Enviando eventos criptografados para o QRadar

Configure uma origem de log em implementações independentes de WinCollect para enviar eventos criptografados para IBM® QRadar® com syslog TLS. O TLS Syslog é suportado apenas em implementações gerenciadas do WinCollect em QRadar versões 7.3.1 e mais recentes

Antes de iniciar

No QRadar, configure um DSM Universal que use o protocolo TLS Syslog Para obter mais informações, consulte o Guia do usuário de origens de log do IBM Security QRadar.

O uDSM abre uma porta e fornece o certificado que é necessário para a comunicação usando o TLS. Se você excluir o uDSM, a comunicação do TLS será interrompida.

Procedimento

  1. Use SSH para efetuar login no QRadar como o usuário raiz.
  2. Copie o certificado, incluindo -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- de /opt/qradar/conf/trusted_certificates/syslog-tls.cert para um local temporário. Você colará esse certificado no console de configuração do WinCollect.
  3. No WinCollect Console de Configuração, expanda Destinose clique em Incluir Destino
  4. Na caixa Novo Nome de Destino , adiciote um nome para o destino e, em seguida, clique em OK.
  5. Selecione o novo destino e insira o endereço IP do dispositivo de destino do QRadar no campo Nome do host
  6. Digite 6514 no campo Porta ..
  7. Digite a taxa de eventos por segundo (EPS) para a sua implementação no campo Throttle .
  8. Cole o certificado copiado do QRadar no campo Certificado .
  9. Clique em Implementar Mudanças sob Ações.