Centro di gestione Forcepoint Stonesoft

Il IBM QRadar DSM per Forcepoint Stonesoft Management Center raccoglie gli eventi da un dispositivo StoneGate utilizzando syslog.

La seguente tabella descrive le specifiche per lo Stonesoft Management Center DSM:

Tabella 1. Specifiche di Stonesoft Management Center DSM
Specifica	Valore
Produttore	FORCEPOINT
Nome DSM	Centro di gestione Stonesoft
Nome file RPM	DSM-StonesoftManagementCenter-`QRadar_version-build_number`.noarch.rpm
Versioni supportate	5.4 a 6.1
Protocollo	Syslog
Formato dell'evento	LEEF
Tipi di eventi registrati	Eventi Management Center, IPS, Firewall e VPN
Scoperto automaticamente?	Sì
Include l'identità?	N
Include proprietà personalizzate?	N
Ulteriori informazioni	Sito web FORCEPOINT (https://www.forcepoint.com)

Per integrare FORCEPOINT Stonesoft Management Center con QRadar, completare la seguente procedura:

Se gli aggiornamenti automatici non sono abilitati, scaricare e installare la versione più recente dei seguenti RPM dal sito web di supporto IBM® sul vostro QRadar Console:
- DSMCommon RPM
- Stonesoft Management Center DSM RPM
Configurare il dispositivo StoneGate per l'invio di eventi syslog a QRadar.

Se QRadar non rileva automaticamente l'origine log, aggiungere un'origine log Stonesoft Management Center su QRadar Console. La seguente tabella descrive i parametri che richiedono valori specifici per raccogliere gli eventi da Stonesoft Management Center:

Tabella 2. Parametri di origine log di Stonesoft Management Center
Parametro	Valore
Tipo di origine log	Centro di gestione Stonesoft
Configurazione protocollo	Syslog
Identificativo origine log	Digitare un nome univoco per l'origine log.

Verificare che QRadar sia configurato correttamente.

La seguente tabella mostra un messaggio di evento normalizzato di esempio da Stonesoft Management Center:

Nome evento Categoria di livello basso Messaggio di log di esempio

Generic_UDP - Rugged - Direttore - Denial - Of - Service

DoS vario

Tabella 3. Messaggio di esempio di Stonesoft Management Center
Nome evento	Categoria di livello basso	Messaggio di log di esempio
Generic_UDP - Rugged - Direttore - Denial - Of - Service	DoS vario	`LEEF:1.0\|FORCEPOINT\|IPS\|5.8.5\|Generic_UDP-Rugged-Director-Denial-Of-Service\|devTimeFormat=MMM dd yyyy HH:mm:ss srcMAC=00:00:00:00:00:00 sev=2 dstMAC=00:00:00:00:00:00 devTime=Feb 23 201710:13:58 proto=17 dstPort=00000 srcPort=00000 dst=127.0.0.1 src=127.0.0.1action=Permit logicalInterface=NY2-1302-DMZ_IPS_ASA_Primary sender="username" Sensor`

LEEF:1.0|FORCEPOINT|IPS|5.8.5|Generic_UDP-Rugged-Director-Denial-Of-Service|devTimeFormat=MMM dd yyyy HH:mm:ss    srcMAC=00:00:00:00:00:00    sev=2    dstMAC=00:00:00:00:00:00    devTime=Feb 23 201710:13:58    proto=17    dstPort=00000    srcPort=00000    dst=127.0.0.1    src=127.0.0.1action=Permit    logicalInterface=NY2-1302-DMZ_IPS_ASA_Primary    sender="username" Sensor