Cisco IDS/IPS

Cisco IDS/IPS セキュリティー・デバイスを IBM QRadarと統合できます。

IBM QRadar 用の Cisco IDS/IPS DSM は、Security Device Event Exchange (SDEE) プロトコルを使用してイベントの Cisco IDS/IPS を収集します。

SDEE 仕様は、Cisco IDS/IPS セキュリティー・デバイスによって生成されたイベントとの通信に使用するメッセージ・フォーマットおよびプロトコルを規定しています。 QRadar は、デバイスを制御する管理ソフトウェアではなく、IDS/IPS デバイスに直接ポーリングすることにより、SDEE 接続をサポートします。

Cisco IDS/IPS デバイスを構成した後、 QRadarで SDEE プロトコルを構成する必要があります。 SDEE プロトコルの構成時に、デバイスへのアクセスに必要な URL を定義する必要があります。 デバイスを定義する URL の例としては、https//www.example.com/cgi-bin/sdee-server があります。

URL では、http または https を使用する必要があります。この URL は、ご使用の Cisco IDS バージョンに固有のものです。

• RDEPを使用している場合 (Cisco IDS 4.0 の場合) は、URL の末尾に /cgi-bin/event-server があることを確認してください。 URL の例は https://www.example.com/cgi-bin/event-server です。
• SDEE/CIDEE を使用している場合 (Cisco IDS 5.x 以降の場合) は、URL の末尾に /cgi-bin/sdee-server があることを確認してください。 URL の例は https://www.example/cgi-bin/sdee-server です。