FireEye
IBM QRadar DSM per FireEye accetta eventi syslog in formato LEEF (Log Event Extended Format) e CEF (Common Event Format).
Questo DSM si applica alle appliance FireEye CMS, MPS, EX, AX, NX, FX e HX. QRadar registra tutti gli avvisi di notifica pertinenti inviati dai dispositivi FireEye .
La seguente tabella identifica le specifiche per FireEye DSM.
| Specifica | Valore |
|---|---|
| Produttore | FireEye |
| Nome DSM | FireEye MPS |
| Versioni supportate | CMS, MPS, EX, AX, NX, FX e HX |
| Nome file RPM | DS M-FireEyeMPS-QRadar_versione-Numero_build. noarch.rpm |
| Protocollo | Syslog e Syslog TLS |
| Formato evento | Formato evento comune (CEF). CEF:0 è supportato. |
| Tipi di evento registrati QRadar | Tutti gli eventi rilevanti |
| Scoperto auto? | Sì |
| Include l'identità? | N |
| Ulteriori informazioni | Sito Web FireEye (www.fireeye.com) |
Per integrare FireEye con QRadar, utilizzare le seguenti procedure:
- Se gli aggiornamenti automatici non sono abilitati, scaricare e installare l'RPM di DSM Common e FireEye MPS dal sito web di supporto IBM® sulla console QRadar.
- Scaricare e installare l'ultimo TLS Syslog Protocol RPM su QRadar.
- Per ogni istanza di FireEye nella distribuzione, configurare il sistema FireEye per inoltrare gli eventi a QRadar.
- Per ogni istanza di FireEye, creare una sorgente di log FireEye sulla console QRadar. Le seguenti tabelle spiegano come configurare un'origine log in Syslog e TLS Syslog per FireEye.
Tabella 2. Configurazione dei protocolli di origine log Syslog per FireEye Parametro Descrizione Tipo di origine log FireEye Configurazione protocollo Syslog Identificativo origine log Digitare l'indirizzo IP o il nome host per l'origine log come identificativo per gli eventi dal tuo dispositivo. Guarda Aggiunta di una fonte di log per parametri più comuni che si verificano in Syslog e TLS Syslog protocollo opzioni di configurazione per più parametri specifici del protocollo TLS Syslog e le relative configurazioni.Tabella 3. Configurazione dei protocolli di origine log Syslog TLS per FireEye Parametro Descrizione Tipo di origine log FireEye Configurazione protocollo Syslog TLS Identificativo origine log Digitare l'indirizzo IP o il nome host per l'origine log come identificativo per gli eventi dal tuo dispositivo. Porta di ascolto TLS La porta di ascolto TLS predefinita è 6514. Modalità di autenticazione La modalità con cui viene autenticata la tua connessione TLS. Se si seleziona l'opzione TLS e Client Authentication, è necessario configurare i parametri del certificato. Tipo di certificato Il tipo di certificato da utilizzare per l'autenticazione. Se si seleziona l'opzione Provide Certificate è necessario configurare i percorsi di file per il certificato server e la chiave privata. Percorso certificato server fornito Il percorso assoluto per il certificato server. Percorso di chiave privata fornito Il percorso assoluto verso la chiave privata. Nota: La chiave privata corrispondente deve essere una chiave PKCS8 codificata DER. La configurazione non riesce con nessun altro formato chiave.Connessioni massime Il parametro Massimo Connections controlla quante connessioni simultanee il protocollo TLS Syslog può accettare per ogni Raccoglitore Eventi.
Il limite di connessione in tutte le configurazioni di origine log syslog TLS è di 1000 connessioni per ogni Raccoglitore Eventi. Il default per ogni connessione periferica è di 50.
Nota: Le fonti di log rilevate automaticamente che condividono un ascoltatore con un'altra origine log, come se si utilizza la stessa porta sullo stesso raccoglitore di eventi, contano solo una volta verso il limite.