Centrify 基础架构服务
IBM QRadar DSM for Centrify Infrastructure Services 从 Centrify Infrastructure Services 标准日志收集事件。
下表描述了 Centrify 基础架构服务 DSM 的规范:
| 规范 | 值 |
|---|---|
| 制造商 | 集中 |
| DSM 名称 | Centrify 基础架构服务 |
| RPM 文件名 | DSM-CentrifyInfrastructureServices- QRadar_version-build_number.noarch.rpm |
| 受支持的版本 | Centrify 基础架构服务 2017 |
| 协议 | Syslog , TLS Syslog 和 WinCollect |
| 事件格式 | 名称/值对 (name-value pair , NVP) |
| 记录的事件类型 | 审计事件 |
| 自动发现? | 是 |
| 包含身份? | 否 |
| 是否包含定制属性? | 否 |
| 更多信息 | Centrify Web 站点 (https://www.centrify.com/support/documentation/server-suite/) |
要将 Centrify 基础架构服务与 QRadar集成,请完成以下步骤:
- 如果未启用自动更新,请在 QRadar
Console上下载并安装最新版本的 Centrify Infrastructure Services DSM RPM。注: 如果使用 WinCollect 协议配置选项,请在 QRadar Console上安装最新的 WinCollect 代理程序捆绑软件 (.sfs 文件)。
- 要将系统日志或 Windows 事件发送到 QRadar,请配置 UNIX , Linux®或 Windows 设备 (其中提供了 Centrify Infrastructure Services 标准日志)。
- 如果 QRadar 未自动检测日志源,请在 QRadar
Console上添加 Centrify Infrastructure Services 日志源。
下表描述了需要特定值才能从 Centrify 基础架构服务收集事件的参数:
表 2. Centrify Infrastructure Services 日志源参数 参数 值 日志源类型 Centrify 基础架构服务 协议配置 Syslog 日志源标识 将 Centrify Infrastructure Services 事件发送到 QRadar的 UNIX , Linux或 Windows 设备的 IP 地址或主机名。 - 可选: 要添加 Centrify Infrastructure Services 日志源以从支持 TLS Syslog 事件转发的网络设备接收 Syslog 事件,请在 QRadar
Console 上配置日志源以使用 TLS Syslog 协议。
表 3. Centrify Infrastructure Services TLS Syslog 日志源参数 参数 值 日志源类型 Centrify 基础架构服务 协议配置 TLS Syslog 日志源标识 输入日志源的唯一标识。 TLS 协议 选择客户机上安装的 TLS 版本。 注: 要从最多 50 个支持 TLS Syslog 事件转发的网络设备接收加密的 Syslog 事件,请配置日志源以使用 TLS Syslog 协议。