Cisco IDS/IPS

Você pode integrar um dispositivo de segurança Cisco IDS/IPS ao IBM QRadar.

O DSM Cisco IDS/IPS para IBM QRadar coleta o Cisco IDS/IPS para eventos usando o protocolo Security Device Event Exchange (SDEE).

A especificação SDEE define o formato da mensagem e o protocolo que é usado para comunicar os eventos que são gerados pelo dispositivo de segurança Cisco IDS/IPS. O QRadar suporta conexões SDEE pesquisando diretamente no dispositivo IDS/IPS e não no software de gerenciamento, que controla o dispositivo.

Nota: deve-se ter acesso de segurança ou autenticação da web no dispositivo antes de se conectar ao QRadar.

Depois de configurar seu dispositivo Cisco IDS/IPS, deve-se configurar o protocolo SDEE em QRadar Ao configurar o protocolo SDEE, deve-se definir a URL que é usada para acessar o dispositivo. Um exemplo de uma URL que define o dispositivo é https//www.example.com/cgi-bin/sdee-server.

Deve-se usar http ou https na URL, que é específica para a sua versão do Cisco IDS.

Ao usar o RDEP (para o Cisco IDS 4.0), assegure-se de que a URL tenha /cgi-bin/event-server no final da URL. Uma URL de exemplo é https://www.example.com/cgi-bin/event-server.
Ao usar SDEE/CIDEE (para o Cisco IDS 5.x e mais recente), assegure-se de que a URL tenha /cgi-bin/sdee-server no final da URL. Uma URL de exemplo é https://www.example/cgi-bin/sdee-server.