IBM Security Identity Governance

IBM® Security Identity Governance 用の IBM QRadar DSM は、IBM Security Governance サーバーから監査イベントを収集します。

以下の表は、 IBM Security Identity Governance DSM の仕様を示しています。
表 1. IBM Security Identity Governance (ISIG) DSM の仕様
仕様
製造元 IBM
DSM 名 IBM Security Identity Governance
RPM ファイル名 DSM-IBMSecurityIdentityGovernance-QRadar_version-build_number.noarch.rpm
サポートされるバージョン IBM Security Identity Governance V5.1.1
プロトコル JDBC
イベント・フォーマット NVP
記録されるイベント・タイプ 監査
自動的に検出? いいえ
ID を含む? いいえ
カスタム・プロパティーを含む? いいえ
詳細情報 IBM Web サイト (https://www.ibm.com)
IBM Security Identity Governance を QRadarに統合するには、以下のステップを実行します。
  1. 自動更新が有効になっていない場合は、以下に示す RPM の最新バージョンをダウンロードして IBM サポート Web サイト から QRadar Consoleにインストールしてください。 複数の DSM RPM が必要な場合、統合の順序は DSM RPM の依存関係を反映したものでなければなりません。
    • IBM Security Identity Governance (ISIG) DSM RPM
    • JDBC プロトコル RPM
  2. IBM Security Identity Governance データベースからのイベントをポーリングするように JDBC ログ・ソースを構成します。
  3. QRadar と、 IBM Security Identity Governanceに関連付けられているデータベースとの間の通信をブロックするファイアウォール・ルールがないことを確認してください。
  4. QRadar でログ・ソースが自動的に検出されなかった場合は、 QRadar コンソールで IBM Security Identity Governance ログ・ソースを追加します。 以下の表には、 IBM Security Identity Governance イベントの収集用に固有の値を必要とするパラメーターの説明が示されています。
    表 2. IBM Security Identity Governance DSM ログ・ソース・パラメーター
    パラメーター
    ログ・ソース名 ログ・ソースの固有名を入力します。
    ログ・ソースの説明 ログ・ソースの説明を入力します。
    ログ・ソース・タイプ IBM Security Identity Governance
    プロトコル構成 JDBC
    ログ・ソース ID

    ログ・ソースの名前を入力します。 名前にスペースを含めることはできません。また、JDBC プロトコルを使用するように構成されているログ・ソース・タイプのすべてのログ・ソースで固有である必要があります。

    ログ・ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集する場合は、「ログ・ソース ID」値のすべて、または一部として、アプライアンスの IP アドレスまたはホスト名を使用します (例: 192.168.1.1 や JDBC192.168.1.1)。 静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからログ・ソースがイベントを収集しない場合は、「ログ・ソース ID」値に任意の固有名を使用できます (例: JDBC1、JDBC2)。

    データベース・タイプ イベント・ソースとして使用するデータベースとして「Oracle」または「DB2」を選択します。
    Database Name 接続先となるデータベースの名前。
    IP またはホスト名 IBM Security Governance データベース・サーバーの IP アドレスまたはホスト名。
    ポート

    JDBC ポートを入力します。 JDBC ポートは、リモート・データベースで構成されているリスナー・ポートに一致している必要があります。 データベースは、着信 TCP 接続を許可しなければなりません。 有効な範囲は、1 から 65535 です。

    デフォルトは以下のとおりです。

    • MSDE - 1433
    • Postgres - 5432
    • MySQL - 3306
    • Sybase - 1521
    • Oracle - 1521
    • Informix® -9088
    • DB2® -50000

    MSDE データベース・タイプの場合にデータベース・インスタンスを使用するときは、「ポート」フィールドを空白のままにしておく必要があります。

    Username データベース内の QRadar 用のユーザー・アカウントです。
    パスワード データベースへの接続に必要なパスワード。
    定義済み照会

    ログ・ソースに対する定義済みのデータベース照会を選択します。 ログ・ソース・タイプに対して定義済み照会を使用できない場合、管理者は「なし」オプションを選択できます。

    テーブル名 AUDIT_LOG
    選択リスト *
    比較フィールド ID
    準備済みステートメントの使用 (Use Prepared Statements) チェック・ボックスを有効にします。
    開始日時 データベース・ポーリングの最初の日時。
    ポーリング間隔 (Polling Interval) データベース表への照会と照会の間の時間 (秒)。 デフォルトのポーリング間隔は 10 秒です。
    EPS スロットル

    QRadar が取り込む 1 秒当たりのイベントの最大数。

    データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

    デフォルトは 20,000 EPS です。

    セキュリティー・メカニズム

    リストから、ご使用の DB2 サーバーでサポートされているセキュリティー・メカニズムを選択します。 セキュリティー・メカニズムを選択しない場合は、「なし」を選択します。

    デフォルトは 「なし」です。

    DB2 環境でサポートされるセキュリティー・メカニズムについて詳しくは、 IBM サポート Web サイト (https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html) を参照してください。

    Oracle 暗号化の使用 (Use Oracle Encryption)

    Oracle の暗号化とデータ整合性の設定 は、Oracle Advanced Security とも呼ばれます。

    これを選択した場合、Oracle JDBC 接続では、サーバーが同様の Oracle データ暗号化設定をクライアントとしてサポートすることが必要になります。

JDBC パラメーターの構成について詳しくは、 c_logsource_JDBCprotocol.html を参照してください。