Cisco Identity Services Engine
Cisco Identity Services Engine (ISE) 用の IBM QRadar DSM は、UDP 複数行 Syslog プロトコルを使用して Cisco ISE アプライアンスからデバイス・イベントを収集します。
以下の表は、Cisco Identity Services Engine DSM の仕様を示しています。
| 仕様 | 値 |
|---|---|
| 製造元 | Cisco |
| DSM 名 | Cisco Identity Services Engine |
| RPM ファイル名 | DSM-CiscoISE-QRadar_version-build_number.noarch.rpm |
| サポートされるバージョン | 1.1 から 2.2 |
| プロトコル | UDP 複数行 Syslog |
| イベント・フォーマット | Syslog |
| 記録されるイベント・タイプ | デバイス・イベント |
| 自動的に検出? | いいえ |
| ID を含む? | はい |
| カスタム・プロパティーを含む? | いいえ |
| 詳細情報 | Cisco Web サイト (https://www.cisco.com/c/en/us/products/security/identity-services-engine/index.html) |
Cisco ISE を QRadarに統合するには、以下の手順を実行します。
- 自動更新が有効になっていない場合は、以下に示す RPM の最新バージョンをダウンロードして QRadar
Consoleにインストールしてください。 RPM は IBM® サポートウェブサイト (http://www.ibm.com/support) からダウンロードできます:
- DSMCommon RPM
- Cisco Identity Services Engine DSM RPM
- UDP 複数行 Syslog イベントを QRadarに送信するように Cisco ISE アプライアンスを構成します。
- QRadar コンソールで Cisco Identity Services Engine ログ・ソースを追加します。 以下の表は、Cisco ISE からイベントを収集するために固有の値を必要とするパラメーターについて説明しています。
表 2. Cisco Identity Services Engine ログ・ソース・パラメーター パラメーター 値 ログ・ソース・タイプ Cisco Identity Service Engine プロトコル構成 UDP 複数行 Syslog ログ・ソース ID UDP Multiline Syslog イベントを QRadarに送信する Cisco Identity Service Engine デバイスの IP アドレスまたはホスト名。 Listen ポート 着信 UDP 複数行 Syslog イベントを受け入れるために QRadar が使用するポート番号として 517 と入力します。 有効なポート範囲は、1 から 65535 です。注: UDP 複数行 Syslog イベントは、ポート 514 を除き、使用されていない任意のポートに割り当てることができます。 UDP Multiline プロトコルに割り当てられているデフォルト・ポートは、UDP ポート 517 です。 QRadarが使用するポートのリストについては、IBM QRadar Administration Guide 内の QRadar®が使用する一般的なポートとサーバー または IBM ナレッジセンター (https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.0/com.ibm.qradar.doc/c_qradar_adm_ports_and_servers.html) を参照のこと。保存済みの構成を編集して新しいポート番号を使用するには、以下のステップを実行します。
- 「listen ポート (Listen Port)」フィールドに、UDP 複数行 Syslog イベント受信用の新しいポート番号を入力します。
- セーブをクリック。
ポートの更新が完了し、新しいポート番号でイベント収集が開始されます。
メッセージ ID のパターン イベント・ペイロード・メッセージをフィルタリングするための以下の正規表現 (regex) を入力します。
CISE_\S+ (\d{10})
UDP 複数行 Syslog プロトコルのパラメーターとその値の完全なリストについては、 UDP 複数行 Syslog プロトコルの構成オプションを参照してください。
- Cisco ISE アプライアンスで、リモート・ロギング・ターゲットを構成します。
- Cisco ISE アプライアンスで、イベント・ロギング・カテゴリーを構成します。