NCC Group DDoS Secure

IBM QRadar DSM for NCC Group DDoS Secure は、NCC Group DDoS Secure デバイスからイベントを収集します。

以下の表は、NCC Group DDoS Secure DSM の仕様を示しています。
表 1. NCC Group DDoS Secure DSM の仕様
仕様
製造元 NCC Group
DSM 名 NCC Group DDoS Secure
RPM ファイル名 DSM-NCCGroupDDoSSecure-QRadar_version-build_number.noarch.rpm
サポートされるバージョン 5.13.1-2s から 5.16.1-0
プロトコル Syslog
イベント・フォーマット LEEF
記録されるイベント・タイプ すべてのイベント
自動的に検出? はい
ID を含む? いいえ
カスタム・プロパティーを含む? いいえ
詳細情報 NCC Group Web サイト (https://www.nccgroup.trust/uk/)
NCC Group DDoS Secure を QRadarに統合するには、以下の手順を実行します。
  1. 自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから以下の RPM の最新バージョンをダウンロードし、QRadar Console にインストールしてください:
    • DSMCommon RPM
    • NCC Group DDoS Secure DSM RPM
  2. Syslog イベントを QRadarに送信するように NCC Group DDoS Secure デバイスを構成します。
  3. QRadar でログ・ソースが自動的に検出されなかった場合は、 QRadar Consoleで NCC Group DDoS Secure ログ・ソースを追加します。 以下の表で、NCC Group DDoS Secure からイベントを収集するために固有の値を必要とするパラメーターについて説明します。
    表 2. NCC Group DDoS Secure ログ・ソース・パラメーター
    パラメーター
    ログ・ソース・タイプ NCC Group DDoS Secure
    プロトコル構成 Syslog
  4. QRadar が正しく構成されていることを確認するには、以下の表を参照して、正規化されたイベント・メッセージの例を確認してください。
    以下の表は、 NCC グループ DDoS セキュアからのサンプル・イベント・メッセージを示しています。
    重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。
    表 3. NCC Group DDoS Secure サンプル・メッセージ
    イベント名 下位カテゴリー サンプル・ログ・メッセージ
    TCP 攻撃 - ポート・スキャン - 終了 (TCP Attack - Port Scan - END) ホスト・ポートのスキャン (Host Port Scan)
    <134>LEEF:1.0|NCCGroup|DDoS Secure|5.16.2-1|4078|desc=TCP Attack - Port Scan    sev=4    myip=<IP_address    proto=TCP    scrPort=0    dstPort=0    src=<Source_IP_address>    dst=<Destination_IP_address>    cat=END    devTime=2017-06-05 11:26:00    devTimeFormat=yyyy-MM-dd HH:mm:ss    end=2017-06-05 11:34:33    CurrentPps=0    PeakPps=14    totalPackets=243    realm=<Domain>    action=DROP