FireEye
FireEye için IBM® QRadar® DSM 'si, Log Event Extended Format (LEEF) ve Common Event Format (CEF) içindeki syslog olaylarını kabul eder.
Bu DSM, FireEye CMS, MPS, EX, AX, NX, FX ve HX aygıtlarına uygulanır. QRadar , FireEye aygıtlarıyla gönderilen ilgili bildirim uyarılarını kaydeder.
Aşağıdaki tabloda, FireEye DSM ' ye ilişkin belirtimler tanımlanmaktadır.
| Belirtim | Değer |
|---|---|
| Üretici | FireEye |
| DSM adı | FireEye MPS |
| Desteklenen sürümler | CMS, MPS, EX, AX, NX, FX ve HX |
| RPM dosya adı | DSM-FireEyeMPS-QRadar_version-Build_number.noarch.rpm |
| İletişim kuralı | Syslog ve TLS Syslog |
| Olay Biçimi | Ortak Olay Biçimi (CEF). CEF:0 desteklenir. |
| QRadar kaydedilen olay tipleri | İlgili tüm olaylar |
| Otomatik keşfedildi mi? | Evet |
| Kimlik dahil mi? | Hayır |
| Diğer bilgiler | FireEye web sitesi (www.fireeye.com) |
FireEye ürününü QRadarile tümleştirmek için aşağıdaki yordamları kullanın:
- If automatic updates are not enabled, download and install the DSM Common and FireEye MPS RPM from the IBM Destek Web Sitesi onto your QRadar Console.
- QRadarüzerindeki en son TLS Syslog Protocol RPM ' yi karşıdan yükleyin ve kurun.
- For each instance of FireEye in your deployment, configure the FireEye system to forward events to QRadar.
- FireEye' nin her eşgörünümü için, QRadar Konsolu 'nda bir FireEye günlük kaynağı yaratın. Aşağıdaki tablolarda, Syslog ve TLS Syslog for FireEyeiçinde bir günlük kaynağının nasıl yapılandırılacağı anlatılıyor.
Tablo 2. FireEyeiçin Syslog günlük kaynağı protokollerinin yapılandırılması Parametre Açıklama Günlük kaynağı tipi FireEye İletişim Kuralı Yapılandırması Syslog Günlük Kaynağı Tanıtıcısı Aygıtınızdaki olaylara ilişkin bir tanıtıcı olarak, günlük kaynağının IP adresini ya da anasistem adını yazın. Daha fazla TLS Syslog iletişim kuralına özgü parametreler ve bunların yapılandırmaları için Syslog ve TLS Syslog iletişim kuralı yapılandırma seçenekleri ' nde ortaya çıkan daha yaygın değiştirgeler için Günlük kaynağı eklenmesi başlıklı konuda bakın.Tablo 3. Configuring the TLS Syslog log source protocols for FireEye Parametre Açıklama Günlük kaynağı tipi FireEye İletişim Kuralı Yapılandırması TLS Syslog Günlük Kaynağı Tanıtıcısı Aygıtınızdaki olaylara ilişkin bir tanıtıcı olarak, günlük kaynağının IP adresini ya da anasistem adını yazın. TLS Dinle Kapısı Varsayılan TLS dinleme kapısı 6514 'tür. Kimlik doğrulama kipi TLS bağlantınızın kimliğinin doğrulanan kiptir. TLS ve İstemci Kimlik Doğrulaması seçeneğini belirlerseniz, sertifika parametrelerini yapılandırmanız gerekir. Sertifika Tipi Kimlik doğrulaması için kullanılacak sertifikana ilişkin tip. Sertifikayı Sağla seçeneğini belirlerseniz, sunucu sertifikasına ve özel anahtara ilişkin dosya yollarını yapılandırmanız gerekir. Sağlanan Sunucu Sertifika Yolu Sunucu sertifikasının mutlak yolu. Sağlanan Özel Anahtar Yolu Özel anahtarın mutlak yolu. Not: İlgili özel anahtar, DER kodlamalı bir PKCS8 anahtarı olmalıdır. Konfigürasyon, başka bir anahtar biçimiyle başarısız olur.Bağlantı Sayısı Üst Sınırı Bağlantı Sayısı Üst Sınırı parametresi, TLS Syslog iletişim kuralının her Event Collector için kabul edebileceği koşutzamanlı bağlantı sayısını denetler.
Tüm TLS syslog günlük kaynağı yapılandırmalarında bağlantı sınırı, her Olay Toplayıcısı için 1000 bağlantıdır. Her bir aygıt bağlantısı için varsayılan değer 50 'dir.
Not: Bir dinleyiciyi başka bir günlük kaynağıyla paylaşan günlük kaynaklarını otomatik olarak keşfetti; örneğin, aynı olay toplayıcısında aynı kapıyı kullanıyorsanız, sınıra doğru yalnızca bir kez sayın.