IBM 感知
用于 IBM® Sense 的 IBM QRadar DSM 可从生成 Sense 事件的本地或外部系统收集显著事件。
下表描述了 IBM Sense DSM 的规范:
| 规范 | 值 |
|---|---|
| 制造商 | IBM |
| DSM 名称 | IBM 感知 |
| RPM 文件名 | DSM-IBMSense-Qradar_version-build_number.noarch.rpm |
| 受支持的版本 | 1 |
| 协议 | Syslog |
| 事件格式 | LEEF |
| 记录的事件类型 | 用户行为 用户布局 用户时间 用户访问权 用户特权 用户风险 意识攻击 资源风险 |
| 自动发现? | 是 |
| 包含身份? | 否 |
| 是否包含定制属性? | 否 |
| 更多信息 | IBM Web 站点 (http://www.ibm.com) |
要将 IBM Sense 与 QRadar集成,请完成以下步骤:
- 如果未启用自动更新,请将以下 RPM 的最新版本从 IBM 支持 Web 站点 下载并安装到 QRadar
Console上:
- IBM Sense DSM RPM
- DSMCommon RPM
下表显示了 IBM Sense 的样本事件消息:
| 事件名称 | 低级类别 | 样本日志消息 |
|---|---|---|
| 行为更改 | 用户行为 | LEEF:2.0|IBM|Sense|1.0|Behavior Change|cat=User Behavior description= score=
scoreType= confidence= primaryEntity= primaryEntityType= additionalEntity= additionalEntityType=
beginningTimestamp= endTimestamp= sensorDomain= referenceId1= referenceId2= referenceId3=
referenceId4= referenceURL= originalSenseEventName= |