Sicurezza Web di Cisco Cloud
IBM QRadar DSM for Cisco Cloud Web Security (CWS) raccoglie i log di utilizzo web da una memoria Cisco Cloud Web Security (CWS) utilizzando un'API compatibile con Amazon S3 .
| Specifica | Valore |
|---|---|
| Produttore | Cisco |
| Nome DSM | Sicurezza Web di Cisco Cloud |
| Nome file RPM | DSM-CiscoCloudWebSecurity-QRadar_version-build_number.noarch.rpm |
| Versioni supportate | N/A |
| Protocollo | Amazon AWS API REST di S3 |
| Formato dell'evento | W3C |
| Tipi di eventi registrati | Tutti i log di utilizzo web |
| Scoperto automaticamente? | N |
| Include l'identità? | N |
| Include proprietà personalizzate? | N |
| Ulteriori informazioni | Informazioni sul prodotto Cisco CW (https://www.cisco.com/go/cws) |
- Se gli aggiornamenti automatici non sono abilitati, scaricare e installare la versione più recente dei seguenti RPM dal sito web di supporto IBM®, nell'ordine in cui sono elencati, sul vostro QRadar
Console:
- RPM comune di protocollo
- Amazon AWS Protocollo API REST RPM
- DSMCommon RPM
- Cisco Cloud Web Security DSM RPM
- Abilitare l'estrazione log in Cisco ScanCenter (portale di amministrazione).
- Aggiungere un'origine log Cisco Cloud Web Security su QRadar
Console. La seguente tabella descrive i parametri che richiedono valori specifici per la raccolta eventi Cisco Cloud Web Security:
Tabella 2. I parametri di origine log di Cisco Cloud Web Security Parametro Valore Tipo di origine log Sicurezza Web di Cisco Cloud Configurazione protocollo Amazon AWS API REST di S3 Identificativo origine log L' identificatore di origine log può essere qualsiasi valore valido e non ha bisogno di fare riferimento a un server specifico. L' identificatore di origine log può essere lo stesso valore del Nome origine log. Se si configurava più di una fonte di log di Cisco CWS, si potrebbe voler identificare la prima origine log come ciscocws1, la seconda origine log come ciscocws2e la terza origine log come ciscocws13.
Versione firma Selezionare Firma Versione 2.
Se la tua API Cisco CWS sta utilizzando Signature Versione 4, contattare l'amministratore di sistema.
Nome Regione (Firma solo V4 ) La regione associata al secchio Amazon S3 . Nome servizio (solo firma V4 ) Immettere s3. Il nome del servizio Web di Amazon. Nome bucket Il nome del secchio Cisco CWS dove vengono memorizzati i file di log. URL endpoint https://vault.scansafe.com/ Chiave pubblica La chiave di accesso per abilitare l'estrazione del log dal secchio Cisco CWS. Chiave di accesso La chiave segreta per abilitare l'estrazione del log dal secchio Cisco CWS. Prefisso directory La posizione della directory root sul secchio di memoria Cisco CWS da dove vengono richiamati i log di Cisco CWS. Ad esempio, l'ubicazione della directory root potrebbe essere cws-logs/. Pattern file .*?\.txt\.gz Formato evento W3C. L'origine log richiama gli eventi formattati di testo W3C . Utilizza proxy Quando un proxy è configurato, tutto il traffico per l'origine log passa attraverso il proxy in modo tale che QRadar possa accedere ai bucket Amazon AWS S3 .
Configurare i campi Proxy Server, Proxy Port, Proxy Usernamee Password proxy . Se il proxy non richiede autenticazione, lasciare vuoti i campi Proxy Username e Proxy Password .
Acquisire automaticamente il certificato server (s) Se si seleziona Sì, QRadar scarica il certificato e inizia a fidarsi del server di destinazione.
Ricorrenza Specifica quanto spesso il protocollo API REST di Amazon AWS S3 si connette all'API di Cisco CWS per controllare nuovi file, e recuperarli se esistono. Il formato è M/H/D per Minuti / Hours/Days. Il default è 5 M.
Ogni accesso a un bucket AWS S3 incurva un costo monetario all'account che possiede il secchio. Pertanto, un valore di reiterazione più piccolo aumenta il costo.
| Nome evento | Categoria di livello basso | Messaggio di log di esempio |
|---|---|---|
| c: blocco comp | Accesso negato |
|