CloudLock 云安全光纤网

IBM QRadar DSM for CloudLock Cloud Security Fabric 从 CloudLock Cloud Security Fabric 服务收集事件。

下表描述了 CloudLock Cloud Security Fabric DSM 的规范:
表 1. CloudLock Cloud Security Fabric DSM 规范
规范
制造商 CloudLock
DSM 名称 CloudLock 云安全光纤网
RPM 文件名 DSM-CloudLockCloudSecurityFabric-Qradar_version-build_number.noarch.rpm
受支持的版本 不适用
协议 Syslog
事件格式 日志事件扩展格式 (LEEF)
记录的事件类型 事件
自动发现?
包含身份?
是否包含定制属性?
更多信息 云网络安全 (https://www.cloudlock.com/products/)
要将 CloudLock Cloud Security Fabric 与 QRadar集成,请完成以下步骤:
  1. 如果未启用自动更新,请从 IBM® 支持网站下载下列 RPM 的最新版本并安装到 QRadar Console 上,顺序如下:
    • DSMCommon RPM
    • CloudLock 云安全架构 DSM RPM
  2. 配置 CloudLock Cloud Security Fabric 服务以将 Syslog 事件发送到 QRadar
  3. 如果 QRadar 未自动检测日志源,请在 QRadar 控制台上添加 CloudLock Cloud Security Fabric 日志源。 下表描述了需要 CloudLock Cloud Security Fabric 事件集合的特定值的参数:
    表 2. CloudLock Cloud Security Fabric 日志源参数
    参数
    日志源类型 CloudLock 云安全光纤网
    协议配置 Syslog
下表提供了 CloudLock Cloud Security Fabric DSM 的样本事件消息:
表 3. CloudLock Cloud Security Fabric 样本消息受 CloudLock Cloud Security Fabric 服务支持
事件名称 低级类别 样本日志消息
新事件 可疑的活动 
LEEF: 1.0|Cloudlock|API|v2|Incidents|match_count=2 sev=1 entity_id=ebR4q6DxvA entity_origin_type=document group=None url=https://example.com/a/path/file/d/<File_path_ID/view?usp=drivesdk CloudLockID=xxxxxxxxxx updated_at=2016¬01-20T15:42:15.128356+0000 entity_owner_email=user@example.com cat=NEW entity_origin_id=<File_path_ID> entity_mime_type=text/plain devTime=2016¬01-20T15:42:14.913178+0000 policy=Custom Regex resource=confidential.txt usrName=Admin Admin realm=domain policy_id=xxxxxxxxxx devTimeFormat=yyyy¬MM-dd'T'HH:mm:ss.SSSSSSZ