NCC Group DDoS Secure
IBM QRadar DSM for NCC Group DDoS Secure は、NCC Group DDoS Secure デバイスからイベントを収集します。
以下の表は、NCC Group DDoS Secure DSM の仕様を示しています。
| 仕様 | 値 |
|---|---|
| 製造元 | NCC Group |
| DSM 名 | NCC Group DDoS Secure |
| RPM ファイル名 | DSM-NCCGroupDDoSSecure-QRadar_version-build_number.noarch.rpm |
| サポートされるバージョン | 5.13.1-2s から 5.16.1-0 |
| プロトコル | Syslog |
| イベント・フォーマット | LEEF |
| 記録されるイベント・タイプ | すべてのイベント |
| 自動的に検出? | はい |
| ID を含む? | いいえ |
| カスタム・プロパティーを含む? | いいえ |
| 詳細情報 | NCC Group Web サイト (https://www.nccgroup.trust/uk/) |
NCC Group DDoS Secure を QRadarに統合するには、以下の手順を実行します。
- 自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから以下の RPM の最新バージョンをダウンロードし、QRadar
Console にインストールしてください:
- DSMCommon RPM
- NCC Group DDoS Secure DSM RPM
- Syslog イベントを QRadarに送信するように NCC Group DDoS Secure デバイスを構成します。
- QRadar でログ・ソースが自動的に検出されなかった場合は、 QRadar
Consoleで NCC Group DDoS Secure ログ・ソースを追加します。 以下の表で、NCC Group DDoS Secure からイベントを収集するために固有の値を必要とするパラメーターについて説明します。
表 2. NCC Group DDoS Secure ログ・ソース・パラメーター パラメーター 値 ログ・ソース・タイプ NCC Group DDoS Secure プロトコル構成 Syslog - QRadar が正しく構成されていることを確認するには、以下の表を参照して、正規化されたイベント・メッセージの例を確認してください。以下の表は、 NCC グループ DDoS セキュアからのサンプル・イベント・メッセージを示しています。重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。
表 3. NCC Group DDoS Secure サンプル・メッセージ イベント名 下位カテゴリー サンプル・ログ・メッセージ TCP 攻撃 - ポート・スキャン - 終了 (TCP Attack - Port Scan - END) ホスト・ポートのスキャン (Host Port Scan) <134>LEEF:1.0|NCCGroup|DDoS Secure|5.16.2-1|4078|desc=TCP Attack - Port Scan sev=4 myip=<IP_address proto=TCP scrPort=0 dstPort=0 src=<Source_IP_address> dst=<Destination_IP_address> cat=END devTime=2017-06-05 11:26:00 devTimeFormat=yyyy-MM-dd HH:mm:ss end=2017-06-05 11:34:33 CurrentPps=0 PeakPps=14 totalPackets=243 realm=<Domain> action=DROP