CyberArk Privileged Threat Analytics からすべてのイベントを収集するには、syslog サーバーとして IBM
QRadar を指定し、syslog 形式を構成する必要があります。 CyberArk Privileged Threat Analytics デバイスは、ログ・イベント拡張フォーマット (LEEF) としてフォーマットされた Syslog イベントを送信します。
手順
- CyberArk Privileged Threat Analytics マシン上で、 /opt/tomcat/diamond-resources/local/ ディレクトリーに移動し、vi などのテキスト・エディターで systemparm.properties ファイルを開きます。
- syslog_outbound プロパティーのコメントを外し、以下のパラメーターを編集します。
| パラメーター |
値 |
| ホスト |
QRadar ・システムのホスト名または IP アドレス。 |
| ポート |
514 |
| プロトコル |
UDP |
| フォーマット |
LEEF |
syslog_outbound プロパティーの例を次に示します。
syslog_outbound=[{"host": "SIEM_MACHINE_ADDRESS", "port": "514", "format":
"LEEF", "protocol": "UDP"}]
次に、複数の Syslog 宛先をコンマ区切りで指定している syslog_outbound プロパティーの例を示します。
syslog_outbound=[{"host":
"SIEM_MACHINE_ADDRESS", "port": "514", "format": "LEEF", "protocol": "UDP"} , {"host":
"SIEM_MACHINE_ADDRESS1", "port": "514", "format": "LEEF", "protocol": "UDP"} ,
…]
- systemparm.properties 構成ファイルを保存して、閉じます。
- CyberArk Privileged Threat Analytics を再始動します。