Parametri di origine log SDEE per Cisco IDS/IPS

Se QRadar non rileva automaticamente l'origine log, aggiungere un'origine log Cisco IPS (Intrusion Prevention System) su QRadar Console utilizzando il protocollo SDEE (Security Device Event Exchange).
La seguente tabella descrive i parametri che richiedono valori specifici per raccogliere gli eventi SDEE dai dispositivi Cisco IDS/IPS:
Tabella 1. Parametri di origine log SDEE per Cisco IDS/IPS DSM
Parametro Valore
Log Source type Cisco Intrusion Prevention System (IPS)
Protocol Configuration SDEE
Log Source Identifier Digitare un indirizzo IP, nome host o nome per identificare l'origine dell'evento SDEE.

L'identificatore ti aiuta a determinare quali eventi provengono dal tuo dispositivo Cisco IDS/IPS.
URL Digitare l'indirizzo URL per accedere all'origine del registro.
È necessario utilizzare un http o https nell' URL. Di seguito vengono riportati alcuni esempi:
  • Se si utilizza SDEE/CIDEE (per Cisco IDS v5.x e successivi), verificare che /cgi-bin/sdee-server sia alla fine dell' URL. Ad esempio, https://www.example.com/cgi-bin/sdee-server.
  • Se si utilizza RDEP (per Cisco IDS v4.0 ), verificare che /cgi-bin/event-server sia alla fine dell' URL. Ad esempio, https://www.example.com/cgi-bin/event-server.
Username Immettere il nome utente.

Questo nome utente deve corrispondere al nome utente dell' URL SDEE utilizzato per accedere all' URL SDEE. Il nome utente può arrivare fino a 255 caratteri di lunghezza.
Password Digitare la password utente.

Questa password deve corrispondere alla password dell' URL SDEE utilizzata per accedere all' URL SDEE. La password può essere lunga fino a 255 caratteri.
Events / Query Digitare il numero massimo di eventi da richiamare per interrogazione.

La gamma valida è di 0 - 501 e il default è di 100.
Force Subscription Selezionare questa casella di spunta se si desidera forzare un nuovo abbonamento SDEE.

La casella di controllo costringe il server a rilasciare la connessione meno attiva e ad accettare una nuova connessione di abbonamento SDEE per questa sorgente log. Per impostazione predefinita, la casella di controllo è selezionata. La cancellazione della casella di controllo continua con qualsiasi abbonamento SDEE esistente.
Severity Filter Low Selezionare questa casella di spunta se si desidera configurare il livello di gravità come basso.

Le sorgenti di log che supportano SDEE restituiscono solo gli eventi che corrispondono a questo livello di gravità. Per impostazione predefinita, la casella di controllo è selezionata.
Severity Filter Medium Selezionare questa casella di controllo se si desidera configurare il livello di gravità come mezzo.

Le sorgenti di log che supportano SDEE restituiscono solo gli eventi che corrispondono a questo livello di gravità. Per impostazione predefinita, la casella di controllo è selezionata.
Severity Filter High Selezionare questa casella di spunta se si desidera configurare il livello di gravità come elevato.

Le sorgenti di log che supportano SDEE restituiscono solo gli eventi che corrispondono a questo livello di gravità. Per impostazione predefinita, la casella di controllo è selezionata.

Per un elenco completo dei parametri del protocollo SDEE e dei relativi valori, consultare Opzioni di configurazione del protocollo SDEE.