Cisco Firepower eStreamer 协议配置选项
要从 Cisco Firepower eStreamer (Event Streamer) 服务收集 IBM QRadar 中的事件,请配置日志源以使用 Cisco Firepower eStreamer 协议。
Cisco Firepower eStreamer 协议以前称为 Sourcefire Defense Center eStreamer 协议。
Cisco Firepower eStreamer 协议是被动出站协议。 有关此协议如何流式采集事件的更多信息,请参阅 了解 eStreamer 应用程序协议 (https://www.cisco.com/c/en/us/td/docs/security/firepower/670/api/eStreamer/EventStreamerIntegrationGuide/Protocol.html)。
配置 Cisco Firepower Management Center DSM 后,会将事件流式传输到 QRadar 以进行处理。
| 参数 | 描述 |
|---|---|
| 协议配置 | Cisco Firepower eStreamer |
| 日志源标识 | 输入日志源的唯一名称。 日志源标识 可以是任何有效值,并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 如果您有多个已配置的 Cisco Firepower eStreamer 日志源,请确保为每个日志源提供唯一的名称。 |
| 服务器端口 | Cisco Firepower eStreamer 服务配置为接受连接请求的端口号。 QRadar 用于 Cisco Firepower eStreamer 的缺省端口为 8302。 |
| 密钥库文件名 | 密钥库专用密钥和关联证书的目录路径和文件名。 缺省情况下,导入脚本会在以下目录中创建密钥库文件: /opt/qradar/conf/estreamer.keystore |
| 信任库文件名 | 信任库文件的目录路径和文件名。 信任库文件包含客户机信任的证书。 缺省情况下,导入脚本会在以下目录中创建信任库文件: /opt/qradar/conf/estreamer.truststore |
| 请求额外数据 | 选择此选项以从 Cisco Firepower Management Center 请求入侵事件额外数据。 例如,额外数据包含事件的原始 IP 地址。 |
| 域 | 重要信息: eStreamer V 6.x 和更高版本支持域流式请求。 对于 eStreamer V 5.x,将 域 字段留空。
从中流式采集事件的域。 域 字段中的值必须是标准域。 因此,必须列出所需域的所有祖代,从顶级域开始,并以您要从中请求事件的叶域结束。 示例: 全局是顶级域, B 是二级域,是全局的子域, C 是三级域,叶域是 B 的子域。 要从 C 请求事件,请为 Domain 参数输入以下值: Global \ B \ C |