Cisco MDS の SDEE ログ・ソース・パラメーター

QRadar でログ・ソースが自動的に検出されなかった場合は、Security Device Event Exchange (SDEE) プロトコルを使用して、 QRadar Console で Cisco Intrusion Prevention System (IPS) ログ・ソースを追加します。
以下の表には、Cisco IDS/IPS デバイスから SDEE イベントを収集するために固有の値を必要とするパラメーターの説明が示されています。
表 1. Cisco IDS/IPS DSM の SDEE ログ・ソース・パラメーター
パラメーター
Log Source type Cisco 侵入防御システム (IPS)
Protocol Configuration SDEE
Log Source Identifier SDEE イベント・ソースを識別するための IP アドレス、ホスト名、または名前を入力します。

この ID は、Cisco IDS/IPS デバイスからのイベントを判別するのに役立ちます。

URL ログ・ソースにアクセスするための URL アドレスを入力します。
URL では、http または https を使用する必要があります。 以下にいくつかの例を示します。
  • SDEE/CIDEE (Cisco IDS v5.x 以降の場合) を使用している場合、/cgi-bin/sdee-server が URL の末尾にあることを確認してください。 例えば、 https://www.example.com/cgi-bin/sdee-serverなどです。
  • RDEP (Cisco IDS v4.0 の場合) を使用している場合、/cgi-bin/event-server が URL の末尾にあることを確認してください。 例えば、 https://www.example.com/cgi-bin/event-serverなどです。
Username ユーザー名を入力します。

このユーザー名は、SDEE URL へのアクセスに使用する SDEE URL ユーザー名に一致する必要があります。 ユーザー名の長さは最大で 255 文字までです。

Password ユーザー・パスワードを入力します。

このパスワードは、SDEE URL へのアクセスに使用する SDEE URL パスワードに一致する必要があります。 パスワードの最大長は 255 文字です。

Events / Query 照会ごとに取得する最大イベント数を入力します。

有効な範囲は 0 から 501 であり、デフォルトは 100 です。

Force Subscription 新規 SDEE サブスクリプションを強制する場合は、このチェック・ボックスを選択します。

このチェック・ボックスを選択すると、強制的に、サーバーは最もアクティブでない接続をドロップし、新規 SDEE サブスクリプション接続をこのログ・ソース用に受け入れるようになります。 このチェック・ボックスはデフォルトで選択されます。 チェック・ボックスをクリアすると、既存の SDEE サブスクリプションを継続します。

Severity Filter Low 重大度レベルを低として構成する場合は、このチェック・ボックスを選択します。

SDEE をサポートするログ・ソースでは、この重大度レベルに一致するイベントのみが返されます。 このチェック・ボックスはデフォルトで選択されます。

Severity Filter Medium 重大度レベルを中として構成する場合は、このチェック・ボックスを選択します。

SDEE をサポートするログ・ソースでは、この重大度レベルに一致するイベントのみが返されます。 このチェック・ボックスはデフォルトで選択されます。

Severity Filter High 重大度レベルを高として構成する場合は、このチェック・ボックスを選択します。

SDEE をサポートするログ・ソースでは、この重大度レベルに一致するイベントのみが返されます。 このチェック・ボックスはデフォルトで選択されます。

SDEE プロトコルのパラメーターとその値の完全なリストについては、 SDEE プロトコルの構成オプションを参照してください。