Sybase ASE

Vous pouvez intégrer une unité Sybase Adaptive Server Enterprise (ASE) avec IBM QRadar SIEM pour enregistrer tous les événements pertinents à l'aide de JDBC.

A propos de cette tâche

Pour configurer une unité Sybase ASE :

1. Configurez l'audit Sybase.

   Pour plus d'informations sur la configuration de l'audit Sybase, voir la documentation Sybase.

2. Connectez-vous à la base de données Sybase en tant qu'utilisateur sa :

   isql -Usa -P<password>

   Où <mot de passe> est le mot de passe nécessaire pour accéder à la base de données.

3. Basculer vers la base de données de sécurité :
   • use sybsecurity
   • go
4. Créez une vue pour IBM QRadar SIEM.
   • create view audit_view
   • as
   • select audit_event_name(event) as event_name, * from <audit_table_1>
   • union
   • select audit_event_name(event) as event_name, * from <audit_table_2>
   • go
5. Pour chaque table d'audit supplémentaire dans la configuration d'audit, assurez-vous que le paramètre union select est répété pour chaque table d'audit supplémentaire.

   Par exemple, si vous souhaitez configurer l'audit avec quatre tables d'audit (sysaudits_01, sysaudits_02, sysaudits_03, sysaudits_04), entrez les commandes suivantes :

   • create view audit_view as select audit_event_name(event) as event_name, * from sysaudits_01
   • union select audit_event_name(event) as event_name, * from sysaudits_02,
   • union select audit_event_name(event) as event_name, * from sysaudits_03,
   • union select audit_event_name(event) as event_name, * from sysaudits_04

Etape suivante

Vous pouvez maintenant configurer la source de journal dans IBM QRadar SIEM.