Sourcefire 3D Sensor
IBM® QRadar® Risk Manager をネットワーク・デバイスと統合するには、 Sourcefire 3D Sensor アダプターの要件を確認する必要があります。
Sourcefire 3D Sensor アダプターでは、以下のフィーチャーが使用可能です。
- IPS
- SSH 接続プロトコル
制限事項
- 個々のアクセス制御ルールに付加された侵入ポリシーは、 QRadar Risk Managerでは使用されません。 デフォルトの侵入ポリシーだけがサポートされています。
- NAT と VPN はサポートされていません。
以下の表では、 Sourcefire 3D Sensor アダプターの統合要件について説明します。
統合要件 |
説明 |
|---|---|
バージョン |
5.2 |
サポートされている 3D センサー (シリーズ 2 デバイス) |
3D500 3D1000 3D2000 3D2100 3D2500 3D3500 3D4500 3D6500 3D9900 |
SNMP ディスカバリー |
いいえ |
必須資格情報パラメーター QRadarで資格情報を追加するには、管理者としてログインし、 「リスク」 タブの 「構成モニター」 を使用します。 |
Username パスワード |
サポート対象接続プロトコル QRadarでプロトコルを追加するには、管理者としてログインし、 「リスク」 タブの 「構成モニター」 を使用します。 |
SSH |
ログインしてデータを収集するためにアダプターが必要とするコマンド |
show version
|
| 構成情報を読み取るためにアダプターが使用するコマンド: | |
| ハードウェア情報を取得します。 | sudo su df |
| システムのホスト名を取得します。 | sudo su hostname |
| ルーティング情報を取得します。 | sudo su route -n |
| cat コマンドまたは head コマンドを使用してファイルを読み取り、構成を取得します。 | /etc/sf/ims.conf |
| SNORT インスタンスのベース・ディレクトリーを取得するために読み取ります。これは、以下の 3 つの例では、 $DE_DIR として参照されています: | $SNORT_DIR/fwcfg/affinity.conf |
| IPS のルールとオブジェクトを読み取ります。 | $DE_DIR/policyText_full.yaml |
| SNORT 構成を読み取ります。 | $DE_DIR/snort.conf |
| ファイルは、 policyText_full.yaml ファイルで参照される時に動的に読み取られます。 | $DE_DIR/* |
| アダプターは、find コマンドを使用してこのディレクトリー内の IP レピュテーション・ファイルを検索します。 | $SNORT_DIR/iprep_download |
| データベース接続の資格情報を取得するために読み取られるファイル。 | /etc/sf/ims-data.conf |