FireEye
IBM QRadar DSM for FireEye 는 LEEF (Log Event Extended Format) 및 CEF (Common Event Format) 의 syslog 이벤트를 채택합니다.
이 DSM은 FireEye CMS, MPS, EX, AX, NX, FX 및 HX 어플라이언스에 적용됩니다. QRadar 는 FireEye 어플라이언스에서 전송되는 모든 관련 알림 경보를 기록합니다.
다음 표는 FireEye DSM의 스펙을 식별합니다.
| 스펙 | 값 |
|---|---|
| 제조업체 | FireEye |
| DSM 이름 | FireEye MPS |
| 지원되는 버전 | CMS, MPS, EX, AX, NX, FX, HX |
| RPM 파일 이름 | DS M-FireEyeMPS-QRadar_버전-빌드_번호. noarch.rpm |
| 프로토콜 | Syslog 및 TLS Syslog |
| 이벤트 형식 | 공통 이벤트 형식 (CEF). CEF:0 이 지원됩니다. |
| QRadar가 기록하는 이벤트 유형 | 모든 관련 이벤트 |
| 자동 감지 여부 | 예 |
| ID 포함 여부 | 아니오 |
| 자세한 정보 | FireEye 웹 사이트 (www.fireeye.com) |
FireEye 를 QRadar와 통합하려면 다음 프로시저를 사용하십시오.
- 자동 업데이트가 활성화되지 않은 경우, IBM® 지원 웹사이트에서 DSM Common 및 FireEye MPS RPM을 다운로드하여 QRadar 콘솔에 설치합니다.
- QRadar에서 최신 TLS Syslog 프로토콜 RPM을 다운로드하여 설치하십시오.
- 배치에 있는 FireEye 의 각 인스턴스에 대해 QRadar에 이벤트를 전달하도록 FireEye 시스템을 구성하십시오.
- FireEye,의 각 인스턴스에 대해 QRadar 콘솔에서 FireEye 로그 소스를 만듭니다. 다음 표에서는 FireEye에 대해 Syslog및 TLS Syslog에서 로그 소스를 구성하는 방법을 설명합니다.
표 2. FireEye 에 대한 Syslog 로그 소스 프로토콜 구성 매개변수 설명 로그 소스 유형 FireEye 프로토콜 구성 syslog 로그 소스 ID 디바이스의 이벤트에 대한 ID로 로그 소스의 IP 주소 또는 호스트 이름을 입력하십시오. 추가 TLS Syslog 프로토콜 특정 매개변수 및 해당 구성에 대해 Syslog및 TLS Syslog 프로토콜 구성 옵션 에서 발생하는 추가 공통 매개변수는 로그 소스 추가 를 참조하십시오.표 3. FireEye 에 대한 TLS Syslog 로그 소스 프로토콜 구성 매개변수 설명 로그 소스 유형 FireEye 프로토콜 구성 TLS Syslog 로그 소스 ID 디바이스의 이벤트에 대한 ID로 로그 소스의 IP 주소 또는 호스트 이름을 입력하십시오. TLS 청취 포트 기본 TLS 청취 포트는 6514입니다. 인증 모드 TLS 연결을 인증하는 데 사용하는 모드입니다. TLS및 클라이언트 인증 옵션을 선택하는 경우 인증서 매개변수를 구성해야 합니다. 인증서 유형 인증에 사용할 인증서의 유형입니다. 인증서 제공 옵션을 선택하는 경우, 서버 인증서 및 개인 키의 파일 경로를 구성해야 합니다. 제공된 서버 인증서 경로 서버 인증서의 절대 경로입니다. 제공된 개인 키 경로 개인 키의 절대 경로입니다. 참고: 해당 개인 키는 DER 인코딩된 PKCS8 키여야 합니다. 다른 키 형식을 사용하면 구성이 실패합니다.최대 연결 수 최대 연결 수 매개변수는 각 Event Collector에 대해 TLS Syslog 프로토콜이 허용할 수 있는 동시 연결 수를 제어합니다.
모든 TLS syslog 로그 소스 구성의 연결 한계는 각 Event Collector에 대해 1000개의 연결입니다. 각 디바이스 연결의 기본값은 50입니다.
참고: 리스너를 다른 로그 소스와 공유하는 로그 소스를 자동으로 발견합니다. 예를 들어, 동일한 이벤트 콜렉터에서 동일한 포트를 사용하는 경우 한계에 대해 한 번만 계수합니다.