Cisco MDS の SDEE ログ・ソース・パラメーター
QRadar でログ・ソースが自動的に検出されなかった場合は、Security Device Event Exchange (SDEE) プロトコルを使用して、 QRadar
Console で Cisco Intrusion Prevention System (IPS) ログ・ソースを追加します。
以下の表には、Cisco IDS/IPS デバイスから SDEE イベントを収集するために固有の値を必要とするパラメーターの説明が示されています。
| パラメーター | 値 |
|---|---|
| Log Source type | Cisco 侵入防御システム (IPS) |
| Protocol Configuration | SDEE |
| Log Source Identifier | SDEE イベント・ソースを識別するための IP アドレス、ホスト名、または名前を入力します。 この ID は、Cisco IDS/IPS デバイスからのイベントを判別するのに役立ちます。 |
| URL | ログ・ソースにアクセスするための URL アドレスを入力します。 URL では、http または https を使用する必要があります。 以下にいくつかの例を示します。
|
| Username | ユーザー名を入力します。 このユーザー名は、SDEE URL へのアクセスに使用する SDEE URL ユーザー名に一致する必要があります。 ユーザー名の長さは最大で 255 文字までです。 |
| Password | ユーザー・パスワードを入力します。 このパスワードは、SDEE URL へのアクセスに使用する SDEE URL パスワードに一致する必要があります。 パスワードの最大長は 255 文字です。 |
| Events / Query | 照会ごとに取得する最大イベント数を入力します。 有効な範囲は 0 から 501 であり、デフォルトは 100 です。 |
| Force Subscription | 新規 SDEE サブスクリプションを強制する場合は、このチェック・ボックスを選択します。 このチェック・ボックスを選択すると、強制的に、サーバーは最もアクティブでない接続をドロップし、新規 SDEE サブスクリプション接続をこのログ・ソース用に受け入れるようになります。 このチェック・ボックスはデフォルトで選択されます。 チェック・ボックスをクリアすると、既存の SDEE サブスクリプションを継続します。 |
| Severity Filter Low | 重大度レベルを低として構成する場合は、このチェック・ボックスを選択します。 SDEE をサポートするログ・ソースでは、この重大度レベルに一致するイベントのみが返されます。 このチェック・ボックスはデフォルトで選択されます。 |
| Severity Filter Medium | 重大度レベルを中として構成する場合は、このチェック・ボックスを選択します。 SDEE をサポートするログ・ソースでは、この重大度レベルに一致するイベントのみが返されます。 このチェック・ボックスはデフォルトで選択されます。 |
| Severity Filter High | 重大度レベルを高として構成する場合は、このチェック・ボックスを選択します。 SDEE をサポートするログ・ソースでは、この重大度レベルに一致するイベントのみが返されます。 このチェック・ボックスはデフォルトで選択されます。 |
SDEE プロトコルのパラメーターとその値の完全なリストについては、 SDEE プロトコルの構成オプションを参照してください。