QRadar と通信するための Resolution1 CyberSecurity デバイスの構成

Resolution1 CyberSecurity イベントを収集するには、LEEF 形式でイベント・ログを生成するようにサード・パーティー・デバイスを構成する必要があります。 Resolution1 CyberSecurity で LEEF ファイルを転送するために FTP サイトを作成する必要もあります。 その後、 QRadar は FTP サーバーからログをプルできます。

手順

  1. Resolution1 CyberSecurity デバイスにログインします。
  2. C:\Program Files\AccessData\eDiscovery\Integration Services ディレクトリー内にある ADGIntegrationServiceHost.exe.config ファイルを開きます。
  3. ファイル内のテキストを以下の行に一致するように変更します。
    <Option Name="Version" Value="2.0" /> 
    <Option Name="Version" Value="2.0" /> 
    <Option Name="OutputFormat" Value="LEEF" /> 
    <Option Name="LogOnly" Value="1" />  
    <Option Name="OutputPath" Value="C:\CIRT\logs" /> 
  4. Resolution1 サード・パーティー統合サービスを再始動します。
  5. C:\CIRT\logs 出力フォルダーの FTP サイトを作成します。
    1. Internet Information Services Manager (IIS) を開きます。
    2. サイト タブを右クリックし、 FTP サイトの追加をクリックします。
    3. FTP サイトの名前を指定し、生成される LEEF ファイルの場所として C:\CIRT\logs と入力します。
    4. Web サービスを再始動します。