IBM Security Access Manager for Enterprise Single Sign-On

É possível usar o IBM®® Security Access Manager for Enterprise Single Sign-On DSM for IBM QRadar para receber eventos que são encaminhados usando syslog.

O QRadar pode coletar eventos do IBM Security Access Manager for Enterprise Single Sign-On versão 8.1 ou 8.2.

Os eventos que são encaminhados pelo IBM Security Access Manager for Enterprise Single Sign-On incluem os de auditoria, sistema e autenticação.

Os eventos são lidos nas tabelas de banco de dados a seguir e encaminhados usando syslog:

• IMSLOGUserService
• IMSLOGUserAdminActivity
• IMSLOGUserActivity

Todos os eventos que são encaminhados para o QRadar do IBM Security Access Manager for Enterprise Single Sign-On usam ### como um separador de campo syslog. O IBM Security Access Manager for Enterprise Single Sign-On encaminha os eventos para o QRadar usando UDP na porta 514.

Antes de iniciar

Para configurar o encaminhamento de syslog para eventos, deve-se ser um administrador ou a conta do usuário deve incluir credenciais para acessar o Utilitário de configuração IMS.

O ideal é que quaisquer firewalls que são configurados entre o IBM Security Access Manager for Enterprise Single Sign-On e o QRadar sejam configurados para permitir a comunicação UDP na porta 514. Essa configuração requer que você reinicie o dispositivo IBM Security Access Manager for Enterprise Single Sign-On.