Parametry źródła dziennika SDEE dla Cisco IDS/IPS

Jeśli produkt QRadar® nie wykryje automatycznie źródła dziennika, dodaj źródło dziennika programu Cisco Intrusion Prevention System (IPS) na serwerze QRadar Console , korzystając z protokołu SDEE (Security Device Event Exchange).
W poniższej tabeli opisano parametry, które wymagają konkretnych wartości, aby gromadzić zdarzenia SDEE z urządzeń Cisco IDS/IPS:
Tabela 1. Parametry źródła dziennika SDEE dla Cisco IDS/IPS DSM
Parametr Wartość
Log Source type Cisco Intrusion Prevention System (IPS)
Protocol Configuration SDEE
Log Source Identifier Wpisz adres IP, nazwę hosta lub nazwę, aby zidentyfikować źródło zdarzeń SDEE.

Identyfikator pomaga określić, które zdarzenia pochodziły z urządzenia IDS/IPS Cisco.
URL Wpisz adres URL, aby uzyskać dostęp do źródła dziennika.
W adresie URL należy użyć http lub https . Oto kilka przykładów:
  • Jeśli używasz SDEE/CIDEE (dla Cisco IDS v5.x i nowszego), sprawdź, czy /cgi-bin/sdee-server znajduje się na końcu adresu URL. Na przykład https://www.example.com/cgi-bin/sdee-server.
  • Jeśli używany jest produkt RDEP (dla Cisco IDS v4.0), sprawdź, czy /cgi-bin/event-server znajduje się na końcu adresu URL. Na przykład https://www.example.com/cgi-bin/event-server.
Username Wpisz nazwę użytkownika.

Ta nazwa użytkownika musi być zgodna z nazwą użytkownika SDEE adresu URL, która jest używana do uzyskania dostępu do adresu URL SDEE. Nazwa użytkownika może mieć długość do 255 znaków.
Password Wpisz hasło użytkownika.

To hasło musi być zgodne z hasłem URL SDEE, które jest używane w celu uzyskania dostępu do adresu URL SDEE. Hasło może mieć długość do 255 znaków.
Events / Query Wpisz maksymalną liczbę zdarzeń do pobrania na zapytanie.

Poprawny zakres to 0-501, a wartością domyślną jest 100.
Force Subscription Zaznacz to pole wyboru, jeśli chcesz wymusić nową subskrypcję SDEE.

Pole wyboru zmusza serwer do usunięcia najmniej aktywnego połączenia i zaakceptowania nowego połączenia subskrypcji SDEE dla tego źródła dziennika. Domyślnie pole wyboru jest zaznaczone. Usunięcie zaznaczenia pola wyboru będzie kontynuowane z dowolną istniejącą subskrypcją SDEE.
Severity Filter Low Zaznacz to pole wyboru, jeśli poziom istotności ma być skonfigurowany jako niski.

Źródła dzienników obsługujące funkcję SDEE zwracają tylko te zdarzenia, które są zgodne z tym poziomem istotności. Domyślnie pole wyboru jest zaznaczone.
Severity Filter Medium Zaznacz to pole wyboru, jeśli poziom istotności ma być skonfigurowany jako średni.

Źródła dzienników obsługujące funkcję SDEE zwracają tylko te zdarzenia, które są zgodne z tym poziomem istotności. Domyślnie pole wyboru jest zaznaczone.
Severity Filter High Zaznacz to pole wyboru, jeśli poziom istotności ma być skonfigurowany jako wysoki.

Źródła dzienników obsługujące funkcję SDEE zwracają tylko te zdarzenia, które są zgodne z tym poziomem istotności. Domyślnie pole wyboru jest zaznaczone.

Pełna lista parametrów protokołu SDEE i ich wartości znajduje się w sekcji Opcje konfiguracji protokołu SDEE.