Question & Answer
Question
Guardium は、Guardium DSM に含まれていないイベントを IBM QRadar に送信できますか?
Answer
Guardium は、QRadar に転送する必要があるデータについてアラートを出力するための定義済みポリシーを必要とします。 ルール・アクションは「 Alert Only 」になります。 Alert を使用すると、LEEF テンプレートを作成して、それらを QRadar に送信して解析することが可能です。 たとえば、ユーザーは実行されている Microsoft データ定義言語ステートメントに警告することが可能になります。ユーザーは、 Syslog を受信側として「 Alert Only 」ルール・アクションを使用して Guardium を構成します。 その後、 Guardium は、そのデータを QRadar に転送します。
これらのイベントはデフォルトの Guardium DSM には理解不能であるため、イベントの構文解析を支援するためにログ・ソース拡張を作成する必要があります。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Events","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
19 July 2019
UID
ibm10957937