IBM Security Access Manager for Enterprise Single Sign-On

IBM®® Security Access Manager for Enterprise Single Sign-On DSM for IBM QRadar を使用して、syslog を使用して転送されるイベントを受信できます。

QRadar は、 IBM Security Access Manager for Enterprise Single Sign-On バージョン 8.1 または 8.2からイベントを収集できます。

IBM Security Access Manager for Enterprise Single Sign-On によって転送されるイベントには、監査イベント、システム・イベント、および認証イベントが含まれます。

イベントは以下のデータベース・テーブルから読み取られ、syslog を使用して転送されます。

IMSLOGUserService
IMSLOGUserAdminActivity
IMSLOGUserActivity

IBM Security Access Manager for Enterprise Single Sign-On から QRadar に転送されるすべてのイベントは、syslog フィールド分離文字として ### を使用します。 IBM Security Access Manager for Enterprise Single Sign-On は、ポート 514 で UDP を使用してイベントを QRadar に転送します。

始める前に

イベントの syslog 転送を構成するには、管理者であるか、 IMS 構成ユーティリティーにアクセスするための資格情報がユーザー・アカウントに含まれている必要があります。

IBM Security Access Manager for Enterprise Single Sign-On と QRadar の間に構成されるファイアウォールは、ポート 514 で UDP 通信を許可するように構成するのが理想的です。この構成では、 IBM Security Access Manager for Enterprise Single Sign-On アプライアンスを再始動する必要があります。