Sourcefire 3D Sensor
要将 IBM® QRadar® Risk Manager 与网络设备集成,请确保查看 Sourcefire 3D Sensor 适配器的需求。
Sourcefire 3D Sensor 适配器提供了以下功能部件:
- IPS
- SSH 连接协议
限制:
- QRadar Risk Manager不使用附加到各个访问控制规则的侵入策略。 只有缺省入侵策略受支持。
- 不支持 NAT 和 VPN。
下表描述了 Sourcefire 3D Sensor 适配器的集成需求。
集成需求 |
描述 |
|---|---|
版本 |
5.2 |
受支持的 3D 传感器 (系列 2 设备) |
3D500 3D1000 3D2000 3D2100 3D2500 3D3500 3D4500 3D6500 3D9900 |
SNMP 发现 |
否 |
必需的凭证参数 要在 QRadar中添加凭证,请以管理员身份登录并使用 风险 选项卡上的 配置监视器 。 |
用户名 Password |
受支持的连接协议 要在 QRadar中添加协议,请以管理员身份登录并使用 风险 选项卡上的 配置监视器 。 |
SSH |
适配器在登录和收集数据时需要的命令 |
show version
|
| 适配器读取配置信息时使用的命令: | |
| 获取硬件信息。 | sudo su df |
| 用于获取系统主机名。 | sudo su hostname |
| 获取路由信息。 | sudo su route -n |
| 使用 cat 或 head 命令来读取文件和获取配置。 | /etc/sf/ims.conf |
| 读取以获取 SNORT 实例的基本目录,在以下三个示例中引用为 $DE_DIR : | $SNORT_DIR/fwcfg/affinity.conf |
| 阅读 IPS 规则和对象。 | $DE_DIR/policyText_full.yaml |
| 读取 SNORT 配置。 | $DE_DIR/snort.conf |
| 在 policyText_full.yaml 文件中引用文件时,将动态读取这些文件。 | $DE_DIR/* |
| 适配器使用 find 命令来搜索此目录中的 IP 声誉文件。 | $SNORT_DIR/iprep_download |
| 为获取数据库连接凭证而读取的文件。 | /etc/sf/ims-data.conf |