Sourcefire 3D Sensor
IBM® QRadar® Risk Manager 를 네트워크 디바이스와 통합하려면 Sourcefire 3D Sensor 어댑터에 대한 요구사항을 검토해야 합니다.
Sourcefire 3D Sensor 어댑터에서 다음 기능을 사용할 수 있습니다.
- IPS
- SSH 연결 프로토콜
제한사항:
- 개별 액세스 제어 규칙에 첨부된 침입 정책은 QRadar Risk Manager에서 사용되지 않습니다. 기본 침입 정책만 지원됩니다.
- NAT 및 VPN은 지원되지 않습니다.
다음 표에서는 Sourcefire 3D Sensor 어댑터에 대한 통합 요구사항을 설명합니다.
통합 요구사항 |
설명 |
|---|---|
버전 |
5.2 |
지원되는 3D 센서(시리즈 2 디바이스) |
3D500 3D1000 3D2000 3D2100 3D2500 3D3500 3D4500 3D6500 3D9900 |
SNMP 감지 |
아니오 |
필요한 신임 정보 매개변수 QRadar에 신임 정보를 추가하려면 관리자로 로그인하고 위험 탭에서 구성 모니터 를 사용하십시오. |
username 비밀번호 |
지원되는 연결 프로토콜 QRadar에서 프로토콜을 추가하려면 관리자로 로그인하고 위험 탭에서 구성 모니터 를 사용하십시오. |
SSH |
어댑터가 로그인하고 데이터를 수집하는 데 필요한 명령 |
show version
|
| 어댑터가 구성 정보를 읽기 위해 사용하는 명령: | |
| 하드웨어 정보를 가져옵니다. | sudo su df |
| 시스템 호스트 이름을 가져옵니다. | sudo su hostname |
| 라우팅 정보를 가져옵니다. | sudo su route -n |
| cat 또는 head 명령을 사용하여 파일을 읽고 구성을 가져오십시오. | /etc/sf/ims.conf |
| 다음 세 가지 예에서 $DE_DIR 로 참조되는 SNORT 인스턴스의 기본 디렉토리를 가져오려면 읽으십시오. | $SNORT_DIR/fwcfg/affinity.conf |
| IPS 규칙 및 오브젝트를 읽으십시오. | $DE_DIR/policyText_full.yaml |
| SNORT 구성을 읽으십시오. | $DE_DIR/snort.conf |
| 파일은 policyText_full.yaml 파일에서 참조될 때 동적으로 읽혀집니다. | $DE_DIR/* |
| 어댑터는 find 명령을 사용하여 이 디렉토리에서 IP 신뢰도 파일을 검색합니다. | $SNORT_DIR/iprep_download |
| 데이터베이스 연결 신임 정보를 가져오기 위해 읽은 파일입니다. | /etc/sf/ims-data.conf |