QRadar と通信するための CyberArk Privileged Threat Analytics の構成

CyberArk Privileged Threat Analytics からすべてのイベントを収集するには、syslog サーバーとして IBM QRadar を指定し、syslog 形式を構成する必要があります。 CyberArk Privileged Threat Analytics デバイスは、ログ・イベント拡張フォーマット (LEEF) としてフォーマットされた Syslog イベントを送信します。

手順

  1. CyberArk Privileged Threat Analytics マシン上で、 /opt/tomcat/diamond-resources/local/ ディレクトリーに移動し、vi などのテキスト・エディターで systemparm.properties ファイルを開きます。
  2. syslog_outbound プロパティーのコメントを外し、以下のパラメーターを編集します。
    パラメーター
    ホスト QRadar ・システムのホスト名または IP アドレス。
    ポート 514
    プロトコル UDP
    フォーマット LEEF
    syslog_outbound プロパティーの例を次に示します。

    syslog_outbound=[{"host": "SIEM_MACHINE_ADDRESS", "port": "514", "format": "LEEF", "protocol": "UDP"}]

    次に、複数の Syslog 宛先をコンマ区切りで指定している syslog_outbound プロパティーの例を示します。

    syslog_outbound=[{"host": "SIEM_MACHINE_ADDRESS", "port": "514", "format": "LEEF", "protocol": "UDP"} , {"host": "SIEM_MACHINE_ADDRESS1", "port": "514", "format": "LEEF", "protocol": "UDP"} , …]

  3. systemparm.properties 構成ファイルを保存して、閉じます。
  4. CyberArk Privileged Threat Analytics を再始動します。