LEEF の概要

ログ・イベント拡張フォーマット (LEEF) とは、IBM® Security QRadar® 用にカスタマイズされたイベント・フォーマットです。

すべてのベンダーは、本書を使用して、LEEF イベントを生成できます。

QRadar は、LEEF イベントを統合、識別、および処理できます。 LEEF イベントは、UTF-8 文字エンコードを使用する必要があります。

LEEF 出力のイベントは、以下のプロトコルを使用して、QRadar に送信できます。

  • Syslog
  • ログ・ファイル・プロトコルを使用したファイルのインポート
重要: QRadar で LEEF イベントを使用するには、ユニバーサル LEEF 構成タスクを完了しておく必要があります。 ユニバーサル LEEFイベントを収集するためのログ・ファイル・プロトコルの構成方法について詳しくは、「DSM Configuration Guide」を参照してください。

LEEF イベントを送信するために選択した方式により、イベントを QRadar で自動的に検出できるかどうかが決まります。 イベントが自動的に検出される場合、QRadar 側で必要な手動構成のレベルが軽減されます。

LEEF イベントを受け取ると、QRadar は、デバイスまたはアプライアンスを識別する際にイベント・トラフィックを分析します。 このプロセスは、トラフィック分析 と呼ばれます。 通常、QRadar で新規ログ・ソースを識別して作成するために、少なくとも 25 個の LEEF イベントを取得します。 トラフィック分析でイベント・ソースを識別するまで、最初の 25 個のイベントは SIM 汎用ログ DSM イベントとして分類され、イベント名は Unknown Log Event として設定されます。 イベント・トラフィックが識別されると、QRadar はアプライアンスまたはソフトウェアから転送されるすべてのイベントを正しく分類してラベルを付けるために、ログ・ソースを作成します。デバイスから送信されるイベントは、QRadar「ログ・アクティビティー」タブに表示できます。

重要: 1,000 個のイベントを超えてもログ・ソースを識別できない場合、QRadar はシステム通知を生成し、ログ・ソースをトラフィック分析キューから削除します。 QRadar は引き続きイベントを収集できますが、ユーザーが介入して手動でログ・ソースを作成し、イベント・タイプを識別する必要があります。