Cisco NGIPS
Para integrar IBM® QRadar® Risk Manager com seus dispositivos de rede, certise-se de revisar os requisitos para o adaptador Cisco Next-Generation Intrusion Prevention System (NGIPS).
- IPS
- Protocolo de conexão SSH
- As políticas de intrusão anexadas às regras de controle de acesso individuais não são usadas por QRadar Risk Manager. Apenas a política de intrusão padrão é suportada.
- NAT e VPN não são suportados.
A tabela a seguir descreve os requisitos de integração para o adaptador Cisco NGIPS.
Requisito de integração |
Descrição |
|---|---|
Versão |
6.2.0 |
Descoberta de SNMP |
Não |
Parâmetros de credenciais obrigatórios Para incluir credenciais no QRadar, efetue login como um administrador e use Monitor de configuração na guia Riscos .. |
Nome de usuário Senha |
Protocolos de conexão suportados Para incluir protocolos no QRadar, efetue login como um administrador e use Monitor de configuração na guia Riscos . |
SSH |
Comandos que o adaptador requer para efetuar login e coletar dados.. |
show version
|
| Comandos usados pelo adaptador para ler informações de configuração: | |
| Para obter informações de hardware. | sudo su df |
| Para obter o nome do host do sistema. | sudo su hostname |
| Para obter informações de roteamento. | sudo su route -n |
| Use o comando cat ou head para ler arquivos e obter configurações. | /etc/sf/ims.conf |
| Leia para obter o diretório base para a instância SNORT, referenciada como $DE_DIR nos três exemplos a seguir: | $SNORT_DIR/fwcfg/affinity.conf |
| Leia os objetos e regras do IPS. | $DE_DIR/policyText_full.yaml |
| Leia a configuração do SNORT. | $DE_DIR/snort.conf |
| Os arquivos são lidos dinamicamente quando referenciados no arquivo policyText_full.yaml. | $DE_DIR/* |
| O adaptador usa o comando find para procurar arquivos de reputação de IP nesse diretório. | $SNORT_DIR/iprep_download |
| Arquivo lido para obter as credenciais de conexão com o banco de dados. | /etc/sf/ims-data.conf |