Visão geral do Disconnected Log Collector

IBM Disconnected Log Collector envia eventos para uma IBM QRadar implantação utilizando o Protocolo de Transmissão de Dados ( User Datagram Protocol, UDP ) ou o Protocolo de Segurança da Camada de Transporte sobre o Protocolo de Transmissão de Dados (Transport Layer Security over the Transmission Control Protocol, TLS sobre TCP ). Quando Disconnected Log Collector utiliza TLS em vez de TCP, ele armazena em buffer os eventos recebidos nos momentos em que está desconectado de QRadar e os envia assim que a conexão é restabelecida. A capacidade de buffer pode ser configurada e é limitada pela memória disponível e o espaço em disco.

Você pode usar quantas instâncias Disconnected Log Collector você precisar em seu ambiente QRadar .

A imagem a seguir mostra um exemplo de Disconnected Log Collector implementado em um ambiente do QRadar .

Figura 1. Disconnected Log Collector
Coletor de logs desconectado

Disconnected Log Collector vem pré-configurado para coletar informações de log das fontes de log syslog UDP e TCP, e também pode ser configurado para as seguintes fontes de log:

  • API de REST do Akamai Kona
  • API REST do Amazon AWS S3
  • Amazon Web Services
  • Apache Kafka
  • API de REST do Ariel
  • API REST do Serviço de Segurança Web (WSS) da Blue Coat
  • API de REST do Box
  • Centrify Redrock REST API
  • Cisco Duo
  • Cisco Firepower eStreamer
  • EMC VMWare
  • Google Cloud Pub/Sub
  • API de REST do Google G Suite Activity Reports
  • Receptor de HTTP
  • IBM SIM JDBC
  • IBM API REST Randori de segurança
  • Security ReaQtaIBM API REST
  • IBM Security Verify Event Service (anteriormente IBM Cloud® Identity Event Service)
  • JDBC
  • JDBC - SiteProtector
  • Protocolo de arquivo de log
  • Microsoft Azure Event Hubs
  • Windows Defender para API REST de ponto de extremidade
    Importante: devido a uma mudança no conjunto de APIs do Microsoft Defender a partir de 25 de novembro de 2021, a Microsoft não permite mais a migração de novas integrações com sua API SIEM.

    Para continuar a receber dados das origens de log da API de REST do Microsoft Defender for Endpoint, deve-se registrar um novo aplicativo e criar origens de log do Microsoft Graph Security API para coletar os dados. Para obter mais informações, consulte Migração de fontes de log da API REST do Microsoft Defender para Endpoint para fontes de log do Microsoft Security API Graph.

  • protocolo Microsoft DHCP
  • Microsoft Exchange
  • Microsoft Graph Security API
  • Microsoft IIS
  • Microsoft Security Event Log sobre MSRPC
  • Microsoft Office 365 API REST
  • Microsoft Office 365 API Trace REST API
  • MQ protocolo-MQJMS
  • API REST do Netskope Active
  • ObserveIT JDBC
  • API REST Okta
  • Oracle Database Listener
  • API de REST do Salesforce
  • API REST do Seculert Protection
  • SMB Tail
  • SNMPv2
  • SNMPv3
  • Syslog Redirect
  • TCP Multiline Syslog
  • TCP Syslog
  • TLS Syslog
  • Syslog UDP multilinhas
  • API de REST de nuvem universal
  • VMware vCloud Director