IBM QRadar Packet Capture
用于 IBM® QRadar® Packet Capture 的 IBM QRadar DSM 从 IBM 安全 Packet Capture 设备收集事件。
下表描述了 IBM QRadar Packet Capture DSM 的规范:
| 规范 | 值 |
|---|---|
| 制造商 | IBM |
| DSM 名称 | IBM QRadar Packet Capture |
| RPM 文件名 | DSM-IBMQRadarPacketCapture-QRadar_version-build_number.noarch.rpm |
| 受支持的版本 | IBM QRadar Packet Capture V7.2.3 到 V7.2.7 IBM QRadar Network Packet Capture V7.3.0 |
| 协议 | Syslog |
| 事件格式 | LEEF |
| 记录的事件类型 | 所有事件 |
| 自动发现? | 是 |
| 包含身份? | 否 |
| 是否包含定制属性? | 否 |
| 更多信息 | IBM Docs (https://www.ibm.com/support/knowledgecenter/SS42VS_latest/com.ibm.qradar.doc/c_pcap_introduction.html) |
要将 IBM QRadar Packet Capture 与 QRadar集成,请完成以下步骤:
- 如果未启用自动更新,请将以下 RPM 的最新版本从 IBM 支持 Web 站点 下载并安装到 QRadar
Console上:
- DSMCommon RPM
- IBM QRadar 数据包捕获 DSM RPM
- 配置 IBM QRadar Packet Capture 设备以将系统日志事件发送到 QRadar。
- 如果 QRadar 未自动检测日志源,请在 QRadar 控制台上添加 IBM QRadar Packet Capture 日志源。 下表描述了需要特定值才能从 IBM QRadar Packet Capture 收集事件的参数:
表 2. IBM QRadar Packet Capture 日志源参数 参数 值 日志源类型 IBM QRadar Packet Capture 协议配置 Syslog - 要验证是否正确配置了 QRadar ,请查看下表以查看已解析事件消息的示例。重要信息: 由于格式化问题,请将消息格式粘贴到文本编辑器中,然后除去任何回车符或换行符。下表显示了来自 IBM QRadar Packet Capture 的样本事件消息:
表 3. IBM QRadar Packet Capture 样本消息 事件名称 低级类别 样本日志消息 已添加用户 已添加用户帐户 May 10 00:01:04 <Server>LEEF: 2.0|IBM|QRadar PacketCapture|7.2.7.255-1G|UserAdded|cat=Admin msg=User<Username> has been added下表显示了来自 IBM QRadar Network Packet Capture的样本事件消息:表 4。 IBM QRadar Network Packet Capture 样本消息 事件名称 低级类别 样本日志消息 包捕获统计信息 信息 <14>Mar 1 20:39:41 <Server> LEEF:2.0|IBM|Packet Capture|7.3.0|1|^|captured_packets=8844869^captured_packets_udp=4077106^captured_bytes_udp=379169082^total_packets=9090561^captured_bytes=2793801918^captured_bytes_tcp=2379568101^compression_ratio=27.4^captured_packets_tcp=4356387^oldest_packet=2017-03-01T20:39:41.915555490Z^total_bytes=2853950159