Cisco Identity Services Engine

IBM QRadar DSM for Cisco ISE (Identity Services Engine) 는 UDP 다중 라인 syslog 프로토콜을 사용하여 Cisco ISE 어플라이언스에서 디바이스 이벤트를 수집합니다.

다음 표에서는 Cisco Identity Services Engine DSM에 대한 스펙을 설명합니다.

표 1. Cisco Identity Services Engine DSM 스펙
스펙	값
제조업체	Cisco
DSM 이름	Cisco Identity Services Engine
RPM 파일 이름	DSM-CiscoISE-`QRadar_version-build_number`.noarch.rpm
지원되는 버전	1.1 - 2.2
프로토콜	UDP Multiline Syslog
이벤트 형식	Syslog
기록되는 이벤트 유형	디바이스 이벤트
자동 감지 여부	아니오
ID 포함 여부	예
사용자 정의 특성 포함 여부	아니오
자세한 정보	Cisco웹 사이트 (https://www.cisco.com/c/en/us/products/security/identity-services-engine/index.html)

Cisco ISE를 QRadar와 통합하려면 다음 단계를 완료하십시오.

자동 업데이트가 사용으로 설정되지 않은 경우 QRadar Console에 다음 RPM의 최신 버전을 다운로드하여 설치하십시오. RPM은 IBM® 지원 웹사이트(http://www.ibm.com/support)에서 다운로드할 수 있습니다:
- DSMCommon RPM
- Cisco ID 서비스 엔진 DSM RPM
UDP 다중 라인 syslog 이벤트를 QRadar에 전송하도록 Cisco ISE 어플라이언스를 구성하십시오.

QRadar Console에서 Cisco Identity Services Engine 로그 소스를 추가하십시오. 다음 표에서는 Cisco ISE에서 이벤트를 수집하기 위해 특정 값이 필요한 매개변수를 설명합니다.

표 2. Cisco Identity Services Engine 로그 소스 매개변수
매개변수	값
로그 소스 유형	Cisco ID 서비스 엔진
프로토콜 구성	UDP Multiline Syslog
로그 소스 ID	UDP 다중 라인 Syslog 이벤트를 QRadar에 전송하는 Cisco Identity Service Engine 디바이스의 IP 주소 또는 호스트 이름입니다.
청취 포트	수신 UDP Multiline Syslog 이벤트를 승인하기 위해 QRadar 에서 사용하는 포트 번호로 `517` 를 입력하십시오. 유효한 포트 범위는 1 - 65535입니다. 참고: UDP Multiline Syslog 이벤트는 포트 514를 제외하고 사용하지 않는 포트에 지정할 수 있습니다. UDP 멀티라인 프로토콜에 지정된 기본 포트는 UDP 포트 517입니다. QRadar에서 사용하는 포트 목록은 IBM QRadar Administration Guide 또는 IBM 지식 센터(https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.0/com.ibm.qradar.doc/c_qradar_adm_ports_and_servers.html)에서 QRadar®에서 사용하는 일반적인 포트 및 서버을 참조하세요. 새 포트 번호를 사용하도록 저장된 구성을 편집하려면 다음과 같은 단계를 완료하십시오. 청취 포트 필드에 UDP 다중 라인 Syslog 이벤트를 수신하는 데 필요한 새 포트 번호를 입력하십시오. 저장을 클릭하십시오. 포트 업데이트가 완료되고 새 포트 번호에서 이벤트 수집이 시작됩니다.
메시지 ID 패턴	다음 정규식 (regex) 을 입력하여 이벤트 페이로드 메시지를 필터링하십시오. `CISE_\S+ (\d{10})`

UDP 다중 라인 syslog 프로토콜 매개변수 및 해당 값의 전체 목록은 UDP 다중 라인 syslog 프로토콜 구성 옵션을 참조하십시오.