Cisco Cloud Web Security
Produkt IBM® QRadar® DSM for Cisco Cloud Web Security (CWS) gromadzi dzienniki wykorzystania sieci WWW z pamięci masowej CWS (Cisco Cloud Web Security) za pomocą zgodnego interfejsu API Amazon S3 .
| Specyfikacja | Wartość |
|---|---|
| Producent | Cisco |
| Nazwa DSM | Cisco Cloud Web Security |
| Nazwa pliku RPM | DSM-CiscoCloudWebSecurity-QRadar_version-build_number.noarch.rpm |
| obsługiwane wersje | N/A |
| Protokół | Interfejs API usług REST produktu Amazon AWS S3 |
| Format zdarzenia | W3C |
| Zarejestrowane typy zdarzeń | Wszystkie dzienniki korzystania z sieci WWW |
| Czy został automatycznie wykryty? | Nie |
| Czy zawiera tożsamość? | Nie |
| Zawiera właściwości niestandardowe? | Nie |
| Więcej informacji | Informacje o produkcie Cisco CWS (https://www.cisco.com/go/cws) |
- Jeśli aktualizacje automatyczne nie są włączone, należy pobrać i zainstalować najnowszą wersję następujących pakietów RPM z serwisu WWW działu wsparciaIBM, w kolejności, w jakiej są wymienione, na QRadar
Console:
- Protocol Common RPM
- Amazon AWS REST API Protocol RPM
- DSMCommon RPM
- Cisco Cloud Web Security DSM RPM
- Włącz ekstrakcję dziennika w programie Cisco ScanCenter (portal administracyjny).
- Dodaj źródło dziennika zabezpieczeń programu Cisco Cloud Web Security na serwerze QRadar
Console. W poniższej tabeli opisano parametry, które wymagają konkretnych wartości dla kolekcji zdarzeń programu Cisco Cloud Web Security:
Tabela 2. Parametry źródła dziennika zabezpieczeń Cisco Cloud Web Security Parametr Wartość Typ źródła dziennika Cisco Cloud Web Security Konfiguracja protokołu Interfejs API usług REST produktu Amazon AWS S3 Identyfikator źródła dziennika Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Identyfikator źródła dziennika może mieć taką samą wartość, jak nazwa źródła dziennika. Jeśli skonfigurowano więcej niż jedno źródło dzienników Cisco CWS, można zidentyfikować pierwsze źródło dziennika jako ciscocws1, drugie źródło dziennika jako ciscocws2, a trzecie źródło dziennika jako ciscocws13.
Wersja sygnatury Wybierz opcję Signature Version 2.
Jeśli interfejs API Cisco CWS korzysta z Signature Version 4, skontaktuj się z administratorem systemu.
Nazwa regionu (tylko podpis V4 ) Region, który jest powiązany z zasobem Amazon S3 . Nazwa usługi (tylko podpis V4 ) Wpisz s3. Nazwa usługi WWW Amazon. Nazwa zasobnika Nazwa zasobnika Cisco CWS, w którym zapisywane są pliki dziennika. Adres URL punktu końcowego https://vault.scansafe.com/ Klucz publiczny Klucz dostępu umożliwiający wyodrębnianie dzienników z zasobnika Cisco CWS. Klucz dostępu Klucz tajny umożliwiający wyodrębnianie dzienników z zasobnika CWS Cisco. Przedrostek katalogu Położenie katalogu głównego w zasobniku pamięci masowej Cisco CWS, z którego pobierane są dzienniki Cisco CWS. Na przykład położeniem katalogu głównego może być cws-logs/. Wzorzec nazwy pliku .*?\.txt\.gz Format zdarzenia W3C. Źródło dziennika pobiera sformatowane zdarzenia tekstowe W3C . Użyj proxy Po skonfigurowaniu proxy cały ruch dla źródła dziennika przechodzi przez serwer proxy, dzięki czemu produkt QRadar będzie mógł uzyskać dostęp do porcji Amazon AWS S3 .
Skonfiguruj pola Serwer proxy, Port proxy, Nazwa użytkownika proxyi Hasło serwera proxy . Jeśli serwer proxy nie wymaga uwierzytelniania, pozostaw puste pola Nazwa użytkownika proxy i Hasło proxy .
Automatyczne nabywanie certyfikatów serwera Jeśli zostanie wybrana opcja Tak, program QRadar pobiera certyfikat i rozpocznie zaufany serwer docelowy.
Powtarzanie Określa, jak często protokół API Amazon AWS S3 REST łączy się z interfejsem API Cisco CWS w celu sprawdzenia, czy istnieją nowe pliki, i pobiera je, jeśli istnieją. Format jest następujący: M/H/D dla minuty/godz./dni. Wartość domyślna to 5 M.
Każdy dostęp do zasobnika AWS S3 pozwala na uzyskanie kosztu pieniężnego dla konta, które jest właścicielem zasobnika. Dlatego też mniejsza wartość powtórzenia powoduje wzrost kosztu.
| Nazwa zdarzenia | Kategoria niskiego poziomu | Przykładowy komunikat dziennika |
|---|---|---|
| c: blok comp | Odmowa dostępu |
|