Cisco IDS/IPS için SDEE günlük kaynağı parametreleri

QRadar® , günlük kaynağını otomatik olarak algılamazsa, Security Device Event Exchange (SDEE) iletişim kuralını kullanarak QRadar Console ' da bir Cisco Intrusion Prevention System (IPS) günlük kaynağını ekleyin.
Aşağıdaki tabloda, Cisco IDS/IPS aygıtlarından SDEE olaylarını toplamak için belirli değerler gerektiren parametreler açıklanmaktadır:
Tablo 1. Cisco IDS/IPS DSM için SDEE günlük kaynağı parametreleri
Parametre Değer
Log Source type Cisco İzinsiz Giriş Önleme Sistemi (IPS)
Protocol Configuration SDEE
Log Source Identifier SDEE olay kaynağını tanımlamak için bir IP adresi, anasistem adı ya da ad yazın.

Tanıtıcı, Cisco IDS/IPS aygıtınızdan hangi olayların geldiğini belirlemenize yardımcı olur.
URL Günlük kaynağına erişmek için URL adresini yazın.
URL ' de bir http ya da https kullanmanız gerekir. Bazı örnekler:
  • SDE/CIDEE (Cisco IDS v5.x ve sonraki bir sürümü için) kullanıyorsanız, /cgi-bin/sdee-server 'in URL' nin sonunda olup olmadığını denetleyin. Örneğin, https://www.example.com/cgi-bin/sdee-server.
  • If you are using RDEP (for Cisco IDS v4.0), check that /cgi-bin/event-server is at the end of the URL. Örneğin, https://www.example.com/cgi-bin/event-server.
Username Kullanıcı adını yazın.

Bu kullanıcı adının SDEE URL adresine erişmek için kullanılan SDEE URL kullanıcı adıyla eşleşmesi gerekir. Kullanıcı adı en çok 255 karakter uzunluğunda olabilir.
Password Kullanıcı parolasını yazın.

Bu parolanın SDEE URL adresine erişmek için kullanılan SDEE URL parolasıyla eşleşmesi gerekir. Parola en çok 255 karakter uzunluğunda olabilir.
Events / Query Sorgu başına alınacak olay sayısı üst sınırını yazın.

Geçerli aralık 0-501 ve varsayılan değer 100 'dür.
Force Subscription Yeni bir SDEE aboneliğini zorlamak istiyorsanız bu onay kutusunu seçin.

Bu onay kutusu, sunucuyu en az etkin bağlantıyı bırakacak şekilde zorlar ve bu günlük kaynağı için yeni bir SDEE abonelik bağlantısı kabul eder. Varsayılan olarak onay kutusu seçilir. Onay kutusunun temizlenmesi, var olan SDEE aboneliğiyle devam eder.
Severity Filter Low Önem derecesini düşük olarak yapılandırmak istiyorsanız bu onay kutusunu seçin.

SDEE ' yi destekleyen günlük kaynakları, yalnızca bu önem derecesi düzeyiyle eşleşen olayları döndürür. Varsayılan olarak onay kutusu seçilir.
Severity Filter Medium Önem derecesi düzeyini ortam olarak yapılandırmak istiyorsanız bu onay kutusunu seçin.

SDEE ' yi destekleyen günlük kaynakları, yalnızca bu önem derecesi düzeyiyle eşleşen olayları döndürür. Varsayılan olarak onay kutusu seçilir.
Severity Filter High Önem derecesini yüksek olarak yapılandırmak istiyorsanız bu onay kutusunu seçin.

SDEE ' yi destekleyen günlük kaynakları, yalnızca bu önem derecesi düzeyiyle eşleşen olayları döndürür. Varsayılan olarak onay kutusu seçilir.

SDEE iletişim kuralı parametrelerinin ve değerlerinin tam listesi için bkz. SDEE iletişim kuralı yapılandırma seçenekleri.