IBM Support

QRadar SIEM にイベントを送信するための IBM Security Network Protection (XGS) リモート syslog の設定

Question & Answer


Question

SiteProtector Console および Local Management Interface(LMI)から IPS オブジェクトの XGS リモート syslog を設定するにはどうすればよいですか?

Answer

XGS remote syslog to send events to QRadar SIEM (4:57)
This video is a demonstration on how to configure the XGS remote syslog to send events to QRadar from the SiteProtector Console and Local Management Interface.

LMI もしくは SiteProtector Console より、ネットワーク・アクセス・ポリシー、および、共有オブジェクト配下の IPS オブジェクトに対してリモート Syslog を構成します。


SiteProtector からネットワーク・アクセス・ポリシーを構成する:
 
  1. SiteProtector Console にログインして、エージェント・ビューに切り替えます。
       
  2. SiteProtector Console のエージェント・ビューで XGS を右クリックして、ポリシーの管理を選択します。
     
  3. ネットワーク・アクセス・ポリシーを右クリックして、開くを選択した後、リモート Syslog を有効にするネットワーク・アクセス・ルールにチェックを入れた上で編集ボタンをクリックして、応答タブを表示します。
     
  4. もし、リモート Syslog オブジェクトが存在しない場合は、新規 > リモート Syslog を選択します。
     
  5. QRadar 形式を有効にするにチェックが入っていることを確認後、リモート Syslog ルールを設定します。
     
  6. リモート Syslog ルールを選択し右矢印ボタンをクリックして、使用可能なオブジェクトから追加されたオブジェクトに移動します。
     
  7. 構成の保存をクリックして、最後にポリシーを適用します。
     
LMI からネットワーク・アクセス・ポリシーを構成する:
 
  1. admin アカウントで LMI にログインします。
     
  2. セキュアポリシー構成からネットワーク・アクセス・ポリシーを選択します。
     
  3. 目的のネットワーク・アクセス・ルールを選択して、トップメニューの編集ボタンをクリックします。
     
  4. 応答タブにあるリモート Syslog を選択して編集ボタンをクリック、もしくは、新規 > リモート Syslog を選択します。
     
  5. QRadar 形式を有効にするにチェックが入っていることを確認して、リモート Syslog ルールを設定します。
     
  6. リモート Syslog ルールを選択して右矢印ボタンをクリックして、使用可能なオブジェクトから追加されたオブジェクトに移動します。
     
  7. 構成の保存をクリックして、最後にポリシーを適用します。


SiteProtector から共有オブジェクト・ポリシーを構成する:
 
  1. SiteProtector Console にログインして、エージェント・ビューに切り替えます。
     
  2. SiteProtector Console のエージェント・ビューで XGS を右クリックして、ポリシーの管理を選択します。
     
  3. 既存のグループ > デフォルト・リポジトリー> 共有オブジェクト を展開の上、共有オブジェクトに移動して、リモート Syslog を追加する不正侵入防御ポリシーを開きます。

    :IPS オブジェクトが表示されていない場合は、左側のパネルメニューを展開してください。
     
  4. 左側のパネルから既存の IPS オブジェクトを選択して、(または 新規 > インスペクション > 不正侵入防御 から新しいオブジェクトを作成して、)トップメニューの編集を選択します。
     
  5. IPS オブジェクトの編集ウィンドウで応答タブを選択して、編集から既存のオブジェクトルールを変更するか、新規 > リモートSyslog より新しいルールを追加します。
     
  6. QRadar 形式を有効にするにチェックが入っていることを確認の上、リモート Syslog ルールを設定します。
     
  7. リモート Syslog ルールを選択し右矢印ボタンをクリックして、使用可能なオブジェクトから追加されたオブジェクトに移動します。
     
  8. 構成の保存をクリックし、最後にポリシーを適用します。

 

[{"Product":{"code":"SSHLHV","label":"IBM Security Network Protection"},"Business Unit":{"code":"BU008","label":"Security"},"Component":"General Information","Platform":[{"code":"PF009","label":"Firmware"}],"Version":"5.3.2;5.3.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}},{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSFSVP","label":"IBM QRadar Network Security"},"ARM Category":[{"code":"a8m500000008YQ6AAM","label":"ATS-Infrasec->Network XGS->Install"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Document Information

Modified date:
08 February 2021

UID

ibm16246783

Page Feedback