ESET Remote Administrator
ESET Remote Administrator 用の IBM QRadar DSM は、ESET Remote Administrator からログを収集します。
以下の表は、ESET Remote Administrator DSM の仕様を示しています。
| 仕様 | 値 |
|---|---|
| 製造元 | ESET |
| DSM 名 | ESET Remote Administrator |
| RPM ファイル名 | DSM-ESETRemoteAdministrator-QRadar_version-build_number.noarch.rpm |
| サポートされるバージョン | 6.4.270 |
| プロトコル | Syslog |
| イベント・フォーマット | ログ・イベント拡張フォーマット (LEEF) |
| 記録されるイベント・タイプ | 脅威 集約されたファイアウォール 集約されたホスト侵入保護システム (HIPS) 監査 |
| 自動的に検出? | はい |
| ID を含む? | はい |
| カスタム・プロパティーを含む? | いいえ |
| 詳細情報 | ESET Web サイト (https://www.eset.com/us/support/download/business/remote-administrator-6) |
ESET Remote Administrator を QRadarに統合するには、以下の手順を実行します。
- 自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから以下の RPM の最新バージョンを QRadar
Console にリストされている順にダウンロードしてインストールしてください:
- DSMCommon RPM
- ESET Remote Administrator DSM RPM
- LEEF 形式の syslog イベントを QRadarに送信するように ESET Remote Administrator サーバーを構成します。
- QRadar でログ・ソースが自動的に検出されなかった場合は、 QRadar
Consoleで ESET Remote Administrator ログ・ソースを追加します。 以下の表は、ESET Remote Administrator イベントの収集用に固有の値を必要とするパラメーターを示しています。
表 2. ESET Remote Administrator ログ・ソースのパラメーター パラメーター 値 ログ・ソース・タイプ ESET Remote Administrator プロトコル構成 Syslog ログ・ソース ID ESET Remote Administration サーバーの IP アドレスまたはホスト名。 - QRadar がイベントを正しく解析することを確認するには、以下のサンプル・イベント・メッセージを確認します。以下の表に、 ESET リモート管理者からのサンプル・イベント・メッセージを記載します。
表 3. ESET Remote Administrator サンプル・メッセージ イベント名 下位カテゴリー サンプル・ログ・メッセージ ネイティブ・ユーザー・ログイン (Native user login) ユーザー・ログイン成功 <14>1 2016-08-15T14:52:31.888Z hostname ERAServer 28021 - - LEEF:1.0|ESET|RemoteAdministrator|<Version>|Native user login|cat=ESET RA Audit Event sev=2 devTime=Aug 15 2016 14:52:31 devTimeFormat=MMM dd yyyy HH:mm:ss src=<Source_IP_address> domain=Native user action=Login attempt target=username detail=Native user 'username' attempted to authenticate. result=Success