Cisco AMP

IBM QRadar DSM for Cisco Advanced Malware Protection (Cisco AMP) 은 엔드포인트 플랫폼용 Cisco AMP에서 이벤트 로그를 수집합니다. DSM for Cisco AMP는 RabbitMQ 프로토콜을 사용합니다.

중요: SNI (Server Name Indication) 가 필요한 경우 Cisco AMP 통합은 프라이빗 클라우드를 지원하지 않습니다. 자세한 내용은 Cisco에 문의하십시오.
Cisco AMP를 QRadar와 통합하려면 다음 단계를 완료하십시오.
  1. 자동 업데이트가 활성화되어 있지 않은 경우, IBM® 지원 웹사이트(http://www.ibm.com/support)에서 RPM을 다운로드할 수 있습니다. QRadar Console에 다음 RPM을 다운로드하여 설치하십시오.
    중요: RabbitMQ 프로토콜 RPM을 설치하려면 QRadar V7.2.8 패치 9 (V7.2.8.20170726184122) 이상이 필요합니다.
    • 프로토콜 공통 RPM
    • DSMCommon RPM
    • RabbitMQ 프로토콜 RPM
    • Cisco AMP DSM RPM
  2. Cisco AMP 클라이언트 ID및 API키를 작성하십시오. 또는 관리자로부터 이미 작성된 이벤트 스트림에 대한 액세스를 요청할 수 있습니다. 이러한 값 작성에 대한 자세한 정보를 보려면 Cisco AMP 클라이언트 ID및 API키 작성 프로시저로 이동하십시오.
  3. Cisco AMP 이벤트 스트림을 작성하십시오. 이벤트 스트림 작성에 대한 자세한 정보를 보려면 Cisco AMP 이벤트 스트림 작성 프로시저로 이동하십시오.
  4. 사용자가 Cisco AMP 이벤트 스트림을 관리할 수 있도록 QRadar Console 에 Cisco AMP 로그 소스를 추가하십시오.