IBM Security Privileged Identity Manager
IBM QRadar DSM for IBM® Security Privileged Identity Manager 使用 JDBC 协议收集事件。
| 规范 | 值 |
|---|---|
| 制造商 | IBM |
| DSM 名称 | IBM Security Privileged Identity Manager |
| RPM 文件名 | DSM-IBMSecurityPrivilegedIdentityManager-QRadar_version-build_number.noarch.rpm |
| 受支持的版本 | V1.0.0 到 V2.1.1 |
| 协议 | JDBC |
| 记录的事件类型 | 审计 认证 系统 |
| 自动发现? | 否 |
| 包含身份? | 否 |
| 是否包含定制属性? | 否 |
| 更多信息 | IBM Security Privileged Identity Manager Web 站点 (https://www.ibm.com/support/knowledgecenter/en/SSRQBP/welcome.html) |
- 如果未启用自动更新,请将以下 RPM 的最新版本从 IBM 支持 Web 站点 下载并安装到QRadar
Console上:
- JDBC 协议 Rational® Portfolio Manager
- IBM Security Privileged Identity Manager DSM RPM
- 配置 IBM Security Privileged Identity Manager 以与 QRadar通信。
- 在 QRadar
Console上添加 IBM Security Privileged Identity Manager 日志源。 下表描述了需要特定值进行事件收集的参数:
表 2. IBM Security Privileged Identity Manager JDBC 日志源参数 参数 值 日志源名称 输入日志源的唯一名称。 日志源描述 (可选) 输入日志源的描述。 日志源类型 IBM Security Privileged Identity Manager 协议配置 JDBC 日志源标识 输入日志源的名称。 该名称不能包含空格,并且必须在配置为使用 JDBC 协议的日志源类型的所有日志源中唯一。
如果日志源从具有静态 IP 地址或主机名的单个设备收集事件,请使用该设备的 IP 地址或主机名作为 日志源标识 值的全部或部分; 例如, 192.168.1.1 或 JDBC192.168.1.1。 如果日志源未从具有静态 IP 地址或主机名的单个设备收集事件,那么可以将任何唯一名称用于 日志源标识 值; 例如, JDBC1, JDBC2。
数据库类型 MSDE 数据库名称 数据库名称必须与 日志源标识 字段中指定的数据库名称匹配。 IP 桌主机名 必须与 IBM Security Privileged Identity Manager的 主机名 字段中的值匹配。 端口 必须与 IBM Security Privileged Identity Manager的 端口 字段中的值匹配。 用户名 必须与 IBM Security Privileged Identity Manager的 数据库管理员标识 字段中的值匹配。 Password 用于连接到数据库的密码。 认证域 如果未选择 使用 Microsoft JDBC,那么将显示 认证域 。
作为 Windows 域的 MSDE 数据库的域。 如果您的网络不使用域,请将此字段留空。
数据库实例 数据库实例 (如果需要)。 MSDE 数据库可以在一个服务器上包含多个 SQL Server 实例。 当非标准端口用于数据库或阻止访问端口 1434 以进行 SQL 数据库解析时, 数据库实例 参数在日志源配置中必须为空白。
预定义查询 选择 无。 表名 <DB2ADMIN>.V_PIM_AUDIT_EVENT 将 DB2ADMIN 替换为实际数据库模式名称,如 IBM Security Privileged Identity Manager中的 数据库管理员标识 参数中所标识。
选择列表 输入星号 (*) 以从表或视图中选择所有字段。 比较字段 标识在查询之间添加到表的新事件。 输入 TIMESTAMP。 请使用准备的语句 预编译语句使 JDBC 协议源能够设置 SQL 语句,并使用不同的参数多次运行 SQL 语句。 选中此复选框。 开始日期和时间 (可选) 按以下格式输入数据库轮询的开始日期和时间 :yyyy-MM-dd HH :mm ,并使用 24 小时时钟指定 HH。 如果未指定开始日期或时间,那么轮询将立即开始并在指定的轮询时间间隔重复。 轮询时间间隔 对事件表的查询之间的时间间隔。 使用缺省 轮询时间间隔 值 10。 EPS 调速 每秒 QRadar 摄入的最大事件数。
如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。
缺省值为 20,000。
使用命名管道通信 如果未选择 使用 Microsoft JDBC,那么将显示 使用命名管道通信 。
MSDE 数据库要求用户名和密码字段使用 Windows 认证用户名和密码,而不是数据库用户名和密码。 日志源配置必须使用 MSDE 数据库上的缺省命名管道。
数据库集群名称 如果选择了 使用命名管道通信,那么将显示 数据库 参数。 如果要在集群环境中运行 SQL Server ,请定义集群名称以确保命名管道通信正常运行。 使用 NTLMv2 如果未选择 使用 Microsoft JDBC,那么将显示 使用 NTLMv2 。
如果希望 MSDE 连接在与需要 NTLMv2 认证的 SQL 服务器进行通信时使用 NTLMv2 协议,请选择此选项。 此选项不会中断不需要 NTLMv2 认证的 MSDE 连接的通信。
不中断不需要 NTLMv2 认证的 MSDE 连接的通信。
使用 SSL 如果连接支持 SSL ,请选择此选项。 Microsoft SQL Server 主机名 如果选择了 使用 Microsoft JDBC 和 使用 SSL,那么将显示 Microsoft SQL Server Hostname 参数。
必须输入 Microsoft SQL Server 的主机名。