Vormetric Data Security Manager が IBM
QRadarと通信できるようになっている場合、Vormetric Data Firewall FS エージェントからのすべてのイベントも、Vormetric Data Security Manager を介して QRadar システムに転送されます。
このタスクについて
Vormetric Data Security Manager をバイパスするには、LEEF イベントを直接 QRadar システムに送信するように Vormetric Data Firewall FS Agents を構成します。
使用する Vormetric Data Security Manager ユーザー・アカウントにはシステム管理者権限が必要です。
手順
- Vormetric Data Security Manager にログインします。
- ナビゲーション・メニューで、 をクリックします。
- 「FS エージェント・ログ」 タブをクリックします。
- 「ポリシー評価」 行で、以下のパラメーターを構成します。
- 「Syslog/イベント・ログに記録 (Log to Syslog/Event Log)」 チェック・ボックスを選択します。
- 「サーバーにアップロード」 チェック・ボックスをクリアします。
- 「レベル」 リストから、 「INFO」を選択します。
このセットアップによって、ポリシー評価モジュールからの監査証跡全体を Security Manager ではなく syslog サーバーに直接送信できるようになります。 両方の宛先を有効のままにすると、イベントが QRadar システムに重複する可能性があります。
- 「Syslog 設定 (Syslog Settings)」セクションの下で、以下のパラメーターを構成します。 「サーバー」 フィールドで、以下の構文を使用して、 QRadar システムの IP アドレス、またはホスト名とポート番号を入力します。
qradar_IP address_or_host:ポート
- 「プロトコル」 リストから、 「TCP」 または QRadar システム上のログ・ソース構成と一致する値を選択します。
- 「メッセージ形式」 リストから、 「LEEF」を選択します。
次に実行するタスク
この構成は Vormetric Data Security Manager に後から追加されるすべてのホストおよびホスト・グループに適用されます。 既存の各ホストまたはホスト・グループについては、「ホスト (Hosts)」リストから必要なホストまたはホスト・グループを選択し、この手順を繰り返します。