SMTP.

Las condiciones de excepción generadas por el dispositivo Radware se duplican en el servidor syslog especificado. El servidor actual de Radware Syslog le ofrece la opción de definir el estado y la dirección del servidor de registro de sucesos.

También puede definir más criterios de notificación, como Recurso y Gravedad, que se expresan mediante valores numéricos:

Instalación es un valor definido por el usuario que indica el tipo de dispositivo que utiliza el remitente. Este criterio se aplica cuando el dispositivo envía mensajes syslog. El valor predeterminado es 21, lo que significa Uso local 6.
La gravedad indica la importancia o el impacto del suceso notificado. La gravedad se determina dinámicamente por el dispositivo para cada mensaje enviado.

En la ventana Valores de seguridad , debe habilitar la creación de informes de seguridad utilizando los valores connect y protect/security . Debe habilitar los informes de seguridad para syslog y configurar la gravedad (riesgo de syslog).

Ahora está preparado para configurar el origen de registro en QRadar.

Consejo: Si tiene eventos personalizados que se muestran como desconocidos en QRadar, consulte el artículo de IBM® sobre QRadar®: Custom events for Radware DefensePro display 'parsed, but not mapped' (https://www.ibm.com/support/pages/node/6960301).