Cisco Cloud Web Security
O IBM QRadar DSM for Cisco Cloud Web Security (CWS) coleta logs de uso da web de um armazenamento Cisco Cloud Web Security (CWS) usando uma API compatível com Amazon S3 .
| Especificação | Valor |
|---|---|
| Fabricante | Cisco |
| Nome do DSM | Cisco Cloud Web Security |
| Nome do arquivo RPM | DSM-CiscoCloudWebSecurity-QRadar_version-build_number.noarch.rpm |
| Versões Suportadas | N/D |
| Protocolo | API REST do Amazon AWS S3 |
| Formato de evento | W3C |
| Tipos de eventos registrados | Todos os logs de uso da web |
| Descobertos automaticamente? | Não |
| Inclui identidade? | Não |
| Inclui propriedades customizadas? | Não |
| Informações adicionais | Informações do produto Cisco CWS (https://www.cisco.com/go/cws) |
- Se as atualizações automáticas não estiverem ativadas, baixe e instale a versão mais recente dos seguintes RPMs do IBM®, na ordem em que estão listados, em seu QRadar
Console:
- Protocol Common RPM
- RPM de Protocolo da API REST do Amazon AWS
- RPM DSMCommon
- RPM do DSM do Cisco Cloud Web Security
- Ative a Extração de log no Cisco ScanCenter (portal de administração).
- Inclua uma origem de log do Cisco Cloud Web Security no QRadar
Console. A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos do Cisco Cloud Web Security:
Tabela 2. Parâmetros de origem do log do Cisco Cloud Web Security Parâmetro Valor Tipo de origem de log Cisco Cloud Web Security Configuração de protocolo API REST do Amazon AWS S3 Identificador de Fonte de Log O Identificador de Origem de Log pode ser qualquer valor válido e não precisa fazer referência a um servidor específico. O Identificador de Origem de Log pode ter o mesmo valor que o Nome da Origem de Log. Se você configurou mais de uma origem do log do Cisco CWS, poderá querer identificar a primeira origem de log como ciscocws1, a segunda origem de log como ciscocws2 e a terceira origem de log como ciscocws13.
Versão da Assinatura Selecione Signature Version 2.
Se a sua API do Cisco CWS estiver usando Versão de assinatura 4, entre em contato com o administrador do seu sistema.
Nome da região (somente assinatura V4) A região que está associada ao depósito Amazon S3. Nome do serviço (somente assinatura V4) Digite s3. O nome do Serviço da web da Amazon. Nome do depósito O nome do depósito Cisco CWS onde os arquivos de log estão armazenados. URL de terminal https://vault.scansafe.com/ Chave Pública A chave de acesso para permitir a extração de log do depósito da Cisco CWS. Chave de acesso A chave secreta para ativar a extração de log do depósito da Cisco CWS. Prefixo de Diretório O local do diretório raiz no depósito de armazenamento Cisco CWS de onde os logs do Cisco CWS são recuperados. Por exemplo, o local do diretório raiz pode ser cws-logs/. Padrão do arquivo .*?\.txt\.gz Formato de Evento W3C. A origem de log recupera eventos formatados por texto W3C. Utilizar Proxy Quando um proxy é configurado, todo o tráfego para a origem de log percorre o proxy para que o QRadar possa acessar os depósitos do Amazon AWS S3 .
Configure os campos Servidor proxy, Porta de proxy, Nome do usuário de proxy e Senha de proxy. Se o proxy não requerer autenticação, deixe os campos Nome de usuário de proxy e Senha de proxy em branco.
Adquirir automaticamente certificado(s) de servidor Se você selecionar Sim, QRadar fará download do certificado e começará a confiar no servidor de destino..
Recorrência Especifica com que frequência o Protocolo da API de REST do Amazon AWS S3 se conecta à API da Cisco CWS para verificar novos arquivos e recuperá-los se eles existirem. O formato é M/H/D para Minutos/Horas/Dias. O padrão é 5 M.
Cada acesso a um depósito AWS S3 incorre em um custo monetário para a conta que possui o depósito. Portanto, um valor de recorrência menor aumenta o custo.
| Nome do evento | Categoria de baixo Nível | Mensagem de log de amostra |
|---|---|---|
| c:comp - block | Acesso Negado |
|