IBM QRadar Network Security XGS アラートの構成

すべてのイベント・タイプは、LEEF 対応のリモート syslog アラート・オブジェクトを使用して IBM QRadar に送信されます。

このタスクについて

リモート syslog アラート・オブジェクトは、イベントが生成された各コンテキストから作成、編集、および削除できます。 IBM QRadar Network Security XGS ローカル管理インターフェースに管理者としてログインし、リモート syslog アラート・オブジェクトを構成して、以下のいずれかのメニューに移動します。

  • 管理 > システム設定 > システム・アラート (システム・イベント)
  • セキュア > ネットワーク・アクセス・ポリシー (アクセス・イベント)
  • Secure > IPS イベント・フィルター・ポリシー (セキュリティー・イベント)
  • Secure > 侵入防止ポリシー (セキュリティー・イベント)
  • セキュア > ネットワーク・アクセス・ポリシー > 検査 > 不正侵入防御ポリシー

「IPS オブジェクト」「ネットワーク・オブジェクト」ペインまたは「システム・アラート」ページで、以下の手順を実行します。

手順

  1. 新規 > アラート > リモート Syslogをクリックします。
  2. 既存のリモート syslog アラート・オブジェクトを選択して、 「編集」をクリックします。
  3. 以下のオプションを構成します。
    表 1. Syslog 構成パラメーター

    オプション

    説明

    名前

    syslog アラート構成の名前を入力します。

    リモート Syslog コレクター

    QRadar Console または Event Collectorの IP アドレスを入力します。

    リモート Syslog コレクター・ポート

    「リモート Syslog コレクター・ポート (Remote Syslog Collector Port)」514 と入力します。

    リモート LEEF が有効 (Remote LEEF Enabled)

    LEEF 形式のイベントを有効にする場合は、このチェック・ボックスを選択します。 これは必須フィールドです。

    このオプションが表示されない場合は、IBM® QRadar Security Networkアプライアンスにソフトウェアバージョン5.0、fixpack 7からv5.4がインストールされていることを確認してください。

    コメント

    syslog 構成のコメントの入力はオプションです。

  4. 「構成の保存」をクリックします。

    アラートが「使用可能なオブジェクト」リストに追加されます。

  5. IBM QRadar Network Security XGS アプライアンスを更新するには、 「デプロイ」をクリックします。
  6. QRadar の LEEF アラート・オブジェクトを以下の場所に追加します。
    • ポリシー内の 1 つ以上のルール
    • 「システム・アラート」 ページの 「追加されたオブジェクト」 ペイン
  7. 「デプロイ」 をクリックします。

    Network Security XGS デバイスについて詳しくは、 QRadar Network Security XGS ローカル管理インターフェースのブラウザー・クライアント・ウィンドウで 「ヘルプ」 をクリックするか、オンラインの IBM QRadar Network Security XGS 資料にアクセスしてください。