Cisco IDS/IPS

Urządzenie bezpieczeństwa Cisco IDS/IPS można zintegrować z produktem IBM® QRadar®.

Cisco IDS/IPS DSM for IBM QRadar gromadzi Cisco IDS/IPS dla zdarzeń za pomocą protokołu Security Device Event Exchange (SDEE).

Specyfikacja SDEE definiuje format komunikatu i protokół używany do komunikowania zdarzeń generowanych przez urządzenie bezpieczeństwa Cisco IDS/IPS. Produkt QRadar obsługuje połączenia SDEE poprzez odpytywanie bezpośrednio do urządzenia IDS/IPS, a nie do oprogramowania zarządzającego, które steruje urządzeniem.

Uwaga: Przed nawiązaniem połączenia z produktem QRadarkonieczne jest posiadanie dostępu do zabezpieczeń lub uwierzytelniania WWW.

Po skonfigurowaniu urządzenia IDS/IPS Cisco należy skonfigurować protokół SDEE w produkcie QRadar. Podczas konfigurowania protokołu SDEE należy zdefiniować adres URL, który jest używany do uzyskiwania dostępu do urządzenia. Przykładem adresu URL, który definiuje urządzenie, jest https//www.example.com/cgi-bin/sdee-server.

W adresie URL należy używać produktu http lub https , który jest specyficzny dla wersji programu Cisco IDS.

Jeśli używany jest produkt RDEP (dla produktu Cisco IDS 4.0), należy sprawdzić, czy adres URL ma wartość /cgi-bin/event-server na końcu adresu URL. Przykładowy adres URL to https://www.example.com/cgi-bin/event-server.
Jeśli używany jest SDEE/CIDEE (dla Cisco IDS 5.x i nowszych), należy sprawdzić, czy adres URL ma /cgi-bin/sdee-server na końcu adresu URL. Przykładowy adres URL to https://www.example/cgi-bin/sdee-server.