FireEye
IBM QRadar DSM for FireEye 接受日志事件扩展格式 (LEEF) 和公共事件格式 (CEF) 中的系统日志事件。
此 DSM 适用于 FireEye CMS, MPS , EX , AX , NX , FX 和 HX 设备。 QRadar 记录 FireEye 设备发送的所有相关通知警报。
下表标识了 FireEye DSM 的规范。
| 规范 | 值 |
|---|---|
| 制造商 | FireEye |
| DSM 名称 | FireEye MPS |
| 受支持的版本 | CMS, MPS , EX , AX , NX , FX 和 HX |
| RPM 文件名 | DS M-FireEyeMPS-QRadar_版本号-构建号. noarch.rpm |
| 协议 | Syslog 和 TLS Syslog |
| 事件格式 | 公共事件格式 (CEF)。 CEF:0 受支持。 |
| QRadar 个记录的事件类型 | 所有相关事件 |
| 自动发现? | 是 |
| 包含身份? | 否 |
| 更多信息 | FireEye Web 站点 (www.fireeye.com) |
要将 FireEye 与 QRadar集成,请使用以下过程:
- 如果未启用自动更新,请从 IBM® 支持网站下载 DSM Common 和 FireEye MPS RPM 并安装到 QRadar 控制台。
- 在 QRadar上下载并安装最新的 TLS Syslog 协议 RPM。
- 对于部署中的每个 FireEye 实例,配置 FireEye 系统以将事件转发到 QRadar。
- 针对 FireEye, 在 QRadar 控制台上创建 FireEye 日志源。 下表说明如何在 Syslog 和 TLS Syslog 中为 FireEye配置日志源。
表 2. 为 FireEye 配置 Syslog 日志源协议 参数 描述 日志源类型 FireEye 协议配置 Syslog 日志源标识 输入日志源的 IP 地址或主机名作为来自设备的事件的标识。 请参阅 添加日志源 以了解在 Syslog 和 TLS Syslog 协议配置选项 中出现的更多公共参数,以了解更多特定于 TLS Syslog 协议的参数及其配置。表 3. 为 FireEye 配置 TLS Syslog 日志源协议 参数 描述 日志源类型 FireEye 协议配置 TLS Syslog 日志源标识 输入日志源的 IP 地址或主机名作为来自设备的事件的标识。 TLS 侦听端口 缺省 TLS 侦听端口为 6514。 认证方式 用于认证 TLS 连接的方式。 如果选择 TLS 和客户机认证选项,那么必须配置证书参数。 证书类型 要用于认证的证书的类型。 如果选择 提供证书 选项,那么必须配置服务器证书和专用密钥的文件路径。 提供的服务器证书路径 服务器证书的绝对路径。 提供的专用密钥路径 专用密钥的绝对路径。 注: 对应的专用密钥必须是 DER 编码的 PKCS8 密钥。 配置失败,出现任何其他密钥格式。最大连接数 "最大连接数" 参数控制 TLS 系统日志协议可以为每个 Event Collector 接受的同时连接数。
所有 TLS 系统日志日志源配置的连接限制为每个 Event Collector 1000 个连接。 每个设备连接的缺省值为 50。
注: 自动发现与另一日志源共享侦听器的日志源,例如,如果在同一事件收集器上使用同一端口,那么仅计入一次限制。