Forcepoint Stonesoft Management Center

Le DSM IBM QRadar pour Forcepoint Stonesoft Management Center collecte des événements à partir d'un dispositif StoneGate à l'aide de syslog.

Le tableau suivant décrit les spécifications du DSM Stonesoft Management Center :

Tableau 1. Spécifications du DSM Stonesoft Management Center
Spécification	Valeur
Fabricant	FORCEPOINT
Nom du DSM	Stonesoft Management Center
Nom du fichier RPM	DSM-StonesoftManagementCenter-`QRadar_version-build_number`.noarch.rpm
Versions prises en charge	5.4 à 6.1
Protocole	Syslog
Format d'événement	LEEF
Types d'événements enregistrés	Evénements Management Center, IPS, Firewall et VPN
Reconnu automatiquement ?	Oui
Inclut l'identité ?	Non
Inclut les propriétés personnalisées ?	Non
Informations complémentaires	Site Web FORCEPOINT (https://www.forcepoint.com)

Pour intégrer FORCEPOINT Stonesoft Management Center à QRadar, procédez comme suit :

Si les mises à jour automatiques ne sont pas activées, téléchargez et installez la version la plus récente des RPM suivants à partir du IBM® sur votre QRadar Console :
- RPM DSMCommon
- RPM DSM Stonesoft Management Center
Configurez votre unité StoneGate pour envoyer des événements syslog à QRadar.

Si QRadar ne détecte pas automatiquement la source du journal, ajoutez une source de journal Stonesoft Management Center à QRadar Console. Le tableau suivant décrit les paramètres qui requièrent des valeurs spécifiques pour collecter des événements à partir de Stonesoft Management Center :

Tableau 2. Paramètres de source de journal Stonesoft Management Center
Paramètre	Valeur
Type de source de journal	Stonesoft Management Center
Configuration de protocole	Syslog
Identificateur de la source de journal	Entrez un nom unique pour la source de journal.

Vérifiez que QRadar est correctement configuré.

Le tableau suivant présente un exemple de message d'événement normalisé Stonesoft Management Center :

Nom de l'événement catégorie de niveau inférieur Exemple de message de journal

Generic_UDP-Rugged-Director-Denial-Of-Service

Attaque par saturation autre

Tableau 3. Exemple de message Stonesoft Management Center
Nom de l'événement	catégorie de niveau inférieur	Exemple de message de journal
Generic_UDP-Rugged-Director-Denial-Of-Service	Attaque par saturation autre	`LEEF:1.0\|FORCEPOINT\|IPS\|5.8.5\|Generic_UDP-Rugged-Director-Denial-Of-Service\|devTimeFormat=MMM dd yyyy HH:mm:ss srcMAC=00:00:00:00:00:00 sev=2 dstMAC=00:00:00:00:00:00 devTime=Feb 23 201710:13:58 proto=17 dstPort=00000 srcPort=00000 dst=127.0.0.1 src=127.0.0.1action=Permit logicalInterface=NY2-1302-DMZ_IPS_ASA_Primary sender="username" Sensor`

LEEF:1.0|FORCEPOINT|IPS|5.8.5|Generic_UDP-Rugged-Director-Denial-Of-Service|devTimeFormat=MMM dd yyyy HH:mm:ss    srcMAC=00:00:00:00:00:00    sev=2    dstMAC=00:00:00:00:00:00    devTime=Feb 23 201710:13:58    proto=17    dstPort=00000    srcPort=00000    dst=127.0.0.1    src=127.0.0.1action=Permit    logicalInterface=NY2-1302-DMZ_IPS_ASA_Primary    sender="username" Sensor