IBM
QRadar 用の Cisco Identity Services Engine DSM は、複数のイベント・ロギング・カテゴリーから syslog イベントを収集します。 QRadarに転送するイベントを定義するには、Cisco ISE アプライアンスで各イベント・ロギング・カテゴリーを構成する必要があります。
手順
- Cisco ISE 管理インターフェースにログインします。
- ナビゲーション・メニューから、「 」を選択します。
以下のリストは、Cisco Identity Services Engine 用の
IBM
QRadar DSM でサポートされるイベント・ロギング・カテゴリーを示しています。
- AAA 監査 (AAA audit)
- 失敗した試行 (Failed attempts)
- 成功した認証 (Passed authentication)
- AAA 診断 (AAA diagnostics)
- 管理者の認証と許可 (Administrator authentication and authorization)
- 認証フロー診断 (Authentication flow diagnostics)
- ID ストア診断 (Identity store diagnostics)
- ポリシー診断 (Policy diagnostics)
- Radius 診断 (Radius diagnostics)
- ゲスト (Guest)
- アカウンティング (Accounting)
- Radius アカウンティング (Radius accounting)
- 管理および操作の監査 (Administrative and operational audit)
- ポスチャおよびクライアント プロビジョニングの監査 (Posture and client provisioning audit)
- ポスチャおよびクライアント プロビジョニングの診断 (Posture and client provisioning diagnostics)
- プロファイラ (Profiler)
- システム診断 (System diagnostics)
- 分散管理 (Distributed management)
- 内部操作診断 (Internal operations diagnostics)
- システム統計 (System statistics)
- イベント・ロギング・カテゴリーを選択して、 「編集」をクリックします。
- 「ログ重大度」 リストから、ロギング・カテゴリーの重大度を選択します。
- 「ターゲット」 フィールドで、 QRadar のリモート・ロギング・ターゲットを 「選択」 ボックスに追加します。
- 「保存」をクリックします。
- QRadarに転送するロギング・カテゴリーごとに、このプロセスを繰り返します。
Cisco ISE によって転送されたイベントは、 QRadarの 「ログ・アクティビティー」 タブに表示されます。