Radware DefensePro

IBM QRadar 用の Radware DefensePro DSM は、syslog を使用してイベントを受け入れます。 イベント・トラップを syslog サーバーにミラーリングすることもできます。

Radware DefensePro デバイスと統合するように QRadar を構成する前に、syslog イベントを QRadarに転送するように Radware DefensePro デバイスを構成する必要があります。 「デバイス」 > 「トラップおよび SMTP のオプション (Trap and SMTP option)」を使用して、適切な情報を構成する必要があります。

Radware デバイスで生成されたトラップは、 すべて指定の syslog サーバーにミラーリングされます。 最新の Radware Syslog サーバーでは、状況およびイベント・ログ・サーバーのアドレスを定義することができます。

通知基準 (ファシリティーや重大度など) を追加で定義することもできます。 基準は、以下のように数値によって表します。

  • 「ファシリティー (Facility)」 は、 送信側が使用するデバイスのタイプを示すユーザー定義の値です。 この基準は、 デバイスが syslog メッセージを送信するときに適用されます。 デフォルト値は 21 であり、Local Use 6 を意味します。
  • 重大度は、報告されたイベントの重要度や影響を示します。 重大度は、 送信されるメッセージごとに、デバイスによって動的に決定されます。

「セキュリティー設定」 ウィンドウで、 connect 設定および protect/security 設定を使用して、セキュリティー・レポートを有効にする必要があります。 syslog へのセキュリティー報告を有効にして、 重大度 (syslog リスク) を構成する必要があります。

これで、 QRadarでログ・ソースを構成する準備ができました。

Tip: QRadar で不明と表示されるカスタム イベントがある場合は、QRadar® に関する IBM® サポート記事を参照してください:Radware DefensePro のカスタム イベントは「解析されたがマップされていない」と表示される (https://www.ibm.com/support/pages/node/6960301).