QRadar と通信するための Cloud Web Security の構成

Cloud Web Security から IBM QRadarにイベントを送信するには、Cisco CWS ScanCenterでログ抽出を有効にする必要があります。

始める前に

会社のログ抽出サービスが有効になっていてプロビジョンされている必要があります。 「ログ抽出 (Log Extraction)」ページにアクセスするためのスーパーユーザー管理者特権を持っている必要があります。

手順

  1. Cisco ScanCenter アカウントにログインします。
  2. 「管理」 タブをクリックして、管理メニューを表示します。
  3. 「アカウント」 メニューから、 「ログ抽出」をクリックします。
  4. 「資格情報」 領域の 「アクション」 列で、 「問題キー」をクリックします。
  5. 「警告」 ダイアログ・ボックスで、 「問題」&「ダウンロード」をクリックします。

    鍵ペアが発行され、keypair.csv ファイルがダウンロードされます。

    「アクセス・キー (Access Key)」列および「最終発行日 (Last issued)」列の値が更新されます。 秘密鍵はユーザー・インターフェース (UI) に表示されません。

  6. keypair.csv ファイルを開き、 accessKey および secretKeyのコピーを作成します。
    keypair.csv ファイルには 20 個の文字ストリングからなるアクセス・キーと、40 個の文字ストリングからなる秘密鍵が含まれています。 コピーした鍵ペアの値は、 QRadarでログ・ソースを構成するときに使用されます。
  7. 「接続の詳細」 ペインで、 「エンドポイント」 列と 「バケット」 列の値をコピーして記録します。
    コピーした接続詳細の値は、 QRadarでログ・ソースを構成するときに使用されます。

次に実行するタスク

QRadarでログ・ソースを構成します。

Cisco CWS ログの抽出について詳しくは、「 Cisco Web サイト 」の「 Cisco スキャン・センター管理者ガイド、リリース 5.2 」を参照してください。(https://search.cisco.com/search?query=cisco%20scancenter%20administrator%20guide&locale=enUS&tab=Cisco)