Cisco IDS/IPS 的 SDEE 日誌來源參數

如果 QRadar® 未自動偵測日誌來源,請使用「安全裝置事件交換 (SDEE)」通訊協定在 QRadar Console 上新增 Cisco Intrusion Prevention System (IPS) 日誌來源。
下表說明需要特定值才能從 Cisco IDS/IPS 裝置收集 SDEE 事件的參數:
表 1. Cisco IDS/IPS DSM 的 SDEE 日誌來源參數
參數
Log Source type Cisco Intrusion Prevention System (IPS)
Protocol Configuration SDEE
Log Source Identifier 鍵入 IP 位址、主機名稱或名稱,以識別 SDEE 事件來源。

此 ID 可協助您判定哪些事件來自 Cisco IDS/IPS 裝置。
URL 輸入用來存取日誌來源的 URL 位址。
您必須在 URL 中使用 httphttps 。 以下是部分範例:
  • 如果您使用 SDEE/CIDEE (適用於 Cisco IDS v5.x 以及更新版本) ,請檢查 /cgi-bin/sdee-server 是否位於 URL 尾端。 例如,https://www.example.com/cgi-bin/sdee-server
  • 如果您使用 RDEP (適用於 Cisco IDS v4.0) ,請檢查 /cgi-bin/event-server 是否位於 URL 尾端。 例如,https://www.example.com/cgi-bin/event-server
Username 輸入使用者名稱。

這個使用者名稱必須符合用來存取 SDEE URL 的 SDEE URL 使用者名稱。 使用者名稱長度最多可為 255 個字元。
Password 輸入使用者密碼。

此密碼必須符合用來存取 SDEE URL 的 SDEE URL 密碼。 密碼長度最多可為 255 個字元。
Events / Query 鍵入每個查詢要擷取的事件數上限。

有效範圍是 0-501 ,預設值是 100。
Force Subscription 如果您要強制執行新的 SDEE 訂閱,請選取此勾選框。

此勾選框會強制伺服器捨棄最不活躍的連線,並接受此日誌來源的新 SDEE 訂閱連線。 依預設,勾選框已選取。 清除此勾選框會繼續處理任何現有的 SDEE 訂閱。
Severity Filter Low 如果您要將嚴重性層次配置為低嚴重性層次,請選取這個勾選框。

支援 SDEE 的日誌來源只會傳回符合此嚴重性層次的事件。 依預設,勾選框已選取。
Severity Filter Medium 如果您要將嚴重性層次配置為中,請選取這個勾選框。

支援 SDEE 的日誌來源只會傳回符合此嚴重性層次的事件。 依預設,勾選框已選取。
Severity Filter High 如果您要將嚴重性層次配置為高,請選取這個勾選框。

支援 SDEE 的日誌來源只會傳回符合此嚴重性層次的事件。 依預設,勾選框已選取。

如需 SDEE 通訊協定參數及其值的完整清單,請參閱 SDEE 通訊協定配置選項