Cisco IDS/IPS에 대한 SDEE 로그 소스 매개변수

QRadar 가 자동으로 로그 소스를 발견하지 못하는 경우 SDEE (Security Device Event Exchange) 프로토콜을 사용하여 QRadar Console 에서 Cisco IPS (Intrusion Prevention System) 로그 소스를 추가하십시오.
다음 표에서는 Cisco IDS/IPS 디바이스에서 SDEE 이벤트를 수집하기 위해 특정 값이 필요한 매개변수를 설명합니다.
표 1. Cisco IDS/IPS DSM에 대한 SDEE 로그 소스 매개변수
매개변수
Log Source type Cisco Intrusion Prevention System(IPS)
Protocol Configuration SDEE
Log Source Identifier IP 주소, 호스트 이름 또는 SDEE 이벤트 소스를 식별하기 위한 이름을 입력하십시오.

이 ID는 Cisco IDS/IPS 디바이스에서 발생한 이벤트를 판별하는 데 도움이 됩니다.
URL 로그 소스에 액세스하려면 URL 입력하십시오.
URL http 또는 https 를 사용해야 합니다. 다음은 몇 가지 예제입니다.
  • SDEE/CIDEE를 사용 중인 경우(Cisco IDS v5.x 이상의 경우), /cgi-bin/sdee-server가 URL의 끝에 있는지 확인하십시오. 예를 들어, https://www.example.com/cgi-bin/sdee-server입니다.
  • RDEP를 사용 중인 경우(Cisco IDS v4.0의 경우), /cgi-bin/event-server가 URL의 끝에 있는지 확인하십시오. 예를 들어, https://www.example.com/cgi-bin/event-server입니다.
Username 사용자 이름을 입력하십시오.

이 사용자 이름은 SDEE URL에 액세스하는 데 사용되는 SDEE URL 사용자 이름과 일치해야 합니다. 사용자 이름의 길이는 최대 255자입니다.
Password 사용자 비밀번호를 입력하십시오.

이 비밀번호는 SDEE URL에 액세스하는 데 사용되는 SDEE URL 비밀번호와 일치해야 합니다. 비밀번호의 길이는 최대 255자입니다.
Events / Query 조회당 검색의 최대 이벤트 수를 입력하십시오.

유효한 범위는 0 - 501이고 기본값은 100입니다.
Force Subscription 새 SDEE 등록을 강제 실행하려는 경우 이 선택란을 선택하십시오.

이 선택란은 강제로 서버가 가장 활동이 작은 연결을 삭제하고 이 로그 소스에 대해 새 SDEE 등록 연결을 승인하도록 만듭니다. 기본적으로 이 선택란은 선택되어 있습니다. 이 선택란을 선택 취소하면 모든 기존 SDEE 등록이 계속됩니다.
Severity Filter Low 심각도 레벨을 낮음으로 구성하려는 경우 이 선택란을 선택하십시오.

SDEE를 지원하는 로그 소스는 이 심각도 레벨과 일치하는 이벤트만 리턴합니다. 기본적으로 이 선택란은 선택되어 있습니다.
Severity Filter Medium 심각도 레벨을 중간으로 구성하려는 경우 이 선택란을 선택하십시오.

SDEE를 지원하는 로그 소스는 이 심각도 레벨과 일치하는 이벤트만 리턴합니다. 기본적으로 이 선택란은 선택되어 있습니다.
Severity Filter High 심각도 레벨을 높음으로 구성하려는 경우 이 선택란을 선택하십시오.

SDEE를 지원하는 로그 소스는 이 심각도 레벨과 일치하는 이벤트만 리턴합니다. 기본적으로 이 선택란은 선택되어 있습니다.

SDEE 프로토콜 매개변수 및 해당 값의 전체 목록은 SDEE 프로토콜 구성 옵션을 참조하십시오.