Illumio Adaptive Security Platform
Illumio Adaptive Security Platform 用の IBM® QRadar® DSM は、Illumio Policy Compute Engine (PCE) からイベントを収集します。
以下の表は、Illumio Adaptive Security Platform DSM の仕様を示しています。
| 仕様 | 値 |
|---|---|
| 製造元 | Illumio |
| DSM 名 | Illumio Adaptive Security Platform |
| RPM ファイル名 | DSM-IllumioAdaptiveSecurityPlatform-QRadar_version-build_number.noarch.rpm |
| サポートされるバージョン | N/A |
| Protocol | Syslog |
| イベント・フォーマット | ログ・イベント拡張フォーマット (LEEF) |
| 記録されるイベント・タイプ |
監査 トラフィック |
| 自動的に検出? | はい |
| ID を含む? | いいえ |
| カスタム・プロパティーを含む? | いいえ |
| その他の情報 | Illumio Web サイト (https://www.illumio.com) |
Illumio Adaptive Security Platform を QRadar に統合するには、以下のステップを実行します。
- 自動更新が有効になっていない場合は、次の RPM の最新バージョンを IBM サポート Web サイトからダウンロードし、リストされている順序で QRadar コンソールにインストールしてください。
- DSMCommon RPM
- Illumio Adaptive Security Platform DSM RPM
- Syslog イベントを QRadar に送信するように Illumio PCE を構成します。
- QRadar がログ・ソースを自動的に検出しない場合、QRadar コンソール で Illumio Adaptive Security Platform ログ・ソースを追加してください。以下の表は、Illumio Adaptive Security Platform イベントの収集用に固有の値を必要とするパラメーターを示しています。
表 2. Illumio Adaptive Security Platform ログ・ソース・パラメーター パラメーター 値 ログ・ソース・タイプ Illumio Adaptive Security Platform プロトコル構成 Syslog ログ・ソース ID ログ・ソースの固有 ID。 - QRadar が正しく構成されていることを確認するには、以下の表を参照して、構文解析されたイベント・メッセージの例を確認してください。重要: フォーマット設定の問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けて、復帰文字または改行文字を削除してください。以下の表は、Illumio Adaptive Security Platform からのサンプル・イベント・メッセージを示しています。
表 3. Illumio Adaptive Security Platform サンプル・メッセージ イベント名 下位カテゴリー サンプル・ログ・メッセージ flow_allowed ファイアウォールの許可 <14>1 2016-08-08T22:18:24.000+00:00 hostname1 illumio_pce/collector 5458 - - sec=694704.253 sev=INFO pid=5458 tid=14554040 rid=0 LEEF:2.0|Illumio|PCE|16.6.0|flow_allowed|cat=flow_summary devTime=2016-08-08T15:20:55-07:00 devTimeFormat=yyyy-MM-dd'T'HH:mm:ssX proto=udp sev=1 src=<Source_IP_address> dst=<Destination_IP_address> dstPort=14000 srcBytes=0 dstBytes=15936 count=1 dir=I hostname=hostname2 intervalSec=3180 state=T workloadUUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx