思科威胁防护平台

IBM QRadar DSM for Cisco Advanced Malware Protection (Cisco AMP) 从 Cisco AMP for Endpoints 平台收集事件日志。 DSM for Cisco AMP 使用 RabbitMQ 协议。

重要信息: 如果需要服务器名称指示 (SNI) ,那么 Cisco AMP 集成不支持私有云。 请联系 Cisco 以获取更多详细信息。
要将 Cisco AMP 与 QRadar集成,请完成以下步骤:
  1. 如果未启用自动更新,则可从 IBM® 支持网站(http://www.ibm.com/support)下载 RPM。 在 QRadar Console上下载并安装以下 RPM。
    重要信息: 您需要 QRadar V7.2.8 补丁 9 (V7.2.8.20170726184122) 或更高版本来安装 RabbitMQ 协议 RPM。
    • Protocol Common RPM
    • DSMCommon RPM
    • RabbitMQ 协议 RPM
    • 思科AMP DSM RPM
  2. 创建 Cisco AMP 客户机标识和 API 密钥。 或者,您可以请求管理员访问已创建的事件流。 有关创建这些值的更多信息,请转至 创建 Cisco AMP 客户机标识和 API 密钥 过程。
  3. 创建 Cisco AMP 事件流。 有关创建事件流的更多信息,请转至 创建 Cisco AMP 事件流 过程。
  4. QRadar Console 上为用户添加 Cisco AMP 日志源以管理 Cisco AMP 事件流。