Enviando eventos criptografados para o QRadar
Configure uma origem de log em implementações independentes de WinCollect para enviar eventos criptografados para IBM® QRadar® com syslog TLS. O TLS Syslog é suportado apenas em implementações gerenciadas do WinCollect em QRadar versões 7.3.1 e mais recentes
Antes de iniciar
O uDSM abre uma porta e fornece o certificado que é necessário para a comunicação usando o TLS. Se você excluir o uDSM, a comunicação do TLS será interrompida.
Procedimento
- Use SSH para efetuar login no QRadar como o usuário raiz.
- Copie o certificado, incluindo
-----BEGIN CERTIFICATE-----e-----END CERTIFICATE-----de /opt/qradar/conf/trusted_certificates/syslog-tls.cert para um local temporário. Você colará esse certificado no console de configuração do WinCollect. - No WinCollect Console de Configuração, expanda Destinose clique em Incluir Destino
- Na caixa Novo Nome de Destino , adiciote um nome para o destino e, em seguida, clique em OK.
- Selecione o novo destino e insira o endereço IP do dispositivo de destino do QRadar no campo Nome do host
- Digite 6514 no campo Porta ..
- Digite a taxa de eventos por segundo (EPS) para a sua implementação no campo Throttle .
- Cole o certificado copiado do QRadar no campo Certificado .
- Clique em Implementar Mudanças sob Ações.