Riverbed SteelCentral NetProfiler (Cascade Profiler) Audit

IBM QRadar DSM for Riverbed SteelCentral NetProfiler 監査は、Riverbed SteelCentral NetProfiler システムから監査ログを収集します。 この製品は、Cascade Profiler とも呼ばれています。

以下の表は、Riverbed SteelCentral NetProfiler DSM の仕様を示しています。
表 1. Riverbed SteelCentral NetProfiler の仕様
仕様
製造元 Riverbed
DSM 名 SteelCentral NetProfiler Audit
RPM ファイル名 DSM-RiverbedSteelCentralNetProfilerAudit-Qradar_version-build_number.noarch.rpm
プロトコル ログ・ファイル
記録されるイベント・タイプ 監査イベント
自動的に検出? いいえ
ID を含む? はい
カスタム・プロパティーを含む? いいえ
詳細情報 Riverbed Web サイト (http://www.riverbed.com/)
Riverbed SteelCentral NetProfiler Audit を QRadarと統合するには、以下のステップを実行します。
  1. 自動アップデートが有効になっていない場合は、IBM® サポートウェブサイトから以下の RPM の最新バージョンをダウンロードし、QRadar コンソールにインストールしてください。
    • Protocol-LogFile RPM
    • Riverbed SteelCentral NetProfiler Audit RPM
  2. Riverbed ホストに監査レポート・テンプレートを作成してサード・パーティー製ホストを構成し、 そのテンプレートを使用して監査ファイルを生成します。 Riverbed SteelCentral NetProfiler レポート・テンプレートの作成と監査ファイルの生成を参照してください。
  3. QRadar コンソールでログ・ソースを作成します。 ログ・ソースにより、 QRadar はサード・パーティー・ホストにアクセスして監査ファイルを取得できます。 Riverbed 固有のパラメーターを定義するには以下の表の内容を使用します。
    表 2. Riverbed SteelCentral NetProfiler ログ・ソース・パラメーター
    パラメーター 説明
    ログ・ソース・タイプ Riverbed SteelCentral NetProfiler Audit
    プロトコル構成 LogFile
    リモート IP またはホスト名 生成された監査ファイルを格納するサード・パーティー製ホストの IP アドレスまたはホスト名。
    リモート・ユーザー ホストにアクセス可能なアカウントのユーザー名。
    リモート・パスワード ユーザー・アカウントのパスワード。
    リモート・ディレクトリー 生成された監査ファイルを格納するサード・パーティー製ホスト上の絶対ファイル・パス。
    FTP ファイル・パターン 監査ファイルの名前に一致する正規表現パターン。
    繰り返し (Recurrence) 繰り返しは、リモート・ホストで SteelScript for Python SDK スクリプトを実行する頻度に一致していなければなりません。
    イベント・ジェネレーター (Event Generator) 行比較機能
    行比較機能の正規表現 (Line Matcher RegEx)
    ^\d+/\d+/\d+ \d+:\d+,