IBM Security Trusteer Apex Advanced Malware Protection

IBM® Security Trusteer Apex Advanced Malware ProtectionDSM は、Trusteer Apex Advanced Malware Protectionシステムからイベントデータを収集し、「IBM QRadar」に転送します。

QRadar は、 Trusteer Apex Advanced Malware Protection システムから以下の項目を収集します。
  • Syslog イベント
  • ログ・ファイル (システムのフラット・フィード・ファイルをホストする仲介サーバー経由)
  • SSL/TLS 認証を経由した Syslog イベント
以下の表は、IBM Security Trusteer Apex Advanced Malware Protection DSM の仕様を示しています。
表 1. IBM Security Trusteer Apex Advanced Malware Protection DSM の仕様
仕様
製造元 IBM
DSM 名 IBM Security Trusteer Apex Advanced Malware Protection
RPM ファイル名 DSM-TrusteerApex-QRadar_version-build_number.noarch.rpm
サポートされるバージョン Syslog/LEEF イベントの収集: Apex Local Manager 2.0.45

LEEF:ver_1303.1

フラット・ファイル・フィード: v1、v3、および v4

プロトコル Syslog

ログ・ファイル

TLS Syslog

記録されるイベント・タイプ マルウェア検出

エクスプロイト検出

データ引き出し検出

Java™ イベントのロックダウン

ファイル検査イベント

Apex 停止イベント

Apex アンインストール・イベント

ポリシー変更イベント

ASLR 違反イベント

ASLR 適用イベント

パスワード保護イベント

自動的に検出? はい
ID を含む? いいえ
カスタム・プロパティーを含む? いいえ
詳細情報 IBM Security Trusteer Apex Advanced Malware Protection Web サイト (http://www-03.ibm.com/software/products/en/trusteer-apex-adv-malware)
IBM Security Trusteer Apex Advanced Malware Protection イベント収集を構成するには、以下のステップを実行します。
  1. 自動更新が有効になっていない場合は、以下に示す RPM の最新バージョンを IBM サポート Web サイト からダウンロードし、 QRadar Consoleにインストールしてください。
    • DSMCommon RPM
    • ログ・ファイル・プロトコル RPM
    • TLS Syslog プロトコル RPM
    • IBM Security Trusteer Apex Advanced Malware Protection DSM RPM
  2. 次のオプションのいずれかを選択してください。
  3. QRadar でログ・ソースが自動的に検出されない場合は、 QRadar Consoleで IBM Security Trusteer Apex Advanced Malware Protection ログ・ソースを追加します。
    以下の表は、IBM Security Trusteer Apex Advanced Malware Protection syslog イベントの収集用に固有の値を必要とするパラメーターを示しています。
    表 2. IBM Security Trusteer Apex Advanced Malware Protection Syslog プロトコルのログ・ソース・パラメーター
    パラメーター
    ログ・ソース・タイプ IBM Security Trusteer Apex Advanced Malware Protection
    プロトコル構成 syslog
    ログ・ソース ID Syslog ヘッダーに格納されている IP アドレスまたはホスト名。 syslog ヘッダーに IP アドレスまたはホスト名が含まれない場合は、パケット IP アドレスを使用します。
    以下の表には、 IBM Security Trusteer Apex Advanced Malware Protection TLS Syslog イベントの収集用に固有の値を必要とするパラメーターの説明が示されています。
    表 3. IBM Security Trusteer Apex Advanced Malware Protection TLS Syslog プロトコルのログ・ソース・パラメーター
    パラメーター
    ログ・ソース・タイプ IBM Security Trusteer Apex Advanced Malware Protection
    プロトコル構成 TLS Syslog
    ログ・ソース ID Syslog ヘッダーに格納されている IP アドレスまたはホスト名。 syslog ヘッダーに IP アドレスもホスト名も含まれない場合は、パケット IP アドレスを使用します。
    TLS listen ポート デフォルトのポートは 6514 です。
    認証モード TLS
    証明書タイプ リストから「 証明書の提供 」オプションを選択します。
    最大接続数 「最大接続数 (Maximum Connections)」パラメーターは、各イベント・コレクターについて TLS Syslog プロトコルが許容できる同時接続の数を制御します。 各イベント・コレクターについて、すべての TLS Syslog ログ・ソース構成で 1000 接続の制限があります。 各デバイス接続のデフォルトは 50 です。
    注: リスナーを別のログ・ソースと共有している、自動的にディスカバーされたログ・ソースは、制限に対して 1 回だけカウントされます。 例えば、同一のイベント・コレクターで同一のポートを使用する場合です。
    TLS プロトコル クライアントにインストールされている TLS のバージョンをドロップダウン・リストから選択します。
    提供されているサーバー証明書のパス (Provided Server Certificate Path) サーバー証明書の絶対パス。 例えば、/opt/qradar/conf/trusted_certificates/apex-alm-tls.cert
    提供されている秘密鍵のパス (Provided Private Key Path) PKCS#8 秘密鍵の絶対パス。 例えば、/etc/pki/tls/private/apex-alm-tls.pk8
    重要: TLS syslog を使用し、FQDN を使用してシステムにアクセスする場合は、リスナー用の独自の証明書を生成し、それを TLS syslog 構成で指定する必要があります。

    以下の表は、IBM Security Trusteer Apex Advanced Malware Protection ログ・ファイルの収集用に固有の値を必要とするパラメーターを示しています。

    表 4. ログ・ファイル・プロトコル用の IBM Security Trusteer Apex Advanced Malware Protection ログ・ソース・パラメーター
    パラメーター
    ログ・ソース・タイプ IBM Security Trusteer Apex Advanced Malware Protection
    プロトコル構成 ログ・ファイル
    ログ・ソース ID フラット・ファイル・フィードをホストするサーバーの IP アドレスまたはホスト名。
    サービス・タイプ SFTP
    リモート IP またはホスト名 フラット・ファイル・フィードをホストするサーバーの IP アドレスまたはホスト名。
    リモート・ポート 22
    リモート・ユーザー フラット・ファイル・フィードをホストするサーバー上の QRadar 用に作成したユーザー名。
    SSH 鍵ファイル パスワードを使用する場合は、このフィールドをブランクのままにします。
    リモート・ディレクトリー フラット・ファイル・フィードを保存するログ・ファイル・ディレクトリー。
    再帰的 (Recursive) 同じファイルを QRadarに繰り返しプルしないようにするには、このオプションを選択しないでください。
    FTP ファイル・パターン "trusteer_feeds_.*?_[0-9]{8}_[0-9]*?\.csv"
    開始時刻 ログ・ファイル・プロトコルにログ・ファイルの収集を開始させる時刻。
    繰り返し (Recurrence) ログ・ファイル取得のポーリング間隔。
    保存時に実行 有効にする必要があります。
    プロセッサー なし
    以前に処理したファイルを無視 (Ignore Previously Processed Files) 有効にする必要があります。
    イベント・ジェネレーター (Event Generator) LINEBYLINE
    ファイルのエンコード (File Encoding) UTF-8