IDS/IPS Cisco

Vous pouvez intégrer une unité de sécurité Cisco IDS/IPS avec IBM QRadar.

Cisco IDS/IPS DSM for IBM QRadar collecte les IDS/IPS Cisco pour les événements à l'aide du protocole SDEE (Security Device Event Exchange).

La spécification SDEE définit le format de message et le protocole utilisés pour communiquer les événements générés par votre périphérique de sécurité Cisco IDS/IPS. QRadar prend en charge les connexions SDEE en interrogeant directement le périphérique IDS/IPS et non le logiciel de gestion qui contrôle le périphérique.

Remarque: Vous devez disposer d'un accès de sécurité ou d'une authentification Web sur l'appareil avant de vous connecter à QRadar.

Après avoir configuré votre unité Cisco IDS/IPS, vous devez configurer le protocole SDEE dans QRadar. Lorsque vous configurez le protocole SDEE, vous devez définir l'URL utilisée pour accéder à l'unité. Un exemple d'URL qui définit l'unité est https//www.example.com/cgi-bin/sdee-server.

Vous devez utiliser http ou https dans l'URL, qui est spécifique à la version de votre IDS Cisco.

Lorsque vous utilisez RDEP (pour Cisco IDS 4.0), vérifiez que l'URL finit par /cgi-bin/event-server. Exemple d'URL : https://www.example.com/cgi-bin/event-server.
Lorsque vous utilisez SDEE/CIDEE (pour les IDS Cisco 5.x et versions ultérieures), vérifiez que l'URL finit par /cgi-bin/sdee-server. Exemple d'URL : https://www.example/cgi-bin/sdee-server.