LEEF の概要

ログ・イベント拡張フォーマット (LEEF) は、 IBM® Security QRadar®用にカスタマイズされたイベント・フォーマットです。

すべてのベンダーは、本書を使用して、LEEF イベントを生成できます。

QRadar は、LEEF イベントを統合、識別、および処理できます。 LEEF イベントは、UTF-8 文字エンコードを使用する必要があります。

以下のプロトコルを使用して、LEEF 出力のイベントを QRadar に送信できます。

  • Syslog
  • ログ・ファイル・プロトコルを使用したファイルのインポート
重要: QRadar が LEEF イベントを使用できるようにするには、事前にユニバーサル LEEF 構成タスクを実行する必要があります。 ユニバーサル LEEF イベントを収集するためのログ・ファイル・プロトコルの構成について詳しくは、「 DSM Configuration Guide」を参照してください。

LEEF イベントを提供するために選択した方法によって、 QRadarでイベントを自動的に検出できるかどうかが決まります。 イベントが自動的に検出されると、 QRadar で必要な手動構成のレベルが削減されます。

LEEF イベントが受信されると、 QRadar は、デバイスまたはアプライアンスを識別するためにイベント・トラフィックを分析します。 このプロセスは、トラフィック分析 と呼ばれます。 通常、 QRadarで新規ログ・ソースを識別して作成するには、少なくとも 25 個の LEEF イベントが必要です。 トラフィック分析でイベント・ソースを識別するまで、最初の 25 個のイベントは SIM 汎用ログ DSM イベントとして分類され、イベント名は Unknown Log Event として設定されます。 イベント・トラフィックが識別されると、 QRadar は、アプライアンスまたはソフトウェアから転送されるすべてのイベントを適切に分類してラベルを付けるためのログ・ソースを作成します。 デバイスから送信されたイベントは、 QRadar「ログ・アクティビティー」 タブに表示されます。

重要: 1,000 件のイベントの後にログ・ソースを識別できない場合、 QRadar はシステム通知を作成し、そのログ・ソースをトラフィック分析キューから削除します。 QRadar は引き続きイベントを収集できますが、ユーザーは介入してログ・ソースを手動で作成し、イベント・タイプを識別する必要があります。