0% acharam este documento útil (0 voto)

242 visualizações1.196 páginas

B DSM Guide

Enviado por

Wesley Sampaio

Direitos autorais

Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.

Formatos disponíveis

Baixe no formato PDF, TXT ou leia on-line no Scribd

0% acharam este documento útil (0 voto)

242 visualizações1.196 páginas

B DSM Guide

Enviado por

Wesley Sampaio

Direitos autorais

Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.

Formatos disponíveis

Baixe no formato PDF, TXT ou leia on-line no Scribd

Você está na página 1/ 1196

IBM QRadar

Guia de configuração do DSM

Junho de 2019

IBM
Nota
Antes de utilizar estas informações e o produto que elas suportam, leia as informações em “Avisos” na página 1155.

Informações do produto
Este documento aplica-se ao IBM QRadar Security Intelligence Platform V7.2.1 e às liberações subsequentes, a não
ser que seja substituído por uma versão atualizada.
© Copyright IBM Corporation 2005, 2019 .
Índice
Sobre este Guia de Configuração de Opções de configuração de protocolo Receptor de
DSM . . . . . . . . . . . . . . . xxi HTTP . . . . . . . . . . . . . . . . 48
Opções de Configuração de Protocolo SOAP do IBM
BigFix . . . . . . . . . . . . . . . . 49
Parte 1. Instalação e gerenciamento Opções de configuração de protocolo JDBC. . . . 49
de origem de log do QRadar DSM . . 1 Opções de configuração de protocolo JDBC -
SiteProtector . . . . . . . . . . . . . . 52
1 Coleção de eventos de dispositivos de Opções de configuração de protocolo Juniper
Networks NSM . . . . . . . . . . . . . 54
terceiros . . . . . . . . . . . . . . 3 Opções de configuração de protocolo Juniper
Incluindo um DSM . . . . . . . . . . . . 4 Security Binary Log Collector . . . . . . . . 54
Incluindo uma origem de log . . . . . . . . . 5 Opções de configuração de protocolo de Arquivo de
Incluindo origens de log em massa . . . . . . . 6 log . . . . . . . . . . . . . . . . . 55
Incluindo uma ordem de análise sintática de origem Opções de configuração de protocolo do Microsoft
de log . . . . . . . . . . . . . . . . 7 Azure Event Hubs . . . . . . . . . . . . 56
Opções de configuração de protocolo Microsoft
2 Casos de uso de ameaças por tipo de DHCP . . . . . . . . . . . . . . . . 58
origem de log . . . . . . . . . . . . 9 Opções de configuração de protocolo Microsoft
Exchange . . . . . . . . . . . . . . . 60
3 Resolvendo Problemas de DSMs . . 21 Opções de configuração de protocolo Microsoft IIS 62
Opções de configuração de protocolo Microsoft
Security Event Log . . . . . . . . . . . . 63
Parte 2. Origens de log . . . . . . 23 Protocolo Microsoft Security Event Log sobre
MSRPC . . . . . . . . . . . . . . . 64
4 Introdução ao gerenciamento de Opções de configuração do protocolo MQ . . . . 67
fonte de log . . . . . . . . . . . . 25 Opções de configuração de protocolo de API REST
Okta. . . . . . . . . . . . . . . . . 68
Opções de configuração de protocolo OPSEC/LEA 69
5 Incluindo uma origem de log . . . . 27 Opções de configuração de protocolo Oracle
Database Listener . . . . . . . . . . . . 70
6 Protocolos Não Documentados . . . 29 Opções de configuração de protocolo PCAP Syslog
Configurando um Protocolo Não Documentado . . 30 Combination . . . . . . . . . . . . . . 72
Opções de configuração de protocolo SDEE . . . 74
7 Opções de configuração de Opções de configuração de protocolo SMB Tail . . 74
protocolo . . . . . . . . . . . . . 31 Opções de configuração de protocolo SNMPv2 . . 75
Opções de configuração de protocolo da API de Opções de configuração de protocolo SNMPv3 . . 76
REST do Akamai Kona . . . . . . . . . . 31 Opções de configuração de protocolo de API REST
Opções de configuração de protocolo da API de Seculert Protection . . . . . . . . . . . . 76
REST do Amazon AWS . . . . . . . . . . 32 Opções de configuração de protocolo Sophos
Opções de configuração de protocolo do Amazon Enterprise Console JDBC . . . . . . . . . . 78
Web Services . . . . . . . . . . . . . . 36 Opções do protocolo Sourcefire Defense Center
Opções de configuração do protocolo Apache Kafka 39 eStreamer . . . . . . . . . . . . . . . 79
Configurando o Apache Kafka para ativar a Visão geral do protocolo Syslog Redirect . . . . 79
Autenticação de Cliente . . . . . . . . . 40 Opções de configuração de protocolo syslog de
Resolução de Problemas do Apache Kafka . . . 43 multilinhas TCP . . . . . . . . . . . . . 80
Opções de configuração do protocolo da API REST Opções de configuração de protocolo syslog TLS . . 84
do Blue Coat Web Security Service . . . . . . 44 Configurando várias origens de log de syslog
Opções de configuração de protocolo de API de TLS . . . . . . . . . . . . . . . . 85
REST do Centrify Redrock . . . . . . . . . 45 Opções de configuração de protocolo syslog
Opções de configuração do protocolo Cisco multilinhas UDP. . . . . . . . . . . . . 86
Firepower eStreamer . . . . . . . . . . . 46 Configurando syslog de multilinhas UDP para
Opções de configuração de protocolo Cisco NSEL 47 dispositivos Cisco ACS . . . . . . . . . 89
Opções de configuração de protocolo EMC VMware 47 Opções de configuração de protocolo VMware
Opções de configuração de protocolo redirecionado 48 vCloud Director . . . . . . . . . . . . . 90

© Copyright IBM Corp. 2005, 2019 iii

8 Incluindo origens de log em massa 91 Criando um usuário de Identity and Access
(IAM) na interface com o usuário do Amazon
9 Editando origens de log em massa 93 AWS ao usar o protocolo de API REST do
Amazon AWS . . . . . . . . . . . . 141
Resolução de problemas das integrações da
10 Incluindo uma ordem de análise origem do log do Amazon AWS . . . . . . 142
sintática de origem de log . . . . . . 95 Configurando uma origem de log do Amazon AWS
CloudTrail usando o protocolo Amazon Web
11 Extensões de origem de log . . . . 97 Services . . . . . . . . . . . . . . . 145
Construindo um DSM Universal . . . . . . . 97 Criando um usuário de Identity and Access
Exportando os logs . . . . . . . . . . . . 98 (IAM) na interface com o usuário do Amazon
Exemplos de extensões de origem de log no fórum AWS ao usar o protocolo do Amazon Web
do QRadar . . . . . . . . . . . . . . 99 Services . . . . . . . . . . . . . . 148
Padrões nos documentos de extensão de origem de Criando um grupo de logs dos logs do Amazon
log . . . . . . . . . . . . . . . . . 100 CloudWatch para recuperar os logs do Amazon
Grupos de correspondência. . . . . . . . . 101 CloudTrail no QRadar . . . . . . . . . 149
Correspondente (matcher) . . . . . . . . 101 Configure o Amazon AWS CloudTrail para
JSON matcher (json-matcher) . . . . . . . 106 enviar arquivos de log para Logs do
Matcher LEEF (leef-matcher) . . . . . . . 109 CloudWatch . . . . . . . . . . . . . 149
Matcher CEF (cef-matcher) . . . . . . . . 110 Configurando credenciais de segurança para a sua
Modificador de múltiplos eventos conta do usuário do AWS . . . . . . . . . 149
(event-match-multiple) . . . . . . . . . 111
Modificador de único evento 17 Amazon GuardDuty . . . . . . . 151
(event-match-single) . . . . . . . . . . 111 Configurando uma origem de log do Amazon
Modelo de documento de extensão . . . . . . 112 GuardDuty usando o protocolo Amazon Web
Criando um documento de extensões de origem de Services . . . . . . . . . . . . . . . 151
log para obter dados no QRadar . . . . . . . 115 Criando uma função IAM para a função
Expressões regulares comuns . . . . . . . 116 Lambda . . . . . . . . . . . . . . 154
Construindo padrões de expressão regular. . . 117 Criando uma função Lambda . . . . . . . 156
Fazendo upload de documentos de extensão Criando uma regra de eventos do CloudWatch 157
para o QRadar . . . . . . . . . . . . 119 Configurando a Função Lambda . . . . . . 157
Problemas e exemplos de análise . . . . . . . 119 Criando um grupo de logs e um fluxo de logs para
Analisando um formato de log CSV . . . . . 122 recuperar eventos do Amazon GuardDuty para o
QRadar . . . . . . . . . . . . . . . 159
12 Gerenciamento de extensão de Criando um usuário de Identity and Access (IAM)
fonte de log . . . . . . . . . . . . 123 na interface com o usuário do Amazon AWS ao
Incluindo uma extensão de fonte de log . . . . 123 usar o protocolo do Amazon Web Services . . . 160
Mensagem do evento de amostra . . . . . . . 160

Parte 3. DSMs . . . . . . . . . . 125 18 Ambiron TrustWave ipAngel. . . . 163

13 3Com Switch 8800 . . . . . . . . 127 19 APC UPS . . . . . . . . . . . . 165
Configurando o 3COM Switch 8800 . . . . . . 127 Configurando o APC UPS para encaminhar
eventos syslog . . . . . . . . . . . . . 166
14 AhnLab Policy Center . . . . . . 129
20 Servidor Apache HTTP . . . . . . 167
15 Akamai KONA . . . . . . . . . . 131 Configurando o Servidor HTTP Apache com syslog 167
Configurando uma origem de log Akamai Kona Configurando uma origem de log no IBM QRadar 168
usando o protocolo Receptor de HTTP . . . . . 131 Configurando o Servidor HTTP Apache com
Configurando uma origem de log Akamai Kona syslog-ng . . . . . . . . . . . . . . . 168
usando o protocolo de API de REST do Akamai Configurando uma origem de log . . . . . . 169
Kona . . . . . . . . . . . . . . . . 132
Configurando o Akamai Kona para se comunicar 21 Apple Mac OS X . . . . . . . . . 171
com o QRadar . . . . . . . . . . . . . 134 Configurando uma origem de log Mac OS X . . . 171
Mensagens de eventos de amostra . . . . . . 134 Configurando syslog no Apple Mac OS X . . . . 171

16 Amazon AWS CloudTrail . . . . . 137 22 Application Security DbProtect . . 175

Configurando uma origem de log do Amazon AWS Instalando o módulo DbProtect LEEF Relay . . . 176
CloudTrail usando o protocolo de API REST do Configurando o DbProtect LEEF Relay . . . . . 176
Amazon AWS . . . . . . . . . . . . . 138

iv Guia de configuração do QRadar DSM

Configurando alertas DbProtect . . . . . . . 177 Filtrando o arquivo de log para linhas de
comentário . . . . . . . . . . . . . 204
23 Arbor Networks . . . . . . . . . 179 Configurando um BalaBit Syslog-ng PE Relay 204
Arbor Networks Peakflow SP . . . . . . . . 179 Configurando uma origem de log . . . . . 205
Tipos de eventos suportados para o Arbor
Networks Peakflow SP . . . . . . . . . 180 29 Barracuda . . . . . . . . . . . 207
Configurando um syslog remoto no Arbor Barracuda Spam & Virus Firewall . . . . . . 207
Networks Peakflow SP . . . . . . . . . 180 Configurando o encaminhamento de eventos
Configurando definições de notificações globais syslog . . . . . . . . . . . . . . . 207
para alertas no Arbor Networks Peakflow SP. . 180 Configurando uma origem de log . . . . . 207
Configurando regras de notificação de alerta no Barracuda Web Application Firewall. . . . . . 208
Arbor Networks Peakflow SP . . . . . . . 181 Configurando o Barracuda Web Application
Configurando um origem de log Arbor Firewall para enviar eventos syslog ao QRadar . 209
Networks Peakflow SP . . . . . . . . . 182 Configurando o Barracuda Web Application
Arbor Networks Pravail . . . . . . . . . . 183 Firewall para enviar eventos do syslog ao
Configurando o sistema Arbor Networks Pravail QRadar para dispositivos que não suportam
para enviar eventos ao IBM QRadar . . . . . 183 LEEF . . . . . . . . . . . . . . . 210
Barracuda Web Filter . . . . . . . . . . . 211
24 Arpeggio SIFT-IT. . . . . . . . . 185 Configurando o encaminhamento de eventos
Configurando um agente SIFT-IT . . . . . . . 185 syslog . . . . . . . . . . . . . . . 211
Configurando uma origem de log Arpeggio SIFT-IT 186 Configurando uma origem de log . . . . . 211
Informações adicionais . . . . . . . . . . 187
30 BeyondTrust PowerBroker . . . . 213
25 Array Networks SSL VPN . . . . . 189 Configurando o BeyondTrust PowerBroker para se
Configurando uma origem de log . . . . . . 189 comunicar com o QRadar . . . . . . . . . 214
Especificações do DSM BeyondTrust PowerBroker 215
Mensagens de eventos de amostra . . . . . . 216
26 Aruba Networks . . . . . . . . . 191
Aruba ClearPass Policy Manager . . . . . . . 191
Configurando o Aruba ClearPass Policy 31 BlueCat Networks Adonis . . . . . 217
Manager para se comunicar com o QRadar . . 192 Tipos de eventos suportados . . . . . . . . 217
Aruba Introspect . . . . . . . . . . . . 192 Formato de tipo de evento . . . . . . . . . 217
Configurando o Aruba Introspect para se Configurando o BlueCat Adonis . . . . . . . 218
comunicar com o QRadar . . . . . . . . 194 Configurando uma origem de log no IBM QRadar 218
Aruba Mobility Controllers . . . . . . . . . 195
Configurando o Aruba Mobility Controller . . 195 32 Blue Coat. . . . . . . . . . . . 219
Configurando uma origem de log . . . . . 196 Blue Coat SG . . . . . . . . . . . . . 219
Criando um formato de evento customizado 220
27 Gateway VPN Avaya . . . . . . . 197 Criando um recurso de log . . . . . . . . 221
Processo de integração do DSM Avaya VPN Ativando a criação de log de acesso . . . . . 221
Gateway . . . . . . . . . . . . . . . 197 Configurando Blue Coat SG para uploads de
Configurando seu sistema Avaya VPN Gateway FTP . . . . . . . . . . . . . . . 222
para comunicação com o IBM QRadar . . . . . 197 Configurando uma origem de log Blue Coat SG 222
Configurando uma origem de log Avaya VPN Configurando Blue Coat SG para syslog . . . 225
Gateway no IBM QRadar . . . . . . . . . 198 Criando pares de valores de chave extras de
formato customizado . . . . . . . . . . 225
Blue Coat Web Security Service . . . . . . . 226
28 BalaBit IT Security . . . . . . . . 199
Configurando o Blue Coat Web Security Service
BalaBit IT Security for Microsoft Windows Events 199
para se comunicar com o QRadar . . . . . 227
Configurando a origem de eventos Syslog-ng
Agent . . . . . . . . . . . . . . . 199
Configurando um destino syslog . . . . . . 200 33 Boxplot . . . . . . . . . . . . 229
Reiniciando o serviço do Syslog-ng Agent . . . 201 Configurando o Box para se comunicar com o
Configurando uma origem de log . . . . . 201 QRadar . . . . . . . . . . . . . . . 230
BalaBit IT Security para eventos do Microsoft ISA
ou TMG . . . . . . . . . . . . . . . 202 34 Bridgewater. . . . . . . . . . . 233
Configurar o BalaBit Syslog-ng Agent . . . . 202 Configurando syslog para o dispositivo
Configurando a origem do arquivo BalaBit Bridgewater Systems . . . . . . . . . . . 233
Syslog-ng Agent . . . . . . . . . . . 202 Configurando uma origem de log . . . . . . 233
Configurando um destino syslog do BalaBit
Syslog-ng Agent . . . . . . . . . . . 203

Índice v
35 Brocade Fabric OS. . . . . . . . 235 Incluindo um host do Check Point . . . . . 276
Configurando syslog para dispositivos Brocade Criando um objeto de aplicativo OPSEC . . . 276
Fabric OS. . . . . . . . . . . . . . . 235 Localizando o SIC de origem de log . . . . . 277
Configurando uma origem de log OPSEC/LEA
36 CA Technologies . . . . . . . . 237 no IBM QRadar . . . . . . . . . . . 277
Editar configuração de comunicações OPSEC 279
CA ACF2 . . . . . . . . . . . . . . . 237
Atualizando a origem de log Check Point
Crie uma origem de log para feed de eventos
OPSEC . . . . . . . . . . . . . . 279
quase em tempo real . . . . . . . . . . 238
Alterando a porta padrão para comunicação do
Criando uma origem de log para o protocolo
OPSEC LEA . . . . . . . . . . . . . 280
Arquivo de log . . . . . . . . . . . . 238
Configurando o OPSEC LEA para comunicações
Integrar CA ACF2 com o IBM QRadar usando
não criptografadas. . . . . . . . . . . 280
script de auditoria . . . . . . . . . . . 241
Configurando o IBM QRadar para receber
Configurando CA ACF2 que usa scripts de
eventos de um dispositivo Check Point. . . 281
auditoria para integração com o IBM QRadar . 242
Integrar o Check Point usando o syslog . . 282
CA SiteMinder . . . . . . . . . . . . . 245
Configurando uma origem de log . . . . 283
Configurando uma origem de log . . . . . 246
Integração de eventos Check Point Firewall de
Configurando syslog-ng para CA SiteMinder 247
encaminhadores de syslog externos . . . . . 284
CA secreto . . . . . . . . . . . . . . 248
Configurando uma origem de log para
Criando uma origem de log para o protocolo
eventos encaminhados pelo Check Point . . 284
Arquivo de log . . . . . . . . . . . . 249
Configure o Check Point Log Exporter para
Crie uma origem de log para feed de eventos
encaminhar eventos LEEF para o QRadar
quase em tempo real . . . . . . . . . . 252
usando syslog . . . . . . . . . . . . 286
Integrar CA Top Secret com o IBM QRadar
Check Point Multi-Domain Management
usando scripts de auditoria. . . . . . . . 253
(Provider-1) . . . . . . . . . . . . . . 288
Configurando CA Top Secret que usa scripts de
Integrando o syslog para Check Point
auditoria para integração com o IBM QRadar . 253
Multi-Domain Management (Provider-1) . . . 288
Configurando uma origem de log . . . . . 289
37 Pigmento de Carbono Preto . . . . 257 Configurando o OPSEC for Check Point
Pigmento de Carbono Preto . . . . . . . . 257 Multi-Domain Management (Provider-1) . . . 289
Configurando o Carbon Black para se Configurando uma origem de log OPSEC . . . 290
comunicar com o QRadar . . . . . . . . 258 Configure o Check Point Log Exporter para
Carbon Black Protection . . . . . . . . . . 259 encaminhar eventos LEEF para o QRadar
Configurando o Carbon Black Protection para usando syslog . . . . . . . . . . . . 291
comunicar-se com o QRadar . . . . . . . 260
Paridade Bit9 do Carbon Black . . . . . . . 261
40 Cilasoft QJRN/400 . . . . . . . . 293
Configurando uma origem de log para o
Configurando o Cilasoft QJRN/400 . . . . . . 293
Carbon Black Bit 9 Parity . . . . . . . . 261
Configurando uma origem de log Cilasoft
Bit9 Security Platform . . . . . . . . . . 262
QJRN/400 . . . . . . . . . . . . . . 294
Configurando o Carbon Black Bit9 Security
Platform para se comunicar com o QRadar . . 263
41 Cisco . . . . . . . . . . . . . 297
38 Centrify . . . . . . . . . . . . 265 Cisco ACE Firewall . . . . . . . . . . . 297
Configurando o Cisco ACE Firewall . . . . . 297
Centrify Identity Platform . . . . . . . . . 265
Configurando uma origem de log . . . . . 297
Especificações do Centrify Identity Platform
Cisco ACS . . . . . . . . . . . . . . 298
DSM . . . . . . . . . . . . . . . 266
Configurando syslog para o Cisco ACS v5.x . . 298
Configurando o Centrify Identity Platform para
Criando um destino de log remoto . . . . . 299
se comunicar com o QRadar . . . . . . . 267
Configurando categorias de criação de log
Mensagem do evento de amostra . . . . . . 268
global . . . . . . . . . . . . . . . 299
Centrify Infrastructure Services . . . . . . . 268
Configurando uma origem de log . . . . . 299
Configurando o agente WinCollect para coletar
Configurando syslog para ACS v4.x . . . . . 300
logs de eventos do Centrify Infrastructure
Configurando o encaminhamento de syslog para
Services . . . . . . . . . . . . . . 270
Cisco ACS v4.x . . . . . . . . . . . . 300
Configurando o Centrify Infrastructure Services
Configurando uma origem de log para Cisco
em um dispositivo UNIX ou Linux para se
ACS v4.x . . . . . . . . . . . . . . 301
comunicar com o QRadar . . . . . . . . 272
Configurando syslog de multilinhas UDP para
Mensagens de eventos de amostra . . . . . 272
dispositivos Cisco ACS . . . . . . . . . 302
Cisco Aironet . . . . . . . . . . . . . 303
39 Ponto de verificação . . . . . . . 275 Configurando uma origem de log . . . . . 304
Ponto de verificação . . . . . . . . . . . 275 Cisco ASA . . . . . . . . . . . . . . 305
Integração do Check Point usando o OPSEC . . 275

vi Guia de configuração do QRadar DSM

Integrar Cisco ASA usando Syslog . . . . . 305 Configure o Cisco Meraki para se comunicar
Configurando o encaminhamento de syslog . . 305 com o IBM QRadar . . . . . . . . . . 344
Configurando uma origem de log . . . . . 306 Mensagens de eventos de amostra . . . . . 344
Integrar o Cisco ASA para NetFlow usando Cisco NAC . . . . . . . . . . . . . . 346
NSEL . . . . . . . . . . . . . . . 307 Configurando o Cisco NAC para encaminhar
Configurando NetFlow usando NSEL . . . . 307 eventos . . . . . . . . . . . . . . 346
Configurando uma origem de log . . . . . 308 Configurando uma origem de log . . . . . 346
Cisco AMP . . . . . . . . . . . . . . 309 Cisco Nexus . . . . . . . . . . . . . . 347
Especificações DSM do Cisco AMP . . . . . 310 Configurando Cisco Nexus para encaminhar
Criando um ID do cliente Cisco AMP e uma eventos . . . . . . . . . . . . . . 347
chave de API para filas de eventos . . . . . 310 Configurando uma origem de log . . . . . 348
Criando um fluxo de eventos Cisco AMP . . . 311 Cisco Pix . . . . . . . . . . . . . . . 348
Configure uma origem de log para um usuário Configurando o Cisco Pix para encaminhar
para gerenciar o fluxo de eventos do Cisco AMP 312 eventos . . . . . . . . . . . . . . 348
Mensagem do evento de amostra . . . . . . 314 Configurando uma origem de log . . . . . 349
Cisco CallManager . . . . . . . . . . . 314 Cisco Stealthwatch . . . . . . . . . . . 350
Configurando o encaminhamento de syslog . . 314 Configurando o Cisco Stealthwatch para
Configurando uma origem de log . . . . . 315 comunicar-se com o QRadar . . . . . . . 351
Cisco CatOS para comutadores Catalyst . . . . 315 Cisco Umbrella . . . . . . . . . . . . . 352
Configurando syslog . . . . . . . . . . 316 Configure o Cisco Umbrella para se comunicar
Configurando uma origem de log . . . . . 316 com o QRadar . . . . . . . . . . . . 354
Cisco Cloud Web Security . . . . . . . . . 317 Especificações do DSM Cisco Umbrella . . . . 355
Configurando o Cloud Web Security para se Mensagens de eventos de amostra . . . . . 355
comunicar com o QRadar . . . . . . . . 319 Cisco VPN 3000 Concentrator . . . . . . . . 356
Cisco CSA . . . . . . . . . . . . . . 320 Configurando uma origem de log . . . . . 356
Configurando syslog para Cisco CSA . . . . 320 Cisco Wireless LAN Controllers . . . . . . . 357
Configurando uma origem de log . . . . . 320 Configurando syslog para Cisco Wireless LAN
Cisco Firepower Management Center . . . . . 321 Controller . . . . . . . . . . . . . 357
Criando certificados Cisco Firepower Configurando uma origem de log syslog no
Management Center 5.x e 6.x . . . . . . . 324 IBM QRadar. . . . . . . . . . . . . 358
Importando um certificado Cisco Firepower Configurando SNMPv2 para o Cisco Wireless
Management Center no QRadar . . . . . . 325 LAN Controller . . . . . . . . . . . 359
Configurando uma origem de log para eventos Configurando um receptor de trap para o Cisco
do Cisco Firepower Management Center . . . 326 Wireless LAN Controller . . . . . . . . 360
Cisco FWSM . . . . . . . . . . . . . 327 Configurando uma origem de log para o Cisco
Configurando o Cisco FWSM para encaminhar Wireless LAN Controller que usa SNMPv2 . . 360
eventos syslog . . . . . . . . . . . . 328 Cisco Wireless Services Module . . . . . . . 361
Configurando uma origem de log . . . . . 328 Configurando o Cisco WiSM para encaminhar
Cisco Identity Services Engine . . . . . . . . 329 eventos . . . . . . . . . . . . . . 362
Configurando um destino de criação de log Configurando uma origem de log . . . . . 363
remoto no Cisco ISE . . . . . . . . . . 331
Configurando categorias de criação de log no 42 Citrix. . . . . . . . . . . . . . 365
Cisco ISE . . . . . . . . . . . . . . 332 Citrix NetScaler . . . . . . . . . . . . 365
Cisco IDS/IPS . . . . . . . . . . . . . 333 Configurando uma origem de log Citrix
Cisco IOS. . . . . . . . . . . . . . . 335 NetScaler . . . . . . . . . . . . . . 366
Configurando o Cisco IOS para encaminhar Citrix Access Gateway . . . . . . . . . . 366
eventos . . . . . . . . . . . . . . 335 Configurando uma origem de log Citrix Access
Configurando uma origem de log . . . . . 336 Gateway . . . . . . . . . . . . . . 367
Cisco IronPort . . . . . . . . . . . . . 337
Especificações do DSM Cisco IronPort . . . . 337
43 Cloudera Navigator . . . . . . . 369
Configurando dispositivos Cisco IronPort para
Configurando o Cloudera Navigator para se
se comunicar com o QRadar . . . . . . . 338
comunicar com o QRadar . . . . . . . . . 370
Configurando uma origem de log Cisco IronPort
e Cisco ESA usando o protocolo de arquivo de
log . . . . . . . . . . . . . . . . 338 44 CloudPassage Halo . . . . . . . 371
Configurando uma origem de log Cisco IronPort Configurando o CloudPassage Halo para
e Cisco WSA usando o protocolo Syslog . . . 341 comunicação com o QRadar . . . . . . . . 371
Mensagens de eventos de amostra . . . . . 342 Configurando uma origem de log CloudPassage
Cisco Meraki . . . . . . . . . . . . . 342 Halo no QRadar . . . . . . . . . . . . 373
Especificações do DSM Cisco Meraki . . . . 343

Índice vii
45 CloudLock Cloud Security Fabric 375 56 ESET Remote Administrator. . . . 405
Configurando o CloudLock Cloud Security Fabric Configurando ESET Remote Administrator para se
para comunicar com o QRadar . . . . . . . 376 comunicar com o QRadar . . . . . . . . . 406

46 Correlog Agent for IBM z/OS . . . 377 57 Exabeam . . . . . . . . . . . . 407

Configurando o sistema CorreLog Agent para Configurando o Exabeam para comunicação com o
comunicação com o QRadar . . . . . . . . 378 QRadar . . . . . . . . . . . . . . . 407

47 CrowdStrike Falcon Host . . . . . 379 58 Extrema . . . . . . . . . . . . 409

Configurando o CrowdStrike Falcon Host para se Extreme 800-Series Switch . . . . . . . . . 409
comunicar com o QRadar . . . . . . . . . 380 Configurando seu Extreme 800-Series Switch 409
Configurando uma origem de log . . . . . 409
48 CRYPTOCard CRYPTO-Shield . . . 383 Extreme Dragon . . . . . . . . . . . . 410
Configurando uma origem de log . . . . . . 383 Criando uma política para syslog. . . . . . 410
Configurando syslog para CRYPTOCard Configurando uma origem de log . . . . . 412
CRYPTO-Shield . . . . . . . . . . . . 383 Configurar EMS para encaminhar mensagens
syslog . . . . . . . . . . . . . . . 412
Configurando o syslog-ng usando o Extreme
49 CyberArk . . . . . . . . . . . . 385
Dragon EMS V7.4.0 e mais recente . . . . . 413
CyberArk Privileged Threat Analytics . . . . . 385
Configurando o syslogd usando o Extreme
Configurando o CyberArk Privileged Threat
Dragon EMS V7.4.0 e anterior . . . . . . . 413
Analytics para se comunicar com o QRadar . . 386
Extreme HiGuard Wireless IPS . . . . . . . 414
CyberArk Vault . . . . . . . . . . . . 386
Configurando o Enterasys HiGuard . . . . . 414
Configurando o syslog para CyberArk Vault 387
Configurando uma origem de log . . . . . 414
Configurando uma origem de log para
Extreme HiPath Wireless Controller . . . . . . 415
CyberArk Vault . . . . . . . . . . . 387
Configurando o HiPath Wireless Controller . . 415
Configurando uma origem de log . . . . . 416
50 CyberGuard Firewall/VPN Extreme Matrix Router . . . . . . . . . . 416
Appliance . . . . . . . . . . . . . 389 Extreme Matrix K/N/S Series Switch . . . . . 417
Configurando eventos syslog . . . . . . . . 389 Extreme NetSight Automatic Security Manager . . 418
Configurando uma origem de log . . . . . . 389 Extreme NAC . . . . . . . . . . . . . 419
Configurando uma origem de log . . . . . 419
51 Damballa Failsafe . . . . . . . . 391 Comutadores empilháveis e independentes do
Configurando o syslog para Damballa Failsafe . . 391 Extreme . . . . . . . . . . . . . . . 420
Configurando uma origem de log . . . . . . 391 Extreme Networks ExtremeWare . . . . . . . 421
Configurando uma origem de log . . . . . 421
Extreme XSR Security Router . . . . . . . . 422
52 DG Technology MEAS . . . . . . 393
Configurando o sistema DG Technology MEAS
para comunicação com o QRadar. . . . . . . 393 59 Redes F5 . . . . . . . . . . . . 423
F5 Networks BIG-IP AFM . . . . . . . . . 423
Configurando um conjunto de criação de log 423
53 Digital China Networks (DCN) . . . 395
Criando um destino de log de alta velocidade 424
Configurando uma origem de log . . . . . . 395
Criando um destino de log formatado . . . . 424
Configurando um comutador DCN DCS/DCRS
Criando um publicador de log . . . . . . 424
Series . . . . . . . . . . . . . . . . 396
Criando um perfil de criação de log . . . . . 425
Associando o perfil a um servidor virtual . . . 425
54 Enterprise-IT-Security.com Configurando uma origem de log . . . . . 426
SF-Sherlock . . . . . . . . . . . . 397 F5 Networks BIG-IP APM . . . . . . . . . 426
Configurando o Enterprise-IT-Security.com Configurando o Syslog remoto para o F5 BIG-IP
SF-Sherlock para se comunicar com o QRadar . . 398 APM V11.x a V14.x . . . . . . . . . . 426
Configurando um syslog remoto para o F5
55 Epic SIEM . . . . . . . . . . . 399 BIG-IP APM 10.x . . . . . . . . . . . 427
Configurando o Epic SIEM 2014 para se comunicar Configurando uma origem de log . . . . . 427
com o QRadar . . . . . . . . . . . . . 400 Configurando o F5 Networks BIG-IP ASM . . . 428
Configurando o Epic SIEM 2015 para se comunicar Configurando uma origem de log . . . . . 429
com o QRadar . . . . . . . . . . . . . 400 F5 Networks BIG-IP LTM . . . . . . . . . 429
Configurando o Epic SIEM 2017 para se comunicar Configurando uma origem de log . . . . . 430
com o QRadar . . . . . . . . . . . . . 402 Configurando o encaminhamento de syslog em
BIG-IP LTM . . . . . . . . . . . . . 430

viii Guia de configuração do QRadar DSM

Configurando o syslog remoto para o F5 BIG-IP Protocolo de arquivo de log para o Forcepoint
LTM V11.x a V14.x . . . . . . . . . . 430 V-Series Content Gateway . . . . . . . . 458
Configurando syslog remoto para o F5 BIG-IP Configurando o Content Management
LTM V10.x . . . . . . . . . . . . . 431 Console para o Forcepoint V-Series Content
Configurando o syslog remoto para o F5 BIG-IP Gateway . . . . . . . . . . . . . 458
LTM V9.4.2 a V9.4.8 . . . . . . . . . . 431 Configurando uma origem de log do
F5 Networks FirePass . . . . . . . . . . 432 protocolo de arquivo de log para o
Configurando o encaminhamento de syslog para Forcepoint V-Series Content Gateway . . . 458
F5 FirePass . . . . . . . . . . . . . 432
Configurando uma origem de log . . . . . 432 65 ForeScout CounterACT . . . . . . 461
Configurando uma origem de log . . . . . . 461
60 Fair Warning . . . . . . . . . . 435 Configurando o Plug-in CounterACT ForeScout 461
Configurando uma origem de log . . . . . . 435 Configurando Políticas do ForeScout CounterACT 462

61 Fasoo Enterprise DRM . . . . . . 437 66 Fortinet FortiGate Security

Configurando Fasoo Enterprise DRM para se Gateway . . . . . . . . . . . . . 465
comunicar com o QRadar . . . . . . . . . 440 Configurando um destino de syslog em seu
dispositivo Fortinet FortiGate Security Gateway . . 466
62 Fidelis XPS . . . . . . . . . . . 441 Configurando um destino de syslog em seu
Configurando Fidelis XPS . . . . . . . . . 441 dispositivo Fortinet FortiAnalyzer . . . . . . 466
Configurando uma origem de log . . . . . . 442
67 Foundry FastIron . . . . . . . . 469
63 FireEye. . . . . . . . . . . . . 443 Configurando syslog para Foundry FastIron . . . 469
Configurando o sistema FireEye para comunicação Configurando uma origem de log . . . . . . 469
com o QRadar . . . . . . . . . . . . . 444
Configurando seu sistema FireEye HX para 68 FreeRADIUS . . . . . . . . . . 471
comunicação com o QRadar . . . . . . . . 445 Configurando o dispositivo FreeRADIUS para se
comunicar com o QRadar . . . . . . . . . 471
64 Forcepoint . . . . . . . . . . . 447
FORCEPOINT Stonesoft Management Center. . . 447 69 Genérico . . . . . . . . . . . . 473
Configurando o FORCEPOINT Stonesoft Servidor de autorizações genérico . . . . . . 473
Management Center para comunicar-se com o Configurando propriedades de eventos. . . . 473
QRadar . . . . . . . . . . . . . . 448 Configurando uma origem de log . . . . . 475
Configurando uma regra de tráfego do syslog Firewall genérico . . . . . . . . . . . . 475
para o FORCEPOINT Stonesoft Management Configurando propriedades de eventos. . . . 475
Center . . . . . . . . . . . . . . . 449 Configurando uma origem de log . . . . . 477
Forcepoint Sidewinder . . . . . . . . . . 450
Especificações DSM do Forcepoint Sidewinder 451 70 genua genugate . . . . . . . . . 479
Configurar o Forcepoint Sidewinder para se
Configurando o genua genugate para enviar
comunicar com o QRadar . . . . . . . . 451
eventos para o QRadar . . . . . . . . . . 480
Mensagens de eventos de amostra . . . . . 451
Forcepoint TRITON . . . . . . . . . . . 452
Configurando o syslog para o Forcepoint 71 Great Bay Beacon . . . . . . . . 481
TRITON . . . . . . . . . . . . . . 453 Configurando o syslog para Great Bay Beacon . . 481
Configurando uma origem de log para o Configurando uma origem de log . . . . . . 481
Forcepoint TRITON . . . . . . . . . . 453
Forcepoint V-Series Data Security Suite . . . . . 454 72 HBGary Active Defense. . . . . . 483
Configurando syslog para o Forcepoint V-Series Configurando o HBGary Active Defense . . . . 483
Data Security Suite . . . . . . . . . . 454 Configurando uma origem de log . . . . . . 483
Configurando uma origem de log para o
Forcepoint V-Series Data Security Suite . . . . 455 73 H3C Technologies . . . . . . . . 485
Forcepoint V-Series Content Gateway . . . . . 455 H3C Comware Platform . . . . . . . . . . 485
Configure o syslog para o Forcepoint V-Series Configurando o H3C Comware Platform para se
Content Gateway . . . . . . . . . . . 455 comunicar com o QRadar . . . . . . . . 486
Configurando o Console de Gerenciamento para
o Forcepoint V-Series Content Gateway. . . . 456
74 Honeycomb Lexicon File Integrity
Ativando a criação de log de eventos para o
Forcepoint V-Series Content Gateway . . . . 456 Monitor (FIM) . . . . . . . . . . . 487
Configurando uma origem de log para o Tipos de eventos Honeycomb FIM suportados
Forcepoint V-Series Content Gateway . . . . 457 registrados pelo QRadar . . . . . . . . . . 487

Índice ix
Configurando o serviço Lexicon mesh . . . . . 487 Crie uma origem de log para feed de eventos
Configurando uma origem de log Honeycomb quase em tempo real . . . . . . . . . . 522
Lexicon FIM no QRadar . . . . . . . . . . 488 Criando uma origem de log para o protocolo
Arquivo de log . . . . . . . . . . . . 523
75 Hewlett Packard (HP). . . . . . . 491 IBM DataPower . . . . . . . . . . . . 526
HP Network Automation . . . . . . . . . 491 Configurando o IBM DataPower para se
Configurando o software HP Network Automation comunicar com o QRadar . . . . . . . . 527
para se comunicar com o QRadar . . . . . . 492 IBM DB2 . . . . . . . . . . . . . . . 528
HP ProCurve . . . . . . . . . . . . . 493 Crie uma origem de log para feed de eventos
Configurando uma origem de log . . . . . 493 quase em tempo real . . . . . . . . . . 529
HP Tandem . . . . . . . . . . . . . . 494 Criando uma origem de log para o protocolo
Hewlett Packard UniX (HP-UX) . . . . . . . 495 Arquivo de log . . . . . . . . . . . . 529
Incluindo uma origem de log . . . . . . . 495 Integrando eventos de auditoria do IBM DB2 533
Extraindo dados de auditoria para DB2 v8.x
para v9.4 . . . . . . . . . . . . . . 533
76 Huawei . . . . . . . . . . . . . 497
Extraindo dados de auditoria para o DB2 v9.5 534
Huawei AR Series Router . . . . . . . . . 497
IBM Federated Directory Server . . . . . . . 535
Configurando uma origem de log . . . . . 497
Configurando o IBM Federated Directory Server
Configurando o Huawei AR Series Router. . . 498
para monitorar eventos de segurança . . . . 536
Huawei S Series Switch . . . . . . . . . . 499
IBM Fiberlink MaaS360 . . . . . . . . . . 536
Configurando uma origem de log . . . . . 499
Configurando uma origem de log do IBM
Configurando o Huawei S Series Switch . . . 500
Fiberlink MaaS360 no QRadar . . . . . . . 537
IBM Guardium . . . . . . . . . . . . . 538
77 HyTrust CloudControl . . . . . . 501 Criando um destino de syslog para eventos . . 539
Configurando o HyTrust CloudControl para se Configurando políticas para gerar eventos
comunicar com o QRadar . . . . . . . . . 502 syslog . . . . . . . . . . . . . . . 540
Instalando uma política do IBM Guardium . . 540
78 IBM . . . . . . . . . . . . . . 503 Configurando uma origem de log . . . . . 541
IBM AIX . . . . . . . . . . . . . . . 503 Criando um mapa de eventos para eventos do
Visão geral do DSM IBM AIX Server . . . . 503 IBM Guardium . . . . . . . . . . . . 541
Configurando o dispositivo IBM AIX Server Modificando o mapa de eventos . . . . . . 542
para enviar eventos de syslog para o QRadar 504 IBM IMS . . . . . . . . . . . . . . . 543
Visão geral do DSM IBM AIX Audit . . . . . 504 Configurando o IBM IMS . . . . . . . . 543
Configurando o DSM IBM AIX Audit para Configurando uma origem de log . . . . . 545
enviar eventos syslog para o QRadar . . . 506 IBM Informix Audit . . . . . . . . . . . 548
Configurando o DSM IBM AIX Audit para IBM Lotus Domino . . . . . . . . . . . 548
enviar eventos de protocolo de arquivo de Configurando serviços SNMP . . . . . . . 548
log para o QRadar. . . . . . . . . . 507 Configurando o SNMP no AIX . . . . . . 549
IBM i . . . . . . . . . . . . . . . . 509 Iniciando as tarefas de suplemento do servidor
Configurando o IBM i para Integração com IBM Domino . . . . . . . . . . . . . . 549
QRadar . . . . . . . . . . . . . . 510 Configurando serviços SNMP . . . . . . . 550
Extraindo manualmente entradas de diário do Configurando o dispositivo IBM Lotus Domino
IBM i . . . . . . . . . . . . . . . 512 para se comunicar com o QRadar . . . . . 550
Obtendo dados usando o protocolo de arquivo Gravador de Sessão Privilegiada da IBM . . . . 551
de log . . . . . . . . . . . . . . . 513 Configurando o IBM Privileged Session
Configurando o Townsend Security Alliance Recorder para se comunicar com o QRadar . . 553
LogAgent para integração com o QRadar . . . 514 Configurando uma origem de log para o IBM
IBM BigFix . . . . . . . . . . . . . . 514 Privileged Session Recorder . . . . . . . 553
IBM BigFix Detect . . . . . . . . . . . . 516 IBM Proventia . . . . . . . . . . . . . 554
Configurando o IBM BigFix Detect para se IBM Proventia Management SiteProtector . . . 554
comunicar com o QRadar . . . . . . . . 518 Configurando uma origem de log . . . . 554
IBM Bluemix Platform . . . . . . . . . . 519 IBM ISS Proventia . . . . . . . . . . . 557
Configurando o IBM Bluemix Platform para se IBM QRadar Packet Capture . . . . . . . . 557
comunicar com o QRadar . . . . . . . . 519 Configurando o IBM QRadar Packet Capture
Integrando o IBM Bluemix Platform com o para se comunicar com o QRadar . . . . . 559
QRadar . . . . . . . . . . . . . 520 Configurando o IBM QRadar Network Packet
Configurando uma origem de log do IBM Capture para se comunicar com o QRadar. . . 560
Bluemix para usar o Syslog. . . . . . . 520 IBM RACF . . . . . . . . . . . . . . 560
Configurando uma origem de log do IBM Criando uma origem de log para o protocolo
Bluemix com o TLS Syslog . . . . . . . 521 Arquivo de log . . . . . . . . . . . . 561
IBM CICS . . . . . . . . . . . . . . 521

x Guia de configuração do QRadar DSM

Crie uma origem de log para feed de eventos Criando certificados e chaves de autenticação
quase em tempo real . . . . . . . . . . 564 de cliente para o Apex Local Manager . . . 596
Integrar o IBM RACF com o IBM QRadar Configurando o Apex Local Manager . . . 596
usando scripts de auditoria. . . . . . . . 565 Configurando a instância do ALM . . . . 597
Configurando o IBM RACF que usa scripts de Configurando um serviço de feed de arquivo
auditoria para integrar com o IBM QRadar . . 565 simples . . . . . . . . . . . . . . 598
IBM SAN Volume Controller . . . . . . . . 567 IBM Security Trusteer Apex Local Event
Configurando o IBM SAN Volume Controller Aggregator . . . . . . . . . . . . . . 598
para se comunicar com o QRadar . . . . . 569 Configurando o syslog para o Trusteer Apex
IBM Security Access Manager for Enterprise Single Local Event Agregador . . . . . . . . . 599
Sign-On . . . . . . . . . . . . . . . 570 IBM Sense . . . . . . . . . . . . . . 599
Configurando um tipo de servidor de log . . . 570 Configurando o IBM Sense para se comunicar
Configurando o encaminhamento de syslog . . 571 com o QRadar . . . . . . . . . . . . 600
Configurando uma origem de log no IBM IBM SmartCloud Orchestrator . . . . . . . . 601
QRadar . . . . . . . . . . . . . . 571 Instalando o IBM SmartCloud Orchestrator . . 602
IBM Security Access Manager for Mobile . . . . 572 Configurando uma origem de log do IBM
Configurando o IBM Security Access Manager SmartCloud Orchestrator no QRadar . . . . 602
for Mobile para se comunicar com o QRadar . . 574 IBM Tivoli Access Manager for e-business . . . . 602
Configurando o IBM IDaaS Platform para se Configurar o Tivoli Access Manager for
comunicar com o QRadar . . . . . . . . 575 e-business . . . . . . . . . . . . . 603
Configurando um console IBM IDaaS para se Configurando uma origem de log . . . . . 604
comunicar com o QRadar . . . . . . . . 575 IBM Tivoli Endpoint Manager . . . . . . . . 604
IBM Security Directory Server . . . . . . . . 576 IBM WebSphere Application Server . . . . . . 604
Processo de integração do IBM Security Configurando o IBM WebSphere . . . . . . 604
Directory Server . . . . . . . . . . . 576 Customizando a opção Criação de log . . . . 605
Configurando o IBM Security Directory Criando uma origem de log . . . . . . . 606
Server para se comunicar com o QRadar . . 576 IBM WebSphere DataPower . . . . . . . . 608
Configurando uma origem de log IBM IBM z/OS . . . . . . . . . . . . . . 608
Security Directory Server no IBM QRadar . . 578 Crie uma origem de log para feed de eventos
IBM Security Identity Governance . . . . . . 578 quase em tempo real . . . . . . . . . . 610
Configurando o QRadar para se comunicar com Criando uma origem de log para o protocolo
seu banco de dados do IBM Security Identity Arquivo de log . . . . . . . . . . . . 610
Governance . . . . . . . . . . . . . 580 IBM zSecure Alert . . . . . . . . . . . . 613
IBM Security Identity Manager . . . . . . . 580
IBM Security Network IPS (GX) . . . . . . . 584 79 ISC Bind . . . . . . . . . . . . 615
Configurando o dispositivo IBM Security Configurando uma origem de log . . . . . . 616
Network IPS (GX) para comunicação com o
QRadar . . . . . . . . . . . . . . 584
80 Illumio Adaptive Security Platform 619
Configurando uma origem de log do IBM
Configurando Illumio Adaptive Security Platform
Security Network IPS (GX) no QRadar . . . . 585
para se comunicar com o QRadar . . . . . . 620
IBM QRadar Network Security XGS . . . . . . 586
Configurando Exportando eventos para Syslog
Configurando o IBM QRadar Network Security
para Illumio PCE . . . . . . . . . . . 620
XGS Alertas . . . . . . . . . . . . . 586
Configurando o encaminhamento de syslog para
Configurando uma origem de log no IBM
Illumio PCE . . . . . . . . . . . . . 621
QRadar . . . . . . . . . . . . . . 587
IBM Security Privileged Identity Manager . . . . 588
Configurando o IBM Security Privileged 81 Imperva Incapsula . . . . . . . . 623
Identity Manager para se comunicar com o Configurando o Imperva Incapsula para se
QRadar . . . . . . . . . . . . . . 589 comunicar com o QRadar . . . . . . . . . 624
Mensagem do evento de amostra . . . . . . 590
IBM Security Trusteer Apex Advanced Malware 82 Imperva SecureSphere . . . . . . 627
Protection . . . . . . . . . . . . . . 591 Configurando uma ação de alerta para o Imperva
Configurando o IBM Security Trusteer Apex SecureSphere . . . . . . . . . . . . . 628
Advanced Malware Protection para enviar Configurando uma ação de evento do sistema para
eventos de syslog ao QRadar . . . . . . . 595 o Imperva SecureSphere . . . . . . . . . . 630
Configurando o IBM Security TrusteerApex Configurando o Imperva SecureSphere V11.0 a V13
Advanced Malware Protection para enviar para enviar registros de auditoria de banco de
eventos de TLS Syslog para o QRadar . . . . 595 dados para o QRadar. . . . . . . . . . . 631
Criando um certificado do servidor TLS/SSL
e a chave privada . . . . . . . . . . 595 83 Infoblox NIOS . . . . . . . . . . 635
Configurando uma origem de log . . . . . . 635

Índice xi
84 iT-CUBE agileSI . . . . . . . . . 637 Juniper Networks vGW Virtual Gateway . . . . 663
Configurando o agileSI para encaminhar eventos 637 Juniper Networks Junos WebApp Secure . . . . 664
Configurando uma origem de log agileSI . . . . 638 Configurando o encaminhamento de syslog . . 664
Configurando a criação de log de eventos . . . 665
85 Itron Smart Meter . . . . . . . . 641 Configurando uma origem de log . . . . . 666
Juniper Networks WLC Series Wireless LAN
Controller . . . . . . . . . . . . . . 667
86 Juniper Networks . . . . . . . . 643 Configurando um servidor syslog a partir da
Juniper Networks AVT . . . . . . . . . . 643 interface com o usuário do Juniper WLC . . . 667
Configurando o IBM QRadar para receber Configurando um servidor syslog com a
eventos de um dispositivo Juniper Networks interface da linha de comandos para Juniper
AVT . . . . . . . . . . . . . . . 643 WLC . . . . . . . . . . . . . . . 668
Juniper Networks DDoS Secure . . . . . . . 645
Juniper Networks DX Application Acceleration
87 Kaspersky . . . . . . . . . . . 669
Platform . . . . . . . . . . . . . . . 645
Kaspersky CyberTrace . . . . . . . . . . 669
Configurando o IBM QRadar para receber
Configurando o Kaspersky CyberTrace para se
eventos de um Juniper DX Application
comunicar com o QRadar . . . . . . . . 669
Acceleration Platform . . . . . . . . . 646
Concluindo o teste de verificação. . . . . 671
Juniper Networks EX Series Ethernet Switch . . . 646
Configurando o QRadar para encaminhar
Configurando o IBM QRadar para receber
eventos para o Kaspersky CyberTrace . . . . 672
eventos de um Juniper EX Series Ethernet
Especificações do DSM Kaspersky CyberTrace 673
Switch. . . . . . . . . . . . . . . 647
Mensagens de eventos de amostra . . . . . 674
Juniper Networks IDP . . . . . . . . . . 647
Kaspersky Security Center . . . . . . . . . 674
Configurar uma origem de log . . . . . . 648
Criando uma visualização de banco de dados
Controlador Infranet da Juniper Networks. . . . 649
para o Kaspersky Security Center . . . . . 678
Juniper Networks Firewall e VPN . . . . . . 649
Exportando o syslog para o QRadar a partir do
Configurando o IBM QRadar para receber
Kaspersky Security Center . . . . . . . . 679
eventos . . . . . . . . . . . . . . 650
Juniper Networks Junos OS . . . . . . . . 650
Configurando o QRadar para receber eventos de 88 Kisco Information Systems
um dispositivo Juniper Junos OS Platform. . . 652 SafeNet/i . . . . . . . . . . . . . 681
Configurar o protocolo PCAP . . . . . . . 652 Configurando o Kisco Information Systems
Configurando uma nova origem de log do SafeNet/i para comunicação com o QRadar . . . 682
Juniper Networks SRX com PCAP . . . . . 653
Juniper Networks Network and Security Manager 654 89 Lastline Enterprise. . . . . . . . 685
Configurando o Juniper Networks NSM para Configurando o Lastline Enterprise para se
exportar logs para syslog . . . . . . . . 654 comunicar com o QRadar . . . . . . . . . 686
Configurando uma origem de log para Juniper
Networks NSM. . . . . . . . . . . . 654
90 Lieberman Random Password
Juniper Networks Secure Access . . . . . . . 655
Juniper Networks Security Binary Log Collector 655 Manager . . . . . . . . . . . . . 687
Configurando o formato de log binário do
Juniper Networks . . . . . . . . . . . 655 91 LightCyber Magna . . . . . . . . 689
Configurando uma origem de log . . . . . 656 Configurando o LightCyber Magna para se
Juniper Networks Steel-Belted Radius . . . . . 657 comunicar com o QRadar . . . . . . . . . 690
Especificações do Juniper Networks Steel-Belted
Radius DSM. . . . . . . . . . . . . 658 92 Linux . . . . . . . . . . . . . 691
Configure o Juniper Networks Steel-Belted Linux DHCP . . . . . . . . . . . . . 691
Radius para encaminhar eventos Windows para Configurando uma origem de log . . . . . 691
o QRadar. . . . . . . . . . . . . . 659 Linux IPtables . . . . . . . . . . . . . 691
Configurando o Juniper Networks Steel-Belted Configurando IPtables . . . . . . . . . 692
Radius para encaminhar eventos Syslog para o Configurando uma origem de log . . . . . 693
QRadar . . . . . . . . . . . . . . 660 Linux OS . . . . . . . . . . . . . . . 693
Configurando uma origem de log do Juniper Configurando syslog no Linux OS . . . . . 694
Steel-Belted Radius usando o protocolo Syslog . 661 Configurando syslog-ng no Linux OS . . . . 694
Configurando uma origem de log do Juniper Configurando o Linux OS para enviar logs de
Networks Steel-Belted Radius usando o auditoria . . . . . . . . . . . . . . 695
protocolo syslog TLS . . . . . . . . . . 661
Configurando uma origem de log do Juniper
93 LOGbinder . . . . . . . . . . . 697
Steel-Belted Radius usando o protocolo de
Coleção de eventos do LOGbinder EX do Microsoft
Arquivo de log . . . . . . . . . . . . 662
Exchange Server . . . . . . . . . . . . 697

xii Guia de configuração do QRadar DSM

Configurando o sistema LOGbinder EX para Configurando o QRadar para coletar eventos do
enviar logs de eventos do Microsoft Exchange Microsoft Azure Event Hubs . . . . . . . 732
para o QRadar . . . . . . . . . . . . 698 Especificações do Microsoft Azure DSM . . . 734
Coleção de eventos do LOGbinder SP do Microsoft Mensagens de eventos de amostra . . . . . 734
SharePoint . . . . . . . . . . . . . . 698 Microsoft DHCP Server . . . . . . . . . . 737
Configurando o sistema LOGbinder SP para Microsoft DNS Debug . . . . . . . . . . 738
enviar logs de eventos do Microsoft SharePoint Ativando a depuração do DNS no Windows
para o QRadar . . . . . . . . . . . . 700 Server . . . . . . . . . . . . . . . 739
Coleção de eventos do LOGbinder SQL do Microsoft Endpoint Protection . . . . . . . . 740
Microsoft SQL Server . . . . . . . . . . . 700 Configurando uma origem de log Endpoint
Configurando o sistema LOGbinder SQL para Protection para consultas predefinidas do banco
enviar logs de eventos do Microsoft SQL Server de dados . . . . . . . . . . . . . . 740
para o QRadar . . . . . . . . . . . . 701 Microsoft Exchange Server . . . . . . . . . 743
Configurando o servidor Microsoft Exchange
94 McAfee . . . . . . . . . . . . . 703 para se comunicar com o QRadar . . . . . 744
McAfee Application/Change Control . . . . . 703 Configurando logs do OWA em seu servidor
McAfee ePolicy Orchestrator . . . . . . . . 706 Microsoft Exchange . . . . . . . . . 744
Incluindo um servidor registrado no McAfee Ativando os logs SMTP em seu servidor
ePolicy Ochestrator . . . . . . . . . . 712 Microsoft Exchange 2003, 2007 e 2010 . . . 745
Configurando notificações de SNMP no McAfee Ativando os logs SMTP em seu Microsoft
ePolicy Orchestrator . . . . . . . . . . 712 Exchange Server 2013 e 2016 . . . . . . 745
Instalando a Java Cryptography Extension no Configurando logs MSGTRK para o
McAfee ePolicy Orchestrator . . . . . . . 714 Microsoft Exchange 2003, 2007 e 2010 . . . 745
Instalando o Java Cryptography Extension no Configurando os logs MSGTRK para o
QRadar . . . . . . . . . . . . . . 714 Exchange 2013 e 2016. . . . . . . . . 746
Mensagem do evento de amostra . . . . . . 715 Configurando uma origem de log para o
McAfee Network Security Platform (antes Microsoft Exchange . . . . . . . . . . 746
conhecido como McAfee Intrushield) . . . . . 715 Microsoft Hyper-V . . . . . . . . . . . 748
Configurando eventos de alerta para o McAfee Processo de integração do DSM Microsoft
Intrushield V2.x - V5.x . . . . . . . . . 716 Hyper-V . . . . . . . . . . . . . . 749
Configurando eventos de alerta para o McAfee Configurando uma origem de log do Microsoft
Network Security Platform V6.x e V7.x . . . . 717 Hyper-V no QRadar . . . . . . . . . . 749
Configurando eventos de notificação de falha Microsoft IAS Server . . . . . . . . . . . 750
para o McAfee Network Security Platform V6.x Microsoft IIS Server . . . . . . . . . . . 750
e V7.x . . . . . . . . . . . . . . . 718 Configurando o Microsoft IIS usando o
McAfee Web Gateway . . . . . . . . . . 720 protocolo IIS . . . . . . . . . . . . 751
Processo de integração do DSM McAfee Web Configurando o protocolo Microsoft IIS no IBM
Gateway . . . . . . . . . . . . . . 720 QRadar . . . . . . . . . . . . . . 752
Configurando o McAfee Web Gateway para se Configurando uma origem de log do Microsoft
comunicar com o QRadar (syslog) . . . . . 721 IIS . . . . . . . . . . . . . . . . 753
Importando o manipulador de logs syslog. . . 721 Microsoft ISA . . . . . . . . . . . . . 754
Configurando o McAfee Web Gateway para se Microsoft Office 365 . . . . . . . . . . . 754
comunicar com o IBM QRadar (protocolo de Configurando o Microsoft Office 365 para
arquivo de log) . . . . . . . . . . . . 722 comunicar-se com o QRadar . . . . . . . 755
Obtendo dados usando o protocolo de arquivo Configurando o Microsoft Office 365 para se
de log . . . . . . . . . . . . . . . 723 comunicar com o QRadar usando a interface
Criação de um mapa de eventos para eventos Azure Classic Management . . . . . . . . 757
do McAfee Web Gateway . . . . . . . . 723 Mensagens de eventos de amostra . . . . . 758
Descobrindo eventos desconhecidos . . . . . 724 Microsoft Operations Manager . . . . . . . 759
Modificando o mapa de eventos . . . . . . 724 Microsoft SharePoint . . . . . . . . . . . 762
Configurando uma visualização de banco de
dados para coletar eventos de auditoria . . . 763
95 MetaInfo MetaIP . . . . . . . . . 727
Configurando eventos de auditoria do Microsoft
SharePoint . . . . . . . . . . . . . 763
96 Microsoft . . . . . . . . . . . . 729 Criando uma visualização de banco de dados
Microsoft Azure . . . . . . . . . . . . 729 para o Microsoft SharePoint . . . . . . . 764
Configurando o serviço Microsoft Azure Log Criando permissões somente leitura para
Integration para se comunicar com o QRadar. . 730 usuários do banco de dados Microsoft
Configurando o Microsoft Azure Event Hubs SharePoint . . . . . . . . . . . . . 764
para se comunicar com o QRadar . . . . . 730 Configurando uma origem de log do SharePoint
para uma visualização de banco de dados . . . 765

Índice xiii
Configurando uma origem de log do SharePoint 103 Niksun . . . . . . . . . . . . 809
para consultas predefinidas do banco de dados . 768 Configurando uma origem de log . . . . . . 809
Microsoft SQL Server . . . . . . . . . . . 770
Preparação do Microsoft SQL Server para 104 Nokia Firewall . . . . . . . . . 811
comunicação com o QRadar . . . . . . . 771
Integração com um Nokia Firewall usando syslog 811
Criando um objeto de auditoria do Microsoft
Configurando IPtables . . . . . . . . . 811
SQL Server . . . . . . . . . . . . 771
Configurando syslog . . . . . . . . . . 812
Criando uma especificação de auditoria do
Configurando o script customizado de eventos
Microsoft SQL Server . . . . . . . . . 772
registrados . . . . . . . . . . . . . 812
Criando uma visualização do banco de dados
Configurando uma origem de log . . . . . 812
Microsoft SQL Server . . . . . . . . . 772
Integração com um Nokia Firewall usando OPSEC 813
Configurando uma origem de log do Microsoft
Configurando um Nokia Firewall para OPSEC 813
SQL Server . . . . . . . . . . . . . 773
Configurando uma origem de log OPSEC . . . 814
Microsoft System Center Operations Manager . . 775
Microsoft Windows Defender ATP . . . . . . 778
Microsoft Windows Defender ATP DSM 105 Nominum Vantio . . . . . . . . 817
specifications . . . . . . . . . . . . 778
Configurando o QRadar para coletar eventos de 106 Nortel Networks . . . . . . . . 819
Microsoft Windows Defender ATP usando a API Nortel Multiprotocol Router . . . . . . . . 819
REST de ATP do Windows Defender . . . . 779 Nortel Application Switch . . . . . . . . . 821
Mensagens de eventos de amostra . . . . . 780 Nortel Contivity . . . . . . . . . . . . 822
Microsoft Windows Security Event Log. . . . . 783 Nortel Ethernet Routing Switch 2500/4500/5500 823
Verificando o protocolo MSRPC . . . . . . 783 Nortel Ethernet Routing Switch 8300/8600 . . . 823
Verificando o protocolo MSRPC do QRadar Nortel Secure Router . . . . . . . . . . . 824
Console . . . . . . . . . . . . . 783 Nortel Secure Network Access Switch . . . . . 826
Verificando o protocolo MSRPC da interface Nortel Switched Firewall 5100 . . . . . . . . 826
com o usuário do QRadar . . . . . . . 784 Integrando o Nortel Switched Firewall usando
Reiniciando o servidor da web . . . . . 784 syslog . . . . . . . . . . . . . . . 826
Instalando o protocolo MSRPC no QRadar Integrar Nortel Switched Firewall usando
Console . . . . . . . . . . . . . . 784 OPSEC . . . . . . . . . . . . . . 827
Ativando o MSRPC em host do Windows . . . 784 Configurando uma origem de log . . . . . 827
Diagnosticando problemas de conexão com a Nortel Switched Firewall 6000 . . . . . . . . 828
ferramenta de teste MSRPC . . . . . . . 787 Configurando syslog para Nortel Switched
Ativando o WMI em hosts Windows . . . . 788 Firewalls . . . . . . . . . . . . . . 828
Configurando OPSEC para Nortel Switched
97 Motorola Symbol AP . . . . . . . 793 Firewalls . . . . . . . . . . . . . . 829
Configurando uma origem de log . . . . . . 793 Reconfigurando o Check Point SmartCenter
Configurar eventos syslog para Motorola Symbol Server . . . . . . . . . . . . . . . 829
AP . . . . . . . . . . . . . . . . . 793 Nortel Threat Protection System (TPS) . . . . . 830
Nortel VPN Gateway . . . . . . . . . . . 831
98 Par Nome-Valor . . . . . . . . . 795
107 Novell eDirectory . . . . . . . . 833
Configure o XDASv2 para encaminhar eventos . . 833
99 DDoS Seguro do NCC . . . . . . 799
Carregar o módulo XDASv2 . . . . . . . . 834
Configurando o NCC Group DDoS Secure para se
Carregando o XDASv2 em um sistema operacional
comunicar com o QRadar . . . . . . . . . 800
Linux . . . . . . . . . . . . . . . . 834
Carregando o XDASv2 em um sistema operacional
100 NetApp Data ONTAP . . . . . . 801 Windows . . . . . . . . . . . . . . . 835
Configurar auditoria de evento usando o Novell
101 Netskope Active . . . . . . . . 803 iManager . . . . . . . . . . . . . . . 835
Configurando o QRadar para coletar eventos do Configurar uma origem de log . . . . . . . 836
sistema Netskope Active. . . . . . . . . . 804
108 Observe IT JDBC . . . . . . . . 837
102 Servidor HTTP NGINX . . . . . . 805
Especificações DSM do Servidor HTTP NGINX . . 805 109 Okta . . . . . . . . . . . . . 841
Configurando o Servidor HTTP NGINX para se
comunicar com o QRadar . . . . . . . . . 806 110 Onapsis Security Platform . . . . 845
Mensagens de eventos de amostra . . . . . . 806
Configurando o Onapsis Security Platform para se
comunicar com o QRadar . . . . . . . . . 846

xiv Guia de configuração do QRadar DSM

111 OpenBSD . . . . . . . . . . . 847 116 OSSEC . . . . . . . . . . . . 887
Configurando uma origem de log . . . . . . 847 Configurando o OSSEC . . . . . . . . . . 887
Configurando syslog para OpenBSD. . . . . . 847 Configurando uma origem de log . . . . . . 887

112 Open LDAP . . . . . . . . . . 849 117 Palo Alto Networks . . . . . . . 889

Configurando uma origem de log . . . . . . 849 Palo Alto Endpoint Security Manager . . . . . 889
Configurando IPtables para eventos Syslog UDP Configurando o Palo Alto Endpoint Security
Multiline . . . . . . . . . . . . . . . 850 Manager para se comunicar com o QRadar . . 890
Configurando o encaminhamento de eventos para Palo Alto Networks PA Series . . . . . . . . 891
o Open LDAP . . . . . . . . . . . . . 852 Especificações do DSM Palo Alto PA . . . . 891
Criando um destino de Syslog no dispositivo
113 Open Source SNORT . . . . . . 853 Palo Alto PA Series . . . . . . . . . . 892
Configurando o Open Source SNORT . . . . . 853 Criando uma política de encaminhamento no
Configurando uma origem de log . . . . . . 854 dispositivo Palo Alto PA Series . . . . . . 897
Criando eventos Syslog formatados pelo
ArcSight CEF em seu dispositivo Palo Alto PA
114 OpenStack . . . . . . . . . . . 855
Series Networks Firewall . . . . . . . . 897
Configurando OpenStack para se comunicar com o
Mensagem do evento de amostra . . . . . . 899
QRadar . . . . . . . . . . . . . . . 856

118 Pirean Access: One . . . . . . . 901

115 Oracle. . . . . . . . . . . . . 859
Configurando uma origem de log . . . . . . 901
Oracle Acme Packet Session Border Controller . . 859
Tipos de eventos suportados do Oracle Acme
Packet que são registrados pelo IBM QRadar . . 859 119 PostFix Mail Transfer Agent . . . 905
Configurando uma origem de log Oracle Acme Configurando syslog para PostFix Mail Transfer
Packet SBC . . . . . . . . . . . . . 859 Agent . . . . . . . . . . . . . . . . 905
Configurando SNMP para conversão de syslog Configurando uma origem de log PostFix MTA 905
no Oracle Acme Packet SBC . . . . . . . 860 Configurando IPtables para eventos syslog UDP
Ativando as configurações de syslog no objeto multilinhas . . . . . . . . . . . . . . 906
Media Manager . . . . . . . . . . . 861
Oracle Audit Vault . . . . . . . . . . . 862 120 ProFTPd. . . . . . . . . . . . 909
Configurando o Oracle Audit Vault para se Configurando ProFTPd . . . . . . . . . . 909
comunicar com o QRadar . . . . . . . . 864 Configurando uma origem de log . . . . . . 909
Oracle BEA WebLogic . . . . . . . . . . 865
Ativando logs de eventos . . . . . . . . 865 121 Proofpoint Enterprise Protection e
Configurando a criação de log do domínio . . 866 Enterprise Privacy . . . . . . . . . 911
Configurando a criação de log do aplicativo . . 866
Configurando o DSM Proofpoint Enterprise
Configurando um provedor de auditoria . . . 866
Protection e Enterprise Privacy para se comunicar
Configurando uma origem de log . . . . . 867
com o IBM QRadar . . . . . . . . . . . 912
Oracle DB Audit . . . . . . . . . . . . 869
Configurando uma origem de log Proofpoint
Ativando a auditoria unificada no Oracle 12c 873
Enterprise Protection e Enterprise Privacy . . . . 912
Configurando um servidor de banco de dados
Oracle para enviar logs de auditoria do syslog
ao QRadar . . . . . . . . . . . . . 873 122 Pulse Secure Pulse Connect
Oracle DB Listener . . . . . . . . . . . 875 Secure . . . . . . . . . . . . . . 917
Coletando eventos usando o protocolo Oracle Configurando um dispositivo Pulse Secure Pulse
Database Listener . . . . . . . . . . . 875 Connect Secure para enviar eventos do WebTrends
Coletando eventos do banco de dados Oracle Enhanced Log File (WELF) para o IBM QRadar . . 918
usando Perl . . . . . . . . . . . . . 877 Configurando um dispositivo Pulse Secure Pulse
Configurando o Oracle Database Listener no Connect Secure para enviar eventos syslog para o
QRadar. . . . . . . . . . . . . . . 879 QRadar . . . . . . . . . . . . . . . 919
Visão geral do Oracle Directory Server . . . . . 879 Mensagem do evento de amostra . . . . . . . 920
Oracle Enterprise Manager . . . . . . . . . 879
Oracle Fine Grained Auditing . . . . . . . . 881 123 Radware. . . . . . . . . . . . 921
Configurando uma origem de log . . . . . 881 Radware AppWall . . . . . . . . . . . . 921
Oracle OS Audit . . . . . . . . . . . . 884 Configurando o Radware AppWall para se
Configurando as origens de log no QRadar para comunicar com o QRadar . . . . . . . . 922
Oracle OS Audit. . . . . . . . . . . . 886 Aumentando o comprimento máximo de carga
útil de TCP Syslog para Radware AppWall . . 922
Radware DefensePro . . . . . . . . . . . 923
Configurando uma origem de log . . . . . 924

Índice xv
124 Raz-Lee iSecurity . . . . . . . . 925 132 Visão Geral do SAP Enterprise
Configurando o Raz-Lee iSecurity para se Threat Detection . . . . . . . . . . 953
comunicar com o QRadar . . . . . . . . . 925 Especificações do DSM SAP Enterprise Threat
Configurando uma origem de log para o Raz-Lee Detection . . . . . . . . . . . . . . . 953
iSecurity . . . . . . . . . . . . . . . 927 Configurando o QRadar para coletar eventos do
sistema SAP Enterprise Threat Detection . . . . 954
125 Redback ASE . . . . . . . . . 929 Criando um filtro padrão no servidor SAP . . . 956
Configurando o Redback ASE . . . . . . . . 929 Resolução de problemas da API de alerta do SAP
Configurando uma origem de log . . . . . . 929 Enterprise Threat Detection. . . . . . . . . 956
Mensagens de eventos de amostra . . . . . . 957
126 Resolution1 CyberSecurity . . . . 931
Configurando seu dispositivo do Resolution1 133 Seculert . . . . . . . . . . . . 969
CyberSecurity para se comunicar com o QRadar . 932 Obtendo uma chave de API . . . . . . . . 970
Origem de log do Resolution1 CyberSecurity em
seu QRadar Console . . . . . . . . . . . 932 134 Sentrigo Hedgehog . . . . . . . 971

127 Riverbed . . . . . . . . . . . 933 135 Skyhigh Networks Cloud Security

Auditoria do Riverbed SteelCentral NetProfiler Platform . . . . . . . . . . . . . 973
(gerenciador de perfis em cascata) . . . . . . 933 Configurando o Skyhigh Networks Cloud Security
Criando um modelo de relatório do Riverbed Platform para comunicação com o QRadar . . . 974
SteelCentral NetProfiler e gerando um arquivo
de auditoria . . . . . . . . . . . . . 934
Alerta do Riverbed SteelCentral NetProfiler
136 SolarWinds Orion. . . . . . . . 975
(gerenciador de perfis em cascata) . . . . . . 935 Configurando o SolarWinds Orion para se
Configurando o sistema Riverbed SteelCentral comunicar com o QRadar . . . . . . . . . 976
NetProfiler para ativar a comunicação com o Configurando uma origem de log do SolarWinds
QRadar . . . . . . . . . . . . . . 936 Orion usando o protocolo SNMP . . . . . . . 978
Instalando o Java Cryptography Extension no
QRadar . . . . . . . . . . . . . . . 980
128 RSA Authentication Manager . . . 937
Configuração do syslog para o RSA Authentication
Manager 6.x, 7.x e 8.x . . . . . . . . . . 937
137 SonicWALL . . . . . . . . . . 983
Configurando o Linux . . . . . . . . . . 937 Configurando o SonicWALL para encaminhar
Configurando o Windows . . . . . . . . . 938 eventos syslog . . . . . . . . . . . . . 983
Configurando o protocolo do arquivo de log para o Configurando uma origem de log . . . . . . 983
RSA Authentication Manager 6.x e 7.x . . . . . 939
Configurando um RSA Authentication Manager 6.x 939 138 Sophos . . . . . . . . . . . . 985
Configurando o RSA Authentication Manager 7.x 939 Sophos Enterprise Console . . . . . . . . . 985
Configurando o QRadar usando o protocolo
129 SafeNet DataSecure . . . . . . . 941 Sophos Enterprise Console . . . . . . . . 985
Configurando o SafeNet DataSecure para se Configure o IBM QRadar usando o protocolo
comunicar com o QRadar . . . . . . . . . 941 JDBC . . . . . . . . . . . . . . . 988
Configurando a visualização do banco de dados 988
Configurando uma origem de log JDBC no
130 Salesforce . . . . . . . . . . . 943 QRadar . . . . . . . . . . . . . . 988
Salesforce Security. . . . . . . . . . . . 943 Sophos PureMessage . . . . . . . . . . . 990
Configurando o servidor Salesforce Security Integrando o QRadar com o Sophos
Monitoring para se comunicar com o QRadar . 944 PureMessage para Microsoft Exchange . . . . 991
Configurando uma origem de log do Salesforce Configure uma origem de log JDBC para
Security no QRadar . . . . . . . . . . 945 Sophos PureMessage . . . . . . . . . . 991
Salesforce Security Auditing . . . . . . . . 946 Integrando o QRadar com o Sophos
Fazendo download do arquivo de trilha de PureMessage for Linux . . . . . . . . . 994
auditoria do Salesforce . . . . . . . . . 946 Configurando uma origem de log para Sophos
Configurando uma origem de log Salesforce PureMessage para Microsoft Exchange . . . . 994
Security Auditing no QRadar . . . . . . . 947 Gateway de Segurança Sophos Astaro . . . . . 996
Sophos Web Security Appliance . . . . . . . 997
131 Samhain Labs . . . . . . . . . 949
Configurando o syslog para coletar eventos 139 Splunk . . . . . . . . . . . . 999
Samhain . . . . . . . . . . . . . . . 949 Coletar eventos do Windows que são
Configurando o JDBC para coletar eventos encaminhados pelos dispositivos Splunk . . . . 999
Samhain . . . . . . . . . . . . . . . 950

xvi Guia de configuração do QRadar DSM

Configurando uma origem de log para eventos 145 Sybase ASE . . . . . . . . . 1037
encaminhados pelo Splunk . . . . . . . . . 999 Configurando o IBM QRadar SIEM para receber
eventos de um dispositivo Sybase ASE . . . . 1038
140 Squid Web Proxy . . . . . . . 1003
Configurando o encaminhamento de syslog . . . 1003 146 Symantec. . . . . . . . . . . 1039
Criar uma origem de log . . . . . . . . . 1004 Symantec Critical System Protection . . . . . 1039
Symantec Data Loss Prevention (DLP). . . . . 1040
141 SSH CryptoAuditor . . . . . . 1007 Criando uma regra de resposta SMTP . . . . 1040
Configurando um dispositivo SSH CryptoAuditor Criando uma regra de resposta None Of SMTP 1041
para se comunicar com o QRadar . . . . . . 1008 Configurando uma origem de log . . . . . 1042
Criação de mapa de eventos para eventos
142 Starent Networks . . . . . . . 1009 Symantec DLP . . . . . . . . . . . 1042
Descobrindo eventos desconhecidos . . . . 1042
Modificando o mapa de eventos. . . . . . 1043
143 STEALTHbits . . . . . . . . . 1013 Symantec Endpoint Protection . . . . . . . 1044
STEALTHbits StealthINTERCEPT . . . . . . 1013 Configurando o Symantec Endpoint Protection
Configurando uma origem de log para se comunicar com o QRadar . . . . . 1045
STEALTHbits StealthINTERCEPT no IBM Symantec Encryption Management Server . . . 1046
QRadar . . . . . . . . . . . . . . 1013 Configurando o Symantec Encryption
Configurando seu STEALTHbits Management Server para se comunicar com o
StealthINTERCEPT para se comunicar com o QRadar . . . . . . . . . . . . . . 1047
QRadar . . . . . . . . . . . . . . 1013 Configurando uma origem de log . . . . . 1047
Configurando o STEALTHbits File Activity Symantec SGS . . . . . . . . . . . . . 1048
Monitor para se comunicar com o QRadar . . 1014 Symantec System Center . . . . . . . . . 1048
Configurando uma origem de log para o configurando uma visualização de banco de
STEALTHbits File Activity Monitor no QRadar . 1014 dados para o Symantec System Center . . . 1048
Alertas STEALTHbits StealthINTERCEPT. . . . 1016 Configurando uma origem de log . . . . . 1049
Coletando alertas de logs de STEALTHbits
StealthINTERCEPT . . . . . . . . . . 1017
STEALTHbits StealthINTERCEPT Analytics . . . 1018
147 Sourcefire Intrusion Sensor 1053
Coletando logs de análise de STEALTHbits Configurando o Sourcefire Intrusion Sensor . . . 1053
StealthINTERCEPT . . . . . . . . . . 1019 Configurando uma origem de log para o
Sourcefire Intrusion Sensor no QRadar . . . . 1053
144 Sun . . . . . . . . . . . . . 1021
Sun ONE LDAP . . . . . . . . . . . . 1021
148 ThreatGRID Malware Threat
Ativando o log de eventos para o Sun ONE Intelligence Platform . . . . . . . . 1055
Directory Server . . . . . . . . . . . 1021 Protocolos de coleção de eventos suportado para
Configurando uma origem de log para Sun o ThreatGRID Malware Threat Intelligence . . . 1055
ONE LDAP . . . . . . . . . . . . 1022 Visão geral da configuração do ThreatGRID
Configurando uma Origem de Log de Syslog Malware Threat Intelligence . . . . . . . . 1055
UDP Multilinhas . . . . . . . . . . . 1025 Configurando uma origem de log syslog
Configurando IPtables para eventos Syslog ThreatGRID . . . . . . . . . . . . 1055
UDP Multiline. . . . . . . . . . . . 1026 Configurando uma origem de log do protocolo
Sun Solaris DHCP . . . . . . . . . . . 1027 de arquivo de log ThreatGRID . . . . . . 1057
Configurando o Sun Solaris DHCP . . . . . 1028
Configurando o Sun Solaris . . . . . . . 1028 149 TippingPoint . . . . . . . . . 1061
Sun Solaris Sendmail . . . . . . . . . . 1029 Tipping Point Intrusion Prevention System . . . 1061
Configurando uma origem de log Sun Solaris Configurar syslog remoto para SMS . . . . 1061
Sendmail . . . . . . . . . . . . . 1030 Configurando contatos de notificação para
Sun Solaris Basic Security Mode (BSM) . . . . 1030 LSM . . . . . . . . . . . . . . . 1062
Ativando o Basic Security Mode no Solaris 10 1031 Configurando um conjunto de ações para LSM 1062
Ativando o Basic Security Mode no Solaris 11 1031 Dispositivo Tipping Point X505/X506 . . . . . 1063
Convertendo logs de auditoria do Sun Solaris Configurando syslog . . . . . . . . . 1063
BSM . . . . . . . . . . . . . . . 1032
Criando uma tarefa cron . . . . . . . . 1032 150 Top Layer IPS . . . . . . . . . 1065
Configurando uma origem de log para o Sun
Solaris BSM . . . . . . . . . . . . 1033
151 Townsend Security LogAgent 1067
Configurando o Raz-Lee iSecurity . . . . . . 1067
Configurando uma origem de log . . . . . . 1067

Índice xvii
152 Trend Micro . . . . . . . . . . 1069 Modificando um mapa de eventos . . . . 1098
Trend Micro Control Manager . . . . . . . 1069
Configurando uma origem de log . . . . . 1069 156 Vectra Networks Vectra . . . . . 1099
Configurando Traps SNMP . . . . . . . 1070 Configurando o Vectra Networks Vectra para se
Trend Micro Deep Discovery Analyzer . . . . 1070 comunicar com o QRadar . . . . . . . . . 1100
Configurando a instância do Trend Micro Deep
Discovery Analyzer para comunicação com o 157 Venustech Venusense . . . . . 1101
QRadar . . . . . . . . . . . . . . 1071 Visão geral da configuração do Venusense . . . 1101
Trend Micro Deep Discovery Director . . . . . 1072 Configurando um servidor syslog Venusense . . 1101
Especificações DSM do Trend Micro Deep Configurando a filtragem de eventos Venusense 1101
Discovery Director . . . . . . . . . . 1073 Configurando uma origem de log Venusense . . 1102
Configurando o Trend Micro Deep Discovery
Director para se comunicar com o QRadar . . 1073
Mensagens de eventos de amostra . . . . . 1074
158 Verdasys Digital Guardian . . . 1103
Trend Micro Deep Discovery Email Inspector 1076 Configurando IPtables . . . . . . . . . . 1103
Configurando o Trend Micro Deep Discovery Configurando uma exportação de dados . . . . 1104
Email Inspector para se comunicar com o Configurando uma origem de log . . . . . . 1105
QRadar . . . . . . . . . . . . . . 1077
Trend Micro Deep Discovery Inspector . . . . 1077 159 DSM Vericept Content 360 . . . 1107
Configurando o Trend Micro Deep Discovery
Inspector V3.0 para enviar eventos para o 160 VMWare . . . . . . . . . . . 1109
QRadar . . . . . . . . . . . . . . 1079 VMware AppDefense . . . . . . . . . . 1109
Configurando o Trend Micro Deep Discovery Especificações do DSM VMWare AppDefense 1109
Inspector V3.8, V5.0 e V5.1 para enviar eventos Configurando o VMware AppDefense para se
para o QRadar . . . . . . . . . . . 1079 comunicar com o QRadar . . . . . . . . 1110
Trend Micro Deep Security . . . . . . . . 1080 Configurando uma origem de log do VMware
Configurando o Trend Micro Deep Security AppDefense usando o protocolo de API do
para se comunicar com o QRadar . . . . . 1081 VMWare AppDefense . . . . . . . . . 1111
Trend Micro InterScan VirusWall . . . . . . 1081 Mensagens de evento de amostra do VMware
Trend Micro Office Scan . . . . . . . . . 1082 AppDefense . . . . . . . . . . . . 1112
Integrando com o Trend Micro Office Scan 8.x 1082 VMware ESX e ESXi . . . . . . . . . . . 1114
Integrando com o Trend Micro Office Scan 10.x 1083 Configurando syslog nos servidores VMware
Configurando definições gerais . . . . . 1083 ESX e ESXi . . . . . . . . . . . . . 1114
Configurar notificações padrão . . . . . 1083 Ativando configurações de firewall syslog em
Configurando critérios de ataque e vSphere Clients . . . . . . . . . . . 1115
notificações de alerta . . . . . . . . 1084 Ativando configurações de firewall syslog
Integrando com o Trend Micro OfficeScan XG 1084 em vSphere Clients usando o comando
Configurando as definições gerais do esxcli . . . . . . . . . . . . . . 1115
OfficeScan XG . . . . . . . . . . . 1085 Configurando uma origem de log syslog para
Configurando notificações de administrador VMware ESX ou ESXi . . . . . . . . . 1115
no OfficeScan XG . . . . . . . . . 1085 Configurando o protocolo EMC VMWare para
Configurando notificações de surto no servidores ESX ou ESXi. . . . . . . . . 1116
OfficeScan XG . . . . . . . . . . . 1086 Criando uma conta para o QRadar no ESX 1116
Configurando permissões de conta somente
153 Tripwire . . . . . . . . . . . 1087 leitura . . . . . . . . . . . . . . 1117
Configurando uma origem de log para o
154 Tropos Control . . . . . . . . 1089 protocolo EMC VMWare . . . . . . . . 1117
VMware vCenter . . . . . . . . . . . . 1118
Configurando uma origem de log para o
155 Universal . . . . . . . . . . . 1091 VMware vCenter . . . . . . . . . . . 1118
Universal CEF. . . . . . . . . . . . . 1091 VMware vCloud Director . . . . . . . . . 1119
Configurando o mapeamento de eventos Configurando o endereço público da API REST
Universal CEF. . . . . . . . . . . . 1092 vCloud . . . . . . . . . . . . . . 1119
Universal LEEF . . . . . . . . . . . . 1093 Tipos de eventos do VMware vCloud Director
Configurando uma origem de log Universal suportados registrados pelo IBM QRadar . . . 1119
LEEF . . . . . . . . . . . . . . . 1093 Configurando uma origem de log do VMware
Configurando o protocolo de arquivo de log vCloud Director no IBM QRadar . . . . . 1120
para coletar eventos Universal LEEF . . . 1094 VMware vShield . . . . . . . . . . . . 1121
Encaminhando eventos para o IBM QRadar 1097 Processo de integração do DSM VMware
Criação do mapa de eventos LEEF Universal 1097 vShield . . . . . . . . . . . . . . 1122
Descobrindo eventos desconhecidos . . . 1097

xviii Guia de configuração do QRadar DSM

Configurando o sistema VMware vShield para 165 DSMs suportados do QRadar 1137
comunicação com o IBM QRadar . . . . . 1122
Configurando uma origem de log VMware
vShield no IBM QRadar . . . . . . . . 1122 Parte 4. Apêndices. . . . . . . . 1153

161 Vormetric Data Security . . . . 1123 Avisos . . . . . . . . . . . . . . 1155

Processo de integração do DSM Vormetric Data Marcas comerciais . . . . . . . . . . . 1156
Security . . . . . . . . . . . . . . . 1123 Termos e condições da documentação do produto 1157
Configurando sistemas Vormetric Data Security Política de Privacidade da IBM Online . . . . 1158
para comunicação com o IBM QRadar. . . . . 1124 Considerações sobre política de privacidade . . . 1158
Configurando o Vormetric Data Firewall FS
Agents para efetuar bypass do Vormetric Data Glossário. . . . . . . . . . . . . 1159
Security Manager. . . . . . . . . . . . 1124 A . . . . . . . . . . . . . . . . . 1159
Configurando uma origem de log Vormetric Data B . . . . . . . . . . . . . . . . . 1159
Security no IBM QRadar . . . . . . . . . 1125 C . . . . . . . . . . . . . . . . . 1159
D . . . . . . . . . . . . . . . . . 1160
162 WatchGuard Fireware OS . . . . 1127 E . . . . . . . . . . . . . . . . . 1160
Configurando o dispositivo WatchGuard Fireware F . . . . . . . . . . . . . . . . . 1161
OS no Policy Manager para comunicação com o G . . . . . . . . . . . . . . . . . 1161
QRadar . . . . . . . . . . . . . . . 1127 H . . . . . . . . . . . . . . . . . 1161
Configurando o dispositivo WatchGuard Fireware I . . . . . . . . . . . . . . . . . 1161
OS no Fireware XTM para comunicação com o L . . . . . . . . . . . . . . . . . 1162
QRadar . . . . . . . . . . . . . . . 1128 M . . . . . . . . . . . . . . . . . 1162
Configurando uma origem de log WatchGuard N . . . . . . . . . . . . . . . . . 1162
Fireware OS no QRadar . . . . . . . . . 1129 O . . . . . . . . . . . . . . . . . 1163
P . . . . . . . . . . . . . . . . . 1163
R . . . . . . . . . . . . . . . . . 1163
163 Websense . . . . . . . . . . 1131
S . . . . . . . . . . . . . . . . . 1164
T . . . . . . . . . . . . . . . . . 1165
164 Zscaler Nanolog Streaming V . . . . . . . . . . . . . . . . . 1165
Service . . . . . . . . . . . . . 1133
Configurando um feed de syslog no Zscaler NSS 1133 Índice Remissivo . . . . . . . . . 1167
Configurando uma origem de log Zscaler NSS 1134

Índice xix
xx Guia de configuração do QRadar DSM
Sobre este Guia de Configuração de DSM
O guia de Configuração do DSM fornece instruções sobre como coletar dados de seus dispositivos de
terceiros, também conhecidos como origens de log.

É possível configurar o IBM® QRadar para aceitar logs de eventos a partir de origens de log que estão em
sua rede. Uma fonte de log é uma origem de dados que cria um log de eventos.

Nota: Este guia descreve os DSMs (Módulos de Suporte de Dispositivo) que são produzidos pela IBM.
DSMs de terceiros estão disponíveis no IBM App Exchange, mas não são documentados aqui.

Público desejado

Os administradores do sistema devem ter acesso ao QRadar, conhecimento dos conceitos de segurança de
rede corporativa e das configurações do dispositivo.

Documentação técnica

Para encontrar a documentação do produto IBM Security QRadar na web, inclusive toda a documentação
traduzida, acesse o IBM Knowledge Center (http://www.ibm.com/support/knowledgecenter/SS42VS/
welcome).

Para obter informações sobre como acessar documentação técnica adicional na biblioteca de produtos do
QRadar, consulte Nota técnica sobre como acessar a documentação do IBM Security (www.ibm.com/
support/docview.wss?rs=0&uid=swg21614644).

Entrando em contato com o suporte ao cliente

Para obter informações sobre como entrar em contato com o suporte ao cliente, consulte Nota técnica de
suporte e download (http://www.ibm.com/support/docview.wss?uid=swg21616144).

Declaração de boas práticas de segurança

A segurança do sistema de TI envolve a proteção de sistemas e as informações através da prevenção,

detecção e resposta para acesso incorreto de dentro e fora de sua empresa. O acesso incorreto pode
resultar em alteração, destruição, desapropriação ou mal uso de informações ou pode resultar em danos
ou mau uso dos sistemas, incluindo seu uso em ataques a outros sistemas. Nenhum produto ou sistema
de TI deve ser considerado completamente seguro e nenhum produto, serviço ou medida de segurança
individual pode ser completamente eficaz na prevenção do acesso ou uso impróprio. AIBM sistemas,
produtos e serviços são projetados para fazerem parte de uma abordagem de segurança abrangente legal,
que envolverá necessariamente procedimentos operacionais adicionais, podendo requerer outros sistemas,
produtos ou serviços para que sejam mais eficientes. A IBM NÃO GARANTE QUE OS SISTEMAS,
PRODUTOS OU SERVIÇOS ESTEJAM IMUNES OU TORNAM A SUA EMPRESA IMUNE CONTRA
CONDUTA MALICIOSA OU ILEGAL DE QUALQUER PESSOA.

Observe que:

O uso desse programa pode implicar em várias leis ou regulamentações, incluindo aquelas relacionadas à
privacidade, proteção de dados, emprego, e armazenamento e comunicações eletrônicas. O IBM Security
QRadar pode ser usado apenas para propósitos legais e de maneira legal. O cliente concorda em usar este
Programa de acordo com leis, regulamentos e políticas e assume toda a responsabilidade pelo seu
cumprimento. O licenciado declara que obterá ou obteve quaisquer consentimentos, permissões ou
licenças necessárias para permitir o uso legal do IBM Security QRadar.

© Copyright IBM Corp. 2005, 2019 xxi

xxii Guia de configuração do QRadar DSM
Parte 1. Instalação e gerenciamento de origem de log do
QRadar DSM

© Copyright IBM Corp. 2005, 2019 1

2 Guia de configuração do QRadar DSM
1 Coleção de eventos de dispositivos de terceiros
Para configurar a coleção de eventos de dispositivos de terceiros, é necessário concluir as tarefas de
configuração no dispositivo de terceiros e no QRadar Console, Coletor de eventos ou Processador de
evento. Os principais componentes que funcionam juntos para coletar eventos de dispositivos de terceiros
são origens de log, DSMs e atualizações automáticas.

Origens de log

Uma origem de log é qualquer dispositivo externo, sistema ou serviço de nuvem que é configurado para
enviar eventos para o sistema IBM QRadar ou ser coletado pelo sistema QRadar. O QRadar mostra
eventos de origens de log na guia Atividade de log.

Para receber eventos brutos de origens de log, o QRadar suporta vários protocolos, incluindo syslog de
S.O., aplicativos, firewalls, IPS/IDS, SNMP, SOAP, JDBC para dados de tabelas e visualizações do banco
de dados. O QRadar também suporta protocolos proprietários específicos do fornecedor, como
OPSEC/LEA, do Ponto de verificação.

DSMs

Um Módulo de suporte de dispositivo (DSM) é um módulo de código que analisa eventos recebidos de
várias origens de log e converte-os em um formato de taxonomia padrão que pode ser exibido como
saída. Cada tipo de origem de log tem um DSM correspondente. Por exemplo, o DSM do IBM Fiberlink
MaaS360 analisa e normaliza eventos de uma origem de log do IBM Fiberlink MaaS360.

Atualizações automáticas

O QRadar fornece atualizações automáticas diárias e semanais em um planejamento recorrente. A

atualização automática semanal inclui novas liberações de DSM, correções para problemas de análise
sintática e atualizações de protocolo. Para obter mais informações sobre atualizações automáticas,
consulte o Guia de Administração do IBM QRadar.

Processo de instalação de dispositivo de terceiros

Para coletar eventos de dispositivo de terceiros, deve-se concluir as etapas de instalação e configuração
no dispositivo de origem de log e no sistema QRadar. Para alguns dispositivos de terceiros, etapas de
configuração extras são necessárias, como configurar um certificado para ativar a comunicação entre esse
dispositivo de e o QRadar.

As etapas a seguir representam um processo de instalação típica:

1. Leia as instruções específicas de como integrar seu dispositivo de terceiros.
2. Faça download e instale o RPM para seu dispositivo de terceiros. Os RPMs estão disponíveis para
download no website do suporte IBM (http://www.ibm.com/support).

Dica: Se o sistema QRadar estiver configurado para aceitar atualizações automáticas, esta etapa
poderá não ser necessária.
3. Configure o dispositivo de terceiros para enviar eventos para o QRadar.
Após alguns eventos serem recebidos, o QRadar detecta automaticamente alguns dispositivos de
terceiros e cria uma configuração de origem de log. A origem de log é incluída na lista de Origens de
log e contém informações padrão. É possível customizar as informações.

© Copyright IBM Corp. 2005, 2019 3

4. Se o QRadar não detectar automaticamente a origem de log, inclua-a manualmente. A lista de DSMs
suportados e os tópicos específicos do dispositivo indicam quais dispositivos de terceiros não foram
detectados automaticamente.
5. Implemente as mudanças na configuração e reinicie os serviços da web.

DSMs universais para origens de log de terceiros não suportadas

Depois que os eventos são coletados e antes que a correlação possa ser iniciada, eventos individuais de
seus dispositivos devem ser normalizados adequadamente. Normalização significa mapear informações
para nomes de campos comuns, como nome do evento, endereços IP, protocolo e portas. Se uma rede
corporativa tiver um ou mais dispositivos de rede ou de segurança que o QRadar não fornece um DSM
correspondente, será possível usar o DSM Universal. O QRadar pode ser integrado com a maioria dos
dispositivos e quaisquer origens de protocolo comuns usando o DSM Universal.

Para configurar o DSM Universal, deve-se usar extensões de dispositivo para associar um DSM Universal
aos dispositivos. Antes de definir as informações de extensão de dispositivo na janela Origens de log na
guia Admin, deve-se criar um documento de extensões para a origem de log.

Para obter mais informações sobre DSMs Universais, consulte o website de suporte IBM
(http://www.ibm.com/support).

Incluindo um DSM
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

Restrição: A desinstalação de um Módulo de Suporte de Dispositivo (DSM) não é suportada no QRadar.

Antes de Iniciar

Nota: A linha de comandos rpm -Uvh <rpm_filename> para instalação foi substituída pelo comando yum
-y install <rpm_filename>.

Procedimento
1. Faça download do arquivo RPM do DSM no website de suporte IBM (http://www.ibm.com/
support).
2. Copie o arquivo RPM para seu QRadar Console.
3. Usando o SSH, efetue login no host do QRadar como o usuário raiz.
4. Navegue para o diretório que inclui o arquivo transferido por download.
5. Digite o seguinte comando:
yum -y install <rpm_filename>
6. Efetue login na interface com o usuário do QRadar.
7. Na guia Administrador, clique em Implementar mudanças.
Conceitos relacionados:
13, “3Com Switch 8800”, na página 127
O DSM do IBM QRadar para o 3Com Switch 8800 recebe eventos usando syslog.
15, “Akamai KONA”, na página 131
O DSM do IBM QRadar para o Akamai KONA coleta logs de eventos de suas plataformas Akamai
KONA.

4 Guia de configuração do QRadar DSM

Incluindo uma origem de log
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Sobre Esta Tarefa

A tabela a seguir descreve os parâmetros de origem de log comuns para todos os tipos de origem de log:
Tabela 1. Parâmetros de origem de log
Parâmetro Descrição
Identificador de Fonte de Log O endereço IPv4 ou o nome do host que identifica a
origem de log.

Se sua rede contiver diversos dispositivos conectados a

um console de gerenciamento único, especifique o
endereço IP do dispositivo individual que criou o evento.
Um identificador exclusivo para cada um, como um
endereço IP, evita que procuras de eventos identifiquem
o console de gerenciamento como a origem de todos os
eventos.
Ativado Quando essa opção não está ativada, a origem de log
não coleta eventos e não é contada no limite de licença.
Credibilidade credibilidade é uma representação da integridade ou da
validade dos eventos que são criados por uma origem de
log. O valor da credibilidade que é designado a uma
origem de log pode aumentar ou diminuir com base nos
eventos recebidos ou ajustados como uma resposta às
regras de eventos criadas pelo usuário. A credibilidade
dos eventos das origens de log contribui para o cálculo
da magnitude da ofensa e pode aumentar ou diminuir o
valor de magnitude de uma ofensa.
Coletor de Eventos de Destino Especifica o QRadar Event Collector que pesquisa a
origem de log remota.

Use esse parâmetro em uma implementação distribuída

para melhorar o desempenho do sistema do Console ao
mover a tarefa de pesquisa para um Coletor de eventos.
Unindo Eventos Aumenta a contagem de eventos quando o mesmo
evento ocorre diversas vezes dentro de um curto
intervalo de tempo. Os eventos unidos fornecem uma
maneira de visualizar e determinar a frequência com que
um tipo de evento único ocorre na guia Atividade de
log.

Quando essa caixa de seleção está desmarcada, os

eventos são visualizados individualmente e não são
empacotados.

As origens de log novas e descobertas automaticamente

herdam o valor dessa caixa de seleção das Configurações
do sistema na guia Admin. É possível usar essa caixa de
seleção para substituir o comportamento padrão das
configurações do sistema para uma origem de log
individual.

1 Coleção de eventos de dispositivos de terceiros 5

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. Configure os parâmetros comuns para sua origem de log.
5. Configure os parâmetros específicos de protocolo para sua origem de log.
6. Clique em Salvar.
7. Na guia Administrador, clique em Implementar mudanças.
Conceitos relacionados:
13, “3Com Switch 8800”, na página 127
O DSM do IBM QRadar para o 3Com Switch 8800 recebe eventos usando syslog.
15, “Akamai KONA”, na página 131
O DSM do IBM QRadar para o Akamai KONA coleta logs de eventos de suas plataformas Akamai
KONA.

Incluindo origens de log em massa

É possível incluir até 500 origens de log de uma vez. Ao incluir várias origens de log de uma vez, é
incluída uma origem de log em massa no QRadar. As origens de log em massa devem compartilhar uma
configuração comum.

Procedimento
1. Na guia Administrador, clique em Origens de log.
2. Na lista Ações em massa, selecione Inclusão em massa.
3. Na janela Fontes de log em massa, configure os parâmetros para a fonte de log em massa.
4. Opcional: Marque a caixa de seleção Ativado para ativar a origem de log. Por padrão, essa caixa de
seleção é selecionada.
5. Opcional: Marque a caixa de seleção Unindo eventos para permitir que a origem de log una
(empacote) eventos. As origens de log descobertas automaticamente usam o valor padrão que é
configurado na lista Eventos de Coalescing na janela Configurações do sistema na guia
Administrador. Entretanto, quando você cria uma nova origem de log ou atualiza a configuração de
uma origem de log descoberta automaticamente, é possível substituir o valor padrão configurando
essa caixa de seleção para cada origem de log. Para obter mais informações, consulte o IBM QRadar
Guia de Administração.
6. Opcional: Marque a caixa de seleção Armazenar carga útil do evento para ativar ou desativar o
QRadar do armazenamento da carga útil do evento. As origens de logs descobertas automaticamente
usam o valor padrão da lista Armazenar carga útil do evento na janela Configurações do sistema na
guia Administração. Ao criar uma nova origem de log ou atualizar a configuração para uma origem
de log descoberta automaticamente, será possível substituir o valor padrão configurando essa caixa
de seleção para cada origem de log. Para obter mais informações, consulte o IBM QRadar Guia de
Administração.
7. Faça upload das origens de log escolhendo um dos métodos a seguir:
v Upload de Arquivo - Faça upload de um arquivo de texto que tenha um nome do host ou um IP
por linha.
O arquivo de texto deve conter um endereço IP ou um nome do host por linha. Caracteres extras
após um endereço IP ou nomes do host com mais de 255 caracteres podem fazer com que um
valor seja ignorado do arquivo de texto. O upload de arquivo lista um resumo de todos os
endereços IP ou nomes de hosts que foram incluídos como a origem de log em massa.
v Manual - Insira o nome do host ou o IP do host que você deseja incluir.
8. Clique em Incluir > Salvar .

6 Guia de configuração do QRadar DSM

Nota: Por padrão, uma caixa de seleção é marcada para cada origem de log na lista de hosts.
Desmarque a caixa de seleção se desejar que a origem de log seja ignorada. Os nomes de host ou
endereços IP duplicados são ignorados.
9. Clique em Continuar para incluir as origens de log.
10. Na guia Administrador, clique em Implementar mudanças.

Incluindo uma ordem de análise sintática de origem de log

É possível designar uma ordem de prioridade para quando os eventos forem analisados pelo coletor de
eventos de destino.

Sobre Esta Tarefa

É possível solicitar a importância das origens de log definindo a ordem de análise sintática para as
origens de log que compartilham um endereço IP ou nome do host comum. A definição da ordem de
análise sintática para as origens de log assegura que determinadas origens de log sejam analisadas em
uma ordem específica, independentemente das mudanças na configuração da origem de log. A ordem da
análise sintática assegura que o desempenho do sistema não seja afetado pelas mudanças na configuração
da origem de log, evitando análise sintática desnecessária. A ordem da análise sintática assegura que as
origens de eventos de baixo nível não sejam analisadas para eventos antes de uma origem de log mais
importante.

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Ordem de análise sintática de origem de log.
3. Selecione uma origem de log.
4. Opcional: Na lista Coletor de eventos selecionado, selecione o Coletor de eventos para definir a
ordem de análise sintática de origem de log.
5. Opcional: Na lista Host de origem de log, selecione uma origem de log.
6. Priorize a ordem de análise sintática de origem de log.
7. Clique em Salvar.

1 Coleção de eventos de dispositivos de terceiros 7

8 Guia de configuração do QRadar DSM
2 Casos de uso de ameaças por tipo de origem de log
As origens de log externas alimentam eventos brutos para o sistema QRadar que fornecem perspectivas
diferentes sobre sua rede, como auditoria, monitoramento e segurança. É crítico que você colete todos os
tipos de origens de log para que o QRadar possa fornecer as informações necessárias para proteger sua
organização e o ambiente contra ameaças externas e internas. Por exemplo, se sua organização adotar
serviços em nuvem e começar a integrar o Amazon Web Services (AWS) ou serviços de nuvem do Azure
ou Microsoft Office 365, inclua as origens de log no QRadar para que você continue a ter visibilidade em
todas as violações de atividade maliciosa e de conformidade.

Clique em uma marca de seleção na matriz a seguir para acessar a origem de log na qual você está mais
interessado. Para cada origem de log, as categorias de estrutura ATT&CK são listadas. A estrutura da
Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) foi desenvolvida pela Mitre Corp.
A base de conhecimento público de táticas e técnicas de ameaça ajuda seus analistas de segurança a
entenderem ameaças de hackers e como evitar que ataques adversários aconteçam nas redes de sua
organização. Essas táticas podem se tornar suas fraquezas se você não estiver coletando esse tipo de fonte
de origem de log.
Tabela 2. Origens de log no QRadar com casos de uso
Origens de log Advanced Insider Protege Proteção de Resposta Conformidade Gerenciamento
Persistent Threat ndo o dados de de risco e
Threat Cloud críticos Incidente vulnerabilidade

Firewall / U U U U U U
Roteador
IDS/IPS U U U U

(Sistema de
detecção de
intrusão/Sistema
de proteção de
intrusão)
Proxy da Web U U U U U
VPN U
DNS U U U
DHCP U U U
Logs de E-mail U U U
DLP (Prevenção U U U U
de Perda de
Dados)
Endpoint U U U U U
Identidade / U U U U
Autenticação

(LDAP/AD/
Radius)
Antivírus U U U U U

© Copyright IBM Corp. 2005, 2019 9

Tabela 2. Origens de log no QRadar com casos de uso (continuação)
Origens de log Advanced Insider Protege Proteção de Resposta Conformidade Gerenciamento
Persistent Threat ndo o dados de de risco e
Threat Cloud críticos Incidente vulnerabilidade

QRadar Network U U U U U U U
Insights /
Netflow
Logs do Banco de U U U U U U
EDR U U U
Infraestrutura de U U U U U
nuvem / Aud

(AWS CloudTrail,
Azure Event
Hubs)
Office 365 U U U

Firewall / Roteador

A tabela a seguir fornece exemplos de casos de uso que são afetados por origens de log de
firewall/roteador. Os dados desse tipo de origem de log são importantes para detectar técnicas
adversárias nas categorias ATTeCK a seguir:
v Evasão de Defesa
v Discovery
v Comando e Controle
v Exfiltração
Tabela 3. Origem de log de Firewall/Roteador e exemplos de caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Os dados de firewall ajudam a detectar problemas de
controle de comando. Use-os para reconhecimento
externo e impeça as comunicações de IP maliciosas de
entrarem em seu ambiente.
Protegendo a Nuvem Identifique conexões de provedor de serviços de Internet
de risco, como conexões com TOR.
Proteção de Dados Critérios Descubra e proteja contra tentativas anormais de conexão
do banco de dados.
Resposta a Incidente Veja quais hosts se comunicaram com um host infectado
para que você possa parar a propagação da infecção de
dados.
Conformidade Monitore mudanças de configuração de firewall não
autorizadas ou inesperadas para permitir o acesso a
ativos de negócios críticos. Por exemplo, o PCI requer
todos os ativos críticos que contêm "informações
bancárias" se comuniquem por meio de um DMZ interno
sem acesso direto ao mundo externo.
Gerenciamento de Risco e Vulnerabilidade Descubra ativos que estão se comunicando ativamente
em portas vulneráveis.

10 Guia de configuração do QRadar DSM

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

Sistema de detecção de intrusão (IDS)/Sistema de protecção de intrusão (IPS)

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log IDS/IPS. Os
dados desse tipo de origem de log são importantes para detectar técnicas adversárias nas categorias
ATTeCK a seguir:
v Evasão de Defesa
v Mecanismo de Persistência
v Discovery
v Comando e Controle
Tabela 4. Exemplos de origem de log IDS/IPS e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Correlacione eventos de ameaça a vulnerabilidades e, em
seguida, escale esses eventos de ameaça. Execute a
detecção de ofensa mais aguda.
Proteção de Dados Critérios SQL, Injeção de XSS
Resposta a Incidente Veja quais hosts estão infectados e observe epidemias em
potencial para que você possa parar a propagação da
infecção de dados.
Gerenciamento de Risco e Vulnerabilidade Valide e avalie ameaças para priorizar correlacionando
dados de ativo e de vulnerabilidade.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

Proxy da Web

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log do proxy da
web. Os dados desse tipo de origem de log são importantes para detectar técnicas adversárias nas
categorias ATTeCK a seguir:
v Evasão de Defesa
v Mecanismo de Persistência
v Exfiltração de Dados
v Comando e Controle
v Escalação de Privilégio
v Acesso Credencial
Tabela 5. Exemplos de origem de log do proxy da web e casos de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitore a comunicação de domínio maliciosa,
exfiltração de dados e atividades de comando e controle.
Detectar tentativas para efetuar bypass de restrições
normais do usuário navegando com uma conta do
serviço.

2 Casos de uso de ameaças por tipo de origem de log 11

Tabela 5. Exemplos de origem de log do proxy da web e casos de uso (continuação)
Caso de uso Exemplos
Insider Threat Rastreie atividade maliciosa, como mineração de
criptografia que usa recursos corporativos.
Protegendo a Nuvem Detecte TI de sombra, uso de serviço de nuvem não
aprovado e exfiltração de dados em potencial de
ambientes corporativos.
Proteção de Dados Critérios Monitor para exfiltração de dados não autorizados.
Conformidade Monitore a comunicação de ativo crítico com o mundo
externo.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

VPN
A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log VPN. Os dados
desse tipo de origem de log são importantes para detectar técnicas adversárias nas categorias ATTeCK a
seguir:
v Acesso Credencial
v Movimento Lateral
Tabela 6. Exemplo de origem de log VPN e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitor para logins de locais suspeitos.
Insider Threat Detecte o uso de VPN para usuários fora dos padrões de
uso normal ou de áreas geográficas anormais.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

DNS

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log DNS. Os dados
desse tipo de origem de log são importantes para detectar técnicas adversárias nas categorias ATTeCK a
seguir:
v Evasão de Defesa
v Mecanismo de Persistência
v Comando e Controle
v Exfiltração
v Acesso Credencial (nota: Technique T1171)
Tabela 7. Exemplos de origem de log do DNS e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitore os usos de DNS maliciosos, como geração de
nome de domínio, tunelamento e squatting.

12 Guia de configuração do QRadar DSM

Tabela 7. Exemplos de origem de log do DNS e caso de uso (continuação)
Caso de uso Exemplos
Insider Threat Detecte tunelamento de tráfego por meio de registros
DNS.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

DHCP

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log DHCP. Os
dados desse tipo de origem de log são importantes para detectar adversários, as técnicas na categoria
ATT&CK de evasão de defesa.
Tabela 8. Exemplo de origem de log DHCP e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Detecção de pontos de acesso não autorizados ou outra
presença de dispositivo inesperada na rede corporativa.
Insider Threat Detecção de pontos de acesso não autorizados ou outra
presença de dispositivo inesperada na rede corporativa.
Resposta a Incidente Identificação de qual host tinha um endereço IP
específico no momento de um incidente.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

Logs de e-mail
A tabela a seguir fornece exemplos de casos de uso que são afetados por origens de log de correio. Os
dados desse tipo de origem de log são importantes para detectar técnicas adversárias nas categorias
ATTeCK a seguir:
v Execução
v Acesso Inicial
v Coleção
Tabela 9. Exemplos de origem de log de e-mail e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitorar para phishing e spam.
Inspirar ameaça Phishing
Proteção de Dados Critérios Phishing, exfiltração de dados por e-mail

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

2 Casos de uso de ameaças por tipo de origem de log 13

DLP (Prevenção de perda de dados)

A tabela a seguir fornece exemplos de casos de uso que são afetados por origens de log DLP. Os dados
desse tipo de origem de log são importantes para detectar técnicas adversárias nas categorias ATTeCK a
seguir:
v Exfiltração de Dados
v Coleção
Tabela 10. Exemplos de origem de log DLP e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Os dados podem ser exfiltrados por meio de muitos
métodos. Identifique e controle arquivos suspeitos como:
v anormalidades de DNS
v Conteúdo Sensível
v Conexões Aberrant
v Aliases
Insider Threat Os dados podem ser exfiltrados por meio de muitos
métodos. Identifique e controle arquivos suspeitos como:
v anormalidades de DNS
v Conteúdo Sensível
v Conexões Aberrant
v Aliases
Proteção de Dados Critérios Os dados podem ser exfiltrados por meio de muitos
métodos. Identifique e controle arquivos suspeitos como:
v anormalidades de DNS
v Conteúdo Sensível
v Conexões Aberrant
v Aliases
Conformidade Os dados podem ser exfiltrados por meio de muitos
métodos. Identifique e controle arquivos suspeitos como:
v anormalidades de DNS
v Conteúdo Sensível
v Conexões Aberrant
v Aliases

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

Endpoint

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log do Terminal. Os
dados desse tipo de origem de log são importantes para detectar técnicas adversárias nas categorias
ATTeCK a seguir:
v Escalação de Privilégio
v Acesso Inicial
v Execução
v Persistência
v Acesso Credencial

14 Guia de configuração do QRadar DSM

v Evasão de Defesa
v Discovery
v Movimento Lateral
v Coleção
v Exfiltração
v Comando e Controle
Tabela 11. Exemplos de origem de log de terminal e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitore hashes maliciosos, atividade suspeita do
PowerShell, abuso de processo ou outras atividades de
terminal suspeitas.
Insider Threat Detecção de malware persistente usando recursos do
host (por exemplo, mineração de criptografia)
Proteção de Dados Critérios Os dados podem ser exfiltrados por meio de muitos
métodos. Identifique e controle arquivos suspeitos como:
v anormalidades de DNS
v Conteúdo Sensível
v Conexões Aberrant
v Aliases
Conformidade Monitore a aderência à política de empresa corporativa
(por exemplo, uso de software não aprovado).
Gerenciamento de Risco e Vulnerabilidade Avalie e gerencie risco por meio de vulnerabilidade.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

Identidade / Autenticação (LDAP/AD/Radius)

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log
LDAP/AD/Radius. Os dados desse tipo de origem de log são importantes para detectar técnicas
adversárias nas categorias ATTeCK a seguir:
v Escalação de Privilégio
v Acesso Credencial
v Acesso Inicial

Nota: Também é possível controlar o abuso de privilégio (por exemplo, navegar com uma superconta,
privilégios que são fornecidos aos usuários).
Tabela 12. Exemplos de origem de log LDAP/AD/Radius e casos de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitore atividades como login de força bruta por
malware, movimento lateral por meio da rede ou logins
suspeitos.
Insider Threat Controle de conta por malware
Protegendo a Nuvem Forneça a associação usuário a IP a fim de ajudar a
identificar os usuários de nuvem por meio de dados que
têm somente endereço de origem IP.

2 Casos de uso de ameaças por tipo de origem de log 15

Tabela 12. Exemplos de origem de log LDAP/AD/Radius e casos de uso (continuação)
Caso de uso Exemplos
Resposta a Incidente Visibilidade no local em que um usuário efetuou login
durante o processo IR.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

Anti-vírus

A tabela a seguir fornece exemplos de casos de uso que são afetados por origens de log antivírus. Os
dados desse tipo de origem de log são importantes para detectar técnicas adversárias nas categorias
ATTeCK a seguir:
v Persistência
v Acesso Inicial
v Evasão de Defesa
Tabela 13. Exemplos de origem de log antivírus e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitorar para atividades como:
v Infecção de terminal por antivírus
v Vírus que não está limpo
v Reforço de outro comportamento de terminal suspeito
Proteção de Dados Critérios Detecção de surto de vírus para evitar a movimentação
para servidores que contenham dados de negócios
críticos.
Resposta a Incidente Visibilidade para o local no qual uma assinatura de vírus
específica foi vista.
Conformidade Assegurando definições AV atualizadas em
hosts/servidores críticos.
Gerenciamento de Risco e Vulnerabilidade A indicação de conexões de domínio de WWW
maliciosas de um host vulnerável que está
comprometido.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

QRadar Network Insights / Netflow

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log do QRadar
Network Insights/Netflow. Os dados desse tipo de origem de log são importantes para detectar técnicas
adversárias nas categorias ATTeCK a seguir:
v Movimento Lateral
v Discovery
v Mecanismo de Persistência
v Evasão de Defesa

16 Guia de configuração do QRadar DSM

v Exfiltração de Dados
v Acesso Credencial
v Comando e Controle
Tabela 14. Exemplos de origem de log do QRadar Network Insights/Netflow e casos de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitorar para atividades como:
v Recon
v Download malicioso
v Movimento Lateral
v Phishing
Insider Threat Detecção de Phishing
Protegendo a Nuvem Monitorar para atividades como:
v Exfiltração de dados
v Certificados WWW expirados
v Certificados WWW autoassinados
v Phishing
v Conexões de domínio do WWW riscado
Proteção de Dados Critérios Os dados podem ser exfiltrados por meio de muitos
métodos. Identifique e controle arquivos suspeitos como:
v anormalidades de DNS
v Conteúdo Sensível
v Conexões Aberrant
v Aliases
Resposta a Incidente Fornece um enorme conjunto de dados investigativos
para determinar a propagação de um ataque por meio da
comunicação de domínio, hashes que são transferidos
por download, endereços IP com os quais há
comunicação, nomes de arquivos, volumes de dados
transferidos.
Conformidade Monitore comunicações de ativo crítico (por exemplo,
jewel crown se comunica com a Internet aberta).
Gerenciamento de risco e vulnerabilidade Priorize a correção de vulnerabilidade do host com base
no nível de risco com o qual há comunicação com os
hosts.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

Logs do banco

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log do banco de
dados. Os dados desse tipo de origem de log são importantes para detectar técnicas adversárias nas
categorias ATTeCK a seguir:
v Acesso Credencial
v Coleção
v Acesso Inicial
v Discovery

2 Casos de uso de ameaças por tipo de origem de log 17

v Exfiltração de Dados
v Escalação de Privilégio
Tabela 15. Exemplos de origem de log do banco de dados e caso de uso
Caso de uso Exemplos
Insider Threat Detecte acesso ao banco de dados não autorizado e
roubo de dados.
Proteção de Dados Critérios Os bancos de dados geralmente incluem informações
corporativas sensíveis e exigem monitoramento para a
maioria dos padrões de conformidade. Monitore
mudanças de permissão de usuário não autorizadas.
Resposta a Incidente Evidência de quais dados foram acessados, e por quem,
durante uma violação.
Conformidade Os bancos de dados geralmente incluem informações
corporativas sensíveis e exigem monitoramento para a
maioria dos padrões de conformidade.
Gerenciamento de Risco e Vulnerabilidade Priorize as vulnerabilidades em hosts com bancos de
dados ativos que potencialmente contenham dados
críticos. Detecte contas e senhas padrão que estejam
ativadas.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

EDR (detecção e resposta de terminal)

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log EDR. Os dados
desse tipo de origem de log são importantes para detectar técnicas adversárias nas categorias ATTeCK a
seguir:
v Acesso Credencial
v Escalação de Privilégio
v Discovery
Tabela 16. Exemplos de origem de log EDR e caso de uso
Caso de uso Exemplos
Ameat Persistente Avançado Monitorar para atividades como:
v Terminais comprometidos
v Comportamento de terminal suspeito
Resposta a Incidente Determine rapidamente a existência de IOCs em
terminais, incluindo hashes e nomes de arquivos.
Gerenciamento de Risco e Vulnerabilidade Correlacionar informações de vulnerabilidade com dados
de terminal.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

18 Guia de configuração do QRadar DSM

Infraestrutura em nuvem/auditoria (AWS Cloudtrail, Azure Event Hubs)

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log de
Infraestrutura em nuvem/Auditoria. Os dados desse tipo de origem de log são importantes para detectar
técnicas adversárias nas categorias ATTeCK a seguir:
v Acesso Credencial
v Escalação de Privilégio
Tabela 17. Exemplos de origem de log de infraestrutura em nuvem/auditoria e casos de uso
Caso de uso Exemplos
Ameat Persistente Avançado Ataques multivetores que afetam vários ambientes de
nuvem, interceptação de criptografia (interceptação de
propriedades de nuvem/recursos de computação para
mineração de moeda criptográfica).
Insider Threat Detecção de contas de nuvem comprometidas, privilégio
de função/usuário escalado, que mudam as políticas de
acesso do grupo de segurança de rede.
Protegendo a Nuvem Monitorar para atividades como:
v Configuração indefinida de depósitos S3 e de políticas
do usuário
v Visibilidade em ambientes de nuvem
v Impondo melhores práticas de segurança de nuvem
v Monitoramento Contínuo de Tráfego de Interface
Proteção de Dados Critérios Bloquear e isolar os repositórios de dados sensíveis.
Conformidade Retenção de logs de trilha de auditoria em nuvem e
garantia de integridade de log

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)

Microsoft Office 365

A tabela a seguir fornece exemplos de casos de uso que são afetados pelas origens de log do Microsoft
Office 365. Os dados desse tipo de origem de log são importantes para detectar técnicas adversárias nas
categorias ATTeCK a seguir:
v Acesso Inicial
v Execução
v Persistência
Tabela 18. Exemplos de origem de log do Office 365 e casos de uso
Caso de uso Exemplos
Protegendo a Nuvem Monitorar para atividades como:
v Brutos force logins
v Logins suspeitos a partir de vários locais
v Locais e localizações da lista negra
v Tentativas excessivas de acesso ao arquivo
Resposta a Incidente Evidência de quais dados foram acessados durante uma
violação.

2 Casos de uso de ameaças por tipo de origem de log 19

Tabela 18. Exemplos de origem de log do Office 365 e casos de uso (continuação)
Caso de uso Exemplos
Conformidade Monitoramento contínuo de atividade de arquivo e
acesso de usuário.

Descubra mais sobre cada técnica e tática: Matriz de técnica ATTeCK (https://attack.mitre.org/wiki/
Technique_Matrix)

(Voltar ao início)
Informações relacionadas:

Adversarial Tactics, Techniques & Common Knowledge (ATT&CK)

Veja como o QRadar Advisor com o Watson 2.0.1 analisa várias técnicas de MITRE ATT &CK

Um modelo básico para medir a maturidade do SIEM

20 Guia de configuração do QRadar DSM

3 Resolvendo Problemas de DSMs
Se você tiver um problema com seu DSM, será possível solucionar os problemas a seguir.

O que acontece quando os eventos, que são analisados, são coletados com DSMs
não oficiais?

Não ter um DSM oficial não significa que os eventos não são coletados. Isso indica que o evento que é
recebido pelo QRadar pode ser identificado como "Desconhecido" na guia Atividade de log do QRadar.
"Desconhecido" significa que o QRadar coletou o evento, mas não foi possível analisar o formato de
evento para categorizar o evento. No entanto, alguns eventos exclusivos em DSMs não oficiais não
podem ser analisados ou identificados se eles não seguirem um formato de evento que é esperado.
Quando um evento não pode ser entendido pelo sistema, eles são categorizados como "Desconhecido".

Qual é a diferença entre um evento desconhecido e um evento armazenado?

Os eventos compreendem três categorias diferentes:
Eventos Analisados
O QRadar coleta, analisa e categoriza o evento para a origem de log adequada.
Eventos Desconhecidos
O evento é coletado e analisado, mas não pode ser mapeado ou categorizado para uma origem
de log específica. O Nome do evento e a Categoria de baixo nível são configurados como
Desconhecido. As origens de log que não são descobertas automaticamente geralmente são
identificadas como Log de eventos desconhecido até que uma origem de log seja criada
manualmente no sistema. Quando um evento não puder ser associado a uma origem de log, o
evento será designado a uma origem de log genérica. É possível identificar esses eventos
procurando eventos que estejam associados à origem de log Genérico do SIM ou usando o filtro
Evento é não analisado.
Eventos Armazenados
O evento não pode ser entendido ou analisado por QRadar. Quando o QRadar não puder
analisar um evento, ele gravará o evento em disco e categorizará o evento como Armazenado.

Como você pode localizar esses eventos na guia Atividade de log?

Para localizar eventos específicos para o seu dispositivo, é possível procurar no QRadar pelo endereço IP
de origem de seu dispositivo. Também é possível selecionar um valor exclusivo por meio da carga útil do
evento e procurar por Carga útil contém. Uma dessas procuras pode localizar o seu evento e é provável
que seja categorizada como Desconhecida ou Armazenada.

A maneira mais fácil de localizar eventos desconhecidos ou armazenados é incluir um filtro de procura
para Evento em Não analisado. Esse filtro de procura localiza todos os eventos que não podem ser
analisados (armazenados) ou eventos que podem não estar associados a uma origem de log ou
descoberta automática (Evento de log desconhecido).

Para obter mais informações sobre DSMs oficialmente suportados, consulte a seção 165, “DSMs
suportados do QRadar”, na página 1137.

© Copyright IBM Corp. 2005, 2019 21

O que você faz se a versão do produto ou o dispositivo que você possui não
estiver listado no Guia de configuração do DSM?
Às vezes, uma versão de um produto de fornecedor ou de um dispositivo não é listada como suportada.
Se o produto ou dispositivo não estiver listado, siga estas diretrizes:
Versão não listada
Se o DSM for para um produto que é oficialmente suportado pelo QRadar, mas a versão estiver
desatualizada, experimente o DSM para ver se ele funciona. As versões do produto que são
listadas no guia são testadas por IBM, mas as atualizações de software por fornecedores podem,
em raras ocasiões, incluir ou mudar formatos de eventos que quebram o DSM. Nesse caso, abra
um chamado de suporte para uma revisão da origem de log.
Dispositivo não listado
Quando um dispositivo não é oficialmente suportado, você tem estas opções:
v Abrir uma solicitação para aprimoramento (RFE) para que o seu dispositivo seja oficialmente
suportado.
1. Acessar a QRadar página do SIEM RFE (https://ibm.biz/BdRPx5).
2. Efetue login na página de portal de suporte.
3. Clique na guia Submeter e digite as informações necessárias.

Nota: Se você tiver logs de eventos de um dispositivo, conecte as informações do evento e

inclua a versão do produto do dispositivo que gerou o log de eventos.
v Escreva uma extensão de origem de log para analisar eventos para o seu dispositivo. Para
obter mais informações, consulte o 11, “Extensões de origem de log”, na página 97 e o Editor
de DSM.

22 Guia de configuração do QRadar DSM

Parte 2. Origens de log

© Copyright IBM Corp. 2005, 2019 23

24 Guia de configuração do QRadar DSM
4 Introdução ao gerenciamento de fonte de log
É possível configurar o IBM QRadar para aceitar logs de eventos a partir de origens de log que estão em
sua rede. Uma fonte de log é uma origem de dados que cria um log de eventos.

Por exemplo, um firewall ou eventos baseados em segurança de logs do sistema de prevenção de

intrusão (IPS) e eventos baseados em rede de logs de comutadores ou roteadores.

Para receber eventos brutos de origens de log, o QRadar suporta muitos protocolos. Os Protocolos passivos
atendem eventos em portas específicas. Os Protocolos Ativos utilizam APIs ou outros métodos de
comunicação para conexão com sistemas externos que pesquisam e recuperam eventos.

Dependendo de seus limites de licença, o QRadar pode ler e interpretar eventos a partir de mais de 300
origens de log.

Para configurar uma fonte de log para QRadar, deve-se executar as tarefas a seguir:
1. Faça download e instale um módulo de suporte de dispositivo (DSM) que suporte a fonte de log. Um
DSM é um aplicativo de software que contém os padrões de evento que são necessários para
identificar e analisar eventos a partir do formato original do log de eventos para o formato que o
QRadar pode usar.
2. Se a descoberta automática é suportada para o DSM, aguarde QRadar para incluir automaticamente a
fonte de log para sua lista de fontes de log configuradas.
3. Se a descoberta automática não for suportada para o DSM, crie manualmente a configuração da
origem de log.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Incluindo origens de log em massa” na página 6
É possível incluir até 500 origens de log de uma vez. Ao incluir várias origens de log de uma vez, é
incluída uma origem de log em massa no QRadar. As origens de log em massa devem compartilhar uma
configuração comum.
“Incluindo uma ordem de análise sintática de origem de log” na página 7
É possível designar uma ordem de prioridade para quando os eventos forem analisados pelo coletor de
eventos de destino.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

© Copyright IBM Corp. 2005, 2019 25

26 Guia de configuração do QRadar DSM
5 Incluindo uma origem de log
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Sobre Esta Tarefa

A tabela a seguir descreve os parâmetros de origem de log comuns para todos os tipos de origem de log:
Tabela 19. Parâmetros de origem de log
Parâmetro Descrição
Identificador de Fonte de Log O endereço IPv4 ou o nome do host que identifica a
origem de log.

Se sua rede contiver diversos dispositivos conectados a

Use esse parâmetro em uma implementação distribuída

Quando essa caixa de seleção está desmarcada, os

eventos são visualizados individualmente e não são
empacotados.

As origens de log novas e descobertas automaticamente

© Copyright IBM Corp. 2005, 2019 27

28 Guia de configuração do QRadar DSM

6 Protocolos Não Documentados
Ao configurar uma origem de log, o conjunto de opções de tipo de protocolo disponíveis é limitado com
base no tipo de origem de log selecionado. Nem todos os tipos de origem de log suportam todos os tipos
de protocolo. O Guia de configuração do DSM descreve como configurar as origens de log de um tipo
específico, com cada um dos tipos de protocolo que o IBM suporta totalmente para esse tipo de origem
de log. Qualquer tipo de protocolo que tenha documentação de configuração para um tipo de origem de
log específico é considerado um protocolo "documentado" para esse tipo de origem de log. Por padrão,
apenas esses protocolos documentados são exibidos na lista Configuração de protocolo na janela Origens
de log.

Como uma plataforma aberta, o QRadarcoleta e processa dados do evento por meio de outros modelos
de integração (tipos de protocolo). Alguns tipos de protocolo podem ser configurados para um
determinado tipo de origem de log, mas são marcados como "não documentados". No entanto, o Guia de
configuração do DSM não contém instruções sobre como configurar a coleção de eventos para protocolos
não documentados. A IBM não oferece suporte à configuração de origens de log que usam protocolos não
documentados porque eles não são internamente testados e documentados. Os usuários são responsáveis
por determinar como obter os dados do evento no QRadar.

Por exemplo, o protocolo JDBC é a configuração documentada para obter eventos de um sistema que
armazena seus dados de eventos em um banco de dados. No entanto, é possível coletar os mesmos dados
de eventos por meio de um produto de terceiros e, em seguida, encaminhá-lo para o QRadar por meio do
Syslog. Configure a origem de log para usar o tipo de protocolo não documentado "Syslog". O QRadar
aceita os eventos e os roteia para a origem de log apropriada.

Nota: Deve-se configurar o produto de terceiros para recuperar os dados do evento do banco de dados e
enviar esses dados para o QRadar por meio do Syslog, já que esse não é o método de coleta
documentado.

Nota: Coletar e processar dados do evento por meio de protocolos não documentados pode resultar em
dados formatados de forma diferente do que um tipo de origem de log do DSM documentado espera.
Como resultado, a análise poderá não funcionar para o DSM se ele estiver recebendo eventos de um
protocolo não documentado. Por exemplo, um protocolo JDBC cria cargas úteis de eventos que consistem
em uma série de pares de chave e valor separados por espaço. No banco de dados de destino, a chave é
um nome de coluna e o valor é a coluna da linha da tabela que o evento representa. O DSM para um
tipo de origem de log suportado que usa o protocolo JDBC espera esse formato de evento. Se os dados
do evento encaminhados de um produto de terceiros por meio do protocolo syslog estão em um formato
diferente, o DSM não pode analisá-los. Pode ser necessário usar o Editor DSM para ajustar a análise de
um DSM para que ele possa manipular esses eventos.
Tarefas relacionadas:
“Configurando um Protocolo Não Documentado” na página 30
Como uma plataforma aberta, o QRadar coleta e processa dados do evento por meio de diversos métodos
de integração (tipos de protocolo). Alguns tipos de protocolo podem ser configurados para um
determinado tipo de origem de log, mas são marcados como "não documentados". O Guia de configuração
do DSM não contém instruções sobre como configurar a coleção de eventos para protocolos não
documentados. A IBM não oferece suporte à configuração de origens de log que usam protocolos não
documentados porque eles não são internamente testados e documentados.

© Copyright IBM Corp. 2005, 2019 29

Configurando um Protocolo Não Documentado
Como uma plataforma aberta, o QRadar coleta e processa dados do evento por meio de diversos métodos
de integração (tipos de protocolo). Alguns tipos de protocolo podem ser configurados para um
determinado tipo de origem de log, mas são marcados como "não documentados". O Guia de configuração
do DSM não contém instruções sobre como configurar a coleção de eventos para protocolos não
documentados. A IBM não oferece suporte à configuração de origens de log que usam protocolos não
documentados porque eles não são internamente testados e documentados.

Procedimento
1. Use SSH para efetuar login no seu dispositivo QRadar Console como um usuário raiz.
2. Edite o arquivo a seguir: /store/configservices/staging/globalconfig/nva.conf
3. Configure o valor da propriedade EXPOSE_UNDOCUMENTED_PROTOCOLS como true.
4. Salve o arquivo.
5. Para fechar a sessão de SSH, digite exit.
6. Efetue login no QRadar Console.
7. Clique na guia Administrador.
8. Clique em Implementar Mudanças. As opções de protocolo não documentadas são exibidas na lista
Configuração de protocolo na janela Incluir/Editar da origem de log.
Conceitos relacionados:
6, “Protocolos Não Documentados”, na página 29
Ao configurar uma origem de log, o conjunto de opções de tipo de protocolo disponíveis é limitado com
base no tipo de origem de log selecionado. Nem todos os tipos de origem de log suportam todos os tipos
de protocolo. O Guia de configuração do DSM descreve como configurar as origens de log de um tipo
específico, com cada um dos tipos de protocolo que o IBM suporta totalmente para esse tipo de origem
de log. Qualquer tipo de protocolo que tenha documentação de configuração para um tipo de origem de
log específico é considerado um protocolo "documentado" para esse tipo de origem de log. Por padrão,
apenas esses protocolos documentados são exibidos na lista Configuração de protocolo na janela Origens
de log.

30 Guia de configuração do QRadar DSM

7 Opções de configuração de protocolo
Os protocolos no IBM QRadar fornecem a capacidade de coletar um conjunto de arquivos de dados
usando várias opções de conexão. Essas conexões extraem os dados de volta ou recebem passivamente
dados para o pipeline do evento no QRadar. Em seguida, o Módulo de suporte de dispositivo (DSM)
correspondente analisa e normaliza os dados.

As opções de conexão padrão a seguir retiram dados para o pipeline do evento:

v JDBC
v FTP
v SFTP
v SCP

As opções de conexão padrão a seguir recebem dados para o pipeline do evento:

v Syslog
v Receptor de HTTP
v SNMP

O QRadar também suporta chamadas de API de protocolo específicas do fornecedor proprietário, como
Amazon Web Services.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Opções de configuração de protocolo da API de REST do Akamai

Kona
Para receber eventos da Plataforma Akamai Kona, configure uma origem de log para usar o protocolo de
API de REST do Akamai Kona.

O protocolo da API de REST do Akamai Kona é um protocolo de saída/ativo que consulta a Plataforma
Akamai Kona e envia eventos para o QRadar Console.

A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos do
DSM do Akamai KONA.
Tabela 20. Parâmetros da origem de log DSM do Akamai KONA
Parâmetro Valor
Tipo de origem de log Akamai KONA
Configuração do Protocolo API de REST do Akamai Kona
Host O valor Host é fornecido durante o provisionamento da
API do SIEM OPEN no centro de controle do Akamai
Luna. O Host é uma URL base exclusiva que contém
informações sobre os direitos apropriados para consultar
os eventos de segurança. Esse parâmetro é um campo de
senha porque parte do valor contém informações secretas
do cliente.

© Copyright IBM Corp. 2005, 2019 31

Tabela 20. Parâmetros da origem de log DSM do Akamai KONA (continuação)
Parâmetro Valor
Token do Cliente Token do Cliente é um dos dois parâmetros de
segurança. Esse token é pareado ao Segredo do Cliente
para criar as credenciais do cliente. Esse token pode ser
encontrado após o provisionamento da API do Akamai
SIEM OPEN.
Segredo do Cliente Segredo do Cliente é um dos dois parâmetros de
segurança. Esse segredo é pareado ao Token do Cliente
para criar as credenciais do cliente. Esse token pode ser
encontrado após o provisionamento da API do Akamai
SIEM OPEN.
Token de Acesso Token de Acesso é um parâmetro de segurança usado
com as credenciais do cliente para autorizar o acesso do
cliente de API para a recuperação de eventos de
segurança. Esse token pode ser encontrado após o
provisionamento da API do Akamai SIEM OPEN.
ID de configuração de segurança ID de Configuração de Segurança é o ID de cada
configuração de segurança para a qual você deseja
recuperar eventos de segurança. Esse ID pode ser
encontrado na seção Integração do SIEM do seu portal
do Akamai Luna. É possível especificar diversos IDs de
configuração em uma lista separada por vírgula. Por
exemplo: configID1,configID2.
Usar Proxy Se o QRadar acessar o serviço da web Amazon usando
um proxy, ative Usar Proxy.

Se o proxy requer autenticação, configure os campos

Servidor proxy, Porta de proxy, Nome do usuário de
proxy e Senha de proxy. Se o proxy não requerer
autenticação, configure os campos Servidor proxy e
Porta de proxy.
Adquirir o certificado do servidor automaticamente Selecione Sim para que o QRadar faça download do
certificado do servidor automaticamente e inicie a
confiança do servidor de destino.
Recorrência O intervalo de tempo entre consultas de origem de log
para a API do Akamai SIEM para novos eventos. O
intervalo de tempo pode ser em horas (H), minutos (M)
ou dias (D).O padrão é 1 minuto.
Regulador de EPS O número máximo de eventos por segundo.O padrão é
5000.

Opções de configuração de protocolo da API de REST do Amazon

AWS
O protocolo de API de REST do Amazon AWS para o IBM Security QRadar é um protocolo de
saída/ativo que coleta logs do AWS CloudTrail de depósitos do Amazon S3.

Nota: É importante assegurar que nenhum dado esteja ausente quando você coletar logs do Amazon S3
para usar com um DSM customizado ou outras integrações não suportadas. Devido à maneira como as
APIs S3 retornam os dados, todos os arquivos devem estar em ordem alfabeticamente crescente quando o
caminho completo é listado. Certifique-se de que o nome do caminho completo inclua uma data e hora
completas no formato ISO9660 (zeros à esquerda em todos os campos e um formato de data
AAAA-MM-DD).

32 Guia de configuração do QRadar DSM

Considere o caminho de arquivo a seguir:

<Name>test-bucket</Name><Prefix>MyLogs/</Prefix><Marker>MyLogs/2018-8-9/2018-08-09T23-
5925.955097.log.g</Marker><MaxKeys>1000</MaxKeys><IsTruncated>false</IsTruncated></
ListBucketResult>

O nome completo do arquivo no marcador é MyLogs/2018-8-9/2018-08-09T23-59-25.955097.log.gz e o

nome da pasta é gravado como 2018-8-9 em vez de 2018-08-09. Esse formato de data causa um
problema quando os dados para o 10 de setembro de 2018 são apresentados. Quando classificada, a data
é exibida como 2018-8-10 e os arquivos não são classificados cronologicamente:

2018-10-1

2018-11-1

2018-12-31

2018-8-10

2018-8-9

2018-9-1

Após os dados de 9 de agosto de 2018 entrarem no QRadar, você não verá os dados novamente até 1 de
setembro de 2018 porque os zeros iniciais não foram usados no formato de data. Depois de setembro,
você não verá os dados novamente até 2019. Zeros à esquerda são usados na data (ISO 9660) para que
esse problema não ocorra.

Usando zeros à esquerda, arquivos e pastas são classificados cronologicamente:

2018-08-09

2018-08-10

2018-09-01

2018-10-01

2018-11-01

2018-12-01

2018-12-31

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo da API de REST do
Amazon AWS:
Tabela 21. Parâmetros de origem de log de protocolo da API de REST do Amazon AWS S3
Parâmetro Descrição
Configuração de protocolo API REST do Amazon AWS S3

7 Opções de configuração de protocolo 33

Tabela 21. Parâmetros de origem de log de protocolo da API de REST do Amazon AWS S3 (continuação)
Parâmetro Descrição
Identificador de Fonte de Log Digite um nome exclusivo para a origem de log.

O Identificador de Origem de Log pode ser qualquer

valor válido e não precisa fazer referência a um servidor
específico. O Identificador de Origem de Log pode ter o
mesmo valor que o Nome da Origem de Log. Se você
tiver mais de uma origem de log do Amazon AWS
CloudTrail configurada, talvez queira identificar a
primeira origem de log como awscloudtrail1, a segunda
origem de log como awscloudtrail2 e a terceira origem
de log como awscloudtrail3.
Versão da Assinatura Selecione AWSSIGNATUREV2 ou AWSSIGNATURE4.

AWSSIGNATUREV2 não suporta todas as regiões do

Amazon AWS.

AWSSIGNATURE4 suporta todas as regiões. Se você

estiver usando uma região que seja suportada somente
pelo AWSSIGNATUREV4, deve-se escolher
AWSSIGNATUREV4 na lista.
Nome da região (somente assinatura V4) A região que está associada ao depósito Amazon S3.
Nome do depósito O nome do depósito AWS S3 em que os arquivos de log
estão armazenados.
URL do Nó de Extremidade A URL de terminal que é usada para consultar a API de
REST do AWS.

Se a URL de seu terminal for diferente do padrão,

digite-a. O padrão é http://s3.amazonaws.com
Método de Autenticação
ID da Chave de Acesso / Chave Secreta
Autenticação padrão que pode ser usada de
qualquer lugar.
Função do IAM de Instância do EC2
Se o seu host gerenciado estiver em execução
em uma instância AWS EC2, a escolha dessa
opção faz uso da função IAM dos metadados da
instância designados à instância para a
autenticação; chaves não são necessárias. Esse
método funciona somente para hosts
gerenciados em execução em um contêiner do
AWS EC2.
ID da Chave de Acesso O ID da chave de acesso que foi gerado quando você
configurou as credenciais de segurança para sua conta do
usuário do AWS. Esse valor também é o ID da chave de
acesso que é usado para acessar o depósito AWS S3.
Chave Secreta A Chave secreta que foi gerada quando você configurou
as credenciais de segurança para sua conta do usuário do
AWS. Esse valor também é o ID da chave secreta que é
usado para acessar o depósito do AWS S3.

34 Guia de configuração do QRadar DSM

Tabela 21. Parâmetros de origem de log de protocolo da API de REST do Amazon AWS S3 (continuação)
Parâmetro Descrição
Prefixo de Diretório O local do diretório raiz no depósito AWS S3 de onde os
logs do CloudTrail são recuperados; por exemplo,
AWSLogs/<AccountNumber>/CloudTrail/<RegionName>/

Para extrair arquivos do diretório-raiz de um depósito,

deve-se usar uma barra (/) no caminho do arquivo
Prefixo do Diretório.

Nota:
v Mudar o valor Prefixo do Diretório desmarca o
marcador do arquivo persistido. Todos os arquivos que
correspondem ao novo prefixo são transferidos por
download no próximo pull.
v O caminho do arquivo Prefixo do Diretório não pode
começar com uma barra (/), a menos que a somente a
barra seja usada para coletar dados da raiz do
depósito.
v Se o caminho do arquivo Prefixo do Diretório for
usado para especificar pastas, não comece o caminho
do arquivo com uma barra (ao invés disso, por
exemplo, use folder1/folder2).
Padrão de arquivo Digite um regex para o padrão do arquivo que
corresponde aos arquivos que você deseja extrair; por
exemplo, .*?\.json\.gz
Formato de Evento Selecione AWS Cloud Trail JSON. A origem de log
recupera eventos formatados por JSON.
Usar Proxy Quando um proxy é configurado, todo o tráfego para a
origem de log percorre o proxy do QRadar para acessar
os depósitos do Amazon AWS S3.

Configure os campos Servidor proxy, Porta de proxy,

Nome do usuário de proxy e Senha de proxy. Se o
proxy não requerer autenticação, será possível deixar os
campos Nome do usuário de proxy e Senha de proxy
em branco.
Adquirir automaticamente certificado(s) de servidor Selecione Sim para QRadar para fazer download
automaticamente do certificado do servidor e começar a
confiar no servidor de destino. É possível usar essa
opção para inicializar uma origem de log criada
recentemente, obter novos certificados ou substituir
certificados expirados.

Selecione Não para fazer download do certificado

7 Opções de configuração de protocolo 35

Tabela 21. Parâmetros de origem de log de protocolo da API de REST do Amazon AWS S3 (continuação)
Parâmetro Descrição
Recorrência Com que frequência o Protocolo da API de REST do
Amazon AWS S3 se conecta à API de nuvem do
Amazon, verifica se há novos arquivos e, se eles
existirem, recupera-os. Cada acesso a um depósito AWS
S3 incorre em um custo para a conta que possui o
depósito. Portanto, um valor de recorrência menor
aumenta o custo.

Digite um intervalo de tempo para determinar com que

frequência o diretório remoto é varrido em busca de
novos arquivos de log de evento. O valor mínimo é de 1
minuto. O intervalo de tempo pode incluir valores em
horas (H), minutos (M) ou dias (D). Por exemplo, 2H = 2
horas, 15 M = 15 minutos.
Regulador de EPS O limite superior para o número máximo de eventos por
segundo (EPS). O padrão é 5000.

Opções de configuração de protocolo do Amazon Web Services

O protocolo Amazon Web Services para o IBM Security QRadar coleta logs do AWS CloudTrail dos logs
do Amazon CloudWatch.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Amazon Web Services:
Tabela 22. Parâmetros de origem de log do Amazon Web Services
Parâmetro Descrição
Configuração de protocolo Selecione Amazon Web Services na lista Configuração de protocolo.
Método de Autenticação
ID da Chave de Acesso / Chave Secreta
Autenticação padrão que pode ser usada de qualquer lugar.
Função do IAM de Instância do EC2
Se o host gerenciado do QRadar estiver em execução em uma instância do
AWS EC2, a escolha dessa opção usará a função IAM dos metadados
designados à instância para autenticação; nenhuma chave será necessária. Esse
método funciona somente para hosts gerenciados que estão em execução
dentro de um contêiner AWS EC2.
Tecla de Acesso O ID da chave de acesso que foi gerado quando você configurou as credenciais de
segurança para sua conta do usuário do AWS.

Se você selecionou ID da chave de acesso/Chave secreta, o parâmetro de Chave de

acesso será exibido.
Chave Secreta A Chave secreta que foi gerada quando você configurou as credenciais de segurança
para sua conta do usuário do AWS.

Se você selecionou ID da chave de acesso/Chave secreta, o parâmetro de Chave

secreta será exibido.
Regiões Selecione a caixa de seleção para cada região que está associada ao Amazon Web
Service do qual você deseja coletar logs.

36 Guia de configuração do QRadar DSM

Tabela 22. Parâmetros de origem de log do Amazon Web Services (continuação)
Parâmetro Descrição
Outras Regiões Digite os nomes de quaisquer regiões adicionais que estejam associadas ao Amazon
Web Service do qual você deseja coletar logs. Para coletar de múltiplas regiões, use
uma lista separada por vírgula, como mostrado no exemplo a seguir: region1,region2
Serviço do AWS O nome do Serviço da web da Amazon. Na lista Serviço AWS, selecione Logs do
CloudWatch.
Grupo de Logs O nome do grupo de logs no Amazon CloudWatch de onde você deseja coletar logs.
Nota: Uma única origem de log coleta logs do CloudWatch de 1 grupo de logs de
cada vez. Se você desejar coletar logs de vários grupos de logs, crie uma origem de log
separada para cada grupo de logs.
Fluxo de Logs (Opcional) O nome do fluxo de logs dentro de um grupo de logs. Se você quiser coletar logs de
todos os fluxos de logs dentro de um grupo de log, deixe este campo em branco.
Padrão de Filtro (Opcional) Digite um padrão para filtragem dos eventos coletados. Este padrão não é um filtro
regex. Apenas os eventos que contêm o valor exato que você especificou são coletados
de Logs do CloudWatch. Se você digitar ACCEPT como o valor de Padrão de filtro,
apenas os eventos que contiverem a palavra ACCEPT serão coletados, conforme
mostrado no exemplo a seguir.
{0},
Mensagem: ACCEPT OK,
IngestionTime: 0,
EventId: 0 }
Extrair Evento Original Para encaminhar apenas o evento original que foi incluído nos logs do CloudWatch
para o QRadar, selecione esta opção.

Os logs do CloudWatch agrupam os eventos que eles recebem com metadados extras.

O evento original é o valor para a chave de mensagem que é extraída do log do

CloudWatch. O exemplo de evento de logs do CloudWatch a seguir mostra o evento
original que é extraído do log do CloudWatch em texto em negrito:
{1}{2}{3}{4}{5}{6}{7}{8}{6}_CloudTrail_us-east-2,
Timestamp: 1505744407363, Message : {1}.05 "," userIdentity ":
{"type":"IAMUser","principalId":"AAAABBBCCCDDDBBBCCC","arn":
"arn:aws: iam ::1234567890 :user/QRadar-ITeam",
"accountId": "1234567890", "accessKeyId"
: "AAAABBBBCCCCDDDD", "userName": "User-Name",
"sessionContext": {
"false", "creationDate": "2017-09-18T13:22:10Z" } },
"invokedBy": "signin.amazonaws.com" }, "eventTime":
"2017-09-18T14:10:15Z", "eventSource":
"cloudtrail.amazonaws.com", "eventName":
"DescribeTrails", "awsRegion": "us-east-1",
"sourceIPAddress":"127.0.0.1","userAgent":
"signin.amazonaws.com", "requestParameters":
{
[ ] }, "responseElements" :null, "requestID":
"11b1a00-7a7a-11a1-1a11-44a4aaa1a", "eventID":
"a4914e00-1111-491d-bbbb-a0dd3845b302", "eventType":
"AwsApiCall", "recipientAccountId": "1234567890" },
IngestionTime: 1505744407506,
EventId: 335792223611111122479126672222222513333 }
Usar como um Gateway de Se você não desejar definir um identificador de origem de log customizado para
Origem de Log eventos, assegure-se de que essa caixa de seleção esteja desmarcada.

7 Opções de configuração de protocolo 37

Tabela 22. Parâmetros de origem de log do Amazon Web Services (continuação)
Parâmetro Descrição
Padrão do Identificador de Se você selecionou Usar como origem de log do gateway, use essa opção para definir
Origem de Log um Identificador de origem de log customizado para eventos que estão sendo
processados.

Use os pares chave-valor para definir o Identificador de origem de log customizado. A

chave é a Sequência de formatação do identificador, que é o valor resultante ou o valor
de origem. O valor é o padrão de expressão regular associado que é usado para avaliar
a carga útil atual. Esse valor também suporta grupos de captura que podem ser usados
para customizar ainda mais a chave.

Defina vários pares chave-valor digitando cada padrão em uma nova linha. Vários
padrões são avaliados na ordem em que são listados. Quando uma correspondência é
localizada, um Identificador de origem de log customizado é exibido.

Os exemplos a seguir mostram várias funções de par chave-valor.

Padrões
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
Eventos
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT
OK,IngestionTime: 0,EventId: 0}
Identificador de origem de log customizado resultante
VPC-ACCEPT-OK

Usar Proxy Se o QRadar acessar o Amazon Web Service usando um proxy, selecione esta opção.

Se o proxy requer autenticação, configure os campos Servidor proxy, Porta de proxy,

Nome do usuário de proxy e Senha de proxy. Se o proxy não requerer autenticação,
configure os campos Servidor proxy e Porta de proxy.
Adquirir automaticamente Selecione Sim para QRadar para fazer download automaticamente do certificado do
certificado(s) de servidor servidor e começar a confiar no servidor de destino.

É possível usar essa opção para inicializar uma origem de log recém-criada e obter
certificados ou substituir certificados expirados.
Regulador de EPS O limite superior para o número máximo de eventos por segundo (EPS). O padrão é
5000.

Se a opção Usar como origem de log do gateway for selecionada, esse valor será
opcional.

Se o valor do parâmetro Regulador EPS for deixado em branco, nenhum limite de EPS
será imposto pelo QRadar.

38 Guia de configuração do QRadar DSM

Opções de configuração do protocolo Apache Kafka
O QRadar usa o protocolo Apache Kafka para ler fluxos de dados do evento de tópicos em um cluster
Kafka que usa a API do Consumidor. O protocolo Apache Kafka pode ser usado como uma origem de
log de gateway usando o DSM Universal.

O protocolo Apache Kafka é um protocolo de saída/ativo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Apache Kafka:
Tabela 23. Parâmetros do protocolo Apache Kafka
Parâmetro Descrição
Lista de Servidores de Auto-inicialização O <hostname/ip>:<port> do servidor (ou servidores) de
autoinicialização. Múltiplos servidores podem ser
especificados como uma lista separada por vírgulas,
como neste exemplo: hostname1:9092,1.1.1.1:9092.
Grupo de Consumidor Uma sequência exclusiva que identifica o grupo de
consumidores ao qual essa origem de log pertence.

Um Grupo de Consumidores é um rótulo que os

consumidores fornecem a si mesmos para que cada
registro que é publicado em um tópico Kafka seja
entregue a uma instância do consumidor dentro de cada
grupo de consumidores de assinatura.

Esses rótulos permitem que o Kafka execute o

balanceamento de carga dos registros em todas as
instâncias do consumidor em um grupo.
Método de Assinatura do Tópico Selecione o método a ser usado para assinar tópicos
Kafka. Use a opção Listar tópicos para especificar uma
lista de tópicos. Use a opção Correspondência de padrão
de expressão regular para especificar uma expressão
regular para correspondência com os tópicos disponíveis.
Lista de Tópicos Especifique uma lista separada por vírgula de nomes de
tópicos para assinar. Por exemplo, Topic1, Topic2, Topic3

Essa opção é exibida apenas quando Listar tópicos é

selecionado para a opção Método de Assinatura de
Tópico.
Padrão do Filtro de Tópicos Especifique uma expressão regular para corresponder aos
tópicos para assinatura.

Essa opção é exibida apenas quando Correspondência de

padrão de expressão regular é selecionado para a opção
Método de Assinatura de Tópico.
Usar Autenticação de Cliente Selecione esta opção para exibir as opções de
configuração de autenticação de cliente.
Nome do arquivo de armazenamento confiável O nome do arquivo de armazenamento confiável. O
armazenamento confiável deve ser colocado em
/opt/qradar/conf/trusted_certificates/kafka/.
Senha do Truststore A senha para o arquivo de armazenamento confiável.
Confirmar Senha do Truststore Confirmação do campo Senha de armazenamento
confiável.
Nome do arquivo keystore O nome do arquivo keystore. O keystore deve ser
colocado em /opt/qradar/conf/trusted_certificates/
kafka/.

7 Opções de configuração de protocolo 39

Tabela 23. Parâmetros do protocolo Apache Kafka (continuação)
Parâmetro Descrição
Senha do Keystore A senha para o arquivo de armazenamento de chaves.
Confirmar senha do keystore Confirmação do campo Senha do keystore.
Senha de chave privada A senha da chave privada no arquivo keystore.
Confirmar Senha da Chave Privada Confirmação do campo Senha de chave privada.
Usar como um Gateway de Origem de Log Selecione essa opção para eventos coletados por meio do
mecanismo QRadar Traffic Analysis e para detectar
automaticamente as origens de log apropriadas.
Padrão do Identificador de Origem de Log Se você selecionou Usar como origem de log do
gateway, use essa opção para definir um Identificador de
origem de log customizado para eventos que estão sendo
processados.

Use os pares chave-valor para definir o Identificador de

origem de log customizado. A chave é a Sequência de
formatação do identificador, que é o valor resultante ou o
valor de origem. O valor é o padrão de expressão regular
associado que é usado para avaliar a carga útil atual.
Esse valor também suporta grupos de captura que
podem ser usados para customizar ainda mais a chave.

Defina vários pares chave-valor digitando cada padrão

em uma nova linha. Vários padrões são avaliados na
ordem em que são listados. Quando uma
correspondência é localizada, um Identificador de origem
de log customizado é exibido.

Os exemplos a seguir mostram várias funções de par

chave-valor.
Padrões
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
Eventos
{LogStreamName: LogStreamTest,Timestamp:
0,Message: ACCEPT OK,IngestionTime:
0,EventId: 0}
Identificador de origem de log customizado resultante
VPC-ACCEPT-OK
Regulador de EPS O número máximo de eventos por segundo (EPS). Deixe
este campo vazio para que nenhuma regulagem seja
aplicada.

Configurando o Apache Kafka para ativar a Autenticação de Cliente

Esta tarefa discute como ativar a Autenticação de Cliente com o Apache Kafka.

40 Guia de configuração do QRadar DSM

Antes de Iniciar
1. Assegure-se de que as portas que são usadas pelo servidor Kafka não estejam bloqueadas por um
firewall.
2. Para ativar a autenticação de cliente entre os consumidores Kafka (QRadar) e um broker Kafka, uma
chave e um certificado para cada broker e cliente no cluster devem ser gerados. Os certificados
também precisam ser assinados por uma autoridade de certificação (CA).

Sobre Esta Tarefa

Nas etapas a seguir, você gera uma autoridade de certificação, assina os certificados do cliente e do
broker com ela e a inclui nos armazenamentos confiáveis do cliente e do broker. Você também gera as
chaves e os certificados usando o keytool Java e o OpenSSL. Como alternativa, uma autoridade de
certificação externa pode ser usada junto com várias autoridades de certificação, uma para assinar
certificados do broker e outra para certificados de cliente.

Procedimento
1. Gerar o armazenamento confiável, o keystore, a chave privada e o certificado de autoridade de
certificação.

Nota: Substitua PASSWORD, VALIDITY, SERVER_ALIAS e CLIENT_ALIAS nos comandos a seguir

pelos valores apropriados.
a. Gerar keystore do Servidor.

Nota:

O nome comum (CN) dos certificados do broker deve corresponder ao nome completo do domínio
(FQDN) do servidor/host. O cliente do Consumidor Kafka que é usado pelo QRadar compara o
CN com o nome de domínio DNS para assegurar que ele esteja se conectando ao broker correto,
em vez de um malicioso. Certifique-se de inserir o FQDN para o valor CN/First and Last name ao
gerar o keystore do Servidor.
keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS
-validity VALIDITY -genkey
Exemplo
keytool -keystore kafka.server.keystore.jks -alias server.hostname
-validity 365 -genkey
b. Gerar Certificado de CA.

Nota:

Esse certificado de autoridade de certificação pode ser usado para assinar todos os certificados do
broker e do cliente.
openssl req -new -x509 -keyout ca-key -out ca-cert -days VALIDITY
Exemplo
openssl req -new -x509 -keyout ca-key -out ca-cert -days 365
c. Crie o armazenamento confiável do Servidor e importe o certificado de autoridade de certificação.
keytool -keystore kafka.server.truststore.jks -alias CARoot
-import -file ca-cert
d. Crie o armazenamento confiável do cliente e importe o certificado de autoridade de certificação.
keytool -keystore kafka.client.truststore.jks -alias CARoot
-import -file ca-cert
e. Gere um Certificado do Servidor e assine-o usando a autoridade de certificação.
keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS
-certreq -file cert-file

7 Opções de configuração de protocolo 41

openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out
cert-signed -days VALIDITY -CAcreateserial
Exemplo
keytool -keystore kafka.server.keystore.jks -alias server.hostname
-certreq -file cert-file
openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out
cert-signed -days 365 -CAcreateserial
f. Importe o certificado de autoridade de certificação para o keystore do Servidor.
keytool -keystore kafka.server.keystore.jks -alias CARoot
-import -file ca-cert
g. Importe o Certificado do Servidor Assinado para o keystore do Servidor.
keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -import
-file cert-signed
Exemplo
keytool -keystore kafka.server.keystore.jks -alias server.hostname
-import -file cert-signed
h. Exporte o Certificado do Servidor para o arquivo DER binário.

Nota: O comando keytool -exportcert usa o formato DER, por padrão. Coloque o certificado no
diretório trusted_certificates/ de qualquer EP que se comunica com Kafka. É necessário ter o
certificado do servidor para cada servidor de autoinicialização que você usa na configuração. Caso
contrário, o QRadar rejeita o handshake TLS com o servidor.
keytool -exportcert -keystore kafka.server.keystore.jks -alias
SERVER_ALIAS -file SEVER_ALIAS.der
Exemplo
keytool -exportcert -keystore kafka.server.keystore.jks -alias
server.hostname -file server.hostname.der
i. Gere um keystore do cliente.
keytool -keystore kafka.client.keystore.jks -alias CLIENT_ALIAS
-validity VALIDITY -genkey
Exemplo
keytool -keystore kafka.client.keystore.jks -alias client.hostname
-validity 365 -genkey
j. Gere um Certificado de Cliente e assine-o usando a autoridade de certificação.
keytool -keystore kafka.client.keystore.jks -alias CLIENT_ALIAS
-certreq -file client-cert-file
openssl x509 -req -CA ca-cert -CAkey ca-key -in client-cert-file -out
client-cert-signed -days VALIDITY -CAcreateserial
Exemplo
keytool -keystore kafka.client.keystore.jks -alias client.hostname
-certreq -file client-cert-file
openssl x509 -req -CA ca-cert -CAkey ca-key -in client-cert-file
-out client-cert-signed -days 365 -CAcreateserial
k. Importe o certificado de autoridade de certificação para o keystore do cliente.
keytool -keystore kafka.client.keystore.jks -alias CARoot
-import -file ca-cert
l. Importe o Certificado do Cliente Assinado para o keystore do Cliente.
keytool -keystore kafka.client.keystore.jks -alias CLIENT_ALIAS
-import -file client-cert-signed
Exemplo
keytool -keystore kafka.client.keystore.jks -alias client.hostname
-import -file client-cert-signed
m. Copie o keystore e o armazenamento confiável do cliente para o QRadar.

42 Guia de configuração do QRadar DSM

1) Copie o kafka.client.keystore.jks e kafka.client.truststore.jks para
/opt/qradar/conf/trusted_certificates/kafak/ em cada um dos processadores de eventos
nos quais a origem de log está configurada.
2) Copie os certificados do servidor <filename>.der que foram gerados para cada broker para
/opt/qradar/conf/trusted_certificates/.
2. Configure brokers Kafka para Autenticação de Cliente.
a. Localize a seção Configurações do servidor de soquete .
b. Altere listeners=PLAINTEXT://:<port> para listeners=SSL://:<PORT>.
c. Inclua as propriedades a seguir para forçar a comunicação criptografada entre brokers e entre os
brokers e os clientes. Ajuste os caminhos, os nomes de arquivos e as senhas, conforme necessário.
Essas propriedades são o armazenamento confiável e o keystore do servidor:
security.inter.broker.protocol=SSL
ssl.client.auth=required
ssl.keystore.location=/somefolder/kafka.server.keystore.jks
ssl.keystore.password=test1234
ssl.key.password=test1234
ssl.truststore.location=/somefolder/kafka.server.truststore.jks
ssl.truststore.password=test1234

Nota:

Como as senhas são armazenadas em texto sem formatação no server.properties, é aconselhável

que o acesso ao arquivo seja restrito por meio de permissões do sistema de arquivos.
d. Reinicie os brokers Kafka que tiveram seus server.properties modificados.

Resolução de Problemas do Apache Kafka

Essa referência fornece opções de resolução de problemas para configurar o Apache Kafka para ativar a
Autenticação de Cliente.

Apache Kafka
Tabela 24. Resolução de Problemas para Autenticação do Cliente Apache Kafka
Problema Solução
A opção Usar como uma origem de log do gateway é Os eventos que estão sendo transmitidos do Kafka
selecionada na configuração da origem de log, mas as devem conter um cabeçalho válido compatível com
origens de log não estão sendo detectadas Syslog RFC3164 ou RFC5424, portanto, o QRadar pode
automaticamente. determinar corretamente o identificador de origem de log
de cada evento.
Nenhum evento está sendo recebido e o erro a seguir é Verifique se os detalhes do servidor de auto-inicialização
exibido no formulário de configuração da origem de log: e da porta que são inseridos na configuração são válidos.
“Encountered an error while attempting to fetch
topic metadata... Please verify the configuration Se a Autenticação de Cliente estiver ativada, verifique se:
information." v As senhas que são inseridas estão corretas.
v Os arquivos de armazenamento confiável e keystore
do cliente estão presentes na pasta
/opt/qradar/conf/trusted_certificates/kafka/ e os
nomes de arquivos especificados correspondem.
v Os certificados do servidor (<filename>.der) estão
presentes na pasta /opt/qradar/conf/
trusted_certificates/.

7 Opções de configuração de protocolo 43

Tabela 24. Resolução de Problemas para Autenticação do Cliente Apache Kafka (continuação)
Problema Solução
Nenhum evento está sendo recebido e o erro a seguir é Ao usar as opções Listar tópicos para assinar tópicos, o
exibido no formulário de configuração da origem de log: QRadar tenta verificar os tópicos disponíveis no cluster
“The user specified list of topics did not contain Kafka para os tópicos especificados quando a origem de
any topics that exists in the Kafka cluster. Please log é iniciada inicialmente. Se nenhum tópico
verify the topic list." corresponder entre o que foi inserido na configuração e o
que está disponível no cluster,essa mensagem será
apresentada. Verifique os nomes de tópicos que são
inseridos na configuração; além disso, considere o uso da
opção Correspondência de padrão de expressão regular
para assinar tópicos.
Quando qualquer valor de parâmetro no arquivo de Desative e, em seguida, reative a origem de log do
propriedade no servidor Kafka é mudado, resultados Kafka.
esperados não são recebidos.

Opções de configuração do protocolo da API REST do Blue Coat Web

Security Service
Para receber eventos do Blue Coat Web Security Service, configure uma origem de log para usar o
protocolo da API REST do Blue Coat Web Security Service.

O protocolo da API de REST do Blue Coat Web Security Service é um protocolo de saída/ativo que
consulta API de Sincronização do Blue Coat Web Security Service e recupera os dados do log
recentemente reforçados por meio da nuvem.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo da API REST do Blue
Coat Web Security Service:
Tabela 25. Parâmetros do protocolo da API REST do Blue Coat Web Security Service
Parâmetro Descrição
Nome do usuário da API O nome do usuário da API que é usado para autenticação com o Blue Coat
Web Security Service. O nome do usuário da API é configurado por meio
do Blue Coat Threat Pulse Portal.
Senha A senha que é usada para autenticação com o Blue Coat Web Security
Service.
Confirmar Senha Confirmação do campo Password.
Utilizar Proxy Ao configurar um proxy, todo o tráfego para a origem de log percorre o
proxy para que o QRadar acesse o Blue Coat Web Security Service.

Configure os campos IP ou nome do host do proxy, Porta de proxy, Nome

do usuário de proxy e Senha de proxy. Se o proxy não requerer
autenticação, será possível deixar os campos Nome do usuário de proxy e
Senha do proxy em branco.
Adquirir automaticamente Se você selecionar Sim na lista, o QRadar fará download do certificado e
certificado(s) de servidor começará a confiar no servidor de destino.
Recorrência É possível especificar quando o log coleta dados. O formato é M/H/D para
Meses/Horas/Dias. O padrão é 5 M.
Regulador de EPS O limite superior para o número máximo de eventos por segundo (EPS). O
padrão é 5000.

44 Guia de configuração do QRadar DSM

Opções de configuração de protocolo de API de REST do Centrify
Redrock
O protocolo da API de REST do Centrify Redrock é um protocolo de saída/ativo para o IBM Security
QRadar que coleta eventos do Centrify Identity Platform.

Os parâmetros a seguir requerem valores específicos para coletar eventos do Centrify Identity Platform:
Tabela 26. Parâmetros de origem de log de protocolo da API de REST do Centrify Redrock
Parâmetro Valor
Tipo de origem de log Centrify Identity Platform
Configuração de protocolo Centrify Redrock REST API
Identificador de Fonte de Log Digite um nome exclusivo para a origem de log.

O Identificador de origem de log pode ser qualquer

valor válido e não precisa fazer referência a um servidor
específico. O Identificador de origem de log pode ser o
mesmo valor que o Nome da origem de log. Se você
tiver mais de uma origem de log do Centrify Identity
Platform que estiver configurada, poderá desejar
identificar a primeira origem de log como centrify1, a
segunda origem de log como centrify2 e a terceira origem
de log como centrify3.
ID do Locatário O Centrify designou ID do cliente ou do locatário
exclusivo.
Nome do usuário O nome do usuário que é associado com o serviço de
Nuvem para o Centrify Identity Platform.
Senha A senha que está associada ao nome do usuário do
Centrify Identity Platform.
Filtro de criação de log de eventos Selecione o nível de criação de log dos eventos que você
deseja recuperar. As Informações, o Aviso e o Erro são
selecionáveis. Pelo menos um filtro deve ser selecionado.
Usar Proxy Quando um proxy é configurado, todo o tráfego da API
de REST do Centrify Redrock percorre o proxy.

Configure os campos Servidor proxy, Porta de proxy,

Nome do usuário de proxy e Senha de proxy. Se o
proxy não requerer autenticação, será possível deixar os
campos Nome do usuário de proxy e Senha de proxy
em branco.
Adquirir automaticamente certificado(s) de servidor Selecione Sim para QRadar para fazer download
automaticamente do certificado do servidor e começar a
confiar no servidor de destino.
Regulador de EPS O número máximo de eventos por segundo.

O padrão é 5000.
Recorrência O intervalo de tempo pode ser em horas (H), minutos
(M) ou dias (D).

O padrão é 5 minutos (5M).

Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
7 Opções de configuração de protocolo 45
Opções de configuração do protocolo Cisco Firepower eStreamer
Para coletar eventos no IBM QRadar por meio de um serviço do Cisco Firepower eStreamer (Streamer de
evento), configure a origem de log para usar o protocolo do Cisco Firepower eStreamer.

O protocolo Cisco Firepower eStreamer era anteriormente conhecido como protocolo Sourcefire Defense
Center eStreamer.

O protocolo Cisco firepower eStreamer é um protocolo de entrada/passivo.

Os eventos são transmitidos para o QRadar a fim de serem processados depois que o Cisco Firepower
Management Center DSM estiver configurado.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Cisco Firepower
eStreamer:
Tabela 27. Parâmetros do protocolo Cisco Firepower eStreamer
Parâmetro Descrição
Configuração de protocolo Cisco Firepower eStreamer
Porta do servidor O número da porta na qual os serviços Cisco Firepower eStreamer estão
configurados para aceitar solicitações de conexão.

A porta padrão que o QRadar usa para o Cisco Firepower eStreamer é 8302.
Nome do arquivo keystore O caminho do diretório e o nome do arquivo para a chave privada do
keystore e o certificado associado. Por padrão, o script de importação cria o
arquivo keystore no diretório a seguir: /opt/qradar/conf/
estreamer.keystore
Nome do arquivo de armazenamento O caminho do diretório e o nome do arquivo para os arquivos de
confiável armazenamento confiável. O arquivo de armazenamento confiável contém
os certificados que são confiáveis pelo cliente. Por padrão, o script de
importação cria o arquivo de armazenamento confiável no diretório a seguir:
/opt/qradar/conf/estreamer.truststore
Solicitar dados extras Selecione essa opção para solicitar dados extras de evento de intrusão por
meio do Cisco Firepower Management Center. Por exemplo, dados extras
incluem o endereço IP original de um evento.
Domínio Nota: solicitações de fluxo de domínio são suportadas apenas para o
eStreamer versão 6.x. Deixe o campo Domínio em branco para o eStreamer
versão 5.x.

O domínio por meio do qual os eventos são transmitidos.

O valor no campo Domínio deve ser um domínio completo. Isso significa

que todos os ancestrais do domínio desejado devem ser listados começando
com o domínio de nível superior e terminando com o domínio de folha dos
quais você deseja solicitar eventos.

Exemplo:

Global é o domínio de nível superior, B é um domínio de segundo nível que

é um subdomínio de Global e C é um domínio de terceiro nível e um
domínio de folha que é um subdomínio de B. Para solicitar eventos de C,
digite o valor a seguir para o parâmetro Domain:

Global \ B \ C

46 Guia de configuração do QRadar DSM

Opções de configuração de protocolo Cisco NSEL
Para monitorar fluxos de pacote NetFlow a partir de um Cisco Adaptive Security Appliance (ASA),
configure a origem do protocolo Cisco Network Security Event Logging (NSEL).

O protocolo Cisco NSEL é um protocolo de entrada/passivo. Para integrar o Cisco NSEL com QRadar,
deverá ser criada manualmente uma fonte de log para receber eventos NetFlow. O QRadar não descobre
ou cria automaticamente origens de log para eventos syslog a partir do Cisco NSEL.

A tabela a seguir descreve os Parâmetros específicos de protocolo para o protocolo de Cisco NSEL:
Tabela 28. Parâmetros do protocolo Cisco NSEL
Parâmetro Descrição
Configuração do Protocolo Cisco NSEL
Identificador de Origem de Log Se a rede contiver dispositivos conectados a um console de gerenciamento,
será possível especificar o endereço IP do dispositivo individual que criou o
evento. Um identificador exclusivo para cada um deles, como um endereço
IP, evita que procuras de eventos identifiquem o console de gerenciamento
como a origem de todos os eventos.
Porta do Coletor O número da porta UDP que utiliza o Cisco ASA para encaminhar eventos
de NSEL. O QRadar usa a porta 2055 para dados de fluxo no QRadar
QFlow Collectors. Deve-se designar uma porta UDP diferente no Cisco
Adaptive Security Appliance para NetFlow.

Opções de configuração de protocolo EMC VMware

Para receber dados do evento do serviço da web do VMWare para ambientes virtuais, configure uma
origem de log para usar o protocolo EMC VMware.

O protocolo EMC VMware é um protocolo de saída/ativo.

O IBM QRadar suporta os tipos de eventos a seguir para o protocolo EMC VMware:
v Informações da Conta
v Nota
v Aviso
v Erro
v Informativo do Sistema
v Configuração do Sistema
v Erro do Sistema
v Login de Usuário
v Evento Suspeita Misc
v Acesso Negado
v Informações
v Autenticação
v Rastreamento de Sessão

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo EMC VMware:

7 Opções de configuração de protocolo 47

Tabela 29. Parâmetros do protocolo EMC VMware
Parâmetro Descrição
Configuração do Protocolo EMC VMware
Log Source Identifier O valor desse parâmetro deve corresponder ao parâmetro IP do VMware.
IP do VMware O endereço IP do servidor VMWare ESXi. O protocolo VMware anexa o
endereço IP de seu servidor VMware ESXi com o HTTPS antes de o
protocolo solicitar dados do evento.

Opções de configuração de protocolo redirecionado

Para receber eventos de outro Console em sua implementação, configure uma fonte de log para utilizar o
Protocolo redirecionado.

O protocolo Encaminhado é um protocolo de entrada/passivo que é normalmente usado para

encaminhar eventos para outro QRadar Console. Por exemplo, Console A possui Console B configurado
como um destino externo. Dados de origens de log automaticamente descobertos são encaminhados para
o Console B. Criadas manualmente, as origens de log no Console A também devem ser incluídas como
fonte de log para o Console B com o Protocolo redirecionado.

Opções de configuração de protocolo Receptor de HTTP

Para coletar eventos de dispositivos que encaminham solicitações de HTTP ou de HTTPS, configure uma
origem de log para usar o protocolo do Receptor de HTTP.

O protocolo HTTP Receiver é um protocolo de entrada/passivo. O Receptor de HTTP age como um

servidor HTTP na porta de atendimento configurada e converte o corpo da solicitação de quaisquer
solicitações POST recebidas em eventos. Ele suporta ambas as solicitações HTTPS e HTTP.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Receptor de HTTP:
Tabela 30. Parâmetros do protocolo Receptor de HTTP
Parâmetro Descrição
Configuração de protocolo Na lista, selecione Receptor de HTTP.
Identificador de Fonte de Log O endereço IP, o nome do host ou qualquer nome para identificar o
dispositivo.

Deve ser exclusivo para o tipo de origem de log.

Tipo de comunicação Selecione HTTP ou HTTPs ou HTTPs e autenticação de cliente.
Caminho do certificado de cliente Se você selecionar HTTPs e autenticação de cliente como o tipo de
comunicação, deverá configurar o caminho absoluto para o certificado de
cliente. Deve-se copiar o certificado de cliente para o QRadar Console ou o
Event Collector para a origem de log.
Porta de escuta A porta que é usada pelo QRadar para aceitar eventos do Receptor de HTTP
de entrada. A porta padrão é 12469.

Importante: Não use a porta 514. A porta 514 é usada pelo listener padrão
do Syslog.
Padrão de mensagem Indica o início de cada evento.
Regulador de EPS O número máximo de eventos por segundo (EPS) que você não deseja que
esse protocolo exceda. O padrão é 5000.

Tarefas relacionadas:

48 Guia de configuração do QRadar DSM

“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Opções de Configuração de Protocolo SOAP do IBM BigFix

Para receber os eventos do Log Extended Event Format (LEEF) formatados a partir de dispositivos do
IBM BigFix, configure uma origem de log que use o protocolo SOAP do IBM BigFix.

Este protocolo requer o IBM BigFix versões 8.2.x a 9.5.2 e o aplicativo Web Reports for IBM BigFix.

O protocolo IBM BigFix SOAP é um protocolo de saída/ativo que recupera eventos em intervalos de 30
segundos por meio de HTTP ou HTTPS. À medida que os eventos são recuperados, o IBM BigFix DSM
analisa e categoriza os eventos.

A tabela a seguir descreve os parâmetros específicos de protocolos para o protocolo SOAP do IBM BigFix:
Tabela 31. Parâmetros de Protocolo SOAP do IBM BigFix
Parâmetro Descrição
Configuração do Protocolo IBM BigFix SOAP
Use HTTPS Se um certificado for necessário para se conectar com HTTPS, copie os
certificados necessários para o seguinte diretório: /opt/qradar/conf/
trusted_certificates. Certificados que possuem extensões dos arquivos a
seguir: .crt, .certou.der são suportados. Copie os certificados no diretório
de certificados confiáveis antes que a fonte de log seja salva e
implementada.
Porta SOAP Por padrão, a porta 80 é o número da porta para comunicação com o IBM
BigFix. A maioria das configurações usa a porta 443 para comunicações
HTTPS.

Opções de configuração de protocolo JDBC

O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.

O protocolo JDBC é um protocolo de saída/ativo. O QRadar não inclui um driver MySQL para JDBC. Se
você estiver usando um DSM ou protocolo que requer um driver JDBC MySQL, deve-se fazer download
e instalar o MySQL Connector/J independente de plataforma em http://dev.mysql.com/downloads/
connector/j/.
1. Copie o arquivo Java archive (JAR) para /opt/qradar/jars.
2. Se você estiver usando o QRadar V7.3.1, também deverá copiar o arquivo JAR para
/opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/.
3. Reinicie o serviço Tomcat digitando um dos comandos a seguir:
v Se você estiver usando o QRadar V7.2.8, digite service tomcat restart.
v Se você estiver usando o QRadar V7.3.0 ou V7.3.1, digite systemctl restart tomcat.
4. Reinicie os serviços de coleta de eventos digitando um dos comandos a seguir:
v Se você estiver usando o QRadar V7.2.8, digite service ecs-ec restart.
v Se você estiver usando o QRadar V7.3.0, digite systemctl restart ecs-ec.
v Se você estiver usando o QRadar V7.3.1, digite systemctl restart ecs-ec-ingress.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo JDBC:

7 Opções de configuração de protocolo 49

Tabela 32. Parâmetros do protocolo JDBC
Parâmetro Descrição
Nome da Fonte de Log Digite um nome exclusivo para a origem de log.
Descrição da Origem de Log Digite uma descrição para a origem de log.
Tipo de Fonte de Log Selecione o Módulo de suporte de dispositivo (DSM) que usa o protocolo
JDBC por meio da lista Tipo de origem de log.
Configuração de protocolo JDBC
Identificador de Fonte de Log O valor Identificador de origem de log deve seguir o formato <database
name>@<ip or hostname>. O <database name> deve corresponder ao valor do
parâmetro Nome do banco de dados e <ip or hostname> deve corresponder
ao valor do parâmetro IP ou nome do host.

Nota: Se você tiver mais de uma origem de log JDBC do mesmo tipo de
origem de log que se conecta ao mesmo banco de dados no mesmo host, o
valor de Identificador de origem de log deverá seguir o formato <table
name>|<database name>@<ip or hostname>. O <table name> deve
corresponder ao valor do parâmetro Nome da tabela.
Tipo de banco de dados Selecione o tipo de banco de dados que contém os eventos.
Nome do banco de dados O nome do banco de dados deve corresponder ao nome do banco de dados
que é especificado no campo Identificador de Origem de Log.
IP ou nome do host O endereço IP ou o nome do host do servidor de banco de dados.
Porta Insira a porta JDBC. A porta JDBC deve corresponder à porta do listener
que está configurada no banco de dados remoto. O banco de dados deve
permitir conexões TCP recebidas. O intervalo válido é de 1 a 65535.

Os padrões são:
v MSDE - 1433
v Postgres - 5432
v MySQL - 3306
v Sybase - 1521
v Oracle - 1521
v Informix -9088
v DB2 - 50000

Se uma instância de banco de dados for usada com o tipo de banco de

dados MSDE, deve-se deixar o campo Porta em branco.
Nome do usuário Uma conta do usuário para o QRadar no banco de dados.
Senha A senha que é necessária para se conectar ao banco de dados.
Confirmar senha A senha que é necessária para se conectar ao banco de dados.
Domínio de autenticação (somente O domínio para bancos de dados MSDE que estão em um domínio do
MSDE) Windows. Se a rede não usar um domínio, deixe este campo em branco.
Instância de banco de dados A instância do banco de dados, se necessário. Os bancos de dados MSDE
(somente MSDE ou Informix ) podem incluir diversas instâncias do servidor SQL em um servidor.

Quando uma porta não padrão é utilizada para o banco de dados ou o

acesso é bloqueado para a porta 1434 para a resolução do banco de dados
SQL, o parâmetro Instância do Banco de Dados deverá estar em branco na
configuração da fonte de log.
Consulta predefinida Selecione uma consulta de banco de dados predefinido para a origem do
log. Se uma consulta predefinida não estiver disponível para o tipo de
origem de log, os administradores poderão selecionar a opção none.

50 Guia de configuração do QRadar DSM

Tabela 32. Parâmetros do protocolo JDBC (continuação)
Parâmetro Descrição
Nome da tabela O nome da tabela ou visualização que incluem os registros de eventos. O
nome da tabela pode incluir os seguintes caracteres especiais: cifrão ($), sinal
de número (#), sublinhado (_), traço (–) e ponto(.).
Selecionar Lista A lista de campos a serem incluídos quando a tabela for pesquisada em
busca de eventos. É possível usar uma lista separada por vírgulas ou digitar
um asterisco (*) para selecionar todos os campos da tabela ou visualização.
Se uma lista separada por vírgulas for definida, a lista deverá conter o
campo que está definido em Comparar Campo.
Comparar Campo Um valor numérico ou campo de registro de data e hora da tabela ou
visualização que identifica novos eventos que são incluídos na tabela entre
as consultas. Permite que o protocolo identifique eventos que foram
pesquisados anteriormente pelo protocolo para assegurar que eventos
duplicados não sejam criados.
Usar Instruções Preparadas Instruções preparadas permitem que a origem do protocolo JDBC configure
a instrução SQL e, em seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, a maioria
das configurações do protocolo JDBC pode usar as instruções preparadas.
Data e Horário de Início Digite a data e hora de início para a pesquisa do banco de dados no
formato a seguir: aaaa-MM-dd HH:mm, com HH especificado usando um
relógio de 24 horas. Se a data ou hora de início for limpa, a pesquisa
começa imediatamente e repete no intervalo de pesquisa especificado.
Intervalo de pesquisa Insira a quantidade de tempo entre as consultas na tabela de eventos. Para
definir um intervalo de pesquisa maior, anexe H para horas ou M para
minutos para o valor numérico

O intervalo máximo de pesquisa é uma semana.

Regulador de EPS O número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O intervalo válido é de 100 a 20.000.
Mecanismo de Segurança (apenas Na lista, selecione o mecanismo de segurança que é suportado por seu
DB2) servidor DB2. Se você não desejar selecionar um mecanismo de segurança,
selecione Nenhum.

O padrão é Nenhum .

Para obter mais informações sobre mecanismos de segurança que são

suportados por ambientes do DB2, consulte o Website de Suporte IBM
(https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/
com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html)
Usar Comunicação de Canal Os bancos de dados do MSDE requerem o campo nome do usuário e senha
Nomeado (somente MSDE) para usar um nome de usuário e senha de autenticação do Windows e não o
nome do usuário e senha do banco de dados. A configuração da origem de
log deve usar o padrão que é nomeado canal no banco de dados MSDE.
Nome do cluster de banco de dados Esse campo aparecerá se a caixa Usar comunicação de canal nomeado
(somente MSDE) estiver selecionada. Se você estiver executando seu SQL server em um
ambiente em cluster, defina o nome do cluster para assegurar que a
comunicação do canal nomeado funcione corretamente.
Usar NTLMv2 (somente MSDE) Selecione esta opção se você desejar que as conexões MSDE usem o
protocolo NTLMv2 quando estiverem se comunicando com servidores SQL
que requerem autenticação NTLMv2. Esta opção não interrompe as
comunicações para conexões MSDE que não requerem autenticação
NTLMv2.

Ela não interrompe as comunicações das conexões MSDE que não requerem
autenticação NTLMv2.

7 Opções de configuração de protocolo 51

Tabela 32. Parâmetros do protocolo JDBC (continuação)
Parâmetro Descrição
Usar SSL (somente MSDE) Selecione esta opção se sua conexão suportar SSL. Essa opção aparece
somente para MSDE.
Usar criptografia do Oracle Configurações de criptografia e integridade de dados do Oracle também é
conhecido como Oracle Advanced Security.

Se selecionadas, as conexões JDBC do Oracle irão requerer que o servidor

suporte configurações de Criptografia de dados do Oracle semelhantes às do
cliente.
Código do Idioma do Banco de Para instalações multilíngues, use este campo para especificar o idioma a ser
Dados (somente Informix ) usado.
Conjunto de códigos (somente Esse campo aparece após você escolher um idioma para instalações
Informix ) multilíngues. Use esse campo para especificar o conjunto de caracteres a ser
usado.
Ativado Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa
caixa de seleção é marcada.
Credibilidade Na lista, selecione a Credibilidade da origem de log. O intervalo é de 0 –
10.

A credibilidade indica a integridade de um evento ou ofensa conforme

determinado pela classificação de credibilidade a partir dos dispositivos de
origem. Credibilidade aumenta se várias fontes relatam o mesmo evento. O
padrão é 5.
Coletor de eventos de destino Selecione o Coletor de eventos de destino a ser usado como destino para a
origem de log.
Unindo eventos Marque a caixa de seleção Unindo eventos para permitir que a origem de
log una (empacote) eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor

da lista Eventos unidos das configurações do sistema em QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível
substituir o valor padrão configurando esta opção para cada origem de log.
Armazenar carga útil do evento Marque a caixa de seleção Armazenar carga útil do evento para permitir
que a origem do log armazene informações de carga útil do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor

da lista Armazenar carga útil do evento de Configurações do sistema em
QRadar. Ao criar uma origem de log ou editar uma configuração existente, é
possível substituir o valor padrão configurando esta opção para cada origem
de log.

Informações relacionadas:

Configurando o JDBC Over SSL com um Certificado autoassinado

Configurando o JDBC Over SSL com um Certificado assinado externamente

Opções de configuração de protocolo JDBC - SiteProtector

É possível configurar origens de log para usar o protocolo Java™ Database Connectivity (JDBC) -
SiteProtector para pesquisar remotamente os bancos de dados IBM Proventia® Management SiteProtector®
para eventos.

O protocolo JDBC - SiteProtector é um protocolo de saída/ativo que combina informações das tabelas
SensorData1 e SensorDataAVP1 na criação da carga útil de origem de log. As tabelas SensorData1 e

52 Guia de configuração do QRadar DSM

SensorDataAVP1 estão no banco de dados IBM Proventia® Management SiteProtector®. O número
máximo de linhas que o protocolo JDBC - SiteProtector pode pesquisar em uma única consulta é 30.000
linhas.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo JDBC - SiteProtector:
Tabela 33. Parâmetros do protocolo JDBC - SiteProtector
Parâmetro Descrição
Configuração do Protocolo JDBC - SiteProtector
Tipo do Banco de Dados Na lista, selecione MSDE como o tipo de banco de dados a ser utilizado
para a origem de eventos.
Nome do Banco de Dados Digite RealSecureDB como o nome do banco de dados ao qual o protocolo
pode se conectar.
IP ou Nome do Host O endereço IP ou o nome do host do servidor de banco de dados.
Port O número da porta que é utilizado pelo servidor de banco de dados. A
porta de configuração do JDBC - SiteProtector deve corresponder à porta do
listener do banco de dados. O banco de dados deve ter conexões TCP de
entrada ativadas. Se você definir uma Instância de Banco de Dados com o
MSDE como o tipo de banco de dados, deve-se deixar o parâmetro Porta em
branco em sua configuração de fonte de log.
Nome do Usuário Se você desejar controlar o acesso a um banco de dados pelo protocolo
JDBC, será possível criar um usuário específico para seu sistema QRadar.
Domínio de Autenticação
Se selecionar MSDE e o banco de dados estiver configurado para Windows,
é preciso definir um domínio do Windows.

Se a rede não usar um domínio, deixe este campo em branco.

Instância de Banco de Dados Se você selecionar o MSDE e houver diversas instâncias do servidor de SQL
em um servidor, defina a instância a qual você deseja se conectar. Se uma
porta não padrão for utilizada na configuração do seu banco de dados ou o
acesso está bloqueado à porta 1434 para a resolução do banco de dados
SQL, deve-se deixar o parâmetro Instância do Banco de Dados em branco
na sua configuração.
Consulta Predefinida A consulta predefinida do banco de dados para sua fonte de log. As
consultas de banco de dados predefinidas estão disponíveis apenas para
conexões com a fonte de log especial.
Nome da tabela SensorData1
Nome da Visualização de AVP SensorDataAVP
Nome da Visualização de Resposta SensorDataResponse
Selecionar Lista Digite * para incluir todos os campos na tabela ou visualização.
Comparar Campo SensorDataRowID
Usar Instruções Preparadas Instruções preparadas permitem que a origem do protocolo JDBC
configurem a instrução SQL e, em seguida, executem a instrução SQL várias
vezes com parâmetros diferentes. Por motivos de segurança e desempenho,
utilize as instruções preparadas. É possível desmarcar essa caixa de seleção
para utilizar um método alternativo de consulta que não utiliza instruções
pré-compiladas.
Incluir Eventos de Auditoria Especifica para coletar eventos de auditoria do IBM Proventia Management
SiteProtector®.
Data e Horário de Início Opcional. Uma data e hora de início para quando o protocolo pode começar
a pesquisar o banco de dados.

7 Opções de configuração de protocolo 53

Tabela 33. Parâmetros do protocolo JDBC - SiteProtector (continuação)
Parâmetro Descrição
Intervalo de Pesquisa A quantia de tempo entre as consultas para a tabela de eventos. É possível
definir um intervalo de pesquisa maior ao anexar H para horas ou M para
minutos ao valor numérico. Os valores numéricos sem uma pesquisa de
designador H ou M em segundos.
Regulador de EPS O número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda.
Código de idioma do banco de dados Para instalações de diveross idiomas, use o campo Código de idioma do
banco de dados para especificar o idioma a ser usado.
Conjunto de códigos do banco de Para instalações de diveross idiomas, use o campo Conjunto de códigos
dados para especificar o conjunto de caracteres a ser usado.
Usar Comunicação de Canal Se você estiver usando a autenticação do Windows, ative esse parâmetro
Nomeado para permitir a autenticação para o servidor AD. Se você estiver usando a
autenticação SQL, desative a Comunicação de canal nomeado.
Nome do Cluster do Banco de Dados O nome do cluster para assegurar que as comunicações de canal nomeado
funcionem corretamente.
Usar NTLMv2 Força as conexões MSDE a usarem o protocolo NTLMv2 com servidores
SQL que requerem autenticação NTLMv2. A caixa de seleção Usar NTLMv2
não interrompe as comunicações das conexões MSDE que não requererem
autenticação NTLMv2.
Utilize o SSL Ativa a criptografia SSL para o protocolo JDBC.
Idioma de Origem do Log Selecione o idioma dos eventos que são gerados pela fonte de log. O idioma
da fonte de log ajuda o sistema a analisar eventos a partir de dispositivos
ou sistemas operacionais externos que possam criar eventos em diversos
idiomas.

Opções de configuração de protocolo Juniper Networks NSM

Para receber os eventos de log do Juniper Networks NSM e do Juniper Networks Secure Service Gateway
(SSG), configure uma fonte de log para usar protocolo Juniper Networks NSM.

O protocolo Juniper Networks NSM é um protocolo de entrada/passivo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Juniper Networks
Network and Security Manager:
Tabela 34. Parâmetros de protocolo Juniper Networks NSM
Parâmetro Descrição
Tipo de origem de log Juniper Networks Network and Security Manager
Configuração do Protocolo Juniper NSM

Opções de configuração de protocolo Juniper Security Binary Log

Collector
É possível configurar uma fonte de log para utilizar o protocolo Security Binary Log Collector. Com este
protocolo, os dispositivos Juniper podem enviar eventos de auditoria, sistema, firewall e sistema de
prevenção de intrusão (IPS) em formato binário para o QRadar.

O protocolo Security Binary Log Collector em um protocolo de entrada/passivo.

54 Guia de configuração do QRadar DSM

O formato de log binário a partir de dispositivos Juniper SRX ou J Series é fluído utilizando o protocolo
UDP. Deve-se especificar uma porta exclusiva para eventos em formato binário de fluxo. A porta syslog
padrão 514 não pode ser utilizada para eventos no formato binário. A porta padrão que é designada para
receber fluxo de eventos binários a partir de dispositivos Juniper é a porta 40798.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Juniper Security
Binary Log Collector:
Tabela 35. Parâmetros do protocolo Juniper Security Binary Log Collector
Parâmetro Descrição
Configuração do Protocolo Security Binary Log Collector
Local do Arquivo de Modelo XML O caminho para o arquivo XML utilizado para decodificar o fluxo binário
do seu dispositivo Juniper SRX ou Juniper J Series. Por padrão, o módulo de
suporte de dispositivo (DSM) inclui um arquivo XML para decodificar o
fluxo binário.

O arquivo XML está no seguinte diretório: /opt/qradar/conf/

security_log.xml.

Opções de configuração de protocolo de Arquivo de log

Para receber eventos de hosts remotos, configure uma origem de log para usar o protocolo de Arquivo de
log.

O protocolo de Arquivo de Log é um protocolo de saída/ativo destinado a sistemas que gravam

diariamente logs de eventos. Não é apropriado usar o protocolo de Arquivo de log para dispositivos que
anexem informações a seus arquivos de eventos.

Os arquivos de log são recuperados um de cada vez, usando SFTP, FTP, SCP ou FTPS. O protocolo de
Arquivo de log pode gerenciar texto simples, arquivos compactados ou archives. Os archives devem
conter arquivos de texto simples que podem ser processados uma linha de cada vez. Quando o protocolo
de Arquivo de log faz download de um arquivo de evento, as informações que são recebidas no arquivo
atualizam a guia Atividade de log. Se mais informações forem gravadas no arquivo após o download ser
concluído, as informações anexadas não são processadas.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo de Arquivo de log:
Tabela 36. Parâmetros de protocolo de Arquivo de log
Parâmetro Descrição
Configuração do Protocolo Arquivo de log
Porta remota Se o host remoto utilizar um número de porta não padrão, deve-se ajustar o
valor da porta para recuperar eventos.
Arquivo de chave SSH O caminho para a chave SSH, se o sistema estiver configurado para utilizar
a autenticação de chave. Quando um arquivo-chave SSH é utilizado, o
campo Senha Remota será ignorado.
Diretório remoto Por FTP, se os arquivos de log estão no usuário remoto do diretório inicial,
você pode deixar o diretório remoto em branco. Um campo de diretório
remoto em branco suporta sistemas em que uma mudança no comando de
diretório ativo (CWD) é restrita.
Recursivo Ative essa caixa de seleção para permitir que conexões FTP ou SFTP
procurem recursivamente sub-pastas do diretório remoto para dados de
evento. Dados que são coletados de sub-pastas dependem das
correspondências para a expressão regular no padrão do arquivo FTP. A
opção Recursivo não está disponível para conexões SCP.

7 Opções de configuração de protocolo 55

Tabela 36. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Descrição
Padrão do arquivo de FTP A expressão regular (regex) que é necessária para identificar os arquivos
para download do host remoto.
Modo de transferência por FTP Para transferências ASCII no FTP, deve-se selecionar NONE no campo
Processador e LINEBYLINE no campo Gerador de Evento.
Recorrência O intervalo de tempo para determinar com que frequência o diretório
remoto é varrido em busca de novos arquivos de log de evento. O intervalo
de tempo pode incluir valores em horas (H), minutos (M) ou dias (D). Por
exemplo, UMA recorrência de 2H varre o diretório remoto a cada 2 horas.
Executar ao salvar Inicia a importação do arquivo de log imediatamente após a configuração
da fonte de log ser salva. Quando selecionada, esta caixa de opções limpa a
lista de arquivos transferidos por download e processados anteriormente.
Após a importação do primeiro arquivo, o protocolo de Arquivo de log
segue o horário de início e o planejamento de recorrência que é definido
pelo administrador.
Regulador de EPS O número de Eventos por Segundo (EPS) que o protocolo não pode
exceder.
Mudar diretório local? Altera o diretório local no Coletor de Eventos de Destino para armazenar
os logs de eventos antes de serem processados.
Diretório Local O diretório local no Coletor de Eventos de Destino. O diretório deverá
existir antes de o protocolo de Arquivo de log tentar recuperar eventos.
Codificação de Arquivo A codificação de caracteres usada pelos eventos em seu arquivo de log.
Separador de Pasta O caractere que é utilizado para separar as pastas para seu sistema
operacional. A maioria das configurações pode utilizar o valor padrão no
campo Separador de pasta. Este campo é destinado a sistemas operacionais
que utilizam um caractere diferente para definir pastas separadas. Por
exemplo, pontos que separam as pastas em sistemas mainframe.

Configure o QRadar para usar FTPS para o protocolo de Arquivo de log

Para configurar o FTPS para o protocolo de Arquivo de log, deve-se colocar os certificados SSL do
servidor em todos os QRadar Coletores de Eventos que se conectam ao seu servidor FTP. Se o seu
certificado SSL não for RSA 2048, crie um novo certificado SSL.

O comando a seguir fornece um exemplo de criação de um certificado em um sistema LINUX usando o

Open SSL:
openssl req -newkey rsa:2048 -nodes -keyout ftpserver.key -x509 -days 365 -out ftpserver.crt

Os arquivos no servidor FTP que têm uma extensão de arquivo .crt devem ser copiados para o diretório
/opt/qradar/conf/trusted_certificates em cada um de seus Coletores de Eventos.

Opções de configuração de protocolo do Microsoft Azure Event Hubs

O protocolo Microsoft Azure Event Hubs é um protocolo de saída/ativo para o IBM Security QRadar que
coleta eventos do Microsoft Azure Event Hubs.

Os parâmetros a seguir requerem valores específicos para coletar eventos de dispositivos Microsoft Azure
Event Hubs:

56 Guia de configuração do QRadar DSM

Tabela 37. Parâmetros de origem de log do Microsoft Azure Event Hubs
Parâmetro Valor
Tipo de origem de log Microsoft Azure
Configuração de protocolo Microsoft Azure Event Hubs
Identificador de Fonte de Log O Log Source Identifier pode ser qualquer valor
válido, incluindo o mesmo valor que o parâmetro Log
Source Name, e não precisa fazer referência a um servidor
específico. Se você configurou múltiplas origens de log
do Microsoft Azure Event Hub, talvez queira identificar
a primeira origem de log como EventHub-1, a segunda
origem de log como EventHub-2 e a terceira origem de
log como EventHub-3.
Usar como uma origem de log do gateway Ative essa caixa de seleção para enviar todos os eventos
por meio do QRadar Traffic Analysis Engine e detecte
automaticamente uma ou mais origens de log
apropriadas.
Usar Sequência de Conexão do Hub de Evento Ative esta caixa de seleção para usar um Event Hub
Connection String. Desmarque essa caixa de seleção
para inserir manualmente os valores para os parâmetros
Namespace Name, Event Hub Name, SAS Key Name e SAS Key
do Event Hub.
Sequência de conexões do Hub de evento A Sequência de conexões do Hub de Evento contém o
Nome do namespace, o caminho para o Hub de Evento
dentro do namespace e as informações de Autenticação
de Assinatura de acesso compartilhado (SAS).
Nome do Espaço de Nomes O valor de Nome do namespace é o nome do diretório
de nível superior que contém as entidades do Hub de
Evento na interface com o usuário do Microsoft Azure
Event Hubs.
Nome do Hub de Evento O Nome do hub de evento é o identificador para o Hub
de evento que você deseja acessar. O Nome do hub de
evento deve corresponder a uma das entidades de Hub
de evento dentro do namespace.
Nome da Chave SAS O Nome da Assinatura de acesso compartilhado (SAS)
identifica o publicador de eventos.
Chave de SAS A Chave de Assinatura de acesso compartilhado (SAS)
autentica o publicador de eventos.
Grupo de Consumidor Um Consumer Group especifica a visualização que é usada
durante a conexão. Cada Consumer Group mantém seu
próprio rastreamento de sessão. Qualquer conexão que
compartilhe grupos de consumidor e informações de
conexão compartilha informações de rastreamento de
sessão.
Usar Sequência de Conexão da Conta de Ative esta caixa de seleção para usar um Storage
Armazenamento Account Connection String. Desmarque essa caixa de
seleção para inserir manualmente o Storage Account
Name e Storage Account Key.
Sequência de conexões de conta de armazenamento Um Storage Account Connection String inclui
autenticação para o Nome da conta de armazenamento e
a Chave de conta de armazenamento que é usada para
acessar os dados na Conta de armazenamento do Azure.
Nome da Conta de Armazenamento O Nome da conta de armazenamento faz parte do
processo de autenticação que é necessário para acessar
dados na Conta de armazenamento do Azure.

7 Opções de configuração de protocolo 57

Tabela 37. Parâmetros de origem de log do Microsoft Azure Event Hubs (continuação)
Parâmetro Valor
Chave de Conta de Armazenamento A Chave da conta de armazenamento faz parte do
processo de autenticação que é necessário para acessar
dados na Conta de armazenamento do Azure.
Adquirir automaticamente certificado(s) de servidor Selecione Sim para QRadar para fazer download
automaticamente do certificado do servidor e começar a
confiar no servidor de destino.
Regulador de EPS O número máximo de eventos por segundo (EPS). O
padrão é 5000.

Opções de configuração de protocolo Microsoft DHCP

Para receber eventos dos servidores Microsoft DHCP, configure uma fonte de log para usar o protocolo
Microsoft DHCP.

O protocolo Microsoft DHCP é um protocolo de saída/ativo.

Para ler os arquivos de log, os caminhos de pastas que contiverem um compartilhamento administrativo
(C$), solicite privilégios NetBIOS no compartilhamento administrativo (C$). Os administradores locais ou
de domínio possuem privilégios suficientes para acessar os arquivos de log em compartilhamentos
administrativos.

Os campos para o protocolo Microsoft DHCP que suportam caminhos de arquivos permitem que os
administradores definam uma letra da unidade com as informações de caminho. Por exemplo, o campo
pode conter o diretório c$/LogFiles/ para um compartilhamento administrativo ou o diretório LogFiles/
para um caminho de pasta de compartilhamento público, mas não pode conter o diretório c:/LogFiles.

Restrição: O protocolo de autenticação NTLMv2 da Microsoft não é suportado pelo protocolo Microsoft
DHCP.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Microsoft DHCP:
Tabela 38. Parâmetros do protocolo Microsoft DHCP
Parâmetro Descrição
Configuração do Protocolo Microsoft DHCP
Log Source Identifier Digite um nome de host exclusivo ou outro identificador exclusivo para a
origem de log.
Endereço do Servidor O endereço IP ou o nome do host do servidor DHCP Microsoft.
Domínio Digite o domínio para o servidor DHCP Microsoft.

Esse parâmetro será opcional se o servidor não estiver em um domínio.

Nome do Usuário Digite o nome do usuário que é necessário para acessar o servidor DHCP.
Senha Digite a senha que é necessária para acessar o servidor DHCP.
Confirmar senha Confirme a senha que é necessária para acessar o servidor.
Caminho da Pasta O caminho do diretório para os arquivos de log DHCP. O padrão é
c$/WINDOWS/system32/dhcp/

58 Guia de configuração do QRadar DSM

Tabela 38. Parâmetros do protocolo Microsoft DHCP (continuação)
Parâmetro Descrição
Padrão do Arquivo A expressão regular (regex)que identifica os logs de eventos. Os arquivos de
log devem conter uma abreviação de três caracteres para um dia da semana.
Use um dos padrões de arquivo a seguir:

Inglês:
v Padrão de arquivo IPv4: DhcpSrvLog-(?: Sun | Mon | Tue | Wed | Thu |
Fri | Sat) \.log .
v Padrão de arquivo IPv6: DhcpV6SrvLog-(?: Sun | Mon | Tue | Wed | Thu
| Fri | Sat) \.log .
v Padrão de arquivo IPv4 e IPv6 combinados: Dhcp.*SrvLog-
(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat)\.log.

Recursivo Selecione esta opção se você desejar que o padrão do arquivo procure as
subpastas.
Versão do SMB A versão do SMB a ser usada:
AUTO Detecta automaticamente para a versão mais alta que o cliente e o
servidor concordam em usar.
SMB1 Força o uso de SMB1.
SMB2 Força o uso de SMB2.
Intervalo de Polling (em segundos) O número de segundos entre as consultas nos arquivos de log para verificar
se há novos dados. O intervalo de pesquisa mínimo é de 10 segundos. O
intervalo máximo de pesquisa é de 3.600 segundos.
Eventos do Regulador / s O número máximo de eventos que o protocolo DHCP pode encaminhar por
segundo. O valor mínimo é 100 EPS. O valor máximo é 20.000 EPS.
Codificação de Arquivo A codificação de caracteres usada pelos eventos em seu arquivo de log.
Ativado Quando essa opção não está ativada, a origem de log não coleta eventos e
não é contada no limite de licença.
Credibilidade credibilidade é uma representação da integridade ou da validade dos
eventos que são criados por uma origem de log. O valor da credibilidade
que é designado a uma origem de log pode aumentar ou diminuir com base
nos eventos recebidos ou ajustados como uma resposta às regras de eventos
criadas pelo usuário. A credibilidade dos eventos das origens de log
contribui para o cálculo da magnitude da ofensa e pode aumentar ou
diminuir o valor de magnitude de uma ofensa.
Coletor de Eventos de Destino Especifica o QRadar Event Collector que pesquisa a origem de log remota.

Use esse parâmetro em uma implementação distribuída para melhorar o

desempenho do sistema do Console ao mover a tarefa de pesquisa para um
Coletor de eventos.

7 Opções de configuração de protocolo 59

Tabela 38. Parâmetros do protocolo Microsoft DHCP (continuação)
Parâmetro Descrição
Unindo Eventos Aumenta a contagem de eventos quando o mesmo evento ocorre diversas
vezes dentro de um curto intervalo de tempo. Os eventos unidos fornecem
uma maneira de visualizar e determinar a frequência com que um tipo de
evento único ocorre na guia Atividade de log.

Quando essa caixa de seleção está desmarcada, os eventos são visualizados

individualmente e não são empacotados.

As origens de log novas e descobertas automaticamente herdam o valor

dessa caixa de seleção das Configurações do sistema na guia Admin. É
possível usar essa caixa de seleção para substituir o comportamento padrão
das configurações do sistema para uma origem de log individual.

Opções de configuração de protocolo Microsoft Exchange

Para receber eventos dos eventos de SMTP, OWA e rastreamento de mensagens dos servidores Microsoft
Windows Exchange 2007, 2010, 2013 e 2017, configure uma origem de log para usar o protocolo Microsoft
Windows Exchange.

O protocolo Microsoft Exchange é um protocolo de saída/ativo.

Os campos para o protocolo Microsoft Exchange que suportam os caminhos de arquivo permitem que os
administradores definam uma letra da unidade com as informações de caminho. Por exemplo, o campo
pode conter o diretório c$/LogFiles/ para um compartilhamento administrativo ou o diretório LogFiles/
para um caminho de pasta de compartilhamento público, mas não pode conter o diretório c:/LogFiles.

Importante: O protocolo Microsoft Exchange não suporta o Microsoft Exchange 2003 nem o protocolo de
autenticação NTLMv2 Session da Microsoft.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Microsoft Exchange:
Tabela 39. Parâmetros do protocolo Microsoft Exchange
Parâmetro Descrição
Configuração de protocolo Microsoft Exchange
Log Source Identifier Digite o endereço IP, o nome do host ou o nome para identificar a sua
origem de log.
Endereço do Servidor O endereço IP ou o nome do host do servidor do Microsoft Exchange.
Domínio Digite o domínio para o servidor do Microsoft Exchange.

Esse parâmetro será opcional se o servidor não estiver em um domínio.

Nome do usuário Digite o nome do usuário necessário para acessar o seu servidor.
Senha Digite a senha necessária para acessar o seu servidor.
Confirmar senha Confirme a senha que é necessária para acessar o servidor.
Caminho de Pasta do Log do SMTP Quando o caminho da pasta for limpo, a coleta de eventos SMTP estará
desativada.

60 Guia de configuração do QRadar DSM

Tabela 39. Parâmetros do protocolo Microsoft Exchange (continuação)
Parâmetro Descrição
Caminho de Pasta do Log do OWA Quando o caminho da pasta for limpo, a coleta de eventos do OWA será
desativada.
Caminho de Pasta do Log do MSGTRK O rastreamento de mensagem está disponível nos servidores Microsoft
Exchange que estiverem designados à função do servidor de transporte de
hub ou transporte de borda.
Use Custom File Patterns Selecione essa caixa de seleção para configurar os padrões de arquivo
customizado. Deixe a caixa de seleção desmarcada para usar os padrões de
arquivo padrão.
MSGTRK File Pattern A expressão regular (regex) que é usada para identificar e fazer download
dos logs MSTRK. Todos os arquivos que corresponderem ao padrão de
arquivo são processados.

O padrão do arquivo padrão é MSGTRK \d +-\d + \. (?:log|LOG)$

MSGTRKMD File Pattern A expressão regular (regex) que é usada para identificar e fazer download
dos logs MSGTRKMD. Todos os arquivos que corresponderem ao padrão de
arquivo são processados.

O padrão do arquivo padrão é MSGTRKMD \d +-\d + \. (?:log|LOG)$

MSGTRKMS File Pattern A expressão regular (regex) que é usada para identificar e fazer download
dos logs MSGTRKMS. Todos os arquivos que corresponderem ao padrão de
arquivo são processados.

O padrão do arquivo padrão é MSGTRKMS \d +-\d + \. (?:log|LOG)$

MSGTRKMA File Pattern A expressão regular (regex) que é usada para identificar e fazer download
dos logs MSGTRKMA. Todos os arquivos que corresponderem ao padrão de
arquivo são processados.

O padrão do arquivo padrão é MSGTRKMA \d +-\d + \. (? :log |

SMTP File Pattern A expressão regular (regex) que é usada para identificar e fazer download
dos logs SMTP. Todos os arquivos que corresponderem ao padrão de
arquivo são processados.

O padrão do arquivo é *\.(?:log|LOG)$

OWA File Pattern A expressão regular (regex) que é usada para identificar e fazer download
dos logs do OWA. Todos os arquivos que corresponderem ao padrão de
arquivo são processados.

O padrão do arquivo é *\.(?:log|LOG)$

Forçar Leitura de Arquivo Se a caixa de seleção estiver desmarcada, o arquivo de log será lido apenas
quando oQRadar detectar uma mudança no horário ou no tamanho do
arquivo modificado.
Recursivo Se você deseja que o padrão do arquivo procure subpastas, use essa opção.
Por padrão, essa caixa de seleção é marcada.
Versão do SMB A versão do SMB a ser usada:
AUTO Detecta automaticamente para a versão mais alta que o cliente e o
servidor concordam em usar.
SMB1 Força o uso de SMB1.
SMB2 Força o uso de SMB2.
Polling Interval (In seconds) Digite o intervalo de pesquisa, que é o número de segundos entre as
consultas aos arquivos de log para verificação de novos dados. O padrão é
10 segundos.

7 Opções de configuração de protocolo 61

Tabela 39. Parâmetros do protocolo Microsoft Exchange (continuação)
Parâmetro Descrição
Eventos Reguladores/Segundo O número máximo de eventos que o protocolo Exchange pode encaminhar
por segundo.
Codificação de Arquivo A codificação de caracteres usada pelos eventos em seu arquivo de log.

Opções de configuração de protocolo Microsoft IIS

É possível configurar uma fonte de log para utilizar o protocolo Microsoft IIS. Este protocolo suporta um
único ponto de coleta para arquivos de log no formato W3C que estão localizados em um servidor da
web Microsoft IIS.

O protocolo Microsoft IIS é um protocolo de saída/ativo.

Os campos para o protocolo Microsoft IIS que suportam os caminhos de arquivo permitem que os
administradores definam uma letra da unidade com as informações de caminho. Por exemplo, o campo
pode conter o diretório c$/LogFiles/ para um compartilhamento administrativo ou o diretório LogFiles/
para um caminho de pasta de compartilhamento público, mas não pode conter o diretório c:/LogFiles.

Restrição: O protocolo de autenticação NTLMv2 da Microsoft não é suportado pelo protocolo Microsoft
IIS.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Microsoft IIS:
Tabela 40. Parâmetros do protocolo Microsoft IIS
Parâmetro Descrição
Configuração do Protocolo Microsoft IIS
Log Source Identifier Digite o endereço IP, o nome do host ou o nome para identificar a sua
origem de log.
Endereço do Servidor O endereço IP ou o nome do host de seu servidor IIS Microsoft.
Domínio Digite o domínio para o servidor IIS Microsoft.

Esse parâmetro será opcional se o servidor não estiver em um domínio.

62 Guia de configuração do QRadar DSM

Tabela 40. Parâmetros do protocolo Microsoft IIS (continuação)
Parâmetro Descrição
Caminho de Pasta do Log O caminho do diretório para acessar os arquivos de log. Por exemplo, os
administradores podem utilizar o diretório c$/LogFiles/ para um
compartilhamento administrativo, ou o diretório LogFiles/ para um
caminho de pasta de compartilhamento público. No entanto, o diretório
c:/LogFiles não é um caminho de pasta de log suportado.

Se um caminho de pasta de log contiver um compartilhamento

administrativo (C$), os usuários com acesso NetBIOS no compartilhamento
administrativo (C$) terão os privilégios que são necessários para ler os
arquivos de log.

Privilégios de administrador de sistema local ou de domínio também são

suficientes para acessar arquivos de log que estão em um compartilhamento
administrativo.
Padrão do Arquivo A expressão regular (regex) que identifica os logs de eventos.
Recursivo Se você deseja que o padrão do arquivo procure subpastas, use essa opção.
Por padrão, essa caixa de seleção é marcada.
Versão do SMB A versão do SMB a ser usada:
AUTO Detecta automaticamente para a versão mais alta que o cliente e o
servidor concordam em usar.
SMB1 Força o uso de SMB1.
SMB2 Força o uso de SMB2.
Intervalo de Polling (Em segundos) Digite o intervalo de pesquisa, que é o número de segundos entre as
consultas aos arquivos de log para verificação de novos dados. O padrão é
10 segundos.
Eventos Reguladores/Segundo O número máximo de eventos que o protocolo IIS pode encaminhar por
segundo.
Codificação de Arquivo A codificação de caracteres usada pelos eventos em seu arquivo de log.

Nota: Se você usar o Advanced IIS Logging, será necessário criar uma nova definição de log. Na janela
Definição de log, assegure-se de que os campos a seguir sejam selecionados na seção Campos
selecionados:
v Data-UTC
v UTC-Tempo
v URI-Raiz
v URI-Sequência de consultas
v Caminho do Conteúdo
v Estado
v Nome do Servidor
v Referer
v Win325Status
v Bytes Sent

Opções de configuração de protocolo Microsoft Security Event Log

É possível configurar uma fonte de log para usar o protocolo Microsoft Security Event Log. É possível
usar a Instrumentação de Gerenciamento do Windows (WMI) da Microsoft para coletar logs de eventos
customizados ou Logs de eventos do Windows sem agente.

7 Opções de configuração de protocolo 63

A API WMI requer que as configurações de firewall aceitem comunicações externas recebidas na porta
135 e em quaisquer portas dinâmicas que forem necessárias para o DCOM. A lista a seguir descreve as
limitações de fonte de log usadas no protocolo Microsoft Security Event Log:
v Os sistemas que excederem 50 eventos por segundo (eps) podem exceder os recursos deste protocolo.
Utilize WinCollect para sistemas que excederem 50 eps.
v Uma instalação integrada do QRadar pode suportar até 250 origens de log com o protocolo Microsoft
Security Event Log.
v Os Coletores de eventos dedicados podem suportar até 500 origens de log usando o protocolo
Microsoft Security Event Log.

O protocolo Microsoft Security Event Log é um protocolo de saída/ativo. Esse protocolo não é sugerido
para servidores remotos que são acessados por meio de links de rede, por exemplo, sistemas que têm
tempos de atraso de roundtrip altos, como redes de satélite ou de WAN lenta. É possível confirmar atraso
de roundtrip, examinando os pedidos e tempo de resposta que estiverem entre um ping do servidor. Os
atrasos de rede que forem criados por conexões lentas diminuem o rendimento de EPS disponível para
esses servidores remotos. Além disso, a coleção de eventos a partir de servidores ocupados ou
controladores de domínio depende dos tempos de atraso de roundtrip baixos para acompanhar os
eventos de entrada. Se não for possível diminuir o tempo de atraso de roundtrip da rede, o WinCollect
poderá ser utilizado para processar eventos do Windows.

O Microsoft Security Event Log suporta as versões de software a seguir com a API de Instrumentação de
Gerenciamento do Windows (WMI) da Microsoft:
v Microsoft Windows 2000
v Microsoft Windows Server 2003
v Microsoft Windows Server 2008
v Microsoft Windows Server 2008R3
v Microsoft Windows XP
v Microsoft Windows Vista
v Microsoft Windows 7

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Microsoft Security
Event Log:
Tabela 41. Parâmetros do protocolo Microsoft Security Event Log
Parâmetro Descrição
Configuração do Protocolo Windows Security Event Log

Protocolo Microsoft Security Event Log sobre MSRPC

O protocolo Microsoft Security Event Log over MSRPC (MSRPC) é um protocolo de saída/ativo que
coleta eventos do Windows sem instalar um agente no host do Windows.

O protocolo MSRPC usa a especificação Microsoft Distributed Computing Environment/Remote

Procedure Call (DCE/RPC) para fornecer uma coleção de eventos criptografada e sem agente. O
protocolo MSRPC fornece maiores taxas de eventos do protocolo padrão Microsoft Windows Security
Event Log, que usa WMI/DCOM para coleção de eventos.

A tabela a seguir lista os recursos suportados do protocolo MSRPC.

Tabela 42. Recursos suportados do protocolo MSRPC
Recurso Protocolo Microsoft Security Event Log sobre MSRPC
Fabricante Microsoft

64 Guia de configuração do QRadar DSM

Tabela 42. Recursos suportados do protocolo MSRPC (continuação)
Recurso Protocolo Microsoft Security Event Log sobre MSRPC
Ferramenta de teste de conexão A ferramenta de teste MSRPC verifica a conexão entre o
dispositivo QRadar e um host Windows. A ferramenta de
teste MSRPC faz parte do RPM do protocolo MSRPC e
pode ser localizada em /opt/qradar/jars depois de
instalar o protocolo. Para obter mais informações,
consulte Ferramenta de teste MSRPC
(http://www.ibm.com/support/
docview.wss?uid=swg21959348)
Tipo de Protocolo O tipo de sistema operacional dependente do protocolo
de procedimento remoto para coleção de eventos.

Selecione uma das opções da lista Tipo de protocolo a

seguir:
MS-EVEN6
O tipo de protocolo padrão para novas origens
de log.
O tipo de protocolo que é usado pelo QRadar
para se comunicar com o Windows Vista e o
Windows Server 2008 e mais recente.
MS-EVEN (para Windows XP/2003)
O tipo de protocolo que é usado pelo QRadar
para se comunicar com o Windows XP e
Windows Server 2003.
O Windows XP e o Windows Server 2003 não
são suportados pela Microsoft. O uso dessa
opção pode não ser bem-sucedido.
detecção automática (para as configurações anteriores)
As configurações anteriores da origem de log
para o Microsoft Windows Security Event Log
DSM usam o tipo de protocolo detecção
automática (para as configurações anteriores).
Faça upgrade para o tipo de protocolo
MS_EVEN6 ou MS-EVEN (para Windows
XP/2003).
Taxa máxima de EPS 100 EPS/hosts Windows
Taxa de EPS geral máxima de MSRPC 8500 EPS/dispositivo IBM QRadar 16xx ou 18xx
Número máximo de origens de log suportadas 500 origens de log/dispositivo QRadar 16xx ou 18xx
Suporte de origem de log em massa SIM
Encryption SIM
Tipos de eventos suportados Aplicativo

Sistema

Security

Servidor DNS

Replicação de Arquivos

logs de Serviço de diretório

7 Opções de configuração de protocolo 65

Tabela 42. Recursos suportados do protocolo MSRPC (continuação)
Recurso Protocolo Microsoft Security Event Log sobre MSRPC
Sistemas operacionais Windows suportados Windows Server 2016 (incluindo Núcleo)

Windows Server 2012 (incluindo Núcleo)

Windows Server 2008 (incluindo Núcleo)

Windows 10

Windows 8

Windows 7

O MSRPC não é suportado em versões do Microsoft

Windows com status de término de vida como Windows
2003 e Windows XP.
Permissões requeridas O usuário de origem de log deve ser um membro do
grupo de leitores de log de eventos. Se esse grupo não
estiver configurado, os privilégios do administrador de
domínio serão necessários na maioria dos casos para
pesquisar um log de eventos do Windows em um
domínio. Em alguns casos, o grupo de operadores de
backup pode ser usado dependendo de como os Objetos
de política de grupo da Microsoft estão configurados.

Os usuários do sistema operacional Windows XP e 2003

requerem acesso de leitura para as chaves de registro a
seguir:
v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\eventlog
v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Nls\Language
v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
Windows\CurrentVersion

O QRadar não fornece suporte para integrações

Windows 2003 porque esse sistema operacional atingiu
seu término de vida.
Arquivos RPM necessários PROTOCOL-WindowsEventRPC-QRadar_release-
Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-
Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Requisitos do serviço do Windows
Para Windows Vista e mais recente
Chamada de Procedimento Remoto (RPC)
RPC Endpoint Mapper
Para Windows 2003
Registro remoto
Servidor

66 Guia de configuração do QRadar DSM

Tabela 42. Recursos suportados do protocolo MSRPC (continuação)
Recurso Protocolo Microsoft Security Event Log sobre MSRPC
Requisitos de porta do Windows
Para Windows Vista e mais recente
Porta TCP 135
Porta TCP 445
Porta TCP que é dinamicamente alocada para
RPC, acima de 49152
Para Windows 2003
Porta TCP 445
Porta TCP 139
Recursos Especiais Suporta eventos criptografados por padrão.
Descobertos automaticamente? No
Inclui identidade? SIM
Inclui propriedades customizadas? Um pacote de conteúdo de segurança com as
propriedades de evento customizado do Windows está
disponível no Fix Central da IBM.
Aplicação desejada A coleção de eventos sem agente para os sistemas
operacionais Windows que podem suportar 100 EPS por
origem de log.
Ajustando o suporte O MSRPC está limitado a 100 EPS/host do Windows.
Para sistemas de taxa de eventos mais alta, consulte o
Guia do Usuário do IBM QRadar WinCollect.
Suporte de filtragem de eventos O MSRPC não suporta filtragem de eventos. Consulte o
Guia do Usuário do IBM QRadar WinCollect para este
recurso.
Informações adicionais Suporte do Microsoft (http://support.microsoft.com/)

Em contraste com WMI/DCOM, o protocolo MSRPC fornece o dobro do EPS. As taxas de eventos são
mostradas na tabela a seguir.
Tabela 43. Contraste entre as taxas de evento de MSRPC e WMI/DCOM
Nome Tipo de Protocolo Taxa máxima de evento
Microsoft Security Event Log WMI/DCOM 50 EPS/hosts Windows
Microsoft Security Event Log sobre MSRPC 100 EPS/host Windows
MSRPC

Opções de configuração do protocolo MQ

Para receber mensagens de um serviço message queue (MQ), configure uma origem do log para utilizar o
protocolo MQ. O nome do protocolo aparece no IBM QRadar como MQ JMS.

IBM MQ é suportado.

O protocolo MQ é um protocolo de entrada/passivo que pode monitorar múltiplas filas de mensagens,

até um máximo de 50 por origem de log.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo MQ:

7 Opções de configuração de protocolo 67

Tabela 44. Parâmetros do protocolo MQ
Parâmetro Descrição
Nome do protocolo MQ JMS
IP ou Nome do Host O endereço IP ou o nome do host do gerenciador de filas primário.
Porta A porta padrão que é usada para comunicação com o gerenciador de filas
primário é 1414.
IP ou nome do host de espera O endereço IP ou o nome do host do gerenciador de filas em espera.
Porta em espera A porta que é usada para se comunicar com o gerenciador de filas em
espera.
Gerenciador de Filas O nome do gerenciador de filas.
Canal O canal através do qual o gerenciador de filas envia mensagens. O canal
padrão é SYSTEM.DEF.SVRCONN.
Queue A fila ou lista de filas a monitorar. Uma lista de filas é especificada com
uma lista separada por vírgula.
Nome do Usuário O nome do usuário que é usado para autenticação com o serviço MQ.
Senha Opcional: A senha que é usada para autenticar com o serviço MQ.
Codificação de mensagem recebida A codificação de caracteres que é usada por mensagens recebidas.
Campos computacionais do processo Selecione esta opção se as mensagens recuperadas contiverem dados
computacionais. Os dados binários nas mensagens serão processados de
acordo com a definição de campo encontrada no arquivo CopyBook
especificado.
Nome do arquivo CopyBook O nome do arquivo CopyBook a ser usado para o processamento de dados.
O arquivo CopyBook deve ser colocado em /store/ec/mqjms/*
Formatador de Eventos Selecione a formatação do evento a ser aplicada para os eventos gerados do
processamento de dados contendo campos computacionais. Por padrão,
Nenhuma formatação é usada.
Incluir cabeçalho da mensagem JMS Selecione esta opção para incluir um cabeçalho em cada evento gerado
contendo campos de mensagem JMS como o JMSMessageID e o
JMSTimestamp.
Regulador de EPS O limite superior para o número máximo de eventos por segundo (EPS).

Conceitos relacionados:
“Criando um documento de extensões de origem de log para obter dados no QRadar” na página 115
Crie extensões de origem de log (LSX) quando as origens de log não tiverem um DSM suportado, para
reparar um evento que tenha informações ausentes ou incorretas ou para analisar um evento quando o
DSM associado falhar ao produzir um resultado.
Tarefas relacionadas:
“Construindo um DSM Universal” na página 97
A primeira etapa na construção de um DSM Universal é criar a origem de log no IBM QRadar. Quando
você cria a origem de log, ela evita que os logs sejam classificados automaticamente e é possível exportar
os logs para revisão.

Opções de configuração de protocolo de API REST Okta

Para receber eventos do Okta, configure uma origem de log para usar o protocolo de API REST Okta.

O protocolo de API de REST Okta é um protocolo de saída/ativo que consulta os terminais de API de
Eventos e Usuários do Okta para recuperar informações sobre ações que são concluídas por usuários em
uma organização.

68 Guia de configuração do QRadar DSM

A tabela a seguir descreve os parâmetros específicos do protocolo para o protocolo de API REST Okta:
Tabela 45. Parâmetros do protocolo de API REST Okta
Parâmetro Descrição
IP ou Nome do Host oktaprise.okta.com
Token de Autenticação Um único token de autenticação que é gerado pelo console Okta e deve ser
usado para todas as transações de API.
Utilizar Proxy Quando um proxy é configurado, todo o tráfego para a origem de log
percorre o proxy para o QRadar para acessar o Okta.

Configure os campos IP ou nome do host do proxy, Porta de proxy, Nome

Opções de configuração de protocolo OPSEC/LEA

Para receber eventos na porta 18184, configure uma origem do log para usar o protocolo OPSEC/LEA.

O protocolo OPSEC/LEA é um protocolo de saída/ativo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo OPSEC/LEA:

Tabela 46. Parâmetros do protocolo OPSEC/LEA
Parâmetro Descrição
Configuração de protocolo OPSEC/LEA
Identificador de Fonte de Log O endereço IP, o nome do host ou qualquer nome para identificar o
dispositivo.

Deve ser exclusivo para o tipo de origem de log.

IP do servidor Digite o endereço IP do servidor.
Porta do servidor O número da porta que é usado para comunicação OPSEC. O intervalo
válido vai de 0 a 65.536 e o padrão é 18184.
Usar IP do servidor para origem de Marque a caixa de seleção Usar IP do servidor para origem de log se
log desejar usar o endereço IP do servidor LEA em vez do endereço IP do
dispositivo gerenciado para uma origem de log. Por padrão, essa caixa de
seleção é marcada.
Intervalo do relatório de estatísticas O intervalo, em segundos, durante o qual o número de eventos do syslog é
registrado no arquivo qradar.log. O intervalo válido é de 4 a 2.147.483.648 e
o intervalo padrão é 600.
Tipo de Autenticação Na lista, selecione o Tipo de autenticação que você deseja usar para essa
configuração do LEA. As opções são sslca (padrão), sslca_clear ou clear.
Esse valor deve corresponder ao método de autenticação que é usado pelo
servidor.
Atributo SIC de objeto de aplicativo O nome do Secure Internal Communications (SIC) é o nome distinto (DN)
OPSEC (nome do SIC) do aplicativo; por exemplo: CN=LEA, o=fwconsole..7psasx.

7 Opções de configuração de protocolo 69

Tabela 46. Parâmetros do protocolo OPSEC/LEA (continuação)
Parâmetro Descrição
Atributo SIC de origem de log O nome SIC do servidor, por exemplo: cn=cp_mgmt,o=fwconsole.7 psasx.
(nome do SIC de entidade)
Especificar certificado Marque essa caixa de seleção se você desejar definir um certificado para
essa configuração do LEA. O QRadar tenta recuperar o certificado usando
esses parâmetros quando o certificado é necessário.
Nome do arquivo de certificado Essa opção será exibida somente se Especificar certificado estiver
selecionado. Digite o nome do arquivo do certificado que deseja usar para
esta configuração. O arquivo de certificado deve estar localizado no
diretório /opt/qradar/conf/trusted_certificates/lea.
IP da autoridade de certificação Digite o endereço IP do Check Point Manager Server.
Obter senha de certificado Digite a senha da chave de ativação.
Aplicativo OPSEC O nome do aplicativo que faz a solicitação de certificado.
Ativado Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa
caixa de seleção é marcada.
Credibilidade Na lista, selecione a Credibilidade da origem de log. O intervalo é de 0 –
10.

A credibilidade indica a integridade de um evento ou ofensa conforme

determinado pela classificação de credibilidade a partir dos dispositivos de
origem. Credibilidade aumenta se várias fontes relatam o mesmo evento. O
padrão é 5.
Coletor de eventos de destino Na lista, selecione o Coletor de eventos de destino a ser usado como o
destino da origem de log.
Unindo eventos Marque a caixa de seleção Unindo eventos para permitir que a origem de
log una (empacote) eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor

Por padrão, as origens de log descobertas automaticamente herdam o valor

Importante: Se você receber a mensagem de erro Não é possível obter o certificado SSL após um
upgrade, siga estas etapas:
1. Limpe a caixa de seleção Especificar certificado.
2. Insira novamente a senha para Efetuar pull da senha do certificado.

Opções de configuração de protocolo Oracle Database Listener

Para coletar remotamente os arquivos de log que são gerados a partir de um servidor de banco de dados
Oracle, configure uma fonte de log para utilizar a origem do protocolo Oracle Database Listener.

O protocolo Oracle Database Listener é um protocolo de saída/ativo.

70 Guia de configuração do QRadar DSM

Antes de configurar o protocolo Oracle Database Listener para monitorar arquivos de log para
processamento, você deverá obter o caminho do diretório para os arquivos de log do banco de dados
Oracle.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Oracle Database
Listener:
Tabela 47. Parâmetros do protocolo Oracle Database Listener
Parâmetro Descrição
Configuração do Protocolo Listener de Banco de Dados Oracle
Log Source Identifier Digite o endereço IP, o nome do host ou o nome para identificar a sua
origem de log.
Endereço do Servidor O endereço IP ou o nome do host de seu servidor Oracle Database Listener.
Domínio Digite o domínio para o servidor Oracle Database Learner.

Esse parâmetro será opcional se o servidor não estiver em um domínio.

Nome do Usuário Digite o nome do usuário necessário para acessar o seu servidor.
Senha Digite a senha necessária para acessar o seu servidor.
Confirmar senha Confirme a senha que é necessária para acessar o servidor.
Caminho de Pasta do Log Digite o caminho do diretório para acessar os arquivos de log do Oracle
Database Listener.
Padrão do Arquivo A expressão regular (regex) que identifica os logs de eventos.
Forçar Leitura de Arquivo Marque essa caixa de seleção para forçar o protocolo a ler o arquivo de log
quando a sincronização do intervalo de pesquisa especifica.

Quando a caixa de seleção está marcada, a origem do arquivo de log sempre

é examinada quando o intervalo de pesquisa especifica, independentemente
do horário da última modificação ou do atributo de tamanho do arquivo.

Quando a caixa de seleção não está marcada, a origem do arquivo de log é

examinada no intervalo de pesquisa, se o horário da última modificação ou
os atributos de tamanho de arquivo mudarem.
Recursivo Se você deseja que o padrão do arquivo procure subpastas, use essa opção.
Por padrão, essa caixa de seleção é marcada.
Versão do SMB A versão do SMB a ser usada:
AUTO Detecta automaticamente para a versão mais alta que o cliente e o
servidor concordam em usar.
SMB1 Força o uso de SMB1.
SMB2 Força o uso de SMB2.
Intervalo de Polling (em segundos) Digite o intervalo de pesquisa, que é o número de segundos entre as
consultas aos arquivos de log para verificação de novos dados. O padrão é
10 segundos.
Eventos do Regulador / s O número máximo de eventos que o protocolo Oracle Database Listener
encaminha por segundo.
Codificação de Arquivo A codificação de caracteres usada pelos eventos em seu arquivo de log.

7 Opções de configuração de protocolo 71

Opções de configuração de protocolo PCAP Syslog Combination
Para coletar eventos do Juniper SRX Series Services Gateway ou Juniper Junos OS Platform que
encaminham dados de captura de pacote (PCAP), configure uma origem de log para usar o protocolo
PCAP Syslog Combination.

O protocolo PCAP Syslog Combination é um protocolo de entrada/passivo.

Antes de configurar uma origem de log que use o protocolo PCAP Syslog Combination, determine a
porta do PCAP de saída configurada no Juniper SRX Series Services Gateway ou Juniper Junos OS
Platform. Os dados de PCAP não podem ser encaminhados para a porta 514.

Nota:

O QRadar suporta receber dados do PCAP somente do Juniper SRX Series Services Gateway ou do
Juniper Junos OS Platform para cada coletor de eventos.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo PCAP Syslog
Combination:
Tabela 48. Parâmetros do protocolo PCAP Syslog Combination.
Parâmetro Descrição
Nome da Fonte de Log Digite um nome exclusivo da origem de log.
Descrição da Origem de Log Opcional. Digite uma descrição para a origem de log.
Tipo de origem de log Na lista, é possível selecionar Juniper SRX Series Services Gateway ou
Juniper Junos OS Platform.
Configuração do Protocolo Na lista, selecione PCAP Syslog Combination.
Identificador de Fonte de Log Digite um endereço IP, nome de host ou nome para identificar o dispositivo
Juniper SRX Series Services Gateway ou Juniper Junos OS Platform.

O identificador de origem de log deve ser exclusivo para o tipo de origem

de log.
Porta de PCAP Recebido Se a porta do PCAP de saída for editada no dispositivo Juniper SRX Series
Services Gateway ou Juniper Junos OS Platform, a origem de log deverá
ser editada para atualizar a Porta do PCAP de entrada.

Para editar o número da Porta de PCAP Recebido, conclua as seguintes

etapas:
1. Digite o novo número de porta para receber dados de PCAP
2. Clique em Salvar.

A atualização de porta está concluída e a coleção de eventos é iniciada no

novo número de porta.
Ativado Selecione essa caixa de seleção para ativar a origem de log.

Quando essa caixa de seleção estiver desmarcada, a origem de log não

coletará eventos nem será contada no limite de licença.

72 Guia de configuração do QRadar DSM

Tabela 48. Parâmetros do protocolo PCAP Syslog Combination. (continuação)
Parâmetro Descrição
Credibilidade Selecione a credibilidade da origem de log. O intervalo é 0 (mais baixo) a 10
(o mais alto). A credibilidade padrão é 5.

credibilidade é uma representação da integridade ou da validade dos

eventos que são criados por uma origem de log. O valor da credibilidade
que é designado para uma origem de log pode aumentar ou diminuir com
base nos eventos recebidos ou ajustados como uma resposta às regras de
eventos criadas pelo usuário. A credibilidade dos eventos das origens de log
contribui para o cálculo da magnitude da ofensa e pode aumentar ou
diminuir o valor de magnitude de uma ofensa.
Coletor de Eventos de Destino Selecione o destino para a origem de log. Quando uma origem de log coleta
ativamente eventos de uma origem remota, este campo definirá qual
dispositivo pesquisará os eventos.

Essa opção permite que os administradores pesquisem e processem eventos

no coletor de eventos de destino e não no dispositivo do Console. Isso pode
melhorar o desempenho em implementações distribuídas.
Unindo Eventos Marque essa caixa de seleção para permitir que a origem do log una
(empacote) eventos.

A união de eventos aumenta a contagem de eventos quando o mesmo

evento ocorrer diversas vezes dentro de um intervalo de tempo curto. Os
eventos unidos permitem que os administradores visualizem e determinem
a frequência com que um tipo de evento único ocorre na guia Atividade do
Log.

Quando essa caixa de seleção estiver desmarcada, os eventos serão exibidos

individualmente e as informações não serão incluídas em um pacote
configurável.

As origens de log novas e descobertas automaticamente herdam o valor

dessa caixa de seleção das Configurações do sistema na guia Admin. Os
administradores podem utilizar esta caixa de seleção para substituir o
comportamento padrão das configurações do sistema para uma origem de
log individual.
Armazenar Carga Útil do Evento Marque essa caixa de seleção para permitir que a origem do log armazene
as informações de carga útil de um evento.

As origens de log novas e descobertas automaticamente herdam o valor

dessa caixa de seleção das Configurações do sistema na guia Admin. Os
administradores podem utilizar esta caixa de seleção para substituir o
comportamento padrão das configurações do sistema para uma origem de
log individual.
Extensão de origem de log Opcional. Selecione o nome da extensão para aplicar à origem de log.

Esse parâmetro está disponível após a extensão de origem de log ser

transferida por upload. As extensões de origem de log são arquivos XML
que contêm expressões regulares que podem substituir ou reparar os
padrões de análise de eventos que são definidos por um módulo de suporte
de dispositivo (DSM).
Condição de Uso da Extensão Na caixa de listagem, selecione a condição de uso para a extensão de origem
de log. As opções incluem:
v Aprimoramento de análise – Selecione esta opção quando a maioria dos
campos for analisada corretamente para sua origem do log.
v Substituição de análise – Selecione esta opção quando a origem de log
não conseguir analisar corretamente os eventos.

7 Opções de configuração de protocolo 73

Tabela 48. Parâmetros do protocolo PCAP Syslog Combination. (continuação)
Parâmetro Descrição
Groups Selecione um ou mais grupos para a origem do log.

Opções de configuração de protocolo SDEE

É possível configurar uma fonte de log para utilizar o protocolo Security Device Event Exchange (SDEE).
O QRadar utiliza o protocolo para coletar eventos a partir de dispositivos que utilizam servidores SDEE.

O protocolo SDEE é um protocolo de saída/ativo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo SDEE:

Tabela 49. Parâmetros do protocolo SDEE
Parâmetro Descrição
Configuração do Protocolo SDEE
URL A URL HTTP ou HTTPS que é necessária para acessar a origem de log, por
exemplo, https://www.example.com/cgi-bin/sdee-server.

Para SDEE/CIDEE (Cisco IDS v5.x e superior), a URL deve terminar com
/cgi-bin/sdee-server. Para administradores com RDEP (Cisco IDS v4.x e
superior), a URL deve terminar com /cgi-bin/event-server.
Forçar Assinatura Quando a caixa de seleção for marcada, o protocolo força o servidor a
eliminar o mínimo de conexões ativas e aceitar uma nova conexão de
assinatura SDEE para a origem do log.
Espera Máxima para Bloqueio de Quando uma solicitação de coleta é feita e nenhum evento novo estiver
Eventos disponível, o protocolo permite um bloqueio de eventos. O bloqueio evita
que outra solicitação de evento seja feita em um dispositivo remoto que não
tinha nenhum novo evento. Esse tempo limite é destinado a conservar
recursos do sistema.

Opções de configuração de protocolo SMB Tail

É possível configurar uma fonte de log para utilizar o protocolo SMB Tail. Utilize esse protocolo para ver
os eventos em um compartilhamento Samba remoto e receber eventos do compartilhamento Samba
quando novas linhas forem incluídas no log de eventos.

O protocolo SMB Tail é um protocolo de saída/ativo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo SMB Tail:
Tabela 50. Parâmetros do protocolo SMB Tail
Parâmetro Descrição
Configuração do Protocolo SMB Tail
Endereço do Servidor O endereço IP ou o nome do host de seu servidor SMB Tail.
Domínio Digite o domínio para o servidor SMB Tail.

Esse parâmetro será opcional se o servidor não estiver em um domínio.

74 Guia de configuração do QRadar DSM

Tabela 50. Parâmetros do protocolo SMB Tail (continuação)
Parâmetro Descrição
Caminho de Pasta do Log O caminho do diretório para acessar os arquivos de log. Por exemplo, os
administradores podem utilizar o diretório c$/LogFiles/ para um
compartilhamento administrativo, ou o diretório LogFiles/ para um
caminho de pasta de compartilhamento público. No entanto, o diretório
c:/LogFiles não é um caminho de pasta de log suportado.

Se um caminho de pasta de log contiver um compartilhamento

administrativo (C$), os usuários com acesso NetBIOS no compartilhamento
administrativo (C$) terão os privilégios que são necessários para ler os
arquivos de log.

Privilégios de administrador de sistema local ou de domínio também são

suficientes para acessar arquivos de log que estão em um compartilhamento
administrativo.
Padrão do Arquivo A expressão regular (regex) que identifica os logs de eventos.
Versão do SMB A versão do SMB a ser usada:
AUTO Detecta automaticamente para a versão mais alta que o cliente e o
servidor concordam em usar.
SMB1 Força o uso de SMB1.
SMB2 Força o uso de SMB2.
Forçar Leitura de Arquivo Se a caixa de seleção estiver desmarcada, o arquivo de log será lido apenas
quando oQRadar detectar uma mudança no horário ou no tamanho do
arquivo modificado.
Recursivo Se você deseja que o padrão do arquivo procure subpastas, use essa opção.
Por padrão, essa caixa de seleção é marcada.
Intervalo de Polling (Em segundos) Digite o intervalo de pesquisa, que é o número de segundos entre as
consultas aos arquivos de log para verificação de novos dados. O padrão é
10 segundos.
Eventos Reguladores/Segundo O número máximo de eventos que o protocolo SMB Tail encaminha por
segundo.
Codificação de Arquivo A codificação de caracteres usada pelos eventos em seu arquivo de log.

Opções de configuração de protocolo SNMPv2

É possível configurar uma fonte de log para utilizar o protocolo SNMPv2 para receber eventos SNMPv2.

O protocolo SNMPv2 é um protocolo de entrada/passivo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo SNMPv2:

Tabela 51. Parâmetros do protocolo SNMPv2
Parâmetro Descrição
Configuração do Protocolo SNMPv2
Comunidade O nome da comunidade do SNMP que é necessária para acessar o sistema
que contém eventos SNMP.

7 Opções de configuração de protocolo 75

Tabela 51. Parâmetros do protocolo SNMPv2 (continuação)
Parâmetro Descrição
Incluir OIDs na Carga Útil do Evento Especifica que a carga útil do evento SNMP seja construída utilizando os
pares nome-valor em vez do formato de carga útil de eventos.

Ao selecionar origens de log específicas na lista Tipos de Origem de Log,

OIDs na carga útil do evento são requeridas para processamento de eventos
SNMPv2 ou SNMPv3.

Opções de configuração de protocolo SNMPv3

É possível configurar uma fonte de log para utilizar o protocolo SNMPv3 para receber eventos do
SNMPv3.

O protocolo SNMPv3 é um protocolo de entrada/passivo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo do SNMPv3:

Tabela 52. Parâmetros do protocolo SNMPv3
Parâmetro Descrição
Configuração do Protocolo SNMPv3
Protocolo de Autenticação Os algoritmos a serem utilizados para autenticar os traps SNMP:
Incluir OIDs na Carga Útil do Evento Especifica que a carga útil do evento SNMP é construída utilizando os pares
nome-valor em vez do formato de carga útil de eventos padrão. Ao
selecionar origens de log específicas na lista Tipos de Origem de Log, OIDs
na carga útil do evento são requeridas para processamento de eventos
SNMPv2 ou SNMPv3.

Opções de configuração de protocolo de API REST Seculert Protection

Para receber eventos do Seculert, configure uma origem de log para usar o protocolo de API REST
Seculert Protection.

O protocolo de API de REST do Seculert Protection é um protocolo de saída/ativo. O Seculert Protection

fornece alertas sobre incidentes confirmados de malware que estão comunicando ou retirando
informações ativamente.

Para poder configurar uma origem de log para o Seculert, deve-se obter sua chave de API a partir do
portal da web do Seculert.
1. Efetue login no portal da web Seculert.
2. No painel, clique na guia API.
3. Copie o valor para Sua chave de API.

A tabela a seguir descreve os parâmetros específicos do protocolo para o protocolo de API REST Seculert
Protection:
Tabela 53. Parâmetros do protocolo de API REST Seculert Protection
Parâmetro Descrição
Tipo de Fonte de Log Seculert
Configuração do Protocolo API REST do Seculert Protection

76 Guia de configuração do QRadar DSM

Tabela 53. Parâmetros do protocolo de API REST Seculert Protection (continuação)
Parâmetro Descrição
Log Source Identifier Digite o endereço IP ou o nome do host para a origem de log como um
identificador para eventos do Seculert.

Cada origem de log adicional que você cria quando tem várias instalações
inclui de forma ideal um identificador exclusivo, como um endereço IP ou
nome do host.
Chave da API A chave da API que é usada para autenticação com a API REST Seculert
Protection. O valor da chave da API é obtido a partir do portal da web do
Seculert.
Usar Proxy Ao configurar um proxy, todo o tráfego para a origem de log percorre o
proxy para que o QRadar acesse a API REST Seculert Protection.

Configure os campos IP ou nome do host do proxy, Porta de proxy, Nome

do usuário de proxy e Senha de proxy. Se o proxy não requerer
autenticação, será possível deixar os campos Nome do usuário de proxy e
Senha de proxy em branco.
Adquirir automaticamente Se você selecionar Sim na lista, o QRadar fará download do certificado e
certificado(s) de servidor começará a confiar no servidor de destino.
Recorrência Especifique quando o log coleta dados. O formato é M/H/D para
Meses/Horas/Dias. O padrão é 1 M.
Regulador de EPS O limite superior para o número máximo de eventos por segundo (eps)
para eventos que são recebidos da API.
Ativado Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa
caixa de seleção é marcada.
Credibilidade Selecione a Credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme

determinado pela classificação de credibilidade a partir dos dispositivos de
origem. Credibilidade aumenta se várias fontes relatam o mesmo evento. O
padrão é 5.
Coletor de Eventos de Destino Selecione o Coletor de eventos de destino a ser usado como destino para a
origem de log.
Unindo Eventos Marque essa caixa de seleção para permitir que a origem do log una
(empacote) eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor

da lista Eventos unidos das configurações do sistema em QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível
substituir o valor padrão configurando esta opção para cada origem de log.
Armazenar Carga Útil do Evento Selecione essa caixa de seleção para ativar que a origem de log armazene as
informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor

da lista Armazenar carga útil do evento de Configurações do sistema em
QRadar. Ao criar uma origem de log ou editar uma configuração existente,
é possível substituir o valor padrão configurando esta opção para cada
origem de log.

7 Opções de configuração de protocolo 77

Opções de configuração de protocolo Sophos Enterprise Console
JDBC
Para receber eventos dos Sophos Enterprise Consoles, configure uma fonte de log para utilizar o
protocolo Sophos Enterprise Console JDBC.

O protocolo Sophos Enterprise Console JDBC é um protocolo de saída/ativo que combina as informações
de carga útil dos logs de controle de aplicativo, logs de controle de dispositivo, logs de controle de
dados, logs de proteção contra violação e logs de firewall na tabela vEventsCommonData. Se o Sophos
Enterprise Console não tiver o Sophos Reporting Interface, será possível utilizar o protocolo JDBC padrão
para coletar eventos de antivírus.

A tabela a seguir descreve os parâmetros para o protocolo Sophos Enterprise Console JDBC:
Tabela 54. Parâmetros do protocolo Sophos Enterprise Console JDBC
Parâmetro Descrição
Configuração do Protocolo Sophos Enterprise Console JDBC
Tipo do Banco de Dados MSDE
Nome do Banco de Dados O nome do banco de dados deve corresponder ao nome do banco de dados
que é especificado no campo Identificador de Origem de Log.
Port A porta padrão para o MSDE no Sophos Enterprise Console é 1168. A porta
de configuração JDBC deve corresponder à porta do listener do banco de
dados Sophos para se comunicar com QRadar. O banco de dados Sophos
deve ter conexões TCP de entrada ativadas.

Se uma Instância de Banco de Dados for usada com o tipo de banco de

dados MSDE, deve-se deixar o parâmetro Porta em branco.
Domínio de Autenticação Se a rede não usar um domínio, deixe este campo em branco.
Instância de Banco de Dados A instância do banco de dados, se necessário. Os bancos de dados MSDE
podem incluir diversas instâncias do servidor SQL em um servidor.

Quando uma porta não padrão é utilizada para o banco de dados ou os

administradores bloquearem o acesso à porta 1434 para a resolução do
banco de dados SQL, o parâmetro Instância do Banco de Dados deverá
estar em branco.
Nome da tabela vEventsCommonData
Selecionar Lista *
Comparar Campo InsertedAt
Usar Instruções Preparadas Instruções preparadas permitem que a origem do protocolo configure a
instrução SQL e, em seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, a maioria
das configurações pode usar as instruções preparadas. Desmarque essa
caixa de seleção para utilizar um método alternativo de consulta que não
utilize instruções pré-compiladas.
Data e Horário de Início Opcional. Uma data e hora de início para quando o protocolo pode começar
a pesquisar o banco de dados. Se um horário de início não estiver definido,
o protocolo tentará pesquisar eventos após a configuração de fonte de log
ser salva e implementada.
Intervalo de Pesquisa O intervalo de pesquisa, que é a quantia de tempo entre as consultas para o
banco de dados. É possível definir um intervalo de pesquisa maior ao
anexar H para horas ou M para minutos ao valor numérico. O intervalo
máximo de pesquisa é 1 semana em qualquer formato de horário. Os
valores numéricos sem uma pesquisa de designador H ou M em segundos.

78 Guia de configuração do QRadar DSM

Tabela 54. Parâmetros do protocolo Sophos Enterprise Console JDBC (continuação)
Parâmetro Descrição
Regulador de EPS O número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda.
Usar Comunicação de Canal Nomeado Se o MSDE estiver configurado como o tipo de banco de dados, os
administradores poderão marcar essa caixa de seleção para utilizar um
método alternativo para uma conexão de porta TCP/IP.

As conexões de canal nomeadas para os bancos de dados MSDE requerem

que o campo de nome de usuário e senha use um nome de usuário e uma
senha de autenticação do Windows e não o nome de usuário e a senha do
banco de dados. A configuração da fonte de log deve utilizar um canal
nomeado padrão no banco de dados MSDE.
Nome do Cluster do Banco de Dados Se você utilizar seu servidor SQL em um ambiente em cluster, defina o
nome do cluster para assegurar que as comunicações de canal nomeado
funcionem corretamente.
Usar NTLMv2 Força as conexões MSDE a usarem o protocolo NTLMv2 com servidores
SQL que requerem autenticação NTLMv2. O valor padrão da caixa de
seleção é selecionado.

A caixa de seleção Usar NTLMv2 não interrompe as comunicações das

conexões MSDE que não requererem autenticação NTLMv2.

Opções do protocolo Sourcefire Defense Center eStreamer

O protocolo Sourcefire Defense Center eStreamer é agora conhecido como protocolo Cisco Firepower
eStreamer.

Visão geral do protocolo Syslog Redirect

O protocolo Syslog Redirect é um protocolo de entrada/passivo que é usado como uma alternativa para
o protocolo Syslog. Use esse protocolo quando desejar identificar com o QRadar o nome do dispositivo
específico que enviou os eventos. O QRadar pode atender passivamente os eventos do Syslog na porta
517 do UDP.

A tabela a seguir descreve os parâmetros específicos do protocolo para o protocolo Syslog Redirect:
Tabela 55. Parâmetros do protocolo Syslog Redirect
Parâmetro Descrição
Configuração de protocolo Syslog Redirect
Regex do identificador de origem de devname=([\w-]+)
log
Sequência de formato Regex do Digite o nome do host do cabeçalho de syslog no campo Nome da origem
identificador de origem de log de log.

É possível usar grupos de captura para substituir o nome do host do

cabeçalho de syslog. Especifique a substituição do grupo de captura usando
\x em que x é um número de grupo que contém uma expressão regular
(regex). É possível usar vários grupos de captura.

Por exemplo, se o nome da origem de carga útil for hostname=(.*?) e o

regex no grupo de captura 1 for ibm, digite \1.hostname.com para
customizar a carga útil para o nome do host a seguir:

ibm.hostname.com

7 Opções de configuração de protocolo 79

Tabela 55. Parâmetros do protocolo Syslog Redirect (continuação)
Parâmetro Descrição
Executar Consulta de DNS Em Marque a caixa de seleção Executar consulta de DNS em correspondência
Correspondência Regex de expressão regular para ativar a funcionalidade DNS, que é baseada no
valor de parâmetro Identificador de origem de log.

Por padrão, a caixa de seleção não é marcada.

Porta de escuta 517
Protocolo UDP

Opções de configuração de protocolo syslog de multilinhas TCP

É possível configurar uma fonte de log que usa o protocolo syslog de multilinhas TCP. O protocolo TCP
Multiline Syslog é um protocolo de entrada/passivo que usa expressões regulares para identificar o
padrão de início e de término de eventos multilinhas.

O exemplo a seguir é um evento multilinhas:

06/13/2012 08:15:15 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5156
EventType=0
TaskCategory=Filtering Platform Connection
Keywords=Audit Success
Message=The Windows Filtering Platform permitted a connection.
Process ID: 4
Application Name: System
Direction: Inbound
Source Address: <IP_address>
Source Port: 80
Destination Address: <IP_address>
Destination Port:444

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo syslog de multilinhas
TCP:
Tabela 56. Parâmetros do protocolo syslog multilinhas TCP
Parâmetro Descrição
Configuração do Protocolo Syslog de Multilinhas TCP
Log Source Identifier Digite um endereço IP ou nome do host para identificar a origem de log.
Para usar um nome, selecione Usar nome de origem customizado e
preencha os parâmetros Regex de nome de origem e Sequência de
formatação de nome de origem.
Nota: Esses parâmetros estarão disponíveis apenas se Mostrar opções
avançadas estiver configurado como Sim.
Porta de escuta A porta padrão é 12468.
Método de agregação O padrão é Iniciar/encerrar correspondência. Use Vinculado por ID se
desejar combinar eventos multilinhas que são unidos por um identificador
comum.

80 Guia de configuração do QRadar DSM

Tabela 56. Parâmetros do protocolo syslog multilinhas TCP (continuação)
Parâmetro Descrição
Padrão de Início do Evento Esse parâmetro fica disponível ao configurar o parâmetro Aggregation
Method para Start/End Matching.

A expressão regular (regex) que é necessária para identificar o início de uma

carga útil do evento multilinhas TCP. Os cabeçalhos syslog geralmente
começam com uma data ou registro de data e hora. O protocolo pode criar
um evento de linha única baseado somente em um padrão de início de
evento, como um registro de data e hora. Quando apenas um padrão de
início estiver disponível, o protocolo capturará todas as informações entre
cada valor inicial para criar um evento válido.
Padrão de Término do Evento Esse parâmetro fica disponível ao configurar o parâmetro Aggregation
Method para Start/End Matching.

Essa expressão regular (regex) que é necessária para identificar o término de

uma carga útil do evento de multilinhas do TCP. Se o evento syslog
terminar com o mesmo valor, será possível utilizar uma expressão regular
para determinar o término de um evento. O protocolo pode capturar
eventos que são baseados em apenas um padrão de término de evento.
Quando somente um padrão de término estiver disponível, o protocolo
capturará todas as informações entre cada valor de término para criar um
evento válido.
Padrão de ID de Mensagem Esse parâmetro fica disponível ao configurar o parâmetro Aggregation
Method como ID-Linked.

Essa expressão regular (regex) requeria filtrar as mensagens de carga útil do

evento. As mensagens de eventos multilinhas de TCP devem conter um
valor de identificação comum que se repete em cada linha da mensagem do
evento.
Formatador de Eventos Utilize a opção Multilinhas do Windows para eventos multilinhas que
forem formatados especificamente para o Windows.
Exibir opções avançadas O padrão é Não. Selecione Sim se você desejar customizar os dados do
evento.
Use o nome de origem customizado Esse parâmetro fica disponível ao configurar Mostrar opções avançadas
para Sim.

Marque a caixa de seleção se você desejar customizar o nome de origem

com a expressão regular.
Nome da Origem de Regex Esse parâmetro fica disponível ao marcar Usar nome de origem
customizado.

A expressão regular (regex) que captura um ou mais valores de cargas úteis

do evento que são manipuladas por este protocolo. Esses valores são usados
junto com o parâmetro Source Name Formatting String para configurar um
valor de origem para cada evento. Esse valor de origem é usado para rotear
o evento para uma origem de log com um valor de Identificador de origem
de log correspondente.

7 Opções de configuração de protocolo 81

Tabela 56. Parâmetros do protocolo syslog multilinhas TCP (continuação)
Parâmetro Descrição
Nome da Origem de Sequência de Esse parâmetro fica disponível ao marcar Usar nome de origem
Formatação customizado.

É possível usar uma combinação de uma ou mais das seguintes entradas

para formar um valor de origem para as cargas úteis de eventos que são
processadas por este protocolo:
v Um ou mais grupos de captura da Expressão regular de nome de
origem. Para referir-se a um grupo de captura, use a notação \x, em que
x é o índice de um grupo de captura da Expressão regular de nome de
origem.
v O endereço IP por meio do qual os dados do evento se originaram. Para
referir-se aos pacotes de IP, use o token $PIP$.
v Caracteres de texto literal. Todo a Sequência de formatação de nome de
origem pode ser um texto fornecido pelo usuário. Por exemplo, se o
Regex de nome de origem for ’hostname=(.*?)’ e você deseja anexar
hostname.com no valor 1 do grupo de captura, configurar a Sequência de
formatação do nome de origem como \1.hostname.com. Se for processado
um evento que contiver hostname=ibm, então, o valor de origem da carga
útil do evento será configurado como ibm.hostname.com e QRadar roteará
o evento para uma origem de log com esse Identificador de origem de
log.
Usar como uma origem de log do Esse parâmetro fica disponível ao configurar Mostrar opções avançadas
gateway para Sim.

Quando selecionado, os eventos que fluem pela origem de log podem ser
roteados para outras origens de log, com base no nome de origem
identificado nos eventos.

Quando essa opção não estiver selecionada e Usar nome de origem

customizada não estiver marcado, os eventos recebidos serão identificados
com um nome de origem que corresponda ao parâmetro Log Source
Identifier.
Flatten Multiline Events into Single Esse parâmetro fica disponível ao configurar Mostrar opções avançadas
Line para Sim.

Mostra um evento em uma única linha ou em várias linhas.

Reter Linhas Inteiras durante a Esse parâmetro fica disponível ao configurar Mostrar opções avançadas
Agregação do Evento para Sim.

Se você configurar o parâmetro Método de agregação como Vinculado por

ID, será possível ativar Reter linhas inteiras durante a agregação de
eventos para descartar ou manter a parte dos eventos que vem antes do
Padrão de ID de mensagem ao concatenar eventos com o mesmo padrão de
ID.

Casos de uso de configuração de protocolo TCP Multiline Syslog

Para configurar a origem de log do listener TCP Multiline Syslog para coletar todos os eventos que são
enviados do mesmo sistema, siga estas etapas:
1. Deixe Usar como origem de log do gateway e Usar nome de origem customizado desmarcadas.
2. Insira o endereço IP do sistema que está enviando eventos no parâmetro Identificador de origem de
log.

82 Guia de configuração do QRadar DSM

Figura 1. Uma origem de log do QRadar coleta eventos enviados de um único sistema para um Listener de TCP
Multiline Syslog

Se vários sistemas estiverem enviando eventos para o listener do TCP Multiline Syslog ou se um sistema
intermediário estiver encaminhando eventos de vários sistemas e você desejar que os eventos sejam
roteados para separar as origens de log com base em seu cabeçalho de syslog ou endereço IP, marque a
caixa de seleção Usar como origem de log do gateway.

Nota: O QRadar verifica cada evento de um cabeçalho syslog compatível com RFC3164 ou RFC5424 e, se
presente, usa o IP/nome do host desse cabeçalho como o valor de origem para o evento. O evento é
roteado para uma origem de log com o mesmo IP ou nome do host que o seu Identificador de origem de
log. Se nenhum cabeçalho desse tipo estiver presente, o QRadar usará o valor de IP de origem do pacote
de rede no momento em que o evento chegou como o valor de origem para o evento.

Figura 2. Origens de log do QRadar separadas coletam eventos enviados de vários sistemas para um Listener de
TCP Multilinhe, usando o cabeçalho syslog

Figura 3. Origens de log do QRadar separadas coletam eventos enviados de vários sistemas e encaminhados por
meio de um sistema intermediário para um Listener de TCP Multiline, usando o cabeçalho syslog

Para rotear eventos para origens de log separadas com base em um valor diferente do IP ou do nome do
host em seu cabeçalho syslog, siga estas etapas:

7 Opções de configuração de protocolo 83

1. Marque a caixa de seleção Usar nome de origem customizada.
2. Configure um Regex de nome de origem e uma Sequência de formatação de nome de origem para
customizar como o QRadar configura um valor de nome de origem para rotear os eventos recebidos
para as origens de log.

Figura 4. Origens de log do QRadar separadas coletam eventos enviados de vários sistemas e encaminhados por
meio de um sistema intermediário para um Listener de TCP Multiline, usando o Regex de nome de origem e
Sequência de formatação de nome de origem

Opções de configuração de protocolo syslog TLS

Configure uma origem de log do protocolo Syslog do TLS para receber eventos syslog criptografados de
até 1.000 dispositivos de rede que suportam encaminhamento de eventos do TLS Syslog.

O protocolo TLS syslog é um protocolo de entrada/passivo. A fonte de log cria uma porta de
atendimento para receber eventos de TLS Syslog e gera um arquivo de certificado para os dispositivos de
rede. Até 50 dispositivos de rede podem encaminhar eventos à porta de atendimento criada para a fonte
de log. Se você criar origens de log adicionais com portas de escuta exclusivas, será possível configurar
até 1.000 dispositivos de rede.

A tabela a seguir descreve os parâmetros específicos para o protocolo TLS Syslog:

Tabela 57. Parâmetros de protocolo syslog TLS
Parâmetro Descrição
Configuração do Protocolo TLS Syslog
Porta de Atendimento do TLS A porta de atendimento TLS padrão é 6514.
Modo de Autenticação O modo pelo qual sua conexão TLS é autenticada. Se selecionar a opção
Autenticação de cliente e de TLS, você deverá configurar os parâmetros de
certificado.
Caminho do certificado de cliente O caminho absoluto no disco para o certificado de cliente. O certificado
deve ser armazenado no Console ou Event Collector para essa origem de
log.
Tipo de Certificado O tipo de certificado a ser utilizado na autenticação. Se selecionar a opção
Fornecer certificado, é preciso configurar os caminhos de arquivo para o
certificado do servidor e para a chave privada.
Caminho do certificado do servidor O caminho absoluto para o certificado do servidor.
fornecido
Caminho de chave privada fornecido O caminho absoluto para a chave privada.

Nota: A chave privada correspondente deve ser uma chave PKCS8

codificada em DER. A configuração falha com qualquer outro formato de
chave.

84 Guia de configuração do QRadar DSM

Tabela 57. Parâmetros de protocolo syslog TLS (continuação)
Parâmetro Descrição
Máximo de Conexões O parâmetro Maximum Connections controla quantas conexões simultâneas
o protocolo TLS Syslog pode aceitar para cada Event Collector. Há um
limite de 1000 conexões entre todas as configurações de origem de log do
TLS syslog para cada Event Collector. O padrão para cada conexão de
dispositivo é 50.

Nota: Origens de log descobertas automaticamente que compartilham um

listener com outra origem de log, como se você usar a mesma porta no
mesmo coletor de eventos, será contado apenas uma vez em direção ao
limite.

Após a fonte de log ser salva, um certificado syslog-tls será criado para a fonte de log. O certificado deve
ser copiado para qualquer dispositivo em sua rede que seja configurada para encaminhar syslog
criptografado. Outros dispositivos de rede que possuem um arquivo de certificado syslog-tls e o número
da porta de atendimento do TLS podem ser descobertos automaticamente como uma fonte de log syslog
TLS.

Casos de uso do TLS syslog

Os casos de uso a seguir representam configurações possíveis de serem criadas:

Autenticação de cliente
É possível fornecer um certificado de cliente que permita que o protocolo participe da
autenticação de cliente. Caso selecione esta opção e forneça o certificado, as conexões recebidas
são validadas com relação ao certificado de cliente.
Certificado do servidor fornecido pelo usuário
É possível configurar seu próprio certificado do servidor e a chave privada correspondente. O
provedor de TLS Syslog configurado usa o certificado e a chave. Conexões recebidas são
apresentadas com o certificado fornecido pelo usuário, em vez do certificado de TLS Syslog
gerado automaticamente.
Autenticação padrão
Para usar o método de autenticação padrão, use os valores padrão para os parâmetros Modo de
autenticação e Tipo de certificado. Após a fonte de log ser salva, um certificado syslog-tls será
criado para o dispositivo de fonte de log. O certificado deve ser copiado para qualquer
dispositivo em sua rede que encaminha dados syslog criptografados.

Configurando várias origens de log de syslog TLS

É possível configurar vários dispositivos em sua rede para enviar eventos syslog criptografados para uma
única porta de recebimento TLS Syslog. O listener TLS Syslog age como um gateway, decriptografa os
dados do evento e os alimenta no QRadar para origens de log extras configuradas com o protocolo
Syslog.

Antes de Iniciar

Assegure-se de que a origem de log do TLS Syslog esteja configurada.

Nota: É possível usar qualquer marcador para o Log Source Identifier e o Log Source Type para
identificar a origem de log do TLS Syslog. A origem de log do TLS Syslog está configurada para
hospedar o listener do TLS Syslog e age como um gateway.

7 Opções de configuração de protocolo 85

Sobre Esta Tarefa

Múltiplos dispositivos em sua rede, que suportam o Syslog criptografado por TLS, podem enviar eventos
criptografados por meio de uma conexão TCP com a porta de recebimento do TLS Syslog. Esses eventos
criptografados são decriptografados pelo TLS Syslog (gateway) e são disparados no pipeline do evento.
Os eventos decriptografados são roteados para as origens de log do receptor adequadas ou para o
mecanismo de análise de tráfego para autodescoberta.

Os eventos são roteados dentro do QRadar para origens de log com um valor Log Source Identifier que
corresponde ao valor de origem de um evento. Para eventos do Syslog com um cabeçalho Syslog
compatível com RFC3164 ou RFC5424, o valor de origem é o endereço IP ou o nome do host do
cabeçalho. Para eventos que não possuem um cabeçalho compatível, o valor de origem é o endereço IP
do dispositivo que enviou o evento Syslog.

No QRadar, é possível configurar várias origens de log com o protocolo Syslog para receber eventos
criptografados que são enviados para uma única porta de recebimento do TLS Syslog de vários
dispositivos.

Nota: A maioria dos clientes ativados para TLS requer o servidor de destino ou o certificado público do
listener para autenticar conexões do servidor. Por padrão, uma origem de log TLS Syslog gera um
certificado que é denominado syslog-tls.cert em /opt/qradar/conf/trusted_certificates/ no destino
Event Collector a que a origem de log está designada. Esse arquivo de certificado deve ser copiado para
todos os clientes que estão fazendo uma conexão TLS.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique em Origens de log > Incluir.
4. Na lista Configuração de protocolo, selecione TLS Syslog.
5. Configure o dispositivo de origem de log para usar a porta TLS Syslog para enviar eventos para o
QRadar.
6. Repita as etapas de 3 a 5 para cada origem de log que recebe eventos por meio do listener do TLS do
gateway.

Nota: Também é possível incluir múltiplas origens de log do receptor em massa clicando em Ações
em massa > Inclusão em massa por meio da janela Origens de log.
Conceitos relacionados:
“Opções de configuração de protocolo syslog TLS” na página 84
Configure uma origem de log do protocolo Syslog do TLS para receber eventos syslog criptografados de
até 1.000 dispositivos de rede que suportam encaminhamento de eventos do TLS Syslog.

Opções de configuração de protocolo syslog multilinhas UDP

Para criar um evento único syslog a partir de um evento multilinhas, configure uma fonte de log para
utilizar o protocolo multilinhas UDP. O protocolo syslog multilinhas UDP utiliza uma expressão regular
para identificar e remontar as mensagens do syslog multilinhas na carga útil do evento única.

O protocolo UDP Multiline Syslog é um protocolo de entrada/passivo. O evento multilinhas original

deverá conter um valor que se repita em cada linha para que a expressão regular capture esse valor e
identifique e remonte as mensagens do syslog individuais que compõem o evento multilinhas. Por
exemplo, esse evento multilinhas contém um valor repetido, 2467222, no campo conn. Esse valor do
campo é capturado para que todas as mensagens do syslog que contenham conn=2467222 sejam
combinadas em um único evento.

86 Guia de configuração do QRadar DSM

15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SEARCH RESULT tag=101
15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SRCH base="dc=xxx"
15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SRCH attr=gidNumber
15:08:56 <IP_address> slapd[517]: conn=2467222 op=1 SRCH base="dc=xxx"

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo syslog de multilinhas
UDP:
Tabela 58. Parâmetros de protocolo syslog multilinhas UDP
Parâmetro Descrição
Configuração do Protocolo UDP Multiline Syslog
Porta de Atendimento O número da porta padrão que é usada pelo QRadar para aceitar eventos
do syslog UDP multilinhas recebidos é 517. É possível usar uma porta
diferente no intervalo de 1 a 65.535.

Para editar uma configuração salva para usar um novo número de porta,
conclua as seguintes etapas:
1. No campo Porta de escuta, digite o novo número de porta para receber
eventos Syslog UDP multilinhas.
2. Clique em Salvar.
3. Clique em Implementar mudanças para tornar essa mudança efetiva.

A atualização de porta está concluída e a coleção de eventos é iniciada no

novo número de porta.
Padrão de ID de Mensagem A expressão regular (regex) necessária para filtrar as mensagens de carga
útil do evento. As mensagens de eventos multilinhas UDP devem conter um
valor de identificação comum que seja repetido em cada linha da mensagem
do evento.
Formatador de Eventos O formatador de evento que formata as cargas úteis de entrada que são
detectadas pelo listener. Selecione Sem formatação para deixar a carga útil
intacta. Selecione Cisco ACS multilinhas para formatar a carga útil em um
evento de linha única.

No cabeçalho do syslog ACS, há os campos total_seg e seg_num. Esses dois

campos são usados para reorganizar os eventos do ACS multilinhas em um
evento de linha única com ordem correta quando você seleciona a opção
Cisco ACS multilinhas.

Exibir opções avançadas O padrão é Não. Selecione Sim se você deseja configurar opções avançadas.
Use o nome de origem customizado Marque a caixa de seleção se você desejar customizar o nome de origem
com a expressão regular.
Nome da Origem de Regex Use os parâmetros Expressão regular do nome de origem e Sequência de
formatação do nome de origem se você desejar customizar como o QRadar
determina a origem dos eventos que são processados por esta configuração
do Syslog UDP multilinhas.

Para Nome da Origem Regex, insira uma expressão regular para capturar
um ou mais valores de identificação de cargas úteis de eventos que são
manipuladas por este protocolo. Esses valores são usados com a Sequência
de formatação do nome de origem para configurar um valor de origem
para cada evento. Esse valor de origem é usado para rotear o evento para
uma origem de log com um valor de Identificador de origem de log
correspondente quando a opção Usar como uma origem de log do gateway
está ativada.

7 Opções de configuração de protocolo 87

Tabela 58. Parâmetros de protocolo syslog multilinhas UDP (continuação)
Parâmetro Descrição
Nome da Origem de Sequência de É possível usar uma combinação de uma ou mais das seguintes entradas
Formatação para formar um valor de origem para as cargas úteis de eventos que são
processadas por este protocolo:
v Um ou mais grupos de captura da Expressão regular de nome de
origem. Para referir-se a um grupo de captura, use a notação \x, em que
x é o índice de um grupo de captura da Expressão regular de nome de
origem.
v O endereço IP do qual os dados do evento se originaram. Para referir-se
aos pacotes de IP, use o token $PIP$.
v Caracteres de texto literal. Todo a Sequência de formatação de nome de
origem pode ser um texto fornecido pelo usuário.

Por exemplo, CiscoACS\1\2$PIP$, em que \1\2 significa o primeiro e o

segundo grupo de captura do valor de Expressão regular do nome de
origem, e $PIP$ é o IP do pacote.
Usar como um Gateway de Origem Se esta caixa de seleção estiver desmarcada, os eventos recebidos serão
de Log enviados para a origem de log com o Identificador de origem de log
correspondente ao IP do qual eles se originaram.

Quando marcada, esta origem de log funciona como um ponto de entrada

ou um gateway único para eventos multilinhas de várias origens a serem
inseridos no QRadar e processados da mesma forma, sem a necessidade de
configurar uma origem de log do syslog UDP multilinhas para cada origem.
Os eventos com um cabeçalho do syslog compatível com RFC3164 ou
RFC5424 são identificados como originados do IP ou do nome do host no
cabeçalho, a menos que o parâmetro Source Name Formatting String esteja
em uso e, nesse caso, essa sequência de formatação é avaliada para cada
evento. Todos esses eventos são roteados por meio do QRadar com base
nesse valor capturado.

Se uma ou mais origens de log existirem com um Log Source Identifier

correspondente, elas receberão o evento com base na Solicitação de análise
sintática configurada. Se elas não aceitarem o evento ou se não existirem
origens de log com um Log Source Identifier correspondente, os eventos
serão analisados por autodetecção.
Mesclar Linhas Eventos em Linha Mostra um evento em uma única linha ou em várias linhas. Se esta caixa de
Única seleção estiver marcada, todos os caracteres de retorno de linha e de nova
linha serão removidos do evento.
Reter linhas inteiras durante a Escolha esta opção para descartar ou manter a parte dos eventos que vem
agregação de evento antes de Padrão do ID da mensagem quando o protocolo concatena eventos
com o mesmo padrão de ID.
Ativado Selecione essa caixa de seleção para ativar a origem de log.
Credibilidade Selecione a credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme

determinado pela classificação de credibilidade a partir dos dispositivos de
origem. Credibilidade aumenta se várias fontes relatam o mesmo evento. O
padrão é 5.
Coletor de Eventos de Destino Selecione o Coletor de eventos em sua implementação que deve hospedar o
listener do syslog UDP multilinhas.

88 Guia de configuração do QRadar DSM

Tabela 58. Parâmetros de protocolo syslog multilinhas UDP (continuação)
Parâmetro Descrição
Unindo Eventos Marque essa caixa de seleção para permitir que a origem do log una
(empacote) eventos.

Por padrão, as origens de log descobertas automaticamente herdam o valor

da lista Eventos coalescentes das Configurações do sistema em QRadar. Ao
criar uma origem de log ou editar uma configuração existente, é possível
substituir o valor padrão configurando esta opção para cada origem de log.
Armazenar Carga Útil do Evento Selecione essa caixa de seleção para ativar que a origem de log armazene as
informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor

Configurando syslog de multilinhas UDP para dispositivos Cisco ACS

O DSM Cisco ACS para o IBM Security QRadar aceita eventos syslog de dispositivos Cisco ACS com
origens de log que estão configuradas para usar o protocolo syslog de multilinhas UDP.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Na seção Origens de dados, clique no ícone Origens de log e, em seguida, clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de origem de log, selecione Cisco ACS.
6. Na lista Configuração de protocolo, selecione Syslog UDP multilinhas.
7. Configure os parâmetros:
Os parâmetros a seguir requerem valores específicos para coletar eventos de dispositivos Cisco ACS:
Tabela 59. Parâmetros de origem de log do Cisco ACS
Parâmetro Valor
Identificador de origem de log Digite o endereço IP, o nome do host ou o nome para
identificar seu dispositivo Cisco ACS.
Porta de recebimento O número da porta padrão que é usada pelo QRadar
para aceitar eventos syslog de multilinhas UDP recebidos
é 517. Você pode utilizar uma porta diferente. O intervalo
de portas válido vai de 1 a 65535.

Para editar uma configuração salva para usar um novo

número de porta, conclua as etapas a seguir.
1. No campo Porta de escuta, digite o novo número de
porta para receber eventos Syslog UDP multilinhas.
2. Clique em Salvar.

A atualização de porta está concluída e a coleção de

eventos é iniciada no novo número de porta.
Padrão de ID de Mensagem \s (\d{1}{0}) \s
Formatador de eventos Selecione Multilinhas do Cisco ACS na lista.

7 Opções de configuração de protocolo 89

Opções de configuração de protocolo VMware vCloud Director

Para coletar eventos a partir dos ambientes virtuais do VMware vCloud Director, é possível criar uma
fonte de log que utiliza o protocolo do VMware vCloud Director.

O protocolo VMware vCloud Director é um protocolo de saída/ativo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo do VMware vCloud
Director:
Tabela 60. Parâmetros do protocolo do VMware vCloud Director
Parâmetro Descrição
Configuração do Protocolo VMware vCloud Director
URL do vCloud A URL que é configurada no dispositivo VMware vCloud para acessar a
API REST. A URL deve corresponder ao endereço que está configurado
como a URL base da API de REST pública VCD no vCloud Server, por
exemplo, https://192.0.2.1.
Nome do Usuário O nome de usuário que é necessário para acessar remotamente o vCloud
Server, por exemplo, console/user@organization. Para configurar uma conta
somente leitura para uso com o protocolo vCloud Director, um usuário deve
ter permissão Somente Acesso do Console.

90 Guia de configuração do QRadar DSM

8 Incluindo origens de log em massa
É possível incluir até 500 origens de log de uma vez. Ao incluir várias origens de log de uma vez, é
incluída uma origem de log em massa no QRadar. As origens de log em massa devem compartilhar uma
configuração comum.

© Copyright IBM Corp. 2005, 2019 91

92 Guia de configuração do QRadar DSM
9 Editando origens de log em massa
É possível editar as origens de log do em massa para atualizar os parâmetros de configuração para
origens de log que foram incluídos como parte de uma origem de log em massa. Os parâmetros Tipo de
origem de log e Configuração de protocolo não podem ser editados em massa.

Sobre Esta Tarefa

A tabela a seguir descreve os parâmetros padrão para a configuração da origem de log. Esses parâmetros
podem diferir com base no Tipo de Origem de Log selecionado:

Procedimento
1. Clique na guia Administrador.
2. Na seção Origens de dados, clique no ícone Origens de log.
3. Selecione as origens de log que você deseja editar e, na lista Ações em massa, selecione Edição em
massa.
4. Modifique os parâmetros relevantes.
5. Opcional: A lista de origens de log é somente para propósitos de exibição. As caixas de seleção são
usadas somente durante o fluxo de trabalho para incluir origens de log no QRadar.
6. Clique em Salvar para atualizar a configuração de origem de log.
7. Clique em Continuar para incluir as origens de log.
8. Opcional: Na guia Administrador, clique em Implementar mudanças se você incluiu um endereço IP
ou nome do host em sua origem de log em massa.

Resultados

A origem de log em massa é atualizada.

© Copyright IBM Corp. 2005, 2019 93

94 Guia de configuração do QRadar DSM
10 Incluindo uma ordem de análise sintática de origem de log
É possível designar uma ordem de prioridade para quando os eventos forem analisados pelo coletor de
eventos de destino.

Sobre Esta Tarefa

© Copyright IBM Corp. 2005, 2019 95

96 Guia de configuração do QRadar DSM
11 Extensões de origem de log
Um documento de extensão pode estender ou modificar a maneira como os elementos de uma
determinada origem de log são analisados. É possível usar o documento de extensão para corrigir um
problema de análise sintática ou substituir a análise sintática padrão por um evento de um DSM
existente.

Um documento de extensão também poderá fornecer suporte de evento quando um DSM não existir para
analisar eventos de um dispositivo ou dispositivo de segurança em sua rede.

Um documento de extensão é um documento formatado de Linguagem de Marcação Extensível (XML)

que pode ser criado ou editado usando qualquer editor comum de texto, código ou marcação. É possível
criar vários documentos de extensão, mas uma origem de log pode ter apenas um aplicado a ela.

O formato XML requer que todos os padrões de expressão regular (regex) estejam contidos nas seções de
dados de caractere (CDATA) para evitar que os caracteres especiais necessários para as expressões
regulares interfiram no formato de marcação. Por exemplo, o código a seguir mostra o regex para
localizar protocolos:
<pattern id="ProtocolPattern" case-insensitive="true" xmlns="">
<![CDATA[(TCP|UDP|ICMP|GRE)]]></pattern>

(TCP|UDP|ICMP|GRE) é o padrão de expressão regular.

A configuração de extensão de origens de log consiste nas seções a seguir:

Padrão
Padrões de expressões regulares associados a um determinado nome de campo. Os padrões são
referenciados várias vezes dentro do arquivo de extensão de origem de log.
Grupos de correspondência
Uma entidade dentro de um grupo de correspondência que é analisada, por exemplo,
EventName, e é emparelhada com o padrão e o grupo apropriados para análise. Qualquer
número de grupos de correspondência pode aparecer no documento de extensão.

Construindo um DSM Universal

A primeira etapa na construção de um DSM Universal é criar a origem de log no IBM QRadar. Quando
você cria a origem de log, ela evita que os logs sejam classificados automaticamente e é possível exportar
os logs para revisão.

Procedimento
1. Na guia Administrador, clique no ícone Origens de log.
2. Clique em Incluir.
3. Especifique o nome no campo Nome da origem de log.
4. Na lista Tipo de origem de log, selecione DSM Universal.
Você talvez não veja a Extensão de origem de log a menos que já tenha aplicado uma extensão de
origem de log ao QRadar Console
5. Na lista Configuração do protocolo, especifique o protocolo que deseja usar.
Esse método é usado pelo QRadar para obter os logs da origem de log não suportada.
6. Para o Identificador de origem de log, insira o endereço IP ou o nome do host da origem de log não
suportada.

© Copyright IBM Corp. 2005, 2019 97

7. Clique em Salvar para salvar a nova origem de log e fechar a janela.
8. Na guia Administradores, clique em Implementar mudanças.

O que Fazer Depois

“Exportando os logs”

Exportando os logs
Exporte os logs que são criados após a construção de um Universal DSM.

Sobre Esta Tarefa

Geralmente, deseja-se um número significativo de logs para revisão. Dependendo da taxa de EPS da
origem de log não suportada, pode demorar várias horas para obter uma amostra de log abrangente.

Quando o QRadar não pode detectar o tipo de origem de log, os eventos são coletados, mas não são
analisados. É possível filtrar esses eventos não analisados e, em seguida, revisar a última notificação de
sistema recebida. Depois de revisar a notificação do sistema, é possível criar uma procura que se baseie
nesse prazo.

Procedimento
1. Para examinar apenas os eventos não analisados, filtre os logs.
a. Clique na guia Atividade do log.
b. Clique em Incluir filtro.
c. Selecione O evento não está analisado.

Dica: Digite dentro da caixa de texto Parâmetro para ver o item O evento não está analisado.
d. Selecione um prazo.
e. Se você vir eventos de Informações nas notificações do sistema, clique com o botão direito para
filtrá-los.
f. Revise a coluna IP de origem para determinar qual dispositivo está enviando os eventos.
É possível visualizar as cargas úteis do evento bruto. Geralmente, os fabricantes colocam nomes de
produtos identificáveis nos cabeçalhos, portanto, é possível configurar sua procura como Exibir:
Eventos brutos para mostrar as cargas úteis sem ter que abrir cada evento manualmente.
Classificar pela rede também pode ajudar a localizar um dispositivo específico do qual o evento se
originou.
2. Crie uma procura para exportar os logs.
a. Na guia Atividade do log, selecione Procurar > Editar procura.
b. Para o Intervalo de tempo, especifique o tempo suficiente, por exemplo, 6 horas, de quando a
origem de log foi criada.
c. Em Parâmetros de procura, na lista Parâmetro, selecione Origem de log (Indexada), na lista
Operador, selecione Iguais e na lista Grupo de origem de log, selecione Outro, especifique a
origem de log que foi criada quando você construiu o Universal DSM.

98 Guia de configuração do QRadar DSM

Nota: Dependendo de suas configurações, é possível ver Origem de log na lista Parâmetro, em
vez de Origem de log (indexada).
d. Clique em Procurar para visualizar os resultados.
3. Revise os resultados no console para verificar a carga útil.
4. Opcionalmente, é possível exportar os resultados clicando em Ações > Exportar para XML >
Exportação completa (todas as colunas).
Não selecione Exportar para CSV porque a carga útil pode ser dividida entre várias colunas, ficando,
assim, difícil de localizar a carga útil. XML é o formato preferencial para revisões de eventos.
a. Você é solicitado a fazer download de um arquivo compactado. Abra o arquivo compactado e, em
seguida, abra o arquivo resultante.
b. Revise os logs.
As cargas úteis do evento ficam entre as tags a seguir:
<payloadAsUTF>
...
</payloadAsUTF>
O código a seguir mostra um exemplo de carga útil:
<payloadAsUTF>ecs-ep (pid 4162 4163 4164) is running... </payloadAsUTF>
Uma etapa crítica na criação de um DSM Universal é revisar os logs quanto à usabilidade. No
mínimo, os logs devem ter um valor que possa ser mapeado para um nome de evento. O nome do
evento deve ser um valor exclusivo que possa distinguir os vários tipos de log.
O código a seguir mostra um exemplo de logs utilizáveis:
May 20 17:16:14 <server>[22331]: bad password attempt for ’root’
from <IP_address>: 3364
May 20 17:16:26 <server>[22331]: password auth succeeded for
’root’ from <IP_address>: 3364
May 20 16:42:19 kernel: DROP IN=vlan2 OUT=
MAC=<MAC_address> SRC=<IP_address>
DST = <IP_address> PROTO=UDP SPT = 67 DPT = 68
Os códigos a seguir mostram um exemplo de logs um pouco menos utilizáveis:
Oct 26 08:12:08 loopback 1256559128 autotrace[215824]: W: trace:
no map for prod 49420003, idf 010029a2, lal 00af0008
Oct 26 16:35:00 <server> last message repeated 7 times
Nov 24 01:30:00 <server> /usr/local/monitor-rrd/<server>/.rrd
(rc=-1, abrindo ’/usr/local/monitor-rrd/ <server> / .rrd’:
No such file or directory)

Exemplos de extensões de origem de log no fórum do QRadar

É possível criar extensões de origem de log (LSX) para origens de log que não tenham um DSM
suportado. Para ajudar a criar suas próprias extensões de origem de log (também conhecidas como
extensões DSM), modifique extensões existentes que foram criadas.

11 Extensões de origem de log 99

É possível acessar exemplos de extensão de origem de log (https://www.ibm.com/developerworks/
community/forums/html/topic?id=d15cac8d-b0fa-4461-bb1e-dc1b291de440&ps=25) no fórum de
Discussion about DSM Extensions, Custom Properties and other REGEX related topics
(https://www.ibm.com/developerworks/community/forums/html/forum?id=11111111-0000-0000-0000-
000000003046&ps=25).

Os fóruns do IBM QRadar é um site de discussão on-line em que os usuários e especialistas no assunto
colaboram e compartilham informações.
Conceitos relacionados:
“Criando um documento de extensões de origem de log para obter dados no QRadar” na página 115
Crie extensões de origem de log (LSX) quando as origens de log não tiverem um DSM suportado, para
reparar um evento que tenha informações ausentes ou incorretas ou para analisar um evento quando o
DSM associado falhar ao produzir um resultado.

Padrões nos documentos de extensão de origem de log

Em vez de associar uma expressão regular diretamente a um determinado nome de campo, padrões
(patterns) são declarados separadamente no início do documento de extensão. Esses padrões de regex
podem ser então referenciados várias vezes dentro do arquivo de extensão de origem de log.

Todos os caracteres entre a tag de início <pattern> e a tag de término </pattern> são considerados parte
do padrão. Não use espaços extras ou retornos forçados dentro ou ao redor de seu padrão, ou a
expressão <CDATA>. Caracteres ou espaços extras podem evitar que a extensão DSM corresponda ao
padrão desejado.
Tabela 61. Descrição de parâmetros padrão
Padrão Tipo Descrição
id (Necessário) Sequência Uma sequência regular que é
exclusiva dentro do documento de
extensão.
case-insensitive (Opcional) Booleano Se true, as maiúsculas e minúsculas
do caractere serão ignoradas. Por
exemplo, abc é o mesmo que ABC.

Se não especificado, esse parâmetro

será padronizado como false.
trim-whitespace (Opcional) Booleano Se true, espaço em branco e retorno
de linha serão ignorados. Se as seções
CDATA forem divididas em linhas
diferentes, os espaços extras e os
retornos de linha não serão
interpretados como parte do padrão.

Se não especificado, esse parâmetro

será padronizado como false.
use-default-pattern (Opcional) Booleano Se true, o sistema usa Padrões Java
para a Extensão de origem de log, ao
invés dos Padrões adaptáveis mais
eficazes. Configure essa opção como
true se os Padrões adaptativos
estiverem fornecendo
correspondência inconsistente.

Se não especificado, esse parâmetro

será padronizado como false.

100 Guia de configuração do QRadar DSM

Grupos de correspondência
Um grupo de correspondência (match-group) é um conjunto de padrões usados para analisar ou modificar
um ou mais tipos de eventos.

Um correspondente é uma entidade dentro de um grupo de correspondência que é analisada, por exemplo,
EventName, e é emparelhada com o padrão e o grupo apropriados para análise. Qualquer número de
grupos de correspondência pode aparecer no documento de extensão.
Tabela 62. Descrição de parâmetros de grupos de correspondência
Parâmetro Descrição
order (Necessário) Um número inteiro maior que zero que define a ordem
em que os grupos de correspondência são executados.
Ele deve ser exclusivo dentro do documento de extensão.

description (Opcional) Uma descrição para o grupo de correspondência, que

pode ser qualquer sequência. Essas informações podem
aparecer nos logs.

Se não especificado, esse parâmetro será padronizado

como empty.

device-type-id-override (Opcional) Defina um ID de dispositivo diferente para substituir o

QID. Permite que o grupo de correspondência específico
procure no dispositivo especificado o tipo de evento.
Deve ser um ID de tipo de origem de log válido,
representado como um número inteiro.

Se não especificado, esse parâmetro será padronizado

com o tipo de origem de log da origem de log à qual a
extensão está anexada.

Os grupos de correspondência podem ter estas entidades:

v “Correspondente (matcher)”
v “Modificador de único evento (event-match-single)” na página 111
v “Modificador de múltiplos eventos (event-match-multiple)” na página 111

Correspondente (matcher)
Uma entidade correspondente é um campo que é analisado, por exemplo, EventName, e é emparelhado
com o padrão e o grupo apropriados para análise.

Os correspondentes possuem uma ordem associada. Se vários correspondentes forem especificados para o
mesmo nome de campo, eles serão executados na ordem apresentada até que uma análise bem-sucedida
seja localizada ou que ocorra uma falha.
Tabela 63. Descrição de parâmetros correspondentes
Parâmetro Descrição

field (Necessário) O campo ao qual você deseja que o padrão seja aplicado, por
exemplo, EventName ou SourceIp. É possível usar qualquer um
dos nomes de campo listados na tabela Lista de nomes de
campo correspondentes válidos.

11 Extensões de origem de log 101

Tabela 63. Descrição de parâmetros correspondentes (continuação)
Parâmetro Descrição

pattern-id (Necessário) O padrão que você deseja usar quando o campo é analisado a
partir da carga útil. Esse valor deve corresponder (incluindo
maiúsculas e minúsculas) ao parâmetro ID do padrão definido
anteriormente em um parâmetro ID do padrão (Tabela 61 na
página 100).

order (Necessário) A ordem que você deseja que esse padrão tente entre os
correspondentes designados ao mesmo campo. Se dois
correspondentes forem designados ao campo EventName, aquele
com a menor ordem será tentado primeiro.

capture-group (Opcional) Referenciado na expressão regular entre parêntese ( ). Essas

capturas são indexadas a partir de um e processadas da
esquerda para a direita no padrão. O campo capture-group
deve ser um número inteiro positivo menor ou igual ao número
de grupos de captura contidos no padrão. O valor padrão é
zero, que é a correspondência inteira.

Por exemplo, é possível definir um único padrão para um

endereço IP e uma porta de origem, em que o correspondente
SourceIp pode usar um grupo de captura 1, e o correspondente
SourcePort pode usar um grupo de captura 2, mas somente um
padrão precisa ser definido.

Esse campo possui um propósito dual quando combinado com o

parâmetro enable-substitutions.

Para ver um exemplo, revise o exemplo de documento de

extensão.

102 Guia de configuração do QRadar DSM

Tabela 63. Descrição de parâmetros correspondentes (continuação)
Parâmetro Descrição

enable-substitutions (Opcional) Booleano

Quando configurado como true, um campo não pode ser

adequadamente representado com uma captura de grupo linear.
É possível combinar vários grupos com texto extra para formar
um valor.

Esse parâmetro muda o significado do parâmetro capture-group.

O parâmetro capture-group cria o novo valor, e as substituições
de grupo são especificadas usando \x, em que x é um número
de grupo, de 1 a 9. É possível usar os grupos várias vezes, e
qualquer texto de formato livre também pode ser inserido no
valor. Por exemplo, para formar um valor fora do grupo 1,
seguido de um sublinhado, seguido do grupo 2, de um @ e, em
seguida, do grupo 1 novamente, a sintaxe apropriada de
capture-group é mostrada no código a seguir:

capture-group=”\1_\2@\1”

Em outro exemplo, um endereço MAC é separado por dois

pontos (:), mas no QRadar, os endereços de MAC são geralmente
separados por hífen. A sintaxe para analisar e capturar as partes
individuais é mostrada no exemplo a seguir:

capture-group=”\1:\2:\3:\4:\5:\6”

Se não houver nenhum grupo especificado no grupo de captura

quando as substituições forem ativadas, ocorrerá uma
substituição de texto direta.

O padrão é false.

ext-data (Opcional) Um parâmetro extra-data que define qualquer informação ou

formatação de campo extra que um campo correspondente pode
fornecer na extensão.

O único campo que atualmente usa esse parâmetro é

DeviceTime.

Por exemplo, é possível que você tenha um dispositivo que

envie eventos usando um único registro de data e hora, mas
você deseja que o evento seja reformatado para um horário de
dispositivo padrão. Use o parâmetro ext-data incluído com o
campo DeviceTime para reformatar o registro de data e hora do
evento. Para obter mais informações, consulte a Lista de nomes
de campo correspondentes válidos.

A tabela a seguir lista os nomes de campo correspondentes válidos.

Tabela 64. Lista de nomes de campo correspondentes válidos
Nome do campo Descrição
EventName (Necessário)
O nome do evento a ser recuperado do QID para
identificar o evento.
Nota: Esse parâmetro não aparece como um campo na
guia Atividade do log.

11 Extensões de origem de log 103

Tabela 64. Lista de nomes de campo correspondentes válidos (continuação)
Nome do campo Descrição

EventCategory Uma categoria de evento para qualquer evento com uma

categoria não manipulada por uma entidade de única
cat (LEEF) correspondência de evento ou uma entidade de múltipla
correspondência de evento.

Combinada com EventName, EventCategory é usada

para procurar o evento no QID. Os campos usados para
consultas QIDmap requerem que uma sinalização de
substituição seja configurada quando os dispositivos já
forem conhecidos do QRadar, por exemplo,
<event-match-single event-name=
"Successfully logged in"
force-qidmap-lookup-on-fixup="true"
device-event-category="CiscoNAC"
severity="4" send-identity=
"OverrideAndNeverSend" />

O force-qidmap-lookup-on-fixup="true" é a substituição
da sinalização.
Nota: Esse parâmetro não aparece como um campo na
guia Atividade do log.
SourceIp O endereço IP de origem da mensagem.

src (LEEF)
SourcePort A porta de origem da mensagem.

srcPort (LEEF)
SourceIpPreNAT O endereço IP de origem da mensagem antes que a
Conversão de Endereço de Rede (NAT) ocorra.
srcPreNAT (LEEF)
SourceIpPostNAT O endereço IP de origem da mensagem depois que NAT
ocorre.
srcPostNAT (LEEF)
SourceMAC O endereço MAC de origem da mensagem.

srcMAC (LEEF)
SourcePortPreNAT A porta de origem da mensagem antes que NAT ocorra.

srcPreNATPort (LEEF)
SourcePortPostNAT A porta de origem da mensagem depois que NAT ocorre.

srcPostNATPort (LEEF)
DestinationIp O endereço IP de destino da mensagem.

dst (LEEF)
DestinationPort A porta de destino da mensagem.

dstPort (LEEF)
DestinationIpPreNAT O endereço IP de destino da mensagem antes que NAT
ocorra.
dstPreNAT (LEEF)
DestinationIpPostNAT O endereço IP de destino da mensagem depois que NAT
ocorre.
dstPostNAT (LEEF)

104 Guia de configuração do QRadar DSM

Tabela 64. Lista de nomes de campo correspondentes válidos (continuação)
Nome do campo Descrição
DestinationPortPreNAT A porta de destino da mensagem antes que NAT ocorra.

dstPreNATPort (LEEF)
DestinationPortPostNAT A porta de destino da mensagem depois que NAT
ocorre.
dstPostNATPort (LEEF)
DestinationMAC O endereço MAC de destino da mensagem.

dstMAC (LEEF)
DeviceTime O horário e o formato usados pelo dispositivo. Esse
registro de data e hora representa o horário de envio do
devTime (LEEF) evento, de acordo com o dispositivo. Esse parâmetro não
representa o horário de chegada do evento. O campo
DeviceTime suporta a capacidade de usar um registro de
data e hora customizado para o evento usando o atributo
correspondente ext-data.

A lista a seguir contém exemplos de formatos de registro

de data e hora que podem ser usados no campo
DeviceTime:
v ext-data="dd/MMM/YYYY:hh:mm:ss"
11/Mar/2015:05:26:00
v ext-data="MMM dd YYYY / hh:mm:ss"
Mar 11 2015 / 05:26:00
v ext-data="hh:mm:ss:dd/MMM/YYYY"
05:26:00:11/Mar/2015

Para obter mais informações sobre os possíveis valores

para o formato do registro de data e hora, consulte a
página da web Joda-Time (http://www.joda.org/joda-
time/key_format.html).

DeviceTime é o único campo de evento que usa o

parâmetro opcional ext-data.
Protocolo O protocolo para a mensagem; por exemplo, TCP, UDP
ou ICMP.
proto (LEEF)
UserName O nome do usuário para a mensagem.
HostName O nome do host para a mensagem. Geralmente, esse
campo é associado a eventos de identidade.
identHostName (LEEF)
GroupName O nome do grupo para a mensagem. Geralmente, esse
campo é associado a eventos de identidade.
identGrpName (LEEF)
IdentityIp O endereço IP de identidade para a mensagem.
IdentityMac O endereço de Controle de Acesso à Mídia (MAC) de
identidade para a mensagem.
identMAC (LEEF)
IdentityIpv6 O endereço IP de identidade do Protocolo da Internet
versão 6 (IPv6) para a mensagem.
NetBIOSName O nome do NetBIOS para a mensagem. Geralmente, esse
campo é associado a eventos de identidade.
identNetBios (LEEF)

11 Extensões de origem de log 105

Tabela 64. Lista de nomes de campo correspondentes válidos (continuação)
Nome do campo Descrição
ExtraIdentityData Qualquer dado específico do usuário para a mensagem.
Geralmente, esse campo é associado a eventos de
identidade.
SourceIpv6 O endereço IP de origem IPv6 da mensagem.
DestinationIpv6 O endereço IP de destino IPv6 da mensagem.

JSON matcher (json-matcher)

Uma entidade JSON-matcher (json-matcher) é um campo que é analisado e é emparelhado com o padrão
e o grupo apropriados para análise. Esta entidade é nova no IBM QRadar V7.3.1.

Se vários correspondentes forem especificados para o mesmo nome de campo, os correspondentes serão
executados na ordem em que são apresentados até que uma análise bem-sucedida seja encontrada.
Tabela 65. Descrição de parâmetros correspondentes JSON
Parâmetro Descrição
field (Necessário) O campo ao qual você deseja aplicar o padrão. Por exemplo,
EventName ou SourceIp. É possível usar qualquer um dos
nomes de campo listados na tabela Lista de nomes de campo
correspondentes válidos.
pattern-id (Necessário) O padrão que você deseja usar quando o campo é analisado a
partir da carga útil. Esse valor deve corresponder (incluindo
maiúsculas e minúsculas) ao parâmetro de ID de um padrão já
definido. (Tabela 61 na página 100)
order (Necessário) A ordem que você deseja que esse padrão tente entre os
correspondentes designados ao mesmo campo. Se dois
correspondentes forem designados ao campo EventName, aquele
com a ordem mais baixa será tentado primeiro.

Os correspondentes de expressão regular e os correspondentes

JSON são combinados em uma lista. Os diferentes tipos de
correspondentes são tentados com base em suas ordens, e o
processo será interrompido quando um dos correspondentes for
capaz de analisar dados da carga útil.
enable-substitutions (Opcional) Booleano

Quando configurado como true, um campo não pode ser

representado adequadamente com uma captura de grupo direta.
É possível combinar vários grupos com texto extra para formar
um valor.

Onde quer que o padrão esteja no formato de um caminho de

chave múltiplo, configure o valor de enable-subtitutions como
'=true' para que cada caminho de chave no padrão e na
expressão seja substituído pelo valor encontrado pela carga útil.
Por exemplo, se a carga útil JSON contiver os campos
first_name e last_name, mas nenhum campo full_name, será
possível definir uma expressão que contenha caminhos de chave
múltiplos, como {/"last_name"}, {/"first_name"}. O valor
capturado para esta expressão é smith, john.

O padrão é false.

106 Guia de configuração do QRadar DSM

Tabela 65. Descrição de parâmetros correspondentes JSON (continuação)
Parâmetro Descrição
ext-data (Opcional) Um parâmetro extra-data que define qualquer informação ou
formatação de campo extra que um campo correspondente pode
fornecer na extensão.

O único campo que atualmente usa esse parâmetro é

DeviceTime.

Por exemplo, é possível que você tenha um dispositivo que

A tabela a seguir lista nomes de campos de Correspondentes JSON válidos.

Tabela 66. Lista de nomes de campo de Correspondentes JSON válidos
Nome do campo Descrição
EventName (Necessário) O nome do evento a ser recuperado do QID para
identificar o evento.
Nota: Esse parâmetro não aparece como um campo na
guia Atividade do log.
EventCategory Uma categoria de evento para qualquer evento com uma
categoria que não seja manipulada por uma entidade
event-match-single ou por uma entidade
event-match-multiple.

Combinada com EventName, EventCategory é usada

para procurar o evento no QID. Os campos que são
usados para consultas de QIDmap requerem que uma
sinalização de substituição seja configurada quando os
dispositivos já forem conhecidos no sistema QRadar, por
exemplo:
<event-match-single event-name=
"Successfully logged in"
force-qidmap-lookup-on-fixup="true"
device-event-category="CiscoNAC"
severity="4" send-identity=
"OverrideAndNeverSend" />

O force-qidmap-lookup-on-fixup="true" é a substituição
da sinalização.
Nota: Esse parâmetro não aparece como um campo na
guia Atividade do log.
SourceIp O endereço IP de origem da mensagem.
SourcePort A porta de origem da mensagem.
SourceIpPreNAT O endereço IP de origem da mensagem antes que a
Conversão de Endereço de Rede (NAT) ocorra.
SourceIpPostNAT O endereço IP de origem da mensagem depois que NAT
ocorre.
SourceMAC O endereço MAC de origem da mensagem.
SourcePortPreNAT A porta de origem da mensagem antes que NAT ocorra.

11 Extensões de origem de log 107

Tabela 66. Lista de nomes de campo de Correspondentes JSON válidos (continuação)
Nome do campo Descrição
SourcePortPostNAT A porta de origem da mensagem depois que NAT ocorre.
DestinationIp O endereço IP de destino da mensagem.
DestinationPort A porta de destino da mensagem.
DestinationIpPreNAT O endereço IP de destino da mensagem antes que NAT
ocorra.
DestinationIpPostNAT O endereço IP de destino da mensagem depois que NAT
ocorre.
DestinationPortPreNAT A porta de destino da mensagem antes que NAT ocorra.
DestinationPortPostNAT A porta de destino da mensagem depois que NAT
ocorre.
DestinationMAC O endereço MAC de destino da mensagem.
DeviceTime O horário e o formato usados pelo dispositivo. Esse
registro de data e hora representa o horário de envio do
evento, de acordo com o dispositivo. Esse parâmetro não
representa o horário de chegada do evento. O campo
DeviceTime suporta a capacidade de usar um registro de
data e hora customizado para o evento usando o atributo
correspondente ext-data.

A lista a seguir contém exemplos de formatos de registro

Para obter mais informações sobre os valores possíveis

para os dados e o formato de data e hora, consulte a
Página da web Java SimpleDateFormat
(https://docs.oracle.com/javase/8/docs/api/java/text/
SimpleDateFormat.html).

DeviceTime é o único campo de evento que usa o

parâmetro ext-data.
Protocolo O protocolo para a mensagem; por exemplo, TCP, UDP
ou ICMP.
UserName O nome do usuário para a mensagem.
HostName O nome do host para a mensagem. Geralmente, esse
campo é associado a eventos de identidade.
GroupName O nome do grupo para a mensagem. Geralmente, esse
campo é associado a eventos de identidade.
IdentityIp O endereço IP de identidade para a mensagem.
IdentityMac O endereço de Controle de Acesso à Mídia (MAC) de
identidade para a mensagem.
IdentityIpv6 O endereço IP de identidade do Protocolo da Internet
versão 6 (IPv6) para a mensagem.

108 Guia de configuração do QRadar DSM

Tabela 66. Lista de nomes de campo de Correspondentes JSON válidos (continuação)
Nome do campo Descrição
NetBIOSName O nome do NetBIOS para a mensagem. Geralmente, esse
campo é associado a eventos de identidade.
ExtraIdentityData Qualquer dado específico do usuário para a mensagem.
Geralmente, esse campo é associado a eventos de
identidade.
SourceIpv6 O endereço IP de origem IPv6 da mensagem.
DestinationIpv6 O endereço IP de destino IPv6 da mensagem.

Matcher LEEF (leef-matcher)

Uma entidade LEEF-matcher (leef-matcher) é um campo que é analisado e é emparelhado com o padrão
apropriado do tipo 'LeefKey' para análise. Esta entidade é nova no IBM QRadar V7.3.2.

Se vários correspondentes forem especificados para o mesmo nome de campo, os correspondentes serão
executados na ordem em que são apresentados até que uma análise bem-sucedida seja encontrada.
Tabela 67. Descrição de parâmetros do correspondente LEEF
Parâmetro Descrição
field (Necessário) O campo ao qual você deseja aplicar o padrão. Por exemplo,
EventName ou SourceIp. É possível usar qualquer um dos
nomes de campo que estão listados na tabela Tabela 64 na
página 103.
pattern-id (Necessário) O padrão que você deseja usar quando o campo é analisado a
partir da carga útil. Esse valor deve corresponder (incluindo
maiúsculas e minúsculas) ao parâmetro de ID de um padrão já
definido. (Tabela 61 na página 100)
order (Necessário) A ordem que você deseja que esse padrão tente entre os
correspondentes designados ao mesmo campo. Se dois
correspondentes forem designados ao campo EventName, aquele
com a ordem mais baixa será tentado primeiro.

Os correspondentes regex, JSON, LEEF e CEF regulares são

combinados em uma lista. Os diferentes tipos de
correspondentes são tentados com base em suas ordens, e o
processo será interrompido quando um dos correspondentes for
capaz de analisar dados da carga útil.
enable-substitutions (Opcional) Booleano

Quando configurado como true, um campo não pode ser

representado adequadamente com uma captura de grupo direta.
É possível combinar vários grupos com texto extra para formar
um valor.

O padrão é false.

11 Extensões de origem de log 109

Tabela 67. Descrição de parâmetros do correspondente LEEF (continuação)
Parâmetro Descrição
ext-data (Opcional) Um parâmetro extra-data que define qualquer informação ou
formatação de campo extra que um campo correspondente pode
fornecer na extensão.

O único campo que atualmente usa esse parâmetro é

DeviceTime.

Por exemplo, é possível que você tenha um dispositivo que

Matcher CEF (cef-matcher)

Uma entidade CEF-matcher (cef-matcher) é um campo que é analisado e é emparelhado com o padrão
apropriado do tipo 'CefKey' para análise. Esta entidade é nova no IBM QRadar V7.3.2.

Se vários correspondentes forem especificados para o mesmo nome de campo, os correspondentes serão
executados na ordem em que são apresentados até que uma análise bem-sucedida seja encontrada.
Tabela 68. Descrição de parâmetros do correspondente CEF
Parâmetro Descrição
field (Necessário) O campo ao qual você deseja aplicar o padrão. Por exemplo,
EventName ou SourceIp. É possível usar qualquer um dos
nomes de campo que estão listados na tabela Tabela 64 na
página 103.
pattern-id (Necessário) O padrão que você deseja usar quando o campo é analisado a
partir da carga útil. Esse valor deve corresponder (incluindo
maiúsculas e minúsculas) ao parâmetro de ID de um padrão já
definido. (Tabela 61 na página 100)
order (Necessário) A ordem que você deseja que esse padrão tente entre os
correspondentes designados ao mesmo campo. Se dois
correspondentes forem designados ao campo EventName, aquele
com a ordem mais baixa será tentado primeiro.

Os correspondentes regex, JSON, LEEF e CEF regulares são

Quando configurado como true, um campo não pode ser

representado adequadamente com uma captura de grupo direta.
É possível combinar vários grupos com texto extra para formar
um valor.

O padrão é false.

110 Guia de configuração do QRadar DSM

Tabela 68. Descrição de parâmetros do correspondente CEF (continuação)
Parâmetro Descrição
ext-data (Opcional) Um parâmetro extra-data que define qualquer informação ou
formatação de campo extra que um campo correspondente pode
fornecer na extensão.

O único campo que atualmente usa esse parâmetro é

DeviceTime.

Por exemplo, é possível que você tenha um dispositivo que

Modificador de múltiplos eventos (event-match-multiple)

O modificador de múltiplos eventos (event-match-multiple) corresponde a um intervalo de tipos de
eventos e, em seguida, os modifica, conforme especificado pelo parâmetro pattern-id e o parâmetro
capture-group-index.

Essa correspondência não é feita na carga útil, mas nos resultados do EventName correspondente
analisado anteriormente fora da carga útil.

Essa entidade permite a mutação de eventos bem-sucedidos mudando a categoria de evento do

dispositivo, a severidade ou o método usado pelo evento para enviar eventos de identidade. O
capture-group-index deve ser um valor de número inteiro (substituições não são suportadas) e
pattern-ID deve referenciar uma entidade de padrão existente. Todas as outras propriedades são idênticas
a suas contrapartes no modificador de único evento.

Modificador de único evento (event-match-single)

O modificador de único evento (event-match-single) corresponde e, em seguida, modifica exatamente
um tipo de evento, conforme especificado pelo parâmetro necessário EventName, que faz distinção entre
maiúsculas e minúsculas.

Essa entidade permite a mutação de eventos bem-sucedidos mudando a categoria de evento do

dispositivo, a severidade ou o método para enviar eventos de identidade.

Quando os eventos que correspondem a esse nome de evento são analisados, a categoria do dispositivo, a
severidade e as propriedades de identidade são impostas sobre o evento resultante.

Deve-se configurar um atributo event-name e esse valor de atributo corresponde ao valor do campo
EventName. Além disso, uma entidade event-match-single consiste nestas propriedades opcionais:
Tabela 69. Descrição de parâmetros de único evento
Parâmetro Descrição

device-event-category Uma nova categoria para procurar um QID para o

evento. Esse é um parâmetro de otimização porque
alguns dispositivos possuem a mesma categoria para
todos os eventos.

11 Extensões de origem de log 111

Tabela 69. Descrição de parâmetros de único evento (continuação)
Parâmetro Descrição

severity A severidade do evento. Esse parâmetro deve ser um

valor de número inteiro entre 1 e 10.

Se uma severidade menor que 1 ou maior que 10 for

especificada, o sistema será padronizado com 5.

Se não especificada, o padrão será o que for localizado

no QID.

send-identity Especifica o envio de informações de mudança de

identidade do evento. Escolha uma das opções a seguir:
v UseDSMResults Se o DSM retornar um evento de
identidade, o evento será transmitido. Se o DSM não
retornar um evento de identidade, a extensão não
criará ou modificará as informações de identificação.
Essa opção será o valor padrão se nenhum valor for
especificado.
v SendIfAbsent Se o DSM criar informações de
identificação, o evento de identidade será passado por
meio de não afetado. Se nenhum evento de identidade
for produzido pelo DSM, mas houver informações
suficientes no evento para criar um evento de
identidade, um evento será gerado com todos os
campos relevantes configurados.
v OverrideAndAlwaysSend Ignora o evento de identidade
retornado pelo DSM e criará um novo evento de
identidade, se houver informações suficientes.
v OverrideAndNeverSend Suprime as informações de
identificação retornadas pelo DSM. Opção sugerida, a
menos que você esteja processando eventos que deseje
que passem para atualizações de ativo.

Modelo de documento de extensão

O exemplo de um documento de extensão fornece informações sobre como analisar um determinado tipo
de Cisco FWSM para que os eventos não sejam enviados com um nome de evento incorreto.

Por exemplo, para resolver a palavra session, que está integrada no meio do nome do evento:
Nov 17 09:28:26 192.0.2.1% FWSM-session-0-302015: Built UDP connection for faddr <IP_address1>/80 gaddr
<IP_address2> /31696 laddr <IP_address3> /2157 duration 0:00:00 bytes 57498 (TCP FINs)

Essa condição faz com que o DSM não reconheça nenhum evento e todos os eventos ficam sem análise e
são associados ao criador de logs genérico.

Embora uma parte da sequência de texto (302015) seja usada para a procura QID, a sequência de texto
inteira (%FWSM-session-0-302015) identifica o evento como vindo de um Cisco FWSM. Como a sequência
de texto inteira não é válida, o DSM assume que o evento não é válido.

Exemplo de documento de extensão para analisar um tipo de evento

Um dispositivo FWSM possui vários tipos de eventos e vários com formatos exclusivos. O exemplo de
documento de extensão a seguir indica como analisar um tipo de evento.

112 Guia de configuração do QRadar DSM

Nota: Os IDs padrão não precisam corresponder aos nomes de campos que estão analisando. Embora o
exemplo a seguir duplique o padrão, o campo SourceIp e o campo SourceIpPreNAT podem usar o mesmo
exato padrão nesse caso. Esta situação pode não ser verdadeira em todos os eventos FWSM.
<?xml version="1.0" encoding="UTF-8"?>
<device-extension xmlns="event_parsing/device_extension"> <pattern
id="EventNameFWSM_Pattern" xmlns=""><![CDATA[%FWSM[a-zA-Z\-]*
\d-(\d{1,6})]]></pattern>
<pattern id="SourceIp_Pattern" xmlns=""><![CDATA[gaddr
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/([\d]{1,5})]]></pattern>
<pattern id="SourceIpPreNAT_Pattern" xmlns=""><![CDATA[gaddr
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/([\d]{1,5})]]></pattern>
<pattern id="SourceIpPostNAT_Pattern" xmlns=""><![CDATA[laddr
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/([\d]{1,5})]]></pattern>
<pattern id="DestinationIp_Pattern" xmlns=""><![CDATA[faddr
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/([\d]{1,5})]]></pattern>
<pattern id="Protocol_Pattern" case-insensitive="true"
xmlns=""><![CDATA[(tcp|udp|icmp|gre)]]></pattern>
<pattern id="Protocol_6_Pattern" case-insensitive="true"
xmlns=""><![CDATA[protocol=6]]></pattern>
<pattern id="EventNameId_Pattern" xmlns=""><![CDATA
[(\d{1,6})]]></pattern>
<match-group order="1" description="FWSM Test"
device-type-id-override="6" xmlns="">
<matcher field="EventName" order="1"
pattern-id="EventNameFWSM_Pattern" capture-group="1"/>
<matcher field="SourceIp" order="1" pattern-id="SourceIp_Pattern"
capture-group="1" /> <matcher field="SourcePort" order="1"
pattern-id="SourcePort_Pattern" capture-group="2"/>
<matcher field="SourceIpPreNAT" order="1"
pattern-id="SourceIpPreNAT_Pattern" capture-group="1" />
<matcher field="SourceIpPostNAT" order="1"
pattern-id="SourceIpPostNAT_Pattern" capture-group="1" />
<matcher field="SourcePortPreNAT" order="1"
pattern-id="SourcePortPreNAT_Pattern" capture-group="2" />
<matcher field="SourcePortPostNAT" order="1"
pattern-id="SourcePortPostNAT_Pattern" capture-group="2" />
<matcher field="DestinationIp" order="1"
pattern-id="DestinationIp_Pattern" capture-group="1" />
<matcher field="DestinationPort" order="1"
pattern-id="DestinationIp_Pattern" capture-group="2" />
<matcher field="Protocol" order="1" pattern-id="Protocol_Pattern"
capture-group="1" /> <matcher field="Protocol" order="2"
pattern-id="Protocol_6_Pattern" capture-group="TCP" enable-substitutions=true/>
<event-match-multiple pattern-id="EventNameId" capture-group-index="1"
device-event-category="Cisco Firewall"/>
</match-group> </device-extension>
<?xml version="1.0" encoding="UTF-8"?> <device-extension xmlns="event_parsing/device_extension"> 
<pattern id="EventName-Fakeware_Pattern"
xmlns=""><![CDATA[]]></pattern>
<pattern id="SourceIp-Fakeware_Pattern"
xmlns=""><![CDATA[]]</pattern>
<pattern id="SourcePort-Fakeware_Pattern"
xmlns=""><![CDATA[]]></pattern>
<pattern id="SourceMAC-Fakeware_Pattern"
xmlns=""><![CDATA[]]></pattern>
<pattern id="DestinationIp-Fakeware_Pattern"
xmlns=""><![CDATA[]]></pattern>
<pattern id="DestinationPort-Fakeware_Pattern"
case-insensitive="true" xmlns=""><![CDATA[]]></pattern>
<pattern id="Protocol-Fakeware_Pattern"
case-insensitive="true" xmlns=""><![CDATA[]]></pattern>
<match-group order="1" description="FWSM Test"
device-type-id-override="6" xmlns="">
<matcher field="EventName" order="1"
pattern-id="EventName-Fakeware_Pattern" capture-group="1"/>
<matcher field="SourceIp" order="1" pattern-id="SourceIp-Fakeware_Pattern"
capture-group="1" /> <matcher field="SourcePort"
order="1" pattern-id="SourcePort-Fakeware_Pattern" capture-group="1"/>
<matcher field="SourceMAC" order="1" pattern-id="SourceMAC-Fakeware_Pattern"
capture-group="1" /> <matcher field="DestinationIp"
order="1" pattern-id="DestinationIp-Fakeware_Pattern" capture-group="1" />
<matcher field="DestinationPort" order="1"
pattern-id="SDestinationPort-Fakeware_Pattern" capture-group="1" />
<matcher field="Protocol" order="1" pattern-id="Protocol-Fakeware_Pattern"
capture-group="1" />
<event-match-multiple pattern-id="EventNameId"
capture-group-index="1"
device-event-category="Cisco Firewall"/> </match-group> </device-extension>

11 Extensões de origem de log 113

Conceitos básicos da análise

O exemplo de documento de extensão anterior demonstra alguns dos aspectos básicos de análise:
v Endereços IP
v Portas
v Protocolo
v Vários campos que usam o mesmo padrão com grupos diferentes

Esse exemplo analisa todos os eventos FWSM que seguem o padrão especificado. Os campos que forem
analisados poderão não estar presentes nesses eventos quando os eventos incluírem conteúdo diferente.

As informações que eram necessárias para criar essa configuração que não estavam disponíveis no
evento:
v O nome do evento é somente os 6 últimos dígitos (302015) da parte %FWSM-session-0-302015 do
evento.
v O FWSM possui uma categoria de evento de dispositivo codificado permanentemente de Cisco
Firewall.
v O DSM do FWSM usa o Cisco Pix QIDmap e, portanto, inclui o parâmetro device-type-id-
override="6" no grupo correspondente. O ID do tipo de origem de log do Pix firewall é 6.

Nota: Se as informações de QID não forem especificadas ou estiverem indisponíveis, é possível modificar
o mapeamento de eventos. Para obter mais informações, consulte a seção Modificando o mapeamento de
eventos no Guia do Usuário do IBM QRadar.

Nome do evento e categoria de evento do dispositivo

Um nome de evento e uma categoria de evento de dispositivo são necessários quando o QIDmap é
procurado. Essa categoria de evento de dispositivo é um parâmetro de agrupamento no banco de dados
que ajuda a definir eventos equivalentes em um dispositivo. O event-match-multiple no término do
grupo correspondente inclui codificação permanente da categoria. O event-match-multiple usa o padrão
EventNameId no nome de evento analisado para corresponder a até 6 dígitos. Esse padrão não é
executado na carga útil completa, somente nessa parte analisada como o campo EventName.

O padrão EventName referencia a parte %FWSM dos eventos; todos os eventos Cisco FWSM contêm a parte
%FWSM. O padrão no exemplo corresponde a %FWSM seguido de qualquer número (zero ou mais) de letras e
traços. Essa correspondência de padrões resolve a palavra session que está integrada no meio do nome
do evento que precisa ser removido. A severidade do evento (de acordo com Cisco) seguida de um traço
e, em seguida, o nome verdadeiro do evento, conforme esperado pelo QRadar. A sequência (\d{6}) é a
única sequência no padrão EventNameFWSM que tem um grupo de captura.

Os endereços IP e as portas do evento seguem o mesmo padrão básico: um endereço IP seguido de dois
pontos (:), seguido do número da porta. Esse padrão analisa duas partes de dados (o endereço IP e a
porta) e especifica grupos de captura diferentes na seção correspondente.
<device-extension>
<pattern id="EventName1">(logger):</pattern>
<pattern id="DeviceTime1">time=\[(\d{2}/\w{3}/\d{4}:
\d{2}:\d{2}:\d{2})\] </pattern>
<pattern id="Username">(TLSv1)</pattern>
<match-group order="1" description="Full Test">
<matcher field="EventName" order="1"
pattern-id="EventName1" capture-group="1"/>
<matcher field="DeviceTime" order="1" pattern-id="DeviceTime1"
capture-group="1" ext-data="dd/MMM/YYYY:hh:mm:ss"/>

114 Guia de configuração do QRadar DSM

Padrões de endereço IP e de porta

Os padrões de endereço IP e de porta são quatro conjuntos de um a três dígitos, separados por pontos,
seguidos de dois pontos (:) e do número da porta. A seção de endereço IP está em um grupo, assim como
o número da porta, mas os dois pontos (:), não. As seções correspondentes para esses campos referenciam
o mesmo nome padrão, mas um grupo de captura diferente (o endereço IP é grupo 1 e a porta é grupo
2).

O protocolo é um padrão comum que procura a carga útil para a primeira instância de TCP, UDP, ICMP
ou GRE. O padrão é marcado com o parâmetro sem distinção entre maiúsculas e minúsculas para que
qualquer ocorrência corresponda.

Embora um segundo padrão de protocolo não ocorra no evento usado no exemplo, há um segundo
padrão de protocolo definido com uma ordem de dois. Se o padrão de protocolo com a menor ordem não
corresponder, o próximo será tentado, e assim por diante. O segundo padrão de protocolo também
demonstra substituição direta; não há grupos de correspondência no padrão, mas com o parâmetro
enable-substitutions ativado, o próximo TCP poderá ser usado no lugar de protocol=6.

Criando um documento de extensões de origem de log para obter

dados no QRadar
Crie extensões de origem de log (LSX) quando as origens de log não tiverem um DSM suportado, para
reparar um evento que tenha informações ausentes ou incorretas ou para analisar um evento quando o
DSM associado falhar ao produzir um resultado.

Quando criar uma extensão de origem de log

Para origens de log que não tenham um DSM oficial, use um Universal DSM (uDSM) para integrar as
origens de log. Uma extensão de origem de log (também conhecida como extensão de dispositivo) é
então aplicada ao uDSM para fornecer a lógica para analisar os logs. O LSX é baseado em expressões
regulares Java e pode ser usado com relação a qualquer tipo de protocolo, como syslog, JDBC e Arquivo
de Log. Valores podem ser extraídos dos logs e mapeados para todos os campos comuns no IBM QRadar.

Ao usar extensões de origem de log para reparar conteúdo ausente ou incorreto, quaisquer novos eventos
que forem produzidos pelas extensões de origem de log serão associados à origem de log que falhou ao
analisar a carga útil original. A criação de uma extensão evita que eventos desconhecidos ou não
categorizados sejam armazenados como desconhecidos no QRadar.

Usando o Editor DSM para criar rapidamente uma extensão de origem de log
Para o IBM QRadar V7.2.8 e mais recente, é possível usar o Editor DSM para criar extensões de origem
de log. O Editor DSM fornece feedback em tempo real para que você saiba se a extensão da origem de
log que está criando possui problemas. Use o Editor DSM para extrair campos, definir propriedades
customizadas, categorizar eventos e definir novas definições de QID. É possível usar o Editor DSM para
definir seu próprio Tipo de origem de log, que elimina a necessidade de usar um Universal DSM. Para
obter mais informações sobre o Editor DSM, veja o Guia de Administração do IBM QRadar.

Processo para criar manualmente uma extensão de origem de log

Como alternativa, para criar manualmente uma extensão de origem de log, conclua as etapas a seguir:
1. Assegure-se de que uma origem de log seja criada no QRadar.

11 Extensões de origem de log 115

Use o Universal DSM para o tipo de origem de log para coletar eventos de uma origem quando o
tipo de origem de log não estiver listado como um DSM suportado pelo QRadar.
Para o IBM QRadar V7.2.8 e mais recente, você não precisa usar o Universal DSM para criar um novo
tipo de origem de log. Se desejar, será possível usar o Editor DSM somente para criar o novo tipo de
origem de log e, em seguida, criar manualmente a origem de log. É possível anexar um LSX a um
tipo de origem de log suportado, como Windows, Bluecoat, Cisco e outros que são listados como
DSMs suportados pelo QRadar.
2. Para determinar os campos disponíveis, use a guia Atividade do log para exportar os logs para
avaliação.
3. Use o modelo de exemplo de documento de extensão para determinar os campos que podem ser
usados.
Não é necessário usar todos os campos no modelo. Determine os valores na origem de log que podem
ser mapeados para os campos no modelo de documento de extensão.
4. Remova os campos não usados e seus IDs de padrão correspondentes do documento de extensão de
origem de log.
5. Faça upload do documento de extensão e aplique a extensão à origem do log.
6. Mapeie os eventos para seus equivalentes no QIDmap.
Esta ação manual na guia Atividade do log é usada para mapear eventos de origem de log
desconhecidos para eventos conhecidos do QRadar para que possam ser categorizados e processados.
Conceitos relacionados:
“Modelo de documento de extensão” na página 112
O exemplo de um documento de extensão fornece informações sobre como analisar um determinado tipo
de Cisco FWSM para que os eventos não sejam enviados com um nome de evento incorreto.
“Exemplos de extensões de origem de log no fórum do QRadar” na página 99
É possível criar extensões de origem de log (LSX) para origens de log que não tenham um DSM
suportado. Para ajudar a criar suas próprias extensões de origem de log (também conhecidas como
extensões DSM), modifique extensões existentes que foram criadas.
Referências relacionadas:
165, “DSMs suportados do QRadar”, na página 1137
O IBM QRadar pode coletar eventos de seus produtos de segurança usando um arquivo de plug-in que é
chamado de Device Support Module (DSM).

Expressões regulares comuns

Use expressões regulares para corresponder padrões de texto no arquivo de origem de log. É possível
varrer mensagens em busca de padrões de letras, números ou uma combinação de ambos. Por exemplo, é
possível criar expressões regulares que correspondam a endereços IP de origem e de destino, portas,
endereços de MAC e muito mais.

Os códigos a seguir mostram várias expressões regulares comuns:

\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3} \d{1,5}
(?:[0-9a-fA-F]{2}\:){5}[0-9a-fA-F]{2} (TCP|UDP|ICMP|GRE)
\w{3}\s\d{2}\s\d{2}:\d{2}:\d{2}
\s \t .*?

O caractere de escape, ou "\", é usado para denotar um caractere literal. Por exemplo, o caractere "."
significa "qualquer caractere único" e corresponde a A, B, 1, X, etc. Para corresponder os caracteres ".",
uma correspondência literal, deve-se usar "\."
Tabela 70. Expressões regex comuns
Tipo Expressão
Endereço IP \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}
Endereço de controle de acesso à mídia (?:[0-9a-fA-F]{2}\:){5}[0-9a-fA-F]{2}

116 Guia de configuração do QRadar DSM

Tabela 70. Expressões regex comuns (continuação)
Tipo Expressão
Número da porta \d{1,5}
Protocolo (TCP|UDP|ICMP|GRE)
Horário do dispositivo \w{3}\s\d{2}\s\d{2}:\d{2}:\d{2}
Espaço em branco \s
Tab \t
Corresponder a qualquer coisa .*?

Dica: Para assegurar-se de que não corresponda acidentalmente outros caracteres, escape qualquer
caractere que não for dígito ou alfanumérico.

Construindo padrões de expressão regular

Para criar uma extensão de origem de log, use expressões regulares (regex) para corresponder sequências
de texto da origem de log não suportada.

Sobre Esta Tarefa

O exemplo a seguir mostra uma entrada de log referenciada nas etapas.
May 20 17:24:59 kernel: DROP M
AC=<MAC_address> SRC=<Source_IP_address>
DST=<Destination_IP_address>
LEN=351 TOS=0x00 PREC=0x00 TTL=64 ID=9582
PROTO=UDP SPT=67 DPT=68 LEN=331
May 20 17:24:59 kernel: PASS MAC=<MAC_address>
SRC=<Source_IP_address>
DST=<Destination_IP_address>
LEN=351 TOS=0x00 PREC=0x00 TTL=64 ID=9583 PROTO=TCP
SPT=1057 DPT=80 LEN=331 May 20 17:24:59 kernel: REJECT MAC=<MAC_address>
SRC=<Source_IP_address> DST=<Destination_IP_address> LEN=351 TOS=0x00
PREC=0x00 TTL=64 ID=9584 PROTO=TCP SPT=25212 DPT=6881 LEN=331

Procedimento
1. Analise visualmente a origem de log não suportada para identificar padrões exclusivos.
Esses padrões serão, mais tarde, convertidos em expressões regulares.
2. Localize as sequências de texto a serem correspondidas.

Dica: Para fornecer verificação básica de erro, inclua caracteres antes e depois dos valores para evitar
que valores semelhantes sejam correspondidos sem querer. Posteriormente, é possível isolar o valor
real dos caracteres extras.
3. Desenvolva pseudocódigo para padrões de correspondência e inclua o caractere de espaço para
denotar o início e o término de um padrão.
É possível ignorar as aspas. No exemplo de entrada de log, os nomes dos eventos são DROP, PASS e
REJECT. A lista a seguir mostra os campos de evento utilizáveis.
v EventName: " kernel: VALUE "
v SourceMAC: " MAC=VALUE "
v SourceIp: " SRC=VALUE "
v DestinationIp: " DST=VALUE "
v Protocol: " PROTO=VALUE "
v SourcePort: " SPT=VALUE "
v DestinationPort: " DPT=VALUE "

11 Extensões de origem de log 117

4. Substitua um espaço pela expressão regular \s.
Deve-se usar um caractere de escape para caracteres que não forem dígitos ou alfanuméricos. Por
exemplo, = torna-se \= e : torna-se \:.
5. Converta o pseudo-código em uma expressão regular.
Tabela 71. Convertendo pseudocódigo em expressões regulares
Campo Pseudocódigo Expressão regular
EventName " kernel: VALUE \skernel\:\s.*?\s

"
SourceMAC " MAC=VALUE " \sMAC\=(?:[0-9a-fA-F]{2}\:){5}[0-9a-fA-
F]{2}\s
SourceIP " SRC=VALUE " \sSRC\=\d{1,3}\.\d{1,3}\.\d{1,3}\.\
d{1,3}\s
DestinationIp " DST=VALUE " \sDST\=\d{1,3}\.\d{1,3}\.\d{1,3}\.\
d{1,3}\s
Protocolo " PROTO=VALUE " \sPROTO\=(TCP|UDP|ICMP|GRE)\s
SourcePort " SPT=VALUE " \sSPT\=\d{1,5}\s
DestinationPort " DPT=VALUE " \sDPT\=\d{1,5}\s

6. Especifique grupos de captura.

Um grupo de captura isola um determinado valor na expressão regular.
Por exemplo, no padrão SourcePort no exemplo anterior, não é possível passar o valor inteiro, uma
vez que ele inclui espaços e SRC=<code>. Em vez disso, especifique somente o número da porta
usando um grupo de captura. O valor no grupo de captura é o que é passado para o campo relevante
no IBM QRadar.
Insira parêntese ao redor dos valores que deseja capturar:
Tabela 72. Mapeando expressões regulares para capturar grupos para campos de evento
Campo Expressão regular Grupo de captura
EventName \skernel\:\s.*?\s \skernel\:\s(.*?)\s
SourceMAC \sMAC\=(?:[0-9a-fA- \sMAC\=((?:[0-9a-fA-
F]{2}\:){5}[0-9a-fA-F]{2}\s F]{2}\:){5}[0-9a-fA-F]{2})\s
SourceIP \sSRC\=\d{1,3}\.\d{1,3}\.\d{1,3}\.\ \sSRC\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\
d{1,3}\s d{1,3})\s
Destination IP \sDST\=\d{1,3}\.\d{1,3}\.\d{1,3}\.\ \sDST\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\
d{1,3}\s d{1,3})\s
Protocolo \sPROTO\=(TCP|UDP|ICMP|GRE)\s \sPROTO\=((TCP|UDP|ICMP|GRE))\s
SourcePort \sSPT\=\d{1,5}\s \sSPT\=(\d{1,5})\s
DestinationPort \sDPT\=\d{1,5}\s \sDPT\=(\d{1,5})\s

7. Migre os padrões e os grupos de captura para o documento de extensões de origem de log.

O fragmento de código a seguir mostra parte do documento usado.
<device-extension xmlns="event_parsing/device_extension">
<pattern id="EventNameFWSM_Pattern"
xmlns=""><![CDATA[%FWSM[a-zA-Z\-]*\d-(\d{1,6})]]></pattern>
<pattern id="SourceIp_Pattern" xmlns=""><![CDATA[gaddr (\d{1,3}\.
\d{1,3}\.\d{1,3}\.\d{1,3})/([\d]{1,5})]]></pattern> <pattern
id="SourceIpPreNAT_Pattern" xmlns=""><![CDATA[gaddr (\d{1,3}\.
\d{1,3}\.\d{1,3}\.\d{1,3})/([\d]{1,5})]]></pattern>
<pattern id="SourceIpPostNAT_Pattern" xmlns=""><![CDATA[laddr
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/([\d]{1,5})]]></pattern>
<pattern id="DestinationIp_Pattern" xmlns=""><![CDATA[faddr
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/([\d]{1,5})]]></pattern>
<pattern id="Protocol_Pattern" case-insensitive="true"
xmlns=""><![CDATA[(TCP|UDP|ICMP|GRE)]]></pattern>

118 Guia de configuração do QRadar DSM

Fazendo upload de documentos de extensão para o QRadar

É possível criar vários documentos de extensão e, em seguida, fazer upload deles e associá-los a vários
tipos de origem de log. A lógica da extensão de origem de log (LSX) é então usada para analisar os logs
da origem de log não suportada.

Os documentos de extensão podem ser armazenados em qualquer lugar antes de serem transferidos por
upload para o IBM QRadar.

Procedimento
1. Na guia Administrador, clique em Extensões de origem de log.
2. Clique em Incluir.
3. Designe um nome.
4. Se você estiver usando o DSM Universal, não selecione o documento de extensão como o padrão para
um Tipo de origem de log.
Ao selecionar o DSM Universal como o padrão, ele afeta todas as origens de log associadas. Um DSM
Universal pode ser usado para definir a lógica de análise de várias origens de eventos customizadas e
não suportadas.
5. Opcional: Para aplicar essa extensão de origem de log a mais de uma instância de um tipo de origem
de log, selecione o tipo de origem de log na lista Tipo de origem de log disponível e clique na seta de
inclusão para configurá-lo como o padrão.
Configurar o tipo de origem de log padrão aplica a extensão de origem de log a todos os eventos de
um tipo de origem de log, incluindo as origens de log que são descobertas automaticamente.
Assegure-se de testar a extensão para o tipo de origem de log primeiro para assegurar que os eventos
sejam analisados corretamente.
6. Clique em Procurar para localizar o LSX que foi salvo e, em seguida, clique em Fazer upload.
O QRadar valida o documento no XSD interno e verifica sua validade antes de o documento de
extensão ser transferido por upload para o sistema.
7. Clique em Salvar e feche a janela.
8. Associe a extensão de origem de log a uma origem de log.
a. Na guia Administrador, clique em Origens de dados > Origens de log.
b. Clique duas vezes no tipo de origem de log para o qual criou o documento de extensão.
c. Na lista Extensão de origem de log, selecione o documento criado.
d. Clique em Salvar e feche a janela.

Problemas e exemplos de análise

Ao criar uma extensão de origem de log, é possível encontrar alguns problemas de análise. Use estes
exemplos de XML para resolver problemas de análise específicos.

Convertendo um protocolo
O exemplo a seguir mostra uma conversão típica de protocolo que procura TCP, UDP, ICMP ou GRE em
qualquer lugar na carga útil. O padrão de procura é circundado por qualquer limite de palavra, por
exemplo, tabulação, espaço, término de linha. Além disso, as maiúsculas e minúsculas do caractere são
ignoradas:

11 Extensões de origem de log 119

Fazendo uma única substituição

O exemplo a seguir mostra uma substituição que analisa o endereço IP de origem e, em seguida, substitui
o resultado e configura o endereço IP para 192.0.2.1, ignorando o endereço IP na carga útil.

Este exemplo assume que o endereço IP de origem corresponde a algo semelhante a

SrcAddress=203.0.113.1 seguido por uma vírgula:
<pattern id="SourceIp_AuthenOK" xmlns="">
<![CDATA[SrcAddress=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}),]]>
</pattern>

<matcher field="SourceIp" order="1" pattern-id="SourceIp_AuthenOK"

capture-group = " 192.0.2.1 " enable-substitutions = "true " / >

Gerando um endereço MAC separado por dois pontos (:)

O QRadar detecta endereços de MAC em um formato separado por dois pontos (:). Como todos os
dispositivos podem não usar esse formato, o exemplo a seguir mostra como corrigir essa situação:
<pattern id="SourceMACWithDashes" xmlns="">
<![CDATA[SourceMAC=([0-9a-fA-F]{2})-([0-9a-fA-F]{2})-([0-9a-fA-F]{2})-
([0-9a-fA-F]{2})-([0-9a-fA-F]{2})-([0-9a-fA-F]{2})]]>
</pattern>
<matcher field="SourceMAC" order="1" pattern-id="
SourceMACWithDashes" capture-group="\1:\2:\3:\4:\5:\6" />

No exemplo anterior, SourceMAC= 12-34-1a-2b-3c-4d é convertido em um endereço MAC de 12:34:1a:

2b: 3c: 4d .

Se os traços forem removidos do padrão, o padrão converterá um endereço MAC e não terá separadores.
Se espaços forem inseridos, o padrão converterá um endereço MAC separado por espaço.

Combinando endereço IP e porta

Geralmente, um endereço IP e uma porta são combinados em um campo, que é separado por dois pontos
(:).

O exemplo a seguir usa vários grupos de captura com um padrão:

pattern id="SourceIPColonPort" xmlns="">
<! [CDATA[Source=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):([\d]{1,5})]]>
</pattern>

<matcher field="SourceIp" order="1" pattern-id="SourceIPColonPort" capture-group="1" />

Modificando uma Categoria de evento

Uma categoria de evento de dispositivo pode ser codificada permanentemente, ou a severidade pode ser
ajustada.

O exemplo a seguir ajusta a severidade para um único tipo de evento:

<event-match-single event-name="TheEvent" device-event-category="Actual Category" severity="6"

send-identity="UseDSMResults" />

120 Guia de configuração do QRadar DSM

Suprimindo eventos de mudança de identidade

Um DSM pode enviar, desnecessariamente, eventos de mudança de identidade.

Os exemplos a seguir mostram como suprimir eventos de mudança de identidade de serem enviados de
um único tipo de evento e de um grupo de eventos.
// Never send identity for the event with an EventName of Authen OK
<event-match-single event-name="Authen OK" device-event-category="ACS"
severity="6" send-identity="OverrideAndNeverSend" />

// Never send any identity for an event with an event name starting with 7,
followed by one to five other digits:
<pattern id="EventNameId" xmlns=""><![CDATA[(7\d{1,5})]]>
</pattern>

<event-match-multiple pattern-id="EventNameId" capture-group-index="1"

device-event-category="Cisco Firewall" severity="7"
send-identity="OverrideAndNeverSend"/>

Formatando registros de data e hora dos eventos

Uma extensão de origem de log pode detectar vários formatos de registro de data e hora diferentes nos
eventos.

Como os fabricantes de dispositivo não se adequam a um formato de registro de data e hora padrão, o
parâmetro opcional ext-data é incluído na extensão de origem de log para permitir que DeviceTime seja
reformatado. O exemplo a seguir mostra como um evento pode ser reformatado para corrigir a
formatação do registro de data e hora:
<device-extension>
<pattern id="EventName1">(logger):</pattern>
<pattern id="DeviceTime1
">time=\[(\d{2}/\w{3}/\d{4}:
\d{2}:\d{2}:\d{2})\]</pattern>
<pattern id="Username">
(TLSv1)</pattern>

<match-group order="1" description="Full Test">

Vários formatos de log em uma única origem de log

Ocasionalmente, vários formatos de log são incluídos em uma única origem de log.
May 20 17:15:50 kernel: DROP IN=vlan2 OUT= MAC= SRC=<Source_IP_address>
DST = <Destination_IP_address> PROTO=UDP SPT = 1900 DPT = 1900
May 20 17:16:26 <server>[22331]: password auth succeeded for ’root’ from <IP_address>
May 20 17:16:28 <server>[22331]: exit after auth (root): Exited normally </br>
May 20 17:16:14 <server>[22331]: bad password attempt for ’root’ from <IP_address>:3364

Por exemplo, há 2 formatos de log: um para eventos de firewall e outro para eventos de autenticação.
Deve-se gravar vários padrões para analisar os eventos. É possível especificar a ordem a ser analisada.
Geralmente, os eventos mais frequentes são analisados primeiro, seguidos dos eventos menos frequentes.
É possível ter tantos padrões quantos necessários para analisar todos os eventos. A variável order
determina a ordem em que os padrões são correspondidos.

11 Extensões de origem de log 121

O exemplo a seguir mostra vários formatos para os campos EventName e UserName a seguir

Padrões separados são gravados para analisar cada tipo de log exclusivo. Ambos os padrões são
referenciados ao designar o valor aos campos normalizados.
<pattern id="EventName-DDWRT-FW_Pattern" xmlns=""><![CDATA[kernel\:\s(.*?)\s]]></pattern>
<pattern id="EventName-DDWRT-Auth_Pattern" xmlns=""><![CDATA[sdrophear\[\d{1,5}\]|:\s(.*?\s.*?)\s]]>
</pattern>

<pattern id="UserName_DDWRT-Auth1__Pattern" xmlns=""><![CDATA[\sfor\s\’(.*?)\’s]]></pattern>

<match-group order="1" description="DD-WRT Device Extensions xmlns="">

<matcher field="UserName" order="1" pattern-id="UserName-DDWRT-Auth1_Pattern" capture-group="1"/>

Analisando um formato de log CSV

Um arquivo de log formatado por CSV pode usar um único analisador que tenha vários grupos de
captura. Nem sempre é necessário criar vários IDs de padrão ao analisar esse tipo de log.

Sobre Esta Tarefa

A amostra de log a seguir é usada:

Event,User,Source IP,Source Port,Destination IP,Destination Port
Failed Login,<Username>,<Source_IP_address>,1024,<Destination_IP_address>,22
Successful Login,<Username>,<Source_IP_address>,1743,<Destination_IP_address>,110
Privilege Escalation,<Username>,<Source_IP_address>,1028,<Destination_IP_address>,23

Procedimento
1. Crie um analisador que corresponda a todos os valores relevantes usando os padrões anteriores.
.*?\,.*?\,\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}
\,\d{1,5}\,\d{1,3}\.\d{1,3} \.\d{1,3}\.\d{1,3}\,\d{1,5}
2. Coloque os grupos de captura ao redor de cada valor:
(.*?)\,(.*?)\,(\d{1,3}\.\d{1,3}\.\d{1,3}\.
\d{1,3})\,(\d{1,5})\,(\d{1,3} \.\d{1,3}\.\d{1,3}\.\d{1,3})\,(\d{1,5})
3. Mapeie o campo para o qual cada grupo de captura está mapeado, incrementando o valor enquanto
se move.
1 = Event, 2 = User, 3 = Source IP,
4 = Source Port, 5 = Destination IP, 6 = Destination Port
4. Inclua os valores na extensão de origem de log mapeando o grupo de captura para o evento
relevante.
O código a seguir mostra um exemplo parcial de mapeamento do grupo de captura para o evento
relevante.
<pattern id="CSV-Parser_Pattern" xmlns=""><![CDATA 9.*?)\,(.*?)\,(\d{1,3}\.\{1,3}\.{1,3}]]></pattern>
<match-group order="1" description="Log Source Extension xmlns="">
<matcher field="EventName" order="1" pattern-id="CSV-Parser_Pattern" capture-group="1"/>
<matcher field="SourceIP" order="1" pattern-id="CSV-Parser_Pattern" capture-group="3"/>
<matcher field="SourcePort" order="1" pattern-id="CSV-Parser_Pattern" capture-group="4"/>
<matcher field="DestinationIP" order="1" pattern-id="CSV-Parser_Pattern" capture-group="5"/>
<matcher field="DestinationPort" order="1" pattern-id="CSV-Parser_Pattern" capture-group="6"/>
<matcher field="UserName" order="1" pattern-id="CSV-Parser_Pattern" capture-group="2"/>
5. Faça upload da extensão de origem de log.
6. Mapeie os eventos.

122 Guia de configuração do QRadar DSM

12 Gerenciamento de extensão de fonte de log
É possível criar extensões de fonte de log para estender ou modificar as rotinas de análise de dispositivos
específicos.

Uma extensão de fonte de log é um arquivo XML que inclui todos os padrões de expressão regular que são
necessários para identificar e categorizar eventos a partir da carga útil do evento. Arquivos de extensão
podem ser utilizados para analisar eventos quando se deve corrigir um problema de análise ou substituir
a análise padrão para um evento de um DSM. Quando um DSM não existir para analisar eventos de um
dispositivo ou dispositivo de segurança em sua rede, uma extensão pode fornecer suporte de eventos. A
guia Atividade do Log identifica os eventos da origem do log nesses tipos básicos:
v Origens de log que analisam corretamente o evento. Eventos analisados corretamente são designados
ao tipo e categoria de fonte de log corretos. Neste caso, nenhuma intervenção ou extensão é necessária.
v Origens de log que analisam eventos, mas possuem um valor Desconhecido no parâmetro Origem de
Log. Eventos desconhecidos são eventos de fonte de log em que o tipo de fonte de log é identificado,
mas as informações de carga útil não podem ser entendidas pelo DSM. O sistema não pode determinar
um identificador de eventos a partir das informações disponíveis para categorizar corretamente o
evento. Nesse caso, o evento pode ser mapeado para uma categoria ou uma extensão de fonte de log
que pode ser gravada para reparar a análise de evento para eventos desconhecidos.
v As origens de log que não podem identificar o tipo de fonte de log e que possuem um valor de evento
Armazenado no parâmetro Origem de Log. Eventos armazenados requerem a atualização de seus
arquivos DSM ou a gravação de uma extensão de fonte de log para analisar corretamente o evento.
Após o evento ser analisado, será possível, em seguida, mapear os eventos.

Antes de poder incluir uma extensão de fonte de log, deve-se criar o documento de extensão. O
documento de extensão é um documento XML o qual é possível criar com qualquer aplicativo de
processamento comum ou palavra de edição de texto. Diversos documentos de extensão podem ser
criados, transferidos por upload e associados a diversos tipos de fonte de log. O formato do documento
de extensão deve estar de acordo com um documento de esquema XML (XSD) padrão. Para desenvolver
um documento de extensão, será necessário ter conhecimento e experiência com a codificação XML.

Incluindo uma extensão de fonte de log

É possível incluir uma extensão de fonte de log para estender ou modificar as rotinas de análise de
dispositivos específicos.

Procedimento
1. Clique na guia Administrador.
2. Clique no ícone Extensões de Origem de Log.
3. Clique em Incluir.
4. Na lista Tipos de Origem de Log, selecione uma das seguintes opções:

Opção Descrição
Disponível Selecione esta opção quando o módulo de suporte de
dispositivo (DSM) analisar corretamente a maioria dos
campos para a fonte de log. Os valores de campo
analisados incorretamente são aprimorados com os novos
valores XML.

© Copyright IBM Corp. 2005, 2019 123

Opção Descrição
Configurar para padrão de Selecione as origens de log para incluir ou remover da
análise da extensão. É possível incluir ou remover
extensões a partir de uma fonte de log.

Quando uma extensão de fonte de log for Configurar

para o padrão de uma fonte de log, novas origens de log
do mesmo Tipo de Origem de Log utilizarão a extensão
de fonte de log designada.

5. Clique em Procurar para localizar o documento XML de extensão de fonte de log.

6. Clique em Upload. O conteúdo da extensão de fonte de log é exibido para assegurar que o arquivo de
extensão apropriado seja transferido por upload. O arquivo de extensão é avaliado com relação ao
XSD para erros quando o arquivo é transferido por upload.
7. Clique em Salvar.

Resultados

Se o arquivo de extensão não contiver nenhum erro, a nova extensão de fonte de log será criada e
ativada. É possível fazer upload de uma extensão de fonte de log sem aplicar a extensão a uma fonte de
log. Qualquer mudança no status de uma extensão será aplicada imediatamente e os hosts ou Consoles
gerenciados aplicam os novos parâmetros de análise de evento na extensão de fonte de log.

O que Fazer Depois

Na guia Atividade do Log, verifique se os padrões de análise de eventos são aplicados corretamente. Se a
fonte de log categorizar eventos como Armazenados, o padrão de análise na extensão de fonte de log
requer ajuste. É possível revisar o arquivo de extensão com relação aos eventos de fonte de log para
localizar qualquer questão de análise sintática do evento.

124 Guia de configuração do QRadar DSM

Parte 3. DSMs

© Copyright IBM Corp. 2005, 2019 125

126 Guia de configuração do QRadar DSM
13 3Com Switch 8800
O DSM do IBM QRadar para o 3Com Switch 8800 recebe eventos usando syslog.

A tabela a seguir identifica as especificações do DSM 3Com Switch 8800:

Especificação Valor
Fabricante 3Com
Nome do DSM Switch 8800 Series
Nome do arquivo RPM DSM-3ComSwitch_qradar-version_build-
number.noarch.rpm
Versões suportadas v3.01.30
Protocolo Syslog
QRadar eventos registrados Eventos de status e condição de rede
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades de evento customizado? Não
Informações adicionais website da 3Com (http://www.3com.com)

Para enviar eventos 3COM Switch 8800 para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale o RPM 3COM Switch
8800 mais recente no QRadar Console.
2. Configure cada instância do 3COM Switch 8800 para se comunicar com o QRadar.
3. Se o QRadar não descobrir automaticamente o DSM, crie uma origem de log no QRadar Console para
cada instância do 3COM Switch 8800. Configure todos os parâmetros necessários e use a tabela a
seguir para obter valores específicos:

Parâmetro Descrição
Tipo de Fonte de Log 3COM Switch 8800
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o 3COM Switch 8800”
Configure o 3COM Switch 8800 para encaminhar eventos syslog para o IBM QRadar.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o 3COM Switch 8800

Configure o 3COM Switch 8800 para encaminhar eventos syslog para o IBM QRadar.

© Copyright IBM Corp. 2005, 2019 127

Procedimento
1. Efetue login no 3COM Switch 8800.
2. Para ativar o centro de informações, digite o comando a seguir:
info-center enable
3. Para configurar o host do log, digite o comando a seguir:
info-center loghost QRadar_ip_address facility informational language english
4. Para configurar os módulos de informações ARP e IP, digite os comandos a seguir.
info-center source arp channel loghost log level informational
info-center source ip channel loghost log level informational

128 Guia de configuração do QRadar DSM

14 AhnLab Policy Center
O DSM do IBM QRadar para o AhnLab Policy Center recupera eventos do banco de dados DB2 que o
AhnLab Policy Center usa para armazenar seus logs.

A tabela a seguir identifica as especificações para o DSM AhnLab Policy Center:

Tabela 73. Especificações do DSM AhnLab Policy Center
Especificação Valor
Fabricante AhnLab
DSM AhnLab Policy Center
Nomes dos arquivos RPM DSM-AhnLabPolicyCenter-QRadar-Release_Build-
Number.noarch.rpm
Versões suportadas 4.0
Protocolo AhnLabPolicyCenterJdbc
QRadar eventos registrados Detecção de spyware, Detecção de vírus, Auditoria
Descobertos automaticamente? Não
Inclui identidade Sim
Informações adicionais website do Ahnlab (https://global.ahnlab.com/)

Para integrar o DSM AhnLab Policy Center com o QRadar, conclua as etapas a seguir:
1. Faça download e instale as versões mais recentes dos RPMs a seguir no QRadar Console:
v RPM de protocolo JDBC
v RPM de protocolo AhnLabPolicyCenterJdbc
v RPM AhnLab Policy Center

Dica: Para obter mais informações, consulte a documentação do DB2.

2. Assegure-se de que o sistema AhnLab Policy Center atenda aos critérios a seguir:
v O DB2 Database permite conexões a partir do QRadar.
v A porta para o Protocolo AhnLabPolicyCenterJdbc corresponde à porta do listener do DB2
Database.
v As conexões TCP recebidas no DB2 Database estão ativadas para comunicação com o QRadar.
3. Para cada servidor AhnLab Policy Center que você deseja integrar, crie uma origem de log no QRadar
Console. A tabela a seguir identifica os valores de protocolo específicos do Ahnlab:

Parâmetro Valor
Tipo de Fonte de Log APC do AhnLab Policy Center
Configuração de protocolo AhnLabPolicyCenterJdbc
Credenciais de acesso Use as credenciais de acesso do servidor DB2.
Idioma de Origem do Log Se você usar o QRadar v7.2 ou mais recente, deve-se
selecionar um idioma de origem de log.

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM

© Copyright IBM Corp. 2005, 2019 129

manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

130 Guia de configuração do QRadar DSM

15 Akamai KONA
O DSM do IBM QRadar para o Akamai KONA coleta logs de eventos de suas plataformas Akamai
KONA.

A tabela a seguir identifica as especificações para o DSM KONA Akamai:

Tabela 74. Especificações do DSM Akamai KONA
Especificação Valor
Fabricante Akamai
Produto Kona
Nome do RPM do DSM DSM-AkamaiKona-QRadar_Version-
Build_Number.noarch.rpm
Protocolo Receptor de HTTP, API de REST do Akamai Kona
Formato de Evento JSON
Tipos de eventos registrados Todos os eventos de segurança
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais Documentação da API do Akamai Kona SIEM (https:
//developer.akamai.com/api/luna/siem/overview.html)

As duas opções de configuração para o Akamai Kona são “Configurando uma origem de log Akamai
Kona usando o protocolo Receptor de HTTP” e “Configurando uma origem de log Akamai Kona usando
o protocolo de API de REST do Akamai Kona” na página 132.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando uma origem de log Akamai Kona usando o protocolo

Receptor de HTTP
Colete logs usando o Protocolo Receptor de HTTP:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale as versões mais recentes
dos RPMs a seguir no QRadar Console:
v Protocol Common RPM

© Copyright IBM Corp. 2005, 2019 131

v RPM DSMCommon
v RPM do protocolo HTTPReceiver
v DSM RPM do Akamai KONA
2. Configure o sistema Akamai KONA para se comunicar com o QRadar. Para obter mais informações,
entre em contato com a Akamai.
3. Se você planeja configurar a origem de log para usar as opções HTTPs e Autenticação de cliente,
copie o certificado Akamai KONA para o QRadar Event Collector de destino.
4. Para cada servidor Akamai KONA que você deseja integrar, crie uma origem de log no QRadar
Console. Configure todos os parâmetros necessários. Use esta tabela para configurar os parâmetros
específicos do Akamai Kona:
Tabela 75. Parâmetros de origem de log do Akamai KONA
Parâmetro Descrição
Tipo de origem de log Akamai KONA
Configuração do Protocolo Receptor de HTTP
Caminho do certificado de cliente O caminho de arquivo absoluto para o certificado de
cliente no QRadar Event Collector de destino.

Assegure-se de que o certificado Akamai KONA já esteja

copiado para o Event Collector.

Se você selecionar as opções HTTPs e Autenticação de

cliente na lista Tipo de comunicação, o parâmetro
Caminho do certificado de cliente será obrigatório.
Porta de Atendimento A porta de destino que está configurada no sistema
Akamai KONA.

Importante: Não use a porta 514. A porta 514 é usada

pelo listener padrão do Syslog.
Padrão de mensagem O Message Pattern '\{"type' é para eventos de formato
JSON.

Para obter mais informações sobre esse protocolo, consulte “Opções de configuração de protocolo
Receptor de HTTP” na página 48.

Restrição: Esta integração requer que você abra uma porta não padrão em seu firewall para conexões
Akamai recebidas. Use um proxy interno para rotear as conexões do Akamai recebidas. Não aponte o
fluxo de dados do Akamai diretamente para o QRadar Console. Para obter mais informações sobre
como abrir uma porta não padrão em seu firewall, consulte os profissionais de segurança de rede.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando uma origem de log Akamai Kona usando o protocolo de

API de REST do Akamai Kona
Coletar logs da API de REST do Akamai Kona:

132 Guia de configuração do QRadar DSM

1. Se atualizações automáticas não estiverem ativadas, faça download e instale as versões mais recentes
dos RPMs a seguir no QRadar Console:
v Protocol Common RPM
v RPM da API REST Akamai Kona
v RPM DSMCommon
v DSM RPM do Akamai KONA
2. Configure o Akamai Kona para enviar eventos de segurança para o QRadar usando o protocolo de
API de REST do Akamai Kona.
3. Configure o Akamai Kona para se comunicar com o QRadar.

Nota: O DSM do Akamai KONA suporta somente eventos formatados por JSON. O conector de
amostra do CEF e do Syslog do Akamai não funciona com o DSM do Akamai KONA.
4. Inclua uma origem de log no QRadar.
A tabela a seguir descreve os parâmetros de origem de log que requerem valores específicos para a
coleção de eventos do DSM do Akamai KONA:
Tabela 76. Parâmetros da origem de log DSM do Akamai KONA
Parâmetro Valor
Tipo de origem de log Akamai KONA
Configuração do Protocolo API de REST do Akamai Kona
Host O valor Host é fornecido durante o provisionamento da
API do SIEM OPEN no centro de controle do Akamai
Luna. O Host é uma URL base exclusiva que contém
informações sobre os direitos apropriados para consultar
os eventos de segurança. Esse parâmetro é um campo de
senha porque parte do valor contém informações
secretas.
Token do Cliente Token do Cliente é um dos dois parâmetros de
segurança. Esse token é pareado ao Segredo do Cliente
para criar as credenciais do cliente. Esse token pode ser
encontrado após o provisionamento da API do Akamai
SIEM OPEN.
Segredo do Cliente Segredo do Cliente é um dos dois parâmetros de
segurança. Esse segredo é pareado ao Token do Cliente
para criar as credenciais do cliente. Esse token pode ser
encontrado após o provisionamento da API do Akamai
SIEM OPEN.
Token de Acesso Token de Acesso é um parâmetro de segurança usado
com as credenciais do cliente para autorizar o acesso do
cliente de API para a recuperação de eventos de
segurança. Esse token pode ser encontrado após o
provisionamento da API do Akamai SIEM OPEN.
ID de configuração de segurança ID de Configuração de Segurança é o ID de cada
configuração de segurança para a qual você deseja
recuperar eventos de segurança. Esse ID pode ser
encontrado na seção Integração do SIEM do seu portal
do Akamai Luna. É possível especificar diversos IDs de
configuração em uma lista separada por vírgula. Por
exemplo: configID1,configID2.

15 Akamai KONA 133

Tabela 76. Parâmetros da origem de log DSM do Akamai KONA (continuação)
Parâmetro Valor
Utilizar Proxy Se o QRadar acessa o Akamai Kona usando um proxy,
ative Usar proxy.

Se o proxy requer autenticação, configure os campos

Servidor proxy, Porta de proxy, Nome do usuário de
proxy e Senha de proxy.

Se o proxy não requerer autenticação, configure os

campos Servidor proxy e Porta de proxy.
Adquirir o certificado do servidor automaticamente Selecione Sim para que o QRadar faça download do
certificado do servidor automaticamente e inicie a
confiança do servidor de destino.
Recorrência O intervalo de tempo entre consultas de origem de log
para a API do Akamai SIEM para novos eventos. O
intervalo de tempo pode ser em horas (H), minutos (M)
ou dias (D).

O padrão é 1 minuto.
Regulador de EPS O número máximo de eventos por segundo.

O padrão é 5000.

Para obter mais informações sobre esse protocolo, consulte “Opções de configuração de protocolo da
API de REST do Akamai Kona” na página 31.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o Akamai Kona para se comunicar com o QRadar

É necessário configurar sua plataforma Akamai Kona para tornar os eventos de segurança disponíveis
para o QRadar. Certifique-se de ter acesso ao seu Centro de controle do Akamai Luna
(https://control.akamai.com) para configurar e provisionar a integração do SIEM.

Essa documentação on-line contém todas as etapas e procedimentos para as configurações:

https://developer.akamai.com/tools/siem-integration/docs/siem.htm. Siga as etapas de 1 a 3 para
provisionar com sucesso a integração.

Nota: Registre os valores para o Host, o Token do Cliente, o Segredo do Cliente, o Token de Acesso e a
Chave de Configuração de Segurança. Você precisa desses valores quando configura uma origem de log
no QRadar.

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra ao usar o protocolo Akamai Kona REST
API para o DSM Akamai KONA:

134 Guia de configuração do QRadar DSM

Nota: Cada evento pode conter vários IDs de Evento e Nomes.
Tabela 77. Mensagem de amostra Akamai KONA suportada por Akamai Kona REST API.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
O aplicativo não Aviso {"type":"akamai_siem","format":"json",
está disponível - "version": "1.0", "invaskData": {
Negar Regra ,"policyId":"<Policy Id>","clientIP":"192.0.2.0",
"rules": "970901", "ruleVersions": "1", "ruleMessages":
"Application is not Available (HTTP 5XX)","ruleTags"
: "AKAMAI/BOT/UNKNOWN_BOT", "ruleData ":" Vector Score
: 4, DENY threshold: 2, Alert Rules: 3990001:970901
, Deny Rule: , Last Matched Message:
Application is not Available (HTTP 5XX)",
"ruleSelectors":"",
"ruleActions": "monitor" }, "httpMessage":
{, "httpMessage": {
: "<Request Id>",
"start": "1517337032", "protocol":
"HTTP/1.1", "method": "GET", "host":
" siem-sample.csi
.edgesuite.net "," port ":" 80 ",
"path": "path " ,"request
Cabeçalhos ":" User-Agent:
curl / 7.35.0Host: siem-sample.
csi.edgesuite.netAccept: */ * edge_maprule:
ksd "," status ":" 403 "," bytes ":
" 298 "," responseHeaders ":
"Server: AkamaiGHostMime-Version:
1.0Content-Type: text/htmlContent-Length:
298Expires: Tue, 30 jan 2018 18:30:32
GMTDate: Tue, 30 Jan 2018 18:30:32 GMTConnec
tion: close "}," geo ": {," geo ": {
ry ":" <Country> "," city ":
" <City> "," regionCode ":" <
Region Código > "," asn ":
" <asn> " } }
Pontuação de Atividade {"type":"akamai_siem","format":"json",
Anomalia Suspeita "version":"1.0","attackData":{"configId":"<Config Id>
Excedida para "," policyId ":" <Policy Id> ","clientIP":" 192.0.2.0 ",
Saída "rules": "OUTBOUND-ANOMALY", "ruleVersions": "4", " rule
Mensagens ":" Escore de Anomalia Excedido para Saída ",
"ruleTags": "AKAMAI/POLICY/OUTBOUND_ANOMALY", "rule
Data ":" curl_85D6E381D300243323148F63983BD735 "," rule
Selectors":"","ruleActions":"alert"},"httpMessage":
{1}{5}{1}{7}{3}{3}{7}{0}{3}{2}",
"protocol" :"HTTP/1.1", "method": "GET", "host ": "siem-
sample.csi.edgesuite.net "," port ":" 80 ", "path": "path ",
"requestHeaders": " User-Agent: curl / 7.35.0Host: siem-
sample.csi.edgesuite.netAccept: */ * edge_maprule: ksd "
, "status": "403", "bytes": "298", "responseHeaders":
"Server: AkamaiGHostMime-Version: 1.0Content-Type:
text/htmlContent-Length: 298Expires: Tue, 30
Jan 2018 18:30:32 GMTDate: Tue, 30 Jan 2018
18:30:32 GMTConnection: close"},"geo":
{"continent":"<Continent>
"," country ":" <Country> "," city ":
" <City> "," regionCode ":
"<Region Code>","asn":
"<asn>"}}

15 Akamai KONA 135

136 Guia de configuração do QRadar DSM
16 Amazon AWS CloudTrail
O IBM QRadar DSM for Amazon AWS CloudTrail suporta eventos de auditoria que são coletados dos
depósitos do Amazon S3 e de um Grupo de logs nos Logs do AWS CloudWatch.

A tabela a seguir lista as especificações para o DSM Amazon AWS CloudTrail:

Tabela 78. Especificações do DSM Amazon AWS CloudTrail
Especificação Valor
Fabricante Amazônio
DSM Amazon AWS CloudTrail
Nome do RPM DSM-AmazonAWSCloudTrail-QRadar_version-
Build_number.noarch.rpm
Versões suportadas N/A
Protocolo API REST do Amazon AWS S3

Serviços da web Amazon

Formato de evento JSON
Tipos de eventos registrados Versões de evento 1.0, 1.02, 1.03, 1.04 e 1.05
Descobertos automaticamente? SIM
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Amazon (https: //docs.aws.amazon.com/
AmazonVPC/latest/UserGuide/flow-logs.html)

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando uma origem de log do Amazon AWS CloudTrail usando o protocolo de API REST do
Amazon AWS” na página 138
Se você desejar coletar logs do AWS CloudTrail de depósitos do Amazon S3, configure uma origem de
log no QRadar Console para que o Amazon AWS CloudTrail possa se comunicar com o QRadar usando o
protocolo de API REST do Amazon AWS.
“Configurando uma origem de log do Amazon AWS CloudTrail usando o protocolo Amazon Web
Services” na página 145
Se você desejar coletar logs do AWS CloudTrail de logs do Amazon CloudWatch, configure uma origem
de log no QRadar Console para que o Amazon AWS CloudTrail possa se comunicar com o QRadar
usando o protocolo Amazon Web Services.
“Configurando credenciais de segurança para a sua conta do usuário do AWS” na página 149
Deve-se ter a chave de acesso de conta do usuário do AWS e os valores de chave de acesso secretos antes
de poder configurar uma origem de log no QRadar.

© Copyright IBM Corp. 2005, 2019 137

Configurando uma origem de log do Amazon AWS CloudTrail usando
o protocolo de API REST do Amazon AWS
Se você desejar coletar logs do AWS CloudTrail de depósitos do Amazon S3, configure uma origem de
log no QRadar Console para que o Amazon AWS CloudTrail possa se comunicar com o QRadar usando o
protocolo de API REST do Amazon AWS.

Restrição:

Uma origem de log pode recuperar dados de apenas uma região, portanto, use uma origem de log
diferente para cada região. Inclua o nome da pasta de região no caminho de arquivo para o valor
Directory Prefix quando você configurar a origem de log.
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos de
auditoria do Amazon AWS CloudTrail usando o protocolo da API REST do Amazon AWS S3:
Tabela 79. Parâmetros de origem de log de protocolo da API de REST do Amazon AWS S3
Parâmetro Descrição
Tipo de Fonte de Log Amazon AWS CloudTrail
Configuração de protocolo API REST do Amazon AWS S3
Identificador de Fonte de Log Digite um nome exclusivo para a origem de log.

O Identificador de Origem de Log pode ser qualquer

AWSSIGNATUREV2 não suporta todas as regiões do

Amazon AWS.

AWSSIGNATURE4 suporta todas as regiões. Se você

138 Guia de configuração do QRadar DSM

Tabela 79. Parâmetros de origem de log de protocolo da API de REST do Amazon AWS S3 (continuação)
Parâmetro Descrição
Nome do depósito O nome do depósito AWS S3 em que os arquivos de log
estão armazenados.
URL do Nó de Extremidade A URL de terminal que é usada para consultar a API de
REST do AWS.

Se a URL de seu terminal for diferente do padrão,

Para extrair arquivos do diretório-raiz de um depósito,

deve-se usar uma barra (/) no caminho do arquivo
Prefixo do Diretório.

16 Amazon AWS CloudTrail 139

Tabela 79. Parâmetros de origem de log de protocolo da API de REST do Amazon AWS S3 (continuação)
Parâmetro Descrição
Usar Proxy Quando um proxy é configurado, todo o tráfego para a
origem de log percorre o proxy do QRadar para acessar
os depósitos do Amazon AWS S3.

Configure os campos Servidor proxy, Porta de proxy,

Selecione Não para fazer download do certificado

manualmente. Conclua as etapas a seguir:
1. Acesse o depósito do Amazon AWS CloudTrail S3.
2. Exporte o certificado como um certificado binário
codificado em DER para seu sistema de área de
trabalho. A extensão do arquivo deve ser .DER.
3. Copie o certificado no diretório /opt/QRadar/conf/
trusted_certificates no host do QRadar no qual
você planeja configurar a origem de log.
Recorrência Com que frequência o Protocolo da API de REST do
Amazon AWS S3 se conecta à API de nuvem do
Amazon, verifica se há novos arquivos e, se eles
existirem, recupera-os. Cada acesso a um depósito AWS
S3 incorre em um custo para a conta que possui o
depósito. Portanto, um valor de recorrência menor
aumenta o custo.

Digite um intervalo de tempo para determinar com que

5. Para verificar se o QRadar está configurado corretamente, revise a tabela a seguir para ver um
exemplo de uma mensagem do evento analisado.

140 Guia de configuração do QRadar DSM

Tabela 80. Mensagem de amostra do Amazon AWS CloudTrail suportada pelo Amazon AWS CloudTrail.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Login do Console Evento de {"eventVersion":"1.02",
Auditoria Geral "userIdentity":{"type":"IAMUser",
"principalId":"XXXXXXXXXXXXXXXXXXXXX",
"arn": " arn:aws: iam :: <Account_number> :user/
xx.xxccountId ":" <Account_number> "," userName ":
"<Username>" }, "eventTime":
"2016-05-04T14:10:58Z","eventSource":
"f.amazonaws.com","eventName":
"ConsoleLogin","awsRegion":
"us-east-1","sourceIPAddress":
"<Source_IP_address> Agente": " Mozilla/5.0
(Windows NT 6.1; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/50.0.1.1 Safari/537.36",
"requestParameters":null,
"responseElements":
{"ConsoleLogin":"Success"},
"additionalEventData":
{"LoginTo":"www.webpage.com",
"MobileVersion":"No","MFAUsed":"No"},
"eventID": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx ",
"eventType":"AwsConsoleSignIn",
"recipientAccountId": "<Account_ID>" }

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando credenciais de segurança para a sua conta do usuário do AWS” na página 149
Deve-se ter a chave de acesso de conta do usuário do AWS e os valores de chave de acesso secretos antes
de poder configurar uma origem de log no QRadar.
“Criando um usuário de Identity and Access (IAM) na interface com o usuário do Amazon AWS ao usar
o protocolo de API REST do Amazon AWS”
Um administrador do Amazon deve criar um usuário e, em seguida, aplicar a política
AmazonS3ReadOnlyAccess na interface com o usuário do Amazon AWS. O usuário do QRadar pode,
então, criar uma origem de log no QRadar.

Criando um usuário de Identity and Access (IAM) na interface com o

usuário do Amazon AWS ao usar o protocolo de API REST do Amazon
AWS
Um administrador do Amazon deve criar um usuário e, em seguida, aplicar a política
AmazonS3ReadOnlyAccess na interface com o usuário do Amazon AWS. O usuário do QRadar pode,
então, criar uma origem de log no QRadar.

Nota: Como alternativa, é possível designar permissões mais granulares ao depósito. As permissões
mínimas necessárias são s3:listBucket e s3:getObject.

16 Amazon AWS CloudTrail 141

Para obter mais informações sobre permissões que estão relacionadas a operações de depósito, acesse o
website da documentação do AWS (https://docs.aws.amazon.com/AmazonS3/latest/dev/using-with-s3-
actions.html#using-with-s3-actions-related-to-buckets).

Procedimento
1. Crie um usuário:
a. Efetue login na interface com o usuário do Amazon AWS como um administrador.
b. Crie um usuário IAM do Amazon AWS e, em seguida, aplique a política
AmazonS3ReadOnlyAccess.
2. Localize o nome do depósito S3 e o prefixo do diretório que você usa para configurar uma origem de
log no QRadar:
a. Clique em Serviços.
b. Na lista, selecione CloudTrail.
c. Na páginaTrilhas, clique no nome da trilha.
d. Anote o nome do depósito S3 que é exibido no campo Depósito S3.
e. Clique no ícone Editar .
f. Clique no ícone Avançado .
g. Observe o caminho do local para o depósito S3 que é exibido abaixo do campo Prefixo do arquivo
de log.

O que Fazer Depois

Configure a origem de log no QRadar. O nome do depósito S3 é o valor para o campo Nome do
depósito. O caminho do local para o depósito S3 é o valor para o campo Prefixo do diretório.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando uma origem de log do Amazon AWS CloudTrail usando o protocolo de API REST do
Amazon AWS” na página 138
Se você desejar coletar logs do AWS CloudTrail de depósitos do Amazon S3, configure uma origem de
log no QRadar Console para que o Amazon AWS CloudTrail possa se comunicar com o QRadar usando o
protocolo de API REST do Amazon AWS.

Resolução de problemas das integrações da origem do log do Amazon

AWS
Você configurou uma origem de log no QRadar para coletar logs do Amazon AWS, mas o status da
origem de log é Warn e os eventos não são gerados conforme o esperado.

Sintoma:

Erro que é mostrado em /var/log/qradar.error:

[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider2
9154] com.q1labs.semsources.sources.amazonawsrest.utils.web.SimpleRESTFileLister:
[ERROR] [NOT:0000003000]
[x.x.x.x/- -] [-/- -]IOException encountered when trying to list files
from remote Amazon S3 bucket.
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider2
9154 ] javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException:
Server certificate not recognized
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class

142 Guia de configuração do QRadar DSM

com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider2
9154] at com.ibm.jsse2.j.a(j.java:15)
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider2
9154] at com.ibm.jsse2.qc.a(qc.java:728)

Causa:

Esse erro provavelmente foi causado pela exportação do certificado SSL do Amazon da URL incorreta ou
não usando a opção Adquirir automaticamente certificado(s) do servidor quando você configurou a
origem de log.

de 64 bits:

Todas as versões do QRadar.

Diagnosticando o problema:

Verifique se o certificado que está na lista de desbloqueio não intersecta o certificado do servidor que é
fornecido pela conexão. O certificado do servidor que é enviado pelo Amazon abrange o domínio
*.s3.amazonaws.com. Deve-se exportar o certificado para a URL a seguir:
https://<bucketname>.s3.amazonaws.com

O rastreio de pilha no QRadar indica o problema com o protocolo da API REST do Amazon AWS S3. No
exemplo a seguir, o QRadar está rejeitando um certificado não reconhecido. A causa mais comum é que o
certificado não está no formato correto ou não foi colocado no diretório correto no dispositivo QRadar
correto.
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154]
com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN]
[NOT:0000004000][x.x.x.x/- -] [-/- -]
Rejecting SSL/TLS connection because server presented unrecognized certificate.
The chain sent by the server is
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154]
com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN]
[NOT:0000004000][x.x.x.x/- -] [-/- -] Subject =
CN=*.s3.amazonaws.com, O=Amazon.com Inc., L=Seattle, ST=Washington, C=US
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154]
com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN]
[NOT:0000004000][x.x.x.x/- -] [-/- -] Subject =
CN=q1.us.ibm.com, OU=IBM, O=IBM, L=John, ST=Doe, C=IN, [email protected]
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154]
com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN]
[NOT:0000004000][x.x.x.x/- -] [-/- -]The current certificate white list is:
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154]
com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN]
[NOT:0000004000][x.x.x.x/- -] [-/- -]
Subject = [email protected],
O=IBM Corp, L=Waltham, ST=Massachusetts, C=US
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154]
com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN]
[NOT:0000004000][x.x.x.x/- -] [-/- -] Subject = O=SyslogTLS_Server, CN=*
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154]
com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN]
[NOT:0000004000][x.x.x.x/- -] [-/- -]
Subject = CN=s3-console-us-standard.console.aws.amazon.com,

16 Amazon AWS CloudTrail 143

O="Amazon.com, Inc.", L=Seattle, ST=Washington, C=US
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class
com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154]
com.q1labs.frameworks.crypto.Q1X509TrustManager: [WARN]
[NOT:0000004000][x.x.x.x/- -] [-/- -] To establish trust in this server certificate,
place a copy in /opt/qradar/conf/trusted_certificates

Resolvendo o Problema:

Se você transferiu por download o certificado automaticamente quando criou a origem de log, verifique
as etapas a seguir:
1. Você configurou a URL correta do terminal do Amazon S3 e o nome do depósito correto.
2. Você selecionou a opção Sim para Adquirir automaticamente certificado(s) do servidor.
3. Você salvou a origem de log.

Nota: A origem de log automaticamente faz download do arquivo de certificado .DER para o diretório
/opt/qradar/conf/trusted_certificates. Para verificar se o certificado correto foi transferido por
download e está funcionando, conclua as etapas a seguir:
1. No menu Navegação, clique em Ativar/Desativar para desativar a origem de log.
2. Ative a origem de log do Amazon AWS CloudTrail.

Se você transferiu o certificado por download manualmente, o arquivo de certificado .DER deverá ser
movido para o dispositivo QRadar correto. O dispositivo QRadar correto é designado no campo Coletor
de eventos de destino na origem de log do Amazon AWS CouldTrail.

Nota:

O certificado deve ter uma extensão .DER. A extensão .DER faz distinção entre maiúsculas e minúsculas e
deve estar em maiúscula. Se o certificado for exportado em minúscula, a origem de log poderá
experimentar problemas de coleção de eventos.
1. Acesse o seu bucket do AWS CloudTrail S3 em https://<bucketname>.s3.amazonaws.com
2. Use o Firefox para exportar o certificado SSL do AWS como um arquivo de certificado DER.
3. Copie o certificado DER para o diretório /opt/qradar/conf/trusted_certificates no dispositivo
QRadar que gerencia a origem de log do Amazon AWS CloudTrail.

Nota: O dispositivo QRadar que gerencia a origem de log é identificado pelo campo Coleta de evento
de destino na origem de log do Amazon AWS CloudTrail. O dispositivo QRadar possui uma cópia do
arquivo de certificado DER na pasta /opt/qradar/conf/trusted_certificates.
4. Efetue login no QRadar como administrador.
5. Clique na guia Administrador.
6. Clique no ícone Origens de Log.
7. Selecione a origem de log do Amazon AWS CloudTrail.
8. No menu de navegação, clique em Ativar/Desativar para desativar e depois reativar a origem de log
do Amazon AWS CloudTrail.

Nota: Forçar a origem de log de desativada para ativada conecta o protocolo ao bucket do Amazon
AWS conforme definido na origem de log. Uma verificação de certificado ocorre como parte do
primeiro comunicado.
9. Se você continuar a ter problemas, verifique se o nome do depósito do Amazon AWS no campo
Identificador de origem de log está correto. Certifique-se de que o caminho do diretório remoto esteja
correto na configuração da origem de log.

144 Guia de configuração do QRadar DSM

Configurando uma origem de log do Amazon AWS CloudTrail usando
o protocolo Amazon Web Services
Se você desejar coletar logs do AWS CloudTrail de logs do Amazon CloudWatch, configure uma origem
de log no QRadar Console para que o Amazon AWS CloudTrail possa se comunicar com o QRadar
usando o protocolo Amazon Web Services.

Procedimento
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir do Website de Suporte IBM em seu QRadar Console:
v Protocol Common
v RPM de Protocolo da API REST do Amazon AWS
v RPM de Protocolo dos Amazon Web Services
v RPM DSMCommon
v RPM do DSM Amazon AWS CloudTrail
2. Crie um usuário do Amazon Identity and Access Management (IAM) e, em seguida, aplique a política
CloudWatchLogsReadOnlyAccess.
3. Crie e configure o grupo de logs do Amazon CloudWatch Logs para recuperar Logs do CloudTrail no
QRadar.
4. Configure o Amazon AWS CloudTrail para enviar os arquivos de log para os Logs do CloudWatch.
5. Configure as credenciais de segurança para sua conta do usuário do AWS.
6. Inclua uma origem de log do Amazon AWS CloudTrail no QRadar Console.
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos de
auditoria do Amazon AWS CloudTrail, usando o protocolo Amazon Web Services:
Tabela 81. Parâmetros de origem de log do Amazon Web Services
Parâmetro Descrição
Tipo de Fonte de Log Digite Amazon AWS CloudTrail para o Tipo de origem de log
Configuração de protocolo Selecione Amazon Web Services na lista Configuração de protocolo.
Método de Autenticação
ID da Chave de Acesso / Chave Secreta
Autenticação padrão que pode ser usada de qualquer lugar.
Função do IAM de Instância do EC2
Se o host gerenciado do QRadar estiver em execução em uma instância do
AWS EC2, a escolha dessa opção usará a função IAM dos metadados
designados à instância para autenticação; nenhuma chave será necessária. Esse
método funciona somente para hosts gerenciados que estão em execução
dentro de um contêiner AWS EC2.
Tecla de Acesso O ID da chave de acesso que foi gerado quando você configurou as credenciais de
segurança para sua conta do usuário do AWS.

Se você selecionou ID da chave de acesso/Chave secreta, o parâmetro de Chave de

acesso será exibido.
Chave Secreta A Chave secreta que foi gerada quando você configurou as credenciais de segurança
para sua conta do usuário do AWS.

Se você selecionou ID da chave de acesso/Chave secreta, o parâmetro de Chave

secreta será exibido.
Regiões Selecione a caixa de seleção para cada região que está associada ao Amazon Web
Service do qual você deseja coletar logs.

16 Amazon AWS CloudTrail 145

Tabela 81. Parâmetros de origem de log do Amazon Web Services (continuação)
Parâmetro Descrição
Outras regiões Digite os nomes de quaisquer regiões adicionais que estejam associadas ao Amazon
Web Service do qual você deseja coletar logs. Para coletar de múltiplas regiões, use
uma lista separada por vírgula, como mostrado no exemplo a seguir: region1,region2
Serviço AWS O nome do Serviço da web da Amazon. Na lista Serviço AWS, selecione Logs do
CloudWatch.
Grupo de Logs O nome do grupo de logs no Amazon CloudWatch de onde você deseja coletar logs.
Nota: Uma única origem de log coleta logs do CloudWatch de 1 grupo de logs de
cada vez. Se você desejar coletar logs de vários grupos de logs, crie uma origem de log
separada para cada grupo de logs.
Fluxo de Logs (Opcional) O nome do fluxo de logs dentro de um grupo de logs. Se você quiser coletar logs de
todos os fluxos de logs dentro de um grupo de log, deixe este campo em branco.
Padrão de Filtro (Opcional) Digite um padrão para filtragem dos eventos coletados. Este padrão não é um filtro
regex. Apenas os eventos que contêm o valor exato que você especificou são coletados
de Logs do CloudWatch. Se você digitar ACCEPT como o valor de Padrão de filtro,
apenas os eventos que contiverem a palavra ACCEPT serão coletados, conforme
mostrado no exemplo a seguir.
{0},
Mensagem: ACCEPT OK,
IngestionTime: 0,
EventId: 0 }
Extrair Evento Original Para encaminhar apenas o evento original que foi incluído nos logs do CloudWatch
para o QRadar, selecione esta opção.

Os logs do CloudWatch agrupam os eventos que eles recebem com metadados extras.

O evento original é o valor para a chave de mensagem que é extraída do log do

CloudWatch. O exemplo de evento de logs do CloudWatch a seguir mostra o evento
original que é extraído do log do CloudWatch em texto em negrito:
{1}{2}{3}{4}{5}{6}{7}{8}{6}_CloudTrail_us-east-2, Timestamp:
1505744407363, Message : {1}.05 "," userIdentity ":
{"type":"IAMUser","principalId":"AAAABBBCCCDDDBBBCCC","arn":
"arn:aws: iam ::1234567890 :user/QRadar-ITeam",
"accountId": "1234567890", "accessKeyId"
: "AAAABBBBCCCCDDDD", "userName": "User-Name",
"sessionContext": {
"false", "creationDate": "2017-09-18T13:22:10Z" } },
"invokedBy": "signin.amazonaws.com" }, "eventTime":
"2017-09-18T14:10:15Z", "eventSource":
"cloudtrail.amazonaws.com", "eventName":
"DescribeTrails", "awsRegion": "us-east-1",
"sourceIPAddress":"127.0.0.1","userAgent":
"signin.amazonaws.com", "requestParameters":
{
[ ] }, "responseElements" :null, "requestID":
"11b1a00-7a7a-11a1-1a11-44a4aaa1a", "eventID":
"a4914e00-1111-491d-bbbb-a0dd3845b302", "eventType":
"AwsApiCall", "recipientAccountId": "1234567890" },
IngestionTime: 1505744407506,
EventId: 335792223611111122479126672222222513333 }
Usar como um Gateway de Se você não desejar definir um identificador de origem de log customizado para
Origem de Log eventos, assegure-se de que essa caixa de seleção esteja desmarcada.

146 Guia de configuração do QRadar DSM

Tabela 81. Parâmetros de origem de log do Amazon Web Services (continuação)
Parâmetro Descrição
Padrão do Identificador de Se você selecionou Usar como origem de log do gateway, use essa opção para definir
Origem de Log um Identificador de origem de log customizado para eventos que estão sendo
processados.

Use os pares chave-valor para definir o Identificador de origem de log customizado. A

Os exemplos a seguir mostram várias funções de par chave-valor.

Usar Proxy Se o QRadar acessar o Amazon Web Service usando um proxy, selecione esta opção.

Se o proxy requer autenticação, configure os campos Servidor proxy, Porta de proxy,

Se a opção Usar como origem de log do gateway for selecionada, esse valor será
opcional.

Se o valor do parâmetro Regulador EPS for deixado em branco, nenhum limite de EPS
será imposto pelo QRadar.

7. Para verificar se o QRadar está configurado corretamente, revise a tabela a seguir para ver um
exemplo de uma mensagem do evento analisado.
Os logs reais do CloudTrail são agrupados em uma carga útil de JSON de logs do CloudWatch:

16 Amazon AWS CloudTrail 147

Tabela 82. Mensagem de amostra de logs do Amazon CloudTrail suportada pelo Amazon AWS CloudTrail DSM
Nome do Categoria de
Evento baixo nível Mensagem de log de amostra
Descrever os Tentativa de Ler {1}{2}{3}{4}{5}{6}{7}{8}{9}{0}_
Trails Atividade CloudTrail_us
-east-2, Timestamp: 1505744407363,
Message: {1}.05 "," userIdentity ":
{: "IAMUser", "principalId":
"AIDAIEGANDWTHAAUMATYA","arn":
"arn:aws:iam::1234567890:user/QRadar-ITeam",
"accountId": "1234567890", "accessKeyId":
"AAAABBBBCCCCDDDD", "userName": "QRadar-ITeam",
"sessionContext": {
"false", "creationDate": "2017-09-18T13:22:10Z" } },
"invokedBy": "signin.amazonaws.com" }, "eventTime":
"2017-09-18T14:10:15Z", "eventSource":
"cloudtrail.amazonaws.com", "eventName":
"DescribeTrails", "awsRegion": "us-east-1",
"sourceIPAddress":"127.0.0.1","userAgent":
"signin.amazonaws.com", "requestParameters":
{
[ ] }, "responseElements" :null, "requestID":
"17b7a04c-99cca-11a1-9d83-43d5bce2d2fc",
"eventID": "a4444e00-55e5-4444-bbbb-a0dd3845b302",
"eventType": "AwsApiCall", "recipientAccountId":
"1234567890" }, IngestionTime: 1505744407506,
EventId: 335792223627111111111111112222222222 }

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando credenciais de segurança para a sua conta do usuário do AWS” na página 149
Deve-se ter a chave de acesso de conta do usuário do AWS e os valores de chave de acesso secretos antes
de poder configurar uma origem de log no QRadar.
“Criando um usuário de Identity and Access (IAM) na interface com o usuário do Amazon AWS ao usar
o protocolo do Amazon Web Services”
Um administrador do Amazon deve criar um usuário e, em seguida, aplicar a política
CloudWatchLogsReadOnlyAccess na interface com o usuário do Amazon AWS. O usuário do QRadar
pode, então, criar uma origem de log no QRadar.

Criando um usuário de Identity and Access (IAM) na interface com o

usuário do Amazon AWS ao usar o protocolo do Amazon Web
Services
Um administrador do Amazon deve criar um usuário e, em seguida, aplicar a política
CloudWatchLogsReadOnlyAccess na interface com o usuário do Amazon AWS. O usuário do QRadar
pode, então, criar uma origem de log no QRadar.

Procedimento
Crie um usuário:
1. Efetue login na interface com o usuário do Amazon AWS como um administrador.

148 Guia de configuração do QRadar DSM

2. Crie um usuário do Amazon AWS IAM e, em seguida, aplique a política
CloudWatchLogsReadOnlyAccess.

O que Fazer Depois

Configure a origem de log no QRadar.

Criando um grupo de logs dos logs do Amazon CloudWatch para

recuperar os logs do Amazon CloudTrail no QRadar
Deve-se criar um grupo de logs nos logs do Amazon CloudWatch para tornar o log do CloudTrail
disponível para a pesquisa do QRadar.

Procedimento
1. Efetue login no console do CloudWatch neste link: https://console.aws.amazon.com/cloudwatch
2. Selecione Logs na área de janela de navegação esquerda.
3. Clique em Ações > Criar grupo de log
4. Digite o nome do Grupo de logs. Por exemplo, CloudTrailAuditLogs .
5. Clique em Criar grupo de logs.
É possível localizar mais informações sobre como trabalhar com Grupos de log e fluxos de logs neste
link: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-
streams.html

Configure o Amazon AWS CloudTrail para enviar arquivos de log para

Logs do CloudWatch
Deve-se configurar o CloudTrail para entregar os logs em um grupo de logs dos logs do AWS
CloudWatch.

Siga os procedimentos na documentação on-line do AWS:

Envie eventos de rastreamento de nuvem para logs de inspeção de nuvem (https://

docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html).

Configurando credenciais de segurança para a sua conta do usuário

do AWS
Deve-se ter a chave de acesso de conta do usuário do AWS e os valores de chave de acesso secretos antes
de poder configurar uma origem de log no QRadar.

Procedimento
1. Efetue login no seu console do IAM (https://console.aws.amazon.com/iam/).
2. Selecione Usuários na área de janela de navegação à esquerda e, em seguida, selecione o nome de
usuário na lista.
3. Clique na guia Credenciais de Segurança .
4. Na seção Chaves de acesso, clique em Criar chave de acesso.
5. Na janela que é exibida após a chave de acesso e a chave de acesso secreta correspondente serem
criadas, faça download do arquivo .csv que contém as chaves ou copie e salve as chaves.

16 Amazon AWS CloudTrail 149

Nota: Salve o ID de chave de acesso e a Chave de acesso secreta e use-as ao configurar uma origem
de log no QRadar.

Nota: É possível visualizar a Chave de acesso secreta apenas quando ela for criada.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando uma origem de log do Amazon AWS CloudTrail usando o protocolo de API REST do
Amazon AWS” na página 138
Se você desejar coletar logs do AWS CloudTrail de depósitos do Amazon S3, configure uma origem de
log no QRadar Console para que o Amazon AWS CloudTrail possa se comunicar com o QRadar usando o
protocolo de API REST do Amazon AWS.
“Configurando uma origem de log do Amazon AWS CloudTrail usando o protocolo Amazon Web
Services” na página 145
Se você desejar coletar logs do AWS CloudTrail de logs do Amazon CloudWatch, configure uma origem
de log no QRadar Console para que o Amazon AWS CloudTrail possa se comunicar com o QRadar
usando o protocolo Amazon Web Services.

150 Guia de configuração do QRadar DSM

17 Amazon GuardDuty
O DSM do IBM QRadar para o Amazon GuardDuty coleta eventos do Amazon GuardDuty do grupo de
logs dos serviços de log do Amazon CloudWatch.

A tabela a seguir identifica as especificações para o DSM do Amazon GuardDuty:

Tabela 83. Especificações do DSM Amazon GuardDuty
Especificação Valor
Fabricante Amazônio
Nome do DSM Amazon GuardDuty
Nome do arquivo RPM DSM-AmazonGuardDuty-QRadar_version-
buildbuild_number.noarch.rpm
Versões Suportadas GuardDuty Schema Versão 2.0
Protocolo Serviços da web Amazon
Formato de evento JSON
Tipos de eventos registrados Descobertas do Amazon GuardDuty
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Documentação do Amazon GuardDuty:
https://aws.amazon.com/documentation/guardduty/

Configurando uma origem de log do Amazon GuardDuty usando o

protocolo Amazon Web Services
Se você desejar coletar logs do Amazon GuardDuty no QRadar, será necessário configurar uma origem de
log no QRadar Console para o Amazon AWS CloudTrail para se comunicar com o QRadar usando o
protocolo Amazon Web Services.

Procedimento
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente dos RPMs
a seguir em seu QRadar Console:
v Protocol Common RPM
v RPM de Protocolo dos Amazon Web Services
v RPM DSMCommon
v RPM do DSM Amazon GuardDuty
2. Crie uma função IAM para a função Lambda, crie e configure uma função Lambda e, em seguida, crie
uma regra de eventos do CloudWatch para recuperar eventos do Amazon GuardDuty para o QRadar
concluindo as etapas a seguir:
a. Crie uma função IAM para a função Lambda.
b. Criar uma função Lambda.
c. Criar uma regra de eventos do CloudWatch.
d. Configure a função Lambda.
3. Crie um grupo de logs e um fluxo de logs para recuperar eventos do Amazon GuardDuty para o
QRadar.
© Copyright IBM Corp. 2005, 2019 151
4. Crie um usuário do Identity and Access (IAM) na interface com o usuário do Amazon AWS ao usar o
protocolo do Amazon Web Services.
5. Inclua uma origem de log para o Amazon GuardDuty no Console QRadar. A tabela a seguir descreve
os parâmetros de protocolo do Amazon Web Services que requerem valores específicos para a coleção
de logs do Amazon GuardDuty:
Tabela 84. Parâmetros do protocolo do Amazon GuardDuty Web Services
Parâmetro Valor
Tipo de origem de log Amazon GuardDuty
Configuração de protocolo Serviços da web Amazon
Método de Autenticação
ID da Chave de Acesso / Chave Secreta
Autenticação padrão que pode ser usada em
qualquer lugar.
Função do IAM de Instância do EC2
Se o host gerenciado do QRadar estiver em
execução em uma instância do AWS EC2,
escolha esta opção para usar a Função IAM nos
metadados designados à instância para
autenticação. Nenhuma chave é necessária.
Nota: Esse método funciona somente para hosts
gerenciados que são executados dentro de um
contêiner do AWS EC2.
ID da Chave de Acesso Se você selecionou ID da Chave de Acesso/Chave
Secreta, o parâmetro ID da Chave de Acesso será
exibido.

O ID da Chave de Acesso foi gerado quando você

configurou as credenciais de segurança para sua conta do
usuário do AWS. Para obter mais informações sobre a
configuração das credenciais de segurança, consulte
“Configurando credenciais de segurança para a sua conta
do usuário do AWS” na página 149.
Tecla de Acesso Secre Se você selecionou ID da Chave de Acesso/Chave
Secreta, o parâmetro Chave de Acesso Secreto será
exibido.

A Chave Secreta foi gerada quando você configurou as

credenciais de segurança para sua conta do usuário do
AWS. Para obter mais informações sobre a configuração
das credenciais de segurança, consulte “Configurando
credenciais de segurança para a sua conta do usuário do
AWS” na página 149.
Regiões Selecione a caixa de seleção para cada região que está
associada ao Amazon Web Service do qual você deseja
coletar logs.
Outras Regiões Digite os nomes de quaisquer regiões adicionais que
estejam associadas ao Amazon Web Service do qual você
deseja coletar logs.

Para coletar de várias regiões, use uma lista separada por

vírgulas, como o exemplo a seguir: region1,region2
Serviço do AWS O nome do Serviço da web da Amazon. Na lista Serviço
AWS, selecione Logs do CloudWatch.

152 Guia de configuração do QRadar DSM

Tabela 84. Parâmetros do protocolo do Amazon GuardDuty Web Services (continuação)
Parâmetro Valor
Grupo de Logs O nome do grupo de logs no Amazon CloudWatch de
onde você deseja coletar logs.
Nota: Uma única origem de log pode coletar logs do
CloudWatch usando apenas um grupo de logs de cada
vez. Se você desejar coletar logs de vários grupos de
logs, crie uma origem de log separada para cada grupo
de logs.
Fluxo de Logs (Opcional) O nome do fluxo de logs dentro de um grupo de logs do
qual você deseja coletar logs.
Filtro Padrão (Opcional) Digite um padrão para filtragem dos eventos coletados.
Este padrão não é um filtro regex. Apenas os eventos
que contêm o valor exato que você especifica são
coletados de Logs do CloudWatch.

Se você inserir ACCEPT como o valor do Padrão de

Filtro, apenas os eventos que contêm a palavra ACCEPT
serão coletados. O exemplo a seguir mostra o efeito do
valor ACCEPT:
{ 0, Message: ACCEPT OK,
IngestionTime:
EventId: 0 }
Extrair Evento Original Os eventos de agrupamento de log do CloudWatch Logs
que ele recebe com metadados extras. Se desejar que
apenas o evento original que foi incluído nos logs do
CloudWatch seja encaminhado para o QRadar, selecione
esta opção. O evento original é o valor para a chave de
mensagem que é extraída dos logs do CloudWatch.

O exemplo de evento de logs do CloudWatch a seguir

mostra o evento original que é extraído do log do
CloudWatch em texto em negrito:
{LogStreamName: guardDutyLogStream,Time
stamp: 1519849569827, Message: {
: "0", "id": "00-00", "detail-type"
: "GuardDuty Finding", "account": " 12345
67890 "," region ":" us-west-2 "," resour
ces ": [ ]," detail ": {
: "2.0", "accountId": "1234567890", "
region ":" us-west-2 "," partition ":" aws "
, "type": " Behavior :IAMUser / Instance
LaunchUnusual "," severity ": 5.0,"
createdAt ":" 2018-02-28T20:22:26.344Z "
, "updatedAt": " 2018-02-28T20:22:26.
344Z" } } , IngestionTime: 1519849569862,
EventId: 0000 }
Usar como um Gateway de Origem de Log Não selecione essa caixa de seleção.
Utilizar Proxy Se o QRadar acessar o serviço da web Amazon usando
um proxy, ative Usar Proxy.

Se o proxy requer autenticação, configure os campos

Servidor proxy, Porta de proxy, Nome do usuário de
proxy e Senha de proxy. Se o proxy não requerer
autenticação, configure os campos Servidor proxy e
Porta de proxy.

17 Amazon GuardDuty 153

Tabela 84. Parâmetros do protocolo do Amazon GuardDuty Web Services (continuação)
Parâmetro Valor
Adquirir Certificados do Servidor Automaticamente Se selecionar Sim na lista, o QRadar fará download do
certificado e começa a confiar no servidor de destino.

Essa função pode ser usada para inicializar uma origem

de log recém-criada e obter certificados inicialmente, ou
para substituir os certificados expirados.
Regulador de EPS O número máximo de eventos por segundo (EPS) que
esta origem de log não pode exceder.

O padrão é 5000. Esse valor é opcional se Usar como

origem de log do gateway estiver marcado. Se o
Regulador de EPS for deixado em branco, nenhum
limite será imposto pelo QRadar.

Tarefas relacionadas:
“Criando uma função IAM para a função Lambda”
Deve-se criar e configurar uma regra de eventos do CloudWatch para obter eventos do GuardDuty e
encaminhá-los para os logs do CloudWatch. Para fazer isso, é necessário criar uma função IAM para a
função Lambada.
“Criando uma regra de eventos do CloudWatch” na página 157
É necessário configurar uma regra de Eventos do CloudWatch para obter eventos do GuardDuty e
encaminhar os eventos para os Logs do CloudWatch.
“Configurando a Função Lambda” na página 157
Para isso, você precisa criar uma função Lambda do AWS que acione o processamento dos eventos do
CloudWatch para os logs do CloudWatch.
“Criando um grupo de logs e um fluxo de logs para recuperar eventos do Amazon GuardDuty para o
QRadar” na página 159
É necessário criar um grupo de logs e um fluxo de logs dentro do grupo de logs nos Logs do Amazon
CloudWatch para tornar os eventos do GuardDuty disponíveis para a pesquisa do QRadar.
“Criando um usuário de Identity and Access (IAM) na interface com o usuário do Amazon AWS ao usar
o protocolo do Amazon Web Services” na página 148
Um administrador do Amazon deve criar um usuário e, em seguida, aplicar a política
CloudWatchLogsReadOnlyAccess na interface com o usuário do Amazon AWS. O usuário do QRadar
pode, então, criar uma origem de log no QRadar.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Criando uma função IAM para a função Lambda

Deve-se criar e configurar uma regra de eventos do CloudWatch para obter eventos do GuardDuty e
encaminhá-los para os logs do CloudWatch. Para fazer isso, é necessário criar uma função IAM para a
função Lambada.

Sobre Esta Tarefa

Procedimento
1. Vá para o console do IAM (https: //console.aws.amazon.com/iam/).
2. Selecione Funções na área de janela de navegação.

154 Guia de configuração do QRadar DSM

3. Se você tiver uma função ou funções existentes, selecione o nome da função que você deseja associar
à função Lambda e conclua as etapas a seguir:
a. Expanda o nome da política e, em seguida, clique em Editar política.
b. Clique na guia JSON e, em seguida, verifique se a entrada JSON corresponde à seguinte entrada
JSON:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*"
}
]
}
4. Se você não tiver uma função existente, clique em Criar função.
5. Na lista de serviços que usam a função, selecione Lambda.
6. Clique em Avançar: Permissões e, em seguida, selecione uma política apropriada.
7. Clique em Avançar: Revisar e, em seguida, digite um nome da função no campo Nome da função.
Se desejar, será possível digitar uma descrição no campo Descrição da função.
8. Clique em Criar função e, em seguida, selecione a nova regra que você criou.
9. Se você desejar incluir uma política existente, conclua as etapas a seguir:
a. Clique em Anexar Políticas .
b. Expanda o nome da política e, em seguida, clique em Editar política.
c. Clique na guia JSON e, em seguida, verifique se a entrada JSON corresponde à seguinte entrada
JSON:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*"
}
]
}
10. Clique em Anexar política .
11. Se você desejar incluir uma nova política, conclua as etapas a seguir:
a. Clique em Incluir política sequencial.
b. Clique na guia JSON e, em seguida, copie e cole a entrada JSON a seguir:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",

17 Amazon GuardDuty 155

"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*"
}
]
}
12. Clique em Revisar política e, em seguida, digite um nome para a política.
13. Clique em Criar política.
14. Verifique se a função tem o relacionamento confiável. Clique na guia Relacionamentos confiáveis .
15. Clique em Editar relacionamento confiável e verifique o relacionamento confiável a seguir:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts: AssumeRole"
}
]
}

O que Fazer Depois

Criar uma função Lambda.

Tarefas relacionadas:
“Criando uma função Lambda”
Deve-se criar e configurar uma regra de eventos do CloudWatch para obter eventos do GuardDuty e
encaminhá-los para os logs do CloudWatch. Para isso, você precisa criar uma função Lambda do AWS
que acione o processamento dos eventos do CloudWatch para os logs do CloudWatch.

Criando uma função Lambda

Deve-se criar e configurar uma regra de eventos do CloudWatch para obter eventos do GuardDuty e
encaminhá-los para os logs do CloudWatch. Para isso, você precisa criar uma função Lambda do AWS
que acione o processamento dos eventos do CloudWatch para os logs do CloudWatch.

Procedimento
1. Acesse seu console do AWS Lambda.
2. Clique em Criar função.
3. Na área de janela Criar do zero, preencha os campos a seguir:

Campo Entrada
Nome É possível usar GuardDutyToCloudWatch ou algo mais
apropriado.
Runtime Python 3.6
Atribuição Escolha uma função existente
Função Existente Selecione a função que você criou.

4. Clique em Criar função.

156 Guia de configuração do QRadar DSM

O que Fazer Depois

Criar uma regra de eventos do CloudWatch.

Tarefas relacionadas:
“Criando uma regra de eventos do CloudWatch”
É necessário configurar uma regra de Eventos do CloudWatch para obter eventos do GuardDuty e
encaminhar os eventos para os Logs do CloudWatch.

Criando uma regra de eventos do CloudWatch

É necessário configurar uma regra de Eventos do CloudWatch para obter eventos do GuardDuty e
encaminhar os eventos para os Logs do CloudWatch.

Antes de Iniciar
Certifique-se de ter criado uma função IAM para a função Lambda e uma Função Lambda do AWS que
aciona o processamento de Eventos do CloudWatch para Logs do CloudWatch.

Procedimento
1. Efetue login em seu Console do CloudWatch (https://console.aws.amazon.com/cloudwatch/).
2. Clique em Eventos > Regras na área de janela de navegação.
3. Clique em Criar regra.
4. Na área de janela Criar regra, em Origem de eventos, selecione os valores de campo a seguir:

Campo Valor
Nome do serviço GuardDuty
Tipo de evento Todos os eventos

5. Na área de janela Destinos, clique em Incluir destinos.

6. Selecione Função Lambda .
7. No campo Função, selecione a função que você criou quando concluiu o procedimento Criando uma
função lambda.
8. Clique em Configurar detalhes para abrir a área de janela Configurar detalhes da regra.
9. Na área de janela Configurar detalhes da regra, digite um nome, tal como GuardDutyToQRadar.
10. Clique em Criar regra.

O que Fazer Depois

Configure a função Lambda.

Tarefas relacionadas:
“Criando uma função Lambda” na página 156
Deve-se criar e configurar uma regra de eventos do CloudWatch para obter eventos do GuardDuty e
encaminhá-los para os logs do CloudWatch. Para isso, você precisa criar uma função Lambda do AWS
que acione o processamento dos eventos do CloudWatch para os logs do CloudWatch.
“Configurando a Função Lambda”
Para isso, você precisa criar uma função Lambda do AWS que acione o processamento dos eventos do
CloudWatch para os logs do CloudWatch.

Configurando a Função Lambda

Para isso, você precisa criar uma função Lambda do AWS que acione o processamento dos eventos do
CloudWatch para os logs do CloudWatch.

17 Amazon GuardDuty 157

Antes de Iniciar

Assegure-se de que você tenha concluído as seguintes tarefas:

1. Criando uma função IAM para a função Lambda
2. Criando uma função Lambda
3. Criando uma regra de eventos do CloudWatch

Procedimento
1. Acesse seu console do AWS Lambda.
2. Abra a seção de configuração de sua função lambda. Clique em Criar função.
3. Se Eventos do CloudWatch não for incluído automaticamente como uma origem do acionador, então,
inclua-o. A guia Designer, então, é semelhante à figura a seguir:

Figura 5. Guia Designer na função Lambda

4. Na área de janela Código da função, substitua o código padrão em lambda_function.py pelo código
Python a seguir:
import boto3
tempo de importação
importjson

print (’Loading function’)

def lambda_handler (event, context):

cloudwatch_events = boto3.client(’events’)
cloudwatch_logs = boto3.client (’logs’)
logGroupFullName= ’GuardDutyLogGroup’
logStreamFullName= ’GuardDutyLogStream’

#Try to get LogStream description, if error found create the log group and log stream
try:
response = cloudwatch_logs.describe_log_streams( logGroupName=logGroupFullName, logStreamNamePrefix=logStreamFullName)
except:
cloudwatch_logs.create_log_group(logGroupName=logGroupFullName)
cloudwatch_logs.create_log_stream(logGroupName=logGroupFullName,logStreamName=logStreamFullName)
response = cloudwatch_logs.describe_log_streams( logGroupName=logGroupFullName, logStreamNamePrefix=logStreamFullName)
passe

record=json.dumps (event)
logStreams = response [ ’logStreams ’ ]

#Try to read logStream description, if error found create the logStream and read the description again
try:
logStream = logStreams [ 0 ]
except:
cloudwatch_logs.create_log_stream(logGroupName=logGroupFullName,logStreamName=logStreamFullName)
response = cloudwatch_logs.describe_log_streams( logGroupName=logGroupFullName, logStreamNamePrefix=logStreamFullName)
logStream = logStreams [ 0 ]
passe

token= Nenhum

if ’uploadSequenceToken’ em logStream:
token = logStream[’uploadSequenceToken’]

158 Guia de configuração do QRadar DSM

#if sequenceToken is available use it to post new log to CloudWatch, otherwise post without sequenceToken optional parameter
se token:
resposta = cloudwatch_logs.put_log_events(
logGroupName=logGroupFullName,
logStreamName=logStreamFullName,
logEvents=[
{
’timestamp’: int(round(time.time() * 1000)),
’message’: record
},
],
sequenceToken = token
)
else:
resposta = cloudwatch_logs.put_log_events(
logGroupName=logGroupFullName,
logStreamName=logStreamFullName,
logEvents=[
{
’timestamp’: int(round(time.time() * 1000)),
’message’: record
},
]
)

return {

5. Clique em Salvar.

O que Fazer Depois

Os eventos do GuardDuty são agora encaminhados automaticamente para os logs do Amazon
CloudWatch. Crie um grupo de logs e um fluxo de logs dentro do grupo de logs no Amazon CloudWatch
Logs para tornar os eventos do GuardDuty disponíveis para a pesquisa do QRadar.
Tarefas relacionadas:
“Criando um grupo de logs e um fluxo de logs para recuperar eventos do Amazon GuardDuty para o
QRadar”
É necessário criar um grupo de logs e um fluxo de logs dentro do grupo de logs nos Logs do Amazon
CloudWatch para tornar os eventos do GuardDuty disponíveis para a pesquisa do QRadar.

Criando um grupo de logs e um fluxo de logs para recuperar eventos

do Amazon GuardDuty para o QRadar
É necessário criar um grupo de logs e um fluxo de logs dentro do grupo de logs nos Logs do Amazon
CloudWatch para tornar os eventos do GuardDuty disponíveis para a pesquisa do QRadar.

Procedimento
1. Crie um grupo de logs.
a. Efetue login no console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.
b. Selecione Logs na área de janela de navegação.
c. Clique em Ação > Criar grupo de log .
d. Digite o nome do seu grupo de logs. Por exemplo, digite GuardDutyLogGroup .
e. Clique em Criar grupo de logs.
2. Crie um fluxo de logs.
a. Insira o grupo de logs que você criou na etapa um.
b. Clique em Criar fluxo de logs.
c. Digite o nome para o fluxo de logs. Por exemplo, digite GuardDutyLogStream .
d. Clique em Criar fluxo de logs.

17 Amazon GuardDuty 159

O que Fazer Depois

Para obter mais informações sobre esse procedimento, consulte a Documentação on-line do AWS
(https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-
streams.html).

Crie um usuário do IAM na interface com o usuário do Amazon AWS.

Tarefas relacionadas:
“Criando um usuário de Identity and Access (IAM) na interface com o usuário do Amazon AWS ao usar
o protocolo do Amazon Web Services” na página 148
Um administrador do Amazon deve criar um usuário e, em seguida, aplicar a política
CloudWatchLogsReadOnlyAccess na interface com o usuário do Amazon AWS. O usuário do QRadar
pode, então, criar uma origem de log no QRadar.

Criando um usuário de Identity and Access (IAM) na interface com o

Procedimento

Crie um usuário:
1. Efetue login na interface com o usuário do Amazon AWS como um administrador.
2. Crie um usuário do Amazon AWS IAM e, em seguida, aplique a política
CloudWatchLogsReadOnlyAccess.

O que Fazer Depois

Configure a origem de log no QRadar.

Mensagem do evento de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra quando o protocolo Amazon Web
Services é usado para o DSM do Amazon GuardDuty:

160 Guia de configuração do QRadar DSM

Tabela 85. Mensagem de amostra do Amazon GuardDuty suportada pelo Amazon Web Services.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Trojan :EC2/ Cavalo de Troia {"version": "0", "id": "xxxxx-xx", "detail-type"
PhishingDomain Detectado : "GuardDuty Finding", "source": "aws.guardduty"
Request! DNS , "account":"1234567890", "time": "2018-02-28T20
:25:00Z", "region":"us-west-2", "resources": []
, "detail": {2}.0 "," accountId "
: "1234567890", "region": "us-west-2", "partition"
: "aws", "id": "xxxxxxxx", "arn": "arn:aws:guarddu
ty:us-west-2:1234567890:detector/XXXXXXX/finding/x
xxxxxx", "type": "Trojan:EC2/PhishingDomainRequest
!DNS","resource": {"resourceType": "Instance", "in
stanceDetails":{"instanceId": "i-99999999", "insta
nceType": "m3.xlarge", "launchTime": "2016-08-02T0
2:05:06Z", "productCodes": [{"productCodeId": "Gen
eratedFindingProductCodeId", "productCodeType": "G
eneratedFindingProductCodeType"}],"iamInstanceProf
ile": {"arn": "GeneratedFindingInstanceProfileArn"
, "id": "GeneratedFindingInstanceProfileId"}, "net
workInterfaces": [{"ipv6Addresses": [], "privateDn
sName": "GeneratedFindingPrivateDnsName", "private
IpAddress":"127.0.0.1", "privateIpAddresses": [{"p
rivateDnsName": "GeneratedFindingPrivateName", "pr
ivateIpAddress":"127.0.0.1"}], "subnetId": "Genera
tedFindingSubnetId", "vpcId": "GeneratedFindingVPC
Id", "securityGroups": [{"groupName": "GeneratedFi
ndingSecurityGroupName", "groupId": "GeneratedFind
ingSecurityId"}], "publicDnsName":"GeneratedFindin
gPublicDNSName", "publicIp": "127.0.0.1"}],"tags"
: [{"key": "GeneratedFindingInstaceTag1", "value":
"GeneratedFindingInstaceValue1"},{"key":"ami-99999
999", "imageDescription": "GeneratedFindingInstace
ImageDescription"}], "service": {"serviceName": "g
uardduty", "detectorId": "xxxxxx","action": {"acti
onType": "DNS_REQUEST", "dnsRequestAction":{"domai
n": "GeneratedFindingDomainName", "protocol": "UDP
", "blocked": true}}, "resourceRole": "TARGET", "a
dditionalInfo": {"threatListName": "GeneratedFindi
ngThreatListName","sample": true}, "eventFirstSeen
": "2018-02-28T20:22:26.350Z", "eventLastSeen": "2
018-02-28T20:22:26.350Z", "archived": false,"count
": 1.0}, "severity": 8.0, "createdAt": "2018-02-28
T20:22:26.350Z", "updatedAt": "2018-02-28T20:22:26
.350Z", "title":"Trojan:EC2/PhishingDomainRequest!
DNS", "description": "Trojan:EC2/PhishingDomainReq
uest!DNS"}}}}

17 Amazon GuardDuty 161

162 Guia de configuração do QRadar DSM
18 Ambiron TrustWave ipAngel
O DSM do IBM QRadar para o Ambiron TrustWave ipAngel recebe eventos baseados no Snort a partir do
console ipAngel.

A tabela a seguir identifica as especificações para o DSM Ambiron TrustWave ipAngel:

Tabela 86. Especificações do DSM Ambiron TrustWave ipAngel
Especificação Valor
Fabricante Ambiron
Nome do DSM Ambiron TrustWave ipAngel
Nome do arquivo RPM DSM-AmbironTrustwaveIpAngel-QRadar_version-
build_number.noarch.rpm
Versões suportadas V4.0
Protocolo Syslog
Tipos de eventos registrados Eventos baseados no Snort
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Ambiron (http://www.apache.org)

Para enviar eventos do Ambiron TrustWave ipAngel para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do RPM do DSM Ambiron TrustWave ipAngel no QRadar Console.
2. Configure o dispositivo Ambiron TrustWave ipAngel para encaminhar o cache e os logs de acesso ao
QRadar. Para obter informações sobre como encaminhar os logs do dispositivo ao QRadar, consulte a
documentação do fornecedor.
3. Inclua uma origem de log Ambiron TrustWave ipAngel no QRadar Console. A tabela a seguir
descreve os parâmetros que requerem valores específicos que são necessários para a coleção de
eventos do Ambiron TrustWave ipAngel:
Tabela 87. Parâmetros de origem de log Ambiron TrustWave ipAngel
Parâmetro Valor
Tipo de origem de log Sistema de Prevenção de Intrusão (IPS) Ambiron
TrustWave ipAngel
Configuração de protocolo Syslog

© Copyright IBM Corp. 2005, 2019 163

164 Guia de configuração do QRadar DSM
19 APC UPS
O DSM do IBM QRadar para o APC UPS aceita eventos syslog da família de produtos APC
Smart-Uninterruptible Power Supply (UPS).

Restrição: Os eventos do RC-Series Smart-UPS não são suportados.

A tabela a seguir identifica as especificações para o DSM APC UPS:

Tabela 88. Especificações do DSM APC UPS
Especificação Valor
Fabricante APC
Nome do DSM APC UPS
Nome do arquivo RPM DSM-APCUPS-Qradar_version-build_number.noarch.rpm
Protocolo Syslog
Tipos de eventos registrados Eventos de UPS

Eventos de bateria

Eventos de bypass

Eventos de comunicação

Eventos de energia de entrada

Eventos de condição de bateria fraca

Eventos SmartBoost

Eventos SmartTrim
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do APC (http://www.apc.com)

Para enviar eventos APC UPS para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do RPM do DSM APC UPS no QRadar Console.
2. Crie uma origem de log APC UPS no QRadar Console. Configure todos os parâmetros necessários e
use a tabela a seguir para configurar os valores específicos que são requeridos para coletar eventos
APC UPS:
Tabela 89. Parâmetros de origem de log APC UPS
Parâmetro Valor
Tipo de origem de log APC UPS
Configuração de protocolo Syslog

3. Configure o dispositivo APC UPS para encaminhar eventos syslog para o QRadar.
Tarefas relacionadas:

© Copyright IBM Corp. 2005, 2019 165

Configurando o APC UPS para encaminhar eventos syslog

Para coletar eventos do APC UPS, deve-se configurar o dispositivo para encaminhar eventos syslog para
o IBM QRadar.

Procedimento
1. Efetue login na interface da web do APC Smart-UPS.
2. No menu de navegação, clique em Rede > Syslog.
3. Na lista Syslog, selecione Ativar.
4. Na lista Recurso, selecione um nível de recurso para suas mensagens syslog.
5. No campo Servidor Syslog, digite o endereço IP de seu QRadar Console ou Coletor de Eventos.
6. Na lista Gravidade, selecione Informativo.
7. Clique em Aplicar.

166 Guia de configuração do QRadar DSM

20 Servidor Apache HTTP
O DSM Apache HTTP Server para o IBM QRadar aceita os eventos do Apache usando syslog ou
syslog-ng.

O QRadar registra todos os eventos de status de HTTP relevantes. O procedimento a seguir se aplica aos
DSMs Apache que funcionam nos sistemas operacionais UNIX/Linux somente.

Não execute syslog e syslog-ng ao mesmo tempo.

Selecione um dos métodos de configuração a seguir:

v “Configurando o Servidor HTTP Apache com syslog”
v “Configurando o Servidor HTTP Apache com syslog-ng” na página 168

Configurando o Servidor HTTP Apache com syslog

É possível configurar o Servidor HTTP Apache para encaminhar eventos com o protocolo syslog.

Procedimento
1. Efetue login no servidor que hospeda o Apache, como o usuário raiz.
2. Edite o arquivo de configuração do Apache httpd.conf.
3. Inclua as informações a seguir no arquivo de configuração do Apache para especificar o formato de
log customizado:
LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>
Em que <log format name> é um nome de variável que você fornece para definir o formato de log.
4. Inclua as informações a seguir no arquivo de configuração do Apache para especificar um caminho
customizado para os eventos syslog:
CustomLog "|/usr/bin/logger -t httpd -p <facility>.<priority>" <log format name>
Em que:
v <facility> é um recurso syslog, por exemplo, local0.
v <priority> é uma prioridade syslog, por exemplo, info ou notice.
v <log format name> é um nome de variável que você fornece para definir o formato de log
customizado. O nome do formato de log deve corresponder ao formato de log definido em
“Configurando o Servidor HTTP Apache com syslog”.
Por exemplo,
CustomLog "|/usr/bin/logger -t httpd -p local1.info" MyApacheLogs
5. Digite o comando a seguir para desativar a consulta de hostname:
HostnameLookups off
6. Salve o arquivo de configuração do Apache.
7. Edite o arquivo de configuração syslog.
/etc/syslog.conf
8. Inclua as informações a seguir em seu arquivo de configuração syslog:
<facility>.<priority> <TAB><TAB>@<host>
Em que:
v <facility> é o recurso syslog, por exemplo, local0. Esse valor deve corresponder ao valor que você
digitou em “Configurando o Servidor HTTP Apache com syslog”.

© Copyright IBM Corp. 2005, 2019 167

v <priority> é a prioridade de syslog, por exemplo, info ou notice. Esse valor deve corresponder ao
valor que você digitou em “Configurando o Servidor HTTP Apache com syslog” na página 167.
v <TAB> indica que deve-se pressionar a tecla Tab.
v <host> é o endereço IP do QRadar Console ou Event Collector.
9. Salve o arquivo de configuração syslog.
10. Digite o comando a seguir para reiniciar o serviço syslog:
/etc/init.d/syslog restart
11. Reinicie o Apache para concluir a configuração do syslog.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos syslog
dos Servidores HTTP Apache são descobertos automaticamente. Os eventos que são encaminhadas
para o QRadar pelos Servidores HTTP Apache são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log no IBM QRadar

É possível configurar uma origem de log manualmente para eventos do Servidor HTTP Apache no IBM
QRadar.

Sobre Esta Tarefa

O QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Servidor HTTP
Apache. No entanto, você pode criar manualmente uma origem de log para o QRadar receber eventos
syslog. Essas etapas de configuração são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Para obter mais informações sobre o Apache, consulte
http://www.apache.org/.

Configurando o Servidor HTTP Apache com syslog-ng

É possível configurar o Servidor HTTP Apache para encaminhar eventos com o protocolo syslog-ng.

168 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no servidor que hospeda o Apache, como o usuário raiz.
2. Edite o arquivo de configuração do Apache.
/etc/httpd/conf/httpd.conf
3. Inclua as informações a seguir no arquivo de configuração do Apache para especificar LogLevel:
LogLevel info
O LogLevel pode já estar configurado para o nível de informações; ele depende da instalação do
Apache.
4. Inclua o seguinte no arquivo de configuração do Apache para especificar o formato de log
customizado:
LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>
Em que <log format name> é um nome de variável que você fornece para definir o formato de log
customizado.
5. Inclua as informações a seguir no arquivo de configuração do Apache para especificar um caminho
customizado para os eventos syslog:
CustomLog "|/usr/bin/logger -t ’httpd’ -u /var/log/httpd/apache_log.socket" <log format
name>
O nome do formato de log deve corresponder ao formato de log definido em “Configurando o
Servidor HTTP Apache com syslog-ng” na página 168.
6. Salve o arquivo de configuração do Apache.
7. Edite o arquivo de configuração syslog-ng.
/etc/syslog-ng/syslog-ng.conf
8. Inclua as informações a seguir para especificar o destino no arquivo de configuração syslog-ng:
source s_apache {
unix-stream("/var/log/httpd/apache_log.socket"
max-connections(512)
keep-alive(yes));
};
destination auth_destination { <udp|tcp> ("<IP address>" port(514)); };
log{
source(s_apache);
destination(auth_destination);
};

Em que:
<IP address> é o endereço IP do QRadar Console ou do Event Collector.
<udp|tcp> é o protocolo que você seleciona para encaminhar o evento syslog.
9. Salve o arquivo de configuração syslog-ng.
10. Digite o comando a seguir para reiniciar syslog-ng:
service syslog-ng restart
11. Agora é possível configurar a origem de log no QRadar.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos syslog
dos Servidores HTTP Apache são descobertos automaticamente. Os eventos que são encaminhadas
para o QRadar pelos Servidores HTTP Apache são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

É possível configurar uma origem de log manualmente para eventos do Servidor HTTP Apache no IBM
QRadar.

20 Servidor Apache HTTP 169

Sobre Esta Tarefa

O QRadar descobre e cria automaticamente uma origem de log para eventos syslog-ng do Servidor HTTP
Apache. No entanto, você pode criar manualmente uma origem de log para o QRadar receber eventos
syslog. Essas etapas de configuração são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Para obter mais informações sobre o Apache, consulte
http://www.apache.org/.

170 Guia de configuração do QRadar DSM

21 Apple Mac OS X
O DSM do IBM QRadar para Apple Mac OS X aceita eventos usando syslog.

O QRadar registra todos os eventos relevantes de firewall, acesso a servidor da web, erro de servidor da
web, escalada de privilégio e informativos.

Para integrar eventos do Mac OS X com o QRadar, deve-se criar manualmente uma origem de log para
receber eventos syslog.

Para concluir essa integração, deve-se configurar uma origem de log e, em seguida, configurar o Mac OS
X para encaminhar eventos syslog. Os eventos syslog que são encaminhados pelos dispositivos Mac OS X
não são descobertos automaticamente. Os eventos syslog do Mac OS X podem ser encaminhados para o
QRadar na porta TCP 514 ou na porta UDP 514.

Configurando uma origem de log Mac OS X

O IBM QRadar não descobre ou cria automaticamente origens de log para eventos syslog do Apple Mac
OS X.

Configurando syslog no Apple Mac OS X

Configure syslog em sistemas que executam sistemas operacionais Mac OS X usando um script de fluxo
de logs para enviar os logs do sistema MAC para o QRadar.

Procedimento
1. Crie um shell script executável com uma extensão .sh com a convenção de nomenclatura a seguir:
<FILE_NAME>.sh.
2. Inclua o comando a seguir no arquivo que você criou:
#!/bin/sh
/Users/<PathToPerlScript>/logStream.pl -<Parameters1> <Value1>
-<Parameters2> <Value2>

© Copyright IBM Corp. 2005, 2019 171

O caminho é um caminho absoluto que geralmente começa com /Users/....
É possível usar os parâmetros a seguir para logStream.pl:
Tabela 92. Parâmetros logStream.pl
Parâmetro Descrição
-H O parâmetro -H define o nome do host ou o IP para o qual enviar os logs.
-p O parâmetro -p define a porta no host remoto, em que um receptor de syslog está
atendendo.

Se esse parâmetro não for especificado, por padrão, o script logStream.pl usará a porta
TCP 514 para enviar eventos para o QRadar.
-O O parâmetro -O substitui o nome do host automático do comando /bin/hostname do S.O.
-s O formato do cabeçalho de syslog padrão é 5424 (registro de data e hora RFC5424), mas
3339 pode ser especificado em vez de gerar a saída de registro de data e hora no formato
RFC3389.
-u O parâmetro -u força o logStream a enviar eventos usando UDP.
-v O parâmetro -v exibe as informações da versão para o logStream.
-x O parâmetro -x é um filtro de exclusão no formato regex estendido de grep.

Por exemplo: parentalcontrolsd|com.apple.Webkit.WebContent

Exemplo:
#!/bin/sh /Users/ ....../ logStream.pl -H 172.16.70.135
3. Salve suas mudanças.
4. No terminal, vá para a pasta que contém o arquivo shell que você criou.
5. Para tornar o arquivo perl um arquivo executável, digite o comando a seguir:
chmod + x <FILE_NAME> .sh
6. No terminal, crie um arquivo com uma extensão do arquivo .plist, como no exemplo a seguir:
<fileName>.plist.
7. Inclua o comando XML a seguir no arquivo:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www
.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0">
<dict>
<key>Label</key>
<string>com.logSource.app</string>
<key>Program</key>
<string> /Users/... <Path_to_Shell_Script_Created_In_Step1> .../
shellScript.sh</string>
<key>RunAtLoad</key>
<true/>
</dict>
</plist>
O comando XML contém dados no par chave-valor. A tabela a seguir fornece os pares chave-valor:
Tabela 93. Pares chave-valor
Tecla Valor
Label com.logSource.app
Program /Users/...<Path_To_Shell_ Script_Created_In
Step1>.../shellScript.sh
RunAtLoad True

172 Guia de configuração do QRadar DSM

Nota:

O valor da chave Label deve ser exclusivo para cada arquivo .plist. Por exemplo, se você usar o
valor Label com.logSource.app para um arquivo .plist, não será possível usar o mesmo valor para
outro arquivo .plist.

A chave de Programa mantém o caminho do shell script que você deseja executar. O caminho é um
caminho absoluto que geralmente começa com /Users/....

A chave RunAtLoad mostra eventos quando você deseja executar seu programa shell
automaticamente.
8. Salve suas mudanças.
9. Para fazer com que o arquivo .plist seja um arquivo executável, digite o comando a seguir:
chmod + x <fileName> .plist
10. Copie o arquivo para /Library/LaunchDaemons/ usando o comando a seguir:
sudo cp <Path_To_Your_plist_file> /Library/LaunchDaemons/
11. Reinicie o sistema Mac.
12. Efetue login no QRadar, e, em seguida, na guia Atividade de log, verifique se os eventos estão
chegando no sistema Mac. Se os eventos estiverem chegando como Sim Genérico, você deverá
configurar manualmente uma origem de log para o sistema Mac.

Exemplo: Considere o evento a seguir:

< 13 > 1 2020-06-25T16:06:55.198987-0300 AAAA-MacBook-Pro.local trustd [ 130 ]:
[ com.apple.securityd.policy ] cert [ 2 ]: AnchorTrusted = (leaf) [ force ] > 0

Os valores do parâmetro de origem de log para esse evento são:

Tabela 94. Parâmetros de origem de log
Parâmetro Valor
Tipo de origem de log MAC OS X
Configuração de protocolo Syslog
Log Source Identifier AAAA-MacBook-Pro.local

21 Apple Mac OS X 173

174 Guia de configuração do QRadar DSM
22 Application Security DbProtect
O DSM do IBM QRadar para o Application Security DbProtect coleta eventos de dispositivos DbProtect
que são instalados com o serviço Log Enhanced Event Format (LEEF).

A tabela a seguir identifica as especificações para o DSM Application Security DbProtect:

Tabela 95. Especificações do DSM Application Security DbProtect
Especificação Valor
Fabricante Application Security, Inc
Nome do DSM DbProtect
Nome do arquivo RPM DSM-AppSecDbProtect-QRadar_version-
build_number.noarch.rpm
Versões suportadas v6.2

v6.3

v6.3sp1

v6.3.1

v6.4
Protocolo LEEF
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website da Application Security (http://
www.appsecinc.com/)

Para enviar eventos Application Security DbProtect para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do RPM do DSM Application Security DbProtect no QRadar Console:
2. Configure o dispositivo Application Security DbProtect para se comunicar com o QRadar. Conclua as
etapas a seguir:
a. Instale o módulo de retransmissão DbProtect LEEF.
b. Configure e retransmissão DbProtect LEEF
c. Configure alertas DbProtect.
3. Se o QRadar não detectar automaticamente a origem de log, inclua a origem de log Application
Security DbProtect no QRadar Console. Configure todos os parâmetros necessários e use a tabela a
seguir para obter valores específicos do DbProtect:
Tabela 96. Parâmetros de origem de log Application Security DbProtect
Parâmetro Valor
Tipo de origem de log Application Security DbProtect
Configuração de protocolo Syslog

© Copyright IBM Corp. 2005, 2019 175

Instalando o módulo DbProtect LEEF Relay
Para permitir que o DbProtect se comunique com o IBM QRadar, instale o módulo DbProtect LEEF Relay
no mesmo servidor que o console DbProtect.

Antes de Iniciar

Antes de instalar o módulo DbProtect LEEF Relay em um host do Windows 2003, deve-se instalar o
Windows Imaging Components. O arquivo wic_x86.exe contém o Windows Imaging Componentes e está
no CD de Instalação do Windows Server. Para obter mais informações, consulte a documentação do
sistema operacional Windows 2003.

Sobre Esta Tarefa

O módulo LEEF Relay para DbProtect converte as mensagens de eventos padrão em mensagens Log
Enhanced Event Format (LEEF) para o QRadar. Para poder receber eventos no QRadar, deve-se instalar e
configurar o Serviço LEEF para que o dispositivo DbProtect encaminhe eventos syslog. O DbProtect LEEF
Relay requer que você instale o .NET Framework 4.0, que é empacotado com a instalação do LEEF Relay.

Procedimento
1. Faça download do módulo DbProtect LEEF Relay para DbProtect no Portal do cliente Application
Security, Inc. (http://www.appsecinc.com).
2. Salve o arquivo de configuração no mesmo host do console DbProtect.
3. Clique em Aceitar para concordar com o Contrato de licença do usuário final do Microsoft .NET
Framework 4.
4. No Assistente de instalação do módulo DbProtect LEEF Relay, clique em Avançar.
5. Para selecionar o caminho da instalação padrão, clique em Avançar.
Se você alterar o diretório de instalação padrão, anote o local do arquivo.
6. Na janela Confirmar instalação, clique em Avançar.
7. Clique em Fechar.

O que Fazer Depois

“Configurando o DbProtect LEEF Relay”

Configurando o DbProtect LEEF Relay

Depois de instalar o módulo DbProtect LEEF Relay, configure o serviço para encaminhar eventos para o
IBM QRadar.

Antes de Iniciar

Interrompa o serviço DbProtect LEEF Relay antes de editar quaisquer valores de configuração.

Procedimento
1. Efetue login no servidor DbProtect LEEF Relay.
2. Acesse o diretório C:\Program Files (x86)\AppSecInc\AppSecLEEFConverter.
3. Edite o arquivo AppSecLEEFConverter.exe.config. Configure os valores a seguir:

Parâmetro Descrição
SyslogListenerPort O número da porta que o DbProtect LEEF Relay usa para atender às
mensagens syslog do console DbProtect.

176 Guia de configuração do QRadar DSM

Parâmetro Descrição
SyslogDestinationHost O endereço IP do QRadar Console ou do Event Collector.
SyslogDestinationPort 514
LogFileName Um nome de arquivo para o DbProtect LEEF Relay gravar mensagens de
depuração e de log. A conta do usuário LocalSystem que executa o serviço
DbProtect LEEF Relay deve ter privilégios de gravação para o caminho de
arquivo que você especifica.

4. Salve as mudança na configuração no arquivo.

5. No desktop do console DbProtect, selecione Iniciar > Executar.
6. Digite o seguinte comando:
services.msc
7. Clique em OK.
8. Na área de janela de detalhes da janela Serviços, verifique se o DbProtect LEEF Relay foi iniciado e
configurado para inicialização automática.
9. Para alterar uma propriedade de serviço, clique com o botão direito no nome do serviço e, em
seguida, clique em Propriedades.
10. Usando a lista Tipo de inicialização, selecione Automático.
11. Se o DbProtect LEEF Relay não for iniciado, clique em Iniciar.

O que Fazer Depois

“Configurando alertas DbProtect”

Configurando alertas DbProtect

Configure sensores no console DbProtect para gerar alertas.

Procedimento
1. Efetue login no console DbProtect.
2. Clique na guia Atividade de monitoramento.
3. Clique na guia Sensores.
4. Selecione um sensor e clique em Reconfigurar.
5. Selecione uma instância de banco de dados e clique em Reconfigurar.
6. Clique em Avançar até que a janela Sensor Manager Policy seja exibida.
7. Marque a caixa de seleção Syslog e clique em Avançar.
8. No campo Enviar alertas para o console Syslog a seguir, digite o endereço IP do console DbProtect.
9. No campo Porta, digite o número da porta que você configurou no campo SyslogListenerPort do
DbProtect LEEF Relay.

Dica: Por padrão, 514 é a porta de escuta Syslog padrão para o DbProtect LEEF Relay.
10. Clique em Incluir.
11. Clique em Avançar até atingir a janela Implementar para sensor .
12. Clique em Implementar para sensor.

22 Application Security DbProtect 177

178 Guia de configuração do QRadar DSM
23 Arbor Networks
Diversos DSMs Arbor Networks podem ser integrados com o IBM QRadar.

Esta seção fornece informações sobre os DSMs a seguir:

v “Arbor Networks Peakflow SP”
v “Arbor Networks Pravail” na página 183

Arbor Networks Peakflow SP

O IBM QRadar pode coletar e categorizar eventos syslog e syslog TLS dos dispositivos Arbor Networks
Peakflow SP que estão em sua rede.

Os dispositivos Arbor Networks Peakflow SP armazenam os eventos syslog localmente.

Para coletar eventos syslog locais, deve-se configurar o dispositivo Peakflow SP para encaminhar os
eventos syslog para um host remoto. O QRadar descobre e cria automaticamente origens de log para
eventos syslog que são encaminhados pelos dispositivos Arbor Networks Peakflow SP. O QRadar suporta
eventos syslog que são encaminhados pelo Peakflow V5.8 para a V8.1.2.

Para configurar o Arbor Networks Peakflow SP, conclua as etapas a seguir:

1. No dispositivo Peakflow SP, crie um grupo de notificação para o QRadar.
2. No dispositivo Peakflow SP, configure as definições de notificação global.
3. No dispositivo Peakflow SP, configure suas regras de notificação de alerta.
4. Se as atualizações automáticas não estiverem ativadas para o QRadar, os RPMs estarão disponíveis
para download por meio do website de suporte IBM (http://www.ibm.com/support). Faça download
e instale a versão mais recente dos RPMs a seguir em seu QRadar Console.
v RPM DSMCommon
v Arbor Networks Peakflow SP DSM RPM
5. Configure o dispositivo Arbor Networks Peakflow SP para enviar eventos syslog ou syslog TLS para
o QRadar.
6. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log Arbor
Networks Peakflow SP no QRadar Console. As tabelas a seguir descrevem os parâmetros que
requerem valores específicos para coletar eventos do Arbor Networks Peakflow SP:
Tabela 97. Parâmetros de origem de log do Arbor Networks Peakflow SP
Parâmetro Valor
Tipo de origem de log Arbor Networks Peakflow SP
Configuração do Protocolo Selecione Syslog ou Syslog TLS
Log Source Identifier Digite um nome exclusivo para a origem de log.

© Copyright IBM Corp. 2005, 2019 179

Tipos de eventos suportados para o Arbor Networks Peakflow SP

O DSM Arbor Networks Peakflow para o IBM QRadar coleta eventos de diversas categorias.

Cada categoria de evento contém eventos de baixo nível que descrevem a ação que é tomada dentro da
categoria de evento. Por exemplo, eventos de autenticação podem ter as categorias de baixo nível login
com êxito ou falha de login.

A lista a seguir define as categorias de eventos que são coletadas pelo QRadar dos dispositivos Peakflow
SP:
v Eventos de Negação de Serviço (DoS)
v Eventos de autenticação
v Eventos de exploração
v Eventos de atividade suspeita
v Eventos do sistema

Configurando um syslog remoto no Arbor Networks Peakflow SP

Para coletar eventos, deve-se configurar um novo grupo de notificação ou editar grupos existentes para
incluir o IBM QRadar como um destino syslog remoto.

Procedimento
1. Efetue login na interface de configuração do Peakflow SP como um administrador.
2. No menu de navegação, selecione Administração > Notificação > Grupos.
3. Clique em Incluir grupo de notificação.
4. No campo Destinos, digite o endereço IP do sistema QRadar.
5. No campo Porta, digite 514 como a porta para o destino syslog.
6. Na lista Recurso, selecione um recurso de syslog.
7. Na lista Gravidade, selecione info.
A gravidade informativa coleta todas as mensagens de eventos no nível de evento informativo e
gravidade superior.
8. Clique em Salvar.
9. Clique em Confirmação da configuração.

Configurando definições de notificações globais para alertas no Arbor

Networks Peakflow SP
As notificações globais no Arbor Networks Peakflow SP fornecem notificações do sistema que não estão
associadas a regras.

Sobre Esta Tarefa

Este procedimento define como incluir o IBM QRadar como o grupo de notificação padrão e ativar as
notificações do sistema.

Procedimento
1. Efetue login na interface de configuração para o dispositivo Arbor Networks Peakflow SP como um
administrador.

180 Guia de configuração do QRadar DSM

2. No menu de navegação, selecione Administração > Notificação > Configurações Globais.
3. No campo Grupo de notificação padrão, selecione o grupo de notificação que você criou para
eventos syslog do QRadar.
4. Clique em Salvar.
5. Clique em Confirmação de configuração para aplicar as mudanças na configuração.
6. Efetue login na interface da linha de comandos do Arbor Networks Peakflow SP como um
administrador.
7. Digite o comando a seguir para listar a configuração de alerta atual:
services sp alerts system_errors show
8. Opcional: Digite o comando a seguir para listar os nomes de campos que podem ser configurados:
services sp alerts system_errors ?
9. Digite o comando a seguir para ativar uma notificação para um alerta de sistema:
services sp alerts system_errors <name> notifications enable
Em que <name> é o nome do campo da notificação.
10. Digite o comando a seguir para confirmar as mudanças na configuração:
config write

Configurando regras de notificação de alerta no Arbor Networks

Peakflow SP
Para gerar eventos, deve-se editar ou incluir regras para usar o grupo de notificação que o IBM QRadar
utiliza como um destino syslog remoto.

Procedimento
1. Efetue login na interface de configuração do Arbor Networks Peakflow SP como um administrador.
2. No menu de navegação, selecione Administração > Notificação > Regras.
3. Selecione uma das opções a seguir:
v Clique em uma regra atual para editá-la.
v Clique em Incluir regra para criar uma nova regra de notificação.
4. Configure os valores a seguir:
Tabela 98. Parâmetros de regra de notificação do Arbor Networks Peakflow SP
Parâmetro Descrição
Nome Digite o endereço IP ou o nome do host como um
identificador para eventos de instalação do Peakflow SP.

O identificador de origem de log deve ser um valor

exclusivo.
Recurso Digite um endereço CIDR ou selecione um objeto
gerenciado na lista de recursos Peakflow.
Importância Selecione a Importância da regra.
Grupo de notificação Selecione o Grupo de notificação que você designou
para encaminhar eventos syslog para o QRadar.

5. Repita essas etapas para configurar quaisquer outras regras que você deseja criar.
6. Clique em Salvar.
7. Clique em Confirmação de configuração para aplicar as mudanças na configuração.
O QRadar descobre e cria automaticamente uma origem de log para dispositivos Arbor Networks
Peakflow SP. Eventos que são encaminhados para o QRadar são exibidos na guia Atividade de log.

23 Arbor Networks 181

Configurando um origem de log Arbor Networks Peakflow SP
O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog que são
encaminhados pelo Arbor Networks Peakflow SP. As etapas de configuração a seguir para incluir
manualmente a origem de log são opcionais.

O identificador de origem de log deve ser um valor

exclusivo.
Credibilidade A credibilidade da origem de log. A credibilidade indica
a integridade de um evento ou ofensa conforme
determinado pela classificação de credibilidade a partir
dos dispositivos de origem. Credibilidade aumenta se
várias fontes relatam o mesmo evento.
Coletor de eventos de destino O coletor de eventos a ser usado como o destino para a
origem de log.
Unindo eventos Permite que a origem de log una (empacote) eventos. Por
padrão, as origens de logs descobertas automaticamente
herdam o valor da lista Eventos unidos das
configurações do sistema em QRadar. Ao criar uma
origem de log ou editar uma configuração existente, é
possível substituir o valor padrão configurando esta
opção para cada origem de log.
Carga útil do evento recebido O codificador de carga útil recebida para analisar e
armazenar os logs.
Armazenar carga útil do evento Permite que a origem de log armazene informações de
carga útil do evento.

Por padrão, as origens de log descobertas

automaticamente herdam o valor da lista Armazenar
carga útil do evento de Configurações do sistema em
QRadar. Ao criar uma origem de log ou editar uma
configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de
log.

11. Clique em Salvar.

182 Guia de configuração do QRadar DSM

12. Na guia Administrador, clique em Implementar mudanças.

Arbor Networks Pravail

O DSM do IBM QRadar para o Arbor Networks Pravail recebe logs de eventos dos servidores Arbor
Networks Pravail.

A tabela a seguir identifica as especificações para o DSM Arbor Networks Pravail:

Tabela 100. Especificações do DSM Arbor Networks Pravail
Especificação Valor
Fabricante Arbor Networks
DSM Arbor Networks Pravail
Nome do arquivo RPM DSM-ArborNetworksPravail-build_number.noarch.rpm
Protocolo Syslog
Eventos registrados Todos os eventos relevantes
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Arbor Networks (www.arbornetworks.com)

Para enviar eventos do Arbor Networks Pravail para o QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale o RPM do Arbor
Networks Pravail mais recente no QRadar Console.
2. Configure cada sistema Arbor Networks Pravail para enviar eventos para o QRadar.
3. Se o QRadar não descobrir automaticamente o sistema Arbor Pravail, crie uma origem de log no
QRadar Console. Configure os parâmetros necessários e use a tabela a seguir para obter os parâmetros
específicos do Arbor Pravail:
Tabela 101. Parâmetros do Pravail Arbor
Parâmetro Valor
Tipo de Fonte de Log Arbor Networks Pravail
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o sistema Arbor Networks Pravail para enviar eventos ao IBM QRadar”
Para coletar todos os logs de auditoria e eventos do sistema do Arbor Networks Pravail, deve-se incluir
um destino que especifique o QRadar como o servidor syslog.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o sistema Arbor Networks Pravail para enviar eventos

ao IBM QRadar
Para coletar todos os logs de auditoria e eventos do sistema do Arbor Networks Pravail, deve-se incluir
um destino que especifique o QRadar como o servidor syslog.

23 Arbor Networks 183

Procedimento
1. Efetue login no servidor Arbor Networks Pravail.
2. Clique em Configurações & Relatórios.
3. Clique em Administração > Notificações.
4. Na página Configurar notificações, clique em Incluir destinos.
5. Selecione Syslog.
6. Configure os parâmetros a seguir:
Tabela 102. Parâmetros de Syslog
Parâmetro Descrição
Host O endereço IP do QRadar Console
Porta 514
Gravidade Informações
Tipos de alerta Os tipos de alerta que você deseja enviar para o QRadar
Console

7. Clique em Salvar.

184 Guia de configuração do QRadar DSM

24 Arpeggio SIFT-IT
O DSM IBM QRadar SIFT-IT aceita eventos do syslog do Arpeggio SIFT-IT em execução no IBM i que são
formatados como Log Event Extended Format (LEEF).

O QRadar suporta eventos do Arpeggio SIFT-IT 3.1 e mais recente instalados no IBM i versão 5 revisão 3
(V5R3) e posterior.

O Arpeggio SIFT-IT suporta eventos syslog do diário QAUDJRN no formato LEEF.

Exemplo:

Jan 29 01:33:34 <Server> LEEF:1.0|Arpeggio|SIFT-IT|3.1|PW_U|sev=3 usrName=<Username>

src=<Source_IP_address> srcPort=543 jJobNam=QBASE jJobUsr=<Username> jJobNum=1664
jrmtIP=<SourceIP_address> jrmtPort=543 jSeqNo=4755 jPgm=QWTMCMNL jPgmLib=QSYS jMsgId=PWU0000
jType=U jUser=ROOT jDev=QPADEV000F jMsgTxt=Invalid user id <Username>. Dispositivo <Device_ID>.

Os eventos que o SIFT-IT envia para o QRadar são determinados com um arquivo de conjunto de regras
de configuração. O SIFT-IT inclui um arquivo de conjunto de regras de configuração padrão que pode ser
editado para atender seus requisitos de segurança ou de auditoria. Para obter mais informações sobre a
configuração de arquivos de conjunto de regras, consulte o Guia do Usuário do SIFT-IT.

Configurando um agente SIFT-IT

O Arpeggio SIFT-IT pode encaminhar eventos syslog em formato LEEF com agentes SIFT-IT.

Sobre Esta Tarefa

Uma configuração do agente SIFT-IT define o local de sua instalação do IBM QRadar, o protocolo e o
formato da mensagem do evento, além do conjunto de regras de configuração.

Procedimento
1. Efetue login em seu IBM i.
2. Digite o comando a seguir e pressione Enter para incluir SIFT-IT na lista de bibliotecas:
ADDLIBLE SIFTITLIB0
3. Digite o comando a seguir e pressione Enter para acessar o menu principal SIFT-IT:
GO SIFTIT
4. No menu principal, selecione 1. Trabalhar com definições de agentes SIFT-IT.
5. Digite 1 para incluir uma definição de agente para o QRadar e pressione Enter.
6. No campo Nome do agente SIFT-IT, digite um nome.
Por exemplo, QRadar.
7. No campo Descrição, digite uma descrição para o agente.
Por exemplo, Agente Arpeggio para QRadar.
8. No campo Nome do host ou endereço IP do servidor, digite o local do QRadar Console ou do
Event Collector.
9. No campo Tipo de conexão, digite *TCP, *UDP ou *SECURE.
A opção *SECURE requer o protocolo TLS.
10. No campo Número da porta remota, digite 514.
Por padrão, o QRadar suporta mensagens syslog TCP e UDP na porta 514.

© Copyright IBM Corp. 2005, 2019 185

11. No campo Opções de formato da mensagem, digite *QRadar.
12. Opcional: Configure quaisquer parâmetros adicionais para atributos que não são específicos do
QRadar.
Os parâmetros operacionais adicionais são descritas na Guia do Usuário do SIFT-IT.
13. Pressione F3 para sair para o menu Trabalhar com descrição de agentes SIFT-IT.
14. Digite 9 e pressione Enter para carregar um conjunto de regras de configuração para o QRadar.
15. No campo Arquivo de configuração, digite o caminho para o arquivo de conjunto de regras de
configuração do QRadar.
Exemplo: /sifitit/Qradarconfig.txt
16. Pressione F3 para sair para o menu Trabalhar com descrição de agentes SIFT-IT.
17. Digite 11 para iniciar o agente QRadar.

O que Fazer Depois

Os eventos syslog que são encaminhados pelo Arpeggio SIFT-IT no formato LEEF são descobertos
automaticamente pelo QRadar. Na maioria dos casos, a origem de log é criada automaticamente no
QRadar após alguns eventos serem detectados. Se a taxa de evento estiver baixa, poderá ser necessário
criar manualmente uma origem de log para o Arpeggio SIFT-IT no QRadar.

Até que a origem de log seja descoberta e identificada automaticamente, o tipo de evento é exibido como
Desconhecido na guia Atividade de log do QRadar. As origens de log descobertas automaticamente
podem ser visualizadas na guia Admin do QRadar clicando no ícone Origens de log.
Conceitos relacionados:
“Opções de configuração de protocolo syslog TLS” na página 84
Configure uma origem de log do protocolo Syslog do TLS para receber eventos syslog criptografados de
até 1.000 dispositivos de rede que suportam encaminhamento de eventos do TLS Syslog.

Configurando uma origem de log Arpeggio SIFT-IT

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos de autenticação do
sistema encaminhados pelo Arpeggio SIFT-IT.

Sobre Esta Tarefa

Esse procedimento é opcional.

186 Guia de configuração do QRadar DSM

Informações adicionais
Depois de criar a definição de agente do IBM QRadar, é possível usar o software Arpeggio SIFT-IT e a
integração do QRadar para customizar seus requisitos de segurança e auditoria.

É possível customizar os requisitos de segurança e auditoria a seguir:

v Crie configurações customizadas no Arpeggio SIFT-IT com a filtragem granular de atributos de
eventos.
Por exemplo, filtrando nome da tarefa, usuário, nome do arquivo ou do objeto, objetos do sistema ou
portas. Todos os eventos que são encaminhados do SIFT-IT e o conteúdo da carga útil do evento no
QRadar são facilmente procurados.
v Configure regras no QRadar para gerar alertas ou ofensas para sua equipe de segurança para
identificar ameaças de segurança em potencial, perda de dados ou violações em tempo real.
v Configurando processos no Arpeggio SIFT-IT para acionar a correção em tempo real dos problemas em
seu IBM i.
v Criando ofensas para sua equipe de segurança de eventos do Arpeggio SIFT-IT no QRadar com a guia
Ofensas ou configurando os logs de tarefa de e-mail no SIFT-IT para os administradores do IBM i.
v Criando diversos conjuntos de regras de configuração para diversos agentes que são executados
simultaneamente para manipular eventos específicos de segurança ou auditoria.

Por exemplo, é possível configurar um agente QRadar com uma regra específica definida para
encaminhar todos os eventos do IBM i e, em seguida, desenvolver vários conjuntos de regras de
configuração para propósitos de conformidade específicos. É possível gerenciar facilmente conjuntos de
regras de configuração para fins de regulamentações de conformidade, como FISMA, PCI. HIPPA, SOX
ou ISO 27001. Todos os eventos que são encaminhados pelos agentes SIFT-IT QRadar estão contidos em
uma única origem de log e são categorizados para serem procurados facilmente.

24 Arpeggio SIFT-IT 187

188 Guia de configuração do QRadar DSM
25 Array Networks SSL VPN
O DSM Array Networks SSL VPN para o IBM QRadar coleta eventos de um dispositivo ArrayVPN
usando syslog.

O QRadar registra todos os eventos SSL VPN relevantes que são encaminhados usando syslog na porta
TCP 514 ou na porta UDP 514.

Configurando uma origem de log

Para enviar eventos Array Networks SSL VPN para o IBM QRadar, deve-se criar manualmente uma
origem de log.

Sobre Esta Tarefa

O QRadar não descobre ou cria automaticamente origens de log para eventos syslog do Array Networks
SSL VPN.

O que Fazer Depois

Agora você está pronto para configurar seu dispositivo Array Networks SSL VPN para encaminhar
eventos syslog remotos para o QRadar. Para obter mais informações sobre como configurar dispositivos
Array Networks SSL VPN, consulte a documentação do Array Networks.

© Copyright IBM Corp. 2005, 2019 189

190 Guia de configuração do QRadar DSM
26 Aruba Networks
Diversos DSMs Aruba podem ser integrados com o IBM QRadar.

Esta seção fornece informações sobre os DSMs a seguir:

v “Aruba ClearPass Policy Manager”
v “Aruba Mobility Controllers” na página 195

Aruba ClearPass Policy Manager

O DSM IBM QRadar para Aruba ClearPass Policy Manager pode coletar logs de eventos dos servidores
Aruba ClearPass Policy Manager.

A tabela a seguir identifica as especificações para o DSM Aruba ClearPass Policy Manager:
Tabela 103. Especificações do DSM Aruba ClearPass Policy Manager
Especificação Valor
Fabricante Aruba Networks
Nome do DSM ClearPass
Nome do arquivo RPM DSM-ArubaClearPass-Qradar_version-
build_number.noarch.rpm
Versões suportadas 6.5.0.71095 e mais recente
Formato de evento LEEF
Tipos de eventos registrados Sessão

Auditoria

Sistema

Insight
Descobertos automaticamente? Sim
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do Aruba Networks (http://
www.arubanetworks.com/products/security/)

Para integrar o Aruba ClearPass Policy Manager com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do DSM Aruba ClearPass
v RPM DSMCommon
2. Configure o dispositivo Aruba ClearPass Policy Manager para enviar eventos syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log Aruba
ClearPass no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para a coleção de eventos do Aruba ClearPass Policy Manager:

© Copyright IBM Corp. 2005, 2019 191

Tabela 104. Parâmetros de origem de log do Aruba ClearPass Policy Manager
Parâmetro Valor
Tipo de origem de log Aruba ClearPass Policy Manager
Configuração de protocolo Syslog

Configurando o Aruba ClearPass Policy Manager para se comunicar

com o QRadar
Para coletar eventos syslog do Aruba ClearPass Policy Manager, deve-se incluir um servidor syslog
externo para o host do QRadar. Você então precisará criar um ou mais filtros de syslog para o servidor
syslog.

Antes de Iniciar

Para eventos de Sessão e Insight, a análise de evento integral funciona somente para os campos padrão
que são fornecidos pelo Aruba ClearPass Policy Manager. Os eventos de Sessão e Insight que são criados
por um usuário e têm diferentes combinações de campos podem aparecer como Log de sessão
desconhecido ou Log de Insight desconhecido.

Procedimento
1. Efetue login no servidor Aruba ClearPass Policy Manager.
2. Inicie o Console de administração.
3. Clique em Servidores externos > Destinos de syslog.
4. Clique em Incluir e, em seguida, configure os detalhes para o host do QRadar.
5. No Console de administração, clique em Servidores externos > Filtros de exportação de syslog
6. Clique em Incluir.
7. Selecione LEEF para o Tipo de formato de evento de exportação e, em seguida, selecione o Servidor
syslog que você incluiu.
8. Clique em Salvar.

Aruba Introspect
O IBM QRadar DSM for Aruba Introspect coleta eventos de um dispositivo Aruba Introspect.

A tabela a seguir descreve as especificações para o Aruba Introspect DSM:

Tabela 105. Especificações do DSM Aruba Introspect
Especificação Valor
Fabricante Aruba
Nome do DSM Aruba Introspect
Nome do arquivo RPM DSM-ArubaIntrospect-QRadar_version-
build_number.noarch.rpm
Versões suportadas 1,6

192 Guia de configuração do QRadar DSM

Tabela 105. Especificações do DSM Aruba Introspect (continuação)
Especificação Valor
Protocolo Syslog
Formato de evento Par nome-valor (NVP)
Tipos de eventos registrados Security

Sistema

Atividade interna

Exfiltração

Infecção

Comando e controle
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais website do Aruba (https: //www.arubanetworks.com)

Para integrar o Aruba Introspect ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir, na ordem em que estão listados em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM ArubaIntrospect
2. Configure o dispositivo Aruba Introspect para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log Aruba
Introspect no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para a coleção de eventos do Aruba Introspect:
Tabela 106. Parâmetros de origem de log do Aruba Introspect
Parâmetro Valor
Tipo de origem de log Aruba Introspect
Configuração do Protocolo Syslog
Log Source Identifier Um identificador exclusivo para a origem de log.

4. Para verificar se o QRadar está configurado corretamente, revise a tabela a seguir para ver um
exemplo de uma mensagem do evento analisado.
A tabela a seguir mostra ma mensagem de evento de amomstra para o Aruba Introspect

26 Aruba Networks 193

Tabela 107. Mensagem do evento de amostra do Aruba Introspect
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Exfiltração de nuvem Atividade Suspeita May 6 20:04:38 <Server>
May 7 03:04:38 lab-an-node
msg_type=alert detection_time=
"2016-05-06 20:04:23 -07:00"
alert_name="Large DropBox
Upload" alert_type="Cloud
Exfiltration" alert_category=
"Network Access" alert_severity=60
alert_confidence=20 attack_stage
=Exfiltration user_name=<Username>
src_host_name=example.com
src_ip=<Source_IP_address>
dest_ip=Destination_IP_address1 >,
<Destination_IP_address2>,...
description="User <Username>
no host example.com transferido por upload
324.678654 MB para Dropbox on
May 05, 2016; comparada com
usuários em toda a Empresa
que transferiu por upload uma média de
22.851 KB during the same day"
alert_id=xxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxx_Large_DropBox_Upload

Configurando o Aruba Introspect para se comunicar com o QRadar

Para que o IBM QRadar possa coletar eventos do Aruba Introspect, deve-se configurar o Aruba Introspect
para enviar eventos para o QRadar.

Procedimento
1. Efetue login no Aruba Introspect Analyzer.
2. Configure o encaminhamento.
a. Clique em Configuração do sistema > Destinos do syslog.
b. Configure os parâmetros de encaminhamento a seguir:
Tabela 108. Parâmetros de encaminhamento do Aruba Introspect Analyzer
Parâmetro Valor
Syslog Destination O IP ou o nome do host do QRadar Event Collector.
Protocolo TCP ou UDP
Port 514

3. Configure a notificação.
a. Clique em Configuração do sistema > Alertas de segurança / E-mails > Incluir novo.
b. Configure os parâmetros de notificação a seguir:

194 Guia de configuração do QRadar DSM

Tabela 109. Parâmetros de notificação do Aruba Introspect Analyzer
Parâmetro Valor
Enable Alert Syslog Forwarding Ative a caixa de seleção Enable Alert Syslog
Forwarding.
Sending Notification Conforme os alertas são produzidos.

É possível customizar essa configuração para enviar em

lotes em vez de um fluxo em tempo real.
Fuso horário Seu fuso horário local.

Nota: Deixe os valores Query, Severity e Confidence como padrão para enviar todos os Alertas.
Esses valores podem ser customizados para filtrar e enviar somente um subconjunto de Alertas
para o QRadar.

O que Fazer Depois

Para ajudá-lo a solucionar problemas, é possível consultar os logs de encaminhamento no arquivo

/var/log/notifier.log.

Quando uma nova notificação é criada, conforme descrito na Etapa 3, os alertas para a última semana
que correspondem aos campos Query, Severity e Confidence são enviados.

Aruba Mobility Controllers

O DSM Aruba Mobility Controllers para o IBM QRadar aceita eventos usando syslog.

O QRadar registra todos os eventos relevantes que são encaminhados usando syslog na porta TCP 514 ou
na porta UDP 514.

Configurando o Aruba Mobility Controller

É possível configurar o dispositivo Aruba Wireless Networks (Mobility Controller) para encaminhar
eventos syslog para o IBM QRadar.

Procedimento
1. Efetue login no Aruba Mobility Controller.
2. No menu superior, selecione Configuração.
3. No menu Comutador, selecione Gerenciamento.
4. Clique na guia Criação de log.
5. No menu Servidores de criação de log, selecione Incluir.
6. Digite o endereço IP do servidor QRadar que você deseja coletar logs.
7. Clique em Incluir.
8. Opcional: Altere o nível de criação de log para um módulo:
a. Marque a caixa de seleção ao lado do nome do módulo de criação de log.
b. Escolha o nível de criação de log que deseja alterar na lista que é exibida na parte inferior da
janela.
9. Clique em Pronto.
10. Clique em Aplicar.

26 Aruba Networks 195

Configurando uma origem de log
O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Aruba
Mobility Controllers.

196 Guia de configuração do QRadar DSM

27 Gateway VPN Avaya
O IBM QRadar DSM for Avaya VPN Gateway pode coletar logs de eventos de seus servidores Avaya
VPN Gateway.

A tabela a seguir identifica as especificações para o DSM Gateway VPN Avaya.

Tabela 110. Especificações do DSM Avaya VPN Gateway
Especificação Valor
Fabricante Avaya Inc.
DSM Gateway VPN Avaya
Nome do arquivo RPM DSM-AvayaVPNGateway-7.1-799033.noarch.rpm

DSM-AvayaVPNGateway-7.2-799036.noarch.rpm
Versões suportadas 9.0.7.2
Protocolo syslog
QRadar eventos registrados S.O., Processo de controle do sistema, Processamento de tráfego, Inicialização,
Recarregamento de configuração, Subsistema AAA, Subsistema IPsec
Descoberto automaticamente Sim
Inclui identidade Sim
Informações adicionais http://www.avaya.com

Processo de integração do DSM Avaya VPN Gateway

É possível integrar o DSM Avaya VPN Gateway com o IBM QRadar.

Sobre Esta Tarefa

Para integrar o DSM Avaya VPN Gateway com o QRadar, use o procedimento a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do protocolo Syslog
v RPM DSMCommon
v RPM do Avaya VPN Gateway
2. Para cada instância do Avaya VPN Gateway, configure o sistema Avaya VPN Gateway para permitir a
comunicação com o QRadar.
3. Se o QRadar descobrir automaticamente a origem de log, para cada servidor Avaya VPN Gateway
que você deseja integrar, crie uma origem de log no QRadar Console.

Configurando seu sistema Avaya VPN Gateway para comunicação com

o IBM QRadar
Para coletar todos os logs de auditoria e eventos do sistema do Avaya VPN Gateway, deve-se especificar
o QRadar como o servidor syslog e configurar o formato da mensagem.

© Copyright IBM Corp. 2005, 2019 197

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Avaya VPN Gateway.
2. Digite o seguinte comando:
/cfg/sys/syslog/add
3. No prompt, digite o endereço IP do sistema QRadar.
4. Para aplicar a configuração, digite o comando a seguir:
apply
5. Para verificar se o endereço IP do sistema QRadar está listado, digite o comando a seguir:
/cfg/sys/syslog/list

Configurando uma origem de log Avaya VPN Gateway no IBM QRadar

Para coletar eventos do Avaya VPN Gateway, configure uma origem de log no QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione Avaya VPN Gateway.
7. Na lista Configuração de protocolo, selecione Syslog.
8. Configure os parâmetros restantes.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

198 Guia de configuração do QRadar DSM

28 BalaBit IT Security
O aplicativo BalaBit Syslog-ng Agent pode coletar e encaminhar eventos syslog para o DSM Microsoft
Security Event Log e o DSM Microsoft ISA no IBM QRadar.

BalaBit IT Security for Microsoft Windows Events

O DSM Microsoft Windows Security Event Log no IBM QRadar pode aceitar eventos Log Extended Event
Format (LEEF) do BalaBit's Syslog-ng Agent.

O BalaBit Syslog-ng Agent encaminha os eventos do Windows a seguir para o QRadar usando syslog:
v Segurança do Windows
v Aplicativo
v Sistema
v DNS
v DHCP
v Logs de eventos de contêiner customizados

Para poder receber eventos do BalaBit IT Security Syslog-ng Agents, deve-se instalar e configurar o
agente para encaminhar eventos.

Antes de iniciar

Revise as etapas de configuração a seguir antes de configurar o BalaBit Syslog-ng Agent:

1. Instale o BalaBit Syslog-ng Agent no host do Windows. Para obter mais informações, consulte a
documentação do BalaBit Syslog-ng Agent.
2. Configure os Eventos do Syslog-ng Agent.
3. Configure o QRadar como um destino para o Syslog-ng Agent.
4. Reinicie o serviço do Syslog-ng Agent.
5. Opcional. Configure a origem de log no QRadar.

Configurando a origem de eventos Syslog-ng Agent

Para poder encaminhar eventos para o IBM QRadar, deve-se especificar quais eventos baseados no
Windows o Syslog-ng Agent coleta.

Procedimento
1. No menu Iniciar , selecione Todos os Programas > syslog-ng Agent for Windows > Configurar
syslog-ng Agent for Windows.
A janela Agente Syslog-ng é exibida.
2. Expanda a área de janela Configurações do Syslog-ng Agent e selecione Origens de log de eventos.
3. Clique duas vezes em Contêineres de eventos.
A janela Propriedades de contêineres de eventos é exibida.
4. Na área de janela Contêineres de eventos, selecione o botão de opções Ativar.
5. Marque uma caixa de seleção para cada tipo de evento que você deseja coletar:
v Aplicativo - Marque essa caixa de seleção se desejar que o dispositivo monitore o log de eventos de
aplicativo do Windows.

© Copyright IBM Corp. 2005, 2019 199

v Segurança - Marque essa caixa de seleção se desejar que o dispositivo monitorar o log de eventos
de segurança do Windows.
v Sistema - Marque essa caixa de seleção se desejar que o dispositivo monitore o log de eventos do
sistema Windows.

Nota: O BalaBit's Syslog-ng Agent suporta outros tipos de evento, como DNS ou DHCP, usando
contêineres customizados. Para obter mais informações, consulte a Documentação do BalaBit Syslog-ng
Agent.
6. Clique em Aplicar e, em seguida, clique em OK.
A configuração de evento para o BalaBit Syslog-ng Agent está concluída. Você agora está pronto para
configurar o QRadar como um destino para eventos Syslog-ng Agent.

Configurando um destino syslog

O agente Syslog-ng permite configurar vários destinos para os seus eventos baseados no Windows.

Sobre Esta Tarefa

Para configurar o IBM QRadar como um destino, deve-se especificar o endereço IP do QRadar e, em
seguida, configurar um modelo de mensagem para o formato LEEF.

Procedimento
1. No menu Iniciar, selecione Todos os Programas > Syslog-ng Agent for Windows > Configurar
syslog-ng Agent for Windows.
A janela Agente Syslog-ng é exibida.
2. Expanda a janela Configurações do Syslog-ng Agent e clique em Destinos.
3. Clique duas vezes em Incluir novo servidor.
A janela Propriedade de servidor é exibida.
4. Clique na guia Servidor e, em seguida, clique em Configurar servidor principal.
5. Configure os parâmetros a seguir:
v Nome do servidor – Digite o endereço IP do QRadar Console ou Event Collector.
v Porta do servidor - digite 514 como o número da porta TCP para eventos a serem encaminhados
para o QRadar.
6. Clique na guia Mensagens.
7. Na lista Protocolo, selecione Legacy BSD Syslog Protocol.
8. No campo Modelo, defina uma mensagem de modelo customizado para o protocolo digitando:
<${PRI}>${BSDDATE} ${HOST} LEEF:${MSG}
As informações que são digitadas neste campo são delimitadas por espaço.
9. Na área de janela Formato da mensagem do evento, clique no campo Modelo de mensagem, digite
ou copie e cole o seguinte texto para definir o formato para os eventos LEEF:

Nota: Sugere-se que você não mude o texto.

1.0|Microsoft|Windows|2k8r2|${EVENT_ID}|devTime=${R_YEAR}-${R_MONTH}-${R_DAY}T ${R_HOUR}:$
{R_MIN}:${R_SEC}GMT${TZOFFSET} devTimeFormat=yyyy-MM-dd'T'HH:mm:ssz cat=${EVENT_TYPE}
sev=${EVENT_LEVEL} resource=${HOST} usrName=${EVENT_USERNAME} application=$ {EVENT_SOURCE}
message=${EVENT_MSG}

Nota: O formato LEEF usa tabulação como um delimitador para separar os atributos do evento uns
dos outros. No entanto, o delimitador começa apenas após o último caractere de barra vertical para
{Event_ID}. Os campos a seguir devem incluir uma tabulação antes do nome do evento: devTime,
devTimeFormat, cat, sev, resource, usrName, application e message.

200 Guia de configuração do QRadar DSM

Pode ser necessário usar um editor de texto para copiar e colar o formato da mensagem LEEF no
campo Modelo de mensagem.
10. Clique em OK.
A configuração de destino está concluída. Agora você está pronto para reiniciar o serviço Syslog-ng
Agent.

Reiniciando o serviço do Syslog-ng Agent

Para que o Syslog-ng Agent possa encaminhar eventos em formato LEEF, deve-se reiniciar o serviço do
Syslog-ng Agent no host do Windows.

Procedimento
1. No menu Iniciar, selecione Executar.
A janela Executar é exibida.
2. Digite o texto a seguir:
services.msc
3. Clique em OK.
A janela Serviços é exibida.
4. Na coluna Nome, clique com o botão direito em Syslog-ng Agent for Windows e selecione Reiniciar.
Depois que o serviço do Syslog-ng Agent for Windows for reiniciado, a configuração estará concluída.
Os eventos syslog do BalaBit Syslog-ng Agent são descobertos automaticamente pelo IBM QRadar. Os
eventos do Windows que são descobertos automaticamente são exibidos como Microsoft Windows
Security Event Logs na guia Atividade de log.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog de mensagens
em formato LEEF.

Sobre Esta Tarefa

Essas etapas de configuração são opcionais.

11. Clique em Salvar.

28 BalaBit IT Security 201

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

BalaBit IT Security para eventos do Microsoft ISA ou TMG

É possível integrar o aplicativo BalaBit Syslog-ng Agent para encaminhar eventos syslog para o IBM
QRadar.

O BalaBit Syslog-ng Agent lê os logs de eventos Microsoft ISA ou Microsoft TMG e encaminha os eventos
syslog usando o Log Extended Event Format (LEEF).

Os eventos que são encaminhados pelo BalaBit IT Security são analisados e categorizados pelo DSM
Microsoft Internet and Acceleration (ISA) para o QRadar. O DSM aceita eventos Microsoft ISA e Microsoft
Threat Management Gateway (TMG).

Antes de iniciar

Para poder receber eventos dos Agentes Syslog-ng BalaBit IT Security, deve-se instalar e configurar o
agente para encaminhar eventos.

Nota: Essa integração usa o BalaBit's Syslog-ng Agent para Windows e o BalaBit's Syslog-ng PE para
analisar e encaminhar eventos para o QRadar para que o DSM interprete.

Revise as etapas de configuração a seguir antes de tentar configurar o BalaBit Syslog-ng Agent:

Para configurar o BalaBit Syslog-ng Agent, deve-se tomar as etapas a seguir:

1. Instale o BalaBit Syslog-ng Agent no host do Windows. Para obter mais informações, consulte a
Documentação do fornecedor do BalaBit Syslog-ng Agent.
2. Configure o BalaBit Syslog-ng Agent.
3. Instale um BalaBit Syslog-ng PE para Linux ou Unix no modo de retransmissão para analisar e
encaminhar eventos para o QRadar. Para obter mais informações, consulte a Documentação do
fornecedor do BalaBit Syslog-ng PE.
4. Configure o syslog para o BalaBit Syslog-ng PE.
5. Opcional. Configure a origem de log no QRadar.

Configurar o BalaBit Syslog-ng Agent

Para poder encaminhar eventos para o IBM QRadar, deve-se especificar o origem do arquivo para
eventos Microsoft ISA ou Microsoft TMG nas coletas do Syslog-ng Agent.

Se o seu dispositivo Microsoft ISA ou Microsoft TMG estiver gerando arquivos de evento para o Web
Proxy Server e o Serviço de firewall, ambos os arquivos poderão ser incluídos.

Configurando a origem do arquivo BalaBit Syslog-ng Agent

Use a origem do arquivo BalaBit Syslog-ng Agent para definir o diretório de log base e os arquivos que
devem ser monitorados pelo Syslog-ng Agent.

202 Guia de configuração do QRadar DSM

4. Clique em Incluir para incluir os arquivos de eventos Microsoft ISA e TMG.
5. No campo Diretório base, clique em Procurar e selecione a pasta para os arquivos de log Microsoft
ISA ou Microsoft TMG.
6. No campo Filtro de nome de arquivo, clique em Procurar e selecione um arquivo de log que
contenha os eventos Microsoft ISA ou Microsoft TMG.

Nota: O campo Filtro de nome do arquivo suporta os caracteres curinga (*) e ponto de interrogação
(?) , que ajudam a localizar arquivos de log substituídos, quando eles atingem um determinado
tamanho ou data.
7. No campo Nome do aplicativo, digite um nome para identificar o aplicativo.
8. Na lista Recurso de log, selecione Usar configurações globais.
9. Clique em OK.
Para incluir origens de arquivos adicionais, repita as etapas 4 a 9.
10. Clique em Aplicar e, em seguida, clique em OK.
A configuração do evento está concluída. Agora você está pronto para configurar destinos e
formatações syslog para os eventos Microsoft TMG e ISA.
Os eventos de Serviço de proxy da web e Serviço de firewall são armazenados em arquivos
individuais pelo Microsoft ISA e TMG.

Configurando um destino syslog do BalaBit Syslog-ng Agent

O logs de eventos capturados pelo Microsoft ISA ou TMG não podem ser analisados pelo BalaBit
Syslog-ng Agent para Windows, de modo que deve-se encaminhar os logs para um BalaBit Syslog-ng
Agent Premium Edition (PE) para Linux ou UNIX.

Sobre Esta Tarefa

Para encaminhar os logs de eventos TMG e ISA, deve-se especificar o endereço IP para a retransmissão
PE e configurar um modelo de mensagem para o formato LEEF. O BalaBit Syslog-ng PE age como um
servidor syslog intermediário para analisar os eventos e encaminhar as informações para o IBM QRadar.

Procedimento
1. No menu Iniciar, selecione Todos os Programas > syslog-ng Agent for Windows > Configurar
syslog-ng Agent for Windows.
A janela Agente Syslog-ng é exibida.
2. Expanda a janela Configurações do Syslog-ng Agent e clique em Destinos.
3. Clique duas vezes em Incluir novo servidor.
4. Na guia Servidor, clique em Configurar servidor principal.
5. Configure os parâmetros a seguir:
v Para o Nome do servidor, digite o endereço IP da retransmissão do BalaBit Syslog-ng PE.
v Para a Porta do servidor, digite 514 como o número da porta TCP para eventos que são
encaminhados para a retransmissão do BalaBit Syslog-ng PE.
6. Clique na guia Mensagens.
7. Na lista Protocolo, selecione Legacy BSD Syslog Protocol.
8. Na área de janela Formato da mensagem de arquivo, no campo Modelo de mensagem, digite o
código a seguir:
${FILE_MESSAGE}${TZOFFSET}
9. Clique em Aplicar e, em seguida, clique em OK.
A configuração de destino está concluída. Agora você está pronto para filtrar linhas de comentário do
log de eventos.

28 BalaBit IT Security 203

Filtrando o arquivo de log para linhas de comentário
O arquivo de log de eventos para o Microsoft ISA ou Microsoft TMG pode conter marcadores de
comentário. Os comentários devem ser filtrados da mensagem do evento.

Procedimento
1. No menu Iniciar, selecione Todos os Programas > Syslog-ng Agent for Windows > Configurar
syslog-ng Agent for Windows.
A janela Agente Syslog-ng é exibida.
2. Expanda a área de janela Configurações do Syslog-ng Agent e selecione Destinos.
3. Clique com o botão direito em seu IBM QRadar Destino syslog e selecione Filtros de Eventos >
Propriedades.
A janela Propriedades de filtros de eventos globais é exibida.
4. Configure os valores a seguir:
v Na área de janela Filtros de arquivos globais, selecione Ativar.
v Na área de janela Tipo de filtro, selecione Filtragem de lista de bloqueio.
5. Clique em OK.
6. No menu Lista de filtros, dê um clique duplo em Conteúdo da mensagens.
A janela Propriedades de conteúdo da mensagem é exibida.
7. Na área de janela Conteúdo da mensagem, selecione Ativar.
8. No campo Expressão regular, digite a expressão regular a seguir:
^#
9. Clique em Incluir.
10. Clique em Aplicar e, em seguida, clique em OK.
As mensagens de evento com comentários não são mais encaminhadas.

Nota: Pode ser necessário reiniciar o Syslog-ng Agent para que o serviço do Windows inicie o
encaminhamento de syslog. Para obter mais informações, consulte a Documentação do BalaBit
Syslog-ng Agent.

Configurando um BalaBit Syslog-ng PE Relay

O BalaBit Syslog-ng Agent para Windows envia logs de evento Microsoft TMG e ISA para uma instalação
do Balabit Syslog-ng PE, que é configurada no modo de retransmissão.

Sobre Esta Tarefa

A instalação do modo de retransmissão é responsável por receber o log de eventos do BalaBit Syslog-ng
Agent para Windows, analisando os logs de eventos no formato LEEF e, em seguida, encaminhando os
eventos para o IBM QRadar usando syslog.

Para configurar o BalaBit Syslog-ng PE Relay, deve-se:

1. Instale o BalaBit Syslog-ng PE para Linux ou Unix no modo de retransmissão. Para obter mais
informações, consulte a documentação do fornecedor do BalaBit Syslog-ne PE.
2. Configure o syslog na retransmissão do Syslog-ng PE.

O BalaBit Syslog-ng PE formata os eventos TMG e ISA no formato LEEF com base na configuração do
arquivo syslog.conf. O arquivo syslog.conf é responsável por analisar os logs de eventos e encaminhar
os eventos para o QRadar.

204 Guia de configuração do QRadar DSM

Procedimento
1. Usando SSH, efetue login na interface da linha de comandos (CLI) de retransmissão do BalaBit
Syslog-ng PE.
2. Edite o arquivo a seguir:
/etc/syslog-ng/etc/syslog.conf
3. Na seção de destinos, inclua um endereço IP e o número da porta para cada destino de retransmissão.
Por exemplo, ###### # destinations destination d_messages { file("/var/log/messages"); };
destination d_remote_tmgfw { tcp("QRadar_IP" port(QRadar_PORT) log_disk_fifo_size(10000000)
template(t_tmgfw)); }; destination d_remote_tmgweb { tcp("QRadar_IP" port(QRadar_PORT)
log_disk_fifo_size(10000000) template(t_tmgweb)); };
Em que: QRadar_IP é o endereço IP do QRadar Console ou do Event Collector.
QRadar_Port é o número da porta que é necessária para o QRadar receber eventos syslog. Por padrão,
o QRadar recebe eventos syslog na porta 514.
4. Salve as mudanças na configuração de syslog.
5. Reinicie o Syslog-ng PE para forçar o arquivo de configuração a ser lido.
A configuração do BalaBit Syslog-ng PE está concluída. Os eventos syslog que são encaminhados da
retransmissão do BalaBit Syslog-ng são descobertos automaticamente pelo QRadar como Microsoft
Windows Security Event Logs na guia Atividade de log. Para obter mais informações, consulte o IBM
QRadar Guia de Usuários.

Nota: Quando você estiver usando vários destinos syslog, as mensagens são consideradas como
sendo entregues quando elas chegam com êxito no destino syslog primário.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog de mensagens
em formato LEEF que são fornecidas pela retransmissão do BalaBit Syslog-ng.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

28 BalaBit IT Security 205

Tabela 112. Parâmetros Syslog
Parâmetro Descrição
Identificador de origem de log Digite o endereço IP ou o nome do host para a origem de log como um
identificador para eventos Microsoft ISA ou Microsoft Threat Management
Gateway do BalaBit Syslog-ng Agent.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração do BalaBit IT Security para eventos Microsoft ISA e Microsoft TMG está concluída.

206 Guia de configuração do QRadar DSM

29 Barracuda
O IBM QRadar suporta uma variedade de dispositivos Barracuda.

Os dispositivos que o QRadar suporta são:

v “Barracuda Spam & Virus Firewall”
v “Barracuda Web Application Firewall” na página 208
v “Barracuda Web Filter” na página 211

Barracuda Spam & Virus Firewall

É possível integrar o Barracuda Spam & Virus Firewall com o IBM QRadar.

O DSM Barracuda Spam & Virus Firewall para o QRadar aceita eventos syslog de e-mail e da web dos
dispositivos Barracuda Spam & Virus Firewall.

Os eventos syslog de e-mail contêm o evento e a ação que é tomada quando o firewall processa e-mail.
Os eventos syslog da web registram informações sobre a atividade do usuário e as mudanças na
configuração que ocorrem no dispositivo Barracuda Spam & Virus Firewall.

Antes de iniciar

As mensagens syslog são enviadas para o QRadar do Barracuda Spam & Virus Firewall usando a porta
UDP 514. Deve-se verificar se quaisquer firewalls entre o QRadar e o Barracuda Spam & Virus Firewall
permitem tráfego UDP na porta 514.

Configurando o encaminhamento de eventos syslog

É possível configurar o encaminhamento de syslog para Barracuda Spam & Virus Firewall.

Procedimento
1. Efetue login na interface da web do Barracuda Spam & Virus Firewall.
2. Clique na guia Avançado.
3. No menu Avançado, selecione Rede avançada.
4. No campo Syslog de e-mail, digite o endereço IP do QRadar Console ou Event Collector.
5. Clique em Incluir.
6. No campo Syslog de interface da web, digite o endereço IP do QRadar Console ou Event Collector.
7. Clique em Incluir.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
Barracuda Spam & Virus Firewall.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.

© Copyright IBM Corp. 2005, 2019 207

3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a sua origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione Barracuda Spam & Virus Firewall.
8. Na lista Configuração de protocolo, selecione Syslog.
9. No campo Identificador de origem de log, digite o endereço IP ou o nome do host para a origem de
log.
10. Clique em Salvar.
11. Na guia Administrador, clique em Implementar mudanças.

Barracuda Web Application Firewall

O DSM IBM QRadar para Barracuda Web Application Firewall coleta eventos customizados e LEEF de
syslog dos dispositivos Barracuda Web Application Firewall.

A tabela a seguir identifica as especificações para o DSM Barracuda Web Application Firewall:
Tabela 113. Especificações do DSM Barracuda Web Application Firewall
Especificação Valor
Fabricante Barracuda
Nome do DSM Web Application Firewall
Nome do arquivo RPM DSM-BarracudaWebApplicationFirewall-QRadar_version-
build_number.noarch.rpm
Versões suportadas V7.0.x e mais recente
Tipo de Protocolo
Syslog
Tipos de evento registrado do QRadar
Sistema

Web

Access

Auditoria
Descobertos automaticamente?
Se cargas úteis formatadas para LEEF, a origem do log
será descoberta automaticamente.

Se cargas úteis formatadas customizadas, a origem de log

não será descoberta automaticamente.
Identidade incluída? Sim
Informações adicionais Website do Barracuda Networks (https:
//www.barracuda.com)

Para coletar eventos syslog do Barracuda Web Application Firewall, use as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente dos RPMs
a seguir em seu QRadar Console:
v RPM do DSM Barracuda Web Application Firewall
v RPM DSMCommon
2. Configure seu dispositivo Barracuda Web Application Firewall para enviar eventos syslog ao QRadar.

208 Guia de configuração do QRadar DSM

3. Inclua uma origem de log do Barracuda Web Application Firewall no QRadar Console. A tabela a
seguir descreve os parâmetros que requerem valores específicos que são necessários para a coleção de
eventos do Barracuda Web Application Firewall:
Tabela 114. Parâmetros de origem de log do Barracuda Web Application Firewall
Parâmetro Valor
Tipo de origem de log Barracuda Web Application Firewall
Configuração de protocolo Syslog

Configurando o Barracuda Web Application Firewall para enviar

eventos syslog ao QRadar
Configure seu dispositivo Barracuda Web Application Firewall para enviar eventos syslog para o IBM
QRadar.

Antes de Iniciar

Verifique se os firewalls entre o dispositivo Barracuda e o QRadar permitem tráfego UDP na porta 514.

Procedimento
1. Efetue login na interface da web do Barracuda Web Application Firewall.
2. Clique na guia Avançado.
3. No menu Avançado, selecione Exportar logs.
4. Clique em Incluir servidor syslog.
5. Configure os parâmetros:

Opção Descrição
Nome O nome do QRadar Console ou Coletor de eventos
Servidor syslog O endereço IP de seu QRadar Console ou Coletor de
eventos.
Porta
A porta que está associada ao endereço IP de seu QRadar
Console ou Coletor de eventos.

Se as mensagens de syslog são enviadas por UDP, use a

porta padrão, 514.
Tipo de conexão O tipo de conexão que transmite os logs do Barracuda
Web Application Firewall para o QRadar Console ou
Coletor de eventos. UDP é o protocolo padrão para
comunicação de syslog.
Validar Certificado do Servidor Não

6. Na área de janela Formatos de log, selecione um formato na caixa de listagem para cada tipo de log.
v Se você estiver usando versões mais recentes do Barracuda Web Application Firewall, selecione
LEEF 1.0 (QRadar).
v Se você estiver usando versões mais antigas do Barracuda Web Application Firewall, selecione
Formato customizado.
7. Clique em Salvar mudanças.

29 Barracuda 209
Configurando o Barracuda Web Application Firewall para enviar
eventos do syslog ao QRadar para dispositivos que não suportam
LEEF
Se o seu dispositivo não suportar LEEF, será possível configurar o encaminhamento do syslog para o
Barracuda Web Application Firewall.

Procedimento
1. Efetue login na interface da web do Barracuda Web Application Firewall.
2. Clique na guia Avançado.
3. No menu Avançado, selecione Exportar logs.
4. Clique em Configurações do syslog.
5. Configure um valor da instalação do syslog para as opções a seguir:

Opção Descrição
Instalação dos logs de firewall da web Selecione uma instalação do syslog entre Local0 e Local7.
Instalação dos logs de acesso Selecione uma instalação do syslog entre Local0 e Local7.
Instalação dos logs de auditoria Selecione uma instalação do syslog entre Local0 e Local7.
Instalação dos logs do sistema Selecione uma instalação do syslog entre Local0 e Local7.

A configuração de uma instalação exclusiva do syslog para cada tipo de log permite que o Barracuda
Web Application Firewall divida o logs em diferentes arquivos.
6. Clique em Salvar mudanças.
7. No campo Nome, digite o nome do servidor syslog.
8. No campo Syslog, digite o endereço IP do QRadar Console ou Event Collector.
9. Na opção Registro de data e hora do log, selecione Sim.
10. Na opção Nome da unidade do log, selecione Sim.
11. Clique em Incluir.
12. Na caixa de listagem Formato dos logs de firewall da web, selecione Formato customizado.
13. No campo Formato dos logs de firewall da web, digite o formato do evento customizado a seguir:
t=%t|ad=%ad|ci=%ci|cp=%cp|au=%au
14. Na caixa de listagem Formato dos logs de acesso, selecione Formato customizado.
15. No campo Formato dos logs de acesso, digite o formato do evento customizado a seguir:
t=%t|p=%p|s=%s|id=%id|ai=%ai|ap=%ap|ci=%ci|cp=%cp|si=%si|sp=%sp|cu=%cu
16. Na caixa de listagem Formato dos logs de acesso, selecione Formato customizado.
17. No campo Formato dos logs de acesso, digite o formato do evento customizado a seguir:
t=%t|trt=%trt|an=%an|li=%li|lp=%lp
18. Clique em Salvar mudanças.
19. No menu de navegação, selecione Básico > Administração
20. Na área de janela Sistema/Recarregar/Encerrar, clique em Reiniciar.

Resultados

A configuração do syslog é concluída após o Barracuda Web Application Firewall ser reiniciado. Os
eventos que são encaminhados ao QRadar pelo Barracuda Web Application Firewall são exibidos na guia
Atividade do log.

210 Guia de configuração do QRadar DSM

Barracuda Web Filter
É possível integrar eventos do dispositivo Barracuda Web Filter com o IBM QRadar.

O DSM Barracuda Web Filter para o IBM QRadar aceita eventos de tráfego da web e de interface da web
no formato syslog que são encaminhados pelos dispositivos Barracuda Web Filter.

Os eventos de tráfego da web contêm os eventos e quaisquer ações que são tomadas quando o
dispositivo processa o tráfego da web. Os eventos de interface da web contêm atividade de login do
usuário e mudanças na configuração para o dispositivo Web Filter.

Antes de iniciar

As mensagens syslog são encaminhadas para o QRadar usando a porta UDP 514. Deve-se verificar se
quaisquer firewalls entre o QRadar e o dispositivo Barracuda Web Filter permitem tráfego UDP na porta
514.

Configurando o encaminhamento de eventos syslog

Configure o encaminhamento de syslog para Barracuda Web Filter.

Procedimento
1. Efetue login na interface da web do Barracuda Web Filter.
2. Clique na guia Avançado.
3. No menu Avançado, selecione Syslog.
4. No campo Syslog de tráfego da web, digite o endereço IP do QRadar Console ou Event Collector.
5. Clique em Incluir.
6. No campo Syslog de interface da web, digite o endereço IP do QRadar Console ou Event Collector.
7. Clique em Incluir.
A configuração de syslog está concluída.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog de dispositivos
Barracuda Web Filter.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

29 Barracuda 211
Tabela 115. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um identificador
log para eventos do dispositivo Barracuda Web Filter.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhados pelo Barracuda Web Filter
são exibidos na guia Atividade de log do QRadar.

212 Guia de configuração do QRadar DSM

30 BeyondTrust PowerBroker
O IBM QRadar DSM for BeyondTrust PowerBroker registra todos os eventos em um formato multilinhas
em um único log de eventos que é visualizado usando o utilitário pblog do Beyond Trust.

Para integrar o BeyondTrust PowerBroker ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale a
versão mais recente do BeyondTrust PowerBroker DSM RPM em seu QRadar Console.
2. Configure o BeyondTrust PowerBroker para se comunicar com o QRadar. Consulte Configurando o
BeyondTrust PowerBroker para se comunicar com o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do
BeyondTrust PowerBroker no QRadar Console. As tabelas a seguir descrevem os parâmetros que
requerem valores específicos para a coleção de eventos do BeyondTrust PowerBroker:
Tabela 116. Parâmetros de origem de log do Syslog
Parâmetro Descrição
Tipo de Fonte de Log BeyondTrust PowerBroker
Configuração de protocolo Syslog
Identificador de Fonte de Digite um endereço IP ou nome do host exclusivo.
Log
Armazenar carga útil do Marque essa caixa de seleção para ativar ou desativar o QRadar de armazenar a carga
evento útil do evento.

As origens de log descobertas automaticamente usam o valor padrão da lista

Armazenar carga útil do evento na janela Configurações do sistema, que é acessível
na guia Admin. Entretanto, quando você cria uma nova origem de log ou atualiza a
configuração de uma origem de log descoberta automaticamente, é possível substituir
o valor padrão configurando essa caixa de seleção para cada origem de log.

Para obter mais informações sobre os parâmetros de origem de log do Syslog, consulte Incluindo uma
origem de log.
Tabela 117. Parâmetros de origem de log syslog TLS
Parâmetro Valor
Tipo de origem de log BeyondTrust PowerBroker
Configuração de protocolo TLS Syslog
Identificador de Fonte de Log Digite um endereço IP ou nome do host exclusivo.

Para obter mais informações sobre os parâmetros de origem de log syslog TLS, consulte Opções de
configuração de protocolo syslog TLS.
Conceitos relacionados:
“Opções de configuração de protocolo syslog TLS” na página 84
Configure uma origem de log do protocolo Syslog do TLS para receber eventos syslog criptografados de
até 1.000 dispositivos de rede que suportam encaminhamento de eventos do TLS Syslog.
“Especificações do DSM BeyondTrust PowerBroker” na página 215
A tabela a seguir descreve as especificações para o BeyondTrust PowerBroker DSM.
“Mensagens de eventos de amostra” na página 216
Use essas mensagens do evento de amostra como uma maneira para verificar uma integração

© Copyright IBM Corp. 2005, 2019 213

bem-sucedida com o QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando o BeyondTrust PowerBroker para se comunicar com o QRadar”
O BeyondTrust pblogs deve ser reformatado usando um script e, em seguida, encaminhado para o IBM
QRadar. É necessário fazer download e configurar um script para o seu dispositivo BeyondTrust
PowerBroker antes de poder encaminhar eventos para o QRadar.

Configurando o BeyondTrust PowerBroker para se comunicar com o

QRadar
O BeyondTrust pblogs deve ser reformatado usando um script e, em seguida, encaminhado para o IBM
QRadar. É necessário fazer download e configurar um script para o seu dispositivo BeyondTrust
PowerBroker antes de poder encaminhar eventos para o QRadar.

Procedimento
1. Faça download do arquivo a seguir a partir do website de suporte IBM (http://www.ibm.com/
support):
pbforwarder.pl.gz
2. Copie o arquivo no dispositivo que hospeda o BeyondTrust PowerBroker.

Nota: O Perl 5.8 deve ser instalado no dispositivo que hospeda o BeyondTrust PowerBroker.
3. Digite o comando a seguir para extrair o arquivo:
gzip -d pbforwarder.pl.gz
4. Digite o comando a seguir para configurar as permissões de arquivo de script:
chmod +x pbforwarder.pl
5. Use SSH para efetuar login no dispositivo que hospeda o BeyondTrust PowerBroker.
As credenciais que são usadas precisam ter permissões de leitura, gravação e execução para o arquivo
de log.
6. Digite os parâmetros de comando apropriados:
Tabela 118. Parâmetros de comando
Parâmetros Descrição
-h O parâmetro -h define o host syslog que recebe os eventos do BeyondTrust
PowerBroker. Esse é o endereço IP de seu QRadar Console ou QRadar Event
Collector.
-t O parâmetro -t define que a linha de comandos é usada para unir o arquivo de log e
monitorar nova saída do listener.

Para PowerBroker, esse comando deve ser especificado como "pblog -l -t".
-p O parâmetro -p define a porta TCP a ser usada ao encaminhar eventos.

Se nada for especificado, o padrão será a porta 514.

-H O parâmetro -H define o nome do host ou o endereço IP para o cabeçalho de syslog
de todos os eventos enviados. Esse deve ser o endereço IP do BeyondTrust
PowerBroker.

214 Guia de configuração do QRadar DSM

Tabela 118. Parâmetros de comando (continuação)
Parâmetros Descrição
-r O parâmetro -r define o nome de diretório em que você deseja criar o arquivo do ID
do processo (.pid). O padrão é /var/run.

Este parâmetro será ignorado se -D for especificado.

-l O parâmetro -I define o nome do diretório no qual você deseja criar o arquivo de
bloqueio. O padrão é /var/lock.

Este parâmetro será ignorado se -D for especificado.

-D O parâmetro -D define que o script é executado no primeiro plano.

A configuração padrão é executar como um daemon e registrar todas as mensagens

internas no servidor syslog local.
-f O parâmetro -f define o recurso syslog e, opcionalmente, a gravidade para
mensagens que são enviadas para o Event Collector.

Se nenhum valor for especificado, user.info será usado.

-a O parâmetro -a permite que um método ps compatível com AIX.

Esse comando é necessário somente quando você executa o BeyondTrust PowerBroker

em sistemas AIX.
-d O parâmetro -d ativa a criação de log de depuração.
-v O parâmetro -v exibe as informações de versão do script.

7. Digite o comando a seguir para iniciar o script pbforwarder.pl.

pbforwarder.pl -h <IP address> -t "pblog -l -t"
Em que <IP address> é o endereço IP do QRadar ou Event Collector.
8. Digite o comando a seguir para parar o script pbforwarder.pl:
kill -QUIT `cat /var/run/pbforwarder.pl.pid`
9. Digite o comando a seguir para reconectar o script pbforwarder.pl:
kill -HUP `cat /var/run/pbforwarder.pl.pid`
O QRadar detecta e cria automaticamente uma origem de log por meio dos eventos syslog que são
encaminhados por meio de um BeyondTrust PowerBroker.

Especificações do DSM BeyondTrust PowerBroker

A tabela a seguir descreve as especificações para o BeyondTrust PowerBroker DSM.
Tabela 119. Especificações do DSM BeyondTrust PowerBroker
Especificação Valor
Fabricante BeyondTrust
Nome do DSM BeyondTrust PowerBroker
Nome do arquivo RPM DSM-BeyondTrustPowerBroker-QRadar_version-
build_number.noarch.rpm
Versões suportadas 4.0
Protocolo Syslog, syslog TLS
Formato de evento Sistema, Aplicativo
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? SIM

30 BeyondTrust PowerBroker 215

Tabela 119. Especificações do DSM BeyondTrust PowerBroker (continuação)
Especificação Valor
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Página da web BeyondTrust (https:
//www.beyondtrust.com/products/powerbroker/)

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

As tabelas a seguir fornecem mensagens de evento de amostra para o BeyondTrust PowerBroker DSM:
Tabela 120. Mensagem do syslog de amostra BeyondTrust PowerBroker
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Concluir pbrun Informações <14>Feb 15 13:23:09 qradar4292
finalizado pbforwarder.pl: DEVICETYPE = PowerBroker
EVENTID = PB EVENTCAT = unknown
DDATE = USER = SRC =
DST = EVENT_HEADER = ac15208e4eaddff
b1BB002 Concluir pbrun finalizado: sinal 1
(Hangup) evento de código de sinal desconhecido =
"Finish" exitdate = "2011/10/30"
exitstatus = " pbrun terminated: signal 1
(Hangup) código de sinal desconhecido " exittime
= "21:01:49" i18n_exitdate = " 10/30/11
"i18n_exittime =" 21:01:49 "
logpid = 22085786 uniqueid =
"ac15208e4eaddffb1BB002"

216 Guia de configuração do QRadar DSM

31 BlueCat Networks Adonis
O DSM BlueCat Networks Adonis para o IBM QRadar aceita eventos que são encaminhados em Log
Enhanced Event Protocol (LEEF) usando syslog dos dispositivos BlueCat Adonis que são gerenciados com
o BlueCat Proteus.

O QRadar suporta dispositivos BlueCat Networks Adonis usando a versão 6.7.1-P2 e mais recente.

Pode ser necessário incluir uma correção no BlueCat Networks Adonis para integrar eventos DNS e
DHCP com o QRadar. Para obter mais informações, consulte KB-4670 e a Documentação do BlueCat
Networks.

Tipos de eventos suportados

O IBM QRadar é capaz de coletar todos os eventos relevantes relacionados às consultas DNS e DHCP.

Isso inclui os eventos a seguir:

v Evento de consulta de DNS IPv4 e IPv6
v Eventos de consulta de servidor de nomes DNS
v Eventos de consulta de troca de e-mail DNS
v Eventos de consulta de registro de texto DNS
v Eventos de atualização de registro DNS
v Eventos de descoberta de DHCP
v Eventos de solicitação de DHCP
v Eventos de liberação de DHCP

Formato de tipo de evento

O formato LEEF consiste em um cabeçalho syslog delimitado por barra vertical ( | ) e uma carga útil do
evento delimitada por espaço.

Por exemplo:

Aug 10 14:55:30 <Server> LEEF:1.0|BCN|Adonis|6.7.1|DNS_Query|cat=A_record

src=<Source_IP_address> url=test.example.com

Se os eventos syslog encaminhados pelos dispositivos BlueCat Adonis não estiverem formatados de
maneira semelhante à amostra acima, deve-se examinar a configuração do dispositivo. As mensagens de
eventos LEEF formatadas adequadamente são descobertas automaticamente pelo DSM BlueCat Networks
Adonis e incluídas como origem de log no IBM QRadar.

Antes de iniciar

O BlueCat Adonis deve ser configurado para gerar eventos no Log Enhanced Event Protocol (LEEF) e
para redirecionar a saída de eventos para o QRadar usando syslog.

O BlueCat Networks fornece um script em seus dispositivos para ajudar na configuração de syslog. Para
concluir o redirecionamento de syslog, deve-se ter acesso administrativo ou raiz à interface da linha de
comandos do dispositivo BlueCat Adonis ou BlueCat Proteus. Se o script de configuração syslog não
estiver presente em seu dispositivo, entre em contato com seu representante BlueCat Networks.

© Copyright IBM Corp. 2005, 2019 217

Configurando o BlueCat Adonis
É possível configurar o dispositivo BlueCat Adonis para encaminhar eventos DNS e DHCP para o IBM
QRadar SIEM.

Procedimento
1. Usando SSH, efetue login no dispositivo BlueCat Adonis.
2. Na interface da linha de comandos, digite o comando a seguir para iniciar o script de configuração
syslog:
/usr/local/bluecat/QRadar/setup-QRadar.sh
3. Digite o endereço IP do QRadar Console ou Event Collector.
4. Digite yes ou no para confirmar o endereço IP.
A configuração está concluída quando uma mensagem de êxito é exibida.
A origem de log é incluída no QRadar conforme eventos syslog do BlueCat Networks Adonis são
descobertos automaticamente. Eventos que são encaminhados para o QRadar são exibidos na guia
Atividade de log. Se os eventos não forem descobertos automaticamente, será possível configurar
manualmente uma origem de log.

Configurando uma origem de log no IBM QRadar

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do BlueCat
Networks Adonis. No entanto, você pode criar manualmente uma origem de log para o QRadar receber
eventos syslog.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

218 Guia de configuração do QRadar DSM

32 Blue Coat
O IBM QRadar suporta uma faixa de produtos Blue Coat.

Blue Coat SG
O DSM do IBM QRadar para o Blue Coat SG coleta eventos dos dispositivos Blue Coat SG.

A tabela a seguir lista as especificações para o DSM Blue Coat SG:

Tabela 122. Especificações do DSM Blue Coat SG
Especificação Valor
Fabricante Blue Coat
Nome do DSM Dispositivo Blue Coat SG
Nome do arquivo RPM DSM-BlueCoatProxySG-Qradar_version-
build_number.noarch.rpm
Versões suportadas SG v4.x e mais recente
Protocolo Syslog

Protocolo de arquivo de log

Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Sim
Informações adicionais website da Blue Coat (http://www.bluecoat.com)

Para enviar eventos da Blue Coat SG para o QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente do
RPM do DSM Blue Coat SG no QRadar Console.
2. Configure seu dispositivo Blue Coat SG para se comunicar com o QRadar. Conclua as etapas a seguir:
v Crie um formato de evento customizado.
v Crie um recurso de log.
v Ative a criação de log de acesso.
v Configure o Blue Coat SG para uploads de protocolo de Arquivo de Log ou syslog.
3. Inclua uma origem de log Blue Coat SG no QRadar Console. Configure todos os parâmetros
necessários, mas use a tabela a seguir para configurar os parâmetros específicos da Blue Coat SG:
Tabela 123. Parâmetros de origem de log Blue Coat SG
Parâmetro Valor
Tipo de origem de log Dispositivo Blue Coat SG
Configuração de protocolo Selecione Arquivo de log ou Syslog

As instruções fornecidas descrevem como configurar o Blue Coat SG usando um formato de par
nome-valor customizado. No entanto, o QRadar suporta os formatos a seguir:
v Formato customizado

© Copyright IBM Corp. 2005, 2019 219

v SQUID
v NCSA
v principal
v IM
v Fluxo
v smartreporter
v bcereportermain_v1
v bcreporterssl_v1
v p2p
v SSL
v bcreportercifs_v1
v CIFS
v MAPI
Conceitos relacionados:
“Criando pares de valores de chave extras de formato customizado” na página 225
Tarefas relacionadas:
“Criando um recurso de log” na página 221
Para usar o formato de log customizado que você criou para o IBM QRadar, deve-se associar o formato
de log customizado a um recurso.
“Ativando a criação de log de acesso” na página 221
Deve-se ativar a criação de log de acesso no dispositivo Blue Coat SG.
“Configurando uma origem de log Blue Coat SG” na página 222
É possível configurar manualmente uma origem de log Blue Coat SG no QRadar.
“Configurando Blue Coat SG para uploads de FTP” na página 222
Para coletar eventos Blue Coat SG usando FTP, configure o Blue Coat SC para fazer upload de eventos
para um servidor FTP usando o cliente de upload.
“Configurando Blue Coat SG para syslog” na página 225
Para permitir a coleção de eventos syslog, deve-se configurar o dispositivo Blue Coat SG para encaminhar
eventos syslog para o IBM QRadar.

Criando um formato de evento customizado

Para coletar eventos da Blue Coat SG, crie um formato de evento customizado.

Procedimento
1. Efetue login no Blue Coat Management Console.
2. Selecione Configuração > Criação de log de acesso > Formatos.
3. Selecione Novo.
4. Digite um nome para o formato customizado.
5. Selecione Sequência de formato customizado.
6. Digite o formato customizado a seguir:
Atenção: As quebras de linha nestes exemplos fará com que essa configuração falhe. Copie os blocos
de código em um editor de texto, remova as quebras de linha e cole como uma única linha na coluna
Formato customizado.
Bluecoat|src=$(c-ip)|srcport=$(c-port)|dst=$(cs-uri-address)
|dstport=$(cs-uri-port)|username=$(cs-username)|devicetime=$(gmttime)
|s-action=$(s-action)|sc-status=$(sc-status)|cs-method=$(cs-method)
|time-taken=$(time-taken)|sc-bytes=$(sc-bytes)|cs-bytes=$(cs-bytes)
|cs-uri-scheme=$(cs-uri-scheme)|cs-host=$(cs-host)|cs-uri-path=$(cs-uri-path)
|cs-uri-query=$(cs-uri-query)|cs-uri-extension=$(cs-uri-extension)

220 Guia de configuração do QRadar DSM

|cs-auth-group=$(cs-auth-group)|rs(Content-Type)=$(rs(Content-Type))
|cs(User-Agent)=$(cs(User-Agent))|cs(Referer)=$(cs(Referer))
|sc-filter-result=$(sc-filter-result)|filter-category=$(sc-filter-category)
|cs-uri=$(cs-uri)
7. Selecione Registrar último cabeçalho na lista.
8. Clique em OK.
9. Clique em Aplicar.

Nota: O formato customizado para o QRadar suporta mais pares de valores de chave usando o
formato Blue Coat ELFF. Para obter mais informações, consulte “Criando pares de valores de chave
extras de formato customizado” na página 225.

O que Fazer Depois

Você está pronto para criar um recurso de log em seu dispositivo Blue Coat.
Tarefas relacionadas:
“Criando um recurso de log”
Para usar o formato de log customizado que você criou para o IBM QRadar, deve-se associar o formato
de log customizado a um recurso.

Criando um recurso de log

Para usar o formato de log customizado que você criou para o IBM QRadar, deve-se associar o formato
de log customizado a um recurso.

Procedimento
1. Selecione Configuração > Criação de log de acesso > Logs.
2. Clique em Novo.
3. Configure os parâmetros a seguir:

Parâmetro Descrição
Nome do log Um nome para o recurso de log.
Formato do log O formato customizado que você criou.
Descrição Uma descrição para o recurso de log.

4. Clique em OK.
5. Clique em Aplicar.
Tarefas relacionadas:
“Ativando a criação de log de acesso”
Deve-se ativar a criação de log de acesso no dispositivo Blue Coat SG.

Ativando a criação de log de acesso

Deve-se ativar a criação de log de acesso no dispositivo Blue Coat SG.

Procedimento
1. Selecione Configuração > Criação de log de acesso > Geral.
2. Marque a caixa de seleção Ativar criação de log de acesso.
3. Opcional: Se você usar o Blue Coat SGOS 6.2.11.2 Proxy Edition, conclua as etapas a seguir:
a. Selecione Configuração > Política > Visual Policy Manager.
b. Na seção Política, inclua Camada de acesso à web para criação de log.
c. Selecione Ação > Editar e ative a criação de log para o recurso de log.

32 Blue Coat 221

4. Clique em Aplicar.
Conceitos relacionados:
“Criando pares de valores de chave extras de formato customizado” na página 225

Configurando Blue Coat SG para uploads de FTP

Para coletar eventos Blue Coat SG usando FTP, configure o Blue Coat SC para fazer upload de eventos
para um servidor FTP usando o cliente de upload.

Parâmetro Descrição
Host O endereço IP do servidor FTP para o qual você deseja
encaminhar os eventos Blue Coat.
Porta O número da porta de FTP.
Caminho O caminho do diretório para os arquivos de log.
Nome de Usuário O nome do usuário para acessar o servidor FTP.

8. Clique em OK.
9. Selecione a guia Planejamento de upload .
10. Na opção Fazer upload do log de acesso, selecione Periodicamente.
11. Configure a opção Tempo de espera entre as tentativas de conexão.
12. Selecione fazer upload do arquivo de log para o FTP diariamente ou em um intervalo.
13. Clique em Aplicar.

Configurando uma origem de log Blue Coat SG

É possível configurar manualmente uma origem de log Blue Coat SG no QRadar.

222 Guia de configuração do QRadar DSM

Tabela 124. Parâmetros de protocolo de arquivo de log Blue Coat SG
Parâmetro Descrição
Identificador de Fonte de Log Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
Os endereços IP ou nomes de host são recomendados, visto que eles permitem ao
QRadar identificar um arquivo de log para uma origem de eventos exclusiva.
Tipo de serviço Na lista, selecione o protocolo que você deseja usar ao recuperar arquivos de log a
partir de um servidor remoto. O padrão é SFTP.

O protocolo subjacente que é usado para recuperar arquivos de log para o tipo de
serviço SCP e SFTP requer que o servidor especificado no campo IP ou nome do
host remoto tem o subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do dispositivo que armazena seus arquivos
de log de eventos.
Porta remota Digite a porta TCP no host remoto que esteja executando o Tipo de Serviço
selecionado. O intervalo válido é de 1 a 65535.

As opções incluem:
v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22

Se o host dos seus arquivos de eventos estiver usando um número de porta não
padrão para FTP, SFTP ou SCP, você deverá ajustar o valor da porta.
Usuário remoto Digite o nome do usuário necessário para efetuar login no host que contém os
arquivos de eventos.

O nome de usuário pode ter até 255 caracteres de comprimento.

Senha remota Digite a senha necessária para efetuar login no host.
Confirmar senha Confirme a senha necessária para efetuar login no host.
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço, esse parâmetro fornecerá a
opção de definir um arquivo de chave privada SSH. Ao fornecer um arquivo de
chave SSH, o campo Senha remota será ignorado.
Diretório remoto Digite o local do diretório no host remoto a partir do qual os arquivos são
recuperados, relativo à conta do usuário que você está usando para efetuar login.

Somente para FTP. Se seus arquivos de log estiverem no diretório inicial do usuário
remoto, será possível deixar o diretório remoto em branco. Isso é para suportar
sistemas operacionais nos quais uma mudança no comando de diretório ativo
(CWD) é restrita.
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo procure as
subpastas no diretório remoto. Por padrão, a caixa de seleção não é selecionada.

A opção Recursivo será ignorada se você configurar SCP como o Tipo de serviço.

32 Blue Coat 223

Tabela 124. Parâmetros de protocolo de arquivo de log Blue Coat SG (continuação)
Parâmetro Descrição
Padrão do arquivo de FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, essa opção fornecerá a
opção de configurar a expressão regular (regex) necessária para filtrar a lista de
arquivos que são especificados no Diretório remoto. Todos os arquivos
correspondentes são incluídos no processamento.

O padrão do arquivo FTP que você especificar deve corresponder ao nome

designado aos seus arquivos de eventos. Por exemplo, para coletar arquivos que
terminam com .log, digite o seguinte:

.*\.log

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

Para obter mais informações, consulte o seguinte website: http://
download.oracle.com/javase/tutorial/essential/regex/
Modo de transferência por Esta opção será exibida somente se você selecionar FTP como o Tipo de serviço. O
FTP parâmetro FTP Transfer Mode fornece a opção de definir o modo de transferência
de arquivo ao recuperar arquivos de log via FTP.

Na lista, selecione o modo de transferência que você deseja aplicar a esta origem de
log:

Deve-se selecionar NONE para o parâmetro Processor e LINEBYLINE para o

parâmetro Event Generator quando usar ASCII como modo de transferência FTP.
Arquivo remoto do SCP Se você selecionar SCP como o Tipo de serviço, deverá digitar o nome do arquivo
remoto.
Horário de Início Digite o horário do dia que deseja que o processamento comece. Por exemplo,
digite 00:00 para planejar o protocolo de Arquivo de log para coletar arquivos de
eventos à meia-noite.

Esse parâmetro funciona com o valor de Recorrência para estabelecer quando e com
que frequência o Diretório Remoto é varrido em busca de arquivos. Digite o horário
de início, com base em um relógio de 24 horas, neste formato: HH:MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório remoto seja varrido a cada 2
horas a partir da hora de início. O padrão é 1H.
Executar no salvamento Selecione esta caixa de seleção se desejar que o protocolo de arquivo de log seja
executado imediatamente após você clicar em Salvar.

Após o Executar salvamento ser concluído, o protocolo de arquivo de log segue o

horário de início configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

224 Guia de configuração do QRadar DSM

Tabela 124. Parâmetros de protocolo de arquivo de log Blue Coat SG (continuação)
Parâmetro Descrição
Ignorar arquivo(s) Marque essa caixa de seleção para rastrear e ignorar os arquivos que já foram
processado(s) anteriormente processados pelo protocolo de arquivo de log.

O QRadar examina os arquivos de log no diretório remoto para determinar se um

arquivo foi processado anteriormente pelo protocolo de arquivo de log. Se um
arquivo anteriormente processado for detectado, o protocolo de arquivo de log não
fará download do arquivo para processamento. Todos os arquivos que não foram
processados anteriormente são transferidos por download.

Essa opção aplica-se somente aos tipos de serviço FTP e SFTP.

Mudar o diretório local? Marque essa caixa de opções para definir um diretório local em seu sistema QRadar
para armazenar arquivos transferidos por download durante o processamento.

Recomendamos que você deixe essa caixa de seleção desmarcada. Quando essa
caixa de seleção está marcada, o campo Diretório local é exibido, permitindo que
você configure o diretório local a ser usado para armazenar arquivos.
Gerador de evento Na lista Gerador de evento, selecione LineByLine.

O Gerador de evento aplica processamento adicional aos arquivos de eventos

recuperados. Cada linha do arquivo é um único evento. Por exemplo, se um
arquivo tiver 10 linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.

Configurando Blue Coat SG para syslog

Para permitir a coleção de eventos syslog, deve-se configurar o dispositivo Blue Coat SG para encaminhar
eventos syslog para o IBM QRadar.

Antes de Iniciar

Nota: Ao enviar eventos syslog para vários destinos de syslog, uma interrupção na disponibilidade em
um destino de syslog pode interromper o fluxo de eventos para outros destinos de syslog do dispositivo
Blue Coat SG.

Procedimento
1. Selecione Configuração > Criação de log de acesso > Logs > Cliente de upload.
2. Na lista Log, selecione o log que contém o formato customizado.
3. Na lista Tipo de cliente, selecione Cliente customizado.
4. Clique em Configurações.
5. Na lista Configurações para, selecione Servidor customizado principal.
6. No campo Host, digite o endereço IP para seu sistema QRadar.
7. No campo Porta, digite 514.
8. Clique em OK.
9. Selecione a guia Planejamento de upload .
10. Na lista Fazer upload do log de acesso, selecione Continuamente.
11. Clique em Aplicar.

Criando pares de valores de chave extras de formato customizado

Use o formato customizado Extended Log File Format (ELFF) para encaminhar dados ou eventos
específicos da Blue Coat para o IBM QRadar.
32 Blue Coat 225
O formato customizado é uma série de campos delimitados por barra vertical que começam com o campo
Bluecoat| e contém o parâmetro $(Blue Coat ELFF).

Por exemplo:

Para obter mais informações sobre os parâmetros Blue Coat ELFF disponíveis, consulte a documentação
do dispositivo Blue Coat.

Blue Coat Web Security Service

O DSM IBM QRadar for Blue Coat Web Security Service coleta eventos do Blue Coat Web Security
Service.

A tabela a seguir descreve as especificações para o Blue Coat Web Security Service DSM:
Tabela 126. Especificações do Blue Coat Web Security Service DSM
Especificação Valor
Fabricante Blue Coat
Nome do DSM Blue Coat Web Security Service
Nome do arquivo RPM DSM-BlueCoatWebSecurityService-Qradar_version-
build_number.noarch.rpm
Formato de evento Blue Coat ELFF
Tipos de eventos registrados Access
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Blue Coat (https://www.bluecoat.com)

Para integrar o Blue Coat Web Security Service ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v Protocol Common RPM
v RPM do Protocolo de API de REST do Blue Coat Web Security Service
v Blue Coat Web Security Service DSM RPM
2. Configure o Blue Coat Web Security Service para permitir que o QRadar acesse a API de
sincronização.
3. Inclua uma origem de log do Blue Coat Web Security Service no QRadar Console. A tabela a seguir
descreve os parâmetros que requerem valores específicos para a coleção de eventos do Blue Coat Web
Security Service:

226 Guia de configuração do QRadar DSM

Tabela 127. Parâmetros de origem de log do Blue Coat Web Security Service
Parâmetro Valor
Configuração do Protocolo O protocolo que é usado para receber eventos do Blue
Coat Web Security Service. É possível especificar as
opções de configuração do protocolo a seguir:

API de REST do Blue Coat Web Security Service

(recomendado)

Encaminhada
Nome do usuário da API O nome do usuário da API que é usado para
autenticação com o Blue Coat Web Security Service. O
nome do usuário da API é configurado por meio do Blue
Coat Threat Pulse Portal.
Senha A senha que é usada para autenticação com o Blue Coat
Web Security Service.
Confirme a senha A senha que é usada para autenticação com o Blue Coat
Web Security Service.
Utilizar Proxy Ao configurar um proxy, todo o tráfego para a origem de
log percorre o proxy para que o QRadar acesse o Blue
Coat Web Security Service.

Configure os campos IP ou nome do host do proxy,

Porta de proxy, Nome do usuário de proxy e Senha de
proxy. Se o proxy não requerer autenticação, será
possível deixar os campos Nome do usuário de proxy e
Senha do proxy em branco.
Adquirir automaticamente certificado(s) de servidor Selecione Sim para QRadar para fazer download
automaticamente do certificado do servidor e começar a
confiar no servidor de destino.
Recorrência É possível especificar a frequência da coleta de dados. O
formato é M/H/D para Minutos/Horas/Dias. O padrão
é 5 M.
Regulador de EPS O limite superior para o número máximo de eventos por
segundo (EPS). O padrão é 5000.

Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

Configurando o Blue Coat Web Security Service para se comunicar

com o QRadar
Para coletar eventos do Blue Coat Web Security Service, deve-se criar uma chave de API para o IBM
QRadar. Se uma chave de API existir, o Blue Coat Web Security Service já estará configurado.

Procedimento
1. Efetue login no portal do Blue Coat Threat Pulse.
2. Alterne para o modo Serviço.
3. Clique em Manutenção de conta > MDM, Chaves de API.

32 Blue Coat 227

4. Clique em Incluir chave de API, digite um nome do usuário e senha para a chave de API e, em
seguida, clique em Incluir.
São necessários o nome do usuário e a senha ao configurar a origem de log para a API.

228 Guia de configuração do QRadar DSM

33 Boxplot
O IBM QRadar DSM for Box coleta eventos corporativos de uma conta corporativa do Box.

A tabela a seguir descreve as especificações para o DSM Box:

Tabela 128. Especificações do DSM Box
Especificação Valor
Fabricante Boxplot
Nome do DSM Boxplot
Nome do arquivo RPM DSM-BoxBox-Qradar_version-build_number.noarch.rpm
Versões Suportadas N/A
Protocolo API de REST do Box
Formato de evento JSON
Tipos de eventos registrados Eventos de administrador e corporativos
Descobertos automaticamente? No
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais Website do Box (https://www.box.com/)

Para integrar o Box ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos seguintes RPMs em seu QRadar Console na ordem em que estão listados:
v Protocol Common RPM
v RPM do protocolo da API de REST do Box
v RPM do DSM Box
2. Configure sua conta corporativa do Box para acesso da API.
3. A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos
do Box:
Tabela 129. Parâmetros de origem de log do Box
Parâmetro Valor
Tipo de origem de log Boxplot
Configuração do Protocolo API de REST do Box
ID do cliente Gerada na área de janela parâmetros OAuth2 da
configuração do administrador de Box.
Segredo do Cliente Gerada na área de janela parâmetros OAuth2 da
configuração do administrador de Box.
ID de Chave Gerado(s) na área de janela Gerenciamento de Chave
Pública após enviar a chave pública.
ID Corporativo Usado para solicitação de token de acesso.
Nome do Arquivo de Chave Privada O nome do arquivo de chave privado no diretório
/opt/qradar/conf/trusted_certificates/box/ no
QRadar.

© Copyright IBM Corp. 2005, 2019 229

Tabela 129. Parâmetros de origem de log do Box (continuação)
Parâmetro Valor
Utilizar Proxy Se o QRadar acessar a API do Box usando um proxy,
marque a caixa de seleção Usar proxy.

Se o proxy requer autenticação, configure os campos

Servidor proxy, Porta de proxy, Nome do usuário de
proxy e Senha de proxy.

Se o proxy não requerer autenticação, configure os

campos Servidor proxy e Porta de proxy.
Adquirir automaticamente certificado(s) de servidor Selecione Sim para QRadar para fazer download
automaticamente do certificado do servidor e começar a
confiar no servidor de destino.
Regulador de EPS O número máximo de eventos por segundo.

O padrão é 5000.
Recorrência O intervalo de tempo entre as consultas de origem de log
para a API do Box para novos eventos. O intervalo de
tempo pode ser em horas (H), minutos (M) ou dias (D).

O padrão é 10 minutos.

A tabela a seguir mostra uma mensagem do evento de amostra para o Box:

Tabela 130. Mensagem do evento corporativo de amostra do Box
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
INIC SES Sucesso no Login de Usuário {"source":{"type":"user","id":
"<UserID>", "name": "UserName",
"login" :"[email protected]" },
"created_by":{"type":"user",
"id": "<UserID>", "name":
"UserName","login":
"[email protected]" },
"created_at":"2016-01-07T10
:54:30-08:00","event_id":
"363714450","event_type":"LOGIN",
"ip_address": "<IP_address>", "type"
:"event","session_id":null,
"additional_details":null}

Configurando o Box para se comunicar com o QRadar

Para recuperar os logs de administrador de sua conta corporativa do Box, deve-se configurar o Box e seu
Console do IBM QRadar.

230 Guia de configuração do QRadar DSM

Antes de Iniciar

Deve-se ter uma conta de desenvolvedor.

Gere um par RSAkey privado/público para a asserção JSON Web Token (JWT).
1. Abra uma sessão SSH para o QRadar Console.
v Para uma chave privada, digite o comando a seguir:
openssl genrsa -out box_private_key.pem 2048
v Para uma chave pública, digite o comando a seguir:
openssl rsa -pubout -in box_private_key.pem -out box_public_key.pem

Nota:

Salve uma cópia da chave pública. É necessário colar os conteúdos da chave pública na caixa de
texto Incluir chave pública ao configurar o Box para acesso à API.
v Converta a chave privada em DER digitando o comando a seguir em uma linha:
openssl pkcs8 -topk8 -inform PEM -outform DER
-in box_private_key.pem -out box_private_key.der -nocrypt
2. Armazene a chave privada em QRadar.
a. Crie um diretório nomeado box no diretório opt/qradar/conf/trusted_certificates/ no QRadar.
b. Copie o arquivo de chave privada .DER para o diretório opt/qradar/conf/trusted_certificates/
box criado. Não armazene a chave privada em nenhum outro local.
c. Configure a origem de log usando somente o nome do arquivo de chave privado no diretório
opt/qradar/conf/trusted_certificates/box. Assegure-se de digitar o nome do arquivo
corretamente no campo Nome do arquivo de chave privado ao configurar a origem de log.

Importante: Copie a chave privada para o diretório opt/qradar/conf/trusted_certificates/box antes de

configurar a origem de log. Se você configurar a origem de log antes de armazenar a chave privada, uma
mensagem de erro será exibida.

Procedimento
1. Efetue login no portal Box Desenvolvedores (http://developers.box.com/). Agora você terá acesso aos
Consoles do Administrador e do Box.
a. Crie um aplicativo para seu dispositivo QRadar clicando em Criar novo aplicativo.
b. Selecione Integração corporativa e, em seguida, clique em Avançar.
c. Na área de janela Método de autenticação, selecione OAuth2.0 com JWT (Autenticação do
servidor) e, em seguida, clique em Avançar.
d. No campo, digite um nome para o aplicativo e, em seguida, clique em Criar aplicativo.
e. Clique em Visualizar seu aplicativo .
f. Na área de janela de parâmetros OAuth2, copie e registre o ID do cliente e o Segredo do cliente. É
necessário o ID do cliente e o Segredo do cliente quando você inclui uma origem de log no
QRadar.
g. Na área de janela Acesso ao aplicativo, selecione a propriedade Corporativo e, em seguida,
configure os parâmetros a seguir.
Tabela 131. Parâmetros de configurações de acesso de usuário
Parâmetro Valor
Tipo de Autenticação: Autenticação de servidor (OAuth2.0 com JWT)
Acesso do Usuário: Todos os usuários

33 Boxplot 231
Tabela 131. Parâmetros de configurações de acesso de usuário (continuação)
Parâmetro Valor
Escopos:
Conteúdo
Ler e gravar todos os arquivos e pastas
armazenados no Box
As Gerenciar as propriedades de uma
empresaPermite que o aplicativo visualize e
edite os atributos e relatórios corporativos; edite
e exclua os pinners do dispositivo.
Importante: Se você não selecionar os escopos corretos, a
API do Box exibirá uma mensagem de erro.

2. Envie a chave pública e, em seguida, gere o ID da chave.

a. No menu de navegação, selecione Configuração.
b. Na lista Incluir e gerenciar chaves públicas, selecione Incluir uma chave pública.
c. Abra o arquivo de chave pública que você copiou de QRadar e, em seguida, cole os conteúdos do
arquivo de chave pública na caixa de texto Incluir chave pública.
d. Clique em Verificar e salvar e, em seguida, copie e registre o ID da chave. Você precisará do ID
da chave quando incluir a origem de log no QRadar.
e. Para assegurar que as propriedades sejam armazenadas no servidor, role para a parte inferior da
página e, em seguida, clique em Salvar.
3. Registre seu ID corporativo do Box.
a. Efetue login no Console administrativo e, em seguida, clique em Configurações da conta >
Configurações de negócios.
b. Para localizar seu ID corporativo, clique na guia Informações da conta.
4. Autorize seu aplicativo.
a. Efetue login no Console do Box e, em seguida, clique em Configurações da conta >
Configurações de negócios.
b. Clique na guia Aplicativos.
c. Na área de janela Aplicativos customizados, clique em Autorizar novo aplicativo.
d. Na janela Autorização de aplicativo, digite a chave API e, em seguida, clique em Avançar.
Verifique se o nível de acesso é Todos os usuários. A chave API é o ID do cliente que você
registrou.
e. Clique em Autorizar.
Para obter mais informações sobre como configurar o Box para se comunicar com o QRadar, veja o
website do Box https://docs.box.com/docs/configuring-box-platform).

O que Fazer Depois

Verifique se o QRadar está configurado para receber eventos de seu DSM Box. Se o QRadar estiver
configurado corretamente, nenhuma mensagem de erro aparecerá na janela Editar uma origem de log.

232 Guia de configuração do QRadar DSM

34 Bridgewater
O DSM Bridgewater Systems para o IBM QRadar aceita eventos usando syslog.

O QRadar registra todos os eventos relevantes que são encaminhados pelos dispositivos Bridgewater
AAA Service Controller usando syslog.

Configurando syslog para o dispositivo Bridgewater Systems

Deve-se configurar o dispositivo Bridgewater Systems para enviar eventos syslog para o IBM QRadar.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do dispositivo Bridgewater Systems.
2. Para registrar mensagens operacionais para os servidores RADIUS e Diâmetro, abra o arquivo a
seguir:
/etc/syslog.conf
3. Para registrar todas as mensagens operacionais, remova o comentário da linha a seguir:
local1.info /WideSpan/logs/oplog
4. Para registrar somente mensagens de erro, altere a linha local1.info /WideSpan/logs/oplog para a
linha a seguir:
local1.err /WideSpan/logs/oplog

Nota: As mensagens RADIUS e Diâmetro do sistema são armazenadas no arquivo /var/adm/messages.

5. Inclua a linha a seguir:
local1.*@<IP address>
Em que <IP address> é o endereço IP do QRadar Console.
6. As mensagens do sistema dos servidores RADIUS e Diâmetro são armazenadas no arquivo
/var/adm/messages. Inclua a linha a seguir para as mensagens do sistema:
<facility>*@<IP address>
Em que:
<facility> é o recurso usado para criação de log para o arquivo /var/adm/messages.
<IP address> é o endereço IP do QRadar Console.
7. Salve e saia do arquivo.
8. Envie um sinal de desligamento para o daemon syslog para assegurar que todas as mudanças foram
impingidas:
kill -HUP `cat /var/run/syslog.pid`
A configuração está concluída. A origem de log é incluída no QRadar conforme eventos do dispositivo
Bridgewater Systems são descobertos automaticamente. Os eventos que são encaminhados para o
QRadar pelo dispositivo Bridgewater Systems são exibidos na guia Atividade de log.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog de um
dispositivo Bridgewater Systems.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

© Copyright IBM Corp. 2005, 2019 233

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

234 Guia de configuração do QRadar DSM

35 Brocade Fabric OS
O IBM QRadar pode coletar e categorizar eventos do sistema syslog e de auditoria dos comutadores e
dispositivos Brocade que usam o Fabric OS V7.x.

Para coletar eventos syslog, deve-se configurar o comutador para encaminhar eventos syslog. Cada
comutador ou dispositivo deve ser configurado para encaminhar eventos.

Os eventos que você encaminha dos comutadores Brocade são descobertos automaticamente. Uma origem
de log é configurada para cada comutador ou dispositivo que encaminha eventos para o QRadar.

Configurando syslog para dispositivos Brocade Fabric OS

Para coletar eventos, deve-se configurar syslog no dispositivo Brocade para encaminhar eventos para o
IBM QRadar.

Procedimento
1. Efetue login no dispositivo como um usuário administrativo.
2. Para configurar um endereço para encaminhar eventos syslog, digite o comando a seguir:
syslogdipadd <IP address>
Em que <IP address> é o endereço IP do QRadar Console, Event Processor, Event Collector ou sistema
all-in-one.
3. Para verificar o endereço, digite o comando a seguir:
syslogdipshow

Resultados

Conforme o comutador Brocade gera eventos, o comutador encaminha os eventos para o destino syslog
que você especificou. A origem de log é descoberta automaticamente após eventos suficientes serem
encaminhados pelo dispositivo Brocade. Ele geralmente usa um mínimo de 25 eventos para descobrir
automaticamente uma origem de log.

O que Fazer Depois

Os administradores podem efetuar login no QRadar Console e verificar se a origem de log é criada no
QRadar Console e se a guia Atividade de log exibe eventos do dispositivo Brocade.

© Copyright IBM Corp. 2005, 2019 235

236 Guia de configuração do QRadar DSM
36 CA Technologies
O IBM QRadar suporta um número de DSMs CA Technologies.

CA ACF2
O DSM CA Access Control Facility (ACF2) coleta eventos de uma imagem CA Technologies ACF2 em um
mainframe IBM z/OS usando o IBM Security zSecure.

Quando você usa um processo zSecure, eventos do System Management Facilities (SMF) podem ser
transformados em eventos Log Event Extended Format (LEEF). Esses eventos podem ser enviados quase
em tempo real usando o protocolo UNIX Syslog ou o IBM QRadar pode recuperar os arquivos de log de
eventos LEEF usando o protocolo de Arquivo de log e, em seguida, processar os eventos. Ao usar o
protocolo de Arquivo de log, é possível planejar o QRadar para recuperar eventos em um intervalo de
pesquisa, que permite que o QRadar recupere os eventos no planejamento que você define.

Para coletar eventos CA ACF2, conclua as etapas a seguir:

1. Verifique se sua instalação atende aos requisitos de instalação do pré-requisito. Para obter mais
informações sobre requisitos de pré-requisito, consulte o IBM Security zSecure Suite 2.2.1
Pre-requisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html) .
2. Configure a imagem do IBM z/OS para gravar eventos no formato LEEF. Para obter mais
informações, consulte o IBM Security zSecure Suite: CARLa-Driven Components Installation and
Deployment Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html).
3. Crie uma origem de log no QRadar for CA ACF2.
4. Se você deseja criar uma propriedade de evento customizado para o CA ACF2 no QRadar, para obter
mais informações, consulte a nota técnica Propriedades de evento customizado do IBM Security for
IBM z/OS (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/
SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf).

Antes de iniciar

Antes de poder configurar o processo de coleta de dados, deve-se concluir o processo básico de instalação
do zSecure e concluir as atividades pós-instalação para criar e modificar a configuração.

Os seguintes pré-requisitos são necessários:

v Deve-se assegurar que o membro parmlib IFAPRDxx esteja ativado para Auditoria do IBM Security
zSecure na imagem do z/OS.
v A biblioteca SCKRLOAD deve ser autorizada por APF.
v Se você estiver usando a interface em tempo real SMF INMEM direta, deverá ter o software necessário
instalado (APAR OA49263) e configurar o membro SMFPRMxx para incluir a palavra-chave INMEM e
parâmetros. Se você decidir usar a interface CDP, também deverá ter o CDP instalado e em execução.
Para obter mais informações, consulte o IBM Security zSecure Suite 2.2.1: procedimento para quase em
tempo real (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
v Deve-se configurar um processo para atualizar periodicamente os conjuntos de dados CKFREEZE e
UNLOAD.
v Se você estiver usando o método de protocolo Arquivo de Log, deverá configurar um servidor SFTP,
FTP ou SCP na sua imagem do z/OS para que o QRadar faça download dos arquivos de eventos LEEF.

© Copyright IBM Corp. 2005, 2019 237

v Se você estiver usando o método de protocolo Arquivo de Log, deverá permitir o tráfego SFTP, FTP ou
SCP em firewalls que estejam localizados entre o QRadar e sua imagem do z/OS.

Para obter instruções sobre como instalar e configurar o zSecure, consulte o IBM Security zSecure Suite:
CARLa Driven Components Installation and Deployment Guide (http://www-01.ibm.com/support/
docview.wss?uid=pub1sc27277200).
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Crie uma origem de log para feed de eventos quase em tempo real
O protocolo Syslog permite que o IBM QRadar receba eventos do System Management Facilities (SMF)
quase em tempo real por meio de um host remoto.

Os DSMs a seguir são suportados:

v IBM z/OS
v IBM CICS
v IBM RACF
v IBM DB2
v CA secreto
v CA ACF2

Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log para o seu DSM
no console do QRadar.

A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos para
seu DSM:
Tabela 133. Parâmetros de origem de log
Parâmetro Valor
Tipo de origem de log Selecione o nome do DSM na lista.
Configuração do Protocolo Syslog
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

Criando uma origem de log para o protocolo Arquivo de log

O protocolo de Arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados de um
host remoto para o IBM z/OS, IBM CICS, IBM RACF, IBM DB2, CA Top Secret e CA ACF2 DSM...

Sobre Esta Tarefa

Os arquivos de log são transferidos, um por vez, para o QRadar para processamento. O protocolo de
Arquivo de log pode gerenciar logs de eventos de texto simples, arquivos compactados ou archives. Os
archives devem conter arquivos de texto simples que podem ser processados uma linha de cada vez. Os
logs de eventos de multilinhas não são suportados pelo protocolo de Arquivo de log. O IBM z/OS com o
zSecure grava arquivos de log em um diretório especificado como archives gzip. O QRadar extrai o
archive e processa os eventos, que são gravadas como um evento por linha no arquivo.

238 Guia de configuração do QRadar DSM

Para recuperar esses eventos, deve-se criar uma origem de log que use o protocolo de Arquivo de log. O
QRadar requer que as credenciais efetuem login no sistema que hospeda seus arquivos de eventos
formatados LEEF e um intervalo de pesquisa.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione o seu nome de DSM.
8. Na lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os parâmetros de protocolo Arquivo de log.
A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos
do DSM:
Tabela 134. Parâmetros de protocolo de Arquivo de log
Parâmetro Valor
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
log Os endereços IP ou nomes de host são sugeridos conforme eles permitem ao
QRadar identificar um arquivo de log para uma origem de eventos exclusiva.

Por exemplo, se sua rede contiver diversos dispositivos, como várias imagens do
z/OS ou um repositório de arquivos que contiver todos os logs de eventos, um
nome, um endereço IP ou um nome do host deverá ser especificado para a imagem
ou o local que identifique exclusivamente os eventos para a origem de log do DSM.
Essa especificação permite que os eventos sejam identificados no nível de imagem
ou local em sua rede que seus usuários possam identificar.
Tipo de serviço Na lista Tipo de serviço, selecione o protocolo que você deseja usar ao recuperar
arquivos de log de um servidor remoto. O padrão é SFTP.
v SFTP - Protocolo de Transferência de Arquivos SSH
v FTP - Protocolo de Transferência de Arquivos
v SCP - Cópia segura

O protocolo subjacente que é usado para recuperar arquivos de log para o tipo de
serviço SCP e SFTP requer que o servidor que está especificado no campo IP ou
nome do host remoto tenha subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do dispositivo que armazena seus arquivos
de log de eventos.
Porta remota Digite a porta TCP no host remoto que esteja executando o Tipo de serviço
selecionado. O intervalo válido é de 1 a 65535.

As opções incluem as portas:

v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22

Se o host dos seus arquivos de eventos estiver usando um número de porta não
padrão para FTP, SFTP ou SCP, você deverá ajustar o valor da porta.

36 CA Technologies 239
Tabela 134. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Usuário remoto Digite o nome ou o ID do usuário necessário para efetuar login no sistema que
contém os arquivos de eventos.
v Se os arquivos de log estiverem na imagem do IBM z/OS, digite o ID do usuário
necessário para efetuar login no IBM z/OS. O ID do usuário pode ter até 8
caracteres de comprimento.
v Se seus arquivos de log estiverem em um repositório de arquivo, digite o nome
do usuário necessário para efetuar login no repositório de arquivo. O nome de
usuário pode ter até 255 caracteres de comprimento.
Senha remota Digite a senha necessária para efetuar login no host.
Confirmar senha Confirme a senha necessária para efetuar login no host.
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço, esse parâmetro fornecerá
a opção de definir um arquivo de chave privado SSH. Ao fornecer um arquivo de
chave SSH, o campo Senha remota será ignorado.
Diretório remoto Digite o local do diretório no host remoto a partir do qual os arquivos são
recuperados, relativo à conta do usuário que você está usando para efetuar login.
Recursivo Se você desejar que o padrão do arquivo procure as subpastas no diretório remoto,
selecione esta caixa de seleção. Por padrão, a caixa de seleção não é selecionada.

Se você configurar SCP como o Tipo de serviço, a opção Recursivo será ignorada.
Padrão do arquivo FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, poderá configurar a
expressão regular (regex) necessária para filtrar a lista de arquivos que são
especificados no Diretório remoto. Todos os arquivos correspondentes são incluídos
no processamento.

O mainframe do IBM z/OS que usa o IBM Security zSecure Audit grava arquivos
de eventos usando o padrão: <product_name>.<timestamp>.gz

O padrão do arquivo FTP que você especificar deve corresponder ao nome

designado aos arquivos de eventos. Por exemplo, para coletar arquivos que
comecem com zOS e terminem com .gz, digite o código a seguir:

zOS.*\.gz

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

Para obter mais informações sobre regex, consulte Lição: expressões regulares.
(http://download.oracle.com/javase/tutorial/essential/regex/)
Modo de transferência por Essa opção será exibida somente se você selecionar FTP como o Tipo de serviço. Na
FTP lista, selecione Binário.

O modo de transferência binário é necessário para os arquivos de eventos que são

armazenados em um formato binário ou compactado, como os archives zip, gzip,
tar ou tar+gzip.
Arquivo remoto do SCP Se você selecionar SCP como o Tipo de serviço, deverá digitar o nome do arquivo
do arquivo remoto.
Horário de Início Digite o horário do dia que deseja que o processamento comece. Por exemplo,
digite 00:00 para planejar o protocolo de Arquivo de log para coletar arquivos de
eventos à meia-noite.

240 Guia de configuração do QRadar DSM

Tabela 134. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório remoto seja varrido a cada 2
horas a partir da hora de início. O padrão é 1H.
Executar no salvamento Selecione esta caixa de seleção se desejar que o protocolo de Arquivo de log seja
executado imediatamente após você clicar em Salvar.

Após o Executar ao salvar ser concluído, o protocolo de arquivo de log segue o

horário de início configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

Os processadores permitem que os archives de arquivo de evento sejam expandidos

e o conteúdo seja processado para os eventos. Os arquivos são processados depois
de serem transferidos por download para o QRadar. O QRadar pode processar
arquivos no formato de archive zip, gzip, tar ou tar+gzip.
Ignorar arquivo(s) Selecione essa caixa de seleção para rastrear e ignorar arquivos que já foram
processado(s) anteriormente processados pelo protocolo de Arquivo de log.

O QRadar examina os arquivos de log no diretório remoto para determinar se um

arquivo foi processado anteriormente pelo protocolo de Arquivo de log. Se um
arquivo anteriormente processado for detectado, o protocolo de Arquivo de log não
fará download do arquivo para processamento. Todos os arquivos que não foram
processados anteriormente são transferidos por download.

Essa opção se aplica somente a tipos de serviço FTP e SFTP.

Mudar o diretório local? Selecione essa caixa de seleção para definir um diretório local em seu QRadar para
armazenar arquivos transferidos por download durante o processamento.

É sugerido que você deixe essa caixa de seleção desmarcada. Quando essa caixa de
seleção está marcada, o campo Diretório local é exibido, fornecendo a você a opção
de configurar o diretório local a ser usado para armazenar arquivos.
Gerador de evento Na lista Gerador de evento, selecione LineByLine.

O Gerador de Evento aplica mais processamento aos arquivos de eventos

recuperados. Cada linha é um único evento. Por exemplo, se um arquivo tiver 10
linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.
A configuração do DSM está concluída. Se o DSM requerer propriedades de evento customizado,
consulte a nota técnica Propriedades de evento customizado do IBM Security for IBM z/OS.
(http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/
TechNotes/IBM_zOS_CustomEventProperties.pdf)

Integrar CA ACF2 com o IBM QRadar usando script de auditoria

O DSM CA Access Control Facility (ACF2) coleta eventos e transações de auditoria no mainframe IBM
com o protocolo de Arquivo de log.

36 CA Technologies 241
QexACF2.load.trs é um arquivo TERSED que contém um loadlib de PDS com o programa QEXACF2. Um
arquivo TERSED é semelhante a um arquivo zip e requer que você use o programa TRSMAIN para
descompactar o conteúdo. O programa TRSMAIN está disponível no Suporte IBM (www.ibm.com/
support).

Para fazer upload de um arquivo TRS em uma estação de trabalho, deve-se pré-alocar um arquivo com
os atributos DCB a seguir: DSORG=PS, RECFM=FB, LRECL= 1024, BLKSIZE=6144. O tipo de
transferência de arquivo deve ser BINARY APPEND. Se o tipo de transferência for TEXT ou TEXT
APPEND, o arquivo não poderá ser descompactado adequadamente.

Depois de fazer upload do arquivo para o mainframe no conjunto de dados alocado, o arquivo TERSED
pode ser descompactado (UNPACKED) com o utilitário TRSMAIN usando a JCL de amostra também
incluída no pacote tar. Um código de retorno 0008 do utilitário TRSMAIN indica que o conjunto de dados
não é reconhecido como um arquivo TERSED válido. Esse erro de código (0008) pode ser resultado do
arquivo que não está sendo transferido por upload para o mainframe com os atributos DCB corretos ou
porque a transferência não foi executada com o mecanismo de transferência BINARY APPEND.

Depois de ter descompactado com êxito o arquivo loadlib, será possível executar o programa QEXACF2
com o arquivo JCL de amostra. O arquivo JCL de amostra está contido na coleção tar. Para executar o
programa QEXACF2, deve-se modificar a JCL para as convenções de nomenclatura locais e os requisitos
de cartão de tarefa. Talvez você também precise usar o DD STEPLIB, se o programa não for colocado em
uma biblioteca LINKLISTED.

Para integrar eventos CA ACF2 no IBM QRadar:

1. O mainframe IBM registra todos os eventos de segurança como registros Service Management
Framework (SMF) em um repositório em tempo real.
2. Os dados do CA ACF2 são extraídos do repositório em tempo real com o utilitário de dump SMF. O
arquivo SMF contém todos os eventos e campos do dia anterior no formato SMF bruto.
3. O programa QexACF2.load.trs extrai dados do arquivo formatado SMF. O programa
QexACF2.load.trs extrai somente os eventos e campos relevantes para o QRadar e grava essas
informações em um formato compactado para compatibilidade. As informações são salvas em um
local acessível pelo QRadar.
4. O QRadar usa a origem de protocolo de Arquivo de log para recuperar as informações do arquivo de
saída em uma base planejada. Em seguida, o QRadar importa e processa esse arquivo.

Configurando CA ACF2 que usa scripts de auditoria para integração

com o IBM QRadar
O IBM QRadar usa scripts para auditar eventos das instalações CA ACF2, que são coletados usando o
protocolo de arquivo de log.

Procedimento
1. No website do suporte IBM (http://www.ibm.com/support), faça download do arquivo compactado
a seguir:
qexacf2_bundled.tar.gz
2. Em um sistema operacional Linux, extraia o arquivo:
tar -zxvf qexacf2_bundled.tar.gz Os arquivos a seguir estão contidos no archive:
v QexACF2.JCL.txt - Arquivo de linguagem de controle de tarefas
v QexACF2.load.trs - Biblioteca de programas compactada (requer o IBM TRSMAIN)
v trsmain sample JCL.txt - Linguagem de controle de tarefas para TRSMAIN para descompactar o
arquivo .trs
3. Carregue os arquivos no mainframe IBM usando os métodos a seguir:

242 Guia de configuração do QRadar DSM

Faça upload dos arquivos de amostra QexACF2_trsmain_JCL.txt e QexACF2.JCL.txt usando o
protocolo TEXT.
4. Faça upload do arquivo QexACF2.load.trs usando uma transferência em modo BINARY e anexação
a um conjunto de dados pré-alocado. O arquivo QexACF2.load.trs é um arquivo tersed que contém
o arquivo executável (o programa de mainframe QexACF2). Ao fazer upload do arquivo .trs de uma
estação de trabalho, pré-aloque um arquivo no mainframe com os seguintes atributos DCB:
DSORG=PS, RECFM=FB, LRECL=1024, BLKSIZE=6144. O tipo de transferência de arquivo deve ser
o modo binário e não texto.

Nota: QexACF2 é um programa de mainframe C pequeno que lê a saída da linha TSSUTIL (dados
EARLOUT) por linha. QexACF2 inclui um cabeçalho em cada registro que contém informações de
evento, por exemplo, descritor de registro, a data e hora. O programa coloca cada campo no registro
de saída, suprime os caracteres de rastreio de espaço em branco e delimita cada campo com o
caractere de barra vertical. Esse arquivo de saída é formatado para o QRadar e a supressão de
espaço em branco reduz o tráfego de rede para o QRadar. Esse programa não consome recursos de
disco da CPU ou de E/S.
5. Customize o arquivo trsmain sample_JCL.txt de acordo com os parâmetros específicos da
instalação.

Exemplo: Cartão de tarefa, convenções de nomenclatura do conjunto de dados, destinos de saída,

períodos de retenção e requisitos de espaço.
O arquivo trsmain sample_JCL.txt usa o utilitário IBM TRSMAIN para extrair o programa que está
armazenado no arquivo QexACF2.load.trs.
Um exemplo do arquivo QexACF2_trsmain_JCL.txt inclui as informações a seguir:
//TRSMAIN JOB (yourvalidjobcard),Q1labs,
// MSGCLASS=V
//DEL EXEC PGM=IEFBR14
//D1 DD DISP=(MOD,DELETE),DSN=<yourhlq>.QEXACF2.LOAD.TRS
// UNIT=SYSDA,
// SPACE=(CYL,(10,10))
//TRSMAIN EXEC PGM=TRSMAIN,PARM=’UNPACK’
//SYSPRINT DD SYSOUT=*,DCB=(LRECL=133,BLKSIZE=12901,RECFM=FBA)
//INFILE DD DISP=SHR,DSN=<yourhlq>.QEXACF2.LOAD.TRS
//OUTFILE DD DISP=(NEW,CATLG,DELETE),
// DSN=<yourhlq>.LOAD,
// SPACE=(CYL,(10,10,5),RLSE),UNIT=SYSDA
//
O arquivo de entrada .trs é uma biblioteca formatada IBM TERSE e é extraído com a execução da
JCL, que chama o TRSMAIN. Esse arquivo tersed, quando extraído, cria um linklib PDS com o
programa QexACF2 como um membro.
6. É possível STEPLIB para essa biblioteca ou optar por mover o programa para uma dos LINKLIBs
que estão em LINKLST. O programa não requer autorização.
7. Após você fazer upload, copie o programa em uma biblioteca listada de link existente ou inclua uma
instrução STEPLIB DD com o nome do conjunto de dados correto da biblioteca que conterá o
programa.
8. O arquivo QexACF2_jcl.txt é um arquivo de texto que contém uma JCL de amostra. Deve-se
configurar o cartão de tarefa para atender à sua configuração.
O arquivo de amostra QexACF2_jcl.txt inclui:
//QEXACF2 JOB (T,JXPO,JKSD0093),DEV,NOTIFY=Q1JACK,
// MSGCLASS=P,
// REGION=0M
//*
//*QEXACF2 JCL VERSION 1.0 OCTOBER, 2010
//*
//************************************************************
//* Change below dataset names to sites specific datasets names*

36 CA Technologies 243
//QEXACF2 JOB (T,JXPO,JKSD0093),DEV,NOTIFY=Q1JACK,
// MSGCLASS=P,
// REGION=0M
//*
//*QEXACF2 JCL VERSION 1.0 OCTOBER, 2010
//*
//************************************************************
//* Change below dataset names to sites specific datasets names*
//************************************************************
//SET1 SET SMFIN=’MVS1.SMF.RECORDS(0)’,
// QEXOUT=’Q1JACK.QEXACF2.OUTPUT’,
// SMFOUT=’Q1JACK.ACF2.DATA’
//************************************************************
//* Delete old datasets *
//************************************************************
//DEL EXEC PGM=IEFBR14
//DD1 DD DISP=(MOD,DELETE),DSN=&SMFOUT,
// UNIT=SYSDA,
// SPACE=(CYL,(10,10)),
// DCB=(RECFM=FB,LRECL=80)
//DD2 DD DISP=(MOD,DELETE),DSN=&QEXOUT,
// UNIT=SYSDA,
// SPACE=(CYL,(10,10)),
// DCB=(RECFM=FB,LRECL=80)
//*************************************************************
//* Allocate new dataset *
//*************************************************************
//ALLOC EXEC PGM=IEFBR14
//DD1 DD DISP=(NEW,CATLG),DSN=&QEXOUT,
// SPACE=(CYL,(100,100)),
// DCB=(RECFM=VB,LRECL=1028,BLKSIZE=6144)
//*************************************************************
//* Execute ACFRPTPP (Report Preprocessor GRO) to extract ACF2*
//* SMF records *
//*************************************************************
//PRESCAN EXEC PGM=ACFRPTPP
//SYSPRINT DD SYSOUT=*
//SYSUDUMP DD SYSOUT=*
//RECMAN1 DD DISP=SHR,DSN=&SMFIN
//SMFFLT DD DSN=&SMFOUT,SPACE=(CYL,(100,100)),DISP=(,CATLG),
// DCB=(RECFM=FB,LRECL=8192,BLKSIZE=40960),
// UNIT=SYSALLDA
//************************************************************
//* execute QEXACF2 *
//************************************************************
//EXTRACT EXEC PGM=QEXACF2,DYNAMNBR=10,
// TIME=1440
//STEPLIB DD DISP=SHR,DSN=Q1JACK.C.LOAD
//SYSTSIN DD DUMMY
//SYSTSPRT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
//CFG DD DUMMY
//ACFIN DD DISP=SHR,DSN=&SMFOUT
//ACFOUT DD DISP=SHR,DSN=&QEXOUT
//************************************************************
//FTP EXEC PGM=FTP,REGION=3800K
//INPUT DD *
<IPADDR>
<USER>
<PASSWORD>
PUT ’<ACFOUT>’ EARL_<THEIPOFTHEMAINFRAMEDEVICE>/<ACFOUT>
QUIT
//OUTPUT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
//*

244 Guia de configuração do QRadar DSM

9. Após o arquivo de saída ser criado, planeje uma tarefa para transferir o arquivo de saída para um
servidor FTP provisório. O arquivo de saída é encaminhado para um servidor FTP provisório.
Deve-se configurar os parâmetros a seguir na JCL de amostra para encaminhar com êxito a saída
para um servidor FTP provisório:

Exemplo:
//FTP EXEC PGM=FTP,REGION=3800K
//INPUT DD *
<IPADDR>
<USER>
<PASSWORD>
PUT ’<ACFOUT’ EARL_<THEIPOFTHEMAINFRAMEDEVICE>/<ACFOUT>
QUIT
//OUTPUT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
Em que:
<IPADDR> é o endereço IP ou o nome do host do servidor FTP provisório para receber o arquivo de
saída.
<USER> é o nome do usuário que é necessário para acessar o servidor FTP provisório.
<PASSWORD> é a senha que é necessária para acessar o servidor FTP provisório.
<THEIPOFTHEMAINFRAMEDEVICE> é o destino do mainframe ou do servidor FTP provisório que
recebe a saída.

Exemplo:
PUT ’xxxxxx.xxxxxxx.OUTPUT.C320’ / <IP_address> /ACF2/QEXACF2 .OUTPUT.C320
<QEXOUTDSN> é o nome do arquivo de saída que é salvo no servidor FTP provisório.
Agora você está pronto para configurar o protocolo de Arquivo de log.
10. Planeje o QRadar para recuperar o arquivo de saída do CA ACF2.
Se a plataforma zOS estiver configurada para entregar arquivos por meio de FTP, SFTP, ou permitir
SCP, nenhum servidor FTP provisório será necessária e o QRadar poderá extrair o arquivo de saída
diretamente do mainframe. O texto a seguir deve ser comentado usando //* ou excluído do arquivo
QexACF2_jcl.txt:
//FTP EXEC PGM=FTP,REGION=3800K
//INPUT DD *
<IPADDR>
<USER>
<PASSWORD>
PUT ’<ACFOUT>’ EARL_<THEIPOFTHEMAINFRAMEDEVICE>/<ACFOUT>
QUIT
//OUTPUT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*

O que Fazer Depois

Agora você está pronto para configurar a origem de log no QRadar.

CA SiteMinder
O DSM CA SiteMinder coleta e categoriza eventos de autorização dos dispositivos CA SiteMinder com
syslog-ng.

O DSM CA SiteMinder aceita eventos de acesso e autorização que são registrados em smaccess.log e
encaminha os eventos para o IBM QRadar usando syslog-ng.

36 CA Technologies 245
Configurando uma origem de log
O CA SiteMinder com o IBM QRadar não descobre automaticamente eventos de autorização que são
encaminhados com syslog-ng pelos dispositivos CA SiteMinder.

Sobre Esta Tarefa

Para criar manualmente uma origem de log CA SiteMinder:

Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
3. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
4. No campo Nome da origem de log , digite um nome para a origem de log CA SiteMinder.
5. No campo Descrição de origem de log , digite uma descrição para a origem de log.
6. Na lista Tipo de origem de log, selecione CA SiteMinder.
7. Na lista Configuração de protocolo, selecione Syslog.
Os parâmetros do protocolo syslog são exibidos.

Nota: O protocolo de arquivo de log é exibido na lista Configuração de protocolo; no entanto, a

pesquisa de arquivos de log não é uma configuração adequada.
8. Configure os valores a seguir:
Tabela 135. Incluindo uma origem de log syslog
Parâmetro Descrição
Identificador de origem de log Digite o endereço IP ou o nome do host para o
dispositivo CA SiteMinder.
Ativado Selecione essa caixa de seleção para ativar a origem de
log. Por padrão, essa caixa de seleção é selecionada.
Credibilidade Na lista, digite o valor de credibilidade da origem de log.
O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou

ofensa conforme determinado pela classificação de
credibilidade do dispositivo de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O
padrão é 5.
Coletor de eventos de destino Na lista, selecione o Coletor de eventos de destino a ser
usado como o destino da origem de log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem
do log una (empacote) eventos.

As origens de log descobertas automaticamente usam o

valor padrão que está configurado na lista Unindo
eventos na janela Configurações do sistema, que é
acessível na guia Admin. No entanto, ao criar uma nova
origem de log ou atualizar a configuração de uma
origem de log descoberta automaticamente, é possível
substituir o valor padrão configurando essa caixa de
seleção para cada origem de log. Para obter mais
informações, consulte o IBM QRadar Guia de
Administração.

246 Guia de configuração do QRadar DSM

Tabela 135. Incluindo uma origem de log syslog (continuação)
Parâmetro Descrição
Armazenar carga útil do evento Marque essa caixa de seleção para ativar ou desativar o
QRadar de armazenar a carga útil do evento.

As origens de log descobertas automaticamente usam o

valor padrão da lista Armazenar carga útil do evento na
janela Configurações do sistema, que é acessível na guia
Admin. Ao criar uma nova origem de log ou atualizar a
configuração de uma origem de log descoberta
automaticamente, é possível substituir o valor padrão
configurando essa caixa de seleção para cada origem de
log. Para obter mais informações, consulte o IBM QRadar
Guia de Administração.

9. Clique em Salvar.
A barra de ferramentas da guia Admin detecta mudanças na origem de log e exibe uma mensagem
para indicar quando é necessário implementar uma mudança.
10. Na guia Administrador, clique em Implementar mudanças.

O que Fazer Depois

Agora você está pronto para configurar syslog-ng no seu dispositivo CA SiteMinder para encaminhar
eventos para o QRadar.

Configurando syslog-ng para CA SiteMinder

Deve-se configurar o dispositivo CA SiteMinder para encaminhar eventos syslog-ng para o QRadar
Console ou Event Collector.

Sobre Esta Tarefa

O IBM QRadar pode coletar eventos syslog-ng das origens de syslog TCP ou UDP na porta 514.

Para configurar syslog-ng para CA SiteMinder:

Procedimento
1. Usando SSH, efetue login no dispositivo CA SiteMinder como usuário raiz.
2. Edite o arquivo de configuração syslog-ng.
/etc/syslog-ng.conf
3. Inclua as informações a seguir para especificar o log de acesso como o arquivo de evento para
syslog-ng:
source s_siteminder_access
{ file("/opt/apps/siteminder/sm66/siteminder/log/smaccess.log"); };
4. Inclua as informações a seguir para especificar o modelo de destino e mensagem:
destination d_remote_q1_siteminder {
udp("<QRadar IP>" port(514) template ("$PROGRAM $MSG\n"));
};
Em que <QRadar IP> é o endereço IP do QRadar Console ou Event Collector.
5. Inclua as informações de entrada de log a seguir:
log {
source(s_siteminder_access);
destination(d_remote_q1_siteminder);
};
6. Salve o arquivo syslog-ng.conf.

36 CA Technologies 247
7. Digite o comando a seguir para reiniciar syslog-ng:
service syslog-ng restart
Após a reinicialização do serviço syslog-ng, a configuração do CA SiteMinder está concluída. Os
eventos que são encaminhados para o QRadar pelo CA SiteMinder são exibidos na guia Atividade de
log.

CA secreto
O DSM CA Top Secret coleta eventos de uma imagem CA Technologies Top Secret em um mainframe
IBM z/OS usando o IBM Security zSecure.

Para coletar eventos CA Top Secret, conclua as etapas a seguir:

1. Verifique se sua instalação atende aos requisitos de instalação do pré-requisito. Para obter mais
informações sobre requisitos de pré-requisito, consulte o IBM Security zSecure Suite 2.2.1
Pre-requisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html) .
2. Configure a imagem do IBM z/OS para gravar eventos no formato LEEF. Para obter mais
informações, consulte o IBM Security zSecure Suite: CARLa-Driven Components Installation and
Deployment Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html).
3. Crie uma origem de log no QRadar para CA Top Secret.
4. Se você deseja criar uma propriedade de evento customizado para o CA Top Secret no QRadar, para
obter informações adicionais, consulte a Nota técnica Propriedades de evento customizado do IBM
Security para IBM z/OS (http://public.dhe.ibm.com/software/security/products/qradar/
documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf).

Antes de iniciar

Os seguintes pré-requisitos são necessários:

248 Guia de configuração do QRadar DSM

v Se você estiver usando o método de protocolo Arquivo de Log, deverá permitir o tráfego SFTP, FTP ou
SCP em firewalls que estejam localizados entre o QRadar e sua imagem do z/OS.

Criando uma origem de log para o protocolo Arquivo de log

O protocolo de Arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados de um
host remoto para o IBM z/OS, IBM CICS, IBM RACF, IBM DB2, CA Top Secret e CA ACF2 DSM...

Sobre Esta Tarefa

36 CA Technologies 249
Tabela 136. Parâmetros de protocolo de Arquivo de log
Parâmetro Valor
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
log Os endereços IP ou nomes de host são sugeridos conforme eles permitem ao
QRadar identificar um arquivo de log para uma origem de eventos exclusiva.

As opções incluem as portas:

v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22

Se o host dos seus arquivos de eventos estiver usando um número de porta não
padrão para FTP, SFTP ou SCP, você deverá ajustar o valor da porta.
Usuário remoto Digite o nome ou o ID do usuário necessário para efetuar login no sistema que
contém os arquivos de eventos.
v Se os arquivos de log estiverem na imagem do IBM z/OS, digite o ID do usuário
necessário para efetuar login no IBM z/OS. O ID do usuário pode ter até 8
caracteres de comprimento.
v Se seus arquivos de log estiverem em um repositório de arquivo, digite o nome
do usuário necessário para efetuar login no repositório de arquivo. O nome de
usuário pode ter até 255 caracteres de comprimento.
Senha remota Digite a senha necessária para efetuar login no host.
Confirmar senha Confirme a senha necessária para efetuar login no host.
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço, esse parâmetro fornecerá
a opção de definir um arquivo de chave privado SSH. Ao fornecer um arquivo de
chave SSH, o campo Senha remota será ignorado.
Diretório remoto Digite o local do diretório no host remoto a partir do qual os arquivos são
recuperados, relativo à conta do usuário que você está usando para efetuar login.
Recursivo Se você desejar que o padrão do arquivo procure as subpastas no diretório remoto,
selecione esta caixa de seleção. Por padrão, a caixa de seleção não é selecionada.

Se você configurar SCP como o Tipo de serviço, a opção Recursivo será ignorada.

250 Guia de configuração do QRadar DSM

Tabela 136. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Padrão do arquivo FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, poderá configurar a
expressão regular (regex) necessária para filtrar a lista de arquivos que são
especificados no Diretório remoto. Todos os arquivos correspondentes são incluídos
no processamento.

O mainframe do IBM z/OS que usa o IBM Security zSecure Audit grava arquivos
de eventos usando o padrão: <product_name>.<timestamp>.gz

O padrão do arquivo FTP que você especificar deve corresponder ao nome

designado aos arquivos de eventos. Por exemplo, para coletar arquivos que
comecem com zOS e terminem com .gz, digite o código a seguir:

zOS.*\.gz

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

O modo de transferência binário é necessário para os arquivos de eventos que são

Esse parâmetro funciona com o valor de Recorrência para estabelecer quando e com
que frequência o Diretório Remoto é varrido em busca de arquivos. Digite o horário
de início, com base em um relógio de 24 horas, no seguinte formato: HH: MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório remoto seja varrido a cada 2
horas a partir da hora de início. O padrão é 1H.
Executar no salvamento Selecione esta caixa de seleção se desejar que o protocolo de Arquivo de log seja
executado imediatamente após você clicar em Salvar.

Após o Executar ao salvar ser concluído, o protocolo de arquivo de log segue o

horário de início configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

Os processadores permitem que os archives de arquivo de evento sejam expandidos

36 CA Technologies 251
Tabela 136. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Ignorar arquivo(s) Selecione essa caixa de seleção para rastrear e ignorar arquivos que já foram
processado(s) anteriormente processados pelo protocolo de Arquivo de log.

O QRadar examina os arquivos de log no diretório remoto para determinar se um

Essa opção se aplica somente a tipos de serviço FTP e SFTP.

Mudar o diretório local? Selecione essa caixa de seleção para definir um diretório local em seu QRadar para
armazenar arquivos transferidos por download durante o processamento.

O Gerador de Evento aplica mais processamento aos arquivos de eventos

recuperados. Cada linha é um único evento. Por exemplo, se um arquivo tiver 10
linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

Os DSMs a seguir são suportados:

v IBM z/OS
v IBM CICS
v IBM RACF
v IBM DB2
v CA secreto
v CA ACF2

Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log para o seu DSM
no console do QRadar.

A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos para
seu DSM:
Tabela 137. Parâmetros de origem de log
Parâmetro Valor
Tipo de origem de log Selecione o nome do DSM na lista.
Configuração do Protocolo Syslog

252 Guia de configuração do QRadar DSM

Tabela 137. Parâmetros de origem de log (continuação)
Parâmetro Valor
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

Integrar CA Top Secret com o IBM QRadar usando scripts de auditoria

O CA Top Secret DSM coleta eventos e transações de auditoria no mainframe da IBM com o protocolo de
Arquivo de log.

O IBM QRadar registra todas as informações relevantes e disponíveis do evento.

Para integrar eventos CA Top Secret no QRadar:

1. O mainframe IBM registra todos os eventos de segurança como registros Service Management
Framework (SMF) em um repositório em tempo real.
2. À meia-noite, os dados do CA Top Secret são extraídos do repositório em tempo real usando o
utilitário de dump SMF. O arquivo SMF contém todos os eventos e campos do dia anterior no
formato SMF bruto.
3. O programa qextopsloadlib extrai dados do arquivo formatado SMF. O programa qextopsloadlib
obtém somente os eventos e campos relevantes para o QRadar e grava essas informações em um
formato condensado para fins de compatibilidade. As informações são salvas em um local acessível
pelo QRadar.
4. O QRadar usa a origem de protocolo de Arquivo de log para recuperar as informações do arquivo de
saída em uma base planejada. Em seguida, o QRadar importa e processa esse arquivo.

Configurando CA Top Secret que usa scripts de auditoria para

integração com o IBM QRadar
O DSM CA Top Secret coleta eventos e transações de auditoria no mainframe IBM usando o protocolo de
Arquivo de log.

Procedimento
1. No website do suporte IBM (http://www.ibm.com/support), faça download do arquivo compactado
a seguir:
qextops_bundled.tar.gz
2. Em um sistema operacional Linux, extraia o arquivo:
tar -zxvf qextops_bundled.tar.gz
Os arquivos a seguir estão contidos no archive:
v qextops_jcl.txt
v qextopsloadlib.trs
v qextops_trsmain_JCL.txt
3. Carregue os arquivos no mainframe IBM usando qualquer método de transferência de arquivo do
emulador de terminal.
Faça upload dos arquivos de amostra qextops_trsmain_JCL.txt e qextops_jcl.txt usando o
protocolo TEXT.
4. Faça upload do arquivo qextopsloadlib.trs usando uma transferência de modo BINARY. O arquivo
qextopsloadlib.trs é um arquivo tersed que contém o executável (o programa de mainframe
qextops). Ao fazer upload do arquivo .trs de uma estação de trabalho, pré-aloque um arquivo no
mainframe com os seguintes atributos DCB: DSORG=PS, RECFM=FB, LRECL=1024, BLKSIZE=6144.
O tipo de transferência de arquivo deve ser o modo binário e não texto.

36 CA Technologies 253
Nota: Qextops é um programa de mainframe C pequeno que lê a saída da linha TSSUTIL (dados
EARLOUT) por linha. O Qextops inclui um cabeçalho para cada registro que contém informações de
evento, por exemplo, descritor de registro, a data e hora. O programa coloca cada campo no registro
de saída, suprime os caracteres de rastreio de espaço em branco e delimita cada campo com o
caractere de barra vertical. Esse arquivo de saída é formatado para o QRadar e a supressão de
espaço em branco reduz o tráfego de rede para o QRadar. Esse programa não consome recursos de
disco da CPU ou de E/S.
5. Customize o arquivo qextops_trsmain_JCL.txt de acordo com seus requisitos específicos da
instalação.
O arquivo qextops_trsmain_JCL.txt usa o utilitário IBM TRSMAIN para extrair o programa que está
armazenado no arquivo qextopsloadlib.trs.
Um exemplo do arquivo qextops_trsmain_JCL.txt inclui:
//TRSMAIN JOB (yourvalidjobcard),Q1labs,
// MSGCLASS=V
//DEL EXEC PGM=IEFBR14
//D1 DD DISP=(MOD,DELETE),DSN=<yourhlq>.QEXTOPS.TRS
// UNIT=SYSDA,
// SPACE=(CYL,(10,10))
//TRSMAIN EXEC PGM=TRSMAIN,PARM=’UNPACK’
//SYSPRINT DD SYSOUT=*,DCB=(LRECL=133,BLKSIZE=12901,RECFM=FBA)
//INFILE DD DISP=SHR,DSN=<yourhlq>.QEXTOPS.TRS
//OUTFILE DD DISP=(NEW,CATLG,DELETE),
// DSN=<yourhlq>.LOAD,
// SPACE=(CYL,(10,10,5),RLSE),UNIT=SYSDA
//
Deve-se atualizar o arquivo com as informações específicas da instalação para parâmetros como
cartão de tarefa, convenções de nomenclatura de conjunto de dados, destinos de saída, períodos de
retenção e requisitos de espaço.
O arquivo de entrada .trs é uma biblioteca formatada IBM TERSE e é extraído com a execução da
JCL, que chama o TRSMAIN. Esse arquivo tersed, quando extraído, cria um linklib de PDS com o
programa qextops como um membro.
6. É possível STEPLIB para essa biblioteca ou optar por mover o programa para um dos LINKLIBs que
estão no LINKLST. O programa não requer autorização.
7. Após o upload, copie o programa em uma biblioteca listada de link existente ou inclua uma
instrução STEPLIB DD com o nome do conjunto de dados correto da biblioteca que contém o
programa.
8. O arquivo qextops_jcl.txt é um arquivo de texto que contém uma JCL de amostra. Deve-se
configurar o cartão de tarefa para atender à sua configuração.
O arquivo de amostra qextops_jcl.txt inclui:
//QEXTOPS JOB (T,JXPO,JKSD0093),DEV,NOTIFY=Q1JACK,
// MSGCLASS=P,
// REGION=0M
//*
//*QEXTOPS JCL version 1.0 September, 2010
//*
//*************************************************************
//* Change below dataset names to sites specific datasets names*
//************************************************************
//SET1 SET TSSOUT=’Q1JACK.EARLOUT.ALL’,
// EARLOUT=’Q1JACK.QEXTOPS.PROGRAM.OUTPUT’
//************************************************************
//* Delete old datasets *
//************************************************************//
DEL EXEC PGM=IEFBR14
//DD1 DD DISP=(MOD,DELETE),DSN=&TSSOUT,
// UNIT=SYSDA,
// SPACE=(CYL,(10,10)),
// DCB=(RECFM=FB,LRECL=80)

254 Guia de configuração do QRadar DSM

//DD2 DD DISP=(MOD,DELETE),DSN=&EARLOUT,
// UNIT=SYSDA,
// SPACE=(CYL,(10,10)),
// DCB=(RECFM=FB,LRECL=80)
//************************************************************
//* Allocate new dataset *
//************************************************************
//ALLOC EXEC PGM=IEFBR14
//DD1 DD DISP=(NEW,CATLG),DSN=&EARLOUT,
// SPACE=(CYL,(100,100)),
// DCB=(RECFM=VB,LRECL=1028,BLKSIZE=6144)
//************************************************************
//* Execute Top Secret TSSUTIL utility to extract smf records*
//************************************************************
//REPORT EXEC PGM=TSSUTIL
//SMFIN DD DISP=SHR,DSN=&SMFIN1
//SMFIN1 DD DISP=SHR,DSN=&SMFIN2
//UTILOUT DD DSN=&UTILOUT,
// DISP=(,CATLG),UNIT=SYSDA,SPACE=(CYL,(50,10),RLSE),
// DCB=(RECFM=FB,LRECL=133,BLKSIZE=0)
//EARLOUT DD DSN=&TSSOUT,
// DISP=(NEW,CATLG),UNIT=SYSDA,
// SPACE=(CYL,(200,100),RLSE),
// DCB=(RECFM=VB,LRECL=456,BLKSIZE=27816)
//UTILIN DD *
NOLEGEND
REPORT EVENT(ALL) END
/*
//************************************************************
//EXTRACT EXEC PGM=QEXTOPS,DYNAMNBR=10,
// TIME=1440
//STEPLIB DD DISP=SHR,DSN=Q1JACK.C.LOAD
//SYSTSIN DD DUMMY
//SYSTSPRT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
//CFG DD DUMMY
//EARLIN DD DISP=SHR,DSN=&TSSOUT
//EARLOUT DD DISP=SHR,DSN=&EARLOUT
//************************************************************
//FTP EXEC PGM=FTP,REGION=3800K
//INPUT DD *
<IPADDR>
<USER>
<PASSWORD>
PUT ’<EARLOUT>’ EARL_<THEIPOFTHEMAINFRAMEDEVICE>/<QUIT
//OUTPUT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
9. Após o arquivo de saída ser criado, planeje uma tarefa para transferir o arquivo de saída para um
servidor FTP provisório. O arquivo de saída é encaminhado para um servidor FTP provisório.
Deve-se configurar os parâmetros a seguir na JCL de amostra para encaminhar com êxito a saída
para um servidor FTP provisório:

Exemplo:
//FTP EXEC PGM=FTP,REGION=3800K
//INPUT DD *
<IPADDR>
<USER>
<PASSWORD>
PUT ’<EARLOUT>’ EARL_<THEIPOFTHEMAINFRAMEDEVICE>/<EARLOUT>
QUIT
//OUTPUT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
Em que:

36 CA Technologies 255
<IPADDR> é o endereço IP ou o nome do host do servidor FTP provisório para receber o arquivo de
saída.
<USER> é o nome do usuário que é necessário para acessar o servidor FTP provisório.
<PASSWORD> é a senha que é necessária para acessar o servidor FTP provisório.
<THEIPOFTHEMAINFRAMEDEVICE> é o destino do mainframe ou do servidor FTP provisório que
recebe a saída.

Exemplo:
PUT ’xxxxxx.xxxxxxx.OUTPUT.C320’ / <IP_address> /CA/QEXTOPS.OUTPUT.C320
<QEXOUTDSN> é o nome do arquivo de saída que é salvo no servidor FTP provisório.
Agora você está pronto para configurar o protocolo de Arquivo de log.
10. Planeje o QRadar para coletar o arquivo de saída do CA Top Secret.
Se a plataforma zOS estiver configurada para entregar arquivos por meio de FTP, SFTP, ou permitir
SCP, nenhum servidor FTP provisório será necessária e o QRadar poderá extrair o arquivo de saída
diretamente do mainframe. O texto a seguir deve ser comentado usando //* ou excluído do arquivo
qextops_jcl.txt:
//FTP EXEC PGM=FTP,REGION=3800K
//INPUT DD *
<IPADDR>
<USER>
<PASSWORD>
PUT ’<EARLOUT>’ EARL_<THEIPOFTHEMAINFRAMEDEVICE>/<EARLOUT>
QUIT
//OUTPUT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*

O que Fazer Depois

Agora você está pronto para configurar a origem de log no QRadar.

256 Guia de configuração do QRadar DSM

37 Pigmento de Carbono Preto
Vários DSMs do Carbon Black podem ser integrados ao IBM QRadar

Pigmento de Carbono Preto

O DSM IBM QRadar para o Carbon Black coleta eventos de proteção de terminal de um servidor Carbon
Black.

A tabela a seguir descreve as especificações para o DSM Carbon Black:

Tabela 138. Especificações do DSM Carbon Black
Especificação Valor
Fabricante Pigmento de Carbono Preto
Nome do DSM Pigmento de Carbono Preto
Nome do arquivo RPM DSM-CarbonBlackCarbonBlack-Qradar_version-
build_number.noarch.rpm
Versões suportadas 5.1 e mais recente
Protocolo Syslog
Tipos de eventos registrados Ocorrências de lista de observação
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais Website do Carbon Black (https://
www.carbonblack.com/products/cb-response/)

Para integrar o Carbon Black com o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do DSM Carbon Black
v RPM DSMCommon
2. Configure seu dispositivo Carbon Black para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Carbon
Black no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores específicos
para a coleção de eventos do Carbon Black:
Tabela 139. Parâmetros de origem de log do Carbon Black
Parâmetro Valor
Tipo de origem de log Pigmento de Carbono Preto
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

© Copyright IBM Corp. 2005, 2019 257

Configurando o Carbon Black para se comunicar com o QRadar

Para coletar eventos do Carbon Black, deve-se instalar e configurar cb-event-forwarder para enviar
eventos do Carbon Black para o IBM QRadar.

Antes de Iniciar

Instale o RPM do Carbon Black Enterprise e assegure-se de que ele esteja em execução. É possível instalar
o cb-event-forwarder em qualquer computador Linux de 64 bits que esteja executando o CentOS 6.x. Ele
pode ser instalado no mesmo computador que o servidor Carbon Black ou em outro computador. Se você
estiver encaminhando muitos eventos, por exemplo, todas as modificações de arquivo, as modificações de
registro, ou ambas, para o QRadar, instale o cb-event-forwarder em um servidor separado. Se você não
estiver encaminhando muitos eventos para o QRadar, será possível instalar o cb-event-forwarder no
servidor Carbon Black.

Se você estiver instalando o cb-event-forwarder em um computador diferente do servidor Carbon Black,

deverá configurar o servidor Carbon Black:
1. Assegure-se de que a porta TCP 5004 seja aberta através do firewall iptables no servidor Carbon
Black. O event-forwarder se conecta à porta TCP 5004 no servidor Carbon Black para conectar-se ao
barramento de mensagem Cb.
2. Obtenha o nome do usuário e a senha RabbitMQ do arquivo /etc/cb/cb.conf no servidor Carbon
Black. Procure as variáveis RabbitMQUser e RabbitMQPassword e observe seus valores.

Sobre Esta Tarefa

É possível localizar as seguintes instruções, código-fonte e o guia de iniciação rápida no website do

GitHub (https://github.com/carbonblack/cb-event-forwarder/).

Procedimento
1. Se ele ainda não estiver instalado, instale o repositório CbOpenSource:
cd /etc/yum.repos.d
curl -O https://opensource.carbonblack.com/release/x86_64/CbOpenSource.repo
2. Instale o RPM para cb-event-forwarder:
yum install cb-event-forwarder
3. Modifique o arquivo /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf para incluir
udpout=<QRadar_IP_address>:514 e, em seguida, especifique LEEF como o formato de saída:
output_format=leef.
4. Se você estiver instalando em um computador diferente do servidor Carbon Black, copie o nome de
usuário e a senha RabbitMQ para as variáveis rabbit_mq_username e rabbit_mq_password no arquivo
/etc/cb/integrations/event-forwarder/cb-event-forwarder.conf. Na variável cb_server_hostname,
digite o nome do host ou o endereço IP do servidor Carbon Black.
5. Assegure-se de que a configuração seja válida executando o cb-event-forwarder no modo de
verificação:
/usr/share/cb/integrations/event-forwarder/cb-event-forwarder -check.
Se for válida, a mensagem Saída inicializada será exibida. Se houver erros, eles serão impressos na
tela.
6. Escolha o tipo de evento que você deseja capturar.
Por padrão, o Carbon Black publica todos os eventos de feed e lista de observação por meio de
barramento. Se você desejar capturar eventos de sensor brutos ou todas as notificações binaryinfo,
deve-se ativar esses recursos no arquivo /etc/cb/cb.conf.
258 Guia de configuração do QRadar DSM
v Para capturar eventos de sensor brutos, edite a opção DatastoreBroadcastEventTypes no arquivo
/etc/cb/cb.conf para permitir a transmissão dos eventos de sensor brutos que você deseja
exportar.
v Para capturar eventos binários observados, edite a opção EnableSolrBinaryInfoNotifications no
arquivo /etc/cb/cb.conf e configure-a como True.
7. Se qualquer variável for alterada em /etc/cb/cb.conf, reinicie o servidor Carbon Black: "service
cb-enterprise restart".
8. Inicie o serviço cb-event-forwarder usando o comando initctl: initctl start cb-event-forwarder.

Nota: É possível parar o serviço cb-event-forwarder usando o comando initctl: initctl stop
cb-event-forwarder.

Carbon Black Protection

O DSM IBM QRadar para o Carbon Black Protection recebe logs de um dispositivo Carbon Black
Protection.

A tabela a seguir identifica as especificações para o DSM Carbon Black Protection:

Tabela 140. Especificações do DSM Carbon Black Protection
Especificação Valor
Fabricante Pigmento de Carbono Preto
Nome do DSM Carbon Black Protection
Nome do arquivo RPM DSM-CarbonBlackProtection-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 8.0.0, 8.1.0
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Gerenciamento de computador, Gerenciamento de
servidor, Gerenciamento de sessão, Gerenciamento de
política, Cumprimento de política, Eventos internos,
Gerenciamento geral, Descoberta
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais https://www.carbonblack.com/products/carbon-black-
enterprise-protection/

1. Se as atualizações automáticas não estiverem configuradas, faça download da versão mais recente dos
seguintes RPMs em seu QRadar Console
v RPM DSMCommon
v RPM do DSM Carbon Black Protection
2. Ative o console do Carbon Black Protection para comunicar-se com o QRadar.
3. Se o QRadar não detectar a origem de log automaticamente, inclua uma origem de log do Carbon
Black Protection no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para a coleção de eventos do Carbon Black Protection:
Tabela 141. Parâmetros de origem de log do Carbon Black Protection
Parâmetro Valor
Tipo de origem de log Carbon Black Protection

37 Pigmento de Carbono Preto 259

Tabela 141. Parâmetros de origem de log do Carbon Black Protection (continuação)
Parâmetro Valor
Identificador de origem de log Endereço IP ou nome do host da origem de log
Configuração de protocolo Syslog

4. Verifique se o Carbon Black Protection está configurado corretamente.

A tabela a seguir fornece uma mensagem de evento de amostra para o DSM Carbon Black Protection:
Tabela 142. Mensagem de amostra do Carbon Black Protection suportada pelo dispositivo Carbon Black Protection
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Login do usuário do console Sucesso no login do usuário LEEF:1.0 |
Carbon_Black|Protection|
8.0.0.2141|
Console_user_login|
cat=Session Management
sev=4
devTime=Mar 09 2017
18:32:14.360
UTC msg=User
’<Username>’
efetuou login
a partir de
<IP_address>.
externalId=12345
src=<Source_IP_address>
usrName=<Username>
dstHostName=hostname
receivedTime=Mar 09 2017
18:32:14.360 UTC

Configurando o Carbon Black Protection para comunicar-se com o

QRadar
Ative o console do Carbon Black Protection para comunicar-se com o QRadar.

Procedimento
1. Acesse o console do Carbon Black Protection inserindo a URL do servidor Carbon Black Protection em
seu navegador.
2. Na tela de login, insira seu nome de usuário e senha. Deve-se usar uma conta do Carbon Black
Protection com privilégios de Administrador ou Usuário avançado.
3. No menu do console superior, selecione Configuração do sistema na seção Administração.
4. Na página Configuração do sistema, clique na guia Eventos.
5. Na seção Criação de log de eventos externos, clique em Editar. Insira o endereço IP do QRadar Event
Collector no campo de endereço do Syslog e insira 514 para o campo Porta do syslog.
6. Mude o formato do Syslog para LEEF (Q1Labs).
7. Marque Syslog ativado para a saída do syslog.
8. Clique em Atualizar para confirmar as mudanças.

260 Guia de configuração do QRadar DSM

Paridade Bit9 do Carbon Black
Para coletar eventos, deve-se configurar o dispositivo Carbon Black Bit9 Parity para encaminhar eventos
syslog em formato Log Event Extended Format (LEEF).

Procedimento
1. Efetue login no console do Carbon Black Bit9 Parity com privilégios de Administrador ou Usuário
avançado.
2. No menu de navegação no lado esquerdo do console, selecione Administração > Configuração do
sistema.
A janela Configuração do sistema é exibida.
3. Clique em Status do servidor.
A janela Status do servidor é exibida.
4. Clique em Editar.
5. No campo Endereço de syslog, digite o endereço IP do QRadar Console ou Event Collector.
6. Na lista Formato syslog, selecione LEEF (Q1Labs).
7. Marque a caixa de seleção Syslog ativado.
8. Clique em Atualizar.
A configuração está concluída. A origem de log é incluída no IBM QRadar conforme os eventos do
Carbon Black Bit9 Parity são descobertos automaticamente. Os eventos que são encaminhados para o
QRadar pelo Carbon Black Bit9 Parity são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log para o Carbon Black Bit 9 Parity

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Carbon Black
Bit9 Parity.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

37 Pigmento de Carbono Preto 261

Bit9 Security Platform

Use o DSM do IBM QRadar SIEM para a Carbon Black Bit9 Security Platform para coletar eventos dos
dispositivos Carbon Black Bit9 Parity.

A tabela a seguir identifica as especificações para o DSM Bit9 Security Platform:

Tabela 144. Especificações do DSM para Bit9 Security Platform
Especificação Valor
Fabricante Pigmento de Carbono Preto
Nome do DSM Bit9 Security Platform
Nome do arquivo RPM DSM-Bit9Parity-build_number.noarch.rpm
Versões suportadas V6.0.2 e acima
Formato de evento Syslog
Tipos de eventos suportados Todos os eventos
Descobertos automaticamente? Sim
Identidade incluída? Sim
Informações adicionais website Bit9 (http://www.bit9.com)

Para integrar o Bit9 Security Platform com o QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente do RPM
do DSM Bit9 Security Platform.
2. Configure o dispositivo Bit9 Security Platform para permitir a comunicação com o QRadar. Deve-se
criar um destino de syslog e a política de encaminhamento no dispositivo Bit9 Security Platform.
3. Se o QRadar não detectar automaticamente o Bit9 Security Platform como uma origem de log, crie
uma origem de log Bit9 Security Platform no QRadar Console. Use os valores de Bit9 Security
Platform a seguir para configurar os parâmetros de origem de log:

Identificador de Origem de Log O endereço IP ou nome do host do dispositivo Bit9

Security Platform
Tipo de Fonte de Log Bit9 Security Platform
Configuração de protocolo Syslog

262 Guia de configuração do QRadar DSM

Configurando o Carbon Black Bit9 Security Platform para se
comunicar com o QRadar
Configure o dispositivo Carbon Black Bit9 Security Platform para encaminhar eventos para o IBM
QRadar no formato LEEF.

Procedimento
1. Efetue login no console do Carbon Black Bit9 Security Platform com privilégios de Administrador ou
Usuário avançado.
2. No menu de navegação, selecione Administração > Configuração do sistema.
3. Clique em Status do servidor e clique em Editar.
4. No campo Endereço de syslog, digite o endereço IP de seu QRadar Console ou Coletor de eventos.
5. Na lista Formato syslog, selecione LEEF (Q1Labs).
6. Marque a caixa de seleção Syslog ativado e clique em Atualizar.

37 Pigmento de Carbono Preto 263

264 Guia de configuração do QRadar DSM
38 Centrify
O IBM QRadar suporta uma faixa de dispositivos Centrify.

Centrify Identity Platform

O IBM QRadar DSM for Centrify Identity Platform coleta logs de uma Centrify Identity Platform.

Para integrar o Centrify Identity Platform ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v Protocol Common RPM
v RPM de Protocolo da API de REST do Centrify Redrock
v RPM DSMCommon
v RPM do DSM Centrify Identity Platform
2. Configure o Centrify Identity Platform para se comunicar com o QRadar.
3. Inclua uma origem de log do Centrify Identity Platform no QRadar Console. A tabela a seguir
descreve os parâmetros do protocolo de API de REST do Centrify Redrock que requerem valores
específicos para coletar eventos do Centrify Identity Platform:
Tabela 145. Parâmetros de origem de log de protocolo da API de REST do Centrify Redrock
Parâmetro Valor
Tipo de origem de log Centrify Identity Platform
Configuração de protocolo Centrify Redrock REST API
Identificador de Fonte de Log Digite um nome exclusivo para a origem de log.

O Identificador de origem de log pode ser qualquer

© Copyright IBM Corp. 2005, 2019 265

Tabela 145. Parâmetros de origem de log de protocolo da API de REST do Centrify Redrock (continuação)
Parâmetro Valor
Usar Proxy Quando um proxy é configurado, todo o tráfego da API
de REST do Centrify Redrock percorre o proxy.

Configure os campos Servidor proxy, Porta de proxy,

Nome do usuário de proxy e Senha de proxy. Se o
proxy não requerer autenticação, será possível deixar os
campos Nome do usuário de proxy e Senha de proxy
em branco.
Adquirir automaticamente certificado(s) de servidor Selecione Sim para QRadar para fazer download
automaticamente do certificado do servidor e começar a
confiar no servidor de destino.
Regulador de EPS O número máximo de eventos por segundo.

O padrão é 5000.
Recorrência O intervalo de tempo pode ser em horas (H), minutos
(M) ou dias (D).

O padrão é 5 minutos (5M).

Conceitos relacionados:
“Especificações do Centrify Identity Platform DSM”
A tabela a seguir descreve as especificações para o Centrify Identity Platform DSM.
“Mensagem do evento de amostra” na página 268
Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando o Centrify Identity Platform para se comunicar com o QRadar” na página 267
Para enviar eventos para o QRadar por meio do seu Centrify Identity Platform, crie uma função de
usuário e configure uma política de usuário em seu Centrify Identity Platform. O usuário do QRadar
pode, então, criar uma origem de log no QRadar.

Especificações do Centrify Identity Platform DSM

A tabela a seguir descreve as especificações para o Centrify Identity Platform DSM.
Tabela 146. Especificações do Centrify Identity Platform DSM
Especificação Valor
Fabricante Centrify
Nome do DSM Centrify Identity Platform
Nome do arquivo RPM DSM-CentrifyIdentityPlatform-QRadar_version-
build_number.noarch.rpm
Versões suportadas N/A
Protocolo Centrify Redrock REST API
Formato de evento JSON

266 Guia de configuração do QRadar DSM

Tabela 146. Especificações do Centrify Identity Platform DSM (continuação)
Especificação Valor
Tipos de eventos registrados SaaS

Núcleo

Interno

Dispositivo móvel
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Centrify (https: //www.centrify.com/why-
centrify/centrify-identity-platform)

Configurando o Centrify Identity Platform para se comunicar com o

QRadar
Para enviar eventos para o QRadar por meio do seu Centrify Identity Platform, crie uma função de
usuário e configure uma política de usuário em seu Centrify Identity Platform. O usuário do QRadar
pode, então, criar uma origem de log no QRadar.

Antes de Iniciar

Assegure-se de que você tenha os detalhes de ID do Locatário e de login do administrador que são
fornecidos pelo Centrify. Assegure-se de ter as permissões de usuário corretas para o portal de
administrador do Centrify para concluir as etapas a seguir:

Procedimento
1. Efetue login em seu portal de administrador do Centrify Identity Platform.
2. Crie uma função de usuário do Centrify Identity Platform:
a. Na janela de navegação, clique em Funções > Incluir função.
b. No campo Nome, digite o nome para a função.
c. Selecione Membros e, em seguida, clique em Incluir .
d. Na janela Incluir membros, procure o nome de usuário a ser designado à função e, em seguida,
selecione o membro.
e. Clique em Incluir.
f. Selecione Direitos administrativos e, em seguida, clique em Incluir.
g. Na lista Descrição, selecione Administrador do sistema somente leitura.
h. Clique em Salvar.
3. Crie um perfil de autenticação:
a. Na área de janela de navegação, clique em Configurações > Autenticação.
b. No menu Plataforma, clique em Perfis de autenticação.
c. Clique em Incluir perfil e, em seguida, digite um nome para o perfil no campo Nome do perfil.
d. Na área de janela Desafio 1 na janela Mecanismos de autenticação, selecione Senha.
e. Na lista Duração da passagem do desafio, selecione 30 minutos e, em seguida, clique em OK. O
padrão é 30 minutos.

Importante: Não selecione nenhuma opção na área de janela Desafio 2 na janela Mecanismos de
autenticação. Selecione as opções somente na área de janela Desafio 1.

38 Centrify 267
4. Configure uma política do usuário:
a. Na área de janela de navegação, clique em Políticas > Incluir conjunto de política.
b. Na área de janela Configuração de política, digite um nome para a política no campo Nome.
c. Na área de janela Designação de política, clique em Funções especificadas.
d. Clique em Incluir.
e. Na janela Selecionar função, selecione a função que você criou na Etapa 2 da lista Função e, em
seguida, clique em Incluir.
f. No menu Configurações de política, selecione Políticas de login > Centrify Portal.
g. Na janela Ativar controles de política de autenticação, selecione Sim.
h. Na área de janela Perfil padrão, selecione o perfil de autenticação criado na Etapa 3 na lista Perfil
padrão.
i. Clique em Salvar.

Nota: Se você tiver dificuldade ao configurar o Centrify Identity Platform para se comunicar com o
QRadar, entre em contato com o administrador do Centrify ou com o contato do Centrify.

Mensagem do evento de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra ao usar o protocolo de API de REST do
Centrify Identity Platform para o Centrify Identity Platform DSM:
Tabela 147. Mensagem de amostra do Centrify Identity Platform suportada pelo Centrify Identity Platform
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Cloud.Core.Login. Tentativa de Login do Usuário {
MultiFactorChallenge "AuthMethod": "MultiAuth", "Level":
"Erro", "UserGuid": " c2c7bcc6-9560
-44e0-8dff-5be221cd37ee "," Mechanism "
: "EMail", "Tenant": "AAM0428",
"FromIPAddress": "<IP_address>", "ID"
: " 772c2e1908a4f11b.W03.c5ab.a93685
2233b2232d","RequestDeviceOS":
"Windows", "EventType": " Cloud.Core.
Login.MultiFactorChallenge "," Request
HostName ":" 192.0.2.1 "," ThreadType ":
"RestCall", "UserName": " username
@example.com "," NormalizedUser ":
"[email protected]", "WhenLogged":
"/Date (1472679431199 )/", " Quando
Ocorrido ":" /Date (1472679431199 )/ "
, "Target": "[email protected]" }

Centrify Infrastructure Services

O IBM QRadar DSM for Centrify Infrastructure Services coleta eventos dos logs padrão do Centrify
Infrastructure Services.

A tabela a seguir descreve as especificações para o Centrify Infrastructure Services DSM:

Tabela 148. Especificações do DSM Centrify Infrastructure Services
Especificação Valor
Fabricante Centrify
Nome do DSM Centrify Infrastructure Services

268 Guia de configuração do QRadar DSM

Tabela 148. Especificações do DSM Centrify Infrastructure Services (continuação)
Especificação Valor
Nome do arquivo RPM DSM-CentrifyInfrastructureServices-
QRadar_version-build_number.noarch.rpm
Versões Suportadas Centrify Infrastructure Services 2017
Protocolo Syslog, TLS Syslog e WinCollect
Formato de evento Par nome-valor (NVP)
Tipos de eventos registrados Eventos de auditoria
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Centrify (https://www.centrify.com/
support/documentation/server-suite/)

Para integrar o Centrify Infrastructure Services ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente do
Centrify Infrastructure Services DSM RPM em seu QRadar Console.

Nota: Se você usar a opção de configuração de protocolo WinCollect, instale o pacote configurável do
agente WinCollect mais recente (arquivo .sfs) em seu QRadar Console.
2. Para enviar eventos syslog ou do Windows ao QRadar, configure o dispositivo UNIX, Linux ou
Windows em que os logs padrão do Centrify Infrastructure Services estão disponíveis.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Centrify
Infrastructure Services no QRadar Console.
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos do
Centrify Infrastructure Services:
Tabela 149. Parâmetros de origem de log do Centrify Infrastructure Services
Parâmetro Valor
Tipo de origem de log Centrify Infrastructure Services
Configuração de protocolo Syslog
Identificador de Fonte de Log O endereço IP ou o nome do host do dispositivo UNIX,
Linux ou Windows que envia eventos do Centrify
Infrastructure Services ao QRadar.

4. Opcional: para incluir uma origem de log do Centrify Infrastructure Services para receber eventos do
Syslog de dispositivos de rede que suportam o encaminhamento de eventos do TLS Syslog, configure
a origem de log no QRadar Console para usar o protocolo TLS Syslog.
Tabela 150. Parâmetros de origem de log do TLS Syslog do Centrify Infrastructure Services
Parâmetro Valor
Tipo de origem de log Centrify Infrastructure Services
Configuração do Protocolo TLS Syslog
Log Source Identifier Digite um identificador exclusivo para a origem de log.
Protocolos TLS Selecione a versão de TLS que está instalada no cliente.

38 Centrify 269
Nota: Para receber eventos Syslog criptografados de até 50 dispositivos de rede que suportam
encaminhamento de eventos do TLS Syslog, configure uma origem de log para usar o protocolo TLS
Syslog.
Conceitos relacionados:
“Opções de configuração de protocolo syslog TLS” na página 84
Configure uma origem de log do protocolo Syslog do TLS para receber eventos syslog criptografados de
até 1.000 dispositivos de rede que suportam encaminhamento de eventos do TLS Syslog.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o agente WinCollect para coletar logs de eventos do

Centrify Infrastructure Services
É possível encaminhar eventos do Windows para o IBM QRadar usando o WinCollect.

Para encaminhar eventos do Windows usando o WinCollect, instale o agente WinCollect no host do
Windows. Faça download do arquivo de configuração do agente WinCollect no Website do suporte IBM
(https://www.ibm.com/support). Inclua uma origem de log do Centrify Infrastructure Services e
designe-a ao agente do WinCollect.

A tabela a seguir descreve os valores que são necessários para os parâmetros de origem de log do
WinCollect.
Tabela 151. Parâmetros de origem de log do WinCollect
Parâmetro Valor
Tipo de origem de log Centrify Infrastructure Services
Configuração de protocolo WinCollect
Identificador de Fonte de Log O endereço IP ou o nome do host da máquina Windows
da qual você deseja coletar eventos do Windows. O
identificador de origem de log deve ser exclusivo para o
tipo de origem de log.
Sistema Local Marque a caixa de seleção Sistema local para desativar a
coleta remota de eventos para a origem de log. A origem
de log usa credenciais do sistema local para coletar e
encaminhar logs para o QRadar.

Será necessário configurar os parâmetros Domain,

Username e Password se a coleção remota for necessária.

270 Guia de configuração do QRadar DSM

Tabela 151. Parâmetros de origem de log do WinCollect (continuação)
Parâmetro Valor
Perfil de ajuste de taxa de eventos Para o intervalo de pesquisa padrão de 3000 ms, as taxas
de eventos por segundo (EPS) possíveis são as seguintes:
v Padrão (terminal): 33 - 50 EPS
v Servidor típico: 166 - 250 EPS
v Servidor com alta taxa de eventos: 416 - 625 EPS

Para um intervalo de pesquisa de 1000 ms, as taxas de

EPS aproximadas são as seguintes:
v Padrão (terminal): 100 - 150 EPS
v Servidor típico: 500 - 750 EPS
v Servidor com alta taxa de eventos: 1250 - 1875 EPS

Para obter mais informações sobre o ajuste do

WinCollect, acesse o Website do suporte IBM
(http://www.ibm.com/support/
docview.wss?uid=swg21672193).
Intervalo de pesquisa (ms) O intervalo, em milissegundos, entre os momentos em
que o WinCollect pesquisa novos eventos.
Tipo de log do aplicativo ou do serviço Selecione Nenhum para o Application or Service Log
Type.
Tipos de Log Padrão Não ative a caixa de seleção para nenhum dos tipos de
log.

Selecione Sem filtragem como o tipo de filtro de log

para os tipos de log a seguir: Segurança, Sistema,
Aplicativo, Servidor DNS, Serviço de replicação de
arquivo e Serviço de diretório.
Tipos de eventos Deve-se selecionar pelo menos um tipo de evento.
Consulta XPath Para encaminhar apenas eventos de Auditoria do
Centrify, deve-se especificar o filtro XPath. A consulta
está no formato XML e pode ser criada usando as
Propriedades de visualização customizada do Microsoft
Event Viewer.

Para obter mais informações sobre como criar uma

consulta XPath, acesse a documentação Criando uma
visualização customizada no website do Suporte IBM
(https://www.ibm.com/support/knowledgecenter/
SS42VS_7.3.0/com.ibm.wincollect.doc/
t_ug_wincollect_creating_customview.html).

Importante: Ao criar a visualização customizada,

assegure-se de que a opção Por origem esteja
selecionada. Na lista Origens de eventos, selecione o
nome do aplicativo de Eventos de auditoria do Centrify.

Exemplo de consulta XPath:

<QueryList>
<Query Id="0" Path="Application">
<SelectPath="Application">*[System
[Provider[@Name=’Centrify AuditTrail
V2’]]]</Select>
</Query>
</QueryList>
Ativar consultas do Active Directory Não selecione a caixa de opção.

38 Centrify 271
Tabela 151. Parâmetros de origem de log do WinCollect (continuação)
Parâmetro Valor
WinCollectAgente Selecione seu agente WinCollect na lista.
Destino Interno Alvo Use qualquer host gerenciado com um componente do
processador de evento como um destino interno.

Para obter mais informações sobre parâmetros de origem de log do WinCollect, acesse a Documentação
sobre parâmetros de origem de log do Common WinCollect no IBM Support website
(https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.6/com.ibm.wincollect.doc/
r_ug_wincollect_comon_parameters.html).

Configurando o Centrify Infrastructure Services em um dispositivo

UNIX ou Linux para se comunicar com o QRadar
É possível configurar seu dispositivo UNIX ou Linux para enviar eventos de auditoria ao IBM QRadar.
Os eventos de auditoria estão disponíveis localmente nos logs de eventos syslog em que o Centrify
Infrastructure Services está instalado e configurado.

Procedimento
1. Efetue login no dispositivo Centrify Infrastructure Services.
2. Assegure-se de que o syslog ou rsyslog esteja instalado:
v Para verificar se o syslog está instalado, digite service syslog status.
v Para verificar se o rsyslog está instalado, digite service rsyslog status.
3. Se syslog ou rsyslog não estiver instalado, instale-os usando seu método preferencial com base em seu
dispositivo UNIX ou Linux. Por exemplo, é possível digitar o seguinte comando para instalar o
rsyslog em um dispositivo Linux:
yum install rsyslog
4. Para encaminhar eventos para o QRadar Event Collector, abra o arquivo rsyslog.conf ou o arquivo
syslog.conf que está localizado no diretório /etc/ e, em seguida, inclua a seguinte linha:
:msg, contains, "AUDIT_TRAIL" @@<QRadar Event Collector IP>:514

Exemplo: :msg, contains, "AUDIT_TRAIL" @@127.0.0.1:514

5. Reinicie o serviço syslog ou rsyslog:
v Se você estiver usando o syslog, digite service syslog restart.
v Se você estiver usando o rsyslog, digite service rsyslog restart.

Nota: O agente do Centrify Linux pode encaminhar algumas mensagens do sistema Linux com os
logs de Trilha de auditoria. Se nenhuma categoria específica for encontrada, o tipo de origem de log
do sistema operacional Linux no QRadar descobrirá as mensagens do Linux e as normalizará como
armazenadas.

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir mostra mensagens de evento de amostra do Centrify Infrastructure Services:

272 Guia de configuração do QRadar DSM

Tabela 152. Mensagem de amostra do Centrify Infrastructure Services
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Sucesso do login remoto Login de Acesso Remoto <13>May 09 20:58:48
Bem-sucedido 127.1.1.1 AgentDevice=WindowsLog
AgentLogFile=Application Plugin
Version=7.2.6.39 Source=Centrify
AuditTrail V2 Computer=Centrify
WindowsAgent.Centrify.lab
OriginatingComputer=127.1.1.1
User=user Domain
= CENTRIFY EventID = 1234 EventID
Code=1234 EventType=4 Event
Category=4 RecordNumber=1565
TimeGenerated=1494374321
TimeWritten=1494374321
Level=Informational Keywords=
ClassicTask=None Opcode=Info
Message=Product: Centrify
Suite Category: Direct
Authorize - Windows Event name:
Remote login success Message:
User successfully logged on
remotely using role ’Windows
Login/CentrifyTest’. May 09
16:58:41 centrifywindowsagent.
centrify.lab dzagent[2008]:
INFO AUDIT_TRAIL|Centrify Suite
|DirectAuthorize - Windows|
1.0|3|Remote login success|5
|user=username userSid=domain
\username sessionId=6 centrify
EventID=6003 DAInst=N/A DASess
ID=N/A role=Windows Login/
CentrifyTest desktopguid=7678b3
5e-00d0-4ddf-88f5-6626b8b1ec4b
O usuário efetuou login no Sucesso no Login de Usuário <38>May 4 23:45:19
sistema com êxito hostname adclient[1472]: INFO AUDIT
_TRAIL|Centrify Suite|Centrify
Commands|1.0|200|The user login
to the system successfully|5|user
= user pid=1234 utc=1493952319951
centrifyEventID=18200 DASessID=
c6b7551c-31ea-8743-b870-
cdef47393d07 DAInst=Default
Installation status=SUCCESS service
=sshd tty=/dev/pts/2

38 Centrify 273
274 Guia de configuração do QRadar DSM
39 Ponto de verificação
Vários produtos Check Point podem ser integrados ao IBM QRadar.

Os produtos a seguir são suportados:

v Firewall
v SmartDefense
v IPS
v Anti Malware
v Anti-Bot
v Antivírus
v Acesso Móvel
v DDoS Protector
v Security Gateway/Management
v Threat Emulation
v Filtragem de URL
v DLP
v Application Control
v Identity Logging
v VPN
v Segurança de endpoint

Ponto de verificação
É possível configurar o IBM QRadar para se integrar a um dispositivo Check Point empregando um dos
vários métodos.

Empregue um dos métodos a seguir:

v “Integração do Check Point usando o OPSEC”
v “Integrar o Check Point usando o syslog” na página 282
v “Integração de eventos Check Point Firewall de encaminhadores de syslog externos” na página 284

Nota: Dependendo do seu Sistema operacional, os procedimentos para o dispositivo Check Point podem
variar. Os procedimentos a seguir são baseadas no sistema operacional Check Point SecurePlatform.

Integração do Check Point usando o OPSEC

Esta seção descreve como assegurar que o IBM QRadar aceite eventos do Check Point usando o Open
Platform for Security (OPSEC/LEA).

Para integrar o Check Point OPSEC/LEA ao QRadar, deve-se criar dois arquivos Secure Internal
Communication (SIC) e inserir as informações no QRadar como uma origem de log do Check Point.

Visão geral de configuração do Check Point

Para integrar o Check Point ao QRadar, deve-se concluir os procedimentos a seguir em sequência:
1. Inclua o QRadar como um host para o Check Point.
2. Inclua um aplicativo OPSEC no Check Point.

© Copyright IBM Corp. 2005, 2019 275

3. Localize o DN Secure Internal Communications da origem de log.
4. No QRadar, configure o protocolo OPSEC LEA.
5. Verifique a configuração de comunicações OPSEC/LEA.

Incluindo um host do Check Point

É possível incluir o IBM QRadar como um host no Check Point SmartCenter:

Procedimento
1. Efetue login na interface com o usuário do Check Point SmartCenter.
2. Selecione Objetos > Novo host.
3. Insira as informações para seu host do Check Point:
v Nome do objeto: QRadar
v Endereço IP: endereço IP do QRadar
4. Clique em OK.

O que Fazer Depois

Agora, você está pronto para criar um Objeto de aplicativo OPSEC para o Check Point.

Criando um objeto de aplicativo OPSEC

Depois de incluir o IBM QRadar como um host no Check Point SmartCenter, é possível criar o Objeto do
aplicativo OPSEC.

Procedimento
1. Abra a interface com o usuário do Check Point SmartConsole.
2. Selecione Objetos > Mais tipos de objeto > Servidor > Aplicativo OPSEC > Novo aplicativo.
3. Configure seu aplicativo OPSEC:
a. Configure os parâmetros de Propriedades do aplicativo OPSEC a seguir.
Tabela 153. Propriedades do aplicativo OPSEC
Parâmetro Valor
Nome QRadar-OPSEC
Host QRadar
Entidades do cliente LESSA

b. Clique em Comunicação.
c. No campo Senha descartável, digite a senha que você deseja usar.
d. No campo Confirmar senha descartável, digite a senha que você usou para Senha descartável.
e. Clique em Inicializar.
f. Clique em Fechar.
4. Selecione Menu > Política de instalação
5. Clique em Publicar e instalar.
6. Clique Instalar.
7. Selecione Menu > Instalar banco de dados.
8. Clique Instalar.

Nota: O valor SIC é necessário para o parâmetro de atributo OPSEC Application Object SIC ao
configurar a origem de log do Check Point no QRadar. O valor poderá ser localizado visualizando o
Objeto de aplicativo OPSEC depois que ele for criado.

276 Guia de configuração do QRadar DSM

O Objeto de aplicativo OPSEC é semelhante ao exemplo a seguir:
CN=QRadar=OPSEC,0=cpmodule..tdfaaz

Resultados

Se você tiver problemas depois de instalar a política de banco de dados, entre em contato com o
administrador do sistema para reiniciar os serviços Check Point no servidor SmartCenter central que
hospeda os arquivos de políticas. Após reiniciar os serviços, as políticas atualizadas são enviadas para
todos os dispositivos Check Point.

Localizando o SIC de origem de log

Depois de criar o Objeto de aplicativo OPSEC, é possível localizar o SIC de origem de log do Check Point
SmartConsole:

Procedimento
1. Selecione Objetos > Object Explorer.
2. Na árvore Categorias, selecione Gateways e servidores em Objetos de rede.
3. Selecione seu objeto do Host do log do Check Point.
4. Copie o Secure Internal Communication (SIC).

Importante: Dependendo da versão do Check Point, o botão Comunicação exibe o atributo SIC. É
possível localizar o atributo SIC na interface da linha de comandos do Check Point Management
Server. Deve-se usar o comando cpca_client lscert na interface da linha de comandos do Servidor de
Gerenciamento para exibir todos os certificados.

Importante: O Atributo SIC de origem de log é semelhante ao exemplo a seguir:

cn=cp_mgmt,o=cpmodule...tdfaaz. Para obter mais informações, consulte o Guia da interface da linha de
comandos do Check Point.
Deve-se instalar agora a Política de segurança da interface com o usuário do Check Point
SmartConsole.

O que Fazer Depois

Agora você está pronto para configurar o protocolo OPSEC LEA.

Configurando uma origem de log OPSEC/LEA no IBM QRadar

Depois de localizar o SIC da origem de log, configure o protocolo OPSEC LEA:

39 Ponto de verificação 277

Tabela 154. Parâmetros do protocolo OPSEC/LEA
Parâmetro Descrição
Identificador de origem de log Digite o endereço IP para a origem de log. Esse valor
deve corresponder ao valor que está configurado no
parâmetro IP do servidor.

O identificador de origem de log deve ser exclusivo para

o tipo de origem de log.
IP do servidor Digite o endereço IP do host Check Point ou o IP do
Check Point Management Server.
Porta do servidor Digite o número da porta que é usada para comunicação
OPSEC.

Os administradores devem assegurar que a política de

firewall existente permita a conexão LEA/OPSEC a
partir do QRadar.
Usar IP do servidor para origem de log Selecione a caixa de opções para usar o endereço IP do
servidor LEA em vez de o endereço IP do dispositivo
gerenciado para uma origem de log. Todos os eventos
que são recebidos pelo QRadar são afunilados em uma
única origem de log. Limpe a caixa de seleção para que
todos os eventos encaminhados pelo Check Point
Management Server vão para suas origens de log
individuais. Por padrão, esse parâmetro é ativado.
Intervalo do relatório de estatísticas Digite o intervalo, em segundos, durante o qual o
número de eventos syslog são registrados no arquivo
.log do QRadar. O intervalo válido vai de 4 a
2.147.483.648 e o padrão é 600.
Tipo de Autenticação Na lista, selecione o Tipo de autenticação que você
deseja para esta configuração do LEA.

As opções são as seguintes:

v sslca (padrão)
v sslca_clear
v clear

Esse valor deve corresponder ao método de autenticação

que é configurado no servidor de gerenciamento de log
customizado do Check Point Firewall.
Atributo SIC de objeto de aplicativo OPSEC (nome do Digite o nome do Secure Internal Communications (SIC)
SIC) do Objeto de aplicativo OPSEC.

O nome do SIC é o nome distinto (DN) do aplicativo,

por exemplo: CN=LEA, o=fwconsole..7psasx.
Atributo SIC de origem de log (nome do SIC de Digite o nome do SIC para o servidor que gera as
entidade) origens de log.
Exemplo: cn=cp_mgmt,o=fwconsole..7psasx.
Especificar certificado Marque a caixa de seleção Especificar certificado para
definir um certificado para essa configuração LEA.
Nome do arquivo de certificado Digite o nome do arquivo do certificado que deseja usar
para esta configuração. O arquivo de certificado deve
estar localizado no diretório /opt/qradar/conf/
trusted_certificates/lea.
IP da autoridade de certificação Digite o endereço IP do servidor SmartCenter do qual
você deseja obter seu certificado.

278 Guia de configuração do QRadar DSM

Tabela 154. Parâmetros do protocolo OPSEC/LEA (continuação)
Parâmetro Descrição
Obter senha de certificado Digite a senha que você deseja usar quando solicitar um
certificado.
Aplicativo OPSEC Digite o nome do aplicativo que deseja usar quando
solicitar um certificado. Esse valor pode ter até 255
caracteres de comprimento.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.

O que Fazer Depois

Agora, você está pronto para verificar suas comunicações OPSEC/LEA para o Check Point.

Editar configuração de comunicações OPSEC

Esta seção descreve como modificar sua configuração do Check Point para permitir comunicações OPSEC
em portas não padrão.

Ela também explica como configurar as comunicações em um texto não criptografado, fluxo não
autenticado, e verificar a configuração no IBM QRadar.

Alterar o endereço IP do Check Point Custom Log Manager (CLM)

Se a configuração do Check Point incluir um Check Point Custom Log Manager (CLM), você poderá
eventualmente precisar alterar o endereço IP para o CLM, o que impacta qualquer origem de log de
Check Point descoberta automaticamente desse CLM no QRadar. Ao incluir manualmente a origem de
log para o CLM usando o protocolo OPSEC/LEA, todos os firewalls Check Point que encaminham logs
para o CLM são descobertos automaticamente pelo QRadar. Essas origens de log descobertas
automaticamente não podem ser editadas. Se o endereço IP do CLM mudar, você deverá editar a origem
de log do Check Point CLM original que contém a configuração do protocolo OPSEC/LEA e atualizar o
endereço IP do servidor e o identificador de origem de log.

Depois de atualizar a origem de log para o novo endereço IP do Check Point CLM, quaisquer novos
eventos relatados pelas origens de log de Check Point descobertas automaticamente serão atualizados.

Importante: Não exclua e recrie o Check Point CLM ou as origens de log descobertas automaticamente
no QRadar. A exclusão de uma origem de log não exclui dados de eventos, mas pode tornar mais difícil a
descoberta de eventos registrados anteriormente.

Atualizando a origem de log Check Point OPSEC

É possível atualizar a origem de log Check Point OPSEC.

Procedimento
1. Efetue login no IBM QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Selecione a origem de log Check Point CLM original que contém a configuração do protocolo
OPSEC/LEA e clique em Editar.
6. No campo Identificador de origem de log, digite um novo nome de identificação do Check Point
CLM.

39 Ponto de verificação 279

7. No campo IP do servidor, digite o novo endereço IP do Check Point CLM.
8. Clique em Salvar.
A atualização do endereço IP do Check Point CLM no IBM QRadar está concluída.

Alterando a porta padrão para comunicação do OPSEC LEA

Altere a porta padrão (18184) na qual o OPSEC LEA se comunica.

Procedimento
1. No prompt da linha de comandos do Check Point SmartCenter Server, digite o comando a seguir para
parar os serviços de firewall:
cpstop
2. Dependendo do sistema operacional Check Point SmartCenter Server, abra o arquivo a seguir:
v Linux - $FWDIR\conf\fwopsec.conf
v Windows - %FWDIR%\conf\fwopsec.conf
O conteúdo padrão desse arquivo é este:
# The VPN-1 default settings are:
# # sam_server auth_port 0 # sam_server port 18183
# # lea_server auth_port 18184 # lea_server port 0
# # ela_server auth_port 18187 # ela_server port 0
# # cpmi_server auth_port 18190
# # uaa_server auth_port 19191 # uaa_server port 0 #
3. Altere o padrão lea_server auth_port de 18184 para outro número de porta.
4. Remova a marca de hash (#) dessa linha.

Exemplo:

lea_server auth_port 18888 # lea_server port 0

5. Salve o arquivo e feche-o.
6. Digite o comando a seguir para iniciar os serviços de firewall:
cpstart

Configurando o OPSEC LEA para comunicações não criptografadas

É possível configurar o protocolo OPSEC LEA para comunicações não criptografadas:

Procedimento
1. No prompt de comandos do Check Point SmartCenter Server, pare os serviços de firewall digitando o
comando a seguir:
cpstop
2. Dependendo do sistema operacional Check Point SmartCenter Server, abra o arquivo a seguir:
v Linux - $FWDIR\conf\fwopsec.conf
v Windows - %FWDIR%\conf\fwopsec.conf
3. Altere o padrão lea_server auth_port de 18184 para 0.
4. Altere default lea_server port de 0 para 18184.
5. Remova as marcas hash (#) de ambas as linhas.

Exemplo:

lea_server auth_port 0 lea_server port 18184

6. Salve o arquivo e feche-o.
7. Digite o comando a seguir para iniciar os serviços de firewall:

280 Guia de configuração do QRadar DSM

cpstart

Configurando o IBM QRadar para receber eventos de um dispositivo Check Point

Configure o IBM QRadar para receber eventos de um dispositivo Check Point.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione Check Point.
7. Usando a lista Protocolo de configuração, selecione OPSEC/LEA.
8. Configure os parâmetros a seguir:
Tabela 155. Parâmetros do protocolo OPSEC/LEA
Parâmetro Descrição
Identificador de origem de log Digite o endereço IP para a origem de log. Esse valor deve corresponder ao valor
que está configurado no parâmetro IP do servidor.

O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
IP do servidor Digite o endereço IP do servidor.
Porta do servidor Digite o número da porta que é usada para comunicação OPSEC. O intervalo
válido é 0 - 65.536 e a porta padrão usada pelo QRadar é 18184.
Usar IP do servidor para Marque a caixa de seleção Usar IP do servidor para origem de log se desejar
origem de log usar o endereço IP do servidor LEA em vez do endereço IP do dispositivo
gerenciado para uma origem de log. Por padrão, essa caixa de seleção é marcada.
Intervalo do relatório de Digite o intervalo, em segundos, durante o qual o número de eventos syslog são
estatísticas registrados no arquivo .log do QRadar. O intervalo válido vai de 4 a
2.147.483.648 e o padrão é 600.

39 Ponto de verificação 281

Tabela 155. Parâmetros do protocolo OPSEC/LEA (continuação)
Parâmetro Descrição
Tipo de Autenticação Na lista, selecione o Tipo de autenticação que você deseja usar para essa
configuração do LEA. As opções são sslca (padrão), sslca_clear ou clear. Esse
valor deve corresponder ao método de autenticação que é usado pelo servidor. Os
parâmetros a seguir aparecerão se sslca ou sslca_clear for selecionado como o
tipo de autenticação:
v Atributo SIC de objeto de aplicativo OPSEC (nome do SIC) – Digite o nome
do Secure Internal Communications (SIC) do Objeto de aplicativo OPSEC. O
nome do SIC é o nome distinto (DN) do aplicativo, por exemplo: CN=LEA,
o=fwconsole..7psasx. O nome pode ter até 255 caracteres de comprimento e
faz distinção entre maiúsculas e minúsculas.
v Atributo SIC de Origem de log (nome do SIC da entidade) - Digite o nome
do SIC do servidor, por exemplo: cn=cp_mgmt,o=fwconsole.7 psasx. O nome
pode ter até 255 caracteres de comprimento e faz distinção entre maiúsculas e
minúsculas.
v Especificar certificado - Marque essa caixa de seleção se desejar definir um
certificado para essa configuração do LEA. O QRadar tenta recuperar o
certificado usando esses parâmetros quando o certificado é necessário.

Se você marcar a caixa de seleção Especificar certificado, o parâmetro Nome do

arquivo de certificado será exibido:
v Nome do arquivo de certificado – Essa opção aparece somente se Especificar
certificado está selecionado. Digite o nome do arquivo do certificado que
deseja usar para esta configuração. O arquivo de certificado deve estar
localizado no diretório /opt/qradar/conf/trusted_certificates/lea.

Se você desmarcar a caixa de seleção Especificar certificado, os parâmetros a

seguir aparecerão:
v IP da autoridade de certificação – Digite o endereço IP do servidor
SmartCenter do qual você deseja obter seu certificado.
v Obter senha do certificado - Digite a senha que você deseja usar quando
solicitar um certificado. A senha pode ter até 255 caracteres de comprimento.
v Aplicativo OPSEC – Digite o nome do aplicativo que você deseja usar quando
solicitar um certificado. Esse valor pode ter até 255 caracteres de comprimento.

Importante: O acesso à porta 18210 é necessário para pulls do certificado.

9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

Integrar o Check Point usando o syslog

Esta seção descreve como assegurar que o IBM QRadar Check Point DSMs aceite eventos do Check Point
com o syslog.

Antes de configurar o IBM QRadar para integração ao dispositivo Check Point, deve-se executar as
etapas a seguir:

Importante: Se o Check Point SmartCenter for instalado no Microsoft Windows, deve-se integrar o Check
Point com o QRadar usando OPSEC.
1. Digite o comando a seguir para acessar o console Check Point como um usuário especialista:
expert
Um prompt de senha é exibido.
2. Digite a senha do console do especialista. Pressione a tecla Enter.
3. Abra o arquivo a seguir:

282 Guia de configuração do QRadar DSM

/etc/rc.d/rc3.d/S99local
4. Inclua as linhas a seguir:
$FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> /dev/null 2>&1 &
Em que:
v <facility> é um recurso syslog, por exemplo, local3.
v <priority> é uma prioridade syslog, por exemplo, info.
Por exemplo:
$FWDIR/bin/fw log -ftn | /usr/bin/logger -p local3.info > /dev/null 2>&1 &
5. Salve o arquivo e feche-o.
6. Abra o arquivo syslog.conf.
7. Inclua a linha a seguir:
<facility>.<priority> <TAB><TAB>@<host>
Em que:
v <facility> é o recurso syslog, por exemplo, local3. Esse valor deve corresponder ao valor que você
digitou na Etapa 4.
v <priority> é a prioridade de syslog, por exemplo, info ou notice. Esse valor deve corresponder ao
valor que você digitou na Etapa 4.
<TAB> indica que deve-se pressionar a tecla Tab.
<host> indica o QRadar Console ou host gerenciado.
8. Salve o arquivo e feche-o.
9. Insira o comando a seguir para reiniciar o syslog:
v No Linux: service syslog restart
v No Solaris: /etc/init.d/syslog start
10. Insira o comando a seguir:
nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> > /dev/null 2>&1 &
Em que:
v <facility> é um recurso Syslog, por exemplo, local3. Esse valor deve corresponder ao valor que
você digitou na Etapa 4.
v <priority> é uma prioridade do Syslog, por exemplo, info. Esse valor deve corresponder ao valor
digitado na Etapa 4.

A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos de syslog do
Check Point são descobertos automaticamente. Eventos que são encaminhados para o QRadar são
exibidos na guia Atividade de log.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos do syslog do Check
Point. As etapas de configuração a seguir são opcionais.

39 Ponto de verificação 283

9. Usando a lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:
Tabela 156. Parâmetros de Syslog
Parâmetro Valor
Identificador de Origem de Log O endereço IP ou o nome do host para a origem de log,
que é usado como um identificador para os eventos que
são encaminhados pelo dispositivo Check Point.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

Integração de eventos Check Point Firewall de encaminhadores de

syslog externos
Os eventos Check Point Firewall podem ser encaminhados por origens externas, como Splunk
Forwarders, ou outros encaminhadores de syslog de terceiros que enviam eventos ao IBM QRadar.

Quando eventos Check Point Firewall são fornecidos por origens externas no formato syslog, os eventos
são identificados com o endereço IP no cabeçalho syslog. Essa identificação faz com que os eventos sejam
identificados incorretamente quando são processados com o protocolo syslog padrão. O protocolo de
redirecionamento de syslog fornece aos administradores um método para substituir um endereço IP da
carga útil do evento no cabeçalho syslog para identificar corretamente a origem de eventos.

Para substituir um endereço IP, os administradores devem identificar um campo comum a partir da carga
útil do evento Check Point Firewall que contém o endereço IP adequado. Por exemplo, os eventos de
Splunk Forwarders usam orig= na carga útil do evento para identificar o endereço IP original para o
Check Point Firewall. O protocolo é substituído no endereço IP adequado para assegurar que o
dispositivo seja identificado corretamente na origem de log. Conforme os eventos Check Point Firewall
são encaminhados, o QRadar descobre e cria automaticamente novas origens de log para cada endereço
IP exclusivo.

As substituições são executadas com expressões regulares e podem suportar eventos syslog TCP ou UDP.
O protocolo configura iptables automaticamente para a origem de log inicial e a configuração de porta. Se
um administrador decidir alterar a designação de porta, uma ação Implementar Configuração Completa
será necessária para atualizar a configuração de iptables e usar a nova designação de porta.

Configurando uma origem de log para eventos encaminhados pelo Check Point
Para coletar eventos brutos que são encaminhados por uma origem externa, deve-se configurar uma
origem de log antes que os eventos sejam encaminhados para o IBM QRadar.

284 Guia de configuração do QRadar DSM

Tabela 157. Parâmetros de protocolo de redirecionamento de syslog
Parâmetro Descrição
Identificador de origem de log Digite o endereço IP ou o nome do host para a origem
de log como um identificador para os eventos Check
Point Firewall.

O identificador de origem de log deve ser um valor

exclusivo.
Regex do identificador de origem de log Digite a expressão regular (regex) necessária para
identificar o endereço IP do Check Point Firewall da
carga útil do evento.
Exemplo: Os administradores podem usar a expressão
regular a seguir para analisar eventos Check Point
Firewall que são fornecidos pelos Encaminhadores
Splunk.

orig=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Executar Consulta de DNS Em Correspondência Regex Marque a caixa de seleção Executar consulta de DNS em
correspondência de expressão regular para ativar a
funcionalidade DNS, que é baseada no valor de
parâmetro Identificador de origem de log.

Por padrão, a caixa de seleção não é marcada.

Porta de escuta Digite o número da porta que é usado pelo QRadar para
aceitar eventos de redirecionamento de syslog recebidos.

A porta de escuta padrão é 517.

O número da porta que você configura deve

corresponder à porta configurada no dispositivo que
encaminha os eventos syslog. Os administradores não
podem especificar a porta 514 nesse campo.
Protocolo Na lista, selecione UDP ou TCP.

O protocolo de redirecionamento de syslog suporta

qualquer número de conexões syslog UDP, mas restringe
as conexões TCP a 2500. Se o fluxo de syslog tiver mais
de 2500 origens de log, deve-se inserir uma segunda
origem de log Check Point e o número da porta de
escuta.
Ativado Selecione essa caixa de seleção para ativar a origem de
log. Por padrão, essa caixa de seleção é marcada.
Credibilidade Na lista, selecione a Credibilidade da origem de log. O
intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou

39 Ponto de verificação 285

Tabela 157. Parâmetros de protocolo de redirecionamento de syslog (continuação)
Parâmetro Descrição
Unindo eventos Marque a caixa de seleção Unindo eventos para permitir
que a origem de log una (empacote) eventos.

Por padrão, as origens de logs descobertas

automaticamente herdam o valor da lista Eventos unidos
das configurações do sistema em QRadar. Ao criar uma
origem de log ou editar uma configuração existente, é
possível substituir o valor padrão configurando esta
opção para cada origem de log.
Carga útil do evento recebido Na lista Carga útil do evento recebida, selecione o
codificador de carga útil recebida para analisar e
armazenar os logs.
Armazenar carga útil do evento Marque a caixa de seleção Armazenar carga útil do
evento para permitir que a origem do log armazene
informações de carga útil do evento.

Por padrão, as origens de log descobertas

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

Configure o Check Point Log Exporter para encaminhar eventos LEEF

para o QRadar usando syslog
O IBM QRadar DSM for Check Point coleta eventos do Log Extended Event Format (LEEF) de
dispositivos Check Point usando o protocolo syslog.

Para encaminhar eventos LEEF para o QRadar, use o Check Point Log Exporter para enviar eventos
LEEF.

Instalação do Log Exporter on Check Point

O Log Exporter pode ser instalado em várias versões do Check Point.

Check Point versão R80.20
O Log Exporter está incluído no Check Point versão R80.20.

286 Guia de configuração do QRadar DSM

Tópico de instalação no website do Check Point (https://supportcenter.checkpoint.com/
supportcenter/portal?eventSubmit_doGoviewsolutiondetails=
&solutionid=sk122323#Installation).
Check Point versão R77.30
Instale a versão R77.30 em um Multi-Domain Server, Multi-Domain Log Server, Security
Management Server, Log Server ou SmartEvent Server. O Log Exporter pode ser instalado no
Jumbo Hotfix Take 292 versão R77.30 e mais recente. O hotfix deve ser instalado após a instalação
do Jumbo. Se desejar fazer upgrade do Jumbo, desinstale o hotfix, faça upgrade do Jumbo e, em
seguida, reinstale o hotfix. Para obter mais informações sobre a instalação do Jumbo, consulte o
Tópico de instalação no website do Check Point (https://supportcenter.checkpoint.com/
supportcenter/portal?eventSubmit_doGoviewsolutiondetails=
&solutionid=sk122323#Installation).

Enviar logs para o QRadar

Para configurar um novo destino para os logs, acesse o modo de especialista no console do Check Point
digitando especialista. Pressione Enter e siga os prompts. Em seguida, digite o comando a seguir no
console do Check Point. Os valores de parâmetros esperados são exibidos no Tabela 158.

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP

address> target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(leef)> [optional
arguments]

Um novo diretório de destino e arquivos padrão são criados no diretório $EXPORTERDIR/targets/

<deployment_name>.

O valor padrão para o modo de leitura é semi-unificado para assegurar que os dados completos sejam
coletados.

Para mudar uma configuração em uma implementação existente, insira cp_log_export set. Para verificar
uma configuração em uma implementação existente, insira cp_log_export show. Para obter mais
informações sobre outros comandos, acesse o Website do Check Point (https://
supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=
&solutionid=sk122323#Deployment%20Script%20Additional%20Commands)).

Importante: O novo exportador de log não é iniciado automaticamente. Para iniciar o exportador de log,
digite o comando a seguir: cp_log_export restart

A tabela a seguir mostra uma configuração de destino de amostra.

Tabela 158. Configuração de destino de amostra
Parâmetro Valor
nome < service name >
ativados true
target-server <QRadar IP>
target-port 514
protocol TCP
formatação LEEF
modo de leitura semiunificado

39 Ponto de verificação 287

Resolução de Problemas

Para solucionar problemas do mapeamento entre eventos do Check Point e LEEF, verifique o arquivo
$EXPORTERDIR/targets/<deployment_name>/conf/LeefFieldsMapping.xml em busca de problemas de
mapeamento de atributo. Verifique o arquivo $EXPORTERDIR/targets/<deployment_name>/conf/
LeefFormatDefinition.xml em busca de problemas de mapeamento de cabeçalho LEEF. Os caminhos de
arquivo podem ser mudados com as atualizações do Check Point. Se um arquivo de configuração não
puder ser localizado, entre em contato com o administrador do Check Point.

Para obter mais informações sobre como usar o serviço de exportador de log para enviar eventos LEEF
para o QRadar usando o syslog, acesse o Website do Check Point (https://supportcenter.checkpoint.com/
supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323).

Check Point Multi-Domain Management (Provider-1)

É possível configurar o IBM QRadar para integração a um dispositivo Check Point Multi-Domain
Management (Provider-1).

Todos os eventos do Check Point Multi-Domain Management (Provider-1) são analisados usando o Check
Point Multi-Domain Management (Provider-1) DSM. É possível integrar o Check Point Multi-Domain
Management (Provider-1) usando um dos métodos a seguir:
v “Integrando o syslog para Check Point Multi-Domain Management (Provider-1)”
v “Configurando o OPSEC for Check Point Multi-Domain Management (Provider-1)” na página 289

Nota: Dependendo do seu sistema operacional, os procedimentos para usar o dispositivo Check Point
Multi-Domain Management (Provider-1) podem variar. Os procedimentos a seguir são baseados no
sistema operacional Check Point SecurePlatform.

Integrando o syslog para Check Point Multi-Domain Management

(Provider-1)
Este método assegura que o Check Point Multi-Domain Management (Provider-1) DSM for IBM QRadar
aceite eventos do Check Point Multi-Domain Management (Provider-1) usando o syslog.

Sobre Esta Tarefa

O QRadar registra todos os eventos relevantes do Check Point Multi-Domain Management (Provider-1).

Configure o syslog em seu dispositivo do Check Point Multi-Domain Management (Provider-1):

Procedimento
1. Digite o comando a seguir para acessar o console como um usuário especialista:
expert
Um prompt de senha é exibido.
2. Digite a senha do console do especialista. Pressione a tecla Enter.
3. Digite o seguinte comando:
csh
4. Selecione os logs do cliente desejado:
mdsenv <customer name>
5. Informe o comando a seguir:
# nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> 2>&1 &
Em que:
v <facility> é um recurso syslog, por exemplo, local3.
288 Guia de configuração do QRadar DSM
v <priority> é uma prioridade syslog, por exemplo, info.
Agora você está pronto para configurar a origem de log no QRadar.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos de syslog
do Check Point Multi-Domain Management Provider-1 são automaticamente descobertos. Eventos que
são encaminhados para o QRadar são exibidos na guia Atividade de log.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos do syslog a partir do
Check Point Multi-Domain Management (Provider-1) como eventos do Check Point FireWall-1.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log para
eventos de syslog do Check Point Multi-Domain Management (Provider-1):

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

Configurando o OPSEC for Check Point Multi-Domain Management

(Provider-1)
Este método assegura que o IBM QRadar Check Point FireWall-1 DSM aceite os eventos do Check Point
Multi-Domain Management (Provider-1) usando o OPSEC.

Sobre Esta Tarefa

No Check Point Multi-Domain Management (Provider-1) Management Domain GUI (MDG), crie um
objeto de host que represente o QRadar. O leapipe é a conexão entre o Check Point Multi-Domain
Management (Provider-1) e o QRadar.

39 Ponto de verificação 289

Para reconfigurar o Check Point Multi-Domain Management (Provider-1) SmartCenter (MDG):

Procedimento
1. Para criar um objeto de host, abra a interface com o usuário Check Point SmartDashboard e
selecione Gerenciar > Objetos de rede > Novo > Nó > Host.
2. Digite o Nome, endereço IP e escreva comentários, se necessário.
3. Clique em OK.
4. Selecione Fechar.
5. Para criar a conexão OPSEC, selecione Gerenciar > Servidores e aplicativos OPSEC > Novo >
Propriedades do aplicativo OPSEC.
6. Digite um Nome e escreva comentários, se necessário.
O Nome do que você insere deve ser diferente do nome usado na Etapa 2.
7. No menu suspenso Host, selecione o objeto do host do QRadar que você criou.
8. Em Propriedades do aplicativo, selecione Definido pelo usuário como o tipo de Fornecedor.
9. Em Entradas do cliente, selecione LEA.
10. Para configurar o certificado Secure Internal Communication (SIC), clique em Comunicação e insira
uma chave de ativação.
11. Selecione OK e, em seguida, Fechar.
12. Para instalar a Política em seu firewall, selecione Política > Instalar > OK.

Configurando uma origem de log OPSEC

É possível configurar a origem de log no IBM QRadar:

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. Na lista Tipo de origem de log, selecione Ponto de verificação FireWall-1.
7. Usando a lista Protocolo de configuração, selecione OPSEC/LEA.
Os parâmetros do protocolo OPSEC/LEA são exibidos
8. Nome da origem de log - Digite um nome para a origem de log.
9. Identificador de origem de log – Digite o endereço IP para a origem de log. Esse valor deve
corresponder ao valor que você digitou no parâmetro IP do servidor.
10. IP do servidor - digite o endereço IP do Check Point Multi-Domain Management (Provider-1).
11. Porta do servidor – Digite o número da porta que é usado para OPSEC/LEA. O padrão é 18184.
Deve-se assegurar que a política de firewall existente permita a conexão LEA/OPSEC do QRadar.
12. Atributo SIC de objeto de aplicativo OPSEC – Digite o DN do SIC do objeto de aplicativo OPSEC.
13. Atributo SIC de origem de log – Digite o Nome do SIC para o servidor que gera a origem de log.
Os nomes de atributos SIC podem ter até 255 caracteres de comprimento e fazem distinção entre
maiúsculas e minúsculas.
14. Especificar certificado – Assegure-se de que a caixa de seleção Especificar certificado esteja
desmarcada.

290 Guia de configuração do QRadar DSM

15. Obter senha de certificado - Digite a senha da chave de ativação.
16. IP da autoridade de certificação – Digite o endereço IP do Servidor do gerenciador Check Point.
17. Aplicativo OPSEC – Digite o nome do Aplicativo OPSEC que solicita um certificado.

Exemplo: Se o valor for CN=QRadar-OPSEC,O=cpmodule...tdfaaz,, o valor do aplicativo OPSEC será

QRadar-OPSEC
18. Clique em Salvar.
19. Na guia Administrador, clique em Implementar mudanças.
Conceitos relacionados:
“Opções de configuração de protocolo OPSEC/LEA” na página 69
Para receber eventos na porta 18184, configure uma origem do log para usar o protocolo OPSEC/LEA.

Configure o Check Point Log Exporter para encaminhar eventos LEEF

para o QRadar usando syslog
O IBM QRadar DSM for Check Point coleta eventos do Log Extended Event Format (LEEF) de
dispositivos Check Point usando o protocolo syslog.

Para encaminhar eventos LEEF para o QRadar, use o Check Point Log Exporter para enviar eventos
LEEF.

Instalação do Log Exporter on Check Point

O Log Exporter pode ser instalado em várias versões do Check Point.

Check Point versão R80.20
O Log Exporter está incluído no Check Point versão R80.20.

Nota: Para preservar a configuração do Log Exporter antes de fazer upgrade para o Check Point R80.20,
siga as instruções de backup e restauração do Log Exporter no Website do Check Point . (https:
//supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails= & amp;
solutionid=sk127653).
Check Point versão R80.10
Instale o Check Point versão R80.10 em um R80.10 Multi-Domain Log Server, Security
Management Server, Log Server ou SmartEvent Server. O Log Exporter pode ser instalado no
Jumbo Hotfix Take 56 versão R80.10 e mais recente. O hotfix deve ser instalado após a instalação
do Jumbo. Se desejar fazer upgrade do Jumbo, desinstale o hotfix, faça upgrade do Jumbo e, em
seguida, reinstale o hotfix. Para obter mais informações sobre a instalação do Jumbo, consulte o
Tópico de instalação no website do Check Point (https://supportcenter.checkpoint.com/
supportcenter/portal?eventSubmit_doGoviewsolutiondetails=
&solutionid=sk122323#Installation).
Check Point versão R77.30
Instale a versão R77.30 em um Multi-Domain Server, Multi-Domain Log Server, Security
Management Server, Log Server ou SmartEvent Server. O Log Exporter pode ser instalado no
Jumbo Hotfix Take 292 versão R77.30 e mais recente. O hotfix deve ser instalado após a instalação
do Jumbo. Se desejar fazer upgrade do Jumbo, desinstale o hotfix, faça upgrade do Jumbo e, em
seguida, reinstale o hotfix. Para obter mais informações sobre a instalação do Jumbo, consulte o
Tópico de instalação no website do Check Point (https://supportcenter.checkpoint.com/
supportcenter/portal?eventSubmit_doGoviewsolutiondetails=
&solutionid=sk122323#Installation).

39 Ponto de verificação 291

Enviar logs para o QRadar

cp_log_export add name <name> [domain-server <domain-server>] target-server <target-server IP

address> target-port <target-port> protocol <(udp|tcp)> format <(syslog)|(cef)|(leef)> [optional
arguments]

Um novo diretório de destino e arquivos padrão são criados no diretório $EXPORTERDIR/targets/

<deployment_name>.

O valor padrão para o modo de leitura é semi-unificado para assegurar que os dados completos sejam
coletados.

Importante: O novo exportador de log não é iniciado automaticamente. Para iniciar o exportador de log,
digite o comando a seguir: cp_log_export restart

A tabela a seguir mostra uma configuração de destino de amostra.

Tabela 160. Configuração de destino de amostra
Parâmetro Valor
nome < service name >
ativados true
target-server <QRadar IP>
target-port 514
protocol TCP
formatação LEEF
modo de leitura semiunificado

Resolução de Problemas

292 Guia de configuração do QRadar DSM

40 Cilasoft QJRN/400
O IBM QRadar coleta eventos de auditoria detalhados do software Cilasoft QJRN/400 para o IBM i.

Para coletar eventos, os administradores podem configurar o Cilasoft QJRN/400 para encaminhar eventos
com syslog, ou opcionalmente configurar o sistema de arquivos integrado (IFS) para gravar eventos em
um arquivo. O syslog fornece eventos em tempo real para o QRadar e fornece descoberta automática de
origem de log para administradores, que é o método de configuração mais fácil para coleção de eventos.
A opção de IFS fornece uma configuração opcional para gravar eventos em um arquivo de log, que pode
ser lido remotamente usando o protocolo de arquivo de log. O QRadar suporta eventos syslog do Cilasoft
QJRN/400 V5.14.K e mais recente.

Para configurar o Cilasoft QJRN/400, conclua as tarefas a seguir:

1. Na instalação do Cilasoft QJRN/400, configure o Cilasoft Security Suite para encaminhar eventos
syslog para o QRadar ou gravar eventos em um arquivo.
2. Para configurações de syslog, os administradores podem verificar se os eventos encaminhados pelo
Cilasoft QJRN/400 são descobertas automaticamente na guia Atividade de log.

As configurações do Cilasoft QJRN/400 que usam IFS para gravar arquivos de eventos em disco são
consideradas alternativas para administradores que não podem usar syslog. As configurações IFS
requerem que o administrador localize o arquivo IFS e configure o sistema host para permitir
comunicações por FTP, SFTP ou SCP. Uma origem de log então pode ser configurada para usar o
protocolo de arquivo de log com o local do arquivo de log de eventos.

Configurando o Cilasoft QJRN/400

Para coletar eventos, deve-se configurar as consultas no Cilasoft QJRN/400 para encaminhar eventos
syslog para o IBM QRadar.

Procedimento
1. Para iniciar o Cilasoft Security Suite, digite o comando a seguir:
IJRN/QJRN
A conta que é usada para fazer mudanças na configuração deve ter privilégios ADM ou privilégios
USR com acesso a consultas específicas por meio de um parâmetro de Acesso estendido.
2. Para configurar o tipo de saída, selecione uma das opções a seguir:
Para editar várias consultas selecionadas, digite 2EV para acessar o Ambiente de execução e altere o
campo Tipo de saída e digite SEM.
3. Para editar grandes números de consultas, digite o comando CHGQJQRYA e altere o campo Tipo de
saída e digite SEM.
4. Na tela Parâmetros adicionais, configure os parâmetros a seguir:
Tabela 161. Parâmetros de saída Cilasoft QJRN/400
Parâmetro Descrição
Formato Digite *LEEF para configurar a saída syslog para gravar
eventos no formato Log Extended Event Format (LEEF).

LEEF é um formato de evento especial que é designado

para o IBM QRadar.

© Copyright IBM Corp. 2005, 2019 293

Tabela 161. Parâmetros de saída Cilasoft QJRN/400 (continuação)
Parâmetro Descrição
Saída Para configurar um tipo de saída, use um dos
parâmetros a seguir para selecionar um tipo de saída:

*SYSLOG – Digite esse parâmetro para encaminhar

eventos com o protocolo syslog. Essa opção fornece
eventos em tempo real.

*IFS – Digite esse parâmetro para gravar eventos em um

arquivo com o sistema de arquivos integrado. Essa opção
requer que o administrador configure uma origem de log
com o protocolo de arquivo de log. Essa opção grava
eventos em um arquivo, que pode ser lido somente em
intervalos de 15 minutos.
Endereço IP Insira o endereço IP do sistema IBM QRadar.

Se um endereço IP para o IBM QRadar estiver definido

como um valor especial no comando WRKQJVAL, será
possível digitar *CFG.

Os eventos podem ser encaminhados para o QRadar

Console, um Event Collector um Event Processor ou para
o seu dispositivo IBM QRadar all-in-one.
Porta Digite 514 ou *CFG como a porta para eventos syslog.

Por padrão, *CFG seleciona automaticamente a porta 514.

Tag Esse campo não é usado pelo IBM QRadar.
Recurso Esse campo não é usado pelo IBM QRadar.
Gravidade Selecione um valor para a gravidade do evento.

Para obter mais informações sobre a gravidade que é

designada a destinos *QRY, procure o comando
WRKQJFVAL na Documentação do Cilasoft.

Para obter mais informações sobre os parâmetros de configuração Cilasoft, consulte o Guia do Usuário
do Cilasoft QJRN/400.
Os eventos syslog que são encaminhados para o IBM QRadar são visualizáveis na guia Atividade de
log.

Configurando uma origem de log Cilasoft QJRN/400

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog que são
encaminhados pelo Cilasoft QJRN/400.

Sobre Esta Tarefa

Essas etapas de configuração são opcionais.

Procedimento
1. Efetue login no IBM QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a sua origem de log.

294 Guia de configuração do QRadar DSM

6. Na lista Tipo de origem de log, selecione Cilasoft QJRN/400.
7. Na lista Configuração de protocolo, selecione Syslog.

Nota: Se o Cilasoft QJRN/400 estiver configurado para gravar eventos no sistema de arquivos
integrado com a opção *IFS, o administrador deverá selecionar Arquivo de log e, em seguida,
configurar o protocolo de arquivo de log.
8. Configure os valores de protocolo.

Saiba mais sobre parâmetros do protocolo syslog:

Tabela 162. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de log Insira o endereço IP como um identificador para eventos
da instalação do Cilasoft QJRN/400.

O Identificador de origem de log deve ser um valor

exclusivo.
Ativado Marque a caixa de seleção Ativado para ativar a origem
de log.

Por padrão, essa caixa de seleção é marcada.

Credibilidade Selecione a Credibilidade da origem de log. O intervalo
é de 0 – 10.

A credibilidade indica a integridade de um evento ou

ofensa conforme determinado pela classificação de
credibilidade a partir dos dispositivos de origem.
Credibilidade aumenta se várias fontes relatam o mesmo
evento. O padrão é 5.
Coletor de eventos de destino Selecione o Coletor de eventos de destino a ser usado
como destino para a origem de log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem
do log una (empacote) eventos.

Por padrão, as origens de logs descobertas

automaticamente herdam o valor da lista Eventos unidos
das configurações do sistema em IBM QRadar. Ao criar
uma origem de log ou editar uma configuração existente,
é possível substituir o valor padrão configurando esta
opção para cada origem de log.
Carga útil do evento recebido Na lista, selecione o codificador Carga útil do evento
recebida para analisar e armazenar os logs.
Armazenar carga útil do evento Marque a caixa de seleção Armazenar carga útil do
evento para permitir que a origem do log armazene
informações de carga útil do evento.

Por padrão, as origens de log descobertas

automaticamente herdam o valor da lista Armazenar
carga útil do evento de Configurações do sistema em
IBM QRadar. Ao criar uma origem de log ou editar uma
configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de
log.

9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

40 Cilasoft QJRN/400 295

296 Guia de configuração do QRadar DSM

41 Cisco
Diversos DSMs Cisco podem ser integrados com o IBM QRadar.

Cisco ACE Firewall

O Cisco ACE Firewall pode ser integrado com o IBM QRadar.

O QRadar pode aceitar eventos que são encaminhados pelos Cisco ACE Firewalls usando syslog. O
QRadar grava todos os eventos relevantes. Antes de configurar o QRadar para integração com um
firewall ACE, deve-se configurar o Cisco ACE Firewall para encaminhar todos os logs do dispositivo para
o QRadar.

Configurando o Cisco ACE Firewall

Para encaminhar logs do dispositivo Cisco ACE para o IBM QRadar:

Procedimento
1. Efetue login no dispositivo Cisco ACE.
2. Na Interface Shell, selecione Menu principal > Opções avançadas > Configuração de syslog.
3. O menu Configuração de syslog varia dependendo se houver qualquer host de destino de syslog
configurado ainda. Se nenhum destino de syslog estiver configurado, crie um selecionando a opção
Incluir primeiro servidor. Clique em OK.
4. Digite o nome do host ou endereço IP do host de destino e a porta no campo Primeiro servidor
syslog. Clique em OK.
O sistema é reiniciado com as novas configurações. Quando concluído, a janela do servidor syslog
exibe o host que está configurado.
5. Clique em OK.
O menu Configuração de syslog é exibido. Observe que as opções para editar a configuração do
servidor, remover o servidor ou incluir um segundo servidor agora estão disponíveis.
6. Se você desejar incluir outro servidor, clique em Incluir segundo servidor.
A qualquer momento, clique em Visualizar opções de syslog para visualizar as configurações do
servidor existentes.
7. Para retornar ao menu Avançado, clique em Retornar.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos Cisco ACE
Firewall são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelos
dispositivos Cisco ACE Firewall são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Cisco ACE
Firewalls.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. É possível criar manualmente uma origem de log para
o QRadar para receber eventos syslog.

Para configurar manualmente uma origem de log para o Cisco ACE Firewall:

© Copyright IBM Corp. 2005, 2019 297

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Cisco ACS
O Cisco ACS DSM para IBM QRadar aceita eventos do ACS do syslog usando o syslog e o UDP
multilinhas.

O QRadar registra todas as informações relevantes e disponíveis do evento. É possível integrar o Cisco
ACS com o QRadar usando um dos métodos a seguir:
v Configure seu dispositivo Cisco ACS para enviar syslog diretamente para o QRadar for Cisco ACS
v5.x. Consulte “Configurando syslog para o Cisco ACS v5.x”.
v Configure seu dispositivo Cisco ACS para enviar syslog diretamente para o QRadar for Cisco ACS
v4.x. Consulte “Configurando syslog para ACS v4.x” na página 300.
v Configure seu dispositivo Cisco ACS para enviar diretamente o syslog UDP multilinhas para QRadar.
Consulte “Configurando syslog de multilinhas UDP para dispositivos Cisco ACS” na página 89

Nota: O QRadar suporta apenas as versões do Cisco ACS anteriores à v3.x usando um Universal DSM.

Configurando syslog para o Cisco ACS v5.x

A configuração de encaminhamento de syslog de um dispositivo Cisco ACS com a versão de software 5.x
envolve várias etapas.

Sobre Esta Tarefa

Deve-se concluir as tarefas a seguir:

298 Guia de configuração do QRadar DSM

Procedimento
1. Crie um Destino de log remoto
2. Configure as categorias de criação de log global
3. Configurar uma origem de log

Criando um destino de log remoto

Criando um destino de log remoto para o dispositivo Cisco ACS.

Efetue login no dispositivo Cisco ACS.

No menu de navegação, clique em Administração do sistema > Configuração > Configuração de log >
Destinos de log remoto.

A página Destinos de log remoto é exibida.

Clique em Criar.

Configure os parâmetros a seguir:

Tabela 164. Parâmetros de destino remoto
Parâmetro Descrição
Nome Digite um nome para o destino de syslog remoto.
Descrição Digite uma descrição para o destino de syslog remoto.
Tipo Selecione Syslog.
Endereço IP Digite o endereço IP do QRadar ou do Event Collector.

Clique em Enviar.

Você está pronto para configurar políticas globais para criação de log de eventos em seu dispositivo Cisco
ACS.

Configurando categorias de criação de log global

Para configurar o Cisco ACS para encaminhar as tentativas de log com falha para o IBM QRadar:

Procedimento
1. No menu de navegação, clique em Administração do sistema > Configuração > Configuração de log
> Global.
A janela Categorias de criação de log é exibida.
2. Selecione a categoria de criação de log Tentativas com falha e clique em Editar.
3. Clique em Destino de syslog remoto.
4. Na janela Destinos disponíveis, use a tecla de seta para mover o destino de syslog do QRadar para a
janela Destinos selecionados.
5. Clique em Enviar.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Cisco ACS
v5.x.

41 Cisco 299
Sobre Esta Tarefa

No entanto, é possível criar manualmente uma origem de log para o QRadar para receber eventos Cisco
ACS.

Para configurar manualmente uma origem de log para o Cisco ACS:

9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Configurando syslog para ACS v4.x

A configuração do encaminhamento de syslog de um dispositivo Cisco ACS com versão de software 4.x
envolve algumas etapas.

Sobre Esta Tarefa

Conclua as etapas a seguir:

Procedimento
1. Configurar o encaminhamento de syslog
2. Configurar uma origem de log

Configurando o encaminhamento de syslog para Cisco ACS v4.x

Configuração de um dispositivo ACS para encaminhar eventos syslog para o IBM QRadar.

Sobre Esta Tarefa

Execute as etapas a seguir para configurar o dispositivo ACS para encaminhar eventos syslog para o
QRadar

300 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no dispositivo Cisco ACS.
2. No menu de navegação, clique em Configuração do sistema.
A página Configuração do sistema é aberta.
3. Clique em Criação de log.
A configuração de criação de log é exibida.
4. Na coluna Syslog para Tentativas com falha, clique em Configurar.
A janela Ativar criação de log é exibida.
5. Marque a caixa de seleção Registrar no relatório de tentativas com falha de syslog.
6. Inclua os atributos Registrados a seguir:
v Message-Type
v User-Name
v Nas-IP-Address
v Authen-Failure-Code
v Caller-ID
v NAS-Port
v Author-Data
v Group-Name
v Informações de filtro
v Registrado remotamente
7. Configure os parâmetros syslog a seguir:
Tabela 166. Parâmetros de Syslog
Parâmetro Descrição
IP Digite o endereço IP do QRadar.
Porta Digite o número da porta syslog do IBM QRadar. O padrão é a porta 514.
Comprimento máximo da Digite 1024 como o comprimento máximo da mensagem de syslog.
mensagem (Bytes) - Tipo

Nota: Ó Cisco ACS fornece informações de relatório de syslog para no máximo dois servidores
syslog.
8. Clique em Enviar.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log para Cisco ACS v4.x

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Cisco ACS
v4.x

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Para criar manualmente uma origem de log para Cisco ACS v4.x, execute as etapas a seguir:

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.

41 Cisco 301
3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. Na lista Tipo de origem de log, selecione Cisco ACS.
7. Usando a lista Configuração de protocolo, selecione Syslog.
A configuração do protocolo syslog é exibida.
8. Configure os valores a seguir:
Tabela 167. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos Cisco ACS.

9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Configurando syslog de multilinhas UDP para dispositivos Cisco ACS

O DSM Cisco ACS para o IBM Security QRadar aceita eventos syslog de dispositivos Cisco ACS com
origens de log que estão configuradas para usar o protocolo syslog de multilinhas UDP.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Na seção Origens de dados, clique no ícone Origens de log e, em seguida, clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de origem de log, selecione Cisco ACS.
6. Na lista Configuração de protocolo, selecione Syslog UDP multilinhas.
7. Configure os parâmetros:
Os parâmetros a seguir requerem valores específicos para coletar eventos de dispositivos Cisco ACS:
Tabela 168. Parâmetros de origem de log do Cisco ACS
Parâmetro Valor
Identificador de origem de log Digite o endereço IP, o nome do host ou o nome para
identificar seu dispositivo Cisco ACS.

302 Guia de configuração do QRadar DSM

Tabela 168. Parâmetros de origem de log do Cisco ACS (continuação)
Parâmetro Valor
Porta de recebimento O número da porta padrão que é usada pelo QRadar
para aceitar eventos syslog de multilinhas UDP recebidos
é 517. Você pode utilizar uma porta diferente. O intervalo
de portas válido vai de 1 a 65535.

Para editar uma configuração salva para usar um novo

número de porta, conclua as etapas a seguir.
1. No campo Porta de escuta, digite o novo número de
porta para receber eventos Syslog UDP multilinhas.
2. Clique em Salvar.

A atualização de porta está concluída e a coleção de

eventos é iniciada no novo número de porta.
Padrão de ID de Mensagem \s (\d{1}{0}) \s
Formatador de eventos Selecione Multilinhas do Cisco ACS na lista.

Cisco Aironet
É possível integrar dispositivos Cisco Aironet com o IBM QRadar.

Sobre Esta Tarefa

Um DSM Cisco Aironet aceita eventos Cisco Emblem Format usando syslog. Antes de configurar o
QRadar para integração com um dispositivo Cisco Aironet, deve-se configurar o dispositivo Cisco Aironet
para encaminhar eventos syslog.

Para configurar o Cisco Aironet para encaminhar eventos:

Procedimento
1. Estabeleça uma conexão com o dispositivo Cisco Aironet usando um dos métodos a seguir:
v Telnet para o ponto de acesso wireless
v Acesso ao console
2. Digite o comando a seguir para acessar o modo EXEC privilegiado:
ativar
3. Digite o comando a seguir para acessar o modo de configuração global:
config terminal
4. Digite o comando a seguir para ativar a criação de log de mensagem:
logging on
5. Configure o recurso syslog. O padrão é local7.
logging <facility>
em que <facility> é, por exemplo, local7.
6. Digite o comando a seguir para registrar mensagens para o QRadar:
logging <IP address>

41 Cisco 303
em que <IP address> é o endereço IP do QRadar.
7. Ativar timestamp em mensagens de log:
service timestamp log datatime
8. Retornar para o modo EXEC privilegiado:
end
9. Visualizar suas entradas:
show running-config
10. Salvar as entradas no arquivo de configuração:
copy running-config startup-config
A configuração está concluída. A origem de log é incluída no QRadar conforme eventos Cisco
Aironet são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelos
dispositivos Cisco Aironet são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Cisco
Aironet.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log para
Aironet Cisco:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

304 Guia de configuração do QRadar DSM

Cisco ASA
É possível integrar o Cisco Adaptive Security Appliance (ASA) com o IBM QRadar.

Um DSM Cisco ASA aceita eventos por meio de syslog ou NetFlow usando o NetFlow Security Event
Logging (NSEL). O QRadar grava todos os eventos relevantes. Antes de configurar o QRadar, deve-se
configurar o dispositivo Cisco ASA para encaminhar eventos syslog ou NetFlow NSEL.

Escolha uma das opções a seguir:

v Encaminhar eventos para o QRadar usando syslog. Consulte “Integrar Cisco ASA usando Syslog”
v Encaminhar eventos para o QRadar usando NetFlow (NSEL). Consulte “Integrar o Cisco ASA para
NetFlow usando NSEL” na página 307

Integrar Cisco ASA usando Syslog

A integração do Cisco ASA usando syslog envolve a configuração de uma origem de log e o
encaminhamento de syslog.

Conclua as tarefas a seguir para integrar o Cisco ASA usando syslog:

v “Configurando o encaminhamento de syslog”
v “Configurando uma origem de log” na página 306

Configurando o encaminhamento de syslog

Para configurar o Cisco ASA para encaminhar eventos syslog, uma configuração manual é necessária.

Procedimento
1. Efetue login no dispositivo Cisco ASA.
2. Digite o comando a seguir para acessar o modo EXEC privilegiado:
ativar
3. Digite o comando a seguir para acessar o modo de configuração global:
conf t
4. Ative a criação de log:
logging enable
5. Configure detalhes de criação de log:
logging console warning
logging trap warning
logging asdm warning

Nota: O dispositivo Cisco ASA também pode ser configurado com logging trap informational para
enviar eventos adicionais. No entanto, isso pode aumentar a taxa de evento (Eventos por segundo) de
seu dispositivo.
6. Digite o comando a seguir para configurar a criação de log para o IBM QRadar:
logging host <interface> <IP address>
Em que:
v <interface> é o nome da interface Cisco Adaptive Security Appliance.
v <IP address> é o endereço IP do QRadar.

Nota: O uso do comando show interfaces exibe todas as interfaces disponíveis para seu dispositivo
Cisco.
7. Desative a opção de nome do objeto de saída:

41 Cisco 305
no names
Desative a opção de nome do objeto de saída para assegurar que os logs usem endereços IP e não os
nomes de objetos.
8. Saia da configuração:
exit
9. Salve as mudanças:
write mem

Resultados
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos syslog do
Cisco ASA são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelo
Cisco ASA são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Cisco ASA.
As etapas de configuração a seguir são opcionais.

Sobre Esta Tarefa

Para configurar manualmente uma origem de log para eventos syslog do Cisco ASA:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

306 Guia de configuração do QRadar DSM

Integrar o Cisco ASA para NetFlow usando NSEL
A integração do Cisco ASA para Netflow usando NSEL envolve duas etapas.

Esta seção inclui os tópicos a seguir:

v “Configurando NetFlow usando NSEL”
v “Configurando uma origem de log” na página 308

Configurando NetFlow usando NSEL

É possível configurar o Cisco ASA para encaminhar eventos NetFlow usando NSEL.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do dispositivo Cisco ASA.
2. Digite o comando a seguir para acessar o modo EXEC privilegiado:
ativar
3. Digite o comando a seguir para acessar o modo de configuração global:
conf t
4. Desative a opção de nome do objeto de saída:
no names
5. Digite o comando a seguir para ativar a exportação NetFlow:
flow-export destination <interface-name> <ipv4-address or hostname> <udp-port>
Em que:
v <interface-name> é o nome da interface Cisco Adaptive Security Appliance para o coletor NetFlow.
v <ipv4-address or hostname> é o endereço IP ou o nome do host do dispositivo Cisco ASA com o
aplicativo do coletor NetFlow.
v <udp-port> é o número da porta UDP para a qual os pacotes NetFlow são enviados.

Nota: O IBM QRadar geralmente usa a porta 2055 para dados do evento NetFlow nos Coletores
QFlow do QRadar. Deve-se configurar uma porta UDP diferente no Cisco Adaptive Security
Appliance para NetFlow usando NSEL.
6. Digite o comando a seguir para configurar o mapa de classe NSEL:
class-map flow_export_class
7. Escolha uma das opções de tráfego a seguir:
Para configurar uma lista de acesso NetFlow para corresponder a tráfego específico, digite o
comando:
match access-list flow_export_acl
8. Para configurar o NetFlow para corresponder a qualquer tráfego, digite o comando:
match any

Nota: A Lista de Controle de Acesso (ACL) deve existir no dispositivo Cisco ASA antes de definir a
opção de correspondência de tráfego no “Configurando NetFlow usando NSEL”.
9. Digite o comando a seguir para configurar o mapa de política NSEL:
policy-map flow_export_policy
10. Digite o comando a seguir para definir uma classe para a ação de exportação de fluxo:
class flow_export_class
11. Digite o comando a seguir para configurar a ação de exportação de fluxo:
flow-export event-type all destination <IP address>
Em que <IP address> é o endereço IP do QRadar.

41 Cisco 307
Nota: Se você estiver usando uma versão do Cisco ASA anterior à v8.3, será possível ignorar
“Configurando NetFlow usando NSEL” na página 307 como padrões de dispositivo para o destino
da exportação de fluxo. Para obter mais informações, consulte a Documentação do Cisco ASA.
12. Digite o comando a seguir para incluir a política de serviço globalmente:
service-policy flow_export_policy global
13. Saia da configuração:
exit
14. Salve as mudanças:
write mem
Deve-se verificar se os aplicativos de coletor usam o campo de Tempo do evento para correlacionar
eventos.

Configurando uma origem de log

Para integrar o Cisco ASA que usa o NetFlow com o IBM QRadar, deve-se criar manualmente uma
origem de log para receber eventos NetFlow.

Sobre Esta Tarefa

O QRadar não descobre ou cria automaticamente origens de log para eventos syslog dos dispositivos
Cisco ASA que usam NetFlow e NSEL.

Nota: Seu sistema deve estar executando a versão atual do protocolo NSEL para integração com um
dispositivo Cisco ASA que usa NetFlow e NSEL. O protocolo NSEL está disponível no Suporte IBM
http://www.ibm.com/support ou por meio de atualizações automáticas no QRadar.

Para configurar uma origem de log:

308 Guia de configuração do QRadar DSM

Tabela 171. Parâmetros de Syslog (continuação)
Parâmetro Descrição
Porta do coletor Digite o número da porta UDP que é usada pelo Cisco ASA para encaminhar
eventos NSEL. O intervalo válido do parâmetro Porta do coletor é 1-65535.

O QRadar geralmente usa a porta 2055 para dados do evento NetFlow no QRadar
QFlow Collector. Deve-se definir uma porta UDP diferente no Cisco Adaptive
Security Appliance para NetFlow que usa NSEL.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhadas para o QRadar pelo Cisco
ASA são exibidos na guia Atividade de log. Para obter mais informações sobre como configurar o
NetFlow com seu dispositivo Cisco ASA, consulte a documentação do fornecedor.

Cisco AMP
O IBM QRadar DSM for Cisco advanced malware protection (Cisco AMP) coleta logs de eventos de sua
plataforma do Cisco AMP for Endpoints. O Cisco AMP DSM usa o protocolo RabbitMQ.

Para integrar o Cisco AMP com o QRadar, conclua as etapas a seguir:

Importante: O QRadar V7.2.8 Correção 9 (V7.2.8.20170726184122) ou mais recente é necessário para

instalar o protocolo RPM do RabbitMQ.
v Protocol Common RPM
v RPM DSMCommon
v RPM do protocolo RabbitMQ
v RPM do DSM Cisco AMP
2. Crie um ID de cliente Cisco AMP e a chave de API. Como alternativa, é possível solicitar acesso a um
fluxo de eventos já criado de seu administrador. Para obter mais informações sobre como criar esses
valores, acesse o procedimento Criando um ID do cliente Cisco AMP e a chave de API.
3. Crie um fluxo de eventos do Cisco AMP. Para obter mais informações sobre como criar o fluxo de
eventos, acesse o procedimento do “Criando um fluxo de eventos Cisco AMP” na página 311.
4. Inclua uma origem de log do Cisco AMP no QRadar Console para que um usuário gerencie o fluxo
de eventos do Cisco AMP.
Conceitos relacionados:
“Configure uma origem de log para um usuário para gerenciar o fluxo de eventos do Cisco AMP” na
página 312
Configure uma origem de log no QRadar para gerenciar um fluxo de eventos específico do qual você
deseja que o QRadar colete eventos.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

41 Cisco 309
Especificações DSM do Cisco AMP
A tabela a seguir descreve as especificações para o DSM do Cisco AMP.
Tabela 172. Especificações DSM do Cisco AMP
Especificação Valor
Fabricante Cisco
DSM Cisco AMP
Nome do RPM DSM-CiscoAMP-QRadar_version-Build_number.noarch.rpm
Versões Suportadas N/A
Protocolo RabbitMQ
Formato de evento Cisco AMP
Tipos de eventos registrados Todos os eventos de segurança

Para obter uma lista detalhada dos eventos suportados,

acesse a Documentação da API do Cisco AMP for
Endpoints. (https://api-docs.amp.cisco.com/api_actions/
details?api_action=GET+%2Fv1%2Fevent_types
&api_host=api.amp.cisco.com
&api_resource=Event+Type&api_version=v1)

Nota: O tráfego de rede é suportado somente para

eventos do Controle de Fluxo de Dados (DCF).
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website da Cisco (https: //api-docs.amp.cisco.com/)

Criando um ID do cliente Cisco AMP e uma chave de API para filas de

eventos
Um administrador do Cisco AMP deve criar um ID do Cliente e uma chave de API no Portal do Cisco
AMP for Endpoints. Essas chaves são usadas para gerenciar consultas.

Antes de Iniciar

Se você não tiver privilégios de administrador, solicite o ID do Cliente e os valores da chave da API de
seu Administrador. Se desejar que o QRadar gerencie automaticamente o fluxo de eventos, esses valores
serão necessários ao configurar uma origem de log no QRadar.

Procedimento
1. Efetue login no Portal do Cisco AMP for Endpoints como um administrador.
2. Clique em Contas > Credenciais de API .
3. Na área de janela Credenciais da API, clique em Nova credencial de API.
4. No campo Nome do aplicativo, digite um nome e, em seguida, selecione Leitura e Gravação.

Nota: Deve-se ter acesso de Leitura e Gravação para gerenciar fluxos de eventos em sua plataforma
Cisco AMP for Endpoints.
5. Clique em Criar.
6. Na seção Detalhes da chave de API, anote os valores para o ID do cliente da API de terceiro e a
Chave de API. Esses valores são necessários para gerenciar filas.

310 Guia de configuração do QRadar DSM

O que Fazer Depois

Crie um fluxo de eventos do Cisco AMP.

Conceitos relacionados:
“Configure uma origem de log para um usuário para gerenciar o fluxo de eventos do Cisco AMP” na
página 312
Configure uma origem de log no QRadar para gerenciar um fluxo de eventos específico do qual você
deseja que o QRadar colete eventos.
Tarefas relacionadas:
“Criando um fluxo de eventos Cisco AMP”
A API do Cisco AMP for Endpoints retorna as credenciais do Advanced Message Queuing Protocol
(AMQP) em várias respostas de consulta da API do Cisco AMP for Endpoints.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Criando um fluxo de eventos Cisco AMP

A API do Cisco AMP for Endpoints retorna as credenciais do Advanced Message Queuing Protocol
(AMQP) em várias respostas de consulta da API do Cisco AMP for Endpoints.

Procedimento
1. Faça download da ferramenta de linha de comandos curl no Website de download curl
(https://curl.haxx.se/download.html).
2. Para criar um fluxo de eventos do Cisco AMP, digite o comando a seguir. Os valores de parâmetro
serão necessários ao configurar uma origem de log no QRadar.
curl -X POST -H ’accept: application/json’ \
-H ’content-type: application / json’ -- compressed \
-H ’Accept-Encoding: gzip, deflate’ \
-d ’ {5}{5}{3}{6}{4}{8}{1}{3}{0},554696714, \
554696715,1091567628,2165309453.1090519054,553648143,2164260880,570425394, \
553648149,2164260884,2181038130,553648152,2164260889,553648151,553648154, \
553648155,2164260892.2164260893.553648158,2164260895,553648166,2164260903, \
1003.1004.1005.2164260866,553648146.553648147,553648168,553648150,570425396, \
570425397,570425398.570425399.1090524040,1090524041,1090519084,1107296257, \
1107296258,1107296261,1107296262,1107296263,1107296264,1107296266,1107296267, \
1107296268,1107296269,1107296270,1107296271,1107296272,1107296273,553648170, \
553648171,1107296274,1107296275,1107296276,553648173,2164260910.554696756, \
554696757,1091567670,2165309495.2164260914,553648179.2164260911.553648176, \
1090519089, 1107296277,1107296278,1107296279,1107296280,1107296281,1107296281.1107296282, \
1090519096.1090519097,2164260922,553648137,553648135,1103648136,1107296284, \
1107296283,1090519103,2164260931,1090519107,553648195,553648196,1090519081, \
1090519105, 1090519102,553648199,1090519112 ], \
"group_guid": [ "" < 0a00a0aa-0000-000a-a000-0a0aa0a0aaa0 > " ] } ’ \
-u < CLIENTID:APIKEY > \
’ https: //api.amp.cisco.com/v1/event_streams’
Em que:
v <STREAMNAME> é o nome de sua escolha para o fluxo do evento.
v <group_guid> é o GUID de grupo que você deseja usar para vincular ao fluxo do evento
<0a00a0aa-0000-000a-a000-0a0aa0a0aaa0>.
v <CLIENTID:APIKEY> é o ID do cliente e a chave de API que você criou.
Se você estiver na região Asia Pacific Japan and China (APJC), mude de ’https://api.amp.cisco.com/
v1/event_streams’ para ’https://api.apjc.amp.cisco.com/v1/event_streams’.
Se você estiver na região Europeia, mude de ’https://api.amp.cisco.com/v1/event_streams’ para
’https://api.eu.amp.cisco.com/v1/event_streams’.
Resposta de Consulta de Amostra:

41 Cisco 311
{
"version": "v1.2.0 ",
"metadata": {
"links": {
"self": "https: //api.amp.cisco.com/v1/event_streams"
}
},
"data": {
"id": 2216,
"name": "STREAMNAME",
"group_guids": [
"0a00a8aa-0000-000a-a000-0a0aa0a0aaa0"
],
"event_types": [
553648130,
554696714
],
"amqp_credentials": {
"user_name": "1116-aa00a0000000000000a0",
"queue_name": "event_stream_1116",
"password": "0a0aa00a0a0aa000000a0000aa0000aa0a00000a",
"host" :"export-streaming.amp.cisco.com",
"port": "443",
"proto": "https"
}
}
}

O que Fazer Depois

Configure uma origem de log no QRadar para que um usuário gerencie o fluxo de eventos do Cisco
AMP.
Conceitos relacionados:
“Configure uma origem de log para um usuário para gerenciar o fluxo de eventos do Cisco AMP”
Configure uma origem de log no QRadar para gerenciar um fluxo de eventos específico do qual você
deseja que o QRadar colete eventos.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configure uma origem de log para um usuário para gerenciar o fluxo

de eventos do Cisco AMP
Configure uma origem de log no QRadar para gerenciar um fluxo de eventos específico do qual você
deseja que o QRadar colete eventos.

Para se conectar a um fluxo de eventos do Cisco AMP específico, também é necessário ter acesso às
credenciais do Advanced Message Queuing Protocol (AMQP) que são fornecidas pela API do Cisco AMP
for Endpoints.

A API do Cisco AMP for Endpoints é usada para gerenciar fluxos de eventos. Para obter mais
informações sobre as consultas suportadas para gerenciar a API do Cisco AMP for Enpoint, consulte API
do Cisco AMP for Endpoints (https://api-docs.amp.cisco.com/).

Importante: Se ocorrer um problema ao usar a API do Cisco AMP for Endpoints, entre em contato com o
administrador do Cisco para obter assistência. Para obter informações de contato do Cisco, consulte
Suporte do Cisco (https://www.cisco.com/c/en/us/support/security/fireamp-endpoints/tsd-products-
support-series-home.html).

312 Guia de configuração do QRadar DSM

A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos da API do
Cisco AMP for Endpoints usando o protocolo RabbitMQ:
Tabela 173. Parâmetros da origem de log do protocolo RabbitMQ
Parâmetro Descrição
Tipo de Fonte de Log Cisco AMP
Configuração de protocolo RabbitMQ
Identificador de Fonte de Log Digite um nome exclusivo para a origem de log.

O Identificador de Origem de Log pode ser qualquer

valor válido e não precisa fazer referência a um servidor
específico. O Identificador de Origem de Log pode ter o
mesmo valor que o Nome da Origem de Log. Se mais de
uma origem de log do Cisco AMP estiver configurada,
será possível identificar a primeira origem de log como
CiscoAMP1, a segunda origem de log como CiscoAMP2, e
assim por diante.
Formato de Evento Deve-se selecionar Cisco AMP.
IP ou nome do host O endereço IP ou o nome do host que é usado para o
fluxo de eventos da API do Cisco AMP for Endpoints. É
possível localizar o IP ou o nome do host no campo
Credenciais do AMQP. Para obter mais informações
sobre as credenciais do AMQP, consulte Criando um
fluxo de eventos do Cisco AMP.
Porta A porta que é usada para o fluxo de eventos da API do
Cisco AMP for Endpoints. É possível localizar o número
da porta no campo Credenciais do AMQP. Para obter
mais informações sobre as credenciais do AMQP,
consulte Criando um fluxo de eventos do Cisco AMP.
Fila O nome da fila que é usada para o fluxo de eventos da
API do Cisco AMP for Endpoints. É possível localizar o
valor do nome da fila no campo Credenciais AMQP.
Para obter mais informações sobre as credenciais AMQP,
consulte “Criando um fluxo de eventos Cisco AMP” na
página 311.
Nome do usuário O nome do usuário que é usado para o fluxo de eventos
da API do Cisco AMP for Endpoints. É possível localizar
o valor do nome do usuário no campo Credenciais do
AMQP. Para obter mais informações sobre as credenciais
AMQP, consulte “Criando um fluxo de eventos Cisco
AMP” na página 311.
Senha A senha que é usada para o fluxo de eventos da API do
Cisco AMP for Endpoints. É possível localizar o valor da
senha no campo Credenciais do AMQP. Para obter mais
informações sobre as credenciais do AMQP, consulte
“Criando um fluxo de eventos Cisco AMP” na página
311.
Regulador de EPS O limite superior para o número máximo de eventos por
segundo (EPS). O padrão é 5000.
Adquirir automaticamente certificado(s) de servidor Selecione Sim para QRadar para fazer download
automaticamente do certificado do servidor e começar a
confiar no servidor de destino.

Ao selecionar Não, os certificados do servidor não são

recuperados.

41 Cisco 313
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Mensagem do evento de amostra

Use essas mensagens de eventos de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra quando o protocolo RabbitMQ é usado
para o DSM do Cisco AMP:
Tabela 174. Mensagem de amostra do Cisco AMP suportada pelo protocolo RabbitMQ.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Ameos detectados Malware Diverso {2}{8}{3}{3}{6}{3}{4}{7}{7}{2}{9}{9}{4}{5}{3}{7}{2}{0}{3},
"timestamp": 12833529
36, "timestamp_nanoseconds": 193372272, "date": " 2030
-10-29T17:11:20 + 00:00 "," event_type ":" Threat reat
ted "," event_type_id ": 1090519054," detection ":" Simp
le_Custom_Detection "," detection_id ":" 192317311379
9513612 "," connector_guid ":" zzzzZZZZ-zzzz-ZZZZ-ZZZZ
-zzzzZZZZ-zzzz","group_guids":["(zzzzZZZZ-zzzz-ZZZZ
-ZZZZ-zzzzZZZZ-zzzz) "]," computer ": {
: "(zzzzZZZZ-zzzz-ZZZZ-ZZZZ-zzzzZZZZ-zzzz)", " host
name ":"example" ,"external_ip":" 192.0.2.0 ", "user"
: "pqrsDSP@Cisco-DSC", "active" :true, " network_addre
sses ":[{1}{9}{2}.0.2.111 "," mac ":" 00-00-5E-00-00
-00 "} ]," links ": { ]," links ": {
com/v1/computers/zzzzZZZZ-zzzz-ZZZZ-ZZZZ-zzzzZZZZ-zz
zz ","trajectory":" https: //api.amp.cisco.com/v1/co
mputers / 30g39a2d-b213-4p89-91z5-32a13x28o1v7/traje
ctory","group":"https://api.amp.cisco.com/v1/group
s / zzzzZZZZ-zzzz-ZZZZ-ZZZZ-zzzzZZZZ-zzzz "} },
"file": { }, "file": {, "file": {
"disposição": "Blacklistada", "file_name": " filename.
pdf ou virus.pdf "," file_path ":" C:\\", "identity ": {
"sha256": "sha: 256", "sha1": "sha: 1", "md5": "md5" },
"parent": {9}{9}{1}{7}, "disposition": "Clean",
"file_name" :"virus.exe", "identity": {2}{5}{6}":
"sha:256", "sha1": "sha: 1", "md5": "md5" } } } }

Cisco CallManager
O Cisco CallManager DSM for IBM QRadar coleta eventos de aplicativo que são encaminhados de
dispositivos CallManager que estão usando Syslog.

Para que os eventos possam ser recebidos no QRadar, deve-se configurar o dispositivo Cisco Call
Manager para encaminhar eventos. Depois de encaminhar eventos Syslog do Cisco CallManager, o
QRadar automaticamente detecta e inclui o Cisco CallManager como uma origem de log.

Configurando o encaminhamento de syslog

É possível configurar syslog no Cisco CallManager:

Procedimento
1. Efetue login na interface do Cisco CallManager.
2. Selecione System Enterprise > Parâmetros.

314 Guia de configuração do QRadar DSM

A Configuração de Parâmetros do Enterprise é exibida.
3. No campo Nome do servidor syslog remoto, digite o endereço IP do QRadar Console.
4. Na lista Gravidade de syslog para mensagens de syslog remoto, selecione Informativo.
A seleção de gravidade Informativa permite a coleção de todos os eventos no nível de informações e
posterior.
5. Clique em Salvar.
6. Clique em Aplicar Configuração.
A configuração de syslog está concluída. Agora você está pronto para configurar uma origem de log
syslog para o Cisco CallManager.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
Cisco CallManager.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log
syslog para o Cisco CallManager, execute as etapas a seguir:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Cisco CatOS para comutadores Catalyst

O DSM Cisco CatOS para comutadores Catalyst para o IBM QRadar aceita eventos usando syslog.

O QRadar grava todos os eventos de dispositivos relevantes. Antes de configurar um dispositivo Cisco
CatOS no QRadar, deve-se configurar o dispositivo para encaminhar eventos syslog.
41 Cisco 315
Configurando syslog
Configurando o dispositivo Cisco CatOS para encaminhar eventos syslog.

Sobre Esta Tarefa

Execute as etapas a seguir para configurar o dispositivo Cisco CatOS para encaminhar eventos syslog:

Procedimento
1. Efetue login na interface com o usuário do Cisco CatOS.
2. Digite o comando a seguir para acessar o modo EXEC privilegiado:
ativar
3. Configure o sistema para mensagens timestamp:
set logging timestamp enable
4. Digite o comando a seguir com o endereço IP do IBM QRadar:
set logging server <IP address>
5. Limite as mensagens que são registradas selecionando um nível de gravidade:
set logging server severity <server severity level>
6. Configure o nível de recurso a ser usado na mensagem. O padrão é local7.
set logging server facility <server facility parameter>
7. Ative o comutador para enviar mensagens syslog para o QRadar.
set logging server enable
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog de dispositivos
Cisco CatOS.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Para configurar manualmente uma origem de log syslog para o Cisco CatOS:

316 Guia de configuração do QRadar DSM

Tabela 176. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de log Digite o endereço IP ou o nome do host para a origem de log como um
identificador para eventos de seu dispositivo Cisco CatOS for Catalyst Switch.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Cisco Cloud Web Security

O IBM QRadar DSM for Cisco Cloud Web Security (CWS) coleta logs de uso da web de um
armazenamento Cisco Cloud Web Security (CWS) usando uma API compatível com Amazon S3.

A tabela a seguir descreve as especificações para o DSM do Cisco Cloud Web Security:
Tabela 177. Especificações de DSM do Cisco Cloud Web Security
Especificação Valor
Fabricante Cisco
Nome do DSM Cisco Cloud Web Security
Nome do arquivo RPM DSM-CiscoCloudWebSecurity-QRadar_version-
build_number.noarch.rpm
Versões Suportadas N/A
Protocolo API REST do Amazon AWS S3
Formato de evento W3C
Tipos de eventos registrados Todos os logs de uso da web
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Informações de produto Cisco CWS (https://
www.cisco.com/go/cws)

Para integrar o Cisco Cloud Web Security ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir, na ordem em que estão listados em seu QRadar Console:
v Protocol Common RPM
v RPM de Protocolo da API REST do Amazon AWS
v RPM DSMCommon
v RPM do DSM do Cisco Cloud Web Security
2. Ative a Extração de log no Cisco ScanCenter (portal de administração).
3. Inclua uma origem de log do Cisco Cloud Web Security no QRadar Console. A tabela a seguir
descreve os parâmetros que requerem valores específicos para a coleção de eventos do Cisco Cloud
Web Security:
Tabela 178. Parâmetros de origem do log do Cisco Cloud Web Security
Parâmetro Valor
Tipo de origem de log Cisco Cloud Web Security
Configuração de protocolo API REST do Amazon AWS S3

41 Cisco 317
Tabela 178. Parâmetros de origem do log do Cisco Cloud Web Security (continuação)
Parâmetro Valor
Identificador de Fonte de Log O Identificador de Origem de Log pode ser qualquer
valor válido e não precisa fazer referência a um servidor
específico. O Identificador de Origem de Log pode ter o
mesmo valor que o Nome da Origem de Log. Se você
configurou mais de uma origem do log do Cisco CWS,
poderá querer identificar a primeira origem de log como
ciscocws1, a segunda origem de log como ciscocws2 e a
terceira origem de log como ciscocws13.
Versão da Assinatura Selecione Versão de assinatura 2.

Se a sua API do Cisco CWS estiver usando Versão de

assinatura 4, entre em contato com o administrador do
seu sistema.
Nome da região (somente assinatura V4) A região que está associada ao depósito Amazon S3.
Nome do serviço (somente assinatura V4) Digite s3 . O nome do Serviço da web da Amazon.
Nome do depósito O nome do depósito Cisco CWS onde os arquivos de log
estão armazenados.
URL do Nó de Extremidade https://vault.scansafe.com/
Chave pública A chave de acesso para permitir a extração de log do
depósito da Cisco CWS.
Tecla de Acesso A chave secreta para ativar a extração de log do depósito
da Cisco CWS.
Prefixo de Diretório O local do diretório raiz no depósito de armazenamento
Cisco CWS de onde os logs do Cisco CWS são
recuperados. Por exemplo, o local do diretório raiz pode
ser cws-logs/.
Padrão de arquivo .*?\.txt\.gz
Formato de Evento W3C. A origem de log recupera eventos formatados por
texto W3C.
Usar Proxy Quando um proxy está configurado, todo o tráfego para
a origem de log percorre o proxy para que o QRadar
possa acessar os depósitos Amazon AWS S3.

Configure os campos Servidor proxy, Porta de proxy,

Nome do usuário de proxy e Senha de proxy. Se o
proxy não requerer autenticação, deixe os campos Nome
de usuário de proxy e Senha de proxy em branco.
Adquirir automaticamente certificado(s) de servidor Se você selecionar Sim, o QRadar fará download do
certificado e começará a confiar no servidor de destino.
Recorrência Especifica com que frequência o Protocolo da API de
REST do Amazon AWS S3 se conecta à API da Cisco
CWS para verificar novos arquivos e recuperá-los se eles
existirem. O formato é M/H/D para Meses/Horas/Dias.
O padrão é 5 M.

Cada acesso a um depósito AWS S3 incorre em um custo

monetário para a conta que possui o depósito. Portanto,
um valor de recorrência menor aumenta o custo.

A tabela a seguir mostra uma mensagem de evento de amostra do Cisco Cloud Web Security:

318 Guia de configuração do QRadar DSM

Tabela 179. Mensagem de amostra do Cisco Cloud Web Security
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
c:comp - block Acesso Negado 2016-08-22 18:22:34 GMT
<IP_address1> <IP_address1>
GET http www.example.com
80 / Mozilla/5.0 (Windows NT 6.1;
WOW64; rv:45.0) Gecko/20100101
Firefox/45.0 - 0 0 0
<IP_address2> c:comp
Block all block category
Computers and Internet <IP_address1>
0 Unknown

Configurando o Cloud Web Security para se comunicar com o QRadar

Para enviar eventos do Cloud Web Security para o IBM QRadar, deve-se ativar a extração de log no Cisco
CWS ScanCenter.

Antes de Iniciar

O serviço de extração de log deve ser ativado e provisionado para sua empresa. Deve-se ter privilégios
de administrador de superusuário para acessar a página Extração de log.

Procedimento
1. Efetue login em sua conta Cisco ScanCenter.
2. Clique na guia Administrador para visualizar os menus de administração.
3. No menu Sua conta, clique em Extração de log.
4. Na coluna Ações, na área Credenciais, clique em Emitir chave.
5. Na caixa de diálogo Aviso, clique em Emitir e Download.
Um par de chaves é emitido e o arquivo keypair.csv é transferido por download.
Os valores de coluna Chave de acesso e Última emissão são atualizados. A chave secreta não é
exibida na interface com o usuário (UI).
6. Abra o arquivo keypair.csv e faça uma cópia do accessKey e secretKey. O arquivo keypair.csv
contém uma chave de acesso de sequência de 20 caracteres uma chave secreta de sequência de 40
caracteres. Os valores par de chaves que você copiou são usados ao configurar a origem de log no
QRadar.
7. Na área de janela Detalhes da conexão, copie e registre os valores nas colunas Terminal e Depósito.
Os valores de detalhes da conexão que você copiou são usados ao configurar a origem de log no
QRadar.

O que Fazer Depois

Configure a origem de log no QRadar.

Para obter informações adicionais sobre a extração de log da Cisco CWS, consulte o Cisco ScanCenter
Administrator Guide, Release 5.2 no website da Cisco (https://search.cisco.com/search?query=cisco

41 Cisco 319
%20scancenter%20administrator%20guide&locale=enUS&tab=Cisco).
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Cisco CSA
É possível integrar um servidor Cisco Security Agent (CSA) com o IBM QRadar.

O DSM Cisco CSA aceita eventos usando syslog, SNMPv1 e SNMPv2. O QRadar registra todos os alertas
Cisco CSA configurados.

Configurando syslog para Cisco CSA

Configuração do servidor Cisco CSA para encaminhar eventos.

Sobre Esta Tarefa

Execute as etapas a seguir para configurar o servidor Cisco CSA para encaminhar eventos:

Procedimento
1. Abra a interface com o usuário Cisco CSA.
2. Selecione Eventos > Alertas.
3. Clique em Novo.
A janela Visualização da Configuração é exibida.
4. Digite valores para os parâmetros a seguir:
v Nome – Digite um nome que você deseja designar à configuração.
v Descrição – Digite uma descrição para a configuração. Essa etapa não é um requisito.
5. Em Enviar alertas, selecione o conjunto de eventos na lista para gerar alertas.
6. Marque a caixa de seleção SNMP.
7. Digite o nome de uma Comunidade.
O nome da Comunidade que é inserido na interface com o usuário CSA deve corresponder ao nome
da Comunidade que está configurado no IBM QRadar. Essa opção está disponível somente para o
protocolo SNMPv2.
8. Para o parâmetro Gerenciar endereço IP, digite o endereço IP do QRadar.
9. Clique em Salvar.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
Cisco CSA.

Sobre Esta Tarefa

Para configurar manualmente uma origem de log syslog para o Cisco CSA, execute as etapas de
configuração a seguir, que são opcionais:

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.

320 Guia de configuração do QRadar DSM

3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Cisco CSA.
9. Usando a lista Configuração de protocolo, selecione Syslog.
A configuração do protocolo syslog é exibida.
10. Configure os valores a seguir:
Tabela 180. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do dispositivo Cisco CSA.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Cisco Firepower Management Center

O IBM QRadar DSM for Cisco Firepower Management Center coleta eventos do Cisco Firepower
Management Center usando o serviço de API do eStreamer.

O Cisco Firepower Management Center era conhecido anteriormente como Cisco FireSIGHT Management
Center.

O QRadar suporta o Cisco Firepower Management Center V 5.2 a V 6.2.3.

Visão geral da configuração

Para integrar o QRadar ao Cisco Firepower Management Center, deve-se criar certificados na interface do
Firepower Management Center e, em seguida, incluir os certificados nos dispositivos QRadar que
recebem dados do evento eStreamer.

Se a sua implementação incluir diversos dispositivos Cisco Firepower Management Center, o certificado
para cada dispositivo que envia eventos eStreamer deverá ser copiado em qualquer local temporário no
QRadar Event Collector. O certificado permite que o dispositivo Cisco Firepower Management Center e o
QRadar Console ou QRadar Event Collectors se comuniquem usando a API do eStreamer para coletar
eventos.

Para integrar o QRadar ao Cisco Firepower Management Center, conclua as etapas a seguir:
1. Crie o certificado eStreamer em seu dispositivo Firepower Management Center.
2. Importe um certificado Cisco Firepower Management Center no QRadar.
3. Configure uma origem de log no QRadar para os dispositivos do Firepower Management Center.

41 Cisco 321
Tipos de eventos suportados

O QRadar suporta os tipos de eventos a seguir do Cisco Firepower Management Center:

v Eventos de descoberta
v Eventos de Correlação e Lista de Branco
v Alertas de sinalização de impacto
v Atividade do Usuário
v Eventos de Malware
v Eventos de arquivo
v Eventos de Conexão
v Eventos de Intrusão
v Dados do Packet de Evento de Intrusão
v Dados Extras do Evento de Intrusão
Os eventos de intrusão que são categorizados pelo Cisco Firepower Management Center DSM no
QRadar usam os mesmos QRadar Identifiers (QIDs) que o Snort DSM para assegurar que todos os
eventos de intrusão sejam categorizados corretamente.
Os eventos de intrusão no intervalo de 1.000.000 a 2.000.000 são regras definidas pelo usuário no Cisco
Firepower Management Center. As regras definidas pelo usuário que geram eventos são incluídas
como um evento Desconhecido no QRadar e incluem informações adicionais que descrevem o tipo de
evento. Por exemplo, um evento definido pelo usuário pode ser identificado como Desconhecido:
estouro de buffer para o Cisco Firepower Management Center.

A tabela a seguir fornece mensagens de eventos de amostra para o DSM do Cisco Firepower
Management Center:
Tabela 181. Mensagens de amostra do Cisco Firepower Management Center suportadas pelo dispositivo Cisco
Firepower Management Center
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Evento de Alteração de Login do Conta do Computador Alterada DeviceType=Estreamer DeviceAddress
Usuário = <IP_address> CurrentTime=150774
0597988 netmapId=0 recordTyp
e = registro USER_LOGIN_CHANGE_EVENT
Length=142 timestamp=01 May 201
5 12:13:50 detectionEngineRef=
0 ipAddress=<IP_address> MACAddres
s= <MAC_address> hasIPv6 = tru
e eventSecond=1430491035 eve
ntMicroSecond=0 eventType = USER_
LOGIN_INFORMATION fileNumber=00
000000 filePosition=00000000
ipV6Address=<IPv6_address>
userLoginInformation.timestamp=
1430491035 userLoginInformati
on.ipv4Address= <IP_address> userLog
inInformation.userName = username
userLoginInformation.userRef=0
userLoginInformation.protocol
Ref=710 userLoginInformation.ema
il= userLoginInformation.ipv6Ad
dress= <IP_address> userLoginIn
formation.loginType=0 userLogi
nInformation.reportedBy=IPAddress "

322 Guia de configuração do QRadar DSM

Tabela 181. Mensagens de amostra do Cisco Firepower Management Center suportadas pelo dispositivo Cisco
Firepower Management Center (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Evento de Mudança Removida Conta do Usuário Removida DeviceType=Estreamer DeviceAddress
do Usuário =<IP_address> CurrentTime=15077
43344985 netmapId=0 recordTyp
e = USER_REMOVED_CHANGE_EVENT reco
rdLength=191 timestamp=21 Sep 201
7 14:53:14 detectionEngineRef=
0 ipAddress=<IP_address> MACAddress
= <MAC_address> hasIPv6 = tru
e eventSecond=1506016392 event
MicroSecond=450775 eventType=DELE
TE_USER_IDENTITY fileNumber=0000
0000 filePosition=00000000 ip
V6Address= <IPv6_address> userIn
formation.id=1 userInformatio
n.userName=username userInformat
ion.protocol=710 userInformation
.firstName = firstname userInformation
.lastName = lastname userInformation
.email=EmailAddress
userInformation.department=R
esearch userInformation.phone
= 000-000-0000
INTRUSION EVENT EXTRA Informações DeviceType=Estreamer DeviceAddress
DATA RECORD = <IP_address> CurrentTime=150774
0690263 netmapId=0 recordType=
INTRUSION_EVENT_EXTRA_DATA_RECORD r
ecordLength=49 timestamp=01 May 20
15 15:32:53 eventExtraData.eventId=
393275 eventExtraData.eventSecond=
1430505172 eventExtraData.managed
Device.managedDeviceId=6 eventoé
aData.managedDevice.name=manageddevic
e.<Server>.example.com eventExtraData
.extraDataType.eventExtraDataType.ty
pe=10 eventExtraData.extraDataTyp
e.eventExtraDataType.name=HTTP Hostn
ame eventExtraData.extraDataType
.eventExtraDataType.encoding=String
eventExtraData.extraData=
www.example.com
Registro do Usuário do RUA Informações DeviceType=Estreamer DeviceAddress
=<IP_address> CurrentTime=15077
40603372 netmapId=0 recordTyp
e=RUA_USER_RECORD recordLength=
21 timestamp=11 Oct 2017 13:50:
02 userRef=2883 protocolRef=
710 userName = UserName

Tarefas relacionadas:
“Criando certificados Cisco Firepower Management Center 5.x e 6.x” na página 324
O IBM QRadar requer um certificado para cada dispositivo Cisco Firepower Management Center em sua
implementação. Os certificados são gerados no formato pkcs12 e devem ser convertidos em um arquivo
keystore e truststore, que são utilizáveis por dispositivos QRadar.
“Importando um certificado Cisco Firepower Management Center no QRadar” na página 325
O script estreamer-cert-import.pl para o QRadar converte o arquivo de certificado pkcs12 em um
arquivo keystore e de armazenamento confiável e copia os certificados em seu dispositivo QRadar. Repita
este procedimento para cada certificado pkcs12 do Firepower Management Center que você precisar
importar para seu QRadar Console ou Event Collector.
“Configurando uma origem de log para eventos do Cisco Firepower Management Center” na página 326
O QRadar não descobre automaticamente os eventos do Cisco Firepower Management Center. Deve-se
configurar uma origem de log no QRadar.

41 Cisco 323
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

Criando certificados Cisco Firepower Management Center 5.x e 6.x

O IBM QRadar requer um certificado para cada dispositivo Cisco Firepower Management Center em sua
implementação. Os certificados são gerados no formato pkcs12 e devem ser convertidos em um arquivo
keystore e truststore, que são utilizáveis por dispositivos QRadar.

Procedimento
1. Efetue login na interface do Cisco Firepower Management Center.
v Se estiver usando a versão 5.x, selecione Sistema > Local > Registro.
v Se você estiver usando a versão 6.x, selecione Sistema > Integração.
2. Clique na guia eStreamer.
3. Selecione os tipos de eventos que você deseja que o Cisco Firepower Management Center envie para o
QRadar e, em seguida, clique em Salvar.
A imagem a seguir lista os tipos de eventos que o Cisco Firepower Management Center envia para o
QRadar.

Figura 6. Configuração de evento do eStreamer do Cisco Firepower Management Center

4. Clique em Criar cliente no lado superior direito da janela.

5. No campo Nome do host, digite o endereço IP ou o nome do host, dependendo de qual das
condições a seguir se aplica a seus ambientes.
v Se você usar um QRadar Console ou usar um dispositivo QRadar All-in-One para coletar eventos
eStreamer, digite o endereço IP ou o nome do host de seu QRadar Console.
v Se você usar um QRadar Event Collector para coletar eventos eStreamer, digite o endereço IP ou o
nome do host para o Event Collector.

324 Guia de configuração do QRadar DSM

v Se você usar o QRadar High Availability (HA), digite o endereço IP virtual.
6. Opcional: No campo Senha, digite uma senha para o seu certificado. Se você optar por fornecer uma
senha, a senha será necessária para importar o certificado.
7. Clique em Salvar.
O novo cliente é incluído na lista do eStreamer Client e o host pode se comunicar com a API do
eStreamer na porta 8302.
8. Clique em Fazer download do certificado para seu host para salvar o certificado pkcs12 em um local
do arquivo.
9. Clique em OK para fazer download do arquivo.

O que Fazer Depois

Agora você está pronto para importar o certificado Cisco Firepower Management Center para seu
dispositivo QRadar.
Tarefas relacionadas:
“Importando um certificado Cisco Firepower Management Center no QRadar”
O script estreamer-cert-import.pl para o QRadar converte o arquivo de certificado pkcs12 em um
arquivo keystore e de armazenamento confiável e copia os certificados em seu dispositivo QRadar. Repita
este procedimento para cada certificado pkcs12 do Firepower Management Center que você precisar
importar para seu QRadar Console ou Event Collector.

Importando um certificado Cisco Firepower Management Center no

QRadar
O script estreamer-cert-import.pl para o QRadar converte o arquivo de certificado pkcs12 em um
arquivo keystore e de armazenamento confiável e copia os certificados em seu dispositivo QRadar. Repita
este procedimento para cada certificado pkcs12 do Firepower Management Center que você precisar
importar para seu QRadar Console ou Event Collector.

Antes de Iniciar

Deve-se ter os privilégios root ou su - root para executar o script de importação estreamer-cert-
import.pl.

Sobre Esta Tarefa

O script de importação estreamer-cert-import.pl será armazenado em seu QRadar Event Collector

quando você instalar o protocolo do Cisco Firepower eStreamer.

O script converte e importa apenas 1 arquivo pkcs12 por vez. É necessário que você importe um
certificado apenas para o dispositivo QRadar que recebe os eventos do Firepower Management Center.
Por exemplo, depois que o evento do Firepower Management Center for categorizado e normalizado por
um Event Collector em uma implementação do QRadar, ele será encaminhado para o QRadar Console.
Neste cenário, você importaria um certificado no Event Collector.

Ao importar um novo certificado, os certificados existentes do Firepower Management Center no

dispositivo QRadar são renomeados para estreamer.keystore.old e estreamer.truststore.old.

Procedimento
1. Efetue login como o usuário raiz usando SSH no dispositivo QRadar que receberá os eventos.
2. Copie o certificado transferido por download do dispositivo Firepower Management Center para um
diretório temporário no QRadar Event Collector.
3. Digite o comando a seguir para importar o arquivo pkcs12.

41 Cisco 325
/opt/qradar/bin/estreamer-cert-import.pl -f < pkcs12_absolute_filepath > options
O parâmetro -f é necessário. Todos os outros parâmetros que são descritos na tabela a seguir são
opcionais.
Tabela 182. Parâmetros de comando de importação de script
Parâmetro Descrição
-f Identifica o nome do arquivo dos arquivos pkcs12 a
serem importados.
-o Substitui o nome do eStreamer padrão para os arquivos
keystore e de armazenamento confiável. Use o parâmetro
-o quando você integrar múltiplos dispositivos
Firepower Management Center. Por exemplo,
/opt/qradar/bin/estreamer-cert-import.pl -f <file
name> -o <IP_address>

O script de importação cria os arquivos a seguir:

v /opt/qradar/conf/<IP_address>.keystore
v /opt/qradar/conf/<IP_address>.truststore
-d Ativa o modo detalhado para o script de importação. O
modo detalhado é destinado a exibir mensagens de erro
para propósitos de resolução de problemas quando a
importação correta dos arquivos pkcs12 falha.
-p Especifica uma senha se uma senha foi fornecida quando
você gerou o arquivo pkcs12.
-v Exibe as informações da versão para o script de
importação.
-h Exibe uma mensagem de ajuda sobre como usar o script
de importação.

Resultados

O script de importação exibe o local onde os arquivos de importação foram copiados.

Exemplo:

Figura 7. Saída do script de importação de amostra

Configurando uma origem de log para eventos do Cisco Firepower

Management Center
O QRadar não descobre automaticamente os eventos do Cisco Firepower Management Center. Deve-se
configurar uma origem de log no QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de log e, em seguida, clique em Incluir.
5. Na lista Tipo de origem de log, selecione Cisco Firepower Management Center.

326 Guia de configuração do QRadar DSM

6. Na lista Configuração de protocolo, selecione Cisco Firepower eStreamer.
7. Configure os parâmetros a seguir:

Parâmetro Descrição
Endereço do Servidor O endereço IP ou o nome do host do dispositivo Cisco
Firepower Management Center.
Porta do servidor O número da porta em que o dispositivo Cisco
Firepower Management Center está configurado para
aceitar solicitações de conexão. A porta padrão que o
QRadar usa para o dispositivo Cisco Firepower
Management Center é 8302.
Nome do arquivo keystore O caminho do diretório e o nome do arquivo para a
chave privada do keystore e o certificado associado. Por
padrão, o script de importação cria o arquivo keystore no
diretório a seguir: /opt/qradar/conf/estreamer.keystore
Nome do arquivo de armazenamento confiável O caminho do diretório e o nome do arquivo para os
arquivos de armazenamento confiável. O arquivo de
armazenamento confiável contém os certificados que são
confiáveis pelo cliente. Por padrão, o script de
importação cria o arquivo de armazenamento confiável
no diretório a seguir: /opt/qradar/conf/
estreamer.truststore
Solicitar dados extras Selecione essa opção para solicitar dados extras de
evento de intrusão por meio do Cisco Firepower
Management Center. Por exemplo, dados extras incluem
o endereço IP original de um evento.
Domínio Nota: As Solicitações de fluxo de domínio são
suportadas apenas para o eStreamer versão 6.x. Deixe o
campo Domain em branco para o eStreamer versão 5.x.

O domínio por meio do qual os eventos são

transmitidos.

O valor no campo Domínio deve ser um domínio

completo. Isso significa que todos os ancestrais do
domínio desejado devem ser listados começando com o
domínio de nível superior e terminando com o domínio
de folha dos quais você deseja solicitar eventos.

Exemplo:

Global é o domínio de nível superior, B é um domínio de

segundo nível que é um subdomínio de Global e C é um
domínio de terceiro nível e um domínio de folha que é
um subdomínio de B. Para solicitar eventos de C, digite
o valor a seguir para o parâmetro Domain:

Global \ B \ C

8. Clique em Salvar.

Cisco FWSM
É possível integrar o Cisco Firewall Service Module (FWSM) com o IBM QRadar.

O DSM Cisco FWSM para o QRadar aceita eventos FWSM usando syslog. O QRadar registra todos os
eventos Cisco FWSM relevantes.

41 Cisco 327
Configurando o Cisco FWSM para encaminhar eventos syslog
Para integrar o Cisco FWSM com o IBM QRadar, deve-se configurar os dispositivos Cisco FWSM para
encaminhar eventos syslog para o QRadar.

Sobre Esta Tarefa

Para configurar o Cisco FWSM:

Procedimento
1. Usando uma conexão do console, telnet ou SSH, efetue login no Cisco FWSM.
2. Ative a criação de log:
logging on
3. Altere o nível de criação de log:
logging trap <level>
Em que <level> é configurado dos níveis 1 a 7. Por padrão, o nível de trap de criação de log é
configurado como 3 (erro).
4. Designe o QRadar como um host para receber as mensagens:
logging host [interface] ip_address [tcp[/port] | udp[/port]] [format emblem]
Por exemplo:
logging host dmz1 192.0.2.1
Em que 192.0.2.1 é o endereço IP do sistema QRadar.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
Cisco FWSM.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log
syslog para o Cisco FWSM, execute as etapas a seguir:

328 Guia de configuração do QRadar DSM

Tabela 183. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do dispositivo Cisco FWSM.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Cisco Identity Services Engine

O IBM QRadar DSM for Cisco Identity Services Engine (ISE) coleta eventos de dispositivo dos
dispositivos Cisco ISE usando o protocolo Syslog UDP Multiline.

A tabela a seguir descreve as especificações para o Cisco Identity Services Engine DSM:
Tabela 184. Especificações do DSM Cisco Identity Services Engine
Especificação Valor
Fabricante Cisco
Nome do DSM Cisco Identity Services Engine
Nome do arquivo RPM DSM-CiscoISE-QRadar_version-build_number.noarch.rpm
Versões suportadas 1.1 a 2.2
Protocolo Syslog UDP multilinhas
Formato de evento Syslog
Tipos de eventos registrados Eventos do dispositivo
Descobertos automaticamente? No
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais website do Cisco (https: //www.cisco.com/c/en/us/
products/security/identity-services-engine/index.html)

Para integrar o Cisco ISE ao QRadar, conclua as etapas a seguir:

1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console. Os RPMs estão disponíveis para download no website de
suporte IBM (http://www.ibm.com/support):
v RPM DSMCommon
v RPM do DSM Cisco Identity Services Engine
2. Configure o dispositivo Cisco ISE para enviar eventos Syslog UDP Multiline para o QRadar.
3. Inclua uma origem de log do Cisco Identity Services Engine no QRadar Console. A tabela a seguir
descreve os parâmetros que requerem valores específicos para coletar eventos do Cisco ISE:
Tabela 185. Parâmetros de origem de log do Cisco Identity Services Engine
Parâmetro Valor
Tipo de origem de log Cisco Identity Service Engine
Configuração de protocolo Syslog UDP multilinhas
Identificador de Fonte de Log O endereço IP ou o nome do host do dispositivo Cisco
Identity Service Engine que envia eventos Syslog UDP
Multiline para o QRadar.

41 Cisco 329
Tabela 185. Parâmetros de origem de log do Cisco Identity Services Engine (continuação)
Parâmetro Valor
Porta de escuta Digite 517 como o número da porta usada pelo QRadar
para aceitar eventos Syslog UDP multilinhas recebidos. O
intervalo de portas válido vai de 1 a 65535.
Nota: Os eventos Syslog UDP Multiline podem ser
designados a qualquer porta que não esteja em uso,
exceto à porta 514. A porta padrão que é designada ao
protocolo UDP Multilinhas é a porta UDP 517. Para obter
uma lista de portas usadas pelo QRadar, consulte Portas e
servidores comuns usados pelo QRadar no Guia de
Administração do IBM QRadar ou no IBM Knowledge
Center (https://www.ibm.com/support/
knowledgecenter/SS42VS_7.3.0/com.ibm.qradar.doc/
c_qradar_adm_ports_and_servers.html).

Para editar uma configuração salva para usar um novo

número de porta, conclua as seguintes etapas:
1. No campo Porta de escuta, digite o novo número de
porta para receber eventos Syslog UDP multilinhas.
2. Clique em Salvar.

A atualização de porta está concluída e a coleção de

eventos é iniciada no novo número de porta.
Padrão de ID de mensagem Digite a expressão regular a seguir (regex) para filtrar as
mensagens de carga útil do evento:

CISE_\S+ (\d{10})

4. Configure um destino de criação de log remoto em seu dispositivo Cisco ISE.

5. Configure as categorias de criação de log de eventos em seu dispositivo Cisco ISE.
6. Verifique se o QRadar está configurado corretamente.
A tabela a seguir mostra uma mensagem de evento normalizado de amostra do Cisco Identity
Services Engine:
Tabela 186. Mensagem de amostra do Cisco Identity Services Engine
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
AUTHEN_PASSED Login do Administrador < 181 > Jan 26 15:00:15 cisco.ise
Bem-sucedido .test.com CISE_Administrative_and_
Operational_Audit 0000003812 1 0
2015 -01-26 15 :00:15.510 + 00:00 00
00008620 51001 NOTICE Administrador
-Login: authenticatio do administrador
n com êxito, ConfigVersionId = 84,
AdminInterface=GUI, AdminIPAddress
= x.x.x.x.x, AdminSession=0DE37
0E55527018DAA537F60AAAAAAA, Admin
Name=adminUser, OperationMessage
Text = Administrator authentica
tion bem-sucedido,

330 Guia de configuração do QRadar DSM

Tabela 186. Mensagem de amostra do Cisco Identity Services Engine (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
FAILED_ATTEMPT Falha de Autenticação Geral <181>Oct 31 16:35:39 isi CISE_Failed_Attempts
0000199854 2017-10-31 16:35:39.919 +01:00
0021309086 5400 NOTICE Failed-Attempt:
Authentication failed, ConfigVersionId=4, Device
IP Address=x.x.x.x, Device Port=33987,
DestinationIPAddress=x.x.x.x,
DestinationPort=1812,
RadiusPacketType=AccessRequest,
UserName=admin, Protocol=Radius,
RequestLatency=8, NetworkDeviceName=device1,
User-Name=admin, NAS-Identifier=12782c2b-747a-
4894-9689-000000000000,
NetworkDeviceProfileName=Cisco,
NetworkDeviceProfileId=efb762c5-9082-4c79-a101-
000000000000, IsThirdPartyDeviceFlow=false,
AcsSessionID=isi/298605301/000000,
AuthenticationMethod=PAP_ASCII,
SelectedAccessService=Default Network Access,
FailureReason=22056 Subject not found in the
applicable identity store(s), Step=11001,
Step=11017, Step=11117, Step=15049, Step=15008,
Step=15048, Step=15048, Step=15048, Step=15048,
Step=15006, Step=15041, Step=15006, Step=15013,
Step=24210, Step=24216, Step=22056, Step=22058,
Step=22061, Step=11003

Conceitos relacionados:
“Opções de configuração de protocolo syslog multilinhas UDP” na página 86
Para criar um evento único syslog a partir de um evento multilinhas, configure uma fonte de log para
utilizar o protocolo multilinhas UDP. O protocolo syslog multilinhas UDP utiliza uma expressão regular
para identificar e remontar as mensagens do syslog multilinhas na carga útil do evento única.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando um destino de criação de log remoto no Cisco ISE”
Para encaminhar eventos syslog para o IBM QRadar, deve-se configurar o dispositivo Cisco ISE com um
destino de log remoto.
“Configurando categorias de criação de log no Cisco ISE” na página 332
O Cisco Identity Services Engine DSM for IBM QRadar coleta eventos syslog de diversas categorias de
criação de log de eventos. Para definir quais eventos são encaminhados para o QRadar, deve-se
configurar cada categoria de criação de log de eventos em seu dispositivo Cisco ISE.

Configurando um destino de criação de log remoto no Cisco ISE

Para encaminhar eventos syslog para o IBM QRadar, deve-se configurar o dispositivo Cisco ISE com um
destino de log remoto.

Procedimento
1. Efetue login na interface de administração do Cisco ISE.

41 Cisco 331
2. No menu de navegação, selecione Administrativo > Sistema > Criação de log > Destinos de criação
de log remotos.
3. Clique em Incluir e, em seguida, configure os parâmetros a seguir:

Opção Descrição
Nome Digite um nome exclusivo para o sistema de destino
remoto.
Descrição É possível identificar exclusivamente o sistema de
destino para os usuários.
Endereço IP Digite o endereço IP do QRadar Console ou Event
Collector.
Port Digite 517 ou use o valor de porta que você especificou
em sua origem de log do Cisco ISE para o QRadar
Código de Instalação Na lista Código de recurso, selecione o recurso syslog
para uso na criação de log de eventos.
Comprimento Máximo Digite 1024 como o comprimento máximo de pacote
permitido para a mensagem syslog UDP.

4. Clique em Enviar.

O que Fazer Depois

Configure as categorias de criação de log que são encaminhadas pelo Cisco ISE para o QRadar.

Configurando categorias de criação de log no Cisco ISE

O Cisco Identity Services Engine DSM for IBM QRadar coleta eventos syslog de diversas categorias de
criação de log de eventos. Para definir quais eventos são encaminhados para o QRadar, deve-se
configurar cada categoria de criação de log de eventos em seu dispositivo Cisco ISE.

Procedimento
1. Efetue login na interface de administração do Cisco ISE.
2. No menu de navegação, selecione Administração > Sistema > Criação de log > Categorias de criação
de log.
A lista a seguir mostra as categorias de criação de log de eventos suportadas para o DSM IBM
QRadar para o Cisco Identity Services Engine:
v Auditoria AAA
v Tentativas com falha
v Autenticação aprovada
v Diagnósticos AAA
v Autenticação e autorização do administrador
v Diagnósticos de fluxo de autenticação
v Diagnósticos de armazenamento de identidade
v Diagnósticos de política
v Diagnósticos de raio
v Convidado
v Contabilidade
v Contabilidade de raio
v Auditoria administrativa e operacional
v Auditoria de variação e fornecimento ao cliente

332 Guia de configuração do QRadar DSM

v Diagnósticos de variação e fornecimento ao cliente
v Gerenciador de perfis
v Diagnósticos do sistema
v Gerenciamento distribuído
v Diagnósticos de operações internas
v Estatísticas do sistema
3. Selecione uma categoria de criação de log de eventos e, em seguida, clique em Editar.
4. Na lista Gravidade de log, selecione uma gravidade para a categoria de criação de log.
5. No campo Destino, inclua o destino de criação de log remoto para o QRadar na caixa Selecionar.
6. Clique em Salvar.
7. Repita esse processo para cada categoria de criação de log que você deseja encaminhar para o
QRadar.
Os eventos que são encaminhados pelo Cisco ISE são exibidos na guia Atividade de log no QRadar.

Cisco IDS/IPS
O DSM Cisco IDS/IPS para o IBM QRadar pesquisa o Cisco IDS/IPS em busca de eventos usando o
protocolo Security Device Event Exchange (SDEE).

Sobre Esta Tarefa

A especificação SDEE define o formato da mensagem e o protocolo que é usado para comunicar os
eventos que são gerados pelo dispositivo de segurança Cisco IDS/IPS. O QRadar suporta conexões SDEE
pesquisando diretamente para o dispositivo IDS/IPS e não o software de gerenciamento, que controla o
dispositivo.

Nota: Deve-se ter acesso de segurança ou autenticação da web no dispositivo antes de conectar-se ao
QRadar.

Depois de configurar seu dispositivo Cisco IDS/IPS, deve-se configurar o protocolo SDEE no QRadar. Ao
configurar o protocolo SDEE, deve-se definir o URL requerido para acessar o dispositivo.

Por exemplo, https://www.example.com/cgi-bin/sdee-server.

Deve-se usar um http ou https na URL, que é específica para a versão do Cisco IDS:
v Se você estiver usando RDEP (para Cisco IDS v4.0), verifique se /cgi-bin/event-server está no final
da URL.
Por exemplo, https://www.example.com/cgi-bin/event-server
v Se você estiver usando SDEE/CIDEE (para Cisco IDS v5.x e mais recente), verifique se
/cgi-bin/sdee-server está no final da URL.
Por exemplo, https://www.example/cgi-bin/sdee-server

O QRadar não descobre ou cria automaticamente origens de log para eventos syslog de dispositivos
Cisco IDS/IPS. Para integrar os eventos de dispositivos Cisco IDS/IPS com o QRadar, deve-se criar
manualmente uma origem de log para cada Cisco IDS/IPS em sua rede.

Para configurar uma origem de log Cisco IDS/IPS usando a pesquisa SDEE:

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.

41 Cisco 333
3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Cisco Intrusion Prevention System (IPS).
9. Usando a lista Protocolo de configuração, selecione SDEE.
A configuração do protocolo syslog é exibida.
10. Configure os valores a seguir:
Tabela 187. Parâmetros do SDEE
Parâmetro Descrição
Identificador de origem de log Digite um endereço IP, nome de host ou nome para identificar a origem de
eventos SDEE. Endereços IP ou nomes de host permitem que o QRadar
identifique um arquivo de log para uma origem de eventos exclusiva.

O identificador de origem de log deve ser exclusivo para o tipo de origem de

log.
URL Digite o endereço da URL para acessar a origem de log, por exemplo,
https://www.example.com/cgi-bin/sdee-server. Deve-se usar um http ou https
na URL.

Aqui estão algumas opções:

v Se você estiver usando SDEE/CIDEE (para Cisco IDS v5.x e mais recente),
verifique se /cgi-bin/sdee-server está no final da URL. Por exemplo,
https://www.example.com/cgi-bin/sdee-server
v Se você estiver usando RDEP (para Cisco IDS v4.0), verifique se
/cgi-bin/event-server está no final da URL. Por exemplo,
https://www.example.com/cgi-bin/event-server
Nome do usuário Digite o nome do usuário. Esse nome de usuário deve corresponder ao nome
de usuário da URL SDEE que é usado para acessar a URL SDEE. O nome de
usuário pode ter até 255 caracteres de comprimento.
Senha Digite a senha do usuário. Essa senha deve corresponder à senha da URL SDEE
que é usada para acessar a URL SDEE. A senha pode ter até 255 caracteres de
comprimento.
Eventos / Consulta Digite o número máximo de eventos a serem recuperados por consulta. O
intervalo válido vai de 0 a 501 e o padrão é 100.
Forçar assinatura Marque essa caixa de seleção se você deseja forçar uma nova assinatura SDEE.
Por padrão, essa caixa de seleção é marcada.

A caixa de seleção força o servidor a descartar a conexão menos ativa e aceitar

uma nova conexão de assinatura SDEE para essa origem de log.

Desmarcar a caixa de seleção continua com qualquer assinatura SDEE existente.

Filtro de gravidade baixa Marque essa caixa de seleção se você deseja configurar o nível de gravidade
como baixo.

As origens de log que suportam SDEE retornam somente os eventos que

correspondem a esse nível de gravidade. Por padrão, essa caixa de seleção é
marcada.

334 Guia de configuração do QRadar DSM

Tabela 187. Parâmetros do SDEE (continuação)
Parâmetro Descrição
Filtro de gravidade média Marque essa caixa de seleção se você deseja configurar o nível de severidade
como médio.

As origens de log que suportam SDEE retornam somente os eventos que

correspondem a esse nível de severidade. Por padrão, essa caixa de seleção é
marcada.
Filtro de gravidade alta Marque essa caixa de seleção se você quiser configurar o nível de severidade
como alto.

As origens de log que suportam SDEE retornam somente os eventos que

correspondem a esse nível de severidade. Por padrão, essa caixa de seleção é
marcada.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são consultados pelos dispositivos Cisco
IDS/IPS são exibidos na guia Atividade de log do QRadar.

Cisco IOS
É possível integrar dispositivos da série Cisco IOS com o IBM QRadar.

O DSM Cisco IOS para o QRadar aceita eventos Cisco IOS usando syslog. O QRadar grava todos os
eventos relevantes. Os Comutadores e Roteadores Cisco a seguir são descobertos automaticamente como
dispositivos da série Cisco IOS e seus eventos são analisados pelo DSM Cisco IOS:
v Roteadores Cisco 12000 Series
v Comutadores Cisco 6500 Series
v Roteadores Cisco 7600 Series
v Sistema de roteamento Cisco Carrier
v Roteador Cisco Integrated Services.

Nota: Certifique-se de que todas as Listas de Controle de Acesso (ACLs) estejam configuradas para LOG.

Configurando o Cisco IOS para encaminhar eventos

É possível configurar um dispositivo baseado em Cisco IOS para encaminhar eventos.

Sobre Esta Tarefa

Execute as etapas a seguir para configurar o dispositivo Cisco:

Procedimento
1. Efetue login no Cisco IOS Server, comutador ou roteador.
2. Digite o comando a seguir para efetuar login no roteador em privileged-exec:
ativar
3. Digite o comando a seguir para alternar para o modo de configuração:
conf t
4. Digite os comandos a seguir:
logging <IP address>
logging source-interface <interface>

41 Cisco 335
Em que:
v <IP address> é o endereço IP do host IBM QRadar e os componentes SIM.
v <interface> é o nome da interface, por exemplo, dmz, lan, ethernet0 ou ethernet1.
5. Digite o seguinte para configurar o nível de prioridade:
logging trap warning
logging console warning
Em que warning é a configuração de prioridade para os logs.
6. Configure o recurso syslog:
logging facility syslog
7. Salve e saia do arquivo.
8. Copie running-config para startup-config digitando o comando a seguir:
copy running-config startup-config
Agora você está pronto para configurar a origem de log no QRadar.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos do Cisco
IOS são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelos
dispositivos baseados em Cisco IOS são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Cisco IOS.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log para
dispositivos baseados em Cisco IOS, execute as etapas a seguir:

336 Guia de configuração do QRadar DSM

Tabela 188. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host da origem de log como um identificador
log para eventos do dispositivo baseado em Cisco IOS.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Cisco IronPort
O IBM QRadar DSM for Cisco IronPort recupera logs dos produtos Cisco a seguir: Cisco IronPort, Cisco
Email Security Appliance (ESA) e Cisco Web Security Appliance (WSA). O Cisco IronPort DSM recupera
eventos de filtragem de conteúdo da web (formato W3C), Logs de e-mail de texto e Logs do sistema.

Para integrar o Cisco IronPort ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir por meio do Website de Suporte IBM (https://www.ibm.com/support/fixcentral/)
em seu QRadar Console:
v RPM do protocolo de arquivo de log
v RPM do DSM Cisco IronPort
2. Configure o Cisco IronPort para se comunicar com o QRadar.
3. Opcional: inclua uma origem de log Cisco IronPort usando o protocolo de Arquivo de log.
4. Opcional: inclua uma origem de log do Cisco IronPort usando o protocolo Syslog.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Especificações do DSM Cisco IronPort

A tabela a seguir descreve as especificações para o Cisco IronPort DSM.
Tabela 189. Especificações do DSM Cisco IronPort
Especificação Valor
Fabricante Cisco
Nome do DSM Cisco IronPort
Nome do arquivo RPM DSM-CiscoIronPort-QRadar_version-
build_number.noarch.rpm
Versões suportadas v Cisco IronPort: V5.5, V6.5, V7.1, V7.5
v Cisco ESA: V10.0
v Cisco WSA: V10.0
Protocolo Syslog: Cisco IronPort, Cisco WSA

Protocolo de arquivo de log: Cisco IronPort, Cisco ESA

Formato de evento W3C

41 Cisco 337
Tabela 189. Especificações do DSM Cisco IronPort (continuação)
Especificação Valor
Tipos de eventos registrados Logs de e-mail de texto, Logs do sistema, Conteúdo da
web, Eventos de filtragem
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Cisco Email Security Appliance (http://www.cisco.com/
c/en/us/products/security/email-security/index.html)

Cisco Web Security Appliance (http://www.cisco.com/c/

en/us/products/security/web-security-appliance/
index.html)

Configurando dispositivos Cisco IronPort para se comunicar com o

QRadar
Conclua a configuração nos dispositivos Cisco IronPort para que eles possam enviar eventos para o
QRadar.

Procedimento
1. Para configurar o Cisco IronPort Appliance para enviar por push eventos do Filtro de conteúdo da
web, deve-se configurar uma assinatura de log para o Filtro de conteúdo da web que usa o formato
W3C. Para obter mais informações, consulte a documentação do Cisco IronPort.
2. Para configurar o Cisco Email Security Appliance (ESA) para enviar por push os dados da mensagem,
os eventos antivírus, deve-se configurar uma assinatura de log. Para obter mais informações, consulte
a documentação Cisco ESA: configurando assinaturas de log (https://www.cisco.com/c/dam/en/us/
td/docs/security/esa/esa10-0/ESA_10-0_User_Guide.pdf).
3. Para configurar o seu Cisco Web Security Appliance (WSA) para enviar por push os eventos de
atividade de monitoramento de filtragem e tráfego do proxy da web, deve-se configurar uma
assinatura de log. Para obter mais informações, consulte a documentação Cisco WSA: incluindo e
editando assinaturas de log (https://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa_10-
0/WSA_10-1-0_UserGuide.pdf).

Nota: Ao incluir uma assinatura de log no Cisco Web Security Appliance (WSA), o valor do
parâmetro Estilo de log deve ser Squid.

Configurando uma origem de log Cisco IronPort e Cisco ESA usando

o protocolo de arquivo de log
É possível configurar uma origem de log no QRadar Console para que o Cisco IronPort e o Cisco Email
Security Appliance (ESA) possam se comunicar com o QRadar usando o protocolo de arquivo de log.

Procedimento

Configure uma origem de log do Cisco IronPort no QRadar Console usando o protocolo de arquivo de
log. As tabelas a seguir descrevem os parâmetros de origem de log do Arquivo de log que requerem
valores específicos para recuperação de logs do Cisco IronPort e Cisco ESA.
Tabela 190. Parâmetros de origem de log do Cisco IronPort para o arquivo de log
Parâmetro Valor
Tipo de origem de log Cisco IronPort

338 Guia de configuração do QRadar DSM

Tabela 190. Parâmetros de origem de log do Cisco IronPort para o arquivo de log (continuação)
Parâmetro Valor
Configuração do Protocolo Protocolo de arquivo de log
Log Source Identifier O Identificador de origem de log pode ser qualquer
valor válido, incluindo o mesmo valor que o parâmetro
de Nome de origem de log e não precisa fazer referência
a um servidor específico.
Tipo de serviço Na lista, selecione o protocolo que você deseja usar ao
recuperar arquivos de log a partir de um servidor
remoto. O padrão é SFTP.

O protocolo subjacente que é usado para recuperar

arquivos de log para o tipo de serviço SCP e SFTP requer
que o servidor que está especificado no campo IP remoto
ou Nome do host tenha o subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do dispositivo
que contém os arquivos de log de evento.
Porta remota Digite a porta que é usada para comunicação com o host
remoto. O intervalo válido é de 1 a 65535. As opções
incluem:
v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22
Se o host dos seus arquivos de eventos estiver usando
um número de porta não padrão para FTP, SFTP ou SCP,
você deverá ajustar o valor da porta.
Usuário remoto Digite o nome do usuário necessário para efetuar login
no host que contém os arquivos de eventos.
Senha remota Digite a senha necessária para efetuar login no host.
Confirmar senha Confirme a senha necessária para efetuar login no host.
Arquivo de chave SSH Se o sistema estiver configurado para usar a autenticação
de chave, digite o caminho para a chave SSH.

Quando um arquivo-chave SSH é utilizado, o campo

Senha Remota será ignorado.
Diretório remoto Digite o local do diretório no host remoto a partir do
qual os arquivos são recuperados. O caminho do
diretório é relativo à conta do usuário que é usada para
efetuar login.
Nota:

Somente para FTP. Se os arquivos de log estiverem no

usuário inicial do usuário remoto, será possível deixar o
diretório remoto em branco. Um campo de diretório
remoto em branco suporta sistemas em que uma
mudança no comando de diretório ativo (CWD) é
restrita.
Recursivo Marque essa caixa de seleção para ativar o padrão do
arquivo para procurar subpastas. Por padrão, a caixa de
seleção não é selecionada.

Esta opção é ignorada para as transferências de arquivos

SCP.

41 Cisco 339
Tabela 190. Parâmetros de origem de log do Cisco IronPort para o arquivo de log (continuação)
Parâmetro Valor
Padrão do arquivo de FTP Deve-se usar uma expressão regular que corresponda aos
arquivos de log que são gerados.

O padrão do arquivo FTP que você especificar deve

corresponder ao nome designado aos arquivos de
eventos. Por exemplo, para coletar arquivos que
terminam com .log, digite o comando a seguir: .*\.log.

Para obter mais informações, consulte a documentação

do Oracle Java (http://docs.oracle.com/javase/tutorial/
essential/regex/).
Horário de Início Digite o horário do dia para a origem do log iniciar a
importação do arquivo.

Esse parâmetro funciona com o valor de Recorrência

para estabelecer quando e com que frequência o
Diretório Remoto é varrido em busca de arquivos.
Recorrência Digite um intervalo de tempo para determinar com que
frequência o diretório remoto é varrido em busca de
novos arquivos de log de evento. O valor mínimo é 15
minutos.

O intervalo de tempo pode incluir valores em horas (H),

minutos (M) ou dias (D). Por exemplo, UMA recorrência
de 2H varre o diretório remoto a cada 2 horas.
Executar ao salvar Marque esta caixa de seleção para iniciar a importação
do arquivo de log imediatamente após o administrador
salvar a origem de log.

Após a importação do primeiro arquivo, o protocolo de

arquivo de log segue o horário de início e o
planejamento de recorrência que é definido pelo
administrador.

Quando selecionada, esta caixa de opções limpa a lista

de arquivos transferidos por download e processados
anteriormente.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que o
protocolo não pode exceder.

O intervalo válido é 100 a 5000.

Processador Na lista, selecione gzip.
Ignorar arquivo(s) processado(s) anteriormente Marque essa caixa de seleção para rastrear arquivos que
foram processados pelo protocolo de arquivo de log. O
QRadar examina os arquivos de log no diretório remoto
para determinar se um arquivo foi processado
anteriormente pelo protocolo de arquivo de log. Se um
arquivo anteriormente processado for detectado, o
protocolo de arquivo de log não fará download do
arquivo para processamento. Todos os arquivos que não
foram processados anteriormente são transferidos por
download.

Essa opção aplica-se somente aos tipos de serviço FTP e

SFTP.

340 Guia de configuração do QRadar DSM

Tabela 190. Parâmetros de origem de log do Cisco IronPort para o arquivo de log (continuação)
Parâmetro Valor
Mudar diretório local? Selecione essa caixa de seleção para definir o diretório
local no QRadar Console para armazenar arquivos
transferidos por download durante o processamento.

Os administradores podem deixar essa caixa de seleção

desmarcada para mais configurações. Quando essa caixa
de seleção é marcada, o campo Diretório local é exibido
para que você possa configurar o diretório local a ser
usado para armazenar arquivos.
Gerador de evento W3C. O Gerador de evento usa o W3C para processar os
arquivos de log do filtro de conteúdo da web.
Codificação de Arquivo Na caixa de listagem, selecione a codificação de
caracteres que é utilizada pelos eventos em seu arquivo
de log.
Separador de Pasta Digite o caractere que é utilizado para separar as pastas
para seu sistema operacional. O valor padrão é /.

A maioria das configurações pode utilizar o valor padrão

no campo Separador de pasta.

Este campo é destinado a sistemas operacionais que

utilizam um caractere diferente para definir pastas
separadas. Por exemplo, pontos que separam as pastas
em sistemas mainframe.

Configurando uma origem de log Cisco IronPort e Cisco WSA usando

o protocolo Syslog
É possível configurar uma origem de log no QRadar Console para que o Cisco IronPort Appliance e o
Cisco Web Security Appliance (WSA) possam se comunicar com o QRadar usando o protocolo Syslog.

Procedimento

Configure uma origem de log do Cisco IronPort no QRadar Console usando o Syslog. As tabelas a seguir
descrevem os parâmetros de origem de log do Syslog que requerem valores específicos para recuperação
de logs do Cisco IronPort e Cisco WSA.
Tabela 191. Parâmetros de origem de log do Cisco IronPort para Syslog
Parâmetro Valor
Tipo de origem de log Cisco IronPort
Configuração do Protocolo Syslog

41 Cisco 341
Tabela 191. Parâmetros de origem de log do Cisco IronPort para Syslog (continuação)
Parâmetro Valor
Log Source Identifier O endereço IPv4 ou o nome do host que identifica a
origem de log.

Se sua rede contiver diversos dispositivos conectados a

um console de gerenciamento único, especifique o
endereço IP do dispositivo individual que criou o evento.
Um identificador exclusivo, como um endereço IP, evita
que as procuras de eventos identifiquem o console de
gerenciamento como a fonte para todos os eventos.

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar. Substitua os endereços IP de amostra, etc. por seu próprio conteúdo.

A tabela a seguir mostra uma mensagem do evento de amostra do Cisco IronPort:

Tabela 192. Mensagem de amostra do Cisco IronPort suportada pelo dispositivo Cisco IronPort
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Mailserver_info Informações Mon Apr 17 19:57:20
2003 Info: MID 6 ICID
5 De:
<[email protected]>
TCP_CONNECT Informações timestamp=1296564861.
465 x-latency=72 cip=
127.0.0.1 xresultcodehttpstatus=
TCP_MISS_
SSL/200 scbytes=
0 csmethod=
TCP_CONNE
CT csurl=192.0.2.1:443
cs-username=- xhierarchyorigin=
DIRECT/ 192.0.2.1
cs (MIME_type)
=-xacltag=
DECRYPT_WE
BCAT_7-DefaultGroup-
DefaultGroup-NONENONE-
NONEDefaultGroup

Cisco Meraki
O IBM QRadar DSM for Cisco Meraki coleta eventos Syslog de um dispositivo Cisco Meraki.

Para integrar o Cisco Meraki ao QRadar, conclua as etapas a seguir:

342 Guia de configuração do QRadar DSM

1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale o
RPM do Cisco Meraki DSM em seu QRadar Console.
2. Configure o dispositivo Cisco Meraki para enviar eventos Syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log Cisco Meraki
no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores específicos para
coletar eventos do Syslog por meio do Cisco Meraki:
Tabela 193. Parâmetros de origem de log do Syslog Cisco Meraki
Parâmetro Valor
Tipo de origem de log Cisco Meraki
Configuração de protocolo Syslog
Identificador de Fonte de Log O endereço IPv4 ou o nome do host que identifica a
origem de log.

Se sua rede contiver diversos dispositivos conectados a

Conceitos relacionados:
“Configure o Cisco Meraki para se comunicar com o IBM QRadar” na página 344
Para coletar eventos do Cisco Meraki, configure o dispositivo Cisco Meraki para enviar eventos Syslog
para o QRadar.
“Mensagens de eventos de amostra” na página 344
Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
Referências relacionadas:
“Especificações do DSM Cisco Meraki”
A tabela a seguir descreve as especificações para o Cisco Meraki DSM.

Especificações do DSM Cisco Meraki

A tabela a seguir descreve as especificações para o Cisco Meraki DSM.
Tabela 194. Especificações do DSM Cisco Meraki
Especificação Valor
Fabricante Cisco
Nome do DSM Cisco Meraki
Nome do arquivo RPM DSM-CiscoMeraki-QRadar_version-
build_number.noarch.rpm
Versões suportadas N/A
Protocolo Syslog

41 Cisco 343
Tabela 194. Especificações do DSM Cisco Meraki (continuação)
Especificação Valor
Formato de evento Syslog
Tipos de eventos registrados Eventos

Fluxos

security_event ids_alerted
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Informações do produto Cisco Meraki (https:
//Meraki.cisco.com)

Conceitos relacionados:
“Cisco Meraki” na página 342
O IBM QRadar DSM for Cisco Meraki coleta eventos Syslog de um dispositivo Cisco Meraki.

Configure o Cisco Meraki para se comunicar com o IBM QRadar

Para coletar eventos do Cisco Meraki, configure o dispositivo Cisco Meraki para enviar eventos Syslog
para o QRadar.

Configure o Cisco Meraki para se comunicar com o QRadar seguindo as etapas Visão geral e configuração
do Servidor Syslog no website Cisco Meraki (https://documentation.meraki.com/
zGeneral_Administration/Monitoring_and_Reporting/Syslog_Server_Overview_and_Configuration).
Conceitos relacionados:
“Cisco Meraki” na página 342
O IBM QRadar DSM for Cisco Meraki coleta eventos Syslog de um dispositivo Cisco Meraki.

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece mensagens de evento de amostra ao usar o protocolo Syslog para o DSM Cisco
Meraki:
Tabela 195. Mensagens de amostra do DSM Cisco Meraki suportadas pelo Cisco Meraki
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Fluxo de Entrada Informações <134>1 1515988859.051369334
Fluxos QRADAR
src=<Source_IP_address>
dst=<Destination_IP_address>
protocol=tcp sport=<Port>
dport= <Port> pattern: 1 all
Fluxo de Saída Informações < 134 > 1 1515988859.626061236
Fluxos do QRADAR_appliance
src=<Source_IP_address>
dst=<Destination_IP_address>
mac=<MAC_address>
protocol=tcp sport=<Port>
dport= <Port> pattern: allow all

344 Guia de configuração do QRadar DSM

Tabela 195. Mensagens de amostra do DSM Cisco Meraki suportadas pelo Cisco Meraki (continuação)
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
URL-UNKNOWN Nota < 134 > 1 1516057359.742046722
Urls de QRADAR_appliance
src=<Source_IP_address>:<Port>
dst=<Destination_IP_address>:<
Port> mac=<MAC_address>
solicitação: UNKNOWN
https://www.example.com/cgibin/
sdee-server/...
URL-GET Informações <134>1 1516057357.668297541
Urls de QRADAR_appliance
src=<Source_IP_address>:<Port>
dst=<Destination_IP_address>:<
Port> mac=<MAC_address>
agent= Solicitação ’Teste’: GET
https://www.example.com/cgibin/
sdee-server
URL-POST Informações < 134 > 1 1515990652.718750836
Urls de QRADAR_appliance
src=<Source_IP_address>:<Port>
dst=<Destination_IP_address>:<
Port> mac=<MAC_address>
agent= ’ Windows-Update-
Agent/ <IP_address> Cliente-
Solicitação de Protocolo/1.40 ’: POST
https://www.example.com/cgibin/
sdee-server
Lease DHCP Informações < 134 > 1 1516153561.629079842
QRADAR events dhcp lease of
ip <IP_address1> from server
mac <MAC_address> para cliente
mac <MAC_address> de
roteador <IP_address2> na sub-rede
<IP_address3> com dns
<IP_address4>, <IP_address5>
vpn_registry_change Nota < 134 > 1 1516085616.402689713
Eventos QRADAR
type=vpn_registry_change
vpn_type=’site-to-site’
conectividade = ’false’
Bloco de filtragem de Nota < 134 > 1 1516149081.972680893
conteúdo Eventos do QRADAR_appliance
content_filtering_block
url= ’ https: //www.example.com/c
gi-bin/sdee-server/...’
category0 = ’Malware Sites’
server = ’<IP_address>: <Port>’
Endereço MAC-Conflito de Aviso <134>1 1516057331.654660510
IP Eventos QRADAR MAC
<MAC_address> e MAC
<MAC_address> ambos: IP de solicitação:
<IP_address>

41 Cisco 345
Tabela 195. Mensagens de amostra do DSM Cisco Meraki suportadas pelo Cisco Meraki (continuação)
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
1:45148 Cavalo de Troia < 134 > 1 1516050030.553653046
Detectado QRADAR security_event
ids_alerted signature=1:45148: 1
priority=1
timestamp=1516050030.236281
dhost=<MAC_address>
direction=ingress protocol=tcp/ip
src=<Source_IP_address>:<Port>
dst=<Destination_IP_address>:<
Porta > message: BROWSER-IE
Microsoft Internet Explorer
Array out of bounds write
tentativa

Conceitos relacionados:
“Cisco Meraki” na página 342
O IBM QRadar DSM for Cisco Meraki coleta eventos Syslog de um dispositivo Cisco Meraki.

Cisco NAC
O DSM Cisco NAC para o IBM QRadar aceita eventos usando syslog.

O QRadar registra todos os eventos relevantes de auditoria, erro, falha, quarentena e eventos do sistema
infectado. Antes de configurar um dispositivo Cisco NAC no QRadar, deve-se configurar o dispositivo
para encaminhar eventos syslog.

Configurando o Cisco NAC para encaminhar eventos

É possível configurar o Cisco NAC para encaminhar eventos syslog:

Procedimento
1. Efetue login na interface com o usuário Cisco NAC.
2. Na seção Monitoramento, selecione Logs de eventos.
3. Clique na guia Configurações de syslog.
4. No campo Endereço do servidor syslog, digite o endereço IP do IBM QRadar.
5. No campo Porta do servidor syslog, digite o número da porta syslog. O padrão é 514.
6. No campo Intervalo de log de funcionamento do sistema, digite a frequência, em minutos, para
eventos de log de estatística do sistema.
7. Clique em Atualizar.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

Para integrar eventos do Cisco NAC com o IBM QRadar, deve-se criar manualmente uma origem de log
para receber eventos do Cisco NAC

Sobre Esta Tarefa

O QRadar não descobre ou cria automaticamente origens de log para eventos syslog de dispositivos
Cisco NAC.

346 Guia de configuração do QRadar DSM

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhados para o QRadar pelo Cisco
NAC são exibidos na guia Atividade de log.

Cisco Nexus
O DSM Cisco Nexus para o IBM QRadar suporta alertas de dispositivos Cisco NX-OS.

Syslog é usado para encaminhar eventos do Cisco Nexus para o QRadar. Para poder integrar eventos
com o QRadar, deve-se configurar o dispositivo Cisco Nexus para encaminhar eventos syslog.

Configurando Cisco Nexus para encaminhar eventos

É possível configurar syslog no servidor Cisco Nexus para encaminhar eventos:

Procedimento
1. Digite o comando a seguir para alternar para o modo de configuração:
config t
2. Digite os comandos a seguir:
logging server <IP address> <severity>
Em que:
v <IP address> é o endereço IP do QRadar Console.
v <severity> é o nível de severidade das mensagens de eventos, cujo valor varia de 0 a 7.
Por exemplo, logging server 192.0.2.1 6 encaminha as mensagens syslog de nível de informações
(6) para 192.0.2.1.
3. Digite o comando a seguir para configurar a interface para enviar eventos syslog:
logging source-interface loopback
4. Digite o comando a seguir para salvar sua configuração atual como a configuração de inicialização:
copy running-config startup-config
A configuração está concluída. A origem de log é incluída no IBM QRadar conforme os eventos do
Cisco Nexus são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelo
Cisco Nexus são exibidos na guia Atividade de log do QRadar.

41 Cisco 347
Configurando uma origem de log
O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Cisco Nexus.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log para
o Cisco Nexus, execute as etapas a seguir:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Para obter mais informações sobre como configurar um Virtual
Device Context (VDC) no dispositivo Cisco Nexus, consulte a documentação do fornecedor.

Cisco Pix
É possível integrar os dispositivos de segurança Cisco Pix com o IBM QRadar.

O DSM Cisco Pix para o QRadar aceita eventos do Cisco Pix usando syslog. O QRadar registra todos os
eventos relevantes do Cisco Pix.

Configurando o Cisco Pix para encaminhar eventos

É possível configurar o Cisco Pix para encaminhar eventos.

Procedimento
1. Efetue login no dispositivo Cisco PIX usando uma conexão do console, telnet ou SSH.
2. Digite o comando a seguir para acessar o modo Privilegiado:
ativar
3. Digite o comando a seguir para acessar o modo de Configuração:

348 Guia de configuração do QRadar DSM

conf t
4. Ative a criação de log e registro de data e hora dos logs:
logging on
logging timestamp
5. Configure o nível de log:
logging trap warning
6. Configure a criação de log para o IBM QRadar:
logging host <interface> <IP address>
Em que:
v <interface> é o nome da interface, por exemplo, DMZ, LAN, ethernet0 ou ethernet1.
v <IP address> é o endereço IP do host do QRadar.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos do Pix
Cisco Firewall são descobertos automaticamente. Os eventos que são encaminhados para o QRadar
pelo Cisco Pix Firewalls são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Pix Cisco
Firewalls.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Para configurar manualmente uma origem de log para o Cisco Pix, execute as etapas a seguir:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

41 Cisco 349
A configuração está concluída.

Cisco Stealthwatch
O DSM IBM QRadar para o Cisco Stealthwatch recebe eventos de um dispositivo Cisco Stealthwatch.

A tabela a seguir identifica as especificações para o DSM Stealthwatch Cisco:

Tabela 199. Especificações do DSM Cisco Stealthwatch
Especificação Valor
Fabricante Cisco
Nome do DSM Cisco Stealthwatch
Nome do arquivo RPM DSM-CiscoStealthwatch-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 6,8
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Anomalias, Acúmulo de dados, Exploração, Alto índice
de preocupação, Alto índice de origem de DDoS, Alto
índice de Destino, Violação de política, Reconfiguração,
Alto índice de destino de DDoS, Remoção de dados,
C&C
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Cisco Stealthwatch (http://www.cisco.com)

Para integrar o Cisco Stealthwatch ao QRadar, conclua as seguintes etapas:

1. Se as atualizações automáticas não estiverem configuradas, faça download da versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM Cisco Stealthwatch
2. Configure o dispositivo Cisco Stealthwatch para enviar eventos do syslog ao QRadar.
3. Se o QRadar não detectar a origem de log automaticamente, inclua uma origem de log do Cisco
Stealthwatch no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para a coleção de eventos do Cisco Stealthwatch:
Tabela 200. Parâmetros de origem de log do Cisco Stealthwatch
Parâmetro Valor
Tipo de origem de log Cisco Stealthwatch
Configuração de protocolo Syslog
Fonte de Log Um identificador exclusivo para a origem de log.

A tabela a seguir mostra uma mensagem syslog de amostra que é suportada pelo dispositivo Cisco
Stealthwatch:

350 Guia de configuração do QRadar DSM

Configurando o Cisco Stealthwatch para comunicar-se com o QRadar

Sobre Esta Tarefa

O Cisco Stealthwatch pode encaminhar eventos de diferentes tipos de mensagens, incluindo mensagens
do syslog customizadas, para terceiros.

Procedimento
1. Efetue login no Stealthwatch Management Console (SMC) como administrador.
2. Na barra de menus, clique em Configuração > Gerenciamento de resposta.
3. Na seção Ações no menu Gerenciamento de resposta, clique em Incluir > Mensagem do syslog.
4. Na janela Incluir ação de mensagem do syslog, configure os seguintes parâmetros:

Parâmetro Valor
Nome O nome para a ação de mensagem do syslog.
Ativado Essa caixa de seleção é ativada por padrão.
Endereço IP O endereço IP do QRadar Event Collector.

41 Cisco 351
Parâmetro Valor
Porta A porta padrão é a 514.
Formato Selecione Formatos do syslog.

5. Insira o formato customizado a seguir:

LEEF:2.0|Lancope|Stealthwatch|6.8|{alarm_type_id}|0x7C|src={source_ip}
|dst = { |dstPort = { |proto = { |msg = {
description } |fullmessage = { |fullmessage = { |start = { |end=
{ |cat = { |alarmID = { |
sourceHG={source_host_group_names}|targetHG={target_host_group_
names } |sourceHostSnapshot = { |sourceHostSnapshot = { |targetHostSnapshot = {
_url } |flowCollectorName = { |flowCollectorName = { |flowCollectorIP = {
|domain = { |exporterName = { |exporterIP
Address = { |exporterInfo = { |targetUser=
{ |targetHostname = { |s ourceUser=
{ |alarmStatus = { |alarmSev=
{
6. Selecione o formato customizado na lista e clique em OK.

Nota: Use o botão Testar para enviar uma mensagem de teste ao QRadar
7. Clique em Gerenciamento de resposta > Regras.
8. Clique em Incluir e selecione Alarme do host.
9. Forneça um nome de regra no campo Nome.
10. Crie regras selecionando valores nos menus Tipo e Opções. Para incluir mais regras, clique no ícone
de reticências. Para um Alarme do host, combine o máximo de tipos possíveis em uma instrução.
11. Na caixa de diálogo Ação, selecione Ação do syslog do IBM QRadar para as condições Ativo e
Inativo. O evento é encaminhado para o QRadar quando qualquer condição predefinida é satisfeita.

Cisco Umbrella
O IBM QRadar DSM for Cisco Umbrella coleta logs de DNS do armazenamento do Cisco Umbrella
usando uma API compatível com o Amazon S3.

Para integrar o Cisco Umbrella ao QRadar, conclua as etapas a seguir:

352 Guia de configuração do QRadar DSM

Tabela 202. Parâmetros de origem de log da API REST do Amazon AWS S3 (continuação)
Parâmetro Valor
Identificador de Fonte de Log Digite um nome exclusivo para a origem de log.

O Identificador de Origem de Log pode ser qualquer

valor válido e não precisa fazer referência a um servidor
específico. O Identificador de Origem de Log pode ter o
mesmo valor que o Nome da Origem de Log. Se você
configurou mais de uma origem de log do Cisco
Umbrella, talvez queira identificar a primeira origem de
log como ciscoumbrella1, a segunda origem de log como
ciscoumbrella2 e a terceira origem de log como
ciscoumbrella3.
Versão da Assinatura Selecione AWSSIGNATUREV2 ou AWSSIGNATURE4.

AWSSIGNATUREV2 não suporta todas as regiões do

Amazon AWS. Se você estiver usando uma região que
suporte apenas AWSSIGNATUREV4, deverá escolher
AWSSIGNATUREV4 na lista.

Nota: Se for necessário criar uma origem de log para

recuperar eventos de diversas regiões,
AWSSIGNATUREV4 deverá ser escolhido.
Nome da região (somente assinatura V4) A região que está associada ao depósito Amazon S3.
Nome do depósito O nome do depósito AWS S3 em que os arquivos de log
estão armazenados.
URL do Nó de Extremidade https://s3.amazonaws.com

A URL do Terminal pode ser diferente dependendo das

configurações do dispositivo.
Método de Autenticação
ID da Chave de Acesso / Chave Secreta
Autenticação padrão que pode ser usada de
qualquer lugar.
Função do IAM de Instância do EC2
Se o host gerenciado do QRadar estiver em
execução em uma instância do AWS EC2, a
escolha dessa opção usará a Função IAM dos
metadados de instância designados à instância
para autenticação e nenhuma chave será
necessária. Esse método funcionará apenas para
hosts gerenciados que estiverem em execução
dentro de um contêiner do AWS EC2.
ID da Chave de Acesso A chave de acesso público que é necessária para acessar
o depósito AWS S3.
Chave Secreta A chave de acesso privada que é necessária para acessar
o depósito AWS S3.
Prefixo de Diretório O local do diretório-raiz no depósito de armazenamento
Cisco Umbrella do qual os logs do Cisco Umbrella são
recuperados. Por exemplo, o local do diretório raiz pode
ser dnslogs/.
Padrão de arquivo .*?\.csv\.gz
Formato de Evento Selecione Cisco Umbrella CSV na lista. A origem de log
recupera eventos formatados em CSV.

41 Cisco 353
Tabela 202. Parâmetros de origem de log da API REST do Amazon AWS S3 (continuação)
Parâmetro Valor
Usar Proxy Se o QRadar acessa o Amazon Web Service usando um
proxy, ative a caixa de seleção.

Se o proxy requer autenticação, configure os campos

Servidor proxy, Porta de proxy, Nome do usuário de
proxy e Senha de proxy. Se o proxy não requerer
autenticação, configure os campos Nome do usuário de
proxy e Senha de proxy.
Adquirir automaticamente certificado(s) de servidor Se você selecionar Sim, o QRadar fará download
automaticamente do certificado do servidor e começará a
confiar no servidor de destino. Essa opção pode ser
usada para inicializar uma origem de log recém-criada,
obter certificados e substituir certificados expirados.
Recorrência Com que frequência o Protocolo da API REST do
Amazon AWS S3 se conecta à API de nuvem do
Amazon, verifica se há novos arquivos e recupera-os se
eles existirem. Cada acesso a um depósito AWS S3
incorre em um custo para a conta que possui o depósito.
Portanto, um valor de recorrência menor aumenta o
custo.

Digite um intervalo de tempo para determinar com que

frequência o diretório remoto é varrido em busca de
novos arquivos de log de evento. O valor mínimo é de 1
minuto. O intervalo de tempo pode incluir valores em
horas (H), minutos (M) ou dias (D). Por exemplo: 2H = 2
horas, 15M = 15 minutos.
Regulador de EPS O número máximo de eventos por segundo.

O padrão é 5000.

Conceitos relacionados:
“Configure o Cisco Umbrella para se comunicar com o QRadar”
O QRadar coleta eventos Cisco Umbrella de um depósito Amazon S3. É necessário configurar o Cisco
Umbrella para encaminhar eventos para o QRadar.
“Especificações do DSM Cisco Umbrella” na página 355
A tabela a seguir descreve as especificações para o Cisco Umbrella DSM.
“Mensagens de eventos de amostra” na página 355
Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configure o Cisco Umbrella para se comunicar com o QRadar

O QRadar coleta eventos Cisco Umbrella de um depósito Amazon S3. É necessário configurar o Cisco
Umbrella para encaminhar eventos para o QRadar.

354 Guia de configuração do QRadar DSM

Siga os procedimentos que são mencionados na documentação on-line do Cisco para configurar o seu
Cisco Umbrella:

Cisco Umbrella Log Management no Amazon S3(https://support.umbrella.com/hc/en-us/articles/

231248448-Cisco-Umbrella-Log-Management-in-Amazon-S3.

Especificações do DSM Cisco Umbrella

A tabela a seguir descreve as especificações para o Cisco Umbrella DSM.
Tabela 203. Especificações do DSM Cisco Umbrella
Especificação Valor
Fabricante Cisco
Nome do DSM Cisco Umbrella
Nome do arquivo RPM DSM-CiscoUmbrella-QRadar_version-
build_number.noarch.rpm
Versões suportadas N/A
Protocolo API REST do Amazon AWS S3
Formato de evento Cisco Umbrella CSV
Tipos de eventos registrados Auditoria
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Página de informações do produto Cisco Umbrella (https:
//umbrella.cisco.com)

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

As tabelas a seguir fornecem mensagens de eventos de amostra para o Cisco Umbrella DSM:
Tabela 204. Mensagem do syslog de amostra do Cisco Umbrella
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
NOERROR 18081 (DNS em {2}{0}{1}{7}-11-17-15 -30-dcd8.
Andamento) csv.gz "," EventType ":" DNSLog", "Timestamp":
"2017-11-17 15:30:27","MostGranularIdenti
ty ":" Test "," Identities ":" Test "," Internal
Ip ":" <IP_address> "," ExternalIp ":
"<External_IP_address>", "Ação":
"Allowed", "QueryType": " 28
(AAAA) "," ResponseCode ":" NOERROR "," Domain "
: "abc.aws.amazon.com. ", "Categorias":
"Ecommerce / Shopping" }

41 Cisco 355
Tabela 205. Mensagem do evento de amostra Cisco Umbrella
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
NOERROR 18081 (DNS em "2015 -01-16 17:48:41", " Ativo
Andamento) DirectoryUserName","ActiveDirectoryUser
Name,ADSite,Network","<IP_address1>",
"<IP_address2>", "Allowed", "1 (A)",
"NOERROR" ,"domain-visited.com.",
" Chat, Photo Sharing, Social Network
ing, Allow List "

Cisco VPN 3000 Concentrator

O DSM Cisco VPN 3000 Concentrator para o IBM QRadar aceita eventos do Cisco VPN Concentrator
usando syslog.

Sobre Esta Tarefa

O QRadar grava todos os eventos relevantes. Para poder integrar com um Cisco VPN Concentrator,
deve-se configurar o dispositivo para encaminhar eventos syslog para o QRadar.

Para configurar o Cisco VPN 3000 Concentrator:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Cisco VPN 3000 Concentrator.
2. Digite o comando a seguir para incluir um servidor syslog na configuração:
set logging server <IP address>
Em que <IP address> é o endereço IP do QRadar ou Coletor de Eventos.
3. Digite o comando a seguir para permitir que as mensagens do sistema sejam registradas nos
servidores syslog configurados:
set logging server enable
4. Configure o nível de recurso e de severidade para mensagens do servidor syslog:
v
set logging server facility <server_facility_parameter>
v
set logging server severity <server_severity_level>
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos do Cisco
VPN Concentrator são descobertos automaticamente. Os eventos que são encaminhados para o
QRadar são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos Cisco VPN
3000 Series Concentrators.

Sobre Esta Tarefa

Essas etapas de configuração são opcionais.

Para configurar manualmente uma origem de log, execute as etapas a seguir:

356 Guia de configuração do QRadar DSM

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Cisco Wireless LAN Controllers

O DSM Cisco Wireless LAN Controllers para o IBM QRadar coleta eventos que são encaminhados pelos
dispositivos Cisco Wireless LAN Controller usando syslog ou SNMPv2.

Esta seção inclui os tópicos a seguir:

v “Configurando syslog para Cisco Wireless LAN Controller”
v “Configurando SNMPv2 para o Cisco Wireless LAN Controller” na página 359

Antes de iniciar
Se você coletar eventos do Cisco Wireless LAN Controllers, selecione o melhor método de coleção para
sua configuração. O DSM Cisco Wireless LAN Controller para o QRadar suporta eventos syslog e
SNMPv2. No entanto, syslog fornece todos os eventos do Cisco Wireless LAN Controller disponíveis,
enquanto SNMPv2 envia somente um conjunto limitado de eventos de segurança para o QRadar.

Configurando syslog para Cisco Wireless LAN Controller

É possível configurar o Cisco Wireless LAN Controller para encaminhar eventos syslog para o IBM
QRadar.

Procedimento
1. Efetue login na interface do Cisco Wireless LAN Controller.
2. Clique na guia Gerenciamento.
3. No menu, selecione Logs > Configuração.
4. No campo Endereço IP do servidor syslog, digite o endereço IP do QRadar Console.
41 Cisco 357
5. Clique em Incluir.
6. Na lista Nível de syslog, selecione um nível de criação de log.
O nível de criação de log Informações permite a coleção de todos os eventos do Cisco Wireless LAN
Controller acima do nível de criação de log Depurar.
7. Na lista Recurso de syslog, selecione um nível de recurso.
8. Clique em Aplicar.
9. Clique em Salvar configuração.

O que Fazer Depois

Agora você está pronto para configurar uma origem de log syslog para o Cisco Wireless LAN Controller.

Configurando uma origem de log syslog no IBM QRadar

O QRadar não descobre automaticamente os eventos syslog recebidos do Cisco LAN Wireless Controllers.
Deve-se criar uma origem de log para cada Cisco Wireless LAN Controller que fornece eventos syslog
para o QRadar.

Sobre Esta Tarefa

Para configurar uma origem de log no QRadar, execute as etapas a seguir:

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Cisco LAN Wireless Controllers.
9. Usando a lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:
Tabela 207. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do Cisco Wireless LAN Controller.
Ativado Marque a caixa de seleção Ativado para ativar a origem de log. Por padrão, essa
caixa de seleção é marcada.
Credibilidade Na lista, selecione a credibilidade da origem de log. O intervalo é de 0 – 10. A
credibilidade indica a integridade de um evento ou ofensa conforme determinado
pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.
Coletor de eventos de destino Na lista, selecione o Coletor de eventos de destino a ser usado como o destino da
origem de log.

358 Guia de configuração do QRadar DSM

Tabela 207. Parâmetros do protocolo Syslog (continuação)
Parâmetro Descrição
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

As origens de log descobertas automaticamente usam o valor padrão que é

configurado na lista suspensa Unindo eventos na janela Configurações do QRadar
na guia Admin. No entanto, ao criar uma nova origem de log ou atualizar a
configuração de uma origem de log descoberta automaticamente, é possível
substituir o valor padrão configurando essa caixa de seleção para cada origem de
log. Para obter mais informações sobre as configurações, consulte o Guia de
Administração do IBM QRadar.
Carga útil do evento recebido Na lista, selecione o codificador de carga útil de entrada para analisar e armazenar
os logs.
Armazenar carga útil do Marque essa caixa de seleção para ativar ou desativar o QRadar de armazenar a
evento carga útil do evento.

As origens de log descobertas automaticamente usam o valor padrão da lista

suspensa Armazenar carga útil do evento na janela Configurações do QRadar na
guia Admin. No entanto, ao criar uma nova origem de log ou atualizar a
configuração de uma origem de log descoberta automaticamente, é possível
substituir o valor padrão configurando essa caixa de seleção para cada origem de
log.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Configurando SNMPv2 para o Cisco Wireless LAN Controller

A coleção de eventos SNMP para Cisco Wireless LAN Controllers permite a captura de eventos para o
IBM QRadar

Sobre Esta Tarefa

Os eventos a seguir são coletados:

v Evento de configuração SNMP
v Erro de autenticação bsn
v Erros de decriptografia de chave LWAPP

Procedimento
1. Efetue login na interface do Cisco Wireless LAN Controller.
2. Clique na guia Gerenciamento.
3. No menu, selecione SNMP > Comunidades.
É possível usar uma das comunidades padrão que são criadas ou criar uma nova comunidade.
4. Clique em Novo.
5. No campo Nome da comunidade, digite o nome da comunidade para seu dispositivo.
6. No campo Endereço IP, digite o endereço IP do QRadar.
O endereço IP e a máscara IP que você especifica é o endereço do qual o Cisco Wireless LAN
Controller aceita solicitações SNMP. É possível tratar esses valores como uma lista de acesso para
solicitações SNMP.
7. No campo Máscara de IP, digite uma máscara de sub-rede.
8. Na lista Modo de acesso, selecione Somente leitura ou Leitura/Gravação.

41 Cisco 359
9. Na lista Status, selecione Ativar.
10. Clique em Salvar configuração para salvar suas mudanças.

O que Fazer Depois

Agora você está pronto para criar um receptor de trap SNMPv2.

Configurando um receptor de trap para o Cisco Wireless LAN

Controller
Os receptores de trap que estão configurados no Cisco Wireless LAN Controllers definem onde o
dispositivo pode enviar mensagens de trap SNMP.

Sobre Esta Tarefa

Para configurar um receptor de trap no Cisco Wireless LAN Controller, execute as etapas a seguir:

Procedimento
1. Clique na guia Gerenciamento.
2. No menu, selecione SNMP > Receptores de trap.
3. No campo Nome do receptor de trap, digite um nome para o receptor de trap.
4. No campo Endereço IP, digite o endereço IP do IBM QRadar.
O endereço IP que você especifica é o endereço para o qual o Cisco Wireless LAN Controller envia
mensagens SNMP. Se você planeja configurar essa origem de log em um Event Collector, você deseja
especificar o endereço IP do dispositivo Event Collector.
5. Na lista Status, selecione Ativar.
6. Clique em Aplicar para confirmar as mudanças.
7. Clique em Salvar configuração para salvar suas configurações.

O que Fazer Depois

Agora você está pronto para criar uma origem de log SNMPv2 no QRadar.

Configurando uma origem de log para o Cisco Wireless LAN

Controller que usa SNMPv2
O IBM QRadar não descobre e cria automaticamente origens de log para dados do evento SNMP do
Cisco Wireless LAN Controllers. Deve-se criar uma origem de log para cada Cisco Wireless LAN
Controller que fornece eventos SNMPv2.

Sobre Esta Tarefa

Execute as etapas a seguir para criar uma origem de log para o Cisco Wireless LAN Controller:

360 Guia de configuração do QRadar DSM

8. Na lista Tipo de origem de log, selecione Cisco LAN Wireless Controllers.
9. Usando a lista Configuração de protocolo, selecione SNMPv2.
10. Configure os valores a seguir:
Tabela 208. Parâmetros do protocolo SNMPv2
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do Cisco Wireless LAN Controller.
Comunidade Digite o nome da comunidade SNMP que é necessário para acessar o sistema que
contém os eventos SNMP. O padrão é Público.
Incluir OIDs na carga útil do Marque a caixa de seleção Incluir OIDs na carga útil do evento.
evento
Essa opção permite que a carga útil do evento SNMP seja construída usando os
pares nome-valor em vez do formato de carga útil do evento padrão. Os OIDs na
carga útil do evento são necessários para processar eventos SNMPv2 ou SNMPv3
de determinados DSMs.
Ativado Marque a caixa de seleção Ativado para ativar a origem de log. Por padrão, essa
caixa de seleção é marcada.
Credibilidade Na lista, selecione a credibilidade da origem de log. O intervalo é de 0 – 10. A
credibilidade indica a integridade de um evento ou ofensa conforme determinado
pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.
Coletor de eventos de destino Na lista, selecione o Coletor de eventos de destino a ser usado como o destino da
origem de log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

As origens de logs descobertas automaticamente usam o valor padrão que é

configurado na lista suspensa Unindo eventos na janela Configurações do QRadar
na guia Admin. Entretanto, quando você cria uma nova origem de log ou atualiza a
configuração de uma origem de log descoberta automaticamente, é possível
substituir o valor padrão configurando essa caixa de seleção para cada origem de
log. Para obter mais informações sobre as configurações, consulte o Guia de
Administração do IBM QRadar.
Armazenar carga útil do Marque essa caixa de seleção para ativar ou desativar o QRadar de armazenar a
evento carga útil do evento.

As origens de log descobertas automaticamente usam o valor padrão da lista

suspensa Armazenar carga útil do evento na janela Configurações do QRadar na
guia Admin. Entretanto, quando você cria uma nova origem de log ou atualiza a
configuração de uma origem de log descoberta automaticamente, é possível
substituir o valor padrão configurando essa caixa de seleção para cada origem de
log.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Os eventos que são encaminhados pelo Cisco Wireless LAN
Controller são exibidos na guia Atividade de log do QRadar.

Cisco Wireless Services Module

É possível integrar um dispositivo Cisco Wireless Services Module (WiSM) com o IBM QRadar.

Um DSM Cisco WiSM para o QRadar aceita eventos usando syslog. Para poder integrar o QRadar com
um dispositivo Cisco WiSM, deve-se configurar o Cisco WiSM para encaminhar eventos syslog.

41 Cisco 361
Configurando o Cisco WiSM para encaminhar eventos
É possível configurar o Cisco WiSM para encaminhar eventos syslog para o IBM QRadar.

Sobre Esta Tarefa

Execute as etapas a seguir para configurar o Cisco WiSM para encaminhar eventos syslog:

Procedimento
1. Efetue login na interface com o usuário do Cisco Wireless LAN Controller.
2. Clique em Gerenciamento > Logs > Configuração.
A janela Configuração de syslog é exibida.
3. No campo Endereço IP do servidor syslog, digite o endereço IP do host do QRadar que recebe as
mensagens syslog.
4. Clique em Incluir.
5. Usando a lista Nível de syslog, configure o nível de severidade para filtrar as mensagens de syslog
para os servidores syslog usando um dos níveis de severidade a seguir:
v Emergenciais - nível de severidade 0
v Alertas - nível de severidade 1 (padrão)
v Crítico – nível de severidade 2
v Erros – nível de severidade 3
v Avisos – nível de severidade 4
v Notificações - nível de severidade 5
v Informativo – nível de severidade 6
v Depuração – nível de severidade 7
Se você configurar um nível de syslog, apenas as mensagens cujo nível de severidade é igual ou
menor que o nível de syslog selecionado serão enviadas para o servidor syslog. Por exemplo, se você
configurar o nível de syslog para Avisos (nível de severidade 4), somente as mensagens cuja
gravidade for de 0 a 4 serão enviadas para os servidores syslog.
6. Na lista Recurso de syslog, configure o recurso para enviar mensagens syslog para o servidor syslog
usando um dos níveis de recurso a seguir:
v Kernel – nível de recurso 0
v Processo do usuário - nível de recurso 1
v e-mail – nível de recurso 2
v Daemons do sistema - nível de recurso 3
v Autorização - nível de recurso 4
v Syslog - nível de recurso 5 (valor padrão)
v Impressora de linha - nível de recurso 6
v USENET - nível de recurso 7
v Cópia de Unix para Unix - nível de recurso 8
v Cron - nível de recurso 9
v Daemon de FTP - nível de recurso 11
v Uso do sistema 1 - nível de recurso 12
v Uso do sistema 2 - nível de recurso 13
v Uso do sistema 3 - nível de recurso 14
v Uso do sistema 4 - nível de recurso 15
v Uso local 0 - nível de recurso 16
v Uso local 1 - nível de recurso 17

362 Guia de configuração do QRadar DSM

v Uso local 2 - nível de recurso 18
v Uso local 3 - nível de recurso 19
v Uso local 4 - nível de recurso 20
v Uso local 5 - nível de recurso 21
v Uso local 6 - nível de recurso 22
v Uso local 7 - nível de recurso 23
7. Clique em Aplicar.
8. Nas listas Nível de log em buffer e Nível de log do console, selecione o nível de severidade para
mensagens de log enviadas para o buffer do controlador e o console usando um dos níveis de
severidade a seguir:
v Emergenciais - nível de severidade 0
v Alertas - nível de severidade 1
v Crítico – nível de severidade 2
v Erros – nível de severidade 3 (valor padrão)
v Avisos – nível de severidade 4
v Notificações - nível de severidade 5
v Informativo – nível de severidade 6
v Depuração – nível de severidade 7
Se você configurar um nível de criação de log, somente as mensagens cuja gravidade for igual ou
menor que o nível serão registradas pelo controlador. Por exemplo, se você configurar o nível de
criação de log para Avisos (nível de severidade 4), somente as mensagens cuja gravidade for de 0 a
4 serão registradas.
9. Marque a caixa de seleção Informações do arquivo se você desejar que os logs de mensagens
incluam informações sobre o arquivo de origem. O valor padrão é ativado.
10. Marque a caixa de seleção Informações de processo se você desejar que os logs de mensagens
incluam informações de processo. O valor padrão é desativado.
11. Marque a caixa de seleção Informações de rastreio se você desejar que os logs de mensagens
incluam informações de análise retrospectiva. O valor padrão é desativado.
12. Clique em Aplicar para confirmar as mudanças.
13. Clique em Salvar configuração para salvar suas mudanças.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos do Cisco
WiSM são descobertos automaticamente. Os eventos que são encaminhados pelo Cisco WiSM são
exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Cisco WiSM.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Para configurar manualmente uma origem de log para o Cisco WiSM, execute as etapas a seguir:

41 Cisco 363
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Cisco Wireless Services Module (WiSM).
9. Usando a lista Configuração de protocolo, selecione Syslog.
A configuração do protocolo syslog é exibida.
10. Configure os valores a seguir:
Tabela 209. Parâmetros do protocolo syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do dispositivo Cisco WiSM.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

364 Guia de configuração do QRadar DSM

42 Citrix
DSMs Citrix NetScaler e Citrix Access Gateway.

O DSM NetScaler Citrix para o IBM QRadar aceita todos os eventos de log de auditoria relevantes
usando syslog.

O DSM Citrix Access Gateway aceita eventos de acesso, auditoria e disgnóstico que são encaminhados
pelo dispositivo Citrix Access Gateway usando syslog.

Citrix NetScaler
Para integrar eventos do Citrix NetScaler com o IBM QRadar, deve-se configurar o Citrix NetScaler para
encaminhar eventos syslog.

Procedimento
1. Usando SSH, efetue login no dispositivo Citrix NetScaler como um usuário raiz.
2. Digite o comando a seguir para incluir um servidor syslog remoto:
add audit syslogAction <ActionName> <IP Address> -serverPort 514 -logLevel Info -dateFormat
DDMMYYYY
Em que:
<ActionName> é um nome descritivo para a ação do servidor syslog.
<IP Address> é o endereço IP ou o nome do host do QRadar Console.

Exemplo:
add audit syslogAction action-QRadar 192.0.2.1 -serverPort 514
-logLevel Info -dateFormat DDMMYYYY
3. Digite o comando a seguir para incluir uma política de auditoria:
add audit syslogPolicy <PolicyName> <Rule> <ActionName>
Em que:
<PolicyName> é um nome descritivo para a política de syslog.
<Rule> é a regra ou a expressão que a política usa. O único valor suportado é ns_true.
<ActionName> é um nome descritivo para a ação do servidor syslog.

Exemplo:
add audit syslogPolicy policy-QRadar ns_true action-QRadar
4. Digite o comando a seguir para ligar a política globalmente:
bind system global <PolicyName> -priority <Integer>
Em que:
<PolicyName> é um nome descritivo para a política de syslog.
<Integer> é um valor numérico que é usado para classificar a prioridade da mensagem para várias
políticas que estão se comunicando usando syslog.

Exemplo:
bind system global policy-QRadar -priority 30
Quando várias políticas têm prioridade (representado por um valor numérico que é designado a elas)
o valor numérico mais baixo é avaliado antes do valor numérico mais alto.

© Copyright IBM Corp. 2005, 2019 365

5. Digite o comando a seguir para salvar a configuração do Citrix NetScaler.
save config
6. Digite o comando a seguir para verificar se a política está salva na configuração:
sh system global

Nota: Para obter informações sobre como configurar syslog usando a interface com o usuário do
Citrix NetScaler, consulte http://support.citrix.com/article/CTX121728 ou a documentação do
fornecedor.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos Citrix
NetScaler são descobertos automaticamente. Os eventos que são redirecionados pelo Citrix NetScaler
são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log Citrix NetScaler

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Citrix
NetScaler.

Sobre Esta Tarefa

Esse procedimento é opcional.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

Citrix Access Gateway

Configuração de syslog no Citrix Access Gateway para encaminhar eventos para o QRadar Console ou
Event Collector.

Procedimento
1. Efetue login na interface da web do Citrix Access Gateway.
2. Clique na guia Access Gateway Cluster.
3. Selecione Criação de log/Configurações.
4. No campo Servidor, digite o endereço IP do QRadar Console ou Event Collector.

366 Guia de configuração do QRadar DSM

5. Na lista Recurso, selecione um nível de recurso de syslog.
6. No Intervalo de transmissão (min), digite 0 para encaminhar eventos syslog continuamente para o
QRadar.
7. Clique em Enviar para salvar suas mudanças.

Resultados

A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos Citrix Access
Gateway são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelo Citrix
Access Gateway são exibidos na guia Atividade de log no QRadar.

Configurando uma origem de log Citrix Access Gateway

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog de dispositivos
Citrix Access Gateway.

Sobre Esta Tarefa

Esse procedimento é opcional.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

42 Citrix 367
368 Guia de configuração do QRadar DSM
43 Cloudera Navigator
O IBM QRadar DSM for Cloudera Navigator coleta eventos do Cloudera Navigator.

A tabela a seguir identifica as especificações para o DSM Cloudera Navigator:

Tabela 212. Especificações do DSM Cloudera Navigator
Especificação Valor
Fabricante Cloudera
Nome do DSM Cloudera Navigator
Nome do arquivo RPM DSM-ClouderaNavigator-Qradar_version-
build_number.noarch.rpm
Versões suportadas v2.0
Protocolo Syslog
Tipos de eventos registrados Eventos de auditoria para HDFS, HBase, Hive, Hue,
Cloudera Impala, Sentry
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Cloudera Navigator (www.cloudera.com)

Para integrar o Cloudera Navigator com o QRadar, conclua as seguintes etapas:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do DSM Cloudera Navigator
2. Configure seu dispositivo Cloudera Navigator para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Cloudera
Navigator no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para coleção de eventos do Cloudera Navigator:
Tabela 213. Parâmetros de origem de log do Cloudera Navigator
Parâmetro Valor
Tipo de origem de log Cloudera Navigator
Configuração de protocolo Syslog
Log Source Identifier O endereço IP ou nome do host no cabeçalho Syslog. Use
o endereço IP de pacote, se o cabeçalho Syslog não
contiver um endereço IP ou nome do host.

© Copyright IBM Corp. 2005, 2019 369

Configurando o Cloudera Navigator para se comunicar com o QRadar
É possível configurar o dispositivo Cloudera Navigator para enviar eventos syslog no formato JSON para
o IBM QRadar.

Antes de Iniciar

Assegure-se de que o Cloudera Navigator possa acessar a porta 514 no sistema QRadar.

Sobre Esta Tarefa

Quando você instala o Cloudera Navigator, todos os logs de auditoria são coletados automaticamente.
Entretanto, deve-se configurar o Cloudera Navigator para enviar logs de auditoria ao QRadar usando
syslog.

Procedimento
1. Efetue uma das seguintes tarefas:
v Clique em Clusters > Cloudera Management Service > Cloudera Management Service.
v Na guia Status da página Inicial, clique no link Cloudera Management Service na tabela Cloudera
Management Service.
2. Clique na guia Configuração.
3. Procure o Fragmento de configuração avançada de criação de log do servidor de auditoria do
Navigator.
4. Dependendo do tipo de formato, insira um dos valores a seguir no campo Valor:
v log4j.logger.auditStream = TRACE,SYSLOG
v log4j.appender.SYSLOG = org.apache.log4j.net.SyslogAppender
v log4j.appender.SYSLOG.SyslogHost = <QRadar Hostname>
v log4j.appender.SYSLOG.Facility = Local2
v log4j.appender.SYSLOG.FacilityPrinting = true
v log4j.additivity.auditStream = false
5. Clique em Salvar mudanças.

370 Guia de configuração do QRadar DSM

44 CloudPassage Halo
O DSM Halo CloudPassage para o IBM QRadar pode coletar logs de eventos da conta do CloudPassage
Halo.

A tabela a seguir identifica as especificações para o DSM Halo CloudPassage:

Tabela 214. Especificações do DSM CloudPassage Halo
Especificação Valor
Fabricante CloudPassage
Nome do DSM CloudPassage Halo
Nome do arquivo RPM DSM-CloudPassageHalo-build_number.noarch.rpm
Versões suportadas Todos
Formato de evento Syslog, arquivo de log
Tipos de eventos registrados do QRadar Todos os eventos
Descobertos automaticamente? Sim
Identidade incluída? Não
Informações adicionais website do CloudPassage (www.cloudpassage.com)

Para integrar o CloudPassage Halo com o QRadar, use as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download das versões mais recentes dos
RPMs a seguir:
v RPM DSMCommon
v RPM CloudPassage Halo
2. Configure o Halo CloudPassage para ativar a comunicação com o QRadar.
3. Se o QRadar não detectar automaticamente o CloudPassage Halo como uma origem de log, crie uma
origem de log CloudPassage Halo no QRadar Console.

Configurando o CloudPassage Halo para comunicação com o QRadar

Para coletar eventos CloudPassage Halo, faça download e configure o script Conector de evento do
CloudPassage Halo para enviar eventos syslog para o QRadar.

Antes de Iniciar

Para poder configurar o Conector de evento, deve-se criar uma chave de API CloudPassage somente
leitura. Para criar uma chave somente leitura, efetue login em seu CloudPassage Portal e clique em
Incluir nova chave na janela Administração de site.

Sobre Esta Tarefa

O script Conector de evento requer que o Python 2.6 ou mais recente seja instalado no host no qual o
script é executado. O Conector de evento faz chamadas para a API de eventos do CloudPassage, que está
disponível a todos os assinantes Halo.

Nota: É possível configurar a Coleção de eventos do CloudPassage Halo para gravar os eventos no
arquivo do QRadar para ser recuperado usando o Protocolo de arquivo de log; no entanto, esse método
não é recomendado.

© Copyright IBM Corp. 2005, 2019 371

Procedimento
1. Efetue login no CloudPassage Portal.
2. Vá para Configurações > Administração do Site .
3. Clique na guia Chaves de API .
4. Clique em Mostrar para a chave que você deseja usar.
5. Copie o ID de chave e a chave secreta em um arquivo de texto.
Assegure-se de que o arquivo contenha somente uma linha, com o ID de chave e a chave secreta
separados por uma barra vertical (|), por exemplo, your_key_id|your_secret_key. Se você deseja
recuperar eventos de várias contas Halo, inclua uma linha extra para cada conta.
6. Salve o arquivo como haloEvents.auth.
7. Faça download do script Conector de evento e dos arquivos associados em https://github.com/
cloudpassage/halo-event-connector-python.
8. Copie os arquivos a seguir em um sistema Linux ou Windows que tenha o Python 2.6 (ou mais
recente) instalado:
v haloEvents.py
v cpapi.py
v cputils.py
v remote_syslog.py (use esse script somente se você implementar o Conector de evento no Windows
e desejar enviar eventos por meio de syslog)
v haloEvents.auth
9. Configure as variáveis de ambiente no sistema Linux ou Windows:
v No Linux, inclua o caminho completo para o interpretador Python na variável de ambiente PATH.
v No Windows, configure as variáveis a seguir:
– Configure a variável PATH para incluir o local do haloEvents.py e do interpretador Python.
– Configure a variável PYTHONPATH para incluir o local das bibliotecas Python e o
interpretador Python.
10. Para enviar eventos por meio de syslog com o Conector de evento implementado em um sistema
Windows, execute o script haloEvents.py com o comutador --leefsyslog=<QRadar IP>:
haloEvents.py -- leefsyslog=192.0.2.1
Por padrão, o Conector de evento recupera os eventos existentes na conexão inicial e, em seguida,
recupera somente os novos eventos depois disso. Para iniciar a recuperação de evento a partir de
uma data específica, em vez de recuperar todos os eventos históricos na inicialização, use o
comutador --starting=<date>, em que date está no formato AAAA-MM-DD:
haloEvents.py -- leefsyslog=192.0.2.1 -- starting=2014-04-02
11. Para enviar eventos por meio de syslog e implementar o Conector de evento em um sistema Linux,
configure o daemon do criador de logs local.
a. Para verificar qual criador de logs o sistema usa, digite o comando a seguir:
ls -d /etc/*syslog*
Dependendo de qual distribuição Linus você tiver, os arquivos a seguir poderão ser listados:
v
– rsyslog.conf
– syslog-ng.conf
– syslog.conf
b. Edite o arquivo .conf apropriado com informações relevantes para seu ambiente.
Configuração de exemplo para syslog-ng:
source s_src {
file("/var/log/leefEvents.txt");
};

372 Guia de configuração do QRadar DSM

destination d_qradar {
udp("qradar_hostname" port(514));
};
log {
source(s_src); destination(d_qradar);
};
c. Para executar o script haloEvents.py com o comutador leeffile=<filepath>, digite o comando a
seguir:
haloEvents.py --leeffile=/var/log/leefEvents.txt
É possível incluir o comutador --starting=YYYY-MM-DD para especificar a data a partir da qual
você deseja que os eventos sejam coletados na inicialização inicial.

Nota: Como alternativa ao uso de syslog, é possível gravar eventos em um arquivo para o
QRadar para recuperação usando o protocolo de Arquivo de Log. Para que o Windows ou Linux
grave os eventos em um arquivo em vez disso, use o comutador --leeffile=<filename> para
especificar o arquivo no qual gravar.

Configurando uma origem de log CloudPassage Halo no QRadar

Para coletar eventos CloudPassage Halo, configure uma origem de log no QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione CloudPassage Halo.
7. Na lista Configuração de protocolo, selecione Syslog ou Arquivo de log.
8. Configure os parâmetros restantes:
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

44 CloudPassage Halo 373

374 Guia de configuração do QRadar DSM
45 CloudLock Cloud Security Fabric
O IBM QRadar DSM for CloudLock Cloud Security Fabric coleta eventos do serviço CloudLock Cloud
Security Fabric.

A tabela a seguir descreve as especificações para o DSM do CloudLock Cloud Security Fabric:
Tabela 215. Especificações do DSM do CloudLock Cloud Security Fabric
Especificação Valor
Fabricante CloudLock
Nome do DSM CloudLock Cloud Security Fabric
Nome do arquivo RPM DSM-CloudLockCloudSecurityFabric-Qradar_version-
build_number.noarch.rpm
Versões Suportadas N/D
Protocolo Syslog
Formato de evento Log Event Extended Format (LEEF)
Tipos de eventos registrados Incidentes
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Cloud Cybersecurity (https://www.cloudlock.com/
products/)

Para integrar o CloudLock Cloud Security Fabric com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos seguintes RPMs em seu QRadar Console na ordem em que estão listados:
v RPM DSMCommon
v RPM do DSM do CloudLock Cloud Security Fabric
2. Configure seu serviço CloudLock Cloud Security Fabric para enviar eventos Syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do CloudLock
Cloud Security Fabric no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para a coleção de eventos do CloudLock Cloud Security Fabric:
Tabela 216. Parâmetros da origem de log do CloudLock Cloud Security Fabric
Parâmetro Valor
Tipo de origem de log CloudLock Cloud Security Fabric
Configuração de protocolo Syslog

A tabela a seguir fornece uma mensagem de evento de amostra para o DSM do CloudLock Cloud
Security Fabric:

© Copyright IBM Corp. 2005, 2019 375

Tabela 217. Mensagem de amostra do CloudLock Cloud Security Fabric suportada pelo serviço CloudLock Cloud
Security Fabric
Categoria de baixo
Nome do Evento nível Mensagem de log de amostra
Novo Incidente Atividade Suspeita LEEF: 1.0|Cloudlock|API|v2|Incidents|
match_count=2 sev=1 entity_id=ebR4q6DxvA entity_origin
_type=document group=None url=https: //example.com/
a/path/file/d/ < File_path_ID/
view?usp=drivesdk CloudLockID=xxxxxxxxxx updated_at=
2016¬01-20T15:42:15.128356+0000 entity_owner_email=
[email protected] cat = NEW entity_origin_id=
<File_path_ID> entity_mime_type=text/
plain devTime=2016¬01-20T15:42:14.913178+0000
policy=Custom Regex resource=confidential.txt usrName=
Admin Admin realm=domain policy_id=xxxxxxxxxx
devTimeFormat=yyyy¬MM-dd’T’HH:mm:ss.SSSSSSZ

Configurando o CloudLock Cloud Security Fabric para comunicar com

o QRadar
É possível configurar o CloudLock Cloud Security Fabric para comunicar com o QRadar usando um
script Python.

Antes de Iniciar
v Para coletar incidentes do CloudLock, um script que faz chamadas API do CloudLock é necessário.
Esse script coleta incidentes e converte-os em Log Event Extended Format (LEEF).
v O Python é necessário.

Procedimento
1. Gere um token da API do CloudLock. Para gerar um token da API no CloudLock, abra as
Configurações. Acesse o painel Integrações. Copie o token de acesso que aparece na página.
2. Acesse o website do Suporte do CloudLock (https://www.cloudlock.com/support/). Abra um caso
de suporte para obter o arquivo cl_sample_incidents.py e, em seguida, planeje o script para coleção
de eventos.

376 Guia de configuração do QRadar DSM

46 Correlog Agent for IBM z/OS
O DSM CorreLog Agent for IBM z/OS para o IBM QRadar pode coletar logs de evento dos servidores
IBM z/OS.

A tabela a seguir identifica as especificações para o DSM CorreLog Agent for IBM z/OS:

Especificação Valor
Fabricante CorreLog
Nome do DSM CorreLog Agent for IBM z/OS
Nome do arquivo RPM DSM-CorreLogzOSAgent_qradar-version_build-
number.noarch.rpm
Versões suportadas
7.1

7.2
Protocolo Syslog LEEF
QRadar eventos registrados Todos os eventos
Descoberto automaticamente Sim
Inclui identidade Não
Inclui propriedades de evento customizado Não
Informações adicionais website do Correlog (https://correlog.com/solutions-
and-services/sas-correlog-mainframe.html)

Para integrar o DSM CorreLog Agent for IBM z/OS com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale o RPM do CorreLog
Agent for IBM z/OS mais recente no QRadar Console.
2. Para cada instância CorreLog Agent, configure o sistema CorreLog Agent para ativar a comunicação
com o QRadar.
3. Se o QRadar não descobrir automaticamente o DSM, crie uma origem de log no QRadar Console para
cada sistema CorreLog Agent que você deseja integrar. Configure todos os parâmetros necessários,
mas use a tabela a seguir para obter os valores Correlog específicos:

Parâmetro Descrição
Tipo de Fonte de Log CorreLog Agent for IBM zOS
Configuração de protocolo Syslog

© Copyright IBM Corp. 2005, 2019 377

Configurando o sistema CorreLog Agent para comunicação com o
QRadar
Para o procedimento de configuração do sistema Correlog Agent para comunicação com o QRadar,
consulte o manual do CZA – CorreLog Agent for z/OS que você recebeu da CorreLog com seu Agent for
z/OS.

Sobre Esta Tarefa

Use as seções a seguir do manual do CZA - CorreLog Agent for z/OS:

v Considerações gerais na Seção 1: Introdução.
v Procedimento na Seção 2: Instalação.
v Procedimento na Seção 3: Configuração.
Assegure-se de concluir as instruções de Customizando a instalação para uma extensão de syslog
proprietária/IBM QRadar.
Ao iniciar o agente CorreLog, se o QRadar não coletar eventos do z/OS, consulte o tópico Resolução
de problemas na Seção 3.
v Se você desejar customizar o arquivo de parâmetro opcional do CorreLog Agent, revise os atributos de
evento normalizado do QRadar no Apêndice G: Campos.

378 Guia de configuração do QRadar DSM

47 CrowdStrike Falcon Host
O IBM QRadar DSM for CrowdStrike Falcon Host coleta eventos LEEF encaminhados por um Falcon
SIEM Connector.

A tabela a seguir descreve as especificações do CrowdStrike Falcon Host DSM:

Tabela 218. Especificações do DSM do host CrowdStrike Falcon
Especificação Valor
Fabricante CrowdStrike
Nome do DSM CrowdStrike Falcon Host
Nome do arquivo RPM DSM-CrowdStrikeFalconHost-QRadar_version-
build_number.noarch.rpm
Versões Suportadas N/A
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Resumo de Detecção do Falcon Host

Log de Autenticação do Falcon Host

Logs de Atualização de Status de Detecção do Falcon

Host

Evento de Detecção IOC do Cliente

Hash de Difusão do Hash

Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do CrowdStrike (https://www.crowdstrike.com/
products/falcon-host/

Para integrar o CrowdStrike Falcon Host com o QRadar, conclua as seguintes etapas:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir na ordem em que estão listados, em seu QRadar Console:
v RPM DSMCommon
v RPM do CrowdStrike Falcon Host DSM
2. Instale e configure o conector Falcon SIEM para enviar eventos até QRadar.
3. Se o QRadar não detectar automaticamente a origem do log, inclua uma origem de log do
CrowdStrike Falcon Host no QRadar Console. A tabela a seguir descreve os parâmetros que exigem
valores específicos para a coleção de eventos do CrowdStrike Falcon Host:
Tabela 219. Parâmetros de Origem de Log do CrowdStrike Falcon Host
Parâmetro Valor
Tipo de origem de log CrowdStrike Falcon Host
Configuração do Protocolo Syslog

© Copyright IBM Corp. 2005, 2019 379

Tabela 219. Parâmetros de Origem de Log do CrowdStrike Falcon Host (continuação)
Parâmetro Valor
Log Source Identifier O endereço IP ou nome do host no qual está instalado o
Falcon SIEM Connector.

A tabela a seguir mostra uma mensagem de evento de amostra do CrowdStrike Falcon Host:
Tabela 220. Mensagem de Amostra do CrowdStrike Falcon Host
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Atividade Suspeita Atividade Suspeita LEEF:1.0|CrowdStrike|FalconHost
|1.0|Suspicious Activity|
devTime=2016-06-09 02:57:28
src=<Source_IP_address>
srcPort=49220
dst= <Destination_IP_address>
domain = INITECH
cat=NetworkAccesses
usrName=<Username>
devTimeFormat=yyyy-MM-dd HH:mm:ss
connDir=0 dstPort=443
resource=<Resource>
proto=TCP url=https:
// example.com/url

Configurando o CrowdStrike Falcon Host para se comunicar com o

QRadar
Para enviar eventos LEEF do CrowdStrike Falcon Host para o IBM QRadar, deve-se instalar e configurar
o conector do Falcon SIEM.

Antes de Iniciar

Deve-se ter acesso aos privilégios do administrador para a API do Falcon Streaming. Para ativar o acesso,
entre em contato com o suporte do Crowdstrike ([email protected]).

Procedimento
1. Obtenha uma chave API e UUID para configurar o Conector SIEM.
a. Efetue login na interface com o usuário do Falcon.
b. Selecione o Aplicativo Pessoas e clique na guiaCliente. A opção Aplicativo Pessoas está visível
apenas para usuários administrativos.
c. Clique em Gerar nova chave API.
d. Faça uma cópia da chave API e do UUID.
2. Instale o Falcon SIEM Connector.

380 Guia de configuração do QRadar DSM

Nota: O Falcon SIEM Connector precisa ser implementado no local em um sistema que execute tanto
o CentOS como o RHEL 6.x-7.x. É necessário também a conectividade de internet com o CrowdStrike
Cloud.

Nota: Deve-se ter privilégios de Administrador (raiz).

v Use o RPM fornecido para instalar o Falcon SIEM Connector.
rpm -Uhv /path/to/file/cs.falconhoseclient-<build_version>.<OS_version>.rpm
O Falcon SIEM Connector é instalado no diretório /opt/crowdstrike/ por padrão.
É criado um serviço no diretório /etc/init.d/cs.falconhoseclientd/.
3. Configure o SIEM Connector para encaminhar eventos LEEF para o QRadar. Os arquivos de
configuração estão localizados no diretório /opt/crowdstrike/etc/.
v Renomeie o cs.falconhoseclient.leef.cfg para cs.falconhoseclient.cfg para definições de
configuração do LEEF. O SIEM Connector usa a configuração cs.falconhoseclient.cfg por padrão.
A tabela a seguir descreve alguns valores de parâmetros de chave para encaminhar eventos LEEF para
o QRadar.
Tabela 221. Valores de parâmetros de chave
Tecla Descrição Valor
Versão 7.1 A versão de autenticação a ser usada. 2
Neste caso, é a versão da
Autenticação da Chave API.
api_url O conector SIEM se conecta a esta https://firehose.crowdstrike.com/
URL de terminal. sensors/entities/datafeed/v1
app_id Um identificador de sequência Qualquer sequência. Por exemplo,
arbitrária para conexão com a API do FHAPI-LEEF
Falcon Streaming.
api_key A chave API é usada como credencial Obtida na etapa 1
para verificação do cliente.
api_uuid O UUID é usado como credencial Obtida na etapa 1
para verificação de cliente.
send_to_syslog_server Para ativar ou desativar o push de true
syslog para o servidor syslog,
configure o sinalizador para true ou
false.
Host O IP ou nome do host do SIEM. O IP SIEM do QRadar ou o nome do
host no qual o Conector está
encaminhando eventos LEEF.
header_delim O prefixo e campos do cabeçalho são O valor deve ser uma barra vertical
delimitados por este valor. (|).
field_delim O valor do delimitador usado para O valor deve ser uma guia (\t).
separar os pares de valores de chave.
time_fields Este valor do campo data/hora é O campo padrão é devTime (horário
convertido para um formato de do dispositivo). Se uma chave LEEF
tempo especificado. customizada for usada para
configurar o horário do dispositivo,
use um nome de campo diferente.

4. Inicie o serviço do SIEM Connector digitando o seguinte comando:

service cs.falconhoseclientd start
a. Se desejar parar o serviço, digite o seguinte comando:
service cs.falconhoseclientd stop
b. Se desejar reiniciar o serviço, digite o seguinte comando:
47 CrowdStrike Falcon Host 381
service cs.falconhoseclientd restart

O que Fazer Depois

Verifique se o Falcon SIEM Connector está configurado para enviar eventos para o QRadar.

382 Guia de configuração do QRadar DSM

48 CRYPTOCard CRYPTO-Shield
O DSM do IBM QRadar CRYPTOCard CRYPTO-Shield para o QRadar aceita eventos usando syslog.

Para integrar eventos CRYPTOCard CRYPTO-Shield com o QRadar, deve-se criar manualmente uma
origem de log para receber eventos syslog.

Para poder receber eventos no QRadar, deve-se configurar uma origem de log; em seguida, configurar o
CRYPTOCard CRYPTO-Shield para encaminhar eventos syslog. Os eventos syslog que são encaminhados
pelos dispositivos CRYPTOCard CRYPTO-Shield não são descobertos automaticamente. O QRadar pode
receber eventos syslog na porta 514 para TCP e UDP.

Configurando uma origem de log

O IBM QRadar não descobre ou cria automaticamente origens de log para eventos syslog dos dispositivos
CRYPTOCard CRYPTO-Shield.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

Configurando syslog para CRYPTOCard CRYPTO-Shield

Para configurar o dispositivo CRYPTOCard CRYPTO-Shield para encaminhar eventos syslog:

Procedimento
1. Efetue login no dispositivo CRYPTOCard CRYPTO-Shield.
2. Configure os parâmetros a seguir de Configuração do sistema:

Importante: Deve-se ter acesso de Operador do CRYPTOCard com a função do sistema de

Superoperador padrão designada para acessar os parâmetros de Configuração do sistema.
v log4j.appender.<protocol> - Direciona os logs para um host syslog em que:

© Copyright IBM Corp. 2005, 2019 383

– <protocol> é o tipo de anexador de log, que determina para onde você deseja enviar logs para
armazenamento.
As opções são as seguintes: ACC, DBG ou LOG. Para esse parâmetro, digite a entrada a seguir:
org.apache.log4j.net.SyslogAppender
v log4j.appender.<protocol>.SyslogHost <IP address> - Digite o endereço IP ou o nome do host do
servidor syslog em que:
– <Protocol> é o tipo de anexador de log, que determina para onde você deseja enviar logs para
armazenamento. As opções são as seguintes: ACC, DBG ou LOG.
– <IP address> é o endereço IP do host do IBM QRadar para o qual você deseja enviar logs.
Especifique o parâmetro IP address após o parâmetro log4j.apender.<protocol> ser configurado.
A configuração está concluída. Os eventos que são encaminhados para o QRadar pelo CRYPTOCard
CRYPTO-Shield são exibidos na guia Atividade de log.

384 Guia de configuração do QRadar DSM

49 CyberArk
O IBM QRadar suporta vários DSMs CyberArk.

CyberArk Privileged Threat Analytics

O IBM QRadar DSM for CyberArk Privileged Threat Analytics coleta eventos de um dispositivo do
CyberArk Privileged Threat Analytics.

A tabela a seguir descreve as especificações para o CyberArk Privileged Threat Analytics DSM:
Tabela 223. Especificações do CyberArk Privileged Threat Analytics DSM
Especificação Valor
Fabricante CyberArk
Nome do DSM CyberArk Privileged Threat Analytics
Nome do arquivo RPM DSM-CyberArkPrivilegedThreatAnalytics-
Qradar_version-build_number.noarch.rpm
Versões Suportadas V3.1
Protocolo Syslog
Tipos de eventos registrados Eventos de segurança detectados
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do CyberArk (http://www.cyberark.com)

Para integrar o CyberArk Privileged Threat Analytics ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v CyberArk Privileged Threat Analytics DSM RPM
v RPM DSMCommon
2. Configure seu dispositivo do CyberArk Privileged Threat Analytics para enviar eventos de syslog ao
QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do CyberArk
Privileged Threat Analytics no QRadar Console. A tabela a seguir descreve parâmetros que requerem
valores específicos para a coleção de eventos do CyberArk Privileged Threat Analytics:
Tabela 224. Parâmetros de origem de log do CyberArk Privileged Threat Analytics
Parâmetro Valor
Tipo de origem de log CyberArk Privileged Threat Analytics
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

© Copyright IBM Corp. 2005, 2019 385

Configurando o CyberArk Privileged Threat Analytics para se

comunicar com o QRadar
Para coletar todos os eventos do CyberArk Privileged Threat Analytics, deve-se especificar o IBM QRadar
como o servidor syslog e configurar o formatar do syslog. O dispositivo CyberArk Privileged Threat
Analytics envia eventos de syslog que são formatados como Log Event Extended Format (LEEF).

Procedimento
1. Na máquina CyberArk Privileged Threat Analytics, acesse o diretório /opt/tomcat/diamond-
resources/local/ e abra o arquivo systemparm.properties em um editor de texto como vi.
2. Remova o comentário da propriedade syslog_outbound e, em seguida, edite os parâmetros a seguir:

Parâmetro Valor
Host O nome do host ou endereço IP do sistema QRadar.
Port 514
Protocolo UDP
Formato QRadar

Exemplo: A seguir, está um exemplo da propriedade syslog_outbound:

syslog_outbound=[{"host": "SIEM_MACHINE_ADDRESS", "port": 514, "format": "QRadar",

"protocol": "UDP"}]

Exemplo: A seguir, está um exemplo da propriedade syslog_outbound especificando diversos

destinatários de syslog, separados por vírgulas:
syslog_outbound=[{"host": "SIEM_MACHINE_ADDRESS", "port": 514, "format": "QRadar",
"protocol": "UDP"} , {"host": "SIEM_MACHINE_ADDRESS1", "port": 514, "format": "QRadar",
"protocol": "UDP"} , ...]
3. Salve o arquivo de configuração systemparm.properties e, em seguida, feche-o.
4. Reinicie o CyberArk Privileged Threat Analytics.

CyberArk Vault
O CyberArk Vault DSM for IBM QRadar aceita eventos usando o syslog que é formatado para Log
Enhanced Event Format (LEEF).

O QRadar registra ambas as atividades do usuário e as atividades seguras do CyberArk Vault nos logs de
evento de auditoria. O CyberArk Vault integra-se ao QRadar para encaminhar logs de auditoria usando o
syslog para criar um log detalhado de atividades de conta privilegiada.

Formato de tipo de evento

O CyberArk Vault deve ser configurado para gerar eventos no Log Enhanced Event Protocol (LEEF) e
encaminhar esses eventos usando o syslog. O formato LEEF consiste em um cabeçalho de syslog
delimitado por barra vertical ( | ) e campos separados por tabulação na seção de carga útil de log.

Se os eventos do syslog do CyberArk Vault não forem formatados adequadamente, examine a

configuração do dispositivo ou versão do software para assegurar que seu appliance suporte LEEF. As

386 Guia de configuração do QRadar DSM

mensagens de eventos LEEF formatadas adequadamente são descobertas automaticamente e incluídas
como origem de log no QRadar.

Configurando o syslog para CyberArk Vault

Para configurar o CyberArk Vault para encaminhar eventos de syslog ao IBM QRadar:

Procedimento
1. Efetue login em seu dispositivo CyberArk.
2. Edite o arquivo DBParm.ini.
3. Configure os parâmetros a seguir:
Tabela 225. Parâmetros de Syslog
Parâmetro Descrição
SyslogServerIP Digite o endereço IP do QRadar.
SyslogServerPort Digite a porta UDP que é usada para se conectar ao QRadar. O valor
padrão é 514.
SyslogMessageCodeFilter Configure quais códigos de mensagem são enviados do CyberArk Vault
ao QRadar. É possível definir números de mensagens específicos ou um
intervalo de números. Por padrão, todos os códigos de mensagens são
enviados para atividades do usuário e atividades seguras.
Exemplo: Para definir um código de mensagem 1,2,3,30 e de 5 a 10,
deve-se digitar: 1,2,3,5-10,30.
SyslogTranslatorFile Digite o caminho de arquivo para o arquivo conversor LEEF.xsl. O
arquivo conversor é usado para analisar dados do registro de auditoria
do CyberArk no protocolo syslog.

4. Copie LEEF.xsl para o local especificado pelo parâmetro SyslogTranslatorFile no arquivo

DBParm.ini.

Resultados
A configuração está concluída. A origem de log é incluída no QRadar conforme eventos do CyberArk
Vault são descobertos automaticamente. Os eventos que são encaminhados pelo CyberArk Vault são
exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log para CyberArk Vault

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos do syslog do CyberArk
Vault.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

49 CyberArk 387
8. Na lista Tipo de origem de log, selecione CyberArk Vault.
9. Usando a lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:
Tabela 226. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de log Digite o endereço IP ou nome do host para a origem de
log como um identificador para eventos do appliance
CyberArk Vault.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

388 Guia de configuração do QRadar DSM

50 CyberGuard Firewall/VPN Appliance
O DSM CyberGuard Firewall VPN Appliance para o IBM QRadar aceita eventos CyberGuard usando
syslog.

O QRadar registra todos os eventos CyberGuard relevantes para dispositivos da série CyberGuard KS
que são encaminhados usando syslog.

Configurando eventos syslog

Para configurar um dispositivo CyberGuard para encaminhar eventos syslog:

Procedimento
1. Efetue login na interface com o usuário do CyberGuard.
2. Selecione a página Avançado.
3. Em Log do sistema, selecione Ativar criação de log remota.
4. Digite o endereço IP do IBM QRadar.
5. Clique em Aplicar.
A configuração está concluída. A origem de log é incluída no QRadar conforme eventos do
CyberGuard são descobertos automaticamente. Os eventos que são encaminhados pelos dispositivos
CyberGuard são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog de dispositivos
CyberGuard.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

© Copyright IBM Corp. 2005, 2019 389

390 Guia de configuração do QRadar DSM
51 Damballa Failsafe
O DSM Failsafe para o IBM QRadar aceita eventos syslog usando o Log Event Extended Format (LEEF),
permitindo que o QRadar registre todos os eventos Damballa Failsafe relevantes.

O Damballa Failsafe deve ser configurado para gerar eventos em Log Event Extended Format(LEEF) e
encaminhar esses eventos usando syslog. O formato LEEF consiste em um cabeçalho syslog delimitado
por barra vertical (|) e campos separados por tabulação na carga útil do evento de log.

Se os eventos syslog que são encaminhados pelo Damballa Failsafe não forem formatados corretamente
em formato LEEF, deve-se verificar a configuração do dispositivo ou a versão do software para assegurar
que o dispositivo suporte LEEF. As mensagens de eventos LEEF formatadas adequadamente são
descobertas automaticamente e incluídas como origem de log no QRadar.

Configurando o syslog para Damballa Failsafe

Para coletar eventos, deve-se configurar o dispositivo Damballa Failsafe para encaminhar eventos syslog
para o IBM QRadar.

Procedimento
1. Efetue login no Console de gerenciamento do Damballa Failsafe.
2. No menu de navegação, selecione Configuração > Configurações de integração.
3. Clique na guia QRadar.
4. Selecione Ativar publicando para IBM QRadar.
5. Configure as seguintes opções:
v Nome do host – Digite o endereço IP ou Nome Completo (FQN) do QRadar Console.
v Porta de destino – Digite 514. Por padrão, o QRadar usa a porta 514 como a porta de escuta de
eventos syslog.
v Porta de origem – Esta entrada não é um requisito. Digite a Porta de origem que o dispositivo
Damballa Failsafe usa para enviar eventos syslog.
6. Clique em Salvar.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos Damballa
Failsafe são descobertos automaticamente. Os eventos encaminhados pelo Damballa Failsafe são
exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
Damballa Failsafe.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.

© Copyright IBM Corp. 2005, 2019 391

5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Damballa Failsafe.
9. Usando a lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:
Tabela 227. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos de dispositivos Damballa Failsafe.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

392 Guia de configuração do QRadar DSM

52 DG Technology MEAS
O DSM do IBM QRadar para o DG Technology MEAS pode coletar logs de eventos dos servidores DG
Technology MEAS.

A tabela a seguir identifica as especificações do DSM DG Technology MEAS:

Tabela 228. Especificações do DSM para DG Technology MEAS
Especificação Valor
Fabricante DG Technology
Tipo de origem de log DG Technology MEAS
Nome do arquivo RPM DSM-DGTechnologyMEAS-build_number.noarch.rpm
Versões suportadas 8.x
Configuração de protocolo LEEF Syslog
Tipos de eventos suportados Eventos do mainframe
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades de evento customizado Não
Informações adicionais website do DG Technology (http://www.dgtechllc.com)

Para integrar o DSM DG Technology MEAS com o QRadar, use os procedimentos a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale o RPM do DG
Technology MEAS mais recente no QRadar Console.
2. Para cada instância do DG Technology MEAS, configure o sistema DG Technology MEAS para
permitir a comunicação com o QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o sistema DG Technology MEAS para comunicação com

o QRadar
Para coletar todos os logs de auditoria e eventos do sistema do DG Technology MEAS, deve-se
especificar o QRadar como o servidor syslog.

Procedimento
1. Efetue login no servidor DG Technology MEAS.
2. Digite o seguinte comando:
java meas/MeasServer 41000 m=qwl lo=IP_address_of_QRadar_host

© Copyright IBM Corp. 2005, 2019 393

Resultados

Quando o QRadar recebe eventos do DG Technology MEAS, uma origem de log é criada e listada
automaticamente na janela Origens de log.

394 Guia de configuração do QRadar DSM

53 Digital China Networks (DCN)
O DSM Digital China Networks (DCN) DCS/DCRS Series para o IBM QRadar pode aceitar eventos dos
comutadores Digital China Networks (DCN) usando syslog.

O IBM QRadar registra todos os eventos IPv4 relevantes que são encaminhados pelos comutadores DCN.
Para integrar o dispositivo com o QRadar, deve-se configurar uma origem de log e, em seguida,
configurar o comutador DCS ou DCRS para encaminhar eventos syslog.

Dispositivos suportados

O DSM suporta os comutadores DCN DCS/DCRS Series a seguir:

v DCS - 3650
v DCS - 3950
v DCS - 4500
v DCRS - 5750
v DCRS - 5960
v DCRS - 5980
v DCRS - 7500
v DCRS - 9800

Configurando uma origem de log

O IBM QRadar não descobre automaticamente eventos syslog recebidos dos comutadores DCN
DCS/DCRS Series.

Cada origem de log que você cria para o comutador DCN DCS/DCRS Series inclui
um identificador exclusivo, como endereço IP ou nome do host.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

© Copyright IBM Corp. 2005, 2019 395

A origem de log é incluída no QRadar. Agora você está pronto para configurar seu comutador
Digital China Networks DCS ou DCRS Series para encaminhar eventos para o QRadar.

Configurando um comutador DCN DCS/DCRS Series

Para coletar eventos, deve-se configurar o comutador DCN DCS/DCRS Series no IBM QRadar.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do DCN DCS/DCRS Series Switch.
2. Digite o comando a seguir para acessar o modo administrativo:
ativar
3. Digite o comando a seguir para acessar o modo de configuração global:
configuração
A interface da linha de comandos exibe o prompt do modo de configuração:
Switch(Config)#
4. Digite o comando a seguir para configurar um host de log para o seu comutador:
logging <IP address> facility <local> severity <level>
Em que:
v <IP address> é o endereço IP do QRadar Console.
v <local> é o recurso syslog, por exemplo, local0.
v <level> é a gravidade dos eventos syslog, por exemplo, informativo. Se você especificar um valor
informativo, encaminhe todos os eventos do nível de informações e posterior (mais grave), como
notificações, avisos, erros, crítico, alertas e emergenciais.
Por exemplo,
logging <IP_address> facility local0 severity informational
5. Digite o comando a seguir para salvar as mudanças na configuração:
write A configuração está concluída. É possível verificar os eventos que são encaminhados para o
QRadar visualizando eventos na guia Atividade de log.

396 Guia de configuração do QRadar DSM

54 Enterprise-IT-Security.com SF-Sherlock
O DSM do IBM QRadar para Enterprise-IT-Security.com SF-Sherlock coleta logs dos servidores
Enterprise-IT-Security.com SF-Sherlock.

A tabela a seguir descreve as especificações para o DSM Enterprise-IT-Security.com SF-Sherlock:

Tabela 230. Especificações do DSM Enterprise-IT-Security.com SF-Sherlock
Especificação Valor
Fabricante Enterprise-IT-Security.com
Nome do DSM Enterprise-IT-Security.com SF-Sherlock
Nome do arquivo RPM DSM-EnterpriseITSecuritySFSherlock-Qradar_version-
build_number.noarch.rpm
Versões suportadas v8.1 e mais recente
Formato de evento Log Event Extended Format (LEEF)
Tipos de eventos registrados
All_Checks, DB2_Security_Configuration, JES_Configuration,
Job_Entry_System_Attack, Network_Parameter, Network_Security,
No_Policy, Resource_Access_Viol, Resource_Allocation, Resource_Protection,
Running_System_Change, Running_System_Security,
Running_System_Status, Security_Dbase_Scan, Security_Dbase_Specialty,
Security_Dbase_Status, Security_Parm_Change, Security_System_Attack,
Security_System_Software, Security_System_Status, SF-Sherlock,
Sherlock_Diverse, Sherlock_Diverse, Sherlock_Information,
Sherlock_Specialties, Storage_Management, Subsystem_Scan,
Sysplex_Security, Sysplex_Status, System_Catalog, System_File_Change,
System_File_Security, System_File_Specialty, System_Log_Monitoring,
System_Module_Security, System_Process_Security, System_Residence,
System_Tampering, System_Volumes, TSO_Status, UNIX_OMVS_Security,
UNIX_OMVS_System, User_Defined_Monitoring, xx_Resource_Prot_Templ
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Enterprise-IT-Security (http:/www.enterprise-it-security.com)

Para integrar o Enterprise-IT-Security.com SF-Sherlock com o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do DSM Enterprise-IT-Security.com SF-Sherlock
v RPM do DSM Common
2. Configure seu dispositivo Enterprise-IT-Security.com SF-Sherlock para enviar eventos syslog ao
QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do
Enterprise-IT-Security.com SF-Sherlock no QRadar Console. A tabela a seguir descreve os parâmetros
que requerem valores específicos para coleção de eventos do Enterprise-IT-Security.com SF-Sherlock:

© Copyright IBM Corp. 2005, 2019 397

Tabela 231. Parâmetros de origem de log do Enterprise-IT-Security.com SF-Sherlock
Parâmetro Valor
Tipo de origem de log Enterprise-IT-Security.com SF-Sherlock
Configuração de protocolo Syslog

Configurando o Enterprise-IT-Security.com SF-Sherlock para se

comunicar com o QRadar
Para poder enviar eventos e detalhes de avaliação do SF-Sherlock ao QRadar, implemente o kit de
conexão do SF-Sherlock 2 do QRadar.

Sobre Esta Tarefa

As informações que são enviadas para o QRadar podem ser definidas e selecionadas em detalhes.
Independentemente do método de transferência selecionado, todas as informações atingem o QRadar
como registros formatados em LEEF.

Procedimento
1. Instale as modificações UMODQR01 e UMODQR02 do usuário SF-Sherlock SMP/E usando o conjunto
de dados SHERLOCK.SSHKSAMP correspondente.
2. Se você enviar registros LEEF do SF-Sherlock para um daemon syslog do QRadar, que geralmente é o
método de transferência preferencial, deverá instalar o roteador de mensagem syslog universal do
SF-Sherlock no ambiente de USS do z/OS. Você encontrará todos os detalhes da instalação no
membro UNIXCMDL do conjunto de dados SHERLOCK.SSHKSAMP.
3. Opcional: Se você transferir os logs por FTP ou outra técnica, deverá adaptar a modificação do
usuário UMODQR01.
4. Insira o endereço IP para o servidor syslog LEEF do QRadar, o método de transferência (UDP ou
TCP) e o número da porta (514) no membro QRADARSE do arquivo de configuração do parâmetro
init-deck do SF-Sherlock.
5. Aloque o conjunto de dados de log relacionado do QRadar usando a tarefa ALLOCQRG do conjunto
de dados SHERLOCK.SSHKSAMP. Ele é usado pelo procedimento inicial (STC) SHERLOCK para
manter todos os registros LEEF do QRadar sendo transferidos para o QRadar.
6. O membro QRDARTST do conjunto de dados SHERLOCK.SSHKSAMP pode ser usado para testar a
conexão de roteamento de mensagem SF-SHERLOCK 2 do QRadar. Se o QRadar receber os eventos
de teste, a implementação foi bem-sucedida.
7. Ative a conexão SF-Sherlock 2 do QRadar em sua instalação do SF-Sherlock ativando os membros
QRADAR00 (monitoramento de eventos) e opcionalmente QRADAR01 (detalhes de avaliação) de
init-deck, por meio das instruções já preparadas ADD QRADARxx no membro de controle principal
$BUILD00.
8. Atualize ou recicle o procedimento inicial SHERLOCK para ativar o novo membro de controle
principal que permite a conexão do SF-SHERLOCK com o QRadar.

398 Guia de configuração do QRadar DSM

55 Epic SIEM
O DSM do IBM QRadar para Epic SIEM pode coletar logs de eventos do SIEM Epic.

A tabela a seguir identifica as especificações para o DSM Epic SIEM:

Tabela 232. Especificações do DSM Epic SIEM
Especificação Valor
Fabricante Épico
Nome do DSM Epic SIEM
Nome do arquivo RPM DSM-EpicSIEM-QRadar_version-build_number.noarch.rpm
Versões suportadas Epic 2014, Epic 2015, Epic 2017
Formato de evento LEEF
Tipos de eventos registrados Auditoria

Autenticação
Descobertos automaticamente? Sim
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do Epic (http://www.epic.com/)

Para integrar o DSM Epic SIEM com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do DSM Epic SIEM
v RPM DSMCommon
2. Configure o dispositivo Epic SIEM para enviar eventos syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Epic SIEM
no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores específicos para a
coleção de eventos do Epic SIEM:
Tabela 233. Parâmetros de origem de log do Epic SIEM
Parâmetro Valor
Tipo de origem de log Epic SIEM
Configuração de protocolo Syslog

© Copyright IBM Corp. 2005, 2019 399

Configurando o Epic SIEM 2014 para se comunicar com o QRadar
Para coletar eventos syslog do Epic SIEM 2014, deve-se incluir um servidor syslog externo para o host do
IBM QRadar.

Procedimento
1. Se nenhum serviço da web estiver ativado para sua instância de interconexão, conclua as etapas a
seguir para executar o serviço requerido SendSIEMSyslogAudit:
a. Para acessar o Editor de configuração de Interconexão, clique em Iniciar > Epic 2014 >
Interconexão > your_instance > Editor de configuração.
b. No Editor de configuração, selecione o formulário Serviços de negócios.
c. Na guia Categoria de serviço, clique em SendSIEMSyslogAudit.
d. Clique em Salvar
2. Efetue login no seu servidor Epic.
3. Clique em Definições do sistema Epic (%ZeUSTBL) > Segurança > Opções de auditoria >
Configurações de syslog do SIEM > Configuração de syslog do SIEM.
4. Use a tabela a seguir para configurar os parâmetros:

Parâmetro Descrição
Host do SIEM O nome do host ou endereço IP do dispositivo QRadar.
Porta do SIEM 514
Formato do SIEM LEEF (Log Event Extended Format).

5. No menu Configurações de syslog do SIEM , clique em Syslog SIEM e configure-o como ativado.
O daemon de Envio de syslog do SIEM é iniciado automaticamente quando o ambiente está
configurado como nível de execução Ativo ou quando você ativa Syslog do SIEM.
6. Se você desejar parar o daemon, no menu Configurações de syslog do SIEM, clique em Syslog do
SIEM e configure-o como desativado.

Importante: Se você parar o daemon quando a configuração de syslog estiver ativada, o sistema
continuará a registrar dados sem limpeza. Se desejar parar o daemon quando a configuração de
syslog estiver ativada, entre em contato com seu representante Epic ou com o administrador do
sistema.

Configurando o Epic SIEM 2015 para se comunicar com o QRadar

Para coletar eventos em IBM QRadar, deve-se configurar os valores da fila de mensagens em seu sistema
Epic SIEM 2015.

400 Guia de configuração do QRadar DSM

Tabela 234. Valores da fila para avisos EMPSYNC (continuação)
Prompt Valor
Executar no nó Pressione a tecla Enter. O valor é preenchido
automaticamente.
Servidores IC Pressione a tecla Enter, sem digitar um valor.
Editar configurações avançadas para esta fila? Sim
Esta fila manipula mensagens de saída síncronas? Sim
Associar este descritor a um tipo de fila para Sim
comunicação de saída?
Tipo da Fila EMP

4. Digite um asterisco (*) para criar a fila EMPASYNC.

5. Digite os valores de fila identificados na tabela a seguir para cada um dos prompts.
Tabela 235. Valores da fila para avisos EMPASYNC
Prompt Valor
Queue ID Digite um ID para a fila.
Nome da fila EMPASYNC
Descritor EMPASYNC
Executar no nó Pressione a tecla Enter. O valor é preenchido
automaticamente.
Servidores IC Pressione a tecla Enter, sem digitar um valor.
Editar configurações avançadas para esta fila? Sim
Esta fila manipula mensagens de saída síncronas? Não
Associar este descritor a um tipo de fila para Sim
comunicação de saída?
Tipo da Fila EMP

6. Implemente uma nova instância de interconexão usando Kuiper.

7. Acesse a Interconexão Editor de configuração no Windows, clicando em Iniciar > Epic 2015 >
Interconexão > your_instance > Editor de configuração.
8. Selecione a função Host de serviço da web geral.
9. Em Conexões de cache, inclua manualmente a fila pelo tipo de fila, EMP.
10. Configure o número de encadeamentos para 2.
Para obter mais informações sobre recomendações de contagem de encadeamentos, consulte sua
documentação do Epic.

Importante: Não ative nenhum serviço na guia Serviços de negócios.

11. Efetue login no seu servidor Epic.
12. Clique em Definições do sistema Epic (%ZeUSTBL) > Segurança > Opções de auditoria >
Configurações de syslog do SIEM.
13. Selecione Configuração de Syslog do SIEM e depois configure os parâmetros a seguir:

Parâmetro Valor
Host do SIEM O nome do host ou endereço IP do QRadar Event
Collector.
Porta do SIEM 514

55 Epic SIEM 401

Parâmetro Valor
Formato do SIEM LEEF (Log Event Extended Format)
Verificar resposta da camada de aplicativo Desabilitar

14. Retorne para Menu de configurações de Syslog do SIEM.

15. Selecione Syslog do SIEM e configure-o como Ativado.

Nota: O daemon de Envio de syslog do SIEM é iniciado automaticamente quando o ambiente está
configurado como nível de execução Ativo ou quando você ativa Syslog do SIEM. Se você desejar
parar o daemon, no menu Configurações de syslog do SIEM, clique em Syslog do SIEM e
configure-o como Desativado.

Configurando o Epic SIEM 2017 para se comunicar com o QRadar

Para coletar eventos em IBM QRadar, deve-se configurar os valores da fila de mensagens em seu sistema
Epic SIEM 2017.

Procedimento
1. Na linha de comandos, selecione Menu do administrador de interconexão > Configuração de filas
de mensagens.
2. Digite um asterisco (*) para criar a fila EMPSYNC.
3. Digite os valores de fila identificados na tabela a seguir para cada um dos prompts.
Tabela 236. Valores da fila para avisos EMPSYNC
Prompt Valor
Queue ID Digite um ID para a fila.
Nome da fila EMPSYNC
Descritor EMPSYNC
Executar no nó Pressione a tecla Enter. O valor é preenchido
automaticamente.
Servidores IC Pressione a tecla Enter, sem digitar um valor.
Editar configurações avançadas para esta fila? Sim
Esta fila manipula mensagens de saída síncronas? Sim
Associar este descritor a um tipo de fila para Sim
comunicação de saída?
Tipo da Fila EMP

4. Digite um asterisco (*) para criar a fila EMPASYNC.

5. Digite os valores de fila identificados na tabela a seguir para cada um dos prompts.
Tabela 237. Valores da fila para avisos EMPASYNC
Prompt Valor
Queue ID Digite um ID para a fila.
Nome da fila EMPASYNC
Descritor EMPASYNC
Executar no nó Pressione a tecla Enter. O valor é preenchido
automaticamente.
Servidores IC Pressione a tecla Enter, sem digitar um valor.

402 Guia de configuração do QRadar DSM

Tabela 237. Valores da fila para avisos EMPASYNC (continuação)
Prompt Valor
Editar configurações avançadas para esta fila? Sim
Esta fila manipula mensagens de saída síncronas? Não
Associar este descritor a um tipo de fila para Sim
comunicação de saída?
Tipo da Fila EMP

6. Implemente uma nova instância de interconexão usando Kuiper.

7. Acesse a Interconexão Editor de configuração no Windows, clicando em Iniciar > Epic 2017 >
Interconectar > your_instance > Editor de configuração.
8. Selecione a função Host de serviço da web geral.
9. Em Conexões de cache, inclua manualmente a fila pelo tipo de fila, EMP.
10. Configure o número de encadeamentos para 2.
Para obter mais informações sobre recomendações de contagem de encadeamentos, consulte sua
documentação do Epic.

Importante: Não ative nenhum serviço na guia Serviços de negócios.

Parâmetro Valor
Host do SIEM O nome do host ou endereço IP do QRadar Event
Collector.
Porta do SIEM 514
Formato do SIEM LEEF (Log Event Extended Format)
Verificar resposta da camada de aplicativo Desabilitar

14. Retorne para Menu de configurações de Syslog do SIEM.

15. Se você quiser reduzir o tráfego que entra em seu sistema SIEM, desative os eventos de auditoria
que seu sistema não requer:
a. Clique em Opções de configuração do Syslog do SIEM > Editar lista de eventos.
b. Em Editar lista de eventos, selecione T para cada evento que você desejar desativar.
c. Clique em Q para sair.
16. Selecione Syslog do SIEM e configure-o como Ativado.

55 Epic SIEM 403

404 Guia de configuração do QRadar DSM
56 ESET Remote Administrator
O IBM QRadar DSM for ESET Remote Administrator coleta logs do ESET Remote Administrador.

A tabela a seguir descreve as especificações para o DSM do ESET Remote Administrator:

Tabela 238. Especificações de DSM do ESET Remote Administrator
Especificação Valor
Fabricante ESET
Nome do DSM ESET Remote Administrator
Nome do arquivo RPM DSM-ESETRemoteAdministrator-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 6.4.270
Protocolo Syslog
Formato de evento Log Extended Event Format (LEEF)
Tipos de eventos registrados Ameaça

Firewall agregado

Host Intrusion Protection System (HIPS) agregads

Auditoria
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais Website do ESET (https://www.eset.com/us/support/
download/business/remote-administrator-6)

Para integrar o ESET Remote Administrator ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir na ordem em que estão listados, em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM do ESET Remote Administrator
2. Configure seu servidor ESET Remote Administrator Para enviar eventos syslog no formato LEEF para
o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do ESET
Remote Administrator no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para a coleção de eventos do ESET Remote Administrator:
Tabela 239. Parâmetros de origem de log do ESET Remote Administrator
Parâmetro Valor
Tipo de origem de log ESET Remote Administrator
Configuração do Protocolo Syslog
Log Source Identifier O endereço IP ou o nome do host do servidor ESET
Remote Administrator.

© Copyright IBM Corp. 2005, 2019 405

4. Para verificar se o QRadar analisa os eventos corretamente, revise a mensagem de evento de amostra
a seguir.
A tabela a seguir mostra uma mensagem de evento de amostra do ESET Remote Administrator:
Tabela 240. Mensagem de amostra do ESET Remote Administrator
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Login de usuário nativo Sucesso no Login de Usuário <14>1 2016-08-15T14:52:31.888Z
hostname ERAServer 28021 - -
⌂LEEF:1.0|ESET|RemoteAdministrator
| <Version> | Native user login|cat=
ESET RA Audit Event sev=2 devTime
=Aug 15 2016 14:52:31 devTime
Format=MMM dd yyyy HH:mm:ss src=
<Source_IP_address> domain = Usuário nativo
action=Login attempt target=
username detail=Native user
’username’ attempted to
authenticate. result=Success

Configurando ESET Remote Administrator para se comunicar com o

QRadar
Configure o seu servidor ESET Remote Administrator (ERA) para enviar eventos de syslog formatados
para LEEF para o IBM QRadar.

Sobre Esta Tarefa

Para concluir a configuração, deve-se ativar o servidor Syslog e, em seguida, definir as configurações de
criação de log.

Nota:
Os parâmetros necessários listados nas etapas a seguir são configurados na área de janela Configurações
do servidor. Para ver um gráfico, acesse o website ESET. (http://help.eset.com/era_admin/64/en-US/
index.html?admin_server_settings_export_to_syslog.htm)

Procedimento
1. Efetue login no console da web do ERA.
2. Na área de janela de navegação Administrador, clique em Configurações do servidor.
3. Na área SERVIDOR SYSLOG, marque a caixa de seleção Usar servidor Syslog.
4. No campo Host, digite o nome do host para seu QRadar Event Collector.
5. No campo Porta, digite 514.
6. Na área LOGGING, marque a caixa de seleção Exportar logs para Syslog.
7. Na lista Formato de logs exportados, selecione LEEF.
8. Clique em Salvar.

406 Guia de configuração do QRadar DSM

57 Exabeam
O DSM do IBM QRadar para Exabeam coleta eventos de um dispositivo Exabeam.

A tabela a seguir descreve as especificações do DSM Exabeam:

Tabela 241. Especificações do DSM Exabeam
Especificação Valor
Fabricante Exabeam
Nome do DSM Exabeam
Nome do arquivo RPM DSM-ExabeamExabeam-Qradar_version-
build_number.noarch.rpm
Versões suportadas v1.7 e v2.0
Tipos de eventos registrados Crítica

Anômalo
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Exabeam (http://www.exabeam.com)

Para integrar o Exabeam com o QRadar, conclua as etapas a seguir:

1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente do
RPM do DSM Exabeam em seu QRadar Console:
2. Configure seu dispositivo Exabeam para enviar eventos syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Exabeam
no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores específicos para a
coleção de eventos do Exabeam:
Tabela 242. Parâmetros de origem de log do Exabeam
Parâmetro Valor
Tipo de origem de log Exabeam
Configuração de protocolo Syslog

Configurando o Exabeam para comunicação com o QRadar

Para coletar eventos syslog do Exabeam, deve-se incluir um destino que especifique o QRadar como o
servidor syslog.

© Copyright IBM Corp. 2005, 2019 407

Procedimento
1. Efetue login na interface com o usuário do Exabeam (https://<Exabeam_IP>:8484).
2. Selecione https://<Exabeam_IP>:8484 e digite #setup no final do endereço URL. https://
<Exabeam_IP>:8484/#setup
3. Na área de janela Navegação, clique em Notificação de incidente.
4. Selecione Enviar por meio de syslog e configure os parâmetros de syslog a seguir.

Parâmetro Descrição
Endereço IP ou Nome do host: O endereço IP do QRadar Event Collector.
Protocolo TCP
Porta 514
Nível de severidade de syslog Emergência

408 Guia de configuração do QRadar DSM

58 Extrema
O IBM QRadar aceita eventos de uma faixa de Extreme DSMs.

Extreme 800-Series Switch

O Extreme 800-Series Switch DSM for IBM QRadar aceita eventos usando o syslog.

O QRadar registra todos os eventos relevantes de auditoria, autenticação, sistema e comutador. Antes de
configurar seu Extreme 800-Series Switch no QRadar, deve-se configurar seu comutador para encaminhar
eventos do syslog.

Configurando seu Extreme 800-Series Switch

Configurando o Extreme 800-Series Switch para encaminhar eventos do syslog.

Sobre Esta Tarefa

Para configurar manualmente o Extreme 800-Series Switch:

Procedimento
1. Efetue login em sua interface da linha de comandos do Extreme 800-Series Switch.
Deve-se ser um administrador do sistema ou um usuário de nível de operador para concluir estas
etapas de configuração.
2. Digite o comando a seguir para ativar o syslog:
enable syslog
3. Digite o comando a seguir para criar um endereço de syslog para encaminhar eventos para o QRadar:
create syslog host 1 <IP address> severity informational facility local7 udp_port 514 state
enable
Em que: <IP address> é o endereço IP do QRadar Console ou Coletor de Eventos.
4. Opcional: Digite o comando a seguir para encaminhar eventos syslog usando um endereço de
interface IP:
create syslog source_ipif <name> <IP address>
Em que:
v <name> é o nome de sua interface IP.
v <IP address> é o endereço IP do seu QRadar Console ou Event Collector.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos do
Extreme 800-Series Switch são descobertos automaticamente. Os eventos que são encaminhados ao
QRadar pelo Extreme 800-Series Switches são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos de syslog do Extreme
800-Series Switches.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log:

© Copyright IBM Corp. 2005, 2019 409

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Extreme Dragon
O Extreme Dragon DSM para IBM QRadar aceita eventos do Extreme usando o syslog para registrar
todos os eventos relevantes do Extreme Dragon.

Sobre Esta Tarefa

Para configurar seu QRadar Extreme Dragon DSM, use o procedimento a seguir:

Procedimento
1. Crie uma política de ferramenta de alarme usando uma regra de notificação de syslog. Consulte
“Criando uma política para syslog”.
2. Configure a origem de log no QRadar. Consulte “Configurando uma origem de log ” na página 412.
3. Configure o Dragon Enterprise Management Server (EMS) para encaminhar mensagens de syslog.
Consulte “Configurar EMS para encaminhar mensagens syslog” na página 412.

Criando uma política para syslog

Este procedimento descreve como configurar uma política de Ferramenta de alarme usando uma regra de
notificação de syslog no formato de mensagem Log Event Extended Format (LEEF).

Sobre Esta Tarefa

LEEF é o formato de mensagem preferencial para enviar notificações para o Dragon Network Defense
quando a taxa de notificação é alta ou quando os endereços IPv6 são exibidos. Se não desejar usar
notificações de syslog em formato LEEF, consulte sua Documentação do Extreme Dragon para obter mais
informações.

Para configurar o Extreme Dragon com uma política de Ferramenta de alarme usando uma regra de
notificação do syslog, conclua as seguintes etapas:

410 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no Extreme Dragon EMS.
2. Clique no ícone Ferramenta de alarme.
3. Configure a Política de ferramenta de alarme:
Na árvore de menu Visualização de política de ferramenta de alarme > Políticas customizadas,
clique com o botão direito e selecione Incluir política de ferramenta de alarme.
4. No campo Incluir política de ferramenta de alarme, digite um nome de política.
Por exemplo:
QRadar
5. Clique em OK.
6. Na árvore de menu, selecione QRadar.
7. Para configurar o grupo de eventos:
Clique na guia Grupo de eventos.
8. Clique em Novo.
O Editor de grupo de eventos é exibido.
9. Selecione o grupo de eventos ou eventos individuais a serem monitorados.
10. Clique em Incluir.
Um prompt é exibido.
11. Clique em Sim.
12. Na coluna direita do Editor de grupo de eventos, digite Dragon-Events.
13. Clique em OK.
14. Configure a regra de notificação de Syslog:
Clique na guia Regras de notificação.
15. Clique em Novo.
16. No campo de nome, digite QRadar-RuleSys.
17. Clique em OK.
18. Na área de janela Regras de notificação, selecione o item QRadar-RuleSys recém-criado.
19. Clique na guia Syslog .
20. Clique em Novo.
O Editor de syslog é exibido.
21. Atualize os valores a seguir:
v Recurso - Usando a lista Recurso, selecione um recurso.
v Nível - Usando a lista Nível, selecione aviso.
v Mensagem – Usando a lista Tipo, selecione LEEF.
LEEF:Version=1.0|Vendor|Product|ProductVersion|eventID|devTime|
proto|src|sensor|dst|srcPort|dstPort|direction|eventData|

O formato da mensagem LEEF delineia entre campos usando um delimitador de barra vertical entre
cada palavra-chave.
22. Clique em OK.
23. Verifique se os eventos de notificação são registrados como eventos separados:
Clique na guia Opções globais.
24. Clique na guia Principal.
25. Certifique-se de que Concatenar eventos não esteja selecionado.
26. Configure as informações de alarme:
Clique na guia Alarmes.

58 Extrema 411
27. Clique em Novo.
28. Digite valores para os parâmetros:
v Nome – Digite QRadar-Alarm.
v Tipo – Selecione Tempo real.
v Grupo de eventos – Selecione Dragon-Events.
v Regra de notificação - Marque a caixa de seleção QRadar-RuleSys.
29. Clique em OK.
30. Clique em Confirmar.
31. Navegue para a Visualização corporativa.
32. Clique com o botão direito em Ferramenta de alarme e selecione Associar política de ferramenta de
alarme.
33. Selecione a política recém-criada do QRadar. Clique em OK.
34. No menu Corporativo, clique com o botão direito na política e selecione Implementar.
Agora você está pronto para configurar uma origem de log syslog no QRadar.

Configurando uma origem de log

Agora você está pronto para configurar a origem de log no IBM QRadar.

Nota: Usando a ferramenta de mapeamento de eventos na guia Atividade de log, é possível mapear
um evento normalizado ou bruto para uma categoria de nível superior e inferior (ou QID). No
entanto, não é possível mapear mensagens de combinação do Dragon usando a ferramenta de
mapeamento de eventos. Para obter mais informações, consulte o Guia do Usuário do IBM QRadar.

Configurar EMS para encaminhar mensagens syslog

Iniciando com os dispositivos Dragon Enterprise Management Server (EMS) v7.4.0, deve-se usar
syslog-ng para encaminhar eventos para um Gerenciador de Segurança e Informações, como o IBM
QRadar.

Syslogd foi substituído por syslog-ng no Dragon EMS v7.4.0 e mais recente.

Para configurar o EMS para encaminhar mensagens syslog, deve-se escolher uma das opções a seguir:
v Se você estiver usando o syslog-ng e o Extreme Dragon EMS v7.4.0 e posterior, consulte “Configurando
o syslog-ng usando o Extreme Dragon EMS V7.4.0 e mais recente” na página 413.
v Se você estiver usando o syslogd e o Extreme Dragon EMS v7.4.0 e abaixo, consulte “Configurando o
syslogd usando o Extreme Dragon EMS V7.4.0 e anterior” na página 413.

412 Guia de configuração do QRadar DSM

Configurando o syslog-ng usando o Extreme Dragon EMS V7.4.0 e
mais recente
Esta seção descreve as etapas para configurar syslog-ng no modo não criptografado e syslogd para
encaminhar mensagens syslog para o IBM QRadar.

Sobre Esta Tarefa

Se você estiver usando o syslog-ng criptografado, consulte sua Documentação do Extreme.

Não execute syslog-ng e syslogd ao mesmo tempo.

Para configurar syslog-ng no modo não criptografado:

Procedimento
1. No sistema EMS, abra o arquivo a seguir:
/opt/syslog-ng/etc/syslog-ng.conf
2. Configure um filtro Facility para a regra de notificação de Syslog.
Por exemplo, se você selecionou facility local1:
filter filt_facility_local1 {facility(local1); };
3. Configure um filtro Level para a regra de notificação de Syslog.
Por exemplo, se você selecionou level notice:
filter filt_level_notice {level(notice); };
4. Configure uma instrução de destino para o QRadar.
Por exemplo, se o endereço IP do QRadar for 192.0.2.1 e você desejar usar a porta syslog de 514,
digite:
destination siem {1}{9}{2}.0.2.1" port (514)); };
5. Inclua uma instrução de log para a regra de notificação:
log { source(s_local); filter (filt_facility_local1); filter (filt_level_notice);
destination(siem); };
6. Salve o arquivo e reinicie o syslog-ng.
cd /etc/rc.d ./rc.syslog-ng stop ./rc.syslog-ng start
7. A configuração do Extreme Dragon EMS está concluída.

Configurando o syslogd usando o Extreme Dragon EMS V7.4.0 e

anterior
Se o Dragon Enterprise Management Server (EMS) estiver usando uma versão anterior à V7.4.0 no
dispositivo, use o syslogd para encaminhar eventos para um Gerenciamento de segurança e de
informações como o IBM QRadar.

Procedimento
1. No sistema Dragon EMS, abra o arquivo a seguir:
/etc/syslog.conf
2. Inclua uma linha para encaminhar o recurso e o nível que você configurou na regra de notificação de
syslog para o QRadar.
Por exemplo, para definir o recurso local1 e o nível notice:
local1.notice @<IP address>
Em que:
<IP address> é o endereço IP do sistema QRadar.

58 Extrema 413
3. Salve o arquivo e reinicie o syslogd.
cd /etc/rc.d ./rc.syslog stop ./rc.syslog start
A configuração do Extreme Dragon EMS está concluída.

Extreme HiGuard Wireless IPS

O DSM Extreme HiGuard Wireless IPS DSM para IBM QRadar registra todos os eventos relevantes
usando syslog

Antes de configurar o dispositivo Extreme HiGuard Wireless IPS no QRadar, deve-se configurar seu
dispositivo para encaminhar eventos do syslog.

Configurando o Enterasys HiGuard

Para configurar o dispositivo para encaminhar eventos syslog:

Procedimento
1. Efetue login na interface com o usuário HiGuard Wireless IPS.
2. Na área de janela de navegação esquerda, clique em Syslog, que permite que o servidor de
gerenciamento envie eventos para receptores designados de syslog.
A área de janela Configuração de syslog é exibida.
3. Na seção Status de integração do sistema, ative a integração de syslog.
Ativar a integração de syslog permite que o servidor de gerenciamento envie mensagens para os
servidores de syslog configurados. Por padrão, o servidor de gerenciamento ativa o syslog.
O campo Status atual exibe o status do servidor syslog. As opções são: Executando ou Interrompido.
Um status de erro será exibido se um dos seguintes ocorrer:
v Um dos servidores syslog configurado e ativado inclui um nome de host que não pode ser
resolvido.
v O servidor de gerenciamento é interrompido.
v Ocorreu um erro interno. Se esse erro ocorrer, entre em contato com o Suporte técnico Enterasys.
4. Em Gerenciar servidores syslog, clique em Incluir.
A janela Configuração de syslog é exibida.
5. Digite os valores dos parâmetros a seguir:
v Servidor syslog (Endereço IP/Nome do host) – Digite o endereço IP ou o nome do host do servidor
syslog no qual os eventos são enviados.

Nota: Os servidores syslog configurados usam nomes e sufixos DNS configurados no Assistente de
inicialização e configuração do servidor no Shell de configuração HWMH.
v Número da porta - Digite o número da porta do servidor syslog para o qual HWMH envia eventos.
O padrão é 514.
v Formato da mensagem – Selecione Texto simples como o formato para enviar eventos.
v Ativado? – Selecione Ativado? se você desejar que os eventos sejam enviados para esse servidor
syslog.
6. Salve sua configuração.
A configuração está concluída. A origem de log é incluída no IBM QRadar conforme os eventos
HiGuard são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelo
Enterasys HiGuard são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos de syslog a partir do
Extreme HiGuard.

414 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log para
o Extreme HiGuard:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Extreme HiPath Wireless Controller

O Extreme HiPath Wireless Controller DSM para IBM QRadar registra todos os eventos relevantes
usando o syslog.

O QRadar suporta os eventos do Extreme HiPath Wireless Controller a seguir:

v Eventos de ponto de acesso wireless
v Eventos de log do aplicativo
v Eventos de log de serviço
v Eventos de log de auditoria

Configurando o HiPath Wireless Controller

Para integrar seus eventos do Extreme HiPath Wireless Controller ao IBM QRadar, deve-se configurar seu
dispositivo para encaminhar eventos de syslog.

Sobre Esta Tarefa

Para encaminhar eventos syslog para o QRadar:

Procedimento
1. Efetue login no HiPath Wireless Assistant.
2. Clique em Configuração do Wireless Controller.
A janela Configuração do HiPath Wireless Controller é exibida.
3. No menu, clique em Manutenção do sistema.

58 Extrema 415
4. Na seção Syslog, marque a caixa de seleção IP do servidor syslog e digite o endereço IP do
dispositivo que recebe as mensagens de syslog.
5. Usando a lista Nível de log do Wireless Controller, selecione Informações.
6. Usando a lista Nível de log do Wireless AP, selecione Principal.
7. Usando a lista Logs do aplicativo, selecione local.0.
8. Usando a lista Logs de serviço, selecione local.3.
9. Usando a lista Logs de auditoria, selecione local.6.
10. Clique em Aplicar.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos do syslog do Extreme
HiPath. As etapas de configuração a seguir são opcionais.

Sobre Esta Tarefa

Para configurar manualmente uma origem de log para o Extreme HiPath:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Para obter mais informações sobre o dispositivo do Extreme HiPath
Wireless Controller, consulte a documentação do fornecedor.

Extreme Matrix Router

O Extreme Matrix Router DSM for IBM QRadar aceita eventos do Extreme Matrix usando SNMPv1,
SNMPv2, SNMPv3 e syslog.

Sobre Esta Tarefa

É possível integrar o Extreme Matrix Router versão 3.5 ao QRadar. O QRadar registra todos os eventos
SNMP, login de syslog, logout e login com falha. Antes de configurar o QRadar para integração ao
Extreme Matrix, deve-se executar as etapas a seguir:

416 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no comutador/roteador como um usuário privilegiado.
2. Digite o seguinte comando:
set logging server <server number> description <description> facility <facility> ip_addr <IP
address> port <port> severity <severity> Em que:
v <server number> é o número do servidor com valores de 1 a 8.
v <description> é uma descrição do servidor.
v <facility> é um recurso syslog, por exemplo, local0.
v <IP address> é o endereço IP do servidor que recebe as mensagens de syslog.
v <port> é a porta UDP padrão que o cliente usa para enviar mensagens para o servidor. Use a porta
514, a menos que seja indicado o contrário.
v <severity> é o nível de severidade do servidor com valores de 1 a 9, em que 1 indica uma
emergência e 8 é o nível de depuração.
Por exemplo:
set logging server 5 description ourlogserver facility local0 ip_addr 192.0.2.1 port 514
severity 8
3. Agora você está pronto para configurar a origem de log no QRadar.
Selecione Extreme Matrix E1 Switch na lista Tipo de origem de log.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Extreme Matrix K/N/S Series Switch

O Extreme Matrix Series DSM for IBM QRadar aceita eventos usando o syslog. O QRadar registra todos
os eventos relevantes do dispositivo independente Matrix K-Series, N-Series ou S-Serie.

Sobre Esta Tarefa

Antes de configurar o QRadar para integração com um K-Series Matrix, N-Series ou S-Series, execute as
etapas a seguir:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do dispositivo do Extreme Matrix.
2. Digite os comandos a seguir:
a. set logging server 1 ip-addr <IP Address of Event Processor> state enable
b. set logging application RtrAcl level 8
c. set logging application CLI level 8
d. set logging application SNMP level 8
e. set logging application Webview level 8
f. set logging application System level 8
g. set logging application RtrFe level 8
h. set logging application Trace level 8
i. set logging application RtrLSNat level 8
j. set logging application FlowLimt level 8
k. set logging application UPN level 8
l. set logging application AAA level 8

58 Extrema 417
m. set logging application Router level 8
n. set logging application AddrNtfy level 8
o. set logging application OSPF level 8
p. set logging application VRRP level 8
q. set logging application RtrArpProc level 8
r. set logging application LACP level 8
s. set logging application RtrNat level 8
t. set logging application RtrTwcb level 8
u. set logging application HostDoS level 8
v. set policy syslog extended-format enable
Para obter mais informações sobre como configurar roteadores ou comutadores Matrix Series, consulte
a documentação do fornecedor.
3. Agora você está pronto para configurar as origens de log no QRadar.
Para configurar o QRadar para receber eventos de um dispositivo Extreme Matrix Series, selecione
Extreme Matrix K/N/S Series Switch na lista Tipo de origem de log.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Extreme NetSight Automatic Security Manager

O Extreme NetSight Automatic Security Manager DSM for IBM QRadar aceita eventos usando o syslog.

Sobre Esta Tarefa

O QRadar grava todos os eventos relevantes. Antes de configurar um dispositivo Extreme NetSight
Automatic Security Manager no QRadar, deve-se configurar seu dispositivo para encaminhar eventos do
syslog.

Para configurar o dispositivo envie eventos do syslog para QRadar:

Procedimento
1. Efetue login na interface com o usuário do Automatic Security Manager.
2. Clique no ícone Gerenciador de segurança automatizada para acessar a janela Configuração do
Gerenciador de segurança automatizada.

Nota: É possível também acessar a janela Configuração do gerenciador de segurança automatizada

no menu Ferramenta.
3. No menu de navegação à esquerda, selecione Definições de regras.
4. Escolha uma das seguintes opções:
Se uma regra estiver configurada, destaque-a. Clique em Editar.
5. Para criar uma nova regra, clique em Criar.
6. Marque a caixa de seleção Notificações.
7. Clique em Editar.
A janela Editar notificações é exibida.
8. Clique em Criar.
A janela Criar notificação é exibida.
9. Usando a lista Tipo, selecione Syslog.

418 Guia de configuração do QRadar DSM

10. No campo IP/Nome do servidor syslog, digite o endereço IP do dispositivo que recebe tráfego
syslog.
11. Clique em Aplicar.
12. Clique em Fechar.
13. Na lista Notificação, selecione a notificação que está configurada.
14. Clique em OK.
15. Agora você está pronto para configurar a origem de log no QRadar.
Para configurar o QRadar para receber eventos de um dispositivo Extreme NetSight Automatic
Security Manager, selecione Extreme NetsightASM na lista Tipo de origem de log.
Para obter mais informações sobre seu dispositivo Extreme NetSight Automatic Security Manager,
consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Extreme NAC
O Extreme NAC DSM for IBM QRadar aceita eventos usando o syslog. O QRadar grava todos os eventos
relevantes.

Para obter detalhes sobre configurar seus appliances do Extreme NAC para syslog, consulte a
documentação do fornecedor. Depois que o appliance do Extreme NAC está encaminhando eventos de
syslog ao QRadar, a configuração está concluída. A origem de log é incluída no QRadar conforme os
eventos do Extreme NAC são descobertos automaticamente. Os eventos que são encaminhados pelos
appliances do Extreme NAC são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos de syslog do Extreme
NAC.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log para
o Extreme NAC:

58 Extrema 419
Tabela 246. Parâmetros de Syslog
Parâmetro Descrição
Identificador de Fonte de Log Digite o endereço IP ou nome do host para a origem de log como um identificador
para eventos dos appliances do Extreme NAC.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Comutadores empilháveis e independentes do Extreme

O DSM de comutadores empilháveis e independentes do Extreme para o IBM QRadar aceita eventos
usando o syslog.

Sobre Esta Tarefa

O QRadar grava todos os eventos relevantes. Antes de configurar um dispositivo de comutadores

empilháveis e independentes do Extreme no QRadar, deve-se configurar seu dispositivo para encaminhar
eventos do syslog.

Para configurar o dispositivo para encaminhar eventos syslog para o QRadar:

Procedimento
1. Efetue login no dispositivo de comutador empilhável e independente do Extreme.
2. Digite o seguinte comando:
set logging server <index> [ip-addr <IP address>] [facility <facility>] [severity
<severity>] [descr <description>] [port <port] [state <enable | disable>] Em que:
v <index> é o número de índice (1 a 8) da tabela de servidores para este servidor.
v <IP address> é o endereço IP do servidor para o qual você deseja enviar mensagens syslog. Você não
tem que inserir um endereço IP. Se você não definir um endereço IP, uma entrada na tabela de
servidores syslog será criada com o número de índice especificado e uma mensagem será exibida
indicando que não há endereço IP designado.
v <facility> é um recurso de syslog. Os valores válidos são local0 a local7. Você não precisa inserir um
valor de recurso. Se o valor não for especificado, o valor padrão que é configurado com o comando
padrão set logging será aplicado.
v <description> é uma descrição do recurso/servidor. Você não precisa inserir uma descrição.
v <port> é a porta UDP padrão que o cliente usa para enviar mensagens para o servidor. Se não
especificado, o valor padrão que é configurado com o comando padrão set logging será aplicado.
Você não precisa inserir um valor de porta.
v <enable | disable> ativa ou desativa esta configuração de recurso/servidor. Você não precisa
escolher uma opção. Se o estado não for especificado, ele não será padronizado para enable ou
disable.
v <severity> é o nível de severidade do servidor que o servidor registrará mensagens. O intervalo
válido é de 1 a 8. Se não especificado, o valor padrão que é configurado com o comando padrão set
logging será aplicado. Você não precisa inserir um valor de severidade. A seguir estão os valores
válidos:
v 1: Emergenciais (o sistema está inutilizável)
v 2: Alertas (necessária ação imediata)
v 3: Condições críticas
v 4: Condições de erro
v 5: Condições de aviso

420 Guia de configuração do QRadar DSM

v 6: Notificações (condições significativas)
v 7: Mensagens informativas
v 8: Mensagem de depuração
3. É possível agora configurar a origem de log no QRadar.
Para configurar o QRadar para receber eventos de um dispositivo de comutador empilhável e
independente do Extreme:
Na lista Tipo de origem de log, selecione uma das opções a seguir:
v Comutadores empilháveis e independentes do Extreme
v Extreme A-Series
v Extreme B2-Series
v Extreme B3-Series
v Extreme C2-Series
v Extreme C3-Series
v Extreme D-Series
v Extreme G-Series
v Extreme I-Series
Para obter mais informações sobre seus comutadores empilháveis e independentes do Extreme,
consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Extreme Networks ExtremeWare

O DSM Extreme Networks ExtremeWare para o IBM QRadar registra todos os eventos relevantes dos
dispositivos Extreme Networks ExtremeWare e Extremeware XOS usando syslog.

Para integrar o QRadar com um dispositivo ExtremeWare, deve-se configurar uma origem de log no
QRadar e, em seguida, configurar os dispositivos Extreme Networks ExtremeWare e Extremeware XOS
para encaminhar eventos syslog. O QRadar não descobre ou cria automaticamente origens de log para
eventos syslog de dispositivos ExtremeWare.

Configurando uma origem de log

Para integração com o IBM QRadar, deve-se criar manualmente uma origem de log para receber os
eventos ExtremeWare recebidos que são encaminhados para o QRadar.

58 Extrema 421
Tabela 247. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do dispositivo ExtremeWare.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhados para o QRadar pelos
dispositivos Extreme Networks ExtremeWare são exibidos na guia Atividade de log.
Para obter informações sobre como configurar o encaminhamento de syslog para os dispositivos
Extremeware, consulte a documentação do fornecedor.

Extreme XSR Security Router

O Extreme XSR Security Router DSM for IBM QRadar aceita eventos usando o syslog.

Sobre Esta Tarefa

O QRadar grava todos os eventos relevantes. Antes de configurar um Extreme XSR Security Router no
QRadar, deve-se configurar seu dispositivo para encaminhar eventos do syslog.

Para configurar o dispositivo envie eventos do syslog para QRadar:

Procedimento
1. Usando Telnet ou SSH, efetue login na interface da linha de comandos do XSR Security Router.
2. Digite os comandos a seguir para acessar o modo de configuração:
a. ativar
b. configuração
3. Digite o seguinte comando:
logging <IP address> low
Em que: <IP address> é o endereço IP do QRadar.
4. Saia do modo de configuração.
exit
5. Salve a configuração:
copy running-config startup-config
6. Agora você está pronto para configurar as origens de log no QRadar.
Selecione Extreme XSR Security Routers na lista Tipo de origem de log.
Para obter mais informações sobre seu Extreme XSR Security Router, consulte a documentação do
fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

422 Guia de configuração do QRadar DSM

59 Redes F5
O IBM QRadar aceita eventos de uma faixa de DSMs F5 Networks.

F5 Networks BIG-IP AFM

O DSM F5 Networks BIG-IP Advanced Firewall Manager (AFM) para o IBM QRadar aceita eventos
syslog que são encaminhados pelos sistemas F5 Networks BIG-IP AFM no formato de par nome-valor.

Sobre Esta Tarefa

O QRadar pode coletar os eventos a seguir dos dispositivos F5 BIG-IP com o Advanced Firewall
Managers:
v Eventos de rede
v Eventos de Negação de Serviço (DoS) de rede
v Eventos de segurança de protocolo
v Eventos de DNS
v Eventos de Negação de Serviço (DoS) de DNS

Para poder configurar o Advanced Firewall Manager, deve-se verificar se o dispositivo BIG-IP está
licenciado e provisionado para incluir Advanced Firewall Manager.

Procedimento
1. Efetue login na interface de gerenciamento do dispositivo BIG-IP.
2. No menu de navegação, selecione Sistema > Licença.
3. Na coluna Status de licença, verifique se o Advanced Firewall Manager está licenciado e ativado.
4. Para ativar o Advanced Firewall Manager, selecione Sistema > Recurso > Fornecimento.
5. Na coluna Fornecimento, marque a caixa de seleção e selecione Nominal na lista.
6. Clique em Enviar para salvar suas mudanças.

Configurando um conjunto de criação de log

Um conjunto de criação de log é usado para definir um conjunto de servidores que recebem eventos
syslog. O conjunto contém o endereço IP, a porta e um nome de nó que você fornece.

Procedimento
1. No menu de navegação, selecione Tráfego local > Conjuntos.
2. Clique em Criar.
3. No campo Nome, digite um nome para o conjunto de criação de log.
Por exemplo, Logging_Pool.
4. No campo Monitor de funcionamento, na lista Disponível, selecione TCP e clique em <<.
Esta ação de clicar move a opção TCP da lista Disponível para a lista Selecionado.
5. Na área de janela Recurso, na lista Nome do nó, selecione Logging_Node ou o nome que você
definiu em “Configurando um conjunto de criação de log”.
6. No campo Endereço, digite o endereço IP para o QRadar Console ou Event Collector.
7. No campo Porta de serviço, digite 514.
8. Clique em Incluir.
9. Clique em Concluir.

© Copyright IBM Corp. 2005, 2019 423

Criando um destino de log de alta velocidade
O processo para configurar a criação de log para BIG-IP AFM requer que você crie um destino de criação
de log de alta velocidade.

Procedimento
1. No menu de navegação, selecione Sistema > Logs > Configuração > Destinos de log.
2. Clique em Criar.
3. No campo Nome, digite um nome para o destino.
Por exemplo, Logging_HSL_dest.
4. No campo Descrição, digite uma descrição.
5. Na lista Tipo, selecione Log de alta velocidade remoto.
6. Na lista Nome do conjunto, selecione um conjunto de criação de log na lista de servidores de log
remotos.
Por exemplo, Logging_Pool.
7. Na lista Protocolo, selecione TCP.
8. Clique em Concluir.

Criando um destino de log formatado

O destino de log formatado é usado para especificar qualquer formatação especial necessária nos eventos
que são encaminhados para o destino de criação de log de alta velocidade.

Procedimento
1. No menu de navegação, selecione Sistema > Logs > Configuração > Destinos de log.
2. Clique em Criar.
3. No campo Nome, digite um nome para o destino do formato de criação de log.
Por exemplo, Logging_Format_dest.
4. No campo Descrição, digite uma descrição.
5. Na lista Tipo, selecione Syslog remoto.
6. Na lista Formato de syslog, selecione Syslog.
7. Na lista Destino de log de alta velocidade, selecione o destino de log de alta velocidade.
Por exemplo, Logging_HSL_dest.
8. Clique em Concluído.

Criando um publicador de log

A criação de um publicador permite que o dispositivo BIG-IP publique a mensagem de log formatada no
banco de dados de syslog local.

Procedimento
1. No menu de navegação, selecione Sistema > Logs > Configuração > Publicadores de log.
2. Clique em Criar.
3. No campo Nome, digite um nome para o publicador.
Por exemplo, Logging_Pub.
4. No campo Descrição, digite uma descrição.
5. No campo Destinos, na lista Disponível, selecione o nome do destino de log que você criou em
“Configurando um conjunto de criação de log” na página 423 e clique em << para incluir itens na
lista Selecionado.

424 Guia de configuração do QRadar DSM

Essa ação de clicar move o destino de formato de criação de log da lista Disponível para a lista
Selecionado. Para incluir a criação de log local na configuração do publicador, é possível pode incluir
local-db e local-syslog na lista Selecionado.

Criando um perfil de criação de log

Use o Perfil de criação de log para configurar os tipos de eventos que o Advanced Firewall Manager está
produzindo e para associar esses eventos ao destino de criação de log.

Procedimento
1. No menu de navegação, selecione Segurança > Logs de eventos > Perfil de criação de log.
2. Clique em Criar.
3. No campo Nome, digite um nome para o perfil de log.
Por exemplo, Logging_Profile.
4. No campo Firewall de rede, marque a caixa de seleção Ativado.
5. Na lista Publicador, selecione o publicador de log que você configurou.
Por exemplo, Logging_Pub.
6. No campo Correspondências de regra de log, marque as caixas de seleção Aceitar, Descartar e
Rejeitar.
7. No campo Registrar erros de IP, marque a caixa de seleção Ativado.
8. No campo Registrar erros de TCP, marque a caixa de seleção Ativado.
9. No campo Registrar eventos de TCP, marque a caixa de seleção Ativado.
10. No campo Formato de armazenamento, na lista, selecione Campo-Lista.
11. No campo Delimitador, digite , (vírgula) como o delimitador para eventos.
12. No campo Formato de armazenamento, selecione todas as opções na lista Itens disponíveis e clique
em <<.
Essa ação de clicar move todas as opções Campo-Lista da lista Disponível para a lista Selecionado.
13. Na área de janela Inteligência de IP, na lista Publicador, selecione o publicador de log que você
configurou.
Por exemplo, Logging_Pub.
14. Clique em Concluído.

Associando o perfil a um servidor virtual

O perfil de log criado deve ser associado a um servidor virtual na guia Política de segurança. Essa
associação permite que o servidor virtual processe eventos de firewall de rede, com o tráfego local.

Sobre Esta Tarefa

Execute as etapas a seguir para associar o perfil a um servidor virtual.

Procedimento
1. No menu de navegação, selecione Tráfego local > Servidores virtuais.
2. Clique no nome de um servidor virtual a ser modificado.
3. Na guia Segurança, selecione Políticas.
4. Na lista Perfil de log, selecione Ativado.
5. No campo Perfil, na lista Disponível, selecione Logging_Profile ou o nome especificado em “Criando
um perfil de criação de log” e clique em <<.
Esta ação de clicar move a opção Logging_Profile da lista Disponível para a lista Selecionado.
6. Clique em Atualizar para salvar suas mudanças.

59 Redes F5 425
A configuração está concluída. A origem de log é incluída no IBM QRadar conforme os eventos syslog
do F5 Networks BIG-IP AFM são descobertos automaticamente. Os eventos que são encaminhados
para o QRadar pelo F5 Networks BIG-IP AFM são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do F5 Networks
BIG-IP AFM. No entanto, você pode criar manualmente uma origem de log para o QRadar receber
eventos syslog.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

F5 Networks BIG-IP APM

O DSM F5 Networks BIG-IP Access Policy Manager (APM) para o IBM QRadar coleta eventos de
segurança de acesso e autenticação de um dispositivo BIG-IP APM usando syslog.

Para configurar o dispositivo BIG-IP LTM para encaminhar eventos syslog para uma origem de syslog
remoto, escolha a versão do software BIG-IP APM:
v “Configurando o Syslog remoto para o F5 BIG-IP APM V11.x a V14.x”
v “Configurando um syslog remoto para o F5 BIG-IP APM 10.x” na página 427

Configurando o Syslog remoto para o F5 BIG-IP APM V11.x a V14.x

É possível configurar o syslog para o F5 BIG-IP APM V11.x a V14.x.

Sobre Esta Tarefa

Para configurar um syslog remoto para o F5 BIG-IP APM V11.x a V14.x, execute as etapas a seguir:

426 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login na linha de comandos do seu dispositivo F5 BIG-IP.
2. Digite o comando a seguir para incluir um servidor syslog remoto único:
tmsh syslog remote server {<Name> {host <IP address>}} Em que:
v <Name> é o nome da origem de syslog do F5 BIG-IP APM.
v <IP address> é o endereço IP do QRadar Console.
Por exemplo,
bigpipe syslog remote server {BIGIP_APM {host 192.0.2.1}}
3. Digite o seguinte para salvar as mudanças na configuração :
tmsh save sys config partitions all
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos F5
Networks BIG-IP APM são descobertos automaticamente. Os eventos que são encaminhados para o
QRadar pelo F5 Networks BIG-IP APM são exibidos na guia Atividade de log no QRadar.

Configurando um syslog remoto para o F5 BIG-IP APM 10.x

É possível configurar syslog para F5 BIG-IP APM 10.x

Sobre Esta Tarefa

Para configurar um syslog remoto para F5 BIG-IP APM 10.x execute as etapas a seguir:

Procedimento
1. Efetue login na linha de comandos do seu dispositivo F5 BIG-IP.
2. Digite o comando a seguir para incluir um servidor syslog remoto único:
bigpipe syslog remote server {<Name> {host <IP address>}} Em que:
v <Name> é o nome da origem de syslog do F5 BIG-IP APM.
v <IP address> é o endereço IP do QRadar Console.
Por exemplo,
bigpipe syslog remote server {BIGIP_APM {host 192.0.2.1}}
3. Digite o seguinte para salvar as mudanças na configuração :
bigpipe save
A configuração está concluída. A origem de log é incluída no IBM QRadar conforme os eventos F5
Networks BIG-IP APM são descobertos automaticamente. Os eventos que são encaminhados para o
QRadar pelo F5 Networks BIG-IP APM são exibidos na guia Atividade de log.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
F5 Networks BIG-IP APM.

Sobre Esta Tarefa

Essas etapas de configuração são opcionais.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.

59 Redes F5 427
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione F5 Networks BIG-IP APM.
9. Usando a lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:

Parâmetros do protocolo Syslog

Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do dispositivo F5 Networks BIG-IP APM.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Configurando o F5 Networks BIG-IP ASM

O DSM IBM QRadar F5 Networks BIG-IP Application Security Manager (ASM) coleta eventos de
segurança do aplicativo da web dos dispositivos BIG-IP ASM usando syslog.

Sobre Esta Tarefa

Para encaminhar eventos syslog de um dispositivo F5 Networks BIG-IP ASM para o QRadar, deve-se
configurar um perfil de criação de log.

Um perfil de criação de log pode ser usado para configurar o armazenamento remoto de eventos syslog,
que podem ser encaminhados diretamente para o QRadar.

Procedimento
1. Efetue login na interface com o usuário do dispositivo F5 Networks BIG-IP ASM.
2. Na área de janela de navegação, selecione Segurança do aplicativo > Opções.
3. Clique em Perfis de criação de log.
4. Clique em Criar.
5. Na lista Configuração, selecione Avançado.
6. Digite um nome descritivo para a propriedade Nome do perfil.
7. Opcional: Digite uma Descrição do perfil.
Se você não desejar que os dados sejam registrados local e remotamente, desmarque a caixa de
seleção Armazenamento local.
8. Marque a caixa de seleção Armazenamento remoto.
9. Na lista Tipo, selecione 1 das opções a seguir:
a. No BIG-IP ASM V12.1.2 ou anterior, selecione Servidor de relatório.
b. No BIG-IP ASM V13.0.0 ou mais recente, selecione Pares de valores de chave.
10. Na lista Protocolo, selecione TCP.
11. No campo Endereço IP, digite o endereço IP do QRadar Console e, no campo Porta, digite um valor
de porta de 514.
12. Marque a caixa de seleção Garantir criação de log.

428 Guia de configuração do QRadar DSM

Nota: A ativação da opção Garantir criação de log assegura que as solicitações de log do sistema
continuem para o aplicativo da web quando o utilitário de criação de log está competindo por
recursos do sistema. A ativação da opção Garantir criação de log pode tornar lento o acesso ao
aplicativo da web associado.
13. Marque a caixa de seleção Relatar anomalias detectadas para permitir que o sistema registre os
detalhes.
14. Clique em Criar.
A exibição é atualizada com o novo perfil de criação de log. A origem de log é incluída no QRadar
conforme os eventos do F5 Networks BIG-IP ASM são descobertos automaticamente. Os eventos que
são encaminhados pelo F5 Networks BIG-IP ASM são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
F5 Networks BIG-IP ASM.

Sobre Esta Tarefa

Essas etapas de configuração são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

F5 Networks BIG-IP LTM

O DSM F5 Networks BIG-IP Local Traffic Manager (LTM) para o IBM QRadar coleta eventos de
segurança de redes de um dispositivo BIG-IP usando syslog.

Para que os eventos possam ser recebidos no QRadar, deve-se configurar uma origem de log para o
QRadar; em seguida, configurar o dispositivo BIG-IP LTM para encaminhar eventos syslog. Crie a origem
de log antes de os eventos serem encaminhados porque o QRadar não descobre ou cria automaticamente
origens de log para eventos syslog dos dispositivos F5 BIG-IP LTM.

59 Redes F5 429
Configurando uma origem de log
Para integrar o F5 BIG-IP LTM com o IBM QRadar, deve-se criar manualmente uma origem de log para
receber eventos syslog.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
Agora você está pronto para configurar o dispositivo BIG-IP LTM para encaminhar eventos syslog
para o QRadar.

Configurando o encaminhamento de syslog em BIG-IP LTM

É possível configurar o dispositivo BIG-IP LTM para encaminhar eventos syslog.

É possível configurar o syslog para a versão do software BIG-IP LTM a seguir:

v “Configurando o syslog remoto para o F5 BIG-IP LTM V11.x a V14.x”
v “Configurando syslog remoto para o F5 BIG-IP LTM V10.x” na página 431
v “Configurando o syslog remoto para o F5 BIG-IP LTM V9.4.2 a V9.4.8” na página 431

Configurando o syslog remoto para o F5 BIG-IP LTM V11.x a V14.x

É possível configurar o syslog para o F5 BIG-IP LTM 11.x a V14.x.

Sobre Esta Tarefa

Para configurar o syslog para o F5 BIG-IP LTM V11.x a V14.x, execute as etapas a seguir:

Procedimento
1. Efetue login na linha de comandos do seu dispositivo F5 BIG-IP.
2. Para efetuar login no Shell Management Tráfego (tmsh), digite o comando a seguir:
tmsh
3. Para incluir um servidor syslog, digite o comando a seguir:
modify /sys syslog remote-servers add {<Name> {host <IP address> remote-port 514}}
Em que:
v <Name> é o nome designado para identificar o servidor syslog no dispositivo BIG-IP LTM.

430 Guia de configuração do QRadar DSM

v <IP address> é o endereço IP do IBM QRadar.
Por exemplo,
modify /sys syslog remote-servers add {BIGIPsyslog {host 192.0.2.1 remote-port 514}}
4. Salve as mudanças na configuração:
save /sys config
Os eventos que são encaminhados pelo dispositivo F5 Networks BIG-IP LTM são exibidos na guia
Atividade de log no QRadar.

Configurando syslog remoto para o F5 BIG-IP LTM V10.x

É possível configurar o syslog para o F5 BIG-IP LTM V10.x.

Sobre Esta Tarefa

Para configurar o syslog para o F5 BIG-IP LTM V10.x, execute as etapas a seguir:

Nota: O F5 Networks modificou o formato de saída do syslog no BIG-IP V10.x para incluir o uso do
local/ antes do nome do host no cabeçalho de syslog. O formato do cabeçalho de syslog que contém
local/ não é suportado no QRadar, mas uma solução alternativa está disponível para corrigir o
cabeçalho de syslog. Para obter mais informações, consulte http://www.ibm.com/support.
Os eventos que são encaminhados pelo dispositivo F5 Networks BIG-IP LTM são exibidos na guia
Atividade de log no QRadar.

Configurando o syslog remoto para o F5 BIG-IP LTM V9.4.2 a V9.4.8

É possível configurar o syslog para F5 BIG-IP LTM V9.4.2 a V9.4.8.

Sobre Esta Tarefa

Para configurar o syslog para o F5 BIG-IP LTM V9.4.2 a V9.4.8, execute as etapas a seguir:

Procedimento
1. Efetue login na linha de comandos do seu dispositivo F5 BIG-IP.
2. Digite o comando a seguir para incluir um servidor syslog remoto único:
bigpipe syslog remote server <IP address>
Em que: <IP address> é o endereço IP do IBM QRadar. Por exemplo:
bigpipe syslog remote server 192.0.2.1
3. Digite o seguinte para salvar as mudanças na configuração :
bigpipe save

59 Redes F5 431
A configuração está concluída. Os eventos que são encaminhados pelo dispositivo F5 Networks
BIG-IP LTM são exibidos na guia Atividade de log no QRadar.

F5 Networks FirePass
O DSM F5 Networks FirePass para o IBM QRadar coleta eventos do sistema de um dispositivo F5
FirePass SSL VPN usando syslog.

Por padrão, a criação de log remota está desativada e deve ser ativada no dispositivo F5 Networks
FirePass. Antes de receber eventos no QRadar, deve-se configurar o dispositivo F5 Networks FirePass
para encaminhar eventos do sistema para o QRadar como um servidor syslog remoto.

Configurando o encaminhamento de syslog para F5 FirePass

Para encaminhar eventos syslog de um dispositivo F5 Networks BIG-IP FirePass SSL VPN para o IBM
QRadar, deve-se ativar e configurar um servidor de log remoto.

Sobre Esta Tarefa

O servidor de log remoto pode encaminhar eventos diretamente para o QRadar Console ou qualquer
Event Collector em sua implementação.

Procedimento
1. Efetue login no F5 Networks FirePass Admin Console.
2. Na área de janela de navegação, selecione Gerenciamento de dispositivo > Manutenção > Logs.
3. No menu Logs do sistema, marque a caixa de seleção Ativar servidor de log remoto.
4. No menu Logs do sistema, desmarque a caixa de seleção Ativar logs do sistema estendido.
5. No parâmetro Host remoto, digite o endereço IP ou o nome do host do QRadar.
6. Na lista Nível de log, selecione Informações.
O parâmetro Nível de log monitora mensagens do sistema no nível do aplicativo.
7. Na lista Nível de log de kernel, selecione Informações.
O parâmetro Nível de log de kernel monitora as mensagens do sistema de kernel do Linux.
8. Clique em Aplicar mudanças de log do sistema.
As mudanças são aplicadas e a configuração é concluída. A origem de log é incluída no QRadar
conforme os eventos do F5 Networks FirePass são descobertos automaticamente. Os eventos que são
encaminhados para o QRadar pelo F5 Networks BIG-IP ASM são exibidos na guia Atividade de log
no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
F5 Networks FirePass.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais:

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.

432 Guia de configuração do QRadar DSM

6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione F5 Networks FirePass.
9. Usando a lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:
Tabela 251. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host da origem de log como um identificador
log para eventos do dispositivo F5 Networks FirePass.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

59 Redes F5 433
434 Guia de configuração do QRadar DSM
60 Fair Warning
O DSM Fair Warning para o IBM QRadar recupera arquivos de eventos de uma origem remota usando o
protocolo de arquivo de log.

O QRadar registra categorias de eventos dos arquivos de log Fair Warning sobre atividade do usuário
que está relacionada a privacidade do paciente e ameaças de segurança para registros médicos. Para
poder recuperar arquivos de log do Fair Warning, deve-se verificar se o dispositivo está configurado para
gerar um log de eventos. As instruções sobre como gerar o log de eventos podem ser encontradas na
Documentação do Fair Warning.

Ao configurar o protocolo de arquivo de log, certifique-se de que o nome do host ou endereço IP que está
configurado no sistema Fair Warning seja o mesmo que está configurado no parâmetro Remote Host na
configuração de protocolo de arquivo de log.

Configurando uma origem de log

É possível configurar o IBM QRadar para fazer download de um log de eventos a partir de um
dispositivo Fair Warning.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na caixa de listagem Tipo de origem de log, selecione Fair Warning.
9. Selecione a opção Arquivo de log na lista Configuração de protocolo.
10. No campo Padrão do arquivo de FTP, digite uma expressão regular que corresponde aos arquivos
de log que são gerados pelo sistema Fair Warning.
11. No campo Diretório remoto, digite o caminho para o diretório que contém logs do dispositivo Fair
Warning.
12. Na lista Gerador de evento, selecione Fair Warning.
13. Clique em Salvar.
14. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Para obter mais informações sobre os parâmetros completos para o
protocolo de arquivo de log, consulte o IBM QRadar Guia de gerenciamento de origens de log.
Para obter mais informações sobre como configurar Fair Warning, consulte a documentação do
fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

© Copyright IBM Corp. 2005, 2019 435

436 Guia de configuração do QRadar DSM
61 Fasoo Enterprise DRM
O IBM QRadar DSM for Fasoo Enterprise DRM (Digital Rights Management) coleta logs de um
dispositivo Fasoo Enterprise DRM.

A tabela a seguir descreve as especificações para o DSM do Fasoo Enterprise DRM:

Tabela 252. Especificações de DSM do Fasoo Enterprise DRM
Especificação Valor
Fabricante Fasoo
Nome do DSM Fasoo Enterprise DRM
Nome do arquivo RPM DSM-FasooFED-QRadar_version-build_number.noarch.rpm
Versões Suportadas 5,0
Protocolo JDBC
Formato de evento Par nome-valor (NVP)
Tipos de eventos registrados Eventos de uso
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Fasoo (http://en.fasoo.com/Fasoo-Enterprise-
DRM)

Para integrar o Fasoo Enterprise DRM ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do protocolo JDBC
v RPM DSMCommon
v RPM do FasooFED DSM
2. Configure uma origem de log para se conectar ao banco de dados Fasoo Enterprise DRM e recuperar
o evento.
3. Inclua uma origem de log Fasoo Enterprise DRM no QRadar Console. A tabela a seguir descreve os
parâmetros que requerem valores específicos para coletar eventos do Fasoo Enterprise DRM:
Tabela 253. Parâmetros de origem de log do Fasoo Enterprise DRM
Parâmetro Valor
Tipo de origem de log Fasoo Enterprise DRM
Configuração do Protocolo JDBC
Identificador de Fonte de Log Como o protocolo é JDBC, é necessário usar um formato
específico. Por exemplo, para Fasoo Enterprise DRM, use o
formato a seguir:

<Fasoo_Enterprise_DRM_Database>@
<Fasoo_Enterprise_DRM_Database_Server_IP _or_Host_Name>

Deve-se usar os valores do banco de dados Fasoo Enterprise

DRM e o endereço IP ou nome do host do banco de dados do
Servidor.

© Copyright IBM Corp. 2005, 2019 437

Tabela 253. Parâmetros de origem de log do Fasoo Enterprise DRM (continuação)
Parâmetro Valor
Tipo do Banco de Dados Na lista, selecione o tipo de banco de dados Fasoo Enterprise
DRM.
Nome do Banco de Dados O nome do banco de dados Fasoo Enterprise DRM. O nome do
banco de dados deve corresponder ao nome do banco de dados
que é especificado no campo Identificador de Origem de Log.
IP ou Nome do Host O endereço IP ou o nome do host do servidor de banco de dados
Fasoo Enterprise DRM.
Port O número da porta que é utilizado pelo servidor de banco de
dados.
Nome do Usuário O nome do usuário que é necessário para se conectar ao banco
de dados.
Senha A senha que é necessária para se conectar ao banco de dados. A
senha pode ter até 255 caracteres de comprimento.
Confirmar senha A senha de confirmação deve ser idêntica à senha que você
digitou para o parâmetro Password.
Domínio de Autenticação Se você selecionou o MSDE para o Tipo de banco de dados e o
banco de dados estiver configurado para Windows, defina uma
janela Domínio de autenticação. Caso contrário, deixe este
campo em branco.
Instância de Banco de Dados Se você selecionou MSDE para o Tipo de banco de dados e tiver
múltiplas instâncias de SQL server, digite a instância de banco de
dados.

Se você usar uma porta não padrão para o banco de dados ou o

acesso estiver bloqueado para a porta 1434 para a resolução do
banco de dados SQL, o parâmetro Database Instance deverá ser
deixado em branco na configuração da origem de log.
Nome da tabela view_fut_log

O nome da visualização que inclui os registros de eventos.

Lista de Seleção Digite um asterisco (*) para selecionar todos os campos da tabela
ou visualização.

A lista de campos a serem incluídos quando a tabela for

pesquisada em busca de eventos.
Comparar Campo log_date

O Comparar campo é usado para identificar novos eventos que

são incluídos entre as consultas na tabela.
Data e Horário de Início Opcional. Digite a data e hora de início para a pesquisa de banco
de dados no formato a seguir: aaaa-MM-dd HH:mm, com HH
especificado usando um relógio de 24 horas. Se a data ou hora
de início for limpa, a pesquisa começa imediatamente e repete no
intervalo de pesquisa especificado.
Usar Instruções Preparadas Selecione a caixa de seleção se você quiser usar instruções
preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC

configure a instrução SQL e, em seguida, execute a instrução SQL
várias vezes com parâmetros diferentes. Por motivos de
segurança e desempenho, a maioria das configurações do
protocolo JDBC pode usar as instruções preparadas.

438 Guia de configuração do QRadar DSM

Tabela 253. Parâmetros de origem de log do Fasoo Enterprise DRM (continuação)
Parâmetro Valor
Intervalo de Pesquisa A quantia de tempo entre as consultas para a tabela de eventos.
O intervalo de pesquisa padrão é de 10 segundos. É possível
definir um intervalo de pesquisa maior ao anexar H para horas
ou M para minutos ao valor numérico. O intervalo máximo de
pesquisa é 1 semana em qualquer formato de hora. Os valores
numéricos que são inseridos sem uma pesquisa H ou M em
segundos.
Regulador de EPS O número de Eventos por Segundo (EPS) que você não deseja
que esse protocolo exceda. O valor padrão é 20000 EPS.

4. Verifique se o QRadar está configurado corretamente.

A tabela a seguir mostra uma mensagem do evento normalizado de amostra do Fasoo Enterprise
DRM:
Tabela 254. Mensagem de amostra do Fasoo Enterprise DRM
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Editar - bem-sucedida Êxito ao Atualizar Atividade log_id: "xxxxxxxxxxxxxxxxxxxxxx"
log_date: "2016-03-21 14:17:36.000"
log_type: "1" product: "1"
purpose: "16" usage_result: "1"
license_status: "0"
ip: "<Numeric>"
user_code: "usercode"
user_name: "username"
user_dept_code:
"xxxxxxxxxxxxxxxxxxxx"
user_dept_name: "userdeptname"
position_code: "P001"
position_name: "Employee"
content_code:
"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
current_content_name:
"New Microsoft PowerPoint
Presentation.pptx"
content_name:
"New Microsoft PowerPoint
Presentation.pptx"
sec_level_code:
" xxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
sec_level_name: "Basic"
system_code: "NULL"
system_name: "NULL"
owner_code: "ownercode"
owner_name: "ownername"
owner_dept_code:
"xxxxxxxxxxxxxxxxxxxx"
owner_dept_name:
"ownerdeptname"
content_create-date:
"2016-03-21 03:41:28.000"
entry_date:
"2016-03-21 13:18:26.670"

61 Fasoo Enterprise DRM 439

Configurando Fasoo Enterprise DRM para se comunicar com o QRadar

Para que o IBM QRadar colete dados de evento de log, deve-se criar uma visualização do banco de
dados.

Antes de Iniciar

O script neste procedimento é destinado apenas para MS SQL Servers. Para outros tipos de banco de
dados, as modificações no script serão necessárias para o tipo de banco de dados de destino.

Procedimento
1. Efetue login no SQL Server Management Studio.
2. Crie uma visualização customizada em seu banco de dados Fasoo.
USE fed5;
IR
CREATE VIEW view_fut_log
AS
SELECT
dbo.fut_log.log_id,
dbo.fut_log.log_date,
dbo.fut_log.log_type,
dbo.fut_log.product,
dbo.fut_log.purpose,
dbo.fut_log.usage_result,
dbo.fut_log.license_status,
dbo.fut_log.ip,
dbo.fut_user.user_code,
dbo.fut_user.user_name,
dbo.fut_user.user_dept_code,
dbo.fut_user.user_dept_name,
dbo.fut_log.position_code,
dbo.fut_log.position_name,
dbo.fut_content.content_code,
dbo.fut_content.current_content_name,
dbo.fut_content.content_name,
dbo.fut_content.sec_level_code,
dbo.fut_content.sec_level_name,
dbo.fut_content.system_code,
dbo.fut_content.system_name,
dbo.fut_log.owner_code,
dbo.fut_log.owner_name,
dbo.fut_log.owner_dept_code,
dbo.fut_log.owner_dept_name,
dbo.fut_content.content_create_date,
dbo.fut_log.entry_date
FROM dbo.fut_log
INNER JOIN dbo.fut_user
ON dbo.fut_log.user_id =
dbo.fut_user.user_id
INNER JOIN dbo.fut_content
ON dbo.fut_log.content_id =
dbo.fut_content.content_id
IR

440 Guia de configuração do QRadar DSM

62 Fidelis XPS
O DSM Fidelis XPS para o IBM QRadar aceita eventos que são encaminhados em Log Enhanced Event
Protocol (LEEF) pelos dispositivos Fidelis XPS usando syslog.

O QRadar pode coletar todos os alertas relevantes que são acionados por violações de política e regra que
estão configuradas no dispositivo de segurança Fidelis XPS.

Formato de tipo de evento

O Fidelis XPS deve ser configurado para gerar eventos em Log Enhanced Event Protocol (LEEF) e
encaminhar esses eventos usando syslog. O formato LEEF consiste em um cabeçalho syslog delimitado
por barra vertical (|) e campos separados por tabulação que são posicionados na carga útil do evento.

Se os eventos syslog encaminhados pelo Fidelis XPS não estiverem formatados em formato LEEF, deve-se
examinar a configuração do dispositivo ou a versão do software para assegurar que o dispositivo suporte
LEEF. As mensagens de eventos LEEF formatadas adequadamente são descobertas automaticamente e
incluídas como origem de log no QRadar.

Configurando Fidelis XPS

É possível configurar o encaminhamento de syslog de alertas do dispositivo de segurança Fidelis XPS.

Procedimento
1. Efetue login no CommandPost para gerenciar seu dispositivo Fidelis XPS.
2. No menu de navegação, selecione Sistema > Exportar.
Uma lista de exportações disponíveis é exibida. A lista está vazia na primeira vez que você usa a
função de exportação.
3. Selecione uma das opções a seguir:
v Clique em Novo para criar uma nova exportação para o dispositivo Fidelis XPS.
v Clique em Editar ao lado de um nome de exportação para editar uma exportação existente em seu
dispositivo Fidelis XPS.
O Editor de exportação é exibido.
4. Na lista Método de exportação, selecione LEEF de syslog.
5. No campo Destino, digite o endereço IP ou o nome do host para o IBM QRadar.
Por exemplo, 192.0.2.1:::514
O campo Destino não suporta caracteres não ASCII.
6. Em Exportar alertas, selecione uma das opções a seguir:
v Todos os alertas - Selecione essa opção para exportar todos os alertas para o QRadar. Essa opção é
intensivo em recurso e pode levar tempo para exportar todos os alertas.
v Alertas por critérios - Selecione essa opção para exportar alertas específicos para o QRadar. Essa
opção exibe um novo campo no qual é possível definir seus critérios de alerta.
7. Em Exportar eventos de malware, selecione Nenhum.
8. Em Frequência de exportação, selecione A cada alerta/malware.
9. No campo Salvar como, digite um nome para a exportação.
10. Clique em Salvar.
11. Opcional: Para verificar se os eventos são encaminhados para o QRadar, é possível clicar em
Executar agora.

© Copyright IBM Corp. 2005, 2019 441

Executar agora é desejado como uma ferramenta de teste para verificar se os alertas selecionados por
critérios são exportados do seu dispositivo Fidelis. Essa opção não estará disponível se você tiver
selecionado a exportação de todos os eventos em “Configurando Fidelis XPS” na página 441.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos syslog do
Fidelis XPS são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelo
Fidelis XPS são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Fidelis XPS.
No entanto, você pode criar manualmente uma origem de log para o QRadar receber eventos syslog.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

442 Guia de configuração do QRadar DSM

63 FireEye
O IBM QRadar DSM for FireEye aceita eventos syslog em Log Event Extended Format (LEEF) e Common
Event Format (CEF).

Esse DSM se aplica aos dispositivos FireEye CMS, MPS, EX, AX, NX, FX e HX. O QRadar registra todos
os alertas de notificação relevantes que são enviados pelos dispositivos FireEye.

A tabela a seguir identifica as especificações para o DSM FireEye.

Tabela 256. Especificações do DSM FireEye
Especificação Valor
Fabricante FireEye
Nome do DSM FireEye MPS
Versões suportadas CMS, MPS, EX, AX, NX, FX e HX
Nome do arquivo RPM DSM-FireEyeMPS-QRadar_version-
Build_number.noarch.rpm
Protocolo Syslog e TLS Syslog
Tipos de evento registrado do QRadar
Todos os eventos relevantes
Descoberta automática? Sim
Inclui identidade? Não
Informações adicionais website do FireEye (www.fireeye.com)

Para integrar o FireEye com o QRadar, use os procedimentos a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale o RPM do DSM
Common e FireEye MPS no QRadar Console.
2. Faça download e instale o RPM do protocolo TLS Syslog mais recente no QRadar.
3. Para cada instância do FireEye em sua implementação, configure o sistema FireEye para encaminhar
eventos para o QRadar.
4. Para cada instância do FireEye, crie uma origem de log FireEye no QRadar Console. As tabelas a
seguir explicam como configurar uma origem de log no Syslog e no TLS Syslog para FireEye.
Tabela 257. Configurando os protocolos de origem de log do Syslog para o FireEye
Parâmetro Descrição
Tipo de Fonte de Log FireEye
Configuração de protocolo Syslog
Identificador de Fonte de Log Digite o endereço IP ou o nome do host da origem de
log como um identificador para eventos por meio do seu
dispositivo.

Tabela 258. Configurando os protocolos de origem de log do TLS Syslog para FireEye
Parâmetro Descrição
Tipo de Fonte de Log FireEye
Configuração do Protocolo TLS Syslog

© Copyright IBM Corp. 2005, 2019 443

Tabela 258. Configurando os protocolos de origem de log do TLS Syslog para FireEye (continuação)
Parâmetro Descrição
Identificador de Fonte de Log Digite o endereço IP ou o nome do host da origem de
log como um identificador para eventos por meio do seu
dispositivo.
Porta de Atendimento do TLS A porta de atendimento TLS padrão é 6514.
Modo de autenticação O modo pelo qual sua conexão TLS é autenticada. Se
você selecionar a opção Autenticação de TLS e Cliente,
os parâmetros de certificado deverão ser configurados.
Tipo de certificado O tipo de certificado a ser utilizado na autenticação. Se
selecionar a opção Fornecer certificado, é preciso
configurar os caminhos de arquivo para o certificado do
servidor e para a chave privada.
Caminho fornecido do certificado do servidor O caminho absoluto para o certificado do servidor.
Caminho fornecido para a chave privada O caminho absoluto para a chave privada.
Nota: A chave privada correspondente deve ser uma
chave PKCS8 codificada em DER. A configuração falha
com qualquer outro formato de chave.
Número Máximo de Conexões O parâmetro Maximum Connections controla quantas
conexões simultâneas o protocolo Syslog TLS pode
aceitar para cada Coletor de eventos.

O limite de conexão em todas as configurações de

origem de log syslog TLS é 1.000 conexões para cada
Coletor de eventos. O padrão para cada conexão de
dispositivo é 50.
Nota: Origens de log descobertas automaticamente que
compartilham um listener com outra origem de log,
como se você usar a mesma porta no mesmo coletor de
eventos, será contado apenas uma vez em direção ao
limite.

Consulte o “Incluindo uma origem de log” na página 5 para obter parâmetros mais comuns que
ocorrem no Syslog e no “Opções de configuração de protocolo syslog TLS” na página 84 para obter
mais parâmetros específicos de protocolo TLS Syslog e suas configurações.
Tarefas relacionadas:
“Configurando seu sistema FireEye HX para comunicação com o QRadar” na página 445
Para permitir que o FireEye HX se comunique com o IBM QRadar, configure o dispositivo FireEye HX
para encaminhar eventos syslog.
“Configurando o sistema FireEye para comunicação com o QRadar”
Para permitir que o FireEye se comunique com o IBM QRadar, configure o dispositivo FireEye para
encaminhar eventos syslog.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o sistema FireEye para comunicação com o QRadar

Para permitir que o FireEye se comunique com o IBM QRadar, configure o dispositivo FireEye para
encaminhar eventos syslog.

444 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no dispositivo FireEye usando a CLI.
2. Para ativar o modo de configuração, digite os comandos a seguir:
ativar
configure terminal
3. Para ativar as notificações rsyslog, digite o comando a seguir:
fenotify rsyslog enable
4. Para incluir o QRadar como um consumidor de notificação de rsyslog, digite o comando a seguir:
fenotify rsyslog trap-sink QRadar
5. Para especificar o endereço IP para o sistema QRadar que você deseja receber notificações de trap-sink
de rsyslog, digite o comando a seguir:
fenotify rsyslog trap-sink QRadar address <QRadar_IP_address>
6. Para definir o formato de evento rsyslog, digite o comando a seguir:
fenotify rsyslog trap-sink QRadar prefer message format leef
7. Para salvar as mudanças na configuração para o dispositivo FireEye, digite o comando a seguir:
write memory
Tarefas relacionadas:
“Configurando seu sistema FireEye HX para comunicação com o QRadar”
Para permitir que o FireEye HX se comunique com o IBM QRadar, configure o dispositivo FireEye HX
para encaminhar eventos syslog.

Configurando seu sistema FireEye HX para comunicação com o

QRadar
Para permitir que o FireEye HX se comunique com o IBM QRadar, configure o dispositivo FireEye HX
para encaminhar eventos syslog.

Procedimento
1. Efetue login no dispositivo FireEye HX usando a CLI.
2. Para ativar o modo de configuração, digite os comandos a seguir:
ativar
configure terminal
3. Para incluir um destino de servidor remoto de syslog, digite os comandos a seguir:
logging <remote_IP_address> trap none
logging <remote_IP_address> trap override class cef priority info
4. Para salvar as mudanças na configuração para o dispositivo FireEye HX, digite o comando a seguir:
write mem

63 FireEye 445
446 Guia de configuração do QRadar DSM
64 Forcepoint
O IBM QRadar suporta uma variedade de Forcepoint DSMs.

O FORCEPOINT era conhecido anteriormente como Websense.

Conceitos relacionados:
163, “Websense”, na página 1131
O QRadar suporta uma faixa de DSMs Websense.

FORCEPOINT Stonesoft Management Center

O DSM IBM QRadar para o FORCEPOINT Stonesoft Management Center coleta eventos de um
dispositivo StoneGate usando o syslog.

A tabela a seguir descreve as especificações para o DSM Stonesoft Management Center:

Tabela 259. Especificações do DSM Stonesoft Management Center
Especificação Valor
Fabricante FORCEPOINT
Nome do DSM Stonesoft Management Center
Nome do arquivo RPM DSM-StonesoftManagementCenter-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 5.4 a 6.1
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Eventos do centro de gerenciamento, de IPS, de firewall
e de VPN
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do FORCEPOINT (https://www.forcepoint.com)

Para integrar o FORCEPOINT Stonesoft Management Center com o QRadar, conclua as seguintes etapas:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM Stonesoft Management Center
2. Configure seu dispositivo StoneGate para enviar eventos do syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Stonesoft
Management Center no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para coletar eventos do Stonesoft Management Center:
Tabela 260. Parâmetros de origem de log do Stonesoft Management Center
Parâmetro Valor
Tipo de origem de log Stonesoft Management Center
Configuração do Protocolo Syslog

© Copyright IBM Corp. 2005, 2019 447

Tabela 260. Parâmetros de origem de log do Stonesoft Management Center (continuação)
Parâmetro Valor
Log Source Identifier Digite um nome exclusivo para a origem de log.

4. Verifique se o QRadar está configurado corretamente.

A tabela a seguir mostra uma mensagem de evento normalizado de amostra do Stonesoft
Management Center:
Tabela 261. Mensagem de amostra do Stonesoft Management Center
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Generic_UDP-Rugged- DoS Diverso LEEF:1.0|FORCEPOINT
Director-Denial-Of-Service |IPS|5.8.5|Generic_UDP-Rugged-
Director-Denial-Of-Service|dev
TimeFormat=MMM dd yyyy HH:mm:
ss srcMAC=00:00:00:00:00:
00 sev=2 dstMAC=00:00:00:
00:00:00 devTime=Feb 23 2017
10:13:58 proto=17 dstPort=
00000 srcPort=00000 dst=
127.0.0.1 src=127.0.0.1
action=Permit logicalInter
face=NY2-1302-DMZ_IPS_ASA_Primary
sender="username" Sensor

Configurando o FORCEPOINT Stonesoft Management Center para

comunicar-se com o QRadar
Configure o Stonesoft Management Center para comunicar-se com o QRadar editando o arquivo
LogServerConfiguration.txt. Configurar o arquivo de texto permite que o Stonesoft Management Center
para encaminhar eventos no formato LEEF usando o syslog para QRadar.

Procedimento
1. Efetue login no dispositivo que hospeda o Stonesoft Management Center.
2. Pare o Servidor de log do Stonesoft Management Center.
3. No Windows, selecione um dos seguintes métodos para parar o Servidor de log.
v Pare o Servidor de log na lista de Serviços do Windows.
v Execute o arquivo de lote <installation path>/bin/sgStopLogSrv.bat.
No Linux - Para parar o Servidor de log no Linux, execute o script <installation
path>/bin/sgStopLogSrv.sh
4. Edite o arquivo LogServerConfiguration.txt. O arquivo de configuração está localizado no diretório a
seguir:
<installation path>/data/LogServerConfiguration.txt
5. Configure os parâmetros a seguir no arquivo LogServerConfiguration.txt:

448 Guia de configuração do QRadar DSM

Tabela 262. Opções de configuração do servidor de log
Parâmetro Valor Descrição
SYSLOG_EXPORT_FORMAT LEEF Digite LEEF como o formato de exportação a ser
usado para syslog.
SYSLOG_EXPORT_ALERT YES | NO Digite um dos valores a seguir:
v Sim - exporta entradas de alerta para o QRadar
usando o protocolo syslog.
v Não - As entradas de alerta não são exportadas.
SYSLOG_EXPORT_FW YES | NO Digite um dos valores a seguir:
v Sim - exporta entradas de firewall e VPN para o
QRadar usando o protocolo syslog.
v Não - as entradas de firewall e VPN não são
exportadas.
SYSLOG_EXPORT_IPS YES | NO Digite um dos valores a seguir:
v Sim - exporta logs de IPS para o QRadar usando o
protocolo syslog.
v Não - os logs de IPS não são exportados.
SYSLOG_PORT 514 Digite 514 como a porta UDP para encaminhar
eventos syslog para o QRadar.
SYSLOG_SERVER_ADDRESS QRadar Endereço Digite o endereço IPv4 do seu QRadar Console ou
IPv4 Event Collector.

6. Salve o arquivo LogServerConfiguration.txt.

7. Inicie o servidor de log.
v Windows - Digite <installation path>/bin/sgStartLogSrv.bat.
v Linux - Digite <installation path>/bin/sgStartLogSrv.sh.
Para obter instruções de configuração detalhadas, consulte o Guia do Administrador do StoneGate
Management Center.

O que Fazer Depois

Agora você está pronto para configurar uma regra de tráfego para syslog.

Nota: Uma regra de firewall é necessária somente se o QRadar Console ou Event Collector estiver
separado por um firewall do Stonesoft Management Server. Se nenhum firewall existir entre o Stonesoft
Management Server e o QRadar, será necessário configurar a origem de log no QRadar.

Configurando uma regra de tráfego do syslog para o FORCEPOINT

Stonesoft Management Center
Se o Stonesoft Management Center e o QRadar estão separados por um firewall na rede, deve-se
modificar o firewall ou a política de IPS para permitir o tráfego entre o Stonesoft Management Center e o
QRadar.

Procedimento
1. No Stonesoft Management Center, selecione um dos seguintes métodos a seguir para modificar uma
regra de tráfego.
v Políticas de firewall – Selecione Configuração > Configuração > Firewall.
v Políticas de IPS – Selecione Configuração > Configuração > IPS.
2. Selecione o tipo de política a ser modificada.
v Firewall – Selecione Políticas de firewall > Editar política de firewall.

64 Forcepoint 449
v IPS – Selecione Políticas de IPS > Editar política de IPS.
3. Inclua uma regra de acesso de IPv4 configurando os seguintes parâmetros para a política de firewall:

Parâmetro Valor
Origem Digite o endereço IPv4 do servidor de log do Stonesoft
Management Center.
DESTINATION: Digite o endereço IPv4 do seu QRadar Console ou Event
Collector.
Serviço Selecione Syslog (UDP).
Ação Selecione Permitir.
Criação de log Selecione Nenhum.

Nota: Na maioria dos casos, é possível configurar o valor de criação de log para None. As conexões
de syslog de criação de log sem configurar um filtro de syslog pode criar um loop. Para obter mais
informações, consulte o Guia do Administrador do StoneGate Management Center.
4. Salve suas mudanças e, em seguida, atualize a política no firewall ou no IPS.

O que Fazer Depois

Agora você está pronto para configurar a origem de log no QRadar.

Forcepoint Sidewinder
Forcepoint Sidewinder era conhecido anteriormente como McAfee Firewall Enterprise. O DSM do IBM
QRadar para o Forcepoint Sidewinder coleta logs de um dispositivo Forcepoint Sidewinder Firewall
Enterprise usando o protocolo Syslog.

Para integrar o Forcepoint Sidewinder com o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale o
RPM do DSM do Forcepoint Sidewinder em seu QRadar Console.
2. Configure o Forcepoint Sidewinder para se comunicar com o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Forcepoint
Sidewinder no Console do QRadar. A tabela a seguir descreve os parâmetros que requerem valores
específicos para a coleção de eventos do Forcepoint Sidewinder:
Tabela 263. Parâmetros de origem de log do Forcewinder Sidewinder
Parâmetro Valor
Tipo de origem de log Forcepoint Sidewinder
Configuração do Protocolo Syslog

Conceitos relacionados:
“Configurar o Forcepoint Sidewinder para se comunicar com o QRadar” na página 451
Antes de configurar o QRadar para integração com o Forcepoint Sidewinder, deve-se configurar syslog
em seu dispositivo Forcepoint Sidewinder Firewall Enterprise.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM

450 Guia de configuração do QRadar DSM

manualmente.

Especificações DSM do Forcepoint Sidewinder

A tabela a seguir descreve as especificações para o DSM do Forcepoint Sidewinder.
Tabela 264. Especificações DSM do Forcepoint Sidewinder
Especificação Valor
Fabricante Forcepoint
Nome do DSM Forcepoint Sidewinder
Nome do arquivo RPM DSM-ForcepointSidewinder-QRadar_version-
build_number.noarch.rpm
Versões Suportadas V6.1
Formato de evento Syslog
Tipos de eventos registrados Eventos de auditoria do Forcepoint Sidewinder
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Forcepoint (https: //www.forcepoint.com)

Configurar o Forcepoint Sidewinder para se comunicar com o QRadar

Antes de configurar o QRadar para integração com o Forcepoint Sidewinder, deve-se configurar syslog
em seu dispositivo Forcepoint Sidewinder Firewall Enterprise.

Ao configurar o dispositivo Forcepoint Sidewinder para encaminhar eventos syslog para o QRadar,
exporte os logs no Sidewinder Export Format (SEF).

Para obter mais informações sobre como configurar o dispositivo Forcepoint Sidewinder, consulte o Guia
de Administração do Forcepoint Sidewinder (https://www.websense.com/content/support/library/si/
v70/mgmt/si_70103_ag_a_en-us.pdf).
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra quando o protocolo Syslog é usado para
o DSM do Sidewinder Forcepoint Sidewinder:

64 Forcepoint 451
Tabela 265. Mensagem de amostra do Forcepoint Sidewinder suportada por Forcepoint Sidewinder.
Categoria
de baixo
Nome do Evento nível Mensagem de log de amostra
nettraftraf@status_conn_close Sessão de < 131 > May 16 11:41:11 auditd: date=
Firewall "May 16 15:41:11 2006 GMT",fac=f_ftpproxy,
Encerrada area=a_server, type = t_nettraffic, pri = p_major,
pid=2718 ,ruid=0,euid=0,pgid=2718 ,logid= 0 ,cmd
= pftp,domain=PFTx, edomain=PFTx, srcip=192.168
.0.1, srcport=4597 ,srcburb=internal, dstip=192
.168.0.2, dstport=21 ,dstburb = external, protocol
= 6, bytes_written_to_client= 0 ,bytes_written_
to_server=0,service_name=pftp,reason="closi
ng connection ", status = conn_close, acl_id=
default-outgoingrule, cache_hit= 0 ,remote_
logname=anonymous, request_command=QUIT, req
uest_status=1,start_time="Tue May 16 11:41
: 06 2006 ", netsessid=4469f2920002870e

Forcepoint TRITON
O Forcepoint V-Series Content Gateway DSM for IBM QRadar suporta eventos para conteúdo da web de
várias soluções do Forcepoint TRITON, incluindo os dispositivos Web Security, Web Security Gateway,
Web Security Gateway Anywhere e V-Series.

Sobre Esta Tarefa

O Forcepoint TRITON coleta e distribui informações de evento para o QRadar usando o componente
Forcepoint Multiplexer. Antes de configurar o QRadar, deve-se configurar a solução Forcepoint TRITON
para fornecer eventos syslog no formato LEEF.

Antes de ser possível configurar as soluções Forcepoint TRITON Web Security para encaminhar eventos
para o QRadar, deve-se assegurar que sua implementação contém um Forcepoint Multiplexer.

O Forcepoint Multiplexer é suportado no Windows, Linux e nos dispositivos Forcepoint V-Series.

Para configurar um Forcepoint Multiplexer em um dispositivo Forcepoint Triton ou V-Series:

Procedimento
1. Instale uma instância do Forcepoint Multiplexer para cada componente Forcepoint Policy Server em
sua rede.
v Para o Microsoft Windows - Para instalar o Forcepoint Multiplexer no Windows, use o TRITON
Unified Installer. O Triton Unified Installer está disponível para download em http://
www.myforcepoint.com.
v Para Linux - Para instalar o Forcepoint Multiplexer no Linux, use o Web Security Linux Installer. O
Web Security Linux Installer está disponível para download em http://www.myforcepoint.com.
Para obter informações sobre a inclusão de um Forcepoint Multiplexer nas instalações de software,
consulte sua documentação do Forcepoint Security Information Event Management (SIEM) Solutions.
2. Ative o Forcepoint Multiplexer em um dispositivo V-Series que esteja configurado como uma origem
política completa ou diretório do usuário e dispositivo de filtragem:
a. Efetue login em seu Forcepoint TRITON Web Security Console ou dispositivo V-Series.
3. No Gerenciador de dispositivo, selecione Administração > Caixa de ferramentas > Utilitário de linha
de comandos.

452 Guia de configuração do QRadar DSM

4. Clique na guia Forcepoint Web Security.
5. Na lista Comando, selecione multiplexer e, em seguida, use o comando enable.
6. Repita “Forcepoint TRITON” na página 452 e “Forcepoint TRITON” na página 452 para ativar uma
instância do Multiplexador para cada instância do Policy Server em sua rede.
Se mais de um Multiplexer estiver instalado para um Policy Server, somente a última instância
instalada do Forcepoint Multiplexer será usada. A configuração para cada instância do Forcepoint
Multiplexer é armazenada por seu Policy Server.

O que Fazer Depois

Agora é possível configurar seu dispositivo Forcepoint TRITON para encaminhar eventos syslog no
formato LEEF para o QRadar.

Configurando o syslog para o Forcepoint TRITON

Para coletar eventos, deve-se configurar o encaminhamento do syslog para o Forcepoint TRITON.

Procedimento
1. Efetue login em seu Forcepoint TRITON Web Security Console.
2. Na guia Configurações, selecione Geral > Integração SIEM.
3. Marque a caixa de seleção Ativar integração SIEM para este Policy Server.
4. No campo Endereço IP ou nome do host, digite o endereço IP do QRadar.
5. No campo Porta, digite 514.
6. Na lista Protocolo de transporte, selecione a opção de protocolo TCP ou UDP.
O QRadar suporta eventos syslog para protocolos TCP e UDP na porta 514.
7. Na lista Formato SIEM, selecione syslog/LEEF (QRadar)
8. Clique em OK para armazenar em cache quaisquer mudanças.
9. Clique em Implementar para atualizar seus componentes de segurança do Forcepoint TRITON ou
dispositivos V-Series.
O Forcepoint Multiplexer conecta-se ao Serviço de filtragem do Forcepoint e assegura que as
informações do log de eventos sejam fornecidas para o QRadar.

Configurando uma origem de log para o Forcepoint TRITON

O IBM QRadar automaticamente descobre e cria uma origem de log para eventos syslog no formato
LEEF dos dispositivos Forcepoint TRITON e V-Series.

Sobre Esta Tarefa

As etapas de configuração para criar uma origem de log são opcionais.

64 Forcepoint 453
Nota: O Forcepoint TRITON usa o Forcepoint V Series Content Gateway DSM para eventos de
análise sintática. Ao incluir manualmente uma origem de log para o QRadar for Forcepoint TRITON,
é necessário selecionar Forcepoint V Série.
9. Na lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:
Tabela 266. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um identificador
log para eventos do dispositivo Forcepoint TRITON ou V-Series.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar.

Forcepoint V-Series Data Security Suite

O Forcepoint V-Series Data Security Suite DSM for IBM QRadar suporta dispositivos Forcepoint V-Series
e o software Data Security Suite (DSS).

Configurando syslog para o Forcepoint V-Series Data Security Suite

O Forcepoint V-Series Data Security Suite DSM aceita eventos usando syslog. Antes de ser possível
integrar o IBM QRadar, deve-se ativar o dispositivo Forcepoint V-Series para encaminhar eventos syslog
no Console de Gerenciamento do Data Security Suite (DSS).

Procedimento
1. Selecione Políticas > Componentes de política > Modelos de notificação.
2. Selecione um Modelo de notificação existente ou crie um novo modelo.
3. Clique na guia Geral.
4. Clique em Enviar mensagem de syslog.
5. Selecione Opções > Configurações > Syslog para acessar a janela Syslog.
A janela syslog permite que os administradores definam o endereço IP/nome do host e o número da
porta do syslog em sua organização. O syslog definido recebe mensagens de incidentes do Forcepoint
Data Security Suite DSS Manager.
6. O syslog é composto dos campos a seguir:
DSS Incident|ID={value}|action={display value - max}|
urgency= {coded}|
policy categories={values,,,}|source={value-display name}|
destinations={values...}|channel={display name}|
matches= {value}|detaills={value}
v O comprimento máximo para as categorias de política é 200 caracteres.
v O comprimento máximo para destinos é 200 caracteres.
v Os detalhes e a origem são reduzidos a 30 caracteres.
7. Clique em Testar conexão para verificar se o syslog está acessível.

O que Fazer Depois

Agora é possível configurar a origem de log no QRadar. A configuração está concluída. A origem de log é
incluída no QRadar conforme os eventos do OSSEC são descobertos automaticamente. Os eventos que
são encaminhados para o QRadar pelo OSSEC são exibidos na guia Atividade de log do QRadar.

454 Guia de configuração do QRadar DSM

Configurando uma origem de log para o Forcepoint V-Series Data
Security Suite
O IBM QRadar automaticamente descobre e cria uma origem de log para eventos syslog do Forcepoint
V-Series Data Security Suite.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Forcepoint V-Series Content Gateway

O Forcepoint V-Series Content Gateway DSM for IBM QRadar suporta eventos para conteúdo da web em
dispositivos Forcepoint V-Series com o software Content Gateway.

O Forcepoint V-Series Content Gateway DSM aceita eventos usando syslog para distribuir eventos ou
usando o protocolo de arquivo de log para fornecer eventos para o QRadar. Para poder integrar o
dispositivo com o QRadar, deve-se selecionar um dos métodos de configuração a seguir:
v Para configurar o syslog para seu Forcepoint V-Series, consulte Configure o Syslog para o Forcepoint
V-Series Data Security Suite.
v Para configurar o protocolo de arquivo de log para seu Forcepoint V-Series, consulte Protocolo de
arquivo de log para o Forcepoint V-Series Content Gateway.

Configure o syslog para o Forcepoint V-Series Content Gateway

O Forcepoint V-Series DSM suporta dispositivos Forcepoint V-Series que executam o Forcepoint Content
Gateway em instalações de software Linux.

Antes de configurar o IBM QRadar, deve-se configurar o Forcepoint Content Gateway para fornecer os
eventos syslog no formata LEEF.

64 Forcepoint 455
Configurando o Console de Gerenciamento para o Forcepoint V-Series
Content Gateway
É possível configurar a criação de log de eventos no Content Gateway Manager.

Procedimento
1. Efetue login no Gerenciador do Forcepoint Content Gateway.
2. Clique na guia Configurar.
3. Selecione Subsistemas > Criação de log.
A janela Configuração de criação de log geral é exibida.
4. Selecione Registrar transações e erros.
5. Selecione Diretório de log para especificar o caminho do diretório dos arquivos de log de eventos
armazenado.
O diretório que você define deve existir e o usuário do Forcepoint deve ter permissões de leitura e
gravação para o diretório especificado.
O diretório padrão é /opt/WGC/logs.
6. Clique em Aplicar.
7. Clique na guia Customizado.
8. Na janela Definições de arquivo de log customizado, digite o texto a seguir para o formato LEEF.
<LogFormat>
<Name = "leef"/>
<Format = "LEEF:1.0|Forcepoint|WCG|7.6|
%<wsds>|cat=%<wc>
src=%<chi> devTime=%<cqtn>
devTimeFormat=dd/MMM/yyyy:HH:mm:ss Z
http-username=%<caun> url=%<cquc>
method=%<cqhm> httpversion=%<cqhv>
cachecode=%<crc>dstBytes=%<sscl> dst=%<pqsi>
srcBytes=%<pscl> proxy-status-code=%<pssc>
server-status-code=%<sssc> usrName=%<wui>
duration=%<ttms>"/>
</LogFormat>
<LogObject>
<Format = "leef"/>
<Filename = "leef"/>
</LogObject>

Nota: Os campos na sequência de formatação LEEF são separados por tabulação. Pode ser necessário
digitar o formato LEEF em um editor de texto e, em seguida, recortá-lo e colá-lo no seu navegador
da web para manter as separações por tabulação. O arquivo de definições ignora espaço em branco,
linhas em branco e todos os comentários adicionais.
9. Selecione Ativado para ativar a definição de criação de log customizada.
10. Clique em Aplicar.

O que Fazer Depois

Agora é possível ativar a criação de log de eventos para o Forcepoint Content Gateway.

Ativando a criação de log de eventos para o Forcepoint V-Series

Content Gateway
Se você estiver usando um dispositivo Forcepoint V-Series, entre em contato com o suporte técnico do
Forcepoint para ativar esse recurso.

456 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do servidor que está executando o Forcepoint
Content Gateway.
2. Inclua as linhas a seguir no final do arquivo /etc/rc.local:
( while [ 1 ] ; do tail -n1000 -F /opt/WCG/logs/leef.log |
nc <IP Address> 514 sleep 1 done ) &
Em que <IP Address> é o endereço IP para o IBM QRadar.
3. Para iniciar a criação de log imediatamente, digite o comando a seguir:
nohup /bin/bash -c "while [ 1 ] ; do
tail -F /opt/WCG/logs/leef.log | nc <IP Address> 514;
sleep 1; done" &

Nota: Pode ser necessário digitar o comando de criação de log no “Ativando a criação de log de
eventos para o Forcepoint V-Series Content Gateway” na página 456 ou copiar o comando para um
editor de texto para interpretar as aspas.
A configuração está concluída. A origem de log é incluída no QRadar à medida que os eventos syslog
do Forcepoint V-Series Content Gateway são descobertos automaticamente. Os eventos encaminhados
pelo Forcepoint V-Series Content Gateway são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log para o Forcepoint V-Series Content

Gateway
O QRadar automaticamente descobre e cria uma origem de log para eventos syslog do Forcepoint
V-Series Content Gateway.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

64 Forcepoint 457
Protocolo de arquivo de log para o Forcepoint V-Series Content
Gateway
O protocolo de arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados a partir
de um host remoto.

O Forcepoint V-Series DSM suporta o carregamento em massa de arquivos de log de seu Forcepoint
V-Series Content Gateway usando o protocolo de arquivo de log para fornecer eventos em um intervalo
planejado. Os arquivos de log contêm eventos de transação e erro para seu Forcepoint V-Series Content
Gateway:

Configurando o Content Management Console para o Forcepoint V-Series Content

Gateway
Configure a criação de log de eventos no Content Management Console.

Procedimento
1. Efetue login na interface do seu Forcepoint Content Gateway.
2. Clique na guia Configurar.
3. Selecione Subsistemas > Criação de log.
4. Selecione Registrar transações e erros.
5. Selecione Diretório de log para especificar o caminho do diretório dos arquivos de log de eventos
armazenado.
O diretório que você define já deve existir e o usuário Forcepoint deve ter permissões de leitura e
gravação para o diretório especificado.
O diretório padrão é /opt/WGC/logs.
6. Clique em Aplicar.
7. Clique na guia Formatos.
8. Selecione Formato estendido do Netscape como seu tipo de formato.
9. Clique em Aplicar.

O que Fazer Depois

Agora é possível ativar a criação de log de eventos para o Forcepoint V-Series Content Gateway.

Configurando uma origem de log do protocolo de arquivo de log para o

Forcepoint V-Series Content Gateway
Ao configurar seu Forcepoint V-Series DSM para usar o protocolo de arquivo de log, certifique-se de que
o nome do host ou endereço IP que está configurado no Forcepoint V-Series esteja configurado igual ao
parâmetro Remote Host na configuração de protocolo de arquivo de log.

458 Guia de configuração do QRadar DSM

11. No campo Padrão do arquivo FTP, digite extended.log_.*.old.
12. No campo Diretório remoto, digite /opt/WCG/logs.
Este é o diretório padrão para armazenar os arquivos de logs do Forcepoint V-Series especificado no
“Configurando o Content Management Console para o Forcepoint V-Series Content Gateway” na
página 458.
13. Na lista Gerador de evento, selecione LINEBYLINE.
14. Clique em Salvar.
15. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. .

64 Forcepoint 459
460 Guia de configuração do QRadar DSM
65 ForeScout CounterACT
O DSM ForeScout CounterACT para o IBM QRadar aceita eventos Log Extended Event Format (LEEF) do
CounterACT usando syslog.

O QRadar registra os eventos ForeScout CounterACT a seguir:

v Negação de Serviço (DoS)
v Autenticação
v Explorar
v Suspeito
v Sistema

Configurando uma origem de log

Para integrar o ForeScout CounterACT com o IBM QRadar, deve-se criar manualmente uma origem de
log para receber eventos syslog baseados em política.

Sobre Esta Tarefa

O QRadar não descobre ou cria automaticamente origens de log para eventos syslog dos dispositivos
ForeScout CounterACT.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar.

Configurando o Plug-in CounterACT ForeScout

Antes de configurar o IBM QRadar, deve-se instalar um plug-in para o dispositivo ForeScout
CounterACT e configurar o ForeScout CounterACT para encaminhar eventos syslog para o QRadar.

© Copyright IBM Corp. 2005, 2019 461

Sobre Esta Tarefa

Para integrar o QRadar com o ForeScout CounterACT, deve-se fazer download, instalar e configurar um
plug-in para o CounterACT. O plug-in estende o ForeScout CounterACT e fornece a estrutura para
encaminhar eventos LEEF para o QRadar.

Procedimento
1. No website do ForeScout, faça download do plug-in para ForeScout CounterACT.
2. Efetue login no seu dispositivo ForeScout CounterACT.
3. Na barra de ferramentas do CounterACT Console, selecione Opções > Plug-ins > Instalar. Selecione o
local do arquivo de plug-in.
O plug-in é instalado e exibido na área de janela Plug-ins.
4. Na área de janela Plug-ins, selecione o plug-in do QRadar e clique em Configurar.
O assistente para Incluir QRadar é exibido.
5. No campo Endereço do servidor, digite o endereço IP do QRadar.
6. Na lista Porta, selecione 514.
7. Clique em Avançar.
8. Na área de janela Dispositivos CounterACT designados, escolha uma das opções a seguir:
v Servidor padrão - Selecione essa opção para fazer com que todos os dispositivos nesse ForeScout
CounterACT encaminhem eventos para o QRadar.
v Designar dispositivos CounterACT - Selecione essa opção para designar quais dispositivos
individuais no ForeScout CounterACT encaminham eventos para o QRadar. A opção Designar
dispositivos CounterACT estará disponível somente se você tiver um ou mais servidores ForeScout
CounterACT.
9. Clique em Concluir.
A configuração de plug-in está concluída. Agora você está pronto para definir os eventos que são
encaminhados para o QRadar pelas políticas do ForeScout CounterACT.

Configurando Políticas do ForeScout CounterACT

As políticas do ForeScout CounterACT testam as condições para acionar ações de gerenciamento e
correção no dispositivo.

Sobre Esta Tarefa

O plug-in fornece uma ação adicional de políticas para encaminhar o evento para o IBM QRadar usando
syslog. Para encaminhar eventos para o QRadar, deve-se definir uma política do CounterACT que inclui
a ação de atualização do QRadar.

A condição da política deve ser atendida pelo menos uma vez para iniciar um envio de evento ao
QRadar. Deve-se configurar cada política para enviar atualizações ao QRadar para eventos que você
deseja registrar.

Procedimento
1. Selecione uma política para ForeScout CounterACT.
2. Na Árvore de ações, selecione Auditoria > Enviar atualizações para o QRadar Server.
3. Na guia Conteúdo, configure o valor a seguir:
Marque a caixa de seleção Enviar resultados da propriedade do host.
4. Escolha um dos tipos de eventos para encaminhamento da política:
v Enviar todos - Selecione esta opção para incluir todas as propriedades que são descobertas para a
política no QRadar.

462 Guia de configuração do QRadar DSM

v Enviar específico - Selecione essa opção para selecionar e enviar somente propriedades específicas
da política para o QRadar.
5. Marque a caixa de seleção Enviar status de política.
6. Na guia Acionador, selecione o intervalo que o ForeScout CounterACT usa para encaminhar o evento
para o QRadar:
v Enviar quando a ação for iniciada - Marque essa caixa de seleção para enviar um único evento
para o QRadar quando as condições da política forem atendidas.
v Enviar quando as informações forem atualizadas - Marque essa caixa de seleção para enviar um
relatório quando houver uma mudança nas propriedades do host que são especificadas na guia
Conteúdo.
v Enviar periodicamente a cada - Marque essa caixa de seleção para enviar um evento recorrente
para o QRadar em um intervalo se as condições de política forem atendidas.
7. Clique em OK para salvar as mudanças de política.
8. Repita esse processo para configurar quaisquer políticas adicionais com uma ação para enviar
atualizações ao QRadar.
A configuração está concluída. Os eventos que são encaminhados pelo ForeScout CounterACT são
exibidos na guia Atividade de log do QRadar.

65 ForeScout CounterACT 463

464 Guia de configuração do QRadar DSM
66 Fortinet FortiGate Security Gateway
O DSM IBM QRadar SIEM para o Fortinet FortiGate Security Gateway coleta eventos dos produtos
Fortinet FortiGate Security Gateway e Fortinet FortiAnalyzer.

A tabela a seguir identifica as especificações para o DSM Fortinet FortiGate Security Gateway:
Tabela 270. Especificações de DSM Fortinet FortiGate Security Gateway
Especificação Valor
Fabricante Fortinet
Nome do DSM Fortinet FortiGate Security Gateway
Nome do arquivo RPM DSM-FortinetFortiGate-QRadar_version-build_number.noarch.rpm
Versões Suportadas FortiOS V5.6 e anterior
Protocolo Syslog

Syslog Redirect
Tipos de eventos registrados Todos os eventos
Descoberta automática? Sim
Inclui identidade? Sim
Inclui propriedades Sim
customizadas?
Informações adicionais Website do Fortinet (http://www.fortinet.com)

Para integrar o DSM Fortinet FortiGate Security Gateway com o QRadar, conclua as seguintes etapas:
1. Se as atualizações automáticas não estiverem ativadas, faça download da versão mais recente do RPM
do Fortinet FortiGate Security Gateway no seu QRadar Console:
2. Faça download e instale o RPM do protocolo Syslog Redirect para coletar eventos por meio do
Fortinet FortiAnalyzer. Ao usar o protocolo Syslog Redirect, o QRadar pode identificar o firewall do
Fortinet FortiGate Security Gateway específico que enviou o evento.
3. Para cada instância do Fortinet FortiGate Security Gateway, configure o sistema Fortinet FortiGate
Security Gateway para enviar eventos Syslog para o QRadar.
4. Se o QRadar não detectar automaticamente a origem de log do Fortinet FortiGate Security Gateway,
você poderá incluir a origem de log manualmente. Para obter o tipo de configuração de protocolo,
selecione Syslog e, em seguida, configure os parâmetros.
5. Se você deseja que o QRadar receba eventos do Fortinet FortiAnalyzer, inclua manualmente a origem
de log. Para obter o tipo de configuração de protocolo, selecione Redirecionamento de Syslog e, em
seguida, configure os parâmetros.
A tabela a seguir lista os valores de parâmetros específicos que são obrigatórios para a coleção de
eventos do Fortinet FortiAnalyzer:

Parâmetro Valor
Regex do identificador de origem de log devname= "? ([\w-] +)
Porta de escuta 517
Protocolo UDP

Tarefas relacionadas:

© Copyright IBM Corp. 2005, 2019 465

“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando um destino de syslog em seu dispositivo Fortinet FortiGate Security Gateway”
Para encaminhar eventos do Fortinet FortiGate Security Gateway para o IBM QRadar, deve-se configurar
um destino do syslog.
“Configurando um destino de syslog em seu dispositivo Fortinet FortiAnalyzer”
Para encaminhar eventos do Fortinet FortiAnalyzer para o IBM QRadar, deve-se configurar um destino
do syslog.

Configurando um destino de syslog em seu dispositivo Fortinet

FortiGate Security Gateway
Para encaminhar eventos do Fortinet FortiGate Security Gateway para o IBM QRadar, deve-se configurar
um destino do syslog.

Procedimento
1. Efetue login na linha de comandos do seu dispositivo Fortinet FortiGate Security Gateway.
2. Digite os comandos a seguir, em ordem, substituindo as variáveis por valores que se ajustam ao seu
ambiente.
config log syslogd setting
set status enable
set facility <facility_name>
set csv {disable | enable}
set port <port_integer>
set reliable enable
set server <IP_address>
end
exemplo: set facility syslog

Nota: Se você configurar o valor de reliable como enable, ele enviará como TCP; se você configurar
o valor de reliable como disable, ele enviará como UDP.

O que Fazer Depois

Sua implementação pode ter várias instâncias do Fortinet FortiGate Security Gateway que são
configuradas para enviar logs de eventos para o FortiAnalyzer. Se você deseja enviar eventos
FortiAnalyzer para o QRadar, consulte Configurando um destino de syslog no seu dispositivo Fortinet
FortiAnalyzer.

Configurando um destino de syslog em seu dispositivo Fortinet

FortiAnalyzer
Para encaminhar eventos do Fortinet FortiAnalyzer para o IBM QRadar, deve-se configurar um destino
do syslog.

Procedimento
1. Efetue login em seu dispositivo FortiAnalyzer.
2. No menu em árvore Avançado, selecione Servidor Syslog.
3. Na barra de ferramentas, clique em Criar novo.

466 Guia de configuração do QRadar DSM

4. Configure os parâmetros do Servidor Syslog:

Parâmetro Descrição
Port A porta padrão é 514.

5. Clique em OK.

66 Fortinet FortiGate Security Gateway 467

468 Guia de configuração do QRadar DSM
67 Foundry FastIron
É possível integrar um dispositivo Foundry FastIron com o IBM QRadar para coletar todos os eventos
relevantes usando syslog.

Para fazer isso, deve-se configurar o syslog e a origem de log.

Configurando syslog para Foundry FastIron

Para integrar o IBM QRadar com um dispositivo Foundry FastIron RX, deve-se configurar o dispositivo
para encaminhar os eventos syslog.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do dispositivo Foundry FastIron.
2. Digite o comando a seguir para ativar a criação de log:
logging on
O syslog local agora está ativado com os padrões a seguir:
v As mensagens de todos os níveis de syslog (Emergenciais – Depuração) são registradas.
v Até 50 mensagens são retidas no buffer de syslog local.
v Nenhum servidor syslog é especificado.
3. Digite o comando a seguir para definir um endereço IP para o servidor syslog:
logging host <IP Address>
Em que <IP Address> é o endereço IP do QRadar.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Foundry FastIron.
As etapas de configuração a seguir são opcionais.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Foundry FastIron.
9. Usando a lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:

Parâmetros do protocolo Syslog

Parâmetro Descrição
Identificador de Fonte de Log Digite o endereço IP ou o nome do host para a origem de log como um
identificador de eventos do dispositivo Foundry FastIron.

© Copyright IBM Corp. 2005, 2019 469

11. Clique em Salvar.
12. Na guia Admin, clique em Implementar mudanças.
A configuração está concluída.

470 Guia de configuração do QRadar DSM

68 FreeRADIUS
O DSM do IBM QRadar para o FreeRADIUS coleta eventos do dispositivo FreeRADIUS.

A tabela a seguir lista as especificações para o DSM FreeRADIUS:

Tabela 271. Especificações do DSM FreeRADIUS
Especificação Valor
Fabricante FreeRADIUS
Nome do DSM FreeRADIUS
Nome do arquivo RPM DSM-FreeRADIUS-Qradar_version-
build_number.noarch.rpm
Versões suportadas V2.x
Formato de evento Syslog
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? Sim
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do FreeRADIUS (http://freeradius.org)

Para enviar logs do FreeRADIUS para o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do RPM do DSM FreeRADIUS no QRadar Console.
2. Configure o dispositivo FreeRADIUS para enviar eventos syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log FreeRADIUS
no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores específicos para a
coleção de eventos FreeRADIUS:
Tabela 272. Parâmetros de origem de log FreeRADIUS
Parâmetro Valor
Tipo de origem de log FreeRADIUS
Configuração de protocolo Syslog

Configurando o dispositivo FreeRADIUS para se comunicar com o

QRadar
Configure o FreeRADIUS para enviar logs para o daemon syslog do host e configure o daemon para
enviar eventos para o QRadar.

Antes de Iniciar

Deve-se ter um conhecimento de trabalho de configuração de syslog e distribuição Linux.

© Copyright IBM Corp. 2005, 2019 471

Sobre Esta Tarefa

O FreeRADIUS tem várias distribuições. Alguns arquivos podem não estar nos mesmos locais que são
descritos neste procedimento. Por exemplo, o local do script de inicialização FreeRADIUS é baseado na
distribuição. Conceitualmente, as etapas de configuração são as mesmas para todas as distribuições.

Procedimento
1. Efetue login no sistema que hospeda o FreeRADIUS.
2. Edite o arquivo /etc/freeradius/radius.conf.
3. Altere o texto no arquivo para que corresponda às linhas a seguir:
logdir = syslog
Log_destination = syslog
log{
destination = syslog
syslog_facility = daemon
stripped_names = no
auth = yes
auth_badpass = no
auth_goodpass = no
}
4. Edite o arquivo /etc/syslog.conf.
5. Para configurar opções de log, inclua o texto a seguir.
# .=notice logs authentication messages (L_AUTH).
# <facility_name>.=notice @<IP_address_of_QRadar_Event_Collector_or_QRadar_Console>
# .=err logs module errors for FreeRADIUS.
#<facility_name>.=err @<IP_address_of_QRadar_Event_Collector_or_QRadar_Console>
# .* logs messages to the same target.
# <facility_name>.* @<IP_address_of_QRadar_Event_Collector_or_QRadar_Console>
Um nome de recurso syslog de exemplo seria local1. É possível renomeá-lo.
Para configurar uma opção de log, remova a tag de comentário (#) de uma das linhas ativas que
contenha um símbolo @.
6. Se a mudança na configuração não for carregada automaticamente, reinicie o daemon syslog. O
método para reiniciar o daemon syslog depende da distribuição que é usada. A tabela a seguir lista os
métodos possíveis.

Distribuição do sistema operacional Comando para reiniciar o daemon

Red Hat Enterprise Linux service syslog restart
Debian Linux ou Ubuntu Linux /etc/init.d/syslog restart
Sistema operacional FreeBSD /etc/rc.d/syslogd restart

7. Inclua as opções a seguir no script de inicialização do FreeRADIUS:

v -l syslog
v -g <facility_name>
O valor -g deve corresponder ao nome do recurso na Etapa 5.
8. Reinicie o FreeRADIUS.

472 Guia de configuração do QRadar DSM

69 Genérico
O IBM QRadar suporta uma faixa de DSMs genéricos.

Servidor de autorizações genérico

O DSM do servidor de autorizações genérico para o IBM QRadar registra todos os eventos de autorização
genéricos relevantes usando syslog.

É necessário configurar o QRadar para interpretar os eventos de autorização genéricos recebidos e criar
manualmente uma origem de log.

Configurando propriedades de eventos

Para configurar o IBM QRadar para interpretar os eventos de autorização genéricos recebidos:

Procedimento
1. Encaminhe todos os logs do servidor de autenticação para o sistema QRadar.
Para obter informações sobre o encaminhamento de logs do servidor de autenticação para o QRadar;
consulte a documentação do fornecedor do servidor de autorização genérico.
2. Abra o arquivo a seguir:
/opt/QRadar/conf/genericAuthServer.conf
Certifique-se de copiar esse arquivo para sistemas que hospedam o Event Collector e o QRadar
Console.
3. Reinicie o servidor Tomcat:
service tomcat restart
Uma mensagem é exibida indicando que o servidor Tomcat foi reiniciado.
4. Ative ou desative expressões comuns em seus padrões configurando a propriedade regex_enabled.
Por padrão, expressões regulares são desativadas. Por exemplo:
regex_enabled=false
Ao configurar a propriedade regex_enabled para false, o sistema gera expressões regulares (regex)
com base nas tags que você insere quando tenta recuperar os valores de dados correspondentes dos
logs.
Ao configurar a propriedade regex_enabled para true, é possível definir regex customizado para
controlar padrões. Essas configurações de regex são aplicadas diretamente aos logs e o primeiro
grupo capturado é retornado. Ao definir padrões de regex customizados, deve-se aderir às regras de
regex, conforme definido pela linguagem de programação Java. Para obter mais informações,
consulte o seguinte website: http://download.oracle.com/javase/tutorial/essential/regex/
Para integrar o servidor de autorizações genérico com o QRadar, certifique-se de especificar as
classes diretamente, em vez de usar as classes predefinidas. Por exemplo, a classe de dígito (/\d/)
torna-se /[0-9]/. Além disso, em vez de usar qualificadores numéricos, reescreva a expressão para
usar os qualificadores primitivos (/?/,/*/ e /+/).
5. Revise o arquivo para determinar um padrão para login com êxito:
Por exemplo, se o servidor de autenticação gera a mensagem de log a seguir para pacotes aceitos:
Jun 27 12:11:21 expo sshd[19926]: Accepted password for root from <IP_address> port 1727
ssh2
O padrão para login bem-sucedido é:
Accepted password.

© Copyright IBM Corp. 2005, 2019 473

6. Inclua a entrada a seguir no arquivo:
login_success_pattern=<login success pattern>
Em que: <login success pattern> é o padrão determinado em “Configurando propriedades de eventos”
na página 473.
Por exemplo:
login_success_pattern=Accepted password
As entradas são todas sem distinção entre maiúsculas e minúsculas.
7. Revise o arquivo para determinar um padrão para falhas de login.
Por exemplo, se o servidor de autenticação gera a mensagem de log a seguir para falhas de login:
Jun 27 12:58:33 expo sshd[20627]: Failed password for root from <IP_address> port 1849 ssh2
O padrão para falhas de login é Failed password.
8. Inclua o seguinte no arquivo:
login_failed_pattern=<login failure pattern>
Em que: <login failure pattern> é o padrão que é determinado para falha de login.
Por exemplo:
login_failed_pattern=Failed password
As entradas são todas sem distinção entre maiúsculas e minúsculas.
9. Revise o arquivo para determinar um padrão para logout:
Por exemplo, se o servidor de autenticação gera a mensagem de log a seguir para logout:
Jun 27 13:00:01 expo su(<Username>)[22723]: session closed for user genuser
O padrão para lookout é session closed.
10. Inclua o seguinte arquivo genericAuthServer.conf:
logout_pattern=<logout pattern>
Em que: <logout pattern> é o padrão determinado para logout em “Configurando propriedades de
eventos” na página 473.
Por exemplo:
logout_pattern=session
As entradas são todas sem distinção entre maiúsculas e minúsculas.
11. Revise o arquivo para determinar um padrão, se presente, para endereço IP de origem e porta de
origem.
Por exemplo, se o servidor de autenticação gera a mensagem de log a seguir:
Jun 27 12:11:21 expo sshd[19926]: Accepted password for root from <IP_address> port 1727
ssh2
O padrão para endereço IP de origem é from e o padrão para a porta de origem é port.
12. Adicione uma entrada no arquivo para endereço IP de origem e porta de origem:
source_ip_pattern=<source IP pattern>
source_port_pattern=<source port pattern>
Em que: <source IP pattern> e <source port pattern> são os padrões identificados em “Configurando
propriedades de eventos” na página 473 para endereço IP de origem e porta de origem.
Por exemplo:
source_ip_pattern=from
source_port_pattern=port
13. Revise o arquivo para determinar se um padrão existe para o nome do usuário.
Por exemplo:
Jun 27 12:11:21 expo sshd[19926]: Accepted password for root from <IP_address> port 1727
ssh2

474 Guia de configuração do QRadar DSM

O padrão para o nome do usuário é for.
14. Inclua uma entrada no arquivo para o padrão de nome do usuário:
Por exemplo:
user_name_pattern=for
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

Para integrar o evento do dispositivo de autorização genérica com o IBM QRadar, deve-se criar
manualmente uma origem de log para receber os eventos, visto que o QRadar não descobre ou cria
automaticamente origens de log para eventos de dispositivos de autorização genérica.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhados para o QRadar por
dispositivos de autorização genérica são exibidos na guia Atividade de log.

Firewall genérico
O DSM do servidor de firewall genérico para o IBM QRadar aceita eventos usando syslog. O QRadar
grava todos os eventos relevantes.

Configure o QRadar para interpretar os eventos de firewall genéricos recebidos e criar manualmente uma
origem de log.

Configurando propriedades de eventos

Configuração do IBM QRadar para interpretar os eventos de firewall genérico recebidos.

Sobre Esta Tarefa

Use o procedimento a seguir para configurar propriedades de evento:

Procedimento
1. Encaminhe todos os logs de firewall para o QRadar.

69 Genérico 475
Para obter informações sobre o encaminhamento de logs de firewall do firewall genérico para o
QRadar, consulte a documentação do fornecedor de firewall.
2. Abra o arquivo a seguir:
/opt/QRadar/conf/genericFirewall.conf
Certifique-se de copiar esse arquivo para sistemas que hospedam o Event Collector e o QRadar
Console.
3. Reinicie o servidor Tomcat:
service tomcat restart
Uma mensagem é exibida indicando que o servidor Tomcat foi reiniciado.
4. Ative ou desative expressões comuns em seus padrões configurando a propriedade regex_enabled.
Por padrão, expressões regulares são desativadas.
Por exemplo:
regex_enabled=false
Ao configurar a propriedade para regex_enabled para false, o sistema gera expressões regulares
com base nas tags inseridas ao tentar recuperar os valores de dados correspondentes dos logs.
Ao configurar a propriedade regex_enabled para true, é possível definir regex customizado para
controlar padrões. Essas configurações de regex são diretamente aplicadas aos logs e o primeiro
grupo capturado é retornado. Ao definir padrões de regex customizados, deve-se aderir às regras de
regex, conforme definido pela linguagem de programação Java. Para obter mais informações,
consulte o seguinte website: http://download.oracle.com/javase/tutorial/essential/regex/
Para integrar um firewall genérico com o QRadar, certifique-se de especificar as classes diretamente,
em vez de usar classes predefinidas. Por exemplo, a classe de dígito (/\d/) torna-se /[0-9]/. Além
disso, em vez de usar qualificadores numéricos, reescreva a expressão para usar os qualificadores
primitivos (/?/,/*/ e /+/).
5. Revise o arquivo para determinar um padrão para pacotes aceitos.
Por exemplo, se o dispositivo gera as mensagens de log a seguir para pacotes aceitos:
Aug. 5, 2005 08:30:00 Packet accepted. IP de origem: <Source_IP_address> Porta de destino:
80 IP de destino: <Destination_IP_address> Porta de destino: 80 Protocolo: tcp
O padrão para pacotes aceitos é Packet accepted.
6. Inclua o seguinte no arquivo:
accept_pattern=<accept pattern>
Em que: <accept pattern> é o padrão determinado em “Configurando propriedades de eventos” na
página 475. Por exemplo:
accept pattern=Packet accepted
Os padrões não fazem distinção entre maiúsculas e minúsculas.
7. Revise o arquivo para determinar um padrão para pacotes negados.
Por exemplo, se seu dispositivo gera as mensagens de log a seguir para pacotes negados:
Aug. 5, 2005 08:30:00 Packet denied. Source IP: <Source_IP_address> Source Port: 21
Destination IP: <Destination_IP_address> Destination Port: 21 Protocol: tcp
O padrão para pacotes negados é Packet denied.
8. Inclua o seguinte no arquivo:
deny_pattern=<deny pattern>
Em que: <deny pattern> é o padrão que é determinado em “Configurando propriedades de eventos”
na página 475.
Os padrões não fazem distinção entre maiúsculas e minúsculas.
9. Revise o arquivo para determinar um padrão, se presente, para os parâmetros a seguir:
v source ip
v source port

476 Guia de configuração do QRadar DSM

v destination ip
v destination port
v protocol
Por exemplo, se o dispositivo gera a mensagem de log a seguir:
Aug. 5, 2005 08:30:00 Packet accepted. IP de origem: <Source_IP_address> Porta de destino:
80 IP de destino: <Destination_IP_address> Porta de destino: 80 Protocolo: tcp
O padrão para o IP de origem é Source IP.
10. Inclua o seguinte no arquivo:
v source_ip_pattern=<source ip pattern>
v source_port_pattern=<source port pattern>
v destination_ip_pattern=<destination ip pattern>
v destination_port_pattern=<destination port pattern>
v protocol_pattern=<protocol pattern>
Em que: <source ip pattern>, <source port pattern>, <destination ip pattern>, <destination
port pattern> e <protocol pattern> são os padrões correspondentes que são identificados em
“Configurando propriedades de eventos” na página 475.

Nota: Os padrões não fazem distinção entre maiúsculas e minúsculas e você pode incluir vários
padrões. Para obter vários padrões, separe usando um símbolo #.
11. Salve e saia do arquivo.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

Para integrar firewalls genéricos com o IBM QRadar, deve-se criar manualmente uma origem de log para
receber os eventos, visto que o QRadar não descobre ou cria automaticamente origens de log para
eventos de dispositivos de firewall genérico.

69 Genérico 477
11. Clique em Salvar.
12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhados para o QRadar por
firewalls genéricos são exibidos na guia Atividade de log.

478 Guia de configuração do QRadar DSM

70 genua genugate
O DSM do IBM QRadar para genua genugate coleta eventos de um dispositivo genua genugate.

O genua genugate produz logs de software de terceiros, como openBSD e sendMail. O DSM genua
genugate fornece análise sintática básica para os logs desses dispositivos de terceiros. Para obter uma
análise sintática mais específica para esses logs, instale o DSM específico para esse dispositivo.

A tabela a seguir lista as especificações para o DSM genua genugate:

Tabela 275. Especificações do DSM genua genugate
Especificação Valor
Fabricante genua
Nome do DSM genua genugate
Nome do arquivo RPM DSM-GenuaGenugate-Qradar_version-
build_number.noarch.rpm
Versões suportadas 8.2 e mais recente
Protocolo Syslog
Tipos de eventos registrados Mensagem comuns de erro

Alta disponibilidade

Mensagens gerais de retransmissão

Mensagens específicas de retransmissão

programas/daemons genua

EPSI

Daemon de contabilidade - gg/src/acctd

Configfw

FWConfig

ROFWConfig

User-Interface

Webserver
Descobertos automaticamente? Sim
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do genua (https://www.genua.de/en/solutions/
high-resistance-firewall-genugate.html)

Para enviar eventos genua genugate para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM genua genugate

© Copyright IBM Corp. 2005, 2019 479

2. Configure o dispositivo genua genugate para enviar eventos syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log genua
genugate no QRadar Console. Configure todos os parâmetros necessários e use a tabela a seguir para
identificar valores específicos para genua genugate:
Tabela 276. Parâmetros de origem de log genua genugate
Parâmetro Valor
Tipo de origem de log genua genugate
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o genua genugate para enviar eventos para o QRadar”
Configure o genua genugate para enviar eventos para o IBM QRadar.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o genua genugate para enviar eventos para o QRadar

Configure o genua genugate para enviar eventos para o IBM QRadar.

Procedimento
1. Efetue login no genua genugate.
2. Clique em Sistema > Sysadmin > Página de criação de log.
3. No campo Endereço IP do IBM QRadar, digite o endereço IP do QRadar Console ou Coletor de
Eventos.
4. Marque a caixa de seleção Contabilidade para externo.
5. Clique em OK.

480 Guia de configuração do QRadar DSM

71 Great Bay Beacon
O DSM Great Bay Beacon para o IBM QRadar suporta alertas syslog do Great Bay Beacon Endpoint
Profiler.

O QRadar registra todos os eventos de segurança do terminal relevantes. Para poder integrar o Great Bay
Beacon com o QRadar, deve-se configurar o Great Bay Beacon Endpoint Profiler para encaminhar
mensagens de eventos syslog para o QRadar.

Configurando o syslog para Great Bay Beacon

É possível configurar o Great Bay Beacon Endpoint Profiler para encaminhar eventos syslog.

Procedimento
1. Efetue login no Great Bay Beacon Endpoint Profiler.
2. Para criar um evento, selecione Configuração > Eventos > Criar eventos.
Uma lista de eventos atualmente configurados é exibida.
3. Na área de janela Método de entrega de evento, marque a caixa de seleção Syslog.
4. Para aplicar suas mudanças, selecione Configuração Aplicar mudanças > Atualizar módulos.
5. Repita “Configurando o syslog para Great Bay Beacon” para configurar todos os eventos que você
deseja monitorar em IBM QRadar.
6. Configure o QRadar como uma origem de log externa para o Great Bay Beacon Endpoint Profiler.
Para obter informações sobre como configurar o QRadar como uma origem de log externa, consulte o
Guia de Configuração do Great Bay Beacon Endpoint Profiler.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Great Bay
Beacon.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais:

© Copyright IBM Corp. 2005, 2019 481

Tabela 277. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do dispositivo Great Bay Beacon.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

482 Guia de configuração do QRadar DSM

72 HBGary Active Defense
O DSM HBGary Active Defense para o IBM QRadar aceita vários tipos de eventos que são encaminhados
pelos dispositivos HBGary Active Defense, como eventos de acesso, sistema, configuração do sistema e
política.

Os eventos do Active Defense são encaminhados no Log Event Extended Format (LEEF) para o QRadar
usando syslog. Para poder configurar o QRadar, deve-se configurar uma rota para o destino HBGary
Active Defense para encaminhar eventos para um destino syslog.

Configurando o HBGary Active Defense

É possível configurar uma rota para eventos syslog no Active Defense para o QRadar.

Procedimento
1. Efetue login no Active Defense Management Console.
2. No menu de navegação, selecione Configurações > Alertas.
3. Clique em Incluir rota.
4. No campo Nome da rota, digite um nome para a rota de syslog você está incluindo no Active
Defense.
5. Na lista Tipo de rota, selecione LEEF (Q1 Labs).
6. Na área de janela Configurações, configure os valores a seguir:
v Host - Digite o endereço IP ou o nome do host para o QRadar Console ou Event Collector.
v Porta - Digite 514 como o número da porta.
7. Na área de janela Eventos, selecione qualquer evento que você deseja encaminhar para o QRadar.
8. Clique em OK para salvar as mudanças na configuração.
A configuração do dispositivo Active Defense está concluída. Agora você está pronto para configurar
uma origem de log no QRadar. Para obter mais informações sobre como configurar uma rota no
Active Defense, consulte o Guia do Usuário do HBGary Active Defense.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog com formato
LEEF que são encaminhados pelo Active Defense.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais:

© Copyright IBM Corp. 2005, 2019 483

9. Na lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:
Tabela 278. Parâmetros de protocolo syslog do HBGary Active Defense
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para seu dispositivo HBGary Active
log Defense.

O endereço IP ou o nome do host identifica o dispositivo HBGary Active Defense

como uma origem de eventos exclusiva no QRadar.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração do HBGary Active Defense está concluída.

484 Guia de configuração do QRadar DSM

73 H3C Technologies
O IBM QRadar aceita eventos de uma faixa de DSMs H3C Technologies.

H3C Comware Platform

O IBM QRadar DSM para o H3C Comware Platform coleta eventos de vários dispositivos de rede a
partir da H3C Technologies. O QRadar suporta Comutadores H3C, Roteadores H3C, Dispositivos LAN
Wireless H3C e Dispositivos de Segurança de IP H3C.

A tabela a seguir descreve as especificações para o DSM H3C Comware Platform:

Tabela 279. Especificações do DSM do H3C Comware Platform
Especificação Valor
Fabricante H3C Technologies Co., Limited
Nome do DSM H3C Comware Platform, Comutadores H3C, Roteadores
H3C, Dispositivos LAN Wireless H3C e Dispositivos de
Segurança de IP H3C.
Nome do arquivo RPM DSM-H3CComware-QRadar_version-
build_number.noarch.rpm
Versões Suportadas V7
Protocolo Syslog
Formato de evento NVP
Tipos de eventos registrados Sistema
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais H3C Technologies (http://www.h3c.com)

Para integrar o H3C Comware Platform, Comutadores H3C, Roteadores H3C, Dispositivos LAN Wireless
H3C ou Dispositivos de Segurança de IP H3C ao QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente do
RPM do DSM H3C Comware Platform no QRadar Console.
2. Configure o roteador ou dispositivo do H3C Comware Platform para enviar eventos de syslog para o
QRadar.
3. Se o QRadar não detectar a origem de log automaticamente, inclua uma origem de log do H3C
Comware Platform no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para a coleção de eventos do H3C Comware Platform:
Tabela 280. Parâmetros de origem de log do H3C Comware Platform
Parâmetro Valor
Tipo de origem de log H3C Comware Platform
Configuração do Protocolo Syslog

A tabela a seguir fornece uma mensagem do evento do syslog para o DSM H3C Comware Platform:

© Copyright IBM Corp. 2005, 2019 485

Tabela 281. Mensagem do syslog de amostra do H3C Comware Platform
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
A solicitação AAA de usuário foi Sessão AAA Negada <188>Jun 14 17:11:11 2013
rejeitada HP %%10AAA/5/AAA_FAILURE:
-AAAType=AUTHOR-AAADomain
=domain1-Service=login-
UserName=cwf@system; AAA is failed.

Configurando o H3C Comware Platform para se comunicar com o

QRadar
Para coletar eventos do H3C Comware Platform, ative as configurações de syslog e configure um host do
log. Os Comutadores H3C, Roteadores H3C, Dispositivos LAN Wireless H3C e Dispositivos de Segurança
de IP H3C são suportados pelo QRadar.

Procedimento
1. Efetue login na interface da linha de comandos usando a porta do console ou usando Telnet ou SSH.
Para obter mais informações sobre métodos de login, veja a seção Efetuando login na CLI no guia de
configuração para seus dispositivos H3C.
2. Para acessar a visualização do sistema, digite o comando <system_name> system-view.
3. Para ativar as configurações de syslog, digite os comandos a seguir na ordem em que são listados.
a. info-center source default loghost deny
b. info-center source AAA loghost level informational
c. info-center source ACL loghost level informational
d. info-center source FIPS loghost level informational
e. info-center source HTTPD loghost level informational
f. info-center source IKE loghost level informational
g. info-center source IPSEC loghost level informational
h. info-center source LOGIN loghost level informational
i. info-center source LS loghost level informational
j. info-center source PKI loghost level informational
k. info-center source PORTSEC loghost level informational
l. info-center source PWDCTL loghost level informational
m. info-center source RADIUS loghost level informational
n. info-center source SHELL loghost level informational
o. info-center source SNMP loghost level informational
p. info-center source SSHS loghost level informational
q. info-center source TACACS loghost level informational
r. info-center loghost <QRadar Event Collector IP> 514
4. Para sair da visualização do sistema, digite o comando quit <system_name>.

486 Guia de configuração do QRadar DSM

74 Honeycomb Lexicon File Integrity Monitor (FIM)
É possível usar o DSM Honeycomb Lexicon File Integrity Monitor (FIM) com o IBM QRadar para coletar
em sua rede eventos detalhados de integridade de arquivo.

O QRadar suporta os eventos syslog que são encaminhados pelas instalações do Lexicon File Integrity
Monitor que usam o Lexicon mesh v3.1 e posterior. Os eventos syslog que são encaminhados pelo
Lexicon FIM são formatados como eventos Log Extended Event Format (LEEF) pelo serviço Lexicon
mesh.

Para integrar eventos Lexicon FIM com o QRadar, deve-se concluir as tarefas a seguir:
1. Na instalação do Honeycomb, configure o serviço Lexicon mesh para gerar eventos syslog em LEEF.
2. Na instalação do Honeycomb, configure qualquer política do Lexicon FIM para os coletores de dados
do Honeycomb para encaminhar eventos FIM ao QRadar Console ou ao Event Collector.
3. No QRadar Console, verifique se uma origem de log Lexicon FIM é criada e se os eventos são
exibidos na guia Atividade de log.
4. Opcional. Assegure-se de que nenhuma regra de firewall bloqueie a comunicação entre os coletores de
dados do Honeycomb e o QRadar Console ou Event Collector que é responsável por receber eventos.

Tipos de eventos Honeycomb FIM suportados registrados pelo QRadar

O DSM Honeycomb FIM para o IBM QRadar pode coletar eventos de diversas categorias de eventos.

Cada categoria de evento contém eventos de baixo nível que descrevem a ação que é tomada dentro da
categoria de evento. Por exemplo, eventos de renomeação de arquivo podem ter uma categoria de baixo
nível de renomeação de arquivo com êxito ou com falha.

A lista a seguir define as categorias de eventos que são coletadas pelo QRadar para eventos de
integridade de arquivo Honeycomb:
v Eventos de linha de base
v Eventos de arquivo aberto
v Eventos de criação de arquivo
v Eventos de renomeação de arquivo
v Eventos de modificação de arquivo
v Eventos de exclusão de arquivo
v Eventos de movimentação de arquivo
v Eventos de mudança de atributo de arquivo
v Eventos de mudança de propriedade de arquivo

O QRadar também pode coletar arquivos de log do Windows e outros que são encaminhados pelo
Honeycomb Lexicon. No entanto, qualquer evento que não é de integridade de arquivo pode requerer
processamento especial por um DSM Universal ou uma extensão de origem de log no QRadar.

Configurando o serviço Lexicon mesh

Para coletar eventos em um formato que seja compatível com o IBM QRadar, deve-se configurar o serviço
Lexicon mesh para gerar eventos syslog em LEEF.

© Copyright IBM Corp. 2005, 2019 487

Procedimento
1. Efetue login no sistema Honeycomb LexCollect que está configurado como o sistema dbContact em
sua implementação de rede.
2. Localize o diretório de instalação do Honeycomb para o diretório installImage.
Por exemplo, c:\Arquivos Files\Honeycomb\installImage\data.
3. Abra o arquivo mesh.properties.
Se a sua implementação não contiver o Honeycomb LexCollect, será possível editar manualmente o
mesh.properties.
Por exemplo, c:\Program Files\mesh
4. Para exportar eventos syslog em LEEF, edite o campo formatador.
Por exemplo, formatter=leef.
5. Salve suas mudanças.
O serviço mesh é configurado para eventos LEEF de saída. Para obter informações sobre o serviço
Lexicon mesh, consulte a Documentação do Honeycomb.

Configurando uma origem de log Honeycomb Lexicon FIM no QRadar

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos de integridade de
arquivo que são encaminhados pelo Honeycomb Lexicon File Integrity Monitor.

Sobre Esta Tarefa

O procedimento a seguir é opcional:

O Identificador de origem de log deve ser um valor exclusivo.

Ativado Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa caixa
de seleção é marcada.
Credibilidade Na lista, selecione a Credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.

488 Guia de configuração do QRadar DSM

Tabela 282. Parâmetros do protocolo Syslog (continuação)
Parâmetro Descrição
Coletor de eventos de destino Na lista, selecione o Coletor de eventos de destino a ser usado como o destino da
origem de log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor da lista

Eventos unidos das configurações do sistema em QRadar. Ao criar uma origem de
log ou editar uma configuração existente, é possível substituir o valor padrão
configurando esta opção para cada origem de log.
Carga útil do evento recebido Na lista, selecione o codificador de carga útil de entrada para analisar e armazenar
os logs.
Armazenar carga útil do Selecione essa caixa de seleção para ativar que a origem de log armazene as
evento informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

Armazenar carga útil do evento de Configurações do sistema em QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível substituir o
valor padrão configurando esta opção para cada origem de log.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
Os eventos do Honeycomb Lexicon File Integrity Monitor que são encaminhados para o QRadar são
exibidos na guia Atividade de log.

74 Honeycomb Lexicon File Integrity Monitor (FIM) 489

490 Guia de configuração do QRadar DSM
75 Hewlett Packard (HP)
O IBM QRadar pode ser integrado com diversos DSMs Hewlett Packard (HP).

HP Network Automation
O IBM QRadar DSM para HP Network Automation coleta eventos do software HP Network Automation.

A tabela a seguir descreve as especificações para o DSM do HP Network Automation:

Tabela 283. Especificações do DSM do HP Network Automation
Especificação Valor
Fabricante Hewlett Packard
Nome do DSM HP Network Automation
Nome do arquivo RPM DSM-HPNetworkAutomation-QRadar_version-
build_number.noarch.rpm
Versões Suportadas V10.11
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Todos os eventos de rede operacionais e de configuração.
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais Hewlett Packard Network Automation
(http://www.hpe.com/software/na)

Para integrar o software HP Network Automation ao QRadar, conclua as etapas a seguir:

1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente dos RPMs
a seguir na ordem em que são listados em seu QRadar Console:
v RPM do DSM DSMCommon
v RPM do DSM do HP Network Automation
2. Configure o seu software HP Network Automation para enviar eventos LEEF para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do HP
Network Automation no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para a coleção de eventos do HP Network Automation:
Tabela 284. Parâmetros de origem de log do HP Network Automation
Parâmetro Valor
Tipo de origem de log HP Network Automation
Configuração do Protocolo Syslog
Log Source Identifier O endereço IP ou o nome do host do dispositivo de onde
o QRadar coleta eventos do HP Network Automation.

A tabela a seguir mostra uma mensagem LEEF de amostra do DSM do HP Network Automation:

© Copyright IBM Corp. 2005, 2019 491

Tabela 285. Mensagem de amostra do HP Network Automation suportada pelo software HP Network Automation
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Captura instantânea de Informações LEEF:1.0|HP|Network
dispositivo Automation|v10|Device Snapshot|
devTime=Wed Jul 06 08:26:45 UTC
2016 devTimeFormat=EEE
MMM dd HH:mm:ss Z yyyy
src=<Source_IP_address>
eventId=11111111
usrName=UserName
eventText=Snapshot of
configuration taken

Configurando o software HP Network Automation para se comunicar

com o QRadar
Configure o software HP Network Automation para enviar eventos LEEF para o IBM QRadar.

Antes de Iniciar

Deve-se ter acesso de administrador à interface com o usuário do software HP Network Automation.

Procedimento
1. Efetue login na interface com o usuário do software HP Network Automation.
2. No menu Administrador, selecione Notificação de evento e regras de resposta.
3. Clique em Nova notificação de evento e regra de resposta.
4. Configure os parâmetros para o HP Network Automation.
A tabela a seguir descreve os valores de parâmetro para enviar eventos LEEF para o QRadar:

Parâmetro Valor
Inclua E-mail e Regra de evento nomeados Você pode utilizar qualquer cadeia. Por exemplo,
QRadar_logs.
Para executar essa ação Selecione Enviar mensagem do Syslog na lista.
Quando os eventos a seguir ocorrerem 1. Selecione todos os eventos.
2. Ative o botão De qualquer importância.
3. Para executar a ação para eventos de Não
conformidade de política, ative o botão Para todas as
políticas.
Status da Regra Ative o botão Ativar.
Nome do host do syslog Nome do host e endereço IP do QRadar.
Porta Syslog 514

492 Guia de configuração do QRadar DSM

Nota: Todos os atributos de evento que são delimitados

por tabulação. Por exemplo, devTime, devTimeFormat e
mais. Copie o valor de Mensagem de syslog em um
editor de texto e, em seguida, verifique se os atributos
são delimitados por tabulação e remova quaisquer
caracteres de nova linha.
Nota: O número da versão v10 no cabeçalho do LEEF
pode ser substituído pela versão exata do seu software
HP Network Automation. Se você mudar quaisquer
outros componentes da sequência de formatação, os
eventos podem não se normalizar ou eventos
desconhecidos podem ocorrer.

5. Clique em Salvar.

HP ProCurve
É possível integrar um dispositivo HP ProCurve com o IBM QRadar para registrar todos os eventos
relevantes do HP Procurve usando syslog.

Sobre Esta Tarefa

Execute as etapas a seguir para configurar o dispositivo HP ProCurve para encaminhar eventos syslog
para o QRadar.

Procedimento
1. Efetue login no dispositivo HP ProCurve.
2. Digite o comando a seguir para fazer mudanças no nível de configuração global.
configuração
Se bem-sucedida, a CLI será alterada para o prompt a seguir:
ProCurve(config)#
3. Digite o seguinte comando:
logging <syslog-ip-addr>
Em que: <syslog-ip-addr> é o endereço IP do QRadar.
4. Para sair do modo de configuração, pressione CTRL+Z.
5. Para salvar a configuração atual na configuração de inicialização do seu dispositivo HP ProCurve,
digite este comando: write mem.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog com formato
LEEF que são encaminhados pelo Active Defense.
75 Hewlett Packard (HP) 493
Sobre Esta Tarefa

Estas etapas de configuração são opcionais:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

HP Tandem
É possível integrar um dispositivo HP Tandem com o IBM QRadar. Um dispositivo HP Tandem aceita
eventos de arquivo de auditoria SafeGuard usando uma origem de protocolo de arquivo de log.

Sobre Esta Tarefa

Uma origem de protocolo de arquivo de log permite que o QRadar recupere arquivos de log arquivados
a partir de um host remoto. O DSM Tandem HP suporta o carregamento em massa de arquivos de log
usando a origem de protocolo de arquivo de log.

Ao configurar seu dispositivo HP Tandem para usar o protocolo de arquivo de log, assegure-se de que o
nome do host ou endereço IP configurado no dispositivo HP Tandem e no parâmetro Remote Host sejam
os mesmos.

Os nomes de arquivos do SafeGuard Audit usam o formato a seguir:

Annnnnnn

O caractere alfabético único A é seguido por um número inteiro decimal de sete dígitos nnnnnnn, que é
incrementado por 1 toda vez que um nome é gerado no mesmo conjunto de auditoria.

Agora você está pronto para configurar a origem e o protocolo de log no QRadar.

Procedimento
1. Na lista Tipo de origem de log, selecione HP Tandem.

494 Guia de configuração do QRadar DSM

2. Para configurar o protocolo de arquivo de log, na lista Configuração de protocolo, selecione Arquivo
de log.
3. Na lista Gerador de evento, selecione HPTANDEM

Nota: Seu sistema deve estar executando a versão atual do protocolo de arquivo de log para
integração com um dispositivo HP Tandem:
Para obter mais informações sobre o HP Tandem, consulte sua documentação do fornecedor.

Hewlett Packard UniX (HP-UX)

Para encaminhar eventos da Hewlett Packard UniX (HP-UX) para o IBM QRadar, configure o dispositivo
HP-UX para enviar eventos syslog para o QRadar.

Sobre Esta Tarefa

É possível configurar syslog no dispositivo HP-UX para encaminhar eventos para o QRadar.

Procedimento
1. Efetue login na interface da linha de comandos do dispositivo HP-UX.
2. Abra o arquivo a seguir:
/etc/syslog.conf
3. Inclua a linha a seguir:
<facility>.<level><destination>
Em que:
v <facility> é auth.
v < level > é info .
v <destination> é o endereço IP do QRadar Console.
4. Salve e saia do arquivo.
5. Digite o comando a seguir para assegurar que o syslogd force as mudanças no arquivo syslog.conf.
kill -HUP `cat /var/run/syslog.pid`

Nota: As aspas duplas para trás são usadas na linha de comandos.

O que Fazer Depois

Inclua uma origem de log no QRadar.

Tarefas relacionadas:
“Incluindo uma origem de log”
Para coletar eventos Syslog de seu dispositivo HP-UX, inclua manualmente uma origem de log no IBM
QRadar concluindo as etapas a seguir:

Incluindo uma origem de log

Para coletar eventos Syslog de seu dispositivo HP-UX, inclua manualmente uma origem de log no IBM
QRadar concluindo as etapas a seguir:

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. Configure os parâmetros Hewlett Packard UniX.

75 Hewlett Packard (HP) 495

A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos do
HP-UX:
Tabela 287. Parâmetros de Syslog Hewlett Packard UniX
Parâmetro Descrição
Nome da Fonte de Log Digite um nome para a origem de log.
Descrição da Origem de Log Digite uma descrição para a origem de log.
Tipo de Fonte de Log Hewlett Packard UniX
Configuração de protocolo Syslog
Identificador de origem de Digite o endereço IP ou o nome do host para o dispositivo Hewlett Packard UniX.
log

5. Clique em Salvar.
6. Na guia Administrador, clique em Implementar mudanças.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

496 Guia de configuração do QRadar DSM

76 Huawei
O IBM QRadar pode integrar-se com vários DSMs Huawei.

Huawei AR Series Router

O DSM Huawei AR Series Router para o IBM QRadar pode aceitar eventos do Huawei AR Series Routers
usando syslog.

O QRadar registra todos os eventos IPv4 relevantes que são encaminhados pelo Huawei AR Series
Router. Para integrar o dispositivo com o QRadar, deve-se criar uma origem de log e, em seguida,
configurar o AR Series Router para encaminhar eventos syslog.

Roteadores suportados

O DSM suporta eventos dos roteadores Huawei AR Series Routers a seguir:

v AR150
v AR200
v AR1200
v AR2200
v AR3200

Configurando uma origem de log

O IBM QRadar não descobre automaticamente os eventos syslog recebidos do Huawei AR Series Routers.

Sobre Esta Tarefa

Se os eventos não forem descobertos automaticamente, deve-se criar manualmente uma origem de log na
guia Admin no QRadar.

© Copyright IBM Corp. 2005, 2019 497

Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP, nome de host ou nome para a origem de log como um
log identificador para o Huawei AR Series Router.

Cada origem de log que você cria para o Huawei AR Series Router deve incluir um
identificador exclusivo, como um endereço IP ou nome do host.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Agora você está pronto para configurar o Huawei AR Series
Router para encaminhar eventos para o QRadar.

Configurando o Huawei AR Series Router

Para encaminhar eventos syslog para o IBM QRadar, deve-se configurar o Huawei AR Series Router
como um centro de informações; em seguida, configurar um host de log.

Sobre Esta Tarefa

O host de log que você crie para o Huawei AR Series Router pode encaminhar eventos para o QRadar
Console ou um Event Collector.

Procedimento
1. Efetue login em sua interface da linha de comandos (CLI) do Huawei AR Series Router.
2. Digite o comando a seguir para acessar a visualização do sistema:
system-view
3. Digite o comando a seguir para ativar o centro de informações:
info-center enable
4. Digite o comando a seguir para enviar mensagens de log de nível informativo para o canal padrão:
info-center source default channel loghost log level informational debug state off trap
state off
5. Opcional: Para verificar a configuração de origem do Huawei AR Series Router, digite o comando:
display channel loghost
6. Digite o comando a seguir para configurar o endereço IP para o QRadar como o host de log para o
comutador:
info-center loghost <IP address> facility <local>
Em que:
v <IP address> é o endereço IP do QRadar Console ou do Event Collector.
v <local> é o recurso syslog, por exemplo, local0.
Por exemplo,
info-center loghost <IP_address> facility local0
7. Digite o comando a seguir para sair da configuração:
quit
A configuração está concluída. É possível verificar os eventos que são encaminhados para o QRadar
visualizando eventos na guia Atividade de log.

498 Guia de configuração do QRadar DSM

Huawei S Series Switch
O DSM Huawei S Series Switch para o IBM QRadar pode aceitar eventos de dispositivos Huawei S Series
Switch usando syslog.

O QRadar registra todos os eventos IPv4 relevantes que são encaminhados pelos comutadores Huawei S
Series Switch. Para integrar o dispositivo com o QRadar, deve-se configurar uma origem de log e, em
seguida, configurar o S Series Switch para encaminhar eventos syslog.

Comutadores suportados

O DSM suporta eventos dos comutadores Huawei S Series Switch a seguir:

v S5700
v S7700
v S9700

Configurando uma origem de log

O IBM QRadar não descobre automaticamente os eventos syslog recebidos do Huawei S Series Switches.

Sobre Esta Tarefa

Se os eventos não forem descobertos automaticamente, deve-se criar manualmente uma origem de log na
guia Admin no QRadar.

Cada origem de log que você cria para o comutador Huawei S Series deve incluir
um identificador exclusivo, como um endereço IP ou nome do host.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Agora você está pronto para configurar seu Huawei S Series
Switch para encaminhar eventos para o QRadar.

76 Huawei 499
Configurando o Huawei S Series Switch
Para encaminhar eventos syslog para o IBM QRadar, deve-se configurar o Huawei S Series Switch como
um centro de informações e, em seguida, configurar um host de log.

Sobre Esta Tarefa

O host de log que você cria para o Huawei S Series Switch pode encaminhar eventos para o QRadar
Console ou um Event Collector.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Huawei S Series Switch.
2. Digite o comando a seguir para acessar a visualização do sistema:
system-view
3. Digite o comando a seguir para ativar o centro de informações:
info-center enable
4. Digite o comando a seguir para enviar mensagens de log de nível informativo para o canal padrão:
info-center source default channel loghost log level informational debug state off trap
state off
5. Opcional: Para verificar a configuração de origem do Huawei S Series Switch, digite o comando:
display channel loghost
6. Digite o comando a seguir para configurar o endereço IP para o QRadar como o host de log para o
comutador:
info-center loghost <IP address> facility <local>
Em que:
v <IP address> é o endereço IP do QRadar Console ou do Event Collector.
v <local> é o recurso syslog, por exemplo, local0.
Por exemplo,
info-center loghost <IP_address> facility local0
7. Digite o comando a seguir para sair da configuração:
quit
A configuração está concluída. É possível verificar os eventos que são encaminhados para o QRadar
visualizando eventos na guia Atividade de log.

500 Guia de configuração do QRadar DSM

77 HyTrust CloudControl
O DSM do IBM QRadar para o HyTrust CloudControl coleta eventos dos dispositivos HyTrust
CloudControl.

A tabela a seguir lista as especificações para o DSM HyTrust CloudControl:

Tabela 289. Especificações do DSM HyTrust CloudControl
Especificação Valor
Fabricante Hytrust
Nome do DSM HyTrust CloudControl
Nome do arquivo RPM DSM-HyTrustCloudControl-Qradar_version-
build_number.noarch.rpm
Versões suportadas V3.0.2 até V3.6.0
Protocolo Syslog
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? Sim
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do Hytrust (http://www.hytrust.com)

Para coletar eventos HyTrust CloudControl, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM HyTrust CloudControl
2. Configure o dispositivo HyTrust CloudControl para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log HyTrust
CloudControl no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos que são necessários para a coleção de eventos HyTrust CloudControl:
Tabela 290. Parâmetros de origem de log HyTrust CloudControl
Parâmetro Valor
Tipo de origem de log HyTrust CloudControl
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o HyTrust CloudControl para se comunicar com o QRadar” na página 502
Para coletar eventos do HyTrust CloudControl, deve-se configurar seu dispositivo de terceiros para enviar
eventos ao IBM QRadar
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

© Copyright IBM Corp. 2005, 2019 501

Configurando o HyTrust CloudControl para se comunicar com o
QRadar
Para coletar eventos do HyTrust CloudControl, deve-se configurar seu dispositivo de terceiros para enviar
eventos ao IBM QRadar

Procedimento
1. Efetue login no HyTrust CloudControl.
2. No HTA Management Console, selecione Configuração > Criação de log.
3. Em Opções de agregação de criação de log HTA, selecione Externo.
4. Nas opções Tipo de modelo de agregação de criação de log, selecione Proprietário ou CEF.
5. No campo Servidores syslog HTA, digite o endereço IP para o QRadar.

502 Guia de configuração do QRadar DSM

78 IBM
O IBM QRadar suporta vários DSMs IBM.

IBM AIX
O IBM QRadar fornece os DSMs IBM AIX Audit e IBM AIX Server para coletar e analisar eventos de
auditoria ou de sistema operacional dos dispositivos IBM AIX.

Visão geral do DSM IBM AIX Server

O DSM IBM AIX Server coleta eventos de sistema operacional e de autenticação usando syslog para
usuários que interagem ou efetuam login no dispositivo IBM AIX.

A tabela a seguir identifica as especificações para ambos os DSMs IBM AIX Server:
Tabela 291. Especificações do DSM IBM AIX Server
Especificação Valor
Fabricante IBM
Nomes de DSM IBM AIX Server
Nomes dos arquivos RPM DSM-IBMAIXServer-QRadar_version-
build_number.noarch.rpm
Versões suportadas V5.X, V6.X e V7.X
Tipo de Protocolo Syslog
Tipos de evento registrado do QRadar
Eventos de login ou logoff

Eventos de sessão aberta ou fechada

Eventos de senha aceita e senha com falha

Eventos do sistema operacional

Descobertos automaticamente? Sim
Inclui identidade? Sim
Informações adicionais website da IBM (http://www.ibm.com/)

Para integrar os eventos do IBM AIX Server com o QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente do DSM
IBM AIX Server.
2. Configure o dispositivo IBM AIX Server para enviar eventos syslog ao QRadar.
3. Configure uma origem de log baseada em syslog para o dispositivo IBM AIX Server. Use os seguintes
parâmetros específicos de protocolo:

Parâmetro Descrição
Tipo de Fonte de Log IBM AIX Server
Configuração de protocolo Syslog

Tarefas relacionadas:

© Copyright IBM Corp. 2005, 2019 503

“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o dispositivo IBM AIX Server para enviar eventos de syslog para o QRadar”

“Incluindo uma origem de log” na página 5

Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o dispositivo IBM AIX Server para enviar eventos de syslog para o
QRadar
Procedimento
1. Efetue login no dispositivo IBM AIX como usuário raiz.
2. Abra o arquivo /etc/syslog.conf.
3. Para encaminhar os logs de autenticação do sistema para o QRadar, inclua a linha a seguir no
arquivo:
auth.info @QRadar_IP_address
Uma tabulação deve separar auth.info e o endereço IP do QRadar. Por exemplo:
##### begin /etc/syslog.conf
mail.debug /var/adm/maillog
mail.none /var/adm/maillog
auth.notice /var/adm/authlog
lpr.debug /var/adm/lpd-errs
kern.debug /var/adm/messages
*.emerg;*.alert;*.crit;*.warning;*.err;*.notice;*.info /var/adm/messages
auth.info @<IP_address>
##### end /etc/syslog.conf
4. Salve e saia do arquivo.
5. Reinicie o serviço syslog:
refresh -s syslogd

Visão geral do DSM IBM AIX Audit

O DSM IBM AIX Audit coleta informações de auditoria detalhadas para eventos que ocorrem em seu
dispositivo IBM AIX.

A tabela a seguir identifica as especificações para o DSM IBM AIX Audit:

Tabela 292. Especificações do DSM IBM AIX Audit
Especificação Valor
Fabricante IBM
Nomes de DSM IBM AIX Audit
Nomes dos arquivos RPM DSM-IBMAIXAudit-QRadar_version-
build_number.noarch.rpm
Versões suportadas V6.1 e V7.1
Tipo de Protocolo
Syslog

Protocolo de arquivo de log

Tipos de evento registrado do QRadar Eventos de auditoria
Descobertos automaticamente? Sim

504 Guia de configuração do QRadar DSM

Tabela 292. Especificações do DSM IBM AIX Audit (continuação)
Especificação Valor
Inclui identidade? Não
Informações adicionais website da IBM (http://www.ibm.com/)

Para integrar os eventos do IBM AIX Audit com o QRadar, conclua as etapas a seguir:
1. Faça download da versão mais recente do DSM IBM AIX Audit.
2. Para eventos syslog, conclua as etapas a seguir:
a. Configure o dispositivo IBM AIX Audit para enviar eventos syslog ao QRadar. Consulte
“Configurando o DSM IBM AIX Audit para enviar eventos syslog para o QRadar” na página 506.
b. Se o QRadar não descobrir automaticamente a origem de log, inclua uma origem de log do IBM
AIX Audit. Use os seguintes valores específicos do IBM AIX Audit na configuração da origem de
log:

Parâmetro Valor
Tipo de Fonte de Log IBM AIX Audit
Configuração de protocolo Syslog

3. Para eventos de protocolo de arquivo de log, conclua as etapas a seguir:

a. Configure o dispositivo IBM AIX Audit para converter os logs de auditoria no formato do
protocolo de arquivo de log.
b. Configure uma origem de log baseada em protocolo de arquivo de log para seu dispositivo IBM
AIX Audit. Use os seguintes valores específicos de protocolo na configuração de origem de log:

Parâmetro Valor
Tipo de Fonte de Log IBM AIX Audit
Configuração de protocolo Arquivo de log
Tipo de serviço O protocolo para recuperar arquivos de log de um
servidor remoto.
Importante: Se você selecionar o tipo de serviço SCP e
SFTP, assegure-se de que o servidor que está especificado
no parâmetro Remote IP or Hostname tenha o
subsistema SFTP ativado.
Porta remota Se o host para seus arquivos de evento usar um número
de porta não padrão para FTP, SFTP ou SCP, ajuste o
valor da porta.
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço,
use esse parâmetro para definir um arquivo de chave
privada SSH. Ao fornecer um arquivo de chave SSH, o
parâmetro Remote Password será ignorado.
Diretório remoto O local do diretório no host remoto no qual os arquivos
são recuperados. Especifique o local relativo à conta do
usuário que você está usando para efetuar login.
Restrição: Somente para FTP. Se seus arquivos de log
estiverem em um diretório inicial do usuário remoto,
deixe o diretório remoto em branco para suportar
sistemas operacionais nos quais uma mudança no
comando de diretório ativo (CWD) é restrita.

78 IBM 505
Parâmetro Valor
Padrão do arquivo FTP O padrão de arquivo FTP deve corresponder ao nome
que você designou aos arquivos de auditoria do AIX com
o parâmetro -n no script de auditoria. Por exemplo, para
coletar arquivos que começam com AIX_AUDIT e
terminam com o valor de registro de data e hora, digite
AIX_Audit_*.
Modo de transferência por FTP ASCII é necessário para logs de eventos de texto que são
recuperados pelo protocolo de arquivo de log, usando
FTP.
Processador NONE
Mudar o diretório local? Deixe essa caixa de seleção desmarcada.
Gerador de evento LineByLine

O Gerador de Evento aplica mais processamento aos

arquivos de eventos recuperados. Cada linha do arquivo
é um único evento. Por exemplo, se um arquivo tiver 10
linhas de texto, 10 eventos separados serão criados.

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o DSM IBM AIX Audit para enviar eventos syslog para o QRadar”
Para coletar eventos de auditoria de syslog do seu dispositivo IBM AIX Audit, redirecione a saída de log
de auditoria do dispositivo IBM AIX para o IBM QRadar Console ou Coletor de eventos.
“Configurando o DSM IBM AIX Audit para enviar eventos de protocolo de arquivo de log para o
QRadar” na página 507
Configure o script audit.pl para ser executado toda vez que você desejar converter os logs de auditoria
do IBM AIX em um formato de log de eventos legível para o QRadar.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o DSM IBM AIX Audit para enviar eventos syslog para o QRadar
Para coletar eventos de auditoria de syslog do seu dispositivo IBM AIX Audit, redirecione a saída de log
de auditoria do dispositivo IBM AIX para o IBM QRadar Console ou Coletor de eventos.

Sobre Esta Tarefa

Em um dispositivo IBM AIX, é possível ativar ou desativar classes na configuração de auditoria. As

classes padrão IBM AIX capturam um grande volume de eventos de auditoria. Para evitar problemas de
desempenho, é possível ajustar seu dispositivo IBM AIX para reduzir o número de classes que são
coletadas. Para obter mais informações sobre classes de auditoria, consulte a documentação do seu
dispositivo IBM AIX.

Procedimento
1. Efetue login no seu dispositivo IBM AIX.
2. Abra o arquivo de configuração de auditoria:
/etc/security/audit/config
3. Edite a seção Iniciar para desativar o elemento binmode e ativar o elemento streammode:
binmode = off
streammode = on

506 Guia de configuração do QRadar DSM

4. Edite a seção Classes para especificar quais classes auditar.
5. Salve as alterações da configuração.
6. Abra o arquivo streamcmds:
/etc/security/audit/streamcmds
7. Adicione as seguintes linhas ao arquivo:
/usr/sbin/auditstream | /usr/sbin/auditselect -m -e "command != logger && command !=
auditstream && command != auditpr && command != auditselect"|auditpr -t0 -h eclrRdi -v |sed
-e :a -e '$!N;s/\n / /;ta' -e 'P;D'| /usr/bin/logger -p local0.debug -r &
8. Salve as alterações da configuração.
9. Edite o arquivo de configuração de syslog para especificar uma entrada de depuração e o endereço
IP do QRadar Console ou Coletor de eventos:
*.debug @ip_address

Dica: Uma tabulação deve separar *.debug do endereço IP.

10. Salve as alterações da configuração.
11. Recarregue a configuração de syslog:
refresh -s syslogd
12. Inicie o script de auditoria em seu dispositivo IBM AIX:
audit start

O que Fazer Depois

O DSM IBM AIX Audit descobre automaticamente eventos de auditoria de syslog que são encaminhados
do IBM AIX para o QRadar e cria uma origem de log. Se os eventos não forem descobertos
automaticamente, será possível configurar manualmente uma origem de log.

Configurando o DSM IBM AIX Audit para enviar eventos de protocolo de arquivo
de log para o QRadar
Configure o script audit.pl para ser executado toda vez que você desejar converter os logs de auditoria
do IBM AIX em um formato de log de eventos legível para o QRadar.

Antes de Iniciar

Para usar o script de auditoria, é necessário instalar uma versão do Perl 5.8 ou acima em seu dispositivo
IBM AIX

Sobre Esta Tarefa

Este procedimento requer que você configure dois arquivos:

Arquivo de configuração de auditoria
O arquivo de configuração de auditoria identifica as classes de eventos que são auditadas e o
local do arquivo de log de eventos em seu dispositivo IBM AIX. As classes padrão do IBM AIX
capturam muitos eventos de auditoria. Para evitar problemas de desempenho, é possível
configurar as classes no arquivo de configuração de auditoria. Para obter mais informações sobre
a configuração de classes de auditoria, consulte a documentação do IBM AIX.
Script de auditoria
O script de auditoria usa o arquivo de configuração de auditoria para identificar quais logs de
auditoria ler e converte os logs binários em eventos de linha única que o QRadar pode ler. O
protocolo de arquivo de log pode então recuperar o log de eventos do dispositivo IBM AIX e
importar os eventos para o QRadar. O script de auditoria usa o arquivo audit.pr para converter
os registros binários de auditoria em arquivos de log de eventos que o QRadar pode ler.

78 IBM 507
Execute o script de auditoria toda vez que você desejar converter seus registros de auditoria em
eventos legíveis. É possível usar uma tarefa cron para automatizar esse processo. Por exemplo,
você pode incluir 0 * * * * /audit.pl para permitir que o script de auditoria seja executado a
cada hora. Para obter mais informações, consulte a documentação do sistema.

Procedimento
1. Efetue login no seu dispositivo IBM AIX.
2. Configure o arquivo de configuração de auditoria:
a. Abra o arquivo de configuração de auditoria:
etc/security/audit/config
b. Edite a seção Iniciar para ativar o elemento binmode.
binmode = on
c. Na seção Iniciar, edite a configuração para determinar quais diretórios contêm os logs de auditoria
binários. A configuração padrão para auditoria do IBM AIX grava logs binários nos diretórios a
seguir:
trail = /audit/trail
bin1 = /audit/bin1
bin2 = /audit/bin2
binsize = 10240
cmds = /etc/security/audit/bincmds
Na maioria dos casos, você não precisa editar o arquivo binário nos diretórios bin1 e bin2.
d. Na seção Classes, edite a configuração para determinar quais classes são auditadas. Para obter
informações sobre a configuração de classes, consulte a documentação do IBM AIX.
e. Salve as alterações da configuração.
3. Inicie a auditoria no seu sistema IBM AIX:
audit start
4. Instale o script de auditoria:
a. Acesse o website de suporte IBM (http://www.ibm.com/support).
b. Faça download do arquivo audit.pl.gz.
c. Copie o script de auditoria para uma pasta em seu dispositivo IBM AIX.
d. Extraia o arquivo:
tar -zxvf audit.pl.gz
e. Inicie o script de auditoria:
./audit.pl
É possível incluir os parâmetros a seguir para modificar o comando:

Parâmetro Descrição
-r Define o diretório de resultados no qual o script de
auditoria grava arquivos de log de eventos para o
QRadar.

Se você não especificar um diretório de resultados, o

script gravará os eventos no diretório /audit/results/ a
seguir. O diretório de resultados é usado no parâmetro
Remote Directory na configuração de origem de log que
usa esse valor. Para evitar erros, verifique se o diretório
de resultados existe em seu sistema IBM AIX.
-n Define um nome exclusivo para o arquivo de log de
eventos que é gerado pelo script de auditoria. O
parâmetro FTP File Pattern na configuração de origem
de log usa esse nome para identificar os eventos de logs
que a origem de log deve recuperar no QRadar

508 Guia de configuração do QRadar DSM

Parâmetro Descrição
-l Define o nome do último arquivo de registro.
-m Define o número máximo de arquivos de auditoria a
serem retidos no sistema IBM AIX. Por padrão, o script
retém 30 arquivos de auditoria. Quando o número de
arquivos de auditoria excede o valor do parâmetro -m, o
script exclui o arquivo de auditoria com o registro de
data e hora mais antigo.
-t Define o diretório que contém o arquivo de trilha de
auditoria. O diretório padrão é /audit/trail.

O que Fazer Depois

O DSM IBM AIX Audit descobre automaticamente eventos de auditoria de protocolo de arquivo de log
que são encaminhados do IBM AIX para o QRadar e cria uma origem de log. Se os eventos não forem
descobertos automaticamente, será possível configurar manualmente uma origem de log.

IBM i
O DSM IBM QRadar para o IBM i, anteriormente conhecido como AS/400 iSeries, coleta registros de
auditoria e informações de evento dos sistemas IBM i.

A tabela a seguir identifica as especificações para o DSM IBM i:

Tabela 293. Especificações do DSM IBM i
Especificação Valor
Fabricante IBM
Nome do DSM IBM i
Versões suportadas V5R4 e mais recente
Nome do arquivo RPM DSM-IBMi-Qradar_version-build_number.noarch.rpm
Protocolo Protocolo de arquivo de log

Syslog
Tipos de eventos registrados Registros de auditoria e eventos
Descobertos automaticamente? Não
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website da IBM (http://www.ibm.com/)

Para coletar eventos de sistemas IBM i, conclua as seguintes etapas:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente do
RPM do DSM IBM i no seu QRadar Console.
2. Configure o sistema IBM i para comunicar-se com o QRadar.
3. Inclua uma origem de log do IBM i no QRadar Console usando a tabela a seguir para configurar os
parâmetros que são necessários para coletar os eventos do IBM i:
Tabela 294. Parâmetros de origem de log do IBM i
Parâmetro Valor
Tipo de Fonte de Log IBM i

78 IBM 509
Tabela 294. Parâmetros de origem de log do IBM i (continuação)
Parâmetro Valor
Configuração de protocolo Arquivo de log

Se você estiver usando o PowerTech Interact ou

LogAgent para o software System i para coletar
mensagens syslog formatadas em CEF, deverá selecionar
a opção Syslog
Tipo de serviço Protocolo de Transferência de Arquivos Seguro (SFTP)

Tarefas relacionadas:
“Configurando o IBM i para Integração com IBM QRadar”
É possível integrar o IBM i com o IBM QRadar.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando o Townsend Security Alliance LogAgent para integração com o QRadar” na página 514
É possível coletar todos os logs de auditoria e eventos do sistema do Townsend Security Alliance
LogAgent. Deve-se configurar o Alliance LogAgent para o IBM QRadar LEEF e configurar um destino
que especifique o QRadar como o servidor syslog.

Configurando o IBM i para Integração com IBM QRadar

É possível integrar o IBM i com o IBM QRadar.

Procedimento
1. No IBM Fix Central (http://www.ibm.com/support/fixcentral), faça download do arquivo a seguir:
AJLIB.SAVF
2. Copie o arquivo AJLIB.SAVF para um computador ou terminal que tenha acesso de FTP para o IBM i.
3. Crie um arquivo genérico online SAVF no IBM i digitando o seguinte comando:
CRTSAVF QGPL/SAVF
4. Use FTP no computador ou no terminal para substituir o arquivo genérico SAVF do IBM i pelo
arquivo AJLIB.SAVF que você transferiu por download.
Digite os comandos a seguir:
bin
cd qgpl
lcd c:\
put ajlib.savf savf
encerrar

Se você estiver transferindo o arquivo SAVF de outro sistema IBM i, envie o arquivo colocando o
modo de subcomando FTP BINARY antes da instrução GET ou PUT.
5. Restaure o arquivo AJLIB no IBM i digitando o seguinte comando:
RSTLIB SAVLIB(AJLIB) DEV(*SAVF) SAVF(QGPL/AJLIB)
AJLIB fornece o suporte para mapeamento e transferência de dados que é necessário para enviar as
entradas de diário de auditoria do IBM i para o QRadar.
6. Execute AJLIB/SETUP
A tela de configuração é usada para configurar AJLIB para FTP, SFTP ou um caminho local para
receber as entradas processadas.

510 Guia de configuração do QRadar DSM

O ID do usuário do servidor é necessário para FTP ou SFTP, e uma senha é requerida para FTP.
Enquanto o FTP manipula as conversões do delimitador de linha, você configura o feed de linha
com o valor esperado para o tipo de sistema que recebe as transferências de SFTP.
7. Se desejar usar SFTP, execute AJLIB/GENKEY.
Esse comando gera o par de chaves SSH que é necessário para autenticação SFTP. Se o par de chaves
existir, ele não será substituído. Se você desejar gerar um novo par de chaves, antes de executar esse
comando, remova os arquivos-chave existentes do diretório /ajlib/.ssh.
Para obter mais informações sobre a configuração de par de chaves SSH no IBM i, consulte
http://www-01.ibm.com/support/docview.wss?uid=nas8N1012710
8. Depois de gerar um par de chaves, use as etapas a seguir para ativar o uso do par de chaves no
servidor:
a. Copie o arquivo id_rsa.pub do diretório /ajlib para o servidor SSH e, em seguida, instale-o na
pasta apropriada.
b. Assegure-se de que o servidor SSH esteja incluído no arquivo known_hosts do perfil do usuário
que executa o comando AJLIB/AUDITJRN.
9. Use o perfil do usuário apropriado para executar as etapas a seguir:
a. Inicie um shell PASE (Portable Application Solutions Environment) digitando o comando a
seguir:
call qp2term
b. Inicie uma sessão com o servidor SSH digitando o comando a seguir:
ssh -T <user>@<serveraddress>
c. Se solicitado, aceite a chave do sistema e digite uma senha.
d. Digite exit para fechar a sessão SSH.
Se você deseja executar essas etapas em um perfil do IBM i diferente daquele que executa o
comando AJLIB/AUDITRN, copie o diretório .ssh e o arquivo known_hosts no diretório inicial do
perfil que é usado para executar este comando.
10. Para configurar a filtragem de tipos de entrada específicos, use o comando AJLIB/SETENTTYP.
11. Configure a data e hora de início da coleta de dados para a biblioteca do diário de auditoria (AJLIB),
digitando o comando a seguir:
AJLIB/DATETIME
Se você iniciar o coletor do diário de auditoria, uma mensagem de falha será enviada para QSYSOPR.
A função de configuração define uma data e hora de início padrão para coleta de dados do diário de
auditoria para 08:00:00 do dia atual.
Para preservar suas informações de data e hora de início anteriores de uma instalação anterior,
deve-se executar AJLIB/DATETIME. Registre a data e o horário de início anterior e digite esses
valores quando você executar AJLIB/SETUP. A data e o horário de início devem conter uma data e
um horário válidos no formato de data e horário do sistema com seis caracteres. A data e o horário
de encerramento devem ser uma data e um horário válidos ou deixados em branco.
12. Execute AJLIB/AUDITJRN.
O programa de coleção do diário de auditoria inicia e envia os registros para o servidor FTP remoto:
se a transferência para o servidor FTP falhar, uma mensagem será enviada para QSYSOPR. O processo
para iniciar o AJLIB/AUDITJRN é normalmente automatizado por uma tarefa do IBM i Scheduler,
que coleta registros periodicamente.
Se a transferência por FTP for bem-sucedida, as informações de data e hora atuais serão gravadas
em AJLIB/DATETIME para atualizar o horário de reunião, enquanto o horário de encerramento será
configurado como em branco. Se a transferência por FTP falhar, o arquivo de exportação será
apagado e nenhuma atualização será feita para a data ou o horário de reunião.

78 IBM 511
Extraindo manualmente entradas de diário do IBM i
É possível executar o comando DSPJRN para extrair entradas de diário do IBM i quando uma cadeia de
destinatários de diário de auditoria é quebrada.

Sobre Esta Tarefa

Execute o comando ALJIB/DATETIME para configurar a Data de início como *OUTF. Esse comando força
o programa de processamento a usar o arquivo de saída QTEMP/AUDITJRN construído previamente
para análise sintática, em vez de usar a data e hora para extrair entradas de diário. Depois que você
executar o comando de programa de análise sintática AJLIB/AUDITJRN, o DATETIME será configurado
para a nova data de processamento.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do sistema IBM i.
2. Execute DSPJRN.
Os únicos parâmetros que podem ser mudados no exemplo a seguir são RCVRNG e ENTTYP. Não mude
nenhum outro parâmetro de comando. Assegure-se de que ENTTP corresponda às configurações do
comando AJLIB/SETENTTYP.
DSPJRN JRN(QSYS/QAUDJRN) RCVRNG(AUDRCV0001 AUDRCV0003)
JRNCDE((T)) ENTTYP(*ALL)
OUTPUT(*OUTFILE) OUTFILFMT(*TYPE5) OUTFILE(QTEMP/AUDITJRN)
ENTDTALEN(*VARLEN 16000 100)
3. Para configurar a Data e hora para usar o suporte do arquivo de saída *OUTF, execute o comando
AJLIB/DATETIME.

512 Guia de configuração do QRadar DSM

Figura 8. Horários de início e encerramento do DSPJRN

4. Execute AJLIB/AUDITJRN.

Resultados
O DATETIME é configurado para a próxima data de início.

Obtendo dados usando o protocolo de arquivo de log

É possível configurar o IBM i como a origem de log e usar o protocolo de arquivo de log no IBM
QRadar:

Procedimento
1. Para configurar o QRadar para receber eventos de um sistema IBM i, deve-se selecionar a opção IBM i
na lista Tipo de origem de log.
2. Para configurar o protocolo de arquivo de log para o DSM IBM i, selecione a opção Arquivo de log
na lista Configuração de protocolo e definir o local das configurações de conexão do servidor FTP.

Nota: Se você estiver usando o software Interagir PowerTech ou LogAgent for System i para coletar
mensagens syslog em formato CEF, deve-se selecionar a opção Syslog na lista Configuração de
protocolo.
3. Use a opção de protocolo de arquivo de log que você seleciona um protocolo seguro para a
transferência de arquivos, como Secure File Transfer Protocol (SFTP).

78 IBM 513
Configurando o Townsend Security Alliance LogAgent para integração
com o QRadar
É possível coletar todos os logs de auditoria e eventos do sistema do Townsend Security Alliance
LogAgent. Deve-se configurar o Alliance LogAgent para o IBM QRadar LEEF e configurar um destino
que especifique o QRadar como o servidor syslog.

Procedimento
1. Efetue login no seu dispositivo Townsend Security Alliance LogAgent.
2. Inclua o ALLSYL100 em sua lista de bibliotecas digitando o comando a seguir: addlible allsy1100.
3. Para exibir o menu principal, selecione go symain.
4. Selecione a opção para Configuração
5. Selecione Configurar Alliance LogAgent e configure os parâmetros a seguir.

Parâmetro Descrição
Versão da interface 4=IBM QRadar LEEF
Transmitir 1=Sim
Controle de fila de dados 1=Sim
Formato 4=IBM QRadar LEEF

6. No menu de configuração, selecione Trabalhar com clientes TCP.

7. Selecione a opção 2 para mudar o cliente SYSLOGD e configure os parâmetros a seguir.

Parâmetro Descrição
Estado 1=Ativo
Cliente de autoinicialização 1=Sim
Endereço IP remoto (Remote IP address) Endereço IP do QRadar
Número da porta remota 514

8. No menu Configuração, selecione Iniciar LogAgent Subsystem. Os eventos fluem para o QRadar.

O que Fazer Depois

Após o início dos serviços TCP, considere iniciar automaticamente o subsistema Alliance LogAgent
modificando o programa IPL QSTRUP para incluir as instruções a seguir:
/* START ALLIANCE LOGAGENT */
QSYS/STRSBS ALLSYL100/ALLSYL100
MONMSG MSGID(CPF0000)

Para obter mais informações sobre como instalar e configurar a operação Conjunto de armazenamento
auxiliar independente e mais opções de filtro para eventos, consulte a documentação do fornecedor.

IBM BigFix
O IBM BigFix DSM for IBM QRadar aceita eventos de sistema em Log Extended Event Format (LEEF)
recuperados do IBM BigFix.

IBM BigFix é anteriormente conhecido como IBM Tivoli Endpoint Manager.

O QRadar usa o protocolo SOAP do IBM BigFix para recuperar eventos em um intervalo de 30 segundos.
À medida que os eventos são recuperados, o IBM BigFix DSM analisa e categoriza os eventos para o

514 Guia de configuração do QRadar DSM

QRadar. A API de SOAP para o IBM BigFix estará disponível apenas após a instalação do aplicativo Web
Reports. O aplicativo Web Reports for IBM BigFix é necessário para recuperar e integrar os dados de
eventos do sistema do IBM BigFix com o QRadar.

Nota: O QRadar suporta o IBM BigFix versões 8.2.x a 9.5.2.

Para integrar o IBM BigFix com o QRadar, deve-se configurar manualmente uma origem de log. Os
eventos do IBM BigFix não são descobertos automaticamente.
v Efetue login no QRadar.
v Clique na guia Administrador.
v Clique no ícone Origens de Log.
v Clique em Incluir.
v No campo Nome da origem de log, digite um nome para a origem de log.
v No campo Descrição de origem de log , digite uma descrição para a origem de log.
v Na lista Tipo de Origem de Log, selecione BigFix.
v Na lista Configuração de Protocolo, selecione BigFix SOAP.

Configure os valores a seguir:

Configuração de protocolo SOAP do IBM BigFix

Parâmetro Descrição
Identificador de Fonte de Log Digite o endereço IP ou nome do host para o dispositivo do IBM BigFix.

O endereço IP ou nome do host identifica o IBM BigFix como uma origem de

eventos exclusiva no QRadar.
Porta Digite o número da porta usada para conexão com o IBM BigFix usando a API
SOAP

Por padrão, a porta 80 é o número da porta para comunicação com o IBM BigFix.
Se você usar HTTPS, deve-se atualizar esse campo para o número da porta HTTPS
da sua rede. A maioria das configurações usa a porta 443 para comunicações
HTTPS.
Usar HTTPS Marque essa caixa de seleção para conectar usando HTTPS.

Se você marcar essa caixa de seleção, o nome do host ou endereço IP especificado

usará HTTPS para se conectar com o IBM BigFix. Se um certificado for necessário
para se conectar usando HTTPS, deve-se copiar quaisquer certificados que são
requeridos pelo QRadar Console ou pelo host gerenciado para o diretório a seguir:

/opt/qradar/conf/trusted_certificates

O QRadar suporta certificados com as extensões de arquivo a seguir: .crt, cert ou

.der. Copie quaisquer certificados necessários para o diretório de certificados
confiáveis antes de salvar e implementar as mudanças.
Nome do usuário Digite o número de usuário necessário para acessar o IBM BigFix.
Senha Digite a senha necessária para acessar o IBM BigFix.
Confirmar senha Confirme a senha necessária para acessar o IBM BigFix.

Para obter mais informações sobre a configuração do QRadar para importar as informações de avaliação
de vulnerabilidades do IBM BigFix, consulte o IBM QRadar Vulnerability Assessment Configuration Guide .

Clique em Salvar.

78 IBM 515
Na guia Administrador, clique em Implementar mudanças.
Conceitos relacionados:
“Opções de Configuração de Protocolo SOAP do IBM BigFix” na página 49
Para receber os eventos do Log Extended Event Format (LEEF) formatados a partir de dispositivos do
IBM BigFix, configure uma origem de log que use o protocolo SOAP do IBM BigFix.

IBM BigFix Detect

O IBM QRadar DSM for IBM BigFix Detect coleta eventos da plataforma do IBM BigFix Detect.

A tabela a seguir descreve as especificações para o DSM do IBM BigFix Detect:

Tabela 295. IBM BigFix Detect Especificações do DSM
Especificação Valor
Fabricante IBM
Nome do DSM IBM BigFix Detect
Nome do arquivo RPM DSM-IBMBigFixDetect-QRadar_version-
build_number.noarch.rpm
Versões Suportadas V9.5
Protocolo IBM BigFix EDR REST API Protocol
Formato de evento LEEF
Tipos de eventos registrados IOC e IOA alertas
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais IBM BigFix website (http://www-03.ibm.com/security/
bigfix/index.html)

Para integrar o IBM BigFix Detect com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v Protocol Common RPM
v RPM do protocolo da API de REST do IBM BigFix EDR
v RPM do DSM Common
v IBM BigFix Detect DSM RPM
2. Configure o IBM BigFix Detect para acesso de API.
3. Inclua uma origem de log do IBM BigFix Detect no QRadar Console. A tabela a seguir descreve os
parâmetros que requerem valores específicos para coletar eventos do IBM BigFix Detect:
Tabela 296. IBM BigFix Detect Parâmetros de origem de log
Parâmetro Valor
Tipo de origem de log IBM BigFix Detect
Configuração do Protocolo IBM BigFix EDR API REST
API Host ou IP O nome do host ou o endereço IP da API do BigFix EDR
Porta da API O número da porta que é usada para acessar a API.

O padrão é 443.

516 Guia de configuração do QRadar DSM

Tabela 296. IBM BigFix Detect Parâmetros de origem de log (continuação)
Parâmetro Valor
Nome do Arquivo de Certificado do Cliente O nome do arquivo de certificado PKCS12 no diretório
/opt/qradar/conf/trusted_certificates/ibmbigfixedr
no QRadar.
Senha do Certificado do Cliente A senha usada para o Certificado de cliente.
Usar Proxy Se o QRadar acessa a API do BigFix EDR usando um
proxy, ative Usar proxy.

Se o proxy requer autenticação, configure os campos

Servidor proxy, Porta de proxy, Nome do usuário de
proxy e Senha de proxy.

Se o proxy não requerer autenticação, configure os

O padrão é 5000.

4. Para verificar se o QRadar está configurado corretamente, revise a tabela a seguir para ver um
exemplo de uma mensagem de evento normalizado.
A tabela a seguir mostra uma mensagem do evento LEEF do IBM BigFix Detect:
Tabela 297. IBM BigFix Detect mensagem LEEF de amostra
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
IOC detectado Atividade Suspeita LEEF:1.0 | IBM | IBM BigFix Detect
| BF-Detect.9.5 |blue.static|alert_id
= xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
xx event_id=xxxxxxxxxxx
Ak=00000000000000000000000000000000
0962AA560FD9E45E5270557BB9DA801E
resource=12587632 bf_
endpoint_name=xxxxxxxxxxxx det
ected_ioc=urn:xxx.xxx.example.com:origi
n.bigfixqaedr//example:Indicator-xxx
xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
/ver/1 devTime=Feb 09 2017 06:
11:32,000 UTC detection_descri
ption=IOC 00_jw-mo_File name and pa
th detected. Detection_mechani
sm=blue.static risk=medium
sev=5 confidence=low
DevTimeFormat=MMM dd yyyy HH:
Mm:ss.SSS z

78 IBM 517
Configurando o IBM BigFix Detect para se comunicar com o QRadar
Para configurar o IBM QRadar para coletar os alertas IOC e IOA de um sistema IBM BigFix Detect,
deve-se obter informações que são necessárias para a configuração do administrador do IBM BigFix.

Antes de Iniciar

Antes de ser possível configurar o QRadar para receber alertas do IBM BigFix Detect, deve-se entrar em
contato com o administrador do IBM BigFix e obter as seguintes informações:
v Nome do host ou endereço IP
v Número da porta
v A chave privada, o certificado correspondente e o certificado de autoridade de certificação do Trusteer

Para obter mais informações sobre as informações que são necessárias para enviar alertas do BigFix
Detect, consulte a documentação do IBM BigFix (https://www.ibm.com/support/knowledgecenter/
SSMNRU_9.5.0/com.ibm.bigfix.detect.doc/BigFixDetectionandResponse/EDRBigFixAdministratorGuide/
EDR_alerts_QRadar.html).

Procedimento
1. Gere o cliente keystore formatado pkcs12.
a. Efetue login no QRadar usando SSH.
b. Digite o seguinte comando:
openssl pkcs12 -inkey <private_key_filename> -in <certificate_filename> -export -out
<PKCS#12_filename>
Os parâmetros são descritos na seguinte tabela:

Parâmetro Descrição
Private_key_filename A chave privada obtida do administrador do BigFix.
certificate_filename O certificado correspondente obtido do administrador do
BigFix.
PKCS#12_filename A saída nome do arquivo keystore. Por exemplo,
bigfix_client_certificate.pkcs12

Nota: Registre a senha que você criou quando gerou o keystore do cliente pkcs12. A senha é
necessária ao configurar a origem de log.
2. Armazene o keystore e o certificado de autoridade de certificação no QRadar.
a. Copie o certificado de autoridade de certificação do Trusteer no diretório do /opt/qradar/conf/
trusted_certificates/ no QRadar.
b. Crie um diretório nomeado ibmbigfixedr no diretório /opt/qradar/conf/trusted_certificates/.
c. Copie o arquivo keystore.pkcs12 para o diretório /opt/qradar/conf/trusted_certificates/
ibmbigfixedr/ que você criou. Não armazene o arquivo keystore do cliente em outros locais.

O que Fazer Depois

Configure a origem de log no QRadar usando somente o nome do arquivo keystore do cliente no
diretório /opt/qradar/conf/trusted_certificates/ibmbigfixedr/. Assegure-se de digitar o nome do
arquivo corretamente no campo Nome do arquivo do certificado de cliente. Digite a senha que você
criou quando gerou o keystore do cliente pkcs12 no campo Senha do certificado de cliente.

518 Guia de configuração do QRadar DSM

IBM Bluemix Platform
O IBM QRadar DSM para a Plataforma IBM Bluemix coleta eventos de sua Plataforma Bluemix.

A tabela a seguir identifica as especificações para o DSM da Plataforma IBM Bluemix:

Tabela 298. Especificações do DSM Bluemix Platform do IBM
Especificação Valor
Fabricante IBM
Nome do DSM IBM Bluemix Platform
Nome do arquivo RPM DSM-IBMBluemixPlatform-QRadar_version-
build_number.noarch.rpm
Versões suportadas N/A
Protocolo Syslog, syslog TLS
Tipos de eventos registrados Todos os eventos do Sistema (Cloud Foundry), alguns
eventos de aplicativo
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website da IBM para Bluemix (website da IBM para
Bluemix)

Para integrar a Plataforma IBM Bluemix ao QRadar, conclua as etapas a seguir:

Deve-se executar os procedimentos de instalação, configuração de terceiros e configuração do QRadar na

ordem. A instalação deve sempre ser o primeiro, mas você pode inverter a ordem dos outros dois
procedimentos. Em alguns casos, nenhuma ação é necessária para a configuração de terceiros e você pode
omitir o procedimento.
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do RPM do DSM da Plataforma IBM Bluemix em seu QRadar Console:
2. Configure seu dispositivo da Plataforma IBM Bluemix para enviar eventos de syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log da Plataforma
Bluemix do IBM no Console do QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o IBM Bluemix Platform para se comunicar com o

QRadar
Para coletar eventos da Plataforma IBM Bluemix, deve-se configurar sua instância de terceiros para enviar
eventos para o QRadar.

Antes de Iniciar

Deve-se ter um aplicativo em execução no IBM Bluemix para que seja possível criar drenagens de log.

78 IBM 519
Procedimento
1. Na interface da linha de comandos do Cloud Foundry, digite o comando a seguir para criar uma
drenagem:
cf cups drain_name -l syslog://QRadar_IP_Address:514
Como alternativa, use o comando a seguir:
cf cups drain_name -l syslog-tls://QRadar_IP_Address:1513
1513 é a porta usada para comunicação com o QRadar.
2. Ligue a instância de serviço com o comando a seguir:
cf bind-service BusinessApp_name drain_name

Integrando o IBM Bluemix Platform com o QRadar

Na maioria das instalações, há somente o RPM. Para instalações em que existem vários RPMs necessários,
(por exemplo, um RPM PROTOCOL e um RPM DSMCommon), certifique-se de que a sequência de
instalação reflita a dependência do RPM.

Procedimento
1. Se necessário, faça download e instale o RPM do TLS Syslog mais recente em seu QRadar Console. É
possível instalar um protocolo, usando o procedimento para instalar manualmente um DSM. Se
atualizações automáticas estiverem configuradas para instalar atualizações de protocolo, este
procedimento não será necessário.
2. Faça download e instale o RPM DSMCommon mais recente no QRadar Console. Se atualizações
automáticas estiverem configuradas para instalar atualizações de DSM, este procedimento não será
necessário.
3. Faça download e instale o RPM da Plataforma IBM Bluemix mais recente em seu QRadar Console. Se
atualizações automáticas estiverem configuradas para instalar atualizações de DSM, este procedimento
não será necessário.

O que Fazer Depois

Deve-se configurar uma origem de log do IBM Bluemix no QRadar usando o Syslog ou o TLS Syslog.

Configurando uma origem de log do IBM Bluemix para usar o Syslog

É possível configurar uma origem de log do IBM Bluemix no IBM QRadar.

Procedimento
1. Efetue login no QRadar para usar Syslog.
2. Na guia Administrador, clique em Origens de dados > Origens de log > Incluir.
3. Na lista Tipo da Origem de Log, selecione IBM Bluemix Platform.
4. Na lista Configuração de protocolo, selecione Syslog.
5. No campo Identificador de origem de log, insira o endereço IP do Bluemix Loggregator.

Importante: Pode ser necessário incluir o endereço IP e a porta, como Identificador de origem de log.
Por exemplo, 192.0.2.1:1513 .
6. Configure os campos restantes na janela Origens de log, conforme necessário, e clique em Salvar.
7. Na barra de ferramentas da guia Administrador, clique em Implementar mudanças.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma

520 Guia de configuração do QRadar DSM

origem de log para receber eventos dos dispositivos de rede.

Configurando uma origem de log do IBM Bluemix com o TLS Syslog

É possível configurar uma origem de log do IBM Bluemix no IBM QRadar para usar o TLS Syslog.

Procedimento
1. Efetue login no QRadar.
2. Na guia Administrador, clique em Origens de dados > Origens de log > Incluir.
3. Na lista Tipo da Origem de Log, selecione IBM Bluemix Platform.
4. Na lista Configuração de protocolo, selecione TLS Syslog.
5. No campo Identificador de origem de log, insira o endereço IP do Bluemix Loggregator.
6. No campo Porta de escuta do TLS, digite um número da porta.
7. Na lista Modo de autenticação, selecione TLS.
8. Na lista Tipo de certificado, selecione Fornecer certificado.
9. No campo Caminho fornecido do certificado do servidor, digite o caminho absoluto para o
certificado do servidor, por exemplo:
syslog-tls.cert
10. No campo Caminho de chave privada fornecido, digite o caminho absoluto para a chave privada.
A chave privada deve ser uma chave PKCS8 codificada em DER.
11. Configure os campos restantes na janela Origens de log, conforme necessário, e clique em Salvar.
12. Na barra de ferramentas da guia Administrador, clique em Implementar mudanças.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

IBM CICS
O IBM CICS DSM coleta eventos do IBM Custom Information Control System (CICS®) em um mainframe
IBM z/OS® que usa o IBM Security zSecure.

Para coletar eventos do IBM CICS, conclua as etapas a seguir:

78 IBM 521
4. Se você desejar criar uma propriedade de evento customizado para o IBM CICS em QRadar, para
obter mais informações, consulte a nota técnica Propriedades de evento customizado do IBM Security
for IBM z/OS (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/
SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf).

Antes de iniciar

Os seguintes pré-requisitos são necessários:

Os DSMs a seguir são suportados:

v IBM z/OS
v IBM CICS
v IBM RACF
v IBM DB2
v CA secreto
v CA ACF2

Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log para o seu DSM
no console do QRadar.

522 Guia de configuração do QRadar DSM

A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos para
seu DSM:
Tabela 299. Parâmetros de origem de log
Parâmetro Valor
Tipo de origem de log Selecione o nome do DSM na lista.
Configuração do Protocolo Syslog
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

Criando uma origem de log para o protocolo Arquivo de log

O protocolo de Arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados de um
host remoto para o IBM z/OS, IBM CICS, IBM RACF, IBM DB2, CA Top Secret e CA ACF2 DSM...

Sobre Esta Tarefa

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione o seu nome de DSM.
8. Na lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os parâmetros de protocolo Arquivo de log.
A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos
do DSM:
Tabela 300. Parâmetros de protocolo de Arquivo de log
Parâmetro Valor
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
log Os endereços IP ou nomes de host são sugeridos conforme eles permitem ao
QRadar identificar um arquivo de log para uma origem de eventos exclusiva.

78 IBM 523
Tabela 300. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Tipo de serviço Na lista Tipo de serviço, selecione o protocolo que você deseja usar ao recuperar
arquivos de log de um servidor remoto. O padrão é SFTP.
v SFTP - Protocolo de Transferência de Arquivos SSH
v FTP - Protocolo de Transferência de Arquivos
v SCP - Cópia segura

As opções incluem as portas:

v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22

Se você configurar SCP como o Tipo de serviço, a opção Recursivo será ignorada.

524 Guia de configuração do QRadar DSM

Tabela 300. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Padrão do arquivo FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, poderá configurar a
expressão regular (regex) necessária para filtrar a lista de arquivos que são
especificados no Diretório remoto. Todos os arquivos correspondentes são incluídos
no processamento.

O mainframe do IBM z/OS que usa o IBM Security zSecure Audit grava arquivos
de eventos usando o padrão: <product_name>.<timestamp>.gz

O padrão do arquivo FTP que você especificar deve corresponder ao nome

designado aos arquivos de eventos. Por exemplo, para coletar arquivos que
comecem com zOS e terminem com .gz, digite o código a seguir:

zOS.*\.gz

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

O modo de transferência binário é necessário para os arquivos de eventos que são

Esse parâmetro funciona com o valor de Recorrência para estabelecer quando e com
que frequência o Diretório Remoto é varrido em busca de arquivos. Digite o horário
de início, com base em um relógio de 24 horas, no seguinte formato: HH: MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório remoto seja varrido a cada 2
horas a partir da hora de início. O padrão é 1H.
Executar no salvamento Selecione esta caixa de seleção se desejar que o protocolo de Arquivo de log seja
executado imediatamente após você clicar em Salvar.

Após o Executar ao salvar ser concluído, o protocolo de arquivo de log segue o

horário de início configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

Os processadores permitem que os archives de arquivo de evento sejam expandidos

78 IBM 525
Tabela 300. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Ignorar arquivo(s) Selecione essa caixa de seleção para rastrear e ignorar arquivos que já foram
processado(s) anteriormente processados pelo protocolo de Arquivo de log.

O QRadar examina os arquivos de log no diretório remoto para determinar se um

Essa opção se aplica somente a tipos de serviço FTP e SFTP.

Mudar o diretório local? Selecione essa caixa de seleção para definir um diretório local em seu QRadar para
armazenar arquivos transferidos por download durante o processamento.

O Gerador de Evento aplica mais processamento aos arquivos de eventos

recuperados. Cada linha é um único evento. Por exemplo, se um arquivo tiver 10
linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

IBM DataPower
O IBM QRadar DSM coleta logs de eventos de seu sistema IBM DataPower.

O IBM DataPower era conhecido anteriormente como IBM WebSphere DataPower.

A tabela a seguir identifica as especificações para o IBM DataPower DSM.

Tabela 301. Especificações do IBM DataPower DSM
Especificação Valor
Fabricante IBM
Nome do DSM DataPower
Nome do arquivo RPM DSM-IBMDataPower-QRadar_version-
build_number.noarch.rpm
Versões Suportadas Firmware V6 e V7
Protocolo Syslog
Tipos de evento registrado do QRadar Todos os eventos
Tipo de origem de log na UI do QRadar IBM DataPower
Descoberta automática? SIM
Inclui identidade? No
Inclui propriedades customizadas? No

526 Guia de configuração do QRadar DSM

Tabela 301. Especificações do IBM DataPower DSM (continuação)
Especificação Valor
Para obter mais informações página da web da IBM (http://www.ibm.com/)

Para enviar eventos do IBM DataPower para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do IBM DataPower DSM em seu QRadar Console.
2. Para cada instância do IBM DataPower, configure o sistema IBM DataPower para se comunicar com o
QRadar.
3. Se o QRadar não descobrir automaticamente o IBM DataPower, crie uma origem de log para cada
instância do IBM DataPower no QRadar Console. Use os seguintes valores específicos do IBM
DataPower:

Parâmetro Valor
Tipo de Fonte de Log IBM DataPower
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o IBM DataPower para se comunicar com o QRadar”
Para coletar eventos do IBM DataPower, configure seu sistema de terceiro para enviar eventos para o IBM
QRadar.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o IBM DataPower para se comunicar com o QRadar

Para coletar eventos do IBM DataPower, configure seu sistema de terceiro para enviar eventos para o IBM
QRadar.

Antes de Iniciar

Revise os documentos de criação de log do DataPower para determinar quais mudanças na configuração
de criação de log são apropriadas para sua implementação. Consulte IBM Knowledge Center
(http://www-01.ibm.com/support/knowledgecenter/SS9H2Y_7.0.0/com.ibm.dp.xi.doc/
logtarget_logs.html?lang=en).

Procedimento
1. Efetue login em seu sistema IBM DataPower.
2. Na caixa de procura no menu de navegação esquerdo, digite Destino de log.
3. Selecione o resultado correspondente.
4. Clique em Incluir.
5. Na guia Principal, digite um nome para o destino de log.
6. Na lista Tipo de destino, selecione syslog.
7. No campo Identificador local, digite um identificador a ser exibido no parâmetro Syslog event
payloads na interface com o usuário do QRadar.
8. No campo Host remoto, digite o endereço IP ou o nome do host do seu QRadar Console ou Coletor
de eventos.

78 IBM 527
9. No campo Porta remota, digite 514.
10. Em Inscrições de eventos, inclua uma configuração de log base com os parâmetros a seguir:

Parâmetro Valor
Categoria do Evento all
Minimum Event Priority aviso
Importante: Para evitar uma diminuição no desempenho
do sistema, não use mais de uma palavra para o
parâmetro Minimum Event Priority.

11. Aplique as mudanças ao destino de log.

12. Revise e salve as mudanças na configuração.

IBM DB2
O IBM DB2 DSM coleta eventos de um mainframe do IBM DB2 que usa o IBM Security zSecure.

Para coletar eventos do IBM DB2, conclua as etapas a seguir:

1. Verifique se sua instalação atende aos requisitos de instalação do pré-requisito. Para obter mais
informações sobre requisitos de pré-requisito, consulte o IBM Security zSecure Suite 2.2.1
Pre-requisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html) .
2. Configure a imagem do IBM DB2 para gravar eventos em formato LEEF. Para obter mais informações,
consulte o IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment
Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html).
3. Crie uma origem de log no QRadar for IBM DB2.
4. Se você deseja criar uma propriedade de evento customizado para o IBM DB2 no QRadar, para obter
informações adicionais, consulte a nota técnica Propriedades de evento customizado do IBM Security
for IBM z/OS (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/
SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf).

Antes de iniciar

Os seguintes pré-requisitos são necessários:

528 Guia de configuração do QRadar DSM

tempo real (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
v Deve-se configurar um processo para atualizar periodicamente os conjuntos de dados CKFREEZE e
UNLOAD.
v Se você estiver usando o método de protocolo Arquivo de Log, deverá configurar um servidor SFTP,
FTP ou SCP na sua imagem do z/OS para que o QRadar faça download dos arquivos de eventos LEEF.
v Se você estiver usando o método de protocolo Arquivo de Log, deverá permitir o tráfego SFTP, FTP ou
SCP em firewalls que estejam localizados entre o QRadar e sua imagem do z/OS.

Os DSMs a seguir são suportados:

v IBM z/OS
v IBM CICS
v IBM RACF
v IBM DB2
v CA secreto
v CA ACF2

Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log para o seu DSM
no console do QRadar.

A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos para
seu DSM:
Tabela 302. Parâmetros de origem de log
Parâmetro Valor
Tipo de origem de log Selecione o nome do DSM na lista.
Configuração do Protocolo Syslog
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

Criando uma origem de log para o protocolo Arquivo de log

O protocolo de Arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados de um
host remoto para o IBM z/OS, IBM CICS, IBM RACF, IBM DB2, CA Top Secret e CA ACF2 DSM...

78 IBM 529
Sobre Esta Tarefa

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione o seu nome de DSM.
8. Na lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os parâmetros de protocolo Arquivo de log.
A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos
do DSM:
Tabela 303. Parâmetros de protocolo de Arquivo de log
Parâmetro Valor
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
log Os endereços IP ou nomes de host são sugeridos conforme eles permitem ao
QRadar identificar um arquivo de log para uma origem de eventos exclusiva.

530 Guia de configuração do QRadar DSM

Tabela 303. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Porta remota Digite a porta TCP no host remoto que esteja executando o Tipo de serviço
selecionado. O intervalo válido é de 1 a 65535.

As opções incluem as portas:

v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22

O mainframe do IBM z/OS que usa o IBM Security zSecure Audit grava arquivos
de eventos usando o padrão: <product_name>.<timestamp>.gz

O padrão do arquivo FTP que você especificar deve corresponder ao nome

designado aos arquivos de eventos. Por exemplo, para coletar arquivos que
comecem com zOS e terminem com .gz, digite o código a seguir:

zOS.*\.gz

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

O modo de transferência binário é necessário para os arquivos de eventos que são

78 IBM 531
Tabela 303. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Horário de Início Digite o horário do dia que deseja que o processamento comece. Por exemplo,
digite 00:00 para planejar o protocolo de Arquivo de log para coletar arquivos de
eventos à meia-noite.

Esse parâmetro funciona com o valor de Recorrência para estabelecer quando e com
que frequência o Diretório Remoto é varrido em busca de arquivos. Digite o horário
de início, com base em um relógio de 24 horas, no seguinte formato: HH: MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório remoto seja varrido a cada 2
horas a partir da hora de início. O padrão é 1H.
Executar no salvamento Selecione esta caixa de seleção se desejar que o protocolo de Arquivo de log seja
executado imediatamente após você clicar em Salvar.

Após o Executar ao salvar ser concluído, o protocolo de arquivo de log segue o

horário de início configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

Os processadores permitem que os archives de arquivo de evento sejam expandidos

O QRadar examina os arquivos de log no diretório remoto para determinar se um

Essa opção se aplica somente a tipos de serviço FTP e SFTP.

Mudar o diretório local? Selecione essa caixa de seleção para definir um diretório local em seu QRadar para
armazenar arquivos transferidos por download durante o processamento.

O Gerador de Evento aplica mais processamento aos arquivos de eventos

recuperados. Cada linha é um único evento. Por exemplo, se um arquivo tiver 10
linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.

532 Guia de configuração do QRadar DSM

A configuração do DSM está concluída. Se o DSM requerer propriedades de evento customizado,
consulte a nota técnica Propriedades de evento customizado do IBM Security for IBM z/OS.
(http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/
TechNotes/IBM_zOS_CustomEventProperties.pdf)

Integrando eventos de auditoria do IBM DB2

O DSM IBM DB2 permite que você integre logs de auditoria do DB2 no IBM QRadar para análise.

O comando db2audit cria um conjunto de arquivos de texto delimitados por vírgula com uma extensão
.del que define o escopo de dados de auditoria para o QRadar quando a auditoria é configurada e
ativada. Os arquivos delimitados por vírgula criados pelo comando db2audit incluem:
v audit.del
v checking.del
v context.del
v execute.del
v objmaint.del
v secmaint.del
v sysadmin.del
v validate.del

Para integrar o DSM IBM DB2 com o QRadar, deve-se:

1. Usar o comando db2audit para assegurar que o IBM DB2 registre os eventos de segurança. Consulte a
Documentação do fornecedor do IBM DB2 para obter mais informações.
2. Extraia os dados de auditoria de eventos do DB2 contidos na instância para arquivo de log,
dependendo de sua versão do IBM DB2.
3. Use a origem de protocolo de Arquivo de log para puxar o arquivo de log da instância de saída e
enviar essas informações de volta para o QRadar em uma base planejada. Em seguida, o QRadar
importa e processa esse arquivo.
Tarefas relacionadas:
“Extraindo dados de auditoria para DB2 v8.x para v9.4”
É possível extrair dados de auditoria quando você está usando o IBM DB2 v8.x a v9.4.
“Extraindo dados de auditoria para o DB2 v9.5” na página 534
É possível extrair dados de auditoria quando você estiver usando o IBM DB2 v9.5.

Extraindo dados de auditoria para DB2 v8.x para v9.4

É possível extrair dados de auditoria quando você está usando o IBM DB2 v8.x a v9.4.

Procedimento
1. Efetue login em uma conta do DB2 com privilégios SYSADMIN.
2. Digite o comando inicial a seguir para auditar uma instância de banco de dados:
db2audit start
Por exemplo, a resposta do comando inicial pode ser semelhante à saída a seguir:
AUD00001 Operação bem-sucedida.
3. Mova os registros de auditoria da instância para o log de auditoria:
db2audit flush
Por exemplo, a resposta do comando flush pode ser semelhante à saída a seguir:
AUD00001 Operação bem-sucedida.
4. Extraia os dados do log de auditoria arquivado e grave os dados em arquivos .del:
db2audit extract delasc

78 IBM 533
Por exemplo, uma resposta do comando de archive pode ser semelhante à saída a seguir:
AUD00001 Operação bem-sucedida.

Nota: Aspas duplas (") são usadas como o delimitador de texto padrão nos arquivos ASCII; não
altere o delimitador.
5. Remova registros inativos:
db2audit prune all
6. Mova os arquivos .del para um local de armazenamento em que o IBM QRadar pode extrair o
arquivo. O movimento dos arquivos delimitados por vírgula (.del) deve ser sincronizado com o
arquivo de pull de arquivo no QRadar.
Agora você está pronto para criar uma origem de log no QRadar para coletar arquivos de log do DB2.

Extraindo dados de auditoria para o DB2 v9.5

É possível extrair dados de auditoria quando você estiver usando o IBM DB2 v9.5.

Procedimento
1. Efetue login em uma conta do DB2 com privilégio SYSADMIN.
2. Mova os registros de auditoria da instância de banco de dados para o log de auditoria:
db2audit flush
Por exemplo, a resposta do comando flush pode ser semelhante à saída a seguir:
AUD00001 Operação bem-sucedida.
3. Arquive e mova a instância ativa para um novo local para extração futura:
db2audit archive
Por exemplo, uma resposta do comando de archive pode ser semelhante à saída a seguir:
Nó AUD arquivado ou mensagem de arquivo de log provisório
---- --- -----------------------------
- 0 AUD00001 dbsaudit.instance.log.0.20091217125028 AUD00001 Operação bem-sucedida.

Nota: No DB2 v9.5 e mais recente, o comando archive substitui o comando prune.

O comando archive move o log de auditoria ativo para um novo local, removendo efetivamente todos
os registros não ativos do log. Um comando de archive deve ser concluído para que uma extração
possa ser executada.
4. Extraia os dados do log de auditoria arquivado e grave os dados em arquivos .del:
db2audit extract delasc from files db2audit.instance.log.0.200912171528
Por exemplo, uma resposta do comando de archive pode ser semelhante à saída a seguir:
AUD00001 Operação bem-sucedida.

Nota: Aspas duplas (") são usadas como o delimitador de texto padrão nos arquivos ASCII; não
altere o delimitador.
5. Mova os arquivos .del para um local de armazenamento em que o IBM QRadar pode extrair o
arquivo. O movimento dos arquivos delimitados por vírgula (.del) deve ser sincronizado com o
arquivo de pull de arquivo no QRadar.
Agora você está pronto para criar uma origem de log no QRadar para coletar arquivos de log do DB2.

534 Guia de configuração do QRadar DSM

IBM Federated Directory Server
O IBM QRadar DSM coleta eventos dos sistemas IBM Federated Directory Server.

A tabela a seguir identifica as especificações para o IBM Federated Directory Server DSM:
Tabela 304. Especificações do IBM Federated Directory Server DSM
Especificação Valor
Fabricante IBM
Nome do DSM IBM Federated Directory Server
Nome do arquivo RPM DSM-IBMFederated DirectoryServer-Qradar_version-
build_number.noarch.rpm
Versões Suportadas V7.2.0.2 e posterior
Formato de evento LEEF
Tipos de eventos registrados Auditoria FDS
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Informações do Security Directory Server no IBM
Knowledge Center (https://www.ibm.com/support/
knowledgecenter/SSVJJU/welcome.html)

Para enviar eventos do IBM Federated Directory Server para o QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente dos RPMs
a seguir em seu QRadar Console:
v RPM DSMCommon
v IBM Federated Directory Server DSM RPM
2. Configure o monitoramento do QRadar em seu dispositivo do IBM Federated Directory Server.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do IBM
Federated Directory no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para a coleção de eventos do IBM Federated Directory Server:
Tabela 305. Parâmetros de origem de log do IBM Federated Directory Server
Parâmetro Valor
Tipo de origem de log IBM Federated Directory Server
Configuração de protocolo Syslog
Log Source Identifier O IP de origem ou nome do host do IBM Federated
Directory Server.

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o IBM Federated Directory Server para monitorar eventos de segurança” na página 536
Configure o IBM Federated Directory Server para monitorar eventos de segurança, que são gerados
quando uma entrada é incluída, modificada ou excluída no destino
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

78 IBM 535
Configurando o IBM Federated Directory Server para monitorar
eventos de segurança
Configure o IBM Federated Directory Server para monitorar eventos de segurança, que são gerados
quando uma entrada é incluída, modificada ou excluída no destino

Procedimento
1. Efetue login no IBM Federated Directory Server.
2. Na área de janela de navegação, em Configurações comuns, clique em Monitoramento.
3. Na página Monitoramento, clique na guia QRadar.
4. Para indicar que deseja monitorar eventos de segurança, na página QRadar, selecione Ativado.
5. Configure os parâmetros
6. No campo Arquivo de mapeamento, especifique o caminho e o nome do arquivo do arquivo de
mapeamento que configura os vários atributos LEEF do QRadar para o evento.
7. Clique em Selecionar para navegar para o arquivo de mapeamento. O valor padrão aponta para o
arquivo LDAPSync/QRadar.map.
8. No campo Máscara de formato de data, especifique uma máscara padrão SimpleDateFormat Java para
usar para valores de data gravados em atributos LEEF mapeados.
Esse valor controla o valor do atributo devTimeFormat e a formatação dos valores de data no evento.
O valor padrão é a máscara padrão ISO 8601, MMM dd yy HH:mm:ss, que cria uma sequência, Oct 16 12
15:15:57.

IBM Fiberlink MaaS360

O DSM IBM Fiberlink MaaS360 para o IBM QRadar pode coletar logs de eventos do console do Fiberlink
MaaS360.

A tabela a seguir identifica as especificações para o DSM IBM Fiberlink MaaS360:

Tabela 306. Especificação do DSM IBM Fiberlink MaaS360
Especificação Valor
Fabricante IBM
Nome do DSM IBM Fiberlink MaaS360
Nome do arquivo RPM DSM-IBMFiberlinkMaaS360
Versões suportadas N/A
Formato de evento LEEF
Tipos de eventos registrados do QRadar Eventos de regra de conformidade

Eventos de registro de dispositivo

Eventos de histórico de ações

Descobertos automaticamente? Não
Identidade incluída? SIM
Inclui propriedades customizadas? Não
Informações adicionais website do Fiberlink MaaS360 (http://
www.maas360.com/)

Para integrar o IBM Fiberlink MaaS360 com o QRadar, use as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download das versões mais recentes dos
RPMs a seguir:

536 Guia de configuração do QRadar DSM

v RPM DSMCommon
v RPM de Protocolo da API REST do IBM Fiberlink
v RPM do IBM Fiberlink MaaS360
2. Configure a instância do Fiberlink MaaS360 para permitir a comunicação com o QRadar.
3. Inclua uma origem de log IBM Fiberlink MaaS360 no QRadar Console.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando uma origem de log do IBM Fiberlink MaaS360 no QRadar

Para coletar eventos do IBM Fiberlink MaaS360, configure uma origem de log no QRadar.

Antes de Iniciar

Para permitir que o IBM Fiberlink MaaS360 se comunique com o QRadar, deve-se ativar a API REST.
Entre em contato com o atendimento ao cliente do Fiberlink para ativar a API REST para sua conta
Fiberlink MaaS360.

Parâmetro Descrição
Log Source Identifier Digite um identificador exclusivo para a origem de log.

O Identificador de origem de log pode ser configurado

para qualquer valor válido e não precisa fazer referência
a um servidor específico. É possível configurar o
Identificador de origem de log para o mesmo valor que
o Nome da origem de log. Se você tiver mais de uma
origem de log do IBM Fiberlink MaaS360 configurada,
talvez queira identificar a primeira origem de log como
fiberlink1, a segunda origem de log como fiberlink2 e
a terceira origem de log como fiberlink3.
URL de login A URL para o servidor REST do Fiberlink MaaS360.

78 IBM 537
Parâmetro Descrição
Username O nome do usuário que é usado para acessar as APIs do
MaaS360.

Os usuários com as funções de administrador a seguir

podem acessar as APIs:
v Administrador de serviços
v Administrador
v Administrador - nível 2
Senha A senha que é usada para acessar suas APIs do MaaS360.
Chave Secreta A chave secreta que é fornecida pelo Atendimento ao
cliente Fiberlink quando você ativou a API REST.
ID de App O ID de app que foi fornecido pelo Atendimento ao
cliente Fiberlink quando você ativou a API REST.
ID do faturamento O ID de faturamento para sua conta do Fiberlink
MaaS360.
Plataforma A versão da plataforma do console Fiberlink MaaS360.
Versão do Aplicativo A Versão do aplicativo que corresponde à sua conta de
API REST.
Usar Proxy Se o QRadar acessa a API do Fiberlink MaaS360 usando
um proxy, marque a caixa de seleção Usar proxy.

Se o proxy requer autenticação, configure os campos

Servidor proxy, Porta de proxy, Nome do usuário de
proxy e Senha de proxy.

Se o proxy não requer autenticação, configure os campos

Servidor proxy e Porta de proxy
Adquirir automaticamente certificado(s) de servidor O QRadar automaticamente faz download do certificado
do servidor e começa a confiar no servidor de destino
quando a opção Sim é selecionada.

9. Configure os parâmetros restantes.

10. Clique em Salvar.
11. Na guia Administrador, clique em Implementar mudanças.

IBM Guardium
IBM Guardium® é uma ferramenta de atividade e auditoria de banco de dados para que os
administradores de sistema recuperem eventos de auditoria detalhados entre plataformas de banco de
dados.

Essas instruções requerem que você instale a correção 8.2p45 para o InfoSphere Guardium. Para obter
mais informações sobre esta correção, consulte o website do Fix Central em http://www.ibm.com/
support/fixcentral/.

O IBM QRadar coleta informações, erro, alerta e avisos do IBM Guardium usando syslog. O IBM QRadar
recebe os eventos do IBM Guardium Policy Builder no Log Event Extended Format (LEEF).

O QRadar somente pode descobrir e mapear automaticamente eventos das políticas padrão que são
fornecidas com o IBM Guardium. Quaisquer eventos configurados pelo usuário que são necessários são
exibidos como desconhecidos no QRadar e deve-se mapear manualmente os eventos desconhecidos.

538 Guia de configuração do QRadar DSM

Visão geral da configuração

A lista a seguir esboça o processo que é necessário para integrar o IBM Guardium com o QRadar.
1. Crie um destino syslog para eventos de violação de política. Para obter mais informações, consulte
“Criando um destino de syslog para eventos”.
2. Configure suas políticas existentes para gerar eventos syslog. Para obter mais informações, consulte
“Configurando políticas para gerar eventos syslog” na página 540.
3. Instale a política no IBM Guardium. Para obter mais informações, consulte “Instalando uma política
do IBM Guardium” na página 540.
4. Configure a origem de log no QRadar. Para obter mais informações, consulte “Configurando uma
origem de log” na página 541.
5. Identifique e mapeie eventos de política desconhecidos no QRadar. Para obter mais informações,
consulte “Criando um mapa de eventos para eventos do IBM Guardium” na página 541.

Criando um destino de syslog para eventos

Para criar um destino de syslog para esses eventos no IBM Guardium, deve-se efetuar login na interface
da linha de comandos (CLI) e definir o endereço IP para o IBM QRadar.

Procedimento
1. Usando SSH, efetue login no IBM Guardium como o usuário padrão.
Nome do usuário: <username>
Senha: <password>
2. Digite o comando a seguir para configurar o destino de syslog para eventos informativos:
store remote add daemon.info <IP address>:<port> <tcp|udp>
Por exemplo,
store remote add daemon.info <IP_address> tcp
Em que:
v <IP address> é o endereço IP do seu QRadar Console ou Event Collector.
v <port> é o número da porta de syslog que é usado para comunicar-se com o QRadar Console ou
Event Collector.
v <tcp|udp> é o protocolo que é usado para se comunicar com o QRadar Console ou Event Collector.
3. Digite o comando a seguir para configurar o destino de syslog para eventos de aviso:
store remote add daemon.warning <IP address>:<port> <tcp|udp>
Em que:
v <IP address> é o endereço IP do seu QRadar Console ou Event Collector.
v <port> é o número da porta de syslog que é usado para comunicar-se com o QRadar Console ou
Event Collector.
v <tcp|udp> é o protocolo que é usado para se comunicar com o QRadar Console ou Event Collector.
4. Digite o comando a seguir para configurar o destino de syslog para eventos de erro:
store remote add daemon.err <IP address>:<port> <tcp|udp>
Em que:
v <IP address> é o endereço IP do seu QRadar Console ou Event Collector.
v <port> é o número da porta de syslog que é usado para comunicar-se com o QRadar Console ou
Event Collector.
v <tcp|udp> é o protocolo que é usado para se comunicar com o QRadar Console ou Event Collector.
5. Digite o comando a seguir para configurar o destino de syslog para eventos de alerta:
store remote add daemon.alert <IP address>:<port> <tcp|udp>
Em que:

78 IBM 539
v <IP address> é o endereço IP do seu QRadar Console ou Event Collector.
v <port> é o número da porta de syslog que é usado para comunicar-se com o QRadar Console ou
Event Collector.
v <tcp|udp> é o protocolo que é usado para se comunicar com o QRadar Console ou Event Collector.
Agora você está pronto para configurar uma política para o IBM InfoSphere Guardium.

Configurando políticas para gerar eventos syslog

As políticas no IBM Guardium são responsáveis por reagir a eventos e encaminhar as informações de
evento para o IBM QRadar.

Procedimento
1. Clique na guia Ferramentas .
2. Na navegação esquerda, selecione Policy Builder.
3. Na área de janela Localizador de política, selecione uma política existente e clique em Editar regras.
4. Clique em Editar esta regra individualmente.
A Definição da regra de acesso é exibida.
5. Clique em Incluir ação.
6. Na lista Ações, selecione um dos tipos de alerta a seguir:
v Alerta por correspondência – Uma notificação é fornecida para cada violação de política.
v Alerta diário – Uma notificação é fornecida na primeira vez que uma violação de política ocorre
nesse dia.
v Alerta uma vez por sessão – Uma notificação é fornecida por violação de política para sessão
exclusiva.
v Alerta por granularidade de tempo – Uma notificação é fornecida pelo prazo selecionado.
7. Na lista Modelo de mensagem, selecione QRadar.
8. Em Tipo de notificação, selecione SYSLOG.
9. Clique em Incluir e, em seguida, clique em Aplicar.
10. Clique em Salvar.
11. Repita “Configurando políticas para gerar eventos syslog” para todas as regras dentro da política
que você deseja encaminhar para o QRadar.
Para obter mais informações sobre como configurar uma política, consulte a documentação do
fornecedor IBM InfoSphere Guardium. Depois de ter configurado todas as políticas, você agora está
pronto para instalar a política em seu sistema IBM Guardium.

Nota: Por causa das políticas configuráveis, o QRadar pode descobrir automaticamente apenas os
eventos de política padrão. Se você tiver customizado políticas que encaminham eventos para o
QRadar, deve-se criar manualmente uma origem de log para capturar esses eventos.

Instalando uma política do IBM Guardium

Qualquer política nova ou editada no IBM Guardium deve ser instalada para que ações de alerta ou
mudanças de regra atualizadas possam ocorrer.

Procedimento
1. Clique na guia Console de administração.
2. Na navegação esquerda, selecione Configuração > Instalação de política.
3. Na área de janela Instalador de política, selecione uma política que você modificou em “Configurando
políticas para gerar eventos syslog”.
4. Na lista suspensa, selecione Instalar e substituir.
Uma confirmação é exibido para instalar a política para todos os Mecanismos de inspeção.

540 Guia de configuração do QRadar DSM

5. Clique em OK.
Para obter mais informações sobre como instalar uma política, consulte a documentação do fornecedor
IBM InfoSphere Guardium. Depois de instalar todas as políticas, você estará pronto para configurar a
origem de log no IBM QRadar.

Configurando uma origem de log

O IBM QRadar descobre automaticamente somente os eventos de política padrão do IBM Guardium.

Sobre Esta Tarefa

Devido à natureza configurável de políticas, é sugerido que você configure uma origem de log
manualmente para o IBM Guardium.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.

Criando um mapa de eventos para eventos do IBM Guardium

O mapeamento de eventos é necessário para um número de eventos do IBM Guardium. Devido à
natureza customizável de regras de política, a maioria dos eventos, exceto os eventos de política padrão,
não contém um mapa predefinido IBM QRadar Identifier (QID) para categorizar eventos de segurança.

Sobre Esta Tarefa

É possível mapear individualmente cada evento de seu dispositivo para uma categoria de evento no
QRadar. O mapeamento de eventos permite que o QRadar identifique, una e rastreie eventos recorrentes
de seus dispositivos de rede. Até que você mapeie um evento, todos os eventos que são exibidos na guia
Atividade de log para o IBM Guardium são categorizados como desconhecidos. Os eventos
desconhecidos são facilmente identificados porque as colunas Nome do evento e Categoria de baixo
nível exibem Desconhecido.

Conforme seu dispositivo encaminha eventos para o QRadar, ele pode levar um tempo para categorizar
todos os eventos de um dispositivo, porque alguns eventos podem não ser gerados imediatamente pelo
dispositivo ou software de origem de eventos. É útil saber como procurar rapidamente eventos
desconhecidos. Quando você sabe como procurar eventos desconhecidos, sugerimos que repita essa
procura até que esteja satisfeito que a maioria de seus eventos são identificados.

78 IBM 541
Procedimento
1. Efetue login no QRadar.
2. Clique na guia Atividade de log.
3. Clique em Incluir filtro.
4. Na primeira lista, selecione Origem de log.
5. Na lista Grupo de origem de log, selecione o grupo de origem de log ou Outro.
As origens de log que não estão designadas a um grupo são categorizadas como Outro.
6. Na lista Origem de log, selecione a origem de log do IBM Guardium.
7. Clique em Incluir filtro.
A guia Atividade de log é exibida com um filtro para sua origem de log.
8. Na lista Visualizar, selecione Última hora.
Quaisquer eventos que forem gerados pelo DSM IBM Guardium na última hora serão exibidos. Os
eventos que são exibidos como desconhecidos na coluna Nome do evento ou Categoria de baixo
nível requerem mapeamento de evento no QRadar.

Nota: É possível salvar o filtro de procura existente clicando em Salvar critérios.

Agora você está pronto para modificar o mapa de eventos.

Modificando o mapa de eventos

A modificação de um mapa de eventos permite a categorização manual de eventos para um mapa IBM
QRadar Identifier (QID). Qualquer evento que é categorizado para uma origem de log pode ser
remapeado para um novo QRadar Identifier (QID).

Sobre Esta Tarefa

Os eventos do mapa de eventos do IBM Guardium que não têm uma origem de log definida não podem
ser mapeados para um evento. Os eventos sem uma origem de log exibem Log genérico SIM na coluna
Origem de log.

Procedimento
1. Na coluna Nome do evento, dê um clique duplo em um evento desconhecido para o IBM Guardium.
As informações de eventos detalhadas são exibidas.
2. Clique em Mapear evento.
3. Na área de janela Procurar QID, selecione qualquer uma das opções de procura a seguir para limitar
as categorias de eventos para um QRadar Identifier (QID):
v Na lista Categoria de alto nível, selecione uma categorização de evento de alto nível.
v Para obter uma lista completa de categorias de eventos de alto e baixo nível ou definições de
categoria, consulte a seção Categorias de eventos do Guia de Administração do IBM QRadar.
v Na lista Categoria de baixo nível, selecione uma categorização de evento de baixo nível.
v Na lista Tipo de origem de log, selecione um tipo de origem de log.
A lista Tipo de origem de log fornece a opção para procurar QIDs de outras origens de log. A
procura de QIDs por origem de log é útil quando os eventos são semelhantes a outro dispositivo de
rede existente. Por exemplo, o IBM Guardium fornece eventos de política; você pode selecionar outro
produto que provavelmente capture eventos semelhantes.
4. Para procurar um QID por nome, digite um nome no campo QID/Nome.
O campo QID/Nome fornece a opção para filtrar a lista completa de QIDs para uma palavra
específica, por exemplo, política.
5. Clique em Procurar.
Uma lista de QIDs é exibida.

542 Guia de configuração do QRadar DSM

6. Selecione o QID que você deseja associar ao evento desconhecido.
7. Clique em OK.
O QRadar mapeia quaisquer eventos adicionais que são encaminhados por seu dispositivo com o
mesmo QID que corresponde à carga útil do evento. A contagem de evento aumenta cada vez que o
evento é identificado pelo QRadar.
Se você atualizar um evento com um novo mapa QRadar Identifier (QID), os eventos passados que
estão armazenados no QRadar não serão atualizadas. Somente os novos eventos serão categorizados
com o novo QID.

IBM IMS
O DSM IBM Information Management System (IMS) para o IBM QRadar permite usar um mainframe
IBM para coletar eventos e auditar transações de banco de dados IMS.

Para integrar eventos do IBM IMS com o QRadar, deve-se fazer download de scripts que permitem que
os eventos do IBM IMS sejam gravados em um arquivo de log.

Visão geral do processo de coleção de eventos:

1. O mainframe IBM registra todos os eventos de segurança como registros Service Management
Framework (SMF) em um repositório em tempo real.
2. Os dados do IBM IMS são extraídos do repositório em tempo real usando o utilitário de dump SMF.
O arquivo SMF contém todos os eventos e campos do dia anterior no formato SMF bruto.
3. O programa qeximsloadlib.trs extrai os dados do arquivo formatado SMF. O programa
qeximsloadlib.trs somente extrai os eventos e campos relevantes para o QRadar e grava essas
informações em um formato condensado para fins de compatibilidade. As informações são salvas em
um local acessível pelo QRadar.
4. O QRadar usa a origem de protocolo de arquivo de log para recuperar as informações do arquivo de
saída para o QRadar em uma base planejada. Em seguida, o QRadar importa e processa esse arquivo.

Configurando o IBM IMS

É possível integrar o IBM IMS com o QRadar:

Procedimento
1. No website do suporte IBM (http://www.ibm.com/support), faça download do arquivo compactado
a seguir:
QexIMS_bundled.tar.gz
2. Em um sistema operacional baseado em Linux, extraia o arquivo:
tar -zxvf qexims_bundled.tar.gz
Os arquivos a seguir estão contidos no archive:
v qexims_jcl.txt - Arquivo de linguagem de controle de tarefas
v qeximsloadlib.trs - Biblioteca de programas compactados (requer o IBM TRSMAIN)
v qexims_trsmain_JCL.txt - Linguagem de controle de tarefas para TRSMAIN para descompactar o
arquivo .trs
3. Carregue os arquivos no mainframe IBM usando os métodos a seguir:
Faça upload dos arquivos de amostra qexims_trsmain_JCL.txt e qexims_jcl.txt usando o protocolo
TEXT.
4. Faça upload do arquivo qeximsloadlib.trs usando o modo de transferência BINARY e anexe a um
conjunto de dados pré-alocado. O arquivo qeximsloadlib.trs é um arquivo tersed que contém o
executável (o programa de mainframe QexIMS). Ao fazer upload do arquivo .trs a partir de uma

78 IBM 543
estação de trabalho, pré-aloque um arquivo no mainframe com os seguintes atributos DCB:
DSORG=PS, RECFM=FB, LRECL= 1024, BLKSIZE=6144. O tipo de transferência de arquivo deve ser o
modo binário e não texto.

Nota: QexIMS é um programa de mainframe em C pequeno que lê a saída do arquivo de log do IMS
(dados de EARLOUT) linha por linha. O QexIMS inclui um cabeçalho para cada registro que contém
informações de evento, por exemplo, descritor de registro, a data e o horário. O programa coloca cada
campo no registro de saída, suprime os caracteres de rastreio de espaço em branco e delimita cada
campo com o caractere de barra vertical. Esse arquivo de saída é formatado para o QRadar e a
supressão de espaço em branco reduz o tráfego de rede para o QRadar. Esse programa não precisa de
muitos recursos de CPU ou disco de E/S.
5. Customize o arquivo qexims_trsmain_JCL.txt de acordo com as informações específicas da instalação
para parâmetros.
Por exemplo, cartão de tarefa, convenções de nomenclatura do conjunto de dados, destinos de saída,
períodos de retenção e requisitos de espaço.
O arquivo qexims_trsmain_JCL.txt ussa o utilitário IBM TRSMAIN para extrair o programa que está
armazenado no arquivo qeximsloadlib.trs.
Um exemplo do arquivo qexims_trsmain_JCL.txt inclui:
//TRSMAIN JOB (yourvalidjobcard),Q1labs,
// MSGCLASS=V
//DEL EXEC PGM=IEFBR14 //D1 DD DISP=(MOD,DELETE),DSN=<yourhlq>.QEXIMS.TRS
// UNIT=SYSDA, // SPACE=(CYL,(10,10))
//TRSMAIN EXEC PGM=TRSMAIN,PARM=’UNPACK’
//SYSPRINT DD SYSOUT=*,DCB=(LRECL=133,BLKSIZE=12901,RECFM=FBA)
//INFILE DD DISP=SHR,DSN=<yourhlq>.QEXIMS.TRS
//OUTFILE DD DISP=(NEW,CATLG,DELETE),
// DSN=<yourhlq>.LOAD, // SPACE=(CYL,(1,1,5),RLSE),UNIT=SYSDA
//
O arquivo de entrada .trs é uma biblioteca formatada IBM TERSE e é extraído com a execução da
JCL, que chama o TRSMAIN. Esse arquivo tersed, quando extraído, cria um linklib PDS com o
programa qexims como um membro.
6. É possível STEPLIB para essa biblioteca ou optar por mover o programa para uma dos LINKLIBs que
estão em LINKLST. O programa não requer autorização.
7. O arquivo qexims_jcl.txt é um arquivo de texto que contém uma JCL de amostra. Deve-se
configurar o cartão de tarefa para atender à sua configuração.
O arquivo de amostra qexims_jcl.txt inclui:
//QEXIMS JOB (T,JXPO,JKSD0093),DEV,NOTIFY=Q1JACK,
// MSGCLASS=P,
// REGION=0M //* //*QEXIMS JCL VERSION 1.0 FEBRUARY 2011
//*
//************************************************************
//* Change dataset names to site specific dataset names *
//************************************************************
//SET1 SET IMSOUT=’Q1JACK.QEXIMS.OUTPUT’,
// IMSIN=’Q1JACK.QEXIMS.INPUT.DATA’
//************************************************************
//* Delete old datasets *
//************************************************************
//DEL EXEC PGM=IEFBR14 //DD1 DD DISP=(MOD,DELETE),DSN=&IMSOUT,
// UNIT=SYSDA, // SPACE=(CYL,(10,10)), // DCB=(RECFM=FB,LRECL=80)
//************************************************************
//* Allocate new dataset
//************************************************************
//ALLOC EXEC PGM=IEFBR14 //DD1 DD DISP=(NEW,CATLG),DSN=&IMSOUT,
// SPACE=(CYL,(21,2)),
// DCB=(RECFM=VB,LRECL=1028,BLKSIZE=6144)
//EXTRACT EXEC PGM=QEXIMS,DYNAMNBR=10,
// TIME=1440 //STEPLIB DD DISP=SHR,DSN=Q1JACK.C.LOAD

544 Guia de configuração do QRadar DSM

//SYSTSIN DD DUMMY
//SYSTSPRT DD SYSOUT=*
//SYSPRINT DD SYSOUT=* //IMSIN DD DISP=SHR,DSN=&IMSIN
//IMSOUT DD DISP=SHR,DSN=&IMSOUT
//*FTP EXEC PGM=FTP,REGION=3800K //*INPUT DD *
//*<target server>
//*<USER>
//*<PASSWORD>
//*ASCII //*PUT ’<IMSOUT>’ /TARGET DIRECTORY>/<IMSOUT>
//*QUIT
//*OUTPUT DD SYSOUT=* //*SYSPRINT DD SYSOUT=*
//*
8. Após o arquivo de saída ser criado, deve-se escolher uma das opções a seguir:
v Planeje uma tarefa para transferir o arquivo de saída para um servidor FTP provisório.
v Cada vez que a tarefa é concluída, o arquivo de saída é encaminhado para um servidor FTP
provisório. Deve-se configurar os parâmetros a seguir na JCL de amostra para encaminhar com
êxito a saída para um servidor FTP provisório:
Por exemplo:
//*FTP EXEC PGM=FTP,REGION=3800K
//*INPUT DD *
//*<target server>
//*<USER>
//*<PASSWORD> //*ASCII //*PUT ’<IMSOUT>’
/TARGET DIRECTORY>/<IMSOUT>
//*QUIT //*OUTPUT DD SYSOUT=*
//*SYSPRINT DD SYSOUT=*
Em que:
v <target server> é o endereço IP ou o nome do host do servidor FTP provisório para receber o
arquivo de saída.
v <USER> é o nome do usuário necessário para acessar o servidor FTP provisório.
v <PASSWORD> é a senha necessária para acessar o servidor FTP provisório.
v <IMSOUT> é o nome do arquivo de saída salvo no servidor FTP provisório.
Por exemplo:
PUT ’Q1JACK.QEXIMS.OUTPUT.C320’ /192.0.2.1/IMS/QEXIMS.OUTPUT.C320

Nota: Deve-se remover as linhas comentadas que começam com //* para o script para encaminhar
adequadamente o arquivo de saída para o servidor FTP provisório.
Agora você está pronto para configurar o protocolo de arquivo de log.
9. Planeje o QRadar para recuperar o arquivo de saída do IBM IMS.
Se o mainframe estiver configurado para entregar arquivos por meio de FTP, SFTP ou permitir SCP,
nenhum servidor FTP provisório será necessário e o QRadar poderá obter o arquivo de saída
diretamente do mainframe. O texto a seguir deve ser comentado usando //* ou excluído do arquivo
qexims_jcl.txt
//*FTP EXEC PGM=FTP,REGION=3800K //*INPUT DD *
//*<target server>
//*<USER> //*<PASSWORD> //*ASCII
//*PUT ’<IMSOUT>’
/<TARGET DIRECTORY>/<IMSOUT>
//*QUIT //*OUTPUT DD SYSOUT=*
//*SYSPRINT DD SYSOUT=*
Agora você está pronto para configurar o protocolo de arquivo de log.

Configurando uma origem de log

Uma origem de protocolo de arquivo de log permite que o IBM QRadar recupere arquivos de log
arquivados a partir de um host remoto.

78 IBM 545
Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Na lista Tipo de origem de log, selecione IBM IMS.
5. Usando a lista Configuração de protocolo, selecione Arquivo de log.
6. Configure os parâmetros a seguir:
Tabela 308. Parâmetros de protocolo de arquivo de log
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log. O identificador de
log origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de serviço Na lista, selecione o protocolo que você deseja usar ao recuperar arquivos de log de
um servidor remover. O padrão é SFTP.
v SFTP - Protocolo de Transferência de Arquivos SSH
v FTP - Protocolo de Transferência de Arquivos
v SCP - Copia segura

O protocolo subjacente que é usado para recuperar arquivos de log para os tipos de
serviço SCP e SFTP requer que o servidor especificado no campo IP ou nome do
host remoto tenha o subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do sistema IBM IMS.
Porta remota Digite a porta TCP no host remoto que esteja executando o Tipo de serviço
selecionado. Se você configurar o Tipo de serviço como FTP, o padrão será 21. Se
você configurar o Tipo de serviço como SFTP ou SCP, o padrão será 22.

O intervalo válido é de 1 a 65535.

Usuário remoto Digite o nome do usuário necessário para efetuar login no sistema IBM IMS.

O nome de usuário pode ter até 255 caracteres de comprimento.

Senha remota Digite a senha necessária para efetuar login no sistema IBM IMS.
Confirmar senha Confirme a Senha remota para efetuar login no sistema IBM IMS.
Arquivo de chave SSH Se você selecionar SCP ou SFTP no campo Tipo de serviço, será possível definir
um caminho de diretório para um arquivo de chave privado SSH. O arquivo de
chave privado SSH oferece a opção de ignorar o campo Senha remota.
Diretório remoto Digite o local do diretório no host remoto a partir do qual os arquivos são
recuperados. Por padrão, o script newauditlog.sh grava os arquivos de log legíveis
pelo usuário no diretório /var/log/.
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo também procure
subpastas. O parâmetro Recursive não será usado se você configurar SCP como o
Tipo de serviço. Por padrão, a caixa de seleção não é selecionada.
Padrão do arquivo de FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, isso fornecerá a opção de
configurar a expressão regular (regex) usado para filtrar a lista de arquivos que são
especificados no Diretório remoto. Todos os arquivos correspondentes são incluídos
no processamento.

Por exemplo, se desejar recuperar todos os arquivos no formato

<starttime>.<endtime>.<hostname>.log, use esta entrada: \d+\.\d+\.\w+\.log.

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

Para obter mais informações, consulte o seguinte website: http://
download.oracle.com/javase/tutorial/essential/regex/

546 Guia de configuração do QRadar DSM

Tabela 308. Parâmetros de protocolo de arquivo de log (continuação)
Parâmetro Descrição
Modo de transferência por Esta opção será exibida somente se você selecionar FTP como o Tipo de serviço. O
FTP parâmetro Modo de transferência por FTP fornece a opção de definir o modo de
transferência de arquivo quando os arquivos de log são recuperados via FTP.

Na lista, selecione o modo de transferência que você deseja aplicar a esta origem de
log:
v Binário - Selecione Binário para origens de log que requerem arquivos de dados
binários ou archives compactados .zip, .gzip, .tar ou .tar+gzip.
v ASCII – Selecione ASCII para origens de log que requerem uma transferência de
arquivos FTP ASCII. Deve-se selecionar NONE para o campo Processador e
LineByLine no campo Gerador de evento; ASCII é usado como o modo de
transferência.
Arquivo remoto do SCP Se você selecionar SCP como o Tipo de serviço, deve-se digitar o nome do arquivo
remoto.
Horário de Início Digite o horário do dia que deseja que o processamento comece. Esse parâmetro
funciona com o valor Recorrência para estabelecer quando e com que frequência o
Diretório remoto é verificado em busca de arquivos. Digite o horário de início, com
base em um relógio de 24 horas, no seguinte formato: HH: MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório seja varrido a cada 2 horas. O
padrão é 1H.
Executar no salvamento Marque esta caixa de seleção se desejar que o protocolo de arquivo de log seja
executado logo após clicar em Salvar. Após o Executar salvamento ser concluído, o
protocolo de arquivo de log segue o horário de início configurado e o planejamento
de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

para o parâmetro Ignorar arquivo(s) processado(s) anteriormente.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O intervalo válido é 100 a 5000.
Processador Se os arquivos no host remoto forem armazenados em um formato de archive .zip,
.gzip, .tar ou tar+gzip, selecione o processador que permite que os archives sejam
expandidos e o conteúdo seja processado.
Ignorar arquivo(s) Marque essa caixa de seleção para rastrear os arquivos que são processados e você
processado(s) anteriormente não deseja que os arquivos sejam processados uma segunda vez. Isso se aplica
somente aos Tipos de serviço FTP e SFTP.
Mudar o diretório local? Marque essa caixa de seleção para definir o diretório local em seu sistema QRadar
que você deseja usar para armazenar arquivos transferidos por download durante o
processamento. Recomendamos que você deixe a caixa de seleção desmarcada.
Quando a caixa de seleção é marcada, o campo Diretório local é exibido,
fornecendo a opção de configurar o diretório local para uso no armazenamento de
arquivos.
Gerador de evento Na lista Gerador de evento, selecione LineByLine.

7. Clique em Salvar.
A configuração está concluída. Os eventos que são recuperados usando o protocolo de arquivo de log
são exibidos na guia Atividade de log do QRadar.

78 IBM 547
IBM Informix Audit
O DSM IBM Informix® Audit permite que o IBM QRadar integre os logs de auditoria do IBM Informix no
QRadar para análise.

O QRadar recupera os arquivos de log de auditoria arquivados do IBM Informix de um host remoto
usando a configuração de protocolo de arquivo de log. O QRadar registra todos os eventos de auditoria
configurados do IBM Informix.

Ao configurar o IBM Informix para usar o protocolo de arquivo de log, certifique-se de que o nome do
host ou endereço IP configurado no IBM Informix seja o mesmo configurado no parâmetro Host remoto
na configuração de protocolo de arquivo de log.

Você está pronto para configurar a origem de log e o protocolo no QRadar:

v
Para configurar o QRadar para receber eventos de um dispositivo IBM Informix, deve-se selecionar a
opção Auditoria do IBM Informix na lista Tipo de origem de log.
v
Para configurar o protocolo de arquivo de log, deve-se selecionar a opção Arquivo de log na lista
Configuração de protocolo.

Use um protocolo seguro para a transferência de arquivos, como o Secure File Transfer Protocol (SFTP).
Conceitos relacionados:
“Opções de configuração de protocolo de Arquivo de log” na página 55
Para receber eventos de hosts remotos, configure uma origem de log para usar o protocolo de Arquivo de
log.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

IBM Lotus Domino

É possível integrar um dispositivo IBM Lotus Domino® com o IBM QRadar. Um dispositivo IBM Lotus
Domino aceita eventos usando SNMP.

Configurando serviços SNMP

Para configurar os serviços SNMP no servidor IBM Lotus Domino:

Procedimento
1. Instale o Lotus Domino SNMP Agent como um serviço. No prompt de comandos, acesse o diretório
Lotus\Domino e digite o comando a seguir:
Insnmp -SC
2. Confirme se o serviço Microsoft SNMP está instalado.
3. Inicie os serviços SNMP e LNSNMP. Em um prompt de comandos, digite os comandos a seguir:
v net start snmp
v net start lnsnmp
4. Selecione Iniciar > Programa > Ferramentas administrativas > Serviços para abrir os Serviços MMC
5. Clique duas vezes no serviço SNMP e selecione a guia Traps.
6. No campo Nome da comunidade, digite pública e clique em incluir na lista.

548 Guia de configuração do QRadar DSM

7. Na seção Destinos de traps, selecione Incluir e digite o endereço IP do IBM QRadar. Clique em
Incluir.
8. Clique em OK.
9. Confirme se ambos os agentes SNMP estão configurados para Automático para que eles sejam
executados quando o servidor for inicializado.

Configurando o SNMP no AIX

Antes de Iniciar

Certifique-se de que o TCP/IP e o SNMP estejam instalados e configurados corretamente no servidor.

Deve-se efetuar login como usuário raiz.

Procedimento
1. Pare o serviço LNSNMP com o comando a seguir:
lnsnmp.sh stop
2. Pare o subsistema SNMP com o comando a seguir:
stopsrc -s snmpd
3. Configure o SNMP para aceitar o LNSNMP como um peer de SMUX. Inclua a linha a seguir em
/etc/snmpd.peers
"Lotus Notes Agent" 1.3.6.1.4.1.334.72 "NotesPasswd"
4. Configure o SNMP para aceitar uma associação SMUX de LNSNMP. Inclua a linha a seguir em
/etc/snmpd.conf ou /etc/snmpdv3.conf
smux 1.3.6.1.4.1.334.72 NotesPasswd
5. Inicie o subsistema SNMP com o comando a seguir:
startsrc -s snmpd
6. Inicie o serviço LNSNMP com o comando a seguir:
lnsnmp.sh start
7. Crie um link para o script LNSNMP
ln -f -s /opt/ibm/lotus/notes/latest/ibmpow/lnsnmp.sh /etc/lnsnmp.rc
8. Configure o serviço LNSNMP para iniciar durante a reinicialização do sistema. Inclua a linha a seguir
no final de /etc/rc.tcpip
/etc/lnsnmp.rc start

Iniciando as tarefas de suplemento do servidor Domino

Depois de configurar os serviços SNMP, deve-se iniciar as tarefas de suplemento do servidor Domino.

Sobre Esta Tarefa

Use o procedimento a seguir para cada partição Domino.

Procedimento
1. Efetue login no console do servidor Domino.
2. Para suportar traps SNMP para eventos do Domino, digite o comando a seguir para iniciar a tarefa de
suplemento do Event Interceptor:
load intrcpt
3. Para suportar traps de limite de estatísticas do Domino, digite o comando a seguir para iniciar a
tarefa de suplemento do Statistic Collector:

78 IBM 549
load collect
4. Organize para que as tarefas de suplemento sejam reiniciadas automaticamente da próxima vez que o
do Domino for reiniciado. Inclua intrcpt e collect na variável ServerTasks no arquivo NOTES.INI do
Domino.

Configurando serviços SNMP

É possível configurar serviços SNMP:

Sobre Esta Tarefa

As configurações podem variar dependendo de seu ambiente. Consulte a documentação do fornecedor

para obter mais informações.

Procedimento
1. Abra o utilitário Domino Administrator e autentique-se com credenciais administrativas.
2. Clique na guia Arquivos e no documento Configuração de monitoramento (events4.nsf).
3. Expanda a árvore Configuração da DDM e selecione Análises de DDM por tipo.
4. Selecione Ativar análises e, em seguida, selecione Ativar todas as análises na visualização.

Nota: Você poderá receber um aviso quando concluir esta ação. Esse aviso é um resultado normal,
uma vez que algumas análises requerem mais configuração.
5. Selecione Filtro de DDM.
É possível criar um novo Filtro de DDM ou editar o Filtro padrão de DDM existente.
6. Aplique o Filtro de DDM a eventos aprimorados e simples. Escolha registrar todos os tipos de
eventos.
7. Dependendo do ambiente, é possível escolher aplicar o filtro a todos os servidores em um domínio
ou somente a servidores específicos.
8. Clique em Salvar. Feche ao concluir.
9. Expanda a árvore Manipuladores de eventos e selecione Manipuladores de eventos por servidor.
10. Selecione Novo manipulador de eventos.
11. Configure os parâmetros a seguir:
v Básico – Servidores a serem monitorados: Escolha monitorar todos os servidores no domínio ou
somente servidores específicos.
v Básico - Acionador de notificação: Qualquer evento que corresponda aos critérios.
v Evento – Critérios a serem correspondidos: Os eventos podem ser de qualquer tipo.
v Evento – Critérios a serem correspondidos: Os eventos devem ser uma destas prioridades (Marcar
todas as caixas).
v Evento – Critérios a serem correspondidos: Os eventos podem ter qualquer mensagem.
v Ação - Método de notificação: Trap SNMP.
v Ação – Ativação: Ative esta notificação.
12. Clique em Salvar. Feche ao concluir.
Agora você está pronto para configurar a origem de log no IBM QRadar.

Configurando o dispositivo IBM Lotus Domino para se comunicar com

o QRadar
O IBM QRadar não descobre automaticamente os eventos de syslog recebidos do dispositivo IBM Lotus
Domino.

550 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

Deve-se criar manualmente uma origem de log na guia Administrador no QRadar.

Parâmetro Descrição
Identificador de origem de
log Digite um endereço IP, nome do host ou nome para identificar a origem de eventos
SNMPv2.

Os endereços IP ou nomes de host são recomendados, visto que eles permitem ao

QRadar identificar um arquivo de log para uma origem de eventos exclusiva.
Comunidade
Digite o nome da comunidade SNMP necessário para acessar o sistema que contém
eventos SNMP.
Incluir OIDs na carga útil
do evento Desmarque o valor dessa caixa de seleção.

Quando selecionada, essa opção constrói eventos SNMP com pares nome-valor em
vez do formato de carga útil do evento padrão.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

Gravador de Sessão Privilegiada da IBM

O IBM QRadar DSM for IBM Privileged Session Recorder pode coletar logs de eventos a partir do seu
dispositivo do IBM Privileged Session Recorder.

A tabela a seguir lista as especificações para o IBM Privileged Session Recorder DSM.
Tabela 310. Especificações do IBM Privileged Session Recorder
Especificação Valor
Fabricante IBM
Nome do DSM Gravador de Sessão Privilegiada
Nome do arquivo RPM DSM-IBMPrivilegedSessionRecorder
Protocolo JDBC
Tipos de evento registrado do QRadar Eventos de auditoria de execução de comando
Descobertos automaticamente? No
Inclui identidade? No
Informações adicionais website da IBM (http://www.ibm.com/)

78 IBM 551
Para coletar eventos do IBM Privileged Session Recorder, use os procedimentos a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale os RPMs a seguir em
seu QRadar Console:
v RPM Protocol-JDBC
v IBM Privileged Session Recorder DSM RPM
2. No painel do IBM Security Privileged Identity Manager, obtenha as informações do banco de dados
para o armazenamento de dados do Privileged Session Recorder e configure seu banco de dados DB2
do IBM Privileged Session Recorder para permitir conexões TCP de entrada.
3. Para cada instância do IBM Privileged Session Recorder, crie uma origem de log do IBM Privileged
Session Recorder no QRadar Console. Use a tabela a seguir para definir os parâmetros do Imperva
SecureSphere:
Tabela 311. Parâmetros de origem de log do IBM Privileged Session Recorder
Parâmetro Descrição
Tipo de Fonte de Log Gravador de Sessão Privilegiada da IBM
Configuração de protocolo JDBC
Identificador de Fonte de Log DATABASE@HOSTNAME
Tipo de banco de dados DB2
Nome do Banco de Dados O nome do armazenamento de dados do Session
Recorder que você configurou no painel do IBM
Privileged Identity Manager.
IP ou nome do host O endereço do servidor do banco de dados do Session
Recorder.
Port A porta que é especificada no painel do IBM Privileged
Identity Manager.
Username O nome do usuário do banco de dados do DB2
Senha A senha do banco de dados do DB2
Consulta Predefinida Gravador de Sessão Privilegiada da IBM
Usar Instruções Preparadas Essa opção deve ser selecionada.
Data e Hora de Início A data e hora iniciais para a recuperação do JDBC.

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o IBM Privileged Session Recorder para se comunicar com o QRadar” na página 553
Antes de poder configurar uma origem de log no IBM Privileged Session Recorder para o IBM QRadar,
obtenha as informações do banco de dados para a origem de dados do Privileged Session Recorder.
Também deve-se configurar seu banco de dados DB2 do IBM Privileged Session Recorder para permitir
conexões TCP de entrada do QRadar.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

552 Guia de configuração do QRadar DSM

Configurando o IBM Privileged Session Recorder para se comunicar
com o QRadar
Antes de poder configurar uma origem de log no IBM Privileged Session Recorder para o IBM QRadar,
obtenha as informações do banco de dados para a origem de dados do Privileged Session Recorder.
Também deve-se configurar seu banco de dados DB2 do IBM Privileged Session Recorder para permitir
conexões TCP de entrada do QRadar.

O IBM Privileged Session Recorder é um componente do IBM Security Privileged Identity Manager.

Procedimento
1. Efetue login na interface com o usuário da web do IBM Security Privileged Identity Manager.
2. Selecione a guia Configurar o Privileged Identity Manager.
3. Selecione Configuração do servidor de banco de dados na seção Gerenciar entidades externas.
4. Na tabela, dê um clique duplo na linha Armazenamento de dados de gravação de sessão na coluna
Configuração do servidor de banco de dados.
5. 5. Registre os parâmetros a seguir para usar ao configurar uma origem de log no QRadar:

Campo do IBM Privileged Session Recorder Campo de origem de log do QRadar

Nome do Host IP ou nome do host
Port Port
Nome do banco de dados Nome do Banco de Dados
ID do Administrador do Banco de Dados Username

Configurando uma origem de log para o IBM Privileged Session

Recorder
O QRadar não descobre automaticamente eventos do IBM Privileged Session Recorder. Para integrar
dados do evento do IBM Privileged Session Recorder, deve-se criar uma origem de log para cada
instância a partir da qual deseja coletar logs de evento.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Administrador.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. Na lista Tipo de origem de log, selecione o IBM Privileged Session Recorder.
8. Na lista Configuração de protocolo, selecione JDBC.
9. Configure os parâmetros para a origem de log. Esses parâmetros são localizados no “Opções de
configuração de protocolo JDBC” na página 49.
10. Clique em Salvar.
11. Na guia Administrador, clique em Implementar mudanças.
Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.

78 IBM 553
IBM Proventia
O IBM QRadar suporta vários DSMs IBM Proventia.

Vários DSMs IBM Proventia são suportados pelo QRadar:

IBM Proventia Management SiteProtector

O DSM IBM Proventia® Management SiteProtector para o IBM QRadar aceita eventos do SiteProtector
pesquisando o banco de dados SiteProtector.

O DSM permite que o QRadar registre eventos do Sistema de Prevenção de Intrusão (IPS) e eventos de
auditoria diretamente do banco de dados IBM SiteProtector.

Nota: O DSM IBM Proventia Management SiteProtector requer o protocolo JDBC mais recente para
coletar eventos de auditoria.

O DSM IBM Proventia Management SiteProtector para o IBM QRadar pode aceitar eventos detalhados do
SiteProtector lendo informações da tabela SensorData1 primária. A tabela SensorData1 é gerada com
informações de diversas outras tabelas no banco de dados IBM SiteProtector. SensorData1 permanece a
tabela primária para coletar eventos.

Os eventos IDP incluem informações da SensorData1, com informações das tabelas a seguir:
v SensorDataAVP1
v SensorDataReponse1

Os eventos de auditoria incluem informações das tabelas a seguir:

v AuditInfo
v AuditTrail

Os eventos de auditoria não são coletados por padrão e fazem uma consulta separada nas tabelas
AuditInfo e AuditTrail quando você marca a caixa de seleção Incluir eventos de auditoria. Para obter
mais informações sobre as tabelas do banco de dados SiteProtector, consulte a documentação do
fornecedor.

Antes de configurar o QRadar para integrar-se com o SiteProtector, é sugerido que você crie uma conta e
senha de usuário do banco de dados no SiteProtector para o QRadar.

O usuário do QRadar deve ter permissões de leitura para a tabela SensorData1, que armazena eventos do
SiteProtector. O protocolo JDBC – SiteProtector permite que o QRadar efetue login e pesquise eventos do
banco de dados. A criação de uma conta do QRadar não é requerida, mas é recomendada para rastrear e
proteger dados de eventos.

Nota: Assegure-se de que nenhuma regra de firewall esteja bloqueando a comunicação entre o console do
SiteProtector e o QRadar.

Configurando uma origem de log

É possível configurar o IBM QRadar para pesquisar eventos do IBM SiteProtector:

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.

554 Guia de configuração do QRadar DSM

5. Na lista Tipo de origem de log, selecione IBM Proventia Management SiteProtector.
6. Usando a lista Configuração de protocolo, selecione JDBC – SiteProtector.
7. Configure os valores a seguir:
Tabela 312. Parâmetros do protocolo JDBC – SiteProtector
Parâmetro Descrição
Identificador de origem de log Digite o identificador da origem de log. O identificador de origem de log deve
ser definido no formato a seguir:

Em que:
v <database> é o nome do banco de dados, conforme definido no parâmetro Nome
do banco de dados. O nome do banco de dados é obrigatório.
v <hostname> é o nome do host ou endereço IP para a origem de log conforme
definido no parâmetro IP ou do nome do host. O nome do host é obrigatório.

O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de banco de dados Na lista, selecione MSDE como o tipo de banco de dados a ser usado para a
origem de eventos.
Nome do banco de dados Digite o nome do banco de dados ao qual você deseja se conectar. O nome do
banco de dados padrão é RealSecureDB.
IP ou nome do host Digite o endereço IP ou o nome do host do servidor de banco de dados.
Porta Digite o número da porta que é usado pelo servidor de banco de dados. O
padrão que é exibido depende do Tipo de banco de dados selecionado. O
intervalo válido é 0 a 65536. O padrão para o MSDE é a porta 1433.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados. O banco de dados deve ter conexões TCP recebidas que sejam ativadas
para se comunicar com o QRadar.

O número da porta padrão para todas as opções inclui as portas a seguir:

v MSDE - 1433
v Postgres - 5432
v MySQL - 3306
v Oracle - 1521
v Sybase - 1521

Se você definir uma Instância de banco de dados ao usar o MSDE como o tipo de
banco de dados, deve-se deixar o parâmetro Porta em branco na configuração.
Nome do usuário Digite o nome do usuário do banco de dados. O nome do usuário pode ter até
255 caracteres alfanuméricos de comprimento. O nome do usuário também pode
incluir sublinhados (_).
Senha Digite a senha do banco de dados.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha Confirme a senha para acessar o banco de dados.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados
estiver configurado para Windows, deve-se definir um Domínio de autenticação
do Windows. Caso contrário, deixe este campo em branco.

O domínio de autenticação deve conter caracteres alfanuméricos. O domínio pode

incluir os caracteres especiais a seguir: sublinhado (_), traço (-) e ponto(.).

78 IBM 555
Tabela 312. Parâmetros do protocolo JDBC – SiteProtector (continuação)
Parâmetro Descrição
Instância de banco de dados Se você selecionar MSDE como o Tipo de banco de dados e houver diversas
instâncias do servidor SQL em um servidor, defina a instância à qual você deseja
se conectar.

Se você usar uma porta não padrão na configuração do banco de dados, ou tiver
bloqueado o acesso à porta 1434 para resolução do banco de dados SQL, deve-se
deixar o parâmetro Database Instance em branco na configuração.
Nome da tabela Digite o nome da visualização que inclui os registros de eventos. O nome da
tabela padrão é SensorData1.
Nome da visualização de AVP Digite o nome da visualização que inclui os atributos de eventos. O nome da
tabela padrão é SensorDataAVP.
Nome da visualização de Digite o nome da visualização que inclui os eventos de resposta. O nome da
resposta tabela padrão é SensorDataResponse.
Selecionar lista Digite * para incluir todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se necessário para sua configuração. A lista deve conter
o campo que está definido no parâmetro Comparar campo. A lista separada por
vírgula pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode
incluir os seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#),
sublinhado (_), traço (-) e ponto (.).
Comparar campo Digite SensorDataRowID para identificar novos eventos incluídos entre as consultas
na tabela.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M

para minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em
qualquer formato de hora. Valores numéricos sem um designador H ou M
pesquisam em segundos.
Usar comunicação de canal Se você selecionar MSDE como o Tipo de banco de dados, marque essa caixa de
nomeado seleção para usar um método alternativo para uma conexão de porta TCP/IP.

Quando uma conexão de Canal nomeado é usada, o nome do usuário e a senha

devem o nome do usuário e a senha apropriados de autenticação do ser o
apropriados do Windows e não o nome do usuário e a senha do banco de dados.
Além disso, deve-se usar o canal nomeado padrão.
Nome do cluster do banco de Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
dados parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.
Incluir eventos de auditoria Marque essa caixa de seleção para coletar eventos de auditoria do IBM
SiteProtector.

Por padrão, essa caixa de seleção fica desmarcada.

Usar NTLMv2 Marque a caixa de seleção Usar NTLMv2 para forçar as conexões MSDE a
usarem o protocolo NTLMv2 ao se comunicar com servidores SQL que requerem
autenticação NTLMv2. O valor padrão da caixa de seleção é selecionado.

556 Guia de configuração do QRadar DSM

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

IBM ISS Proventia

O DSM IBM Integrated Solutions Systems® (ISS) Proventia para o IBM QRadar registra todos os eventos
relevantes do IBM Proventia® usando SNMP.

Procedimento
1. Na área de janela de navegação da interface com o usuário do Proventia Manager, expanda o Nó do
sistema.
2. Selecione Sistema.
3. Selecione Serviços.
A página Configuração de serviço é exibida.
4. Clique na guia SNMP.
5. Selecione Traps SNMP ativados.
6. No campo Receptor de trap, digite o endereço IP do QRadar que você deseja monitorar traps SNMP
recebidos.
7. No campo Comunidade de trap, digite o nome da comunidade apropriado.
8. Na lista Versão de trap, selecione a versão de trap.
9. Clique em Salvar mudanças.
Agora você está pronto para configurar o QRadar para receber traps SNMP.
10. Para configurar o QRadar para receber eventos de um dispositivo ISS Proventia. Na lista Tipo de
origem de log, selecione IBM Proventia Network Intrusion Prevention System (IPS).
Para obter mais informações sobre o dispositivo ISS Proventia, consulte a documentação do
fornecedor.
Conceitos relacionados:
“Opções de configuração de protocolo SNMPv2” na página 75
É possível configurar uma fonte de log para utilizar o protocolo SNMPv2 para receber eventos SNMPv2.
“Opções de configuração de protocolo SNMPv3” na página 76
É possível configurar uma fonte de log para utilizar o protocolo SNMPv3 para receber eventos do
SNMPv3.

IBM QRadar Packet Capture

O IBM QRadar DSM for IBM QRadar Packet Capture coleta eventos de um dispositivo IBM Security
Packet Capture.

A tabela a seguir descreve as especificações para o DSM do IBM QRadar Packet Capture:
Tabela 313. Especificações de DSM do IBM QRadar Packet Capture
Especificação Valor
Fabricante IBM
Nome do DSM IBM QRadar Packet Capture
Nome do arquivo RPM DSM-IBMQRadarPacketCapture-QRadar_version-
build_number.noarch.rpm
Versões Suportadas IBM QRadar Packet Capture V7.2.3 para V7.2.7

IBM QRadar Network Packet Capture V7.3.0

78 IBM 557
Tabela 313. Especificações de DSM do IBM QRadar Packet Capture (continuação)
Especificação Valor
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website da IBM (http://www.ibm.com/support/
knowledgecenter/SS42VS_7.2.8/com.ibm.qradar.doc/
c_pcap_introduction.html)

IBM QRadar Network Packet Capture Knowledge Center

(https://www.ibm.com/suppport/knowledgecenter/
SS42VS_7.2.8/kc_gen/toc-gen43.html)

Para integrar o IBM QRadar Packet Capture ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM do IBM QRadar Packet Capture
2. Configure seu dispositivo IBM QRadar Packet Capture para enviar eventos de syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do IBM
QRadar Packet Capture no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para coletar eventos do IBM QRadar Packet Capture:
Tabela 314. Parâmetros de origem de log do IBM QRadar Packet Capture
Parâmetro Valor
Tipo de origem de log IBM QRadar Packet Capture
Configuração do Protocolo Syslog

4. Para verificar se o QRadar está configurado corretamente, revise as tabelas a seguir para ver exemplos
de mensagens de evento analisadas.
A tabela a seguir mostra uma mensagem de evento de amostra do IBM QRadar Packet Capture:
Tabela 315. Mensagem de amostra do IBM QRadar Packet Capture
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Usuário Incluído Conta do Usuário Incluída May 10 00:01:04 <Server>
LEEF: 2.0|IBM|QRadar Packet
Capture|7.2.7.255-1G
|UserAdded|cat=Admin msg=User
<Username> foi incluído

A tabela a seguir mostra uma mensagem de evento de amostra do IBM QRadar Network Packet
Capture:

558 Guia de configuração do QRadar DSM

Tabela 316. Mensagem de amostra do IBM QRadar Network Packet Capture
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Estatísticas do Packet Informações < 14 > Mar 1 20:39:41 <Server> LEEF:
Capture 2.0|IBM|Packet Capture|7.3.0|1|^|
captured_packets=8844869^captured
_packets_udp=4077106^captured_
bytes_udp=379169082^total_packets
=9090561^captured_bytes=27938019
18^captured_bytes_tcp=2379568101
^compression_ratio=27.4^captured
_packets_tcp=4356387^oldest_packet
=2017-03-01T20:39:41.915555490Z^
total_bytes=2853950159

Configurando o IBM QRadar Packet Capture para se comunicar com o

QRadar
Para coletar eventos do IBM QRadar Packet Capture, deve-se configurar o encaminhamento de eventos
para um servidor syslog remoto.

Procedimento
1. Usando SSH, efetue login no seu dispositivo IBM QRadar Packet Capture como o usuário raiz.
2. Escolha uma das opções a seguir para ativar o syslog.
a. Opção 1: abra o arquivo /etc/rsyslog.conf em um editor de texto como vi:
vi /etc/rsyslog.conf
Em seguida, inclua a linha a seguir no final do arquivo:
*.* @@<QRadar Event collector IP>:514
b. Opção 2: crie o arquivo <filename>.conf no diretório /etc/rsyslog.d/ e, em seguida, inclua a
linha a seguir no arquivo que você criou:
*.* @@<QRadar Event collector IP>:514
3. Reinicie o serviço Syslog digitando o comando a seguir:
service rsyslog restart
Os logs de mensagens são enviados para o QRadar Event Collector e as cópias locais são salvas.

Nota: O QRadar analisa apenas eventos LEEF para o IBM QRadar Packet Capture. Na guia Atividade
de log no QRadar, o Nome do evento é exibido como IBM QRadar Packet Capture Message e a
Categoria de nível baixo é exibida como Armazenado para todos os outros eventos.

O que Fazer Depois

Para verificar se os eventos LEEF estão sendo registrados no dispositivo IBM QRadar Packet Capture,
inspecione /var/log/messages.

tail /var/log/messages

78 IBM 559
Configurando o IBM QRadar Network Packet Capture para se
comunicar com o QRadar
Para coletar eventos do IBM QRadar Network Packet Capture, deve-se configurar um servidor Syslog
remoto para seu dispositivo IBM QRadar Network Packet Capture.

Procedimento
1. Efetue login no seu dispositivo IBM QRadar Network Packet Capture como administrador.
2. Clique em Administrador.
3. Na área de janela CONFIGURAÇÃO DE SYSLOG REMOTO, ative Criação de log do sistema.
4. Ative o protocolo UPD ou TCP, dependendo de suas configurações de transferência.
5. No campo Porta do servidor Syslog remoto, digite o número da porta que você deseja usar para
enviar eventos de syslog remoto. O número da porta padrão para syslog remoto é 514.
6. No campo Servidor Syslog Remoto, digite o endereço IP para o QRadar Event Collector para o qual
você deseja enviar eventos.
7. Clique em Aplicar.

Nota: O QRadar analisa somente eventos de LEEF para o IBM QRadar Network Packet Capture. Na
guia Atividade de log no QRadar, o Nome do evento é exibido como IBM QRadar Packet Capture
Message e a Categoria de nível baixo é exibida como Armazenado para todos os outros eventos.

IBM RACF
O IBM RACF DSM coleta eventos de um mainframe do IBM z/OS usando o IBM Security zSecure.

Para coletar eventos do IBM RACF, conclua as etapas a seguir:

1. Verifique se sua instalação atende aos requisitos de instalação do pré-requisito. Para obter mais
informações sobre requisitos de pré-requisito, consulte o IBM Security zSecure Suite 2.2.1
Pre-requisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html) .
2. Configure a imagem do IBM z/OS para gravar eventos no formato LEEF. Para obter mais
informações, consulte o IBM Security zSecure Suite: CARLa-Driven Components Installation and
Deployment Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html).
3. Crie uma origem de log no QRadar for IBM RACF.
4. Se você deseja criar uma propriedade de evento customizado para o IBM RACF no QRadar, para
obter mais informações, consulte a nota técnica Propriedades de evento customizado do IBM Security
for IBM z/OS (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/
SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf).

Antes de iniciar

Os seguintes pré-requisitos são necessários:

560 Guia de configuração do QRadar DSM

Criando uma origem de log para o protocolo Arquivo de log

O protocolo de Arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados de um
host remoto para o IBM z/OS, IBM CICS, IBM RACF, IBM DB2, CA Top Secret e CA ACF2 DSM...

Sobre Esta Tarefa

78 IBM 561
8. Na lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os parâmetros de protocolo Arquivo de log.
A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos
do DSM:
Tabela 317. Parâmetros de protocolo de Arquivo de log
Parâmetro Valor
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
log Os endereços IP ou nomes de host são sugeridos conforme eles permitem ao
QRadar identificar um arquivo de log para uma origem de eventos exclusiva.

As opções incluem as portas:

v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22

562 Guia de configuração do QRadar DSM

Tabela 317. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Recursivo Se você desejar que o padrão do arquivo procure as subpastas no diretório remoto,
selecione esta caixa de seleção. Por padrão, a caixa de seleção não é selecionada.

O mainframe do IBM z/OS que usa o IBM Security zSecure Audit grava arquivos
de eventos usando o padrão: <product_name>.<timestamp>.gz

O padrão do arquivo FTP que você especificar deve corresponder ao nome

designado aos arquivos de eventos. Por exemplo, para coletar arquivos que
comecem com zOS e terminem com .gz, digite o código a seguir:

zOS.*\.gz

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

O modo de transferência binário é necessário para os arquivos de eventos que são

Esse parâmetro funciona com o valor de Recorrência para estabelecer quando e com
que frequência o Diretório Remoto é varrido em busca de arquivos. Digite o horário
de início, com base em um relógio de 24 horas, no seguinte formato: HH: MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório remoto seja varrido a cada 2
horas a partir da hora de início. O padrão é 1H.
Executar no salvamento Selecione esta caixa de seleção se desejar que o protocolo de Arquivo de log seja
executado imediatamente após você clicar em Salvar.

Após o Executar ao salvar ser concluído, o protocolo de arquivo de log segue o

horário de início configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

78 IBM 563
Tabela 317. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Processador Na lista, selecione gzip.

Os processadores permitem que os archives de arquivo de evento sejam expandidos

O QRadar examina os arquivos de log no diretório remoto para determinar se um

Essa opção se aplica somente a tipos de serviço FTP e SFTP.

Mudar o diretório local? Selecione essa caixa de seleção para definir um diretório local em seu QRadar para
armazenar arquivos transferidos por download durante o processamento.

O Gerador de Evento aplica mais processamento aos arquivos de eventos

recuperados. Cada linha é um único evento. Por exemplo, se um arquivo tiver 10
linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

Os DSMs a seguir são suportados:

v IBM z/OS
v IBM CICS
v IBM RACF
v IBM DB2
v CA secreto
v CA ACF2

Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log para o seu DSM
no console do QRadar.

A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos para
seu DSM:

564 Guia de configuração do QRadar DSM

Tabela 318. Parâmetros de origem de log
Parâmetro Valor
Tipo de origem de log Selecione o nome do DSM na lista.
Configuração do Protocolo Syslog
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

Integrar o IBM RACF com o IBM QRadar usando scripts de auditoria

O IBM RACF DSM coleta eventos e transações de auditoria no mainframe IBM com o protocolo de
Arquivo de log.

O QRadar registra todas as informações relevantes e disponíveis do evento.

Nota: A integração do zSecure é a única que fornece eventos customizados para a origem de log. Os
eventos customizados podem ser exibidos mesmo quando você coleta eventos usando a integração do
QEXRACF nativo.

Use o procedimento a seguir para integrar os eventos do IBM RACF no QRadar:

1. O sistema de mainframe IBM registra todos os eventos de segurança como registros Service
Management Framework (SMF) em um repositório em tempo real.
2. À meia-noite, os dados do IBM RACF são extraídos do repositório em tempo real usando o utilitário
de dump SMF. O utilitário RACFICE IRRADU00 (um utilitário IBM) cria um arquivo de log que
contém todos os eventos e campos do dia anterior em um formato de registro SMF.
3. O programa QEXRACF extrai os dados do arquivo formatado SMF. O programa extrai somente os
eventos e campos relevantes para o QRadar e grava essas informações em um formato condensado
para fins de compatibilidade. As informações também são salvas em um local acessível pelo QRadar.
4. O QRadar usa a origem de protocolo de Arquivo de log para puxar o arquivo de saída QEXRACF e
recupera as informações em uma base planejada. Em seguida, o QRadar importa e processa esse
arquivo.

Configurando o IBM RACF que usa scripts de auditoria para integrar

com o IBM QRadar
O IBM QRadar usa scripts para eventos de auditoria de instalações do IBM RACF, que são coletados
usando o protocolo de Arquivo de log.

Procedimento
1. Faça download do qexracf_bundled.tar.gz no website do suporte IBM.
2. Em um sistema operacional de base baseado em Linux, use o comando a seguir para extrair o
arquivo:
tar -zxvf qexracf_bundled.tar.gz
Os arquivos a seguir estão contidos no archive:
v qexracf_jcl.txt
v qexracfloadlib.trs
v qexracf_trsmain_JCL.txt
3. Carregue os arquivos no mainframe IBM usando qualquer método de transferência de arquivo do
emulador de terminal.
Faça upload dos arquivos qexracf_trsmain_JCL.txt e qexracf_jcl.txt usando o protocolo TEXT.
Faça upload do arquivo QexRACF loadlib.trs usando o modo binário e anexe a um conjunto de
dados pré-alocado. O arquivo QexRACF loadlib.trs é um arquivo tersed que contém o executável (o
programa de mainframe QEXRACF).

78 IBM 565
Ao fazer upload do arquivo .trs de uma estação de trabalho, pré-aloque um arquivo no mainframe
com os seguintes atributos DCB: DSORG=PS, RECFM=FB, LRECL=1024, BLKSIZE=6144. O tipo de
transferência de arquivo deve ser o modo binário e não texto.
4. Customize o arquivo qexracf_trsmain_JCL.txt de acordo com seus requisitos específicos da
instalação.
O arquivo qexracf_trsmain_JCL.txt usa o utilitário IBM Trsmain para descompactar o programa que
está armazenado no arquivo QexRACF loadlib.trs.
Segue um exemplo do arquivo qexracf_trsmain_JCL.txt que inclui o código a seguir:
//TRSMAIN JOB (yourvalidjobcard),Q1labs,
// MSGCLASS=V //DEL EXEC PGM=IEFBR14
//D1 DD DISP=(MOD,DELETE),DSN=<yourhlq>.QEXRACF.TRS // UNIT=SYSDA,
// SPACE=(CYL,(10,10))
//TRSMAIN EXEC PGM=TRSMAIN,PARM=’UNPACK’
//SYSPRINT DD SYSOUT=*,DCB=(LRECL=133,BLKSIZE=12901,RECFM=FBA)
//INFILE DD DISP=SHR,DSN=<yourhlq>.QEXRACF.TRS
//OUTFILE DD DISP=(NEW,CATLG,DELETE),
// DSN=<yourhlq>.LOAD,
// SPACE=(CYL,(10,10,5),RLSE),UNIT=SYSDA //
Deve-se atualizar o arquivo com as informações específicas da instalação relativas aos parâmetros,
como cartão de tarefa, convenções de nomenclatura de conjunto de dados, destinos de saída, períodos
de retenção e necessidades de espaço.
O arquivo de entrada .trs é uma biblioteca formatada IBM TERSE e é extraído com a execução da
JCL, que chama o TRSMAIN. Esse arquivo tersed, quando extraído, cria um linklib PDS com o
programa QEXRACF como um membro.
5. É possível STEPLIB para essa biblioteca ou optar por mover o programa para um dos LINKLIBs que
estão no LINKLST. O programa não requer autorização.
6. Quando o upload for concluído, copie o programa para um link existente listado na biblioteca ou
inclua uma instrução STEPLIB DD que tenha o nome do conjunto de dados correto da biblioteca que
conterá o programa.
7. O arquivo qexracf_jcl.txt é um arquivo de texto que contém um deck de JCL de amostra para
fornecer a você a JCL necessária para executar o utilitário IBM IRRADU00. Isso permite que o QRadar
obtenha os eventos do IBM RACF necessários. Configure o cartão de tarefa para atender aos seus
padrões locais.
Um exemplo do arquivo qexracf_jcl.txt tem o código a seguir.
//QEXRACF JOB (<your valid jobcard>),Q1LABS,
// MSGCLASS=P, // REGION=0M //*
//*QEXRACF JCL version 1.0 April 2009 //*
//*************************************************************
//* Change below dataset names to sites specific datasets names *
//*************************************************************
//SET1 SET SMFOUT=’<your hlq>.CUSTNAME.IRRADU00.OUTPUT’,
// SMFIN=’<your SMF dump ouput dataset>’,
// QRACFOUT=’<your hlq>.QEXRACF.OUTPUT’
//*************************************************************
//* Delete old datasets *
//*************************************************************
//DEL EXEC PGM=IEFBR14 //DD2 DD DISP=(MOD,DELETE),DSN=&QRACFOUT,
// UNIT=SYSDA, // SPACE=(TRK,(1,1)), // DCB=(RECFM=FB,LRECL=80)
//*************************************************************
//* Allocate new dataset *
//*************************************************************
//ALLOC EXEC PGM=IEFBR14
//DD1 DD DISP=(NEW,CATLG),DSN=&QRACFOUT,
// SPACE=(CYL,(1,10)),UNIT=SYSDA,
// DCB=(RECFM=VB,LRECL=1028,BLKSIZE=6144)
//************************************************************
//* Execute IBM IRRADU00 utility to extract RACF smf records *
//*************************************************************
//IRRADU00 EXEC PGM=IFASMFDP

566 Guia de configuração do QRadar DSM

//SYSPRINT DD SYSOUT=*
//ADUPRINT DD SYSOUT=*
//OUTDD DD DSN=&SMFOUT,SPACE=(CYL,(100,100)),DISP=(,CATLG),
// DCB=(RECFM=FB,LRECL=8192,BLKSIZE=40960),
// UNIT=SYSALLDA
//SMFDATA DD DISP=SHR,DSN=&SMFIN
//SMFOUT DD DUMMY
//SYSIN DD *INDD(SMFDATA,OPTIONS(DUMP))
OUTDD(SMFOUT,TYPE(30:83)) ABEND(NORETRY)
USER2(IRRADU00) USER3(IRRADU86) /*
//EXTRACT EXEC PGM=QEXRACF,DYNAMNBR=10,
// TIME=1440
//*STEPLIB DD DISP=SHR,DSN=
<the loadlib containing the QEXRACF program if not in LINKLST>
//SYSTSIN DD DUMMY //SYSTSPRT DD SYSOUT=*
//SYSPRINT DD SYSOUT=*
//RACIN DD DISP=SHR,DSN=&SMFOUT
//RACOUT DD DISP=SHR,DSN=&QRACFOUT //
//*************************************************************
//* FTP Output file from C program (Qexracf) to an FTP server *
//* QRadar will go to that FTP Server to get file *
//* Note you need to replace <user>, <password>,<serveripaddr>*
//* <THEIPOFTHEMAINFRAMEDEVICE> and <QEXRACFOUTDSN> *
//*************************************************************
//*FTP EXEC PGM=FTP,REGION=3800K //*INPUT DD *
//*<FTPSERVERIPADDR>
//*<USER>
//*<PASSWORD>
//*ASCII //*PUT ’<QEXRACFOUTDSN>’
/<THEIPOFTHEMAINFRAMEDEVICE>/<QEXRACFOUTDSN>
//*QUIT //*OUTPUT DD SYSOUT=*
//*SYSPRINT DD SYSOUT=* //* //*
8. Após a criação do arquivo de saída, deve-se enviar esse arquivo para um servidor FTP: Essa ação
assegura que toda vez que você executar o utilitário, o arquivo de saída seja enviado a um servidor
FTP específico para processamento no final do script. Se a plataforma z/OS estiver configurada para
entregar arquivos por meio de FTP ou SFTP, ou permitir SCP, nenhum servidor provisório será
necessário e o QRadar poderá obter esses arquivos diretamente do mainframe. Se um servidor FTP
provisório for necessário, o QRadar irá requerer um endereço IP exclusivo para cada origem de log
IBM RACF ou elas serão unidas como um só sistema.

IBM SAN Volume Controller

O IBM QRadar DSM for IBM SAN Volume Controller coleta eventos do IBM SAN Volume Controller.

A tabela a seguir descreve as especificações para o DSM do IBM SAN Volume Controller:
Tabela 319. Especificações de DSM do IBM SAN Volume Controller
Especificação Valor
Fabricante IBM
Nome do DSM IBM SAN Volume Controller
Nome do arquivo RPM DSM-IBMSANVolumeController-QRadar_version-
build_number.noarch.rpm
Versões Suportadas N/A
Protocolo Syslog
Formato de evento CADF
Tipos de eventos registrados Eventos de auditoria de Atividade, Controle e Monitor
Descobertos automaticamente? SIM
Inclui identidade? No

78 IBM 567
Tabela 319. Especificações de DSM do IBM SAN Volume Controller (continuação)
Especificação Valor
Inclui propriedades customizadas? No
Informações adicionais Website do IBM SAN Volume Controller
(http://www-03.ibm.com/systems/storage/software/
virtualization/svc/)

Para integrar o IBM SAN Volume Controller ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir, na ordem em que estão listados em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM do IBM SAN Volume Controller
2. Configure seu servidor do IBM SAN Volume Controller para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do IBM SAN
Volume Controller no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para a coleção de eventos do IBM SAN Volume Controller:
Tabela 320. Parâmetros de origem do log do IBM SAN Volume Controller
Parâmetro Valor
Tipo de origem de log IBM SAN Volume Controller
Configuração do Protocolo Syslog
Log Source Identifier O endereço IP ou o nome do host do servidor IBM SAN
Volume Controller.

568 Guia de configuração do QRadar DSM

Tabela 321. Mensagem de amostra do IBM SAN Volume Controller
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Backup bem-sucedido Êxito ao Fazer o Backup da Oct 12 20:02:33
Atividade Cluster_ <IP_address> IBM2145:
{
com/cloud/audit/1.0/event "
,"eventTime": "2016-10-12T20:02
:30.000000+0000","target":
{"typeURI": "service/storage/
object","id": "0","name":
"username"},"observer": {"typeURI"
: "service/network/cluster/logger",
"id": "10032004394","name":
"username"},"tags": ["Backup"],
"eventType": "activity",
"measurements": [{"metric":
{
/Backup_Time/0000000000/000/0 ",
"name": "Time of backup being
copied or restored","unit":
"YYMMDDHHMMSS"},"result": "2016/
10/12/20/02/30"},{"metric":
{
Cloud/Backup_Generation_Number/
0000000000/000/0","name":
"Volume backup generation number",
"unit": "Natural Number"},"result"
: "1"}],"initiator": {"typeURI":
"service/network/node","host":
{,
"attachments": [{"content":
"6005076400C8010E5000000000000
000","typeURI": "text/plain",
"name": "volume_uuid"}],"name":
"username","id": "1"},"reason":
{"reasonCode": "200","reasonType"
: " http://www.example.com/assignments
/http-status-codes/http-status
-codes.xml"},"action": "backup"
,"outcome": "success","id":
"xxxxxxxxxxx-xxxxxxxxxx-xxx" }

Configurando o IBM SAN Volume Controller para se comunicar com o

QRadar
Para coletar eventos do IBM SAN Volume Controller, deve-se configurar o cluster IBM SAN Volume
Controller (SVC) para enviar eventos para o QRadar por meio de um servidor syslog.

O cluster SVC usa rsyslogd 5.8.10 em um host baseado em Linux 6.4.

Procedimento
1. Use SSH para efetuar login na interface da linha de comandos do cluster (CLI) SVC.

78 IBM 569
2. Digite o comando a seguir para configurar um servidor syslog remoto para enviar eventos CADF para
o QRadar:
svctask mksyslogserver -ip <QRadar_Event_Collector_IP_Address> error <on_or_off> -warning
<on_or_off> -info <on_or_off> -cadf on
O exemplo a seguir mostra um comando que é usado para configurar um servidor syslog remoto para
enviar eventos CADF:
svctask mksyslogserver -ip 192.0.2.1 -error on -warning on -info on -cadf o

Nota: Os sinalizadores de erro e de aviso são tipos de eventos CADF que o SVC envia para
servidores syslog.

IBM Security Access Manager for Enterprise Single Sign-On

É possível usar o IBM® Security Access Manager for Enterprise Single Sign-On DSM for IBM QRadar
para receber eventos que são encaminhados usando syslog.

O QRadar pode coletar eventos do IBM Security Access Manager for Enterprise Single Sign-On versão 8.1
ou 8.2.

Os eventos que são encaminhados pelo IBM Security Access Manager for Enterprise Single Sign-On
incluem os de auditoria, sistema e autenticação.

Os eventos são lidos nas tabelas de banco de dados a seguir e encaminhados usando syslog:
v IMSLOGUserService
v IMSLOGUserAdminActivity
v IMSLOGUserActivity

Todos os eventos que são encaminhados para o QRadar do IBM Security Access Manager for Enterprise
Single Sign-On usam ### como um separador de campo syslog. O IBM Security Access Manager for
Enterprise Single Sign-On encaminha os eventos para o QRadar usando UDP na porta 514.

Antes de iniciar
Para configurar o encaminhamento de syslog para eventos, deve-se ser um administrador ou a conta do
usuário deve incluir credenciais para acessar o Utilitário de configuração IMS.

O ideal é que quaisquer firewalls que são configurados entre o IBM Security Access Manager for
Enterprise Single Sign-On e o QRadar sejam configurados para permitir a comunicação UDP na porta
514. Essa configuração requer que você reinicie o dispositivo IBM Security Access Manager for Enterprise
Single Sign-On.

Configurando um tipo de servidor de log

O dispositivo IBM Security Access Manager for Enterprise Single Sign-On requer que você configure um
tipo de servidor de log para encaminhar eventos syslog formatados:

Procedimento
1. Efetue login no Utilitário de configuração IMS para o IBM Security Access Manager for Enterprise
Single Sign-On.
Por exemplo, https://localhost:9043/webconf
2. No menu de navegação, selecione Configurações avançadas > IMS Servidor > Criação de log >
Informações do servidor de log.
3. Na lista Tipos de servidor de log, selecione syslog.
4. Clique em Incluir.

570 Guia de configuração do QRadar DSM

5. Clique em Atualizar para salvar a configuração.

Configurando o encaminhamento de syslog

Sobre Esta Tarefa

Para encaminhar eventos para o QRadar, deve-se configurar um destino de syslog no dispositivo IBM
Security Access Manager for Enterprise Single Sign-On.

Procedimento
1. No menu de navegação, selecione Configurações avançadas > IMS ServidorCriação de logSyslog.
2. Configure as seguintes opções:
Tabela 322. Parâmetros de Syslog
Campo Descrição
Ativar syslog Na lista Tabelas disponíveis, deve-se selecionar as tabelas a seguir e clicar em
Incluir.
v logUserService
v logUserActivity
v logUserAdminActivity
Porta do servidor syslog Digite 514 como o número da porta usado para o encaminhamento de eventos para
o QRadar.
Nome do host do servidor Digite o endereço IP ou o nome do host do QRadar Console ou Event Collector.
syslog
Recurso de criação de log Digite um valor de número inteiro para especificar o recurso dos eventos que são
syslog encaminhados para o QRadar. O valor padrão é 20.
Separador de campo de Digite ### como os caracteres usados para separar as entradas de pares nome-valor
syslog na carga útil do syslog.

3. Clique em Atualizar para salvar a configuração.

4. Reinicie o dispositivo IBM Security Access Manager for Enterprise Single Sign-On.
A configuração de syslog está concluída. A origem de log é incluída no QRadar conforme os eventos
syslog do IBM Security Access Manager for Enterprise Single Sign-On são descobertos
automaticamente. Eventos que são encaminhados para o QRadar são exibidos na guia Atividade de
log.

Configurando uma origem de log no IBM QRadar

O QRadar descobre e cria automaticamente uma origem de log para eventos syslog do IBM Security
Access Manager for Enterprise Single Sign-On.

Sobre Esta Tarefa

O procedimento a seguir é opcional.

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de origem de log, selecione IBM Security Access Manager for Enterprise Single
Sign-On.
6. Usando a lista Configuração de protocolo, selecione Syslog.

78 IBM 571
7. Configure os valores a seguir:
Tabela 323. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do dispositivo IBM Security Access Manager for
Enterprise Single Sign-On.
Ativado Selecione essa caixa de seleção para ativar a origem de log.

Por padrão, essa caixa de seleção é marcada.

Credibilidade Selecione a Credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.
Coletor de eventos de destino Selecione o Coletor de eventos a ser usado como destino para a origem de log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor da lista

Eventos unidos das configurações do sistema em QRadar. Ao criar uma origem de
log ou editar uma configuração existente, é possível substituir o valor padrão
configurando esta opção para cada origem de log.
Carga útil do evento recebido Na lista Carga útil do evento recebida, selecione o codificador de carga útil
recebida para analisar e armazenar os logs.
Armazenar carga útil do Selecione essa caixa de seleção para ativar que a origem de log armazene as
evento informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

IBM Security Access Manager for Mobile

O DSM IBM QRadar para o IBM Security Access Manager for Mobile coleta logs de um dispositivo IBM
Security Access Manager for Mobile e de um dispositivo IBM Identity as a Service (IDaaS).

A tabela a seguir identifica as especificações para o DSM IBM Security Access Manager for Mobile:
Tabela 324. Especificações do DSM IBM Security Access Manager for Mobile
Especificação Valor
Fabricante IBM
Nome do DSM IBM Security Access Manager for Mobile
Nome do arquivo RPM DSM-IBMSecurityAccessManagerForMobile-7.x
-Qradar_version-Buildbuild_number.noarch.rpm
Versões suportadas IBM Security Access Manager for Mobile v8.0.0

IBM IDaaS v2.0

572 Guia de configuração do QRadar DSM

Tabela 324. Especificações do DSM IBM Security Access Manager for Mobile (continuação)
Especificação Valor
Formato de Evento Formato de Evento de Base Comum

Log Event Extended Format (LEEF)

Tipos de eventos registrados
IBM_SECURITY_AUTHN

IBM_SECURITY_TRUST

IBM_SECURITY_RUNTIME

IBM_SECURITY_CBA_AUDIT_MGMT

IBM_SECURITY_CBA_AUDIT_RTE

IBM_SECURITY_RTSS_AUDIT_AUTHZ

IBM_SECURITY_SIGNING

CloudOE

Operações

Uso

IDaas Appliance Audit

IDaaS Platform Audit

Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais www.ibm.com/software (http://www-03.ibm.com/
software/products/en/access-mgr-mobile).

Para integrar o IBM Security Access Manager for Mobile com o QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente dos RPMs
a seguir em seu QRadar Console:
RPM do protocolo syslog TLS
RPM do DSM IBM Security Access Manager for Mobile
2. Configure o dispositivo IBM Security Access Manager for Mobile para enviar eventos syslog ao
QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do IBM
Security Access Manager for Mobile no console do QRadar. A tabela a seguir descreve os parâmetros
que requerem valores específicos para a coleção de eventos do IBM Security Access Manager for
Mobile e IBM Identity as a Service:
Tabela 325. Parâmetros de origem de log do IBM Security Access Manager for Mobile
Parâmetro Valor
Tipo de origem de log IBM Security Access Manager for Mobile ou IBM Identity
as a Service
Configuração de protocolo TLS Syslog

78 IBM 573
Tabela 325. Parâmetros de origem de log do IBM Security Access Manager for Mobile (continuação)
Parâmetro Valor
Identificador de Fonte de Log
O endereço IP ou nome do host no cabeçalho Syslog. Use
o endereço IP de pacote, se o cabeçalho Syslog não
contiver um endereço IP ou nome do host.
Porta de Atendimento do TLS
Digite o número da porta para aceitar eventos syslog do
TLS.

4. O salvamento da origem de log cria uma porta de atendimento para receber eventos syslog do TLS e
gera um certificado para os dispositivos de rede. O certificado deve ser copiado para qualquer
dispositivo em sua rede que possa encaminhar syslog criptografado. Dispositivos de rede adicionais
com um arquivo de certificado syslog-tls e o número da porta de atendimento do TLS podem ser
descobertos automaticamente como uma origem de log syslog TLS no QRadar.

Configurando o IBM Security Access Manager for Mobile para se

comunicar com o QRadar
Configure o IBM Security Access Manager for Mobile para enviar logs de auditoria para o IBM QRadar
por meio de syslog TLS.

Antes de Iniciar

Assegure-se de que o IBM Security Access Manager for Mobile tenha acesso ao QRadar para comunicação
de syslog TLS.

Procedimento
1. Selecione Monitorar análise e diagnóstico > Logs > Configuração de auditoria.
2. Clique na guia Syslog e digite as informações na tabela a seguir.

Campo Valor
Ativar Log de Auditoria Clique em Ativar log de auditoria.
Ativar eventos de auditoria detalhados Clique em Ativar eventos de auditoria detalhados.

Os eventos de auditoria que não são detalhados não

contêm a carga útil JSON, que contém detalhes da
atividade do usuário.
Local do servidor syslog Selecione Em um servidor remoto
Host O nome do host ou IP do servidor QRadar.
Porta O número da porta que você deseja usar para que o
QRadar aceite eventos de syslog TLS recebidos.
Protocolo Selecione TLS
Banco de dados de certificados (armazenamento O armazenamento confiável que valida o certificado do
confiável) servidor syslog.
Clique em Ativar autenticação por certificado de cliente.
Ativar autenticação por certificado de cliente
O cliente pode executar a autenticação por certificado de
cliente durante o handshake SSL por solicitação do
servidor.
O keystore para autenticação por certificado de cliente.
Banco de dados de certificados (keystore)

574 Guia de configuração do QRadar DSM

Campo Valor
Etiqueta de Certificação O certificado pessoal para autenticação por certificado de
cliente
Ativar failover de disco Limpe Ativar failover de disco.

3. Clique em Salvar.
4. Clique em Clique aqui para revisar as mudanças ou aplicá-las ao sistema para revisar mudanças
pendentes.
5. Clique em Implementar Mudanças.
O servidor de runtime será reiniciado automaticamente, se qualquer uma das novas mudanças
requerer uma reinicialização.

Configurando o IBM IDaaS Platform para se comunicar com o QRadar

É possível ativar eventos de auditoria do IBM IDaaS Platform para serem gerados em formato LEEF no
console IBM IDaaS.

Antes de Iniciar
Assegure-se de que o IBM IDaaS Platform esteja instalado e configurado no console do WAS.

Procedimento
1. Acesse o arquivo de configuração do IDaas Platform no console do WAS. <WAS_home>/profiles/
<profile_name>/config/idaas/platform.cofig.properties
2. Se o arquivo platform.config.properties não contiver um conjunto de propriedades de auditoria,
configure as opções a seguir:

Propriedade Descrição
audit.enabled=true A propriedade de auditoria está ativada.
audit.syslog.message.format=leef O tipo válido é LEEF.

audit.syslog.server=<IP_address>
audit.syslog.transport=TRANSPORT_UDP Os valores de transporte são TRANSPORT_UDP e
TRANSPORT_TLS.
audit.syslog.server.port=514

3. Reinicie o aplicativo IBM IDaaS Platform no console do WAS.

Configurando um console IBM IDaaS para se comunicar com o

QRadar
É possível ativar eventos de auditoria a serem gerados no formato Syslog LEEF em seu console IBM
IDaaS.

Antes de Iniciar

Assegure-se de que o console IBM IDaaS esteja instalado e configurado.

Procedimento
1. Selecione Controle de acesso seguro > Configuração avançada.
2. Digite idaas.audit.event na caixa de texto Filtrar. O formato padrão é Syslog.
3. Clique em Editar.
4. Selecione LEEFSyslog

78 IBM 575
5. Clique em Salvar.
6. Clique em Implementar Mudanças.

IBM Security Directory Server

O DSM do IBM QRadar para o IBM Security Directory Server pode coletar logs de eventos do IBM
Security Directory Server.

A tabela a seguir identifica as especificações para o DSM IBM Security Directory Server:
Tabela 326. Especificações do DSM IBM Security Directory Server

Especificação Valor

Fabricante IBM

DSM IBM Security Directory Server

Nome do arquivo RPM DSM-IBMSecurityDirectoryServer-build_number.noarch.rpm

Versão suportada 6.3.1 e mais recente

Protocolo Syslog (LEEF)

QRadar eventos registrados Todos os eventos relevantes

Descoberto automaticamente Sim

Inclui identidade Sim

website da IBM (https://www.ibm.com)
Para obter mais informações

Processo de integração do IBM Security Directory Server

É possível integrar o IBM Security Directory Server com o IBM QRadar.

Use o procedimento a seguir:

1. Se atualizações automáticas não estiverem ativadas, faça download e instale as versões mais recentes
dos RPMs a seguir no QRadar Console:
v RPM DSMCommon
v IBM Security Directory Server DSM RPM
2. Configure cada sistema IBM Security Directory Server em sua rede para permitir a comunicação com
o QRadar.

Para obter mais informações sobre como ativar a comunicação entre o QRadar e o IBM Security Directory
Server, consulte o website da IBM (https://www.ibm.com).
1. Se o QRadar não descobrir automaticamente a origem de log, para cada IBM Security Directory Server
em sua rede, crie uma origem de log no QRadar Console.

Configurando o IBM Security Directory Server para se comunicar com o QRadar

O IBM QRadar pode coletar eventos de auditoria formatados em LEEF de seu IBM Security Directory
Server.

576 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

Para configurar o IBM Security Directory Server para enviar logs para o IBM QRadar, deve-se usar a
linha de comandos do IBM Security Directory Server para incluir uma classe de objeto auxiliar e, em
seguida, configurar valores para os atributos de gerenciamento de log do QRadar.

Procedimento
1. Crie um arquivo (file_name) no IBM Security Director Server com o conteúdo a seguir:
dn: cn=Audit, cn=Log Management, cn=Configuration
changetype: modify
add: objectclass
objectclass: ibm-slapdQRadarConfig
2. Para incluir a classe de objeto auxiliar ibm-slapdQRadarConfig para atributos de configuração do
QRadar em cn=Audit,cn=Log Management,cn=Configuration, execute o comando a seguir:
# idsldapmodify -h host_name -p portnumber -D cn=RDN_value -w password
-f file_name
3. Crie um novo arquivo (new_file) com o contéudo a seguir:
dn: cn= specific_log_name, cn=Log Management, cn=configuration
changetype: modify
add:ibm-slapdLogEventQRadarEnabled
ibm-slapdLogEventQRadarEnabled: true
-
add:ibm-slapdLogEventQRadarHostName
ibm-slapdLogEventQRadarHostName: host_name_of_qradar_instance
-
add: ibm-slapdLogEventQRadarPort
ibm-slapdLogEventQRadarPort: port_of_qradar_instance
-
add: ibm-slapdLogEventQRadarMapFilesLocation
ibm-slapdLogEventQRadarMapFilesLocation: directory_location_of_qradar_mapfiles
4. Substitua os valores a seguir no conteúdo de new_file:
v Substitua host_name_of_qradar_instance pelo nome do host ou endereço IP do QRadar Event
Collector de destino.
v Substitua port_of_qradar_instance por 514.
v Se você tiver o IBM Security Directory Server V6.3.1 instalado, substitua
directory_location_of_qradar_mapfiles por /opt/ibm/ldap/V6.3.1/idstools/idslogmgmt/.
v Se você tiver o IBM Security Directory Server V6.4 instalado, substitua
directory_location_of_qradar_mapfiles por /opt/ibm/ldap/V6.4/idstools/idslogmgmt/.
Por exemplo:
dn: cn= specific_log_name, cn=Log Management, cn=configuration
changetype: modify
add:ibm-slapdLogEventQRadarEnabled
ibm-slapdLogEventQRadarEnabled: true
-
add:ibm-slapdLogEventQRadarHostName
ibm-slapdLogEventQRadarHostName: qradar-collector.example.com
-
add: ibm-slapdLogEventQRadarPort
ibm-slapdLogEventQRadarPort: 514
-
add: ibm-slapdLogEventQRadarMapFilesLocation
ibm-slapdLogEventQRadarMapFilesLocation: /opt/ibm/ldap/V6.3.1/idstools/idslogmgmt/
5. Para configurar os valores de atributo para integração do QRadar, execute o comando a seguir:
# idsldapmodify -h host_name -p portnumber -D cn=RDN_value -w password -f new_file
6. Para iniciar uma instância, execute o comando a seguir:
# ibmslapd -I <instance_name> -n
7. Opcional: Para iniciar o gerenciamento de log localmente, execute o seguinte comando:

78 IBM 577
# idslogmgmt -I <instance_name>
Para iniciar, obter o status e parar o gerenciamento de log remotamente, execute os comandos a
seguir:
# ibmdirctl -D <adminDN> -w <password> -h <host_name> -p <administration server
port number> startlogmgmt# ibmdirctl -D <adminDN> -w <password> -h <host_name> -p
<administration server port number> statuslogmgmt# ibmdirctl -D <adminDN> -w <password>
-h <host_name> -p <administration server port number> stoplogmgmt

Configurando uma origem de log IBM Security Directory Server no IBM QRadar
É possível coletar eventos do IBM Security Directory Server e configurar uma origem de log no QRadar.

Sobre Esta Tarefa

Assegure-se de que o arquivo DSM-IBMSecurityDirectoryServer-build_number.noarch.rpm seja instalado e

implementado no host do QRadar.

IBM Security Identity Governance

O IBM QRadar DSM for IBM Security Identity Governance coleta eventos de auditoria dos servidores do
IBM Security Governance.

A tabela a seguir identifica as especificações para o IBM Security Identity Governance DSM:
Tabela 327. Especificações do DSM IBM Security Identity Governance (ISIG)
Especificação Valor
Fabricante IBM
Nome do DSM IBM Security Identity Governance
Nome do arquivo RPM DSM-IBMSecurityIdentityGovernance-Qradar_version-
build_number.noarch.rpm
Versões suportadas IBM Security Identity Governance v5.1.1
Protocolo JDBC
Formato de evento NVP
Tipos de eventos registrados Auditoria
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website da IBM (http://www.ibm.com)

578 Guia de configuração do QRadar DSM

Para integrar o IBM Security Identity Governance ao QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console. Se diversos RPMs do DSM forem necessários, a sequência
de integração deverá refletir a dependência do RPM do DSM.
v RPM do DSM IBM Security Identity Governance (ISIG)
v RPM do protocolo JDBC
2. Configure uma origem de log JDBC para pesquisar eventos do banco de dados IBM Security Identity
Governance.
3. Assegure-se de que nenhuma regra de firewall bloqueie a comunicação entre o QRadar e o banco de
dados que está associado ao IBM Security Identity Governance.
4. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do IBM
Security Identity Governance no QRadar Console. A tabela a seguir descreve os parâmetros que
requerem valores específicos para a coleção de eventos do IBM Security Identity Governance:
Tabela 328. Parâmetros de origem de log do IBM Security Identity Governance DSM
Parâmetro Valor
Tipo de origem de log IBM Security Identity Governance
Configuração de protocolo JDBC
Identificador de Fonte de Log DATABASE@HOSTNAME
Tipo de banco de dados Selecione Oracle ou DB2 para o banco de dados que
deseja usar como a origem de eventos.
Nome do banco de dados O nome do banco de dados do IBM Security Identity
Governance. Deve ser o mesmo que o nome DATABASE
para o Identificador de origem de log.
IP ou nome do host O endereço IP ou nome do host do banco de dados do
IBM Security Governance. Deve ser o mesmo que o
HOSTNAME do Identificador de origem de log.
Porta O número da porta que é utilizado pelo servidor de
banco de dados. Os padrões são Oracle: 1521 e DB2:
50000. O padrão que é exibido depende do tipo de banco
de dados selecionado.
Nome de Usuário O nome do usuário do banco de dados.
Senha A senha do banco de dados.
Consulta Predefinida O padrão é none.
Nome da tabela AUDIT_LOG
Lista de Seleção *
Comparar Campo ID
Usar Instruções Preparadas Ative a caixa de seleção.
Data e Hora de Início A data e hora iniciais para a pesquisa do banco de
dados.
Intervalo de pesquisa A quantia de tempo, em segundos, entre consultas na
tabela de banco de dados. O intervalo de pesquisa
padrão é de 10 segundos.
Regulador de EPS O número de eventos por segundo (EPS) que você não
deseja que esse protocolo exceda. O valor padrão é 20000
EPS.

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
78 IBM 579
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o QRadar para se comunicar com seu banco de dados

do IBM Security Identity Governance
Para encaminhar logs de auditoria do seu banco de dados do IBM Security Identity Governance ao IBM
QRadar, deve-se incluir uma origem de log. As origens de log não são automaticamente detectadas.

IBM Security Identity Manager

O DSM IBM Security Identity Manager para o IBM QRadar aceita eventos de auditoria, recertificação e
sistema dos dispositivos IBM Security Identity Manager.

Sobre Esta Tarefa

Para coletar eventos com o QRadar, deve-se ter o protocolo JDBC do IBM Security Identity Manager
instalado, o que permite ao QRadar pesquisar informações de eventos no banco de dados ITIMDB. Os
eventos do IBM Security Identity Manager são gerados a partir da tabela de auditoria com diversas
outras tabelas do banco de dados.

Antes de configurar o QRadar para integrar-se com o IBM Security Identity Manager, crie uma conta e
senha de usuário do banco de dados no IBM Security Identity Manager para o QRadar. O usuário do
QRadar precisa de permissão de leitura para o banco de dados ITIMDB, que armazena os eventos do
IBM Security Identity Manager.

O protocolo IBM Security Identity Manager permite que o QRadar efetue login e pesquise eventos do
banco de dados. A criação de uma conta do QRadar não é requerida, mas é sugerida para rastreamento e
proteção de dados de eventos.

Nota: Assegure-se de que nenhuma regra de firewall esteja bloqueando a comunicação entre seu
dispositivo IBM Security Identity Manager e o QRadar.

580 Guia de configuração do QRadar DSM

6. Na lista Tipo de origem de log, selecione IBM Security Identity Manager.
7. Usando a lista Configuração de protocolo, selecione IBM Security Identity Manager JDBC.
8. Configure os valores a seguir:
Tabela 329. Parâmetros JDBC do IBM Security Identity Manager

Parâmetro Descrição
Identificador de origem de
log Digite o identificador da origem de log. O identificador de origem de log deve ser
definido no formato a seguir:

ITIMDB@<hostname>

Em que <hostname> é o endereço IP ou o nome do host para o dispositivo IBM

Security Identity Manager.

O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de banco de dados
Na lista Tipo de banco de dados, selecione um banco de dados a ser usado para a
origem de eventos.

As opções incluem os bancos de dados a seguir:

v DB2 - Selecione essa opção se o DB2 for o tipo de banco de dados em seu
dispositivo IBM Security Identity Manager. DB2 é o tipo de banco de dados
padrão.
v MSDE - selecione essa opção se MSDE for o tipo de banco de dados em seu
dispositivo IBM Security Identity Manager.
v Oracle - selecione essa opção se o Oracle for o tipo de banco de dados em seu
dispositivo IBM Security Identity Manager.
Nome do banco de dados
Digite o nome do banco de dados ao qual se conectar. O nome do banco de dados
padrão é ITIMDB.

O nome da tabela pode ter até 255 caracteres alfanuméricos de comprimento. O

nome da tabela pode incluir os caracteres especiais a seguir: símbolo de dólar ($),
sinal de número (#), sublinhado (_), traço (-) e ponto (.).
IP ou nome do host
Digite o endereço IP ou o nome do host do dispositivo IBM Security Identity
Manager.
Porta
Digite o número da porta que é usado pelo servidor de banco de dados. O padrão
que é exibido depende do Tipo de banco de dados selecionado. O intervalo válido é
0 a 65536. O padrão para o DB2 é a porta 50000.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados. O banco de dados deve ter conexões TCP recebidas que sejam ativadas para
se comunicar com o QRadar.

O número da porta padrão para todas as opções inclui

v DB2 - 50000
v MSDE - 1433
v Oracle - 1521

Se você definir uma Instância de banco de dados quando usar o MSDE como o tipo
de banco de dados, deverá deixar o parâmetro Porta em branco na configuração.

78 IBM 581
Tabela 329. Parâmetros JDBC do IBM Security Identity Manager (continuação)

Parâmetro Descrição
Nome do usuário
Digite o nome do usuário do banco de dados. O nome do usuário pode ter até 255
caracteres alfanuméricos de comprimento. O nome do usuário também pode incluir
sublinhados (_).
Senha
Digite a senha do banco de dados.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha
Confirme a senha para acessar o banco de dados.
Nome do esquema Digite ISIMUSER no campo Nome do esquema.
Nome da tabela
Digite AUDIT_EVENT como o nome da tabela ou da visualização que inclui os registros
de eventos. Se você mudar o valor desse campo do padrão, os eventos não poderão
ser coletados adequadamente pelo protocolo JDBC do IBM Security Identity
Manager.

O nome da tabela pode ter até 255 caracteres alfanuméricos de comprimento. O

nome da tabela pode incluir os caracteres especiais a seguir: símbolo de dólar ($),
sinal de número (#), sublinhado (_), traço (-) e ponto (.).
Selecionar lista
Digite * para incluir todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se necessário para sua configuração. A lista deve conter o
campo que está definido no parâmetro Comparar campo. A lista separada por
vírgula pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode
incluir os seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#),
sublinhado (_), traço (-) e ponto (.).
Comparar campo
Digite TIMESTAMP para identificar novos eventos incluídos entre as consultas na tabela
pelos registros de data e hora.

O campo de comparação pode ter até 255 caracteres alfanuméricos de comprimento.

A lista pode incluir os caracteres especiais: sinal de dólar ($), sinal de número (#),
sublinhado (_), traço (–) e ponto (.).
Data e hora de início
Opcional. Configure a data e o horário de início para a pesquisa do banco de dados.

O parâmetro Data e hora de início deve ser formatado como aaaa-MM-dd HH: mm,
com HH especificado usando um relógio de 24 horas. Se a data ou hora de início for
limpa, a pesquisa começa imediatamente e repete no intervalo de pesquisa
especificado.
Intervalo de pesquisa
Digite o intervalo de pesquisa em segundos, que é o tempo entre as consultas na
tabela de banco de dados. O intervalo de pesquisa padrão é de 30 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em
qualquer formato de hora. Valores numéricos sem um designador H ou M pesquisam
em segundos.
Regulador de EPS
Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O valor padrão é 20000 EPS.

582 Guia de configuração do QRadar DSM

Tabela 329. Parâmetros JDBC do IBM Security Identity Manager (continuação)

Parâmetro Descrição
Domínio de autenticação
Se você selecionar MSDE como o Tipo de banco de dados, o campo Domínio de
autenticação será exibido. Se a sua rede estiver configurada para validar usuários
com credenciais de domínio, deve-se definir um Domínio de autenticação do
Windows. Caso contrário, deixe este campo em branco.

O domínio de autenticação deve conter caracteres alfanuméricos. O domínio pode

incluir os caracteres especiais a seguir: sublinhado (_), traço (-) e ponto(.).
Instância de banco de dados
Se você selecionar MSDE como o Tipo de banco de dados, o campo Instância de
banco de dados será exibido.

Digite a instância à qual deseja se conectar, se você tiver várias instâncias do servidor
SQL em um único servidor.

Se você usar uma porta não padrão em sua configuração de banco de dados, ou o
acesso à porta 1434 para resolução de banco de dados SQL estiver bloqueado,
deve-se deixar o parâmetro Instância de banco de dados em branco na configuração.
Usar comunicação de canal
nomeado Se você selecionar MSDE como o Tipo de banco de dados, a caixa de seleção Usar
comunicação de canal nomeado será exibida. Por padrão, essa caixa de seleção fica
desmarcada.

Marque essa caixa de seleção para usar um método alternativo para uma conexão de
porta TCP/IP.

Ao usar conexão de Canal Nomeado, o nome de usuário e a senha devem ser os de

autenticação apropriados do Windows e não o nome do usuário e a senha do banco
de dados. Além disso, deve-se usar o canal nomeado padrão.
Usar NTLMv2
Se você selecionar MSDE como o Tipo de banco de dados, a caixa de seleção Usar
NTLMv2 será exibida.

Marque a caixa de seleção Usar NTLMv2 para forçar as conexões MSDE a usarem o
protocolo NTLMv2 quando elas se comunicarem com servidores SQL que requerem
autenticação NTLMv2. O valor padrão da caixa de seleção é selecionado.

Se a caixa de seleção Usar NTLMv2 for selecionada, ela não terá efeito sobre as
conexões MSDE com SQL servers que não requererem autenticação NTLMv2.
Nome do cluster do banco
de dados Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.

9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

78 IBM 583
IBM Security Network IPS (GX)
O IBM Security Network IPS (GX) DSM for IBM Security QRadar coleta eventos baseados no LEEF de
dispositivos IBM Security Network IPS usando o protocolo syslog.

A tabela a seguir identifica as especificações para o DSM do IBM Security Network IPS (GX):

Parâmetro Valor
Fabricante IBM
DSM Security Network IPS (GX)
Nome do arquivo RPM DSM-IBMSecurityNetworkIPS-QRadar_version-Build_number.noarch.rpm
Versões Suportadas v4.6 e mais recente (UDP)

v4.6.2 e mais recente (TCP)

Protocolo syslog (LEEF)
QRadar eventos registrados Alertas de segurança (incluindo IPS e SNORT)

Alertas de Funcionamento

Alertas do sistema

Eventos do IPS (incluindo eventos de segurança, de conexão, definidos

pelo usuário e de política OpenSignature)
Descobertos automaticamente? SIM
Inclui identidade? No

Para integrar o dispositivo IBM Security Network IPS (GX) ao QRadar, use as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente de
RPMs do IBM Security Network IPS (GX) em seu QRadar Console.
2. Para cada instância do IBM Security Network IPS (GX), configure o dispositivo IBM Security Network
IPS (GX) para ativar a comunicação com o QRadar.
3. Se o QRadar não descobrir automaticamente a origem de log, crie uma origem de log para cada
instância do IBM Security Network IPS (GX) em sua rede.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o dispositivo IBM Security Network IPS (GX) para

comunicação com o QRadar
Para coletar eventos com o QRadar, deve-se configurar seu dispositivo IBM Security Network IPS (GX)
para ativar o encaminhamento do syslog de eventos LEEF.

Antes de Iniciar

Assegure-se de que nenhuma regra de firewall bloqueie a comunicação entre seu dispositivo IBM
Security Network IPS (GX) e o QRadar.

584 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login na interface de gerenciamento local IPS.
2. No menu de navegação, selecione Gerenciar configurações do sistema > Dispositivo >
Encaminhamento de log LEEF.
3. Marque a caixa de seleção Ativar log local.
4. No campo Tamanho máximo do arquivo, configure o tamanho máximo do arquivo para seu arquivo
de log LEEF.
5. Na área de janela Servidores Syslog remotos, marque a caixa de seleção Ativar.
6. No campo IP/Host do servidor syslog, digite o endereço IP de seu QRadar Console ou Event
Collector.
7. No campo Porta TCP, digite 514 como a porta para encaminhar eventos de log LEEF.

Nota: Se você usar a v4.6.1 ou anterior, use o campo Porta UDP.

8. Na lista de tipos de evento, ative quaisquer tipos de evento que forem encaminhados ao QRadar.
9. Se usar uma porta TCP, configure o parâmetro de ajuste crm.leef.fullavp:
a. No menu de navegação, selecione Gerenciar configurações do sistema > Dispositivo >
Parâmetros de ajuste.
b. Clique em Incluir parâmetros de ajuste.
c. No campo Nome, digite crm.leef.fullavp.
d. No campo Valor, digite true.
e. Clique em OK.

Configurando uma origem de log do IBM Security Network IPS (GX) no

QRadar
O QRadar descobre e cria automaticamente uma origem de log para eventos syslog de dispositivos IBM
Security Network IPS (GX). No entanto, você pode criar manualmente uma origem de log para o QRadar
receber eventos syslog.

Sobre Esta Tarefa

Parâmetro Descrição
Identificador de Origem de Log O endereço IP ou o nome do host para a origem de log
como um identificador para os eventos do dispositivo
IBM Security Network IPS (GX).
Credibilidade A credibilidade indica a integridade de um evento ou
ofensa conforme determinado pela classificação de
credibilidade a partir dos dispositivos de origem.
Credibilidade aumenta se várias fontes relatam o mesmo
evento.
Unindo Eventos Permite que a origem de log una (empacote) eventos.

78 IBM 585
Parâmetro Descrição
Carga útil do evento recebido O codificador de carga útil recebida para analisar e
armazenar os logs.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

IBM QRadar Network Security XGS

O IBM QRadar Network Security XGS DSM aceita eventos usando o Log Enhanced Event Protocol
(LEEF), que permite que o IBM QRadar registre todos os eventos relevantes.

A tabela a seguir identifica as especificações para o IBM QRadar Network Security XGS DSM:
Tabela 330. IBM QRadar Network Security XGS especificações
Especificação Valor
Fabricante IBM
DSM QRadar Network Security XGS
Nome do arquivo RPM DSM-IBMQRadarNetworkSecurityXGS-QRadar_version-build_number.noarch, rpm
Versões suportadas V5.0 com fixpack 7 v5.4
Protocolo Syslog
Formato de evento LEEF
QRadar eventos registrados Todos os eventos relevantes de sistema, acesso e segurança
Descoberto automaticamente Sim
Inclui identidade Não
Informações adicionais IBM QRadar Network Security (XGS) Knowledge Center (https://www.ibm.com/
support/knowledgecenter/SSHLHV_5.4.0/com.ibm.alps.doc/alps_collateral/
alps_dochome_stg.htm)

Antes de configurar um dispositivo Network Security XGS no QRadar, deve-se configurar alertas de
syslog remoto para regras ou políticas do IBM QRadar Network Security XGS, para encaminhar eventos
para o QRadar.

Configurando o IBM QRadar Network Security XGS Alertas

Todos os tipos de eventos são enviados para o IBM QRadar usando um objeto de alerta de syslog remoto
que está ativado para LEEF.

Sobre Esta Tarefa

Os objetos de alerta de syslog remoto podem ser criados, editados e excluídos de cada contexto no qual
um evento é gerado. Efetue login na interface de gerenciamento local do IBM QRadar Network Security
XGS como administrador para configurar um objeto de alerta de syslog remoto e acesse um dos menus a
seguir:
v Gerenciar > Configurações do sistema > Alertas do sistema (eventos do Sistema)
v Seguro > Política de acesso à rede (eventos de Acesso)
v Seguro > Política de filtro de eventos IPS (eventos de Segurança)
v Seguro > Política de prevenção de intrusão (eventos de Segurança)
v Seguro > Política de acesso à rede > Inspeção > Política de prevenção de intrusão

586 Guia de configuração do QRadar DSM

Em Objetos IPS, na área de janela Objetos de rede ou na página Alertas do sistema, conclua as etapas a
seguir.

Procedimento
1. Clique em Novo > Alerta > Syslog remoto.
2. Selecione um objeto de alerta de syslog remoto existente e, em seguida, clique em Editar.
3. Configure as seguintes opções:
Tabela 331. Parâmetros de configuração de syslog
Opção Descrição
Nome Digite um nome para a configuração de alerta de syslog.
Coletor de syslog remoto Digite o endereço IP do QRadar Console ou Event Collector.
Porta do coletor de syslog Digite 514 para a Porta do coletor de syslog remoto.
remoto
LEEF remoto ativado Marque essa caixa de seleção para ativar eventos no formato LEEF. Esse é um
campo obrigatório.

Se você não vir essa opção, verifique se tem o software versão 5.0 com o fix pack
7 para v5.4 instalado em seu dispositivo IBM QRadar Security Network.
Comentário A digitação de um comentário para a configuração de syslog é opcional.

4. Clique em Salvar configuração.

O alerta é incluído na lista Objetos disponíveis.
5. Para atualizar o dispositivo IBM QRadar Network Security XGS, clique em Implementar.
6. Inclua o objeto de alerta LEEF para o QRadar nos locais a seguir:
v Uma ou mais regras em uma política
v Área de janela Objetos incluídos na página Alertas de sistema
7. Clique em Implementar
Para obter mais informações sobre o dispositivo Network Security XGS, clique em Ajuda na janela do
cliente do navegador da interface de gerenciamento local do QRadar Network Security XGS ou acesse
a documentação on-line do IBM QRadar Network Security XGS.

Configurando uma origem de log no IBM QRadar

O QRadar descobre e cria automaticamente uma origem de log para eventos syslog ativados para LEEF
do IBM QRadar Network Security XGS. As etapas de configuração a seguir são opcionais.

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de origem de log, selecione IBM QRadarNetwork Security XGS.
6. Usando a lista Configuração de protocolo, selecione Syslog.
7. Configure os valores a seguir:
Tabela 332. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do IBM QRadar Network Security XGS.

78 IBM 587
8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

IBM Security Privileged Identity Manager

O DSM do IBM QRadar para o IBM Security Privileged Identity Manager coleta eventos usando o
protocolo JDBC.

A tabela a seguir identifica as especificações para o IBM Security Privileged Identity Manager DSM:
Tabela 333. Especificações do IBM Security Privileged Identity Manager DSM
Especificação Valor
Fabricante IBM
Nome do DSM IBM Security Privileged Identity Manager
Nome do arquivo RPM DSM-IBMSecurityPrivilegedIdentityManager-
QRadar_version-build_number.noarch.rpm
Versões Suportadas V1.0.0 a V2.1.1
Protocolo JDBC
Tipos de eventos registrados Auditoria

Autenticação

Sistema
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do IBM Security Privileged Identity Manager
(https://www.ibm.com/support/knowledgecenter/en/
SSRQBP/welcome.html)

Para coletar eventos do IBM Security Privileged Identity Manager, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do protocolo JDBC
v IBM Security Privileged Identity Manager DSM RPM
2. Configure o IBM Security Privileged Identity Manager para se comunicar com o QRadar.
3. Inclua uma origem de log do IBM Security Privileged Identity Manager no QRadar Console. A tabela
a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos:
Tabela 334. Parâmetros de origem de log do IBM Security Privileged Identity Manager
Parâmetro Valor
Tipo de origem de log IBM Security Privileged Identity Manager
Configuração de protocolo JDBC
Identificador de Fonte de Log <DATABASE@HOSTNAME>
Tipo de banco de dados DB2
Nome do banco de dados Deve corresponder ao valor no campo Nome do banco
de dados no IBM Security Privileged Identity Manager.
IP ou nome do host Deve corresponder ao valor no campo Nome do host no
IBM Security Privileged Identity Manager.

588 Guia de configuração do QRadar DSM

Tabela 334. Parâmetros de origem de log do IBM Security Privileged Identity Manager (continuação)
Parâmetro Valor
Porta Deve corresponder ao valor no campo Porta no IBM
Security Privileged Identity Manager.
Nome do usuário Deve corresponder ao valor no campo ID do
administrador de base de dados no IBM Security
Privileged Identity Manager.
Consulta predefinida Selecione Nenhum.
Nome da tabela <DB2ADMIN>.V_PIM_AUDIT_EVENT

Substitua DB2ADMIN pelo nome do esquema do banco

de dados real conforme identificado no parâmetro ID de
administrador de banco de dados no IBM Security
Privileged Identity Manager.
Selecionar Lista Digite um asterisco (*) para selecionar todos os campos
da tabela ou visualização.
Comparar Campo Identifica novos eventos que são incluídos na tabela
entre consultas. Digite TIMESTAMP.
Usar Instruções Preparadas As instruções preparadas permitem que a origem do
protocolo JDBC configure a instrução SQL e, então,
execute a instrução SQL várias vezes com parâmetros
diferentes. Marque essa caixa de seleção.
Data e Horário de Início Data/hora inicial para a recuperação de JDBC.
Intervalo de pesquisa A quantia de tempo entre as consultas para a tabela de
eventos. Use o valor padrão do Intervalo de pesquisa de
10.
Regulador de EPS O número de Eventos por Segundo (EPS) que você não
deseja que esse protocolo exceda. Use o valor padrão do
Regulador de EPS de 20000.

Configurando o IBM Security Privileged Identity Manager para se

comunicar com o QRadar
Para se comunicar com o IBM QRadar, o banco de dados DB2 do IBM Security Privileged Identity
Manager deve ter conexões TCP recebidas ativadas.

Procedimento
1. Efetue login no IBM Security Privileged Identity Manager.
2. Clique na guia Configurar o Privileged Identity Manager.

78 IBM 589
3. Na área de janela Gerenciar entidades externas, selecione Configuração do servidor de banco de
dados.
4. Clique duas vezes na linha Armazenamento de dados de identidade na coluna Configuração do
servidor de banco de dados.
5. Registre os valores para os parâmetros a seguir. Você precisa desses valores quando configura uma
origem de log no QRadar.
v Host name
v Port
v Nome do banco de dados
v ID de Administrador de Banco de Dados
6.

Importante: Se você estiver usando o ISPIM 2.0.2 FP 6 e mais recente, não conclua esta etapa.
Crie uma visualização no banco de dados do IBM Security Privileged Identity Manager DB2 no
mesmo esquema, conforme identificado no parâmetro Database Administrator ID, executando a
instrução SQL a seguir:
CREATE view V_PIM_AUDIT_EVENT AS
SELECT ae.ID, ae.itim_event_category as
ae.ENTITY_NAME, service.NAME service_name, ae.ENTITY_DN,
ae.ENTITY_TYPE, ae.ACTION, ae.INITIATOR_NAME, ae.INITIATOR_DN,
ae.CONTAINER_NAME, ae.CONTAINER_DN, ae.RESULT_SUMMARY,
ae.TIMESTAMP, lease.POOL_NAME, lease.LEASE_DN,
lease.LEASE_EXPIRATION_TIME, lease.JUSTIFICATION,
ae.COMMENTS, ae.TIMESTAMP2, ae.WORKFLOW_PROCESS_ID
FROM AUDIT_EVENT ae
LEFT OUTER JOIN AUDIT_MGMT_LEASE lease ON (ae.id = lease.event_id)
LEFT OUTER JOIN SA_EVALUATION_CREDENTIAL cred ON (LOWER(ae.entity_dn) = LOWER(cred.DN))
LEFT OUTER JOIN V_SA_EVALUATION_SERVICE service ON (LOWER(cred.service_dn) = LOWER(service.dn));

Mensagem do evento de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra ao usar o protocolo JDBC para o DSM do
IBM Security Privileged Identity Manager:

590 Guia de configuração do QRadar DSM

Tabela 335. Mensagem de amostra do IBM Security Privileged Identity Manager suportada pelo DSM do IBM
Security Privileged Identity.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
CredentialLease Informações ID: "4988747757478318080" EVENT_CATEGORY:
Management "CredentialLeaseManagement" ENTITY_NAME: "suser1"
GetPassword RESOURCE_NAME: "PIM 202 Data Tier" ENTITY_DN: "er
SUCCESS globalid=8684147307608490000 ,ou=credentials, ou=cr
edCatalog, erglobalid= 00000000000000000000 ,ou=ibm,
dc=com "ENTITY_TYPE:" Credential "ACTION:" GetPas
espada "INITIATOR_NAME:" user "INITIATOR_DN:" erui
d=user, ou=systemUser, ou = itim, ou = ibm, dc = com "
INER_NAME: "USWest" CONTAINER_DN: " erglobalid=387
4502227230100000,ou=orgChart,erglobalid=000000000
00000000000 ,ou=ibm, dc=com "RESULT_SUMMARY:" SUCCE
SS "TIMESTAMP:" 2018-10-05 17:17:05:320 GMT "" POOL
_NAME: "" LEASE_DN: "" LEASE_EXPIRATION_TIME:
"" JUSTIFICATION: "" COMMENTS: "null" TIMESTAMP2: "n
ull" IDP_NAME: "" SESSION_ID: "" TARGET: "" CLIEN
T_IP: "" RECORDING_ID: "" CRED_TYPE: "PASSWORD"

IBM Security Trusteer Apex Advanced Malware Protection

O IBM Security Trusteer Apex Advanced Malware Protection DSM coleta e encaminha dados do evento
de um sistema Trusteer Apex Advanced Malware Protection para o IBM QRadar.

O QRadar coleta os itens a seguir do sistema Trusteer Apex Advanced Malware Protection:
v eventos do Syslog
v Arquivos de log (de um servidor intermediário que hospeda arquivos feed simples do sistema.)
v Eventos do Syslog por meio de autenticação SSL/TLS

A tabela a seguir lista as especificações para o DSM IBM Security Trusteer Apex Advanced Malware
Protection:
Tabela 336. Especificações do DSM IBM Security Trusteer Apex Advanced Malware Protection
Especificação Valor
Fabricante IBM
Nome do DSM IBM Security Trusteer Apex Advanced Malware
Protection
Nome do arquivo RPM DSM-TrusteerApex-QRadar_version-
build_number.noarch.rpm
Versões suportadas Coleção de eventos Syslog/LEEF: Apex Local Manager
2.0.45

LEEF: ver_1303.1

Feed de arquivo simples: v1, v3 e v4

Protocolo Syslog

Arquivo de log

TLS Syslog

78 IBM 591
Tabela 336. Especificações do DSM IBM Security Trusteer Apex Advanced Malware Protection (continuação)
Especificação Valor
Tipos de eventos registrados Detecção de malware

Detecção de exploit

Detecção de exfiltração de dados

Evento de lockdown para Java

Evento de inspeção de arquivo

Evento de apex interrompido

Evento de apex desinstalado

Evento de política mudada

Evento de violação de ASLR

Evento de cumprimento de ASLR

Evento de proteção de senha

Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do IBM Security Trusteer Apex Advanced
Malware Protection (http://www-03.ibm.com/software/
products/en/trusteer-apex-adv-malware)

Para configurar a coleção de eventos do IBM Security Trusteer Apex Advanced Malware Protection,
conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do protocolo de arquivo de log
v RPM do protocolo syslog TLS
v RPM do DSM IBM Security Trusteer Apex Advanced Malware Protection
2. Escolha uma das opções a seguir:
v Para enviar eventos syslog ao QRadar, consulte “Configurando o IBM Security Trusteer Apex
Advanced Malware Protection para enviar eventos de syslog ao QRadar” na página 595.
v Para enviar eventos de syslog usando o Protocolo Syslog TLS para o QRadar, consulte
“Configurando o IBM Security TrusteerApex Advanced Malware Protection para enviar eventos de
TLS Syslog para o QRadar” na página 595
v Para coletar arquivos de log do IBM Security Trusteer Apex Advanced Malware Protection por meio
de um servidor intermediário, consulte “Configurando um serviço de feed de arquivo simples” na
página 598.
3. Se o QRadar não descobrir automaticamente a origem de log, inclua uma origem de log do IBM
Security Trusteer Apex Advanced Malware Protection no QRadar Console.
A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos
syslog do IBM Security Trusteer Apex Advanced Malware Protection:

592 Guia de configuração do QRadar DSM

Tabela 337. Parâmetros de origem de log do IBM Security Trusteer Apex Advanced Malware Protection para
protocolo Syslog
Parâmetro Valor
Tipo de origem de log IBM Security Trusteer Apex Advanced Malware
Protection
Configuração de protocolo Syslog
Identificador de Fonte de Log O endereço IP ou nome do host do cabeçalho de syslog.
Se o cabeçalho de syslog não contiver um endereço IP ou
um nome do host, use o endereço IP de pacote.

A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos
do Syslog TLS do IBM Security Trusteer Apex Advanced Malware Protection:
Tabela 338. Parâmetros de origem de log do IBM Security Trusteer Apex Advanced Malware Protection para
protocolo Syslog TLS
Parâmetro Valor
Tipo de Fonte de Log IBM Security Trusteer Apex Advanced Malware
Protection
Configuração de protocolo TLS Syslog
Identificador de Fonte de Log O endereço IP ou nome do host do cabeçalho de syslog.
Se o cabeçalho de syslog não contiver um endereço IP ou
um nome do host, use o endereço IP de pacote.
Porta de Atendimento do TLS A porta padrão é 6514.
Modo de autenticação TLS
Tipo de certificado Selecione a opção Fornecer certificado na lista.
Número Máximo de Conexões O parâmetro Maximum Connections controla quantas
conexões simultâneas o protocolo Syslog TLS pode
aceitar para cada Coletor de eventos. Para cada Coletor
de eventos, há um limite de 1000 conexões entre todas as
configurações de origem de log do Syslog TLS. O padrão
para cada conexão de dispositivo é 50.
Nota: As origens de log descobertas automaticamente
que compartilham um listener com outra origem de log
contam somente uma vez com relação ao limite. Por
exemplo, a mesma porta no mesmo coletor de eventos.
Protocolos TLS Selecione a versão do TLS instalada no cliente na lista
suspensa.
Caminho fornecido do certificado do servidor Caminho absoluto do certificado do servidor. Por
exemplo, /opt/qradar/conf/trusted_certificates/apex-
alm-tls.cert
Caminho fornecido para a chave privada Caminho absoluto da chave privada PKCS#8. Por
exemplo, /etc/pki/tls/private/apex-alm-tls.pk8

Importância: Quando você usa o Syslog TLS e deseja usar um FQDN para acessar o sistema, deve-se
gerar seu próprio certificado para o listener e, em seguida, especificá-lo na configuração do Syslog
TLS.
A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de arquivo
de log do IBM Security Trusteer Apex Advanced Malware Protection:

78 IBM 593
Tabela 339. Parâmetros de origem de log do IBM Security Trusteer Apex Advanced Malware Protection para
protocolo de arquivo de log
Parâmetro Valor
Tipo de Fonte de Log IBM Security Trusteer Apex Advanced Malware
Protection
Configuração de protocolo Arquivo de log
Identificador de Fonte de Log O endereço IP ou o nome do host do servidor que
hospeda o Flat File Feed.
Tipo de serviço SFTP
IP ou nome do host remoto O endereço IP ou o nome do host do servidor que
hospeda o Flat File Feed.
Porta remota 22
Usuário remoto O nome do usuário que você criou para o QRadar no
servidor que hospeda o Flat File Feed.
Arquivo de chave SSH Se você usar uma senha, poderá deixar este campo em
branco.
Diretório remoto O diretório de arquivo de log no qual o Flat File Feed
está armazenado.
Recursivo Para evitar puxar o mesmo arquivo repetidamente para o
QRadar, não selecione essa opção.
Padrão do arquivo de FTP "trusteer_feeds_.*?_[0-9]{8}_[0-9]*?\.csv"
Horário de Início O horário em que você deseja que o protocolo de
arquivo de log inicie a coleta de arquivos de log.
Recorrência O intervalo de pesquisa para recuperação de arquivo de
log.
Executar no salvamento Deve ser ativado.
Processador Nenhum
Ignorar arquivos processados anteriormente Deve ser ativado.
Gerador de evento LINEBYLINE
Codificação de arquivo ~TF-8

Conceitos relacionados:
“Configurando o IBM Security TrusteerApex Advanced Malware Protection para enviar eventos de TLS
Syslog para o QRadar” na página 595
É possível configurar o IBM Security TrusteerApex Advanced Malware Protection para enviar eventos
syslog por meio de secure socket layer (SSL) ou de transport layer security (TLS) para o IBM QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o IBM Security Trusteer Apex Advanced Malware Protection para enviar eventos de
syslog ao QRadar” na página 595
É possível configurar o IBM Security Trusteer Apex Advanced Malware Protection para enviar eventos de
syslog para o IBM QRadar.
“Configurando um serviço de feed de arquivo simples” na página 598
Para que o IBM QRadar recupere arquivos de log do IBM Security Trusteer Apex Advanced Malware
Protection, deve-se configurar um serviço de feed de arquivo simples em um servidor intermediário
ativado para SFTP. O serviço permite que o servidor intermediário hospede os arquivos simples que ele
recebe do IBM Security Trusteer Apex Advanced Malware Protection e permite conexões de dispositivos

594 Guia de configuração do QRadar DSM

externos para que o QRadar possa recuperar os arquivos de log.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o IBM Security Trusteer Apex Advanced Malware

Protection para enviar eventos de syslog ao QRadar
É possível configurar o IBM Security Trusteer Apex Advanced Malware Protection para enviar eventos de
syslog para o IBM QRadar.

Antes de Iniciar

Instale um Apex Local Manager no Trusteer Management Application (TMA).

Para obter mais informações sobre como configurar o IBM Security Trusteer Apex Advanced Malware
Protection para se comunicar com o QRadar, consulte:
v IBM Security Trusteer Apex Advanced Malware Protection Local Manager - Hybrid Solution Reference Guide
v IBM Security Trusteer Apex Advanced Malware Protection Feeds Reference Guide

Nota: A autenticação SSL/TLS não é suportada.

Procedimento
1. Efetue login no Trusteer Management Application (TMA).
2. Selecione Apex Local Manager e Configurações do SIEM.
3. Opcional: Se o assistente do Apex Local Manager não for exibido automaticamente, clique em Incluir.
4. Digite o nome do Apex Local Manager.
5. Marque a caixa de seleção Ativar e clique em Avançar.
6. Digite as configurações do servidor para o QRadar e clique em Avançar.
7. Opcional: Se você usar um servidor syslog separado para os eventos do sistema Apex Local Manager,
digite as configurações.
8. Clique em Concluir.

Configurando o IBM Security TrusteerApex Advanced Malware

Protection para enviar eventos de TLS Syslog para o QRadar
É possível configurar o IBM Security TrusteerApex Advanced Malware Protection para enviar eventos
syslog por meio de secure socket layer (SSL) ou de transport layer security (TLS) para o IBM QRadar.

Conclua as etapas a seguir para estabelecer um canal seguro para transmitir logs entre Apex Trusteer e
QRadar:
1. Criar Certificados do Servidor TLS/SSL e chave privada.
2. Criar certificados de Autenticação do Cliente em um contêiner PKCS#12 para Apex Local Manager.
3. Configurar a origem de log do QRadar para o IBM Security Trusteer Apex Advanced Malware
Protection.
4. Configurar o Apex Local Manager (ALM).

Criando um certificado do servidor TLS/SSL e a chave privada

Para estabelecer uma comunicação entre o QRadar e o Apex Local Manager (ALM) usando a criptografia
TLS, deve-se criar um certificado autoassinado com pares de chaves públicas e privadas.

78 IBM 595
Procedimento
1. Efetue login no QRadar como um usuário raiz usando SSH.
2. Criar um certificado auto-assinado. Por exemplo:
openssl req -new -x509 -newkey rsa:2048 -days 3650 -sha512 -nodes -x509 -subj
"/C=US/ST=<State>/L=<City>/O=IBM/OU=IBM Security/CN=qradar FQDN or ip address"
-keyout apex-alm-tls.key -out apex-alm-tls.cert
3. Converta a chave privada para o formato PKCS#8 de codificação DER necessário:
openssl pkcs8 -topk8 -inform PEM -outform DER -in apex-alm-tls.key
-out apex-alm-tls.pk8 -nocrypt

Nota:
v Use um nome de arquivo exclusivo se um certificado precisar ser mudado ou atualizado.
v Coloque o arquivo de certificado em /opt/qradar/conf/trusted_certificates.
v Não coloque o arquivo de chave formatado por PKCS#8 no /opt/qradar/conf/
trusted_certificates.

Nota: Certifique-se de concluir esta etapa para que a conexão funcione entre o ALM e o QRadar.

Criando certificados e chaves de autenticação de cliente para o Apex Local

Manager
Configurar um ALM para autenticação de Syslog TLS requer um arquivo PKCS#12 que contenha o
certificado e a chave privada.

Procedimento
1. Crie um certificado autoassinado e a chave privada. Por exemplo,
openssl req -new -x509 -newkey rsa:2048 -days 3650 -sha512 -nodes -x509 -subj
"/C=US/ST=<State>/L=<City>/O=IBM/OU=IBM Security/CN=ALM FQDN or IP Address"
-keyout alm-client-syslog-tls.key -out alm-client-syslog-tls.cert
2. Crie o contêiner PKCS#12:
openssl pkcs12 -export -inkey alm-client-syslog-tls.key -in
alm-client-syslog-tls.cert -out alm-client-syslog-tls.p12 -name
"alm-client-syslog-tls"

Atenção: Anote a senha que você inseriu. A senha é necessária ao configurar o Apex Local Manager.

Configurando o Apex Local Manager

Configure o Apex Local Manager por meio de um servidor original Apex Trusteer Management
Application (TMA) designado ao cliente.

Procedimento
1. Efetue login no Apex TMA.
2. No menu de navegação à esquerda, clique em Administração para expandir as opções disponíveis.
3. Clique em Apex Local Manager e Configurações do SIEM.
4. Clique em Incluir e conclua as etapas a seguir:
a. Selecione a opção para ativar esse Apex Local Manager.
b. Digitar um único nome.
5. Clique em Avançar.
6. Na página SIEM/Configurações do servidor syslog, forneça um valor para os parâmetros a seguir:
Tabela 340. Parâmetros de configuração do servidor Apex Local Manager SIEM/Syslog
Parâmetro Descrição
Tipo IBM Security Q-Radar SIEM (LEEF)

596 Guia de configuração do QRadar DSM

Tabela 340. Parâmetros de configuração do servidor Apex Local Manager SIEM/Syslog (continuação)
Parâmetro Descrição
Nome do Host <fqdn of the Qradar appliance>
Porta O padrão é 6514.
Protocolo TCP com SSL/TLS
Arquivo de upload PKCS#12 Faça upload do arquivo local PKCS#12
Senha de Criptografia A senha que foi inserida durante a criação dos
certificados de autenticação do cliente para o Apex Local
Manager.
Arquivo de upload de certificado de CA Faça upload do arquivo de certificado local. Por
exemplo, apex-alm-tls.cert

7. Clique em Avançar.
8. Na página Configurações de eventos do sistema, forneça um valor para os parâmetros a seguir:
Tabela 341. Parâmetros de configuração de eventos do sistema
Parâmetro Descrição
Nome do Host <QRadar FQDN or IP Address>
Porta O padrão é 6514
Protocolo Syslog com SSL/TLS
Arquivo de upload PKCS#12 Faça upload do arquivo local PKCS#12. Por exemplo,
alm-client-syslog.tls.p12
Senha de Criptografia A senha que foi inserida durante a criação dos
certificados de autenticação do cliente para o Apex Local
Manager.
Arquivo de upload de certificado de CA Faça upload do arquivo de certificado local. Por
exemplo, apex-alm-tls.cert

9. Clicar em Concluir para salvar a configuração.

10. Selecione a nova entrada.
11. Copie a Chave de fornecimento.

O que Fazer Depois

Consulte "“Configurando a instância do ALM”"

Configurando a instância do ALM

Configure a instância do ALM usando a chave de fornecimento copiada do Apex Local Manager.

Procedimento
1. Efetue login no Apex Local Manager em:
https://ipaddress:8443
2. Na página Configurações gerais, cole a chave de fornecimento no campo e clique em Sincronizar
configurações.

Nota: Uma mensagem será exibida informando que as configurações foram sincronizadas com êxito.
3. Clique em Testar conexão para enviar o evento de teste para o QRadar e validar a conexão.

78 IBM 597
Configurando um serviço de feed de arquivo simples
Para que o IBM QRadar recupere arquivos de log do IBM Security Trusteer Apex Advanced Malware
Protection, deve-se configurar um serviço de feed de arquivo simples em um servidor intermediário
ativado para SFTP. O serviço permite que o servidor intermediário hospede os arquivos simples que ele
recebe do IBM Security Trusteer Apex Advanced Malware Protection e permite conexões de dispositivos
externos para que o QRadar possa recuperar os arquivos de log.

Para configurar o IBM Security TrusteerApex Advanced Malware Protection para enviar feed de arquivo
simples para o servidor intermediário, entre em contato com o suporte IBM Trusteer.

Sobre Esta Tarefa

O feed de arquivo simples usa um formato CSV. Cada item de feed é gravado no arquivo em uma linha
separada, que contém vários campos separados por vírgula. Cada campo contém dados que descreve o
item de feed. O primeiro campo em cada linha de feed contém o tipo de feed.

Procedimento
1. Ative um servidor ativado para SFTP e assegure-se de que dispositivos externos possam acessá-lo.
2. Efetue login no servidor ativado para SFTP.
3. Crie uma conta de usuário no servidor para o IBM Security Trusteer Apex Advanced Malware
Protection.
4. Crie uma conta de usuário para o QRadar.
5. Opcional: Ative a autenticação baseada em chave SSH.

O que Fazer Depois

Depois de configurar o servidor intermediário, anote os detalhes a seguir:

v Nome do servidor e endereço IP de destino SFTP
v Porta do servidor SFTP (a porta padrão é 22)
v O caminho de arquivo para o diretório de destino
v Nome de usuário SFTP, se a autenticação SSH não estiver configurada
v Frequência de upload (de 1 minute a 24 horas)
v Chave pública SSH em formato RSA

O suporte do IBM Trusteer usa os detalhes do servidor intermediário quando configura o IBM Security
Trusteer Apex Advanced Malware Protection para enviar o feed de arquivo simples.

IBM Security Trusteer Apex Local Event Aggregator

O IBM QRadar pode coletar e categorizar eventos de detecção de malware, exploit e exfiltração de dados
do Trusteer Apex Local Event Aggregator.

Para coletar eventos syslog, deve-se configurar o Trusteer Apex Local Event Aggregator para encaminhar
eventos syslog para o QRadar. Os administradores podem usar a interface do console de gerenciamento
Apex L.E.A. para configurar um destino syslog para os eventos. O QRadar descobre e cria
automaticamente origens de log para eventos syslog que são encaminhados pelos dispositivos Trusteer
Apex Local Event Aggregator. O QRadar suporta eventos syslog do Trusteer Apex Local Event Agregador
V1304.x e mais recente.

Para integrar eventos com o QRadar, os administradores podem concluir as tarefas a seguir:
1. No dispositivo Trusteer Apex Local Event Aggregator, configure o servidor syslog.
2. No sistema QRadar, verifique se os eventos encaminhados são descobertos automaticamente.

598 Guia de configuração do QRadar DSM

Configurando o syslog para o Trusteer Apex Local Event Agregador
Para coletar eventos, deve-se configurar um servidor syslog em seu Trusteer Apex Local Event
Aggregator para encaminhar eventos syslog.

Procedimento
1. Efetue login no console de gerenciamento do Trusteer Apex L.E.A .
2. No menu de navegação, selecione Configuração.
3. Para exportar a atual configuração do Trusteer Apex Local Event Agregador, clique em Exportar e
salve o arquivo.
4. Abra o arquivo de configuração com um editor de texto.
5. Na seção syslog.event_targets, inclua as informações a seguir:
{
host": "<QRadar IP address>", "port": "514", "proto": "tcp"
}
6. Salve o arquivo de configuração.
7. No menu de navegação, selecione Configuração.
8. Clique em Escolher arquivo e selecione o novo arquivo de configuração que contém o endereço IP de
destino de eventos.
9. Clique em Importar.
Conforme os eventos syslog são gerados pelo Trusteer Apex Local Event Agregador, eles são
encaminhados para o destino especificado no arquivo de configuração. A origem de log é descoberta
automaticamente depois que eventos suficientes são encaminhados para o QRadar. Ele geralmente usa
um mínimo de 25 eventos para descobrir automaticamente uma origem de log.

O que Fazer Depois

Os administradores podem efetuar login no QRadar Console e verificar se a origem de log foi criada. A
guia Atividade de log exibe os eventos do Trusteer Apex Local Event Aggregator.

IBM Sense
O IBM QRadar DSM for IBM Sense coleta eventos notáveis de um sistema local ou externo que gera
eventos do Sense.

A tabela a seguir descreve as especificações para o IBM Sense DSM:

Tabela 342. Especificações do IBM Sense DSM
Especificação Valor
Fabricante IBM
Nome do DSM IBM Sense
Nome do arquivo RPM DSM-IBMSense-Qradar_version-build_number.noarch.rpm
Versões Suportadas 1
Protocolo Syslog
Formato de evento LEEF

78 IBM 599
Tabela 342. Especificações do IBM Sense DSM (continuação)
Especificação Valor
Tipos de eventos registrados Comportamento do usuário

Geografia do usuário

Tempo do Usuário

User Access

Privilégio de usuário

Risco do usuário

Detecção de crime

Risco do recurso
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do IBM (http://www.ibm.com)

Para integrar o IBM Sense com o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do DSM do IBM Sense
v RPM DSMCommon

A tabela a seguir mostra uma mensagem do evento de amostra para o IBM Sense:
Tabela 343. Mensagem de amostra do IBM Sense.
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Mudança de comportamento Comportamento do usuário LEEF:2.0|IBM|Sense|1.0|Behavior
Change|cat=User Behavior description= score=
scoreType= confidence= primaryEntity=
primaryEntityType= additionalEntity=
additionalEntityType= beginningTimestamp=
endTimestamp= sensorDomain= referenceId1=
referenceId2= referenceId3= referenceId4=
referenceURL= originalSenseEventName=

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

Configurando o IBM Sense para se comunicar com o QRadar

O aplicativo User Behavior Analytics (UBA) usa o IBM Sense DSM para incluir pontuações de risco e
ofensas do usuário no QRadar. Quando o aplicativo é instalado, uma origem de log do IBM Sense é
criada e configurada automaticamente pelo aplicativo. Nenhuma configuração ou entrada do usuário é
necessária.

600 Guia de configuração do QRadar DSM

IBM SmartCloud Orchestrator
O IBM QRadar DSM for IBM SmartCloud Orchestrator coleta logs de auditora do sistema SmartCloud
Orchestrator.

A tabela a seguir identifica as especificações para o DSM do IBM SmartCloud Orchestrator.

Tabela 344. Especificações do IBM SmartCloud Orchestrator
Especificação Valor
Fabricante IBM
Nome do DSM SmartCloud Orchestrator
Nome do arquivo RPM DSM-IBMSmartCloudOrchestrator-Qradar_version_build
number.noarch.rpm
Versões Suportadas V2.3 FP1 e mais recente
Tipo de Protocolo
API de REST do IBM SmartCloud Orchestrator
Tipos de evento registrado do QRadar
Registros de auditoria
Tipo de origem de log na UI do QRadar IBM SmartCloud Orchestrator
Descobertos automaticamente? No
Inclui identidade? SIM
Inclui propriedades customizadas No
Informações adicionais http://ibm.com

Para integrar o IBM SmartCloud Orchestrator ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir em seu QRadar Console:
v RPM do IBM SmartCloud Orchestrator
v RPM do protocolo RESTAPI do IBM SmartCloud Orchestrator
2. Crie uma origem de log do IBM SmartCloud Orchestrator no QRadar Console. Use os valores a seguir
para os parâmetros específicos do SmartCloud:

Parâmetro Descrição
Tipo de origem de log IBM SmartCloud Orchestrator.
Configuração do Protocolo API de REST do IBM SmartCloud Orchestrator
IP ou Nome do Host O endereço IP ou o nome do servidor do SmartCloud
Orchestrator.

Nenhuma ação é necessária no sistema do IBM SmartCloud Orchestrator. Depois de criar a origem de
log, o QRadar começa a coletar logs do IBM SmartCloud Orchestrator.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

78 IBM 601
Instalando o IBM SmartCloud Orchestrator
Integrar o SmartCloud Orchestrator ao IBM QRadar

Procedimento
1. Faça download e instale o RPM DSMCommon mais recente em seu Console do QRadar. Se
atualizações automáticas estiverem configuradas para instalar atualizações do DSM, esta etapa não
será necessária.
2. Faça download e instale o RPM do Protocolo RESTAPI do IBM SmartCloud Orchestrator mais recente
em seu Console do QRadar.
3. Faça download e instale o RPM do IBM SmartCloud Orchestrator mais recente em seu Console do
QRadar. Se atualizações automáticas estiverem configuradas para instalar atualizações do DSM, esta
etapa não será necessária.

Configurando uma origem de log do IBM SmartCloud Orchestrator no

QRadar
Para ativar a integração do IBM SmartCloud Orchestrator com o IBM QRadar, inclua uma origem de log.

Procedimento
1. Efetue login no QRadar.
2. Selecione a guia Administrador.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de log e, em seguida, clique em Incluir.
5. Na lista Tipo de origem de log, selecione IBM SmartCloud Orchestrator.
6. Na listaConfiguração de protocolo selecione, IBM SmartCloud Orchestrator API de REST.
7. Configure os parâmetros:

Opção Descrição
IP ou Nome do Host O endereço IP ou o nome do servidor do SmartCloud
Orchestrator.
Nome do Usuário O nome do usuário do usuário do console do
SmartCloud Orchestrator.
Senha A senha do usuário do console do SmartCloud
Orchestrator.
Confirmar Senha Essa opção confirma que a senha foi inserida
corretamente.
Regulador de EPS O número máximo de eventos por segundo para essa
origem de log (padrão 5000).
Recorrência Com que frequência essa origem de log tenta obter
dados. Pode ser em Minutos, Horas, Dias (padrão 5
minutos).

IBM Tivoli Access Manager for e-business

O IBM Tivoli Access Manager for e-business DSM for IBM QRadar aceita acesso, auditoria e eventos
HTTP encaminhados do IBM Tivoli Access Manager.

O QRadar coleta auditoria, acesso e eventos HTTP do IBM Tivoli Access Manager for e-business usando
syslog. Para poder configurar o QRadar, deve-se configurar o Tivoli Access Manager for e-business para
encaminhar eventos para um destino syslog.

602 Guia de configuração do QRadar DSM

O Tivoli Access Manager for e-business suporta WebSEAL, um servidor que aplica política de segurança
de baixa granularidade ao espaço do objeto da web protegido do Tivoli Access Manager. Para obter mais
informações sobre WebSEAL, consulte Visão geral do IBM Tivoli Access Manager WebSEAL
(http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/en_US/HTML/
am51_webseal_guide10.htm#j1031993).

Configurar o Tivoli Access Manager for e-business

É possível configurar syslog em seu Tivoli Access Manager for e-business para encaminhar eventos.

Procedimento
1. Efetue login no IBM Security Web Gateway do Tivoli Access Manager.
2. No menu de navegação, selecione Configurações de proxy reverso seguro > Gerenciar > Proxy
reverso.
A área de janela Proxy reverso é exibida.
3. Na coluna Instância, selecione uma instância.
4. Clique na lista Gerenciar e selecione Configuração > Avançado.
O texto do arquivo de configuração do WebSEAL é exibido.
5. Localize a configuração Criação de log da API de autorização.
A configuração de syslog remoto começa com logcfg.
Por exemplo, para enviar eventos de autorização para um servidor de syslog remoto:
# logcfg = audit.azn:rsyslog server=<IP address>,port=514,log_id=<log name>
6. Copie a configuração de syslog remoto (logcfg) para uma nova linha sem o marcador de comentário
(#).
7. Edite a configuração de syslog remoto.
Por exemplo,
logcfg = audit.azn:rsyslog server=<IP address>,port=514,log_id=<log name> logcfg =
audit.authn:rsyslog server=<IP address>,port=514,log_id=<log name> logcfg = http:rsyslog
server=<IP address>,port=514,log_id=<log name>
Em que:
v <IP address> é o endereço IP do seu QRadar Console ou Event Collector.
v <Log name> é o nome designado ao log que é encaminhado ao QRadar. Por exemplo,
log_id=WebSEAL-log.
8. Customize o arquivo request.log .
Por exemplo,request-log-format = isam-http-request-log|client-ip=%a|server-ip=%A|client-
logname=%l|remote-user=%u|time=%t|port=%p|protocol=%H|request-method=%m|response-status=
%s|url=%U|bytes=%b|remote-host=%h|request=%r
9. Clique em Enviar.
O botão Implementar é exibido no menu de navegação.
10. No menu de navegação, clique em Implementar.
11. Clique em Implementar.
Deve-se reiniciar a instância de proxy reverso para continuar.
12. Na coluna Instância, selecione a configuração da instância.
13. Clique na lista Gerenciar e selecione Controlar > Reiniciar.
Uma mensagem de status é exibida após a conclusão da reinicialização. Para obter mais informações
sobre como configurar um destino de syslog, consulte a documentação do fornecedor IBM Tivoli
Access Manager for e-business. Agora você está pronto para configurar uma origem de log no QRadar.

78 IBM 603
Configurando uma origem de log
O IBM QRadar descobre automaticamente eventos syslog de auditoria e acesso, mas não descobre
automaticamente eventos HTTP que são encaminhados pelo IBM Tivoli Access Manager for e-business.

Sobre Esta Tarefa

Como o QRadar descobre automaticamente eventos de auditoria e acesso, você não precisa criar uma
origem de log. No entanto, é possível criar manualmente uma origem de log para o QRadar para receber
eventos syslog do IBM Tivoli Access Manager for e-business. As etapas de configuração a seguir para
criar uma origem de log são opcionais.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione IBM Tivoli Access Manager for e-business.
8. Na lista Configuração de protocolo, selecione Syslog.
9. Configure os valores a seguir:
Tabela 345. Configuração de syslog do IBM Tivloi Access Manager for e-business
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para o seu dispositivo IBM Tivoli Access
log Manager for e-business.

O endereço IP ou nome do host identifica o IBM Tivoli Access Manager for

e-business como uma origem de eventos exclusiva no QRadar.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.

IBM Tivoli Endpoint Manager

O IBM Tivoli® Endpoint Manager agora é conhecido como IBM BigFix.
Conceitos relacionados:
“IBM BigFix” na página 514
O IBM BigFix DSM for IBM QRadar aceita eventos de sistema em Log Extended Event Format (LEEF)
recuperados do IBM BigFix.

IBM WebSphere Application Server

O DSM IBM WebSphere® Application Server para o IBM QRadar aceita eventos usando a origem de
protocolo de arquivo de log.

O QRadar registra todos os eventos relevantes de aplicativo e segurança dos arquivos de log do
WebSphere Application Server.

Configurando o IBM WebSphere

É possível configurar eventos do IBM WebSphere Application Server para o IBM QRadar.

604 Guia de configuração do QRadar DSM

Procedimento
1. Usando um navegador da web, efetue login no console administrativo IBM WebSphere.
2. Clique em Ambiente > Variáveis do WebSphere.
3. Defina Célula como o nível de Escopo para a variável.
4. Clique em Novo.
5. Configure os valores a seguir:
v Nome – Digite um nome para a variável de célula.
v Descrição – Digite uma descrição para a variável (opcional).
v Valor – Digite um caminho de diretório para os arquivos de log.
Por exemplo:
{QRADAR_LOG_ROOT} = /opt/IBM/WebSphere/AppServer/profiles/Custom01/logs/QRadar
Deve-se criar o diretório de destino que é especificado em “Configurando o IBM WebSphere” na
página 604 antes de continuar.
6. Clique em OK.
7. Clique em Salvar.
8. Deve-se reiniciar o WebSphere Application Server para salvar as mudanças na configuração.

Nota: Se a variável que você criou afetar uma célula, deve-se reiniciar todos os WebSphere
Application Servers na célula antes de continuar.

O que Fazer Depois

Agora você está pronto para customizar a opção de criação de log para o DSM IBM WebSphere
Application Server.

Customizando a opção Criação de log

Deve-se customizar a opção de criação de log para cada servidor de aplicativos que o WebSphere usa e
mudar as configurações para Logs da JVM (Logs da Java Virtual Machine).

Procedimento
1. Selecionar servidores > Servidores de aplicativos.
2. Selecione WebSphere Application Server para carregar as propriedades do servidor.
3. Selecione Criação de log e rastreio > Logs da JVM.
4. Configure um nome para os arquivos de log da JVM.
Por exemplo:
Nome do arquivo de log System.Out:
${QRADAR_LOG_ROOT}/${WAS_SERVER_NAME}-SystemOut.log
Nome do arquivo de log System.Err:
${QRADAR_LOG_ROOT}/${WAS_SERVER_NAME}-SystemErr.log
5. Selecione um horário do dia para salvar os arquivos de log no diretório de destino.
6. Clique em OK.
7. Deve-se reiniciar o WebSphere Application Server para salvar as mudanças na configuração.

Nota: Se as mudanças nos Logs da JVM afetarem a célula, deve-se reiniciar todos os WebSphere
Application Servers na célula antes de continuar.
Agora você está pronto para importar o arquivo para o IBM QRadar usando o protocolo de arquivo
de log.

78 IBM 605
Criando uma origem de log
O protocolo de arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados a partir
de um host remoto. O DSM IBM WebSphere Application Server suporta o carregamento em massa de
arquivos de log usando a origem de protocolo de arquivo de log.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione IBM WebSphere Application Server.
8. Usando a lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os valores a seguir:
Tabela 346. Parâmetros de arquivo de log
Parâmetro Descrição
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar o IBM WebSphere
log Application Server como uma origem de eventos no QRadar. Os endereços IP ou
nomes de host são recomendados, visto que eles permitem ao QRadar identificar
um arquivo de log para uma origem de eventos exclusiva.

Por exemplo, se sua rede contiver vários IBM WebSphere Application Serves que
fornecem logs para um repositório de arquivo, especifique o endereço IP ou o nome
do host do dispositivo que criou o log de eventos. Isso permite que os eventos
sejam identificados no nível do dispositivo em sua rede, em vez de identificar o
repositório de arquivo.
Tipo de serviço Na lista, selecione o protocolo que você deseja usar ao recuperar arquivos de log de
um servidor remover. O padrão é SFTP.
v SFTP - Protocolo de Transferência de Arquivos SSH
v FTP - Protocolo de Transferência de Arquivos
v SCP - Copia segura

O protocolo subjacente que é usado para recuperar arquivos de log para o tipo de
serviço SCP e SFTP requer que o servidor especificado no campo IP ou nome do
host remoto tem o subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do IBM WebSphere Application Server que
armazena arquivos de log de eventos.
Porta remota Digite a porta TCP no host remoto que esteja executando o Tipo de Serviço
selecionado. O intervalo válido é de 1 a 65535.

As opções incluem as portas de FTP:

v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22

O nome de usuário pode ter até 255 caracteres de comprimento.

606 Guia de configuração do QRadar DSM

Tabela 346. Parâmetros de arquivo de log (continuação)
Parâmetro Descrição
Senha remota Digite a senha necessária para efetuar login no host.
Confirmar senha Confirme a senha necessária para efetuar login no host.
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço, esse parâmetro permitirá
a definição de um arquivo de chave privado SSH.

O campo Senha remota é ignorado quando você fornece um arquivo de chave SSH.
Diretório remoto Digite o local do diretório no host remoto para a célula e o caminho de arquivo
especificado em “Configurando o IBM WebSphere” na página 604. Esse é o diretório
que você criou contendo os arquivos de eventos do IBM WebSphere Application
Server.

Somente para FTP. Se seus arquivos de log estiverem localizados no diretório inicial
do usuário remoto, será possível deixar o diretório remoto em branco. Isso é para
suportar sistemas operacionais nos quais uma mudança no comando de diretório
ativo (CWD) é restrita.
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo procure
subpastas. Por padrão, a caixa de seleção não é selecionada.

A opção Recursivo será ignorada se você configurar SCP como o Tipo de serviço.
Padrão do arquivo de FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, essa opção permitirá a
configuração da expressão regular (regex) para filtrar a lista de arquivos que são
especificados no Diretório remoto. Todos os arquivos correspondentes são incluídos
no processamento.

O padrão do arquivo FTP que você especifica deve corresponder ao nome

designado aos logs da JVM em “Customizando a opção Criação de log” na página
605. Por exemplo, para coletar os logs do sistema, digite o código a seguir:

System.*\.log

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

Para obter mais informações, consulte o seguinte website: http://
download.oracle.com/javase/tutorial/essential/regex/
Modo de transferência por Esta opção será exibida somente se você selecionar FTP como o Tipo de serviço. O
FTP parâmetro Modo de transferência por FTP permite a definição do modo de
transferência de arquivo quando os arquivos de log são recuperados via FTP.

Na lista, selecione o modo de transferência que você deseja aplicar a esta origem de
log:
v Binário – Selecione Binário para origens de log que requerem arquivos de dados
binários ou archives compactados zip, gzip, tar ou tar+gzip.
v ASCII – Selecione ASCII para origens de log que requerem uma transferência de
arquivos FTP ASCII.

Deve-se selecionar Nenhum para o parâmetro Processador e LINEBYLINE no

parâmetro Gerador de evento ao usar ASCII como o Modo de transferência por
FTP.
Arquivo remoto do SCP Se você selecionar SCP como o Tipo de serviço, deverá digitar o nome do arquivo
do arquivo remoto.
Horário de Início Digite o horário do dia que deseja que o processamento comece. Esse parâmetro
funciona com o valor Recorrência para estabelecer quando e com que frequência o
Diretório remoto é verificado em busca de arquivos. Digite o horário de início, com
base em um relógio de 24 horas, no seguinte formato: HH: MM.

78 IBM 607
Tabela 346. Parâmetros de arquivo de log (continuação)
Parâmetro Descrição
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D). Por
exemplo, digite 2H se você desejar que o diretório seja varrido a cada 2 horas. O
padrão é 1H.

Ao planejar um protocolo de arquivo de log, selecione um tempo de recorrência

para o protocolo de arquivo de log menor que o intervalo de gravação planejado
dos arquivos de log do WebSphere Application Server. Isso assegura que os eventos
do WebSphere sejam coletados pelo protocolo de arquivo de log antes que o novo
arquivo de log sobrescreva o log de eventos antigo.
Executar no salvamento Marque esta caixa de seleção se desejar que o protocolo de arquivo de log seja
executado logo após clicar em Salvar. Após o Executar salvamento ser concluído, o
protocolo de arquivo de log segue o horário de início configurado e o planejamento
de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados

anteriormente para o parâmetro Ignorar arquivo processado anteriormente.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O intervalo válido é 100 a 5000.
Processador Se os arquivos no host remoto forem armazenados em um formato de archive zip,
gzip, tar ou tar+gzip, selecione o processador que permite que os archives sejam
expandidos e o conteúdo seja processado.
Ignorar arquivo(s) Marque essa caixa de seleção para rastrear os arquivos que são processados. Os
processado(s) anteriormente arquivos que foram processados anteriormente não são processados uma segunda
vez.

Esta caixa de seleção será aplicada somente aos Tipos de serviço FTP e SFTP.
Mudar o diretório local? Marque essa caixa de seleção para definir o diretório local no QRadar que você
deseja usar para armazenar arquivos transferidos por download durante o
processamento. Recomendamos que você deixe a caixa de seleção desmarcada.
Quando a caixa de seleção é marcada, o campo Diretório local é exibido,
fornecendo a opção de configurar o diretório local para uso no armazenamento de
arquivos.
Gerador de evento Na lista Gerador de evento, selecione WebSphere Application Server.

O Gerador de evento aplica mais processamento, que é específico dos arquivos de

eventos recuperados para os eventos do IBM WebSphere Application Server.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Para obter mais informações sobre o IBM do WebServer Application
Server, consulte a documentação do fornecedor.

IBM WebSphere DataPower

O IBM WebSphere DataPower é agora conhecido como IBM Datapower.
Conceitos relacionados:
“IBM DataPower” na página 526
O IBM QRadar DSM coleta logs de eventos de seu sistema IBM DataPower.

IBM z/OS
O IBM z/OS DSM coleta eventos de um mainframe do IBM z/OS® que usa o IBM Security zSecure.

608 Guia de configuração do QRadar DSM

Quando você usa um processo zSecure, eventos do System Management Facilities (SMF) podem ser
transformados em eventos Log Event Extended Format (LEEF). Esses eventos podem ser enviados quase
em tempo real usando o protocolo UNIX Syslog ou o IBM QRadar pode coletar os arquivos de log de
eventos LEEF usando o protocolo de Arquivo de log e, em seguida, processar os eventos. Ao usar o
protocolo de Arquivo de log, é possível planejar o QRadar para coletar eventos em um intervalo de
pesquisa, que permite que o QRadar colete os eventos no planejamento que você definir.

Para coletar eventos do IBM z/OS, conclua as etapas a seguir:

1. Verifique se sua instalação atende aos requisitos de instalação do pré-requisito. Para obter mais
informações sobre requisitos de pré-requisito, consulte o IBM Security zSecure Suite 2.2.1
Pre-requisites (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html) .
2. Configure a imagem do IBM z/OS para gravar eventos no formato LEEF. Para obter mais
informações, consulte o IBM Security zSecure Suite: CARLa-Driven Components Installation and
Deployment Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/
com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html).
3. Crie uma origem de log no QRadar for IBM z/OS.
4. Se você deseja criar uma propriedade de evento customizado para o IBM z/OS no QRadar, para obter
mais informações, consulte a nota técnica Propriedades de evento customizado do IBM Security for
IBM z/OS (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/
SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf).

Antes de iniciar

Os seguintes pré-requisitos são necessários:

78 IBM 609
origem de log para receber eventos dos dispositivos de rede.

Os DSMs a seguir são suportados:

v IBM z/OS
v IBM CICS
v IBM RACF
v IBM DB2
v CA secreto
v CA ACF2

Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log para o seu DSM
no console do QRadar.

A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos para
seu DSM:
Tabela 347. Parâmetros de origem de log
Parâmetro Valor
Tipo de origem de log Selecione o nome do DSM na lista.
Configuração do Protocolo Syslog
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

Criando uma origem de log para o protocolo Arquivo de log

O protocolo de Arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados de um
host remoto para o IBM z/OS, IBM CICS, IBM RACF, IBM DB2, CA Top Secret e CA ACF2 DSM...

Sobre Esta Tarefa

610 Guia de configuração do QRadar DSM

7. Na lista Tipo de origem de log, selecione o seu nome de DSM.
8. Na lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os parâmetros de protocolo Arquivo de log.
A tabela a seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos
do DSM:
Tabela 348. Parâmetros de protocolo de Arquivo de log
Parâmetro Valor
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
log Os endereços IP ou nomes de host são sugeridos conforme eles permitem ao
QRadar identificar um arquivo de log para uma origem de eventos exclusiva.

As opções incluem as portas:

v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22

78 IBM 611
Tabela 348. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Recursivo Se você desejar que o padrão do arquivo procure as subpastas no diretório remoto,
selecione esta caixa de seleção. Por padrão, a caixa de seleção não é selecionada.

O mainframe do IBM z/OS que usa o IBM Security zSecure Audit grava arquivos
de eventos usando o padrão: <product_name>.<timestamp>.gz

O padrão do arquivo FTP que você especificar deve corresponder ao nome

designado aos arquivos de eventos. Por exemplo, para coletar arquivos que
comecem com zOS e terminem com .gz, digite o código a seguir:

zOS.*\.gz

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

O modo de transferência binário é necessário para os arquivos de eventos que são

Esse parâmetro funciona com o valor de Recorrência para estabelecer quando e com
que frequência o Diretório Remoto é varrido em busca de arquivos. Digite o horário
de início, com base em um relógio de 24 horas, no seguinte formato: HH: MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório remoto seja varrido a cada 2
horas a partir da hora de início. O padrão é 1H.
Executar no salvamento Selecione esta caixa de seleção se desejar que o protocolo de Arquivo de log seja
executado imediatamente após você clicar em Salvar.

Após o Executar ao salvar ser concluído, o protocolo de arquivo de log segue o

horário de início configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

612 Guia de configuração do QRadar DSM

Tabela 348. Parâmetros de protocolo de Arquivo de log (continuação)
Parâmetro Valor
Processador Na lista, selecione gzip.

Os processadores permitem que os archives de arquivo de evento sejam expandidos

O QRadar examina os arquivos de log no diretório remoto para determinar se um

Essa opção se aplica somente a tipos de serviço FTP e SFTP.

Mudar o diretório local? Selecione essa caixa de seleção para definir um diretório local em seu QRadar para
armazenar arquivos transferidos por download durante o processamento.

O Gerador de Evento aplica mais processamento aos arquivos de eventos

recuperados. Cada linha é um único evento. Por exemplo, se um arquivo tiver 10
linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

IBM zSecure Alert

O DSM IBM zSecure Alert para o IBM QRadar aceita eventos de alerta usando syslog, permitindo que o
QRadar receba eventos de alerta em tempo real.

Sobre Esta Tarefa

A configuração de alerta em seu dispositivo IBM zSecure Alert determina quais condições de alerta você
deseja monitorar e encaminhar para o QRadar. Para coletar eventos no QRadar, deve-se configurar o
dispositivo IBM zSecure Alert para encaminhar eventos em um formato de evento syslog do UNIX
usando o endereço IP do QRadar como destino. Para obter informações sobre como configurar alertas e
destinos de syslog do UNIX, consulte o Manual de referência do usuário do IBM Security zSecure Alert.

O QRadar descobre e cria automaticamente uma origem de log para eventos syslog do IBM zSecure
Alert. No entanto, você pode criar manualmente uma origem de log para o QRadar receber eventos
syslog. As etapas de configuração a seguir são opcionais.

78 IBM 613
Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a sua origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione IBM zSecure Alert.
8. Usando a lista Configuração de protocolo, selecione Syslog.
9. Configure os valores a seguir:
Tabela 349. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um
log identificador para eventos do IBM zSecure Alert.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

614 Guia de configuração do QRadar DSM

79 ISC Bind
É possível integrar um dispositivo Internet System Consortium (ISC) BIND com o IBM QRadar. Um
dispositivo ISC BIND aceita eventos usando syslog.

Sobre Esta Tarefa

É possível configurar syslog no dispositivo ISC BIND para encaminhar eventos para o QRadar.

Procedimento
1. Efetue login no dispositivo ISC BIND.
2. Abra o arquivo a seguir para incluir uma cláusula de criação de log:
named.conf
logging {
channel <channel_name> {
syslog <syslog_facility>;
severity <critical | error | warning | notice | info | debug [level ] | dynamic >;
print-category yes;
print-severity yes;
print-time yes;
};
category queries {
<channel_name>;
};
category notify {
<channel_name>;
};
category network {
<channel_name>;
};
category client {
<channel_name>;
};
};
For Example:
logging {
channel QRadar {
syslog local3;
severity info;
};
category queries {
QRadar;
};
category notify {

© Copyright IBM Corp. 2005, 2019 615

QRadar;
};
category network {
QRadar;
};
category client {
QRadar;
};
};
3. Salve e saia do arquivo.
4. Edite a configuração syslog a ser registrada no QRadar usando o recurso que você selecionou em 79,
“ISC Bind”, na página 615:
<syslog_facility>.* @<IP_address>
Em que <IP Address> é o endereço IP do QRadar.
Por exemplo:
local3.* @<IP_address>

Nota: O QRadar analisa somente os logs com um nível de severidade de informações ou superior.
5. Reinicie os serviços a seguir.
service syslog restart
service named restart

O que Fazer Depois

Agora é possível configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do ISC BIND.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

616 Guia de configuração do QRadar DSM

Tabela 350. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um identificador
log para eventos do dispositivo ISC BIND.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

79 ISC Bind 617

618 Guia de configuração do QRadar DSM
80 Illumio Adaptive Security Platform
O IBM QRadar DSM for Illumio Adaptive Security Platform coleta eventos do Illumio Policy Compute
Engine (PCE).

A tabela a seguir descreve as especificações para o Illumio Adaptive Security Platform DSM:
Tabela 351. Especificações do Illumio Adaptive Security Platform DSM
Especificação Valor
Fabricante Illumio
Nome do DSM Illumio Adaptive Security Platform
Nome do arquivo RPM DSM-IllumioAdaptiveSecurityPlatform-QRadar_version-
build_number.noarch.rpm
Versões Suportadas N/A
Protocolo Syslog
Formato de evento Log Event Extended Format (LEEF)
Tipos de eventos registrados Auditoria

Tráfego
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais website Illumio (https://www.illumio.com)

Para integrar o Illumio Adaptive Security Platform ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir, na ordem em que estão listados em seu QRadar Console:
v RPM DSMCommon
v Illumio Adaptive Security Platform DSM RPM
2. Configure seu Illumio PCE para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Illumio
Adaptive Security Platform no QRadar Console. A tabela a seguir descreve os parâmetros que
requerem valores específicos para a coleção de eventos do Illumio Adaptive Security Platform:
Tabela 352. Parâmetros de origem de log do Illumio Adaptive Security Platform
Parâmetro Valor
Tipo de origem de log Illumio Adaptive Security Platform
Configuração do Protocolo Syslog
Log Source Identifier Um identificador exclusivo para a origem de log.

© Copyright IBM Corp. 2005, 2019 619

Tabela 353. Mensagem de amostra do Illumio Adaptive Security Platform
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
flow_allowed Permissão de firewall <14>1 2016-08-08T22:18:24.000+00:00
hostname1
illumio_pce/collector 5458 - -
sec=694704.253 sev=INFO pid=5458
tid=14554040 rid=0 LEEF:2.0|Illumio
|PCE|16.6.0|flow_allowed|cat=flow
_summary devTime=2016-08-08T15
:20:55-07:00 devTimeFormat=
yyyy-MM-dd’T’HH:mm:ssX
proto=udp sev=1
src= <Source_IP_address> dst= < Destin
ation_IP_address> dstPort=14000
srcBytes=0 dstBytes=15936
count=1 dir=I hostname=
hostname2 intervalSec=3180
state=T workloadUUID=xxxxxxxx-xxxx
-xxxx-xxxx-xxxxxxxxxxxx

Configurando Illumio Adaptive Security Platform para se comunicar

com o QRadar
Para encaminhar eventos para o IBM QRadar, deve-se configurar Exportando eventos para Syslog e
Syslog Forwarding para seu Illumio PCE.
Tarefas relacionadas:
“Configurando Exportando eventos para Syslog para Illumio PCE”
Todos os resumos de auditoria e de tráfego são enviados para o syslog no formato JSON por padrão. A
configuração padrão deve ser atualizada para que os eventos sejam exportados no formato LEEF.
“Configurando o encaminhamento de syslog para Illumio PCE” na página 621
Como o software PCE exporta logs para um syslog local, deve-se configurar também o serviço rsyslog ou
syslog-ng em cada nó em seu cluster do PCE para encaminhar esses logs para o QRadar.

Configurando Exportando eventos para Syslog para Illumio PCE

Todos os resumos de auditoria e de tráfego são enviados para o syslog no formato JSON por padrão. A
configuração padrão deve ser atualizada para que os eventos sejam exportados no formato LEEF.

Procedimento
1. Pare o software PCE para que as mudanças no arquivo PCE runtime_env.yml possam ser feitas.
2. Ative a formatação de LEEF configurando o parâmetro PCE runtime_env.yml
syslog_event_export_format.
syslog_event_export_format:leef
3. Exporte resumos de tráfego para o Syslog configurando o parâmetro PCE runtime_env.yml
export_flow_summaries_to_syslog:

620 Guia de configuração do QRadar DSM

export_flow_summaries_to_syslog:
aceita
potentially_blocked
blocked

Nota: Por padrão, o PCE exporta todos os eventos de auditoria para Syslog. Portanto, nenhuma
configuração é necessária para ativar a exportação de eventos de auditoria.

Nota: O parâmetro export_flow_summaries_to_syslog deve ser considerado experimental e o

mecanismo para configurar este recurso pode mudar em uma liberação futura.
4. Digite o comando ./illumio-pce-env check para validar a sintaxe do arquivo de configuração.
5. Inicie o software PCE.
6. Configure o Syslog Forwarding.

Configurando o encaminhamento de syslog para Illumio PCE

Como o software PCE exporta logs para um syslog local, deve-se configurar também o serviço rsyslog ou
syslog-ng em cada nó em seu cluster do PCE para encaminhar esses logs para o QRadar.

Procedimento
1. Se você desejar configurar rsyslog, conclua as etapas a seguir.
a. Edite o arquivo /etc/rsyslog.conf incluindo as entradas a seguir ou remova se elas já estiverem
presentes. Substitua <QRadar Event Collector IP> pelo endereço IP do coletor de eventos do
QRadar:
### LEEF (flow data, audit events) ###
if $syslogseverity <= 6 \
and $syslogtag startswith ’illumio_pce/collector[’ \
and $msg contains ’LEEF:’ \
and $msg contains ’|Illumio|PCE|’ \
and $msg contains ’cat=flow_summary’ \
then @@<QRadar Event Collector IP>:514

if $syslogseverity <= 6 \
and $syslogtag startswith ’illumio_pce/’ \
and $msg contains ’LEEF:’ \
and $msg contains ’|Illumio|PCE|’ \
and $msg contains ’audit_events’ \
then @@<QRadar Event Collector IP>:514
b. Reinicie o serviço rsyslog.
service rsyslog restart
2. Se você desejar configurar syslog-ng, conclua as etapas a seguir.
a. Edite o arquivo /etc/syslog-ng/syslog-ng.conf incluindo as entradas a seguir ou remova o
comentário se elas já estiverem presentes. Substitua <QRadar Event Collector IP> pelo endereço IP
do coletor de eventos do QRadar:
#destination d_net { tcp("<QRadar Event
Collector IP>" port(514) flush_lines(1)); };
#log { source(s_src); filter(flow_events);
destination(d_net); };#log { source(s_src);
filter(audit_events); destination(d_net); };

### LEEF (flow data, audit events) ###

filter flow_events {
level(info..emerg)
and program("^illumio_pce/collector$")
and message(’LEEF:[^\|]+\|Illumio\|PCE\|’)
and message(’cat=flow_summary’);
};

filter audit_events {

80 Illumio Adaptive Security Platform 621

level(info..emerg)
and program("^illumio_pce/")
and message(’LEEF:[^\|]+\|Illumio\|PCE\|’)
and message(’cat=[^ #]*audit_events’);
};
b. Reinicie o serviço syslog-ng.
service syslog-ng restart

622 Guia de configuração do QRadar DSM

81 Imperva Incapsula
O IBM QRadar DSM for Imperva Incapsula coletas logs de um serviço Imperva Incapsula.

A tabela a seguir descreve as especificações para o Imperva Incapsula DSM:

Tabela 354. Especificações do Imperva Incapsula DSM
Especificação Valor
Fabricante Imperva
Nome do DSM Imperva Incapsula
Nome do arquivo RPM DSM-ImpervaIncapsula-QRadar_version-
build_number.noarch.rpm
Versões Suportadas N/A
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Os eventos de acesso e alertas de segurança
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Imperva Incapsula (https://
www.incapsula.com/)

Para integrar o Imperva Incapsula com o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v Imperva Incapsula DSM RPM
2. Configure o utilitário de download de log para coletar logs e, em seguida, encaminhe-os ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Imperva
Incapsula no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para coletar eventos do Imperva Incapsula:
Tabela 355. Parâmetros de origem de log do Imperva Incapsula
Parâmetro Valor
Tipo de origem de log Imperva Incapsula
Configuração do Protocolo Syslog

4. Verifique se o QRadar está configurado corretamente.

A tabela a seguir mostra uma mensagem do evento normalizado de amostra do Imperva Incapsula:

© Copyright IBM Corp. 2005, 2019 623

Tabela 356. Imperva Incapsula Mensagem de amostra
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
REQ_PASSED Informações LEEF:1.0 |
Incapsula |
SIEMintegration |
1,0 | Normal |
FileId = fid
SourceServiceName
= ssname
Siteid=siteid
Suid=suid
requestClientAppl
Ication=reqcliapp
Cs2 = true
Cs2Label=Javascri
Suporte do pt
Cs3 = true
Cs3Label=CO
Suporte
src=<Source_IP_address>
Cs1 = NA
Cs1Label=Cap
Suporte
Cs5Label=clappsig
Dproc = Navegador
Cs6 = Internet
Explorador
Cs6Label=clapp
CalCountryOrRegio
n = [ XX ]
cs7 = xx.xx
Cs7Label=latitude
cs8 = xx.xx
Cs8Label=longitude
Customer=customer
Start=start
RequestMethod=GET
Cn1 = 200
Proto = HTTP
Cat = REQ_PASSED

Configurando o Imperva Incapsula para se comunicar com o QRadar

Para coletar eventos do Imperva Incapsula, um script Python é necessário.

O script, os arquivos de configuração e as instruções podem ser obtidos no Website do GitHub

(https://github.com/Incapsula/logs-downloader).

Procedimento
1. Instale as dependências de script usando um gerenciador de pacote como apt-get ou pip. As
dependências de script devem ser instaladas em um servidor intermediário que não seja o QRadar. As
seguintes dependências podem requerer módulos adicionais, dependendo de seu sistema operacional:

624 Guia de configuração do QRadar DSM

v M2Crypto
v Loggerglue
v Crypto.cipher
2. Para coletar eventos de log, execute o script.
a. Crie um novo diretório local ou use o diretório padrão para armazenar o arquivo de configuração
do script. O arquivo Settings.Config é armazenado neste diretório local. O diretório padrão é
/etc/incapsula/logs/config. Para obter o arquivo Settings.Config, acesse o Website do GitHub
(https://github.com/Incapsula/logs-downloader/tree/master/config).
b. Configure os valores de parâmetro para o arquivo de configuração Settings.Config.
Tabela 357. Valores de parâmetro para o arquivo de configuração Settings.Config
Parâmetro Valor
APIID O ID da API.
APIKEY Sua chave de API.
SAVE_LOCALLY Um valor de Sim ou Não que instrui o Incapsula a
manter ou não os arquivos de log após eles serem
processados. Quando configurado para Não, os arquivos
são excluídos.

O padrão é YES.
PROCESS_DIR O diretório em que o Incapsula salva automaticamente os
logs após extraí-los.

O padrão é /tmp/processed/
Baseurl A URL de seu repositório de logs na nuvem do
Incapsula. Essa URL é exibida na janela Configurações
do console de administração do Incapsula como o campo
URL do servidor de log.
USEPROXY Especifique YES para usar um proxy para fazer
download dos arquivos.

O padrão é NO.
PROXYSERVER Se você escolher usar um servidor proxy, ao digitar a
URL do proxy, use o formato <https://1.1.1.1:8080>.
SYSLOG_ENABLE Digite YES.

Um valor de Sim ou Não que instrui o Incapsula sobre o

envio dos arquivos usando syslog.

O padrão é YES.
SYSLOG_ADDRESS O endereço IP para QRadar
SYSLOG_PORT 514
USE_CUSTOM_CA_FILE No caso de o certificado do serviço não estar no pacote
configurável, o padrão será NÃO.
CUSTOM_CA_FILE O caminho de arquivo para o arquivo de certificado
customizado.

3. Execute o comando a seguir para iniciar o script LogsDownloader e recuperar logs:

Python LogsDownloader.py < -cpath_to_config_folder-l >
< > < -vpath_to_system_logs_foldersystem_logs_level>
Os parâmetros -c, -l e -v são opcionais. Se os valores de parâmetros não são especificados, a tabela a
seguir descreve os valores padrão que são usados:

81 Imperva Incapsula 625

Tabela 358. Os valores de parâmetro LogsDownloader.py
Parâmetro Valor
< >path_to_config_folder O padrão é

/etc/incapsula/logs/config
< >path_to_system_logs_folder O <path_to_system_logs_folder> é a pasta em que o
arquivo de log de saída de script é armazenado. Esse
parâmetro não se refere aos seus logs do Incapsula.

O padrão é /var/log/incapsula/logsDownloader/
<system_logs_level> O nível de criação de log para o log de saída de script.
Os valores suportados são informações, depuração e erro.

O valor padrão é info.

Nota:
v Se o parâmetro SAVE_LOCALLY estiver configurado como YES, os arquivos de log transferidos por
download poderão ser localizados no diretório PROCESS_DIR.
v Depois que os arquivos são transferidos por download, o script salva o nome do último arquivo
coletado como LastKnownDownloadedFileId.txt no diretório <path_to_config_folder>. Se você deseja
coletar todos os logs de histórico, exclua esse arquivo.
v Para obter mais informações sobre como configurar um servidor intermediário, consulte a Proteção
da web - Integração de log do Imperva Incapsula (https://docs.incapsula.com/Content/
management-console-and-settings/log-integration.htm).

626 Guia de configuração do QRadar DSM

82 Imperva SecureSphere
O DSM do IBM QRadar para o Imperva SecureSphere coleta todos os eventos syslog relevantes dos
dispositivos Imperva SecureSphere.

A tabela a seguir lista as especificações para o DSM Imperva SecureSphere:

Tabela 359. DSM Imperva SecureSphere
Especificação Valor
Fabricante Imperva
Nome do DSM SecureSphere
Nome do arquivo RPM DSM-ImpervaSecuresphere-QRadar-version-
Build_number.noarch.rpm
Versões suportadas v6.2 e v7.x a v13 Release Enterprise Edition (Syslog)

v9.5 a v13 (LEEF)

Formato de evento syslog

LEEF
Tipos de evento registrado do QRadar Eventos de política de firewall
Descobertos automaticamente? Sim
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do Imperva (http://www.imperva.com)

Para enviar eventos dos dispositivos Imperva SecureSphere para o QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente do
RPM do DSM Imperva SecureSphere em seu QRadar Console.
2. Para cada instância do Imperva SecureSphere, configure o dispositivo Imperva SecureSphere para se
comunicar com o QRadar. No dispositivo Imperva SecureSphere, conclua as etapas a seguir
a. Configure uma ação de alerta.
b. Configure uma ação de evento do sistema.
3. Se o QRadar não descobrir automaticamente a origem de log do Imperva SecureSphere, crie uma
origem de log para cada instância do Imperva SecureSphere em sua rede. Use a tabela a seguir para
definir os parâmetros específicos do Imperva SecureSphere:
Tabela 360. Parâmetros de origem de log do Imperva SecureSphere
Parâmetro Descrição
Tipo de Fonte de Log Imperva SecureSphere
Configuração de protocolo Syslog

Tarefas relacionadas:
“Configurando uma ação de alerta para o Imperva SecureSphere” na página 628
Configure o dispositivo Imperva SecureSphere para encaminhar eventos syslog de alertas de política de
firewall para o QRadar.
“Configurando uma ação de evento do sistema para o Imperva SecureSphere” na página 630
Configure o dispositivo Imperva SecureSphere para encaminhar eventos de política do sistema syslog

© Copyright IBM Corp. 2005, 2019 627

para o QRadar.
“Configurando o Imperva SecureSphere V11.0 a V13 para enviar registros de auditoria de banco de dados
para o QRadar” na página 631
Para enviar registros de auditoria de banco de dados do Imperva SecureSphere V11.0 a V13 IBM QRadar,
crie um conjunto de ações customizadas, inclua uma interface de ação e, em seguida, configure uma
política de auditoria.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando uma ação de alerta para o Imperva SecureSphere”
Configure o dispositivo Imperva SecureSphere para encaminhar eventos syslog de alertas de política de
firewall para o QRadar.
“Configurando uma ação de evento do sistema para o Imperva SecureSphere” na página 630
Configure o dispositivo Imperva SecureSphere para encaminhar eventos de política do sistema syslog
para o QRadar.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando uma ação de alerta para o Imperva SecureSphere

Configure o dispositivo Imperva SecureSphere para encaminhar eventos syslog de alertas de política de
firewall para o QRadar.

Sobre Esta Tarefa

Use a lista a seguir para definir uma sequência de mensagem no campo Mensagem para cada tipo de
evento que você deseja encaminhar:

628 Guia de configuração do QRadar DSM

|Alert type=${Alert.alertType}|src=${Alert.sourceIp}
|usrName=${Alert.username}|Application
name=${Alert.applicationName}
|Service name=${Alert.serviceName}|Alert
Description=${Alert.description}
|Severity=${Alert.severity}|Simulation
Mode=${Alert.simulationMode}
|Immediate Action=${Alert.immediateAction}
Todos os alertas (V6.2 e V7 a V13 Release Enterprise Edition)
DeviceType=ImpervaSecuresphere Alert|an=$!{Alert.alertMetadata.
alertName}|at=SecuresphereAlert|sp=$!{Event.sourceInfo.sourcePort}
|s=$!{Event.sourceInfo.sourceIp}|d=$!{Event.destInfo.serverIp}|dp=$!
{Event.destInfo.serverPort}|u=$!{Alert.username}|g=$!
{Alert.serverGroupName}|ad=$!{Alert.description}

Nota: O parâmetro devTimeFormat não inclui um valor porque é possível configurar o formato de hora no
dispositivo SecureSphere. Revise o formato de hora de seu dispositivo SecureSphere e especifique o
formato de hora apropriado.

Procedimento
1. Efetue login no SecureSphere usando privilégios administrativos.
2. Clique na guia Políticas.
3. Clique na guia Conjuntos de ação.
4. Gere eventos para cada alerta que o dispositivo SecureSphere gera:
a. Clique em Novo para criar um novo conjunto de ações para um alerta.
b. Mova a ação para a lista Ações selecionadas.
c. Expanda o grupo de ações Log do sistema.
d. No campo Nome da ação, digite um nome para a ação de alerta.
e. Na lista Aplicar ao tipo de evento, selecione Qualquer tipo de evento.
f. Configure os parâmetros a seguir:
v No campo Host de syslog, digite o endereço IP do dispositivo QRadar ao qual deseja enviar
eventos.
v Na lista Nível de log syslog, selecione INFO.
v No campo Mensagem, defina uma sequência de mensagem para o tipo de evento.
g. No campo Recurso, digite syslog.
h. Marque a caixa de seleção Executar em cada evento.
i. Clique em Salvar.
5. Para acionar eventos syslog, associe cada uma das políticas de firewall a uma ação de alerta:
a. No menu de navegação, clique em Políticas > Segurança > Política de firewall.
b. Selecione a política que você deseja usar para a ação de alerta.
c. Clique na guia Política.
d. Na lista Ação seguida, selecione sua nova ação e configure os parâmetros.

Dica: Configure as conexões estabelecidas como bloqueadas, de entrada ou de saída. Sempre

permita portas de serviço aplicáveis.
e. Assegure-se de que a política esteja configurada como ativada e seja aplicada aos grupos de
servidores apropriados.
f. Clique em Salvar.

82 Imperva SecureSphere 629

Configurando uma ação de evento do sistema para o Imperva
SecureSphere
Configure o dispositivo Imperva SecureSphere para encaminhar eventos de política do sistema syslog
para o QRadar.

Sobre Esta Tarefa

Use a lista a seguir para definir uma sequência de mensagem no campo Mensagem para cada tipo de
evento que você deseja encaminhar:

Atenção: As quebras de linha nos exemplos de código podem fazer com que essa configuração falhe.
Para cada alerta, copie os blocos de código em um editor de texto, remova as quebras de linha e cole
como uma única linha na coluna Formato customizado.
Eventos do sistema (V9.5 e V10 a V13)
LEEF:1.0|Imperva|SecureSphere|${SecureSphereVersion}|${Event.eventType}
|Event ID=${Event.dn}|devTimeFormat=[see note]|devTime=${Event.createTime}
|Event Type=${Event.eventType}|Message=${Event.message}
|Severity=${Event.severity.displayName}|usrName=${Event.username}
|SecureSphere Version=${SecureSphereVersion}
Registros de auditoria de banco de dados (V9.5 e V10 a V13)
LEEF:1.0|Imperva|SecureSphere|${SecureSphereVersion}
|${Event.struct.eventType}|Server Group=${Event.serverGroup}
|Service Name=${Event.serviceName}|Application Name=$
{Event.applicationName}|Source Type=${Event.sourceInfo.eventSourceType}
|User Type=${Event.struct.user.userType}|usrName=$
{Event.struct.user.user}|User Group=${Event.struct.userGroup}
|Authenticated=${Event.struct.user.authenticated}|App User=$
{Event.struct.applicationUser}|src=${Event.sourceInfo.sourceIp}
|Application=${Event.struct.application.application}|OS User=
${Event.struct.osUser.osUser}|Host=${Event.struct.host.host}
|Service Type=${Event.struct.serviceType}|dst=$
{Event.destInfo.serverIp}|Event Type=${Event.struct.eventType}
|Operation=${Event.struct.operations.name}|Operation type=
${Event.struct.operations.operationType}|Object name=$
{Event.struct.operations.objects.name}|Object type=$
{Event.struct.operations.objectType}|Subject=
${Event.struct.operations.subjects.name}|Database=$
{Event.struct.databases.databaseName}|Schema=
${Event.struct.databases.schemaName}|Table Group=$
{Event.struct.tableGroups.displayName}|Sensitive=
${Event.struct.tableGroups.sensitive}|Privileged=$
{Event.struct.operations.privileged}|Stored Proc=$
{Event.struct.operations.storedProcedure}|Completed Successfully
=${Event.struct.complete.completeSuccessful}|Parsed Query=$
{Event.struct.query.parsedQuery}|Bind Vaiables=$
{Event.struct.rawData.bindVariables}|Error=$
{Event.struct.complete.errorValue}|Response Size=$
{Event.struct.complete.responseSize}|Response Time=$
{Event.struct.complete.responseTime}|Affected Rows=
${Event.struct.query.affectedRows}| devTimeFormat=[see note]
|devTime=${Event.createTime}
Todos os eventos (V6.2 e V7.x a V13 Release Enterprise Edition)
DeviceType=ImpervaSecuresphere Event|et=$!{Event.eventType}
|dc=Securesphere System Event|sp=$!{Event.sourceInfo.sourcePort}
|s=$!{Event.sourceInfo.sourceIp}|d=$!{Event.destInfo.serverIp}
|dp=$!{Event.destInfo.serverPort}|u=$!{Event.username}|t=$!
{Event.createTime}|sev=$!{Event.severity}|m=$!{Event.message}

630 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no SecureSphere usando privilégios administrativos.
2. Clique na guia Políticas.
3. Clique na guia Conjuntos de ação.
4. Gere eventos para cada alerta que o dispositivo SecureSphere gera:
a. Clique em Novo para criar um novo conjunto de ações para um alerta.
b. Digite um nome para o novo conjunto de ações.
c. Mova a ação para a lista Ações selecionadas.
d. Expanda o grupo de ações Log do sistema.
e. No campo Nome da ação, digite um nome para a ação de alerta.
f. Na lista Aplicar ao tipo de evento, selecione Qualquer tipo de evento.
g. Configure os parâmetros a seguir:
v No campo Host de syslog, digite o endereço IP do dispositivo QRadar ao qual deseja enviar
eventos.
v Na lista Nível de log syslog, selecione INFO.
v No campo Mensagem, defina uma sequência de mensagem para o tipo de evento.
h. No campo Recurso, digite syslog.
i. Marque a caixa de seleção Executar em cada evento.
j. Clique em Salvar.
5. Para acionar eventos syslog, associe cada uma das políticas de evento do sistema a uma ação de
alerta:
a. No menu de navegação, clique em Políticas > Eventos do sistema.
b. Selecione ou crie a política de evento do sistema que você deseja usar para a ação de alerta.
c. Clique na guia Ação seguida.
d. Na lista Ação seguida, selecione sua nova ação e configure os parâmetros.

Dica: Configure as conexões estabelecidas como bloqueadas, de entrada ou de saída. Sempre

permita portas de serviço aplicáveis.
e. Clique em Salvar.

Configurando o Imperva SecureSphere V11.0 a V13 para enviar

registros de auditoria de banco de dados para o QRadar
Para enviar registros de auditoria de banco de dados do Imperva SecureSphere V11.0 a V13 IBM QRadar,
crie um conjunto de ações customizadas, inclua uma interface de ação e, em seguida, configure uma
política de auditoria.

Procedimento
1. Crie um conjunto de ações customizadas:
a. Efetue login em seu sistema Imperva SecureSphere.
b. Na área de trabalho Principal, selecione Políticas > Conjuntos de ações.
c. Na área de trabalho Conjuntos de ações, clique no ícone verde de sinal de mais.
d. Na caixa de texto Conjunto de ações, digite um nome para o conjunto de ações. Por exemplo,
QRadar SIEM.

82 Imperva SecureSphere 631

e. Na lista Aplicar ao tipo de evento, selecione Auditoria.
f. Clique em Criar.
2. Inclua a interface de ação que você deseja que seja parte do conjunto de ações na área de janela Ações
selecionadas:
a. Clique no ícone verde de seta para cima e, em seguida, selecione Log do sistema do gateway >
Evento de auditoria de log para log do sistema (log do sistema do gateway).
b. Configure os parâmetros de interface de ação a seguir:

Parâmetro Valor
Nome Digite o nome que você criou para o conjunto de ações.
Por exemplo, QRadar SIEM.
Protocolo Selecione UDP.
Host Digite o endereço IP ou o nome do host do dispositivo
QRadar para o qual você deseja enviar eventos.
Port 514
Syslog Log Level Informações
Instalação syslog
Mensagem de e-mail Atenção: As quebras de linha no exemplo de código
podem fazer com que essa configuração falhe. Para cada
alerta, copie o bloco de códigos abaixo em um editor de
texto, remova as quebras de linha e cole como uma única
linha no campo Mensagem.
LEEF:1.0|Imperva|Secure
Sphere|${SecureSphereVersion}|
${Alert.alertType}${Alert.immediate
Action}|Alert ID=${Alert.dn}|devTime
Format=devTimeFormat=yyyy-MM-dd
HH:mm:ss.S|devTime=${Alert.createTime}
|Alert type=${Alert.alertType}|src=$
{Alert.sourceIp}|usrName=${Event.
struct.user.user}|Application name=
${Alert.applicationName}|dst=${Event.
destInfo.serverIp}|Alert Description=
${Alert.description}|Severity=${Alert.
severity}|Immediate Action=${Alert.
immediateAction}|SecureSphere Version=$
{SecureSphereVersion}

a. Marque a caixa de seleção Executar em cada evento.

3. Configure uma política de auditoria para os eventos que você deseja enviar para o QRadar:
a. Na área de trabalho Principal, clique em Políticas > Auditoria.
b. Clique em Criar serviço de DB.
c. Digite um nome para a política.
d. Selecione Usar existente e, em seguida, selecione uma política na lista.
e. Clique na guia Critérios de correspondência e, em seguida, insira os critérios para a política.
f. Clique na guia Aplicar a e, em seguida, selecione o grupo de servidores.
g. Clique na guia Criador de logs externo.
h. Na lista Syslog, selecione o QRadar SIEM que você configurou.
i. Opcional: Se você selecionar uma política predefinida na lista Syslog, configure os campos Aplicar
a e Criador de logs externo.
j. Clique em Salvar.

632 Guia de configuração do QRadar DSM

O que Fazer Depois

Deve-se definir uma política de auditoria ou configurar uma política predefinida para cada tipo de
evento de auditoria que você deseja enviar para o QRadar.

82 Imperva SecureSphere 633

634 Guia de configuração do QRadar DSM
83 Infoblox NIOS
O DSM Infoblox NIOS para o IBM QRadar aceita eventos usando syslog, que permite ao QRadar
registrar todos os eventos relevantes de um dispositivo Infoblox NIOS.

Nota: Se você enviar eventos do syslog do Infoblox NIOS para o QRadar sem primeiro criar uma origem
de log do Infoblox NIOS, as seguintes origens de log serão descobertas automaticamente:
v ISC Bind
v Linux DHCP
v Linux Server
v Apache
Para evitar a criação de origens de log extras, crie manualmente a origem de log do Infoblox NIOS antes
de configurar seu dispositivo Infoblox NIOS para enviar eventos do syslog para o QRadar. Para obter
mais informações sobre como configurar logs no dispositivo Infoblox NIOS, consulte a documentação do
fornecedor do Infoblox NIOS.

A tabela a seguir identifica as especificações para o DSM Infoblox NIOS:

Especificações do DSM Infoblox NIOS

Especificação Valor
Fabricante Infoblox
DSM NIOS
Versão v6.x
Eventos aceitos Syslog
QRadar eventos registrados v Eventos de ligação ISC
v Eventos do Linux DHCP
v Eventos do Linux Server
v Eventos do Apache
Opção no QRadar Infoblox NIOS
Descoberto automaticamente Não
Inclui identidade Sim
Para obter mais informações http://www.infoblox.com

Configurando uma origem de log

O IBM QRadar não descobre ou cria automaticamente origens de log para eventos syslog dos dispositivos
Infoblox NIOS. Para integrar os dispositivos Infoblox NIOS com o QRadar, deve-se criar manualmente
uma origem de log para receber eventos do Infoblox NIOS.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.

© Copyright IBM Corp. 2005, 2019 635

5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Infoblox NIOS.
9. Usando a lista Configuração de protocolo, selecione Syslog.
10. Configure os parâmetros restantes.
11. Clique em Salvar.
12. Na guia Administrador, clique em Implementar mudanças.

636 Guia de configuração do QRadar DSM

84 iT-CUBE agileSI
O DSM iT-CUBE agileSI para o IBM QRadar pode aceitar eventos baseadas em segurança e SAP de
auditoria das instalações agileSI que são integradas com o sistema SAP.

O QRadar usa os dados de eventos que são definidos como riscos de segurança em seu ambiente SAP
para gerar ofensas e correlacionar dados de eventos para sua equipe de segurança. Os eventos de
segurança SAP são gravados no Log Event Extended Format (LEEF) em um arquivo de log produzido
pelo agileSI. O QRadar recupera os novos eventos usando o protocolo SMB Tail. Para recuperar eventos
do agileSI, deve-se criar uma origem de log usando o protocolo SMB Tail e fornecer as credenciais do
QRadar para efetuar login e pesquisar o arquivo de evento do agileSI formatado em LEEF. O QRadar é
atualizado com os novos eventos toda vez que o protocolo SMB Tail pesquisa o arquivo de evento em
busca de novos eventos SAP.

Configurando o agileSI para encaminhar eventos

Para configurar o agileSI, deve-se criar um nome de arquivo lógico para seus eventos e configurar as
definições de conector com o caminho para o log de eventos agileSI.

Sobre Esta Tarefa

O local do arquivo de evento em formato LEEF deve estar em um local visível pelo Samba e acessível
com as credenciais que você configura para a origem de log no IBM QRadar.

Procedimento
1. Na instalação do sistema principal agileSI, defina um nome de arquivo lógico para o arquivo de
saída que contém eventos de segurança SAP.
O SAP fornece um conceito que dá a você a opção de usar nomes de arquivo lógico independentes
de plataforma em seus programas de aplicativos. Crie um nome de arquivo lógico e o caminho
usando a transação "FILE" (Definição de caminho de arquivo lógico) de acordo com os requisitos da
sua organização.
2. Efetue login no agileSI.
Por exemplo, http://<sap-system-url:port>/sap/bc/webdynpro/itcube/ ccf?sap-client=<client>
&sap-language=EN
Em que:
v <sap-system-url> é o endereço IP e o número da porta de seu sistema SAP, como
<IP_address>:50041.
v <client> é o agente na implementação do agileSI.
3. No menu, clique em Exibir/Mudar para ativar o modo de mudança para agileSI.
4. Na barra de ferramentas, selecione Ferramentas > Configurações de conector de consumidor
principal.
As Configurações de conector de consumidor principal são exibidas.
5. Configure os valores a seguir:
Na lista Conector de consumidor, selecione Q1 Labs.
6. Marque a caixa de seleção Ativo.
7. Na lista Tipo de conector, selecione Arquivo.
8. No campo Nome do arquivo lógico, digite o caminho para o nome do arquivo lógico que você
configurou em “Configurando o agileSI para encaminhar eventos”.
Por exemplo, /ITCUBE/LOG_FILES.

© Copyright IBM Corp. 2005, 2019 637

O arquivo que é criado para os eventos agileSI é denominado LEEFYYYYDDMM.TXT, em que YYYYDDMM é
o ano, o dia e o mês. O arquivo de evento para o dia atual é anexado com novos eventos toda vez
que o extrator é executado. iT-CUBE agileSI cria um novo arquivo LEEF para eventos SAP
diariamente.
9. Clique em Salvar.
A configuração para o conector é salva. Para poder concluir a configuração do agileSI, deve-se
implementar as mudanças para o agileSI usando extratores.
10. Na barra de ferramentas, selecione Ferramentas > Gerenciamento de extrator.
As configurações de Gerenciamento de extrator são exibidas.
11. Clique em Implementar todos.
A configuração para eventos do agileSI está concluída. Agora você está pronto para configurar uma
origem de log no QRadar.

Configurando uma origem de log agileSI

O IBM QRadar deve ser configurado para efetuar login e pesquisar o arquivo de evento usando o
protocolo SMB Tail.

Sobre Esta Tarefa

O protocolo SMB Tail efetua login e recupera eventos que são registrados pelo agileSI no arquivo
LEEFYYYDDMM.txt.

Esse parâmetro será opcional se o servidor não estiver em um domínio.

Nome do usuário Digite o nome do usuário que é necessário para acessar o servidor iT-CUBE agileSI.

O nome do usuário e a senha que você especificar devem ser capazes de ler o arquivo
LEEFYYYYDDMM.txt para eventos do agileSI.
Senha Digite a senha que é necessária para acessar o servidor iT-CUBE agileSI.
Confirmar senha Confirme a senha que é necessária para acessar o servidor iT-CUBE agileSI.

638 Guia de configuração do QRadar DSM

Tabela 361. Parâmetros do protocolo SMB Tail (continuação)
Parâmetro Descrição
Caminho de pasta de log Digite o caminho do diretório para acessar o arquivo LEEFYYYYDDMM.txt.

Os parâmetros que suportam caminhos de arquivo fornecem a opção de definir uma

letra de unidade com as informações de caminho. Por exemplo, é possível usar
c$/LogFiles/ para um compartilhamento administrativo, ou LogFiles/, para um
caminho de pasta de compartilhamento público, mas não c:/LogFiles.

Se um caminho de pasta de log contiver um compartilhamento administrativo (C$), os

usuários com acesso NetBIOS no compartilhamento administrativo (C$) terão o acesso
adequado que é necessário para ler os arquivos de log. Os administradores locais ou
de domínio possuem privilégios suficientes para acessar os arquivos de log que estão
em compartilhamentos administrativos.
Padrão de arquivo Digite a expressão regular (regex) necessária para filtrar os nomes de arquivos. Todos
os arquivos correspondentes são incluídos para processamento quando o QRadar
pesquisa eventos.

Por exemplo, se você desejar listar todos os arquivos que terminam com txt, use esta
entrada: .*\.txt. A utilização deste parâmetro requer conhecimento de expressões
regulares (regex). Para obter mais informações, consulte o website a seguir:
http://docs.oracle.com/javase/tutorial/essential/regex/
Forçar leitura de arquivo Marque essa caixa de seleção para forçar o protocolo a ler o arquivo de log. Por
padrão, essa caixa de seleção é marcada.

Se a caixa de seleção estiver desmarcada, o arquivo de evento será lido quando o

QRadar detectar uma mudança no tempo ou no tamanho do arquivo modificado.
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo procure subpastas.
Por padrão, essa caixa de seleção é marcada.
Intervalo de pesquisa (em Digite o intervalo de pesquisa, que é o número de segundos entre as consultas ao
segundos) arquivo de evento para verificar se há novos dados.

O intervalo de pesquisa mínimo é 10 segundos, com um intervalo de pesquisa

máximo de 3.600 segundos. O padrão é 10 segundos.
Eventos do regulador/s Digite o número máximo de eventos que o protocolo SMB Tail encaminha por
segundo.

O valor mínimo é 100 EPS e o máximo é 20.000 EPS. O padrão é 100 EPS.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Conforme a origem de log iT-CUBE agileSI recupera novos eventos, a
guia Atividade de log no QRadar é atualizada.

84 iT-CUBE agileSI 639

640 Guia de configuração do QRadar DSM
85 Itron Smart Meter
O DSM Itron Smart Meter para o IBM QRadar coleta eventos de um Itron Openway Smart Meter usando
syslog.

Sobre Esta Tarefa

O Itron Openway Smart Meter envia eventos syslog para o QRadar usando a Porta 514. Para obter
detalhes sobre como configurar seu medidor para syslog, consulte a sua documentação do Itron Openway
Smart Meter.

O QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Itron Openway
Smart Meters. No entanto, você pode criar manualmente uma origem de log para o QRadar receber
eventos syslog. As etapas de configuração a seguir são opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

© Copyright IBM Corp. 2005, 2019 641

642 Guia de configuração do QRadar DSM
86 Juniper Networks
O IBM QRadar suporta uma faixa de DSMs Juniper Networks.

Juniper Networks AVT

O DSM Juniper Networks Application Volume Tracking (AVT) para o IBM QRadar aceita eventos usando
o protocolo Java Database Connectivity (JDBC).

Sobre Esta Tarefa

O QRadar grava todos os eventos relevantes. Para integração com dados do Juniper Networks NSM AVT,
deve-se criar uma visualização no banco de dados no servidor Juniper Networks NSM. Deve-se também
definir a configuração do banco de dados Postgres no servidor Juniper Networks NSM para permitir
conexões com o banco de dados visto que, por padrão, somente conexões locais são permitidas.

Nota: Esse procedimento é fornecido como uma diretriz. Para obter instruções específicas, consulte a
documentação do fornecedor.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do dispositivo Juniper Networks AVT.
2. Abra o arquivo a seguir:
/var/netscreen/DevSvr/pgsql/data/pg_hba.conf file
3. Inclua a linha a seguir no final do arquivo:
host all all <IP address>/32 trust
Em que: <IP address> é o endereço IP do QRadar Console ou Event Collector que você deseja conectar
ao banco de dados.
4. Recarregue o serviço Postgres:
su - nsm -c "pg_ctl reload -D /var/netscreen/DevSvr/pgsql/data"
5. Conforme o usuário Juniper Networks NSM, crie a visualização usando a entrada a seguir:
create view strm_avt_view as SELECT a.name, a.category,
v.srcip,v.dstip,v.dstport, v."last", u.name as userinfo,
v.id, v.device, v.vlan,v.sessionid, v.bytecnt,v.pktcnt,
v."first" FROM avt_part v JOIN app a ON v.app =a.id
JOIN userinfo u ON v.userinfo = u.id;
A visualização está criada.
Agora você está pronto para configurar a origem de log no QRadar.

Configurando o IBM QRadar para receber eventos de um dispositivo

Juniper Networks AVT
Os administradores que não têm permissão para criar uma visualização de banco de dados devido às
restrições de política podem coletar eventos do Juniper Networks AVT com uma origem de log que usa
consultas predefinidas.

Sobre Esta Tarefa

Consultas predefinidas são instruções customizadas que podem associar dados de tabelas separadas
quando o banco de dados é pesquisado pelo protocolo JDBC.

© Copyright IBM Corp. 2005, 2019 643

Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
3. Clique no ícone Origens de Log.
4. Clique em Incluir origem do log.
5. No campo Nome da origem de log, digite um nome para a origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione Juniper Networks AVT.
8. Configure o protocolo JDBC para a origem de log. A tabela a seguir descreve os valores de parâmetro
para o protocolo JDBC:
Tabela 363. Parâmetros de origem de log JDBC
Parâmetro Valor
Tipo de Fonte de Log Juniper Networks AVT
Configuração de protocolo JDBC
Identificador de Fonte de Log Digite o identificador da origem de log. Digite o
identificador de origem de log no seguinte formato:

<Database>@<Database Server IP or Host Name>

Em que:
v <Database> é o nome do banco de dados, conforme
inserido no parâmetro Nome do banco de dados.
v <Database Server IP or Host Name> é o nome do host ou
endereço IP para essa origem de log, conforme
inserido no parâmetro IP ou nome do host.
Tipo de banco de dados Postgres
Nome do banco de dados profilerDb
IP ou nome do host O endereço IP ou o nome do host do servidor SQL que
hospeda o banco de dados Juniper Networks AVT.
Porta Digite o número da porta que é usado pelo servidor de
banco de dados. A porta padrão para Postgres é 5432.

A porta de configuração JDBC deve corresponder à porta

do listener do banco de dados Juniper Networks AVT. O
banco de dados Juniper Networks AVT deve ter conexões
TCP recebidas que estejam ativadas para se comunicar
com o QRadar.
Nome do usuário Digite o nome de usuário que a origem de log pode usar
para acessar o banco de dados Juniper Networks AVT.
Senha Digite a senha que a origem de log pode usar para
acessar o banco de dados Juniper Networks AVT.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha Confirme a senha que é usada para acessar o banco de
dados. A senha de confirmação deve ser idêntica à senha
inserida no campo Senha.
Consulta predefinida Na lista, selecione Juniper Networks AVT.
Usar Instruções Preparadas A caixa de seleção Usar instruções preparadas deve ficar
desmarcada. O DSM Juniper Networks AVT não suporta
instruções preparadas.

644 Guia de configuração do QRadar DSM

Tabela 363. Parâmetros de origem de log JDBC (continuação)
Parâmetro Valor
Data e Horário de Início Opcional. Digite a data e hora de início para a pesquisa
de banco de dados.

O parâmetro Data e hora de início deve ser formatado

como aaaa-MM-dd HH: mm, com HH especificado
usando um relógio de 24 horas. Se a data ou hora de
início for limpa, a pesquisa começa imediatamente e
repete no intervalo de pesquisa especificado.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é o tempo entre as
consultas à visualização criada. O intervalo de pesquisa
padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao

Nota: A seleção de um valor de parâmetro maior que 5 para o parâmetro de Credibilidade pondera a
origem de log do Juniper Networks AVT com uma importância maior que é comparada com outras
origens de log no QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Juniper Networks DDoS Secure

O Juniper Networks DDoS Secure agora é conhecido como NCC Group DDoS Secure.
Conceitos relacionados:
99, “DDoS Seguro do NCC”, na página 799
O IBM QRadar DSM for NCC Group DDoS Secure coleta eventos dos dispositivos NCC Group DDoS
Secure.

Juniper Networks DX Application Acceleration Platform

O DSM Juniper DX Application Acceleration Platform para o IBM QRadar usa syslog para receber
eventos. O QRadar registra todos os eventos de status e condição de rede relevantes. Antes de configurar
o QRadar, deve-se configurar o dispositivo Juniper para encaminhar eventos syslog.

Procedimento
1. Efetue login na interface com o usuário do Juniper DX.
2. Navegue para a configuração de cluster desejada (Serviços – Nome do cluster), seção Criação de log.
3. Marque a caixa de seleção Ativar criação de log.

86 Juniper Networks 645

4. Selecione o formato de log.
O QRadar suporta logs do Juniper DX usando os formatos comum e perf2 somente.
5. Selecione o formato de delimitador de log.
O QRadar suporta somente logs delimitados por vírgula.
6. Na seção Host do log, digite o endereço IP do sistema QRadar.
7. Na seção Porta do log, digite a porta UDP na qual você deseja exportar os logs.
8. Agora você está pronto para configurar a origem de log no QRadar.

Configurando o IBM QRadar para receber eventos de um Juniper DX

Application Acceleration Platform
Sobre Esta Tarefa

É possível configurar o QRadar para receber eventos de um Juniper DX Application Acceleration

Platform.

Procedimento
Na lista Tipo de origem de log, selecione a opção Juniper DX Application Acceleration Platform.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Juniper Networks EX Series Ethernet Switch

O DSM Juniper EX Series Ethernet Switch para o IBM QRadar aceita eventos usando syslog.

Sobre Esta Tarefa

O DSM Juniper EX Series Ethernet Switch suporta comutadores Juniper EX Series Ethernet Switches que
executam o Junos OS. Para poder integrar o QRadar com um Juniper EX Series Ethernet Switch, deve-se
configurar o Juniper EX Series Switch para encaminhar eventos syslog.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do comutador de Ethernet Juniper EX Series.
2. Digite o seguinte comando:
configure
3. Digite o seguinte comando:
set system syslog host <IP address> <option> <level>
Em que:
v <IP address> é o endereço IP do QRadar.
v <level> é info, error, warning ou any.
v <option> é uma das opções a seguir da Tabela 364.
Tabela 364. Opções do comutador Juniper Networks EX Series
Opção Descrição
qualquer Todos os recursos

646 Guia de configuração do QRadar DSM

Tabela 364. Opções do comutador Juniper Networks EX Series (continuação)
Opção Descrição
authorization Sistema de autorização
change-log Log de mudanças na configuração
conflict-log Log de conflito de configuração
daemon Vários processos do sistema
dfc Captura de fluxo dinâmico
explicit-priority Incluir prioridade e recursos em mensagens
external Aplicativos externos locais
facility-override Recurso alternativo para criação de log no host remoto
firewall Sistema de filtragem de firewall
ftp Processo de FTP
interactive-commands Comandos executados pela UI
kernel Kernel
log-prefix Prefixo para toda criação de log neste host
match Expressão regular para linhas a serem registradas
pfe Mecanismo de encaminhamento de pacote
user Processos do usuário

Por exemplo:
set system syslog host <IP_address> firewall info
Esse exemplo de comando configura o Juniper EX Series Ethernet Switch para enviar mensagens de
informações dos sistemas de filtro de firewall para o QRadar.
4. Repita as etapas de 1 a 3 para configurar quaisquer destinos e opções adicionais de syslog. Cada
opção adicional deve ser identificada usando uma configuração de destino de syslog separada.
5. Agora você está pronto para configurar o Juniper EX Series Ethernet Switch no QRadar.

Configurando o IBM QRadar para receber eventos de um Juniper EX

Series Ethernet Switch
É possível configurar o QRadar para receber eventos de um comutador Juniper EX Series Ethernet
Switch:

Procedimento

Na lista Tipo de origem de log, selecione a opção Juniper EX-Series Ethernet Switch.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Juniper Networks IDP

O DSM Juniper IDP para o IBM QRadar aceita eventos usando syslog. O QRadar registra todos os
eventos do Juniper IDP relevantes.

86 Juniper Networks 647

Sobre Esta Tarefa

É possível configurar um sensor no Juniper IDP para enviar logs para um servidor syslog:

Procedimento
1. Efetue login na interface com o usuário do Juniper NSM.
2. No NSM, dê um clique duplo no Sensorno Gerenciador de Dispositivos.
3. Selecione Configurações globais.
4. Selecione Ativar syslog.
5. Digite o endereço IP do Servidor syslog para encaminhar eventos para o QRadar.
6. Clique em OK.
7. Use Atualizar dispositivo para carregar as novas configurações no Sensor IDP.
O formato da mensagem syslog que é enviada pelo Sensor IDP é o seguinte:
<day id>, <record id>, <timeReceived>,
<timeGenerated>, <domain>, <domainVersion>,
<deviceName>, <deviceIpAddress>, <category>,
<subcategory>,<src zone>, <src intface>,
<src addr>, <src port>, <nat src addr>,
<nat src port>, <dstzone>, <dst intface>,
<dst addr>, <dst port>, <nat dst addr>,
<nat dst port>,<protocol>, <rule domain>,
<rule domainVersion>, <policyname>, <rulebase>,
<rulenumber>, <action>, <severity>,
<is alert>, <elapsed>, <bytes in>,
<bytes out>, <bytestotal>, <packet in>,
<packet out>, <packet total>, <repeatCount>,
<hasPacketData>,<varData Enum>, <misc-str>,
<user str>, <application str>, <uri str>
Veja o exemplo de syslog a seguir:
[[email protected] dayId="20061012" recordId="0"
timeRecv="2006/10/12 21:52:21"
timeGen="2006/10/12 21:52:21" domain="" devDomVer2="0" device_ip="<IP_address>"
cat="Predefined" attack="TROJAN:SUBSEVEN:SCAN" srcZn="NULL" srcIntf="NULL"
srcAddr="<Source_IP_address>" srcPort="63396" natSrcAddr="NULL" natSrcPort="0"
dstZn = "NULL "dstIntf = "NULL" dstAddr = "<Destination_IP_address>" dstPort = "27374"
natDstAddr="NULL" natDstPort="0" protocol="TCP" ruleDomain="" ruleVer="5"
policy="Policy2" rulebase="IDS" ruleNo="4" action="NONE" severity="LOW"
alert="no" elaspedTime="0" inbytes="0" outbytes="0" totBytes="0" inPak="0"
outPak="0" totPak="0" repCount="0" packetData="no" varEnum="31"
misc="<017>’interface=eth2" user="NULL" app="NULL" uri="NULL"]

Configurar uma origem de log

Juniper NSM é um servidor de gerenciamento central para Juniper IDP. É possível configurar o IBM
QRadar para coletar e representar os alertas Juniper IDP como vindos de um NSM central, ou o QRadar
pode coletar syslog do dispositivo Juniper IDP individual.

Para configurar o QRadar para receber eventos do dispositivo Juniper Networks Secure Access:

Na lista Tipo de origem de log, selecione Juniper Networks Intrusion Detection and Prevention (IDP).

. Para obter mais informações sobre o Juniper IDP, consulte a documentação do Network and Security
Manager.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

648 Guia de configuração do QRadar DSM

Controlador Infranet da Juniper Networks

O DSM Juniper Networks Infranet Controller para o IBM QRadar aceita eventos DHCP usando syslog. O
QRadar registra todos os eventos relevantes de um Juniper Networks Infranet Controller.

Sobre Esta Tarefa

Antes de configurar o QRadar para integração com um Juniper Networks Infranet Controller, deve-se
configurar o syslog no servidor. Para obter mais informações sobre como configurar o Juniper Networks
Infranet Controller, consulte a documentação do fornecedor.

Depois de configurar o syslog para o Juniper Infranet Controller, agora você está pronto para configurar a
origem de log no QRadar.

Para configurar o QRadar para receber eventos do Juniper Networks Infranet Controller:

Procedimento

Na lista Tipo de origem de log, selecione a opção Juniper Networks Infranet Controller.
Para obter mais informações sobre como configurar dispositivos, consulte o IBM QRadar Guia de
gerenciamento de origens de log.

Juniper Networks Firewall e VPN

O DSM Juniper Networks Firewall e VPN para o IBM QRadar aceita eventos do Juniper Firewall e VPN
usando syslog UDP.

Sobre Esta Tarefa

O QRadar registra todos os eventos de firewall e VPN relevantes.

Nota: Não é suportado syslog TCP. Deve-se usar syslog UDP.

É possível configurar o dispositivo Juniper Networks Firewall e VPN para exportar eventos para o
QRadar.

Procedimento
1. Efetue login na interface com o usuário do Juniper Networks Firewall e VPN.
2. Selecione Configuração > Configurações de relatório > Syslog.
3. Marque a caixa de seleção Ativar mensagens syslog.
4. Digite o endereço IP do QRadar Console ou Event Collector.
5. Clique em Aplicar.
Agora você está pronto para configurar a origem de log no QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
86 Juniper Networks 649
Configurando o IBM QRadar para receber eventos
Sobre Esta Tarefa

É possível configurar o QRadar para receber eventos de um dispositivo Juniper Networks Firewall e
VPN.

Procedimento
Na lista Tipo de origem de log, selecione a opção Juniper Networks Firewall e VPN.
Para obter mais informações sobre o dispositivo Juniper Networks Firewall e VPN, consulte a
documentação do Juniper.

Juniper Networks Junos OS

O Juniper Junos OS Platform DSM for IBM QRadar aceita eventos que usam syslog, syslog de dados
estruturados ou PCAP (somente SRX Series). O QRadar registra todos os eventos syslog ou syslog de
dados estruturados válidos.

Sobre Esta Tarefa

O DSM do Juniper Junos OS Platform suporta os dispositivos Juniper a seguir que estão executando o
Junos OS:
v Juniper M Series Multiservice Edge Routing
v Juniper MX Series Ethernet Services Router
v Juniper T Series Core Platform
v Juniper SRX Series Services Gateway

Para obter informações sobre como configurar dados PCAP que usam um dispositivo Juniper Networks
SRX Series, veja “Configurar o protocolo PCAP” na página 652.

Nota: Para obter mais informações sobre syslog de dados estruturados, consulte RFC 5424 no Internet
Engineering Task Force: http://www.ietf.org/

Antes de configurar o QRadar para integrar-se com um dispositivo Juniper, deve-se encaminhar dados
para o QRadar usando syslog ou syslog de dados estruturados.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) da plataforma Juniper.
2. Inclua as instruções de syslog a seguir no nível de hierarquia set system:
[set system] syslog {host (hostname) {facility <severity>; explicit-priority; any any;
authorization any; firewall any;
} source-address source-address; structured-data {brief;} }
A tabela a seguir lista e descreve as variáveis de definição de configuração a serem inseridas na
instrução syslog.

Lista de variáveis de definição de configuração de syslog

Parâmetro Descrição
host Digite o endereço IP ou o nome completo do host de seu QRadar.

650 Guia de configuração do QRadar DSM

Lista de variáveis de definição de configuração de syslog
Parâmetro Descrição
Recurso Defina a severidade das mensagens que pertencem ao recurso nomeado com o qual
ela forma um par. Os níveis de severidade válidos são:
v Qualquer
v Nenhum(a)
v Emergência
v Alerta
v Crítica
v Erro
v Aviso
v Nota
v Informações

As mensagens com o nível de severidade especificado e superior são registradas. Os

níveis de emergência a informações estão em ordem de severidade mais alta para
mais baixa.
Endereço de origem Digite um endereço IP válido configurado em uma das interfaces do roteador para
propósitos de criação de log do sistema.

O endereço de origem é registrado como a origem da mensagem syslog enviada

para o QRadar. Esse endereço IP é especificado na instrução de nome do host host,
nível de hierarquia set system syslog; entretanto, isso não é para mensagens
direcionadas ao outro mecanismo de roteamento, ou à plataforma TX Matrix em
uma matriz de roteamento.
dados estruturados Insere syslog de dados estruturados nos dados.

Agora é possível configurar a origem de log no QRadar.

Os dispositivos a seguir são descobertos automaticamente pelo QRadar como um dispositivo Juniper
Junos OS Platform:
v Juniper M Series Multiservice Edge Routing
v Juniper MX Series Ethernet Services Router
v Juniper SRX Series
v Juniper EX Series Ethernet Switch
v Juniper T Series Core Platform

Nota: Devido às semelhanças de criação de log para vários dispositivos na família JunOS, eventos
esperados podem não ser recebidos pelo tipo de origem de log correto quando seu dispositivo é
descoberto automaticamente. Revise a origem de log criada automaticamente para seu dispositivo e,
em seguida, ajuste a configuração manualmente. É possível incluir qualquer tipo de origem de log
omitido ou remover qualquer tipo de origem de log incluído incorretamente.
Conceitos relacionados:
“Opções de configuração de protocolo syslog TLS” na página 84
Configure uma origem de log do protocolo Syslog do TLS para receber eventos syslog criptografados de
até 1.000 dispositivos de rede que suportam encaminhamento de eventos do TLS Syslog.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
86 Juniper Networks 651
origem de log para receber eventos dos dispositivos de rede.

Configurando o QRadar para receber eventos de um dispositivo

Juniper Junos OS Platform
É possível configurar manualmente o IBM QRadar para receber eventos de um dispositivo Juniper Junos
OS Platform

Procedimento
Na lista Tipo de origem de log, selecione uma das opções a seguir:
v Juniper JunOS Platform
v Juniper M-Series Multiservice Edge Routing
v Juniper MX-Series Ethernet Services Router
v Juniper SRX-series
v Juniper T-Series Core Platform
Para obter mais informações sobre o dispositivo Juniper, consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurar o protocolo PCAP

O dispositivo Juniper SRX Series suporta encaminhamento de captura de pacote (PCAP) e dados de
syslog para o IBM QRadar.

Os dados de syslog são encaminhadas para o QRadar na porta 514. O endereço IP e o número da porta
PCAP de saída são configurados na interface do dispositivo Juniper Networks SRX Series. O dispositivo
Juniper Networks SRX Series deve ser configurado no formato a seguir para encaminhar dados PCAP:

Em que,
v <IP Address> é o endereço IP do QRadar.
v <Port> é o endereço de porta de saída para os dados PCAP.

Nota:

O QRadar suporta receber dados do PCAP somente de um único dispositivo Juniper Networks SRX
Series para cada coletor de eventos.

Para obter mais informações sobre como Configurar captura de pacote, consulte sua Documentação do
sistema operacional Juniper Networks Junos.

Agora você está pronto para configurar a nova origem de log do Juniper Networks SRX com o protocolo
PCAP em QRadar.
Tarefas relacionadas:
“Configurando uma nova origem de log do Juniper Networks SRX com PCAP” na página 653
O dispositivo Juniper Networks SRX Series é descoberto automaticamente pelo IBM QRadar como um

652 Guia de configuração do QRadar DSM

Juniper Junos OS Platform.

Configurando uma nova origem de log do Juniper Networks SRX com

PCAP
O dispositivo Juniper Networks SRX Series é descoberto automaticamente pelo IBM QRadar como um
Juniper Junos OS Platform.

Antes de Iniciar
Dependendo do seu sistema operacional, eventos esperados podem não ser recebidos quando a origem
de log é automaticamente detectada. É possível configurar manualmente a origem de log.

Sobre Esta Tarefa

O QRadar detecta os dados de syslog e inclui a origem de log automaticamente. O dados de PCAP
podem ser incluídos no QRadar como origem de log do Juniper SRX Series Services Gateway usando o
protocolo de combinação PCAP Syslog. A inclusão do protocolo de Combinação PCAP Syslog depois
que o QRadar descobre automaticamente os dados de syslog do Junos OS inclui uma origem de log no
limite de origem de log existente. A exclusão da entrada de syslog existente, em seguida, a inclusão do
protocolo de Combinação PCAP Syslog inclui os dados syslog e PCAP como uma única origem de log.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione Juniper SRX-series Services Gateway.
7. Na lista Configuração de protocolo, selecione Combinação PCAP Syslog.
8. Digite o Identificador de origem de log.
9. Digite a Porta PCAP de entrada.
Para configurar o parâmetro Porta PCAP de entrada, na origem de log, digite o endereço da porta
de saída para os dados PCAP conforme configurado na interface do dispositivo Juniper Networks
SRX Series. .
10. Clique em Salvar.
11. Selecione a origem de log de descoberta automática somente syslog do Junos OS para seu dispositivo
Juniper Networks SRX Series.
12. Clique em Excluir.
Uma janela de confirmação da exclusão da origem de log é exibida.
13. Clique em Sim.
A origem de log syslog do Junos OS é excluída da lista Origem de log. O protocolo de Combinação
PCAP Syslog agora está visível na lista de origens de log.
14. Na guia Administrador, clique em Implementar mudanças.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

86 Juniper Networks 653

Juniper Networks Network and Security Manager
O DSM Juniper Networks Network and Security Manager (NSM) para o IBM QRadar aceita logs do
Juniper Networks NSM e Juniper Networks Secure Service Gateway (SSG). Todos os logs do Juniper SSG
devem ser encaminhados por meio do Juniper NSM para o QRadar. Todos os outros logs de dispositivos
Juniper podem ser encaminhados diretamente para o QRadar.

Para obter mais informações sobre a filtragem avançada de logs do Juniper Networks NSM, consulte a
documentação do fornecedor do Juniper Networks.

Para integrar um dispositivo Juniper Networks NSM com o QRadar, deve-se concluir as tarefas a seguir:
v “Configurando o Juniper Networks NSM para exportar logs para syslog”
v “Configurando uma origem de log para Juniper Networks NSM”

Configurando o Juniper Networks NSM para exportar logs para syslog

O Juniper Networks NSM usa o servidor syslog para exportar entradas de log qualificadas para syslog.

Sobre Esta Tarefa

A configuração das definições de syslog para o sistema de gerenciamento define somente as
configurações de syslog para o sistema de gerenciamento. Ela não exporta os logs dos dispositivos
individuais. É possível ativar o sistema de gerenciamento para exportar logs para syslog.

Procedimento
1. Efetue login na interface com o usuário do Juniper Networks NSM.
2. No menu Action Manager, selecione Parâmetros de ação.
3. Digite o endereço IP para o servidor syslog ao qual você deseja enviar logs qualificados.
4. Digite o recurso de servidor syslog para o servidor syslog ao qual você deseja enviar logs
qualificados.
5. No nó Critérios de ação de log do dispositivo, selecione a guia Ações.
6. Selecione Ativação de syslog para Categoria, Severidade e Ação.
Agora você está pronto para configurar a origem de log no IBM QRadar.

Configurando uma origem de log para Juniper Networks NSM

É possível configurar uma origem de log no IBM QRadar para Juniper Networks NSM.

654 Guia de configuração do QRadar DSM

Tabela 365. Parâmetros do protocolo Juniper NSM
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log.
log
O Identificador de origem de log deve ser exclusivo para o tipo de origem de log.
IP Digite o endereço IP ou o nome do host do servidor Juniper Networks NSM.
Porta de entrada Digite a Porta de entrada para a qual o Juniper Networks NSM envia
comunicações. O intervalo válido é 0 a 65536. O padrão é 514.
Porta de Recebimento de Digite a porta para a qual o tráfego é encaminhado. O intervalo válido é 0 a 65.536.
Redirecionamento O padrão é 516.
Usar endereço NSM para Marque essa caixa de seleção para usar o endereço IP do servidor de gerenciamento
origem de log Juniper NSM em vez do endereço IP de origem de log. Por padrão, essa caixa de
seleção é marcada.

Nota: Na interface do QRadar, a configuração de protocolo do Juniper NSM fornece a opção de usar
o endereço IP do Juniper Networks NSM, marcando a caixa de seleção Usar endereço NSM para
origem de log. Se você desejar mudar a configuração para usar o endereço IP de origem (desmarcar a
caixa de seleção), deverá efetuar login no QRadar Console, como um usuário raiz, e reiniciar o
Console (para um sistema all-in-one) ou o Event Collector que hospeda as origens de log (em um
ambiente distribuído) usando o comando shutdown -r now.

Juniper Networks Secure Access

O Juniper Networks Secure Access agora é conhecido como Pulse Secure Pulse Connect Secure.
Conceitos relacionados:
122, “Pulse Secure Pulse Connect Secure”, na página 917
O IBM QRadar DSM for Pulse Secure Pulse Connect Secure coleta eventos syslog e formatados do
WebTrends Enhanced Log File (WELF) dos dispositivos VPN móveis do Pulse Secure Pulse Connect
Secure.

Juniper Networks Security Binary Log Collector

O DSM Juniper Security Binary Log Collector para o IBM QRadar pode aceitar eventos de auditoria,
sistema, firewall e sistema de prevenção de intrusão (IPS) em formato binário dos dispositivos Juniper
SRX ou Juniper Networks J Series.

O formato de arquivo de log binário do Juniper Networks destina-se a aumentar o desempenho quando
grandes quantidades de dados são enviadas para um log de evento. Para integrar seu dispositivo com o
QRadar, deve-se configurar o dispositivo Juniper para fluxo de eventos formatados binários e, em
seguida, configurar uma origem de log no QRadar.

Consulte os tópicos a seguir:

v “Configurando o formato de log binário do Juniper Networks”
v “Configurando uma origem de log” na página 656

Configurando o formato de log binário do Juniper Networks

O formato de log binário dos dispositivos Juniper SRX ou J Series é transmitido ao IBM QRadar usando o
protocolo UDP. Deve-se especificar uma porta exclusiva para transmitir eventos em formato binário,
porque a porta syslog padrão para o QRadar não pode entender eventos em formato binário.

86 Juniper Networks 655

Sobre Esta Tarefa

A porta padrão que é designada ao QRadar para receber eventos binários de fluxo dos dispositivos
Juniper é a porta 40798.

Nota: O DSM Juniper Binary Log Collector suporta somente eventos encaminhados no modo de Fluxo. O
modo de Evento não é suportado.

Procedimento
1. Efetue login no Juniper SRX ou J Series usando a interface da linha de comandos (CLI).
2. Digite o comando a seguir para editar a configuração do dispositivo:
configure
3. Digite o comando a seguir para configurar o endereço IP e o número da porta para eventos em
formato binário de fluxo:
set security log stream <Name> host <IP address> port <Port>
Em que:
v <Name> é o nome designado ao fluxo.
v <IP address> é o endereço IP do seu QRadar Console ou Event Collector.
v <Port> é um número de porta exclusiva designado a eventos de formato binário de fluxo para o
QRadar. Por padrão, o QRadar recebe dados de fluxo binários na porta 40798. Para obter uma lista
de portas que são usadas pelo QRadar, consulte a nota técnica IBM QRadar Lista de portas comuns.
4. Digite o comando a seguir para configurar o formato de log de segurança para binário:
set security log stream <Name> format binary
Em que: <Name> é o nome especificado para o fluxo de formato binário em “Configurando o formato
de log binário do Juniper Networks” na página 655.
5. Digite o comando a seguir para ativar o fluxo de log de segurança:
set security log mode stream
6. Digite o comando a seguir para configurar o endereço IP de origem para o fluxo de eventos:
set security log source-address <IP address>
Em que: <IP address> é o endereço IP do dispositivo Juniper SRX Series ou Juniper J Series.
7. Digite o comando a seguir para salvar as mudanças na configuração:
commit
8. Digite o comando a seguir para sair do modo de configuração:
exit

O que Fazer Depois

A configuração do seu dispositivo Juniper SRX ou J Series está concluída. Agora é possível configurar
uma origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar não descobre automaticamente os eventos do Juniper Security Binary Log Collector
recebidos dos dispositivos Juniper SRX ou Juniper J Series.

Sobre Esta Tarefa

Se os eventos não forem descobertos automaticamente, deve-se criar manualmente uma origem de log
usando a guia Admin no QRadar.

656 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Juniper Security Binary Log Collector.
9. Usando a lista Configuração de protocolo, selecione Juniper Security Binary Log Collector.
10. Configure os valores a seguir:
Tabela 366. Parâmetros de protocolo do Juniper Security Binary Log Collector
Parâmetro Descrição
Identificador de origem de Digite um endereço IP ou nome do host para identificar a origem de log. O
log endereço identificador é o dispositivo Juniper SRX ou J Series que gera o fluxo de
eventos binários.
Binary Collector Port Especifique o número da porta que é usado pelo dispositivo Juniper Networks SRX
ou J Series para encaminhar dados binários recebidos para o QRadar. O número da
porta UDP para dados binários é a mesma porta configurada em “Configurando o
formato de log binário do Juniper Networks” na página 655, “Configurando o
formato de log binário do Juniper Networks” na página 655.

Se você editar o número da porta de saída para o fluxo de eventos binário do seu
dispositivo Juniper Networks SRX ou J Series, deve-se também editar origem de log
do Juniper e atualizar o parâmetro Porta do coletor binário no QRadar.

Para editar a porta:

1. No campo Porta do coletor binário, digite o novo número de porta para receber
dados de eventos binários.
2. Clique em Salvar.

A atualização de porta está concluída e a coleção de eventos é iniciada no novo

número de porta.
Local do arquivo de modelo Digite o caminho para o arquivo XML usado para decodificar o fluxo binário do seu
XML dispositivo Juniper SRX ou Juniper J Series.

Por padrão, o QRadar inclui um arquivo de modelo XML para decodificar o fluxo
binário no diretório a seguir:

/opt/qradar/conf/security_log.xml

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. É possível verificar os eventos que são encaminhados para o QRadar
visualizando os eventos na guia Atividade de log.

Juniper Networks Steel-Belted Radius

O Juniper Steel-Belted Radius DSM for IBM QRadar aceita eventos syslog encaminhados do Windows
quando você executa o agente WinCollect. Também é possível coletar eventos de sistemas operacionais
baseados em Linux usando o Syslog, o TLS ou o protocolo de Arquivo de log.

86 Juniper Networks 657

O QRadar registra todas as tentativas de login bem-sucedidas e malsucedidas. É possível integrar o
Juniper Networks Steel-Belted Radius com o QRadar usando um dos métodos a seguir:
v Configure o Juniper Steel Belted-Radius para usar o WinCollect nos sistemas operacionais Microsoft
Windows. Para obter mais informações, acesse Configurando o Juniper Networks Steel-Belted Radius
para encaminhar eventos do Windows para o QRadar.
v Configure o Juniper Steel-Belted Radius em sistemas operacionais baseados em Linux.
– Configurando o Juniper Steel-Belted Radius usando o protocolo Syslog.
– Configurando o Juniper Steel-Belted Radius usando o protocolo do syslog TLS.
– Configurando o Juniper Steel-Belted Radius usando o protocolo de arquivo de log.
Conceitos relacionados:
“Configure o Juniper Networks Steel-Belted Radius para encaminhar eventos Windows para o QRadar”
na página 659
É possível encaminhar eventos do Windows para o IBM QRadar usando o WinCollect.
Tarefas relacionadas:
“Configurando o Juniper Networks Steel-Belted Radius para encaminhar eventos Syslog para o QRadar”
na página 660
Antes de poder incluir uma origem de log no QRadar, configure o dispositivo Juniper Networks
Steel-Belted Radius para enviar eventos Syslog para o QRadar.
“Configurando uma origem de log do Juniper Steel-Belted Radius usando o protocolo Syslog” na página
661
Se você desejar coletar logs do Juniper Steel-Belted Radius de um dispositivo Juniper Steel-Belted Radius,
configure uma origem de log no QRadar Console para que o Juniper Steel-Belted Radius possa se
comunicar com o QRadar usando o protocolo Syslog.
“Configurando uma origem de log do Juniper Networks Steel-Belted Radius usando o protocolo syslog
TLS” na página 661
Se você desejar coletar logs do Juniper Steel Belted-Radius de um dispositivo Juniper Steel Belted-Radius,
configure uma origem de log no QRadar Console para que o Juniper Steel-Belted Radius possa se
comunicar com o QRadar usando o protocolo syslog TLS.
“Configurando uma origem de log do Juniper Steel-Belted Radius usando o protocolo de Arquivo de log”
na página 662
Se você deseja coletar logs do Juniper Steel-Belted Radius do Juniper Steel-Belted Radius, configure uma
origem de log no QRadar Console para que o Juniper Steel-Belted Radius possa se comunicar com o
QRadar usando o protocolo de Arquivo de log.
Referências relacionadas:
“Especificações do Juniper Networks Steel-Belted Radius DSM”
A tabela a seguir descreve as especificações para o Juniper Steel-Belted Radius DSM.

Especificações do Juniper Networks Steel-Belted Radius DSM

A tabela a seguir descreve as especificações para o Juniper Steel-Belted Radius DSM.
Tabela 367. Especificações do Juniper Networks Steel-Belted Radius DSM
Especificação Valor
Fabricante Juniper Networks
Nome do DSM Juniper Steel-Belted Radius
Nome do arquivo RPM DSM-JuniperSteelBeltedRadius-QRadar_version-
build_number.noarch.rpm
Versões suportadas 5.x
Protocolo Syslog, TLS Syslog, Arquivo de log e WinCollect Juniper
SBR
Formato de evento

658 Guia de configuração do QRadar DSM

Tabela 367. Especificações do Juniper Networks Steel-Belted Radius DSM (continuação)
Especificação Valor
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? SIM

Configure o Juniper Networks Steel-Belted Radius para encaminhar

eventos Windows para o QRadar
É possível encaminhar eventos do Windows para o IBM QRadar usando o WinCollect.

Para encaminhar eventos do Windows usando o WinCollect, instale o agente WinCollect no host do
Windows. Faça download do arquivo de configuração do agente WinCollect no Website do suporte IBM
(https://www.ibm.com/support). Inclua uma origem de log do Juniper Steel-Belted Radius e atribua-a ao
agente do WinCollect.

A tabela a seguir descreve os parâmetros que requerem valores específicos para os parâmetros de origem
de log do WinCollect.
Tabela 368. Parâmetros de origem de log do Juniper Steel-Belted Radius WinCollect Juniper SBR
Parâmetro Valor
Tipo de origem de log Juniper Steel-Belted Radius
Configuração de protocolo WinCollect Juniper SBR
Identificador de Fonte de Log O endereço IP ou o nome do host do dispositivo
Windows do qual você deseja coletar eventos do
Windows. O identificador de origem de log deve ser
exclusivo para o tipo de origem de log.
Sistema Local Marque a caixa de seleção Sistema local para desativar a
coleta remota de eventos para a origem de log. A origem
de log usa credenciais do sistema local para coletar e
encaminhar logs para o QRadar.

Será necessário configurar os parâmetros Domain,

Username e Password se a coleção remota for necessária.
Intervalo de pesquisa O intervalo, em milissegundos, entre os momentos em
que o WinCollect pesquisa novos eventos.
Ativar consultas do Active Directory Não selecione a caixa de opção.
WinCollectAgente Selecione seu agente WinCollect na lista.
Destino Interno Alvo Use qualquer host gerenciado com um componente do
processador de evento como um destino interno.

86 Juniper Networks 659

Conceitos relacionados:
“Juniper Networks Steel-Belted Radius” na página 657
O Juniper Steel-Belted Radius DSM for IBM QRadar aceita eventos syslog encaminhados do Windows
quando você executa o agente WinCollect. Também é possível coletar eventos de sistemas operacionais
baseados em Linux usando o Syslog, o TLS ou o protocolo de Arquivo de log.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o Juniper Networks Steel-Belted Radius para

encaminhar eventos Syslog para o QRadar
Antes de poder incluir uma origem de log no QRadar, configure o dispositivo Juniper Networks
Steel-Belted Radius para enviar eventos Syslog para o QRadar.

Procedimento
1. Use SSH para efetuar login no dispositivo Juniper Steel-Belted Radius, como um usuário raiz.
2. Edite o arquivo a seguir:
/etc/syslog.conf
3. Inclua as informações a seguir:
<facility>.<priority>@<IP address>
Em que:
v <facility> é o recurso syslog, por exemplo, local3.
v <priority> é a prioridade de syslog, por exemplo, info.
v <IP address> é o endereço IP do QRadar.
4. Salve o arquivo.
5. Na linha de comandos, digite o comando a seguir para reiniciar o syslog:
service syslog restart

O que Fazer Depois

Agora você está pronto para incluir uma origem de log no QRadar.
Conceitos relacionados:
“Juniper Networks Steel-Belted Radius” na página 657
O Juniper Steel-Belted Radius DSM for IBM QRadar aceita eventos syslog encaminhados do Windows
quando você executa o agente WinCollect. Também é possível coletar eventos de sistemas operacionais
baseados em Linux usando o Syslog, o TLS ou o protocolo de Arquivo de log.
Tarefas relacionadas:
“Configurando uma origem de log do Juniper Steel-Belted Radius usando o protocolo Syslog” na página
661
Se você desejar coletar logs do Juniper Steel-Belted Radius de um dispositivo Juniper Steel-Belted Radius,
configure uma origem de log no QRadar Console para que o Juniper Steel-Belted Radius possa se
comunicar com o QRadar usando o protocolo Syslog.

660 Guia de configuração do QRadar DSM

Configurando uma origem de log do Juniper Steel-Belted Radius
usando o protocolo Syslog
Se você desejar coletar logs do Juniper Steel-Belted Radius de um dispositivo Juniper Steel-Belted Radius,
configure uma origem de log no QRadar Console para que o Juniper Steel-Belted Radius possa se
comunicar com o QRadar usando o protocolo Syslog.

Procedimento
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir do Website de Suporte IBM em seu QRadar Console.
v RPM DSMCommon
v RPM do DSM Juniper Steel Belt Steel Belt
v
v
2. Configure o dispositivo Juniper Steel-Belted Radius para enviar eventos syslog para o QRadar.
3. Inclua uma origem de log do Syslog no QRadar Console.
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos do
Syslog por meio do Juniper Steel-Belted Radius usando o protocolo Syslog:
Tabela 369. Parâmetros de origem de log do protocolo Syslog
Parâmetro Descrição
Tipo de Fonte de Log Juniper Steel-Belted Radius
Configuração de protocolo Syslog

Configurando uma origem de log do Juniper Networks Steel-Belted

Radius usando o protocolo syslog TLS
Se você desejar coletar logs do Juniper Steel Belted-Radius de um dispositivo Juniper Steel Belted-Radius,
configure uma origem de log no QRadar Console para que o Juniper Steel-Belted Radius possa se
comunicar com o QRadar usando o protocolo syslog TLS.

Procedimento
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir do Website de Suporte IBM em seu QRadar Console.
v Protocol Common RPM
v RPM do protocolo Syslog do TLS
v RPM do DSM JuniperSteelBeltedRadius
2. Inclua uma origem de log do TLS Syslog no QRadar Console.

86 Juniper Networks 661

A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos do
Juniper Steel-Belted Radius usando o protocolo syslog TLS:
Tabela 370. Parâmetros de origem de log do protocolo syslog TLS
Parâmetro Descrição
Tipo de Fonte de Log Juniper Steel-Belted Radius
Configuração de protocolo TLS Syslog

Conceitos relacionados:
“Opções de configuração de protocolo syslog TLS” na página 84
Configure uma origem de log do protocolo Syslog do TLS para receber eventos syslog criptografados de
até 1.000 dispositivos de rede que suportam encaminhamento de eventos do TLS Syslog.
“Juniper Networks Steel-Belted Radius” na página 657
O Juniper Steel-Belted Radius DSM for IBM QRadar aceita eventos syslog encaminhados do Windows
quando você executa o agente WinCollect. Também é possível coletar eventos de sistemas operacionais
baseados em Linux usando o Syslog, o TLS ou o protocolo de Arquivo de log.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando uma origem de log do Juniper Steel-Belted Radius

usando o protocolo de Arquivo de log
Se você deseja coletar logs do Juniper Steel-Belted Radius do Juniper Steel-Belted Radius, configure uma
origem de log no QRadar Console para que o Juniper Steel-Belted Radius possa se comunicar com o
QRadar usando o protocolo de Arquivo de log.

Procedimento
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir do Website de Suporte IBM em seu QRadar Console.
v Protocol Common RPM
v RPM do protocolo de arquivo de log
v RPM do DSM JuniperSteelBeltedRadius
2. Inclua uma origem de log de protocolo de Arquivo de log no QRadar Console.
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos do
Juniper Steel-Belted Radius por meio do Juniper Steel-Belted Radius usando o protocolo de Arquivo
de log:
Tabela 371. Parâmetros de origem de log do protocolo de arquivo de
Parâmetro Descrição
Tipo de Fonte de Log Juniper Steel-Belted Radius
Configuração de protocolo Arquivo de Log
Tipo de serviço FTP
Diretório remoto O diretório padrão é /opt/JNPRsbr/radius/authReports/
Padrão do arquivo FTP .*\.csv
Gerador de evento Juniper SBR

662 Guia de configuração do QRadar DSM

Conceitos relacionados:
“Opções de configuração de protocolo de Arquivo de log” na página 55
Para receber eventos de hosts remotos, configure uma origem de log para usar o protocolo de Arquivo de
log.
“Juniper Networks Steel-Belted Radius” na página 657
O Juniper Steel-Belted Radius DSM for IBM QRadar aceita eventos syslog encaminhados do Windows
quando você executa o agente WinCollect. Também é possível coletar eventos de sistemas operacionais
baseados em Linux usando o Syslog, o TLS ou o protocolo de Arquivo de log.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Juniper Networks vGW Virtual Gateway

O DSM Juniper Networks vGW Virtual Gateway para o IBM QRadar aceita eventos usando syslog e
NetFlow do servidor de gerenciamento vGW ou firewall.

Sobre Esta Tarefa

O QRadar registra todos os eventos relevantes, como admin, política, logs de IDS e firewall. Antes de
configurar um Juniper Networks vGW Virtual Gateway no QRadar, deve-se configurar o vGW para
encaminhar eventos syslog.

Procedimento
1. Efetue login na interface com o usuário do Juniper Networks vGW.
2. Selecione Configurações.
3. Em Configurações de segurança, selecione Global.
4. Em Criação de log externa, selecione uma das opções a seguir:
v Enviar syslog a partir do servidor de gerenciamento vGW – Criação de log central com evento
syslog fornecido por um servidor de gerenciamento.
v Enviar syslog a partir de firewalls - Criação de log distribuída com cada VM de segurança de
firewall fornecendo eventos syslog.
Se você selecionar a opção Enviar syslog a partir do servidor de gerenciamento vGW, todos os
eventos que são encaminhados para o QRadar conterão o endereço IP do servidor de gerenciamento
vGW.
5. Digite os valores dos parâmetros a seguir:
Tabela 372. Parâmetros de Syslog
Parâmetro Descrição
Servidor syslog Digite o endereço IP do servidor de gerenciamento vGW se você selecionou para
Enviar syslog a partir do servidor de gerenciamento vGW. Ou, digite o endereço IP
do QRadar se você selecionou Enviar syslog a partir de firewalls.
Porta do servidor syslog Digite o endereço de porta para syslog. Essa porta é geralmente a 514.

6. Na área de janela Criação de log externa, clique em Salvar.

Somente as mudanças feitas na seção Criação de log externa são armazenadas quando você clica em
Salvar. Todas as mudanças que são feitas no NetFlow requerem que você salve usando o botão na
seção Configuração do NetFlow .

86 Juniper Networks 663

7. Na área de janela Configuração do NetFlow, marque a caixa de seleção ativar.
O NetFlow não suporta criação de log central a partir de um servidor de gerenciamento vGW. Na
seção Criação de log externa, deve-se selecionar a opção Enviar syslog a partir de firewalls.
8. Digite os valores dos parâmetros a seguir:
Tabela 373. Parâmetros do Netflow
Parâmetro Descrição
Endereço do coletor Digite o endereço IP do QRadar.
NetFlow
Porta do servidor syslog Digite um endereço de porta para eventos do NetFlow.

Nota: O QRadar geralmente usa a porta 2055 para dados de eventos do NetFlow nos QFlow
Collectors. Deve-se configurar uma porta do coletor NetFlow diferente em seu Juniper Networks
vGW Series Virtual Gateway para NetFlow.
9. Na Configuração do NetFlow, clique em Salvar.
10. Agora é possível configurar a origem de log no QRadar.
O QRadar detecta eventos syslog automaticamente que são encaminhados pelo Juniper Networks
vGW. Se você desejar configurar manualmente o QRadar para receber eventos syslog:
Na lista Tipo de origem de log, selecione Juniper vGW.
Para obter mais informações, consulte a documentação do Juniper Networks vGW.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Juniper Networks Junos WebApp Secure

O DSM Juniper WebApp Secure para o IBM QRadar aceita eventos que são encaminhados pelos
dispositivos Juniper Junos WebApp Secure usando syslog.

O Juniper Junos WebApp Secure fornece eventos de criação de log de incidente e acesso para o QRadar.
Para poder receber eventos no QRadar, deve-se configurar o encaminhamento de eventos no Juniper
Junos WebApp Secure e, em seguida, definir os eventos que você deseja encaminhar.

Configurando o encaminhamento de syslog

Para configurar um servidor syslog remoto para o Juniper Junos WebApp Secure, deve-se usar SSH para
conectar-se a uma interface de configuração. É possível usar a interface de configuração para instalar ou
definir as configurações principais em seu dispositivo Juniper Junos WebApp Secure.

Procedimento
1. Use SSH na porta 2022 para efetuar login no dispositivo Juniper Junos WebApp.
https://<IP address>:<port>
Em que:
v <IP address> é o endereço IP do seu dispositivo Juniper Junos WebApp Secure.
v <Port> é o número da porta da interface de configuração do dispositivo Juniper Junos WebApp
Secure.
A porta de configuração SSH padrão é 2022.

664 Guia de configuração do QRadar DSM

2. No menu Escolher um ferramenta, selecione Criação de log.
3. Clique em Executar ferramenta.
4. No menu Destino de log, selecione Servidor syslog remoto.
5. No campo Servidor syslog, digite o endereço IP de seu QRadar Console ou Event Collector.
6. Clique em Salvar.
7. No menu Escolher uma ferramenta, selecione Encerrar.
8. Digite Exit para fechar sua sessão SSH.

O que Fazer Depois

Agora você está pronto para configurar a criação de log de eventos em seu dispositivo Juniper Junos
WebApp Secure.

Configurando a criação de log de eventos

O dispositivo Juniper Junos WebApp Secure deve ser configurado para determinar quais logs são
encaminhados para o IBM QRadar.

Procedimento
1. Usando um navegador da web, efetue login no site de configuração para o seu dispositivo Juniper
Junos WebApp Secure.
https://<IP address>:<port>
Em que:
v <IP address> é o endereço IP do seu dispositivo Juniper Junos WebApp Secure.
v <Port> é o número da porta do seu dispositivo Juniper Junos WebApp Secure.
A configuração padrão usa um número de porta 5000.
2. No menu de navegação, selecione Gerenciador de configuração.
3. No menu de configuração, selecione Modo básico.
4. Clique na guia Configuração global e selecione Criação de log.
5. Clique no link Mostrar opções avançadas.
6. Configure os parâmetros a seguir:
Tabela 374. Parâmetros de criação de log do Juniper Junos WebApp Secure
Parâmetro Descrição
Criação de log de acesso: Clique nessa opção para configurar o nível de informações que são registradas
nível de log quando a criação de log de acesso está ativada.

As opções incluem os níveis a seguir:

v 0 - A criação de log de acesso está desativada.
v 1 - Criação de log básica.
v 2 - Criação de log básica com cabeçalhos.
v 3 - Criação de log básica com cabeçalhos e corpo.
Nota: A criação de log de acesso é desativada por padrão. É sugerido que você
ative a criação de log de acesso somente para propósitos de depuração. Para obter
mais informações, consulte a Documentação do Juniper Junos WebApp Secure.
Criação de log de acesso: Clique nessa opção e selecione True para registrar a solicitação antes que ela seja
Registrar solicitações antes processada e, em seguida, encaminhar o evento para o QRadar.
do processamento

86 Juniper Networks 665

Tabela 374. Parâmetros de criação de log do Juniper Junos WebApp Secure (continuação)
Parâmetro Descrição
Criação de log de acesso: Clique nessa opção e selecione True para registrar a solicitação após ela ser
Registrar solicitações para processada. Após o Juniper Junos WebApp Secure processar o evento, ele é
acessar log após o encaminhado para o QRadar.
processamento
Criação de log de acesso: Clique nessa opção e selecione True para registrar a resposta depois que ela for
Registrar respostas para processada. Após o Juniper Junos WebApp Secure processar o evento, ele é
acessar log após o encaminhado para o QRadar.
processamento
Criação de log de acesso: Clique nessa opção e selecione True para registrar a resposta antes que ela seja
Registrar respostas para processada; em seguida, encaminhar o evento para o QRadar.
acessar log antes do
processamento
Nível de log de gravidade do Clique nessa opção para definir a gravidade dos eventos de incidentes a serem
incidente registrados. Todos os incidentes no nível definido ou acima dele são encaminhados
para o QRadar.

As opções incluem os níveis a seguir:

v 0 - Nível informativo e posterior em que os eventos de incidentes são registrados
e encaminhados.
v 1 - Nível suspeito e posterior em que os eventos de incidentes são registrados e
encaminhados.
v 2 - Nível baixo e posterior em que os eventos de incidentes são registrados e
encaminhados.
v 3 - Nível médio e posterior em que os eventos de incidentes são registrados e
encaminhados.
v 4 - Nível alto e posterior em que os eventos de incidentes são registrados e
encaminhados.
Registrar incidentes no Clique nessa opção e selecione Sim para ativar o encaminhamento de syslog para o
syslog QRadar.

A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos do Juniper
Junos WebApp Secure são descobertos automaticamente. Os eventos que são encaminhados para o
QRadar pelo Juniper Junos WebApp Secure são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Juniper Junos
WebApp Secure. As etapas de configuração a seguir são opcionais.

Procedimento
1. Efetue login no IBM QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Juniper Junos WebApp Secure.
9. Na lista Configuração de protocolo, selecione Syslog.
10. Configure os valores a seguir:

666 Guia de configuração do QRadar DSM

Tabela 375. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host da origem de log como um identificador
log para eventos do dispositivo Juniper Junos WebApp Secure.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

Juniper Networks WLC Series Wireless LAN Controller

O IBM QRadar pode coletar e categorizar eventos syslog dos Juniper Networks WLC Series Wireless
LAN Controllers.

Para coletar eventos syslog, deve-se configurar o Juniper Networks Wireless LAN Controller para
encaminhar eventos syslog para o QRadar. Os administradores podem usar a interface RingMaster ou a
interface da linha de comandos para configurar o encaminhamento de syslog para o dispositivo Juniper
Networks Wireless LAN Controller. O QRadar descobre e cria automaticamente origens de log para
eventos syslog que são encaminhados pelos Juniper Networks WLC Series Wireless LAN Controllers. O
QRadar suporta eventos syslog de dispositivos Juniper WLAN que são executados no Mobility System
Software (MSS) V7.6.

Para integrar eventos Juniper WLC com o QRadar, os administradores podem concluir as tarefas a seguir:
1. No dispositivo Juniper WLAN, configure o servidor syslog.
2. Utilize um dos métodos a seguir:
v Para utilizar a interface com o usuário RingMaster para configurar um servidor syslog, consulte
“Configurando um servidor syslog a partir da interface com o usuário do Juniper WLC”.
v Para utilizar a interface da linha de comandos para configurar um servidor syslog, consulte
“Configurando um servidor syslog com a interface da linha de comandos para Juniper WLC” na
página 668.
3. No sistema QRadar, verifique se os eventos encaminhados são descobertos automaticamente.

Configurando um servidor syslog a partir da interface com o usuário

do Juniper WLC
Para coletar eventos, deve-se configurar um servidor syslog no sistema Juniper WLC para encaminhar
eventos syslog para o IBM QRadar.

Procedimento
1. Efetue login no software RingMaster.
2. No painel Organizador, selecione um Controlador de LAN wireless.
3. No painel Sistema, selecione Log.
4. No painel Tarefa, selecione Criar servidor syslog.
5. No campo Servidor syslog, digite o endereço IP do sistema QRadar.
6. No campo Porta, digite 514.
7. Na lista Filtro de severidades, selecione uma severidade.
A criação de log de eventos de severidade de depuração pode afetar negativamente o desempenho do
sistema no dispositivo Juniper WLC. Uma boa prática seria os administradores registrarem os eventos
no nível de severidade de erro ou aviso e aumentar lentamente o nível para obter os dados que você
precisa. O nível de severidade padrão é erro.
8. Na lista Mapeamento de recursos, selecione um recurso entre local 0 e local 7.
9. Clique em Concluir.

86 Juniper Networks 667

Conforme os eventos são gerados pelo dispositivo Juniper WLC, eles são encaminhados para o
destino de syslog que você especificou. A origem de log é descoberta automaticamente depois que
eventos suficientes são encaminhados para o QRadar. Ele geralmente usa um mínimo de 25 eventos
para descobrir automaticamente uma origem de log.

O que Fazer Depois

Os administradores podem efetuar login no QRadar Console e verificar se a origem de log foi criada no
QRadar Console. A guia Atividade de log exibe os eventos do dispositivo Juniper WLC.

Configurando um servidor syslog com a interface da linha de

comandos para Juniper WLC
Para coletar eventos, configure um servidor syslog no sistema Juniper WLC para encaminhar eventos
syslog ao IBM QRadar.

Procedimento
1. Efetue login na interface da linha de comandos do dispositivo Juniper WLC.
2. Para configurar um servidor syslog, digite o comando a seguir:
set log server <ip-addr> [port 514 severity <severity-level> local-facility
<facility-level>]
Exemplo:
set log server 1.1.1.1 port 514 severity error local-facility local0.
3. Para salvar a configuração, digite o comando a seguir:
save configuration
Conforme os eventos são gerados pelo dispositivo Juniper WLC, eles são encaminhados para o
destino de syslog que você especificou. A origem de log é descoberta automaticamente depois que
eventos suficientes são encaminhados para o QRadar. Ele geralmente usa um mínimo de 25 eventos
para descobrir automaticamente uma origem de log.

O que Fazer Depois

Os administradores podem efetuar login no QRadar Console e verificar se a origem de log foi criada. A
guia Atividade de log exibe os eventos do dispositivo Juniper WLC.

668 Guia de configuração do QRadar DSM

87 Kaspersky
O IBM QRadar suporta uma faixa de DSMs Kaspersky.

Kaspersky CyberTrace
O IBM QRadar DSM for Kaspersky CyberTrace coleta eventos do Kaspersky Feed Service.

Para integrar o Kaspersky CyberTrace com o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale os
RPMs a seguir em seu QRadar Console.
v RPM DSMCommon
v RPM do DSM Kaspersky CyberTrace
2. Instale o Kaspersky CyberTrace e configure o Feed Service durante a instalação.
3. Integre o Kaspersky CyberTrace com o QRadar.
a. Configure os eventos de encaminhamento do QRadar para o Kaspersky CyberTrace.
b. Conclua uma das opções a seguir.
v Conclua o teste de verificação.
v Instale o Kaspersky Threat Feed App for QRadar no IBM X-Force Exchange / App Exchange
(https://exchange.xforce.ibmcloud.com/hub/?q=kasper).
4. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Kaspersky
CyberTrace no coletor de eventos desejado. A tabela a seguir descreve os parâmetros que requerem
valores específicos para a coleção de eventos do Kaspersky CyberTrace:

Nota: É necessário limpar a caixa de seleção Unindo eventos ao configurar a origem de log.
Tabela 376. Parâmetros da origem de log do Kaspersky CyberTrace
Parâmetro Valor
Tipo de origem de log Kaspersky CyberTrace
Configuração do Protocolo Syslog
Log Source Identifier KL_Threat_Feed_Service_V2

Configurando o Kaspersky CyberTrace para se comunicar com o

QRadar
Para permitir que o Kaspersky CyberTrace se comunique com o QRadar, instale e configure o Threat Feed
Service em um dispositivo.

© Copyright IBM Corp. 2005, 2019 669

Antes de Iniciar

Antes de instalar o Kaspersky CyberTrace em um dispositivo, assegure-se de que seu dispositivo atenda
aos requisitos de hardware e software. Os requisitos são especificados na documentação do Kaspersky
CyberTrace (https://help.kaspersky.com/CyberTrace/1.0/en-US/162416.htm).

Sobre Esta Tarefa

É possível instalar o CyberTrace usando um dos métodos de instalação a seguir.
Instalação do RPM
Para essa instalação, deve-se executar o script de instalação run.sh, que instala o pacote RPM e
executa o configurador. O configurador conclui uma configuração interativa do Feed Service,
Feed Utility e Log Scanner.
Instalação do DEB
A instalação do DEB é usada em sistemas Linux que são baseados no Debian Linux. Para essa
instalação, deve-se executar o script de instalação run.sh , que instala o pacote DEB e executa o
configurador. O configurador conclui uma configuração interativa do Feed Service, Feed Utility e
Log Scanner.
Instalação do TGZ
Para essa instalação, você descompacta manualmente o archive TGZ no diretório
/opt/kaspersky/ktfs, cria links simbólicos para os arquivos de configuração e scripts de
inicialização e registra o Feed Service na guia cruzada. Em seguida, deve-se executar
manualmente o arquivo binário configurador e aceitar o Contrato de Licença do Usuário Final. O
configurador conclui uma configuração interativa do Feed Service, Feed Utility e Log Scanner.

Procedimento
1. Instale o CyberTrace usando o método RPM/DEB.
a. Descompacte o conteúdo do kit de distribuição em qualquer diretório em seu sistema. O pacote
RPM/DEB, o script de instalação e a documentação são descompactados neste diretório.
b. Execute o script de instalação run.sh . O script de instalação instala o pacote RPM/DEB, inclui o
Feed Service na lista de serviços usando chkconfig ou systemd e, em seguida, cria uma tarefa cron
para atualizar feeds a cada 30 minutos. O Feed Service é iniciado automaticamente em uma
inicialização do sistema.
Depois que o pacote RPM/DEB estiver instalado, o script de instalação executará automaticamente
o assistente do configurador.
2. Para aceitar o Contrato de Licença de Usuário Final, pressione Sim. Use as teclas PgUp e PgDn para
navegar. Pressione q para encerrar.
3. Especifique o caminho para o certificado.
v Se desejar usar um certificado de demo, clique em Inserir.
v Se você tiver um certificado para feeds comerciais, especifique o caminho completo para ele e, em
seguida, clique em Enter.

Nota: O certificado deve estar no formato PEM. O usuário que executa o arquivo binário do
configurador deve ter permissões de leitura para esse arquivo. O configurador cria uma cópia do
arquivo de certificado e o armazena em um diretório diferente. Se desejar substituir o arquivo de
certificado, deverá executar o configurador novamente.
4. Especifique as configurações do servidor proxy seguindo as instruções. As credenciais de proxy
especificadas são armazenadas em formato criptografado.
Para remover as configurações de proxy especificadas e parar de usar um proxy, deve-se excluir
manualmente o elemento ProxySettings e todos os elementos aninhados dos arquivos de configuração
do Feed Utility.

670 Guia de configuração do QRadar DSM

5. Especifique os feeds que você deseja usar. O configurador obtém uma lista de feeds que estão
disponíveis para o certificado que você especificou na Etapa 3.
6. Especificando os parâmetros de conexão. A configuração verifica automaticamente se os parâmetros
de conexão especificados estão corretos. Por exemplo, o configurador verifica se o software SIEM está
presente no endereço e na porta para eventos de saída.
O endereço IP deve consistir em quatro octetos decimais que são separados por um ponto. Por
exemplo, 192.0.2.254 é um endereço IP válido.
Os parâmetros de conexão a seguir são incluídos:
Endereço IP e porta para eventos recebidos
1. O Feed Service atende em endereços e portas especificados para eventos recebidos.
Sequência de conexões QRadar
1. O Feed Service envia eventos de saída para o endereço IP especificado e a porta ou o
soquete do UNIX.
7. Depois que a instalação for concluída, será possível mudar a configuração usando o CybreTrace Web.
Consulte a ajuda on-line do produto para obter detalhes.

O que Fazer Depois

Conclua o teste de verificação. Para obter mais informações sobre o teste de verificação, consulte
“Concluindo o teste de verificação”.

Concluindo o teste de verificação

O teste de verificação é um procedimento que é usado para verificar os recursos do Kaspersky
CyberTrace e para confirmar a exatidão da integração.

Sobre Esta Tarefa

Durante esse teste, você verifica se os eventos do QRadar são recebidos pelo Feed Service, se os eventos
do Feed Service são recebidos pelo QRadar e se os eventos são analisados corretamente pelo Feed Service
usando as expressões regulares.

O arquivo de teste de verificação é um arquivo que contém um conjunto de eventos com URLs,
endereços IP e hashes. Esse arquivo está localizado no diretório ./verification no kit de distribuição. O
nome desse arquivo é kl_verification_test.txt.

Procedimento
1. Iniciar Serviço de Alimentação. Por exemplo, /etc/init.d/kl_feed_service start.
2. Assegure-se de que a origem de log KL_Verification_Tool seja incluída no QRadar e as regras de
roteamento sejam configuradas de maneira que os eventos do KL_Verification_Tool sejam enviados
para o Feed Service.
3. Efetue login no QRadar Console.
4. Clique em Administrador > Incluir filtro .
5. Na lista de Parâmetros, selecione Origem de log.
6. A partir da lista Operador , selecione Igual.
7. Na lista Origem de log, no grupo Valor, selecione o nome do serviço necessário.
8. Na lista de Visualização, selecione Tempo real para limpar a área de filtro. Agora é possível
pesquisar as informações sobre os eventos de serviço.
9. No elemento Conexão do arquivo de configuração do Log Scanner ./log_sanner/log_scanner.conf,
especifique o endereço IPV4 e a porta de seu QRadar Event Collector.
10. Execute o Log Scanner para enviar o arquivo kl_verification_test.txt para o QRadar
(./log_scanner -p ../verification/kl_verification_test.txt)

87 Kaspersky 671
Os resultados esperados que são exibidos pelo QRadar dependem dos feeds que são usados. A
tabela a seguir exibe os resultados da verificação.
Tabela 377. Resultados do teste de verificação
Feed usado Objetos detectados
Alimentação de Dados de URL Maliciosa http://fakess123.nu

http://badb86360457963b90faac9ae17578ed.com e muitos
outros, como kaspersky.com/test/wmuf
Feed de Dados de URL de Phishing http://fakess123ap.nu

http://e77716a952f640b42e4371759a661663.com
Feed de Dados de URL do CnC Botnet http://fakess123bn.nu

http://a7396d61caffe18a4cffbb3b428c9b60.com
Alimentação de Dados de Reputação de IP 192.0.2.0

192.0.2.3
Feed de Dados Hash Maliciosos FEAF2058298C1E174C2B79AFFC7CF4DF

44D88612FEA8A8F36DE82E1278ABB02F (O arquivo de
teste antivírus padrão do EICAR).

C912705B4BBB14EC7E78FA8B370532C9
Feed de Dados Hash Maliciosos Móveis 60300A92E1D0A55C7FDD360EE40A9DC1
Feed de Dados de Botnet Móvel 001F6251169E6916C455495050A3FB8D (hash MD5)

sdfed7233dsfg93acvbhl.su/steallallsms.php (máscara da
URL)
Feed de Dados de Troia P-SMS FFAD85C453F0F29404491D8DAF0C646E (hash MD5)
Feed de Dados da URL do CnC do Demo Botnet http://5a015004f9fc05290d87e86d69c4b237.com

http://fakess123bn.nu
Feed de Dados de Reputação de IP Demo 192.0.2.1

192.0.2.3
Feed de dados hash maliciosos de demo 776735A8CA96DB15B422879DA599F474

FEAF2058298C1E174C2B79AFFC7CF4DF

44D88612FEA8A8F36DE82E1278ABB02F

Configurando o QRadar para encaminhar eventos para o Kaspersky

CyberTrace
Para que o Threat Feed Service verifique os eventos que chegam ao QRadar, deve-se configurar o QRadar
para encaminhar eventos para o Threat Feed Service.

Procedimento
1. Efetue login na UI do QRadar Console.
2. Clique na guia Administrador e selecione Configuração do sistema > Destinos de encaminhamento.
3. Na janela Destinos de encaminhamento, clique em Incluir.
4. Na área de janela Propriedades de destino de encaminhamento, configure as Propriedades de destino
de encaminhamento.

672 Guia de configuração do QRadar DSM

Tabela 378. Parâmetros de destino de encaminhamento
Parâmetro Valor
Nome Um identificador para o destino. Por exemplo,

KL_Threat_Feed_Service_V2
Endereço de destino O endereço IP do host que executa o Threat Feed Service.
Formato de Evento JSON
Destination Port A porta que é especificada em kl_feed_service.conf
InputSetting > ConnectionString.

O valor padrão é 9995.

Protocolo TCP
Management Perfil Padrão

5. Clique em Salvar.
6. Clique na guia Administrador e, em seguida, selecione Configuração do sistema > Regra de
roteamento.
7. Na janela Regras de roteamento, clique em Incluir.
8. Na janela Regras de roteamento, configure os parâmetros de regra de roteamento.
Tabela 379. Parâmetros das regras de roteamento
Parâmetro Valor
Nome Um identificador para o nome da regra. Por exemplo,

KL_Threat_Feed_Service_V2.
Descrição Crie uma descrição para a regra de roteamento que você
está criando.
Modo On-line
Coletor de Eventos de Encaminhamento Selecione o coletor de eventos que é usado para
encaminhar eventos para o Threat Feed Service.
Fonte de Dados Eventos
Filtros de Eventos Crie um filtro para os eventos que vão ser encaminhados
para o Threat Feed Service. Para obter o desempenho
máximo do Threat Feed Service, encaminhe apenas
eventos que contenham uma URL ou um hash.
Opções de Roteamento Ative Encaminhar e, então, selecione o
<forwarding_destination> que você criou.

9. Clique em Salvar.

Especificações do DSM Kaspersky CyberTrace

A tabela a seguir descreve as especificações para o DSM Kaspersky CyberTrace.
Tabela 380. Especificações do DSM Kaspersky CyberTrace
Especificação Valor
Fabricante Kaspersky Lab
Nome do DSM Kaspersky CyberTrace
Nome do arquivo RPM DSM-KasperskyCyberTrace-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 2.0

87 Kaspersky 673
Tabela 380. Especificações do DSM Kaspersky CyberTrace (continuação)
Especificação Valor
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Detectar, Status, Avaliação
Descobertos automaticamente? SIM
Inclui propriedades customizadas? No
Inclui identidade? No
Informações adicionais website do Kaspersky

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra ao usar o protocolo syslog para o DSM
Kaspersky CyberTrace:
Tabela 381. Mensagem de evento de amostra do Kaspersky CyberTrace
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
KL_Mobile_BotnetCnc_URL Endereço Botnet Jul 10 10:10:14
KL_Threat_Feed_Service_v2
LEEF:1.0|Kaspersky
Lab | %DATE% KL_Threat_Feed
_Service_v2 LEEF:1.0 | Kaspe
rskyLab|Threat Feed Servi
ce | 2.0 | %EVENT%| %CONTEXT%
|2.0|KL_Mobile_
BotnetCnc_URL|
url=example.com/
xxxxxxxxxxxxxxxx/xxx md5 =-
sha1=- sha256=- usrName=
TestUser mask=
xxxxxxxxxx.xxxx type= 2
first_seen=04.01.2016
16:40 last_seen=27.01.2016
10:46 popularity=5

Kaspersky Security Center

O DSM IBM QRadar para o Kaspersky Security Center pode recuperar eventos diretamente de um banco
de dados no dispositivo Kaspersky Security Center ou receber eventos do dispositivo usando syslog.

A tabela a seguir identifica as especificações para o DSM Kaspersky Security Center:

Tabela 382. Especificações do DSM Kaspersky Security Center
Especificação Valor
Fabricante Kaspersky
Nome do DSM Kaspersky Security Center
Nome do arquivo RPM DSM-KasperskySecurityCenter-QRadar_version-
build_number.noarch.rpm

674 Guia de configuração do QRadar DSM

Tabela 382. Especificações do DSM Kaspersky Security Center (continuação)
Especificação Valor
Protocolo JDBC: Versões 9.2-10.1

Syslog LEEF: Versão 10.1

Tipos de eventos registrados Antivírus

Servidor

Auditoria
Descobertos automaticamente? Não, se você usar o protocolo JDBC.

Sim, se você usar o protocolo syslog.

Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do Kaspersky (http://www.kaspersky.com)

Para enviar eventos do Kaspersky Security Center para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v DSM Kaspersky Security Center
2. Escolha uma das opções a seguir:
v Se você usar syslog, configure o Kaspersky Security Center para encaminhar eventos para o
QRadar.
v Se você usar o protocolo JDBC, configure uma origem de log JDBC para pesquisar eventos do
banco de dados do Kaspersky Security Center.
3. Crie uma origem de log do Kaspersky Security Center no QRadar Console. Configure todos os
parâmetros necessários e use as tabelas a seguir para configurar os valores específicos que são
necessários para a coleção de eventos do Kaspersky Security Center.
v Se você usar syslog, configure os parâmetros a seguir:
Tabela 383. Parâmetros de origem de log syslog do Kaspersky Security Center
Parâmetro Valor
Tipo de origem de log Kaspersky Security Center
Configuração de protocolo Syslog
Identificador de Fonte de Log Digite o endereço IP ou o nome do host para a origem
de log como um identificador para eventos que são
coletados do dispositivo Kaspersky Security Center.

v Se você usar JDBC, configure os parâmetros a seguir:

Tabela 384. Parâmetros de origem de log JDBC do Kaspersky Security Center
Parâmetro Valor
Tipo de origem de log Kaspersky Security Center
Configuração de protocolo JDBC

87 Kaspersky 675
Tabela 384. Parâmetros de origem de log JDBC do Kaspersky Security Center (continuação)
Parâmetro Valor
Identificador de Fonte de Log Use o formato a seguir:

<Kaspersky_Database>@<Server_Address>

Em que <Server_Address> é o endereço IP ou o nome do

host do servidor de banco de dados Kaspersky Security
Center.
Tipo de banco de dados MSDE
Nome do banco de dados KAV
IP ou nome do host O endereço IP ou nome do host do servidor SQL que
hospeda o banco de dados Kaspersky Security Center.
Porta Digite o número da porta que é usado pelo servidor de
banco de dados. A porta padrão para o MSDE é 1433.
Deve-se ativar e verificar se é possível se comunicar
usando a porta que você especificou no campo Porta.

A porta de configuração JDBC deve corresponder à porta

do listener do banco de dados do Kaspersky Security
Center. Para poder se comunicar com o QRadar, o banco
de dados do Kaspersky Security Center deve ter
conexões TCP recebidas ativadas.

Se você definir uma instância de banco de dados que usa

o MSDE como o tipo de banco de dados, deve-se deixar
o parâmetro Porta em branco na configuração.
Nome do usuário Digite o nome de usuário que a origem de log pode usar
para acessar o banco de dados do Kaspersky Security
Center.
Senha Digite a senha que a origem de log pode usar para
acessar o banco de dados do Kaspersky Security Center.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha Confirme a senha que é usada para acessar o banco de
dados. A senha de confirmação deve ser idêntica à senha
inserida no campo Senha.
Domínio de Autenticação Se você selecionar MSDE como o Tipo de banco de
dados e o banco de dados estiver configurado para a
Autenticação do Windows, o campo Domínio de
autenticação deverá ser preenchido. Caso contrário, deixe
este campo em branco.
Instância de Banco de Dados Se você tiver várias instâncias do SQL server em seu
servidor de banco de dados, digite a instância de banco
de dados.

Se você usar uma porta não padrão na configuração do

seu banco de dados ou bloquear o acesso à porta 1434
para a resolução do banco de dados SQL, deverá deixar
o parâmetro Database Instance em branco na sua
configuração.
Consulta predefinida Na lista, selecione Kaspersky Security Center.

676 Guia de configuração do QRadar DSM

Tabela 384. Parâmetros de origem de log JDBC do Kaspersky Security Center (continuação)
Parâmetro Valor
Usar Instruções Preparadas Selecione a caixa de seleção Usar instruções preparadas.

Instruções preparadas permitem que a origem do

protocolo JDBC configure a instrução SQL uma vez, em
seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e
desempenho, é sugerido que você use as instruções
preparadas.

Limpar esta caixa de seleção requer que você use um

método alternativo de consulta que não use instruções
pré-compiladas.
Data e Horário de Início Opcional. Digite a data e hora de início para a pesquisa
de banco de dados.

O parâmetro Data e hora de início deve ser formatado

É possível definir um intervalo de pesquisa maior ao

anexar H para horas ou M para minutos ao valor
numérico. O intervalo máximo de pesquisa é 1 semana
em qualquer formato de hora. Os valores numéricos que
são inseridos sem uma pesquisa de H ou M em
segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você
não deseja que esse protocolo exceda. O valor padrão é
20000 EPS.
Usar Comunicação de Canal Nomeado Se você estiver usando a autenticação do Windows, ative
esse parâmetro para permitir a autenticação para o
servidor AD. Se você estiver usando a autenticação SQL,
desative a comunicação de canal nomeado.
Nome do Cluster do Banco de Dados Se você selecionou a caixa de seleção Usar comunicação
do canal nomeado, o parâmetro Nome do cluster do
banco de dados será exibido. Se você estiver executando
seu SQL server em um ambiente em cluster, defina o
nome do cluster para assegurar que a comunicação do
canal nomeado funcione corretamente.
Usar NTLMv2 Marque a caixa de seleção Usar NTLMv2.

Essa opção força as conexões MSDE a usarem o

protocolo NTLMv2 quando elas se comunicam com
servidores SQL que requerem autenticação NTLMv2. O
valor padrão da caixa de seleção é selecionado.

Se a caixa de seleção Usar NTLMv2 for selecionada, ela

não terá efeito sobre as conexões MSDE com SQL servers
que não requererem autenticação NTLMv2.

87 Kaspersky 677
Tabela 384. Parâmetros de origem de log JDBC do Kaspersky Security Center (continuação)
Parâmetro Valor
Usar SSL Se a sua conexão suportar a comunicação de SSL,
selecione Usar SSL. Essa opção requer configuração extra
em seu banco de dados do Kaspersky Security Center e
também requer que os administradores configurem os
certificados em ambos os dispositivos.

Nota: Selecionar um valor de parâmetro maior que 5 para o parâmetro de Credibilidade pondera a
sua origem de log do Kaspersky Security Center com uma importância maior que é comparada
com outras origens de log no QRadar.
Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Exportando o syslog para o QRadar a partir do Kaspersky Security Center” na página 679
Configure o Kaspersky Security Center para encaminhar eventos do syslog para o Console ou Coletor de
Eventos do IBM QRadar.
“Criando uma visualização de banco de dados para o Kaspersky Security Center”
Para coletar dados de evento de auditoria, deve-se criar uma visualização de banco de dados no servidor
Kaspersky que seja acessível ao IBM QRadar.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Criando uma visualização de banco de dados para o Kaspersky

Security Center
Para coletar dados de evento de auditoria, deve-se criar uma visualização de banco de dados no servidor
Kaspersky que seja acessível ao IBM QRadar.

Sobre Esta Tarefa

Para criar uma visualização de banco de dados, é possível fazer download da ferramenta klsql2.zip, que
está disponível na Kaspersky ou usar outro programa que permita criar visualizações de bancos de
dados. As instruções fornecidas abaixo definem as etapas necessárias para criar a visualização dbo.events
usando a ferramenta Kaspersky Labs.

Procedimento
1. No website do Kaspersky Labs, faça download do arquivo klsql2.zip:
Criando uma consulta SQL no utilitário klsql2 (https://help.kaspersky.com/KSC/EventExport/en-
US/141331.htm)

678 Guia de configuração do QRadar DSM

2. Copie klsql2.zip para o servidor de administração Kaspersky Security Center.
3. Extraia klsql2.zip para um diretório.
4. Os arquivos a seguir estão incluídos:
v klsql2.exe
v src.sql
v start.cmd
5. Em qualquer editor de texto, edite o arquivo src.sql.
6. Limpe o conteúdo do arquivo src.sql.
7. Digite a instrução Transact-SQL a seguir para criar a visualização do banco de dados dbo.events:
create view dbo.events as select e.nId, e.strEventType as ’EventId’,
e.wstrDescription as ’EventDesc’, e.tmRiseTime as ’DeviceTime’,
h.nIp as ’SourceInt’, e.wstrPar1, e.wstrPar2, e.wstrPar3,
e.wstrPar4, e.wstrPar5, e.wstrPar6, e.wstrPar7, e.wstrPar8,
e.wstrPar9 from dbo.v_akpub_ev_event e,
dbo.v_akpub_host h where e.strHostname = h.strName;
8. Salve o arquivo src.sql.
9. Na linha de comandos, navegue para o local dos arquivos klsql2.
10. Digite o comando a seguir para criar a visualização em seu dispositivo Kaspersky Security Center:
klsql2 -i src.sql -o result.xml
A visualização dbo.events é criada. Agora é possível configurar a origem de log no QRadar para
pesquisar a visualização em busca de eventos do Kaspersky Security Center.

Nota: Os administradores de banco de dados Kaspersky Security Center devem assegurar-se de que
o QRadar tenha permissão para pesquisar eventos no banco de dados usando a porta TCP 1433 ou a
porta configurada para a origem de log. As conexões de protocolo são geralmente desativadas em
bancos de dados por padrão e etapas de configuração adicionais podem ser necessárias para permitir
conexões para a pesquisa de eventos. Quaisquer firewalls localizados entre o Kaspersky Security
Center e o QRadar também devem estar configurados para permitir o tráfego para a pesquisa de
eventos.

Exportando o syslog para o QRadar a partir do Kaspersky Security

Center
Configure o Kaspersky Security Center para encaminhar eventos do syslog para o Console ou Coletor de
Eventos do IBM QRadar.

Sobre Esta Tarefa

O Kaspersky Security Center pode encaminhar eventos que são registrados nos dispositivos de Servidor
de Administração, Console de Administração e Agente de Rede.

Procedimento
1. Efetue login no Kaspersky Security Center.
2. Na árvore do console, expanda a pasta Relatórios e notificações.
3. Clique com o botão direito em Eventos e selecione Propriedades.
4. Na área de janela Exportando eventos, marque a caixa de seleção Exportar eventos automaticamente
para o banco de dados do sistema SIEM.
5. Na lista Sistema SIEM, selecione QRadar.
6. Digite o endereço IP e a porta para o Console ou Coletor de Eventos do QRadar.
7. Opcional: Para encaminhar dados históricos para o QRadar, clique em Exportar archive para exportar
dados históricos.
8. Clique em OK.
87 Kaspersky 679
680 Guia de configuração do QRadar DSM
88 Kisco Information Systems SafeNet/i
O DSM IBM QRadar para o Kisco Information Systems SafeNet/i coleta logs de eventos dos sistemas
IBM i.

A tabela a seguir identifica as especificações para o DSM Kisco Information Systems SafeNet/i:
Tabela 385. Especificações do DSM Kisco Information Systems SafeNet/i
Especificação Valor
Fabricante Kisco Information Systems
Nome do DSM Kisco Information Systems SafeNet/i
Nome do arquivo RPM DSM-KiscoInformationSystemsSafeNetI-Qradar_version-
build_number.noarch.rpm
Versões suportadas V10.11
Protocolo Arquivo de log
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Kisco Information Systems
(http://www.kisco.com/safenet/summary.htm)

Para coletar eventos do Kisco Information Systems SafeNet/i, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do protocolo de arquivo de log
v RPM do DSM Kisco Information Systems SafeNet/i
2. Configure seu dispositivo Kisco Information Systems SafeNet/i para se comunicar com o QRadar.
3. Inclua uma origem de log do Kisco Information Systems SafeNet/i no QRadar Console. A tabela a
seguir descreve os parâmetros que requerem valores específicos para a coleção de eventos do Kisco
Information Systems SafeNet/i:
Tabela 386. Parâmetros de origem de log do Kisco Information Systems SafeNet/i
Parâmetro Valor
Tipo de origem de log Kisco Information Systems SafeNet/i
Configuração de protocolo Arquivo de log
Tipo de serviço FTP
IP ou nome do host remoto O IP ou nome do host do dispositivo Kisco Information
systems SafeNet/i.
Porta remota 21
Usuário remoto O ID do usuário do IBM i que você criou para o QRadar
no Kisco Information Systems SafeNet/i.
Diretório remoto Deixe este campo em branco.
Padrão do arquivo de FTP .*

© Copyright IBM Corp. 2005, 2019 681

Tabela 386. Parâmetros de origem de log do Kisco Information Systems SafeNet/i (continuação)
Parâmetro Valor
Modo de transferência por FTP BINARY
Processador NONE
Gerador de evento LINEBYLINE
Codificação de arquivo US-ASCII

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o Kisco Information Systems SafeNet/i para comunicação com o QRadar”
Para coletar eventos do SafeNet/i, configure seu sistema IBM i para aceitar solicitações GET do FTP do
QRadar por meio dos Kisco Information Systems SafeNet/i.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o Kisco Information Systems SafeNet/i para

comunicação com o QRadar
Para coletar eventos do SafeNet/i, configure seu sistema IBM i para aceitar solicitações GET do FTP do
QRadar por meio dos Kisco Information Systems SafeNet/i.

Sobre Esta Tarefa

Use a tabela a seguir ao configurar as definições de acesso do FTP:

Tabela 387. Configurações de acesso do FTP
Parâmetro Valor
Formato de nome inicial *PATH
Formato de lista inicial *UNIX
Biblioteca inicial *USRPRF
Caminho do diretório inicial O diretório IFS

Procedimento
1. Crie um diretório IFS no seu sistema IBM i.
a. Efetue login em seu sistema IBM i.
b. Crie um Diretório IFS para conter os arquivos de alerta do Kisco Information Systems SafeNet/i
do QRadar.
Exemplo: /SafeNet/QRadar/
c. Configure um perfil de usuário para o QRadar a ser usado para FTP no Diretório do IFS por meio
do SafeNet/i.
Exemplo: QRADARUSER
2. Configure o acesso do FTP para o perfil do usuário do QRadar.
a. Efetue login no Kisco Information Systems SafeNet/i.
b. Digite GO SN7 e selecione Trabalhar com usuário para segurança do servidor.
c. Digite o nome do perfil do usuário que você criou para o QRadar, por exemplo, QRADARUSER.

682 Guia de configuração do QRadar DSM

d. Digite 1 para os servidores Validação da solicitação do servidor FTP *FTPSERVER e Logon do
servidor FTP *FTPLOGON3.
e. Pressione F3 e selecione Trabalhar com usuário para segurança de instrução FTP e digite o nome
do perfil do usuário novamente.
f. Digite 1 para as operações de FTP Listar arquivos e Recebendo arquivos.
g. Pressione F4 e configure os parâmetros de acesso do FTP para o usuário. Consulte Tabela 387 na
página 682.
h. Pressione F3 e selecione Trabalhar com usuário para caminhos longos.
i. Pressione F6 e forneça o caminho para o diretório IFS.
Assegure-se de que o caminho seja seguido por um asterisco, por exemplo, /SafeNet/QRadar/*
j. Digite X sob a coluna R.
k. Pressione F3 para sair.
3. Digite CHGRDRSET e, em seguida, pressione F4.
4. Configure os parâmetros a seguir:

Parâmetro Valor
Ativar integração QRADAR Sim
Este identificador de host O endereço IP ou o nome do host do sistema IBM i.
Caminho do IFS para arquivo de alerta QRADAR Use o formato a seguir: /SafeNet/QRadar/

5. Digite CHGNOTIFY e pressione F4.

6. Configure os parâmetros a seguir:

Parâmetro Valor
Status de notificação de alerta Ativado
Alertas resumidos? Sim

88 Kisco Information Systems SafeNet/i 683

684 Guia de configuração do QRadar DSM
89 Lastline Enterprise
O DSM do IBM QRadar para o Lastline Enterprise recebe eventos antimalware dos sistemas Lastline
Enterprise.

A tabela a seguir identifica as especificações para o DSM Lastline Enterprise:

Tabela 388. Especificações do DSM Lastline Enterprise
Especificação Valor
Fabricante Lastline
Nome do DSM Lastline Enterprise
Nome do arquivo RPM DSM-LastlineEnterprise-Qradar_version-
build_number.noarch.rpm
Versões suportadas 6.0
Protocolo LEEF
Tipos de eventos registrados Antimalware
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Lastline (http://www.lastline.com)

Para enviar eventos do Lastline Enterprise para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM Lastline Enterprise
2. Configure o dispositivo Lastline Enterprise para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Lastline
Enterprise no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos que são necessários para a coleção de eventos do Lastline Enterprise:
Tabela 389. Parâmetros de origem de log do Lastline Enterprise
Parâmetro Valor
Tipo de origem de log Lastline Enterprise
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o Lastline Enterprise para se comunicar com o QRadar” na página 686
No sistema Lastline Enterprise, use as configurações de SIEM na interface de notificação para especificar
um dispositivo SIEM em que o Lastline pode enviar eventos.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

© Copyright IBM Corp. 2005, 2019 685

Configurando o Lastline Enterprise para se comunicar com o QRadar
No sistema Lastline Enterprise, use as configurações de SIEM na interface de notificação para especificar
um dispositivo SIEM em que o Lastline pode enviar eventos.

Procedimento
1. Efetue login no sistema Lastline Enterprise.
2. Na barra lateral, clique em Admin.
3. Clique em Relatórios > Notificações.
4. Para incluir uma notificação, clique no ícone Incluir uma notificação (+).
5. Na lista Tipo de notificação, selecione SIEM.
6. Na área de janela Configurações do servidor SIEM, configure os parâmetros do QRadar Console ou
Coletor de eventos. Assegure-se de selecionar LEEF na lista Formato de log do SIEM .
7. Configure os acionadores para a notificação:
a. Para editar os acionadores existentes na lista, clique no ícone Editar acionador, edite os
parâmetros e clique em Atualizar acionador.
b. Para incluir um acionador na lista, clique no ícone Incluir acionador (+), configure os parâmetros
e clique em Incluir acionador.
8. Clique em Salvar.

686 Guia de configuração do QRadar DSM

90 Lieberman Random Password Manager
O DSM Lieberman Random Password Manager fornece a opção de integrar o IBM QRadar com o
software Lieberman Enterprise Random Password Manager e Lieberman Random Password Manager
usando eventos syslog no formato Log Extended Event Format (LEEF).

Sobre Esta Tarefa

O Lieberman Aleatório Password Manager usa a Porta 514 para encaminhar eventos syslog para o
QRadar. O QRadar registra todos os eventos de gerenciamento de senha relevantes. Para obter
informações sobre como configurar o encaminhamento de syslog, consulte a documentação do fornecedor.

O QRadar detecta automaticamente os eventos syslog que são encaminhados pelos dispositivos
Lieberman Random Password Manager e Lieberman Enterprise Random Password Manager. No entanto,
se você desejar configurar manualmente o QRadar para receber eventos desses dispositivos:

Procedimento

Na lista Tipo de origem de log, selecione Lieberman Random Password Manager.

© Copyright IBM Corp. 2005, 2019 687

688 Guia de configuração do QRadar DSM
91 LightCyber Magna
O IBM QRadar DSM for LightCyber Magna coleta eventos de um dispositivo LightCyber Magna.

A tabela a seguir descreve as especificações para o LightCyber Magna DSM:

Tabela 390. Especificações de LightCyber Magna DSM
Especificação Valor
Fabricante LightCyber
Nome do DSM LightCyber Magna
Nome do arquivo RPM DSM-LightCyberMagna-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 3.9
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados C&C

Exfilt

Lateral

Malware

Recon
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website LightCyber (https://www.lightcyber.com)

Para integrar o LightCyber Magna ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM do LightCyber Magna
2. Configure seu dispositivo LightCyber Magna para enviar eventos do syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log LightCyber
Magna no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores específicos
para coletar eventos do LightCyber Magna:
Tabela 391. Parâmetros de origem de log do LightCyber Magna
Parâmetro Valor
Tipo de origem de log LightCyber Magna
Configuração de protocolo Syslog
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

4. Para verificar se o QRadar está configurado corretamente, revise a tabela a seguir para ver um
exemplo de uma mensagem do evento de auditoria normalizado.

© Copyright IBM Corp. 2005, 2019 689

A tabela a seguir mostra uma mensagem de evento de amostra do LightCyber Magna:
Tabela 392. Mensagem de amostra do LightCyber Magna
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Riskware suspeito Malware Diverso LEEF:2.0|LightCyber|Magna
|3.7.3.0|New indicator|type=Riskware
sev=7 devTime=Sep 18 2016 08:26
:08 devTimeFormat=MMM dd yyyy
HH:mm:ss devTimeEnd=Sep 29
2016 15:26:47 devTimeEndFormat=MMM
dd yyyy HH:mm:ss msg=Riskware
alert (0 ) app= dstPort=
usrName= shostId=xxxxxxxx-
xxxx-xxxx-xxxx-xxxxxxxxxxxx
shost=PC04 src=<Source_IP_address>
srcMAC=<Source_MAC_address>
status=Suspicious
filePath=c:\program files\
galaxy must\galaxy must.exe
malwareName=W32.HfsAutoB.3DF2
fileHash=d836433d538d864d21a4e
0f7d66e30d2 externalId=16100
sdeviceExternalId=32373337
-3938-5A43-4A35-313030303336

Configurando o LightCyber Magna para se comunicar com o QRadar

Para coletar eventos do LightCyber Magna, configure o dispositivo LightCyber Magna para enviar
eventos de syslog para o QRadar.

Procedimento
1. Efetue login na interface LightCyber Magna como administrador.
2. Clique em Configuração > Syslog.
3. Ative Sim.
4. Configure os seguintes parâmetros:
Tabela 393. Parâmetros de configuração do LightCyber Magna
Parâmetro Valor
Host O endereço IP ou o nome do host do QRadar Event
Collector.
Porta 514
Protocolo TCP
Formato LEEF

5. Clique em Salvar.

690 Guia de configuração do QRadar DSM

92 Linux
O IBM QRadar suporta uma variedade de DSMs do Linux.

Linux DHCP
O DSM Linux DHCP Server para o IBM QRadar aceita eventos DHCP usando syslog.

O QRadar registra todos os eventos relevantes de um Linux DHCP Server. Antes de configurar o QRadar
para integração com um Linux DHCP Server, deve-se configurar o syslog no Linux DHCP Server para
encaminhar eventos syslog para o QRadar.

Para obter mais informações sobre como configurar o Linux DHCP Server, consulte as man pages ou a
documentação associada para o daemon DHCP.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente origens de log para eventos syslog que são
encaminhados pelos servidores DHCP Linux. O procedimento a seguir é opcional.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Linux IPtables
O DSM Linux IPtables para o IBM QRadar aceita eventos de firewall IPtables usando syslog.

O QRadar registra todos os eventos relevantes do Linux IPtables em que o evento syslog contém
qualquer uma destas palavras: Aceitar, Descartar, Negar ou Rejeitar. A criação de um prefixo de log
customizado na carga útil do evento permite que o QRadar identifique facilmente o comportamento de
IPtables.

© Copyright IBM Corp. 2005, 2019 691

Configurando IPtables
IPtables é uma ferramenta poderosa, que é usada para criar regras no firewall do kernel do Linux para
rotear tráfego.

Sobre Esta Tarefa

Para configurar IPtables, deve-se examinar as regras existentes, modificar a regra para registrar o evento e
designar um identificador de log para a regra IPtables que possa ser identificado pelo IBM QRadar. Esse
processo é usado para determinar quais regras são registradas pelo QRadar. O QRadar inclui quaisquer
eventos registrados que incluam as palavras: accept, drop, reject ou deny na carga útil do evento.

Procedimento
1. Usando SSH, efetue login no Servidor Linux como um usuário raiz.
2. Edite o arquivo IPtables no diretório a seguir:
/etc/iptables.conf

Nota: O arquivo que contém as regras de IPtables pode variar de acordo com o sistema operacional
Linux específico que você está configurando. Por exemplo, um sistema que usa o Red Hat Enterprise
tem o arquivo no diretório /etc/sysconfig/iptables. Consulte a documentação do sistema operacional
Linux para obter mais informações sobre a configuração de IPtables.
3. Revise o arquivo para determinar a regra IPtables que você deseja registrar.
Por exemplo, se você deseja registrar a regra que é definida pela entrada, use:
-A INPUT -i eth0 --dport 31337 -j DROP
4. Insira uma regra de correspondência imediatamente antes de cada regra que você deseja registrar:
-A INPUT -i eth0 --dport 31337 -j DROP -A INPUT -i eth0 --dport 31337 -j DROP
5. Atualize o destino da nova regra para LOG para cada regra que você deseja registrar. Por exemplo:
-A INPUT -i eth0 --dport 31337 -j LOG -A INPUT -i eth0 --dport 31337 -j DROP
6. Configure o nível de log do destino LOG para um nível de prioridade SYSLOG, como informações
ou aviso:
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info -A INPUT -i eth0 --dport 31337 -j
DROP
7. Configure um prefixo de log para identificar o comportamento da regra. Configure o parâmetro de
prefixo de log para:
Q1Target=<rule>
Em que <rule> é um dos seguintes: fw_accept, fw_drop, fw_reject ou fw_deny.
Por exemplo, se a regra que é registrada pelo firewall se destina a eventos eliminados, a
configuração de prefixo de log é:
Q1Target=fw_drop
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix
"Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP

Nota: Deve-se ter um espaço à direita antes das aspas de fechamento.

8. Salve e saia do arquivo.
9. Reinicie o IPtables usando o comando a seguir:
/etc/init.d/iptables restart
10. Abra o arquivo syslog.conf.
11. Inclua a linha a seguir:
kern.<log level>@<IP address>
Em que:

692 Guia de configuração do QRadar DSM

v <log level> é o nível de log configurado anteriormente.
v <IP address> é o endereço IP do QRadar.
12. Salve e saia do arquivo.
13. Reinicie o daemon syslog usando o comando a seguir:
/etc/init.d/syslog restart
Após a reinicialização do daemon syslog, os eventos são encaminhados para o QRadar. Os eventos
IPtable que são encaminhados pelos Servidores Linux são automaticamente descobertos e exibidos
na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente origens de log para eventos syslog IPtables que são
encaminhados pelos Servidores Linux. As etapas a seguir para configurar uma origem de log são
opcionais.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Os eventos IPtables que são encaminhados pelos Servidores Linux são
automaticamente descobertos e exibidos na guia Atividade de log do QRadar.
Para obter mais informações sobre a configuração de IPtables nos Servidores Linux, consulte as
páginas do manual ou a documentação associada do Linux.

Linux OS
O DSM Linux OS para o IBM QRadar registra eventos do sistema operacional Linux e encaminha os
eventos usando syslog ou syslog-ng.

Se você estiver usando syslog em um host UNIX, faça upgrade do syslog padrão para uma versão mais
recente, como syslog-ng.

Nota: Não execute syslog e syslog-ng ao mesmo tempo.

Para integrar o Linux OS com o QRadar, selecione uma das configurações de syslog a seguir para coleção
de eventos:

92 Linux 693
v “Configurando syslog no Linux OS”
v “Configurando syslog-ng no Linux OS”

É possível também configurar o sistema operacional Linux para enviar logs de auditoria para o QRadar.
Para obter mais informações, consulte “Configurando o Linux OS para enviar logs de auditoria” na
página 695.

Tipos de eventos suportados

O DSM Linux OS suporta os tipos de eventos a seguir:
v cron
v HTTPS
v FTP
v NTP
v Simple Authentication Security Layer (SASL)
v SMTP
v SNMP
v SSH
v Switch User (SU)
v Eventos Pluggable Authentication Module (PAM).
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando syslog no Linux OS

Configure o protocolo syslog no sistema operacional Linux.

Procedimento
1. Efetue login no dispositivo Linux OS, como um usuário raiz.
2. Abra o arquivo /etc/syslog.conf.
3. Inclua as informações de recurso a seguir:
authpriv.*@<IP address>
Em que: <IP address> é o endereço IP do IBM QRadar.
4. Salve o arquivo.
5. Reinicie o syslog usando o comando a seguir:
service syslog restart
6. Efetue login na interface com o usuário do QRadar.
7. Inclua uma origem de log Linux OS.
8. Na guia Administrador, clique em Implementar mudanças.
Para obter mais informações sobre syslog, consulte a Documentação do sistema operacional Linux.

Configurando syslog-ng no Linux OS

Configure o Linux OS para usar o protocolo syslog-ng.

694 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no dispositivo Linux OS, como um usuário raiz.
2. Abra o arquivo /etc/syslog-ng/syslog-ng.conf.
3. Inclua as informações de recurso a seguir:
filter auth_filter{ facility(authpriv); };
destination auth_destination { tcp("<IP address>" port(514)); };
log{
source(<Sourcename>);
filter(auth_filter);
destination(auth_destination);
};
Em que:
v <IP address> é o endereço IP do IBM QRadar.
v <Source name> é o nome da origem de log definida no arquivo de configuração.
4. Salve o arquivo.
5. Reinicie syslog-ng usando o comando a seguir:
service syslog-ng restart
6. Efetue login na interface com o usuário do QRadar.
7. Inclua uma origem de log Linux OS.
8. Na guia Administrador, clique em Implementar mudanças.
Para obter mais informações sobre syslog-ng, consulte a documentação do sistema operacionalLinux.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o Linux OS para enviar logs de auditoria

Configure o Linux OS para enviar logs de auditoria para o QRadar.

Sobre Esta Tarefa

Esta tarefa se aplica aos sistemas operacionais Red Hat Enterprise Linux V6.

Se você usa um sistema operacional SUSE, Debian ou Ubuntu, consulte a documentação do fornecedor
para obter as etapas específicas do seu sistema operacional.

Procedimento
1. Efetue login no dispositivo Linux OS, como um usuário raiz.
2. Digite o seguinte comando:
yum install audit service auditd start chkconfig auditd on
3. Abra o arquivo a seguir:
/etc/audisp/plugins.d/syslog.conf
4. Verifique se os parâmetros correspondam aos valores a seguir:
active = yes direction = out path = builtin_syslog type = builtin args = LOG_LOCAL6 format
= string
5. Abra o arquivo a seguir:
/etc/rsyslog.conf

92 Linux 695
6. Inclua a linha a seguir no final do arquivo:
local6.* @@<QRadar_Collector_IP_address>
7. Digite os comandos a seguir:
service auditd restart
service syslog restart
8. Efetue login na interface com o usuário do QRadar.
9. Inclua uma origem de log Linux OS.
10. Clique em Administrador > Implementar mudanças.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

696 Guia de configuração do QRadar DSM

93 LOGbinder
Configure seu sistema LOGbinder para enviar logs de eventos ao IBM QRadar.

Os sistemas LOGbinder a seguir são suportados:

v Coleção de eventos do LOGbinder EX do Microsoft Exchange Server.
v Coleção de eventos do LOGbinder SP do Microsoft SharePoint.
v Coleção de eventos do LOGbinder SQL do Microsoft SQL Server.

Coleção de eventos do LOGbinder EX do Microsoft Exchange Server

O DSM do IBM QRadar para o Microsoft Exchange Server pode coletar eventos do LOGbinder EX V2.0.

A tabela a seguir identifica as especificações para o DSM Microsoft Exchange Server quando a origem de
log está configurada para coletar eventos do LOGbinder EX:
Tabela 396. LOGbinder para o Microsoft Exchange Server
Especificação Valor
Fabricante Microsoft
Nome do DSM Microsoft Exchange Server
Nome do arquivo RPM DSM-MicrosoftExchange-QRadar_version-
build_number.noarch.rpm
Versões suportadas LOGbinder EX V2.0
Tipo de Protocolo Syslog

LEEF
Tipos de evento registrado do QRadar
Admin

Caixa de correio
Descobertos automaticamente? Sim
Identidade incluída? Não
Informações adicionais website do Microsoft Exchange (http://
www.office.microsoft.com/en-us/exchange/)

O DSM Microsoft Exchange Server pode coletar outros tipos de eventos. Para obter mais informações
sobre como configurar para outros formatos de evento do Microsoft Exchange Server, consulte o tópico
Microsoft Exchange Server no Guia de configuração do DSM.

Para coletar eventos do LOGbinder do Microsoft Exchange Server, use as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente dos RPMs
a seguir:
v RPM DSMCommon
v RPM do DSM Microsoft Exchange Server
2. Configure o sistema LOGbinder EX para enviar logs de eventos do Microsoft Exchange Server para o
QRadar.

© Copyright IBM Corp. 2005, 2019 697

3. Se a origem de log não for criada automaticamente, inclua uma origem de log do DSM Microsoft
Exchange Server no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos que são necessários para a coleção de eventos do LOGbinder EX:
Tabela 397. Parâmetros de origem de log do Microsoft Exchange Server para coleção de eventos do LOGbinder
Parâmetro Valor
Tipo de origem de log Microsoft Exchange Server
Configuração de protocolo Syslog

Configurando o sistema LOGbinder EX para enviar logs de eventos do

Microsoft Exchange para o QRadar
Para coletar eventos do LOGbinder do Microsoft Exchange, deve-se configurar o sistema LOGbinder EX
para enviar eventos para o IBM QRadar.

Antes de Iniciar

Configure o LOGbinder EX para coletar eventos do Microsoft Exchange Server. Para obter mais
informações, consulte a documentação do LOGbinder EX.

Procedimento
1. Abra o Painel de controle do LOGbinder EX.
2. Clique duas vezes em Saída na área de janela Configurar.
3. Escolha uma das opções a seguir:
v Configure para saída de Syslog genérico:
a. Na área de janela Saídas, clique duas vezes em Syslog genérico.
b. Marque a caixa de seleção Enviar saída para syslog genérico e, em seguida, digite o endereço
IP e a porta de seu QRadar Console ou Coletor de eventos.
v Configure para a saída Syslog LEEF:
a. Na área de janela Saídas, clique duas vezes em Syslog LEEF.
b. Marque a caixa de seleção Enviar saída para syslog LEEF e, em seguida, digite o endereço IP e
a porta de seu QRadar Console ou Coletor de eventos.
4. Clique em OK.
5. Para reiniciar o serviço LOGbinder, clique no ícone Reiniciar.

Coleção de eventos do LOGbinder SP do Microsoft SharePoint

O DSM do IBM QRadar para Microsoft SharePoint pode coletar eventos do LOGbinder SP.

698 Guia de configuração do QRadar DSM

A tabela a seguir identifica as especificações para o DSM Microsoft SharePoint quando a origem de log
está configurada para coletar eventos do LOGbinder SP:
Tabela 398. Especificações do LOGbinder para Microsoft SharePoint
Especificação Valor
Fabricante Microsoft
Nome do DSM Microsoft SharePoint
Nome do arquivo RPM DSM-MicrosoftSharePoint-QRadar_version-
build_number.noarch.rpm
Versões suportadas LOGbinder SP V4.0
Tipo de Protocolo Syslog

LEEF
Tipos de evento registrado do QRadar Todos os eventos
Descobertos automaticamente? Sim
Identidade incluída? Não
Informações adicionais http://office.microsoft.com/en-sg/sharepoint/
(http://office.microsoft.com/en-sg/sharepoint/)

http://www.logbinder.com/products/logbindersp/
(http://www.logbinder.com/products/logbindersp/)

O DSM Microsoft SharePoint pode coletar outros tipos de eventos. Para obter mais informações sobre
outros formatos de eventos do Microsoft SharePoint, consulte o tópico Microsoft SharePoint no Guia de
configuração do DSM.

Para coletar eventos do LOGbinder do Microsoft SharePoint, use as etapas a seguir:

1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente dos RPMs
a seguir:
v RPM DSMCommon
v RPM do DSM Microsoft SharePoint
2. Configure o sistema LOGbinder SP para enviar logs de eventos do Microsoft SharePoint para o
QRadar.
3. Se a origem de log não for criada automaticamente, inclua uma origem de log do DSM Microsoft
SharePoint no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos que são necessários para a coleção de eventos do LOGbinder:
Tabela 399. Parâmetros de origem de log do Microsoft SharePoint para coleção de eventos do LOGbinder
Parâmetro Valor
Tipo de origem de log Microsoft SharePoint
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o sistema LOGbinder SP para enviar logs de eventos do Microsoft SharePoint para o
QRadar” na página 700
Para coletar eventos do LOGbinder do Microsoft SharePoint, deve-se configurar o sistema LOGbinder SP
para enviar eventos ao IBM QRadar.

93 LOGbinder 699
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o sistema LOGbinder SP para enviar logs de eventos do

Microsoft SharePoint para o QRadar
Para coletar eventos do LOGbinder do Microsoft SharePoint, deve-se configurar o sistema LOGbinder SP
para enviar eventos ao IBM QRadar.

Procedimento
1. Abra o Painel de controle do LOGbinder SP.
2. Clique duas vezes em Saída na área de janela Configurar.
3. Escolha uma das opções a seguir:
v Configure para saída de Syslog genérico:
a. Na área de janela Saídas, clique duas vezes em Syslog genérico.
b. Marque a caixa de seleção Enviar saída para syslog genérico e, em seguida, digite o endereço
IP e a porta de seu QRadar Console ou Coletor de eventos.
v Configure para a saída Syslog LEEF:
a. Na área de janela Saídas, clique duas vezes em Syslog LEEF.
b. Marque a caixa de seleção Enviar saída para syslog LEEF e, em seguida, digite o endereço IP e
a porta de seu QRadar Console ou Coletor de eventos.
4. Clique em OK.
5. Para reiniciar o serviço LOGbinder, clique no ícone Reiniciar.

Coleção de eventos do LOGbinder SQL do Microsoft SQL Server

O DSM do IBM QRadar para Microsoft SQL Server pode coletar eventos do LOGbinder SQL.

A tabela a seguir identifica as especificações para o DSM Microsoft SQL Server quando a origem de log
está configurada para coletar eventos do LOGbinder SQL:
Tabela 400. Especificações do LOGbinder para Microsoft SQL Server
Especificação Valor
Fabricante Microsoft
Nome do DSM Microsoft SQL Server
Nome do arquivo RPM DSM-MicrosoftSQL-QRadar_version-
build_number.noarch.rpm
Versões suportadas LOGBinder SQL V2.0
Tipo de Protocolo Syslog
Tipos de evento registrado do QRadar Todos os eventos
Descobertos automaticamente? Sim
Identidade incluída? Sim
Informações adicionais website do LogBinder SQL (http://www.logbinder.com/
products/logbindersql/)

website do Microsoft SQL Server (http://

www.microsoft.com/en-us/server-cloud/products/sql-
server/)

700 Guia de configuração do QRadar DSM

O DSM Microsoft SQL Server pode coletar outros tipos de eventos. Para obter mais informações sobre
outros formatos de eventos do Microsoft SQL Server, consulte o tópico Microsoft SQL Server no Guia de
configuração do DSM.

Para coletar eventos do LOGbinder do Microsoft SQL Server, use as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente dos RPMs
a seguir:
v RPM DSMCommon
v RPM do DSM Microsoft SQL Server
2. Configure o sistema LOGbinder SQL para enviar logs de eventos do Microsoft SQL Server para o
QRadar.
3. Se a origem de log não for criada automaticamente, inclua uma origem de log do DSM Microsoft SQL
Server no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores específicos
que são necessários para a coleção de eventos do LOGbinder:
Tabela 401. Parâmetros de origem de log do Microsoft SQL Server para coleção de eventos do LOGbinder
Parâmetro Valor
Tipo de origem de log Microsoft SQL Server
Configuração de protocolo Syslog

Configurando o sistema LOGbinder SQL para enviar logs de eventos

do Microsoft SQL Server para o QRadar
Para coletar eventos do LOGbinder do Microsoft SQL Server, deve-se configurar o sistema LOGbinder
SQL para enviar eventos ao IBM QRadar.

Antes de Iniciar

Configure o LOGbinder SQL para coletar eventos do Microsoft SQL Server. Para obter mais informações,
consulte a documentação do SQL LOGbinder.

Procedimento
1. Abra o Painel de controle do LOGbinder SQL.
2. Clique duas vezes em Saída na área de janela Configurar.
3. Escolha uma das opções a seguir:
v Configure para saída de Syslog genérico:
a. Na área de janela Saídas, clique duas vezes em Syslog genérico.
b. Marque a caixa de seleção Enviar saída para syslog genérico e, em seguida, digite o endereço
IP e a porta de seu QRadar Console ou Coletor de eventos.
v Configure para a saída Syslog LEEF:
a. Na área de janela Saídas, clique duas vezes em Syslog LEEF.
b. Marque a caixa de seleção Enviar saída para syslog LEEF e, em seguida, digite o endereço IP e
a porta de seu QRadar Console ou Coletor de eventos.

93 LOGbinder 701
4. Clique em OK.
5. Para reiniciar o serviço LOGbinder, clique no ícone Reiniciar.

702 Guia de configuração do QRadar DSM

94 McAfee
O IBM QRadar suporta uma faixa de produtos McAfee.

McAfee Application/Change Control

O DSM McAfee Application/Change Control para o IBM QRadar aceita eventos de controle de mudança
usando o Java Database Connectivity (JDBC). O QRadar registra todos os eventos relevantes do McAfee
Application/Change Control. Este documento inclui informações sobre como configurar o QRadar para
acessar o banco de dados que contém eventos usando o protocolo JDBC.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. Na lista Tipo de origem de log, selecione McAfee Application/Change Control.
6. Na lista Configuração de protocolo, selecione JDBC.
Deve-se consultar Configurar definições do banco de dados no console de gerenciamento do
Application/Change Control para configurar o DSM McAfee Application/Change Control no QRadar.
7. Configure os valores a seguir:
Tabela 402. Parâmetros do protocolo JDBC do McAfee Application/Change Control

Parâmetro Descrição
Identificador de origem de
log Digite o identificador da origem de log. Digite o identificador de origem de log no
seguinte formato:

<McAfee Change Control Database>@<Change Control Database Server IP or Host

Name>

Em que:
v <McAfee Change Control Database> é o nome do banco de dados, conforme inserido
no parâmetro Nome do banco de dados.
v <Change Control Database Server IP or Host Name> é o nome do host ou endereço IP
para essa origem de log, conforme inserido no parâmetro IP ou nome do host.

Ao definir um nome para o Identificador de origem de log, deve-se usar os valores

do endereço IP ou nome do host do McAfee Change Control Database e do Servidor
de banco de dados do Console de gerenciamento ePO.
Tipo de banco de dados
Na lista, selecione MSDE.
Nome do banco de dados
Digite o nome exato do banco de dados McAfee Application/Change Control.
IP ou nome do host
Digite o endereço IP ou o nome do host do servidor SQL McAfee
Application/Change Control.

© Copyright IBM Corp. 2005, 2019 703

Tabela 402. Parâmetros do protocolo JDBC do McAfee Application/Change Control (continuação)

Parâmetro Descrição
Porta
Digite o número da porta que é usado pelo servidor de banco de dados. A porta
padrão para o MSDE é 1433.

A porta de configuração JDBC deve corresponder à porta listener do banco de dados

McAfee Application/Change Control. O banco de dados McAfee Application/Change
Control deve ter conexões TCP recebidas ativadas para se comunicar com o QRadar.

Se você definir uma Instância de banco de dados quando usar o MSDE como o tipo
de banco de dados, deverá deixar o parâmetro Porta em branco na sua configuração.
Nome do usuário
Digite o nome do usuário necessário para acessar o banco de dados.
Senha
Digite a senha necessária para acessar o banco de dados. A senha pode ter até 255
caracteres de comprimento.
Confirmar senha
Confirme a senha necessária para acessar o banco de dados. A senha de confirmação
deve ser idêntica à senha inserida no parâmetro Senha.
Domínio de autenticação
Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows, deve-se definir o Domínio de autenticação do Windows.
Caso contrário, deixe este campo em branco.
Instância de banco de
dados Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
server em seu servidor de banco de dados.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se for necessário para sua configuração. A lista deve conter o
campo que está definido no parâmetro Comparar campo. A lista separada por vírgula
pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode incluir os
seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#), sublinhado
(_), traço (-) e ponto (.).
Comparar campo
Digite AutoID como o campo de comparação. O campo de comparação é usado para
identificar novos eventos incluídos entre as consultas na tabela.
Data e hora de início
Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

704 Guia de configuração do QRadar DSM

Tabela 402. Parâmetros do protocolo JDBC do McAfee Application/Change Control (continuação)

Parâmetro Descrição
Usar instruções preparadas
Selecione essa caixa de seleção para usar instruções preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez e depois execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, é melhor usar
instruções preparadas.

Limpar esta caixa de seleção requer que você use um método alternativo de consulta
que não use instruções pré-compiladas.
Intervalo de pesquisa
Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

Ao usar uma conexão de Canal Nomeado, o nome de usuário e a senha devem ser o
nome de usuário e a senha de autenticação do Windows apropriados e não os do
banco de dados. Além disso, deve-se usar o canal nomeado padrão.
Nome do cluster do banco
de dados Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.

Nota: A seleção de um valor maior que 5 para o parâmetro Credibilidade pondera a origem de log
McAfee Application/Change Control com uma importância maior se comparada com outras origens
de log no QRadar.
8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

94 McAfee 705
McAfee ePolicy Orchestrator
O IBM QRadar DSM for McAfee ePolicy Orchestrator coleta eventos de um dispositivo McAfee ePolicy
Orchestrator.

A tabela a seguir identifica as especificações para o DSM McAfee ePolicy Orchestrator:

Tabela 403. McAfee ePolicy Orchestrator
Especificação Valor
Fabricante McAfee
Nome do DSM McAfee ePolicy Orchestrator
Nome do arquivo RPM DSM-McAfeeEpo-QRadar_version-
build_number.noarch.rpm
Versões suportadas V3.5 a V5.x
Protocolo
JDBC

SNMPv1

SNMPv2

SNMPv3
Tipos de eventos registrados Eventos de antivírus
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website da McAfee (http://www.mcafee.com/
enterprise/en-us/products/epolicy-orchestrator.html)

Para integrar o McAfee ePolicy Orchestrator ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale a
versão mais recente dos RPMs a seguir em seu QRadar Console.
v RPM do protocolo JDBC
v RPM do protocolo SNMP
v RPM DSMCommon
v RPM do DSM McAfee ePolicy Orchestrator
2. Configure o dispositivo McAfee ePolicy Orchestrator para enviar eventos para o QRadar.
a. Inclua um servidor registrado.
b. Configurar notificações de SNMP.
c. Instale a Java Cryptography Extension para algoritmos de descriptografia de SNMP de alto nível.
3. Inclua uma origem de log do McAfee ePolicy Orchestrator no QRadar Console. As tabelas a seguir
descrevem os parâmetros de origem de log do protocolo SNMPv1, SNMPv2, SNMPv3 e protocolo
JDBC que requerem valores específicos para coletar eventos do McAfee ePolicy Orchestrator.
Tabela 404. Parâmetros de origem de log do McAfee ePolicy Orchestrator SNMPv1
Parâmetro Valor
Tipo de origem de log McAfee ePolicy Orchestrator
Configuração de protocolo SNMPv1

706 Guia de configuração do QRadar DSM

Tabela 404. Parâmetros de origem de log do McAfee ePolicy Orchestrator SNMPv1 (continuação)
Parâmetro Valor
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

Tabela 405. Parâmetros de origem de log do McAfee ePolicy Orchestrator SNMPv2

Parâmetro Valor
Tipo de origem de log McAfee ePolicy Orchestrator
Configuração de protocolo SNMPv2
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.
Comunidade A sequência de comunidades SNMP para o protocolo
SNMPv2, como Pública.
Incluir OIDs na carga útil do evento Para permitir que as cargas úteis de eventos do McAfee
ePolicy Orchestrator sejam construídas como pares
nome-valor em vez do formato de carga útil do evento
padrão, ative a caixa de seleção Incluir OIDs na carga
útil do evento.

Importante: Deve-se incluir OIDs na carga útil do evento

para processar eventos SNMPv2 para o McAfee ePolicy
Orchestrator.

Tabela 406. Parâmetros de origem de log do McAfee ePolicy Orchestrator SNMPv3

Parâmetro Valor
Tipo de origem de log McAfee ePolicy Orchestrator
Configuração de protocolo SNMPv3
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.
Protocolo de Autenticação O algoritmo que você deseja usar para autenticar traps
SNMPv3:
v SHA usa Secure Hash Algorithm (SHA) como seu
protocolo de autenticação.
v MD5 usa Message Digest 5 (MD5) como seu protocolo
de autenticação.
Senha de Autenticação A senha para autenticar SNMPv3. A senha de
autenticação deve incluir no mínimo 8 caracteres.
Protocolo de Decriptografia Selecione o algoritmo que você deseja usar para
decriptografar os traps SNMPv3.
v DES
v AES128
v AES192
v AES256

Nota: Se você selecionar AES192 ou AES256 como seu

algoritmo de decriptografia, a Java Cryptography
Extension deverá ser instalada. Para obter mais
informações sobre a instalação da Java Cryptography
Extension no McAfee ePolicy Orchestrator, consulte
Instalando a Java Cryptography Extension.
Senha de Decriptografia A senha para decriptografar traps SNMPv3. Sua senha
de decriptografia deve incluir no mínimo 8 caracteres.

94 McAfee 707
Tabela 406. Parâmetros de origem de log do McAfee ePolicy Orchestrator SNMPv3 (continuação)
Parâmetro Valor
Usuário O nome do usuário que foi usado para configurar o
SNMPv3 no seu dispositivo McAfee ePO.
Incluir OIDs na carga útil do evento Para permitir que as cargas úteis de eventos do McAfee
ePolicy Orchestrator sejam construídas como pares
nome-valor em vez do formato de carga útil do evento
padrão, selecione a caixa de seleção Incluir OIDs na
carga útil do evento.

Importante: Deve-se incluir OIDs na carga útil do evento

para processar eventos SNMPv3 para o McAfee ePolicy
Orchestrator.

Tabela 407. Parâmetros de origem de log JDBC do McAfee ePolicy Orchestrator

Parâmetro Valor
Tipo de origem de log McAfee ePolicy Orchestrator
Configuração de protocolo JDBC
Identificador de Fonte de Log Use o formato a seguir:
<McAfee_ePO_Database>@
< McAfee_ePO_Database_Server_IP_or_
Host_Name >

Deve-se usar os valores do banco de dados do McAfee

ePolicy Orchestrator e do endereço IP do servidor de
banco de dados ou do nome do host do McAfee ePolicy
Orchestrator Management Console.
Tipo de banco de dados Selecione MSDE na lista.
Nome do banco de dados O nome do banco de dados McAfee ePolicy Orchestrator.
IP ou nome do host O endereço IP ou nome do host do McAfee ePolicy
Orchestrator SQL Server.
Porta O número da porta que o servidor de banco de dados
usa. A porta deve corresponder à porta do listener do
banco de dados McAfee ePolicy Orchestrator. As
conexões TCP recebidas no banco de dados do McAfee
ePolicy Orchestrator devem ser ativadas para se
comunicarem com o QRadar.

A porta padrão para bancos de dados MSDE é a porta

1433.
Nome do usuário O nome do usuário pode ter até 255 caracteres
alfanuméricos de comprimento e pode incluir caracteres
sublinhados (_) .

Para controlar o acesso ao banco de dados para

propósitos de auditoria, crie um usuário específico no
banco de dados para o QRadar.
Senha A senha pode ter até 255 caracteres de comprimento.
Domínio de Autenticação Se você selecionar MSDE na lista Database Type e o
banco de dados estiver configurado para autenticação do
Windows, deve-se definir esse parâmetro. Caso contrário,
deixe-o em branco.

708 Guia de configuração do QRadar DSM

Tabela 407. Parâmetros de origem de log JDBC do McAfee ePolicy Orchestrator (continuação)
Parâmetro Valor
Instância de Banco de Dados Os bancos de dados MDSE podem incluir diversas
instâncias do servidor SQL em um servidor. Quando
uma porta não padrão é usada para o banco de dados ou
o acesso é bloqueado para a porta 1433 para resolução
do banco de dados SQL, o parâmetro de Instância de
banco de dados deve estar em branco na configuração
da origem de log.
Consulta predefinida Selecione uma consulta predefinida para a origem de log.
Se uma consulta predefinida não estiver disponível para
o tipo de origem de log, os administradores poderão
selecionar nenhum.
Nome da tabela Uma tabela ou visualização que inclui os registros de
eventos conforme a seguir:
v Para ePolicy Orchestrator 3.x, digite Events.
v Para ePolicy Orchestrator 4.x, digite EPOEvents.
v Para ePolicy Orchestrator 5.x, digite EPOEvents
Selecionar Lista Use uma lista separada por vírgulas ou digite um
asterisco (*) para selecionar todos os campos da tabela ou
visualização. Se uma lista separada por vírgulas for
definida, a lista deverá conter o campo que está definido
em Comparar Campo.
Comparar Campo Para identificar novos eventos incluídos entre as
consultas na tabela, digite AutoID.
Usar Instruções Preparadas Permite que a origem do protocolo JDBC configure a
instrução SQL uma vez e, em seguida, execute a
instrução SQL várias vezes com parâmetros diferentes.
Por motivos de segurança e desempenho, use instruções
preparadas. Se você desmarcar essa caixa de seleção, use
um método de consulta alternativo que não use
instruções pré-compiladas.
Data e Horário de Início Digite a data e hora de início para a pesquisa do banco
de dados no formato a seguir: aaaa-MM-dd HH:mm. Use
um relógio de 24 horas para especificar HH. Se a data ou
hora de início for limpa, a pesquisa começa
imediatamente e repete no intervalo de pesquisa
especificado.
Intervalo de pesquisa A quantia de tempo entre as consultas para a tabela de
eventos. O intervalo de pesquisa padrão é de 10
segundos. Para definir um intervalo de pesquisa maior,
anexe H para horas ou M para minutos ao valor
numérico. O intervalo máximo de pesquisa é uma
semana em qualquer formato de hora. Os valores
numéricos que são inseridos sem uma pesquisa de H ou
M em segundos.
Regulador de EPS O número de eventos por segundo (EPS) que você não
deseja que esse protocolo exceda.
Usar Comunicação de Canal Nomeado Desmarque a caixa de seleção Usar comunicação de
canal nomeado.

Quando uma conexão de Canal nomeado é usada, o

nome de usuário e a senha devem ser o nome de usuário
e a senha de autenticação apropriados do Windows, não
o nome de usuário e a senha do banco de dados MSDE.

94 McAfee 709
Tabela 407. Parâmetros de origem de log JDBC do McAfee ePolicy Orchestrator (continuação)
Parâmetro Valor
Nome do Cluster do Banco de Dados O parâmetro Database Cluster Name é exibido quando o
parâmetro Use Named Pipe Communication está ativado.

Se você estiver executando o servidor SQL em um

ambiente em cluster, defina o nome do cluster para
assegurar que a comunicação do canal nomeado funcione
corretamente.
Usar NTLMv2 Se você desejar que as conexões MSDE usem o protocolo
NTLMv2 quando estiverem se comunicando com
servidores SQL que requerem autenticação NTLMv2,
selecione esta opção. Esta opção não interrompe as
comunicações para conexões MSDE que não requerem
autenticação NTLMv2.
Usar SSL Deve-se ativar esse parâmetro se a sua conexão suportar
SSL, mesmo se sua conexão não precisar dela. Essa opção
requer configuração adicional em seu banco de dados e
requer que você configure certificados em ambos os
dispositivos.

4. Verifique se o QRadar está configurado corretamente.

A tabela a seguir mostra uma mensagem de evento normalizado de amostra do McAfee ePolicy
Orchestrator:

710 Guia de configuração do QRadar DSM

Tabela 408. Mensagem de amostra do McAfee ePolicy Orchestrator
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Desconexão do Dispositivo Informações AutoID: "41210078" AutoGUID:
" B3B25537-38F2-4F88-9D62-FD1620159C
75 "ServerID:" <Server> " ReceivedUT
C: "2016-04-11 20 :34:09.913" Detecte
dUTC: "2016-04-11 17:18:02.0" Agent
GUID: " xxxxxxxx-xxxx-xxxx-xxxx-xxxxx
xxxxxxx "Analyzer:" DATALOSS2000 "
AnalyzerName:
"Data Loss Prevention"
AnalyzerVersion:
"9.3.500.15" Analyz
erHostName: "<Server>"
AnalyzerIPV4
: "<IP_address>" AnalyzerIPV6:
"<IPv6_address>" AnalyzerMAC:
"null" AnalyzerDATVersion:
"null" AnalyzerEngineVers
ion: "null" AnalyzerDetection
Método: "null" SourceHostName: "xxxx-xx-c-xxx" SourceIPV4: "<
UserName: "<Username> \ <Domain>" SourceProcessName: "" Sourc
-x-x "TargetIPV4:" < IP_ad
dress>"TargetIPV6: "<IPv6
_address > "TargetMAC:" < MAC_
address > " TargetUserName:
"<Username>" TargetPort: " null
"TargetProtocol:" null " TargetPro
cessName: "" TargetFileName: " null
"ThreatCategory:" policy " Threat
EventID: "19116" ThreatSeverity:
"5" ThreatName:" Politica 1: Audi
tar USB de Almacenamiento " Threat
Tipo: "DEVICE_UNPLUG" Threat
ActionTaken: "MON | ON" ThreatHandled
: "null" TheTimestamp: "[B@cd76718a
"TenantId:" 1 "

Conceitos relacionados:
“Opções de configuração de protocolo SNMPv2” na página 75
É possível configurar uma fonte de log para utilizar o protocolo SNMPv2 para receber eventos SNMPv2.
“Opções de configuração de protocolo SNMPv3” na página 76
É possível configurar uma fonte de log para utilizar o protocolo SNMPv3 para receber eventos do
SNMPv3.
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando notificações de SNMP no McAfee ePolicy Orchestrator” na página 712
Para enviar eventos SNMP do McAfee ePolicy Orchestrator para o IBM QRadar, deve-se configurar as
notificações SNMP em seu dispositivo McAfee ePolicy Orchestrator.

94 McAfee 711
“Instalando a Java Cryptography Extension no McAfee ePolicy Orchestrator” na página 714
A Java™ Cryptography Extension (JCE) é uma estrutura Java que é necessária para o IBM QRadar
decriptografar algoritmos de criptografia avançados para AES192 ou AES256. As informações a seguir
descrevem como instalar o Oracle JCE em seu dispositivo McAfee ePolicy Orchestrator (McAfee ePO).

Incluindo um servidor registrado no McAfee ePolicy Ochestrator

Para configurar o McAfee ePolicy Orchestrator para encaminhar eventos SNMP, deve-se incluir um
servidor registrado em seu dispositivo McAfee ePolicy Orchestrator.

Procedimento
1. Efetue login em seu dispositivo McAfee ePolicy Orchestrator.
2. Selecione Menu > Configuração > Servidores Registrados .
3. Clique em Novo servidor.
4. No menu Tipo de servidor, selecione Servidor SNMP.
5. Digite o nome e quaisquer notas adicionais sobre o servidor SNMP e, em seguida, clique em Avançar.
6. Na lista Endereço, selecione o tipo de endereço do servidor que você está usando e digite o nome ou
o endereço IP.
7. Na lista Versão do SNMP, selecione a versão do SNMP que você deseja usar:
v se você usar SNMPv2c, forneça o nome da Comunidade;
v se você usar SNMPv3, forneça os detalhes de Segurança do SNMPv3.
8. Para verificar a configuração do SNMP, clique em Enviar trap de teste.
9. Clique em Salvar.

O que Fazer Depois

Configure as notificações SNMP em seu dispositivo McAfee ePolicy Orchestrator.

Tarefas relacionadas:
“Configurando notificações de SNMP no McAfee ePolicy Orchestrator”
Para enviar eventos SNMP do McAfee ePolicy Orchestrator para o IBM QRadar, deve-se configurar as
notificações SNMP em seu dispositivo McAfee ePolicy Orchestrator.

Configurando notificações de SNMP no McAfee ePolicy Orchestrator

Para enviar eventos SNMP do McAfee ePolicy Orchestrator para o IBM QRadar, deve-se configurar as
notificações SNMP em seu dispositivo McAfee ePolicy Orchestrator.

Antes de Iniciar

Deve-se incluir um servidor registrado no McAfee ePolicy Orchestrator antes de concluir as etapas a
seguir.

Procedimento
1. Selecione Menu > Automação > Respostas automáticas .
2. Clique em Novas respostas e, em seguida, configure os valores a seguir.
a. Digite um nome e uma descrição para a resposta.
b. Na lista Grupo de eventos, selecione Eventos de notificação do ePO.
c. Na lista Tipo de evento, selecione Ameaças.
d. Na lista Status, selecione Ativado.
3. Clique em Avançar.
4. Na coluna Valor, digite um valor a ser usado para seleção do sistema ou clique no ícone de
reticências.

712 Guia de configuração do QRadar DSM

5. Opcional: Na lista Propriedades disponíveis, selecione mais filtros para limitar os resultados da
resposta.
6. Clique em Avançar.
7. Selecione Acionar esta resposta para todos os eventos e, em seguida, clique em Avançar.
Ao configurar a agregação para as suas respostas do McAfee ePolicy Orchestrator, não ative a
limitação.
8. Na lista Ações, selecione Enviar trap SNMP.
9. Configure os valores a seguir:
a. Na lista de servidores SNMP, selecione o servidor SNMP que você registrou quando incluiu um
servidor registrado.
b. Na lista Tipos disponíveis, selecione Lista de todos os valores.
c. Clique em >> para incluir o tipo de evento que está associado à sua versão do McAfee ePolicy
Orchestrator. Use a tabela a seguir como um guia:

Tipos Disponíveis Tipos Selecionados ePolicy Orchestrator Version

UTC detectado {listOfDetectedUTC} 4.5, 5.1
UTC recebido {listOfReceivedUTC} 4.5, 5.1
Detectando o endereço IPv4 do {listOfAnalyzerIPV4} 4.5, 5.1
produto
Detectando o endereço IPv6 do {listOfAnalyzerIPV6} 4.5, 5.1
produto
Detectando endereço MAC do {listOfAnalyzerMAC} 4.5, 5.1
produto
Endereço IPv4 de origem {listOfSourceIPV4} 4.5, 5.1
Endereço IPv6 de origem {listOfSourceIPV6} 4.5, 5.1
Endereço MAC de Origem {listOfSourceMAC} 4.5, 5.1
Nome do Usuário de Origem {listOfSourceUserName} 4.5, 5.1
Endereço IPv4 de destino {listOfTargetIPV4} 4.5, 5.1
Endereço IPv6 de destino {listOfTargetIPV6} 4.5, 5.1
MAC de destino {listOfTargetMAC} 4.5, 5.1
Porta de Destino {listOfTargetPort} 4.5, 5.1
ID do evento de ameaça {listOfThreatEventID} 4.5, 5.1
ID do evento de ameaça {listOfThreatEventID} 4.5, 5.1
Severidade da ameaça {listOfThreatSeverity} 4.5, 5.1
SourceComputers 4.0
AffectedComputerIPs 4.0
EventIDs 4.0
TimeNotificationSent 4.0

10. Clique em Avançar e, em seguida, clique em Salvar .

O que Fazer Depois

1. Inclua uma origem de log no QRadar.
2. Instale a Java Cryptography Extension para algoritmos de descriptografia de SNMP de alto nível.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma

94 McAfee 713
origem de log para receber eventos dos dispositivos de rede.
“Instalando a Java Cryptography Extension no McAfee ePolicy Orchestrator”
A Java™ Cryptography Extension (JCE) é uma estrutura Java que é necessária para o IBM QRadar
decriptografar algoritmos de criptografia avançados para AES192 ou AES256. As informações a seguir
descrevem como instalar o Oracle JCE em seu dispositivo McAfee ePolicy Orchestrator (McAfee ePO).
“Instalando o Java Cryptography Extension no QRadar”
A Java Cryptography Extension (JCE) é uma estrutura Java que é necessária para o IBM QRadar
decriptografar algoritmos de criptografia avançados para AES192 ou AES256. As informações a seguir
descrevem como instalar o Oracle JCE em seu dispositivo QRadar.

Instalando a Java Cryptography Extension no McAfee ePolicy

Orchestrator
A Java™ Cryptography Extension (JCE) é uma estrutura Java que é necessária para o IBM QRadar
decriptografar algoritmos de criptografia avançados para AES192 ou AES256. As informações a seguir
descrevem como instalar o Oracle JCE em seu dispositivo McAfee ePolicy Orchestrator (McAfee ePO).

Procedimento
1. Faça download da versão mais recente do JavaTM Cryptography Extension no website a seguir:
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk
A versão da Java TM Cryptography Extension deve corresponder à versão do Java™ instalada em seu
dispositivo McAfee ePO.
2. Copie o arquivo compactado JCE no diretório a seguir em seu dispositivo McAfee ePO:
<installation path to McAfee ePO>/jre/lib/security

Instalando o Java Cryptography Extension no QRadar

A Java Cryptography Extension (JCE) é uma estrutura Java que é necessária para o IBM QRadar
decriptografar algoritmos de criptografia avançados para AES192 ou AES256. As informações a seguir
descrevem como instalar o Oracle JCE em seu dispositivo QRadar.

Procedimento
1. Faça download da versão mais recente da Java Cryptography Extension no website a seguir:
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk
A versão da Java Cryptography Extension deve corresponder à versão do Java instalada no QRadar.
2. Extraia o arquivo JCE.
Os archives Java (JAR) são incluídos no download de JCE:
v local_policy.jar
v US_export_policy.jar
3. Efetue login no QRadar Console ou no QRadar Event Collector como um usuário raiz.
4. Copie os arquivos JAR JCE no diretório a seguir em seu QRadar Console ou Event Collector:
/opt/ibm/java-x86_64/jre/lib/security/

Nota: Os arquivos JAR JCE são copiados apenas no sistema que recebe os arquivos criptografados
AES192 ou AE256.
5. Reinicie os serviços do QRadar digitando um dos comandos a seguir:
v Se você estiver usando o QRadar 7.2.x, digite service ecs-ec restart.
v Se você estiver usando o QRadar 7.3.0, digite systemctl restart ecs-ec.service.
v Se você estiver usando o QRadar 7.3.1, digite systemctl restart ecs-ec-ingress.service.

714 Guia de configuração do QRadar DSM

Mensagem do evento de amostra
Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra ao usar o protocolo JDBC para o DSM
McAfee ePolicy Orchestrator:
Tabela 409. Mensagem de amostra do McAfee ePolicy Orchestrator suportada pelo McAfee ePolicy Orchestrator.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Intrusão de host Nota AutoID: "231426750" AutoGUID: " 995F348A
detectada -4CA34CEF-B259-5E678106884E "ServerID:" QRADAR
SERVER1 "ReceivedUTC:" 2014-07-23 08 :02:13.553
"DetectedUTC:" 2014-07-23 07 :55:11.0 " AgentGUID
: "2AB7C0C3-23C5-4FBD-B0A6-9A3A9B802A9E" Analyzer
: "HOSTIPS_8000" AnalyzerName: " McAfee Host Intru
sion Prevention "AnalyzerVersion:" 8.0.0 " Analyzer
HostName: "QRADARANALYZER"
AnalyzerIPV4: " 739325208
"AnalyzerIPV6:" [ B@e00e408"
AnalyzerMAC: " 001cc4e0
e79e "AnalyzerDATVersion:"
null " AnalyzerEngineVers
ion: "null"
AnalyzerDetectionMethod:
"null" Source
HostName: "null" SourceIPV4:
"739325208" SourceIPV6
: "[ B@7d03cef5" SourceMAC:
"null" SourceUserName: "
QRADAR\SYSTEM "SourceProcessName:
" C:\WINNT\SYSTEM32
\SERVICES.EXE" SourceURL: "file:///C:\WINNT\SYSTEM32
\SERVICES.EXE "TargetHostName:" QRADAR " TargetIPV4
: "739325208" TargetIPV6: "[ B@cf5e07d2" TargetMAC
: "00005E005300" TargetUserName:" null " TargetPort
: "null" TargetProtocol: "null" TargetProcessName
: "null" TargetFileName: "null" ThreatCategory: "
hip.Registry "ThreatEventID:" 18000 " ThreatSeverity
: "2" ThreatName:" 915 "ThreatType:" modify " Threat
ActionTaken: "hip.reaction.permit" ThreatHandled: "
false "TheTimestamp:" [ B@6d04e225 "

McAfee Network Security Platform (antes conhecido como McAfee

Intrushield)
O DSM do IBM QRadar McAfee Network Security Platform aceita eventos que usam syslog. O QRadar
grava todos os eventos relevantes.

Antes de configurar o QRadar para integração com um dispositivo McAfee Network Security Platform,
deve-se selecionar a versão do dispositivo McAfee Network Security Platform.
v Para coletar eventos de alerta do McAfee Intrushield V2.x – V5.x, consulte “Configurando eventos de
alerta para o McAfee Intrushield V2.x - V5.x” na página 716.
v Para coletar eventos de alerta do McAfee Network Security Platform V6.x - V7.x, consulte
“Configurando eventos de alerta para o McAfee Network Security Platform V6.x e V7.x” na página
717.

94 McAfee 715
v Para coletar eventos de notificação de falha do McAfee Network Security Platform V6.x - V7.x, consulte
“Configurando eventos de notificação de falha para o McAfee Network Security Platform V6.x e V7.x”
na página 718.

Configurando eventos de alerta para o McAfee Intrushield V2.x - V5.x

Para coletar eventos de notificação de alerta do McAfee Intrushield, os administradores devem configurar
um encaminhador de syslog para enviar eventos ao IBM QRadar

Nota: A sequência de mensagem personalizada deve ser inserida como uma única linha sem retornos
de linha ou espaços. Os dispositivos McAfee Intrushield que não têm correções de software aplicadas
usam sequências de mensagem diferentes dos sistemas corrigidos. O McAfee Intrushield espera que o
formato da mensagem personalizada contenha um símbolo de dólar ($) como delimitador antes e
depois de cada elemento de alerta. Se um sinal de dólar estiver ausente para um elemento, o evento
de alerta talvez não esteja formatado adequadamente.
Se você estiver inseguro sobre qual formato da mensagem de evento usar, entre em contato com o
Suporte ao cliente McAfee.
8. Clique em Salvar.
Conforme os eventos são gerados pelo McAfee Intrushield, eles são encaminhados para o destino de
syslog que você especificou. A origem de log é descoberta automaticamente após eventos suficientes
serem encaminhados pelo dispositivo McAfee Intrushield. Ele geralmente usa um mínimo de 25
eventos para descobrir automaticamente uma origem de log.

O que Fazer Depois

Os administradores podem efetuar login no QRadar Console e verificar se a origem de log foi criada no
QRadar Console e se a guia Atividade de log exibe eventos do dispositivo McAfee Intrushield.

716 Guia de configuração do QRadar DSM

Configurando eventos de alerta para o McAfee Network Security
Platform V6.x e V7.x
Para coletar eventos de notificação de alerta do McAfee Network Security Platform, os administradores
devem configurar um encaminhador de syslog para enviar eventos para o IBM QRadar

Antes de Iniciar

Para coletar eventos de notificação de alerta do McAfee Network Security Platform, é necessário o
McAfee Network Security Platform Manager.

Procedimento
1. Efetue login na interface com o usuário do McAfee Network Security Platform Manager.
2. No painel Network Security Manager, clique em Configurar.
3. Expanda a Árvore de recursos e clique no nó Configurações de IPS nó.
4. Clique na guia Notificação de alerta.
5. No menu Notificação de alerta, clique na guia Syslog.
6. Configure os parâmetros a seguir para encaminhar eventos de notificação de alerta:
Tabela 411. Parâmetros de notificação de alerta do McAfee Network Security Platform v6.x e 7.x
Parâmetro Descrição
Ativar notificação de syslog Selecione Sim para ativar as notificações de syslog para o McAfee Network Security
Platform. Deve-se ativar essa opção para encaminhar eventos para o QRadar.
Domínio admin Selecione qualquer uma das opções a seguir:
v Atual - Marque essa caixa de seleção para enviar notificações de syslog para alertas
no domínio atual. Essa opção é selecionada por padrão.
v Filhos - Marque essa caixa de seleção para enviar notificações de syslog para
alertas em quaisquer domínios-filho dentro do domínio atual.
Nome do servidor ou Digite o endereço IP do QRadar Console ou Event Collector. Esse campo suporta
endereço IP endereços IPv4 e IPv6.
Porta UDP Digite 514 como a porta UDP para eventos syslog.
Recurso Selecione um valor de recurso syslog.
Mapeamentos de gravidade Selecione um valor para mapear o nível de notificação de alerta informational, low,
medium e high para uma gravidade de syslog.

As opções incluem os níveis a seguir:

v Emergencial – O sistema está inativo ou inutilizável.
v Alerta - O sistema requer entrada ou intervenção imediata do usuário.
v Crítico – O sistema deve ser corrigido para uma condição crítica.
v Erro – O sistema tem falhas como não urgentes.
v Aviso – O sistema tem uma mensagem de aviso que indica um erro iminente.
v Aviso – O sistema tem notificações; nenhuma ação imediata é necessária.
v Informativo – Mensagens normais de operação.
Enviar notificação se Marque as caixas de seleção a seguir:
v A definição de ataque tem esta opção de notificação ativada explicitamente
v O filtro de notificação a seguir é correspondido e, na lista, selecione Gravidade
informativa e posterior.
Notificar sobre alerta de Selecione Não como a opção notificar sobre quarentena do IPS.
quarentena do IPS
Preferência de mensagem Selecione a opção Customizado.

Nota: A sequência de mensagem personalizada deve ser inserida como uma única linha sem retornos
de linha ou espaços. O McAfee Network Security Platform espera que o formato da mensagem
customizada contenha um sinal de dólar ($) como um delimitador antes e depois de cada elemento de
alerta. Se um sinal de dólar estiver ausente para um elemento, o evento de alerta talvez não esteja
formatado adequadamente.
Você poderá precisar de um editor de texto para formatar adequadamente a sequência de mensagem
personalizada como uma única linha.
9. Clique em Salvar.
Conforme os eventos de alerta são gerados pelo McAfee Network Security Platform, eles são
encaminhados para o destino de syslog que você especificou. A origem de log é descoberta
automaticamente após eventos suficientes serem encaminhados pelo dispositivo McAfee Network
Security Platform. Ele geralmente usa um mínimo de 25 eventos para descobrir automaticamente uma
origem de log.

O que Fazer Depois

Os administradores podem efetuar login no QRadar Console e verificar se a origem de log foi criada no
QRadar Console e se a guia Atividade de log exibe eventos do dispositivo McAfee Network Security
Platform.

Configurando eventos de notificação de falha para o McAfee Network

Security Platform V6.x e V7.x
Para integrar notificações de falha ao McAfee Network Security Platform, deve-se configurar o McAfee
Network Security Platform para encaminhar eventos de notificação de falha.

718 Guia de configuração do QRadar DSM

Tabela 412. Parâmetros de notificação de falha do McAfee Network Security Platform V6.x e V7.x (continuação)
Parâmetro Descrição
Domínio admin Selecione qualquer uma das opções a seguir:
v Atual - Marque essa caixa de seleção para enviar notificações de syslog para alertas
no domínio atual. Essa opção é selecionada por padrão.
v Filhos - Marque essa caixa de seleção para enviar notificações de syslog para
alertas em quaisquer domínios-filho dentro do domínio atual.
Nome do servidor ou Digite o endereço IP do QRadar Console ou Event Collector. Esse campo suporta
endereço IP endereços IPv4 e IPv6.
Porta Digite 514 como a porta para eventos syslog.
Recursos Selecione um valor de recurso syslog.
Mapeamentos de gravidade Selecione um valor para mapear o nível de notificação de alerta informational, low,
medium e high para uma gravidade de syslog.

As opções incluem os níveis a seguir:

7. No campo Preferência de mensagem, clique em Editar para incluir um filtro de mensagens

personalizadas.
8. Para assegurar que as notificações de falha estejam formatadas corretamente, digite a sequência de
mensagem a seguir:
|%INTRUSHIELD-FAULT|$IV_FAULT_NAME$|$IV_FAULT_TIME$|

Nota: A sequência de mensagem personalizada deve ser inserida em uma única linha sem retornos de
linha. O McAfee Network Security Platform espera que o formato das informações de syslog da
mensagem customizada contenha um delimitador de sinal de dólar ($) antes e depois de cada
elemento. Se estiver faltando um símbolo de dólar para um elemento, o evento poderá não ser
analisado adequadamente.
9. Clique em Salvar.
Conforme os eventos de falha são gerados pelo McAfee Network Security Platform, eles são
encaminhados para o destino de syslog que você especificou.

O que Fazer Depois

É possível efetuar login no QRadar Console e verificar se a guia Atividade de log contém eventos de
falha por meio do dispositivo McAfee Network Security Platform.

94 McAfee 719
McAfee Web Gateway
É possível configurar o McAfee Web Gateway para integração com o IBM QRadar.

Utilize um dos métodos a seguir:

v “Configurando o McAfee Web Gateway para se comunicar com o QRadar (syslog)” na página 721
v “Configurando o McAfee Web Gateway para se comunicar com o IBM QRadar (protocolo de arquivo
de log)” na página 722

Nota: O McAfee Web Gateway era conhecido anteriormente como McAfee WebWasher.

A tabela a seguir identifica as especificações para o DSM McAfee Web Gateway:

Tabela 413. Especificações do DSM McAfee Web Gateway
Especificação Valor
Fabricante McAfee
DSM McAfee Web Gateway
Nome do arquivo RPM DSM-McAfeeWebGateway-qradarversion-buildnumber.noarch
Versões suportadas v6.0.0 e mais recente
Protocolo Syslog, protocolo de arquivo de log
QRadar Todos os eventos relevantes

Eventos registrados
Descoberto automaticamente Sim
Inclui identidade Não
Informações adicionais website da McAfee (http://www.mcafee.com)

Processo de integração do DSM McAfee Web Gateway

É possível integrar o DSM McAfee Web Gateway com o IBM QRadar.

Use o procedimento a seguir:

v Faça download e instale a versão mais recente do RPM do DSM McAfee Web Gateway no QRadar
Console.
v Para cada instância do McAfee Web Gateway, configure o sistema VPN do McAfee Web Gateway para
permitir a comunicação com o QRadar.
v Se o QRadar não descobrir automaticamente a origem de log, para cada servidor McAfee Web
Gateway que você deseja integrar, crie uma origem de log no QRadar Console.
v Se você usar o McAfee Web Gateway v7.0.0 ou mais recente, crie um mapa de eventos.

Tarefas relacionadas
“Configurando o McAfee Web Gateway para se comunicar com o QRadar (syslog)” na página 721

“Configurando o McAfee Web Gateway para se comunicar com o IBM QRadar (protocolo de arquivo de
log)” na página 722

“Criação de um mapa de eventos para eventos do McAfee Web Gateway” na página 723

720 Guia de configuração do QRadar DSM

Configurando o McAfee Web Gateway para se comunicar com o
QRadar (syslog)
Para coletar todos os eventos do McAfee Web Gateway, deve-se especificar o IBM QRadar como o
servidor syslog e configurar o formato da mensagem.

Procedimento
1. Efetue login no console do McAfee Web Gateway.
2. Na Barra de ferramentas, clique em Configuração.
3. Clique na guia Editor de arquivo .
4. Expanda Arquivos do dispositivo e selecione o arquivo /etc/rsyslog.conf.
O editor de arquivo exibe o arquivo rsyslog.conf para edição.
5. Modifique o arquivo rsyslog.conf para incluir as informações a seguir:
# send access log to qradar *.info;
daemon.!=info;
mail.none;authpriv.none;
cron.none -/var/log/messages *.info;mail.none;
authpriv.none;
cron.none
@<IP Address>:<Port>
Em que:
v <IP Address> é o endereço IP do QRadar.
v <Port> é o número da porta syslog, por exemplo, 514.
6. Clique em Salvar mudanças.
Agora você está pronto para importar uma política para o manipulador de syslog no seu dispositivo
McAfee Web Gateway. Para obter mais informações, consulte “Importando o manipulador de logs
syslog”.

Importando o manipulador de logs syslog

Sobre Esta Tarefa

Para importar um conjunto de regras de política configurado para o manipulador de syslog:

Procedimento
1. No website de suporte, faça download do arquivo compactado a seguir:
log_handlers-1.1.tar.gz
2. Extraia o arquivo.
O arquivo de extração fornece arquivos XML que são dependentes de versão para seu dispositivo
McAfee Web Gateway.
Tabela 414. Arquivo de manipulador de logs requerido pelo McAfee Web Gateway
Versão Arquivo XML necessário
McAfee Web Gateway V7.0 syslog_loghandler_70.xml
McAfee Web Gateway V7.3 syslog_loghandler_73.xml

3. Efetue login no console do McAfee Web Gateway.

4. Usando a barra de ferramentas de menu, clique em Política.
5. Clique em Manipulador de logs.
6. Usando a árvore de menu, selecione Padrão.
7. Na lista Incluir, selecione Conjunto de regras da biblioteca.
8. Clique no botão Importar do arquivo.

94 McAfee 721
9. Navegue para o diretório que contém o arquivo syslog_handler que você transferiu por download e
selecione syslog_loghandler.xml como o arquivo a ser importado.

Nota: Se o dispositivo McAfee Web Gateway detectar qualquer conflito com o conjunto de regras,
deve-se resolver o conflito. Para obter mais informações, consulte a documentação do McAfee Web
Gateway.
10. Clique em OK.
11. Clique em Salvar mudanças.
12. Agora você está pronto para configurar a origem de log no QRadar.
O QRadar descobre automaticamente eventos syslog de um dispositivo McAfee Web Gateway.
Se você deseja configurar manualmente o QRadar para receber eventos syslog, selecione McAfee
Web Gateway na lista Tipo de origem de log .
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o McAfee Web Gateway para se comunicar com o IBM

QRadar (protocolo de arquivo de log)
O dispositivo McAfee Web Gateway fornece a opção de encaminhar arquivos de log de evento para um
servidor de arquivos provisório para recuperação pelo QRadar.

Procedimento
1. No website de suporte, faça download do arquivo a seguir:
log_handlers-1.1.tar.gz
2. Extraia o arquivo.
Isso dá a você o arquivo do manipulador de acesso que é necessário para configurar o dispositivo
McAfee Web Gateway.
access_log_file_loghandler.xml
3. Efetue login no console do McAfee Web Gateway.
4. Usando a barra de ferramentas de menu, clique em Política.

Nota: Se houver uma configuração de log de acesso existente em seu dispositivo McAfee Web
Gateway, deve-se excluir o log de acesso existente da Biblioteca do conjunto de regras antes de
incluir o access_log_file_loghandler.xml.
5. Clique em Manipulador de logs.
6. Usando a árvore de menu, selecione Padrão.
7. Na lista Incluir, selecione Conjunto de regras da biblioteca.
8. Clique no botão Importar do arquivo.
9. Navegue para o diretório que contém o arquivo access_log_file_loghandler.xml transferido por
download e selecione syslog_loghandler.xml como o arquivo a ser importado.
Quando o conjunto de regras é importado para access_log_file_loghandler.xml, um conflito pode
ocorrer declarando que a Configuração de log de acesso já existe na configuração atual e uma
solução do conflito é apresentada.
10. Se o dispositivo McAfee Web Gateway detectar que a Configuração de log de acesso já existe,
selecione a opção Solução de conflito: Mudar nome que é apresentada para resolver o conflito de
conjunto de regras.
Para obter mais informações sobre resolução de conflitos, consulte a documentação do fornecedor do
McAfee Web Gateway.

722 Guia de configuração do QRadar DSM

Deve-se configurar o arquivo access.log a ser enviado por push para um servidor provisório em
uma rotação automática. Não importa se você enviar por push seus arquivos para o servidor
provisório com base no tempo ou tamanho do arquivo access.log. Para obter mais informações
sobre rotação automática, consulte a documentação do fornecedor do McAfee Web Gateway.

Nota: Devido ao tamanho dos arquivos access.log que são gerados, é sugerido que você selecione a
opção de arquivos GZIP após a rotação em seu dispositivo McAfee Web Gate.
11. Clique em OK.
12. Clique em Salvar mudanças.

Nota: Por padrão, o McAfee Web Gateway é configurado para gravar logs de acesso no diretório
/opt/mwg/log/user-defined-logs/access.log/.

O que Fazer Depois

Agora você está pronto para configurar o QRadar para receber arquivos access.log do McAfee Web
Gateway. Para obter mais informações, consulte “Obtendo dados usando o protocolo de arquivo de log”.

Obtendo dados usando o protocolo de arquivo de log

Uma origem de protocolo de arquivo de log permite que o IBM QRadar recupere arquivos de log
arquivados a partir de um host remoto. O DSM McAfee Web Gateway suporta o carregamento em massa
de arquivos access.log usando a origem de protocolo de arquivo de log. O diretório padrão para os logs
de acesso McAfee Web Gateway é o diretório /opt/mwg/log/user-defined-logs/access.log/.

Sobre Esta Tarefa

Agora é possível configurar a origem de log e o protocolo no QRadar.

Procedimento
1. Para configurar o QRadar para receber eventos de um dispositivo McAfee Web Gateway, selecione
McAfee Web Gateway na lista Tipo de origem de log.
2. Para configurar o protocolo, deve-se selecionar a opção Arquivo de log na lista Configuração de
protocolo.
3. Para configurar o parâmetro Padrão de arquivo, deve-se digitar uma sequência de regex para o
arquivo access.log, como access[0-9]+\.log.

Nota: Se você selecionou para GZIP de seus arquivos access.log, deverá digitar
ccess[0-9]+\.log\.gz para o campo Padrão de arquivo e, na lista Processador, selecione GZIP.

Criação de um mapa de eventos para eventos do McAfee Web

Gateway
O mapeamento de eventos é necessário para eventos que são coletados do McAfee Web Gateway v7.0.0 e
mais recente, que são identificados como Desconhecido e não são cobertos pelo mapa QID base.

É possível mapear individualmente cada evento de seu dispositivo para uma categoria de evento no IBM
QRadar. O mapeamento de eventos permite que o QRadar identifique, una e rastreie eventos recorrentes
de seus dispositivos de rede. Até você mapear um evento, alguns eventos que são exibidos na guia
Atividade de log para McAfee Web Gateway são categorizados como Desconhecido e alguns eventos
podem já estar designados a um mapa de QID existente. Os eventos desconhecidos são facilmente
identificados, uma vez que a coluna Nome do evento e as colunas Categoria de nível inferior exibem
Desconhecido.

94 McAfee 723
Descobrindo eventos desconhecidos
Este procedimento garante que você mapeie todos os tipos de eventos e que não perca eventos que não
são gerados com frequência, repetindo esse procedimento várias vezes durante um período.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Atividade de log.
3. Clique em Incluir filtro.
4. Na primeira lista, selecione Origem de log.
5. Na lista Grupo de origem de log, selecione o grupo de origem de log ou Outro.
As origens de log que não estão designadas a um grupo são categorizadas como Outro.
6. Na lista Origem de log, selecione a origem de log McAfee Web Gateway.
7. Clique em Incluir filtro.
A guia Atividade de log é exibida com um filtro para sua origem de log.
8. Na lista Visualizar, selecione Última hora.
Quaisquer eventos que são gerados pelo DSM McAfee Web Gateway na última hora serão exibidos.
Os eventos que são exibidos como Desconhecido na coluna Nome do evento ou Categoria de baixo
nível requerem mapeamento de eventos.

Nota: É possível salvar o filtro de procura existente clicando em Salvar critérios.

Agora você está pronto para modificar o mapa de eventos.

Modificando o mapa de eventos

Modifique um mapa de eventos para categorizar eventos manualmente para um mapa QRadar Identifier
(QID).

Sobre Esta Tarefa

Qualquer evento que é categorizado para uma origem de log pode ser remapeado para um novo QRadar
Identifier (QID).

Nota: Os eventos que não têm uma origem de log definida não podem ser mapeados para um evento.
Os eventos sem uma origem de log exibem Log genérico SIM na coluna Origem de log.

Procedimento
1. Na coluna Nome do evento, dê um clique duplo em um evento desconhecido para McAfee Web
Gateway.
As informações de eventos detalhadas são exibidas.
2. Clique em Mapear evento.
3. Na área de janela Procurar QRadar Identifier, selecione qualquer uma das opções de procura a seguir
para limitar as categorias de evento para um QRadar Identifier (QID):
v Na lista Categoria de alto nível, selecione uma categorização de evento de alto nível.
v Na lista Categoria de baixo nível, selecione uma categorização de evento de baixo nível.
v Na lista Tipo de origem de log, selecione um tipo de origem de log.
A lista Tipo de origem de log fornece a opção para procurar QIDs de outras origens de log. A
procura de QIDs por origem de log é útil quando os eventos são semelhantes a outro dispositivo de
rede existente. Por exemplo, o McAfee Web Gateway fornece eventos de política; você poderá
selecionar outro produto que provavelmente capture eventos semelhantes.
Para procurar um QID por nome, digite um nome no campo QID/Nome.

724 Guia de configuração do QRadar DSM

O campo QID/Nome fornece a opção para filtrar a lista completa de QIDs para uma palavra
específica, por exemplo, política.
4. Clique em Procurar.
Uma lista de QIDs é exibida.
5. Selecione o QID que você deseja associar ao evento desconhecido.
6. Clique em OK.
O QRadar mapeia quaisquer eventos adicionais que são encaminhados por seu dispositivo com o
mesmo QID que corresponde à carga útil do evento. A contagem de evento aumenta cada vez que o
evento é identificado pelo QRadar.
Se você atualizar um evento com um novo mapa QRadar Identifier (QID), os eventos passados que
estão armazenados no QRadar não serão atualizados. Somente os novos eventos serão categorizados
com o novo QID.

94 McAfee 725
726 Guia de configuração do QRadar DSM
95 MetaInfo MetaIP
O DSM MetaIP MetaInfo para o IBM QRadar aceita eventos MetaIP usando syslog.

Sobre Esta Tarefa

O QRadar registra todas as informações relevantes e disponíveis do evento. Antes de configurar um

dispositivo MetaIP no QRadar, deve-se configurar o seu dispositivo para encaminhar eventos syslog. Para
obter informações sobre como configurar seu dispositivo MetaInfo MetaIP, consulte a documentação do
fornecedor.

Depois de configurar o dispositivo MetaInfo MetaIP, a configuração do QRadar está concluída. O QRadar
descobre e cria automaticamente uma origem de log para eventos syslog que são encaminhados pelos
dispositivos MetaInfo MetaIP. No entanto, você pode criar manualmente uma origem de log para o
QRadar receber eventos syslog. As etapas de configuração a seguir são opcionais.

Para configurar manualmente uma origem de log para MetaInfo MetaIP:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

© Copyright IBM Corp. 2005, 2019 727

728 Guia de configuração do QRadar DSM
96 Microsoft
O IBM QRadar suporta uma faixa de produtos Microsoft.

Microsoft Azure
O IBM QRadar DSM for Microsoft Azure coleta eventos de um serviço Microsoft Azure Log Integration
ou Microsoft Azure Event Hubs.

Para integrar o Microsoft Azure ao QRadar, conclua as etapas a seguir:

3. Opcional: configure o protocolo Microsoft Azure Event Hubs.

a. Os RPMs estarão disponíveis para download por meio do website de suporte IBM
(http://www.ibm.com/support). Faça download e instale a versão mais recente dos RPMs a
seguir em seu QRadar Console
v Protocol Common RPM
v Microsoft RPM do Azure Event Hubs Protocol

Nota: A Correção 7 do QRadar 7.2.8 e mais recente é necessária para o Microsoft Azure Event
Hubs Protocol RPM.
b. O QRadar não detecta automaticamente o Protocolo do Microsoft Azure Event Hubs. Para obter
mais informações sobre como configurar o protocolo, acesse Configurando QRadar para coletar
eventos do Microsoft Azure Event Hubs usando o protocolo do Microsoft Azure Event Hubs.
Conceitos relacionados:
“Opções de configuração de protocolo do Microsoft Azure Event Hubs” na página 56
O protocolo Microsoft Azure Event Hubs é um protocolo de saída/ativo para o IBM Security QRadar que
coleta eventos do Microsoft Azure Event Hubs.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

© Copyright IBM Corp. 2005, 2019 729

Configurando o serviço Microsoft Azure Log Integration para se

comunicar com o QRadar
Para coletar eventos do Microsoft Azure, deve-se instalar o serviço Microsoft Azure Log Integration em
uma máquina, seja no local ou na Nuvem, executando o S.O. Windows de 64 bits com o. Net 4.5.1.

Procedimento
1. Se você tiver alguma versão anterior do serviço Microsoft Azure Log Integration instalada, deverá
desinstalar a versão anterior. A desinstalação removerá todas as origens registradas. Conclua as
seguintes etapas para desinstalar o serviço do Microsoft Azure Log Integration.
a. Abra uma interface de linha de comandos Windows como um administrador e, em seguida, digite
os comandos a seguir na ordem em que eles são listados.
v cd C:\Program Files\Microsoft Azure Log Integration\
v azlog removeazureid
b. No Painel de Controle, clique em Incluir/Remover Programas > Microsoft Azure Log Integration
> Desinstalar.
2. Obtenha e instale o serviço do Microsoft Azure Log Integration (AzureLogIntegration.msi) no website
do Microsoft (https://azure.microsoft.com/en-us/documentation/articles/security-azure-log-
integration-get-started/).
3. Abra uma interface de linha de comandos Windows como um administrador.
4. Para configurar o serviço do Microsoft Azure Log Integration acesse o seguinte diretório executando o
seguinte comando: cd C:\Program Files\Microsoft Azure Log Integration\ e conclua as etapas a
seguir.
a. Execute o Azure PowerShell digitando o seguinte comando: azlog.exe powershell
b. No PowerShell, digite o seguinte comando: Add-AzLogEventDestination -Name
<QRadar_Console_name> -SyslogServer <IP_address> -SyslogFormat LEEF
Se o listener do syslog para o QRadar não estiver na porta padrão, será possível especificar o
SyslogPort. O padrão é 514. Por exemplo,
Add-AzLogEventDestination -Name <QRadar_Console_name> -SyslogServer
<IP_address> -SyslogPort <port_number> -SyslogFormat LEEF
c. Execute o comando: .\azlog.exe createazureid e digite as suas credenciais de login do Azure no
prompt.
d. Para designar um acesso de leitor na assinatura, digite o seguinte comando: .\azlog authorize
<Subscription_ID>

Configurando o Microsoft Azure Event Hubs para se comunicar com o

QRadar
O protocolo Microsoft Azure Event Hubs coleta logs de Atividade do Azure, Logs de diagnóstico e
eventos Syslog do armazenamento em nuvem Microsoft Azure Event Hubs.

Antes de Iniciar

Para coletar eventos do Microsoft Azure Event Hubs, é necessário criar uma Conta de armazenamento do
Microsoft Azure e uma entidade de Hub de evento sob o Namespace do Azure Event Hub. Para cada
Namespace, a porta 5671 e a porta 5672 devem ser abertas. Para cada Conta de armazenamento, a porta
443 deve ser aberta. O host do Namespace geralmente é [Namespace Name].servicebus.windows.net e o
nome de host da Conta de armazenamento geralmente é

730 Guia de configuração do QRadar DSM

[Storage_Account_Name].blob.core.windows.net. O Hub de evento deve ter pelo menos uma Assinatura
de acesso compartilhado que é criada com a Política de tendimento e pelo menos um Grupo de
consumidores.

Nota: O protocolo Microsoft Azure Event Hubs não pode se conectar usando um servidor proxy.

Importante: Os nomes de Event Hub devem iniciar com uma letra ou número e conter somente letras,
números e o caractere de traço (-). Cada caractere de traço (-) deve ser precedido e seguido
imediatamente por uma letra ou um número. Não use traços consecutivos. Todas as letras devem estar
em minúscula. O nome deve ter de 3 - 63 caracteres.

Procedimento
1. Obtenha uma sequência de conexões da conta de armazenamento do Microsoft Azure.
A Sequência de conexão da conta de armazenamento contém autenticação para o Nome da conta de
armazenamento e a Chave de conta de armazenamento que é usada para acessar os dados na conta
de armazenamento do Azure.
a. Efetue login no Azure Portal . (https://portal.azure.com)
b. No painel, na seção Todos os recursos, selecione uma Conta de armazenamento.
c. No menu Conta de armazenamento, selecione Chaves de acesso.
d. Registre o valor para o Nome da conta de armazenamento. Use esse valor para o valor do
parâmetro Storage Account Name quando você configurar uma origem de log no QRadar.
e. Na seção chave 1 ou chave 2, registre os valores a seguir.
v Key - use esse valor para o valor de parâmetro Storage Account Key ao configurar uma origem
de log no QRadar.
v Sequência de conexões - use esse valor para o valor de parâmetro Storage Account Connection
String ao configurar uma origem de log no QRadar.

Exemplo:
DefaultEndpointsProtocol=https;AccountName=[Storage Account Name]
;AccountKey=[Storage Account Key];EndpointSuffix=[EndpointSuffix]

A maioria das contas de armazenamento usa core.window.net para o sufixo de terminal, mas
esse valor pode mudar dependendo de seu local. Por exemplo, uma conta de armazenamento
relacionada ao governo pode ter um valor de sufixo de terminal diferente.

Nota: É possível usar os valores Nome da conta de armazenamento e Chave dacConta de

armazenamento ou é possível usar o valor de Sequência de conexões da conta de
armazenamento para se conectar à Conta de armazenamento.
2. Obtenha uma Sequência de conexões do Microsoft Azure Event Hub.
A Sequência de conexão do Hub de evento contém o Nome do namespace, o caminho para o Hub de
evento dentro do namespace e as informações de autenticação de Shared Access Signature (SAS).
a. Efetue login no Portal do Azure (https://portal.azure.com).
b. No painel, na seção Todos os recursos, selecione um Namespace de Event Hubs. Registre esse
valor a ser usado como o valor de parâmetro Namespace Name ao configurar uma origem de log no
QRadar.
c. Na seção Entidades, selecione Hubs de eventos. Registre esse valor a ser usado para o valor de
parâmetro Event Hub Name ao configurar uma origem de log no QRadar.
d. Na seção Instância do Event Hubs, selecione um Event Hub na lista.
e. Na seção Configurações, selecione Políticas de acesso compartilhado.
1) Selecione uma POLICY que contenha um Listen CLAIMS. Registre esse valor a ser usado para
o valor de parâmetro SAS Key Name ao configurar uma origem de log no QRadar.

96 Microsoft 731
2) Registre os valores para os parâmetros a seguir:
v Chave primária ou Chave secundária - Use o valor para o valor do parâmetro SAS Key ao
configurar uma origem de log no QRadar.
v Sequência de conexões - chave primária ou Sequência de conexões - chave secundária -
Use esse valor para o valor de parâmetro Event Hub Connection String ao configurar uma
origem de log no QRadar.

Exemplo:
Endpoint=sb:// [ Namespace Name ] .servicebus.windows.net
/;SharedAccessKeyName=[SAS Key Name];SharedAccessKey=[SAS Key];
EntityPath = [ Event Hub Name ]

Nota: É possível usar os valores de Nome do namespace, Nome do hub de evento, Nome
da chave SAS e Chave SAS ou é possível usar o valor Sequência de conexão do hub de
evento para se conectar ao Hub de evento.
3. Na seção Entidades, selecione Grupos de consumidores. Registre o valor a ser usado para o valor do
parâmetro Consumer Group quando você configurar uma origem de log no QRadar.

Configurando o QRadar para coletar eventos do Microsoft Azure Event

Hubs
Para coletar eventos do Microsoft Azure Event Hubs usando o protocolo do Microsoft Azure Event Hubs,
deve-se configurar manualmente uma origem de log porque o IBM QRadar não detecta automaticamente
essas origens de log.

Antes de Iniciar

Os RPMs estarão disponíveis para download por meio do website de suporte IBM (http://
www.ibm.com/support). Faça download e instale a versão mais recente dos RPMs a seguir em seu
QRadar Console:
v Protocol Common RPM
v Microsoft RPM do Azure Event Hubs Protocol

Nota: A Correção 7 do QRadar 7.2.8 e mais recente é necessária para o Microsoft Azure Event Hubs
Protocol RPM.

Procedimento
1. Na guia Administrador, clique em Origens de dados > Origens de log e, em seguida, clique em
Incluir.
2. Na lista Tipo de origem de log, selecione Microsoft Azure.
3. Na lista Configuração de protocolo, selecione Microsoft Azure Event Hubs.
4. Use a tabela a seguir para ajudar a configurar estes parâmetros:

Nota: Muitos parâmetros na tabela a seguir são obtidos no “Configurando o Microsoft Azure Event
Hubs para se comunicar com o QRadar” na página 730.
Tabela 417. Configurando uma origem de log no Microsoft Azure Event Hubs
Parâmetro Descrição
Identificador de Fonte de Log Um nome ou endereço IP identificável para a origem de
log. Quando o campo Usar como origem de log de
gateway é selecionado, o valor Identificador de origem
de log não é usado.

732 Guia de configuração do QRadar DSM

Tabela 417. Configurando uma origem de log no Microsoft Azure Event Hubs (continuação)
Parâmetro Descrição
Usar como origem de log de gateway Os eventos coletados passam pelo componente Análise
de tráfego, que detecta automaticamente a origem de log
ou origens de log apropriadas.
Usar Sequência de Conexão do Hub de Evento Desmarque essa caixa de seleção para inserir
manualmente a Sequência de conexão do hub de
evento, Nome do namespace, Nome do hub de evento,
Nome do SAS e Chave SAS.
Sequência de conexões do Hub de evento Essa opção estará disponível somente se Usar sequência
de conexões do hub de evento estiver ativado. Insira a
Sequência de conexão-chave primária .
Nome do Espaço de Nomes Disponível se a caixa de seleção Usar sequência de
conexões do hub de evento estiver limpa.
Nome do Hub de Evento Disponível se a caixa de seleção Usar sequência de
conexões do hub de evento estiver limpa.
Nome da Chave SAS Disponível se a caixa de seleção Usar sequência de
conexões do hub de evento estiver limpa.
Chave de SAS Disponível se a caixa de seleção Usar sequência de
conexões do hub de evento estiver limpa. Insira a Chave
primária .
Grupo de Consumidor A visualização que é usada durante a conexão.
Usar Sequência de Conexão da Conta de Desmarque essa caixa de seleção para inserir
Armazenamento manualmente o Nome de conta de armazenamento e a
Chave de conta de armazenamento.
Sequência de conexões de conta de armazenamento Disponível se a caixa de seleção Usar sequência de
conexão da conta de armazenamento estiver ativada.
Insira o CONNECTION STRING .
Nome da Conta de Armazenamento Disponível se a caixa de seleção Usar sequência de
conexões da conta de armazenamento estiver
desmarcada.
Chave de Conta de Armazenamento Disponível se a caixa de seleção Usar sequência de
conexões da conta de armazenamento estiver
desmarcada.
Adquirir automaticamente certificados do servidor Se você selecionar Sim na lista, o QRadar fará download
automaticamente do certificado e começará a confiar no
servidor de destino.
Regulador de EPS O número máximo de eventos que o Protocolo do
Microsoft Azure Event Hubs encaminha por segundo.

100 EPS é o valor mínimo.

10.000 EPS é o valor máximo.

5. Clique em Salvar.
6. Na guia Administrador, clique em Implementar mudanças.

O que Fazer Depois

Para obter mais informações sobre como configurar o QRadar para coletar eventos do Microsoft Azure
Event Hubs, assista ao vídeo Configuring QRadar Log Source to collect events from QRadar
(https://www.youtube.com/watch?v=SylTklpn2ko&feature=youtu.be).

96 Microsoft 733
Especificações do Microsoft Azure DSM
A tabela a seguir descreve as especificações para o Microsoft Azure DSM.
Tabela 418. Especificações do Microsoft Azure DSM
Especificação Valor
Fabricante Microsoft
Nome do DSM Microsoft Azure
Nome do arquivo RPM DSM-MicrosoftAzure-QRadar_version-
build_number.noarch.rpm
Versões suportadas N/A
Protocolo Syslog

Microsoft Azure Event Hubs

Formato de evento LEEF

JSON
Tipos de eventos registrados Logs de fluxo do Network Security Group (NSG), Logs
do Network Security Group (NSG), Autorização, Cálculo
clássico, Armazenamento clássico, Cálculo, Insights,
KeyVault, SQL, Armazenamento, Automação, Cache,
CDN, Dispositivos, Hub de evento, HDInsight, Serviços
de recuperação, AppService, Lote, Mapas Bing, Registro
de certificado, Serviços cognitivos, Serviço de contêiner,
Moderador de conteúdo, Catálogo de dados, Factory de
dados, Data Lake Analytics, Data Lake Store, Registro de
domínio, Dynamics LCS, Recursos, Lógica, Mídia, Hubs
de notificação, Procura, Barramento de serviço, Suporte,
Web, Planejador, Recursos, Funcionamento do recurso,
Insights de operação, Solicitação de mercado de trabalho,
Gerenciamento de API, Serviço de funcionamento híbrido
AD, Gerenciamento de servidor
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Microsoft Página de informações do Azure (https:
//azure.microsoft.com/en-us/services/event-hubs)

Microsoft Azure Portal (https: //portal.azure.com)

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

As tabelas a seguir fornecem mensagens de eventos de amostra para o Microsoft Azure DSM:

734 Guia de configuração do QRadar DSM

Tabela 419. Mensagem de Syslog de Amostra do Microsoft Azure
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Reinicia máquinas Tentativa de Iniciar LEEF:1.0|Microsoft|Azure
virtuais. Atividade Resource Manager|1.0|
MICROSOFT.CLASSICCOMPUTE
/VIRTUALMACHINES/RESTART/
ACTION|devTime=Jun 07 2016
17:04:26 devTimeFormat
=MMM dd yyyy HH:mm:ss
cat=Compute src=
<IP_address> usrName
= [email protected]
sev=4 resource=
testvm resourceGroup=Test
Grupo de Recursos
descrição
=Restart a Virtual Machine

96 Microsoft 735
Tabela 420. Mensagens de evento de amostra do Microsoft Azure Event Hubs
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Retorna as chaves de Tentativa de Ler Atividade "{
acesso para a conta de "2017-09-14T11:47:36.1987564Z", " res
armazenamento ourceId ":" /SUBSCRIPTIONS//RESOURCE
especificada GROUPS//PROVIDERS/MICROSOFT.STORAGE
/STORAGEACCOUNTS/ ", "operationName"
: "MICROSOFT.STORAGE/STORAGEACCOUNT
S/LISTKEYS / ACTION ", "category": " Ac
tion "," resultType ":" Start "," resu
ltSignature ":" Started. ", " duration
Ms": 0, "callerIpAddress": "<IP_address>
"," correlationId ":" "," identity ":
{
ptions / /resourceGroups//providers / Mi
crosoft.Storage/storageAccounts / ","a
ction":"Microsoft.Storage/storageAcc
ounts / listKeys/action ", "evidência": {
role ":" Insights Management Service Ro
le "," roleAssignmentScope " :" /subscript
ions / ", "roleAssignmentId": "", "roleDef
initionId ":" "," principalId ":" "," princ
ipalType ":" ServicePrincipal "} },"
s ":{
om/" ,"iss " :"https://sts.windows.net / /
"," iat ":" "," nbf ":" "," exp ":" "," aio ":" =
=","appid":"","appidacr":"2","e_exp":
"262800", " http://schemas.microsoft.co
m/identity/claims/identityprovider ":"
https://sts.windows.net//" ,"http://sc
hemas.microsoft.com/identity/claims/o
bjectidentifier ":" "," http://schemas.x
mlsoap.org/ws/2005/05/identity/claims
/nameidentifier " :" ","http://schemas.m
icrosoft.com/identity/claims/tenantid
":" "," uti ": "xxxxxx__xxxxxxxxxxxxxx",
"ver":"1.0"}}, "level": "Information"
, "location": "global"},{ "time": "20
17-09-14T11:47:36.3237658Z "," resource
ID ":" /SUBSCRIPTIONS//RESOURCEGROUPS/
/PROVIDERS/MICROSOFT.STORAGE/STORAGEA
CCOUNTS/ ", "operationName": " MICROSOF
T.STORAGE/STORAGEACCOUNTS/LISTKEYS/AC
TION "," category ":" Action "," resultT
ype ":" Sucesso "," resultSignature ":"
Succeeded.OK", "durationMs": 125, " ca
llerIpAddress ":" <IP_address> "," correlati
onId": "", "identity": {"authorizatio
n ": {
Groups//providers/Microsoft.Storage/
storageAccounts/ ", "action": " Microsoft
.ArmazenamentoConta/storageAccounts/listKeys/act
ion "," evidência ": {
Role Service Role "," roleAssignment
Escopo ":" /subscriptions/", "roleAssignm
entId ":" "," roleDefinitionId ":" "," prin
cipalId ":" "," principalType ":" ServiceP
rincipal"}},"claims":{"aud":"https:/
/management.azure.com/", "iss": " https:
// sts.windows.net/xxxxxxxx-xxxx-xxxx
-xxxx-xxxxxxxxxxxx/ ", "iat": "150538935
6 "," nbf ":" 1505389356 "," exp ":" 15053932
56 "," aio ":" Y2VgYBBQEA5y0vTd4PVnSpSp9q
VwAA == "," appid ":" "," appidacr ":" 2 "," e_
exp ":" 262800 "," http://schemas.microso

736 Guia de configuração do QRadar DSM

Tabela 420. Mensagens de evento de amostra do Microsoft Azure Event Hubs (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Retorna as chaves de ft.com/identity/claims/identityprovid
acesso para a conta de er ":" https: //sts.windows.net / /" ,"http
armazenamento ://schemas.microsoft.com/identity/cla
especificada ims / objectidentifier ":" ", "http://sche
(Continuação) mas.xmlsoap.org/ws/2005/05/identity/c
laims / nameidentifier ":" ", "http://sch
mas.microsoft.com/identity/claims/ten
antid ":" "," uti ": "xxxxxx__xxxxxxxxxxxx
xx ","ver": "1.0 "} }," level ":" Informat
ion "," location ":" global "," properti
es ": {
stId ":" } } ] } "
SecretGet Tentativa de Ler Atividade "{2}{0}{1}{6}-03-02T
04 :31:28.6127743Z "," resourceId ":" /SUBSCR
IPTIONS//RESOURCEGROUPS//PROVIDERS/MICROS
OFT.KEYVAULT/VAULTS/AZLOGTEST " ,"operação
Name ":" SecretGet "," operationVersion ":" 2
015 -06-01 "," category ":" AuditEvent "," resu
ltType ":" Success "," resultSignature ":" OK "
, "resultDescription": "", "durationMs": " 18
7 "," callerIpAddress ":" "," correlationId ":
"","identity": {"claim": {"http://schemas.
microsoft.com/identity/claims/objectidenti
fier ":" "," appid ":" ", " http://schemas.xmls
oap.org/ws/2005/05/identity/claims/upn ":
"" } }, "properties": { },
"properties": {, "properties": {
estUri ":" "," id ": "https: //.vault.azure.ne
t/secrets/testsecret/ ", "httpStatusCode":
200 } } } ] } "
Senha com Falha Login de SSH com Falha "{"time": "2017-05-11T21:58:37
.0000000Z "," resourceId ":" /subscriptions//
resourceGroups//providers/Microsoft.Comput
e / virtualMachines/ ", "properties": {
: "", "ident": "sshd", "pid": "", "Ignore":
"syslog", "Facility": "auth", "Severity"
: "info", "EventTime": " 2017-05-11T21:58
: 37 + 0000 "," SendingHost ":" "," Msg ":" Fai
led password for root from <IP_address>
port 1111 ssh2 "," hostname ":" "," Fluent
dIngest Timestamp ":" 2017-05-11T21:58
:37Z"},"category": "auth","level":
"info" } "

Microsoft DHCP Server

O Microsoft DHCP Server DSM for IBM QRadar aceita eventos DHCP usando o protocolo do Microsoft
DHCP Server ou WinCollect.

Sobre Esta Tarefa

Para poder integrar o Microsoft DHCP Server com o QRadar, deve-se ativar a criação de log de auditoria.

Para configurar o Microsoft DHCP Server:

Procedimento
1. Efetue login no DHCP Server Administration Tool.

96 Microsoft 737
2. No DHCP Administration Tool, clique com o botão direito no servidor DHCP e selecione
Propriedades.
A janela Propriedades é exibida.
3. Clique na guia Geral.
A área de janela Geral é exibida.
4. Clique em Ativar criação de log de auditoria DHCP.
O arquivo de log de auditoria é criado à meia-noite e deve conter uma abreviação de dia da semana
com três caracteres.
Tabela 421. Exemplos de arquivos de log do Microsoft DHCP
Tipo de log Exemplo
IPv4 DhcpSrvLog-Mon.log
IPv6 DhcpV6SrvLog-Wed.log

Por padrão, o Microsoft DHCP é configurado para gravar logs de auditoria no diretório
%WINDIR%\system32\dhcp\.
5. Reinicie o serviço DHCP.
6. Agora é possível configurar a origem de log e o protocolo no QRadar.
a. Para configurar o QRadar para receber eventos de um Microsoft DHCP Server, deve-se selecionar
a opção Microsoft DHCP Server na lista Tipo de origem de log .
b. Para configurar o protocolo, deve-se selecionar a opção Microsoft DHCP na lista Configuração de
protocolo.

Nota: Para integrar o Microsoft DHCP Server, versões 2000/2003, com o QRadar usando o
WinCollect, consulte o Guia do Usuário do IBM QRadar WinCollect.
Conceitos relacionados:
“Opções de configuração de protocolo Microsoft DHCP” na página 58
Para receber eventos dos servidores Microsoft DHCP, configure uma fonte de log para usar o protocolo
Microsoft DHCP.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Microsoft DNS Debug

O IBM QRadar DSM for Microsoft DNS Debug coleta eventos de um sistema Microsoft Windows.

Nota:

A tabela a seguir descreve as especificações para o Microsoft DNS Debug DSM:

Tabela 422. Especificações de Microsoft DNS Debug DSM
Especificação Valor
Fabricante Microsoft
Nome do DSM Microsoft DNS Debug
Nome do arquivo RPM DSM-MicrosoftDNS-QRadar_version-
build_number.noarch.rpm

738 Guia de configuração do QRadar DSM

Tabela 422. Especificações de Microsoft DNS Debug DSM (continuação)
Especificação Valor
Versões Suportadas Windows Server 2008 R2

Windows Server 2012 R2

Windows Server 2016

Protocolo WinCollect Microsoft DNS Debug
Formato de evento LEEF
Tipos de eventos registrados Todos os eventos de rede operacionais e de configuração.
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais http://www.microsoft.com

Para integrar o Microsoft DNS Debug ao QRadar, conclua as seguintes etapas:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos seguintes arquivos na ordem em que eles são listados no QRadar Console:
v Arquivo .sfs do WinCollect
v RPM DSMCommon
v Microsoft DNS Debug RPM
2. Configure o WinCollect para encaminhar eventos do Microsoft DNS Debug ao QRadar. Para obter
mais informações, acesse Origens de log para agentes WinCollect no Guia do Usuário do IBM QRadar
WinCollect. (https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.8/com.ibm.wincollect.doc/
c_ug_wincollect_log_sources.html).
3. Se o QRadar não detectar a origem de log automaticamente, inclua uma origem de log do Microsoft
DNS Debug no QRadar Console.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Ativando a depuração do DNS no Windows Server

Ative a depuração de DNS no Windows Server para coletar informações que o servidor DNS envia e
recebe.

Antes de Iniciar

A função DNS deve ser instalada no Windows Server.

Importante: A criação de log de depuração do DNS pode afetar o desempenho do sistema e o espaço
em disco, porque ela fornece dados detalhados sobre informações que o servidor DNS envia e recebe.
Ative a criação de log de depuração de DNS apenas quando você precisar dessas informações.

96 Microsoft 739
Procedimento
1. Abra o DNS Manager com o comando a seguir:
dnsmgmt.msc
2. Clique com o botão direito no servidor DNS e clique em Propriedades.
3. Clique na guia Criação de log de depuração.
4. Selecione Log packets for debugging.
5. Digite o File path and name e Maximum size.

Importante: O File path and name é necessário para alinhar com o Root Directory e o File Pattern
que você forneceu quando a origem de log de depuração de DNS do Microsoft foi criada no QRadar .
6. Clique em Aplicar e OK.

Microsoft Endpoint Protection

O Microsoft Endpoint Protection DSM for IBM QRadar coleta eventos de detecção de malware.

O QRadar coleta eventos de detecção de malware usando o protocolo JDBC. A inclusão de eventos de
detecção de malware no QRadar fornece a capacidade de monitorar e detectar computadores infectados
com malware em sua implementação.

Eventos de detecção de malware incluem os tipos de eventos a seguir:

v Nome do site e a origem da qual o malware foi detectado.
v Nome da ameaça, ID da ameaça e severidade.
v ID do usuário associado à ameaça.
v Tipo de evento, registro de data e hora, bem como a ação de limpeza que é tomada com relação ao
malware.

Visão geral da configuração

O DSM Microsoft Endpoint Protection usa JDBC para pesquisar um banco de dados SQL em busca de
dados do evento de detecção de malware. Esse DSM não é descoberto automaticamente. Para integrar o
Microsoft Endpoint Protection ao QRadar, execute as etapas a seguir:
1. Se o seu banco de dados não estiver configurado com Consulta predefinida, crie uma visualização de
banco de dados SQL para o QRadar com os dados do evento de detecção de malware.
2. Configure uma origem de log JDBC para pesquisar eventos do banco de dados Microsoft Endpoint
Protection.
3. Assegure-se de que nenhuma regra de firewall esteja bloqueando a comunicação entre o QRadar e o
banco de dados que está associado ao Microsoft Endpoint Protection.

Configurando uma origem de log Endpoint Protection para consultas

predefinidas do banco de dados
Os administradores que não têm permissão para criar uma visualização de banco de dados devido a
restrições de política podem coletar eventos do Microsoft Endpoint Protection com uma origem de log
que usa consultas predefinidas.

Sobre Esta Tarefa

Consultas predefinidas são instruções customizadas que podem associar dados de tabelas separadas
quando o banco de dados é pesquisado pelo protocolo JDBC. Para pesquisar com êxito dados de
auditoria do banco de dados do Microsoft Endpoint Protection, crie um novo usuário ou forneça à
origem de log as credenciais do usuário existentes. Para obter mais informações sobre como criar uma
conta de usuário, consulte o Website da Microsoft (https://www.microsoft.com).

740 Guia de configuração do QRadar DSM

Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
3. Clique no ícone Origens de Log.
4. Clique em Incluir origem do log.
5. No campo Nome da origem de log, digite um nome para a origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione Microsoft Endpoint Protection.
8. Na lista Configuração de protocolo, selecione JDBC.
9. Configure os valores a seguir:
Tabela 423. Parâmetros JDBC do Microsoft Endpoint Protection
Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<Database>@<Database Server IP or Host Name>

Em que:
v <Database> é o nome do banco de dados, conforme inserido no parâmetro Nome
do banco de dados.
v <Database Server IP or Host Name> é o nome do host ou endereço IP para essa
origem de log, conforme inserido no parâmetro IP ou nome do host.
Tipo de banco de dados Na lista, selecione MSDE.
Nome do banco de dados Digite o nome do banco de dados Microsoft Endpoint Protection.
IP ou nome do host Digite o endereço IP ou o nome do host do Microsoft Endpoint Protection SQL Server.
Porta Digite o número da porta que é usado pelo servidor de banco de dados. A porta
padrão para o MSDE é 1433.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados do Microsoft Endpoint Protection. O banco de dados do Microsoft Endpoint
Protection deve ter conexões TCP recebidas que estejam ativadas para se comunicar
com o QRadar.

Se você definir uma Instância de banco de dados quando MSDE for usado como o
tipo de banco de dados, deverá deixar o parâmetro Porta em branco na configuração.
Nome do usuário Digite o nome do usuário que a origem de log pode usar para acessar o banco de
dados do Microsoft Endpoint Protection.
Senha Digite a senha que a origem de log pode usar para acessar o banco de dados do
Microsoft Endpoint Protection.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha Confirme a senha que é usada para acessar o banco de dados. A senha de
confirmação deve ser idêntica à senha inserida no campo Senha.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows Authentication, o campo Domínio de autenticação deverá
ser preenchido. Caso contrário, deixe este campo em branco.
Instância de banco de Se você tiver várias instâncias do SQL server em seu servidor de banco de dados,
dados digite a instância de banco de dados.

96 Microsoft 741
Tabela 423. Parâmetros JDBC do Microsoft Endpoint Protection (continuação)
Parâmetro Descrição
Consulta predefinida Na lista, selecione Microsoft Endpoint Protection.
Usar Instruções Preparadas Selecione a caixa de seleção Usar instruções preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez, em seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, é sugerido que você
use as instruções preparadas.

Limpar esta caixa de seleção requer que você use um método alternativo de consulta
que não use instruções pré-compiladas.
Data e Horário de Início Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

O parâmetro Data e hora de início deve ser formatado como aaaa-MM-dd HH: mm,
com HH especificado usando um relógio de 24 horas. Se a data ou hora de início for
limpa, a pesquisa começa imediatamente e repete no intervalo de pesquisa
especificado.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é o tempo entre as consultas à visualização criada.
O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Os valores numéricos que são inseridos sem uma pesquisa de H ou
M em segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O valor padrão é 20000 EPS.
Usar comunicação de canal Se você estiver usando a autenticação do Windows, ative esse parâmetro para
nomeado permitir a autenticação para o servidor AD. Se você estiver usando a autenticação
SQL, desative a comunicação de canal nomeado.
Nome do cluster do banco Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
de dados parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.
Usar NTLMv2 Marque a caixa de seleção Usar NTLMv2.

Essa opção força as conexões MSDE a usarem o protocolo NTLMv2 quando elas se
comunicam com servidores SQL que requerem autenticação NTLMv2. O valor padrão
da caixa de seleção é selecionado.

Se a caixa de seleção Usar NTLMv2 for selecionada, ela não terá efeito sobre as
conexões MSDE com SQL servers que não requererem autenticação NTLMv2.
Usar SSL Se a sua conexão suportar a comunicação de SSL, selecione Usar SSL. Essa opção
requer configuração extra em seu banco de dados do Endpoint Protection e também
requer que os administradores configurem os certificados em ambos os dispositivos.

Nota: Selecionar um valor de parâmetro maior que 5 para o parâmetro Credibility ponderará a
origem de log do Microsoft Endpoint Protection com uma importância maior que é comparada com
outras origens de log no QRadar.
10. Clique em Salvar.
11. Na guia Administrador, clique em Implementar mudanças.

742 Guia de configuração do QRadar DSM

Microsoft Exchange Server
O DSM do IBM QRadar para o Microsoft Exchange Server coleta eventos do Exchange pesquisando
arquivos de log de eventos.

A tabela a seguir identifica as especificações para o DSM Microsoft Exchange Server:

Tabela 424. Microsoft Exchange Server
Especificação Valor
Fabricante Microsoft
Nome do DSM Servidor Exchange
Nome do arquivo RPM DSM-MicrosoftExchange-QRadar_version-
build_number.noarch.rpm
Versões suportadas
Microsoft Exchange 2003

Microsoft Exchange 2007

Microsoft Exchange 2010

Microsoft Exchange 2013

Microsoft Exchange 2016

Tipo de Protocolo
WinCollect para o Microsoft Exchange 2003

O protocolo do Microsoft Exchange para o Microsoft

Exchange 2007, 2010, 2013 e 2016.
Tipos de evento registrado do QRadar
Eventos do Outlook Web Access (OWA)

Eventos do Simple Mail Transfer Protocol (SMTP)

Eventos do Message Tracking Protocol (MSGTRK)

Descobertos automaticamente? Não
Identidade incluída? Não
Informações adicionais website da Microsoft (http://www.microsoft.com)

Para integrar o Microsoft Exchange Server com o QRadar, use as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download da versão mais recente do RPM
do DSM Microsoft Exchange Server.
2. Configure seu dispositivo do DSM Microsoft Exchange Server para permitir a comunicação com o
QRadar.
3. Crie uma origem de log do DSM Microsoft Exchange Server no QRadar Console.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

96 Microsoft 743
Configurando o servidor Microsoft Exchange para se comunicar com o
QRadar
Antes de Iniciar

Assegure-se de que os firewalls que estão localizados entre o Exchange Server e o host remoto permitam
tráfego nas portas a seguir:
v Porta TCP 135 para Microsoft Endpoint Mapper.
v Porta UDP 137 para o serviço de nomes NetBIOS.
v Porta UDP 138 para o serviço de datagrama NetBIOS.
v Porta TCP 139 para o serviço de sessão NetBIOS.
v Porta TCP 445 para o Microsoft Directory Services transferir arquivos em um compartilhamento do
Windows.

Procedimento
1. Configure logs do OWA.
2. Configure logs SMTP.
3. Configure logs MSGTRK.

Configurando logs do OWA em seu servidor Microsoft Exchange

Para preparar o servidor Microsoft Exchange para se comunicar com o IBM QRadar, configure os logs de
origem do Outlook Web Access (OWA).

Procedimento
1. Efetue login no Gerenciador do Microsoft Internet Information System (IIS).
2. No desktop, selecione Início > Executar.
3. Digite o seguinte comando:
inetmgr
4. Clique em OK.
5. Na árvore de menu, expanda Computador local.
6. Se você usar o Gerenciador IIS 6.0 para o Microsoft Server 2003, conclua as seguintes etapas
a. Expanda Websites.
b. Clique com o botão direito Website padrão e selecione Propriedades.
c. Na lista Formato de log ativo, selecione W3C.
d. Clique em Propriedades.
e. Clique na guia Avançado.
f. Na lista de propriedades, marque as caixas de seleção Método (cs-method) e Versão de protocolo
(cs-version)
g. Clique em OK.
7. Se você usar o Gerenciador IIS 7.0 para o Microsoft Server 2008 R2 ou o IIS 8.5 para o Microsoft
Server 2012 R2, conclua as etapas a seguir:
a. Clique em Criação de log.
b. Na lista Formato, selecione W3C.
c. Clique em Selecionar campos.
d. Na lista de propriedades, marque as caixas de seleção Método (cs-method) e Versão de protocolo
(cs-version)
e. Clique em OK.

744 Guia de configuração do QRadar DSM

Ativando os logs SMTP em seu servidor Microsoft Exchange 2003, 2007 e 2010
Para preparar seu servidor Microsoft Exchange 2003, 2007 e 2010 para se comunicar com o IBM QRadar,
ative os logs de evento do SMTP.

Procedimento
1. Inicie o Exchange Management Console.
2. Para configurar o conector de recebimento, escolha uma das opções a seguir:
v Para servidores de transporte de borda, selecione Transporte de borda na árvore do console e
clique na guia Conectores de recebimento.
v Para servidores Hub Transport, selecione Configuração do servidor > Hub Transport na árvore do
console, selecione o servidor e, em seguida, clique na guia Conectores de recebimento.
3. Selecione seu conector de recebimento e clique em Propriedades.
4. Clique na guia Geral.
5. Na lista Nível de criação de log do protocolo, selecione Detalhado.
6. Clique em Aplicar.
7. Clique em OK.
8. Para configurar o conector de envio, escolha uma das opções a seguir:
v Para servidores de transporte de borda, selecione Transporte de borda na árvore do console e
clique na guia Conectores de envio.
v Para servidores Hub Transport, selecione Configuração da organização > Hub Transport na
árvore do console, selecione seu servidor e, em seguida, clique na guia Conectores de envio.
9. Selecione o conector de envio e clique em Propriedades.
10. Clique na guia Geral.
11. Na lista Nível de criação de log do protocolo, selecione Detalhado.
12. Clique em Aplicar.
13. Clique em OK.

Ativando os logs SMTP em seu Microsoft Exchange Server 2013 e 2016

Para preparar seu Microsoft Exchange Server 2013 e 2016 para se comunicar com o IBM QRadar, ative os
logs de evento SMTP.

Procedimento
1. Inicie o Exchange Administration Center.
2. Para configurar seu conector de recebimento, selecione Fluxo de e-mail > Conectores de recebimento.
3. Selecione o conector de recebimento e clique em Editar.
4. Clique na guia Geral.
5. Na lista Nível de criação de log do protocolo, selecione Detalhado.
6. Clique em Salvar.
7. Para configurar seu conector de envio, selecione Fluxo de e-mail > Conectores de envio
8. Selecione o conector de envio e clique em Editar.
9. Clique na guia Geral.
10. Na lista Nível de criação de log do protocolo, selecione Detalhado.
11. Clique em Salvar.

Configurando logs MSGTRK para o Microsoft Exchange 2003, 2007 e 2010

Os logs de Rastreamento de Mensagens criados pelo servidor Microsoft Exchange detalham a atividade
de mensagem que ocorre em seu servidor Microsoft Exchange, incluindo as informações do caminho da
mensagem.

96 Microsoft 745
Sobre Esta Tarefa

Os logs MSGTRK são ativados por padrão nas instalações do Microsoft Exchange 2007 ou Exchange 2010.
As etapas de configuração a seguir são opcionais.

Para ativar os logs de eventos MSGTRK:

Procedimento
1. Inicie o Exchange Management Console.
2. Configure o conector de recebimento com base no tipo de servidor:
v Para servidores de transporte de borda – Na árvore do console, selecione Transporte de borda e
clique em Propriedades.
v Para servidores Hub Transport - Na árvore do console, selecione Configuração do servidor > Hub
Transport e, em seguida, selecione o servidor e clique em Propriedades.
3. Clique na guia Configurações de log .
4. Marque a caixa de seleção Ativar rastreamento de mensagens.
5. Clique em Aplicar.
6. Clique em OK.
Os eventos MSGTRK agora estão ativados no servidor Exchange.

Configurando os logs MSGTRK para o Exchange 2013 e 2016

Os logs de Rastreamento de Mensagens criados pelo Microsoft Exchange Server detalham a atividade de
mensagem que ocorre no servidor Exchange, incluindo as informações de caminho da mensagem.

Procedimento
1. Inicie o Exchange Administration Center.
2. Clique em Servidores > Servidores.
3. Selecione o servidor de caixa de correio que deseja configurar e, em seguida, clique em Editar.
4. Clique em Logs de transporte.
5. Na seção Log de rastreamento de mensagem, configure os parâmetros a seguir:

Parâmetro Descrição
Ativar log de rastreamento de mensagem Ative ou desative o rastreamento de mensagem no
servidor.
Caminho de log de rastreamento de mensagem O valor que é especificado deve estar no servidor
Exchange local. Se a pasta não existir, ela será criada ao
clicar em Salvar.

6. Clique em Salvar.

Configurando uma origem de log para o Microsoft Exchange

O IBM QRadar não descobre automaticamente os eventos do Microsoft Exchange. Para integrar os dados
de eventos do Microsoft Exchange, deve-se criar uma origem de log para cada instância da qual você
deseja coletar logs de eventos.

Antes de Iniciar

Se um caminho de pasta de log no Exchange Server contiver um compartilhamento administrativo (C$),

assegure-se de que os usuários com acesso NetBIOS tenham permissões de administrador local ou de
domínio.

746 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

Os campos de caminho de pasta para OWA, SNMP e MSGTRK definem o caminho de arquivo padrão
com uma letra de unidade e informações de caminho. Se você mudou o local dos arquivos de log no
Microsoft Exchange Server, certifique-se de fornecer os caminhos de arquivo corretos na configuração de
origem de log. O Microsoft Exchange Protocol pode ler os subdiretórios das pastas OWA, SMTP e
MSGTRK para logs de eventos.

Os caminhos de diretório podem ser especificados nos formatos a seguir:

v Correto - c$/LogFiles/
v Correto - LogFiles/
v Incorreto - c:/LogFiles
v Incorreto - c$\LogFiles

Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
3. Clique no ícone Origens de Log.
4. No campo Nome da origem de log, digite um nome para a origem de log.
5. No campo Descrição de origem de log , digite uma descrição para a origem de log.
6. Na lista Tipo de origem de log, selecione Servidor Microsoft Exchange.
7. Na lista Configuração de protocolo, selecione Microsoft Exchange.
8. Configure os parâmetros da origem de log.

Saiba mais sobre os parâmetros da origem de log do Microsoft Exchange:

Parâmetro Descrição
Identificador de Fonte de Log O endereço IP ou o nome do host para identificar a
origem de eventos do Windows Exchange na interface
com o usuário do QRadar.
Endereço do Servidor O endereço IP do servidor Microsoft Exchange.
Caminho de Pasta do Log do SMTP O caminho do diretório para acessar os arquivos de log
SMTP. Use um dos caminhos de diretório a seguir:
v Para Microsoft Exchange 2003, use c$/Program
Files/Microsoft/Exchange Server/TransportRoles/
Logs/ProtocolLog/ .
v Para Microsoft Exchange 2007, use c$/Program
Files/Microsoft/Exchange Server/TransportRoles/
Logs/ProtocolLog/.
v Para Microsoft Exchange 2010, use c$/Program
Files/Microsoft/Exchange Server/V14/
TransportRoles/Logs/ProtocolLog/.
v Para o Microsoft Exchange 2013, use c$/Program
Files/Microsoft/Exchange Server/V15/
TransportRoles/Logs/ProtocolLog/.
v Para o Microsoft Exchange 2016, use c$/Program
Files/Microsoft/Exchange Server/V15/
TransportRoles/Logs/ProtocolLog/.

96 Microsoft 747
Parâmetro Descrição
Caminho de Pasta do Log do OWA O caminho do diretório para acessar os arquivos de log
OWA. Use um dos caminhos de diretório a seguir:
v Para o Microsoft Exchange 2003, use
c$/WINDOWS/system32/LogFiles/W3SVC1/.
v Para o Microsoft Exchange 2007, use
c$/WINDOWS/system32/LogFiles/W3SVC1/.
v Para Microsoft Exchange 2010, use
c$/inetpub/logs/LogFiles/W3SVC1/ .
v Para o Microsoft Exchange 2013, use
c$/inetpub/logs/LogFiles/W3SVC1/.
v Para o Microsoft Exchange 2016, use
c$/inetpub/logs/LogFiles/W3SVC1/.
Caminho de Pasta do Log do MSGTRK O caminho do diretório para acessar arquivos de log de
rastreamento de mensagens. O rastreamento de
mensagens está disponível somente nos servidores
Microsoft Exchange 2007 designados à função de
servidor de Hub Transport, Mailbox ou Edge Transport.
Use um dos caminhos de diretório a seguir:
v Para Microsoft Exchange 2007, use c$/Program de
Programas/Microsoft/Exchange Server/
TransportRoles/Logs/MessageTracking/.
v Para Microsoft Exchange 2010, use c$/Program de
Programas/Microsoft/Exchange Server/V14/
TransportRoles/Logs/MessageTracking/.
v Para o Microsoft Exchange 2013, use c$/Program
Files/Microsoft/Exchange Server/V15/
TransportRoles/Logs/MessageTracking/.
v Para o Microsoft Exchange 2016, use c$/Program
Files/Microsoft/Exchange Server/V15/
TransportRoles/Logs/MessageTracking/.
Forçar Leitura de Arquivo Força o protocolo a ler o arquivo de log. Por padrão, essa
caixa de seleção é marcada. Se a caixa de seleção estiver
desmarcada, o arquivo de log será lido quando houver
mudanças nos atributos de tempo ou tamanho do
arquivo de log.

9. Configure os parâmetros restantes.

10. Clique em Salvar.
11. Na guia Administrador, clique em Implementar mudanças.

Microsoft Hyper-V
O DSM do IBM QRadar para o Microsoft Hyper-V pode coletar logs de eventos dos servidores Microsoft
Hyper-V.

A tabela a seguir descreve as especificações do DSM Microsoft Hyper-V Server:

Tabela 425. Especificações do DSM Microsoft Hyper-V
Especificação Valor
Fabricante Microsoft
DSM Microsoft Hyper-V
Nome do arquivo RPM DSM-MicrosoftHyperV-QRadar_version-build_number.rpm

748 Guia de configuração do QRadar DSM

Tabela 425. Especificações do DSM Microsoft Hyper-V (continuação)
Especificação Valor
Versões suportadas Windows Server 2016

Windows Server 2012 (mais recente)

Windows Server 2012 Core

Windows Server 2008 (mais recente)

Windows Server 2008 Core

Windows 10 (mais recente)

Windows 8 (mais recente)

Windows 7 (mais recente)

Windows Vista (mais recente)

Protocolo WinCollect
QRadar eventos registrados Todos os eventos
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades Não
customizadas?
Informações adicionais http://technet.microsoft.com/en-us/windowsserver/dd448604.aspx

Processo de integração do DSM Microsoft Hyper-V

É possível integrar o DSM Microsoft Hyper-V com o IBM QRadar.

Use os procedimentos a seguir:

1. Faça download e instale o RPM do WinCollect mais recente no QRadar Console.
2. Instale um agente WinCollect no sistema Hyper-V ou em outro sistema que tenha uma rota para o
sistema Hyper-V. É possível também usar um agente WinCollect existente. Para obter mais
informações, consulte o Guia do Usuário do IBM QRadar WinCollect.
3. Se as atualizações automáticas não estiverem ativadas, faça download e instale o RPM do DSM para o
Microsoft Hyper-V no QRadar Console. Os RPMs precisam ser instalados somente uma vez.
4. Para cada servidor Microsoft Hyper-V que você deseja integrar, crie uma origem de log no QRadar
Console.

Tarefas relacionadas
“Configurando uma origem de log do Microsoft Hyper-V no QRadar”

Configurando uma origem de log do Microsoft Hyper-V no QRadar

Para coletar eventos do Microsoft Hyper-V, configure uma origem de log no IBM QRadar.

Sobre Esta Tarefa

Assegure-se de que você tenha as credenciais atuais para o servidor Microsoft Hyper-V e que o agente
WinCollect possa acessá-lo.

96 Microsoft 749
Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione Microsoft Hyper-V.
7. Na lista Configuração de protocolo, selecione WinCollect.
8. Na lista Tipo de log de aplicativo ou de serviço, selecione Microsoft Hyper-V.
9. Na lista Agente WinCollect, selecione o agente WinCollect que acessa o servidor Microsoft Hyper-V.
10. Configure os parâmetros restantes.
11. Clique em Salvar.
12. Na guia Administrador, clique em Implementar mudanças.

Microsoft IAS Server

O DSM Microsoft IAS Server para o IBM QRadar aceita eventos RADIUS usando syslog.

Sobre Esta Tarefa

É possível integrar os logs do Internet Authentication Service (IAS) ou o do Network Policy Server (NPS)
com o QRadar usando o WinCollect. Para obter mais informações, consulte o Guia do Usuário do IBM
QRadar WinCollect.

Agora é possível configurar a origem de log no QRadar.

Para configurar o QRadar para receber eventos de um Microsoft Windows IAS Server.

Procedimento

Na lista Tipo de origem de log, selecione a opção Microsoft IAS Server.

Para obter mais informações sobre o servidor, consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Microsoft IIS Server

O DSM Microsoft Internet Information Services (IIS) Server para o IBM QRadar aceita eventos FTP, HTTP,
NNTP e SMTP usando syslog.

É possível integrar um Microsoft IIS Server com o QRadar usando um dos métodos a seguir:
v Configure o QRadar para conectar-se ao Microsoft IIS Server usando o protocolo IIS que coleta eventos
de HTTP dos servidores Microsoft IIS. Para obter mais informações, consulte “Configurando o
Microsoft IIS usando o protocolo IIS” na página 751.
v Configure o WinCollect para encaminhar eventos do IIS para o QRadar. Para obter mais informações,
acesse Origens de log para agentes WinCollect no Guia do Usuário do IBM QRadar WinCollect.
(https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.8/com.ibm.wincollect.doc/
c_ug_wincollect_log_sources.html).

750 Guia de configuração do QRadar DSM

Tabela 426. Tipos de log suportados para o Microsoft IIS 6.0 e IIS 10.0
Método de importação Tipo de log suportado
protocolo IIS HTTP
WinCollect SMTP, NNTP, FTP, HTTP

Configurando o Microsoft IIS usando o protocolo IIS

É possível configurar o protocolo Microsoft IIS para se comunicar com o QRadar usando o protocolo IIS.

Antes de Iniciar

Antes de configurar o IBM QRadar com o protocolo Microsoft IIS, deve-se configurar o Microsoft IIS
Server para gerar o formato de log correto.

Sobre Esta Tarefa

O protocolo Microsoft IIS suporta somente o formato de arquivo de log estendido W3C. A sessão
NTLMv2 do protocolo de autenticação Microsoft não é suportada pelo protocolo Microsoft IIS.

Procedimento
1. Efetue login no Microsoft Information Services (IIS) Manager.
2. Expanda IIS Manager > Computador local > Sites.
3. Selecione Website.
4. Clique duas vezes no ícone Criação de log.
5. Selecione W3C como o formato de arquivo de log na janela Arquivo de log.
6. Clique no botão de comando Selecionar campos.
7. Na lista de propriedades, marque as caixas de seleção para as propriedades W3C a seguir:
Tabela 427. Propriedades necessárias para logs de eventos do IIS
Propriedades necessárias Propriedades necessárias Propriedades necessárias Propriedades necessárias
do IIS 6.0 do IIS 7.0/7.5 do IIS 8.0/8.5 do IIS 10
Data (date) Data (date) Data (date) Data (date)
Horário (time) Horário (time) Horário (time) Horário (time)
Endereço IP do cliente Endereço IP do cliente Endereço IP do cliente Endereço IP do cliente
(c-ip) (c-ip) (c-ip) (c-ip)
Nome do usuário Nome do usuário Nome do usuário Nome do usuário
(cs-username) (cs-username) (cs-username) (cs-username)
Endereço IP do servidor Endereço IP do servidor Endereço IP do servidor Endereço IP do servidor
(s-ip) (s-ip) (s-ip) (s-ip)
Porta do servidor (s-port) Porta do servidor (s-port) Porta do servidor (s-port) Porta do servidor (s-port)
Método (cs-method) Método (cs-method) Método (cs-method) Método (cs-method)
Raiz de URI (cs-uri-stem) Raiz de URI (cs-uri-stem) Raiz de URI (cs-uri-stem) Raiz de URI (cs-uri-stem)
Consulta de URI Consulta de URI Consulta de URI Consulta de URI
(cs-uri-query) (cs-uri-query) (cs-uri-query) (cs-uri-query)
Status de protocolo Status de protocolo Status de protocolo Status de protocolo
(sc-status) (sc-status) (sc-status) (sc-status)
Versão de protocolo Agente do usuário Agente do usuário Agente do usuário
(cs-version) (cs(User-Agent)) (cs(User-Agent)) (cs(User-Agent))

96 Microsoft 751
Tabela 427. Propriedades necessárias para logs de eventos do IIS (continuação)
Propriedades necessárias Propriedades necessárias Propriedades necessárias Propriedades necessárias
do IIS 6.0 do IIS 7.0/7.5 do IIS 8.0/8.5 do IIS 10
Agente do usuário
(cs(User-Agent))

8. Clique em OK.
9. Clique em Aplicar no canto superior direito.

O que Fazer Depois

Agora você está pronto para configurar a origem de log no QRadar.

Configurando o protocolo Microsoft IIS no IBM QRadar

É possível configurar a origem de log para o Microsoft IIS no QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. Na lista Tipo de origem de log, selecione Microsoft IIS Server.
7. Na lista Configuração de protocolo, selecione Microsoft IIS.
8. Configure os valores a seguir:
Tabela 428. Parâmetros do protocolo Microsoft IIS
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log.
log
Endereço do Servidor Digite o endereço IP do servidor Microsoft IIS.
Nome do usuário Digite o nome do usuário que é necessário para acessar o servidor Microsoft IIS.
Senha Digite a senha que é necessária para acessar o servidor Microsoft IIS.
Confirmar senha Confirme a senha que é necessária para acessar o servidor Microsoft IIS.
Domínio Digite o domínio que é necessário para acessar o servidor Microsoft IIS.
Caminho de pasta Digite o caminho do diretório para acessar os arquivos de log do IIS. O padrão é
/WINDOWS/system32/LogFiles/W3SVC1/

Os parâmetros que suportam caminhos de arquivo fornecem a opção de definir uma

letra de unidade com as informações de caminho. Por exemplo, é possível usar
c$/LogFiles/ para um compartilhamento administrativo ou LogFiles/ para um
caminho de pasta de compartilhamento público, mas não c:/LogFiles.

Se um caminho de pasta de log contiver um compartilhamento administrativo (C$), os

752 Guia de configuração do QRadar DSM

Tabela 428. Parâmetros do protocolo Microsoft IIS (continuação)
Parâmetro Descrição
Padrão de arquivo Digite a expressão regular (regex) que é necessária para filtrar os nomes de arquivos.
Todos os arquivos correspondentes são incluídos no processamento. O padrão é
(?:u_)?ex.*\.(?:log|LOG)

Por exemplo, para listar todos os arquivos que começam com a palavra log, seguida
por um ou mais dígitos e terminando com tar.gz, use a entrada a seguir:
log[0-9]+\.tar\.gz. A utilização deste parâmetro requer conhecimento de expressões
regulares (regex). Para obter mais informações, consulte o seguinte website:
http://download.oracle.com/javase/tutorial/essential/regex/
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo procure subpastas.
Por padrão, essa caixa de seleção é marcada.
Intervalo de pesquisa (s) Digite o intervalo de pesquisa, que é o número de segundos entre as consultas aos
arquivos de log para verificação de novos dados. O padrão é 10 segundos.

9. Clique em Salvar.
10. A configuração do protocolo Microsoft IIS está concluída.

Configurando uma origem de log do Microsoft IIS

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos do syslog do Microsoft
IIS encaminhados de um agente WinCollect independente. Essas etapas de configuração são opcionais.

Sobre Esta Tarefa

Para criar manualmente uma origem de log do Microsoft IIS no QRadar:

9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

96 Microsoft 753
Microsoft ISA
O Microsoft Internet and Acceleration (ISA) DSM for IBM QRadar aceita eventos usando syslog.

É possível integrar o Microsoft ISA Server com o QRadar usando WinCollect. Para obter mais
informações, consulte o Guia do Usuário do IBM QRadar WinCollect.

Nota: O DSM Microsoft ISA também suporta eventos do Microsoft Threat Management Gateway usando
WinCollect.

Microsoft Office 365

O DSM do IBM QRadar para o Microsoft Office 365 coleta eventos dos serviços on-line do Microsoft
Office 365.

A tabela a seguir descreve as especificações para o DSM do Microsoft Office 365:

Tabela 430. Especificações do DSM Microsoft Office 365
Especificação Valor
Fabricante Microsoft
Nome do DSM Microsoft Office 365
Nome do arquivo RPM DSM-MicrosoftOffice365-QRadar_version-
build_number.noarch.rpm
Versões Suportadas N/A
Protocolo API REST do Office 365
Formato de evento JSON
Tipos de eventos registrados Exchange Audit, SharePoint Audit, Azure Active
Directory Audit, Service Communications
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Microsoft (https://www.microsoft.com)

Para integrar o Microsoft Office 365 ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir do Website de Suporte IBM em seu QRadar Console.
v Protocol Common RPM
v Office 365 REST API Protocol RPM
v Microsoft RPM do DSM Office 365
2. Registre um aplicativo no Azure Active Directory.
3. Inclua uma origem de log do Microsoft Office 365 no QRadar Console. Para obter mais informações
sobre como incluir uma origem de log, consulte o tópico “Incluindo uma origem de log” na página 5.
A tabela a seguir descreve os parâmetros de origem de log que requerem valores específicos para a
coleção de eventos do Microsoft Office 365:
Tabela 431. Microsoft Parâmetros de origem de log do Office 365
Parâmetro Valor
Tipo de origem de log Microsoft Office 365
Configuração de protocolo API REST do Office 365

754 Guia de configuração do QRadar DSM

Tabela 431. Microsoft Parâmetros de origem de log do Office 365 (continuação)
Parâmetro Valor
Log Source Identifier Um identificador exclusivo para a origem de log.

O Identificador de Origem de Log pode ser qualquer

valor válido e não precisa fazer referência a um servidor
específico. O Identificador de Origem de Log pode ter o
mesmo valor que o Nome da Origem de Log. Se você
configurou diversas origens de log do Microsoft Office
365, talvez queira identificar a primeira origem de log
como MSOffice365-1, a segunda origem de log como
MSOffice365-2 e a terceira origem de log como
MSOffice365-3.
ID do cliente Em sua configuração de aplicativo do Azure Active
Directory, este parâmetro está sob ID do cliente.
Segredo do Cliente Em sua configuração de aplicativo do Azure Active
Directory, este parâmetro está sob Chaves.
ID do Locatário Usado para autenticação do Azure AD.
Filtro de Eventos O tipo de evento de auditoria a ser recuperado do
Microsoft Office.
v Azure Active Directory
v Trocar
v SharePoint
v Geral
v DLP
v Service Communications
Usar Proxy Para que o QRadar acesse as APIs de Gerenciamento do
Office 365, todo o tráfego para a origem de log percorre
proxies configurados.

Configure os campos Servidor proxy, Porta de proxy,

Nome do usuário de proxy e Senha de proxy.

Se o proxy não requerer a autenticação, mantenha os

campos Nome do usuário de proxy e Senha de proxy
vazios.
Regulador de EPS O número máximo de eventos por segundo.

O padrão é 5000.

Configurando o Microsoft Office 365 para comunicar-se com o QRadar

Para configurar o Microsoft Office 365 para se comunicar com o QRadar, é necessário executar o cmdlet
do Azure Active Directory PowerShell.

96 Microsoft 755
Procedimento
1. Execute o cmdlet do Azure Active Directory PowerShell. Para obter mais informações, acesse Como
instalar e configurar o Azure PowerShell (https://azure.microsoft.com/en-us/documentation/
articles/powershell-install-configure/).

Dica: A tabela a seguir mostra parâmetros específicos que contêm os mesmos valores no QRadar e na
Microsoft.
Tabela 432. Parâmetros de origem de log do QRadar e parâmetros da Microsoft
Nome do parâmetro de origem de log do QRadar Nome do parâmetro da Microsoft
ID do cliente ID do aplicativo
Segredo do Cliente Valor da chave
ID do Locatário ID do Locatário

2. Para obter o ID do locatário do locatário que está inscrito no Microsoft Office 365, digite os seguintes
comandos:
import-module MSOnline
$userCredential = Get-Credential
Connect-MsolService -Credential $userCredential
Get-MsolAccountSku | % {$_.AccountObjectID}
3. Use o Azure Management Portal para registrar um aplicativo no Azure Active Directory. Conecte-se
com as credenciais do locatário que está inscrito no Microsoft Office 365.
a. Clique em Active Directory.
b. Selecione App registros e clique em Incluir.
c. Selecione Criar Blade.
d. Digite um nome para o aplicativo.
e. Para o Tipo de aplicativo, selecione Aplicativo da web/API.
f. Para o campo URL de conexão, digite o endereço a seguir: http://localhost
g. Clique em Criar.
h. Selecione o aplicativo recém-criado no Azure AD.
4. Configure as propriedades do aplicativo.
a. No blade Configurações, selecione Propriedades.
b. Verifique se Vários locatários está configurado como NÃO.
c. Copie e armazene o ID do Aplicativo para uso futuro. Use esse valor para o ID do cliente
quando você configurar uma origem de log.
d. Salve sua configuração.
5. Gere um segredo do cliente para o aplicativo.
a. No blade Configurações, selecione Chaves.
b. Insira um valor para a descrição da chave.
c. Clique em Duração e escolha Em um ano, Em dois anos ou Nunca expira.
d. Salve sua configuração. O segredo do cliente é exibido após a configuração ser salva.
e. Copie e armazene o Valor da chave, pois ele não poderá ser recuperado posteriormente. Use esse
valor para o Segredo do cliente quando você configurar uma origem de log.
6. Especifique as permissões que o aplicativo requer para acessar as APIs de Gerenciamento do Office
365.
a. No blade Configurações, selecione Permissões necessárias.
b. Clique em Incluir.
c. No blade Incluir acesso de API, clique em Selecionar uma API.

756 Guia de configuração do QRadar DSM

d. Selecione APIs de Gerenciamento do Office 365. A lâmina de Acesso Ativar é exibida.
e. Em Permissões do aplicativo, selecione as seguintes opções:
1) Ler dados de atividade para sua organização
2) Ler informações de funcionamento de serviço para sua organização
3) Ler eventos de política de DLP, incluindo dados sensíveis detectados
f. Em Permissões delegadas, selecione as seguintes opções:
1) Ler dados de atividade para sua organização
2) Ler informações de funcionamento de serviço para sua organização
3) Ler eventos de política de DLP, incluindo dados sensíveis detectados
g. Clique em Salvar.
h. No blade Permissões necessárias, clique em Conceder permissões e, em seguida, selecione Sim.

Configurando o Microsoft Office 365 para se comunicar com o QRadar

usando a interface Azure Classic Management
Antes de poder configurar uma origem de log para o Microsoft Office 365, é possível que precise solicitar
que a Microsoft ative assinaturas de conteúdo para seu ID do locatário. Ao ativar a assinatura de
conteúdo, o QRadar pode recuperar dados das APIs de atividade de gerenciamento.

Antes de Iniciar

O ID do locatário, ID do cliente e Segredo do cliente são necessários.

Procedimento
1. Execute o cmdlet do Azure Active Directory PowerShell. Para obter mais informações, consulte Como
instalar e configurar o Azure PowerShell (https://azure.microsoft.com/en-us/documentation/
articles/powershell-install-configure/).
2. Para obter o ID do locatário do locatário inscrito no Microsoft Office 365, digite o comando a seguir:
import-module MSOnline
$userCredential = Get-Credential
Connect-MsolService -Credential $userCredential
Get-MsolAccountSku | % {$_.AccountObjectID}
3. Use o Azure Management Portal para registrar um aplicativo no Azure Active Directory.
a. Para assinar no Azure Management Portal, use as credenciais do locatário que está inscrito no
Microsoft Office 365
b. Clique em Active Directory.
c. Selecione o nome de diretório sob o qual o novo aplicativo está registrado.
d. Na página do diretório, selecione Aplicativos.
e. Clique em Incluir.
f. Selecione Incluir um aplicativo que minha organização está desenvolvendo.
g. Digite um nome para o aplicativo.
h. Para o tipo, selecione Aplicativo da web e/ou API da web.
i. Para o campo URL de sign-on, digite o comando:
http://localhost
j. Para a URL do ID do App, insira um identificador exclusivo na forma de uma URL para o
aplicativo. Um exemplo de um identificador exclusivo é a URL a seguir: http://
company_name.onmicrosoft.com/QRadarApp.
4. Configure as propriedades do aplicativo.
a. Selecione o aplicativo recém-criado no Azure AD.

96 Microsoft 757
b. Selecione Configurar.
c. Verifique se a opção Aplicativo é multilocatário está configurada para NÃO.
d. Copie o ID do cliente para uso futuro.
e. Salve sua configuração.
5. Gere um segredo do cliente para o aplicativo.
a. Em Chaves, clique em Selecionar duração.
b. Escolha 1 ano ou 2 anos.
c. Salve sua configuração.
O segredo do cliente é exibido após a configuração ser salva. Copie e armazene o segredo do cliente
porque ele aparece apenas uma vez e não pode ser recuperado.
6. Especifique as permissões que o aplicativo requer para acessar as APIs de Gerenciamento do Office
365.
a. Em Permissões para outros aplicativos, selecione Incluir aplicativo.
b. Selecione APIs de Gerenciamento do Office 365.
c. Clique no visto para salvar a seleção.
d. Em Permissões do aplicativo e Permissões delegadas, selecione as opções a seguir:
v Ler dados de atividade para sua organização
v Ler informações de funcionamento de serviço para sua organização
v Ler relatórios de atividade para sua organização
e. Salve sua configuração.
A configuração de aplicativo no Azure AD está concluída. É possível criar uma origem de log para o
Microsoft Office 365 no QRadar. Para obter mais informações, consulte Introdução às APIs de
Gerenciamento do Office 365 (https://msdn.microsoft.com/EN-US/library/office/dn707383.aspx).

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece mensagens de evento de amostra ao usar o protocolo de API de REST do Office
365 para o DSM Microsoft Office 365:

758 Guia de configuração do QRadar DSM

Tabela 433. Mensagem de amostra do Microsoft Office 365 suportada pelo serviço Microsoft Office 365
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Atualizar falha do usuário Falha ao Atualizar Atividade {"CreationTime":"2016-05-05T08:53:
46 "," Id ": "xxx-xxxx-xxxx-xxxx-
xxxxxxxxxxxx "," Operação ":
"Update user.","OrganizationId":
" xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxx
xxxxx "," RecordType ": 8," Result
Status":"fail","UserKey":"Not
Available","UserType":6,"Workload"
:"AzureActiveDirectory","ObjectId"
: "xxxxxxxxxxxxxxxx "," UserId ": "xx-
xxxx-xxxx-xxxx-xxxxxxxxxxxx ",
"AzureActiveDirectoryEventType"
:1,"ExtendedProperties":[{"Name":
"MethodExecutionResult.","Value":
"Microsoft.Online.Workflows.
ValidationException"}],"Actor":
[ {
xxxxxx "," Type ": 4 }, {, {
xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
xxxx "," Type ": 2 } ]," ActorContextId "
: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxx
xxxxxxx "," InterSystemsId ":
" xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxx
xxxxx "," IntraSystemId ": "xxxxxxxx-
xxxx-xxxx-xxxx-xxxxxxxxxxxx ",
"Target": [ {
xxxx-xxxxxxxxxxxx "," Tipo ": 2 },
{
:1},{"ID":"1706BDBF","Type":3}]
, "TargetContextId": "xxxxxxxx-
xxxx-xxxx-xxxx-xxxxxxxxxxxx " }
Permissões do site Êxito ao Atualizar Atividade {"CreationTime":"2015-10
modificadas -20T15:54:05","Id":"xxxxxxxx
-xxxx-xxxx-xxxx-xxxxxxxxxxxx "
,"Operation":"SitePermissions
Modified","OrganizationId":
" xxxxxxxx-xxxx-xxxx-xxxx-
xxxxxxxxxxxx "," RecordType "
:4,"UserKey":"(empty)",
"UserType":0,"Workload":
"SharePoint","ClientIP":
"<IP_address>", "ObjectId":
"https: //example.com/url",
"UserId": "SHAREPOINT \\system",
"EventSource":"SharePoint",
"ItemType":"Web","Site":
" xxxxxxxx-xxxx-xxxx-xxxx-
xxxxxxxxxxxx "," UserAgent ":
"Mozilla/5.0 (X11; Linux
x86_64; rv:38.0) Gecko/
20100101 Firefox/38.0"}

Microsoft Operations Manager

O DSM Microsoft Operations Manager para o IBM QRadar aceita eventos do Microsoft Operations
Manager (MOM) pesquisando o banco de dados OnePoint que permite que o QRadar registre os eventos
relevantes.

96 Microsoft 759
Sobre Esta Tarefa

Antes de configurar o QRadar para integração com o Microsoft Operations Manager, deve-se assegurar
que uma conta de usuário do banco de dados esteja configurado com as permissões apropriadas para
acessar o banco de dados MOM OnePoint SQL Server. O acesso às visualizações do SDK do banco de
dados OnePoint é gerenciado por meio da função de banco de dados Usuário de visualização do SDK do
MOM. Para obter mais informações, consulte a documentação do Microsoft Operations Manager.

Nota: Certifique-se de que as regras de firewall não estejam bloqueando a comunicação entre o QRadar e
o banco de dados do SQL Server que está associado ao MOM. Para instalações do MOM que usam um
computador separado, dedicado para o banco de dados SQL Server, a visualização SDKEventView é
consultada no sistema de banco de dados, não no sistema que executa o MOM.

Para configurar o QRadar para receber eventos do MOM:

Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
3. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
4. Na lista Tipo de origem de log, selecione Microsoft Operations Manager.
5. Na lista Configuração de protocolo, selecione JDBC.
Os parâmetros do protocolo JDBC são exibidos.
6. Configure os valores a seguir:
Tabela 434. Parâmetros JDBC do Microsoft Operations Manager

Parâmetro Descrição
Identificador de origem de
log Digite o identificador da origem de log. Digite o identificador de origem de log no
seguinte formato:

<MOM Database>@<MOM Database Server IP or Host Name>

Em que:
v
<MOM Database> é o nome do banco de dados, conforme inserido no parâmetro
Nome do banco de dados.
v
<MOM Database Server IP or Host Name> é o nome do host ou o endereço IP para
essa origem de log, conforme inserido no parâmetro IP ou nome do host.
Tipo de banco de dados
Na lista, selecione MSDE.
Nome do banco de dados
Digite OnePoint como o nome do banco de dados Microsoft Operations Manager.
IP ou nome do host
Digite o endereço IP ou o nome do host do Microsoft Operations Manager SQL
Server.

760 Guia de configuração do QRadar DSM

Tabela 434. Parâmetros JDBC do Microsoft Operations Manager (continuação)

Parâmetro Descrição
Porta
Digite o número da porta que é usado pelo servidor de banco de dados. A porta
padrão para o MSDE é 1433.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados Microsoft Operations Manager. O banco de dados Microsoft Operations
Manager deve ter conexões TCP recebidas que estejam ativadas para se comunicar
com o QRadar.

Se você definir uma Instância de banco de dados quando MSDE for usado como o
tipo de banco de dados, deve-se deixar o parâmetro Porta em branco na configuração.
Nome do usuário
Digite o nome do usuário que é necessário para acessar o banco de dados.
Senha
Digite a senha que é necessária para acessar o banco de dados. A senha pode ter até
255 caracteres de comprimento.
Confirmar senha
Confirme a senha que é necessária para acessar o banco de dados. A senha de
confirmação deve ser idêntica à senha inserida no parâmetro Senha.
Domínio de autenticação
Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows, deve-se definir o Domínio de autenticação do Windows.
Caso contrário, deixe este campo em branco.
Instância de banco de
dados Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
server em seu servidor de banco de dados.

Se você usar uma porta não padrão na configuração do seu banco de dados ou
bloquear o acesso à porta 1434 para a resolução do banco de dados SQL, deverá
deixar o parâmetro Database Instance em branco na sua configuração.
Nome da tabela
Digite SDKEventView como o nome da tabela ou visualização que inclui os registros de
eventos.
Selecionar lista
Digite * em todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se você precisar disso para a sua configuração. A lista deve
conter o campo que está definido no parâmetro Comparar campo. A lista separada
por vírgula pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode
incluir os seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#),
sublinhado (_), traço (-) e ponto (.).
Comparar campo
Digite TimeStored como o campo de comparação. O campo de comparação é usado
para identificar novos eventos incluídos entre as consultas na tabela.
Data e hora de início
Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

O parâmetro Data e horário de início deve ser formatado como yyyy-MM-dd

HH:mm, com HH especificado usando um relógio de 24 horas. Se a data ou hora de
início for limpa, a pesquisa começa imediatamente e repete no intervalo de pesquisa
especificado.

96 Microsoft 761
Tabela 434. Parâmetros JDBC do Microsoft Operations Manager (continuação)

Parâmetro Descrição
Usar instruções preparadas
Selecione essa caixa de seleção para usar instruções preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez, em seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, é sugerido que você
use as instruções preparadas.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

Nota: A seleção de um valor maior que 5 para o parâmetro Credibilidade pondera a origem de log
do Microsoft Operations Manager com uma importância maior se comparada com outras origens de
log no QRadar.
7. Clique em Salvar.
8. Na guia Administrador, clique em Implementar mudanças.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Microsoft SharePoint
O DSM Microsoft SharePoint para o IBM QRadar coleta eventos de auditoria do banco de dados
SharePoint usando JDBC para pesquisar um banco de dados SQL em busca de eventos de auditoria.

Os eventos de auditoria podem rastrear mudanças que são feitas em sites, arquivos e conteúdo que é
gerenciado pelo Microsoft SharePoint.

762 Guia de configuração do QRadar DSM

Os eventos de auditoria do Microsoft SharePoint incluem os elementos a seguir:
v Nome do site e a origem da qual o evento foi originado
v ID do item, nome do item e localização de evento
v ID do usuário associado ao evento
v Tipo de evento, registro de data e hora e a ação de evento

Duas configurações de origem de log podem ser usadas para coletar eventos do banco de dados
Microsoft SharePoint.
1. Crie uma visualização do banco de dados em seu banco de dados SharePoint para pesquisar eventos
com o protocolo JDBC. Consulte “Configurando uma visualização de banco de dados para coletar
eventos de auditoria”.
2. Crie uma origem de log JDBC e use consultas do banco de dados predefinido para coletar eventos do
SharePoint. Essa opção não requer um administrador para criar a visualização do banco de dados.
Consulte “Configurando uma origem de log do SharePoint para consultas predefinidas do banco de
dados” na página 768.

Nota: A coleção de eventos do Microsoft Sharepoint agora usa uma consulta predefinida, em vez de
requerer que um administrador crie uma visualização do banco de dados. Se você for um administrador,
será possível desejar atualizar origens de log existentes do Microsoft Sharepoint para que usem a consulta
predefinida do Microsoft Sharepoint.

Configurando uma visualização de banco de dados para coletar

eventos de auditoria
Para poder integrar eventos do Microsoft SharePoint com o IBM QRadar, deve-se concluir três tarefas.

Sobre Esta Tarefa

Use o procedimento a seguir:

Procedimento
1. Configure os eventos de auditoria que você deseja coletar para Microsoft SharePoint.
2. Criar uma visualização de banco de dados SQL para o QRadar no Microsoft SharePoint.
3. Configure uma origem de log para coletar eventos de auditoria do Microsoft SharePoint.

Nota: Assegure-se de que as regras de firewall não estejam bloqueando a comunicação entre o
QRadar e o banco de dados associado ao Microsoft SharePoint.

Configurando eventos de auditoria do Microsoft SharePoint

As configurações de auditoria para o Microsoft SharePoint oferecem a opção de definir quais eventos são
rastreados para cada site que é gerenciado pelo Microsoft SharePoint.

Procedimento
1. Efetue login no site do Microsoft SharePoint.
2. Na lista Ações do site, selecione Configurações do site.
3. Na lista Administração de coleção de site, clique em Configurações de auditoria de coleção de site.
4. Na seção Documentos e itens, marque uma caixa de seleção para cada evento de auditoria de
documento e item que você deseja auditar.
5. Na seção Listas, bibliotecas e sites, marque uma caixa de seleção para cada evento de auditoria de
conteúdo que você deseja ativar.
6. Clique em OK.

96 Microsoft 763
Agora você está pronto para criar uma visualização de banco de dados para o IBM QRadar para
pesquisar eventos do Microsoft SharePoint.

Criando uma visualização de banco de dados para o Microsoft

SharePoint
O Microsoft SharePoint usa o SQL Server Management Studio (SSMS) para gerenciar os bancos de dados
SharePoint SQL. Para coletar dados de evento de auditoria, deve-se criar uma visualização de banco de
dados no servidor Microsoft SharePoint que seja acessível ao IBM QRadar.

Antes de Iniciar

Não use um ponto-final (.) no nome de sua visualização ou em qualquer um dos nomes de tabela. Se
você usar um ponto-final na visualização ou no nome de tabela, o JDBC não poderá acessar os dados
dentro da visualização e o acesso será negado. Tudo o que estiver após um (.) será tratado como um
objeto-filho.

Procedimento
1. Efetue login no sistema que hospeda o banco de dados Microsoft SharePoint SQL.
2. No menu Iniciar, selecione Executar.
3. Digite o seguinte comando:
ssms
4. Clique em OK.
O Microsoft SQL Server 2008 exibe a janela Conectar ao servidor .
5. Efetue login no banco de dados Microsoft SharePoint.
6. Clique em Conectar.
7. No Object Explorer para o seu banco de dados SharePoint, clique em Bancos de dados >
WSS_Logging > Visualizações.
8. No menu de navegação, clique em Nova consulta.
9. Na área de janela Consulta, digite a instrução Transact-SQL a seguir para criar a visualização de
banco de dados AuditEvent:
create view dbo.AuditEvent as select a.siteID
,a.ItemId ,a.ItemType ,u.tp_Title as "User"
,a.MachineName ,a.MachineIp ,a.DocLocation
,a.LocationType ,a.Occurred as "EventTime"
,a.Event as "EventID" ,a.EventName
,a.EventSource ,a.SourceName ,a.EventData
from WSS_Content.dbo.AuditData a,
WSS_Content.dbo.UserInfo u
where a.UserId = u.tp_ID
and a.SiteId = u.tp_SiteID;
10. Na área de janela Consulta, clique com o botão direito e selecione Executar.
Se a visualização tiver sido criada, a mensagem a seguir será exibida na área de janela de resultados:
Comando(s) concluído(s) com êxito.
A visualização dbo.AuditEvent está criada. Agora você está pronto para configurar a origem de log
no QRadar para pesquisar eventos de auditoria na visualização.

Criando permissões somente leitura para usuários do banco de dados

Microsoft SharePoint
Restringir acesso de usuário no banco de dados SharePoint, concedendo permissões somente leitura em
objetos.

764 Guia de configuração do QRadar DSM

Procedimento
1. No Explorer de objetos em seu banco de dados SharePoint, clique em Segurança. Expanda a árvore
de pasta Segurança.
2. Clique com o botão direito em Logins e selecione Novo Login.
3. Para a autenticação do Windows, conclua as etapas a seguir:
a. Na página Geral, clique em Procurar.
b. Clique em Locais. Na página Locais, selecione um local a que o usuário pertença e clique em OK.
c. Insira o nome do objeto na caixa de texto e clique em Verificar nomes para validar o usuário.

Nota: Configure o Banco de dados padrão para WSS_Logging.

d. Na página Funções do servidor, selecione Público.
e. Na página Mapeamento de usuário, selecione o WSS_Content e WSS_Logging. Na coluna
Default Schema, clique em ... > Procurar... e selecione db_datareader como o esquema padrão.
f. Na página Status, selecione Conceder permissão para se conectar ao mecanismo do banco de
dados e selecione o login Ativado.
4. No Explorer de objetos em seu banco de dados SharePoint, clique em Bancos de dados >
WSS_Logging > Segurança > Usuários.
a. Dê um clique duplo no usuário Windows que foi criado na etapa 3.
b. Na página Securables, clique em Procurar.
c. Na página Incluir objetos, selecione Objetos específicos... e clique em OK.
d. Clique em Tipos de objeto... e selecione Visualizações.
e. Para nomes de objetos, clique em Procurar e selecione a visualização do banco de dados que você
criou. Por exemplo, [dbo].[AuditEvent].
f. Para as permissões da visualização do banco de dados que você selecionar, conceda Selecionar.
g. Clique em OK.
5. No Explorer de objetos em seu banco de dados SharePoint, clique em Bancos de dados >
WSS_Content > Segurança > Usuários.
a. Dê um clique duplo no usuário Windows que foi criado na etapa 3.
b. Na página Securables, clique em Procurar.
c. Na página Incluir objetos, selecione Objetos específicos... e clique em OK.
d. Clique em Tipos de objeto... e selecione Tabelas.
e. Para nomes de objetos, clique em Procurar. Selecione [dbo].[AuditData] e [dbo].[UserInfo].
f. Para as permissões da tabela AuditData, conceda Selecionar.
g. Para as permissões da tabela UserInfo, conceda Selecionar.
h. Clique em OK.

Configurando uma origem de log do SharePoint para uma visualização

de banco de dados
O IBM QRadar requer uma conta de usuário com as credenciais adequadas para acessar a visualização
criada no banco de dados Microsoft SharePoint.

Sobre Esta Tarefa

Para pesquisar com êxito dados de auditoria do banco de dados Microsoft SharePoint, deve-se criar um
novo usuário ou fornecer à origem de log credenciais do usuário existente para leitura da visualização
AuditEvent. Para obter mais informações sobre como criar uma conta de usuário, consulte a
documentação do fornecedor.

Para configurar o QRadar para receber eventos do SharePoint:

96 Microsoft 765
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
3. Clique no ícone Origens de Log.
4. No campo Nome da origem de log, digite um nome para a origem de log.
5. No campo Descrição de origem de log , digite uma descrição para a origem de log.
6. Na lista Tipo de origem de log, selecione Microsoft SharePoint.
7. Na lista Configuração de protocolo, selecione JDBC.
8. Configure os valores a seguir:
Tabela 435. Parâmetros JDBC do Microsoft SharePoint
Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<SharePoint Database>@<SharePoint Database Server IP or Host Name>

Em que:
v <SharePoint Database> é o nome do banco de dados, conforme inserido no
parâmetro Nome do banco de dados.
v <SharePoint Database Server IP or Host Name> é o nome do host ou o endereço IP
para essa origem de log, conforme inserido no parâmetro IP ou nome do host.
Tipo de banco de dados Na lista, selecione MSDE.
Nome do banco de dados Digite WSS_Logging como o nome do banco de dados Microsoft SharePoint.
IP ou nome do host Digite o endereço IP ou o nome do host do Microsoft SharePoint SQL Server.
Porta Digite o número da porta que é usado pelo servidor de banco de dados. A porta
padrão para o MSDE é 1433.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados Microsoft SharePoint. O banco de dados Microsoft SharePoint deve ter
conexões TCP recebidas que estejam ativadas para se comunicar com o QRadar.

Se você definir uma Instância de banco de dados, quando usar MSDE como o tipo
de banco de dados, deverá deixar o parâmetro Porta em branco na configuração.
Nome do usuário Digite o nome do usuário que a origem de log pode usar para acessar o banco de
dados Microsoft SharePoint.
Senha Digite a senha que a origem de log pode usar para acessar o banco de dados
Microsoft SharePoint.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha Confirme a senha que é necessária para acessar o banco de dados. A senha de
confirmação deve ser idêntica à senha inserida no campo Senha.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows, deve-se definir o Domínio de autenticação do Windows.
Caso contrário, deixe este campo em branco.
Instância de banco de Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
dados server em seu servidor de banco de dados.

Se você usar uma porta não padrão na configuração do banco de dados, ou bloquear
o acesso à porta 1434 para resolução do banco de dados SQL, deve-se deixar o
parâmetro Database Instance em branco na configuração.
Nome da tabela Digite AuditEvent como o nome da tabela ou visualização que inclui os registros de
eventos.

766 Guia de configuração do QRadar DSM

Tabela 435. Parâmetros JDBC do Microsoft SharePoint (continuação)
Parâmetro Descrição
Selecionar lista Digite * em todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se for necessário para a configuração. A lista deve conter o
campo que está definido no parâmetro Comparar campo. A lista separada por vírgula
pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode incluir os
seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#), sublinhado
(_), traço (-) e ponto (.).
Comparar campo Digite EventTime como o campo de comparação. O campo de comparação é usado
para identificar novos eventos incluídos entre as consultas na tabela.
Data e hora de início Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

O parâmetro Start Date and Time deve ser formatado como yyyy-MM-dd HH: mm,
com HH especificado usando um relógio de 24 horas. Se a data ou hora de início for
limpa, a pesquisa começa imediatamente e repete no intervalo de pesquisa
especificado.
Usar instruções preparadas Selecione a caixa de seleção Usar instruções preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez, em seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, é sugerido que você
use as instruções preparadas.

Limpar esta caixa de seleção requer que você use um método alternativo de consulta
que não use instruções pré-compiladas.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é o tempo entre as consultas à visualização
AuditEvent que você criou. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

Essa opção força as conexões MSDE a usar o protocolo NTLMv2 na comunicação com
os servidores SQL que requerem autenticação NTLMv2. O valor padrão da caixa de
seleção é selecionado.

Se a caixa de seleção Usar NTLMv2 for selecionada, ela não terá efeito sobre as
conexões MSDE com SQL servers que não requererem autenticação NTLMv2.
Usar SSL Marque essa caixa de seleção se a conexão suportar comunicação de SSL. Essa opção
requer configuração adicional em seu banco de dados SharePoint e também requer
que os administradores configurem os certificados em ambos os dispositivos.
Nome do cluster do banco Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
de dados parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.

96 Microsoft 767
Nota: A seleção de um valor de parâmetro maior que 5 para a Credibilidade pondera a origem de
log do Microsoft SharePoint com uma importância maior em comparação com outras origens de log
no QRadar.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

Configurando uma origem de log do SharePoint para consultas

predefinidas do banco de dados
Os administradores que não têm permissão para criar uma visualização de banco de dados devido a
restrições de política podem coletar eventos do Microsoft SharePoint com uma origem de log que usa
consultas predefinidas.

Sobre Esta Tarefa

Consultas predefinidas são instruções customizadas que podem associar dados de tabelas separadas
quando o banco de dados é pesquisado pelo protocolo JDBC. Para pesquisar com êxito dados de
auditoria do banco de dados Microsoft SharePoint, deve-se criar um novo usuário ou fornecer à origem
de log as credenciais do usuário existente. Para obter mais informações sobre como criar uma conta de
usuário, consulte a documentação do fornecedor.

Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
3. Clique no ícone Origens de Log.
4. No campo Nome da origem de log, digite um nome para a origem de log.
5. No campo Descrição de origem de log , digite uma descrição para a origem de log.
6. Na lista Tipo de origem de log, selecione Microsoft SharePoint.
7. Na lista Configuração de protocolo, selecione JDBC.
8. Configure os valores a seguir:
Tabela 436. Parâmetros JDBC do Microsoft SharePoint
Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<SharePoint Database>@<SharePoint Database Server IP or Host Name>

768 Guia de configuração do QRadar DSM

Tabela 436. Parâmetros JDBC do Microsoft SharePoint (continuação)
Parâmetro Descrição
Porta Digite o número da porta que é usado pelo servidor de banco de dados. A porta
padrão para o MSDE é 1433.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados do Microsoft SharePoint. O banco de dados Microsoft SharePoint deve ter
conexões TCP recebidas que estejam ativadas para se comunicar com o IBM QRadar.

Se você definir uma Instância de banco de dados, quando usar MSDE como o tipo
de banco de dados, deverá deixar o parâmetro Porta em branco na configuração.
Nome do usuário Digite o nome do usuário que a origem de log pode usar para acessar o banco de
dados Microsoft SharePoint.
Senha Digite a senha que a origem de log pode usar para acessar o banco de dados
Microsoft SharePoint.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha Confirme a senha que é necessária para acessar o banco de dados. A senha de
confirmação deve ser idêntica à senha inserida no campo Senha.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Autenticação do Windows, o Domínio de Autenticação do Windows
deverá ser especificado. Caso contrário, deixe este campo em branco.
Instância de banco de Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
dados server em seu servidor de banco de dados.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez, em seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, é sugerido que você
use as instruções preparadas.

Limpar esta caixa de seleção requer que você use um método alternativo de consulta
que não use instruções pré-compiladas.
Data e hora de início Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

Se uma data ou um horário de início não estiver selecionado, a pesquisa começará

imediatamente e será repetida no intervalo de pesquisa especificado.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é o tempo entre as consultas à visualização
AuditEvent que você criou. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

96 Microsoft 769
Tabela 436. Parâmetros JDBC do Microsoft SharePoint (continuação)
Parâmetro Descrição
Usar NTLMv2 Marque a caixa de seleção Usar NTLMv2.

Essa opção força as conexões MSDE a usarem o protocolo NTLMv2 quando elas se
comunicam com servidores SQL que requerem autenticação NTLMv2. O valor padrão
da caixa de seleção é selecionado.

Nota: A seleção de um valor de parâmetro maior que 5 para Credibilidade pondera a origem de log
do Microsoft SharePoint com uma importância maior se comparada com outras origens de log no
QRadar.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

Microsoft SQL Server

O DSM IBM QRadar para o Microsoft SQL Server coleta eventos SQL usando syslog, WinCollect
Microsoft SQL ou protocolo JDBC.

A tabela a seguir identifica as especificações para o DSM Microsoft SQL Server:

Tabela 437. DSM Microsoft SQL Server
Especificação Valor
Fabricante Microsoft
Nome do DSM SQL Server
Nome do arquivo RPM DSM-MicrosoftSQL-QRadar-version-
Build_number.noarch.rpm
Versões suportadas 2008, 2012 e 2014 (somente Enterprise Editions)
Formato de evento Syslog, JDBC, WinCollect
Tipos de evento registrado do QRadar Eventos de log de erros do SQL
Descobertos automaticamente? Sim
Inclui identidade? Sim
Informações adicionais website da Microsoft (http://www.microsoft.com/en-us/
server-cloud/products/sql-server/)

É possível integrar o Microsoft SQL Server com o QRadar usando um dos métodos a seguir:
Syslog
O DSM IBM QRadar para o Microsoft SQL Server pode coletar eventos do LOGbinder SQL. Para
obter informações sobre como configurar o LOGbinder SQL para coletar eventos do Microsoft

770 Guia de configuração do QRadar DSM

SQL Server, acesse o IBM Knowledge Center (https://www.ibm.com/support/knowledgecenter/
en/SS42VS_DSM/c_dsm_guide_logbinderex_ms_sql_overview.html)
JDBC O Microsoft SQL Server Enterprise pode capturar eventos de auditoria usando o protocolo JDBC.
Os eventos de auditoria são armazenados em uma visualização de tabela. Eventos de auditoria
estão disponíveis somente no Microsoft SQL Server 2008, 2012 e 2014 Enterprise.
WinCollect
É possível integrar o Microsoft SQL Server 2000, 2005, 2008, 2012, 2014 e 2017 ao QRadar usando
WinCollect para coletar mensagens ERRORLOG dos bancos de dados que são gerenciados pelo
seu Microsoft SQL Server. Para obter mais informações sobre o WinCollect, acesse o IBM
Knowledge Center (https://www.ibm.com/support/knowledgecenter/en/SS42VS_7.3.0/
com.ibm.wincollect.doc/c_wincollect_overview_new.html).

Para integrar o DSM Microsoft SQL Server com o QRadar, use as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente do
RPM do Microsoft SQL Server em seu QRadar Console.
2. Para cada instância do Microsoft SQL Server, configure o dispositivo Microsoft SQL Server para
permitir a comunicação com o QRadar.
3. Se o QRadar não descobrir automaticamente a origem de log do Microsoft SQL Server, crie uma
origem de log para cada instância do Microsoft SQL Server em sua rede.
Conceitos relacionados:
“Coleção de eventos do LOGbinder SQL do Microsoft SQL Server” na página 700
O DSM do IBM QRadar para Microsoft SQL Server pode coletar eventos do LOGbinder SQL.
Tarefas relacionadas:
“Configurando o sistema LOGbinder SQL para enviar logs de eventos do Microsoft SQL Server para o
QRadar” na página 701
Para coletar eventos do LOGbinder do Microsoft SQL Server, deve-se configurar o sistema LOGbinder
SQL para enviar eventos ao IBM QRadar.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Preparação do Microsoft SQL Server para comunicação com o QRadar

Para preparar o Microsoft SQL Server para comunicação com o QRadar, deve-se criar um objeto de
auditoria, a especificação de auditoria e a visualização do banco de dados.

Criando um objeto de auditoria do Microsoft SQL Server

Crie um objeto de auditoria para armazenar eventos de auditoria.

Procedimento
1. Efetue login no Microsoft SQL Server Management Studio.
2. No menu de navegação, selecione Segurança > Auditorias.
3. Clique com o botão direito em Auditorias e selecione Nova auditoria.
4. No campo Nome da auditoria, digite um nome para o novo arquivo de auditoria.
5. Na lista Destino de auditoria, selecione Arquivo.
6. No campo Caminho de arquivo, digite o caminho do diretório para o arquivo de auditoria do
Microsoft SQL Server.
7. Clique em OK.

96 Microsoft 771
8. Clique com o botão direito no objeto de auditoria e selecione Ativar auditoria.

Criando uma especificação de auditoria do Microsoft SQL Server

Crie uma especificação de auditoria para definir o nível de eventos de auditoria que são gravados em um
arquivo de auditoria.

Antes de Iniciar

Deve-se criar um objeto de auditoria. Consulte “Criando um objeto de auditoria do Microsoft SQL
Server” na página 771.

Sobre Esta Tarefa

É possível criar uma especificação de auditoria no nível do servidor ou no nível do banco de dados.
Dependendo de seus requisitos, você poderá precisar de uma especificação de auditoria de servidor e de
banco de dados.

Procedimento
1. No menu de navegação do Microsoft SQL Server Management Studio, selecione uma das opções a
seguir:
v Segurança > Especificações de auditoria de servidor
v <Banco de dados> > Segurança > Especificações de auditoria de banco de dados
2. Clique com o botão direito em Especificações de auditoria de servidor e, em seguida, selecione uma
das opções a seguir:
v Novas especificações de auditoria de servidor
v Novas especificações de auditoria de banco de dados
3. No campo Nome, digite um nome para o novo arquivo de auditoria.
4. Na lista Auditoria, selecione o objeto de auditoria que você criou.
5. Na área de janela Ações, inclua ações e objetos na auditoria do servidor.
6. Clique em OK.
7. Clique com o botão direito na especificação de auditoria de servidor e selecione uma das opções a
seguir:
v Ativar especificação de auditoria de servidor
v Ativar especificação de auditoria de banco de dados

Criando uma visualização do banco de dados Microsoft SQL Server

Crie a visualização de banco de dados dbo.AuditData para permitir que o QRadar pesquise eventos de
auditoria em uma tabela de banco de dados usando o protocolo JDBC. A visualização de banco de dados
contém os eventos de auditoria de sua especificação de auditoria de servidor ou de banco de dados.

Procedimento
1. Na barra de ferramentas do Microsoft SQL Server Management Studio, clique em Nova consulta.
2. Digite a instrução Transact-SQL a seguir:
create view dbo.AuditData as
SELECT * FROM sys.fn_get_audit_file
(’<Audit File Path and Name>’,default,default);
GOa

Por exemplo:
create view dbo.AuditData as
SELECT * FROM sys.fn_get_audit_file
(’C:\inetpub\logs\SQLAudits*',default,default);
IR

772 Guia de configuração do QRadar DSM

3. Na barra de ferramentas Padrão, clique em Executar.

Configurando uma origem de log do Microsoft SQL Server

Use este procedimento se o QRadar Console não descobriu automaticamente a origem de log do
Microsoft Windows Security Event.

Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
3. Clique no ícone Origens de Log.
4. Clique no botão Incluir.
5. Na lista Tipo de origem de log, selecione Microsoft SQL Server.
6. Na lista Configuração de protocolo, selecione JDBC ou WinCollect.
7. Opcional. Se você desejar configurar eventos para o JDBC, configure os parâmetros de origem de log
do Microsoft SQL Server a seguir:

Parâmetro Descrição
Identificador de origem de log
Digite o identificador da origem de log no formato a
seguir:

<Banco de dados SQL>@<IP do servidor de banco de

dados SQL ou nome do host>

Em que:

<Banco de dados SQL> é o nome do banco de dados,

conforme inserido no parâmetro Database Name.

<IP do servidor de banco de dados SQL ou nome do

host> é o nome do host ou o endereço IP para essa
origem de log, conforme inserido no parâmetro IP or
Hostname.
Tipo de banco de dados Na lista, selecione MSDE.
Nome do banco de dados Digite Principal como o nome do banco de dados
Microsoft SQL.
IP ou nome do host Digite o endereço IP ou o nome do host do Microsoft
SQL Server.
Porta
Digite o número da porta que é usado pelo servidor de
banco de dados. A porta padrão para o MSDE é 1433.

A porta de configuração JDBC deve corresponder à porta

do listener do banco de dados Microsoft SQL. O banco
de dados Microsoft SQL deve ter conexões TCP recebidas
que estejam ativadas para comunicação com o QRadar.

Importante: Se você definir uma Instância de banco de

dados quando usar o MSDE como o Tipo de banco de
dados, deverá deixar o parâmetro Port em branco na sua
configuração.
Nome do usuário Digite o nome do usuário para acessar o banco de dados
SQL.
Senha Digite a senha para acessar o banco de dados SQL.
Confirmar senha Digite a senha para acessar o banco de dados SQL.

96 Microsoft 773
Parâmetro Descrição
Domínio de Autenticação Se você selecionar MSDE como o Tipo de banco de
dados e o banco de dados estiver configurado para
Windows, deverá definir um Domínio de autenticação
do Windows. Caso contrário, deixe este campo em
branco.
Instância de Banco de Dados
Opcional: Se você tiver várias instâncias do SQL server
em seu servidor de banco de dados, digite a instância de
banco de dados.

Importante: Se você tiver uma porta não padrão na

configuração do banco de dados ou o acesso à porta 1434
estiver bloqueado para resolução do banco de dados
SQL, deve-se deixar o parâmetro Database Instance em
branco.
Nome da tabela Digite dbo.AuditData como o nome da tabela ou da
visualização que inclui os registros de eventos de
auditoria.
Selecionar Lista
Digite * para todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para

definir campos específicos de tabelas ou visualizações. A
lista deve conter o campo que está definido no
parâmetro Comparar campo. A lista separada por vírgula
pode ter no máximo 255 caracteres. É possível incluir
caracteres especiais, símbolo de dólar ($), sinal de
número (#), sublinhado (_), traço (-) e ponto (.).
Comparar Campo Digite event_time no parâmetro Compare Field. O
Compare Field identifica novos eventos que são
incluídos entre as consultas, na tabela.
Data e Horário de Início
Opcional: Digite a data e hora de início para a pesquisa
de banco de dados.

O parâmetro Start Date and Time deve ser formatado

como yyyy-MM-dd HH:mm com HH especificado usando um
relógio de 24 horas. Se a data ou hora de início for
limpa, a pesquisa começa imediatamente e repete no
intervalo de pesquisa especificado.
Usar Instruções Preparadas
Marque a caixa de seleção para usar instruções
preparadas

Instruções preparadas permitem que a origem do

protocolo JDBC configure a instrução SQL e, em seguida,
execute a instrução SQL várias vezes com parâmetros
diferentes. Por motivos de segurança e desempenho,
convém usar instruções preparadas.

Limpar esta caixa de seleção requer que você use um

método alternativo de consulta que não use instruções
pré-compiladas.

774 Guia de configuração do QRadar DSM

Parâmetro Descrição
Intervalo de pesquisa
Você pode digitar um número de intervalo de sondagem.
O intervalo de pesquisa é o tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de
10 segundos.

É possível definir um intervalo de pesquisa maior ao

anexar H para horas ou M para minutos ao valor
numérico. O intervalo máximo de pesquisa é 1 semana
em qualquer formato de hora. Valores numéricos que são
inseridos sem H ou M pesquisam em segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você
não deseja que esse protocolo exceda. O valor padrão é
20000 EPS.
Usar Comunicação de Canal Nomeado
Limpe a caixa de seleção Usar comunicações de canal
nomeado.

Se você usar uma conexão Canal nomeado, o nome de

usuário e a senha deverão ser os de autenticação
apropriados do Windows e não os do banco de dados.
Além disso, deve-se usar o Canal nomeado padrão.
Nome do Cluster do Banco de Dados Se você selecionou a caixa de seleção Usar comunicação
do canal nomeado, o parâmetro Nome do cluster do
banco de dados será exibido. Se você estiver executando
seu SQL server em um ambiente em cluster, defina o
nome do cluster.

8. Opcional. Se deseja configurar eventos para o WinCollect, consulte Guia do Usuário do IBM QRadar
WinCollect.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

Microsoft System Center Operations Manager

Um DSM QRadar Microsoft System Center Operations Manager (SCOM) aceita eventos do SCOM
pesquisando o banco de dados OperationsManager e isso permite que o QRadar registre os eventos
relevantes.

Sobre Esta Tarefa

Antes de configurar o QRadar para integração com o Microsoft SCOM, verifique se uma conta de usuário
do banco de dados está configurada com as permissões apropriadas para acessar o banco de dados
SCOM OperationsManager SQL Server. O modo de autenticação apropriado pode precisar ser ativado nas
configurações de Segurança das propriedades do SQL Server. Para obter mais informações, consulte a
documentação do Microsoft SCOM.

Nota: Assegure-se de que nenhuma regra de firewall esteja bloqueando a comunicação entre o QRadar e
o banco de dados SQL Server que está associada ao SCOM. Para instalações do SCOM que usam um
computador separado, dedicado para o banco de dados SQL Server, a visualização EventView é
consultada no sistema de banco de dados, não no sistema que executa o SCOM.

Para configurar o QRadar para receber eventos do SCOM:

96 Microsoft 775
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
3. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
4. Na lista Tipo de origem de log, selecione Microsoft SCOM.
5. Na lista Configuração de protocolo, selecione JDBC.
O protocolo JDBC é exibido.
6. Configure os valores a seguir:
Tabela 438. Parâmetros JDBC do Microsoft SCOM
Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<SCOM Database>@<SCOM Database Server IP or Host Name>

Em que:
v <SCOM Database> é o nome do banco de dados, conforme inserido no parâmetro
Nome do banco de dados.
v <SCOM Database Server IP or Host Name> é o nome do host ou endereço IP para
essa origem de log, conforme inserido no parâmetro IP ou nome do host.
Tipo de banco de dados Na lista, selecione MSDE.
Nome do banco de dados Digite OperationsManager como o nome do banco de dados Microsoft SCOM.
IP ou nome do host Digite o endereço IP ou o nome do host do Microsoft SCOM SQL Server.
Porta Digite o número da porta que é usado pelo servidor de banco de dados. A porta
padrão para o MSDE é 1433.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados Microsoft SCOM. O banco de dados Microsoft SCOM deve ter conexões TCP
recebidas que são ativadas para se comunicar com o QRadar.

Se você definir uma Instância de banco de dados quando MSDE for usado como o
tipo de banco de dados, deve-se deixar o parâmetro Porta em branco na configuração.
Nome do usuário Digite o nome do usuário que é necessário para acessar o banco de dados.
Senha Digite a senha que é necessária para acessar o banco de dados. A senha pode ter até
255 caracteres de comprimento.
Confirmar senha Confirme a senha que é necessária para acessar o banco de dados. A senha de
confirmação deve ser idêntica à senha inserida no parâmetro Senha.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows, deve-se definir um Domínio de autenticação do
Windows. Caso contrário, deixe este campo em branco.
Instância de banco de Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
dados server em seu servidor de banco de dados.

776 Guia de configuração do QRadar DSM

Tabela 438. Parâmetros JDBC do Microsoft SCOM (continuação)
Parâmetro Descrição
Selecionar lista Digite * em todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se você precisar disso para a sua configuração. A lista deve
conter o campo que está definido no parâmetro Comparar campo. A lista separada
por vírgula pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode
incluir os seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#),
sublinhado (_), traço (-) e ponto (.).
Comparar campo Digite TimeAdded como o campo de comparação. O campo de comparação é usado
para identificar novos eventos incluídos entre as consultas na tabela.
Data e hora de início Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

O parâmetro Data e horário de início deve ser formatado como yyyy-MM-dd

HH:mm, com HH especificado usando o relógio de 24 horas. Se a data ou hora de
início for limpa, a pesquisa começa imediatamente e repete no intervalo de pesquisa
especificado.
Usar instruções preparadas Selecione essa caixa de seleção para usar instruções preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez, em seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, é sugerido que você
use as instruções preparadas.

Limpar esta caixa de seleção requer que você use um método alternativo de consulta
que não use instruções pré-compiladas.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Os valores numéricos que são inseridos sem uma pesquisa de H ou
M em segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O valor padrão é 20000 EPS.
Usar comunicação de canal Limpe a caixa de seleção Usar comunicações de canal nomeado.
nomeado
Ao usar uma conexão de Canal Nomeado, o nome de usuário e a senha devem ser o
nome de usuário e a senha de autenticação do Windows apropriados e não os do
banco de dados. Além disso, deve-se usar o canal nomeado padrão.
Nome do cluster do banco Se você marcar a caixa de seleção Usar comunicação de canal nomeado, o parâmetro
de dados Nome do cluster de banco de dados será exibido. Se você estiver executando seu
SQL server em um ambiente em cluster, defina o nome do cluster para assegurar que
a comunicação do canal nomeado funcione corretamente.

Nota: A seleção de um valor maior que 5 para o parâmetro Credibilidade pondera a origem de log
do Microsoft SCOM com uma importância maior se comparada com outras origens de log no QRadar.
7. Clique em Salvar.
8. Na guia Administrador, clique em Implementar mudanças.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

96 Microsoft 777
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Microsoft Windows Defender ATP

O IBM QRadar DSM for Microsoft Windows Defender ATP coleta eventos de um sistema Microsoft
Windows Defender ATP.

Para integrar o Microsoft Windows Defender ATP ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale a
versão mais recente dos RPMs a seguir em seu QRadar Console:
v Protocol Common RPM
v RPM do protocolo de API de REST do Windows Defender ATP
v RPM DSMCommon
v Microsoft Windows Defender ATP DSM RPM
2. Configure o dispositivo Microsoft Windows Defender ATP para enviar eventos ao QRadar.
3. Inclua uma origem de log do Microsoft Windows Defender ATP que use a API de REST do Microsoft
Windows Defender ATP no QRadar Console. O QRadar não detecta automaticamente a API de REST
do Microsoft Windows Defender ATP.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Microsoft Windows Defender ATP DSM specifications

A tabela a seguir descreve as especificações para o Microsoft Windows Defender ATP DSM.
Tabela 439. Microsoft Windows Defender ATP DSM specifications
Especificação Valor
Fabricante Microsoft
Nome do DSM Microsoft Windows Defender ATP
Nome do arquivo RPM DSM-MicrosoftWindowsDefenderATP-QRadar_version-
build_number.noarch.rpm
Versões suportadas N/A
Protocolo Windows Defender API REST ATP
Formato de evento JSON
Tipos de eventos registrados Windows Defender ATP

Windows Defender AV

Terceiros TI

Cliente TI

Bitzagueiro
Descobertos automaticamente? No

778 Guia de configuração do QRadar DSM

Tabela 439. Microsoft Windows Defender ATP DSM specifications (continuação)
Especificação Valor
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Documentação do Microsoft Windows Defender
Advanced Threat Protection (https://
docs.microsoft.com/en-us/windows/security/threat-
protection/windows-defender-atp/windows-defender-
advanced-threat-protection)

Configurando o QRadar para coletar eventos de Microsoft Windows

Defender ATP usando a API REST de ATP do Windows Defender
A API REST de ATP do Microsoft Windows Defender coleta alertas do serviço de segurança do Windows
Defender Advanced Threat Protection.

Antes de Iniciar

Antes de poder incluir uma origem de log no QRadar, deve-se obter as informações de conexão ATP do
Microsoft Windows Defender concluindo as etapas a seguir:
1. Efetue login no Windows Defender Security Center.
2. No menu à esquerda, clique em Configurações.
3. Na janela Configurações, na seção API, clique em SIEM.
4. Na lista Detalhes do aplicativo SIEM, copie e registre os valores para os campos ID do ciente e URL
do servidor de autorização e Recurso. Você precisa desses valores quando configura uma origem de
log no QRadar.

Nota: É necessário o valor do Segredo do cliente para se conectar ao QRadar. O valor do Segredo do
cliente é exibido apenas na primeira vez que você acessa a página. Se você não tiver acesso ao valor
Client Secret, entre em contato com o administrador do Microsoft Azure para solicitar um novo segredo
do cliente.

Procedimento
1. Clique na guia Admin.
2. Clique em Origens de log e, em seguida, clique em Incluir.
3. Na lista Tipo de origem de log, selecione Microsoft Windows Defender ATP.
4. Na lista Configuração de protocolo, selecione API REST do Windows Defender ATP e configure os
parâmetros.
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar alertas do
Microsoft Windows Defender ATP usando a API REST do Windows Defender ATP.

96 Microsoft 779
Tabela 440. Parâmetros de origem de log da API REST do Windows Defender ATP
Parâmetro Valor
URL do Servidor de Autorização A URL para o servidor que fornece a autorização para
obter um token de acesso. O token de acesso é usado
como a autorização para obter eventos do Windows
Defender ATP.

A URL do servidor de autorizações usa o formato:

"https: //login.windows.net/" [ Tenant_ID ]
"/oauth2/token"

Em que <Tenant_ID> é um UUID.

Recurso O recurso que é usado para acessar os eventos do
Windows Defender ATP.
ID do cliente Assegura que o usuário está autorizado a obter um token
de acesso.
Segredo do Cliente Assegura que o usuário está autorizado a obter um token
de acesso. O valor do Segredo do cliente é exibido
apenas uma vez e, em seguida, não é mais visível. Se
você não tiver acesso ao valor Client Secret, entre em
contato com o administrador do Microsoft Azure para
solicitar um novo segredo do cliente.
Regiões Selecione as regiões que estão associadas ao Windows
Defender ATP do qual você deseja coletar logs.
Outra região Digite os nomes de quaisquer regiões adicionais que
estejam associadas ao Windows Defender ATP do qual
você deseja coletar logs.

Use uma lista separada por vírgulas; por exemplo,

region1,region2.
Usar Proxy Se um proxy para o QRadar estiver configurado, todo o
tráfego para a origem de log percorrerá o proxy para que
o QRadar acesse o Windows Defender ATP.

Configure os campos Servidor proxy, Porta de proxy,

Nome do usuário de proxy e Senha de proxy. Se o
proxy não requerer autenticação, configure os campos
Servidor proxy e Porta de proxy.
Recorrência É possível especificar a frequência com que o log coleta
dados. O formato é M/H/D para Meses/Horas/Dias.

O padrão é 5 M.
Regulador de EPS O limite superior para o número máximo de eventos por
segundo (EPS). O padrão é 5000.

5. Clique em Salvar.
6. Na guia Administrador, clique em Implementar mudanças.

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra ao usar o protocolo de API de REST do
Microsoft Windows Defender ATP para o Microsoft Windows Defender ATP DSM:

780 Guia de configuração do QRadar DSM

Tabela 441. A mensagem de amostra do Microsoft Windows Defender ATP suportada pelo Microsoft Windows
Defender ATP.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Comando do Atividade Suspeita {2}{0}{1}{7}-12-27T03:
Windows Defender 54 :41.1914393Z "," ComputerDnsName " :" < Computador
ATP e alerta de DnsName>","AlertTitle":"<AlertTitle>","Categ
controle ory ":" CommandAndControl "," Severity ":" <Severity> ",
"AlertId": "<AlertId>", "Actor": "<Actor>", " LinkToW
DATP ":" <LinkToWDATP> "," IocName ":" <IocName> "," Ioc
Value ":" <IocValue> "," CreatorIocName ":" < CreatorIoc
Nome > "," CreatorIocValue ":" <CreatorIocValue> "," Sha1
":" <Sha1> "," FileName ":" <FileName> "," FilePath ":" < Fi
lePath > "," IpAddress ":" 192.0.2.0 "," Url ":" <Url> "," Io
aDefinitionId ":" <IoaDefinitionId> "," UserName ":" qra
dar1","AlertPart":"<AlertPart>","FullId":"<FullId>
","LastProcessedTimeUtc":"2017-12-27T07:16:34.1412
283Z "," ThreatCategory ":" <ThreatCategory> "," Threat
Family":"<ThreatFamily>","ThreatName":"<ThreatName>
"," RemediationAction ":" <RemediationAction> "," Remed
iationIsSuccess ":" <RemediationIsSuccess> "," Origem "
: "WindowsDefenderAtp", "Md5": "<Md5>", "Sha256": " < Sh
a256 > "," WasExecutingWhileDetected ":" < WasExecuting
WhileDetected > "," UserDomain ":" <UserDomain> "," LogO
nUsers ":" <LogOnUsers> "," MachineDomain ":" < MachineD
omain > "," MachineName ":" <MachineName> "," InternalIP
v4List":"192.0.2.0;127.0.0.1","InternalIPv6List":
"2001:0DB8:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF", " FileHa
sh ":" <FileHash> "," ExternalId ":" <ExternalId> "," Ioc
UniqueId ":" IocUniqueId " }
Windows Defender Símbolos Malware {2}{0}{1}{7}-12-26T21
Alerta de malware : 28:21.5123241Z "," ComputerDnsName " :" < ComputerDns
ATP Name > "," AlertTitle ":" <AlertTitle> "," Category ":" M
alware "," Severity ":" <Severity> "," AlertId ":" < Aler
tId > "," Actor ":" <Actor> "," LinkToWDATP ":" < LinkToWD
ATP>","IocName":"<IocName>","IocValue":"<IocValu
e > "," CreatorIocName ":" <CreatorIocName> "," Creator
IocValue ":" <CreatorIocValue> "," Sha1 ":" <Sha1> "," F
ileName ":" <FileName> "," FilePath ":" <FilePath> "," I
pAddress ":" 192.0.2.0 "," Url ":" <Url> "," IoaDefiniti
onId ":" <IoaDefinitionId> "," UserName ":" qradar1 ","
AlertPart ":" <AlertPart> "," FullId ":" <FullId> "," La
stProcessedTimeUtc ":" 2017-12-27T04:54:17.1700156
Z "," ThreatCategory ":" <ThreatCategory> "," ThreatFa
mily ":" <ThreatFamily> "," ThreatName ":" < ThreatName
>","RemediationAction":"<RemediationAction>","Re
mediationIsSuccess ":" <RemediationIsSuccess> "," So
urce ":" WindowsDefenderAtp "," Md5 ":" <Md5> "," Sha256
":" <Sha256> "," WasExecutingWhileDetected ":" < WasEx
ecutingWhileDetected > "," UserDomain ":" < UserDomain
> "," LogOnUsers ":" <LogOnUsers> "," MachineDomain ":"
<MachineDomain> "," MachineName ":" <MachineName> ","
InternalIPv4List ":" 192.0.2.0; 127.0.0.1 "," Interna
lIPv6List ":" 2001:0DB8:FFFF:FFFF:FFFF:FFFF:FFFF:F
"FFF", "FileHash": "<FileHash>", "ExternalId": " < Exte
rnalId>","IocUniqueId":"IocUniqueId"}

96 Microsoft 781
Tabela 441. A mensagem de amostra do Microsoft Windows Defender ATP suportada pelo Microsoft Windows
Defender ATP. (continuação)
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Windows Defender Símbolos Explorar {2}{0}{1}{7}-11-22T17
ATP explorar alerta : 03:43.8840792Z "," ComputerDnsName " :" < ComputerDns
Name > "," AlertTitle ":" <AlertTitle> "," Category ":" E
xploit "," Severity ":" <Severity> "," AlertId ":" < Aler
tId > "," Actor ":" <Actor> "," LinkToWDATP ":" < LinkToWD
ATP>","IocName":"<IocName>","IocValue":"<IocValu
e > "," CreatorIocName ":" <CreatorIocName> "," Creator
IocValue ":" <CreatorIocValue> "," Sha1 ":" <Sha1> "," F
ileName ":" <FileName> "," FilePath ":" <FilePath> "," I
pAddress ":" 192.0.2.0 "," Url ":" <Url> "," IoaDefiniti
onId ":" <IoaDefinitionId> "," UserName ":" qradar1 ","
AlertPart ":" <AlertPart> "," FullId ":" <FullId> "," La
stProcessedTimeUtc ":" 2017-11-22T17:04:04.8338919
Z "," ThreatCategory ":" <ThreatCategory> "," ThreatFa
mily ":" <ThreatFamily> "," ThreatName ":" < ThreatName
>","RemediationAction":"<RemediationAction>","Re
mediationIsSuccess ":" <RemediationIsSuccess> "," So
urce ":" WindowsDefenderAtp "," Md5 ":" <Md5> "," Sha256
":" <Sha256> "," WasExecutingWhileDetected ":" < WasEx
ecutingWhileDetected > "," UserDomain ":" < UserDomain
> "," LogOnUsers ":" <LogOnUsers> "," MachineDomain ":"
<MachineDomain> "," MachineName ":" <MachineName> ","
InternalIPv4List ":" 192.0.2.0; 127.0.0.1 "," Interna
lIPv6List ":" 2001:0DB8:FFFF:FFFF:FFFF:FFFF:FFFF:F
"FFF", "FileHash": "<FileHash>", "ExternalId": " < Exte
rnalId>","IocUniqueId":"IocUniqueId"}
Windows Defender Porta dos Fundos {2}{0}{1}{7}-11-22T18:01:32.
Alerta de backdoor Detectada 1887775Z "," ComputerDnsName ":" <ComputerDnsName> "
ATP , "AlertTitle": "<AlertTitle>", "Category": " Backdo
ou "," Severity ":" <Severity> "," AlertId ":" < AlertId
>","Actor":"<Actor>","LinkToWDATP":"<LinkToWDATP
> "," IocName ":" <IocName> "," IocValue ":" <IocValue> "
, "CreatorIocName": "<CreatorIocName>", " CreatorIo
cValue ":" <CreatorIocValue> "," Sha1 ":" <Sha1> "," Fi
leName ":" <FileName> "," FilePath ":" <FilePath> "," I
pAddress ":" 192.0.2.0 "," Url ":" <Url> "," IoaDefinit
ionId ":" <IoaDefinitionId> "," UserName ":" qradar1 "
, "AlertPart": "<AlertPart>", "FullId": "<FullId>",
"LastProcessedTimeUtc": " 2017-11-22T18:01:49.873
9015Z "," ThreatCategory ":" <ThreatCategory> "," Thr
eatFamily":"<ThreatFamily>","ThreatName":"<Thre
atName > "," RemediationAction ":" < RemediationActio
n > "," RemediationIsSuccess ":" < RemediationIsSucce
ss>","Source":"WindowsDefenderAtp","Md5":"<Md5>
"," Sha256 ":" <Sha256> "," WasExecutingWhileDetecte
d ":" <WasExecutingWhileDetected> "," UserDomain ":"
<UserDomain> "," LogOnUsers ":" <LogOnUsers> "," Mac
hineDomain":"<MachineDomain>","MachineName":"<
MachineName > "," InternalIPv4List ":" 192.0.2.0; 12
7.0.0.1 "," InternalIPv6List ":" 2001:0DB8:FFFF:FF
FF:FFFF:FFFF:FFFF:FFFF","FileHash":"<FileHash>
"," ExternalId ":" <ExternalId> "," IocUniqueId ":" I
ocUniqueId " }

782 Guia de configuração do QRadar DSM

Microsoft Windows Security Event Log
O DSM do IBM QRadar para o Microsoft Windows Security Event Log aceita eventos syslog dos sistemas
Microsoft Windows.

Para a coleção de eventos dos sistemas operacionais Microsoft, o QRadar suporta os protocolos a seguir:
v MSRPC (Microsoft Security Event Log over MSRPC)
v Syslog (desejado para soluções Snare, BalaBit e outras de terceiros do Windows)
– Common Event Format (CEF) também é suportado.
v WMI ( Microsoft Security Event Log). Este é um protocolo anterior.
v WinCollect. Consulte o Guia do usuário do WinCollect (http://public.dhe.ibm.com/software/security/
products/qradar/documents/iTeam_addendum/b_wincollect.pdf)

Todos os eventos, incluindo o Sysmon, são suportados.

Tarefas relacionadas:
“Ativando o MSRPC em host do Windows” na página 784
Para ativar a comunicação entre o seu host do Windows e o IBM QRadar sobre MSRPC, defina as
configurações do Remote Procedure Calls (RPC) no host do Windows para o protocolo Microsoft Remote
Procedure Calls (MSRPC).
“Ativando o WMI em hosts Windows” na página 788
Para ativar a comunicação entre o host do Windows e o IBM QRadar, é possível usar a Instrumentação de
Gerenciamento Windows (WMI).

Verificando o protocolo MSRPC

Para a maioria dos usuários, o Microsoft Security Event Log sobre o protocolo MSRPC é fornecido
automaticamente para o dispositivo IBM QRadar por meio de atualizações automáticas.

O MSRPC pode ser verificado por meio da interface com o usuário de origens de log ou verificando se o
arquivo RPM do protocolo RPC do Windows Event está instalado por meio do console QRadar.

Verificando o protocolo MSRPC do QRadar Console

É possível verificar se o protocolo MSRPC está instalado no QRadar Console usando SSH.

Sobre Esta Tarefa

Os arquivos RPM a seguir são necessários para coletar e analisar eventos com o protocolo MSRPC.
v PROTOCOL-WindowsEventRPC-<version>.noarch.rpm
v DSM-DSMCommon-<version>.noarch.rpm
v DSM-MicrosoftWindows-<version>.noarch.rpm

Procedimento
1. Efetue login no QRadar Console como o usuário raiz por meio de SSH.
2. Digite yum list|grep -i windows para verificar se o protocolo MSRPC está instalado.
3. Na saída, verifique se PROTOCOL-WindowsEventRPC-<version>.noarch.rpm está instalado.
Se o MSRPC RPM estiver instalado, mas não aparecer na interface com o usuário como parte dos
protocolos para Microsoft Windows Security Event Log, o administrador precisará reiniciar o servidor
da web.
Tarefas relacionadas:
“Reiniciando o servidor da web” na página 784
É preciso ser um administrador para reiniciar o servidor da web.

96 Microsoft 783
Verificando o protocolo MSRPC da interface com o usuário do QRadar
É possível verificar se o MSRPC está instalado por meio da interface com o usuário do QRadar Console.

Procedimento
1. Efetue login no QRadar
2. Clique em Administrador > Origens de dados.
3. Clique no ícone Origens de log
4. Clique em Incluir
5. No campo Tipo de origem de log, selecione Microsoft Windows Security Event Log na lista
6. No campo Configuração de protocolo, verifique se o Microsoft Security Event Log por MSRPC
aparece na lista

Reiniciando o servidor da web

É preciso ser um administrador para reiniciar o servidor da web.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu Avançado, clique em Reiniciar serviço da web.

Instalando o protocolo MSRPC no QRadar Console

Deve-se instalar o RPM do protocolo MSRPC no QRadar Console antes que os eventos possam ser
coletados de um host do Windows.

Antes de Iniciar

Assegure-se de que você faça download do RPM do protocolo MSRPC na IBM Fix Central.

Procedimento
1. Efetue login no QRadar Console como usuário raiz.
2. Copie o RPM do protocolo MSRPC em um diretório no QRadar Console.
3. Acesse o diretório no qual você copiou o RPM do protocolo MSRPC digitando o comando a seguir:
cd <path_to_directory>
4. Instale o RPM do protocolo MSRPC digitando o comando a seguir:
yum –y install PROTOCOL-WindowsEventRPC-<version_number>.noarch.rpm
5. Na guia Administrador do QRadar Console, selecione Avançado > Implementar configuração
completa.
6. Depois de implementar a configuração, selecione Avançado > Reiniciar servidor da web.

Ativando o MSRPC em host do Windows

Para ativar a comunicação entre o seu host do Windows e o IBM QRadar sobre MSRPC, defina as
configurações do Remote Procedure Calls (RPC) no host do Windows para o protocolo Microsoft Remote
Procedure Calls (MSRPC).

Antes de Iniciar

Deve-se ser um membro do grupo de administradores para ativar a comunicação sobre MSRPC entre o
seu host do Windows e o dispositivo QRadar.

784 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

Baseado em testes de desempenho em um dispositivo IBM QRadar QRadar Event Processor 1628 com 128
GB de RAM e 40 núcleos (Intel(R) Xeon(R) CPU E5-2680 v2 @ 2.80 GHz), uma taxa de 8.500 eventos por
segundo (eps) foi obtida com sucesso ao receber e processar simultaneamente logs de outros sistemas não
Windows. O limite de origem de log é 500.

Especificação Valor
Fabricante Microsoft
Tipo de Protocolo O tipo dependente do sistema operacional do protocolo
de procedimento remoto para coleção de eventos.

Selecione uma das opções da lista Tipo de protocolo a

Windows Server 2012 (mais recente)

Windows Server 2012 Core

Windows Server 2008 (mais recente)

Windows Server 2008 Core

Windows 10 (mais recente)

Windows 8 (mais recente)

Windows 7 (mais recente)

Windows Vista (mais recente)

Aplicação desejada A coleção de eventos sem agente para os sistemas
operacionais Windows que podem suportar 100 EPS por
origem de log.

96 Microsoft 785
Especificação Valor
Número máximo de origens de log suportadas 500 origens de log do protocolo MSRPC para cada host
gerenciado (dispositivo de 16xx ou 18xx)
Taxa de EPS geral máxima de MSRPC 8500 EPS para cada host gerenciado
Recursos Especiais Suporta eventos criptografados por padrão.
Permissões requeridas O usuário de origem de log deve ser membro do grupo
Leitores de log de eventos. Se esse grupo não estiver
configurado, os privilégios do administrador de domínio
serão necessários na maioria dos casos para pesquisar
um log de eventos do Windows em um domínio. Em
alguns casos, o grupo Operadores de backup também
pode ser usado dependendo de como os Objetos de
Política de Grupo do Microsoft estão configurados.

Os usuários do sistema operacional Windows XP e 2003

Sistema

Security

Servidor DNS

Replicação de Arquivos

Logs de Serviço de diretório

Requisitos do serviço do Windows Para o Windows Server 2008 e Windows Vista, use os
serviços a seguir:
v Chamada de Procedimento Remoto (RPC)
v RPC Endpoint Mapper

Para o Windows 2003, use o Registro e Servidor

Remotos.
Requisitos de porta do Windows Assegure-se de que os firewalls externos entre o host do
Windows e o dispositivo QRadar sejam configurados
para permitir a entrada e a saída de conexões TCP nas
portas a seguir:

Para o Windows Server 2008 e Windows Vista, use as

portas a seguir:
v Porta TCP 135
v Porta TCP que é dinamicamente alocada para RPC,
acima de 49152

Para o Windows 2003, use as portas a seguir:

v Porta TCP 445
v Porta TCP 139
Descobertos automaticamente? No

786 Guia de configuração do QRadar DSM

Especificação Valor
Inclui identidade? Sim
Inclui propriedades customizadas? Um pacote de conteúdo de segurança com as
propriedades de evento customizado do Windows está
disponível no Fix Central da IBM.
Arquivos RPM necessários PROTOCOL-WindowsEventRPC-QRadar_release-
Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-
Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Informações adicionais Suporte do Microsoft (http://support.microsoft.com/)
Ferramenta de resolução de problemas disponível A ferramenta de teste MSRPC faz parte do RPM do
protocolo MSRPC. Após a instalação do RPM do
protocolo MSRPC, a ferramenta de teste MSRPC pode
ser localizada em /opt/qradar/jars

Procedimento
1. Efetue login no QRadar como administrador.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. Na lista Tipo de origem de log, selecione Microsoft Windows Security Event Log.
6. Na lista Configuração de protocolo, selecione Microsoft Security Event Log over MSRPC.
7. Na lista Identificador de origem de log, digite o endereço IP ou o nome do host do sistema
Windows que você pretende pesquisar para eventos. Os nomes de host devem ser inseridos como
nomes completos do domínio (FQDN), como myhost.example.com.
8. No campo Domínio, digite o domínio do sistema Windows.
9. Configure os parâmetros de nome de usuário e senha de origem de log.
10. Opcional: Configure o campo Intervalo de pesquisa.

Nota: O campo Intervalo de pesquisa (s) não ajusta o desempenho de origem de log como com as
origens de log do WinCollect. Para pesquisar os sistemas de taxa de evento baixa com largura de
banda limitada, é possível aumentar o intervalo de pesquisa para reduzir o uso da rede.
11. Configure o campo Regulador de evento.
12. Na lista Tipo de protocolo, selecione o tipo de protocolo para seu sistema operacional.
13. Marque pelo menos uma das caixas de seleção Tipos de log padrão.

Importante: Se você usar o protocolo Microsoft Security Event Log ou Microsoft Security Event
Log over MSRPC, selecione somente os tipos de logs que são suportados no host de destino do
Windows.
14. Marque pelo menos uma das caixas de seleção Tipos de evento.
15. Clique em Salvar.
16. Na guia Administrador, clique em Implementar mudanças.

Diagnosticando problemas de conexão com a ferramenta de teste

MSRPC
Use a ferramenta de teste MSRPC para verificar a conexão entre o IBM QRadardispositivo e um host
Windows.
96 Microsoft 787
Antes de Iniciar

Assegure-se de que o PROTOCOL-WindowsEventRPC-<version_number> esteja instalado no dispositivo

QRadar.

Sobre Esta Tarefa

A ferramenta de teste MSRPC pode ser usada para resolução de problemas de conexão e para testar a
conexão inicial entre o host e o dispositivo QRadar a fim de assegurar que o host esteja configurado
corretamente. A Tabela 1 descreve as sinalizações da opção de ferramenta de teste MSRPC.
Tabela 442. Sinalizações de ferramenta de teste MSRPC
Flags Descrição
-? ou --help Exibe a ajuda e informações de uso para a ferramenta
MSRPC.
-b Exibe informações de depuração, se disponíveis.
-d <domain> Domínio do Active Directory ou nome do host se em um
grupo de trabalho.
-e <protocol> Protocolo remoto de log de eventos.

Valores: MSEVEN, MSEVEN6 e AUTO

Padrão: AUTO
-h <hostname/ip> Nome do host ou endereço IP do host do Windows.
-p <password> Senha
-u <username> Username
-w <poll> Modo de pesquisa. Especifique um ou mais canais de log
de eventos.

Valores: Security, System, Application, DNS Server, File

Replication Service, Directory Service

Separe vários valores por vírgula. Exemplo: Application,

Security.

Padrão: Security

Procedimento
1. Efetue login no QRadar Console.
2. Para usar a ferramenta de teste MSRPC, digite o comando a seguir:
cd /opt/qradar/jars
3. Para testar a conexão entre o QRadar e o host Windows, digite o comando a seguir:
java -jar Q1MSRPCTest.jar
4. Opcional: para obter mais opções de uso, digite java -jar Q1MSRPCTest.jar --help

Ativando o WMI em hosts Windows

Para ativar a comunicação entre o host do Windows e o IBM QRadar, é possível usar a Instrumentação de
Gerenciamento Windows (WMI).

Antes de Iniciar

Deve-se ser um membro do grupo de administradores no computador remoto para configurar o host
WMI/DCOM Windows e o dispositivo QRadar.
788 Guia de configuração do QRadar DSM
Sobre Esta Tarefa

O protocolo de Log de eventos de segurança (WMI) da Microsoft não é recomendado para coleção de
eventos em que mais de 50 EPS são necessários ou para servidores com conexões de rede lentas, como
satélite ou redes WAN lentas. Os atrasos de rede que são criados por conexões lentas diminuem o
rendimento de EPS disponível para servidores remotos. Conexões mais rápidas podem usar MSRPC
como uma alternativa. Se não for possível diminuir o tempo de atraso de roundtrip de rede,
recomendamos que você use um agente, como o WinCollect.

Especificação Valor
Fabricante Microsoft
Nome do DSM Windows Log de Eventos de Segurança
Versões suportadas
Windows Server 2016

Windows Server 2012 (mais recente)

Windows Server 2012 Core

Windows Server 2008 (mais recente)

Windows Server 2008 Core)

Windows 10 (mais recente)

Windows 8 (mais recente)

Windows 7 (mais recente)

Windows Vista (mais recente)

Recursos Especiais Suporta eventos criptografados por padrão.
Aplicação desejada Coleção de eventos sem agente para sistemas
operacionais Windows sobre WMI que tem capacidade
de 50 EPS por origem de log.
Importante: Este é um protocolo anterior. Na maioria
dos casos, novas origens de log devem ser configuradas
usando o protocolo Microsoft Security Event Log over
MSRPC.
Instruções de configuração especiais Configurando o DCOM e o WMI para recuperar eventos
do Windows 7 (http://www.ibm.com/support/
docview.wss?uid=swg21678809)

Configurando o DCOM e o WMI para recuperar eventos

do Windows 8 e Windows 2012, (http://www.ibm.com/
support/docview.wss?uid=swg21681046)
Requisitos de porta do Windows Deve-se assegurar que os firewalls externos entre o host
do Windows e o dispositivo QRadar estejam
configurados para permitir conexões TCP de entrada e
saída nas portas a seguir:
v Porta TCP 135 (todas as versões do sistema
operacional)
v Porta TCP que é alocada dinamicamente acima de
49152 (necessário para sistemas operacionais Vista e
acima)

96 Microsoft 789
Especificação Valor
Requisitos do serviço do Windows Os serviços a seguir deverão ser configurados para início
automático:
v Chamada de Procedimento Remoto (RPC)
v Localizador do Remote Procedure Call (RPC)
v RPC Endpoint Mapper
v Registro remoto
v Servidor
v Windows Instrumentação de Gerenciamento
Permissões de origem de log O usuário de origem de log deve ser membro do grupo
Leitores de log de eventos. Se esse grupo não estiver
configurado, os privilégios do administrador de domínio
serão necessários na maioria dos casos para pesquisar
um log de eventos do Windows em um domínio. Em
alguns casos, o grupo Operadores de backup também
pode ser usado dependendo de como os Objetos de
Política de Grupo do Microsoft estão configurados.

O usuário de origem de log deve ter acesso aos

componentes a seguir:
v Componentes DCOM do protocolo de log de eventos
do Windows
v Windows espaço de nome do protocolo de log de
eventos
v Acesso apropriado às chaves de registro remoto
Tipos de eventos suportados Aplicativo

Sistema

Security

Servidor DNS

Replicação de Arquivos

logs de Serviço de diretório

Descobertos automaticamente? Não, é requerida a criação de origem de log manual
Inclui identidade? Sim
Inclui propriedades customizadas? Um pacote de conteúdo de segurança com as
propriedades de evento customizado do Windows está
disponível no Fix Central da IBM.
Arquivos RPM necessários PROTOCOL-WinCollectWindowsEventLog-QRadar_release-
Build_number.noarch.rpm

DSM-MicrosoftWindows-QRadar_release-
Build_number.noarch.rpm

DSM-DSMCommon-QRadar_release-Build_number.noarch.rpm
Informações adicionais Suporte da Microsoft (support.microsoft.com/)
Ferramenta de resolução de problemas disponíveis Sim, uma ferramenta de teste WMI está disponível em
/opt/qradar/jars.

790 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Na lista Tipo de origem de log, selecione Microsoft Windows Security Event Log.
5. Na lista Configuração de protocolo, selecione Microsoft Security Event Log.
6. Na lista Identificador de origem de log, digite o endereço IP ou o nome do host do sistema
Windows que você pretende pesquisar para eventos. Os nomes de host devem ser inseridos como
nomes completos do domínio (FQDN), como myhost.example.com.
7. No campo Domínio, digite o domínio do sistema Windows.
8. Configure os parâmetros de nome de usuário e senha de origem de log.
9. Marque pelo menos uma das caixas de seleção Tipos de log padrão.

Importante: Se você usar o protocolo Microsoft Security Event Log ou Microsoft Security Event
Log over MSRPC, selecione somente os tipos de logs que são suportados no host de destino do
Windows.
10. Marque pelo menos uma das caixas de seleção Tipos de evento.
11. Clique em Salvar.
12. Na guia Administrador, clique em Implementar mudanças.

96 Microsoft 791
792 Guia de configuração do QRadar DSM
97 Motorola Symbol AP
O DSM Motorola Symbol AP para o IBM QRadar registra todos os eventos relevantes encaminhados
pelos dispositivos Motorola Symbol AP usando syslog.

Configurando uma origem de log

Para integrar o Motorola SymbolAP com o IBM QRadar, deve-se criar manualmente uma fonte de log
para receber eventos.

Sobre Esta Tarefa

O QRadar não descobre ou cria automaticamente origens de log para eventos syslog dos dispositivos
Motorola SymbolAP. Nos casos em que a origem de log não é descoberta automaticamente, é sugerido
que você crie uma origem de log antes de encaminhar eventos para o QRadar.

Para configurar uma origem de log:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar.

Configurar eventos syslog para Motorola Symbol AP

É possível configurar o dispositivo para encaminhar eventos syslog para o IBM QRadar.

© Copyright IBM Corp. 2005, 2019 793

Procedimento
1. Efetue login na interface com o usuário do dispositivo Symbol AP.
2. No menu, selecione Configuração do sistema > Configuração de criação de log.
A janela Ponto de acesso é exibida.
3. Usando a lista Nível de criação de log, selecione o nível de log desejado para eventos do sistema de
rastreamento. As opções são:
0 - Emergencial
1 - Alerta
2 – Crítico
3 - Erros
4 – Aviso
5 – Aviso
6 - Informações. Este é o padrão.
7 - Depuração
4. Marque a caixa de seleção Ativar criação de log para um servidor syslog externo.
5. No campo Endereço IP do servidor syslog, digite o endereço IP de um servidor syslog externo, como
QRadar.
Isso é necessário para rotear os eventos syslog para o QRadar.
6. Clique em Aplicar.
7. Clique em Logout.
Uma janela de confirmação é exibida.
8. Clique em OK para sair do aplicativo.
A configuração está concluída. Os eventos encaminhados para o QRadar são exibidos na guia
Atividade de log.

794 Guia de configuração do QRadar DSM

98 Par Nome-Valor
O DSM do Par Nome-Valor dá a você a opção de integrar o IBM QRadar com dispositivos que
normalmente podem não enviar logs de syslog.

O DSM de Par Nome-Valor fornece um formato de log que oferece a opção de enviar logs para o QRadar.
Por exemplo, para um dispositivo que não exporta logs nativamente com syslog, é possível criar um
script para exportar os logs de um dispositivo que o QRadar não suporta, formatar os logs no formato de
log do Par Nome-Valor e enviar os logs para o QRadar usando syslog.

A origem de log do DSM do Par Nome-Valor que é configurada no QRadar então recebe os logs e é
capaz de analisar os dados, visto que os logs são recebidos no formato de log do Par Nome-Valor.

Nota: Os eventos para o DSM do Par Nome-Valor não são descobertos automaticamente pelo QRadar.

O DSM do Par Nome-Valor aceita eventos usando syslog. O QRadar grava todos os eventos relevantes. O
formato de log para o DSM do Par Nome-Valor deve ser uma lista de linha única separada por tabulação
de Name=Parameter. O DSM do Par Nome-Valor não requer um cabeçalho syslog válido.

Nota: O DSM do Par Nome-Valor supõe haver capacidade para criar scripts customizados ou
conhecimento aprofundado dos recursos do seu dispositivo para enviar logs ao QRadar usando syslog no
formato do Par Nome-Valor.

O DSM do Par Nome-Valor está apto a analisar as tags a seguir:

Tabela 444. Tags de formato de log do Par Nome-Valor
Tag Descrição
DeviceType Digite NVP como o DeviceType. Isso identifica os formatos de log
como uma mensagem de log do Par nome-valor.

Esse é um parâmetro necessário e DeviceType=NVP deve ser o

primeiro par na lista.
EventName Digite o nome do evento que você deseja usar para identificar o
evento na interface de Eventos quando utilizar as funções de
Mapeamento de eventos. Para obter mais informações sobre
mapeamento de eventos, consulte o Guia do Usuário do IBM
QRadar.

Esse é um parâmetro necessário.

EventCategory Digite a categoria de evento que você deseja usar para identificar
o evento na interface de Eventos. Se esse valor não for incluído na
mensagem de log, o valor NameValuePair será usado.
SourceIp Digite o endereço IP de origem para a mensagem.
SourcePort Digite a porta de origem para a mensagem.
SourceIpPreNAT Digite o endereço IP de origem para a mensagem antes que a
conversão de endereço de rede (NAT) ocorra.
SourceIpPostNAT Digite o endereço IP de origem para a mensagem depois que NAT
ocorrer.
SourceMAC Digite o endereço MAC de origem para a mensagem.

© Copyright IBM Corp. 2005, 2019 795

Tabela 444. Tags de formato de log do Par Nome-Valor (continuação)
Tag Descrição
SourcePortPreNAT Digite a porta de origem para a mensagem antes que NAT ocorra.
SourcePortPostNAT Digite a porta de origem para a mensagem depois que NAT
ocorrer.
DestinationIp Digite o endereço IP de destino para a mensagem.
DestinationPort Digite a porta de destino para a mensagem.
DestinationIpPreNAT Digite o endereço IP de destino para a mensagem antes que NAT
ocorra.
DestinationIpPostNAT Digite o endereço IP para a mensagem depois que NAT ocorrer.
DestinationPortPreNAT Digite a porta de destino para a mensagem antes que NAT ocorra.
DestinationPortPostNAT Digite a porta de destino para a mensagem depois que NAT
ocorrer.
DestinationMAC Digite o endereço MAC de destino para a mensagem.
DeviceTime Digite o horário em que o evento foi enviado, de acordo com o
dispositivo. O formato é: YY/MM/DD hh:mm:ss. Se nenhum
horário específico for fornecido, o cabeçalho syslog ou o parâmetro
DeviceType será aplicado.
UserName Digite o nome do usuário que está associado ao evento.
HostName Digite o nome do host que está associado ao evento. Geralmente,
esse parâmetro está associado somente a eventos de identidade.
GroupName Digite o nome do grupo que está associado ao evento. Geralmente,
esse parâmetro está associado somente a eventos de identidade.
NetBIOSName Digite o nome do NetBIOS que está associado ao evento.
Geralmente, esse parâmetro está associado somente a eventos de
identidade.
Identity Digite TRUE ou FALSE para indicar se você deseja que este evento
gere um evento de identidade.

Um evento de identidade será gerado se a mensagem de log

contiver o parâmetro SourceIp (se o parâmetro IdentityUseSrcIp
estiver configurado para TRUE) ou DestinationIp (se o parâmetro
IdentityUseSrcIp estiver configurado para FALSE) e um dos
parâmetros a seguir: UserName, SourceMAC, HostName,
NetBIOSName ou GroupName.
IdentityUseSrcIp Digite TRUE ou FALSE (padrão).

TRUE indica que você deseja usar o endereço IP de origem para a

identidade. FALSE indica que você deseja usar o endereço IP de
destino para a identidade. Esse parâmetro será usado somente se o
parâmetro de Identidade estiver configurado para TRUE.

Exemplo 1

O exemplo a seguir analisa todos os campos:

796 Guia de configuração do QRadar DSM

DeviceType=NVP EventName=Test
DestinationIpPostNAT=<IP_address>
DeviceTime=2007/12/14 09:53:49
SourcePort=1111 Identity=FALSE SourcePortPostNAT=3333
DestinationPortPostNAT=6666 HostName=testhost
DestinationIpPreNAT= <IP_address> SourcePortPreNAT = 2222
DestinationPortPreNAT=5555 SourceMAC=<MAC_address>
SourceIp=<IP_address> SourceIpPostNAT=<IP_address>
NetBIOSName=<BIOS_name> DestinationMAC=<MAC_address>
EventCategory=Accept DestinationPort=4444
GroupName=testgroup SourceIpPreNAT=<IP_address>
UserName= <Username> DestinationIp= <IP_address>

Exemplo 2

O exemplo a seguir fornece identidade usando o endereço IP de destino:

< 133 > Apr 16 12:41:00 192.0.2.1 namevaluepair:
DeviceType=NVP EventName=Test EventCategory=Accept
Identity=TRUE SourceMAC=<MAC_address>
SourceIp=<Source_IP_address> DestinationIp=<Destination_IP_address>
UserName= <Username>

Exemplo 3

O exemplo a seguir fornece identidade usando o endereço IP de origem:

DeviceType=NVP EventName=Test
EventCategory=Accept DeviceTime=2007/12/14 09:53:49
SourcePort=5014 Identity=TRUE IdentityUseSrcIp=TRUE
SourceMAC=<MAC_address> SourceIp=<Source_IP_address>
DestinationIp=<Destination_IP_address>
DestinationMAC=<MAC_address> UserName=<Username>

Exemplo 4

O exemplo a seguir fornece uma entrada sem identidade:

DeviceType=NVP EventName=Test
EventCategory=Accept DeviceTime=2007/12/14 09:53:49
SourcePort=5014 Identity=FALSE
SourceMAC=<MAC_address>
SourceIp=<Source_IP_address>
DestinationIp=<Destination_IP_address>
DestinationMAC=<MAC_address>
UserName= <Username>

98 Par Nome-Valor 797

798 Guia de configuração do QRadar DSM
99 DDoS Seguro do NCC
O IBM QRadar DSM for NCC Group DDoS Secure coleta eventos dos dispositivos NCC Group DDoS
Secure.

A tabela a seguir descreve as especificações para o NCC Group DDoS Secure DSM:
Tabela 445. Especificações do DSM NCC Group DDoS Secure
Especificação Valor
Fabricante Grupo do NCC
Nome do DSM DDoS Seguro do NCC
Nome do arquivo RPM DSM-NCCGroupDDoSSecure-QRadar_version-
build_number.noarch.rpm
Versões suportadas 5.13.1-2s a 5.16.1-0
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do NCC Group (https: //www.nccgroup.trust/
uk/)

Para integrar o NCC Group DDoS Secure ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM DDoS Secure do NCC
2. Configure o dispositivo NCC Group DDoS Secure para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do NCC
Group DDoS Secure no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para coletar eventos do NCC Group DDoS Secure:
Tabela 446. Parâmetros de origem de log do NCC Group DDoS Secure
Parâmetro Valor
Tipo de origem de log DDoS Seguro do NCC
Configuração do Protocolo Syslog

© Copyright IBM Corp. 2005, 2019 799

Tabela 447. Mensagem de amostra do DDoS Secure do NCC
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Ataque TCP - Varredura de Varredura de Porta do < 134 > LEEF:1.0 | NCCGroup | DDoS Secure
porta - END |5.16.2-1|4078|desc=TCP Attack
- Port Scan sev=4 myip=<IP_address
proto = TCP scrPort
=0 dstPort=0 src=<Source_IP_address>
dst= <Destination_IP_address> cat=
END devTime= 2017-06-05 11:
26:00 devTimeFormat=yyyy-MM
-dd HH:mm:ss end=2017-06-05
11:34:33 CurrentPps=0
PeakPps=14 totalPackets=243
realm= <Domain> action = DROP

Configurando o NCC Group DDoS Secure para se comunicar com o

QRadar
O NCC Group DDoS Secure DSM for IBM QRadar recebe eventos dos dispositivos do NCC Group DDoS
Secure usando syslog em formato Log Event Extended Format (LEEF). O QRadar registra todos os
eventos de status e condição de rede relevantes.

Procedimento
1. Efetue login no NCC Group DDoS Secure.
2. Acesse a janela Servidor syslog estruturado.
3. No campo Endereço(s) IP do servidor, digite o endereço IP do QRadar Console.
4. Na lista Formato, selecione LEEF.
5. Opcional: Se você não desejar usar o padrão de local0 no campo Recurso, digite um valor de recurso
syslog.
6. Na lista Prioridade, selecione o nível de prioridade de syslog que você deseja incluir. Os eventos que
atendem ou excedem o nível de prioridade de syslog que você seleciona são encaminhados para o
QRadar.
7. No campo Atualização de log (Segundos), especifique um tempo de atualização para logs
estruturados. O tempo de atualização é especificado em segundos.
8. No campo Largura de banda de pico normal, especifique a largura da banda de pico normal
esperada do dispositivo.

800 Guia de configuração do QRadar DSM

100 NetApp Data ONTAP
O IBM QRadar aceita eventos syslog de um host Windows usando o plug-in WinCollect NetApp Data
ONTAP.

Para obter mais informações sobre a configuração NetApp Data ONTAP, consulte o Guia do Usuário do
IBM QRadar WinCollect.

© Copyright IBM Corp. 2005, 2019 801

802 Guia de configuração do QRadar DSM
101 Netskope Active
O DSM do IBM QRadar para o Netskope Active coleta eventos dos servidores Netskope Active.

A tabela a seguir identifica as especificações para o DSM Netskope Active:

Tabela 448. Especificações do DSM Netskope Active
Especificação Valor
Fabricante Netskope
Nome do DSM Netskope Active
Nome do arquivo RPM DSM-NetskopeActive-Qradar_version-
build_number.noarch.rpm
Protocolo API REST do Netskope Active
Tipos de eventos registrados Alerta, Todos
Descobertos automaticamente? Não
Inclui identidade? Sim
Informações adicionais website do Netskope Active (www.netskope.com)

Para integrar o DSM Netskope Active com o QRadar, conclua as etapas a seguir:

Nota: Se diversos RPMs do DSM forem necessários, a sequência de integração deverá refletir a
dependência do RPM do DSM.
1. Se atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente dos
DSMs a seguir no QRadar Console.
v RPM do DSM Netskope Active
v RPM do protocolo da API REST do Netskope Active
v RPM do PROTOCOL-Common
2. Configure os parâmetros necessários e use a tabela a seguir para os parâmetros específicos da origem
de log do Netskope Active:
Tabela 449. Parâmetros de origem de log do Netskope Active
Parâmetro Valor
Tipo de origem de log Netskope Active
Configuração de protocolo API REST do Netskope Active

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando o QRadar para coletar eventos do sistema Netskope Active” na página 804
Para coletar todos os logs de auditoria e eventos do sistema dos servidores Netskope Active, deve-se
configurar o QRadar para coletar logs de auditoria e eventos do sistema Netskope Active.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

© Copyright IBM Corp. 2005, 2019 803

Configurando o QRadar para coletar eventos do sistema Netskope
Active
Para coletar todos os logs de auditoria e eventos do sistema dos servidores Netskope Active, deve-se
configurar o QRadar para coletar logs de auditoria e eventos do sistema Netskope Active.

Sobre Esta Tarefa

A tabela a seguir descreve os parâmetros que são necessários para coletar eventos do Netskope Active:
Tabela 450. Parâmetros de origem de log do DSM Netskope Active
Parâmetro Descrição
IP ou nome do host <customer_tenant_name>.goskope.com
Token de autenticação O token de autenticação é gerado no Netskope WebUI e
é a única credencial requerida para uso da API REST do
Netskope Active. Para acessar a opção de geração de
token no Netskope WebUI, selecione Configurações >
API REST.
Adquirir automaticamente certificados do servidor Se você escolher Sim na lista, o QRadar fará download
automaticamente do certificado e começará a confiar no
servidor de destino. O servidor correto deve ser inserido
no campo IP ou nome do host.
Regulador O número máximo de eventos por segundo. O padrão é
5000.
Recorrência É possível especificar quando a origem de log tenta obter
dados. O formato é M/H/D para Meses/Horas/Dias. O
padrão é 1 M.
Tipo de coleção
Todos os eventos
Selecione para coletar todos os eventos.
Somente alertas
Selecione para coletar somente alertas.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione Netskope Active.
7. Na lista Configuração de protocolo, selecione API REST do Netskope Active.
8. Configure os parâmetros.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

804 Guia de configuração do QRadar DSM

102 Servidor HTTP NGINX
O DSM do IBM QRadar para o Servidor HTTP NGINX coleta eventos Syslog de um dispositivo Servidor
HTTP NGINX.

Para integrar o Servidor HTTP NGINX com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale a
versão mais recente dos RPMs a seguir em seu QRadar Console:
v RPM do DSM do Servidor HTTP Apache
v RPM do DSM NGINX HTTP Server
2. Configure seu dispositivo Servidor HTTP NGINX para enviar eventos para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Servidor
HTTP NGINX no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para coletar eventos Syslog do Servidor HTTP NGINX:
Tabela 451. Parâmetros de origem de log Syslog do Servidor HTTP NGINX
Parâmetro Valor
Tipo de origem de log Servidor HTTP NGINX
Configuração de protocolo Syslog
Identificador de Fonte de Log O endereço IPv4 ou o nome do host que identifica a
origem de log. Se sua rede contiver diversos dispositivos
conectados a um console de gerenciamento único,
especifique o endereço IP do dispositivo individual que
criou o evento. Um identificador exclusivo, como um
endereço IP, evita que as procuras de eventos
identifiquem o console de gerenciamento como a fonte
para todos os eventos.

Especificações DSM do Servidor HTTP NGINX

A tabela a seguir descreve as especificações para o DSM do Servidor HTTP NGINX.
Tabela 452. Especificações DSM do Servidor HTTP NGINX
Especificação Valor
Fabricante NGINX
Nome do DSM Servidor HTTP NGINX
Nome do arquivo RPM DSM-NginxWebserver-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 1.15.5
Protocolo Syslog

© Copyright IBM Corp. 2005, 2019 805

Tabela 452. Especificações DSM do Servidor HTTP NGINX (continuação)
Especificação Valor
Formato de evento LEEF, syslog padrão
Tipos de eventos registrados Log de erros, log de acesso
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Informações do produto NGINX HTTP Server (https:
//nginx.com)

Configurando o Servidor HTTP NGINX para se comunicar com o

QRadar
Para coletar eventos do Servidor HTTP NGINX, configure o dispositivo Servidor HTTP NGINX para
encaminhar eventos Syslog para o QRadar.

Procedimento
1. Efetue login no dispositivo Servidor HTTP NGINX.
2. Abra o arquivo nginx.conf .
3. Inclua a sequência de formatação LEEF a seguir em http block. Para obter mais informações sobre
como configurar a criação de log, consulte https://docs.nginx.com/nginx/admin-guide/monitoring/
logging/.
log_format qradar ’ LEEF:1.0 | NGINX | NGINX | $nginx_version | $stattus|devTime=$time_local \tdevTimeFor
mat=dd/MMM/yyyy :HH :mm:ss Z \tsrc=$remote_addr \tdst=$server_addr \tdstPort=$server_port \t ’ ’proto=$server
_protocol \tusrName=$remote_user \trequest=$request \t ’
’ body_bytes_sent=$body_bytes_sent
\thttp_referer=$http_referer \thttp_true_cli
ent_ip=$http_true_client_ip \t ’
’http_user_agent=$http_user_agent\
thttp_x_header=$http_x_header\thttp_x_for
warded_for=$http_x_forwarded_for \t ’
’ request_time=$request_time
\tupstream_response_time=$upstream_response_time\
tpipe=$pipe \t ’’uri_query=$query_string \turi_path=$uri
\tcookie=$http_cookie’;
4. Inclua a configuração do servidor syslog a seguir em http block.
access_log syslog:server=QRadar_Server_IP: 514
,facilitaity=Facility_Parameter qradar;
5. Salve sua configuração.
6. Para verificar a configuração, digite o comando a seguir:
nginx -t
7. Se NGINX estiver em execução, recarregue a configuração, digitando o comando a seguir:
nginx -s reload

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece mensagens de eventos de amostra ao usar o protocolo Syslog para o Servidor
HTTP do DSM NGINX:

806 Guia de configuração do QRadar DSM

Tabela 453. Mensagem de amostra do Servidor HTTP NGINX suportada pelo Servidor HTTP NGINX.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
404 Status do Sistema LEEF:1.0 | NGINX | NGINX|1.15.5 | 404 |devTime=
29/Oct/2018:15:36:58 -0300 src=127.0.0.1
dst=127.0.0.1 dstPort=80 proto=HTTP/1.1
usrName=- request=GET /nginx_status HTTP/1.1
body_bytes_sent=153
http_referer=- http_true
_client_ip=-
http_user_agent=curl/7.29.0 htt
p_x_header=-
http_x_forwarded_for=- request_
time=0.000
upstream_response_time=- pipe
=. uri_query=- uri_path=/nginx_status
cookie=-
Conexão recusada Negação de < 187 > Sep 19 07:46:27 company3-hst ng
Firewall inx: 2018/09/19 07:46:27 [ erro ] 24881#24881
: * 416 connect () failed (111: Connection ref
usado) ao conectar-se ao cliente de envio de dados,
cliente: 198.51.100.111, servidor: ute-hst.company.com
, request: "POST /api/v1/view/bill HTTP/1.1"
, upstream: "http://198.51.100.225:9000/v1/
view/bill ", host:" 198.51.100.25:8080", ref
errer: "https: //www.hst.company.com/web/totes /"

102 Servidor HTTP NGINX 807

808 Guia de configuração do QRadar DSM
103 Niksun
O DSM Niksun para o IBM QRadar registra todos os eventos relevantes do Niksun usando syslog.

É possível integrar o NetDetector/NetVCR2005 versão 3.2.1sp1_2 com o QRadar. Antes de configurar o

QRadar para integração com um dispositivo Niksun, deve-se configurar uma origem de log e, em
seguida, ativar o encaminhamento de syslog no dispositivo Niksun. Para obter mais informações sobre
como configurar o Niksun, consulte a Documentação do dispositivo Niksun.

Configurando uma origem de log

Para integrar o Niksun com o IBM QRadar, deve-se criar manualmente uma origem de log para receber
eventos.

Sobre Esta Tarefa

O QRadar não descobre ou cria automaticamente origens de log para eventos syslog de dispositivos
Niksun. Nos casos em que a origem de log não é descoberta automaticamente, é sugerido que você crie
uma origem de log antes de encaminhar eventos para o QRadar.

Para configurar uma origem de log:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar.

© Copyright IBM Corp. 2005, 2019 809

810 Guia de configuração do QRadar DSM
104 Nokia Firewall
O Check Point Firewall-1 DSM permite que o IBM QRadar aceite eventos de Firewall baseados em Check
Point enviados de dispositivos Nokia Firewall usando syslog ou protocolos OPSEC.

Integração com um Nokia Firewall usando syslog

Esse método fornece a opção de configurar o Nokia Firewall para aceitar eventos syslog Check Point que
são encaminhados pelo dispositivo Nokia Firewall.

Para configurar o IBM QRadar para integração com um dispositivo Nokia Firewall, execute as etapas a
seguir:
1. Configure iptables no seuQRadar Console ou no Event Collector para receber eventos syslog do Nokia
Firewall.
2. Configure o Nokia Firewall para encaminhar dados do evento syslog.
3. Configure os eventos que são registrados pelo Nokia Firewall.
4. Opcional. Configure uma origem de log no QRadar.

Configurando IPtables
Firewalls Nokia requerem uma reconfiguração de TCP (rst) ou um reconhecimento de TCP (ack) do IBM
QRadar na porta 256 antes de encaminharem eventos syslog.

Sobre Esta Tarefa

A solicitação de TCP do Nokia Firewall é uma solicitação de status on-line que é projetada para assegurar
que o QRadar esteja on-line e seja capaz de receber eventos syslog. Se uma reconfiguração ou um
reconhecimento válido for recebido do QRadar, o Nokia Firewall começará a encaminhar eventos para o
QRadar na porta UDP 514. Por padrão, o QRadar não responde a quaisquer solicitações de status on-line
na porta TCP 256.

Deve-se configurar IPtables no QRadar Console ou em qualquer Event Collector que receba eventos
Check Point de um Firewall Nokia para responder a uma solicitação de status on-line.

Procedimento
1. Usando SSH, efetue login no QRadar como o usuário raiz.
Login: root
Senha: <password>
2. Digite o comando a seguir para editar o arquivo de IPtables:
vi /opt/qradar/conf/iptables.pre
O arquivo de configuração de IPtables é exibido.
3. Digite o comando a seguir para instruir o QRadar a responder ao seu Nokia Firewall com uma
reconfiguração de TCP na porta 256:
-A INPUT -s <IP address> -p tcp --dport 256 -j REJECT --reject-with tcp-reset
Em que <IP address> é o endereço IP do seu Nokia Firewall. Deve-se incluir uma reconfiguração de
TCP para cada endereço IP do Nokia Firewall que envia eventos para o QRadar Console ou Event
Collector, por exemplo,
v -A INPUT -s <IP_address1>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset
v -A INPUT -s <IP_address2>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset

v -A INPUT -s <IP_address3>/32 -p tcp --dport 256 -j REJECT --reject-with tcp-reset
4. Salve a configuração de IPtables.
5. Digite o comando a seguir para atualizar o IPtables no QRadar:
./opt/qradar/bin/iptables_update.pl
6. Repita as etapas 1 a 5 para configurar qualquer QRadar Event Collectors adicional que receba eventos
syslog de um Nokia Firewall.
Agora você está pronto para configurar seu Nokia Firewall para encaminhar eventos para o QRadar.

Configurando syslog
Para configurar o Nokia Firewall para encaminhar eventos syslog para o IBM QRadar:

Procedimento
1. Efetue login no Nokia Voyager.
2. Clique em Configuração.
3. Na área de janela Configuração do sistema, clique em Criação de log do sistema.
4. No campo Incluir novo endereço IP remoto para log, digite o endereço IP do QRadar Console ou
Event Collector.
5. Clique em Aplicar.
6. Clique em Salvar.
Agora você está pronto para configurar quais eventos são registrados pelo Nokia Firewall no criador
de logs.

Configurando o script customizado de eventos registrados

Para configurar quais eventos são registrados pelo Nokia Firewall e encaminhados para o IBM QRadar,
deve-se configurar um script customizado para o Nokia Firewall.

Procedimento
1. Usando SSH, efetue login no Nokia Firewall como um usuário administrativo.
Se você não puder se conectar ao Nokia Firewall, verifique se o SSH está ativado. Deve-se ativar a
linha de comandos usando a interface da web do Nokia Voyager ou se conectar diretamente usando
uma conexão serial. Para obter mais informações, consulte a Documentação do Nokia Voyager.
2. Digite o comando a seguir para editar o arquivo rc.local do Nokia Firewall:
vi /var/etc/rc.local
3. Inclua o comando a seguir no arquivo rc.local:
$FWDIR/bin/fw log -ftn | /bin/logger -p local1.info &
4. Salve as mudanças no arquivo rc.local.
O terminal é exibido.
5. Para iniciar a criação de log imediatamente, digite o comando a seguir:
nohup $FWDIR/bin/fw log -ftn | /bin/logger -p local1.info &
Agora é possível configurar a origem de log no QRadar.

Configurando uma origem de log

Os eventos que são encaminhados pelo Nokia Firewall são descobertos automaticamente pelo DSM
Check Point Firewall-1. O processo de descoberta automática cria uma origem de log para eventos syslog
dos dispositivos Nokia Firewall.

Sobre Esta Tarefa

As etapas a seguir são opcionais.

812 Guia de configuração do QRadar DSM

Parâmetros do protocolo Syslog

Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um identificador
log para eventos do seu dispositivo Nokia Firewall.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração de syslog para recebimento de eventos Check Point dos Firewalls Nokia via syslog
está concluída. Os eventos Check Point do Nokia Firewall são exibidos na guia Atividade de log no
IBM QRadar.

Integração com um Nokia Firewall usando OPSEC

O IBM QRadar pode aceitar eventos do Check Point FireWall-1 do Nokia Firewalls utilizando o DSM
Check Point FireWall-1 configurado usando o protocolo OPSEC/LEA.

Antes de configurar o QRadar para integração com um dispositivo Nokia Firewall, deve-se:
1. Configurar o Nokia Firewall usando OPSEC; consulte “Configurando um Nokia Firewall para
OPSEC”.
2. Configurar uma origem de log no QRadar para o Nokia Firewall usando o protocolo OPSEC LEA;
consulte “Configurando uma origem de log OPSEC” na página 814.

Configurando um Nokia Firewall para OPSEC

É possível configurar o Nokia Firewall usando OPSEC.

Procedimento
1. Para criar um objeto de host para seu IBM QRadar, abra a GUI Check Point SmartDashboard e
selecione Gerenciar > Objetos de rede > Novo > Nó > Host.
2. Digite o nome, endereço IP e um comentário opcional para o QRadar.
3. Clique em OK.
4. Selecione Fechar.
5. Para criar a conexão OPSEC, selecione Gerenciar > Servidores e aplicativos OPSEC > Novo >
Propriedades do aplicativo OPSEC.
6. Digite o nome e um comentário opcional.
O nome que você digitar deve ser diferente do nome em “Configurando um Nokia Firewall para
OPSEC”.
7. No menu suspenso Host, selecione o objeto de host do QRadar que você criou.

104 Nokia Firewall 813

8. Em Propriedades do aplicativo, selecione Usuário definido como o tipo de fornecedor.
9. Em Entradas do cliente, selecione LEA.
10. Selecione Comunicação e insira uma chave de ativação para configurar o certificado Secure Internal
Communication (SIC).
11. Selecione OK e, em seguida, selecione Fechar.
12. Para instalar a política em seu firewall, selecione Política > Instalar > OK.
Para obter mais informações sobre políticas, consulte a documentação do fornecedor. Agora é
possível configurar uma origem de log para seu Nokia Firewall no QRadar.

Configurando uma origem de log OPSEC

Deve-se criar uma origem de log OPSEC para coletar eventos, porque as origens de log OPSEC/LEA não
são descobertas automaticamente no IBM QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Ponto de verificação FireWall-1.
9. Usando a lista Protocolo de configuração, selecione OPSEC/LEA.
10. Configure os valores a seguir:
Tabela 455. Parâmetros do protocolo OPSEC/LEA
Parâmetro Descrição
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
log Os endereços IP ou nomes de host são melhores porque permitem que o QRadar
corresponda um arquivo de log com uma origem de eventos exclusiva.
IP do servidor Digite o endereço IP do servidor.
Porta do servidor Digite a porta que é usada para a comunicação OPSEC. O intervalo válido vai de 0 a
65.536 e o padrão é 18184.
Usar IP do servidor para Marque essa caixa de seleção se desejar usar o endereço IP do servidor LEA em vez
origem de log do endereço IP do dispositivo gerenciado para uma origem de log. Por padrão, essa
caixa de seleção é marcada.
Intervalo do relatório de Digite o intervalo, em segundos, durante o qual os eventos syslog são registrados no
estatísticas arquivo qradar.log.

O intervalo válido vai de 4 a 2.147.483.648 e o padrão é 600.

814 Guia de configuração do QRadar DSM

Tabela 455. Parâmetros do protocolo OPSEC/LEA (continuação)
Parâmetro Descrição
Tipo de Autenticação Na lista, selecione o tipo de autenticação que você deseja usar para essa configuração
do LEA. As opções são sslca (padrão), sslca_clear ou clear. Esse valor deve
corresponder ao método de autenticação que é usado pelo servidor. Os parâmetros a
seguir aparecerão se sslca ou sslca_clear for selecionado como o tipo de
autenticação:
v Atributo SIC de objeto de aplicativo OPSEC (nome do SIC) – Digite o nome do
Secure Internal Communications (SIC) do Objeto de aplicativo OPSEC. O nome do
SIC é o nome distinto (DN) do aplicativo, por exemplo: CN=LEA,
o=xxxxxxxxx..xxxxxx.O nome pode ter até 255 caracteres de comprimento e faz
distinção entre maiúsculas e minúsculas.
v Atributo SIC de origem de log (Nome do SIC de entidade) - Digite o nome do
SIC do servidor, por exemplo: cn=cp_mgmt,o=xxxxxxxx .. xxxxxx. O nome pode
ter até 255 caracteres de comprimento e faz distinção entre maiúsculas e
minúsculas.
v Especificar certificado - Marque essa caixa de seleção se desejar definir um
certificado para essa configuração do LEA. O QRadar tenta recuperar o certificado
usando esses parâmetros quando o certificado é requerido.

Se você marcar a caixa de seleção Especificar certificado, o parâmetro Nome do

arquivo de certificado será exibido:
v Nome do arquivo de certificado – Essa opção aparece somente se Especificar
certificado está selecionado. Digite o nome do arquivo do certificado que deseja
usar para esta configuração. O arquivo de certificado deve estar localizado no
diretório /opt/qradar/conf/trusted_certificates/lea.

Se você desmarcar a caixa de seleção Especificar certificado, os parâmetros a seguir

aparecerão:
v IP da autoridade de certificação – Digite o endereço IP do servidor SmartCenter do
qual você deseja obter seu certificado.
v Obter senha do certificado - Digite a senha que você deseja usar quando um
certificado for solicitado. A senha pode ter até 255 caracteres de comprimento.
v Aplicativo OPSEC – Digite o nome do aplicativo que você deseja usar quando um
certificado for solicitado. Esse valor pode ter até 255 caracteres de comprimento.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Conforme os eventos são recebidos, eles são exibidos na guia
Atividade de log no QRadar.

104 Nokia Firewall 815

816 Guia de configuração do QRadar DSM
105 Nominum Vantio
Nota: O Nominum Vantio DSM for QRadar está descontinuado.

O DSM Vantio Nominum para o IBM QRadar aceita eventos syslog em formato Log Extended Event
Format (LEEF) encaminhados pelos mecanismos Nominum Vantio que são instalados com o Nominum
Vantio LEEF Adapter.

O QRadar aceita todos os eventos relevantes que são encaminhados pelo Nominum Vantio.

O Vantio LEEF Adapter cria mensagens LEEF com base nas correspondências Lightweight View Policy
(LVP). Para gerar correspondências LVP a serem processadas pelo Vantio LEEF Adapter, deve-se
configurar Visualizações Leves e o monitor lvp para o mecanismo Vantio. O LVP é um componente
licenciado opcionalmente do produto Nominum Vantio.

Para poder integrar eventos Nominum Vantio com o QRadar, deve-se instalar e configurar o adaptador
Vantio LEEF.

818 Guia de configuração do QRadar DSM
106 Nortel Networks
Diversos DSMs Nortel Networks podem ser integrados com o IBM QRadar.

Nortel Multiprotocol Router

O DSM Nortel Multiprotocol Router para o IBM QRadar registra todos os eventos Nortel Multiprotocol
Router relevantes usando syslog.

Sobre Esta Tarefa

Antes de configurar o QRadar para integração com um dispositivo Nortel Multiprotocol Router, deve-se:

Procedimento
1. Efetue login no dispositivo Nortel Multiprotocol Router.
2. No prompt, digite o comando a seguir:
bcc
O prompt Bay Command Console é exibido.
Bem-vindo ao Bay Command Console!
* Para entrar no modo de configuração, digite config
* Para listar todos os comandos do sistema, digite ?
* Para sair do BCC, digite exit
bcc>
3. Digite o comando a seguir para acessar o modo de configuração:
configuração
4. Digite o comando a seguir para acessar a configuração de syslog:
syslog
5. Digite os comandos a seguir:
log-host address <IP address>
Em que <IP address> é o endereço IP do QRadar.
6. Visualize as configurações padrão atuais do QRadar:
info
Por exemplo:
log-host/ <IP_address> # info
endereço <IP_address>
log-facility local0
state enabled
7. Se a saída do comando inserido em “Nortel Multiprotocol Router” indicar que o estado não está
ativado, digite o comando a seguir para ativar o encaminhamento para o host syslog:
state enable
8. Configure o parâmetro de recurso de log:
log-facility local0
9. Crie um filtro para os slots de hardware para permitir a eles encaminhar os eventos syslog. Digite o
comando a seguir para criar um filtro com o nome WILDCARD:
filter name WILDCARD entity all

10. Configure o parâmetro de limite de slot superior:
slot-upper bound <number of slots>
Em que <number of slots> é o número de slots disponíveis no dispositivo. Esse parâmetro pode
requerer configuração diferente, o que depende da versão do dispositivo Nortel Multiprotocol
Router, que determina o número máximo de slots disponíveis no dispositivo.
11. Configure o nível de mensagens de syslog você deseja enviar para o QRadar.
severity-mask all
12. Visualize as configurações atuais para este filtro:
info
Por exemplo:
filter / <IP_address> /WILDCARD# info
debug-map debug
entity all
event-lower-bound 0
event-upper-bound 255
fault-map critical
info-map info
name WILDCARD
severity-mask {fault warning info trace debug}
slot-lower-bound 0
slot-upper-bound 1
state enabled
trace-map debug
warning-map warning
13. Visualize as definições configuradas atualmente para os filtros de syslog:
show syslog filters
Quando os parâmetros de syslog e de filtro estão configurados corretamente, o Estado operacional
indica up.
Por exemplo:
syslog# show syslog filters
show syslog filters Sep 15, 2008 18:21:25 [GMT+8]
Tabela 456. Filtros de syslog
Nome da Código de Estado
Endereço IP do host Nome do filtro entidade entidade configurado Estado operacional
<IP_address1> WILDCARD all 255 enabled up
<IP_address2> WILDCARD all 255 enabled up

14. Visualize as informações do host syslog configurado atualmente:

show syslog log-host
O log do host exibe o número de pacotes que estão indo para os vários hosts syslog.
Por exemplo:
syslog# show syslog log-host
show syslog log-host Sep 15, 2008 18:21:32 [GMT+8]

820 Guia de configuração do QRadar DSM

Tabela 457. Log do host Syslog
Endereço IP do Estado Estado Sequenciamento Porta Código do #Mensagens
host configurado operacional de horário UDP recurso enviadas
<IP_address1> enabled up desativada 514 local0 1402
<IP_address2> enabled up desativada 514 local0 131

15. Saia da interface da linha de comandos:

a. Saia da linha de comandos atual para retornar para a linha de comandos do bcc:
exit
16. Saia da linha de comandos bbc:
exit
17. Saia da sessão da linha de comandos:
logout
18. Agora é possível configurar a origem de log no QRadar.
Para configurar o QRadar para receber eventos de um dispositivo Nortel Multiprotocol Router:
a. Na lista Tipo de origem de log, selecione a opção Nortel Multiprotocol Router.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Nortel Application Switch

Os comutadores Nortel Application Switch integram o roteamento e a comutação encaminhando o tráfego
na velocidade da camada 2 usando as informações da camada 4 a 7.

Sobre Esta Tarefa

O DSM Nortel Application Switch para o IBM QRadar aceita eventos usando syslog. O QRadar registra
todos os eventos de status e condição de rede relevantes. Antes de configurar um dispositivo Nortel
Application Switch no QRadar, deve-se configurar o dispositivo para enviar eventos syslog para o
QRadar.

Para configurar o dispositivo envie eventos do syslog para QRadar:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Nortel Application Switch.
2. Digite o seguinte comando:
/cfg/sys/syslog/host
3. No prompt, digite o endereço IP do QRadar:
Insira o novo host syslog: <IP address>
Em que <IP address> é o endereço IP do QRadar.
4. Aplique a configuração:
apply
5. Depois que a nova configuração for aplicada, salve sua configuração:
save

106 Nortel Networks 821

6. Digite y no prompt para confirmar que você deseja salvar a configuração na memória flash. Consulte
o exemplo a seguir:
Confirmar salvamento na FLASH [y/n]: y
Nova configuração salva com êxito na FLASH
Em seguida, você precisará configurar o QRadar para receber eventos de um Nortel Application
Switch:
7. Configure a origem de log no QRadar. Na lista Tipo de origem de log, selecione a opção Nortel
Application Switch.
Para obter mais informações sobre o Nortel Application Switch, consulte a documentação do
fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Nortel Contivity
Um DSM Nortel Contivity do QRadar registra todos os eventos relevantes do Nortel Contivity usando
syslog.

Sobre Esta Tarefa

Antes de configurar o QRadar para integração com um dispositivo Nortel Contivity, execute as etapas a
seguir:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Nortel Contivity.
2. Digite o seguinte comando:
enable <password>
Em que <password> é a senha administrativa do dispositivo Nortel Contivity.
3. Digite o seguinte comando:
config t
4. Configure as informações de criação de log:
logging <IP address> facility-filter all level all
Em que <IP address> é o endereço IP do QRadar.
5. Digite o comando a seguir para sair da linha de comandos:
exit
Em seguida, você precisará configurar o QRadar para receber eventos de um dispositivo Nortel
Contivity.
6. Agora é possível configurar a origem de log no QRadar. Na lista Tipo de origem de log, selecione
Nortel Contivity VPN Switch
Para obter mais informações sobre o dispositivo Nortel Contivity, consulte a documentação do
fornecedor.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

822 Guia de configuração do QRadar DSM

Nortel Ethernet Routing Switch 2500/4500/5500
O DSM Nortel Ethernet Routing Switch (ERS) 2500/4500/5500 do IBM QRadar registra todos os eventos
de comutador de roteamento relevantes usando syslog.

Sobre Esta Tarefa

Antes de configurar um dispositivo Nortel ERS 2500/4500/5500 no QRadar, deve-se configurar o

dispositivo para enviar eventos syslog ao QRadar.

Para configurar o dispositivo envie eventos do syslog para QRadar:

Procedimento
1. Efetue login na interface com o usuário do Nortel ERS 2500/4500/5500.
2. Digite os comandos a seguir para acessar o modo de configuração global:
ena
config term
3. Digite informational como o nível de severidade para os logs que você deseja enviar para o servidor
remoto.
Por exemplo, logging remote level {critical|informational|serious|none}
logging remote level informational
Em que um nível de severidade informational envia todos os logs para o servidor syslog.
4. Ative o host:
host enable
5. Digite o endereço de criação de log remoto:
logging remote address <IP address>
Em que <IP address> é o endereço IP do sistema QRadar.
6. Assegure-se de que a criação de log remota esteja ativada:
logging remote enable Agora é possível configurar a origem de log no QRadar.
7. Para configurar o recebimento de eventos de um dispositivo Nortel ERS 2500/4500/5500: na lista
Tipo de origem de log, selecione a opção Nortel Ethernet Routing Switch 2500/4500/5500.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Nortel Ethernet Routing Switch 8300/8600

O DSM Nortel Ethernet Routing Switch (ERS) 8300/8600 do IBM QRadar registra todos os eventos
relevantes usando syslog.

Sobre Esta Tarefa

Antes de configurar um dispositivo Nortel ERS 8600 no QRadar, deve-se configurar o dispositivo para
enviar eventos syslog ao QRadar.

Para configurar o dispositivo envie eventos do syslog para QRadar:

106 Nortel Networks 823

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Nortel ERS 8300/8600.
2. Digite o seguinte comando:
config sys syslog host <ID>
Em que <ID> é o ID do host que você deseja configurar para enviar eventos syslog ao QRadar.
Para o ID do host syslog, o intervalo válido é 1 a 10.
3. Digite o endereço IP do sistema QRadar:
endereço <IP address>
Em que <IP address> é o endereço IP do sistema QRadar.
4. Digite o recurso para acessar o host syslog.
host <ID> facility local0
Em que <ID> é o ID especificado em “Nortel Ethernet Routing Switch 8300/8600” na página 823.
5. Ative o host:
host enable
6. Digite o nível de severidade para o qual as mensagens de syslog são enviadas:
host <ID> severity info
Em que <ID> é o ID especificado em “Nortel Ethernet Routing Switch 8300/8600” na página 823.
7. Ative a capacidade de enviar mensagens syslog:
state enable
8. Verifique a configuração de syslog para o host:
sylog host <ID> info
Por exemplo, a saída pode ser semelhante a esta:
ERS-8606:5/config/sys/syslog/host/1# info Sub-Context: Current Context: address : 192.0.2.1
create : 1 delete : N/A facility : local6 host : enable mapinfo : info mapwarning : warning
maperror : error mapfatal : emergency severity : info|warning|error|fatal udp-port : 514
ERS-8606:5/config/sys/syslog/host/1#
Agora é possível configurar a origem de log no QRadar.
9. Para configurar o QRadar para receber eventos de um dispositivo Nortel ERS 8300/8600: na lista Tipo
de origem de log, selecione a opção Nortel Ethernet Routing Switch 8300/8600.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Nortel Secure Router

O DSM Nortel Secure Router do IBM QRadar registra todos os eventos relevantes do roteador usando
syslog.

Sobre Esta Tarefa

Antes de configurar um dispositivo Nortel Secure Router no QRadar, deve-se configurar o dispositivo
para enviar eventos syslog ao QRadar.

Para configurar o dispositivo envie eventos do syslog para QRadar:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Nortel Secure Router.
2. Digite o seguinte para acessar o modo de configuração global:

824 Guia de configuração do QRadar DSM

config term
3. Digite o seguinte comando:
system logging syslog
4. Digite o endereço IP do servidor syslog (sistema QRadar):
host_ipaddr <IP address>
Em que <IP address> é o endereço IP do sistema QRadar.
5. Assegure-se de que a criação de log remota esteja ativada:
ativar
6. Verifique se os níveis de criação de log estão configurados corretamente:
show system logging syslog
O código a seguir é um exemplo da saída:
------------------------------------ Configuração de syslog
------------------------------------ Syslog:
Endereço IP do host ativado: <IP_address> Porta UDP do host: 514
Configuração de prioridade do recurso:
prioridade do recurso
======== ========
auth: info
bootp: warning
daemon: warning
domainname: warning
gated: warning
kern: info
mail: warning
ntp: warning
system: info
fr: warning
ppp: warning
ipmux: warning
bundle: warning
qos: warning
hdlc: warning
local7: warning
vpn: warning
firewall: warning
Agora é possível configurar a origem de log no QRadar.
7. Para configurar o QRadar para receber eventos de um dispositivo Nortel Secure Router: na lista Tipo
de origem de log, selecione a opção Nortel Secure Router.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

106 Nortel Networks 825

Nortel Secure Network Access Switch
O DSM Nortel Secure Network Access Switch (SNAS) do IBM QRadar registra todos os eventos de
comutador relevantes usando syslog.

Sobre Esta Tarefa

Antes de configurar um dispositivo Nortel SNAS no QRadar, execute as etapas a seguir:

Procedimento
1. Efetue login na interface com o usuário da Nortel SNAS.
2. Selecione a guia Configuração.
3. Selecione Domínio de acesso seguro e syslog na área de janela Navegação.
A janela Domínio de acesso seguro é exibida.
4. Na lista Domínio de acesso seguro, selecione o domínio de acesso seguro. Clique em Atualizar.
5. Clique em Incluir.
A janela Incluir novo servidor remoto é exibida.
6. Clique em Atualizar.
O servidor é exibido na tabela de domínio de acesso seguro.
7. Usando a barra de ferramentas, clique em Aplicar para enviar as mudanças atuais para o Nortel
SNAS.
Agora você está pronto para configurar a origem de log no QRadar.
8. Para configurar o QRadar para receber eventos de um dispositivo Nortel SNAS: na lista Tipo de
origem de log, selecione a opção Nortel Secure Network Access Switch (SNAS).
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Nortel Switched Firewall 5100

Um DSM Nortel Switched Firewall 5100 do IBM QRadar registra todos os eventos de firewall relevantes
usando syslog ou OPSEC.

Antes de configurar um dispositivo Nortel Switched Firewall no QRadar, deve-se configurar o dispositivo
para enviar eventos para o QRadar.

Consulte informações sobre a configuração de um Nortel Switched Firewall usando um dos métodos a
seguir:
v “Integrando o Nortel Switched Firewall usando syslog”
v “Integrar Nortel Switched Firewall usando OPSEC” na página 827

Integrando o Nortel Switched Firewall usando syslog

Esse método assegura que o DSM Nortel Switched Firewall 5100 do IBM QRadar aceite eventos usando
syslog.

826 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

Para configurar o Nortel Switched Firewall 5100:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do dispositivo Nortel Switched Firewall.
2. Digite o seguinte comando:
/cfg/sys/log/syslog/add
3. Digite o endereço IP do sistema QRadar no prompt a seguir:
Informe o endereço IP do servidor syslog:
Um prompt é exibido para configurar o nível de severidade.
4. Configure info como o nível de severidade.
Por exemplo, Insira a severidade mínima de criação de log
(emerg | alert | crit | err | warning | notice | info | debug): info
Um prompt é exibido para configurar o recurso.
5. Configure auto como o recurso local.
Por exemplo, Insira o recurso local (auto | local0-local7): auto
6. Aplique a configuração:
apply
7. Repita para cada firewall no cluster.
Agora você está pronto para configurar a origem de log no QRadar.
8. Para configurar o QRadar para receber eventos de um dispositivo Nortel Switched Firewall 5100
usando syslog: na lista Tipo de origem de log, selecione a opção Nortel Switched Firewall 5100.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Integrar Nortel Switched Firewall usando OPSEC

Este método assegura que o DSM Nortel Switched Firewall 5100 do IBM QRadar aceite eventos Check
Point FireWall-1 usando OPSEC.

Dependendo do Sistema Operacional, os procedimentos para o Check Point SmartCenter Server podem
variar. Os procedimentos a seguir são baseadas no sistema operacional Check Point SecurePlatform.

Para ativar a integração do Nortel Switched Firewall e do QRadar, execute as etapas a seguir:
1. Reconfigure o Check Point SmartCenter Server.
2. Configure a origem de log no QRadar.

Configurando uma origem de log

Configure a origem de log no QRadar.

Procedimento
1. Para configurar o QRadar para receber eventos de um dispositivo Nortel Switched Firewall 5100 que
usa OPSEC, deve-se selecionar a opção Nortel Switched Firewall 5100 na lista Tipo de origem de
log.

106 Nortel Networks 827

2. Para configurar o QRadar para receber eventos de um Check Point SmartCenter Server que usa
OPSEC LEA, deve-se selecionar a opção LEA na lista Configuração de protocolo ao definir a
configuração de protocolo.
Conceitos relacionados:
“Opções de configuração de protocolo OPSEC/LEA” na página 69
Para receber eventos na porta 18184, configure uma origem do log para usar o protocolo OPSEC/LEA.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Nortel Switched Firewall 6000

Um DSM Nortel Switched Firewall 6000 do IBM QRadar registra todos os eventos de firewall relevantes
usando syslog ou OPSEC.

Antes de configurar um dispositivo Nortel Switched Firewall no QRadar, deve-se configurar o dispositivo
para enviar eventos para o QRadar.

As informações a seguir são sobre a configuração de um dispositivo Nortel Switched Firewall 6000 com o
QRadar usando um dos métodos a seguir:
v “Configurando syslog para Nortel Switched Firewalls”
v “Configurando OPSEC para Nortel Switched Firewalls” na página 829

Configurando syslog para Nortel Switched Firewalls

Esse método assegura que o DSM Nortel Switched Firewall 6000 do IBM QRadar aceite eventos usando
syslog.

Sobre Esta Tarefa

Para configurar o Nortel Switched Firewall 6000:

828 Guia de configuração do QRadar DSM

Configurando OPSEC para Nortel Switched Firewalls

Esse método assegura que o DSM Nortel Switched Firewall 6000 do IBM QRadar aceite eventos Check
Point FireWall-1 usando OPSEC.

Sobre Esta Tarefa

Dependendo do Sistema Operacional, os procedimentos para o Check Point SmartCenter Server podem
variar. Os procedimentos a seguir são baseadas no sistema operacional Check Point SecurePlatform.

Para ativar a integração do Nortel Switched Firewall e do QRadar, execute as etapas a seguir:

Procedimento
1. Reconfigure o Check Point SmartCenter Server. Consulte “Reconfigurando o Check Point SmartCenter
Server”.
2. Configure o protocolo OPSEC LEA no QRadar.
Para configurar o QRadar para receber eventos de um Check Point SmartCenter Server que usa
OPSEC LEA, deve-se selecionar a opção LEA na lista Configuração de protocolo ao configurar o
LEA.
3. Configure a origem de log no QRadar.
Para configurar o QRadar para receber eventos de um dispositivo Nortel Switched Firewall 6000
usando OPSEC, deve-se selecionar a opção Nortel Switched Firewall 6000 na lista Tipo de origem de
log.
Conceitos relacionados:
“Opções de configuração de protocolo OPSEC/LEA” na página 69
Para receber eventos na porta 18184, configure uma origem do log para usar o protocolo OPSEC/LEA.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Reconfigurando o Check Point SmartCenter Server

No Check Point SmartCenter Server, é possível criar um objeto de host que representa o sistema IBM
QRadar. O leapipe é a conexão entre o Check Point SmartCenter Server e o QRadar.

Sobre Esta Tarefa

Para reconfigurar o SmartCenter Check Point Server:

106 Nortel Networks 829

6. Digite o Nome e um comentário, se desejar.
O nome que você digitar deve ser diferente do nome em “Reconfigurando o Check Point
SmartCenter Server” na página 829.
7. No menu suspenso Host, selecione o objeto de host que você criou em “Reconfigurando o Check
Point SmartCenter Server” na página 829.
8. Em Propriedades do aplicativo, selecione Definido pelo usuário como o fornecedor.
9. Em Entradas do cliente, selecione LEA.
10. Clique em Comunicação para gerar um certificado Secure Internal Communication (SIC) e insira
uma chave de ativação.
11. Clique em OK e, em seguida, clique em Fechar.
12. Para instalar a Política de segurança no firewall, selecione Política > Instalar > OK.
A configuração está concluída.

Nortel Threat Protection System (TPS)

O DSM Nortel Threat Protection System (TPS) do IBM QRadar registra todos os eventos relevantes de
ameaça e do sistema usando syslog.

Sobre Esta Tarefa

Antes de configurar um dispositivo Nortel TPS no QRadar, execute as etapas a seguir:

Procedimento
1. Efetue login na interface com o usuário do Nortel TPS.
2. Selecione Política & Resposta > Sensor de intrusão > Detecção & Prevenção.
A janela Detecção & Prevenção é exibida.
3. Clique em Editar ao lado da política de intrusão para a qual você deseja configurar a opção de
alerta.
A janela Editar política é exibida.
4. Clique em Alerta.
A janela Alerta é exibida.
5. Em Configuração de syslog, selecione ativado próximo ao Estado para ativar o alerta de syslog.
6. Na lista, selecione os níveis de recurso e prioridade.
7. Opcional: No campo Host de criação de log, digite o endereço IP do sistema QRadar. Isso configura
o sistema QRadar para ser o host de criação de log. Separe diversos hosts com vírgulas.
8. Clique em Salvar.
A configuração alerta de syslog é salva.
9. Aplique a política aos mecanismos de detecção apropriados.
Agora é possível configurar a origem de log no QRadar.
10. Para configurar o QRadar para receber eventos de um dispositivo Nortel TPS: na lista Tipo de
origem de log, selecione a opção Sensor de intrusão Nortel Threat Protection System (TPS).
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

830 Guia de configuração do QRadar DSM

Nortel VPN Gateway
O DSM Nortel VPN Gateway do IBM QRadar aceita eventos usando syslog.

Sobre Esta Tarefa

O QRadar registra todos os eventos relevantes de sistema operacional (S.O.), controle do sistema,
processamento de tráfego, inicialização, recarregamento de configuração, AAA e IPsec. Antes de
configurar um dispositivo Nortel VPN Gateway no QRadar, deve-se configurar o dispositivo para enviar
eventos syslog para o QRadar.

Para configurar o dispositivo envie eventos do syslog para QRadar:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Nortel VPN Gateway.
2. Digite o seguinte comando:
/cfg/sys/syslog/add
3. No prompt, digite o endereço IP do sistema QRadar:
Insira novo host syslog: <IP address>
Em que <IP address> é o endereço IP do sistema QRadar.
4. Aplique a configuração:
apply
5. Visualize todos os servidores syslog atualmente incluídos na configuração do sistema:
/cfg/sys/syslog/list
Agora é possível configurar a origem de log no QRadar.
6. Para configurar o QRadar para receber eventos de um dispositivo Nortel VPN Gateway: na lista Tipo
de origem de log, selecione a opção Nortel VPN Gateway.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

106 Nortel Networks 831

832 Guia de configuração do QRadar DSM
107 Novell eDirectory
O DSM Novell eDirectory para o IBM QRadar aceita eventos de auditoria do Novell eDirectory usando
syslog.

Para usar o DSM Novell eDirectory, deve-se ter os componentes a seguir instalados:
v Novell eDirectory v8.8 com service pack 6 (sp6)
v Novell Audit Plug-in
v Novell iManager v2.7
v XDASv2

Para configurar o Novell eDirectory com o QRadar, deve-se:

1. Configurar o arquivo de propriedade XDASv2 para encaminhar eventos ao QRadar.
2. Carregar o módulo XDASv2 no sistema operacional Linux ou Windows.
3. Instalar o Novell Audit Plug-in no Novell iManager.
4. Configurar a auditoria usando o Novell iManager.
5. Configurar o QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configure o XDASv2 para encaminhar eventos

Por padrão, o XDASv2 está configurado para registrar eventos em um arquivo. Para encaminhar eventos
do XDASv2 para o QRadar, deve-se editar o xdasconfig.properties.template e configurar o arquivo
para encaminhamento de syslog.

Sobre Esta Tarefa

Os eventos de auditoria devem ser encaminhados por syslog para o QRadar, em vez de serem registrados
em um arquivo.

Para configurar o XDASv2 para encaminhar eventos syslog:

Procedimento
1. Efetue login no servidor que hospeda o Novell eDirectory.
2. Abra o arquivo a seguir para edição:
v Windows - C:\Novell\NDS\xdasconfig.properties.template
v Linux ou Solaris - etc/opt/novell/eDirectory/conf/xdasconfig.properties.template
3. Para configurar o criador de logs raiz, remova o marcador de comentário (#) da linha a seguir:
log4j.rootLogger=debug, S, R
4. Para configurar o anexador, remova o marcador de comentário (#) da linha a seguir:
log4j.appender.S=org.apache.log4j.net.SyslogAppender

5. Para configurar o endereço IP para o destino de syslog, remova o marcador de comentário (#) e edite
as linhas a seguir:
log4j.appender.S.Host=<IP address> log4j.appender.S.Port=<Port>
Em que,
<IP address> é o endereço IP ou nome do host do QRadar.
<Port> é o número da porta para o protocolo UDP ou TCP. A porta padrão para comunicação de
syslog é a porta 514 para QRadar ou coletores de eventos.
6. Para configurar o protocolo syslog, remova o marcador de comentário (#) e digite o uso do protocolo
(UDP, TCP ou SSL) na linha a seguir:
log4j.appender.S.Protocol=TCP
O protocolo SSL criptografado não é suportado pelo QRadar.
7. Para configurar o nível de severidade para registrar eventos, remova o marcador de comentário (#)
da linha a seguir:
log4j.appender.S.Threshold=INFO
O valor padrão INFO é o nível de severidade correto para eventos.
8. Para configurar o recurso para registrar eventos, remova o marcador de comentário (#) da linha a
seguir:
log4j.appender.S.Facility=USER
O valor padrão USER é o valor de recurso correto para eventos.
9. Para configurar o recurso para registrar eventos, remova o marcador de comentário (#) da linha a
seguir:
log4j.appender.R.MaxBackupIndex=10
10. Salve o arquivo xdasconfig.properties.template.
Depois de configurar as propriedades de syslog para eventos XDASv2, você está pronto para
carregar o módulo XDASv2.

Carregar o módulo XDASv2

Para poder configurar eventos no Novell iManager, deve-se carregar as mudanças feitas no módulo
XDASv2.

Sobre Esta Tarefa

Para carregar o módulo XDASv2, selecione seu sistema operacional.

v Para carregar o XDASv2 no Linux, consulte “Carregando o XDASv2 em um sistema operacional
Linux”.
v Para carregar o XDASv2 no Windows, consulte “Carregando o XDASv2 em um sistema operacional
Windows” na página 835.

Importante: Se o Novell eDirectory tiver o Novell Module Authentication Service (NMAS) instalado com
a auditoria do NMAS ativada, as mudanças feitas nos módulos XDASv2 serão carregadas
automaticamente. Se você tiver o NMAS instalado, será necessário configurar a auditoria de evento. Para
obter informações sobre como configurar a auditoria de evento, consulte “Configurar auditoria de evento
usando o Novell iManager” na página 835.

Carregando o XDASv2 em um sistema operacional Linux

É possível carregar o XDASv2 em um Sistema Operacional Linux.

834 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login como um usuário raiz no seu servidor Linux que hospeda o Novell eDirectory.
2. Digite o seguinte comando:
ndstrace -c "load xdasauditds"

O que Fazer Depois

Agora você está pronto para configurar a auditoria de eventos no Novell eDirectory. Para obter mais
informações, consulte “Configurar auditoria de evento usando o Novell iManager”.

Carregando o XDASv2 em um sistema operacional Windows

É possível carregar o XDASv2 em um sistema operacional Windows.

Procedimento
1. Efetue login no servidor Windows que hospeda o Novell eDirectory.
2. Na área de trabalho, clique em Iniciar > Executar.
A janela Executar é exibida.
3. Digite o seguinte:
C:\Novell\NDS\ndscons.exe
Este é o caminho da instalação padrão para o sistema operacional Windows. Se você tiver instalado
o Novell eDirectory em um diretório diferente, o caminho correto será obrigatório.
4. Clique em OK.
O console do Novell Directory Service exibe uma lista de módulos disponíveis.
5. Na guia Serviços, selecione xdasauditds.
6. Clique em Iniciar.
O serviço xdasauditds é iniciado para o Novell eDirectory.
7. Clique em Inicializar.
A janela Serviço é exibida.
8. No painel Tipo de inicialização, marque a caixa de seleção Automático.
9. Clique em OK.
10. Feche a janela Novell eDirectory Services.

O que Fazer Depois

Agora você está pronto para configurar a auditoria de eventos no Novell eDirectory. Para obter mais
informações, consulte “Configurar auditoria de evento usando o Novell iManager”.

Configurar auditoria de evento usando o Novell iManager

É possível configurar a auditoria de eventos para o XDASv2 no Novell iManager.

Procedimento
1. Efetue login na interface com o usuário do console do Novell iManager.
2. Na barra de navegação, clique em Funções e tarefas.
3. Na navegação do lado esquerdo, clique em Auditoria do eDirectory > Configuração de auditoria.
O painel Configuração de auditoria é exibido.
4. No campo Nome do servidor NPC, digite o nome do Servidor NPC.
5. Clique em OK.

107 Novell eDirectory 835

A Configuração de auditoria para o Servidor NPC é exibida.
6. Configure os parâmetros a seguir:
a. No painel Componentes, selecione uma ou ambas as opções a seguir:
DS - Marque essa caixa de seleção para auditar eventos XDASv2 para um objeto eDirectory.
LDAP - Marque essa caixa de seleção para auditar eventos XDASv2 para um objeto Lightweight
Directory Access Protocol (LDAP).
7. No painel Registrar valores grandes do evento, selecione um dos seguintes:
Registrar valores grandes - Selecione essa opção para registrar eventos com mais de 768 bytes.
Não registrar valores grandes - Selecione essa opção para registrar eventos com menos de 768 bytes.
Se um valor exceder 768 bytes, o evento será truncado.
8. Na Configuração de eventos XDAS, marque as caixas de seleção dos eventos que você deseja que o
XDAS capture e encaminhe para o IBM QRadar.
9. Clique em Aplicar.
10. Na guia XDAS, clique em XDASRoles.
O painel Configuração de funções XDAS é exibido.
11. Configure os parâmetros de função a seguir:
a. Marque uma caixa de seleção para cada classe de objeto a suportar a coleção de eventos.
12. Na lista Atributo(s) disponível(eis), selecione quaisquer atributos e clique na seta para incluir estes
na lista Atributo(s) selecionado(s).
13. Clique em OK depois de ter incluído os atributos do objeto.
14. Clique em Aplicar.
15. Na guia XDAS, clique em XDASAccounts.
O painel Configuração de contas XDAS é exibido.
16. Configure os parâmetros de conta a seguir:
a. Na lista Classes disponíveis, selecione quaisquer classes e clique na seta para incluir estas na
lista Atributo(s) selecionado(s).
17. Clique em OK depois de ter incluído os atributos do objeto.
18. Clique em Aplicar.

O que Fazer Depois

Agora você está pronto para configurar o QRadar.

Configurar uma origem de log

O IBM QRadar detecta automaticamente eventos syslog do Novell eDirectory. Esta etapa de configuração
é opcional.

Procedimento
Na lista Tipo de origem de log, selecione Novell eDirectory.
Para obter mais informações sobre o Novell eDirectory, Novell iManager ou XDASv2, consulte a
documentação do fornecedor.

836 Guia de configuração do QRadar DSM

108 Observe IT JDBC
O DSM do IBM QRadar para ObserveIT JDBC coleta eventos JDBC do ObserveIT.

A tabela a seguir identifica as especificações para o DSM ObserveIT JDBC:

Tabela 458. Especificações do DSM ObserveIT JDBC
Especificação Valor
Fabricante ObserveIT
Produto ObserveIT JDBC
Nome do RPM do DSM DSM-ObserveIT-QRadar_Version-Build_Number.noarch.rpm
Versões suportadas v5.7 e mais recente
Protocolo ObserveIT JDBC

Protocolo de arquivo de log

QRadar eventos registrados Os tipos de eventos a seguir são suportados pelo
ObserveIT JDBC:
v Alertas
v Atividade do Usuário
v Eventos do sistema
v Atividade de sessão
v Atividade do DBA

O protocolo de arquivo de log suporta atividade do

usuário em logs LEEF.
Descobertos automaticamente? Não
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do ObserveIT (http://www.observeit-sys.com)

Para coletar eventos do ObserveIT JDBC, conclua as etapas a seguir:

1. Se atualizações automáticas não estiverem ativadas, faça download e instale as versões mais recentes
dos RPMs a seguir no QRadar Console:
v RPM do DSM ObserveIT JDBC
v RPM do DSM DSMCommon
v RPM do PROTOCOLO ObserveIT JDBC
v RPM do PROTOCOLO JDBC
2. Certifique-se de que seu sistema ObserveIT esteja instalado e o banco de dados SQL Server esteja
acessível por meio da rede.
3. Para cada servidor ObserveIT que você deseja integrar, crie uma origem de log no QRadar Console.
Configure todos os parâmetros necessários. Use estas tabelas para configurar parâmetros específicos
do ObserveIT:
Tabela 459. Parâmetros de origem de log do ObserveIT JDBC
Parâmetro Descrição
Tipo de origem de log ObserveIT

Tabela 459. Parâmetros de origem de log do ObserveIT JDBC (continuação)
Parâmetro Descrição
Configuração de protocolo DATABASE@HOSTNAME, em que DATABASE deve
ser uma sequência que corresponda ao texto que foi
inserido no campo Nome do banco de dados e não deve
conter o caractere @ e HOSTNAME deve ser uma
sequência que corresponda ao texto que foi inserido no
campo IP ou nome do host e não deve conter o caractere
@.
Nome do banco de dados ObserveIT
IP ou nome do host O endereço IP ou o nome do host do sistema ObserveIT.
Porta A porta no host ObserveIT. O padrão é 1433.
Nome de Usuário O nome do usuário que é necessário para se conectar ao
banco de dados MS SQL ObserveIT
Senha A senha que é necessária para se conectar ao banco de
dados MS SQL ObserveIT.
Data e Hora de Início Use o formato aaaa-MM-dd HH: mm.
Intervalo de pesquisa A frequência na qual pesquisar o banco de dados.
Regulador de EPS O regulador de taxa de eventos, em eventos por
segundo.

Tabela 460. Parâmetros de protocolo de arquivo de log

Parâmetro Descrição
Configuração de protocolo Arquivo de log
Identificador de Fonte de Log O endereço IP para a origem de log. Esse valor deve
corresponder ao valor que está configurado no
parâmetro IP do servidor. O identificador de origem de
log deve ser exclusivo para o tipo de origem de log.
Tipo de serviço Na lista, selecione o protocolo que você deseja usar ao
recuperar arquivos de log a partir de um servidor
remoto. O padrão é SFTP.

SFTP - Protocolo de Transferência de Arquivos SSH

FTP - Protocolo de Transferência de Arquivos

SCP - Cópia segura

O protocolo subjacente que recupera arquivos de log

para o tipo de serviço SCP e SFTP requer que o servidor
especificado no campo IP remoto ou Nome do host
tenha o subsistema SFTP ativado.
IP ou nome do host remoto O endereço IP ou o nome do host do dispositivo que
armazena seus arquivos de log de eventos.
Porta remota Se o host remoto usar um número de porta não padrão,
deve-se ajustar o valor da porta para recuperar eventos.
Usuário remoto O nome do usuário necessário para efetuar login no host
que contém seus arquivos de eventos. O nome do
usuário pode ter até 255 caracteres de comprimento.
Senha remota A senha que é necessária para efetuar login no host.
Confirmar senha A confirmação da senha que é necessária para efetuar
login no host.

838 Guia de configuração do QRadar DSM

Tabela 460. Parâmetros de protocolo de arquivo de log (continuação)
Parâmetro Descrição
Arquivo de chave SSH O caminho para a chave SSH, se o sistema estiver
configurado para utilizar a autenticação de chave.
Quando um arquivo-chave SSH é utilizado, o campo
Senha Remota será ignorado.
Diretório remoto Para FTP, se os arquivos de log estiverem no diretório
inicial do usuário remoto, será possível deixar o diretório
remoto em branco. Um campo diretório remoto em
branco suporta sistemas em que uma mudança no
comando de diretório ativo (CWD) é restrita.
Arquivo remoto SCP Se você selecionou SCP como o Tipo de serviço, deve-se
digitar o nome do arquivo remoto.
Recursivo Esta opção é ignorada para as transferências de arquivos
SCP.
Padrão do arquivo de FTP A expressão regular (regex) necessária para identificar os
arquivos para download a partir do host remoto.
Modo de transferência por FTP Para transferências ASCII por FTP, deve-se selecionar
NONE no campo Processador e LINEBYLINE no campo
Gerador de evento.
Horário de Início O horário do dia em que você deseja que o
processamento comece. Por exemplo, digite 12:00 AM
para planejar o protocolo de arquivo de log para coletar
arquivos de eventos à meia-noite. Esse parâmetro
funciona com o valor de recorrência para estabelecer
quando e com que frequência o Diretório remoto é
verificado em busca de arquivos. Digite o horário de
início, com base em um relógio de 12 horas, no seguinte
formato: HH:MM <AM/PM>.
Recorrência O intervalo de tempo para determinar com que
frequência o diretório remoto é varrido em busca de
novos arquivos de log de evento. O intervalo de tempo
pode incluir valores em horas (H), minutos (M) ou dias
(D). Por exemplo, UMA recorrência de 2H varre o
diretório remoto a cada 2 horas.
Executar ao salvar Inicia a importação do arquivo de log imediatamente
após você salvar a configuração da origem de log.
Quando selecionada, esta caixa de opções limpa a lista
de arquivos transferidos por download e processados
anteriormente. Após a importação do primeiro arquivo, o
protocolo de arquivo de log segue o horário de início e o
planejamento de recorrência que é definido pelo
administrador.
Regulador de EPS O número de Eventos por Segundo (EPS) que o
protocolo não pode exceder.
Processador Os processadores permitem que o QRadar expanda
archives de arquivo de evento e processe conteúdo de
eventos. O QRadar processa arquivos somente depois
que eles são transferidos por download. O QRadar pode
processar arquivos no formato de archive zip, gzip, tar
ou tar+gzip.

108 Observe IT JDBC 839

Tabela 460. Parâmetros de protocolo de arquivo de log (continuação)
Parâmetro Descrição
Ignorar arquivo(s) processado(s) anteriormente Rastreia e ignora os arquivos que foram processados pelo
protocolo de arquivo de log. O QRadar examina os
arquivos de log no diretório remoto para determinar se
um arquivo foi processado anteriormente pelo protocolo
de arquivo de log. Se um arquivo anteriormente
processado for detectado, o protocolo de arquivo de log
não fará download do arquivo para processamento.
Todos os arquivos que não foram processados
anteriormente são transferidos por download. Essa opção
aplica-se somente a tipos de serviço FTP e SFTP.
Mudar diretório local? Muda o diretório local no coletor de eventos de destino
para armazenar os logs de eventos antes de eles serem
processados.
Diretório Local O diretório local no coletor de eventos de destino. O
diretório deverá existir antes de o protocolo de arquivo
de log tentar recuperar eventos.
Codificação de arquivo A codificação de caracteres usada pelos eventos em seu
arquivo de log.
Separador de Pasta O caractere que é usado para separar as pastas de seu
sistema operacional. A maioria das configurações pode
utilizar o valor padrão no campo Separador de pasta.
Este campo é destinado a sistemas operacionais que
utilizam um caractere diferente para definir pastas
separadas. Por exemplo, pontos que separam as pastas
em sistemas mainframe.

840 Guia de configuração do QRadar DSM

109 Okta
O IBM QRadar DSM for Okta coleta eventos usando a API REST do Okta.

A tabela a seguir identifica as especificações para o DSM Okta:

Tabela 461. Especificações de DSM Okta
Especificação Valor
Fabricante Okta
Nome do DSM Okta
Nome do arquivo RPM DSM-OktaIdentityManagement-QRadar_version-
build_number.noarch.rpm
Protocolo API REST Okta
Formato de evento JSON
Tipos de eventos registrados Todos
Descobertos automaticamente? No
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais Website Okta (https://www.okta.com/)

Para integrar o Okta ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v Protocol Common
v Okta REST API Protocol RPM
v Okta DSM RPM
Se diversos RPMs do DSM forem necessários, a sequência de integração deverá refletir a dependência
do RPM do DSM.
2. Configure os parâmetros necessários usando a tabela a seguir para os parâmetros específicos de
origem de log Okta:
Tabela 462. Parâmetros de origem de log DSM Okta
Parâmetro Valor
Tipo de origem de log Okta
Configuração de protocolo API REST Okta
IP ou nome do host Seu nome do host Okta pessoal.
Exemplo: example.okta.com
Token de Autenticação Um único token de autenticação que é gerado pelo
console Okta e deve ser usado para todas as transações
de API.

Tabela 462. Parâmetros de origem de log DSM Okta (continuação)
Parâmetro Valor
Usar Proxy Quando um proxy é configurado, todo o tráfego para a
origem de log percorre o proxy para o QRadar para
acessar o Okta.

Configure os campos IP ou nome do host do proxy,

Porta de proxy, Nome do usuário de proxy e Senha de
proxy. Se o proxy não requerer autenticação, será
possível deixar os campos Nome do usuário de proxy e
Senha de proxy em branco.
Adquirir automaticamente certificado(s) de servidor Se selecionar Sim na lista, o QRadar fará download do
certificado e começa a confiar no servidor de destino.
Recorrência O intervalo de tempo para determinar com que
frequência o diretório remoto é varrido em busca de
novos arquivos de log de evento. O intervalo de tempo
pode incluir valores em horas (H), minutos (M) ou dias
(D). Por exemplo, UMA recorrência de 2H varre o
diretório remoto a cada 2 horas. O padrão é 1M.
Regulador de EPS O limite máximo para o número de eventos por segundo.

A tabela a seguir fornece uma mensagem de evento de amostra para o DSM do Okta:
Tabela 463. Mensagem de amostra do Okta suportada pelo dispositivo Okta
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Login de autenticação Sucesso no Login de Usuário {
bem-sucedido do usuário do xxxxxx-xxxxxxxxxxxxxxxx ","
núcleo sessionId ": "xxxxxxxxxxxxxxxxxxxxx
xxxxxxxx "," requestId ": "xxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx ",
"published":"2016-04-06T16:
16:40.000Z","action":{
"message":"Sign-in successful","categories":
["Sign-in Success"],"object
Type":"core.user_auth.login
_success","requestUri":"/api
/v1/authn"},"actors":[{"id":
"xxxxxxxxxxxxxxxxxxxxxx",
"displayName":"User","login":
"[email protected]",
"objectType":"User"},{"id":
"Mozilla/5.0 (Windows NT 6.1;
WOW64; rv:45.0) Gecko/
20100101 Firefox/45.0",
"displayName":"FIREFOX",
"ipAddress": "<IP_address>",
"objectType":"Client"}],
"targets":[{"id":"xxxxxxxx
xxxxxxxxxxxx "," displayName ":
"User", "login": " username@
example.com "," objectType ":
"User"}]}

842 Guia de configuração do QRadar DSM

Tabela 463. Mensagem de amostra do Okta suportada pelo dispositivo Okta (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Falha no login de Falha de Login do Usuário {
autenticação do usuário do xxxxxxxxxxxxxxxxxxxxxx "," sessionId "
núcleo : "", "requestId": "xxxxxxxxxxxxxxxxxxx
-xxxxxxx "," publicado ":" 2015 -08-
19T17:08:37.000Z","action":
{"message":"Sign-in Failed - Not Specified",
"categories":["Sign-in Failure",
"Suspicious Activity"],
"objectType":"core.user_auth.
login_failed","requestUri":"/
login/do-login"},"actors":[{"id"
:"Mozilla/5.0 (Windows NT 6.3; WOW64;
Trident/7.0; rv:11.0) like Gecko",
"displayName":"x x",
"ipAddress": "<IP_address>",
"objectType"
:"Client"}],"targets":[{"id":"",
"objectType":"User"}]}

Conceitos relacionados:
“Opções de configuração de protocolo de API REST Okta” na página 68
Para receber eventos do Okta, configure uma origem de log para usar o protocolo de API REST Okta.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

109 Okta 843

844 Guia de configuração do QRadar DSM
110 Onapsis Security Platform
O IBM QRadar DSM for Onapsis Security Platform coleta logs de um dispositivo do Onapsis Security
Platform.

A tabela a seguir descreve as especificações para o Onapsis Security Platform DSM:

Tabela 464. Especificações do Onapsis Security Platform DSM
Especificação Valor
Fabricante Onapsis
Nome do DSM Onapsis Security Platform
Nome do arquivo RPM DSM-OnapsisIncOnapsisSecurityPlatform-
Qradar_version-build_number.noarch.rpm
Versões Suportadas 1.5.8 e posterior
Formato de evento Log Event Extented Format (LEEF)
Tipos de eventos registrados Avaliação (Assessment)

Assinatura de ataque

Correlação

Conformidade
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website Onapsis (https://www.onapsis.com)

Para integrar o Onapsis Security Platform ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v Onapsis Security Platform DSM RPM
v RPM do DSM Common
2. Configure seu dispositivo Onapsis Security Platform para enviar eventos de syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Onapsis
Security Platform no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para a coleção de eventos do Onapsis Security Platform:
Tabela 465. Parâmetros de origem de log do Onapsis Security Platform
Parâmetro Valor
Tipo de origem de log Onapsis Security Platform
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

Configurando o Onapsis Security Platform para se comunicar com o

QRadar
Para coletar eventos do Onapsis Security Platform, deve-se incluir um conector e um perfil de alarme.

Sobre Esta Tarefa

Perfis de alarme configuram o Onapsis Security Platform para executar uma ação automaticamente
quando um incidente é observado.

Procedimento
1. Efetue login no Onapsis Security Platform.
2. Clique no ícone Engrenagem.
3. Clique em Configurações.
4. Nas Configurações do conector, clique em Incluir para incluir um novo conector.
5. Clique em Responder > Perfis de alarme.
6. Inclua um novo perfil de alarme.
a. Selecione Tipo de alarme e Gravidade.
b. Digite o nome e a descrição.
c. Selecione o destino na Lista de ativos ou Lista de tags. As listas são mutuamente exclusivas.
d. Inclua uma condição para quando o alarme for acionado
e. Para incluir uma ação que é executada quando o alarme é acionado, clique em Ação.
f. Selecione o conector do QRadar que foi criado na etapa 4.

846 Guia de configuração do QRadar DSM

111 OpenBSD
O DSM OpenBSD para o IBM QRadar aceita eventos usando syslog.

O QRadar registra todos os eventos relevantes no nível informativo, de autenticação e do sistema que são
encaminhados pelos sistemas operacionais OpenBSD.

Configurando uma origem de log

Para integrar eventos OpenBSD com o IBM QRadar, deve-se criar manualmente uma origem de log. O
QRadar não descobre ou cria automaticamente origens de log para eventos syslog de sistemas
operacionais OpenBSD.

Sobre Esta Tarefa

Para criar uma origem de log para OpenBSD:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

O que Fazer Depois

A origem de log é incluída no QRadar. Agora você está pronto para configurar seu dispositivo OpenBSD
para encaminhar eventos syslog.

Configurando syslog para OpenBSD

É possível configurar OpenBSD para encaminhar eventos syslog.
© Copyright IBM Corp. 2005, 2019 847
Procedimento
1. Use SHH para efetuar login no dispositivo OpenBSD, como um usuário raiz.
2. Abra o arquivo /etc/syslog.conf.
3. Inclua a linha a seguir no início do arquivo. Certifique-se de que todas as outras linhas permaneçam
intactas:
*.* @<IP address>
Em que <IP address> é o endereço IP do IBM QRadar.
4. Salve e saia do arquivo.
5. Envie um sinal de desligamento o daemon syslog para assegurar que todas as mudanças sejam
aplicadas:
kill -HUP `cat /var/run/syslog.pid`

Nota: Essa linha de comandos usa o caractere de aspas invertidas (`), que está localizado à esquerda
do número um na maioria dos layouts de teclado.
A configuração está concluída. Os eventos que são encaminhadas para o QRadar pelo OpenBSD são
exibidos na guia Atividade de log.

848 Guia de configuração do QRadar DSM

112 Open LDAP
O Open LDAP DSM for IBM QRadar aceita eventos do syslog do UDP Multiline das instalações do Open
LDAP que são configuradas para registrar eventos de estatística usando o nível de criação de log 256.

Os eventos Open LDAP são encaminhados para o QRadar usando a porta 514. Os eventos devem ser
redirecionados para a porta que está configurada para o protocolo syslog do UDP Multiline. O QRadar
não suporta syslog do UDP Multiline na porta de escuta padrão 514.

Nota: Os eventos Syslog do UDP Multiline podem ser designados a qualquer porta disponível que não
esteja em uso, exceto a porta 514. A porta padrão que é designada ao protocolo Syslog do UDP Multiline
é a porta 517. Se a porta 517 já estiver sendo usada em sua rede, consulte o tópico Uso de porta do QRadar
no Guia de Administração do IBM QRadar ou no IBM Knowledge Center (https://www.ibm.com/support/
knowledgecenter/SS42VS_7.3.0/com.ibm.qradar.doc/c_qradar_adm_common_ports.html?pos=2) para
obter uma lista de as portas que são usadas pelo QRadar.

Importante: Encaminhe os eventos syslog do UDP Multiline diretamente para a porta escolhida (padrão
517) por meio de seu dispositivo Open LDAP. Se você não puder enviar eventos para essa porta
diretamente, será possível usar o método de backup de configuração de IPtables para eventos Syslog do
UDP Multiline.
Conceitos relacionados:
“Opções de configuração de protocolo syslog multilinhas UDP” na página 86
Para criar um evento único syslog a partir de um evento multilinhas, configure uma fonte de log para
utilizar o protocolo multilinhas UDP. O protocolo syslog multilinhas UDP utiliza uma expressão regular
para identificar e remontar as mensagens do syslog multilinhas na carga útil do evento única.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando uma origem de log

O IBM QRadar não descobre automaticamente eventos Open LDAP que são encaminhados no formato
UDP multilinhas. Para concluir a integração, deve-se criar manualmente uma origem de log para o
protocolo Syslog UDP multilinhas usando a guia Admin no QRadar. A criação da origem de log permite
que o QRadar estabeleça uma porta de escuta para eventos multilinhas do Open LDAP recebidos.

Sobre Esta Tarefa

Para configurar uma origem de log Open LDAP no QRadar:

A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição da origem de log, digite uma descrição para sua origem de log.
8. Na lista Tipo de origem de log, selecione Software Open LDAP.
9. Na lista Configuração de protocolo, selecione Syslog UDP multilinhas.
10. Configure os valores a seguir:
Tabela 467. Configuração do protocolo UDP multilinhas
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um identificador
log para eventos do servidor Open LDAP.
Porta de recebimento Digite o número da porta que é usado pelo QRadar para aceitar eventos syslog UDP
multilinhas recebidos. O intervalo de porta válido é 1 a 65536.

A porta de escuta padrão do Syslog UDP multilinhas é 517.

Se você não vir o campo Porta de escuta, deverá reiniciar o Tomcat no QRadar.

Para editar o número da Porta de escuta:

Atualize IPtables em seu QRadar Console ou Event Collector com o novo número de
porta Syslog UDP multilinhas. Para obter mais informações, consulte “Configurando
IPtables para eventos Syslog UDP Multiline”.
1. No campo Porta de escuta, digite o novo número de porta para receber eventos
Syslog UDP multilinhas.
2. Clique em Salvar.

A atualização de porta está concluída e a coleção de eventos é iniciada no novo

número de porta.
Padrão de ID de mensagem Digite a expressão regular (regex) que é necessária para filtrar as mensagens de carga
útil do evento. Todos os eventos correspondentes são incluídos ao processar os
eventos Open LDAP.

A expressão regular a seguir é sugerida para eventos Open LDAP:

conn=(\d+)

Por exemplo, o Open LDAP inicia as mensagens de conexão com a palavra conn,
seguida pelo restante da carga útil do evento. A utilização deste parâmetro requer
conhecimento de expressões regulares (regex). Para obter mais informações, consulte o
seguinte website: http://download.oracle.com/javase/tutorial/essential/regex/

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

Configurando IPtables para eventos Syslog UDP Multiline

Para coletar eventos Syslog UDP Multiline no IBM QRadar, se não for possível enviar os eventos
diretamente para a porta UDP Multiline padrão de 517 ou qualquer outra porta disponível que ainda não
esteja em uso pelo QRadar, os eventos da porta 514 deverão ser redirecionados para a porta padrão 517
ou a porta alternativa escolhida usando IPTables conforme descrito abaixo. Deve-se configurar IPtables no
QRadar Console ou para cada QRadar Event Collector que recebe eventos Syslog UDP Multiline de um
servidor Open LDAP e, em seguida, concluir a configuração para cada endereço IP do servidor Open
LDAP de que você deseja receber logs.

850 Guia de configuração do QRadar DSM

Antes de Iniciar

Importante: Conclua esse método de configuração somente se você não puder enviar eventos Syslog
UDP Multiline diretamente para a porta UDP Multiline escolhida no QRadar do servidor Open LDAP e
você estiver restrito a enviar somente para a porta syslog padrão 514.

Procedimento
1. Usando SSH, efetue login no QRadar como o usuário raiz.
Login: <root>
Senha: <password>
2. Digite o comando a seguir para editar o arquivo de IPtables:
vi /opt/qradar/conf/iptables-nat.post
O arquivo de configuração de IPtables NAT é exibido.
3. Digite o comando a seguir para instruir o QRadar a redirecionar eventos syslog da porta UDP 514
para a porta UDP 517:
-A PREROUTING -p udp --dport 514 -j REDIRECT --to-port <new-port> -s <IP address>
Em que:
<IP address> é o endereço IP do servidor Open LDAP.
<New port> é o número da porta que está configurado no protocolo UDP multilinhas para o Open
LDAP.
Deve-se incluir um redirecionamento para cada endereço IP do Open LDAP que envia eventos para o
QRadar Console ou Event Collector. Exemplo:
-A PREROUTING -p udp --dport 514 -j REDIRECT --to-port 517 -s <IP_address>
4. Salve a configuração de IPtables NAT.
Agora você está pronto para configurar IPtables no QRadar Console ou Event Collector para aceitar
eventos de servidores Open LDAP.
5. Digite o comando a seguir para editar o arquivo de IPtables:
vi /opt/qradar/conf/iptables.post
O arquivo de configuração de IPtables é exibido.
6. Digite o comando a seguir para instruir o QRadar a permitir a comunicação dos servidores Open
LDAP:
-I QChain 1 -m udp -p udp --src <IP_address> --dport <New port> -j ACCEPT
Em que:
<IP address> é o endereço IP do servidor Open LDAP.
<New port> é o número da porta que está configurado no protocolo UDP multilinhas para o Open
LDAP.
Deve-se incluir um redirecionamento para cada endereço IP do Open LDAP que envia eventos para o
QRadar Console ou Event Collector. Exemplo:
-I QChain 1 -m udp -p udp --src <IP_address> --dport 517 -j ACCEPT
7. Digite o comando a seguir para atualizar o IPtables no QRadar:
./opt/qradar/bin/iptables_update.pl

Exemplo

Se você precisar configurar outro QRadar Console ou Event Collector que recebe eventos syslog de um
servidor Open LDAP, repita essas etapas.

112 Open LDAP 851

O que Fazer Depois

Configure o seu servidor Open LDAP para encaminhar eventos para o QRadar.

Configurando o encaminhamento de eventos para o Open LDAP

Configure o encaminhamento de eventos syslog para o Open LDAP:

Procedimento
1. Efetue login na interface da linha de comandos para o servidor Open LDAP.
2. Edite o arquivo a seguir:
/etc/syslog.conf
3. Inclua as informações a seguir no arquivo de configuração syslog:
<facility>@<IP address>
Em que:
<facility> é o recurso de syslog, por exemplo, local4.
<IP address> é o endereço IP do seu QRadar Console ou Event Collector.
Por exemplo,
#Logging for SLAPD local4.debug /var/log/messages local4.debug @<IP_address>

Nota: Se o servidor Open LDAP armazenar mensagens de eventos em um diretório diferente de

/var/log/messages, deve-se editar o caminho do diretório.
4. Salve o arquivo de configuração syslog.
5. Digite o comando a seguir para reiniciar o serviço syslog:
/etc/init.d/syslog restart
A configuração do Open LDAP está concluída. Os eventos Syslog UDP Multiline que são
encaminhados para o QRadar são exibidos na guia Atividade de log.

852 Guia de configuração do QRadar DSM

113 Open Source SNORT
O DSM Open Source SNORT para o IBM QRadar registra todos os eventos SNORT relevantes usando
syslog.

As regras certificadas pelo SourceFire VRT para usuários SNORT registrados são suportadas. Os
conjuntos de regras para Bleeding Edge, Emerging Threat e conjuntos de regras de outros fornecedores
podem não ser totalmente suportados pelo DSM Open Source SNORT.

Configurando o Open Source SNORT

Para configurar syslog em um dispositivo Open Source SNORT:

Sobre Esta Tarefa

O procedimento a seguir se aplica a um sistema que executa o Red Hat Enterprise. Os procedimentos a
seguir podem variar para outros sistemas operacionais.

Procedimento
1. Configure SNORT em um sistema remoto.
2. Abra o arquivo snort.conf.
3. Remova o comentário da linha a seguir:
output alert_syslog:LOG_AUTH LOG_INFO
4. Salve e saia do arquivo.
5. Abra o arquivo a seguir:
/etc/init.d/snortd
6. Inclua um -s nas linhas a seguir, conforme mostrado no exemplo:
daemon /usr/sbin/snort $ALERTMODE
$BINARY_LOG $NO PACKET_LOG $DUMP_APP -D
$PRINT_INTERFACE -i $i -s -u $USER -g
$GROUP $CONF -i $LOGIR/$i $PASS_FIRST
daemon /usr/sbin/snort $ALERTMODE
$BINARY_LOG $NO_PACKET_LOG $DUMP_APP -D
$PRINT_INTERFACE $INTERFACE -s -u $USER -g
$GROUP $CONF -i $LOGDIR
7. Salve e saia do arquivo.
8. Reinicie o SNORT digitando o comando a seguir:
/etc/init.d/snortd restart
9. Abra o arquivo syslog.conf.
10. Atualize o arquivo para refletir o código a seguir:
auth.info@<IP Address>
Em que <IP Address> é o sistema para o qual você deseja que os logs sejam enviados.
11. Salve e saia do arquivo.
12. Reinicie o syslog:
/etc/init.d/syslog restart

O que Fazer Depois

Agora é possível configurar a origem de log no QRadar.

Configurando uma origem de log
O IBM QRadar descobre e cria automaticamente origens de log para eventos syslog Open Source SNORT.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Para criar uma origem de log no QRadar:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.
Para obter mais informações sobre SNORT, consulte a documentação do SNORT em
http://www.snort.org/docs/.

854 Guia de configuração do QRadar DSM

114 OpenStack
O DSM do IBM QRadar para OpenStack coleta logs de eventos do dispositivo OpenStack.

A tabela a seguir identifica as especificações para o DSM OpenStack:

Tabela 469. Especificações do DSM OpenStack
Especificação Valor
Fabricante OpenStack
Nome do DSM OpenStack
Nome do arquivo RPM DSM-OpenStackCeilometer-QRadar_version-
build_number.noarch.rpm
Versões suportadas V2015.1
Protocolo Receptor de HTTP
Tipos de eventos registrados Evento de auditoria
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do OpenStack (http://www.openstack.org/)

Para enviar eventos do OpenStack para o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM PROTOCOL-HTTPReceiver
v RPM do DSM OpenStack
2. Inclua uma origem de log OpenStack no QRadar Console. A tabela a seguir descreve os parâmetros
que são necessários para coletar eventos do OpenStack:
Tabela 470. Parâmetros de origem de log OpenStack
Parâmetro Valor
Tipo de origem de log OpenStack
Identificador de Fonte de Log O endereço IP do servidor OpenStack e não o nome do
host.
Configuração de protocolo HTTPReceiver
Tipo de comunicação HTTP
Porta de escuta O número da porta que o OpenStack usa para se
comunicar com o QRadar.

Importante: Não use a Porta 514. A porta 514 é usada

pelo listener padrão do Syslog.
Padrão de mensagem ^\{"typeURI

3. Configure seu dispositivo OpenStack para se comunicar com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra para o DSM do OpenStack:

Tabela 471. Mensagem de amostra do OpenStack suportada pelo dispositivo OpenStack
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Detalhes das listas de todos Ler atividade tentada {"typeURI": "http://schemas
os servidores .dmtf.org/cloud/audit/1.0/event",
"eventTime": "2014-12-09T00:18:52.
063878+0000", "target": {"typeURI":
"service/compute/servers/detail",
"id": " openstack:xxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx", "name": "nova",
"addresses": [ {
<IP_address>: 8774/v2/xxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx "," name ":" admin "
}, {8}{7}{7}{4}/v2 /
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ",
"name": "private"}, {"url": "http:
// <IP_address>: 8774/v2/xxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxx "," name ": "public"}]},
"observer": {"id": "target"}, "tags": ["correlation_
id?value = openstack:xxxxxxxx-xxxx-
xxxx-xxxx-xxxxxxxxxxxx " ], "eventType":
"activity", "initiator": {"typeURI":
"service/security/account/user", "name": "admin",
"credential": {"token": "xxxx xxxxxxxx xxxx",
"identity_status": "Confirmed"}, "host": {"agent": "python-
novaclient "," address ":" <IP_address> " },
"project_id": " openstack:xxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxx "," id ": "
openstack:xxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxx "}," action ":" read/list ",
"outcome": "pending", "id": " openstack:xxxxxxxx-xxxx-xxxx-
xxxx-xxxxxxxxxxxx ",

Tarefas relacionadas:
“Configurando OpenStack para se comunicar com o QRadar”
Para coletar eventos OpenStack, deve-se configurar o dispositivo OpenStack para permitir conexões do
QRadar.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

Configurando OpenStack para se comunicar com o QRadar

Para coletar eventos OpenStack, deve-se configurar o dispositivo OpenStack para permitir conexões do
QRadar.

Importante: OpenStack é um produto de software livre com várias distribuições diferentes que podem
ser configuradas em vários sistemas operacionais diferentes. Esse procedimento pode variar em seu
ambiente.

Procedimento
1. Efetue login no dispositivo OpenStack.
2. Edite o arquivo /etc/nova/api-paste.ini.
3. No final do arquivo, inclua o texto a seguir:
[filter:audit]
paste.filter_factory = pycadf.middleware.audit:AuditMiddleware.factory
audit_map_file = /etc/nova/api_audit_map.conf
4. Revise as configurações [composite:openstack_compute_api_v2] e verifique se os valores
correspondem à amostra a seguir:

856 Guia de configuração do QRadar DSM

[composite:openstack_compute_api_v2]
use = call:nova.api.auth:pipeline_factory
noauth = faultwrap sizelimit noauth ratelimit osapi_compute_app_v2
keystone = faultwrap sizelimit authtoken keystonecontext ratelimit audit osapi_compute_app_v2
keystone_nolimit = faultwrap sizelimit authtoken keystonecontext audit osapi_compute_app_v2
5. Copie o arquivo api_audit_map.conf para o diretório /etc/nova/.
6. Reinicie o serviço de api.
O comando para reiniciar o serviço de API depende do sistema operacional no qual o nó OpenStack
está hospedado. Em sistemas Redhat Enterprise Linux, o comando é service openstack-nova-api
restart.
7. Abra o arquivo entry_points.txt no subdiretório egg-info do diretório de instalação do OpenStack.
Para instalações de PackStack, o caminho de arquivo é semelhante ao seguinte: /usr/lib/python2.7/
site-packages/ceilometer-2014.2-py2.7.egg-info/entry_points.txt.
8. Inclua o dispatcher http na seção [ceilometer.dispatcher].
[ceilometer.dispatcher]
file = ceilometer.dispatcher.file:FileDispatcher
database = ceilometer.dispatcher.database:DatabaseDispatcher
http = ceilometer.dispatcher.http:HttpDispatcher
9. Copie o script fornecido http.py para o subdiretório do dispatcher do diretório de instalação do
Ceilometer.
O local exato depende do sistema operacional e da distribuição do OpenStack. Na distribuição do
Redhat Enterprise Linux do OpenStack, o diretório é /usr/lib/python2.7/site-packages/
ceilometer/dispatcher/.
10. Edite o arquivo /etc/ceilometer/ceilometer.conf.
11. Na seção [default], inclua dispatcher=http.
12. Na parte inferior do arquivo, inclua esta seção:
[dispatcher_http]
target = http://<QRadar-IP>:<QRadar-Port>
cadf_only = True
Use a porta que você configurou para o OpenStack quando criou a origem de log em seu sistema
QRadar.
13. Reinicie o coletor ceilometer e os serviços de notificação.
O comando para reiniciar o coletor ceilometer e os serviços de notificação depende do sistema
operacional no qual o dispositivo OpenStack está hospedado. Em dispositivos que usam o sistema
operacional Redhat Enterprise Linux, utilize os comandos a seguir:
service openstack-ceilometer-collector restart
service openstack-ceilometer-notification restart

114 OpenStack 857

858 Guia de configuração do QRadar DSM
115 Oracle
O IBM QRadar suporta um número de Oracle DSMs.

Oracle Acme Packet Session Border Controller

É possível usar o IBM QRadar para coletar eventos das instalações do Oracle Acme Packet Session Border
Controller (SBC) em sua rede.

As instalações do Oracle Acme Packet SBC geram eventos de syslog e de trap SNMP. Os eventos de trap
SNMP são convertidos em syslog e todos os eventos são encaminhados para o QRadar por syslog. O
QRadar não descobre automaticamente os eventos syslog que são encaminhados pelo Oracle
Communications SBC. O QRadar suporta eventos syslog do Oracle Acme Packet SBC V6.2 e mais recente.

Para coletar eventos do Oracle Acme Packet SBC, deve-se concluir as tarefas a seguir:
1. No sistema QRadar, configure uma origem de log com o DSM Oracle Acme Packet Session Border
Controller.
2. Na instalação do Oracle Acme Packet SBC, ative o SNMP e configure o endereço IP de destino para
eventos syslog.
3. Na instalação do Oracle Acme Packet SBC, ative as configurações de syslog no objeto Media Manager.
4. Reinicie a instalação do Oracle Acme Packet SBC.
5. Opcional. Assegure-se de que as regras de firewall não bloqueiem a comunicação entre a instalação do
Oracle Acme Packet SBC e o QRadar Console ou host gerenciado que coleta eventos syslog.

Tipos de eventos suportados do Oracle Acme Packet que são

registrados pelo IBM QRadar
O DSM Oracle Acme Packet SBC para o QRadar pode coletar eventos syslog das categorias de evento de
autorização e monitoramento do sistema.

Cada categoria de evento pode conter eventos de baixo nível que descrevem a ação que é tomada dentro
da categoria de evento. Por exemplo, os eventos de autorização podem ter as categorias de baixo nível de
login com sucesso ou login com falha.

Configurando uma origem de log Oracle Acme Packet SBC

Para coletar eventos syslog do Oracle Acme Packet SBC, deve-se configurar uma origem de log no IBM
QRadar. Os eventos syslog do Oracle Acme Packet SBC não são descobertos automaticamente no QRadar.

Tabela 472. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host como um identificador para eventos da sua
log instalação do Oracle Acme Packet SBC.

O identificador de origem de log deve ser um valor exclusivo.

Ativado Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa caixa de
seleção é marcada.
Credibilidade Selecione a Credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.
Coletor de eventos de Selecione o Coletor de eventos a ser usado como destino para a origem de log.
destino
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor da lista

Eventos unidos das configurações do sistema em QRadar. Ao criar uma origem de
log ou editar uma configuração existente, é possível substituir o valor padrão
configurando esta opção para cada origem de log.
Carga útil do evento Na lista, selecione o codificador de carga útil de entrada para analisar e armazenar os
recebido logs.
Armazenar carga útil do Selecione essa caixa de seleção para ativar que a origem de log armazene as
evento informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

Armazenar carga útil do evento de Configurações do sistema em QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de log.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

O que Fazer Depois

Agora é possível configurar sua instalação do Oracle Acme Packet SBC.

Configurando SNMP para conversão de syslog no Oracle Acme Packet

SBC
Para coletar eventos em um formato compatível com o IBM QRadar, deve-se ativar o SNMP para
conversão de syslog e configurar um destino de syslog.

Procedimento
1. Use SSH para efetuar login na interface da linha de comandos da sua instalação do Oracle Acme
Packet SBC, como um administrador.
2. Digite o comando a seguir para iniciar o modo de configuração:
config t
3. Digite os comandos a seguir para iniciar a configuração do sistema:
(configure)# system (system)# (system)# system-config (system-config)# sel
O comando sel é necessário para selecionar uma única instância do objeto de configuração do sistema.
4. Digite os comandos a seguir para configurar o sistema QRadar como um destino de syslog:

860 Guia de configuração do QRadar DSM

(system-config)# syslog-servers (syslog-config)# address <QRadar IP address>
(syslog-config)# done
5. Digite os comandos a seguir para ativar traps SNMP e conversão de syslog para notificações de trap
SNMP:
(system-config)# enable-snmp-auth-traps enabled (system-config)
# enable-snmp-syslog-notify enabled (system-config)
# enable-snmp-monitor-traps enabled (system-config)
# ids-syslog-facility 4 (system-config)# done
6. Digite os comandos a seguir para retornar ao modo de configuração:
(system-config)# exit (system)# exit (configure)#

Ativando as configurações de syslog no objeto Media Manager

A configuração de objeto do Media Manager permite notificações de syslog quando o sistema de detecção
de intrusão (IDS) conclui uma ação em um endereço IP. A ação disponível para o evento pode depender
da versão de firmware.

Procedimento
1. Digite o comando a seguir para listar a versão de firmware da sua instalação do Oracle Acme Packet
SBC:
(configure)# show ver
ACME Net-Net OSVM Firmware SCZ 6.3.9 MR-2 Patch 2 (Build 465) Build Date=03/12/13
Você pode ver o texto sublinhado que mostra o número da versão principal e secundária para o
firmware.
2. Digite os comandos a seguir para configurar o objeto Media Manager:
(configure)# media-manager (media-manager)# (media-manager)# media-manager (media-manager)#
sel (media-manager-config)#
O comando sel é usado para selecionar uma única instância do objeto Media Manager.
3. Digite o comando a seguir para ativar mensagens de syslog quando um IP é rebaixado pelo sistema
de detecção de intrusão (IDS) para a fila de negação.
(media-manager-config)# syslog-on-demote-to-deny enabled
4. Para a versão de firmware C6.3.0 e mais recente, digite o comando a seguir para ativar a mensagem
de syslog quando as sessões forem rejeitadas.
(media-manager-config)# syslog-on-call-reject enabled
5. Para a versão de firmware C6.4.0 e mais recente, digite o comando a seguir para ativar mensagens de
syslog quando um IP é rebaixado para a fila não confiável
(media-manager-config)# syslog-on-demote-to-untrusted enabled
6. Digite os comandos a seguir para retornar ao modo de configuração:
(media-manager-config)# done (media-manager-config)# exit (media-manager)# exit (configure)#
exit
7. Digite os comandos a seguir para salvar e ativar a configuração:
# save Save complete # activate
8. Digite reboot para reiniciar a instalação do Oracle Acme Packet SBC.
Após a reinicialização do sistema, os eventos são encaminhados para o IBM QRadar e exibidos na
guia Atividade de log.

115 Oracle 861

Oracle Audit Vault
O IBM QRadar DSM for Oracle Audit Vault coleta eventos de um servidor Oracle Audit Vault.

A tabela a seguir descreve as especificações para o DSM do Oracle Audit Vault:

Tabela 473. Especificações de DSM do Oracle Audit Vault
Especificação Valor
Fabricante Oracle
Nome do DSM Oracle Audit Vault
Nome do arquivo RPM DSM-OracleAuditvault-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 10.3 e 12.2
Protocolo JDBC
Formato de evento Par nome-valor (NVP)
Tipos de eventos registrados Todos os registros de auditoria da tabela
AVSYS.AV$ALERT_STORE para V10.3 ou da visualização
AVSYS.AV_ALERT_STORE_V customizada para V12.2.

Para obter mais informações sobre registros de auditoria,

consulte Configurando o Oracle Audit Vault para se
comunicar com o QRadar.
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website da Oracle (https://www.oracle.com/index.html)

Para integrar o Oracle Audit Vault ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do protocolo JDBC
v RPM DSMCommon
v RPM do DSM do Oracle Audit Vault
2. Obtenha as informações do banco de dados para o seu servidor Oracle Audit Vault e configure o seu
banco de dados do Oracle Audit Vault para permitir conexões de TCP recebidas.
3. Para cada instância do Oracle Audit Vault, inclua uma origem de log do Oracle Audit Vault no
QRadar Event Collector. A tabela a seguir descreve os parâmetros que requerem valores específicos
para coletar eventos do Oracle Audit Vault:
Tabela 474. Parâmetros de origem de log do Oracle Audit Vault
Parâmetro Valor
Tipo de origem de log Oracle Audit Vault
Configuração de protocolo JDBC
Identificador de Fonte de Log <DATABASE>@<HOSTNAME>
Tipo de banco de dados Oracle
Nome do banco de dados O nome do banco de dados do Oracle Audit Vault.
IP ou nome do host O endereço IP ou o nome do host do servidor Oracle
Audit Vault.

862 Guia de configuração do QRadar DSM

Tabela 474. Parâmetros de origem de log do Oracle Audit Vault (continuação)
Parâmetro Valor
Porta A porta de onde o banco de dados Oracle Audit Vault
está atendendo.
Nome do usuário Qualquer usuário com a permissão AV_AUDITOR. Por
exemplo, AVAUDITOR.
Senha A senha para o usuário do banco de dados.
Consulta predefinida Nenhum(a)
Nome da tabela Para o Oracle Audit Vault Versão 10.3, o valor Nome da
tabela é AVSYS.AV$ALERT_STORE.

Para o Oracle Audit Vault Versão 12.2, o valor Nome da

tabela é AVSYS.AV_ALERT_STORE_V.
Comparar Campo Para o Oracle Audit Vault Versão 10.3, o valor Comparar
campo é ALERT_SEQUENCE

Para o Oracle Audit Vault Versão 12.2, o valor Comparar

campo é RECORD_ID.
Usar Instruções Preparadas Deve-se selecionar a opção Usar instruções preparadas.
Data e Horário de Início A data e hora iniciais para a recuperação do JDBC.

4. Verifique se o QRadar está configurado corretamente.

A tabela a seguir mostra uma mensagem de evento de auditoria analisado de amostra do Oracle
Audit Vault:

115 Oracle 863

Tabela 475. Mensagem de amostra do Oracle Audit Vault
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
LOGON-success 3075 ALERT_SEQUENCE: "25"
AV_ALERT_TIME: "2010-01-
11 13:02:13.30702"
ACTUAL_ALERT_TIME:
"2010-01-11 12:19:36.0"
TIME_CLEARED: "null"
ALERT_NAME: "testing2"
TARGET_OWNER: "null"
TARGET_OBJECT: "null"
ASSOCIATED_OBJECT_OW
NER: "null"
ASSOCIATED_OBJECT_NA
ME: "null" ALERT_SEVERITY:
"1" CLIENT_HOST:
"host.domain.lab"
CLIENT_HOSTIP:
"<client_host_IP_address>"
SOURCE_HOST:
"<source_host_IP_address>"
SOURCE_HOSTIP:
"<source_host_IP_address>"
PROCESS#: "3428" OSUSER_NAME:
"null" USERNAME: "<os_user_name>"
INSTANCE_NAME: "null"
INSTANCE_NUMBER: "null"
EVENT_STATUS: "0"
CONTEXTID: "1561"
SUB_CONTEXTID: "null"
PARENT_CONTEXTID: "null"
SOURCE_NAME: "XE"
RECORD_ID: "23960"
MSG_NUMBER: "0" CAT_ID:
"2" EVENT_ID: "95"
MSG_ARG_1: "null"
MSG_ARG2: "null"
MSG_ARG3: "null"
MSG_ARG4: "null"
MSG_ARG5: "null"

Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando o Oracle Audit Vault para se comunicar com o QRadar”
Se você estiver usando o Oracle Audit Vault V12.2, deverá criar uma visualização do banco de dados. Se
você estiver usando o Oracle Audit Vault V10.3, nenhuma configuração adicional será necessária.

Configurando o Oracle Audit Vault para se comunicar com o QRadar

Se você estiver usando o Oracle Audit Vault V12.2, deverá criar uma visualização do banco de dados. Se
você estiver usando o Oracle Audit Vault V10.3, nenhuma configuração adicional será necessária.

864 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no seu banco de dados Oracle Audit Vault V12.2 como o usuário AVSYS.
2. Para criar a visualização do banco de dados, digite a consulta a seguir:
create or replace view AVSYS.AV_ALERT_STORE_V as select RECORD_ID, USER_NAME,
SECURED_TARGET_ID, SECURED_TARGET_NAME, SECURED_TARGET_TYPE, EVENT_TIME, OSUSER_NAME,
COMMAND_CLASS, nvl(to_number(decode(EVENT_STATUS,'SUCCESS','0','FAILURE','1','1')),1)
EVENT_STATUS, EVENT_NAME EVENT_ID, nvl(ERROR_CODE,0) ERROR_CODE, ERROR_MESSAGE, AV_TIME,
TARGET_TYPE, TARGET_OBJECT, TARGET_OWNER, CLIENT_HOST_NAME, CLIENT_IP, AUDIT_TRAIL_ID,
MONITORING_POINT_ID, MARKER, ALERT_RAISED, ACTION_TAKEN, NETWORK_CONNECTION, LOGFILE_ID,
SERVICE_NAME, POLICY_NAME, THREAT_SEVERITY, LOG_CAUSE, CLUSTER_ID, CLUSTER_TYPE,
GRAMMAR_VERSION, CLIENT_PROGRAM, COMMAND_TEXT, COMMAND_PARAM, EXTENSION,
SECURED_TARGET_CLASS, LOCATION, TERMINAL, CLIENT_ID from avsys.EVENT_LOG el where
el.alert_raised = 1;
3. Para permitir que um usuário que tenha a permissão AV_AUDITOR leia a visualização que você
criou, digite a consulta a seguir:
grant select on AVSYS.AV_ALERT_STORE_V to AV_AUDITOR;

Oracle BEA WebLogic

O DSM Oracle BEA WebLogic permite que o IBM QRadar recupere logs do servidor arquivados e logs de
auditoria de qualquer host remoto, como o servidor Oracle BEA WebLogic.

Sobre Esta Tarefa

O QRadar usa o protocolo de arquivo de log para recuperar eventos do servidor Oracle BEA WebLogic e
fornece informações sobre eventos do aplicativo que ocorrem em seu domínio ou em um único servidor.

Para integrar eventos do Oracle BEA WebLogic, execute as etapas a seguir:

1. Ative a auditoria em seu servidor Oracle BEA WebLogic.
2. Configure a criação de log de domínio em seu servidor Oracle BEA WebLogic.
3. Configure a criação de log do aplicativo em seu servidor Oracle BEA WebLogic.
4. Configure um provedor de auditoria para o Oracle BEA WebLogic.
5. Configure o QRadar para recuperar arquivos de log do Oracle BEA WebLogic.

Ativando logs de eventos

Por padrão, o Oracle BEA WebLogic não permite criação de log de eventos.

Sobre Esta Tarefa

Para ativar a criação de log de eventos no console do Oracle WebLogic:

Procedimento
1. Efetue login na interface com o usuário do console do Oracle WebLogic.
2. Selecione Domínio > Configuração > Geral.
3. Clique em Avançado.
4. Na lista Tipo de auditoria de configuração, selecione Mudar log e auditoria.
5. Clique em Salvar.

O que Fazer Depois

Agora é possível configurar a coleção de logs de domínio para o Oracle BEA WebLogic.

115 Oracle 865

Configurando a criação de log do domínio
O Oracle BEA WebLogic suporta várias instâncias. As mensagens de eventos das instâncias são coletadas
em um único log de todo o domínio para o servidor Oracle BEA WebLogic.

Sobre Esta Tarefa

Para configurar o arquivo de log para o domínio:

Procedimento
1. No console do Oracle WebLogic, selecione Domínio > Configuração > Criação de log.
2. No parâmetro Nome do arquivo de log, digite o caminho do diretório e o nome do arquivo para o
log do domínio.
Por exemplo, OracleDomain.log.
3. Opcional: Configure quaisquer parâmetros adicionais de rotação de arquivo de log do domínio.
4. Clique em Salvar.

O que Fazer Depois

Agora é possível configurar a criação de log do aplicativo para o servidor.

Configurando a criação de log do aplicativo

É possível configurar a criação de log do aplicativo para o Oracle BEA WebLogic:

Procedimento
1. No console do Oracle WebLogic, selecione Servidor > Criação de log > Geral.
2. No parâmetro Nome do arquivo de log, digite o caminho do diretório e o nome do arquivo para o
log do aplicativo.
Por exemplo, OracleDomain.log.
3. Opcional: Configure quaisquer parâmetros adicionais de rotação de arquivo de log do aplicativo.
4. Clique em Salvar.

O que Fazer Depois

Agora é possível configurar um provedor de auditoria para o Oracle BEA WebLogic.

Configurando um provedor de auditoria

É possível configurar um provedor de auditoria:

Procedimento
1. Selecione Domínios de segurança > Nome da região > Provedores > Auditoria.
2. Clique em Novo.
3. Configure um provedor de auditoria digitando um nome para o provedor de auditoria que você está
criando.
4. Na lista Tipo, selecione DefaultAuditor.
5. Clique em OK.
A janela Configurações é exibida.
6. Clique no provedor de auditoria que você criou em “Configurando um provedor de auditoria”.
7. Clique na guia Provedor específico.
8. Inclua quaisquer Entradas de manipulador de contexto ativas que são necessárias.

866 Guia de configuração do QRadar DSM

9. Na lista Severidade, selecione Informações.
10. Clique em Salvar.

O que Fazer Depois

Agora é possível configurar o IBM QRadar para obter arquivos de log do Oracle BEA WebLogic.

Configurando uma origem de log

É possível configurar o IBM QRadar para recuperar arquivos de log do Oracle BEA WebLogic.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Na lista Tipo de origem de log, selecione Oracle BEA WebLogic.
6. Usando a lista Configuração de protocolo, selecione Arquivo de log.
7. Configure os parâmetros a seguir:
Tabela 476. Parâmetros de arquivo de log
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log. Esse valor deve
log corresponder ao valor que está configurado no parâmetro ID ou nome do host
remoto.

O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de serviço Na lista, selecione o Protocolo de Transferência de Arquivos (FTP) que você deseja
usar para recuperar arquivos. É possível escolher: Protocolo de Transferência de
Arquivos SSH (SFTP), Protocolo de Transferência de Arquivos (FTP) ou Cópia
Segura (SCP). O padrão é SFTP.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do qual você deseja receber arquivos.
Porta remota Digite a porta TCP no host remoto que esteja executando o Tipo de serviço
selecionado. Se você configurar o Tipo de serviço como FTP, o padrão será 21. Se
você configurar o Tipo de serviço como SFTP ou SCP, o padrão será 22.

O intervalo válido é de 1 a 65535.

Usuário remoto Digite o nome do usuário necessário para efetuar login no host que executa o Tipo de
serviço selecionado.

O nome de usuário pode ter até 255 caracteres de comprimento.

Senha remota Digite a senha necessária para efetuar login no host que executa o Tipo de serviço
selecionado.
Confirmar senha Confirme a Senha remota para efetuar login no host que executa o Tipo de serviço
selecionado.
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço, esse parâmetro fornecerá a
opção de definir um arquivo de chave privado SSH. Além disso, quando você fornece
um arquivo de chave SSH, a opção Senha remota é ignorada.
Diretório remoto Digite o local do diretório no host remoto a partir do qual os arquivos são
recuperados.

115 Oracle 867

Tabela 476. Parâmetros de arquivo de log (continuação)
Parâmetro Descrição
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo também procure
subpastas. O parâmetro Recursive não será usado se você configurar SCP como o
Tipo de serviço. Por padrão, a caixa de seleção não é selecionada.
Padrão do arquivo de FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, isso fornecerá a opção de
configurar a expressão regular (regex) que é necessária para filtrar a lista de arquivos
que são especificados no Diretório remoto. Todos os arquivos correspondentes são
incluídos no processamento.

Por exemplo, se você desejar listar todos os arquivos que começam com a palavra
server, seguida por um ou mais dígitos e terminando com .log, use esta entrada:
server[0-9]+\.log. A utilização deste parâmetro requer conhecimento de expressões
regulares (regex). Para obter mais informações, consulte o website a seguir:
http://docs.oracle.com/javase/tutorial/essential/regex/
Modo de transferência por Esta opção será exibida somente se você selecionar FTP como o Tipo de serviço. O
FTP parâmetro Modo de transferência por FTP fornece a opção de definir o modo de
transferência de arquivo quando os arquivos de log são recuperados via FTP.

Na lista, selecione o modo de transferência que você deseja aplicar a esta origem de
log:
v Binário - Selecione um modo de transferência binário FTP para as origens de log
que requerem arquivos de dados binários ou archives compactados .zip, .gzip,
.tar ou tar+gz.
v ASCII – Selecione ASCII para origens de log que requerem uma transferência de
arquivos FTP ASCII. Deve-se selecionar Nenhum para o parâmetro Processador e
LineByLine para o parâmetro Gerador de evento quando você usar ASCII como o
Modo de transferência FTP.
Arquivo remoto do SCP Se você selecionar SCP como o Tipo de serviço, deverá digitar o nome do arquivo do
arquivo remoto.
Horário de Início Digite o horário do dia que deseja que o processamento comece. Esse parâmetro
funciona com o valor de Recorrência para estabelecer quando e com que frequência o
Diretório Remoto é varrido em busca de arquivos. Digite o horário de início, com
base em um relógio de 24 horas, no formato a seguir: HH:MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

868 Guia de configuração do QRadar DSM

Tabela 476. Parâmetros de arquivo de log (continuação)
Parâmetro Descrição
Mudar o diretório local? Marque essa caixa de seleção para definir o diretório local em seu sistema QRadar
que você deseja usar para armazenar arquivos transferidos por download durante o
processamento. É sugerido que você deixe a caixa de seleção desmarcada. Quando a
caixa de seleção está marcada, o campo Diretório local é exibido, fornecendo a você a
opção de configurar o diretório local para armazenar arquivos.
Gerador de evento Na lista Gerador de evento, selecione Oracle BEA WebLogic.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

Oracle DB Audit
O DSM IBM QRadar para o Oracle DB Audit coleta logs de um banco de dados Oracle.

A tabela a seguir descreve as especificações para o DSM Oracle DB Audit:

Tabela 477. Especificações do DSM Oracle DB Audit
Especificação Valor
Fabricante Oracle
Nome do DSM Oracle DB Audit
Nome do arquivo RPM DSM-OracleDbAudit-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 9i, 10g, 11g, 12c (inclui auditoria unificada)
Protocolo JDBC, Syslog
Formato de evento Par nome-valor
Tipos de eventos registrados Registros de Auditoria
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais Website da Oracle (htttps://www.oracle.com)

Para integrar o Oracle DB Audit com o QRadar, conclua as seguintes etapas:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do protocolo JDBC
v RPM DSMCommon
v RPM do DSM Oracle DB Audit
2. Configure seu dispositivo Oracle DB Audit para gravar logs de auditoria.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Oracle DB
Audit no Console do QRadar. As tabelas a seguir descrevem os parâmetros que requerem valores
específicos para coletar eventos de auditoria do Oracle DB Audit:
Tabela 478. Parâmetros de origem de log syslog do Oracle DB Audit
Parâmetro Valor
Tipo de origem de log Registro de Auditoria RDBMS Oracle

115 Oracle 869

Tabela 478. Parâmetros de origem de log syslog do Oracle DB Audit (continuação)
Parâmetro Valor
Configuração de protocolo Syslog
Identificador de Fonte de Log Digite um identificador exclusivo para a origem de log.

Tabela 479. Parâmetros de origem de log JDBC do Oracle DB Audit

Parâmetro Valor
Tipo de origem de log Registro de Auditoria RDBMS Oracle
Configuração de protocolo JDBC
Identificador de Fonte de Log Insira o valor no formato
<DATABASE>@<HOSTNAME>.

O valor de <>DATABASE deve corresponder ao nome do

banco de dados especificado no campo Nome do banco
de dados. O valor de <HOSTNAME> deve corresponder
ao IP ou ao nome do host especificado no campo IP ou
nome do host.
Tipo de banco de dados Oracle
Nome do banco de dados O nome do banco de dados do qual os logs de auditoria
serão coletados.
IP ou nome do host O IP ou o nome do host do banco de dados Oracle.
Porta A porta JDBC. A porta JDBC deve corresponder à porta
de atendimento que está configurada no banco de dados
remoto.
Nome do usuário O nome do usuário a se conectar ao banco de dados. O
usuário deve ter as permissões AUDIT_ADMIN ou
AUDIT_VIEWER.
Senha A senha do usuário para conexão com o banco de dados.
Nome da Tabela O nome da tabela que contém os registros de auditoria
que você deseja coletar.
Comparar Campo Para o Oracle 9i ou o Oracle 10g liberação 1, digite
Qradar_time.

Para o Oracle 10g liberação 2, o Oracle 11g ou o Oracle

12c (auditoria não unificada), digite extended_timestamp.

Para o Oracle 12c (auditoria unificada), digite

event_timestamp.

4. Verifique se o QRadar está configurado corretamente.

A tabela a seguir mostra uma mensagem de evento normalizado de amostra do Oracle DB Audit:

870 Guia de configuração do QRadar DSM

Tabela 480. Mensagem de amostra do Oracle DB Audit
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
SELECT com sucesso Permissão de Ação do Sistema OS_USERNAME: "os_username"
USERNAME: "username" USERHOST:
"userhost" TERMINAL: "terminal"
TIMESTAMP: "2017-04-05 21:04:02.0"
OWNER: "owner" OBJ_NAME: "PARTIAL_
ALERT" ACTION: "3" ACTION_NAME:
"SELECT" NEW_OWNER: "null" NEW_NAME:
"null" OBJ_PRIVILEGE: "null"
SYS_PRIVILEGE: "null" ADMIN_OPTION:
"null" GRANTEE: "null" AUDIT_OPTION:
"null" SES_ACTIONS: "null" LOGOFF_
TIME: "null" LOGOFF_LREAD: "null"
LOGOFF_PREAD: "null" LOGOFF_
LWRITE: "null" LOGOFF_DLOCK:
"null" COMMENT_TEXT: "null"
SESSIONID: "xxxxxx" ENTRYID: "2"
STATEMENTID: "2" RETURNCODE: "0"
PRIV_USED: "null" CLIENT_ID:
"null" ECONTEXT_ID: "null" SESSION_
CPU: "null" EXTENDED_TIMESTAMP:
"2017-04-05 21:04:02.318133
America/Halifax" PROXY_SESSIONID:
"null" GLOBAL_UID: "null" INSTANCE_
NUMBER: "0" OS_PROCESS: "9276"
TRANSACTIONID: "null" SCN:
"3842851" SQL_BIND: "null" SQL_
TEXT: "null" OBJ_EDITION_NAME:
"null" DBID: "xxxxxxxxxx"

115 Oracle 871

Tabela 480. Mensagem de amostra do Oracle DB Audit (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
AUDIT com falha Modificação de Configuração AUDIT_TYPE: "Standard"
com Falha SESSIONID: "xxxxxxxxxx" PROXY_SESSIONID:
"0" OS_USERNAME: "os_username" USERHOST:
"userhost" TERMINAL: "terminal" INSTANCE
_ID: "1" DBID: "xxxxxxxxxx" AUTHENTI
CATION_TYPE: "(TYPE=(DATABASE));
" DBUSERNAME: "dbusername" DBPROXY_
USERNAME: "null" EXTERNAL_USERID: "null
" GLOBAL_USERID: "null" CLIENT_PROGRAM_
NAME: "client_program_name" DBLINK_
INFO: "null" XS_USER_NAME: "null"
XS_SESSIONID: "000000000000000000000000
000000000000000000000000000000000000000
000" ENTRY_ID: "3" STATEMENT_ID: "11"
EVENT_TIMESTAMP: "2017-04-05 20:44:21.
29604" ACTION_NAME: "AUDIT" RETURN_CODE:
"1031" OS_PROCESS: "1749" TRANSACTION
_ID: "0000000000000000" SCN: "3841187
" EXECUTION_ID: "null" OBJECT_SCHEMA
: "null" OBJECT_NAME: "null" SQL_TEXT
: "audit all" SQL_BINDS: "null" APPLIC
ATION_CONTEXTS: "null" CLIENT_IDENTIF
IER: "null" NEW_SCHEMA: "null" NEW_
NAME: "null" OBJECT_EDITION: "null"
SYSTEM_PRIVILEGE_USED: "null" SYSTEM_
PRIVILEGE: "null" AUDIT_OPTION: "CREAT
E SESSION" OBJECT_PRIVILEGES: "null"
ROLE: "null" TARGET_USER: "null"
EXCLUDED_USER: "null" EXCLUDED_SCHEMA:
"null" EXCLUDED_OBJECT: "null" ADDITI
ONAL_INFO: "null" UNIFIED_AUDIT_POLIC
IES: "null" FGA_POLICY_NAME: "null"
XS_INACTIVITY_TIMEOUT: "0" XS_ENTITY_
TYPE: "null" XS_TARGET_PRINCIPAL_NAME:
"null" XS_PROXY_USER_NAME: "null" XS_
DATASEC_POLICY_NAME: "null" XS_SCHEMA_
NAME: "null" XS_CALLBACK_EVENT_TYPE:
"null" XS_PACKAGE_NAME: "null" XS_
PROCEDURE_NAME: "null" XS_ENABLED_
ROLE: "null" XS_COOKIE: "null" XS_NS
_NAME: "null" XS_NS_ATTRIBUTE: "null"
XS_NS_ATTRIBUTE_OLD_VAL: "null" XS_
NS_ATTRIBUTE_NEW_VAL: "null" DV_ACTION
_CODE: "0" DV_ACTION_NAME: "null" DV
_EXTENDED_ACTION_CODE: "0" DV_GRANTEE:
"null" DV_RETURN_CODE: "0" DV_ACTION
_OBJECT_NAME: "null" DV_RULE_SET_NAME:
"null" DV_COMMENT: "null" DV_FACTOR_
CONTEXT: "null" DV_OBJECT_STATUS:
"null" OLS_POLICY_NAME: "null" OLS_
GRANTEE: "null" OLS_MAX_READ_LABEL:
"null" OLS_MAX_WRITE_LABEL: "null"
OLS_MIN_WRITE_LABEL: "null" OLS_
PRIVILEGES_GRANTED: "null" OLS_PROG
RAM_UNIT_NAME: "null" OLS_PRIVILEGES
_USED: "null" OLS_STRING_LABEL:
"null" OLS_LABEL_COMPONENT_TYPE:
"null" OLS_LABEL_COMPONENT_NAME:
"null" OLS_PARENT_GROUP_NAME: "null"
OLS_OLD_VALUE: "null" OLS_NEW_VALUE:
"null" RMAN_SESSION_RECID: "0" RMAN
_SESSION_STAMP: "0" RMAN_OPERATION:
"null" RMAN_OBJECT_TYPE: "null" RMAN
_DEVICE_TYPE: "null" DP_TEXT_PARAMETER
S1: "null" DP_BOOLEAN_PARAMETERS1: "null
" DIRECT_PATH_NUM_COLUMNS_LOADED: "0"

Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem

872 Guia de configuração do QRadar DSM

dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Ativando a auditoria unificada no Oracle 12c

Para ativar a Auditoria unificada no Oracle 12c, deve-se encerrar o banco de dados Oracle, parar o
serviço de listener do Oracle e depois reiniciar o banco de dados Oracle e o serviço de listener do Oracle.

Antes de Iniciar
Deve-se ter o privilégio no sistema AUDIT_SYSTEM ou a função AUDIT_ADMIN para concluir as
seguintes etapas.

Procedimento
1. Encerre o banco de dados Oracle conectando-se ao banco de dados com SQLplus e, em seguida, digite
o seguinte comando:
shutdown immediate
2. Pare o serviço de listener do Oracle digitando o seguinte comando:
lsnrctl stop
3. Se aplicável, pare o Enterprise Manager, digitando os seguintes comandos:
cd /u01/app/oracle/product/middleware/oms
export OMS_HOME=/u01/app/oracle/product/middleware/oms
$OMS_HOME/bin/emctl stop oms
4. Vincule novamente o DB Oracle com a opção uniaud, digitando os seguintes comandos:
cd $ORACLE_HOME/rdbms/lib
make -f ins_rdbms.mk uniaud_on ioracle
5. Reinicie o banco de dados Oracle, conectando-se ao banco de dados com SQLplus e, em seguida,
digite o seguinte comando:
startup
6. Reinicie o serviço de listener do Oracle digitando o seguinte comando:
lsnrctl start
7. Se aplicável, reinicie o Enterprise Manager, digitando os seguintes comandos:
cd /u01/app/oracle/product/middleware/oms
export OMS_HOME=/u01/app/oracle/product/middleware/oms
$OMS_HOME/bin/emctl start oms
8. Para verificar se a auditoria unificada está ativada, conecte-se ao banco de dados Oracle com SQLplus
e, em seguida, digite o seguinte comando:
select * from v$option where PARAMETER = 'Unified Auditing';
Verifique se o comando retorna uma linha com VALUE igual a "TRUE".

Configurando um servidor de banco de dados Oracle para enviar logs

de auditoria do syslog ao QRadar
Configure seu dispositivo Oracle para enviar logs de auditoria do syslog para IBM QRadar.

115 Oracle 873

Procedimento
1. Efetue login no host do Oracle como um usuário Oracle.
2. Assegure-se de que as variáveis de ambiente ORACLE_HOME e ORACLE_SID estejam configuradas
corretamente para sua implementação.
3. Abra o arquivo a seguir:
${ORACLE_HOME}/dbs/init${ORACLE_SID}.ora
4. Escolha uma das opções a seguir:
a. Para trilhas de auditoria de banco de dados, digite o comando a seguir:
*.audit_trail='DB'
b. Para syslog, digite os seguintes comandos:
*.audit_trail='os'
*.audit_syslog_level='local0.info'
Deve-se assegurar que o daemon do syslog no host do Oracle esteja configurado para
encaminhar o log de auditoria para o QRadar. Para sistemas que executam Red Hat Enterprise, a
linha a seguir no arquivo /etc/syslog.conf afeta o encaminhamento:
local0.info @ qradar.domain.tld
Em que qradar.domain.tld é o nome do host do QRadar que recebe os eventos. A configuração do
syslog deve ser recarregada para que o comando seja reconhecido. Em um sistema que executa o
Red Hat Enterprise, digite a linha a seguir para recarregar a configuração de syslog:
kill -HUP /var/run/syslogd.pid
5. Salve e saia do arquivo.
6. Para reiniciar o banco de dados, conecte-se ao SQLplus e efetue login como sysdba:

Exemplo: Enter user-name: sys as sysdba

7. Encerre o banco de dados digitando a linha a seguir:
shutdown immediate
8. Reinicie o banco de dados digitando a linha a seguir:
startup
9. Se você está usando o Oracle v9i ou o Oracle v10g Release 1, deve-se criar uma visualização que use
SQLplus para ativar a integração do QRadar. Se você estiver usando o Oracle 10g Liberação 2 ou
mais recente, será possível ignorar esta etapa:
CREATE VIEW qradar_audit_view
AS SELECT CAST(dba_audit_trail.timestamp AS TIMESTAMP)
AS qradar_time, dba_audit_trail.* FROM dba_audit_trail;
Se você estiver usando o protocolo JDBC, ao configurar o protocolo JDBC no QRadar, use os
seguintes parâmetros específicos:
Tabela 481. Configurando parâmetros de origem de log
Valores do Oracle v10g Liberação 2 e
Nome do parâmetro Valores do Oracle v9i ou 10g Liberação 1 v11g
Nome da tabela QRadar_audit_view dba_audit_trail
Selecionar lista * *
Comparar campo QRadar_time extended_timestamp
Nome do banco de dados Para todas as versões suportadas do Oracle, o Nome do banco de dados deve ser o
nome de serviço exato que é usado pelo listener do Oracle. É possível visualizar os
nomes de serviços disponíveis, executando o comando a seguir no host Oracle:
lsnrctl status

874 Guia de configuração do QRadar DSM

Nota: Assegure-se de que o usuário do banco de dados que o QRadar usa para consultar eventos da
tabela de log de auditoria tenha as permissões apropriadas para o objeto Nome da tabela.
10. Agora é possível configurar o QRadar para receber eventos de um banco de dados Oracle: na lista
Tipo de origem de log, selecione a opção Registro de auditoria do Oracle RDBMS.
Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Oracle DB Listener
O aplicativo Oracle Database Listener armazena os logs no servidor de banco de dados.

Para integrar o IBM QRadar com o Oracle DB Listener, selecione um dos métodos a seguir para a coleção
de eventos:
v “Coletando eventos usando o protocolo Oracle Database Listener”
v “Coletando eventos do banco de dados Oracle usando Perl” na página 877
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Coletando eventos usando o protocolo Oracle Database Listener

A origem do protocolo Oracle Database Listener permite que o IBM QRadar monitore arquivos de log
que são gerados de um banco de dados Oracle Listener. Antes de configurar o protocolo Oracle Database
Listener para monitorar arquivos de log para processamento, deve-se obter o caminho do diretório para
os arquivos de log do banco de dados Oracle Listener.

Antes de Iniciar

Os serviços do Samba devem estar em execução no servidor de destino para recuperar eventos
corretamente quando estiver usando o protocolo Oracle Database Listener.

Sobre Esta Tarefa

Para configurar o QRadar para monitorar arquivos de log do Oracle Database Listener:

115 Oracle 875

5. Na lista Tipo de origem de log, selecione Oracle Database Listener.
6. Usando a lista Configuração de protocolo, selecione Oracle Database Listener.
7. Configure os parâmetros a seguir:
Tabela 482. Parâmetros do Oracle Database Listener

Parâmetro Descrição
Identificador de origem de
log Digite o endereço IP ou o nome do host para a origem de log.
Endereço do Servidor
Digite o endereço IP do Oracle Database Listener.
Domínio
Digite o domínio que é necessário para acessar o Oracle Database Listener. Esse
parâmetro é opcional.
Nome do usuário
Digite o nome do usuário que é necessário para acessar o host que executa o Oracle
Database Listener.
Senha
Digite a senha que é necessária para acessar o host que executa o Oracle Database
Listener.
Confirmar senha
Confirme a senha que é necessária para acessar o Oracle Database Listener.
Caminho de pasta de log
Digite o caminho do diretório para acessar os arquivos de log do Oracle Database
Listener.
Padrão de arquivo
Digite a expressão regular (regex) que é necessária para filtrar os nomes de arquivos.
Todos os arquivos correspondentes são incluídos no processamento. O padrão é
listener\.log

Esse parâmetro não aceita padrões de curinga e globbing na expressão regular. Por
exemplo, se você desejar listar todos os arquivos que começam com a palavra log,
seguida por um ou mais dígitos e terminando com tar.gz, use a entrada a seguir:
log[0-9]+\.tar\.gz. A utilização deste parâmetro requer conhecimento de expressões
regulares (regex). Para obter mais informações, consulte o website a seguir:
http://docs.oracle.com/javase/tutorial/essential/regex/
Forçar leitura de arquivo
Marque essa caixa de seleção para forçar o protocolo a ler o arquivo de log quando a
sincronização do intervalo de pesquisa especifica.

Quando a caixa de seleção está marcada, a origem do arquivo de log sempre é

examinada quando o intervalo de pesquisa especifica, independentemente do horário
da última modificação ou do atributo de tamanho do arquivo.

Quando a caixa de seleção não está marcada, a origem do arquivo de log é

examinada no intervalo de pesquisa, se o horário da última modificação ou os
atributos de tamanho de arquivo mudarem.
Recursivo
Selecione esta caixa de seleção se desejar que o padrão do arquivo também procure
subpastas. Por padrão, essa caixa de seleção é marcada.
Intervalo de pesquisa (em
segundos) Digite o intervalo de pesquisa, que é o número de segundos entre as consultas aos
arquivos de log para verificação de novos dados. O intervalo de pesquisa mínimo é
10 segundos, com um intervalo de pesquisa máximo de 3.600 segundos. O padrão é
10 segundos.

876 Guia de configuração do QRadar DSM

Tabela 482. Parâmetros do Oracle Database Listener (continuação)

Parâmetro Descrição
Eventos do regulador/s
Digite o número máximo de eventos que o protocolo Oracle Database Listener
encaminha por segundo. O valor mínimo é 100 EPS e o máximo é 20.000 EPS. O
padrão é 100 EPS.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

Coletando eventos do banco de dados Oracle usando Perl

O aplicativo Oracle Database Listener armazena os logs no servidor de banco de dados. Para encaminhar
esses logs do servidor Oracle para o IBM QRadar, deve-se configurar um script Perl no servidor Oracle.
O script Perl monitora o arquivo de log do listener, combina todas as entradas de log multilinhas em
uma única entrada de log e envia os logs, usando syslog (UDP), para o QRadar.

Sobre Esta Tarefa

Antes que os logs são enviados para o QRadar, eles são processados e reformatados para que não sejam
encaminhados linha por linha, conforme estão no arquivo de log. Todas as informações relevantes são
retidas.

Nota: Os scripts Perl que são escritos para o listener do Oracle DB funcionam somente nos servidores
Linux/UNIX. O script Perl do Windows não é suportado. Certifique-se de ter o Perl 5.8 instalado no
dispositivo que hospeda o servidor Oracle.

Para instalar e configurar o script Perl:

Procedimento
1. Acesse o website a seguir para fazer download dos arquivos que você precisa:
http://www.ibm.com/support
2. Na lista Downloads, clique em Fix Central.
3. Clique em Selecionar Produto guia.
4. Selecione IBM Security na lista Grupo de produtos.
5. Selecione IBM Security QRadar SIEM na lista Selecionar no IBM Security.
6. Selecione a Versão instalada do QRadar.
7. Selecione Linux na lista Plataforma e clique em Continuar.
8. Selecione Procurar por correções e clique em Continuar.
9. Selecione Script.
10. Clique em <QRadar_version>-oracle_dblistener_fwdr-<version_number>.pl.tar.gz para fazer
download do Oracle DB Listener Script.
11. Copie o Oracle DB Listener Script para o servidor que hospeda o servidor Oracle.
12. Efetue login no servidor Oracle usando uma conta que tenha permissões de leitura/gravação para o
arquivo listener.log e o diretório /var/run.
13. Extraia o arquivo do Oracle DB Listener Script digitando o comando a seguir:
tar -xvzf oracle_dblistener_fwdr-<version_number>.pl.tar.gz
14. Digite o comando a seguir e inclua quaisquer parâmetros de comando adicionais para iniciar o
monitoramento do arquivo de log do Oracle DB Listener:
oracle_dblistener_fwdr.pl -h <IP address> -t "tail -F <absolute_path_to_listener_log>/
listener.log"

115 Oracle 877

em que <IP address> é o endereço IP de seu QRadar Console ou Event Collector e
<absolute_path_to_listener_log> é o caminho absoluto do arquivo de log do listener no servidor Oracle.
Tabela 483. Parâmetros de comando
Parâmetros Descrição
-D O parâmetro -D define que o script deve ser executado em primeiro plano.

O padrão é ser executado como um daemon e registrar todas as mensagens internas no serviço de
syslog local.
-t O parâmetro -t define que a linha de comandos é usada para juntar o arquivo de log (monitora
qualquer nova saída do listener). O local do arquivo de log pode ser diferente entre as versões do
banco de dados Oracle. Por exemplo,

Oracle 9i: <install_directory>/product/9.2/network/log/listener.log

Oracle 10g: <install_directory>/product/10.2.0/db_1/network/log /listener.log

Oracle 11g: <install_directory>/diag/tnslsnr/qaoracle11/listener /trace/listener.log

-f O parâmetro -f define syslog facility.priority para ser incluído no início do log.

Se nada for especificado, user.info será usado.

-g O parâmetro -g define o arquivo do pacote de idiomas. Por exemplo,
./oracle_dblistener_fwdr.pl -h <IP_address>
/root/OracleDBListener/languagepacks/localization.french -g
-t "tail -f /root/smbtest/listener_vali.log"

Esse parâmetro é opcional.

-H O parâmetro -H define o nome do host ou o endereço IP para o cabeçalho syslog. É sugerido que
seja o endereço IP do servidor Oracle no qual o script está sendo executado.
-h O parâmetro -h define o host syslog de recebimento (o nome do host ou endereço IP do Coletor
de eventos que é usado para receber os logs).
-p O parâmetro -p define a porta syslog UDP de recebimento.

Se uma porta não for especificada, 514 será usado.

-r O parâmetro -r define o nome do diretório no qual você deseja criar o arquivo .pid. O padrão é
/var/run. Este parâmetro será ignorado se -D for especificado.
-l O parâmetro -I define o nome do diretório no qual você deseja criar o arquivo de bloqueio. O
padrão é /var/lock. Este parâmetro será ignorado se -D for especificado.

Por exemplo, para monitorar o log do listener em um servidor Oracle 9i com um endereço IP de
192.0.2.10 e encaminhar eventos para o QRadar com o endereço IP de 192.0.2.20, digite o código a
seguir:
oracle_dblistener_fwdr.pl -t tail -f <install_directory>/product/9.2/network/log/
listener.log -f user.info -H 192.0.2.10 -h 192.0.2.20 -p 514
Um log de amostra dessa configuração seria semelhante ao seguinte:
<14>Apr 14 13:23:37 192.0.2.10 AgentDevice=OracleDBListener Command=SERVICE_UPDATE
DeviceTime=18-AUG-2006 16:51:43 Status=0 SID=qora9

Nota: O comando kill pode ser usado para parar o script se você precisar reconfigurar um
parâmetro de script ou fazer com que o script pare de enviar eventos para o QRadar. Por exemplo,

kill -QUIT `cat /var/run/oracle_dblistener_fwdr.pl.pid` O exemplo de comando usa o caractere

de acento crase (`), que está localizado à esquerda do número um na maioria dos layouts de teclado.

878 Guia de configuração do QRadar DSM

O que Fazer Depois

Agora é possível configurar o Oracle Database Listener no QRadar.

Configurando o Oracle Database Listener no QRadar.

É possível configurar o Oracle Database Listener no IBM QRadar.

Procedimento
1. Na lista Tipo de origem de log, selecione Oracle Database Listener.
2. Na lista Configuração de protocolo, selecione syslog.
3. No campo Identificador de origem de log, digite o endereço IP do Oracle Database que você
especificou usando a opção -H em “Coletando eventos do banco de dados Oracle usando Perl” na
página 877.
A configuração do protocolo Oracle Database Listener está concluída. Para obter mais informações
sobre o Oracle Database Listener, consulte a documentação do fornecedor.

Visão geral do Oracle Directory Server

O Oracle Directory Server era anteriormente conhecido como Sun ONE LDAP.
Conceitos relacionados:
“Sun ONE LDAP” na página 1021
O ONE LDAP DSM for QRadar aceita o acesso ao UDP multilinhas e eventos LDAP de Sun ONE
Directory Servers.

Oracle Enterprise Manager

O IBM QRadar DSM for Oracle Enterprise Manager coleta eventos de um dispositivo Oracle Enterprise
Manager. O recurso Conformidade de monitoramento em tempo real do Oracle Enterprise Manager gera
os eventos.

A tabela a seguir lista as especificações para o Oracle Enterprise Manager DSM:

Tabela 484. Especificações do Oracle Enterprise Manager DSM
Especificação Valor
Fabricante Oracle
Nome do DSM Oracle Enterprise Manager
Nome do arquivo RPM DSM-OracleEnterpriseManager-Qradar_version-
Buildbuild_number.noarch.rpm
Versões Suportadas Oracle Enterprise Manager Cloud Control 12c
Protocolo JDBC
Tipos de eventos registrados Auditoria

Conformidade
Descobertos automaticamente? No
Inclui identidade? SIM
Inclui propriedades customizadas? No

115 Oracle 879

Tabela 484. Especificações do Oracle Enterprise Manager DSM (continuação)
Especificação Valor
Informações adicionais Oracle Enterprise Manager (http://www.oracle.com/us/
products/enterprise-manager/index.html)

O formato original dos eventos são linhas em uma

visualização do banco de dados Oracle Enterprise
Manager (sysman.mgmt$ccc_all_observations). O
QRadar pesquisa novas linhas nessa visualização e as
usa para gerar eventos. Para obter informações, consulte
Visualizações de conformidade (http://docs.oracle.com/
cd/E24628_01/doc.121/e57277/
ch5_complianceviews.htm#BABBIJAA)

Para coletar eventos do Oracle Enterprise Manager, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do Oracle Enterprise Manager DSM RPM em seu QRadar Console.
2. Assegure-se de que o sistema Oracle Enterprise Manager esteja configurado para aceitar conexões de
dispositivos externos.
3. Inclua uma origem de log do Oracle Enterprise Manager no QRadar Console. A tabela a seguir
descreve os parâmetros que requerem valores específicos para a coleção de eventos do Oracle
Enterprise Manager:
Tabela 485. Parâmetros de origem de log do Oracle Enterprise Manager
Parâmetro Descrição
Tipo de origem de log Oracle Enterprise Manager
Configuração de protocolo JDBC
Tipo de banco de dados Oracle
Nome do Banco de Dados O Nome do serviço do banco de dados Oracle Enterprise
Manager.

Para visualizar os nomes de serviço disponíveis, execute

o comando lsnrctl status no host Oracle.
IP ou nome do host O endereço IP ou nome do host do host para o banco de
dados do Oracle Enterprise Manager.
Port A porta que é usada pelo banco de dados do Oracle
Enterprise Manager.
Username O nome do usuário da conta que possui direito de
acessar a tabela sysman.mgmt$ccc_all_observations.
Consulta Predefinida nenhum
Nome da tabela sysman.mgmt$ccc_all_observations
Lista de Seleção *
Comparar Campo ACTION_TIME
Usar Instruções Preparadas True

880 Guia de configuração do QRadar DSM

origem de log para receber eventos dos dispositivos de rede.

Oracle Fine Grained Auditing

O DSM Oracle Fine Grained Auditing pode pesquisar eventos de auditoria de banco de dados do Oracle
9i e mais recente usando o protocolo Java Database Connectivity (JDBC).

Para coletar eventos, os administradores devem ativar a auditoria de baixa granularidade em seus bancos
de dados Oracle. A auditoria de baixa granularidade fornece eventos sobre ações de seleção, atualização,
exclusão e inserção que ocorrem no banco de dados de origem e os registros que os dados mudaram. A
tabela de banco de dados dba_fga_audit_trail é atualizada com uma nova linha toda vez que ocorre
uma mudança em uma tabela de banco de dados na qual o administrador ativou uma política de
auditoria.

Para configurar a auditoria de baixa granularidade Oracle, os administradores podem concluir as tarefas
a seguir:
1. Configure a auditoria em quaisquer tabelas que requeiram monitoramento de política no banco de
dados Oracle.
2. Configure uma origem de log para o DSM Oracle Fine Grained Auditing para pesquisar o banco de
dados Oracle em busca de eventos.
3. Verifique se os eventos pesquisados são coletados e exibidos na guia Atividade de log do IBM
QRadar.

Configurando uma origem de log

Depois que o administrador de banco de dados tiver configurado políticas de banco de dados, será
possível configurar uma origem de log para acessar o banco de dados Oracle com o protocolo JDBC.

115 Oracle 881

Tabela 486. Parâmetros JDBC do Oracle Fine Grained Auditing
Parâmetro Descrição
Identificador de Digite o identificador de origem de log no seguinte formato:
origem de log
<database>@<hostname> ou

Em que:
v <table name> é o nome da tabela ou visualização do banco de dados que contém os
registros de eventos. Esse parâmetro é opcional. Se você incluir o nome da tabela,
deverá incluir um caractere de barra vertical (|) e o nome da tabela deve corresponder
ao parâmetro Table Name.
v <database> é o nome do banco de dados, conforme definido no parâmetro Nome do
banco de dados. O nome do banco de dados é um parâmetro necessário.
v <hostname> é o nome do host ou o endereço IP para esta origem de log, conforme
definido no parâmetro IP ou nome do host. O nome do host é um parâmetro
necessário.

O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de banco de Selecione MSDE como o tipo de banco de dados.
dados
Nome do banco de Digite o nome do banco de dados ao qual você deseja se conectar.
dados
O nome da tabela pode ter até 255 caracteres alfanuméricos de comprimento. O nome da
tabela pode incluir os caracteres especiais a seguir: símbolo de dólar ($), sinal de número
(#), sublinhado (_), traço (-) e ponto (.).
IP ou nome do host Digite o endereço IP ou o nome do host do banco de dados.
Porta Digite o número da porta que é usado pelo servidor de banco de dados. O padrão que é
exibido depende do Tipo de banco de dados selecionado. O intervalo válido é 0 a 65536.

A porta de configuração JDBC deve corresponder à porta do listener do banco de dados.

O banco de dados deve ter conexões TCP recebidas que sejam ativadas para se comunicar
com o QRadar.

O número da porta padrão para todas as opções inclui as portas a seguir:

v DB2 - 50000
v MSDE - 1433
v Oracle - 1521

O nome do usuário pode ter até 255 caracteres alfanuméricos de comprimento. O nome do
usuário também pode incluir sublinhados (_).
Senha Digite a senha do banco de dados.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha Confirme a senha para acessar o banco de dados.

882 Guia de configuração do QRadar DSM

Tabela 486. Parâmetros JDBC do Oracle Fine Grained Auditing (continuação)
Parâmetro Descrição
Domínio de Se você selecionar MSDE como o Tipo de banco de dados, o campo Domínio de
autenticação autenticação será exibido. Se a sua rede estiver configurada para validar usuários com
credenciais de domínio, deve-se definir um Domínio de autenticação do Windows. Caso
contrário, deixe este campo em branco.

O domínio de autenticação deve conter caracteres alfanuméricos. O domínio pode incluir

os caracteres especiais a seguir: sublinhado (_), traço (–) e ponto(.).
Instância de banco de Se você selecionar MSDE como o Tipo de banco de dados, o campo Instância de banco de
dados dados será exibido.

Digite o tipo da instância à qual você deseja se conectar, se você tiver várias instâncias do
servidor SQL em um único servidor.

Se você usar uma porta não padrão na configuração do seu banco de dados ou bloquear o
acesso à porta 1434 para a resolução do banco de dados SQL, deverá deixar o parâmetro
Database Instance em branco na sua configuração.
Consulta predefinida Na lista, selecione Nenhum.
Nome da tabela Digite dba_fga_audit_trail como o nome da tabela que inclui os registros de eventos. Se
você alterar o valor desse campo do padrão, os eventos não poderão ser coletados
adequadamente pelo protocolo JDBC.
Selecionar lista Digite * para incluir todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de tabelas
ou visualizações, se for necessário para sua configuração. A lista deve conter o campo que
está definido no parâmetro Comparar campo. A lista separada por vírgula pode ter até
255 caracteres alfanuméricos de comprimento. A lista pode incluir os seguintes caracteres
especiais: símbolo de dólar ($), sinal de número (#), sublinhado (_), traço (-) e ponto (.).
Comparar campo Digite extended_timestamp para identificar novos eventos incluídos entre as consultas à
tabela por seu registro de data e hora.
Usar instruções Selecione a caixa de seleção Usar instruções preparadas.
preparadas
Instruções preparadas permitem que a origem do protocolo JDBC configure a instrução
SQL uma vez, em seguida, execute a instrução SQL várias vezes com parâmetros
diferentes. Por motivos de segurança e desempenho, é sugerido que você use as instruções
preparadas.

Limpar esta caixa de seleção requer que você use um método alternativo de consulta que
não use instruções pré-compiladas.
Data e hora de início Opcional. Configure a data e o horário de início para a pesquisa do banco de dados.
Intervalo de pesquisa Digite o intervalo de pesquisa em segundos, que é o tempo entre as consultas na tabela de
banco de dados. O intervalo de pesquisa padrão é de 30 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Valores numéricos sem um designador H ou M pesquisam em segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse protocolo
exceda. O valor padrão é 20000 EPS.

115 Oracle 883

Tabela 486. Parâmetros JDBC do Oracle Fine Grained Auditing (continuação)
Parâmetro Descrição
Usar comunicação de Se você selecionar MSDE como o Tipo de banco de dados, a caixa de seleção Usar
canal nomeado comunicações de canal nomeado será exibida. Por padrão, essa caixa de seleção fica
desmarcada.

Marque essa caixa de seleção para usar um método alternativo para uma conexão de porta
TCP/IP.

Marque a caixa de seleção Usar NTLMv2 para forçar as conexões MSDE a usarem o
protocolo NTLMv2 ao se comunicar com servidores SQL que requerem autenticação
NTLMv2. O valor padrão da caixa de seleção é selecionado.

Se a caixa de seleção Usar NTLMv2 for selecionada, ela não terá efeito sobre as conexões
MSDE com SQL servers que não requererem autenticação NTLMv2.
Usar SSL Marque essa caixa de seleção se a conexão suportar comunicação de SSL. Esta opção
requer mais configuração em seu banco de dados SharePoint e também requer que os
administradores configurem os certificados em ambos os dispositivos.
Nome do cluster do Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o parâmetro
banco de dados Nome do cluster do banco de dados será exibido. Se você estiver executando o servidor
SQL em um ambiente em cluster, defina o nome do cluster para assegurar que a
comunicação de canal nomeado funcione de forma adequada.

9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

Oracle OS Audit
O DSM Oracle OS Audit para o IBM QRadar permite o monitoramento dos registros de auditoria que são
armazenados no arquivo do sistema operacional local.

Sobre Esta Tarefa

Quando os arquivos de evento de auditoria são criados ou atualizados no diretório do sistema
operacional local, um script Perl detecta a mudança e encaminha os dados para o QRadar. O script Perl
monitora o arquivo de log de auditoria e combina todas as entradas de log multilinhas em uma única
entrada de log para assegurar que os logs não sejam encaminhados linha por linha, porque esse é o
formato no arquivo de log. Em seguida, os logs são enviados usando syslog para o QRadar. Os scripts
Perl que são escritos para o Oracle OS Audit funcionam somente nos servidores Linux/UNIX. As
instalações de Perl baseadas no Windows não são suportadas.

Para integrar o DSM Oracle OS Audit com o QRadar:

Procedimento
1. Acesse os websites a seguir para fazer download dos arquivos que você precisa:
http://www.ibm.com/support
2. Na guia Software, selecione Scripts.
3. Faça download do script do Oracle OS Audit:
oracle_osauditlog_fwdr_5.3.tar.gz

884 Guia de configuração do QRadar DSM

4. Digite o comando a seguir para extrair o arquivo:
tar -zxvf oracle_osauditlog_fwdr_5.3.tar.gz
5. Copie o script Perl no servidor que hospeda o servidor Oracle.

Nota: O Perl 5.8 deve ser instalado no dispositivo que hospeda o servidor Oracle. Se você não tiver
o Perl 5.8 instalado, poderá ser avisado da ausência dos arquivos de biblioteca quando tentar iniciar
o script do Oracle OS Audit. É sugerido que você verifique se o Perl 5.8 está instalado antes de
continuar.
6. Efetue login no host Oracle como um usuário Oracle que tem privilégio SYS ou raiz.
7. Certifique-se de que as variáveis de ambiente ORACLE_HOME e ORACLE_SID estejam configuradas
adequadamente para a implementação.
8. Abra o arquivo a seguir:
${ORACLE_HOME}/dbs/init${ORACLE_SID}.ora
9. Para syslog, inclua as linhas a seguir no arquivo:
*.audit_trail=os *.audit_syslog_level=local0.info
10. Verifique se a conta tem permissões de leitura/gravação para o diretório a seguir:
/var/lock/ /var/run/
11. Reinicie a instância do banco de dados Oracle.
12. Inicie o script do DSM OS Audit:
oracle_osauditlog_fwdr_5.3.pl -t target_host -d logs_directory
Tabela 487. Parâmetros de comando do Oracle OS Audit

Parâmetros Descrição
-t
O parâmetro -t define o host remoto que recebe os arquivos de log de auditoria.
-d
O parâmetro -d define o local do diretório dos arquivos de log DDL e DML.

O local do diretório que você especificar deve ser o caminho absoluto do diretório-raiz.
-H
O parâmetro -H define o nome do host ou o endereço IP para o cabeçalho syslog. É sugerido que
seja o endereço IP do servidor Oracle no qual o script está sendo executado.
-D
O parâmetro -D define que o script deve ser executado em primeiro plano.

O padrão é ser executado como um daemon (em segundo plano) e registrar todas as mensagens
internas no serviço de syslog local.
-n
O parâmetro -n processa novos logs e monitora arquivos de log existentes para que as mudanças
sejam processadas.

Se a sequência de opções -n estiver ausente, todos os arquivos de log existentes serão processados
durante a execução do script.
-u
O parâmetro -u define o UDP.
-f
O parâmetro -f define syslog facility.priority para ser incluído no início do log.

Se você não digitar um valor, user.info será usado.

-r
O parâmetro -r define o nome do diretório no qual você deseja criar o arquivo .pid. O padrão é
/var/run. Este parâmetro será ignorado se -D for especificado.

115 Oracle 885

Tabela 487. Parâmetros de comando do Oracle OS Audit (continuação)

Parâmetros Descrição
-l
O parâmetro -I define o nome do diretório no qual você deseja criar o arquivo de bloqueio. O
padrão é /var/lock. Este parâmetro será ignorado se -D for especificado.
-h
O parâmetro -h exibe a mensagem de ajuda.
-v
O parâmetro -v exibe as informações da versão do script.

Se você reiniciar o servidor Oracle, deverá reiniciar o script:

oracle_osauditlog_fwdr.pl -t target_host -d logs_directory

O que Fazer Depois

Agora é possível configurar as origens de log no QRadar.

Configurando as origens de log no QRadar para Oracle OS Audit.

É possível configurar as origens de log no IBM QRadar.

Procedimento
1. Na lista Tipo de origem de log, selecione Oracle RDBMS OS Audit Record.
2. Na lista Configuração de protocolo, selecione syslog.
3. No campo Identificador de origem de log, digite o endereço que é especificado usando a opção -H
em “Oracle OS Audit” na página 884.
Para obter mais informações sobre o Oracle Audit Record, consulte a documentação do fornecedor.

886 Guia de configuração do QRadar DSM

116 OSSEC
O DSM OSSEC para o IBM QRadar aceita eventos que são encaminhados pelas instalações OSSEC
usando syslog.

O OSSEC é um sistema de detecção de intrusão baseado em host (HIDS) que pode fornecer eventos de
intrusão ao QRadar. Se você tiver agentes OSSEC que estão instalados, deverá configurar o syslog no
servidor de gerenciamento OSSEC. Se você tiver instalações locais ou independentes do OSSEC, deverá
configurar o syslog em cada OSSEC independente para encaminhar eventos syslog para o QRadar.

Configurando o OSSEC
É possível configurar syslog para OSSEC em uma instalação independente ou no servidor de
gerenciamento:

Procedimento
1. Use SSH para efetuar login no seu dispositivo OSSEC.
2. Edite o arquivo de configuração ossec.conf do OSSEC.
<installation directory>/ossec/etc/ossec.conf
3. Inclua a configuração de syslog a seguir:

Nota: Inclua a configuração de syslog após a entrada alerts e antes da entrada localfile.
</alerts>
<syslog_output> <server>(QRadar IP Address)</server> <port>514</port> </syslog_output>
<localfile>
Por exemplo,
<syslog_output> <server><IP_address></server> <port>514</port> </syslog_output>
4. Salve o arquivo de configuração OSSEC.
5. Digite o comando a seguir para ativar o daemon syslog:
<installation directory>/ossec/bin/ossec-control enable client-syslog
6. Digite o comando a seguir para reiniciar o daemon syslog:
<installation directory>/ossec/bin/ossec-control restart
A configuração está concluída. A origem de log é incluída no IBM QRadar conforme os eventos do
OSSEC são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelo
OSSEC são exibidos na guia Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do OSSEC.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Para configurar manualmente uma origem de log para o OSSEC:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

888 Guia de configuração do QRadar DSM

117 Palo Alto Networks
IBM QRadar suporta um intervalo de dispositivos Palo Alto Network.

Palo Alto Endpoint Security Manager

O IBM QRadar DSM for Palo Alto Endpoint Security Manager (Traps) coleta eventos de um dispositivo
Palo Alto Endpoint Security Manager (Traps).

A tabela a seguir descreve as especificações para o DSM do Palo Alto Endpoint Security Manager:
Tabela 489. Especificações de DSM do Palo Alto Endpoint Security Manager
Especificação Valor
Fabricante Palo Alto Networks
Nome do DSM Palo Alto Endpoint Security Manager
Nome do arquivo RPM DSM-PaloAltoEndpointSecurityManager-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 3.4.2.17401
Protocolo Syslog
Formato de evento Log Event Extended Format (LEEF)

Common Event Format (CEF)

Tipos de eventos registrados Agente

Config

Política

Sistema

Ameaça
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website da Palo Alto Networks (https://
www.paloaltonetworks.com)

Para integrar o Palo Alto Endpoint Security Manager ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos RPMs a seguir, na ordem em que estão listados em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM do Palo Alto Endpoint Security Manager
2. Configure o dispositivo Palo Alto Endpoint Security Manager para enviar eventos syslog para o
QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Palo Alto
Endpoint Security Manager no QRadar Console. A tabela a seguir descreve os parâmetros que
requerem valores específicos para a coleção de eventos do Palo Alto Endpoint Security Manager:

Tabela 490. Parâmetros de origem de log do Palo Alto Endpoint Security Manager
Parâmetro Valor
Tipo de origem de log Palo Alto Endpoint Security Manager
Configuração do Protocolo Syslog
Log Source Identifier Um identificador exclusivo para a origem de log.

4. Para verificar se o QRadar está configurado corretamente, revise a tabela a seguir para ver um
exemplo de uma mensagem do evento analisado.
A tabela a seguir mostra uma mensagem de evento de amostra para o Palo Alto Endpoint Security
Manager:
Tabela 491. Mensagem de amostra do Palo Alto Endpoint Security Manager
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Novo hash incluído Modificação de Configuração LEEF:1.0|Palo Alto
Bem-sucedida Networks|Traps ESM|3.4.2.17401|
New Hash Added|cat=Policy
subtype=New Hash
Added devTimeFormat=
MMM dd yyyy HH:mm:ss
devTime=Nov 03 2016
18:43:57 src=<Source_IP_address>
shost=hostname suser= fileHash=
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxx NewVerdict=Benign
msg=New hash added sev=6

Configurando o Palo Alto Endpoint Security Manager para se

comunicar com o QRadar
Antes de o IBM QRadar poder coletar eventos do Palo Alto Endpoint Security Manager, deve-se
configurar o Palo Alto Endpoint Security Manager para enviar eventos para o QRadar.

Procedimento
1. Efetue login no Console do Security Endpoint Manager (ESM).
2. Clique em Configurações > ESM.
3. Clique em Syslog e, em seguida, selecione Ativar Syslog.
4. Configure os parâmetros syslog:

Parâmetro Valor
Servidor Syslog Nome do host ou endereço IP do servidor QRadar.
Porta Syslog 514
Protocolo Syslog LEEF
Keep-alive-timeout 0

890 Guia de configuração do QRadar DSM

Parâmetro Valor
Enviar intervalo de relatórios Frequência (em minutos), na qual Traps envia logs do
terminal. O padrão é 10. O intervalo é de 1 a
2.147.483.647.
Protocolo de Comunicação Syslog Protocolo de camada de transporte que o Console do
ESM usa para enviar relatórios syslog usando UDP, TCP
ou TCP com SSL.

5. Na área Eventos de criação de log, selecione os tipos de eventos que você deseja enviar para o
QRadar.
6. Clique em Verificar conectividade. O console do ESM envia uma comunicação de teste para o
servidor syslog usando as informações na página Syslog. Se a mensagem de teste não for recebida,
verifique se as configurações estão corretas e, em seguida, tente novamente.

Palo Alto Networks PA Series

Use o DSM IBM QRadar para o Palo Alto PA Series para coletar eventos dos dispositivos Palo Alto PA
Series.

Para enviar eventos do Palo Alto PA Series para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download da versão mais recente do RPM
do DSM Palo Alto PA Series do website de suporte IBM (https://www-945.ibm.com/support/
fixcentral).
2. Configure seu dispositivo Palo Alto PA Series para se comunicar com o QRadar. Deve-se criar um
destino do Syslog e a política de encaminhamento no dispositivo Palo Alto PA Series.
3. Se o QRadar não detectar automaticamente a origem de log, crie uma origem de log do Palo Alto PA
Series no QRadar Console. Use os valores do Palo Alto a seguir para configurar os parâmetros de
origem de log:
Tabela 492. Parâmetros de origem de log do Palo Alto PA Series
Parâmetro Descrição
Log Source Identifier O endereço IP ou o nome do host do dispositivo Palo
Alto Series
Tipo de Fonte de Log Palo Alto PA Series
Configuração de protocolo Syslog

Especificações do DSM Palo Alto PA

A tabela a seguir identifica as especificações para o DSM Palo Alto PA Series:
Tabela 493. Especificações para o DSM Palo Alto PA Series
Especificação Valor
Fabricante Palo Alto Networks

117 Palo Alto Networks 891

Tabela 493. Especificações para o DSM Palo Alto PA Series (continuação)
Especificação Valor
Nome do DSM Palo Alto PA Series
Nome do arquivo RPM DSM-PaloAltoPaSeries-QRadar_version-
build_number.noarch.rpm
Versões suportadas PAN-OS v3.0 a v8.1
Formato de evento LEEF for PAN-OS v3.0 a v8.1

CEF for PAN-OS v4.0 a v6.1

Tipos de log registrados do QRadar Tráfego

Ameaça

Config

Sistema

Correspondência HIP

Data

WildFire

Autenticação

Inspeção de Túneis

Correlação

Filtragem de URL

ID do Usuário

SCTP
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais website do Palo Alto Networks (http://
www.paloaltonetworks.com)

Criando um destino de Syslog no dispositivo Palo Alto PA Series

Para enviar eventos do Palo Alto PA Series para o IBM QRadar, crie um destino Syslog (Syslog ou LEEF)
no dispositivo Palo Alto PA Series.

Procedimento
1. Efetue login na interface do Palo Alto Networks.
2. Clique na guia Dispositivo .
3. Clique em Perfis do servidor > Syslog .
4. Clique em Incluir.
5. Crie um destino do Syslog:
a. Na caixa de diálogo Perfil do servidor syslog, clique em Incluir.
b. Especifique o nome, o endereço IP do servidor, a porta e o recurso do sistema QRadar que você
deseja usar como um servidor Syslog.
6. Configure eventos LEEF:

892 Guia de configuração do QRadar DSM

Nota: O Palo Alto pode enviar apenas um formato para todos os dispositivos Syslog. Ao modificar o
formato Syslog, qualquer outro dispositivo que requeira o Syslog será necessário para suportar esse
mesmo formato.

Atenção: Se você estiver usando Syslog, configure a coluna Formato customizado como Padrão para
todos os Tipos de log. Se você estiver usando LEEF, use as subetapas a seguir:
a. Clique na guia Formato de log customizado no diálogo Perfil do servidor do Syslog.

PAN-OS v7.1 - v8.0

PAN-OS v7.1 - v8.0

117 Palo Alto Networks 893

894 Guia de configuração do QRadar DSM

117 Palo Alto Networks 895

7. Clique em OK.
8. Especifique a gravidade de eventos que estão contidos nas mensagens do Syslog.
a. Clique em Configurações de log .
b. Na área de janela Sistema, escolha se cada gravidade deve estar contida na mensagem do Syslog.
1) Clique no nome Gravidade para editar cada gravidade.
2) Selecione o destino de Syslog desejado no menu suspenso Syslog.
3) Clique em OK.
9. Clique em Confirmar.

896 Guia de configuração do QRadar DSM

O que Fazer Depois

Para ativar a comunicação entre o dispositivo Palo Alto Networks e o QRadar, crie uma política de
encaminhamento. Consulte “Criando uma política de encaminhamento no dispositivo Palo Alto PA
Series”.

Criando uma política de encaminhamento no dispositivo Palo Alto PA

Series
Se o IBM QRadar Console ou o Event Collector estiver em uma zona de segurança diferente de seu
dispositivo Palo Alto PA Series, crie uma regra de política de encaminhamento.

Procedimento
1. Efetue login no Palo Alto Networks.
2. Clique em Políticas > Encaminhamento baseado em política .
3. Clique em Incluir.
4. Configure os parâmetros. Para obter descrições dos valores de encaminhamento baseado em política,
consulte o Guia do Administrador do Palo Alto Networks.

Criando eventos Syslog formatados pelo ArcSight CEF em seu

dispositivo Palo Alto PA Series Networks Firewall
Configure o firewall do Palo Alto Networks para enviar eventos Syslog formatados do ArcSight CEF para
o IBM QRadar.

Procedimento
1. Efetue login na interface do Palo Alto Networks.
2. Clique na guia Dispositivo .
3. Selecione Perfis do servidor > Syslog .
4. Clique em Incluir.
5. Especifique o nome, o endereço IP do servidor, a porta e o recurso do sistema QRadar que você deseja
usar como um servidor Syslog:
a. O Name é o nome do servidor Syslog.
b. O Syslog Server é o endereço IP para o servidor Syslog.
c. O padrão Transport é UDP .
d. O padrão Port é 514 .
e. O padrão Faculty é LOG_USER .
6. Para selecionar qualquer um dos tipos de log listados que definem um formato customizado, com
base no ArcSight CEF para esse tipo de log, conclua as etapas a seguir:
a. Clique na guia Formato de log customizado e selecione qualquer um dos tipos de log listados
para definir um formato customizado com base no ArcSight CEF para esse tipo de log. Os tipos de
log listados são Config, Sistema, Ameaça, Tráfego e Correspondência HIP.
b. Clique em OK duas vezes para salvar suas entradas; em seguida, clique em Confirmar.
7. Para definir seus próprios formatos de estilo CEF que usam a tabela de mapeamento de eventos que é
fornecida no documento ArcSight, Implementando o CEF ArcSight, é possível usar as informações a
seguir sobre definição de formatos de estilo CEF:
a. A guia Formato de log customizado suporta o escape de quaisquer caracteres definidos no CEF
como caracteres especiais. Por exemplo, para usar uma barra invertida para escapar caracteres de
barra invertida e de igual, ative a caixa de seleção Escapando, especifique \=as os Caracteres de
escape e \as o Caractere de escape.

117 Palo Alto Networks 897

b. A lista a seguir exibe o formato no estilo CEF que foi usado durante o processo de certificação
para cada tipo de log. Esses formatos customizados incluem todos os campos, em uma ordem
semelhante, que o formato padrão dos Syslogs exibe.

Importante: Devido a formatação de PDF, não copie e cole os formatos de mensagem diretamente
na interface da web PAN-OS. Em vez disso, cole em um editor de texto, remova quaisquer
caracteres de retorno ou feed de linha e, em seguida, copie e cole na interface da web.
Tráfego
CEF:0|Palo Alto Networks|PAN-OS|6.0.0|$subtype|$type
|1|rt=$cef-formatted-receive_time deviceExternalId
=$serial src=$src dst=$dst sourceTranslatedAddress
=$natsrc destinationTranslatedAddress=$natdst
cs1Label=Rule cs1=$rule suser=$srcuser duser
=$dstuser app=$app cs3Label=Virtual System
cs3=$vsys cs4Label=Source Zone cs4=$from
cs5Label=Destination Zone cs5=$to deviceInboundInterface=
$inbound_if deviceOutboundInterface=$outbound_if
cs6Label=LogProfile cs6=$logset cn1Label=SessionID
cn1=$sessionid cnt=$repeatcnt
spt=$sport dpt=$dport sourceTranslatedPort=$natsport
destinationTranslatedPort=$natdport flexString1Label=Flags
flexString1=$flags proto=$proto act=$action
flexNumber1Label=Total bytes flexNumber1=
$bytes in=$bytes_sent out=$bytes_received
cn2Label=Packets cn2=$packets PanOSPacketsReceived=
$pkts_received PanOSPacketsSent=$pkts_sent
start=$cef-formatted-time_generated cn3Label
=Elapsed time in seconds cn3=$elapsed cs2Label
=URL Category cs2=$category externalId=$seqno
Ameaça
CEF:0|Palo Alto Networks|PAN-OS|6.0.0|$subtype|$type|
$number-of-severity|rt=$cef-formatted-receive_time
deviceExternalId=$serial src=$src dst=$dst
sourceTranslatedAddress=$natsrc
destinationTranslatedAddress=$natdst cs1Label=Rule cs1=$rule
suser=$srcuser duser=$dstuser app=$app cs3Label=Virtual
System cs3=$vsys cs4Label=Source Zone cs4=$from cs5Label=
Destination Zone cs5=$to deviceInboundInterface=$inbound_if
deviceOutboundInterface=$outbound_if cs6Label=LogProfile
cs6=$logset cn1Label=SessionID cn1=$sessionid cnt=$repeatcnt
spt=$sport dpt=$dport sourceTranslatedPort=$natsport
destinationTranslatedPort=$natdport flexString1Label=Flags
flexString1=$flags proto=$proto act=$action request=$misc
cs2Label=URL Category cs2=$category flexString2Label=Direction
flexString2=$direction externalId=$seqno requestContext=
$contenttype cat=$threatid filePath=$cloud fileId=$pcap_id
fileHash=$filedigest
Config
CEF:0|Palo Alto Networks|PAN-OS|6.0.0|$result|$type|1|rt=$cef-
formatted-receive_time deviceExternalId=$serial dvchost=$host
cs3Label=Virtual System cs3=$vsys act=$cmd duser=$admin
destinationServiceName=$client msg=$path externalId=$seqno

Opcional:
cs1Label=Before Change Detail cs1=$before-change-detail
cs2Label=After Change Detail cs2=$after-change-detail

898 Guia de configuração do QRadar DSM

O que Fazer Depois

Para obter informações adicionais sobre a configuração de Syslog, consulte o Guia do administrador do
PAN-OS no website da Palo Alto Networks (https://www.paloaltonetworks.com).

Mensagem do evento de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra ao usar o protocolo Syslog para o Palo
Alto PA Series DSM:

117 Palo Alto Networks 899

900 Guia de configuração do QRadar DSM

118 Pirean Access: One
O DSM Pirean Access: One para o IBM QRadar coleta eventos pesquisando o banco de dados de
auditoria DB2 em busca de eventos de gerenciamento de acesso e autenticação.

O QRadar suporta instalações de software Pirean Access: One em v2.2 que usam um banco de dados DB2
v9.7 para armazenar eventos de gerenciamento de acesso e autenticação.

Antes de iniciar
Antes de configurar o QRadar para integração com o Pirean Access: One, é possível criar uma conta e
senha de usuário do banco de dados para o QRadar. A criação de uma conta do QRadar não é necessária,
mas é benéfica, pois protege os dados da tabela de eventos de gerenciamento de acesso e autenticação para o
usuário do QRadar.

O usuário do QRadar precisa do acesso com permissão de leitura para a tabela de banco de dados que
contém os eventos. O protocolo JDBC permite que o QRadar efetue login e pesquise eventos do banco de
dados com base no registro de data e hora para assegurar que os dados mais recentes sejam recuperados.

Nota: Assegure-se de que as regras de firewall não bloqueiem a comunicação entre a instalação do
Access Pirean: One e o QRadar Console ou host gerenciado responsável pela pesquisa de eventos com
JDBC.

Configurando uma origem de log

Para coletar eventos, deve-se configurar uma origem de log no IBM QRadar para pesquisar o banco de
dados da instalação do Access: One com o protocolo JDBC.

Tabela 495. Parâmetros de origem de log do Pirean Access: One
Parâmetro Descrição
Identificador de Digite o identificador da origem de log. O identificador de origem de log deve ser
origem de log definido no formato a seguir:

Em que:

<database> é o nome do banco de dados, conforme definido no parâmetro Nome do banco

de dados. O nome do banco de dados é um parâmetro necessário.

<hostname> é o nome do host ou endereço IP para a origem de log conforme definido no

parâmetro IP ou do nome do host. O nome do host é um parâmetro necessário.

O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de banco de Na lista, selecione DB2 como o tipo de banco de dados a ser usado para a origem de
dados eventos.
Nome do banco de Digite o nome do banco de dados ao qual você deseja se conectar. O nome do banco de
dados dados padrão é LOGINAUD.
IP ou nome do host Digite o endereço IP ou o nome do host do servidor de banco de dados.
Porta Digite o número da porta TCP que é usado pela instância do banco de dados de auditoria
DB2.

O administrador do DB2 pode fornecer a você a porta TCP que é necessária para esse
campo.
Nome do usuário Digite um nome de usuário que tenha acesso ao servidor de banco de dados DB2 e à
tabela de auditoria.

O nome do usuário pode ter até 255 caracteres alfanuméricos de comprimento. O nome do
usuário também pode incluir sublinhados (_).
Senha Digite a senha do banco de dados.

A senha pode ter até 255 caracteres de comprimento.

Confirmar senha Confirme a senha para acessar o banco de dados.
Nome da tabela Digite AUDITDATA como o nome da tabela ou visualização que inclui os registros de
eventos.

O nome da tabela pode ter até 255 caracteres alfanuméricos de comprimento. O nome da
tabela pode incluir os caracteres especiais a seguir: símbolo de dólar ($), sinal de número
(#), sublinhado (_), traço (-) e ponto (.).
Selecionar lista Digite * para incluir todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de tabelas
ou visualizações, se for necessário para a configuração. A lista deve conter o campo que
está definido no parâmetro Comparar campo. A lista separada por vírgula pode ter até
255 caracteres alfanuméricos de comprimento. A lista pode incluir os seguintes caracteres
especiais: símbolo de dólar ($), sinal de número (#), sublinhado (_), traço (-) e ponto (.).
Comparar campo Digite TIMESTAMP para identificar novos eventos incluídos entre as consultas na tabela.

O campo de comparação pode ter até 255 caracteres alfanuméricos de comprimento. A

lista pode incluir os caracteres especiais: sinal de dólar ($), sinal de número (#), sublinhado
(_), traço (–) e ponto (.).

902 Guia de configuração do QRadar DSM

Tabela 495. Parâmetros de origem de log do Pirean Access: One (continuação)
Parâmetro Descrição
Usar instruções Marque essa caixa de seleção para usar instruções preparadas, que permitem que a origem
preparadas do protocolo JDBC configure a instrução SQL uma vez e, em seguida, execute a instrução
SQL várias vezes com parâmetros diferentes. Por motivos de segurança e desempenho, é
sugerido que você use as instruções preparadas.

Desmarque essa caixa de seleção para usar um método alternativo de consulta que não
use instruções pré-compiladas.
Data e hora de início Opcional. Configure a data e o horário de início para a pesquisa do banco de dados.

O parâmetro Data e hora de início deve ser formatado como aaaa-MM-dd HH: mm, com
HH especificado usando um relógio de 24 horas. Se a data ou hora de início for limpa, a
pesquisa começa imediatamente e repete no intervalo de pesquisa especificado.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à tabela de
eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Valores numéricos sem um designador H ou M pesquisam em segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse protocolo
exceda. O valor padrão é 20000 EPS.
Ativado Marque essa caixa de seleção para ativar a origem de log Access Pirean: One.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Os eventos de gerenciamento de acesso e autenticação para o Pirean
Access: One são exibidos na guia Atividade de log do QRadar.

118 Pirean Access: One 903

904 Guia de configuração do QRadar DSM
119 PostFix Mail Transfer Agent
O IBM QRadar pode coletar e categorizar eventos de e-mail syslog dos PostFix Mail Transfer Agents
(MTA) instalados em sua rede.

Para coletar eventos syslog, deve-se configurar a instalação do PostFix MTA para encaminhar eventos
syslog para o QRadar. O QRadar não descobre automaticamente os eventos syslog que são encaminhados
pelas instalações do PostFix MTA porque eles são eventos multilinhas. O QRadar suporta eventos syslog
do PostFix MTA V2.6.6.

Para configurar o PostFix MTA, conclua as tarefas a seguir:

1. No sistema PostFix MTA, configure syslog.conf para encaminhar eventos de e-mail para o QRadar.
2. No sistema QRadar, crie uma origem de log para o PostFix MTA para usar o protocolo syslog
multilinhas UDP.
3. No sistema QRadar, configure IPtables para redirecionar eventos para a porta definida para eventos
syslog multilinhas UDP.
4. No sistema QRadar, verifique se os eventos PostFix MTA são exibidos na guia Atividade de log.

Se você tiver várias instalações do PostFix MTA em que os eventos vão para sistemas QRadar diferentes,
deve-se configurar uma origem de log e IPtables para cada sistema QRadar que recebe eventos syslog
UDP multilinhas do PostFix MTA.

Configurando syslog para PostFix Mail Transfer Agent

Para coletar eventos, deve-se configurar o syslog na instalação do PostFix MTA para encaminhar eventos
de e-mail para o IBM QRadar.

Procedimento
1. Use SSH para efetuar login na instalação do PostFix MTA como um usuário raiz.
2. Edite o arquivo a seguir:
/etc/syslog.conf
3. Para encaminhar todos os eventos de e-mail, digite o comando a seguir para mudar
-/var/log/maillog/ para um endereço IP. Certifique-se de que todas as outras linhas permaneçam
intactas:
mail.*@<IP address>
Em que <IP address> é o endereço IP do sistema QRadar Console, Event Processor ou Event Collector
ou all-in-one.
4. Salve e saia do arquivo.
5. Reinicie o daemon syslog para salvar as mudanças.

Configurando uma origem de log PostFix MTA

Para coletar eventos syslog, deve-se configurar uma origem de log para PostFix MTA para utilizar o
protocolo Syslog UDP Multilinhas.

Procedimento
1. Clique na guia Administrador.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.

4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de origem de log, selecione PostFix Mail Transfer Agent.
6. Na lista Configuração de protocolo, selecione Syslog UDP multilinhas.
7. Configure os valores de parâmetros a seguir:
Tabela 496. Parâmetros da origem de log PostFix MTA
Parâmetro Descrição
Identificador de origem de Digite o endereço IP, nome do host ou nome para identificar a instalação do PostFix
log MTA.
Porta de recebimento Digite 517 como o número da porta usada pelo QRadar para aceitar eventos Syslog
UDP multilinhas recebidos. O intervalo de portas válido vai de 1 a 65535.

Para editar uma configuração salva para usar um novo número de porta:
1. No campo Porta de escuta, digite o novo número de porta para receber eventos
Syslog UDP multilinhas.
2. Clique em Salvar.
3. Na barra de ferramentas da guia Administrador, clique em Implementar
mudanças para tornar essa mudança efetiva.

A atualização de porta está concluída e a coleção de eventos é iniciada no novo

número de porta.
Padrão de ID de mensagem Digite a expressão regular (regex) a seguir necessário para filtrar as mensagens de
carga útil do evento.

postfix/.*?[ \[]\d+[ \]](?:- - |: )([A-Z0-9]{8,})

Ativado Selecione essa caixa de seleção para ativar a origem de log.
Credibilidade Selecione a credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.
Coletor de eventos de Selecione o Coletor de eventos de destino a ser usado como destino para a origem de
destino log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor da lista

Eventos unidos das configurações do sistema em QRadar. Ao criar uma origem de
log ou editar uma configuração existente, é possível substituir o valor padrão
configurando esta opção para cada origem de log.
Armazenar carga útil do Selecione essa caixa de seleção para ativar que a origem de log armazene as
evento informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

Armazenar carga útil do evento de Configurações do sistema em QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de log.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

Configurando IPtables para eventos syslog UDP multilinhas

Para coletar eventos, deve-se redirecionar eventos da porta padrão do PostFix MTA para a porta 517 do
protocolo UDP multilinhas.

906 Guia de configuração do QRadar DSM

Procedimento
1. Use SSH para efetuar login no IBM QRadar como o usuário raiz.
2. Para editar o arquivo IPtables, digite o comando a seguir:
vi /opt/qradar/conf/iptables-nat.post
3. Para instruir o QRadar a redirecionar eventos syslog da porta UDP 514 para a porta UDP 517, digite o
comando a seguir:
-A PREROUTING -p udp --dport 514 -j REDIRECT --to-port <new-port> -s <IP address>
Em que:
v <IP address> é o endereço IP da instalação do PostFix MTA.
v <New port> é o número da porta que está configurado no protocolo UDP multilinhas para PostFix
MTA.
Por exemplo, se você tiver três instalações do PostFix MTA que se comunicam com o QRadar, poderá
digitar o código a seguir:
-A PREROUTING -p udp --dport 514 -j
REDIRECT --to-port 517 -s <IP_address1> -A PREROUTING -p udp --dport 514 -j
REDIRECT --to-port 517 -s <IP_address2> -A PREROUTING -p udp --dport 514 -j
REDIRECT -- to-port 517 -s <IP_address3>
4. Salve a configuração de IPtables NAT.
Agora você está pronto para configurar IPtables no QRadar Console ou Event Collector para aceitar
eventos da instalação do PostFix MTA.
5. Digite o comando a seguir para editar o arquivo de IPtables:
vi /opt/qradar/conf/iptables.post
6. Digite o comando a seguir para instruir o QRadar a permitir a comunicação das instalações do
PostFix MTA:
-I QChain 1 -m udp -p udp --src <IP address> --dport <New port> -j ACCEPT
Em que:
v <IP address> é o endereço IP da instalação do PostFix MTA.
v <New port> é o número da porta que está configurado no protocolo UDP multilinhas.
Por exemplo, se você tiver três instalações do PostFix MTA que se comunicam com um Event
Collector, será possível digitar o código a seguir:
-I QChain 1 -m udp -p udp --src <IP_address1>
--dport 517 -j ACCEPT -I QChain 1 -m udp -p udp
--src <IP_address2> --dport 517 -j ACCEPT -I QChain 1 -m udp -p udp
-- src <IP_address3> --dport 517 -j ACCEPT
7. Para salvar as alterações e atualizar IPtables, digite o comando a seguir:
./opt/qradar/bin/iptables_update.pl

119 PostFix Mail Transfer Agent 907

908 Guia de configuração do QRadar DSM
120 ProFTPd
O IBM QRadar pode coletar eventos de um servidor ProFTP por meio de syslog.

Por padrão, o ProFTPd registra mensagens relacionadas a autenticação no syslog local usando o recurso
auth (ou authpriv). Todas as outras criações de log são feitas usando o recurso de daemon. Para registrar
mensagens ProFTPd no QRadar, use a diretiva SyslogFacility para mudar o recurso padrão.

Configurando ProFTPd
É possível configurar syslog em um dispositivo ProFTPd:

Procedimento
1. Abra o arquivo /etc/proftd.conf.
2. Abaixo das diretivas de LogFormat, inclua a linha a seguir:
SyslogFacility <facility>
Em que <facility> é uma das opções a seguir: AUTH (ou AUTHPRIV), CRON, DAEMON, KERN, LPR, MAIL, NEWS,
USER, UUCP, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6 ou LOCAL7.
3. Salve o arquivo e saia.
4. Abra o arquivo /etc/syslog.conf
5. Inclua a linha a seguir no final do arquivo:
<facility> @<QRadar host>
Em que:
<facility> corresponde ao recurso escolhido em “Configurando ProFTPd”. O recurso deve ser digitado
em minúsculas.
<QRadar host> é o endereço IP do QRadar Console ou Event Collector.
6. Reinicie o syslog e ProFTPd:
/etc/init.d/syslog restart
/etc/init.d/proftpd restart

O que Fazer Depois

Agora é possível configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do ProFTPd. As
etapas de configuração a seguir são opcionais.

Sobre Esta Tarefa

Para configurar manualmente uma origem de log para ProFTPd:

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.

4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione Servidor ProFTPd.
9. Usando a lista Configuração de protocolo, selecione Syslog.
A configuração do protocolo syslog é exibida.
10. Configure os valores a seguir:
Tabela 497. Parâmetros de Syslog
Parâmetro Descrição
Identificador de Fonte de Digite o endereço IP ou o nome do host para a origem de log como um identificador
Log para eventos da instalação do ProFTPd.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

910 Guia de configuração do QRadar DSM

121 Proofpoint Enterprise Protection e Enterprise Privacy
O DSM do IBM QRadar para Proofpoint Enterprise Protection e Enterprise Privacy pode coletar eventos
dos servidores DSM Proofpoint Enterprise Protection e Enterprise Privacy.

A tabela a seguir identifica as especificações para o DSM Proofpoint Enterprise Protection e Enterprise
Privacy:
Tabela 498. Especificações do DSM Proofpoint Enterprise Protection e Enterprise Privacy
Especificação Valor
Fabricante Proofpoint
Nome do DSM Proofpoint Enterprise Protection/Enterprise Privacy
Nome do arquivo RPM DSM-Proofpoint_Enterprise_Protection/
Enterprise_PrivacyQradar_version-
build_number.noarch.rpm
Versões suportadas V7.02

V7.1

V7.2

V7.5

V8.0
Protocolo Syslog

Arquivo de log
Tipos de eventos registrados Sistema

Classificação de ameaça de segurança de e-mail

Auditoria e criptografia de e-mail

Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Proofpoint (https://www.proofpoint.com/
us/solutions/products/enterprise-protection)

Para integrar o DSM Proofpoint Enterprise Protection e Enterprise Privacy com o QRadar, conclua as
etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do RPM do DSM Proofpoint Enterprise Protection e Enterprise Privacy no QRadar Console.
2. Para cada instância do Proofpoint Enterprise Protection e Enterprise Privacy, configure seu dispositivo
DSM Proofpoint Enterprise Protection e Enterprise Privacy para permitir a comunicação com o
QRadar.
3. Se o QRadar não descobrir automaticamente a origem de log do Proofpoint Enterprise Protection e
Enterprise Privacy, crie uma origem de log para cada instância do DSM Proofpoint Enterprise
Protection e Enterprise Privacy em sua rede.
Tarefas relacionadas:

Configurando o DSM Proofpoint Enterprise Protection e Enterprise

Privacy para se comunicar com o IBM QRadar
Para coletar todos os logs de auditoria e eventos do sistema do DSM Proofpoint Enterprise Protection e
Enterprise Privacy, deve-se incluir um destino que especifique o IBM QRadar como o servidor syslog.

Procedimento
1. Efetue login na interface do Proofpoint Enterprise.
2. Clique em Logs e relatórios.
3. Clique em Configurações do log.
4. Na área de janela Configurações de log remoto, configure as opções a seguir para ativar a
comunicação de syslog:
a. Selecione Syslog como o protocolo de comunicação.
5. Digite o endereço IP do QRadar Console ou Event Collector.
6. No campo Porta, digite 514 como o número da porta para comunicação de syslog.
7. Na lista Ativação de filtro de syslog, selecione Ativado.
8. Na lista Recurso, selecione local1.
9. Na lista Nível, selecione Informações.
10. Na lista Ativação de syslog MTA, selecione Ativado.
11. Clique em Salvar

Configurando uma origem de log Proofpoint Enterprise Protection e

Enterprise Privacy
O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
Proofpoint Enterprise Protection e Enterprise Privacy. Também é possível configurar manualmente uma
origem de log.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais. Para configurar manualmente uma origem de log
syslog para Proofpoint Enterprise Protection e Enterprise Privacy, conclua as etapas a seguir:

912 Guia de configuração do QRadar DSM

9. Configure o protocolo:
a. Se você deseja configurar o protocolo Syslog, selecione-o na lista Configuração de protocolo e
configure os valores a seguir:
Tabela 499. Parâmetros de Syslog
Parâmetro Descrição
Identificador de Fonte de Log O endereço IP ou nome do host para a origem de log
como um identificador para eventos das instalações do
Proofpoint Enterprise Protection e Enterprise Privacy.

Para cada origem de log adicional que você criar quando

tiver múltiplas instalações, inclua um identificador
exclusivo, como um endereço IP ou nome do host

Nota: Uma assinatura do Proofpoint Remote Syslog Forwarding é necessária para suporte de
syslog.
b. Se desejar configurar um protocolo de Arquivo de log, selecione-o na lista Configuração de
protocolo e configure os valores a seguir:
Tabela 500. Parâmetros de arquivo de log
Parâmetro Descrição
Identificador de Fonte de Log O endereço IP ou nome do host para a origem de log
como um identificador para eventos das instalações do
Proofpoint Enterprise Protection e Enterprise Privacy.

Para cada origem de log adicional que você criar quando

tiver várias instalações, inclua um identificador
exclusivo, como um endereço IP ou nome do host.
Tipo de serviço Na lista, selecione o protocolo que você deseja usar ao
recuperar arquivos de log de um servidor remover. O
padrão é SFTP.
v SFTP - Protocolo de Transferência de Arquivos SSH
v FTP - Protocolo de Transferência de Arquivos
v SCP - Copia segura

O protocolo subjacente que é usado para recuperar

arquivos de log para os tipos de serviço SCP e SFTP
requer que o servidor tenha especificado no campo IP ou
nome do host remoto tenha o subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do sistema
Proofpoint Enterprise Protection e Enterprise Privacy.
Porta remota Digite a porta TCP no host remoto que esteja executando
o Tipo de Serviço selecionado. Se você configurar o Tipo
de serviço como FTP, o padrão será 21. Se configurar o
Tipo de serviço como SFTP ou SCP, o padrão será 22.

O intervalo válido é de 1 a 65535.

Usuário remoto Digite o nome do usuário necessário para efetuar login
no sistema Proofpoint Enterprise Protection e Enterprise
Privacy.

O nome de usuário pode ter até 255 caracteres de

comprimento.
Senha remota Digite a senha necessária para efetuar login no sistema
Proofpoint Enterprise Protection e Enterprise Privacy.

121 Proofpoint Enterprise Protection e Enterprise Privacy 913

Tabela 500. Parâmetros de arquivo de log (continuação)
Parâmetro Descrição
Confirmar senha Confirme a Senha remota para efetuar login no sistema
Proofpoint Enterprise Protection e Enterprise Privacy.
Arquivo de chave SSH Se você selecionar SCP ou SFTP no Tipo de serviço, será
possível definir um caminho de diretório para um
arquivo de chave privado SSH. O Arquivo de chave
privado SSH permite que você ignore o campo Senha
remota.
Diretório remoto Digite o local do diretório no host remoto a partir do
qual os arquivos são recuperados.
Recursivo Selecione esta caixa de seleção se desejar que o padrão
do arquivo também procure subpastas. O parâmetro
Recursivo não será usado se você configurar SCP como o
Tipo de serviço. Por padrão, a caixa de seleção não é
selecionada.
Padrão do arquivo de FTP Se você selecionar SFTP ou FTP como o Tipo de serviço,
essa opção permitirá que você configure a expressão
regular (regex) que é necessária para filtrar a lista de
arquivos que são especificados no Diretório remoto.
Todos os arquivos correspondentes são incluídos no
processamento.

Outro exemplo: se você deseja recuperar todos os

arquivos syslog com a palavra-chave "_filter" no nome
do arquivo, use a entrada a seguir: .*_filter.*\.syslog.

A utilização deste parâmetro requer conhecimento de

expressões regulares (regex). Para obter mais
informações, consulte o seguinte website:
http://download.oracle.com/javase/tutorial/essential/
regex/
Modo de transferência por FTP Essa opção será exibida somente se você selecionar FTP
como o Tipo de serviço. O parâmetro Modo de
transferência por FTP permite que você defina o modo
de transferência de arquivo quando recuperar arquivos
de log via FTP.

Na lista, selecione o modo de transferência que você

deseja aplicar a esta origem de log:
v Binário - Selecione Binário para origens de log que
requerem arquivos de dados binários ou archives
compactados .zip, .gzip, .tar ou .tar+gzip.
v ASCII - Selecione ASCII para origens de log que
requerem uma transferência de arquivos ASCII por
FTP. Deve-se selecionar NONE para o campo
Processador e LINEBYLINE para o campo Gerador de
evento ao usar ASCII como o modo de transferência.
Arquivo remoto SCP Se você selecionar SCP como o Tipo de serviço, deverá
digitar o nome do arquivo remoto.
Horário de Início Digite o horário do dia que deseja que o processamento
comece. Esse parâmetro funciona com o valor de
Recorrência para estabelecer quando e com que
frequência o Diretório Remoto é varrido em busca de
arquivos. Digite o horário de início, com base em um
relógio de 24 horas, no seguinte formato: HH: MM.

914 Guia de configuração do QRadar DSM

Tabela 500. Parâmetros de arquivo de log (continuação)
Parâmetro Descrição
Recorrência Digite a frequência, começando no horário de início, que
você deseja que o diretório remoto seja varrido. Digite
este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório

seja varrido a cada 2 horas. O padrão é 1H.
Executar ao salvar Marque esta caixa de seleção se desejar que o protocolo
de arquivo de log seja executado logo após clicar em
Salvar. Após o Executar salvamento ser concluído, o
protocolo de arquivo de log segue o horário de início
configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos

processados anteriormente para o parâmetro Ignorar
arquivo(s) processado(s) anteriormente.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você
não deseja que esse protocolo exceda. O intervalo válido
é 100 a 5000.
Processador Se os arquivos no host remoto estiverem armazenados
em um formato de archive .zip, .gzip, .tar ou tar+gzip,
selecione o processador que permite que os archives
sejam expandidos e conteúdo seja processado.
Ignorar arquivo(s) processado(s) anteriormente Marque essa caixa de seleção para rastrear os arquivos
que já foram processados e você não deseja que eles
sejam processados uma segunda vez. Isso se aplica aos
Tipos de serviço FTP e SFTP.
Mudar diretório local? Marque essa caixa de seleção para definir o diretório
local em seu sistema QRadar que você deseja usar para
armazenar arquivos transferidos por download durante o
processamento. Recomendamos que você deixe a caixa
de seleção desmarcada. Quando a caixa de seleção está
marcada, o campo Diretório local é exibido, permitindo
que você configure o diretório local a ser usado para
armazenar arquivos.
Gerador de evento Na lista Gerador de evento, selecione LINEBYLINE.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhados para o QRadar pelo
Proofpoint Enterprise Protection e Enterprise Privacy são exibidos na guia Atividade de log.

121 Proofpoint Enterprise Protection e Enterprise Privacy 915

916 Guia de configuração do QRadar DSM
122 Pulse Secure Pulse Connect Secure
O IBM QRadar DSM for Pulse Secure Pulse Connect Secure coleta eventos syslog e formatados do
WebTrends Enhanced Log File (WELF) dos dispositivos VPN móveis do Pulse Secure Pulse Connect
Secure.

A tabela a seguir descreve as especificações para o DSM Pulse Secure Pulse Connect Secure:
Tabela 501. Especificações do DSM Pulse Secure Pulse Connect Secure
Especificação Valor
Fabricante Pulse Secure
Nome do DSM Pulse Secure Pulse Connect Secure
Nome do arquivo RPM DSM-PulseSecurePulseConnectSecure-QRadar_version-
build_number.noarch.rpm
Versões suportadas 8.2R5
Protocolo Syslog, syslog TLS
Formato de evento Admin

Autenticação

Sistema

Rede

Erro
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? SIM
Informações adicionais Website do Pulse Secure (https://www.pulsesecure.net)

Para integrar o Pulse Secure Pulse Connect Secure ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale a
versão mais recente do RPM do DSM Pulse Secure Pulse Connect Secure em seu QRadar Console.
2. Configure o dispositivo Pulse Secure Pulse Connect Secure para enviar eventos formatados do
WebTrends Enhanced Log File (WELF) para o QRadar.
3. Configure o dispositivo Pulse Secure Pulse Connect Secure para enviar eventos syslog para o QRadar.
4. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Pulse
Secure Pulse Connect Secure no QRadar Console. As tabelas a seguir descrevem os parâmetros que
requerem valores específicos para coletar eventos Syslog do Pulse Secure Pulse Connect Secure:
Tabela 502. Parâmetros de origem de log do Pulse Secure Pulse Secure Syslog
Parâmetro Valor
Tipo de origem de log Pulse Secure Pulse Connect Secure
Configuração do Protocolo Syslog
Log Source Identifier Digite um identificador exclusivo para a origem de log.

5. Opcional. Para incluir uma origem de log do Pulse Secure Pulse Connect Secure para receber eventos
syslog de dispositivos de rede que suportam o encaminhamento de eventos do TLS Syslog, configure
a origem de log no QRadar Console para usar o protocolo TLS Syslog.
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos do
TLS Syslog do Pulse Secure Pulse Connect Secure:
Tabela 503. Parâmetros de origem de log do TLS Syslog do Pulse Secure Pulse Connect Secure
Parâmetro Valor
Tipo de origem de log Pulse Secure Pulse Connect Secure
Configuração do Protocolo TLS Syslog
Log Source Identifier Digite um identificador exclusivo para a origem de log.
Protocolos TLS Selecione a versão de TLS que está instalada no cliente.

Configurando um dispositivo Pulse Secure Pulse Connect Secure para

enviar eventos do WebTrends Enhanced Log File (WELF) para o IBM
QRadar
Antes de poder enviar eventos formatados do WebTrends Enhanced Log File (WELF) para o QRadar,
deve-se configurar as informações do servidor syslog para eventos, acesso de usuário, acesso de
administrador e logs de cliente em seu dispositivo Pulse Secure Pulse Connect Secure.

Procedimento
1. Efetue login em sua interface com o usuário de administração de dispositivo do Pulse Secure Pulse
Connect Secure na web:
https://<IP_address>/admin
2. Configure as informações do servidor syslog para eventos.
a. Clique em Sistema > Log / Monitoramento > Eventos > Configurações .
b. Na área de janela Selecionar eventos a serem registrados, selecione os eventos que você deseja
registrar.
c. No campo Nome do servidor/IP, digite o nome ou endereço IP do servidor de syslog.
d. Na Lista de recursos, selecione um nível de recurso do servidor syslog.
e. Na lista Filtro, selecione WELF:WELF.
f. Clique em Incluir e, em seguida, clique em Salvar mudanças.
3. Configure as informações do servidor do syslog para acesso de usuário.
a. Clique em Sistema > Log / Monitoramento > Acesso de usuário > Configurações .
b. Na área de janela Selecionar eventos a serem registrados, selecione os eventos que você deseja
registrar.

918 Guia de configuração do QRadar DSM

c. No campo Nome do servidor/IP, digite o nome ou endereço IP do servidor de syslog.
d. Na lista Recurso, selecione o recurso.
4. Configure as informações do servidor do syslog para acesso de Administrador.
a. Clique em Sistema > Log / Monitoramento > Acesso de Administrador > Configurações .
b. Na área de janela Selecionar eventos a serem registrados, selecione os eventos que você deseja
registrar.
c. No campo Nome do servidor/IP, digite o nome ou endereço IP do servidor de syslog.
d. Na lista Recurso, selecione o recurso.
e. Na lista Filtro, selecione WELF:WELF.
f. Clique em Incluir e, em seguida, clique em Salvar mudanças.
5. Configure as informações do servidor do syslog para logs do cliente.
a. Clique em Sistema > Log / Monitoramento > Logs do Cliente > Configurações .
b. Na área de janela Selecionar eventos a serem registrados, selecione os eventos que você deseja
registrar.
c. No campo Nome do servidor/IP, digite o nome ou endereço IP do servidor de syslog.
d. Na lista Recurso, selecione o recurso.
e. Na lista Filtro, selecione WELF:WELF.
f. Clique em Incluir e, em seguida, clique em Salvar mudanças.

Resultados

Agora você está pronto para configurar uma origem de log no QRadar.

Configurando um dispositivo Pulse Secure Pulse Connect Secure para

enviar eventos syslog para o QRadar
Para encaminhar eventos de syslog para o QRadar, é necessário configurar as informações do servidor do
syslog para eventos, acesso de usuário, acesso de administrador e logs de cliente em seu dispositivo
Pulse Secure Pulse Connect Secure.

Procedimento
1. Efetue login em sua interface com o usuário de administração de dispositivo do Pulse Secure Pulse
Connect Secure na web:
https://<IP_address>/admin
2. Configure as informações do servidor syslog para eventos.
a. Clique em Sistema > Log / Monitoramento > Eventos > Configurações .
b. Na seção Selecionar eventos a serem registrados, selecione os eventos que você deseja registrar.
c. No campo Nome do servidor/IP, digite o nome ou endereço IP do servidor de syslog.
d. Clique em Incluir e, em seguida, clique em Salvar mudanças.
3. Configure as informações do servidor do syslog para acesso de usuário.
a. Clique em Sistema > Log / Monitoramento > Acesso de usuário > Configurações .
b. Na seção Selecionar eventos a serem registrados, selecione os eventos que você deseja registrar.
c. No campo Nome do servidor/IP, digite o nome ou endereço IP do servidor de syslog.
d. Clique em Incluir e, em seguida, clique em Salvar mudanças.
4. Configure as informações do servidor do syslog para acesso de Administrador.
a. Clique em Sistema > Log / Monitoramento > Acesso de Administrador > Configurações .
b. Na seção Selecionar eventos a serem registrados, selecione os eventos que você deseja registrar.
c. No campo Nome do servidor/IP, digite o nome ou endereço IP do servidor de syslog.

122 Pulse Secure Pulse Connect Secure 919

d. Clique em Incluir e, em seguida, clique em Salvar mudanças.
5. Configure as informações do servidor do syslog para logs do cliente.
a. Clique em Sistema > Log / Monitoramento > Logs do Cliente > Configurações .
b. Na seção Selecionar eventos a serem registrados, selecione os eventos que você deseja registrar.
c. No campo Nome do servidor/IP, digite o nome ou endereço IP do servidor de syslog.
d. Clique em Incluir e, em seguida, clique em Salvar .

Resultados

Agora você está pronto para configurar uma origem de log no QRadar.

Mensagem do evento de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra para o DSM Pulse Secure Pulse Connect
Secure:
Tabela 504. Mensagem de amostra do Pulse Secure Pulse Secure
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
VlanAssigned Informações id=firewall time=
"2009-10-01 22:26:39" pri= 6 fw=
<IP_address> vpn=ic user=user
realm= "<Domain>" roles="Employee,
Remediation" proto= src=<Source_IP_address>
dst= dstname = type=vpn op= arg= "" result=
sent= rcvd= agent="" duration=
msg="EAM24459:
Usuário designado a vlan (VLAN= ’16’) "

920 Guia de configuração do QRadar DSM

123 Radware
O IBM QRadar suporta uma variedade de dispositivos Radware.

Radware AppWall
O IBM QRadar DSM for Radware AppWall coleta logs de um dispositivo Radware AppWall.

A tabela a seguir descreve as especificações para o DSM do Radware AppWall:

Tabela 505. Especificações do DSM do Radware AppWall
Especificação Valor
Fabricante Radware
Nome do DSM Radware AppWall
Nome do arquivo RPM DSM-RadwareAppWall-Qradar_version-
build_number.noarch.rpm
Versões Suportadas V6.5.2

V8.2
Protocolo Syslog
Formato de evento Vision Log
Tipos de eventos registrados Administração

Auditoria

Saiba Mais

Security

Sistema
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Radware (http://www.radware.com)

Para integrar o Radware AppWall com o QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do RPM do DSM do Radware AppWall em seu QRadar Console:
2. Configure seu dispositivo Radware AppWall para enviar logs para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Radware
AppWall no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para a coleção de eventos do Radware AppWall:
Tabela 506. Parâmetros da origem de log do Radware AppWall
Parâmetro Valor
Tipo de origem de log Radware AppWall
Configuração de protocolo Syslog

Nota: O dispositivo RadWare AppWall pode ter cargas úteis de eventos que são maiores que o
comprimento máximo padrão de carga útil de TCP Syslog de 4.096 bytes. Este excedente pode fazer com
que a carga útil do evento seja dividida em vários eventos pelo QRadar. Para evitar esse comportamento,
aumente o comprimento máximo de carga útil de TCP Syslog. Para otimizar o desempenho, inicie
configurando o valor para 8.192 bytes. O comprimento máximo para eventos do RadWare AppWall é de
14.019 bytes.

É possível verificar se o QRadar está configurado para receber eventos de seu dispositivo Radware
AppWall ao concluir a Etapa 6 do procedimento Configurando o Radware AppWall para se comunicar
com o QRadar procedure.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
“Configurando o Radware AppWall para se comunicar com o QRadar”
Configure o dispositivo Radware AppWall para enviar logs para o IBM QRadar. Os logs do AppWall são
integrados com o QRadar usando o formato de evento Vision Log.
“Aumentando o comprimento máximo de carga útil de TCP Syslog para Radware AppWall”
Aumente o comprimento máximo de carga útil de TCP Syslog para o dispositivo RadWare AppWall no
IBM QRadar.

Configurando o Radware AppWall para se comunicar com o QRadar

Configure o dispositivo Radware AppWall para enviar logs para o IBM QRadar. Os logs do AppWall são
integrados com o QRadar usando o formato de evento Vision Log.

Procedimento
1. Efetue login no Radware AppWall Console.
2. Selecione Visualização de Configuração na barra de menus.
3. Na área de janela Visualização em Árvore no lado esquerdo da janela, clique em appwall Gateway >
Serviços > Suporte Vision.
4. Na guia Lista de Servidores no lado direito da janela, clique no ícone Incluir (+) na área de janela
Lista de Servidores.
5. Na janela Incluir o servidor Vision, configure os parâmetros a seguir:

Parâmetro Valor
Address O endereço IP para o QRadar Console.
Port 514
Versão Selecione a versão mais recente da lista. É o último item
na lista.

6. Clique em Verificar para verificar se o AppWall pode se conectar com sucesso com o QRadar.
7. Clique com o Enviar e Salvar.
8. Clique em Aplicar > OK.

Aumentando o comprimento máximo de carga útil de TCP Syslog para

Radware AppWall
Aumente o comprimento máximo de carga útil de TCP Syslog para o dispositivo RadWare AppWall no
IBM QRadar.

922 Guia de configuração do QRadar DSM

Antes de Iniciar

Procedimento
1. Se você deseja aumentar o comprimento máximo de carga útil de TCP Syslog para o QRadar V7.2.6,
siga estas etapas:
a. Efetue login no QRadar Console como administrador.
b. Na guia Admin, clique em Configurações do sistema.
c. Clique em Avançado.
d. Na guia Comprimento máx. da carga útil do TCP Syslog, digite 8192.
e. Clique em Salvar.
f. Na guia Admin, clique em Implementar mudanças.
2. Se você deseja aumentar o comprimento máximo de carga útil de TCP Syslog para o QRadar V7.2.5 e
anterior, siga estas etapas:
a. Use SSH para efetuar login no QRadar Console.
b. Acesse o diretório /opt/qradar/conf/templates/configservice/pluggablesources/ e edite o
arquivo TCPSyslog.vm.
c. Digite 8192 para o valor do parâmetro MaxPayload.
Por exemplo, <parameter type=MaxPayload>8192</parameter>.
d. Salve o arquivo TCPSyslog.vm.
e. Efetue login no QRadar Console como administrador.
f. Na guia Admin, clique em Avançado > Implementar configuração integral.

Radware DefensePro
O DSM Radware DefensePro para o IBM QRadar aceita eventos usando syslog. Os traps de eventos
também podem ser espelhados para um servidor syslog.

Antes de configurar o QRadar para integração com um dispositivo Radware DefensePro, deve-se
configurar o dispositivo Radware DefensePro para encaminhar eventos syslog para o QRadar. Deve-se
configurar as informações apropriadas usando a opção Dispositivo > Trap e SMTP.

Quaisquer traps que são gerados pelo dispositivo Radware são espelhados no servidor syslog
especificado. O servidor Radware Syslog atual fornece a opção para definir o status e o endereço do
servidor de log de eventos.

É possível também definir mais critérios de notificação, como Recurso e Gravidade, que são expressos por
valores numéricos:
v Recurso é um valor definido pelo usuário que indica o tipo de dispositivo que é usado pelo emissor.
Esse critério é aplicado quando o dispositivo envia mensagens syslog. O valor padrão é 21,
significando Uso Local 6.
v Gravidade indica a importância ou o impacto do evento relatado. A Gravidade é determinada
dinamicamente pelo dispositivo para cada mensagem enviada.

123 Radware 923

Na janela Configurações de segurança, deve-se ativar o relatório de segurança usando as configurações
de conexão e proteção/segurança. Deve-se ativar relatórios de segurança para syslog e configurar a
gravidade (risco de syslog).

Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Radware
DefensePro. As etapas de configuração a seguir são opcionais.

Sobre Esta Tarefa

Para configurar manualmente uma origem de log para o DefensePro Radware:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

924 Guia de configuração do QRadar DSM

124 Raz-Lee iSecurity
O IBM QRadar coleta e analisa os eventos Log Event Extended Format (LEEF) que são encaminhados das
instalações do Raz-Lee iSecurity no IBM i. Os eventos são analisados e categorizados pelo DSM IBM i.

O QRadar suporta eventos de instalações do Raz-Lee iSecurity para o iSecurity Firewall V15.7 e iSecurity
Audit V11.7.

A tabela a seguir descreve as especificações para o DSM IBM i para instalações do Raz-Lee iSecurity:
Tabela 508. Especificações do DSM IBM i para o Raz-Lee iSecurity
Especificação Valor
Fabricante IBM
Nome do DSM IBM i
Nome do arquivo RPM DSM-IBMi-QRadar_version-build_number.noarch.rpm
Versões Suportadas iSecurity Firewall V15.7

iSecurity Audit V11.7

Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Todos os eventos de segurança, conformidade e
auditoria.
Descobertos automaticamente? SIM
Inclui identidade? SIM
Inclui propriedades customizadas? No
Informações adicionais Website do IBM (http://www.ibm.com)

Configurando o Raz-Lee iSecurity para se comunicar com o QRadar

Para coletar eventos de segurança, conformidade e auditoria, configure a instalação do Raz-Lee iSecurity
para encaminhar eventos do syslog Log Event Extended Format (LEEF) para o IBM QRadar.

Procedimento
1. Efetue login na interface da linha de comandos do IBM i.
2. Na linha de comandos, digite STRAUD para acessar as opções do menu Auditoria.
3. No menu Auditoria, selecione 81. Configuração do sistema.
4. No menu Configuração do sistema iSecurity/base, selecione 32. SIEM 1.
5. Configure os valores de parâmetros de 32.SIEM 1.

Saiba mais sobre os valores de parâmetro do 32. SIEM 1:

Tabela 509. Valores de parâmetros de 32.SIEM 1
Parâmetro Valor
SIEM 1 name Digite QRadar.
Port Digite a porta que é usada para enviar mensagens do
syslog. A porta padrão é 514, que é o padrão do syslog.

Tabela 509. Valores de parâmetros de 32.SIEM 1 (continuação)
Parâmetro Valor
SYSLOG type Digite 1 para UDP.
Endereço de destino Digite o endereço IP para o QRadar.
Severity range to auto send Digite um nível de mensagem de severidade no intervalo
de 0 a 7. Por exemplo, digite 7 par enviar todas as
mensagens do syslog.
Facility to use Digite um nível de recurso do syslog no intervalo de 0 a
23.
Estrutura da Mensagem Digite *LEEF.
Convert data to CCSID Digite 0 no campo Converter dados para CCSID. Esta é
a conversão de caracteres padrão.
Comprimento máximo Digite 1024.

6. No menu Configuração do sistema iSecurity/Base, selecione 31. Controle principal.

7. Configure os valores de parâmetro do 31. Controle principal.

Saiba mais sobre os valores de parâmetro do 31. Controle principal:

Tabela 510. Valores de parâmetro de 31. Controle principal
Parâmetro Valor
Run rules before sending Para processar os eventos que você deseja enviar, digite
Y.

Para enviar todos os eventos, digite N.

SIEM 1: QRadar Digite Y.
Send JSON messages (for DAM) Digite N.
As only operation Digite N.

8. Na linha de comandos, para configurar as opções de Firewall, digite STRFW para acessar as opções de
menu.
9. No menu Firewall, selecione 81. Configuração do sistema.
10. No menu Parâmetros globais do iSecurity (parte 1), selecione 72. SIEM 1.
11. Configure os valores de parâmetros de 72.SIEM 1.

Saiba mais sobre os valores de parâmetro do 72. SIEM 1:

Tabela 511. Valores de parâmetros de 72.SIEM 1
Parâmetro Valor
SIEM 1 name Digite QRadar.
Port Digite a porta que é usada para enviar mensagens do
syslog. A porta padrão é 514, que é o padrão do Syslog.
SYSLOG type Digite 1 para o tipo de syslog do UDP.
Send in FYI mode Digite N.
Endereço de destino Digite o endereço IP para o console do QRadar.
Severity range to auto send Digite um nível de severidade no intervalo de 0 a 7.
Facility to use Digite um nível de recurso.
Estrutura da Mensagem Digite *LEEF.

926 Guia de configuração do QRadar DSM

Tabela 511. Valores de parâmetros de 72.SIEM 1 (continuação)
Parâmetro Valor
Convert data to CCSID Digite 0.
Comprimento máximo Digite 1024.

12. No menu Parâmetros globais do iSecurity (parte 1):, selecione 71. Controle principal.
13. Configure os valores de parâmetro do 71. Controle principal.

Saiba mais sobre os valores de parâmetro do 71. Controle principal:

Tabela 512. Valores de parâmetro de 71. Controle principal
Parâmetro Valor
SIEM 1: QRadar Digite 2.
Send JSON messages (for DAM) Digite 0.

Resultados

Os eventos de LEEF do syslog que são encaminhados pelo Raz-Lee iSecurity são descobertos
automaticamente pelo DSM QRadar para o IBM i. Na maioria dos casos, a origem de log é criada
automaticamente no QRadar após alguns eventos serem detectados.

Se a taxa do evento for baixa, será possível configurar manualmente uma origem de log para o Raz-Lee
iSecurity no QRadar. Até que a origem de log seja descoberta e identificada automaticamente, o tipo de
evento é exibido como Desconhecido na guia Atividade de log. Visualize as origens de log descobertas
automaticamente na guia Administrador clicando no ícone Origens de log.

Configurando uma origem de log para o Raz-Lee iSecurity

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos do Syslog LEEF que
são encaminhados a partir do Raz-Lee iSecurity. Se a origem de log não for descoberta automaticamente,
será possível criá-la manualmente.

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. No campo Descrição de origem de log , digite uma descrição para a origem de log.
6. Na lista Tipo de origem de log, selecione IBM i.
7. Na lista Configuração de protocolo, selecione Syslog.
8. Configure os valores de protocolo syslog.

Saiba mais sobre parâmetros do protocolo syslog:

Tabela 513. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de log O endereço IP ou nome do host da origem de log que
envia eventos do dispositivo Raz-Lee iSecurity.
Ativado Por padrão, essa caixa de seleção é marcada.

124 Raz-Lee iSecurity 927

Tabela 513. Parâmetros do protocolo Syslog (continuação)
Parâmetro Descrição
Credibilidade A Credibilidade da origem de log. O intervalo é de 0 –
10.

A credibilidade indica a integridade de um evento ou

ofensa conforme determinado pela classificação de
credibilidade a partir dos dispositivos de origem.
Credibilidade aumenta se várias fontes relatam o mesmo
evento. O padrão é 5.
Unindo eventos Por padrão, as origens de logs descobertas
automaticamente herdam o valor da lista Eventos unidos
das configurações do sistema em QRadar. Ao criar uma
origem de log ou editar uma configuração existente, é
possível substituir o valor padrão configurando esta
opção para cada origem de log.
Codificação de Carga Útil Recebida Selecione Codificador de carga útil recebida para
analisar e armazenar os logs.
Armazenar carga útil do evento Por padrão, as origens de log descobertas
automaticamente herdam o valor da lista Armazenar
carga útil do evento das Configurações do sistema no
QRadar. Ao criar uma origem de log ou editar uma
configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de
log.

9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

928 Guia de configuração do QRadar DSM

125 Redback ASE
O DSM Redback ASE para o IBM QRadar aceita eventos usando syslog.

O dispositivo Redback ASE pode enviar mensagens de log para o console do dispositivo Redback ou
para um servidor de log que é integrado com o QRadar para gerar relatórios específicos de
implementação. Antes de configurar um dispositivo Redback ASE no QRadar, deve-se configurar o seu
dispositivo para encaminhar eventos syslog.

Configurando o Redback ASE

É possível configurar o dispositivo para enviar eventos syslog para o IBM QRadar.

Procedimento
1. Efetue login na interface com o usuário do dispositivo Redback ASE.
2. Inicie o modo de configuração da CLI.
3. No modo de configuração global, configure as definições padrão para o serviço de segurança:
asp security default
4. No modo de configuração padrão de segurança ASP, configure o endereço IP do servidor de log e o
protocolo de transporte opcional:
log server <IP address> transport udp port 9345
Em que <IP address> é o endereço IP do QRadar.
5. Configure o endereço IP que você deseja usar como o endereço IP de origem nas mensagens de log:
log source <source IP address>
Em que <source IP address> é o endereço IP da interface de loopback no contexto local.
6. Confirme a transação.
Para obter mais informações sobre a configuração do dispositivo Redback ASE, consulte a
documentação do fornecedor.
Por exemplo, se você desejar configurar:
v Endereço IP do servidor de origem de log <IP_address>
v Protocolo de transporte padrão: UDP
v Porta do servidor padrão: 514
O endereço IP de origem que é usado para mensagens de log é <IP_address>. Esse endereço deve ser
um endereço IP de uma interface loopback em contexto local.
asp security default log server <IP_address1> log source <IP_address2>

O que Fazer Depois

Agora é possível configurar as origens de log no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Redback
ASE. As etapas de configuração a seguir são opcionais.

Sobre Esta Tarefa

Para configurar manualmente uma origem de log para Redback ASE:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

930 Guia de configuração do QRadar DSM

126 Resolution1 CyberSecurity
O Resolution1 CyberSecurity é conhecido anteriormente como AccessData InSight. O Resolution1
CyberSecurity DSM for IBM QRadar coleta logs de eventos do seu dispositivo Resolution1 CyberSecurity.

A tabela a seguir descreve as especificações para o Resolution1 CyberSecurity DSM:

Tabela 515. Especificações do Resolution1 CyberSecurity DSM
Especificação Valor
Fabricante Resolution1
Nome do DSM Resolution1 CyberSecurity
Nome do arquivo RPM DSM-Resolution1CyberSecurity-Qradar_version-
build_number.noarch.rpm
Versões suportadas V2
Formato de evento Arquivo de log
Tipos de evento registrado do QRadar Dados voláteis

Dados de análise de memória

Dados de aquisição de memória

Dados de coleção

Inventário de software

Dados de dump de processo

Ameaça de varredura de ameaça

Dados de correção de agente

Descobertos automaticamente? Não
Identidade incluída? Não

Para enviar eventos do Resolution1 CyberSecurity ao QRadar, use as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download das versões mais recentes dos
RPMs a seguir.
v LogFileProtocol
v DSMCommon
v Resolution1 CyberSecurity DSM
2. Configure seu dispositivo Resolution1 CyberSecurity para se comunicar com o QRadar.
3. Crie uma origem de log do Resolution1 CyberSecurity no QRadar Console.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

“Configurando seu dispositivo do Resolution1 CyberSecurity para se comunicar com o QRadar”
Para coletar eventos do Resolution1 CyberSecurity, deve-se configurar seu dispositivo de terceiros para
gerar logs de eventos no formato LEEF. Também deve-se criar um site FTP para Resolution1
CyberSecurity a fim de transferir os arquivos LEEF. O QRadar pode então extrair os logs do servidor FTP.

“Origem de log do Resolution1 CyberSecurity em seu QRadar Console”

O QRadar não descobre automaticamente a origem de log do Resolution1 CyberSecurity. Deve-se incluir
manualmente a origem de log.

Configurando seu dispositivo do Resolution1 CyberSecurity para se

comunicar com o QRadar
Para coletar eventos do Resolution1 CyberSecurity, deve-se configurar seu dispositivo de terceiros para
gerar logs de eventos no formato LEEF. Também deve-se criar um site FTP para Resolution1
CyberSecurity a fim de transferir os arquivos LEEF. O QRadar pode então extrair os logs do servidor FTP.

Procedimento
1. Efetue login no dispositivo Resolution1 CyberSecurity.
2. Abra o arquivo ADGIntegrationServiceHost.exe.config, que está no diretório C:\Program
Files\AccessData\eDiscovery\Integration Services.
3. Altere o texto no arquivo para que corresponda às linhas a seguir:
<Option Name="Version" Value="2.0" />
<Option Name="Version" Value="2.0" />
<Option Name="OutputFormat" Value="LEEF" />
<Option Name="LogOnly" Value="1" />
<Option Name="OutputPath" Value="C:\CIRT\logs" />
4. Reinicie o serviço do Resolution1 Third-Party Integration.
5. Crie um site de FTP para a pasta de saída C:\CIRT\logs:
a. Abra o Internet Information Services Manager (IIS).
b. Clique com o botão direito na guia Sites e clique em Incluir Site de FTP.
c. Nomeie o site de FTP e digite C:\CIRT\logs como o local para os arquivos LEEF gerados.
d. Reinicie o serviço da web.

Origem de log do Resolution1 CyberSecurity em seu QRadar Console

O QRadar não descobre automaticamente a origem de log do Resolution1 CyberSecurity. Deve-se incluir
manualmente a origem de log.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Identificador de origem de log, digite o endereço IP ou nome do host do dispositivo
Resolution1 CyberSecurity.
7. Na lista Tipo de origem de log, selecione Resolution1 CyberSecurity.
8. Na lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os parâmetros restantes.
10. Clique em Salvar.

932 Guia de configuração do QRadar DSM

127 Riverbed
O IBM QRadar suporta uma série de DSMs Riverbed:

Auditoria do Riverbed SteelCentral NetProfiler (gerenciador de perfis

em cascata)
O DSM do IBM QRadar para o Riverbed SteelCentral NetProfiler Audit coleta logs de auditoria do
sistema Riverbed SteelCentral NetProfiler. Esse produto também é conhecido como Gerenciador de perfis em
cascata.

A tabela a seguir identifica as especificações para o DSM Riverbed SteelCentral NetProfiler:

Tabela 516. Especificações do Riverbed SteelCentral NetProfiler
Especificação Valor
Fabricante Riverbed
Nome do DSM SteelCentral NetProfiler Audit
Nome do arquivo RPM DSM-RiverbedSteelCentralNetProfilerAudit-Qradar_version-
build_number.noarch.rpm
Formato de evento Protocolo de arquivo de log
Tipos de eventos registrados Eventos de auditoria
Descobertos automaticamente? Não
Inclui identidade? Sim
Inclui propriedades customizadas? Não
Informações adicionais website do Riverbed (http://www.riverbed.com/)

Para integrar o Riverbed SteelCentral NetProfiler Audit com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale as versões mais
recentes dos RPMs a seguir no QRadar Console.
v RPM Protocol-LogFile
v RPM Riverbed SteelCentral NetProfiler Audit
2. Crie um modelo de relatório de auditoria no host Riverbed e, em seguida, configure um host de
terceiros para usar o modelo para gerar o arquivo de auditoria. Consulte “Criando um modelo de
relatório do Riverbed SteelCentral NetProfiler e gerando um arquivo de auditoria” na página 934.
3. Crie uma origem de log no QRadar Console. A origem de log permite que o QRadar acesse o host de
terceiros para recuperar o arquivo de auditoria. Use a tabela a seguir para definir os parâmetros
específicos do Riverbed:
Tabela 517. Parâmetros de origem de log do Riverbed SteelCentral NetProfiler
Parâmetro Descrição
Tipo de Fonte de Log Riverbed SteelCentral NetProfiler Audit
Configuração de protocolo LogFile
IP ou nome do host remoto O endereço IP ou o nome do host de terceiros que armazena o
arquivo de auditoria gerado
Usuário remoto O nome de usuário para a conta que pode acessar o host.
Senha remota A senha para a conta do usuário.
Diretório remoto O caminho de arquivo absoluto no host de terceiros que contém
o arquivo de auditoria gerado.

Tabela 517. Parâmetros de origem de log do Riverbed SteelCentral NetProfiler (continuação)
Parâmetro Descrição
Padrão do arquivo de FTP Um padrão regex que corresponde ao nome do arquivo de
auditoria.
Recorrência Assegure-se de que a recorrência corresponda à frequência com
que o script SDK SteelScript for Python é executado no host
remoto.
Gerador de evento Correspondente de linha
RegEx do correspondente de linha ^\d+/\d+/\d+ \d+:\d+,

Criando um modelo de relatório do Riverbed SteelCentral NetProfiler e

gerando um arquivo de auditoria
Para preparar a integração do Riverbed SteelCentral NetProfiler com o QRadar, crie um modelo de
relatório no Riverbed SteelCentral NetProfiler e, em seguida, use um host de terceiros para gerar um
arquivo de auditoria. O host de terceiros deve ser um sistema diferente do host que você usa para
Riverbed SteelCentral NetProfiler ou QRadar.

Antes de Iniciar

Assegure-se de que os itens a seguir estejam instalados em um host de terceiros que você usa para
executar o relatório de auditoria:
Python
Faça download e instale o Python no website da Python (https://www.python.org/download/).
SteelScript para Python
Faça download e instale o SDK SteelScript for Python no website do Riverbed SteelScript for
Python (https://support.riverbed.com/apis/steelscript/index.html). O script gera e faz download
de um arquivo de auditoria no formato CSV. Deve-se executar esse script periodicamente.

Procedimento
1. Defina o modelo de relatório de arquivo de auditoria.
a. Efetue login na interface com o usuário do host do Riverbed SteelCentral NetProfiler.
b. Selecione Sistema > Trilha de auditoria.
c. Selecione os critérios que você deseja incluir no arquivo de auditoria.
d. Selecione um prazo.
e. No lado direito da janela, clique em Modelo.
f. Selecione Salvar como/Planejar.
g. Digite um nome para o modelo de relatório.
2. Para executar o modelo de relatório e gerar um arquivo de auditoria, conclua as etapas a seguir
a. Efetue login no host de terceiros em que você instalou o Python.
b. Digite o seguinte comando:
$ python ./get_template_as_csv.py <riverbed_host_name>
-u admin -p admin -t "<report_template_name>" -o
<absolute_path_to_target file>

934 Guia de configuração do QRadar DSM

Dica: Anote o nome do modelo e o caminho do arquivo do relatório. Você precisará usar o nome
para executar o modelo de relatório e quando configurar uma origem de log na interface do
QRadar.

Alerta do Riverbed SteelCentral NetProfiler (gerenciador de perfis em

cascata)
O DSM do IBM QRadar para o Riverbed SteelCentral NetProfiler coleta logs de alerta do sistema
Riverbed SteelCentral NetProfiler. Esse produto também é conhecido como Gerenciador de perfis em cascata.

A tabela a seguir identifica as especificações para o DSM Riverbed SteelCentral NetProfiler:

Tabela 518. Especificações do Riverbed SteelCentral NetProfiler
Especificação Valor
Fabricante Riverbed
Nome do DSM SteelCentral NetProfiler
Nome do arquivo RPM DSM-RiverbedSteelCentralNetProfiler-Qradar_version-
build_number.noarch.rpm
Formato de evento JDBC
Tipos de eventos registrados Eventos de alerta
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Riverbed (http://www.riverbed.com/)

Para integrar o Riverbed SteelCentral NetProfiler com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale as versões mais
recentes dos RPMs a seguir no QRadar Console.
v RPM Protocol-JDBC
v RPM Riverbed SteelCentral NetProfiler
2. Configure o sistema Riverbed SteelCentral NetProfiler para ativar a comunicação com o QRadar.
3. Crie uma origem de log no QRadar Console. Use a tabela a seguir para definir os parâmetros
específicos do Riverbed:
Tabela 519. Parâmetros de origem de log do Riverbed SteelCentral NetProfiler
Parâmetro Descrição
Tipo de Fonte de Log Riverbed SteelCentral NetProfiler
Configuração de protocolo JDBC
Nome do banco de dados Deve-se digitar o nome real do banco de dados Riverbed. Para a
maioria das configurações, o nome do banco de dados é mazu.
Dica: Confirme o nome real do banco de dados Riverbed.
Nome da tabela events.export_csv_view
Nome de Usuário O nome do usuário para a conta que é configurado para acessar
o banco de dados PostgreSQL no sistema Riverbed SteelCentral
NetProfiler.
Campo comparável start_time
Intervalo de pesquisa 5M

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
127 Riverbed 935
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o sistema Riverbed SteelCentral NetProfiler para ativar a

comunicação com o QRadar
Para coletar eventos de alerta do Riverbed SteelCentral NetProfiler, deve-se configurar o sistema Riverbed
SteelCentral NetProfiler para permitir que o QRadar recupere eventos do banco de dados PostgreSQL.

Procedimento
1. Efetue login na interface com o usuário do host do Riverbed SteelCentral NetProfiler.
2. Selecione Configuração > Segurança do dispositivo > Conformidade de segurança.
3. Marque a caixa de seleção Ativar acesso ODBC.
4. Selecione Configuração > Gerenciamento de conta > Contas do usuário.
5. Inclua uma conta que o QRadar possa usar para acessar o banco de dados PostgreSQL.

936 Guia de configuração do QRadar DSM

128 RSA Authentication Manager
É possível usar um RSA Authentication Manager DSM IBM QRadar com um RSA Authentication
Manager 6.x ou 7.x usando o syslog ou o protocolo de arquivo de log. O RSA Authentication Manager 8.x
usa o syslog apenas.

Antes de configurar o QRadar para integração com o RSA Authentication Manager, selecione sua
preferência de configuração:
v “Configuração do syslog para o RSA Authentication Manager 6.x, 7.x e 8.x”
v “Configurando o protocolo do arquivo de log para o RSA Authentication Manager 6.x e 7.x” na página
939

Nota: Deve-se aplicar o hot fix mais recente nas instalações do RSA Authentication Manager 7.1
principal, réplica, nó, banco de dados e raio antes de configurar o syslog.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configuração do syslog para o RSA Authentication Manager 6.x, 7.x e

8.x
O procedimento para configurar seu RSA Authentication Manager 6.x, 7.x e 8.x usando o syslog depende
da versão do sistema operacional para seu appliance RSA Authentication Manager ou SecureID 3.0.

Se você estiver usando RSA Authentication Manager no Linux, consulte “Configurando o Linux”.

Se você estiver usando RSA Authentication Manager no Windows, consulte “Configurando o Windows”
na página 938.

Configurando o Linux
É possível configurar o RSA Authentication Manager para syslog nos sistemas operacionais baseados em
Linux:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do RSA Security Console.
2. Abra um dos arquivos a seguir para edição com base em sua versão do RSA Authentication Manager:
Versões anteriores à versão 8
/usr/local/RSASecurity/RSAAuthenticationManager/utils/resources/ims.properties
Versão 8
/opt/rsa/am/utils/resources/ims.properties
3. Inclua as entradas a seguir no arquivo ims.properties:

ims.logging.audit.admin.syslog_host = <IP address>
ims.logging.audit.admin.use_os_logger = true
ims.logging.audit.runtime.syslog_host = <IP address>
ims.logging.audit.runtime.use_os_logger = true
ims.logging.system.syslog_host = <IP address>
ims.logging.system.use_os_logger = true
Em que <IP address> é o endereço IP ou nome do host do IBM QRadar.
4. Salve o arquivo ims.properties.
5. Abra o arquivo a seguir para edição:
/etc/syslog.conf
6. Digite o comando a seguir para incluir o QRadar como uma entrada syslog:
*.* @<IP address>
Em que <IP address> é o endereço IP ou nome do host do QRadar.
7. Digite o comando a seguir para reiniciar os serviços syslog para Linux.
service syslog restart
Para obter mais informações sobre como configurar o encaminhamento de syslog, consulte a
documentação do RSA Authentication Manager.

O que Fazer Depois

Configure a origem de log e o protocolo no QRadar. Para receber eventos do RSA Authentication
Manager, na lista Tipo de origem de log, selecione a opção RSA Authentication Manager.

Configurando o Windows
Para configurar o RSA Authentication Manager para syslog usando o Microsoft Windows.

Procedimento
1. Efetue login no sistema que hospeda o RSA Security Console.
2. Abra o arquivo a seguir para edição com base em seu sistema operacional:
/Program Files/RSASecurity/RSAAuthenticationManager/utils/ resources/ims.properties
3. Inclua as entradas a seguir no arquivo ims.properties:
ims.logging.audit.admin.syslog_host = <IP address>
ims.logging.audit.admin.use_os_logger = true
ims.logging.audit.runtime.syslog_host = <IP address>
ims.logging.audit.runtime.use_os_logger = true
ims.logging.system.syslog_host = <IP address>
ims.logging.system.use_os_logger = true
Em que <IP address> é o endereço IP ou nome do host do QRadar.
4. Salve os arquivos ims.properties.
5. Reinicie os serviços RSA.
Agora você está pronto para configurar a origem de log no QRadar.
6. Para configurar o QRadar para receber eventos do RSA Authentication Manager: na lista Tipo de
origem de log, selecione a opção RSA Authentication Manager.
Para obter mais informações sobre como configurar o encaminhamento de syslog, consulte a
documentação do RSA Authentication Manager.

938 Guia de configuração do QRadar DSM

Configurando o protocolo do arquivo de log para o RSA
Authentication Manager 6.x e 7.x
O protocolo de arquivo de log permite que o IBM QRadar recupere arquivos de log arquivados a partir
de um host remoto. O DSM RSA Authentication Manager suporta o carregamento em massa de arquivos
de log usando a origem de protocolo de arquivo de log.

O procedimento para configurar o RSA Authentication Manager usando o protocolo de arquivo de log
depende da versão do RSA Authentication Manager:
v Se você estiver usando o RSA Authentication Manager v6.x, consulte “Configurando um RSA
Authentication Manager 6.x”.
v Se você estiver usando o RSA Authentication Manager v7.x, consulte “Configurando o RSA
Authentication Manager 7.x”.

Configurando um RSA Authentication Manager 6.x

É possível configurar seu dispositivo RSA Authentication Manager 6.x.

Procedimento
1. Efetue login no Console de segurança do RSA.
2. Efetue login na ferramenta de Administração do Banco de Dados RSA:
3. Clique na ferramenta Avançado.
O sistema solicita que você efetue login novamente.
4. Clique em Administração de banco de dados.
Para obter informações completas sobre como usar SecurID, consulte a documentação do fornecedor.
5. Na lista Log, selecione Automatizar manutenção de log.
A janela Manutenção automática de log é exibida.
6. Marque a caixa de seleção Ativar Auditoria manutenção automática de log de auditoria.
7. Selecione Excluir e arquivar.
8. Selecione Substituir arquivos.
9. Digite um nome de archive.
10. No campo Ciclo pela(s) Versão(ões), digite um valor.
11. Por exemplo 1, selecione Selecionar todos os logs.
12. Selecione uma frequência.
13. Clique em OK.
14. Agora você está pronto para configurar origens de log e protocolo no IBM QRadar:
a. Para configurar o QRadar para receber eventos de um dispositivo RSA, deve-se selecionar a
opção RSA Authentication Manager na lista Tipo de origem de log.
b. Para configurar o protocolo de arquivo de log, deve-se selecionar a opção Arquivo de log na lista
Configuração de protocolo.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o RSA Authentication Manager 7.x

É possível configurar seu dispositivo RSA Authentication Manager 7.x.

128 RSA Authentication Manager 939

Procedimento
1. Efetue login no Console de segurança do RSA.
2. Clique em Administração > Gerenciamento de log > Tarefa de archive de log recorrente.
3. Na seção Planejar, configure valores para os parâmetros Tarefa inicia, Frequência, Tempo de
execução e Tarefa expira.
4. Para o campo Operações, selecione Exportar somente ou Exportar e limpar para as configurações a
seguir: Configurações de log de administração, Configurações de log de tempo de execução e
Configurações de log do sistema.

Nota: A operação Exportar e limpar exporta os registros de log do banco de dados para o archive e,
em seguida, limpa os logs do banco de dados. A operação Exportar somente exporta os registros de
log do banco de dados para o archive e os registros permanecem no banco de dados.
5. Para Administração, Tempo de execução e Sistema, configure um diretório Export para o qual você
deseja exportar seus archives.
Assegure-se de que seja possível acessar o Log de administração, o Log de tempo de execução e o Log
do sistema usando FTP antes de continuar.
6. Para os parâmetros Administração, Tempo de execução e Sistema, configure o parâmetro Dias
mantidos on-line para 1. Os logs com mais de 1 dia são exportados. Se você selecionou Exportar e
limpar, os logs também serão eliminados do banco de dados.
7. Clique em Salvar.
8. Agora você está pronto para configurar as origens de log e o protocolo no QRadar:
a. Para configurar o QRadar para receber eventos de um dispositivo RSA, deve-se selecionar a opção
RSA Authentication Manager na lista Tipo de origem de log.
b. Para configurar o protocolo de arquivo de log, deve-se selecionar a opção Arquivo de log na lista
Configuração de protocolo.
Conceitos relacionados:
“Opções de configuração de protocolo de Arquivo de log” na página 55
Para receber eventos de hosts remotos, configure uma origem de log para usar o protocolo de Arquivo de
log.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

940 Guia de configuração do QRadar DSM

129 SafeNet DataSecure
O IBM QRadar DSM for SafeNet DataSecure coleta eventos syslog de um dispositivo SafeNet DataSecure.

O DataSecure mantém a atividade, como ações administrativas de registro, atividade de rede e

solicitações de criptografia. O QRadar suporta o SafeNet DataSecure V6.3.0.

O SafeNet DataSecure cria os logs de eventos a seguir:

Log de Atividade
Contém um registro de cada solicitação recebida pelo servidor principal.
Log de auditoria
Contém um registro de todas as mudanças na configuração e erros de entrada do usuário que são
feitos no SafeNet KeySecure, por meio do console de gerenciamento ou da interface da linha de
comandos.
Log de eventos de cliente
Contém um registro de todas as solicitações de cliente que têm o elemento
<RecordEventRequest>.
Registro do sistema
Contém um registro de todos os eventos do sistema, como os eventos a seguir:
v Inícios, paradas e reinicializações de serviço
v traps de SNMP
v Falhas de hardware
v Replicação e sincronização de cluster bem-sucedidas ou com falha
v Transferências de log com falha

Para integrar o SafeNet DataSecure ao QRadar, conclua as etapas a seguir:

1. Ative o syslog no dispositivo SafeNet DataSecure.
2. O QRadar detecta automaticamente o SafeNet DataSecure após seu sistema receber 25 eventos e
configurar uma origem de log. Se o QRadar não descobrir automaticamente o SafeNet DataSecure,
inclua uma origem de log.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o SafeNet DataSecure para se comunicar com o QRadar

Antes de poder incluir o DSM for SafeNet DataSecure, ative o syslog no dispositivo SafeNet DataSecure.

Procedimento
1. Efetue login no console de gerenciamento do SafeNet DataSecure como um administrador com
controle de acesso de criação de log.
2. Selecione Dispositivo > Configuração de log.
3. Selecione a guia Rotação e syslog.

4. Selecione um log na seção Configurações de syslog e clique em Editar.
5. Selecione Ativar syslog.
6. Configure os seguintes parâmetros:

Parâmetro Descrição
IP do servidor syslog nº 1 O endereço IP ou o nome do host do QRadar de destino.
Event Collector.
Porta do servidor syslog nº 1 A porta de recebimento para o QRadar. Use a Porta 514.
Protoc. do servidor syslog nº 1 O QRadar pode receber mensagens do syslog usando
UDP ou TCP.

7. Opcional. Digite um endereço IP, uma porta e um protocolo para um servidor syslog nº 2. Quando
dois servidores estão configurados, o SafeNet DataSecure envia mensagens para ambos os servidores.
8. Digite o Recurso do Syslog ou aceite o valor padrão de local1.
9. Clique em Salvar.

942 Guia de configuração do QRadar DSM

130 Salesforce
O IBM QRadar suporta uma faixa de DSMs Salesforce.

Salesforce Security
O IBM QRadar DSM for Salesforce Security pode coletar logs de trilha de auditoria do Salesforce Security
Auditing e logs de eventos do Salesforce Security Monitoring por meio do console do Salesforce usando
uma API de RESTful na nuvem.

A tabela a seguir identifica as especificações para o Salesforce Security DSM:

Tabela 520. Especificações do Salesforce Security DSM
Especificação Valor
Fabricante Salesforce
DSM Salesforce Security
Nome do arquivo RPM DSM-SalesforceSecurity-QRadar_Version-
Build_Number.noarch.rpm
Protocolo Protocolo da API REST do Salesforce
QRadar eventos registrados Histórico de login, Histórico de conta, Histórico de caso,
Histórico de autorização, Histórico de contrato de
serviço, Histórico do item de linha de contrato, Histórico
de contrato, Histórico de contato, Histórico de
oportunidade de venda, Histórico de oportunidade,
Histórico de solução, Trilha de auditoria do Salesforce
Security Auditing
Descoberto automaticamente No
Inclui identidade SIM
Informações adicionais website do Salesforce (http://www.salesforce.com/)

Processo de integração do Salesforce Security DSM

Para integrar o Salesforce Security DSM ao QRadar, use os procedimentos a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale as versões mais
recentes dos RPMs a seguir no QRadar Console.
v Protocol Common RPM
v RPM SalesforceRESTAPI Protocol
v RPM DSMCommon
v RPM do Salesforce Security Auditing
v Salesforce Security RPM
2. Configure o servidor Salesforce Security para se comunicar com o QRadar.
3. Obtenha e instale um certificado para ativar a comunicação entre o Salesforce Security e o QRadar. O
certificado deve estar na pasta /opt/QRadar/conf/trusted_certificates e estar no formato .DER.
4. Para cada instância do Salesforce Security, crie uma origem de log no QRadar Console.

Configurando o servidor Salesforce Security Monitoring para se
comunicar com o QRadar
Para permitir a comunicação do QRadar, é preciso configurar o Aplicativo conectado no console do
Salesforce e coletar as informações geradas pelo Aplicativo conectado. Essas informações serão necessárias
para quando você configurar a origem de log do QRadar.

Antes de Iniciar
Se a API de RESTful não estiver ativada em seu servidor Salesforce, entre em contato com o suporte do
Salesforce.

Procedimento
1. Configure e colete informações que são geradas pelo aplicativo conectado.
a. Efetue login no servidor Salesforce Security Monitoring.
b. Clique no botão Configuração .
c. Na área de janela de navegação, clique em Criar > Apps > Novo.
d. Digite o nome do aplicativo.
e. Digite as informações de e-mail de contato.
f. Selecione Ativar configurações OAuth.
g. Na lista Escopos OAuth selecionados, selecione Acessar e gerenciar seus dados (api).
h. No campo URL de informações, digite uma URL à qual o usuário possa acessar para obter mais
informações sobre o aplicativo.
i. Configure os parâmetros opcionais restantes.
j. Clique em Salvar.
2. Ative o Histórico de Autorização .
a. Clique no botão Configuração .
b. Na área de janela de navegação, selecione Construir > Customizar > Gerenciamento de
autorização > Configurações de ativação.
c. Na janela Configurações de gerenciamento de autorização, marque a caixa de seleção Ativar
gerenciamento de autorização.
d. Clique em Salvar.

O que Fazer Depois

O Aplicativo conectado gera as informações que são necessárias para quando você configurar uma
origem de log no QRadar. Anote as informações a seguir:
Chave do consumidor
Use o valor Chave do consumidor para configurar o parâmetro ID do cliente para a origem de
log do QRadar.
Segredo do consumidor
É possível clicar no link para revelar o segredo do consumidor. Use o valor Segredo do
consumidor para configurar o parâmetro ID do segredo para a origem de log do QRadar.

Importante: O valor Segredo do consumidor é confidencial. Não armazene o segredo do

consumidor como texto sem formatação.
Token de segurança
Um token de segurança é enviado por e-mail para o endereço de e-mail que você configurou
como o e-mail de contato.

944 Guia de configuração do QRadar DSM

Configurando uma origem de log do Salesforce Security no QRadar
Para coletar eventos do Salesforce Security, configure uma origem de log no QRadar.

Antes de Iniciar

Quando você configurou um Aplicativo conectado no servidor Salesforce Security, as informações a

seguir foram geradas:
v Chave do consumidor
v Segredo do consumidor
v Token de segurança

Essas informações são necessárias para configurar uma origem de log do Salesforce Security no QRadar.

Assegure-se de que o certificado confiável da instância do Salesforce Security seja copiado para a pasta
/opt/qradar/conf/trusted_certificates no formato .DER no sistema QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Administrador.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione Salesforce Security.
7. Na lista Configuração de protocolo, selecione Salesforce Rest API.
8. Configure os valores a seguir:

Parâmetro Descrição
URL de login A URL do console de segurança Salesforce.
Nome do Usuário O nome do usuário do console de segurança Salesforce.
Token de segurança O token de segurança que foi enviado para o endereço
de e-mail configurado como o e-mail de contato para o
Aplicativo conectado no console de segurança Salesforce.
ID do cliente A Chave do consumidor que foi gerada quando você
configurou o Aplicativo conectado no console de
segurança Salesforce.
ID do segredo O Segredo do consumidor que foi gerado quando você
configurou o Aplicativo conectado no console de
segurança Salesforce.
Utilizar Proxy Quando um proxy está configurado, todo o tráfego da
origem de log percorre o proxy para que o QRadar
acesse os depósitos do Salesforce Security.

Configure os campos Servidor proxy, Porta de proxy,

Nome do usuário de proxy e Senha de proxy. Se o
proxy não requerer autenticação, será possível deixar os
campos Nome do usuário de proxy e Senha de proxy
em branco.
Opções Avançadas Por padrão, a API de Rest do Salesforce coleta eventos
de Trilha de auditoria e de Monitoramento de segurança.
Configure as opções disponíveis conforme necessário.

9. Clique em Salvar.

130 Salesforce 945

10. Na guia Administrador, clique em Implementar mudanças.

Salesforce Security Auditing

O DSM do IBM QRadar para o Salesforce Security Auditing pode coletar logs de trilha de auditoria do
Salesforce Security Auditing que você copia da nuvem para um local que o QRadar pode acessar.

A tabela a seguir identifica as especificações para o DSM Salesforce Security Auditing:

Tabela 521. Especificações do DSM Salesforce Security Auditing
Especificação Valor
Fabricante Salesforce
DSM Salesforce Security Auditing
Nome do arquivo RPM DSM-SalesforceSecurityAuditing-QRadar_Version-
Build_Number.noarch.rpm
Protocolo Arquivo de log
QRadar eventos registrados Registros de auditoria de configuração
Descoberto automaticamente Não
Inclui identidade Não
Informações adicionais website do Salesforce (http://www.salesforce.com/)

Processo de integração do DSM Salesforce Security Auditing

Para integrar o DSM Salesforce Security Auditing com o QRadar, use os procedimentos a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale as versões mais
recentes dos seguintes RPMs em seu QRadar Console:
v RPM do protocolo de arquivo de log
v RPM do Salesforce Security Auditing
2. Faça download do arquivo de trilha de auditoria do Salesforce para um host remoto que o QRadar
pode acessar.
3. Para cada instância do Salesforce Security Auditing, crie uma origem de log no QRadar Console.

Fazendo download do arquivo de trilha de auditoria do Salesforce

Para coletar eventos do Salesforce Security Auditing, deve-se fazer download do arquivo de trilha de
auditoria do Salesforce para um host remoto que o QRadar possa acessar.

Sobre Esta Tarefa

Deve-se usar esse procedimento cada vez que você desejar importar um conjunto atualizado de dados de
auditoria no QRadar. Ao fazer o download do arquivo de trilha de auditoria, é possível sobrescrever o
arquivo CSV de trilha de auditoria anterior. Quando o QRadar recupera dados do arquivo de trilha de
auditoria, o QRadar processa somente os registros de auditoria que não foram importados antes.

Procedimento
1. Efetue login no servidor do Salesforce Security Auditing.
2. Acesse a seção Configuração.
3. Clique em Controles de segurança.
4. Clique em Visualizar trilha de auditoria de configuração.

946 Guia de configuração do QRadar DSM

5. Clique em Fazer download da trilha de auditoria de configuração dos últimos seis meses (arquivo
Excel.csv).
6. Copie o arquivo transferido por download em um local que o QRadar possa atingir usando o
Protocolo de arquivo de log.

Configurando uma origem de log Salesforce Security Auditing no

QRadar
Para coletar eventos do Salesforce Security Auditing, configure uma origem de log no QRadar.

Parâmetro Descrição
Gerador de evento Multilinhas baseado em RegEx
Padrão de início (\d{1,2}/\d{1,2}/\d{4} \d{1,2}:\d{2}:\d{2} \w+)
Padrão de término Assegure-se de que esse parâmetro permaneça vazio.
RegEx de data e hora (\d{1,2}/\d{1,2}/\d{4} \d{1,2}:\d{2}:\d{2} \w+)
Formato de data e hora dd/MM/yyyy hh:mm:ss z

Atenção: Esses valores são baseados na versão de inverno de 2015 do Salesforce Security Auditing.
Para versões anteriores, use as instruções regex a seguir:
v Para o parâmetro Padrão de início, use a instrução a seguir:
(\d{1,2}/\d{1,2}/\d{4} \d{1,2}:\d{2}:\d{2} [APM]{2} \w+)
v Para o parâmetro RegEx de data e hora, use a instrução a seguir:
(\d{1,2}/\d{1,2}/\d{4} \d{1,2}:\d{2}:\d{2} \w{2} \w+)
v Para o parâmetro Formato de data e hora, use MM/dd/yyyy hh:mm:ss aa z
9. Configure os parâmetros restantes.
10. Clique em Salvar.
11. Na guia Administrador, clique em Implementar mudanças.

130 Salesforce 947

948 Guia de configuração do QRadar DSM
131 Samhain Labs
O Samhain Labs Host-Based Intrusion Detection System (HIDS) monitora mudanças nos arquivos do
sistema.

O DSM Samhain HIDS para o IBM QRadar suporta Samhain versão 2.4 quando usado para File Integrity
Monitoring (FIM).

É possível configurar o DSM do Samhain HIDS para coletar eventos usando syslog ou JDBC.
Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o syslog para coletar eventos Samhain

Antes de configurar o IBM QRadar para integração com Samhain HIDS usando syslog, deve-se
configurar o sistema Samhain HIDS para encaminhar logs para seu sistema QRadar.

Sobre Esta Tarefa

O procedimento a seguir é baseado no arquivo samhainrc padrão. Se o arquivo samhainrc for modificado,
alguns valores poderão ser diferentes, como o recurso syslog.

Procedimento
1. Efetue login no Samhain HIDS pela interface da linha de comandos.
2. Abra o arquivo a seguir:
/etc/samhainrc
3. Remova o marcador de comentário (#) da linha a seguir:
SetLogServer=info
4. Salve e saia do arquivo.
Os alertas são enviados para o sistema local usando syslog.
5. Abra o arquivo a seguir:
/etc/syslog.conf
6. Inclua a linha a seguir:
local2.* @<IP Address>
Em que <IP Address> é o endereço IP do QRadar.
7. Salve e saia do arquivo.
8. Reinicie o syslog:
/etc/init.d/syslog restart

O Samhain envia logs usando syslog para o QRadar.
Agora você está pronto para configurar o DSM Samhain HIDS no QRadar. Para configurar o QRadar
para receber eventos do Samhain:
9. Na lista Tipo de origem de log, selecione a opção Samhain HIDS.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o JDBC para coletar eventos Samhain

É possível configurar o Samhain HIDS para enviar alertas de log a um banco de dados. Oracle,
PostgreSQL e MySQL são suportados nativamente pelo Samhain.

Sobre Esta Tarefa

É possível também configurar o IBM QRadar para coletar eventos desses bancos de dados usando o
protocolo JDBC.

Nota: O IBM QRadar não inclui um driver MySQL para JDBC. Se você estiver usando um DSM ou
protocolo que requer um driver JDBC MySQL, deve-se fazer download e instalar o MySQL Connector/J
independente de plataforma em http://dev.mysql.com/downloads/connector/j/.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione a opção Samhain HIDS.
7. Usando a lista Configuração de protocolo, selecione JDBC.
8. Atualize a configuração JDBC para incluir os valores a seguir:
a. Tipo de banco de dados: <Samhain Database Type>
b. Nome do banco de dados: <Samhain SetDBName>
c. Nome da tabela: <Samhain SetDBTable>
d. Lista de seleção: *
e. Campo de comparação: log_index
f. IP ou nome do host: <Samhain SetDBHost>
g. Porta: <Default Port>
h. Nome do usuário: <Samhain SetDBUser>
i. Senha: <Samhain SetDBPassword>
j. Intervalo de pesquisa: <Default Interval>
Em que:
v <Samhain Database Type> é o tipo de banco de dados usado pelo Samhain (consulte o administrador
do sistema Samhain).
v <Samhain SetDBName> é o nome do banco de dados especificado no arquivo samhainrc.
v <Samhain SetDBTable> é a tabela de banco de dados especificada no arquivo samhainrc.
v <Samhain SetDBHost> é o host do banco de dados especificado no arquivo samhainrc.
v <Samhain SetDBUser> é o usuário do banco de dados especificado no arquivo samhainrc.

950 Guia de configuração do QRadar DSM

v <Samhain SetDBPassword> é a senha do banco de dados especificada no arquivo samhainrc.
9. Agora é possível configurar a origem de log no QRadar. Para configurar o QRadar para receber
eventos do Samhain: na lista Tipo de origem de log, selecione a opção Samhain HIDS.
Para obter mais informações sobre o Samhain, consulte http://www.la-samhna.de/samhain/manual.
Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

131 Samhain Labs 951

952 Guia de configuração do QRadar DSM
132 Visão Geral do SAP Enterprise Threat Detection
O IBM QRadar DSM for SAP Enterprise Threat Detection coleta eventos de um servidor SAP Enterprise
Threat Detection. O SAP Enterprise Threat Detection possibilita a inteligência de segurança em tempo real
para ajudar a proteger contra ameaças de segurança cibernética e ajudar a garantir a prevenção de perda
de dados.

Para integrar o SAP Enterprise Threat Detection ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v Protocolo-RPM Common
v RPM do Protocolo da API de Alerta do SAP ETD
v RPM do DSM SAP Enterprise Threat Detection
2. Configure o QRadar para receber eventos do SAP Enterprise Threat Detection. Consulte
“Configurando o QRadar para coletar eventos do sistema SAP Enterprise Threat Detection” na página
954.
3. Configure o SAP Enterprise Threat Detection para se comunicar com o QRadar. Consulte
https://help.sap.com/http.svc/rc/9ea1f536bd6542aa8d99a4e3e8da22bb/1.0.6.0/en-US/
sapetd_impl_guide_en.pdf/. (https: //help.sap.com/http.svc/rc/9ea1f536bd6542aa8d99a4e3e8da22bb/
1.0.6.0/en-US/sapetd_impl_guide_en.pdf/)
4. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do SAP
Enterprise Threat Detection no QRadar Console.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
Referências relacionadas:
“Especificações do DSM SAP Enterprise Threat Detection”
A tabela a seguir descreve as especificações para o SAP Enterprise Threat Detection DSM.

Especificações do DSM SAP Enterprise Threat Detection

A tabela a seguir descreve as especificações para o SAP Enterprise Threat Detection DSM.
Tabela 522. Especificações do DSM SAP Enterprise Threat Detection
Especificação Valor
Fabricante SAP
Nome do DSM Detecção de SAP Enterprise Threat
Nome do arquivo RPM DSM-SAPEnterpriseThreatDetection-QRadar_version-
build_number.noarch.rpm
Versões suportadas SAP ETD versão sp6
Protocolo API de Alerta do SAP Enterprise Threat Detection
Formato de evento LEEF
Tipos de eventos registrados Alertas

Tabela 522. Especificações do DSM SAP Enterprise Threat Detection (continuação)
Especificação Valor
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Portal de ajuda do SAP (https://www.sap.com/
products/enterprise-threat-detection.html#why-sap)

Configurando o QRadar para coletar eventos do sistema SAP

Enterprise Threat Detection
Configure o IBM QRadar para coletar eventos por meio do servidor SAP Enterprise Threat Detection
(ETD).

Antes de Iniciar

Para se conectar ao servidor SAP Enterprise Threat Detection usando a API de Alerta do SAP Enterprise
Threat Detection, os requisitos a seguir devem ser atendidos:
v O servidor SAP Enterprise Threat Detection deve ser configurado para gerar eventos de alerta.
v São necessários o nome de usuário e a senha que são usados para se conectar ao servidor SAP
Enterprise Threat Detection.
v Verifique se a porta do servidor não está bloqueada por um firewall.

Procedimento
1. Efetue login no QRadar e clique na guia Administrador.
2. No menu de navegação, clique em Origens de dados > Origens de log.
3. Na janela Origens de log, clique em Incluir.
4. Forneça um nome e uma descrição para a origem de log.
5. Na lista Tipo de origem de log, selecione SAP Enterprise Threat Detection.
6. Na lista Configuração de protocolo, selecione API de alerta do SAP Enterprise Threat Detection .
7. Conclua os parâmetros de origem de log para o SAP Enterprise Threat Detection com as informações
do parâmetro da tabela a seguir:

Parâmetro Valor
Tipo de origem de log Detecção de SAP Enterprise Threat
Configuração do Protocolo API de Alerta do SAP Enterprise Threat Detection
Log Source Identifier Um identificador exclusivo para a origem de log.

O Identificador de origem de log pode ser qualquer

valor válido, incluindo o mesmo valor que o Nome da
origem de log e não precisa referenciar um servidor
específico. Se você configurou várias origens de log da
API de Alerta do SAP Enterprise Threat Detection, talvez
você queira identificar a primeira origem de log como
SAPETD-1, a segunda origem de log como SAPETD-2 e a
terceira origem de log como SAPETD-3.
URL do Servidor Especifique a URL usada para acessar a API de Alerta do
SAP Enterprise Threat Detection, incluindo a porta. Por
exemplo, "http://192.0.2.1:8003 "ou" https:
//192.0.2.1:9443 "".

954 Guia de configuração do QRadar DSM

Parâmetro Valor
Username / Senha Insira o nome de usuário e a senha que são necessários
para acessar o servidor SAP ETD e, em seguida, confirme
que você inseriu a senha corretamente. A senha de
confirmação deve ser idêntica à senha que você digitou
para o parâmetro password.
Importante: O SAP Enterprise Threat Detection possui
um limite de tentativas de login de três tentativas. Se a
sua conta estiver bloqueada por causa de diversas
tentativas de login, não será possível conectar o QRadar
ao SAP Enterprise Threat Detection Server até que a
conta seja desbloqueada. Entre em contato com o Suporte
SAP para obter assistência
Usar filtro de padrão Selecione esta opção para limitar a consulta a apenas um
filtro de padrão específico. Deixe o campo limpo para
consultar todos os eventos.
ID do Filtro de Padrão O ID do filtro de padrão que é usado para filtrar a
consulta. O campo aceita um UUID que é criado quando
um filtro de padrão é feito.

O ID do filtro é o UUID mencionado na tabela de

parâmetros de protocolo para o parâmetro ID do filtro
de padrão.
Usar Proxy Se o QRadar acessar a API de Alerta do SAP Enterprise
Threat Detection usando um proxy, ative Usar proxy.

Se o proxy requerer autenticação, configure os campos

Nome do host do proxy ou IP, Porta de proxy, Nome do
usuário do proxy e Proxy.

Se o proxy não requerer autenticação, configure o Nome

ou IP do host do proxy e a Porta de proxy.
Adquirir Certificados do Servidor Automaticamente Se você escolher Yes na lista, o QRadar fará download
automaticamente do certificado e começará a confiar no
servidor de destino. Se No for selecionado, o QRadar não
tentará recuperar nenhum certificado do servidor.
Nota: Se o SAP Enterprise Threat Detection Server
estiver configurado para HTTPS, um certificado válido
será necessário. Configure esse valor como Yes ou
recupere manualmente um certificado para a Origem de
log.
Recorrência O intervalo de tempo entre as consultas de origem de log
para a API de Alerta do SAP Enterprise Threat Detection
para novos eventos. O intervalo de tempo pode ser em
horas (H), minutos (M) ou dias (D). O padrão é 5
minutos (5M).
Retentor O número máximo de eventos por segundo. O padrão é
5000.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.
Conceitos relacionados:
“Mensagens de eventos de amostra” na página 957
Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar. Substitua os endereços IP de amostra, e assim por diante, por seu próprio
conteúdo.

132 Visão Geral do SAP Enterprise Threat Detection 955

Criando um filtro padrão no servidor SAP

Um Filtro padrão é uma configuração configurada pelo usuário que pode ser usada para limitar
consultas a eventos específicos. Quando um Filtro padrão é gerado no servidor SAP, um ID do filtro é
fornecido. O ID do filtro pode, então, ser inserido no campo ID do filtro de padrão da origem de log do
QRadar para filtrar os padrões que são recuperados.

Procedimento
1. Para criar o Filtro padrão no servidor SAP, use as etapas a seguir:
a. Efetue login no servidor SAP usando o nome de usuário administrador e a senha.
b. Vá para Administração > Configurações .
c. Selecione Filtro de padrão e clique em Incluir .
d. Insira um nome para o Filtro padrão. Esse nome é usado apenas para propósitos de identificação.

Nota: O nome aparece na Coluna de nome com um ID de filtro correspondente (UUID). Registre
o ID de filtro para referência futura.
e. Clique no nome do filtro padrão para ver uma nova tabela com Namespace como um cabeçalho
da coluna.
f. Para incluir padrões no Filtro padrão, clique em Incluir.

Nota: Uma nova janela aparece denominada Padrão .

g. Selecione qualquer Padrão que você deseja filtrar e clique em OK.
h. Atualize a página e assegure-se de que o Padrão foi incluído na tabela com o cabeçalho
Namespace.
2. Para usar um Filtro padrão com o QRadar, use as etapas a seguir:
a. Selecione ou crie uma origem de log de API de alerta do SAP ETD.
b. Localize a caixa de seleção Usar ID do filtro padrão e selecione-a.
c. Insira o ID do filtro obtido na etapa 1d e insira-o no campo ID do filtro padrão.
d. Salve a origem de log.

Nota: Se você receber um Erro de servidor interno 500 depois de salvar a origem de log com o ID
do filtro, verifique novamente se há pelo menos um padrão que esteja sendo filtrado.

Resolução de problemas da API de alerta do SAP Enterprise Threat

Detection
O DSM SAP Enterprise Threat Detection conta com os nomes de padrão de normas de alertas para
identificar os eventos. Modificar os padrões pode resultar em eventos que aparecem como
"Desconhecido".

Procedimento
1. Verifique se as credenciais de login do servidor SAP Enterprise Threat Detection são válidas, seguindo
estas etapas:

956 Guia de configuração do QRadar DSM

a. Em um navegador da web, insira o endereço IP ou o nome de domínio de seu servidor SAP
Enterprise Threat Detection. Por exemplo, http://192.0.2.1:8003.
b. Insira seu nome de usuário e senha.
2. Consulte o servidor do SAP Enterprise Threat Detection para verificar se o QRadar pode receber
eventos. Use o exemplo a seguir como um ponto de início para criar sua consulta:
<Server_URL> /sap/secmon/services/Alerts.xsjs? $
query = AlertCreationTimestamp% 20ge% 20 <Date> T15:00:00.00Z & $format=LEEF & $batchSize=10
No exemplo, substitua os parâmetros a seguir com seus próprios valores:
<Server_URL>
O endereço do servidor SAP Enterprise Threat Detection que você está tentando acessar.
<Date>
A data do dia atual no formato AAAA-MM-DD. Escolha uma data em que você saiba que os
eventos ocorreram; por exemplo, 2017-10-15.
A consulta resultante pode ser semelhante a este exemplo:
http://192.0.2.1:8003/sap/secmon/services/Alerts.xsjs?$query=AlertCreationTimestamp
% 20ge%202017-10-15T15:00:00.00Z & $format=LEEF & $batchSize=10

Se um problema existir com a consulta, é improvável que o QRadar possa se conectar com êxito ao
SAP Enterprise Threat Detection.
3. Verifique se a porta do servidor não está bloqueada por um firewall.

Nota: Se a porta estiver bloqueada, entre em contato com o administrador de segurança ou de rede
para abrir a porta.
Conceitos relacionados:
“Mensagens de eventos de amostra”
Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar. Substitua os endereços IP de amostra, e assim por diante, por seu próprio
conteúdo.
Referências relacionadas:
“Especificações do DSM SAP Enterprise Threat Detection” na página 953
A tabela a seguir descreve as especificações para o SAP Enterprise Threat Detection DSM.

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar. Substitua os endereços IP de amostra, e assim por diante, por seu próprio
conteúdo.

A tabela a seguir fornece mensagens de eventos de amostra para o DSM SAP Enterprise Threat Detection.

132 Visão Geral do SAP Enterprise Threat Detection 957

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Módulos de função incluídos Potencial Misc. Explorar LEEF:1.0 | SAP | ETD|1.0 SP5 | Blacklistada
na módulos de função (http://sap.com / sec
mon / base) |devTime=2017-04-03T08:12:
01.931Z devTimeFormat = YYYY-MM-dd
’ T’HH :mm:ss.SSSX cat = Access to
Critical Resource PatternId=5582
4E7FE1B0FE2BE10000000A4CF109
PatternType=FLAB AlertId=2888
sev= 7 MinResultTimestamp= 2017-04
-03T08:10:05.000Z MaxResultTime
stamp=2017-04-03T08:10:05.000Z
Text = Measurement 1 atingido threshold
1 para (’Evento, Função de Cenário de
Actor ’= ’Server’ / ’Network, Host
name, Initiator’ = ’<hostname>’ /
’Network, IP Address, Initiator’ =
’<IP_address>’ / ’Service, Function
Name ’= ’RFC_READ_TABLE’ / ’System
ID, Agente’ = ’<computer name>’ /
’User Pseudonym, Acting’ = ’<user
name>’) Measurement=1 UiLink=
http://192.0.2. */sap/hana/uis/
clientes / ushell-app/shells/fiori/
FioriLaunchpad.html?siteId=sap.sec
mon.ui.mobile.launchpad | ETDLaunch
pad#AlertDetails-show \?alert= < Aler
ID t > EventScenarioRoleOfActor=
Servidora NetworkHostnameInitiator
= <hostname> NetworkIPAddressIni
tiator=192.0.2. * ServiceFunc
tionName = RFC_READ_TABLE System
IdActor=<computer name> UserPse
udonymActing= <username> usrName
= <username>

958 Guia de configuração do QRadar DSM

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Transações listadas na Potencial Misc. Explorar LEEF:1.0 | SAP | ETD|1.0 SP5 | Blacklistada
transactions (http://sap.com/sec
mon / base) |devTime=2017-04-06T12
: 39:01.834Z devTimeFormat=YYYY
-MM-dd’T’HH:mm:ss.SSSX cat=Acc
ess to Critical Resource Patte
rnId= 55824E81E1B0FE2BE10000000A4
CF109 PatternType=FLAB Alert
Id=3387 sev=7 MinResultTime
stamp=2017-04-06T12:38:04.000Z
MaxResultTimestamp= 2017-04-06T12
: 38:25.000Z Text = Measurement
4 excedeu o limite 1 para (’Net
work, Hostname, Initiator’ = ’<
hostname > ’/ ’System ID, Actor’
= ’<computer name>’ / ’User Pseu
donym, Acting ’=’ <username> ’)
Measurement=4 UiLink=http:
/ / 192.0.2. */sap/hana/uis/clients
/ushell-app/shells/fiori / Fiori
Launchpad.html?siteId=sap.secmon
.ui.mobile.launchpad | ETDLaunch
pad#AlertDetails-show\?alert=
<Alert Id> NetworkHostname
Initiator = <hostname> System
IdActor=<computer name> User
PseudonymActing=<username>
usrName= <username>
Ataque da força bruta Ataque da força bruta LEEF:1.0 | SAP | ETD|1.0 SP5 | Brute force
ataque (http://sap.com/secmon
/base) |devTime=2017-03-16T00:
10 :01.891Z devTimeFormat=YY
YY-MM-dd ’T’ HH :mm:ss.SSSX
cat=Brute Force Attack Patt
ernId= 55827776E1B0FE2BE1000000
0A4CF109 PatternType=FLAB
AlertId=1303 sev=4 Min
ResultTimestamp= 2017-03-15T23
: 24:38.000Z MaxResultTime
stamp=2017-03-16T00:08:47.000Z
Texto = Measurement 16 excedido
limite 12 para ’ Rede, Host
name, Initiator’ = ’null’ Mea
surement=16 UiLink=http://192.
0.2. */sap/hana/uis/clients/ushell
-app/shells/fiori/FioriLaunchpad.
html?siteId=sap.secmon.ui.mobile.
launchpad | ETDLaunchpad#AlertDetai
ls-show \?alert= <Alert Id> Ne2
rkHostnameInitiator = null

132 Visão Geral do SAP Enterprise Threat Detection 959

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Troca de dados por ID do Atividade Suspeita LEEF:1.0 | SAP | ETD|1.0 SP5 | Dados
sistema com Sistemas de Troca por ID do Sistema com Terceiro
terceiros Party Systems (http://sap.com / sec
mon / base) |devTime=2017-08-22T15:
03 :12.158Z devTimeFormat = YYYY-
MM-dd ’T’ HH :mm:ss.SSSX cat = Sys
tem tem PatternId= 22610959E8B5F14
99E4CFCCB1422C3D3 PatternType
=ANOMALY AlertId=12279 sev
= 7 MinResultTimestamp= 2017-08
-22T13:00:00.000Z MaxResultTi
mestamp=2017-08-22T14:00:00.000Z
Texto = A pontuação de Anomalia é 73 para
(’System ID, Actor ’=’ < cálculo
r name>’ / ’System Type, Actor’
= ’https://www.expedia.ca/Kenoza
-Lake-Hotels-Kenoza-Lake-View-
Manor.h19660605.Hotel-Information
?chkin=15%2F06%2F2018&chkout=16%
2F06%2F2018&rm1=a2&regionId=0&
hwrqCacheKey=557055a7-9bd8-4191-
8044-1a9072ac2b76HWRQ1522171541587
&vip=false&c=e6079ffc-cd41-477f-
aaed-c2d9e1df2fa9&mctc=10&exp_dp=
218.48&exp_ts=1522171542334&exp_curr
=CAD&swpToggleOn=false&exp_pg=HSR’)
Measurement=73
UiLink=http://192.0.2. */sap/hana
/uis/clients/ushell-app/shells/
fiori/FioriLaunchpad.html?siteId
= sap.secmon.ui.mobile.launchpad |
ETDLaunchpad#AlertDetails-show \?
alert= <Alert Id> SystemIdActor
=<computer name> SystemType
Actor=ABAP
Troca de Dados por Usuário Atividade Suspeita LEEF:1.0 | SAP | ETD|1.0 SP5 | Dados
Técnico Exchange by Technical User (http://
sap.com/secmon/basis) |devTime=2017
-03-28T14:02:26.154Z devTimeFor
mat = YYYY-MM-dd ’T’ HH :mm:ss.SSSX
cat=Technical Users,Users Patte
rnId=7CCB9FFD5249FC4AA2B83D4BC5C8EA
06 PatternType=ANOMALY Alert
Id=2490 sev=10 MinResultTime
stamp=2017-03-28T12:00:00.000Z
MaxResultTimestamp= 2017-03-28T13
:00:00.000Z Text=Anomaly score is
100 for ’User Pseudonym, Acting’ =
’<username>’ Measurement=100
UiLink=http://192.0.2. */sap/hana
/uis/clients/ushell-app/shells/fio
ri/FioriLaunchpad.html?siteId = sap.
secmon.ui.mobile.launchpad | ETDLaun
chpad#AlertDetails-show\?alert=<
ID do Alerta > UserPseudonymActing=
<username> usrName= <username>

960 Guia de configuração do QRadar DSM

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Depurando em sistemas Atividade Suspeita LEEF:1.0 | SAP | ETD|1.0 SP5 | Debugging
designados a funções críticas em sistemas designados à crítica
es (http://sap.com/secmon/basis) |
devTime=2017-04-03T08:06:06.370Z
devTimeFormat = YYYY-MM-dd ’T’ HH :mm:
ss.SSSX cat=Debugging Pattern
Id=937627F31E37524F837F9374804DE234
PatternType=FLAB AlertId=2880
sev= 7 MinResultTimestamp=2017
-04-03T08:06:04.752Z MaxResultTim
estamp=2017-04-03T08:06:04.752Z
Text = Measurement 1 atingido threshold
1 for (’Network, Hostname, Initiat
or’ = ’<hostname>’ / ’System ID, Ac
tor’ = ’<computer name>’ / ’System
Type, Actor’ = ’ABAP’ / ’User Pseud
onym, Acting ’=’ <username> ’)
Measurement=1 UiLink=http://192.
0.2. */sap/hana/uis/clients/ushell-
app/shells/fiori/FioriLaunchpad.ht
ml?siteId=sap.secmon.ui.mobile.lau
nchpad | ETDLaunchpad#AlertDetails-
show \ ?alert= <Alert Id> NetworkHo
stnameInitiator=<hostname> Syst
emIdActor=<computer name> Syste
mTypeActor=ABAP UserPseudonymAc
ting=<username> usrName=<user
name >
Logon com falha por Atividade do Usuário LEEF:1.0 | SAP | ETD|1.0 SP5 | Failed
chamada de RFC/CPIC logon pela chamada RFC/CPIC (http://sap
.com/secmon/base) |devTime=2016-12
-27T11:58:24.588Z devTimeFormat
= YYYY-MM-dd ’T’ HH :mm:ss.SSSX cat
= Falha de Logon PatternId= 5582D94
1F02EFE2BE10000000A4CF109 Patte
rnType=FLAB AlertId=177 sev=7
MinResultTimestamp=2016-12-27T
11 :54:42.000Z MaxResultTimestamp
= 2016-12-27T11:55:01.000Z Text =
Medida 3 atingiu o limite 3
for (’System ID, Actor’ = ’<comput
er name>’ / ’User Pseudonym, Targe
ted’ = ’null’) Measurement=3
UiLink=http://192.0.2. */sap/hana/
uis / clients/ushell-app/shells/fio
ri/FioriLaunchpad.html?siteId = sap
.secmon.ui.mobile.launch
pad | ETDLaunchpad#AlertDetails-show
\ ?alert= <Alert Id> SystemIdAct
or=<computer name> UserPseudo
nymTargeted = null

132 Visão Geral do SAP Enterprise Threat Detection 961

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Logon com falha com muitas Atividade do Usuário LEEF:1.0 | SAP | ETD|1.0 SP5 | Failed
tentativas logon with too many attempts (http:
// sap.com/secmon/basis) |devTime=20
17-06-07T17:33:02.029Z devTime
Format=YYYY-MM-dd ’T’ HH :mm:ss.SSSX
cat = Falha de Logon PatternId
= 5582D942F02EFE2BE10000000A4CF109
PatternType=FLAB AlertId=6
287 sev=7 MinResultTimestam
p=2017-06-07T16:33:01.000Z Max
ResultTimestamp=2017-06-07T17:32:
= 59.000Z Text = Measurement 39193
limite excedido 3 para (’Evento
(Semantic) ’ = ’User, Logon, Fail
ure’ / ’System ID, Actor’ = ’<use
rname>’ / ’User Pseudonym, Target
ed’ = ’<username>’) Measuremen
t=39193 UiLink=http://192.0.2.
*/sap/hana/uis/clients/ushell-app
/shells/fiori/FioriLaunchpad.html
? siteId=sap.secmon.ui.mobile.laun
chpad | ETDLaunchpad#AlertDetails-s
how \ ?alert= <Alert Id> EventSema
ntic=User, Logon, Failure Syst
emIdActor= <username> UserPseud
onymTargeted= <username>
Acesso genérico a tabelas de Exploração do Banco de Dados LEEF:1.0 | SAP | ETD|1.0 SP5 | Generic
banco de dados críticos acesso a tabelas de banco de dados críticos
(http://sap.com/secmon/basis) |dev
Time=2017-03-29T15:50:10.291Z
devTimeFormat = YYYY-MM-dd ’T’ HH :mm:
ss.SSSX cat = Manipulação de Dados
PatternId=DF3F93F156DAAA408C1512
168E16F2B0 PatternType=FLAB
AlertId=2558 sev=7 MinResult
Timestamp=2017-03-29T15:48:12.000Z
MaxResultTimestamp= 2017-03-29T
15 :48:12.000Z Text = Measurement
1 atingido o limite 1 para (’Generi
c, Action’ = ’03’ / ’Resource Name
’ = ’<computer name>’ / ’System ID
, Actor’ = ’<computer name>’ / ’Us
er Pseudonym, Acting ’=’ < username
>’) Measurement=1 UiLink=http
:/ / / 192.0.2. */sap/hana/uis/clients/
ushell-app/shells/fiori/FioriLaunch
pad.html?siteId=sap.secmon.ui.mobil
e.launchpad | ETDLaunchpad#AlertDetai
ls-show \?alert= <Alert Id> Genérico
Action=03 ResourceName = < computer
name> SystemIdActor=<computer
name > UserPseudonymActing = < usern
ame > usrName= <username>

962 Guia de configuração do QRadar DSM

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Volume de Logs por Grupo Atividade Suspeita LEEF:1.0 | SAP | ETD|1.0 SP5 | Log Volume
do Sistema por Grupo do Sistema (http://sap.com/
segmon / base) |devTime=2016-12-27T
13 :02:32.321Z devTimeFormat=YY
YY-MM-dd ’T’ HH :mm:ss.SSSX cat=
System, Test PatternId=7A8D37B
77AF8CF4096B9EB49BA932ACD Pat
ternType=ANOMALY AlertId=196
sev=10 MinResultTimestamp=
2016-12-27T11:00:00.000Z Max
ResultTimestamp=2016-12-27T12
: 00:00.000Z Texto = Placar Anomalia
is 100 for (’System Group, ID, Actor
’ = ’null’ / ’System Group, Type,
Actor’ = ’null’) Measurement=
100 UiLink=http://192.0.2. */sap
/hana/uis/clients/ushell-app/shell
s / fiori/FioriLaunchpad.html?siteId
= sap.secmon.ui.mobile.launchpad | ET
DLaunchpad#AlertDetails-show \?aler
t= <Alert Id> SystemGroupIdActor=
SystemGroupTypeActor nulo = null
Logon e Comunicação por ID Atividade Suspeita LEEF:1.0 | SAP | ETD|1.0 SP5 | Logon e
do Sistema Comunicação por ID do Sistema (http://
sap.com/secmon/basis) |devTime=2017
-06-08T14:03:13.156Z devTimeFor
mat = YYYY-MM-dd ’T’ HH :mm:ss.SSSX
cat = System PatternId=B09BED6510
5D4D4C9EE82FBCCFAD6647 PatternT
ype=ANOMALY AlertId=6634 sev
= 7 MinResultTimestamp= 2017-06-0
8T12:00:00.000Z MaxResultTimest
amp=2017-06-08T13:00:00.000Z Te
xt = A pontuação de Anomalia é 70 para (’Syste
m ID, Actor’ = ’<computer name>’ /
’Tipo de Sistema, Ator’ = ’ABAP ’)
Measurement=70 UiLink=http://
192.0.2. */sap/hana/uis/clients/us
hell-app/shells/fiori/FioriLaunch
pad.html?siteId=sap.secmon.ui.mob
ile.launchpad | ETDLaunchpad#AlertD
etails-show\?alert=<Alert Id>
SystemIdActor=<computer name>
SystemTypeActor=ABAP

132 Visão Geral do SAP Enterprise Threat Detection 963

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Logon bem-sucedido do Atividade do Usuário LEEF:1.0 | SAP | ETD|1.0 SP5 | Logon
mesmo usuário de diferentes sucesso o mesmo usuário de diferente
IDs de terminal IDs do terminal (http://sap.com/secmon
/base) |devTime=2016-10-24T11:13:04
.589Z devTimeFormat = YYYY-MM-dd ’ T
’ HH :mm:ss.SSSX cat = Suspicious Lo
gon PatternId= 5582A320E1B0FE2BE1
0000000A4CF109 PatternType=FLAB
AlertId=2 sev=7 MinResult
Timestamp=2016-10-24T07:17:36.000Z
MaxResultTimestamp= 2016-10-24T
08 :40:34.000Z Text = Measurement
2 atingiu o limite 2 para (’Sistema
ID, Actor’ = ’<username>’ / ’User
Pseudonym, Targeted ’= ’null’)
Measurement=2 UiLink=http://19
2.0.2. */sap/hana/uis/clients/ushel
l-app/shells/fiori/FioriLaunchpad.
html?siteId=sap.secmon.ui.mobile.
launchpad | ETDLaunchpad#AlertDetails
-show \?alert= <Alert Id> SystemId
Actor = <username> UserPseudonym
Targeted=null
Logon com usuários padrão Atividade do Usuário LEEF:1.0 | SAP | ETD|1.0 SP5 | Logon com
do SAP Usuários padrão do SAP (http://sap.com
/secmon/base) |devTime=2017-03-13T
21 :05:01.494Z devTimeFormat=YYY
Y-MM-dd ’T’ HH :mm:ss.SSSX cat = Sus
picious Logon PatternId= 5582A31
CE1B0FE2BE10000000A4CF109 Patte
rnType=FLAB AlertId=1000 sev
=4 MinResultTimestamp=2017-03-
13T13:32:04.000Z MaxResultTime
stamp=2017-03-13T21:02:10.000Z
Text = Measurement 1 atingido thresh
old 1 for (’Event (Semantic) ’ =
’Usuário, Logon’ / ’Rede, Hostna
mim, Initiator ’= ’null’ / ’System
ID, Actor’ = ’<computer name>’
/ ’User Pseudonym, Targeted ’ =
’<username>’) Measurement=1
UiLink=http://192.0.2. */sap/hana
/uis/clients/ushell-app/shells/fio
ri/FioriLaunchpad.html?siteId = sap.
secmon.ui.mobile.launchpad | ETDLau
nchpad#AlertDetails-show\?alert=<
Id de Alerta > EventSemantic = User,
Logon NetworkHostnameInitiato
r=null SystemIdActor=<compute
r name > UserPseudonymTargeted
= <username>

964 Guia de configuração do QRadar DSM

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Novas Chamadas de Serviço Atividade Suspeita LEEF:1.0|SAP|ETD|1.0 SP5|New Service
por Usuários Técnicos Chamadas por Usuários Técnicos (http://
sap.com/secmon/basis) |devTime=20
17-02-16T23:02:22.157Z devTime
Format=YYYY-MM-dd ’T’ HH :mm:ss.SSSX
cat = Usuários Técnicos, Usuários
PatternId=5F852070B8645C42907C90C
27864E20D PatternType=ANOMALY
AlertId=251 sev=7 MinRes
ultTimestamp=2017-02-16T21:00:00.
000Z MaxResultTimestamp = 2017-
02-16T22:00:00.000Z Text = Anoma
ly score is 74 for (’System ID,
Actor’ = ’<computer name>’ / ’Sy
stem Type, Actor’ = ’ABAP’ / ’User
Pseudonym, Acting ’=’ < computador
name>’) Measurement=74 Ui
Link=http://192.0.2. */sap/hana/uis
/clients/ushell-app/shells/fiori/
FioriLaunchpad.html?siteId=sap.sec
mon.ui.mobile.launchpad | ETDLaunch
pad#AlertDetails-show\?alert=<
Alert Id > SystemIdActor = < comput
er name > SystemTypeActor=ABAP
UserPseudonymActing = < computer
name> usrName=<computer name>
Mudanças na configuração Atividade Suspeita LEEF:1.0 | SAP | ETD|1.0 SP5 | Security
relevante de segurança mudanças de configuração relevantes (
http://sap.com/secmon/basis) |dev
Time=2017-06-30T19:28:56.835Z
devTimeFormat = YYYY-MM-dd ’T’ HH :mm
:ss.SSSX cat = Configuration
PatternId= 558292A9E1B0FE2BE1000
0000A4CF109 PatternType=FLAB
AlertId=9273 sev=7 MinRes
ultTimestamp=2017-06-30T19:26:34.
000Z MaxResultTimestamp = 2017-
06-30T19:26:34.000Z Text = Meas
urement 1 reached threshold 1 for
(’Event (Semantic) ’ = ’System Ad
min, Audit Policy, Alter ’ / ’Net
work, Hostname, Initiator ’ = ’nu
ll’ / ’System ID, Actor’ = ’<user
name>’ / ’System Type, Actor’ = ’
ABAP ’/ ’User Pseudonym, Acting’
= ’null’) Measurement=1 Ui
Link=http://192.0.2. */sap/hana/ui
s / clients/ushell-app/shells/fiori
/FioriLaunchpad.html?siteId=sap.
secmon.ui.mobile.launchpad | ETDLau
nchpad#AlertDetails-show\?alert=<
Id de Alerta > EventSemantic=System
Admin, Audit Policy, Alter Net
workHostnameInitiator=null Sys
temIdActor= <username> Sistema
TypeActor=ABAP UserPseudonymAc
ting=null usrName = null

132 Visão Geral do SAP Enterprise Threat Detection 965

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Chamadas de Serviço por ID Atividade Suspeita LEEF:1.0 | SAP | ETD|1.0 SP5 | Service
do Sistema Chamadas por ID do Sistema (http://sap.com
/secmon/base) |devTime=2017-03-22T
13 :03:40.160Z devTimeFormat=YYY
Y-MM-dd ’T’ HH :mm:ss.SSSX cat = Sys
tem PatternId=8CF6323786DE67469
1BB716CAEA1111D PatternType=ANO
MALY AlertId=1892 sev=10
MinResultTimestamp=2017-03-22T11:00
: 00.000Z MaxResultTimestamp=2017
-03-22T12:00:00.000Z Text = Anomal
y score is 99 for (’System ID, Act
or’ = ’<computer name>’ / ’System
Type, Actor’ = ’ABAP’) Measurem
ent=99 UiLink=http://192.0.2. */
sap/hana/uis/clients/ushell-app/she
lls / fiori/FioriLaunchpad.html?site
Id=sap.secmon.ui.mobile.launchpad |
ETDLaunchpad#AlertDetails-show \?ale
rt=<Alert Id> SystemIdActor=<comp
uter name > SystemTypeActor=ABAP
O usuário age sob o usuário Atividade do Usuário LEEF:1.0 | SAP | ETD|1.0 SP5 | Atos do usuário
criado sob o usuário criado (http://sap.com
/secmon/basis)|devTime=2017-04-03T
08:17:03.529Z devTimeFormat=YYY
Y-MM-dd ’T’ HH :mm:ss.SSSX cat = Use
r Maintenance PatternId= 76560A1
4DBEC9C4A9EA502EFD6EA3BCC Patte
rnType=FLAB AlertId=2893 sev
= 7 MinResultTimestamp= 2017-04-0
3T08:07:34.000Z MaxResultTimest
amp=2017-04-03T08:10:05.000Z
Texto = Measurement 2 excedido thres
hold 1 for (’Network, Hostname, In
itiator’ = ’<hostname>’ / ’System
ID, Agente’ = ’<computer name>’ /
’User Pseudonym, Targeted’ = ’ < use
rname>’) Measurement=2 UiLin
k=http://192.0.2. */sap/hana/uis/cl
ients / ushell-app/shells/fiori / Fior
iLaunchpad.html?siteId=sap.secmon.
ui.mobile.launchpad | ETDLaunchpad#A
lertDetails-show\?alert=<Alert Id>
NetworkHostnameInitiator = < host
name> SystemIdActor=<computer
name > UserPseudonymTargeted = < use
rname >

966 Guia de configuração do QRadar DSM

Tabela 523. Mensagem de amostra do SAP Enterprise Threat Detection suportada pelo DSM SAP Enterprise Threat
Detection (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Função de usuário mudada Atividade Suspeita LEEF:1.0 | SAP | ETD|1.0 SP5 | User role
alterado (http://sap.com/secmon/
base) |devTime=2017-04-06T12:40
: 42.056Z devTimeFormat = YYYY-
MM-dd ’T’ HH :mm:ss.SSSX cat = Au
Designação Crítica de thorização
PatternId= 305166E4E6C11B4593
B31CFBB6BABD44 PatternType=
FLAB AlertId=3390 sev=4
MinResultTimestamp= 2017-04-06
T12:40:22.000Z MaxResultTime
stamp=2017-04-06T12:40:22.000Z
Texto = Measurement 3 excedido
limite 1 para (’Event (Semant
ic) ’ = ’User Admin, Role, Creat
e’ / ’Network, Hostname, Initia
tor’ = ’null’ / ’System ID, Act
or’ = ’<computer name>’ / ’User
Pseudonym, Acting ’=’ < usernam
e>’) Measurement=3 UiLink
=http://192.0.2.*/sap/hana/uis/
clientes / ushell-app/shells/fiori
/FioriLaunchpad.html?siteId = sap
.secmon.ui.mobile.launch
pad | ETDLaunchpad#AlertDetails
-show\?alert=<Alert Id>
EventSemantic=User Admin, Role
, Create NetworkHostname
Initiator=null SystemIdActor
=<computer name> UserPseud
onymActing= <username> usr
Nome = <username>

132 Visão Geral do SAP Enterprise Threat Detection 967

968 Guia de configuração do QRadar DSM
133 Seculert
O IBM QRadar DSM for Seculert coleta eventos do serviço de nuvem Seculert.

A tabela a seguir descreve as especificações para o Seculert DSM:

Tabela 524. Especificações do Seculert DSM
Especificação Valor
Fabricante Seculert
Nome do DSM Seculert
Nome do arquivo RPM DSM-SeculertSeculert-Qradar_version-
build_number.noarch.rpm
Versões Suportadas v1
Protocolo Protocolo de API REST do Seculert Protection
Tipos de eventos registrados Todos os eventos de comunicação de malware
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Seculert (http://www.seculert.com)

Para integrar o Seculert ao QRadar, conclua as etapas a seguir:

1. Faça download e instale a versão mais recente dos RPMs a seguir em seu QRadar Console:
v Protocol-Common
v DSM-DSMCommon
v Seculert DSM RPM
v SeculertProtectionRESTAPI PROTOCOL RPM
2. Inclua uma origem de log Seculert no QRadar Console. A tabela a seguir descreve os parâmetros que
requerem valores específicos para a coleção de eventos do Seculert:
Tabela 525. Parâmetros de origem de log Seculert
Parâmetro Valor
Tipo de origem de log Seculert
Configuração de protocolo API REST do Seculert Protection
Chave da API UUID de 32 caracteres

Para obter mais informações sobre obter uma chave de

API, consulte Obtendo uma chave de API.

Obtendo uma chave de API
Antes de poder coletar eventos do Seculert, deve-se copiar sua chave de API da interface com o usuário
do serviço de nuvem Seculert no QRadar.

Procedimento
1. Efetue login no portal da web Seculert.
2. No painel, clique na guia API.
3. Copie o valor para Sua chave de API.

O que Fazer Depois

Será necessária a chave de API que você copiou ao configurar uma origem de log para o Seculert no
QRadar.

970 Guia de configuração do QRadar DSM

134 Sentrigo Hedgehog
É possível integrar um dispositivo Sentrigo com o IBM QRadar.

Sobre Esta Tarefa

Um dispositivo Sentrigo Hedgehog aceita eventos LEEF usando syslog. Antes de configurar o QRadar
para integração com um dispositivo Sentrigo Hedgehog, execute as etapas a seguir:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Sentrigo Hedgehog.
2. Abra o arquivo a seguir para edição:
<Installation directory>/conf/sentrigo-custom.properties
Em que <Installation directory> é o diretório que contém a instalação do Sentrigo Hedgehog.
3. Inclua as entradas log.format a seguir no arquivo de propriedades customizadas:

Nota: Dependendo da configuração ou instalação do Sentrigo Hedgehog, pode ser necessário

substituir ou sobrescrever a entrada log.format existente.
sentrigo.comm.ListenAddress=1996
log.format.body.custom=usrName=$osUser:20$|duser=$execUser:20$|
severity=$severity$|identHostName=$sourceHost$|src=$sourceIP$|
dst=$agent.ip$|devTime=$logonTime$|
devTimeFormat=EEE MMM dd HH:mm:ss z yyyy|
cmdType=$cmdType$|externalId=$id$|
execTime=$executionTime.time$|
dstServiceName=$database.name:20$|
srcHost=$sourceHost:30$|execProgram=$execProgram:20$|
cmdType=$cmdType:15$|oper=$operation:225$|
accessedObj=$accessedObjects.name:200$
log.format.header.custom=LEEF:1.0|
Sentrigo|Hedgehog|$serverVersion$|$rules.name:150$|
log.format.header.escaping.custom=\\|
log.format.header.seperator.custom=,
log.format.header.escape.char.custom=\\
log.format.body.escaping.custom=\=
log.format.body.escape.char.custom=\\
log.format.body.seperator.custom=|
log.format.empty.value.custom=NULL
log.format.length.value.custom=10000
log.format.convert.newline.custom=true
4. Salve o arquivo de propriedades customizadas.
5. Pare e reinicie o serviço Sentrigo Hedgehog para implementar as mudanças do log.format.
Agora é possível configurar a origem de log no QRadar.
6. Para configurar o QRadar para receber eventos de um dispositivo Sentrigo Hedgehog: na lista Tipo
de origem de log, selecione a opção Sentrigo Hedgehog.
Para obter mais informações sobre o Sentrigo Hedgehog, consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.
© Copyright IBM Corp. 2005, 2019 971
972 Guia de configuração do QRadar DSM
135 Skyhigh Networks Cloud Security Platform
O DSM IBM QRadar para o DSM Skyhigh Networks Cloud Security Platform coleta logs de um Skyhigh
Networks Cloud Security Platform.

A tabela a seguir identifica as especificações para o DSM Skyhigh Networks Cloud Security Platform:
Tabela 526. Especificações do DSM Skyhigh Networks Cloud Security Platform
Especificação Valor
Fabricante Skyhigh Networks
Nome do DSM Skyhigh Networks Cloud Security Platform
Nome do arquivo RPM DSM-SkyhighNetworksCloudSecurityPlatform-QRadar_version-
build_number.noarch.rpm
Versões suportadas 2.4 e 3.3
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Acesso de privilégio, Ameaça interna, Conta comprometida,
Acesso, Administrador, Dados, Política e Auditoria
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Skyhigh Networks (www.skyhighnetworks.com/)

Para integrar o Skyhigh Networks Cloud Security Platform com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do DSM Skyhigh Networks Cloud Security Platform
v RPM DSMCommon
2. Configure o dispositivo Skyhigh Networks Cloud Security Platform para enviar eventos syslog ao
QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log Skyhigh
Networks Cloud Security Platform no QRadar Console. A tabela a seguir descreve os parâmetros que
requerem valores específicos para coleção de eventos do Skyhigh Networks Cloud Security Platform:
Tabela 527. Parâmetros de origem de log do Skyhigh Networks Cloud Security Platform
Parâmetro Valor
Tipo de origem de log Skyhigh Networks Cloud Security Platform
Configuração de protocolo Syslog
Identificador de Fonte de Log O endereço IP ou nome do host do Skyhigh Networks
Cloud Security Platform que envia eventos para o
QRadar.

4. Para verificar se o QRadar está configurado corretamente, vá para a tabela a seguir para revisar uma
mensagem de evento de amostra.
A tabela a seguir mostra uma mensagem de evento de amostra do Skyhigh Networks Cloud Security
Platform:

Tabela 528. Mensagem de amostra do Skyhigh Networks Cloud Security Platform
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Login com sucesso Sucesso no Login de Usuário <14>Mar 16 18:51:10 hostname
LEEF:1.0 | Skyhigh | Anomalies |192.0.2.0 |
LoginSuccess|cat=Alert.Access
devTimeFormat=MMM dd yyyy HH:mm:ss.
SSS zzz devTime=Jan 30 2017 06:
59:11.000 UTC usrName=
username sev=0 activityName=
Login anomalyValue=51
países = [ XX ] emailDomain = exemplo.
com incidentGroupId=10014
incidentId=733 isPartOfThreat=
false riskSeverity=low
serviceNames = [ <Services> ]
sourceIps = [ < Source_IP_address ] status=
OPENED threatCategory=
Compromised Accounts threshold
Duration=daily thresholdValue=30
updatedOn=Jan 30 2017 07:08:05.
906 UTC

Configurando o Skyhigh Networks Cloud Security Platform para

comunicação com o QRadar
Procedimento
1. Efetue login na interface de administração do Skyhigh Enterprise Connector.
2. Selecione Enterprise Integration > SIEM Integration.
3. Configure os parâmetros SIEM SYSLOG SERVICE a seguir:

Parâmetro Valor
Servidor SIEM ON
Formato Log Event Extended Format (LEEF)
Protocolo Syslog TCP
Servidor Syslog <QRadar IP or hostname>
Porta Syslog 514
Enviar para SIEM somente novas anomalias

4. Clique em Salvar.

974 Guia de configuração do QRadar DSM

136 SolarWinds Orion
O IBM QRadar DSM for SolarWinds Orion coleta eventos de um dispositivo SolarWinds Orion.

A tabela a seguir descreve as especificações para o SolarWinds Orion DSM:

Tabela 529. Especificações do SolarWinds Orion DSM
Especificação Valor
Fabricante SolarWinds
Nome do DSM SolarWinds Orion
Nome do arquivo RPM DSM-SolarWindsOrion-QRadar_version-
build_number.noarch.rpm
Versões suportadas 2013.2.0
Protocolo SNMPv2

SNMPv3
Formato de evento Par nome-valor (NVP)
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais website do SolarWinds (http://www.solarwinds.com/
orion)

Para integrar o SolarWinds Orion ao QRadar, conclua as etapas a seguir:

Tabela 530. Mensagem de amostra do SolarWinds Orion
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Controlador de Domínio Não Aviso 1.3.6.1.2.1.1.3.0 = 0:00:00.
Gerenciado 00 1.3.6.1.6.3.1.1.4.1.0=1.3.6.1.
4.1.11307.10 1.3.6.1.6.3.1.1.4.3.
0=1.3.6.1.4.1.11307 1.3.6.1.4.1.1
1307.10.2=hostname 1.3.6.1.4.1.11
307.10.3=127.0.0.1 1.3.6.1.4.1.11
307.10.4=2466 1.3.6.1.4.1.11307.1
0.5=hostname 1.3.6.1.4.1.11307.10
.6=Node 1.3.6.1.4.1.11307.10.7=24
66 1.3.6.1.4.1.11307.10.1=InfoSec
- EMAIL ONLY - Domain Controller Un
Managed - hostname - Status = Un
known 1.3.6.1.4.1.11307.10.
8 = InfoSec -EMAIL ONLY-Cont. de Domínio
o roller UnManaged hostname é
Unknown.

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando uma origem de log do SolarWinds Orion usando o protocolo SNMP” na página 978
Configure o IBM QRadar para acessar o dispositivo SolarWinds Orion usando o protocolo SNMP.

Configurando o SolarWinds Orion para se comunicar com o QRadar

Para coletar eventos no IBM QRadar por meio do SolarWinds Orion, deve-se configurar o dispositivo
SolarWinds Orion Alert Manager para criar traps SNMP.

Procedimento
1. Efetue login no dispositivo SolarWinds Orion Alert Manager.
2. Selecione Iniciar > Todos os programas > SolarWinds Orion > Alerta, relatório e mapeamento >
Gerenciador de Alertas avançado.
3. Na janela Iniciação rápida do Gerenciador de Alertas, clique em Configurar alertas.
4. Na janela Gerenciar alertas, selecione um alerta existente e, em seguida, clique em Editar.
5. Clique na guia Ações acionadoras .
6. Clique em Incluir nova ação.
7. Na janela Selecionar uma ação, selecione Enviar uma trap SNMP e, em seguida, clique em OK.
8. Para configurar Destinos de trap SNMP, digite o endereço IP do QRadar Console ou QRadar Event
Collector.
9. Para configurar o Modelo de trap, selecione ForwardSyslog.
10. Para configurar a Versão do SNMP, selecione a versão do SNMP que você deseja usar para
encaminhar o evento:
SNMPv2c - Digite a Sequência de comunidades SNMP a ser usada para a autenticação SNMPv2c.
O valor padrão da Sequência de comunidade SNMP é público.

976 Guia de configuração do QRadar DSM

Figura 9. Editar configuração de ação de trap SNMP para SNMPv2c

Nota: Para verificar se o trap SNMP está configurado adequadamente, selecione um alerta que você
editou e clique em Testar. Essa ação aciona e encaminha os eventos para o QRadar.
SNMPv3 - Digite o Nome do usuário e, em seguida, selecione o Método de autenticação a ser
usado para SNMPv3.

136 SolarWinds Orion 977

Figura 10. Editar configuração de Ação do trap SNMP para o SNMPv3

Nota: Para verificar se o trap SNMP está configurado adequadamente, selecione um alerta que você
editou e clique em Testar. Essa ação aciona e encaminha os eventos para o QRadar.
11. Clique em OK.

O que Fazer Depois

Repita essas etapas para configurar o SolarWinds Orion Alert Manager com todos os alertas de trap
SNMP que você deseja monitorar no QRadar.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando uma origem de log do SolarWinds Orion usando o

protocolo SNMP
Configure o IBM QRadar para acessar o dispositivo SolarWinds Orion usando o protocolo SNMP.

978 Guia de configuração do QRadar DSM

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de log e, em seguida, clique em Incluir.
3. No campo Nome da origem de log, digite um nome para a origem de log do SolarWinds Orion.
4. Na lista Tipo de origem de log, selecione SolarWinds Orion.
5. Na lista Configuração de protocolo, selecione SNMPv2 ou SNMPv3.
6. Opcional: Se você selecionou SNMPv2, configure os parâmetros de origem de log específicos a seguir:
Tabela 531. Parâmetros de origem de log do SNMPv2
Parâmetro Valor
Identificador de Fonte de Log Digite o endereço IP ou o nome do host do seu
dispositivo SolarWinds Orion para usar como o
identificador.
Comunidade Digite o nome da comunidade SNMP que foi usado
quando o SNMP foi configurado em seu dispositivo
SolarWinds Orion.
Incluir OIDs na carga útil do evento Para permitir que as cargas úteis do evento do
SolarWinds Orion sejam construídas como pares de
nome e valor em vez de o formato de carga útil do
evento padrão, marque a caixa de seleção Incluir OIDs
na carga útil do evento.

Importante: Deve-se incluir OIDs na carga útil do evento

para o processamento de eventos SNMPv2 ou SNMPv3
para o SolarWinds Orion.

7. Opcional: Se você selecionou SNMPv3, configure os parâmetros de origem de log específicos a seguir:
Tabela 532. Parâmetros de origem de log do SNMPv3
Parâmetro Valor
Identificador de Fonte de Log Digite o endereço IP ou o nome do host do seu
dispositivo SolarWinds Orion para usar como o
identificador.
Protocolo de Autenticação O algoritmo que foi usado quando o SNMP foi
configurado em seu dispositivo SolarWinds Orion:
v MD5 usa Message Digest 5 (MD5) como seu protocolo
de autenticação.
v SHA usa Secure Hash Algorithm (SHA) como seu
protocolo de autenticação.
Senha de Autenticação A senha que foi usada quando o SNMP foi configurado
em seu dispositivo SolarWinds Orion. A senha de
autenticação deve incluir no mínimo 8 caracteres.

136 SolarWinds Orion 979

Tabela 532. Parâmetros de origem de log do SNMPv3 (continuação)
Parâmetro Valor
Protocolo de Decriptografia Selecione o algoritmo que foi usado quando o SNMP foi
configurado em seu dispositivo SolarWinds Orion. A
senha de autenticação deve incluir no mínimo 8
caracteres.
v DES
v AES128
v AES192
v AES256

Nota: Se você selecionar AES192 ou AES256 como seu

algoritmo de decriptografia, deverá instalar o Java
Cryptography Extension.
Senha de Decriptografia A senha de decriptografia que foi usada quando o SNMP
foi configurado em seu dispositivo SolarWinds Orion.
Sua senha de decriptografia deve incluir no mínimo 8
caracteres.
Usuário O nome de usuário que foi usado quando o SNMP foi
configurado em seu dispositivo SolarWinds Orion.
Incluir OIDs na carga útil do evento Para permitir que as cargas úteis do evento do
SolarWinds Orion sejam construídas como pares de
nome e valor em vez de o formato de carga útil do
evento padrão, marque a caixa de seleção Incluir OIDs
na carga útil do evento.

Importante: Deve-se incluir OIDs na carga útil do evento

para o processamento de eventos SNMPv2 ou SNMPv3
para o SolarWinds Orion.

8. Clique em Salvar.
9. Clique na guia Administrador e, em seguida, clique em Implementar mudanças.
Tarefas relacionadas:
“Instalando o Java Cryptography Extension no QRadar” na página 714
A Java Cryptography Extension (JCE) é uma estrutura Java que é necessária para o IBM QRadar
decriptografar algoritmos de criptografia avançados para AES192 ou AES256. As informações a seguir
descrevem como instalar o Oracle JCE em seu dispositivo QRadar.

Instalando o Java Cryptography Extension no QRadar

980 Guia de configuração do QRadar DSM

3. Efetue login no QRadar Console ou no QRadar Event Collector como um usuário raiz.
4. Copie os arquivos JAR JCE no diretório a seguir em seu QRadar Console ou Event Collector:
/opt/ibm/java-x86_64/jre/lib/security/

136 SolarWinds Orion 981

982 Guia de configuração do QRadar DSM
137 SonicWALL
O DSM SonicWALL SonicOS aceita eventos usando syslog.

O IBM QRadar registra todos os eventos syslog relevantes que são encaminhados pelos dispositivos
SonicWALL usando o firmware SonicOS. Para poder integrar com um dispositivo SonicWALL SonicOS,
deve-se configurar o encaminhamento de syslog no dispositivo SonicWALL SonicOS.

Configurando o SonicWALL para encaminhar eventos syslog

O SonicWALL captura todas as atividades de evento do SonicOS. Os eventos podem ser encaminhados
para o IBM QRadar usando o formato de evento padrão do SonicWALL.

Procedimento
1. Efetue login na interface da web do SonicWALL.
2. No menu de navegação, selecione Log > Syslog.
3. Na área de janela Servidores syslog, clique em Incluir.
4. No campo Nome ou endereço IP, digite o endereço IP do QRadar Console ou Event Collector.
5. No campo Porta, digite 514.
Os encaminhadores de syslog do SonicWALL enviam eventos para o QRadar usando a porta UDP
514.
6. Clique em OK.
7. Na lista Formato de syslog, selecione Padrão.
8. Clique em Aplicar.
Os eventos syslog são encaminhados para o QRadar. Os eventos SonicWALL que são encaminhados
para o QRadar são descobertos automaticamente e as origens de log são criadas automaticamente.
Para obter mais informações sobre como configurar o dispositivo SonicWALL ou sobre eventos
específicos, consulte a documentação do fornecedor.

Configurando uma origem de log

O QRadar descobre e cria automaticamente uma origem de log para eventos syslog dos dispositivos
SonicWALL. As etapas de configuração a seguir são opcionais.

Sobre Esta Tarefa

Para configurar manualmente uma origem de log para eventos syslog SonicWALL:

Tabela 533. Parâmetros de Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host da origem de log como um identificador para
log eventos de dispositivos SonicWALL.

Cada origem de log que você cria para o dispositivo SonicWALL SonicOS inclui de
preferência um identificador exclusivo, como um endereço IP ou nome do host.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhados para o QRadar pelos
dispositivos SonicWALL SonicOS são exibidos na guia Atividade de log. Para obter mais
informações, consulte o Guia do Usuário do IBM QRadar.

984 Guia de configuração do QRadar DSM

138 Sophos
O IBM QRadar suporta vários DSMs Sophos.

Sophos Enterprise Console

O IBM QRadar tem duas opções para reunir eventos de um Sophos Enterprise Console usando JDBC.

Selecione o método que melhor se aplica à instalação do Sophos Enterprise Console:

v “Configurando o QRadar usando o protocolo Sophos Enterprise Console”
v “Configure o IBM QRadar usando o protocolo JDBC” na página 988

Nota: Para usar o protocolo Sophos Enterprise Console, deve-se assegurar que o Sophos Reporting
Interface seja instalado com o Sophos Enterprise Console. Se você não tiver o Sophos Reporting Interface,
deverá configurar o QRadar usando o protocolo JDBC. Para obter informações sobre como instalar o
Sophos Reporting Interface, consulte a Documentação do Sophos Enterprise Console.
Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o QRadar usando o protocolo Sophos Enterprise

Console
O DSM Sophos Enterprise Console para o IBM QRadar aceita eventos usando o Java Database
Connectivity (JDBC).

Sobre Esta Tarefa

O DSM Sophos Enterprise Console funciona em coordenação com o protocolo Sophos Enterprise Console
para combinar informações de carga útil de antivírus, controle de aplicativo, controle de dispositivo,
controle de dados, proteção contra violação e logs de firewall na tabela vEventsCommonData e fornecer
esses eventos para o QRadar. Deve-se instalar o protocolo Sophos Enterprise Console antes de configurar
o QRadar.

Para configurar o QRadar para acessar o banco de dados Sophos usando o protocolo JDBC:

A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. Na lista Tipo de origem de log, selecione Sophos Enterprise Console.
7. Na lista Configuração de protocolo, selecione Sophos Enterprise Console JDBC.

Nota: Deve-se consultar as Definições de configuração do banco de dados no Sophos Enterprise

Console para definir os parâmetros que são requeridos para configurar o protocolo JDBC do Sophos
Enterprise Console no QRadar.
8. Configure os valores a seguir:
Tabela 534. Parâmetros JDBC do Sophos Enterprise Console
Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<Sophos Database>@<Sophos Database Server IP or Host Name>

Em que:
v <Sophos Database> é o nome do banco de dados, conforme inserido no parâmetro
Nome do banco de dados.
v <Sophos Database Server IP or Host Name> é o nome do host ou o endereço IP para
essa origem de log, conforme inserido no parâmetro IP ou nome do host.

Ao definir um nome para o identificador de origem de log, deve-se usar os valores do

endereço IP ou nome do host do Banco de dados Sophos e do Servidor de banco de
dados a partir do Console corporativo de gerenciamento.
Tipo de banco de dados Na lista, selecione MSDE.
Nome do banco de dados Digite o nome exato do banco de dados Sophos.
IP ou nome do host Digite o endereço IP ou o nome do host do Sophos SQL Server.
Porta Digite o número da porta que é usado pelo servidor de banco de dados. A porta
padrão para o MSDE no Sophos Enterprise Console é 1168.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados Sophos. O banco de dados Sophos deve ter conexões TCP recebidas que são
ativadas para se comunicar com o QRadar.

Se você definir uma Instância de banco de dados, quando usar MSDE como o tipo
de banco de dados, deverá deixar o parâmetro Porta em branco na configuração.
Nome do usuário Digite o nome do usuário que é necessário para acessar o banco de dados.
Senha Digite a senha que é necessária para acessar o banco de dados. A senha pode ter até
255 caracteres de comprimento.
Confirmar senha Confirme a senha que é necessária para acessar o banco de dados. A senha de
confirmação deve ser idêntica à senha inserida no parâmetro Senha.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows, deve-se definir um Domínio de autenticação do
Windows. Caso contrário, deixe este campo em branco.
Instância de banco de Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
dados server em seu servidor de banco de dados.

986 Guia de configuração do QRadar DSM

Tabela 534. Parâmetros JDBC do Sophos Enterprise Console (continuação)
Parâmetro Descrição
Nome da tabela Digite vEventsCommonData como o nome da tabela ou visualização que inclui os
registros de eventos.
Selecionar lista Digite * em todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se for necessário para sua configuração. A lista deve conter o
campo que está definido no parâmetro Comparar campo. A lista separada por vírgula
pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode incluir os
seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#), sublinhado
(_), traço (-) e ponto (.).
Comparar campo Digite InsertedAt como o campo de comparação. O campo de comparação é usado
para identificar novos eventos incluídos entre as consultas na tabela.
Data e hora de início Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

O parâmetro Data e hora de início deve ser formatado como aaaa-MM-dd HH: mm,
com HH especificado usando um relógio de 24 horas. Se a data ou hora de início for
limpa, a pesquisa começa imediatamente e repete no intervalo de pesquisa
especificado.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Os valores numéricos que são inseridos sem uma pesquisa de H ou
M em segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O valor padrão é 20000 EPS.
Usar comunicação de canal Limpe a caixa de seleção Usar comunicações de canal nomeado.
nomeado
Ao usar uma conexão de Canal Nomeado, o nome de usuário e a senha devem ser o
nome de usuário e a senha de autenticação do Windows apropriados e não os do
banco de dados. Além disso, deve-se usar o canal nomeado padrão.
Nome do cluster do banco Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
de dados parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.
Usar NTLMv2 Se você selecionar MSDE como o Tipo de banco de dados, a caixa de seleção Usar
NTLMv2 será exibida.

Se a caixa de seleção Usar NTLMv2 for selecionada, ela não terá efeito sobre as
conexões MSDE com SQL servers que não requererem autenticação NTLMv2.

Nota: A seleção de um valor maior que 5 para o parâmetro Credibilidade pondera a origem de log
Sophos com uma importância maior se comparada com outras origens de log no QRadar.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

138 Sophos 987

Configure o IBM QRadar usando o protocolo JDBC
O DSM Sophos Enterprise Console para o IBM QRadar aceita eventos usando o Java Database
Connectivity (JDBC).

O QRadar registra todos os eventos relevantes de antivírus. Este documento fornece informações sobre
como configurar o QRadar para acessar o banco de dados Sophos Enterprise Console usando o protocolo
JDBC.

Configurando a visualização do banco de dados

Para integrar o IBM QRadar com o Sophos Enterprise Console:

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do dispositivo Sophos Enterprise Console.
2. Digite o comando a seguir para criar uma visualização customizada em seu banco de dados Sophos
para suporte do QRadar:
CREATE VIEW threats_view AS SELECT t.ThreatInstanceID,
t.ThreatType, t.FirstDetectedAt, c.Name, c.LastLoggedOnUser,
c.IPAddress, c.DomainName, c.OperatingSystem, c.ServicePack,
t.ThreatSubType, t.Priority, t.ThreatLocalID,
t.ThreatLocalIDSource, t.ThreatName, t.FullFilePathCheckSum,
t.FullFilePath, t.FileNameOffset, t.FileVersion, t.CheckSum,
t.ActionSubmittedAt, t.DealtWithAt, t.CleanUpable, t.IsFragment,
t.IsRebootRequired, t.Outstanding, t.Status, InsertedAt
FROM <Database Name>.dbo.ThreatInstancesAll
t, <Database Name>.dbo.Computers c
WHERE t.ComputerID = c.ID;
Em que <Database Name> é o nome do banco de dados Sophos.

Nota: O nome do banco de dados não deve conter nenhum espaço.

O que Fazer Depois

Depois de criar sua visualização customizada, deve-se configurar o QRadar para receber informações de
evento que usa o protocolo JDBC. Para configurar o DSM Sophos Enterprise Console com o QRadar,
consulte “Configurando uma origem de log JDBC no QRadar”.

Configurando uma origem de log JDBC no QRadar

É possível configurar o IBM QRadar para acessar o banco de dados Sophos usando o protocolo JDBC.

Procedimento
1. Efetue login no QRadar
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. Na lista Tipo de origem de log, selecione Sophos Enterprise Console.
7. Na lista Configuração de protocolo, selecione JDBC.

988 Guia de configuração do QRadar DSM

Nota: Deve-se consultar as Definições de configuração do banco de dados no Sophos Enterprise
Console para definir os parâmetros que são requeridos para configurar o DSM Sophos Enterprise
Console no QRadar.
8. Configure os valores a seguir:
Tabela 535. Parâmetros JDBC do Sophos Enterprise Console
Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<Sophos Database>@<Sophos Database Server IP or Host Name>

Ao definir um nome para o identificador de origem de log, deve-se usar os valores do

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados Sophos. O banco de dados Sophos deve ter conexões TCP recebidas que são
ativadas para se comunicar com o QRadar.

Se você definir uma Instância de banco de dados quando usar o MSDE como o tipo
de banco de dados, deverá deixar o parâmetro Porta em branco na sua configuração.
Nome do usuário Digite o nome do usuário que é necessário para acessar o banco de dados.
Senha Digite a senha que é necessária para acessar o banco de dados. A senha pode ter até
255 caracteres de comprimento.
Confirmar senha Confirme a senha que é necessária para acessar o banco de dados. A senha de
confirmação deve ser idêntica à senha inserida no parâmetro Senha.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows, deve-se definir um Domínio de autenticação do
Windows. Caso contrário, deixe este campo em branco.
Instância de banco de Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
dados server em seu servidor de banco de dados.

Se você usar uma porta não padrão na configuração do seu banco de dados ou
bloquear o acesso à porta 1434 para a resolução do banco de dados SQL, deverá
deixar o parâmetro Database Instance em branco na sua configuração.
Nome da tabela Digite threats_view como o nome da tabela ou visualização que inclui os registros de
eventos.

138 Sophos 989

Tabela 535. Parâmetros JDBC do Sophos Enterprise Console (continuação)
Parâmetro Descrição
Selecionar lista Digite * em todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se for necessário para sua configuração. A lista deve conter o
campo que está definido no parâmetro Comparar campo. A lista separada por vírgula
pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode incluir os
seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#), sublinhado
(_), traço (-) e ponto (.).
Comparar campo Digite ThreatInstanceID como o campo de comparação. O campo de comparação é
usado para identificar novos eventos incluídos entre as consultas na tabela.
Data e hora de início Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

As instruções preparadas fornecem à origem de protocolo JDBC a opção de configurar

a instrução SQL uma vez e depois executá-la várias vezes com parâmetros diferentes.
Por motivos de segurança e desempenho, é sugerido que você use as instruções
preparadas.

Limpar esta caixa de seleção requer que você use um método alternativo de consulta
que não use instruções pré-compiladas.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Os valores numéricos que são inseridos sem uma pesquisa de H ou
M em segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O valor padrão é 20000 EPS.
Usar comunicação de canal Desmarque a caixa de seleção Usar comunicação de canal nomeado.
nomeado
Ao usar uma conexão de Canal Nomeado, o nome de usuário e a senha devem ser o
nome de usuário e a senha de autenticação do Windows apropriados e não os do
banco de dados. Além disso, deve-se usar o canal nomeado padrão.
Nome do cluster do banco Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
de dados parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.

Sophos PureMessage
O DSM Sophos PureMessage para o IBM QRadar aceita eventos usando o Java Database Connectivity
(JDBC).

990 Guia de configuração do QRadar DSM

O QRadar registra todos os eventos relevantes de e-mail em quarentena. Este documento fornece
informações sobre a configuração do QRadar para acessar o banco de dados Sophos PureMessage usando
o protocolo JDBC.

O QRadar suporta as versões Sophos PureMessage a seguir:

v Sophos PureMessage para Microsoft Exchange – Armazena eventos em um banco de dados Microsoft
SQL Server que é especificado como savexquar.
v Sophos PureMessage para Linux – Armazena eventos em um banco de dados PostgreSQL que é
especificado como pmx_quarantine.

Aqui estão informações sobre a integração do QRadar com Sophos:

v “Integrando o QRadar com o Sophos PureMessage para Microsoft Exchange”
v “Integrando o QRadar com o Sophos PureMessage for Linux” na página 994
Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Integrando o QRadar com o Sophos PureMessage para Microsoft

Exchange
É possível integrar o QRadar com o Sophos PureMessage para Microsoft Exchange.

Procedimento
1. Efetue login na interface da linha de comandos (CLI) do Microsoft SQL Server:
osql -E -S localhost\sophos
2. Digite qual banco de dados você deseja integrar com o QRadar:
use savexquar; go
3. Digite o comando a seguir para criar uma visualização SIEM em seu banco de dados Sophos para
suporte do QRadar:
create view siem_view as select
’Windows PureMessage’ as application, id, reason,
timecreated, emailonly as sender, filesize, subject,
messageid, filename from dbo.quaritems,
dbo.quaraddresses where ItemID = ID and Field = 76;

O que Fazer Depois

Depois de criar a visualização SIEM, deve-se configurar o QRadar para receber informações de evento
usando o protocolo JDBC. Para configurar o DSM PureMessage Sophos com o QRadar, consulte
“Configure uma origem de log JDBC para Sophos PureMessage”.

Configure uma origem de log JDBC para Sophos PureMessage

É possível configurar o QRadar para acessar o PureMessage Sophos para o banco de dados Microsoft
Exchange usando o protocolo JDBC.

138 Sophos 991

Nota: Deve-se consultar as definições de configuração do banco de dados no dispositivo Sophos

PureMessage para definir os parâmetros requeridos para configurar o DSM Sophos PureMessage no
QRadar.
8. Configure os valores a seguir:
Tabela 536. Parâmetros JDBC do Sophos PureMessage
Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<Sophos PureMessage Database>@<Sophos PureMessage Database Server IP or Host

Name>

Em que:
v <Sophos PureMessage Database> é o nome do banco de dados, conforme inserido no
parâmetro Nome do banco de dados.
v <Sophos PureMessage Database Server IP or Host Name> é o nome do host ou o
endereço IP para essa origem de log, conforme inserido no parâmetro IP ou nome
do host.

Ao definir um nome para o identificador de origem de log, deve-se usar os valores do

endereço IP ou nome do host do Banco de dados e do Servidor de banco de dados do
dispositivo Sophos PureMessage.
Tipo de banco de dados Na lista, selecione MSDE.
Nome do banco de dados Digite savexquar.
IP ou nome do host Digite o endereço IP ou o nome do host do servidor Sophos PureMessage.
Porta Digite o número da porta usado pelo servidor de banco de dados. A porta padrão
para o MSDE é 1433. As instalações do Sophos normalmente usam 24033. É possível
confirmar o uso da porta usando o utilitário SQL Server Configuration Manager. Para
obter mais informações, consulte a documentação do fornecedor.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados Sophos. O banco de dados Sophos deve ter conexões TCP recebidas ativadas
para se comunicar com o QRadar.

Se você definir uma instância de banco de dados no parâmetro Instância do banco de

dados, deve-se deixar o parâmetro Porta em branco. Será possível definir somente
uma instância de banco de dados se o servidor de banco de dados usar a porta
padrão 1433. Essa não é a configuração padrão do Sophos.
Nome do usuário Digite o nome do usuário necessário para acessar o banco de dados.

992 Guia de configuração do QRadar DSM

Tabela 536. Parâmetros JDBC do Sophos PureMessage (continuação)
Parâmetro Descrição
Senha Digite a senha necessária para acessar o banco de dados. A senha pode ter até 255
caracteres de comprimento.
Confirmar senha Confirme a senha necessária para acessar o banco de dados. A senha de confirmação
deve ser idêntica à senha inserida no parâmetro Senha.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows, deve-se definir um Domínio de autenticação do
Windows. Caso contrário, deixe este campo em branco.
Instância de banco de Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
dados server em seu servidor de banco de dados.

Se você definir um número de porta diferente do padrão no parâmetro Porta ou

bloquear o acesso à porta 1434 para a resolução do banco de dados SQL, deve-se
deixar o parâmetro Instância do banco de dados em branco.
Nome da tabela Digite siem_view como o nome da tabela ou visualização que inclui os registros de
eventos.
Selecionar lista Digite * em todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se for necessário para a configuração. A lista deve conter o
campo que está definido no parâmetro Comparar campo. A lista separada por vírgula
pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode incluir os
seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#), sublinhado
(_), traço (-) e ponto (.).
Comparar campo Digite ID. O Campo de comparação é usado para identificar novos eventos incluídos
entre as consultas na tabela.
Usar instruções preparadas Selecione essa caixa de seleção para usar instruções preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez e depois a execute várias vezes com parâmetros diferentes.
Por motivos de segurança e desempenho, é recomendável que você use instruções
preparadas.

O parâmetro Data e horário de início deve ser formatado como yyyy-MM-dd

HH:mm, com HH especificado usando um relógio de 24 horas. Se o parâmetro Data
ou horário de início estiver desmarcado, a pesquisa começará imediatamente e será
repetida no intervalo de pesquisa especificado.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Os valores numéricos inseridos sem H ou M são pesquisados em
segundos.
Usar comunicação de canal Desmarque a caixa de seleção Usar comunicação de canal nomeado.
nomeado
Ao usar uma conexão de Canal Nomeado, o nome de usuário e a senha devem ser os
de autenticação apropriados do Windows e não o nome do usuário e a senha do
banco de dados. Além disso, deve-se usar o canal nomeado padrão.

138 Sophos 993

Tabela 536. Parâmetros JDBC do Sophos PureMessage (continuação)
Parâmetro Descrição
Nome do cluster do banco Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
de dados parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.

Nota: A seleção de um valor maior que 5 para o parâmetro Credibilidade pondera a origem de log
Sophos PureMessage com uma importância maior se comparada com outras origens de log no
QRadar.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

Integrando o QRadar com o Sophos PureMessage for Linux

É possível integrar o IBM QRadar com o Sophos PureMessage for Linux.

Procedimento
1. Navegue até o diretório do banco de dados Sophos PureMessage PostgreSQL:
cd /opt/pmx/postgres-8.3.3/bin
2. Acesse o prompt SQL do banco de dados pmx_quarantine:
./psql -d pmx_quarantine
3. Digite o comando a seguir para criar uma visualização SIEM em seu banco de dados Sophos para
suporte do QRadar:
create view siem_view as select
’Linux PureMessage’ as application, id,
b.name, m_date, h_from_local, h_from_domain,
m_global_id, m_message_size, outbound,
h_to, c_subject_utf8 from message a,
m_reason b where a.reason_id = b.reason_id;

O que Fazer Depois

Depois de criar seu banco de dados de visualização, você deve configurar o QRadar para receber
informações de evento usando o protocolo JDBC.

Configurando uma origem de log para Sophos PureMessage para

Microsoft Exchange
É possível configurar o IBM QRadar para acessar o banco de dados Sophos PureMessage usando o
protocolo JDBC:

994 Guia de configuração do QRadar DSM

7. Na lista Configuração de protocolo, selecione JDBC.

Nota: Deve-se consultar as Definições de configuração do banco de dados no Sophos PureMessage

para definir os parâmetros requeridos para configurar o DSM Sophos PureMessage no QRadar.
8. Configure os valores a seguir:

Parâmetros JDBC do Sophos PureMessage

Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<Sophos PureMessage Database>@<Sophos PureMessage Database Server IP or Host

Name>

Ao definir um nome para o identificador de origem de log, deve-se usar os valores do

endereço IP ou nome do host do Banco de dados e do Servidor de banco de dados do
dispositivo Sophos PureMessage.
Tipo de banco de dados Na lista, selecione Postgres.
Nome do banco de dados Digite pmx_quarantine.
IP ou nome do host Digite o endereço IP ou o nome do host do servidor Sophos PureMessage.
Porta Digite o número da porta usado pelo servidor de banco de dados. A porta padrão é
1532.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados Sophos. O banco de dados Sophos deve ter conexões TCP recebidas ativadas
para se comunicar com o QRadar.
Nome do usuário Digite o nome do usuário necessário para acessar o banco de dados.
Senha Digite a senha necessária para acessar o banco de dados. A senha pode ter até 255
caracteres de comprimento.
Confirmar senha Confirme a senha necessária para acessar o banco de dados. A senha de confirmação
deve ser idêntica à senha inserida no parâmetro Senha.
Instância de banco de Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
dados server em seu servidor de banco de dados.

É possível usar uma lista separada por vírgula para definir campos específicos de
tabelas ou visualizações, se necessário para sua configuração. A lista deve conter o
campo definido no parâmetro Campo de comparação. A lista separada por vírgula
pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode incluir os
seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#), sublinhado
(_), traço (-) e ponto (.).

138 Sophos 995

Parâmetros JDBC do Sophos PureMessage
Parâmetro Descrição
Comparar campo Digite ID.

O Campo de comparação é usado para identificar novos eventos incluídos entre as

consultas na tabela.
Usar instruções preparadas Selecione essa caixa de seleção para usar instruções preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez e depois a execute várias vezes com parâmetros diferentes.
Por motivos de segurança e desempenho, é recomendável que você use instruções
preparadas.

O parâmetro Data e hora de início deve ser formatado como aaaa-MM-dd HH: mm,
com HH especificado usando um relógio de 24 horas. Se o parâmetro Data ou horário
de início estiver desmarcado, a pesquisa começará imediatamente e será repetida no
intervalo de pesquisa especificado.
Intervalo de pesquisa Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Os valores numéricos inseridos sem H ou M são pesquisados em
segundos.

Gateway de Segurança Sophos Astaro

O DSM Sophos Astaro Security Gateway para o IBM QRadar aceita eventos usando syslog, permitindo
que o QRadar registre todos os eventos relevantes.

Sobre Esta Tarefa

Para configurar o syslog para o Sophos Astaro Security Gateway:

Procedimento
1. Efetue login no console do Sophos Astaro Security Gateway.
2. No menu de navegação, selecione Criação de log > Configurações.
3. Clique na guia Servidor syslog remoto.
A janela Status de syslog remoto é exibida.
4. No painel Servidores syslog, clique no ícone +.
A janela Incluir servidor syslog é exibida.
5. Configure os parâmetros a seguir:

996 Guia de configuração do QRadar DSM

a. Nome – Digite um nome para o servidor syslog.
b. Servidor – Clique no ícone de pasta para incluir um host predefinido, ou clique em + e digite a
nova definição de rede
c. Porta – Clique no ícone de pasta para incluir uma porta predefinida, ou clique em + e digite uma
nova definição de serviço. Por padrão, o QRadar se comunica usando o protocolo syslog na porta
UDP/TCP 514.
d. Clique em Salvar.
6. No campo Seleção de log syslog remoto, deve-se marcar as caixas de seleção para os logs a seguir:
a. Proxy POP3 - Marque essa caixa de seleção.
b. Filtro de pacotes - Marque essa caixa de seleção.
c. Filtro de pacotes - Marque essa caixa de seleção.
d. Sistema de prevenção de intrusão - Marque essa caixa de seleção
e. Filtro de conteúdo (HTTPS) - Marque essa caixa de seleção.
f. Alta disponibilidade - Marque essa caixa de seleção
g. Proxy FTP - Marque essa caixa de seleção.
h. SSL VPN - Marque essa caixa de seleção.
i. Daemon PPTP - Marque essa caixa de seleção.
j. IPSEC VPN - Marque essa caixa de seleção.
k. Daemon de HTTP - Marque essa caixa de seleção
l. Daemon de autenticação do usuário - Marque essa caixa de seleção.
m. Proxy SMTP - Marque essa caixa de seleção.
n. Clique em Aplicar.
o. Na seção Status de syslog remoto, clique em Ativar
Agora é possível configurar a origem de log no QRadar.
7. Para configurar o QRadar para receber eventos do dispositivo Sophos Astaro Security Gateway: na
lista Tipo de origem de log, selecione Sophos Astaro Security Gateway.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Sophos Web Security Appliance

O DSM Sophos Web Security Appliance (WSA) para o IBM QRadar aceita eventos usando syslog.

Sobre Esta Tarefa

O QRadar registra todos os eventos relevantes encaminhados do log de transações do Sophos Web
Security Appliance. Antes de configurar o QRadar, deve-se configurar o dispositivo Sophos WSA para
encaminhar eventos syslog.

Para configurar o Sophos Web Security Appliance para encaminhar eventos do syslog:

Procedimento
1. Efetue login no Sophos Web Security Appliance.
2. No menu, selecione Configuração > Sistema > Alertas & Monitoramento.

138 Sophos 997

3. Selecione a guia Syslog.
4. Marque a caixa de seleção Ativar transferência de syslog do trafego da web.
5. Na caixa de texto Endereço IP, digite o endereço IP ou o nome do host do QRadar.
6. Na caixa de texto Porta, digite 514.
7. Na lista Protocolo, selecione um protocolo. As opções são:
v TCP – O protocolo TCP é suportado com o QRadar na porta 514.
v UDP – O protocolo UDP é suportado com o QRadar na porta 514.
v TCP – Criptografado – TCP Criptografado é um protocolo não suportado para o QRadar.
8. Clique em Aplicar. Agora é possível configurar o DSM Sophos Web Security Appliance no QRadar.
9. O QRadar detecta automaticamente dados syslog de um Sophos Web Security Appliance. Para
configurar manualmente o QRadar para receber eventos do Sophos Web Security Appliance: na lista
Tipo de origem de log, selecione Sophos Web Security Appliance.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

998 Guia de configuração do QRadar DSM

139 Splunk
O IBM QRadar aceita e analisa vários tipos de eventos que são encaminhados pelos dispositivos Splunk.

Para eventos Check Point que são encaminhados pelo Splunk, consulte 39, “Ponto de verificação”, na
página 275.

Coletar eventos do Windows que são encaminhados pelos

dispositivos Splunk
Para coletar eventos, é possível configurar terminais do Windows para encaminhar eventos para o
QRadar Console e seus indexadores Splunk.

O encaminhamento de eventos do Windows por nós de agregação na implementação do Splunk não é

sugerido. Os indexadores Splunk que encaminham eventos de vários terminais do Windows para o
QRadar podem ocultar a verdadeira origem dos eventos com o endereço IP do indexador Splunk. Para
evitar uma situação na qual uma associação de endereço IP incorreto possa ocorrer na origem de log, é
possível atualizar os sistemas de terminal do Windows para encaminhamento ao indexador e ao QRadar
Console.

Os eventos Splunk são analisados usando o DSM Microsoft Windows Security Event Log com o protocolo
syslog multilinhas TCP. A expressão regular que é configurada no protocolo define onde um evento
Splunk começa ou termina na carga útil do evento. O padrão de evento permite que o QRadar monte a
carga útil do evento bruto do Windows como um evento de linha única que é legível pelo QRadar. A
expressão regular que é necessária para coletar eventos do Windows está descrita na configuração da
origem de log.

Para configurar a coleção de eventos syslog Splunk, deve-se concluir as tarefas a seguir:
1. No dispositivo QRadar, configure uma origem de log para usar o DSM Microsoft Windows Security
Event Log.

Nota: Deve-se configurar uma origem de log para eventos Splunk. O QRadar pode usar a primeira
origem de log para descoberta automática de mais terminais do Windows .
2. No dispositivo Splunk, configure cada Encaminhador Splunk na instância do Windows para enviar
dados do evento Windows para o QRadar Console ou Event Collector.
Para configurar um Splunk Forwarder, deve-se editar os arquivos de configuração props.conf,
transforms.conf e output.conf. Para obter mais informações sobre encaminhamento de eventos,
consulte a documentação do Splunk.
3. Assegure-se de que nenhuma regra de firewall bloqueie a comunicação entre o dispositivo Splunk e o
QRadar Console ou host gerenciado que é responsável por recuperar eventos.
4. No dispositivo QRadar, verifique a guia Atividade de log para assegurar que os eventos Splunk são
encaminhados para o QRadar.

Configurando uma origem de log para eventos encaminhados pelo

Splunk
Para coletar eventos brutos que são encaminhados pelo Splunk, deve-se configurar uma origem de log no
IBM QRadar.

Antes de Iniciar

No encaminhador Splunk, deve-se configurar sendCookedData como false para que o encaminhador
envie dados brutos para o QRadar.

O identificador de origem de log deve ser um valor exclusivo.

Porta de escuta Digite o número da porta usado pelo QRadar para aceitar eventos syslog de
multilinhas TCP a partir do Splunk.

A porta de escuta padrão é 12468.

Importante: Não use a porta de recebimento 514.

O número da porta configurado no QRadar deve corresponder ao número

da porta configurado no Splunk Forwarder. Cada porta de recebimento no
QRadar aceita até 50 conexões de entrada do Forwarder.

Se mais conexões do Forwarder forem necessárias, crie múltiplas origens de

logs do Splunk Forwarder em portas diferentes. O limite de conexão se
refere ao número de conexões do Forwarder e não ao número de origens de
logs provenientes de cada conexão do Forwarder.
Método de agregação O padrão é Iniciar/encerrar correspondência. Se você deseja combinar
eventos multilinhas que são unidos por um identificador comum, use
Vinculado por ID.

1000 Guia de configuração do QRadar DSM

Tabela 537. Parâmetros do protocolo syslog multilinhas TCP (continuação)
Parâmetro Descrição
Padrão de Início do Evento Digite a expressão regular (regex) a seguir para identificar o início de seu
evento de janela Splunk:

(?:<(\d+)>\s?(\w{3} \d{2} \d{2}:\d{2}:\d{2}) (\S+)

)?(\d{2}/\d{2}/\d{4} \d{2}:\d{2}:\d{2} [AP]M)

Esse parâmetro fica disponível ao configurar o parâmetro Aggregation

Method para Start/End Matching.

A expressão regular (regex) que é necessária para identificar o início de uma

Essa expressão regular (regex) que é necessária para identificar o término de

Essa expressão regular (regex) que é necessária para filtrar as mensagens de

carga útil do evento. As mensagens de eventos multilinhas de TCP devem
conter um valor de identificação comum que se repete em cada linha da
mensagem do evento.
Formatador de Eventos Utilize a opção Multilinhas do Windows para eventos multilinhas que
forem formatados especificamente para o Windows.
Exibir opções avançadas O padrão é Não. Se você desejar customizar os dados do evento, selecione
Sim.
Use o nome de origem customizado Esse parâmetro fica disponível ao configurar Mostrar opções avançadas
para Sim.

Marque a caixa de seleção se você desejar customizar o nome de origem

com a expressão regular.
Nome da Origem de Regex Esse parâmetro fica disponível ao marcar Usar nome de origem
customizado.

A expressão regular (regex) que captura um ou mais valores de cargas úteis

139 Splunk 1001

Tabela 537. Parâmetros do protocolo syslog multilinhas TCP (continuação)
Parâmetro Descrição
Nome da Origem de Sequência de Esse parâmetro fica disponível ao marcar Usar nome de origem
Formatação customizado.

É possível usar uma combinação de uma ou mais das seguintes entradas

Quando selecionado, os eventos que fluem pela origem de log podem ser
roteados para outras origens de log, com base no nome de origem
identificado nos eventos.

Quando essa opção não estiver selecionada e Usar nome de origem

Mostra um evento em uma única linha ou em várias linhas.

Reter Linhas Inteiras durante a Esse parâmetro fica disponível ao configurar Mostrar opções avançadas
Agregação do Evento para Sim.

Se você configurar o parâmetro Método de agregação como Vinculado por

ID, será possível ativar Reter linhas inteiras durante a Agregação de
evento para descartar ou manter a parte dos eventos que vier antes do
Padrão de ID de mensagem quando os eventos forem concatenados com o
mesmo padrão de ID.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
13. Opcional: Se você tiver 50 ou mais origens do Windows, deverá repetir esse processo para criar
outra origem de log.
Os eventos que são fornecidos pelo Splunk Forwarder para o QRadar são exibidos na guia
Atividade de log.

1002 Guia de configuração do QRadar DSM

140 Squid Web Proxy
O DSM Squid Web Proxy para o IBM QRadar registra todos os eventos de log de cache e de acesso
usando syslog.

Para integrar o QRadar com o Squid Web Proxy, deve-se configurar o Squid Web Proxy para encaminhar
logs de cache e acesso usando syslog.

Configurando o encaminhamento de syslog

É possível configurar o Squid para usar syslog para encaminhar seus eventos de acesso e cache.

Procedimento
1. Use SSH para efetuar login na interface da linha de comandos do dispositivo Squid.
2. Abra o arquivo a seguir:
/etc/rc3.d/S99local

Nota: Se /etc/rc3.d/S99local não existir, use /etc/rc.d/rc.local.

3. Inclua a linha a seguir:
tail -f /var/log/squid/access.log | logger -p <facility>.<priority> &
v <facility> é qualquer recurso de syslog válido, escrito em minúsculas como authpriv, daemon,
local0, local7 ou user.
v <priority> é qualquer prioridade válida que é escrita em minúsculas como err, warning, notice,
info, debug.
4. Salve o arquivo e feche-o.
A criação de log será iniciada na próxima vez em que o sistema for reinicializado.
5. Para iniciar a criação de log imediatamente, digite o comando a seguir:
nohup tail -f /var/log/squid/access.log | logger -p <facility>.<priority> &
As opções <facility> e <priority> são os mesmos valores que você inseriu.
6. Abra o arquivo a seguir:
/etc/syslog.conf

Nota: Ao usar o rsyslog, abra /etc/rsyslog.conf em vez de /etc/syslog.conf.

7. Inclua a linha a seguir para enviar os logs para o QRadar:
<priority>.<facility> @<QRadar_IP_address>
O exemplo a seguir mostra uma prioridade e um recurso para mensagens do Squid e um endereço
IP do QRadar:
info.local4 @ <IP_address>
8. Confirme se o formato access_log termina em common.

Exemplo:
access_log /path/to/access.log common

Se o valor de término do formato access_log for squid, mude squid para common, conforme exibido
no exemplo.
Se o formato access_log não tiver um valor final, inclua a linha a seguir no arquivo conf do Squid
para ativar a emulação de arquivo de log httpd:

emulate_httpd_log on
9. Escolha uma das seguintes opções:
v Para reiniciar o serviço do Squid, digite o comando a seguir:
service squid restart
v Para recarregar a configuração sem reiniciar o serviço, digite o comando a seguir:
/usr/sbin/squid -k reconfigure
10. Salve o arquivo e feche-o.
11. Digite o comando a seguir para reiniciar o daemon syslog:
/etc/init.d/syslog restart
Para obter mais informações sobre a configuração do Squid, consulte sua documentação de
fornecedor.

Resultados

Após configurar o encaminhamento de syslog para seus logs de cache e acesso, a configuração será
concluída. O QRadar pode descobrir automaticamente eventos de syslog encaminhados do Squid.

Criar uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog encaminhados
pelos dispositivos Squid Web Proxy. Essas etapas de configuração para criar uma origem de log são
opcionais.

Sobre Esta Tarefa

Para configurar manualmente uma origem de log para o Squid Web Proxy:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

1004 Guia de configuração do QRadar DSM

A configuração está concluída.

140 Squid Web Proxy 1005

1006 Guia de configuração do QRadar DSM
141 SSH CryptoAuditor
O DSM do IBM QRadar para SSH CryptoAuditor coleta logs de um SSH CryptoAuditor.

A tabela a seguir identifica as especificações do DSM CryptoAuditor SSH.

Tabela 539. Especificações do DSM SSH CryptoAuditor
Especificação Valor
Fabricante SSH Communications Security
Produto CryptoAuditor
Nome do DSM SSH CryptoAuditor
Nome do arquivo RPM DSM-SSHCryptoAuditor-QRadar_release-
Build_number.noarch.rpm
Versões suportadas 1.4.0 ou mais recente
Formato de evento Syslog
Tipos de evento registrado do QRadar Auditoria, Forenses
Tipo de origem de log na UI do QRadar SSH CryptoAuditor
Descoberta automática? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do SSH Communications Security
(http://www.ssh.com/)

Para enviar eventos do SSH CryptoAuditor para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM SSH CryptoAuditor
2. Para cada instância do SSH CryptoAuditor, configure o sistema SSH CryptoAuditor para se
comunicar com o QRadar.
3. Se o QRadar não descobrir automaticamente o SSH CryptoAuditor, crie uma origem de log no
QRadar Console para cada instância do SSH CryptoAuditor. Use os parâmetros específicos do SSH
CryptoAuditor a seguir:

Parâmetro Valor
Tipo de Fonte de Log SSH CryptoAuditor
Configuração de protocolo Syslog

Tarefas relacionadas:
“Configurando um dispositivo SSH CryptoAuditor para se comunicar com o QRadar” na página 1008
Para coletar eventos SSH CryptoAuditor, deve-se configurar seu dispositivo de terceiros para enviar
eventos para o IBM QRadar.
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

Configurando um dispositivo SSH CryptoAuditor para se comunicar
com o QRadar
Para coletar eventos SSH CryptoAuditor, deve-se configurar seu dispositivo de terceiros para enviar
eventos para o IBM QRadar.

Procedimento
1. Efetue login no SSH CryptoAuditor.
2. Acesse as configurações de syslog em Configurações > Serviços externos > Servidores syslog
externos.
3. Para criar configurações do servidor para o QRadar, clique em Incluir servidor syslog.
4. Digite as configurações do servidor QRadar: endereço (IP ou FQDN) e porta na qual o QRadar coleta
mensagens de log.
5. Para configurar o formato syslog para Universal LEEF, marque a caixa de seleção Formato Leef.
6. Para salvar a configuração, clique em Salvar.
7. Configure alertas SSH CryptoAuditor em Configurações > Alertas. A configuração do alerta SSH
CryptoAuditor define quais eventos são enviados para sistemas externos (de e-mail ou SIEM/syslog).
a. Selecione um grupo de alerta existente, ou crie um novo grupo de alerta clicando em Incluir
grupo de alerta.
b. Selecione o servidor QRadar que você definiu anteriormente na caixa suspensa Servidor syslog
externo.
c. Se você criou um grupo novo alerta, clique em Salvar. Salve o grupo antes de ligar os alertas ao
grupo.
d. Defina quais alertas são enviados para o QRadar pela ligação de alertas para o grupo de alerta.
Clique em [+] ao lado do alerta que você deseja coletar em QRadar e selecione o grupo de alerta
que tem o QRadar como servidor syslog externo. Repita esta etapa para cada alerta que você
deseja coletar no QRadar.
e. Clique em Salvar.
8. Aplique as mudanças de configuração pendentes. As mudanças na configuração salva não entram em
vigor até você aplicá-las a partir do estado pendente.

1008 Guia de configuração do QRadar DSM

142 Starent Networks
O DSM Starent Networks para o IBM QRadar aceita eventos de Rastreio, Ativo e de Monitoramento.

Sobre Esta Tarefa

Antes de configurar um dispositivo Starent Networks no QRadar, deve-se configurar o dispositivo Starent
Networks para encaminhar eventos syslog para o QRadar.

Para configurar o dispositivo envie eventos do syslog para QRadar:

Procedimento
1. Efetue login no seu dispositivo Starent Networks.
2. Configure o servidor syslog:
logging syslog <IP address> [facility <facilities>] [<rate value>] [pdu-verbosity
<pdu_level>] [pdu-data <format>] [event-verbosity <event_level>]
A tabela a seguir fornece os parâmetros necessários:
Tabela 540. Parâmetros do servidor syslog

Parâmetro Descrição

syslog <IP address> Digite o endereço IP do QRadar

facility <facilities> Digite o recurso local para o qual as opções de log são aplicadas. As opções são as
seguintes:
v local0
v local1
v local2
v local3
v local4
v local5
v local6
v local7

O padrão é local7.
rate value
Digite a taxa na qual você deseja que as entradas de log sejam enviadas para o
servidor de log do sistema. Esse valor deve ser um número inteiro entre 0 e 100000. O
padrão é 1000 eventos por segundo.
pdu-verbosity <pdu-level>
Digite o nível de detalhes que você deseja usar na criação de log de unidades de
dados de protocolo (PDUs). O intervalo é de 1 a 5, em que 5 é o mais detalhado. Esse
parâmetro afeta somente os logs de protocolo.

Tabela 540. Parâmetros do servidor syslog (continuação)

Parâmetro Descrição
pdu-data <format>
Digite o formato de saída para a PDU quando registrado como um dos formatos a
seguir:
v none - exibe os resultados em texto bruto ou não formatado.
v hex - exibe os resultados em formato hexadecimal.
v hex-ascii – exibe os resultados em formato hexadecimal e ASCII semelhante a um
dump de quadro principal.
event-verbosity <event_level>
Digite o nível de detalhes que você deseja usar na criação de log de eventos, que
inclui:
v min- Fornece informações mínimas sobre o evento, como nome do evento, recurso,
ID do evento, nível de severidade, data e horário.
v concise - Fornece informações detalhadas sobre o evento, mas não fornece a origem
do evento.
v full - Fornece informações detalhadas sobre o evento e inclui as informações de
origem que identificam a tarefa ou o subsistema que gerou o evento.

3. No prompt raiz para o modo Exec, identifique a sessão para a qual o log de rastreio deve ser gerado:
logging trace {callid <call_id> | ipaddr <IP address> | msid <ms_id> | name <username>}
A tabela a seguir fornece os parâmetros necessários:
Tabela 541. Parâmetros de log de rastreio

Parâmetro Descrição
callid <call_id>
Indica um log de rastreio gerado para uma sessão que é identificada pelo número de
identificação de chamada. Esse valor é um número hexadecimal de 4 bytes.
ipaddr <IP address>
Indica um log de rastreio gerado para uma sessão que é identificada pelo endereço IP
especificado.
msid <ms_id>
Indica um log de rastreio gerado para uma sessão que é identificada pelo número de
identificação da estação móvel (MSID). Esse valor deve ter de 7 a 16 dígitos, que são
especificados como IMSI, MIN ou RMI.
name <username>
Indica um log de rastreio gerado para uma sessão que é identificada pelo nome do
usuário. Esse valor é o nome do assinante que foi configurado anteriormente.

4. Para gravar os logs ativos no buffer de memória ativo, no modo de configuração:

logging runtime buffer store all-events
5. Configure um filtro para os logs ativos:
logging filter active facility <facility> level <report_level> [critical-info |
no-critical-info]
A tabela a seguir fornece os parâmetros necessários:

1010 Guia de configuração do QRadar DSM

Tabela 542. Parâmetros de log ativo

Parâmetro Descrição

facility <facility> Digite o nível da mensagem de recurso. Um recurso é um protocolo ou tarefa que
está em uso pelo sistema. O recurso local define quais opções de criação de log são
aplicadas para processos que são executados localmente. As opções são as seguintes:
v local0
v local1
v local2
v local3
v local4
v local5
v local6
v local7

O padrão é local7.
nível <report_level>
Digite o nível de severidade de log, incluindo:
v critical - Registra somente os eventos que indicam que um erro grave está
ocorrendo e que está fazendo com que o sistema ou um componente do sistema
pare de funcionar. Crítico é o mais alto nível de severidade.
v erro – registra eventos que indicam a ocorrência de um erro que está fazendo com
que o sistema ou um componente do sistema opere em um estado comprometido.
Esse nível também registra eventos com um nível de severidade mais alto.
v warning - Registra eventos que podem indicar um problema em potencial. Esse
nível também registra eventos com um nível de severidade mais alto.
v unusual - Registra eventos que são incomuns e podem precisar ser investigados.
Esse nível também registra eventos com um nível de severidade mais alto.
v info - Registra eventos informativos e eventos com um nível de severidade mais
alto.
v debug - Registra todos os eventos, independentemente da severidade.

É sugerido que um nível de erro ou crítico possa ser configurado para maximizar o
valor das informações registradas e reduzir a quantidade de logs que são gerados.
critical-info
O parâmetro critical-info identifica e exibe os eventos com um atributo de categoria
de informações críticas. Exemplos desses tipos de eventos podem ser vistos na
inicialização quando processos ou tarefas do sistema estão sendo iniciados.
no-critical-info
O parâmetro no-critical-info especifica que eventos com um atributo de categoria de
informações críticas não são exibidos.

6. Configure os destinos de log de monitoramento:

logging monitor {msid <ms_id>|username <username>}
A tabela a seguir fornece os parâmetros necessários:
Tabela 543. Parâmetros de log de monitoramento

Parâmetro Descrição
msid <md_id>
Digite um msid para definir que um log de monitoramento é gerado para uma sessão
que é identificada usando o número de identificação da estação móvel (MDID). Esse
valor deve ter de 7 a 16 dígitos que são especificados como IMSI, MIN ou RMI.

142 Starent Networks 1011

Tabela 543. Parâmetros de log de monitoramento (continuação)

Parâmetro Descrição
username <username>
Digite o nome de usuário para identificar um log de monitoramento gerado para uma
sessão pelo nome do usuário. O nome do usuário é o nome do assinante que foi
configurado anteriormente.

7. Agora você está pronto para configurar a origem de log no QRadar.

Para configurar o QRadar para receber eventos de um dispositivo Starent:
a. Na lista Tipo de origem de log, selecione a opção Starent Networks Home Agent (HA).
Para obter mais informações sobre o dispositivo, consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

1012 Guia de configuração do QRadar DSM

143 STEALTHbits
O IBM QRadar suporta uma faixa de DSMs STEALTHbits.

STEALTHbits StealthINTERCEPT
O IBM QRadar DSM for STEALTHbits StealthINTERCEPT pode coletar logs de eventos de seus serviços
STEALTHbits StealthINTERCEPT e File Activity Monitor.

A tabela a seguir identifica as especificações para o DSM StealthINTERCEPT STEALTHbits.

Tabela 544. Especificações do DSM STEALTHbits StealthINTERCEPT
Especificação Valor
Fabricante STEALTHbits Technologies
DSM STEALTHbits StealthINTERCEPT
Nome do arquivo RPM DSM-STEALTHbitsStealthINTERCEPT-QRadar_Version-build_number.noarch.rpm
Versões suportadas 3.3
Protocolo Syslog
Formato de evento LEEF
QRadar eventos registrados Eventos de auditoria do Active Directory, Eventos do File Activity Monitor
Descoberto automaticamente Sim
Inclui identidade Não
Informações adicionais http://www.stealthbits.com/resources

Configurando uma origem de log STEALTHbits StealthINTERCEPT no

IBM QRadar
Para coletar eventos STEALTHbits StealthINTERCEPT, configure uma origem de log no QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Na área de janela de navegação, clique em Origens de Dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione STEALTHbits StealthINTERCEPT.
7. Na lista Configuração de protocolo, selecione Syslog.
8. Configure os parâmetros restantes.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

Configurando seu STEALTHbits StealthINTERCEPT para se comunicar

com o QRadar
Para coletar todos os logs de auditoria e eventos do sistema do STEALTHbits StealthINTERCEPT, deve-se
especificar IBM QRadar como o servidor syslog e configurar o formato da mensagem.

Procedimento
1. Efetue login no servidor STEALTHbits StealthINTERCEPT.
2. Inicie o Console de administração.
3. Clique em Configuração > Servidor syslog.
4. Configure os parâmetros a seguir:
Tabela 545. Parâmetros de Syslog
Parâmetro Descrição
Endereço do host O endereço IP do QRadar Console
Porta 514

5. Clique em Importar arquivo de mapeamento.

6. Selecione o arquivo SyslogLeefTemplate.txt e pressione Enter.
7. Clique em Salvar.
8. No Console de administração, clique em Ações.
9. Selecione o arquivo de mapeamento que você importou e, em seguida, marque a caixa de seleção
Enviar para syslog.
Deixe a caixa de seleção Enviar para eventos BD selecionada. StealthINTERCEPT usa o banco de
dados de eventos para gerar relatórios.
10. Clique em Incluir.

Configurando o STEALTHbits File Activity Monitor para se comunicar

com o QRadar
Para coletar eventos do STEALTHbits File Activity Monitor, deve-se especificar o IBM QRadar como o
servidor Syslog e configurar o formato da mensagem.

Procedimento
1. Efetue login no servidor que executa o STEALTHbits File Activity Monitor.
2. Selecione a guia Hosts monitorados.
3. Selecione um host monitorado e clique em Editar para abrir a janela de propriedades do host.
4. Selecione a guia Syslog e configure os parâmetros a seguir:

Parâmetro Descrição
Servidor Syslog em massa no formato SERVER[:PORT] <QRadar event collector IP address>:514

Exemplo: 192.0.2.1:514

<qradarhostname>:514
Caminho do arquivo de modelo de mensagem do Syslog SyslogLeefTemplate.txt

O modelo é armazenado no Diretório de instalação do

STEALTHbits File Activity Monitor

5. Clique em OK.

Configurando uma origem de log para o STEALTHbits File Activity

Monitor no QRadar
Para coletar eventos do STEALTHbits File Activity Monitor, configure uma origem de log STEALTHbits
StealthINTERCEPT no QRadar.

1014 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Administrador.
3. Na área de janela de navegação, clique em Origens de Dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione STEALTHbits StealthINTERCEPT.
7. Na lista Configuração de protocolo, selecione Syslog.
8. Configure os parâmetros restantes.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.
A tabela a seguir fornece uma mensagem do evento de amostra para o DSM STEALHbits
StealthINTERCEPT:
Tabela 546. Mensagem do evento de amostra do STEALTHbits StealthINTERCEPT e do STEALTHbits File Activity
Monitor suportada pelo DSM STEALTHbits StealthINTERCEPT
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Grupo do Active Directory criado Grupo Incluído LEEF:1.0|STEALTHbits
|StealthINTERCEPT|
<IP_address> |
Active Directorygroup
Object AddedTrueFalse|
cat=Object Added
devTimeFormat=yyyy-MM-dd
HH:mm:ss.SSS
devTime=2013-
10-24 15:41:38.387
SettingName=All
AD Changes
domain=<Domain>
usrName=CN=Administrator,
CN=Users,
DC= <Domain_controller>,
DC=com
src = LDAP:
[ < Source_IPv6_address ]: 60843
DistinguishedName=
cn=asdfasdfasdf,
OU= <City>,
OU= <State>,
DC= <Domain_controller>,
DC=com
ClassName=group
OrigServer=<Server>
Success=True
Blocked=False
AttNames=
AttNewValues=
AttOldValues=

143 STEALTHbits 1015

Tabela 546. Mensagem do evento de amostra do STEALTHbits StealthINTERCEPT e do STEALTHbits File Activity
Monitor suportada pelo DSM STEALTHbits StealthINTERCEPT (continuação)
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Exclusão de pasta ou arquivo do Arquivo Excluído LEEF:1.0|STEALTHbits
sistema de arquivos do Windows |STEALTHbits
Tecnologias
File Monitoring|
2,3,0,402|Windows File
SystemDeleteTrueFalse|
cat=Delete
devTimeFormat=yyyy-MM-dd
HH:mm:ss.SSS
devTime=2016-04-19
13:15:12.000
SettingName=FileMonitor
domain=<Domain>
usrName=<Domain>\<Username>
src=<IP_address>
DistinguishedName=C:\
Share1_CIFS_volume\1
(2) - Copy
ClassName=
OrigServer=<Server>
Success=True
Blocked=False
AttrName=
AttrNewValue=
AttrOldValue=
Operation=

Alertas STEALTHbits StealthINTERCEPT

O IBM QRadar coleta logs de alerta de um servidor STEALTHbits StealthINTERCEPT usando o DSM
Alertas STEALTHbits StealthINTERCEPT

A tabela a seguir identifica as especificações para o DSM Alertas STEALTHbits StealthINTERCEPT:

Tabela 547. Especificações do DSM Alertas STEALTHbits StealthINTERCEPT
Especificação Valor
Fabricante STEALTHbits Technologies
Nome do DSM Alertas STEALTHbits StealthINTERCEPT
Nome do arquivo RPM DSM-STEALTHbitsStealthINTERCEPTAlerts-
Qradar_version-build_number.noarch.rpm
Versões suportadas 3.3
Protocolo Syslog LEEF
Tipos de eventos registrados Eventos de alertas do Active Directory
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais StealthINTERCEPT (http://www.stealthbits.com/
products/stealthintercept)

Para integrar o STEALTHbits StealthINTERCEPT com o QRadar, conclua as etapas a seguir:

1016 Guia de configuração do QRadar DSM

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM STEALTHbitsStealthINTERCEPT
v RPM STEALTHbitsStealthINTERCEPTAlerts
2. Configure o dispositivo STEALTHbits StealthINTERCEPT para enviar eventos syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log de Alertas
STEALTHbits StealthINTERCEPT no QRadar Console. A tabela a seguir descreve os parâmetros que
requerem valores específicos para a coleção de eventos de Alertas STEALTHbits StealthINTERCEPT:
Tabela 548. Parâmetros de origem de log de Alertas STEALTHbits StealthINTERCEPT
Parâmetro Valor
Tipo de origem de log Alertas STEALTHbits StealthINTERCEPT
Configuração de protocolo Syslog

Coletando alertas de logs de STEALTHbits StealthINTERCEPT

Para coletar todos os logs de alertas de STEALTHbits StealthINTERCEPT, deve-se especificar o IBM
QRadar como o servidor syslog e configurar o formato da mensagem.

Procedimento
1. Efetue login no servidor STEALTHbits StealthINTERCEPT.
2. Inicie o Console de administração.
3. Clique em Configuração > Servidor syslog.
4. Configure os parâmetros a seguir:

Parâmetro Descrição
Endereço do host O endereço IP do QRadar Console
Porta 514

5. Clique em Importar arquivo de mapeamento.

Dica: Deixe a caixa de seleção Enviar para eventos BD selecionada. StealthINTERCEPT usa o banco
de dados de eventos para gerar relatórios.
10. Clique em Incluir.

143 STEALTHbits 1017

STEALTHbits StealthINTERCEPT Analytics
O IBM QRadar coleta logs de análise de um servidor STEALTHbits StealthINTERCEPT usando o DSM
STEALTHbits StealthINTERCEPT Analytics.

A tabela a seguir identifica as especificações para o DSM STEALTHbits StealthINTERCEPT Analytics:

Tabela 549. Especificações do DSM STEALTHbits StealthINTERCEPT Analytics
Especificação Valor
Fabricante STEALTHbits Technologies
Nome do DSM STEALTHbits StealthINTERCEPT Analytics
Nome do arquivo RPM DSM-STEALTHbitsStealthINTERCEPTAnalytics-
Qradar_version-build_number.noarch.rpm
Versões suportadas 3.3
Protocolo Syslog LEEF
Tipos de eventos registrados Eventos do Active Directory Analytics
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais StealthINTERCEPT (http://www.stealthbits.com/
products/stealthintercept)

Integre o STEALTHbits StealthINTERCEPT com o QRadar concluindo as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos seguintes RPMs em seu QRadar Console na ordem em que estão listados:
v RPM DSMCommon
v RPM STEALTHbitsStealthINTERCEPT
v RPM STEALTHbitsStealthINTERCEPTAnalytics
2. Configure o dispositivo STEALTHbits StealthINTERCEPT para enviar eventos syslog ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log STEALTHbits
StealthINTERCEPT Analytics no QRadar Console. A tabela a seguir descreve os parâmetros que
requerem valores específicos para a coleção de eventos STEALTHbits StealthINTERCEPT Analytics:
Tabela 550. Parâmetros de origem de log STEALTHbits StealthINTERCEPT Analytics
Parâmetro Valor
Tipo de origem de log STEALTHbits StealthINTERCEPT Analytics
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Coletando logs de análise de STEALTHbits StealthINTERCEPT” na página 1019
Para coletar todos os logs de análise de STEALTHbits StealthINTERCEPT, deve-se especificar o IBM
QRadar como o servidor syslog e configurar o formato da mensagem.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

1018 Guia de configuração do QRadar DSM

Coletando logs de análise de STEALTHbits StealthINTERCEPT
Para coletar todos os logs de análise de STEALTHbits StealthINTERCEPT, deve-se especificar o IBM
QRadar como o servidor syslog e configurar o formato da mensagem.

Procedimento
1. Efetue login no servidor STEALTHbits StealthINTERCEPT.
2. Inicie o Console de administração.
3. Clique em Configuração > Servidor syslog.
4. Configure os parâmetros a seguir:

Parâmetro Descrição
Endereço do host O endereço IP do QRadar Console
Porta 514

5. Clique em Importar arquivo de mapeamento.

Dica: Deixe a caixa de seleção Enviar para eventos BD selecionada. StealthINTERCEPT usa o banco
de dados de eventos para gerar relatórios.
10. Clique em Incluir.

143 STEALTHbits 1019

1020 Guia de configuração do QRadar DSM
144 Sun
O IBM QRadar suporta uma variedade de DSMs Sun.

Sun ONE LDAP

O ONE LDAP DSM for QRadar aceita o acesso ao UDP multilinhas e eventos LDAP de Sun ONE
Directory Servers.

O Sun ONE LDLAP é conhecido como Oracle Directory Server.

O QRadar recupera eventos de acesso e LDAP dos servidores de diretório Sun ONE conectando-se a cada
servidor para fazer download do log de eventos. O arquivo de evento deve ser gravado em um local
acessível pelo protocolo de arquivo de log do QRadar com FTP, SFTP ou SCP. O log de eventos é gravado
em um formato de evento multilinhas, que requer um gerador de evento especial no protocolo de
arquivo de log para analisar corretamente o evento. O gerador de evento multilinhas de ID vinculado é
capaz de usar expressão regular para montar eventos multilinhas para o QRadar quando cada linha de
um evento multilinhas compartilha um valor inicial comum.

O DSM Sun ONE LDAP também pode aceitar eventos transmitidos usando o protocolo Syslog UDP
Multilinhas. No entanto, na maioria das situações, o sistema requer um encaminhador de syslog de
terceiros para encaminhar o log de eventos para o QRadar. Isso pode requerer que você redirecione o
tráfego de seu QRadar Console para usar a porta definida pelo protocolo UDP multilinhas.
Conceitos relacionados:
“Opções de configuração de protocolo syslog multilinhas UDP” na página 86
Para criar um evento único syslog a partir de um evento multilinhas, configure uma fonte de log para
utilizar o protocolo multilinhas UDP. O protocolo syslog multilinhas UDP utiliza uma expressão regular
para identificar e remontar as mensagens do syslog multilinhas na carga útil do evento única.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Ativando o log de eventos para o Sun ONE Directory Server

Para coletar eventos do Sun ONE Directory Server, deve-se ativar o log de eventos para gravar eventos
em um arquivo.

Procedimento
1. Efetue login no console Sun ONE Directory Server.
2. Clique na guia Configuração.
3. No menu de navegação, selecione Logs.
4. Clique na guia Log de acesso.
5. Marque a caixa de seleção Ativar criação de log.
6. Digite ou clique em Procurar para identificar o caminho do diretório para os logs de acesso do Sun
ONE Directory Server.
7. Clique em Salvar.

O que Fazer Depois

Agora você está pronto para configurar uma origem de log no QRadar.

Configurando uma origem de log para Sun ONE LDAP

Para receber eventos, deve-se criar manualmente uma origem de log para o Sun ONE Directory Server. O
QRadar não descobre automaticamente eventos de protocolo de arquivo de log.

Parâmetro Descrição
Identificador de Fonte de Log Digite um endereço IP, nome do host ou nome para
identificar a origem de eventos. Endereços IP ou nomes
de host permitem que o QRadar identifique um arquivo
de log para uma origem de eventos exclusiva.

Por exemplo, se sua rede contiver diversos dispositivos,

como um console de gerenciamento ou um repositório de
arquivo, especifique o endereço IP ou o nome do host do
dispositivo que criou o evento. Isso permite que os
eventos sejam identificados no nível do dispositivo em
sua rede, em vez de identificar o evento para o console
de gerenciamento ou o repositório de arquivo.
Tipo de serviço Digite a porta TCP no host remoto que esteja executando
o Tipo de Serviço selecionado. O intervalo válido é de 1
a 65535. As opções incluem:
FTP Porta TCP 21.
SFTP Porta TCP 22.
SCP Porta TCP 22.
Importante: Se o host dos seus arquivos de eventos
estiver usando um número de porta não padrão para
FTP, SFTP ou SCP, você deverá ajustar o valor da porta.
Usuário remoto Digite o nome do usuário necessário para efetuar login
no host que contém os arquivos de eventos.

O nome de usuário pode ter até 255 caracteres de

comprimento.
Confirmar senha Confirme a senha necessária para efetuar login no host.

1022 Guia de configuração do QRadar DSM

Parâmetro Descrição
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço,
esse parâmetro permitirá definir um arquivo de chave
privada SSH. Ao fornecer um arquivo de chave SSH, o
campo Senha remota será ignorado.
Diretório remoto Digite o local do diretório no host remoto a partir do
qual os arquivos são recuperados, relativo à conta do
usuário que você está usando para efetuar login.
Importante: Somente para FTP. Se seus arquivos de log
estiverem no diretório inicial do usuário remoto, será
possível deixar o diretório remoto em branco. Isso é para
suportar sistemas operacionais nos quais uma mudança
no comando de diretório ativo (CWD) é restrita.
Recursivo Ative essa caixa de seleção para permitir que as conexões
FTP ou SFTP procurem recursivamente dados de eventos
nas subpastas do diretório remoto. Os dados que são
coletados de subpastas dependem de correspondências
com a expressão regular no padrão do arquivo FTP. A
opção Recursivo não está disponível para conexões SCP.
Padrão do arquivo de FTP Se você selecionar SFTP ou FTP como o Tipo de serviço,
essa opção permitirá que você configure a expressão
regular (regex) que é necessária para filtrar a lista de
arquivos que são especificados no Diretório remoto.
Todos os arquivos correspondentes são incluídos no
processamento.

Por exemplo, se você desejar listar todos os arquivos que

começam com a palavra log, seguida por um ou mais
dígitos e terminando com tar.gz, use esta entrada:
log[0-9]+\.tar\.gz. A utilização deste parâmetro requer
conhecimento de expressões regulares (regex). Para obter
mais informações sobre expressões regulares, consulte o
website da Oracle (http://docs.oracle.com/javase/
tutorial/essential/regex/)
Modo de transferência por FTP Essa opção será exibida somente se você selecionar FTP
como o Tipo de serviço. O parâmetro FTP Transfer Mode
permite que você defina o modo de transferência de
arquivo ao recuperar arquivos de log via FTP.

Na caixa de listagem, selecione o modo de transferência

que você deseja aplicar a esta origem de log:
Binário Selecione Binário para origens de log que
requerem arquivos de dados binários ou
archives compactados zip, gzip, tar ou tar+gzip.
ASCII Selecione ASCII para origens de log que
requerem uma transferência de arquivos FTP
ASCII.
Importante: Deve-se selecionar NONE para o parâmetro
Processor e LINEBYLINE para o parâmetro Event
Generator quando você usar ASCII como o Modo de
transferência FTP.
Arquivo remoto SCP Se você selecionar SCP como o Tipo de serviço, deve-se
digitar o nome do arquivo remoto.

144 Sun 1023

Parâmetro Descrição
Horário de Início Digite o horário do dia que deseja que o processamento
comece. Esse parâmetro funciona com o valor de
Recorrência para estabelecer quando e com que
frequência o Diretório Remoto é varrido em busca de
arquivos. Digite o horário de início, com base em um
relógio de 24 horas, no seguinte formato: HH: MM.
Recorrência Digite a frequência, começando no horário de início, que
você deseja que o diretório remoto seja varrido. Digite
este valor em horas (H), minutos (M) ou dias (D). Por
exemplo, 2H se você desejar que o diretório seja varrido
a cada 2 horas. O padrão é 1H.
Executar ao salvar Selecione esta caixa de seleção se desejar que o protocolo
de arquivo de log seja executado imediatamente após
você clicar em Salvar. Após o Executar salvamento ser
concluído, o protocolo de arquivo de log segue o horário
de início configurado e o planejamento de recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos

processados anteriormente para o parâmetro Ignorar
arquivo processado anteriormente.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você
não deseja que esse protocolo exceda. O intervalo válido
é 100 a 5000.
Processador Se os arquivos no host remoto forem armazenados em
um formato de archive zip, gzip, tar ou tar+gzip,
selecione o processador que permite que os archives
sejam expandidos e conteúdo seja processado.
Ignorar arquivo(s) processado(s) anteriormente Marque essa caixa de seleção para rastrear os arquivos
que foram processados e você não deseja que os arquivos
sejam processados uma segunda vez.

Isso se aplica somente aos Tipos de serviço FTP e SFTP.

Mudar diretório local? Marque essa caixa de seleção para definir o diretório
local no QRadar que você deseja usar para armazenar
arquivos transferidos por download durante o
processamento.

A maioria das configurações permite deixar essa caixa de

seleção desmarcada. Quando você marca a caixa de
seleção, o campo Diretório local é exibido, o qual
permite que você configure um diretório local a ser
usado para armazenar arquivos temporariamente.
Gerador de evento Selecione ID-Linked Multiline para processar o log de
eventos recuperado como eventos multilinhas.

O formato ID-Linked Multiline processa logs de eventos

multilinhas que contêm um valor comum no início de
cada linha em uma mensagem de evento multilinhas.
Essa opção exibe o campo Padrão de ID de mensagem
que usa expressão regular para identificar e remontar o
evento multilinhas na carga útil de evento único.

1024 Guia de configuração do QRadar DSM

Parâmetro Descrição
Separador de Pasta Digite o caractere que é utilizado para separar as pastas
para seu sistema operacional. O valor padrão é /.

A maioria das configurações permite usar o valor padrão

no campo Separador de pasta. Esse campo é usado
somente por sistemas operacionais que usam um
caractere alternativo para definir pastas separadas. Por
exemplo, pontos que separam as pastas em sistemas
mainframe.

13. Clique em Salvar.

14. Na guia Administrador, clique em Implementar mudanças.

Configurando uma Origem de Log de Syslog UDP Multilinhas

Para coletar eventos de syslog, deve-se configurar uma origem de log para Sun ONE LDAP para usar o
protocolo Syslog UDP Multilinhas.

Procedimento
1. Clique na guia Administrador.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de Origem de Log, selecione Sun ONE LDAP.
6. Na lista Configuração de protocolo, selecione Syslog UDP multilinhas.
7. Configure os valores a seguir:
Tabela 551. Parâmetros de Origem de Log Syslog UDP Multilinhas do Sun ONE LDAP
Parâmetro Descrição
Identificador de Fonte de Digite o endereço IP, o nome do host ou o nome para identificar a instalação de seu
Log Sun ONE LDAP.
Porta de escuta Digite 517 como o número da porta usada pelo QRadar para aceitar eventos Syslog
UDP multilinhas recebidos. O intervalo de portas válido vai de 1 a 65535.

Para editar uma configuração salva para usar um novo número de porta, conclua as
etapas a seguir.
1. No campo Porta de escuta, digite o novo número de porta para receber eventos
Syslog UDP multilinhas.
2. Clique em Salvar.

A atualização de porta está concluída e a coleção de eventos é iniciada no novo

número de porta.
Padrão de ID de mensagem Digite a expressão regular (regex) a seguir necessário para filtrar as mensagens de
carga útil do evento.

conn=(\d+)
Ativado Selecione essa caixa de seleção para ativar a origem de log.
Credibilidade Selecione a credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.

144 Sun 1025

Tabela 551. Parâmetros de Origem de Log Syslog UDP Multilinhas do Sun ONE LDAP (continuação)
Parâmetro Descrição
Coletor de eventos de Selecione o Coletor de eventos de destino a ser usado como destino para a origem de
destino log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor da lista

Eventos unidos das configurações do sistema em QRadar. Ao criar uma origem de
log ou editar uma configuração existente, é possível substituir o valor padrão
configurando esta opção para cada origem de log.
Armazenar carga útil do Selecione essa caixa de seleção para ativar que a origem de log armazene as
evento informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

Armazenar carga útil do evento de Configurações do sistema em QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de log.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

Configurando IPtables para eventos Syslog UDP Multiline

Poderá não ser possível enviar eventos diretamente para a porta UDP multilinhas padrão 517 ou
quaisquer portas disponíveis não usadas ao coletar eventos Syslog UDP multilinhas no IBM QRadar. Se
esse erro ocorrer, você deverá redirecionar eventos da porta 514 para a porta padrão 517 ou para a porta
alternativa escolhida, usando IPTables. Deve-se configurar IPtables no QRadar Console ou para cada
QRadarEvent Collector que recebe eventos Syslog UDP multilinhas de um servidor LDAP SunOne. Em
seguida, deve-se concluir a configuração para cada endereço IP do servidor LDAP SunOne dos quais
você deseja receber logs.

Antes de Iniciar

Importante: Conclua esse método de configuração quando você não puder enviar eventos Syslog UDP
multilinhas diretamente para a porta UDP multilinhas escolhida no QRadar no servidor LDAP SunOne.
Além disso, deve-se concluir essa configuração quando se está restrito a enviar apenas para a porta
syslog padrão 514.

Procedimento
1. Usando SSH, efetue login no QRadar como o usuário raiz.
Login: root
Senha: password
2. Digite o comando a seguir para editar o arquivo de IPtables:
vi /opt/qradar/conf/iptables-nat.post
O arquivo de configuração de IPtables NAT é exibido.
3. Digite o comando a seguir para instruir o QRadar a redirecionar eventos syslog da porta UDP 514
para a porta UDP 517:
-A PREROUTING -p udp --dport 514 -j REDIRECT --to-port <new-port> -s <IP address>
Em que:
Endereço IP é o endereço IP de seu servidor LDAP SunOne.
Nova porta é o número de porta configurado no protocolo UDP multilinhas para o LDAP SunOne.

1026 Guia de configuração do QRadar DSM

Deve-se incluir um redirecionamento para cada endereço IP do LDAP SunOne que envia eventos ao
seu QRadar Console ou Event Collector. Exemplo:
-A PREROUTING -p udp --dport 514 -j REDIRECT --to-port 517 -s <IP_address>
4. Salve a configuração de IPtables NAT.
Agora você está pronto para configurar IPtables em seu QRadar Console ou Event Collector para
aceitar eventos dos servidores LDAP SunOne.
5. Digite o comando a seguir para editar o arquivo de IPtables:
vi /opt/qradar/conf/iptables.post
O arquivo de configuração de IPtables é exibido.
6. Digite o comando a seguir para instruir o QRadar a permitir a comunicação em seus servidores LDAP
SunOne:
-I QChain 1 -m udp -p udp --src <IP_address> --dport <New port> -j ACCEPT
Em que:
Endereço IP é o endereço IP de seu servidor LDAP SunOne.
Nova porta é o número de porta configurado no protocolo UDP multilinhas para o LDAP SunOne.
Deve-se incluir um redirecionamento para cada endereço IP do LDAP SunOne que envia eventos ao
seu QRadar Console ou Event Collector. Exemplo:
-I QChain 1 -m udp -p udp --src <IP_address> --dport 517 -j ACCEPT
7. Digite o comando a seguir para atualizar o IPtables no QRadar:
./opt/qradar/bin/iptables_update.pl

Exemplo

Se você precisar configurar outro QRadar Console ou Event Collector que recebe eventos syslog de um
servidor LDAP SunOne, repita essas etapas.

O que Fazer Depois

Configure o servidor LDAP SunOne para encaminhar eventos para o QRadar.

Sun Solaris DHCP

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog das instalações
do Sun Solaris DHCP.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

144 Sun 1027

10. Configure os valores a seguir:
Tabela 552. Parâmetros de Syslog

Parâmetro Descrição
Identificador de origem de
log Digite o endereço IP ou o nome do host para a origem de log como um identificador
para eventos das instalações do Sun Solaris.

Cada origem de log adicional que você cria quando tem várias instalações inclui de
forma ideal um identificador exclusivo, como um endereço IP ou nome do host.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no IBM QRadar. Os eventos que são encaminhados para o QRadar pelo
Solaris Sendmail são exibidos na guia Atividade de log.

Configurando o Sun Solaris DHCP

O DSM Sun Solaris DHCP para o IBM QRadar registra todos os eventos DHCP relevantes usando syslog.

Sobre Esta Tarefa

Para coletar eventos do Sun Solaris DHCP, deve-se configurar o syslog para encaminhar eventos para o
QRadar.

Procedimento
1. Efetue login na interface da linha de comandos do Sun Solaris.
2. Edite o arquivo /etc/default/dhcp.
3. Ative a criação de log de transações DHCP para syslog incluindo a linha a seguir:
LOGGING_FACILITY=X
Em que X é o número correspondente a um recurso de syslog local, por exemplo, um número de 0 a
7.
4. Salve e saia do arquivo.
5. Edite o arquivo /etc/syslog.conf.
6. Para encaminhar logs de autenticação do sistema para o QRadar, inclua a linha a seguir no arquivo:
localX.notice @<IP address>
Em que:
X e o número do recurso de criação de log que você especificou em “Configurando o Sun Solaris
DHCP”.
<IP address> é o endereço IP do QRadar. Use tabulações em vez de espaços para formatar a linha.
7. Salve e saia do arquivo.
8. Digite o seguinte comando:
kill -HUP `cat /etc/syslog.pid`

O que Fazer Depois

Agora você está pronto para configurar a origem de log no QRadar.

Configurando o Sun Solaris

O DSM Sun Solaris para o IBM QRadar grava todos os eventos de autenticação do Solaris relevantes
usando syslog.

1028 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

Para coletar eventos de autenticação do Sun Solaris, deve-se configurar o syslog para encaminhar eventos
para o IBM QRadar.

Procedimento
1. Efetue login na interface da linha de comandos do Sun Solaris.
2. Abra o arquivo /etc/syslog.conf.
3. Para encaminhar logs de autenticação do sistema para o QRadar, inclua a linha a seguir no arquivo:
*.err;auth.notice;auth.info@<IP address>
Em que <IP address> é o endereço IP do QRadar. Use tabulações em vez de espaços para formatar a
linha.

Nota: Dependendo da versão do Solaris que você está executando, pode ser necessário incluir mais
tipos de log no arquivo. Entre em contato com o administrador do sistema para obter mais
informações.
4. Salve e saia do arquivo.
5. Digite o seguinte comando:
kill -HUP `cat /etc/syslog.pid`

O que Fazer Depois

Agora você está pronto para configurar a origem de log do QRadar.

Nota: Se uma origem de log do Linux for criada para o sistema Solaris que está enviando eventos,
desative a origem de log do Linux e, em seguida, ajuste a ordem de análise sintática. Assegure-se de que
o DSM Solaris seja listado primeiro.

Sun Solaris Sendmail

O DSM Sun Solaris Sendmail para o IBM QRadar aceita eventos de autenticação Solaris usando syslog e
registra todos os eventos sendmail relevantes.

Sobre Esta Tarefa

Para coletar eventos do Sun Solaris Sendmail, deve-se configurar o syslog para encaminhar eventos para
o QRadar.

Procedimento
1. Efetue login na interface da linha de comandos do Sun Solaris.
2. Abra o arquivo /etc/syslog.conf.
3. Para encaminhar logs de autenticação do sistema para o QRadar, inclua a linha a seguir no arquivo:
mail.*; @<IP address>
Em que <IP address> é o endereço IP do QRadar. Use tabulações em vez de espaços para formatar a
linha.

144 Sun 1029

5. Digite o seguinte comando:
kill -HUP 'cat /etc/syslog.pid'
Agora você está pronto para configurar a origem de log do QRadar.

Configurando uma origem de log Sun Solaris Sendmail

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog de dispositivos
Sun Solaris Sendmail.

Sobre Esta Tarefa

As etapas de configuração a seguir são opcionais.

Cada origem de log adicional que você cria quando tem várias instalações inclui de
forma ideal um identificador exclusivo, como um endereço IP ou nome do host.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Os eventos que são encaminhados para o QRadar pelo
Solaris Sendmail são exibidos na guia Atividade de log.

Sun Solaris Basic Security Mode (BSM)

Sun Solaris Basic Security Mode (BSM) é uma ferramenta de rastreamento de auditoria para o
administrador do sistema recuperar eventos de auditoria detalhados dos sistemas Sun Solaris.

O IBM QRadar recupera eventos Sun Solaris BSM usando o Protocolo de arquivo de log. Para configurar
o QRadar para integrar com o Solaris Basic Security Mode, execute as seguintes etapas:
1. Ative o Solaris Basic Security Mode.
2. Converta os logs de auditoria de binário em um formato legível por humanos.
3. Planeje uma tarefa cron para executar o script de conversão em um planejamento.
4. Colete eventos Sun Solaris no QRadar usando o protocolo de arquivo de log.

1030 Guia de configuração do QRadar DSM

Ativando o Basic Security Mode no Solaris 10
Para configurar o Sun Solaris BSM no Solaris 10, deve-se ativar o Solaris Basic Security Mode e
configurar as classes de eventos registrados pelo sistema em um arquivo de log de auditoria.

Sobre Esta Tarefa

Configure o Basic Security Mode e ative a auditoria no Sun Solaris 10.

Procedimento
1. Efetue login no console Solaris como um superusuário ou usuário raiz.
2. Ative o modo de usuário único no console Solaris.
3. Digite o comando a seguir para executar o script bsmconv e ativar a auditoria:
/etc/security/bsmconv
O script bsmconv ativa o Solaris Basic Security Mode e inicia o serviço de auditoria auditd.
4. Digite o comando a seguir para abrir o log de controle de auditoria para edição:
vi /etc/security/audit_control
5. Edite o arquivo de controle de auditoria para conter as informações a seguir:
dir:/var/audit flags:lo,ad,ex,-fw,-fc,-fd,-fr naflags:lo,ad
6. Salve as mudanças no arquivo audit_control e reinicialize o console do Solaris para iniciar o auditd.
7. Digite o comando a seguir para verificar se o auditd é iniciado:
/usr/sbin/auditconfig -getcond
Se o processo auditd for iniciado, a sequência a seguir será retornada:
audit condition = auditing

O que Fazer Depois

Agora é possível converter os logs binários do Solaris Basic Security Mode em um formato de log legível
pelo usuário.

Ativando o Basic Security Mode no Solaris 11

Para configurar o Sun Solaris BSM no Solaris 11, deve-se ativar o Solaris Basic Security Mode e configurar
as classes de eventos registrados pelo sistema em um arquivo de log de auditoria.

Procedimento
1. Efetue login no console do Solaris 11 como um superusuário ou raiz.
2. Inicie o serviço de auditoria digitando o comando a seguir:
audit -s
3. Configure as classes atribuíveis digitando o comando a seguir:
auditconfig -setflags lo,ps,fw
4. Configure as classes não atribuíveis digitando o comando a seguir:
auditconfig -setnaflags lo,na
5. Para verificar se o serviço de auditoria é iniciado, digite o comando a seguir:
/usr/sbin/auditconfig -getcond
Se o processo auditd for iniciado, a sequência a seguir será retornada:
audit condition = auditing

144 Sun 1031

Convertendo logs de auditoria do Sun Solaris BSM
O IBM QRadar não pode processar arquivos binários diretamente do Sun Solaris BSM. Deve-se converter
o log de auditoria do formato binário existente para um formato de log legível pelo usuário utilizando
praudit para que os dados do log de auditoria possam ser recuperados pelo QRadar.

Procedimento
1. Digite o comando a seguir para criar um novo script em seu console Sun Solaris:
vi /etc/security/newauditlog.sh
2. Inclua as informações a seguir no script newauditlog.sh:
#!/bin/bash # # newauditlog.sh - Start a new audit file and expire the old logs #
AUDIT_EXPIRE=30 AUDIT_DIR="/var/audit" LOG_DIR="/var/log/"
/usr/sbin/audit -n cd $AUDIT_DIR # in case it is a link #
Get a listing of the files based on creation date that are not current in use
FILES=$(ls -lrt | tr -s " " | cut -d" " -f9 | grep -v "not_terminated")
# We just created a new audit log by doing ’audit -n’,
so we can # be sure that the last file in the list will be the
latest # archived binary log file.
lastFile="" for file in $FILES; do
lastFile=$file
done
# Extract a human-readable file from the binary log file
echo "Beginning praudit of $lastFile"
praudit -l $lastFile > "$LOG_DIR$lastFile.log" echo "Done praudit,
creating log file at: $LOG_DIR$lastFile.log"
/usr/bin/find . $AUDIT_DIR -type f -mtime +$AUDIT_EXPIRE \ -exec rm {} > /dev/null 2>&1 \;
# End script
O script gera arquivos de log no formato <starttime>.<endtime>.<hostname>.log.
Por exemplo, o diretório de log em /var/log conteria um arquivo com o nome a seguir:
20111026030000.20111027030000.qasparc10.log
3. Opcional: Edite o script para alterar o diretório padrão para os arquivos de log.
a. AUDIT_DIR="/var/audit" – O diretório de auditoria deve corresponder ao local que é especificado
pelo arquivo de controle de auditoria que você configurou em “Ativando o Basic Security Mode
no Solaris 10” na página 1031.
4. LOG_DIR="/var/log/" – O diretório de log é o local dos arquivos de log legíveis pelo usuário de seu
sistema Sun Solaris que estão prontos para serem recuperados pelo QRadar.
5. Salve as mudanças no script newauditlog.sh.

O que Fazer Depois

Agora é possível automatizar esse script usando CRON para converter o log do Sun Solaris Basic Security
Mode em formato legível pelo usuário.

Criando uma tarefa cron

Cron é um utilitário de daemon Solaris que automatiza scripts e comandos a serem executados em todo o
sistema em uma base planejada.

Sobre Esta Tarefa

As etapas a seguir fornecem um exemplo para automatizar newauditlog.sh para execução diária à
meia-noite. Se você precisar recuperar arquivos de log várias vezes por dia de seu sistema Solaris, deverá
alterar seu planejamento de cron.

1032 Guia de configuração do QRadar DSM

Procedimento
1. Digite o comando a seguir para criar uma cópia de seu arquivo cron:
crontab -l > cronfile
2. Digite o comando a seguir para editar o cronfile:
vi cronfile
3. Inclua as informações a seguir no cronfile:
0 0 * * * /etc/security/newauditlog.sh
4. Salve a mudança no cronfile.
5. Digite o comando a seguir para incluir o cronfile em crontab:
crontab cronfile
6. Agora é possível configurar a origem de log no IBM QRadar para recuperar os arquivos de log de
auditoria do Sun Solaris BSM.

O que Fazer Depois

Agora você está pronto para configurar uma origem de log no QRadar.

Configurando uma origem de log para o Sun Solaris BSM

Uma origem de protocolo de arquivo de log permite que o IBM QRadar recupere arquivos de log
arquivados a partir de um host remoto. O Sun Solaris BSM suporta o carregamento em massa de
arquivos de log de auditoria usando o protocolo de arquivo de log.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Na lista Tipo de origem de log, selecione Solaris BSM.
6. Usando a lista Configuração de protocolo, selecione Arquivo de log.
7. Configure os parâmetros a seguir:
Tabela 554. Parâmetros de arquivo de log
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log. O identificador de
log origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de serviço Na lista, selecione o protocolo que você deseja usar ao recuperar arquivos de log de
um servidor remover. O padrão é SFTP.
v SFTP - Protocolo de Transferência de Arquivos SSH
v FTP - Protocolo de Transferência de Arquivos
v SCP - Copia segura

O protocolo subjacente que é usado para recuperar arquivos de log para os tipos de
serviço SCP e SFTP requer que o servidor especificado no campo IP ou nome do host
remoto tenha o subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do sistema Sun Solaris BSM.
Porta remota Digite a porta TCP no host remoto que esteja executando o Tipo de Serviço
selecionado. Se você configurar o Tipo de serviço como FTP, o padrão será 21. Se
configurar o Tipo de serviço como SFTP ou SCP, o padrão será 22.

O intervalo válido é de 1 a 65535.

144 Sun 1033

Tabela 554. Parâmetros de arquivo de log (continuação)
Parâmetro Descrição
Usuário remoto Digite o nome do usuário necessário para efetuar login no sistema Sun Solaris.

O nome de usuário pode ter até 255 caracteres de comprimento.

Senha remota Digite a senha necessária para efetuar login no sistema Sun Solaris.
Confirmar senha Confirme a Senha remota para efetuar login no sistema Sun Solaris.
Arquivo de chave SSH Se você selecionar SCP ou SFTP no campo Tipo de serviço, será possível definir um
caminho de diretório para um arquivo de chave privado SSH. O arquivo de chave
privado SSH oferece a opção de ignorar o campo Senha remota.
Diretório remoto Digite o local do diretório no host remoto a partir do qual os arquivos são
recuperados. Por padrão, o script newauditlog.sh grava os arquivos de log legíveis
pelo usuário no diretório /var/log/.
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo também procure
subpastas. O parâmetro Recursivo não será usado se você configurar SCP como o
Tipo de serviço. Por padrão, a caixa de seleção não é selecionada.
Padrão do arquivo de FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, isso fornecerá a opção de
configurar a expressão regular (regex) que é necessária para filtrar a lista de arquivos
que são especificados no Diretório remoto. Todos os arquivos correspondentes são
incluídos no processamento.

Por exemplo, se você deseja recuperar todos os arquivos no formato

<starttime>.<endtime>.<hostname>.log, use esta entrada: \d+\.\d+\.\w+\.log.

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

Para obter mais informações, consulte o seguinte website: http://
download.oracle.com/javase/tutorial/essential/regex/
Modo de transferência por Essa opção será exibida somente se você selecionar FTP como o Tipo de serviço. O
FTP parâmetro Modo de transferência por FTP fornece a opção de definir o modo de
transferência de arquivo ao recuperar arquivos de log via FTP.

Na lista, selecione o modo de transferência que você deseja aplicar a esta origem de
log:
v Binário - Selecione Binário para origens de log que requerem arquivos de dados
binários ou archives compactados .zip, .gzip, .tar ou .tar+gzip.
v ASCII - Selecionar ASCII para origens de log que requerem uma transferência de
arquivos FTP ASCII. Deve-se selecionar NONE para o campo Processador e
LINEBYLINE para o campo Gerador de evento ao usar ASCII como o modo de
transferência.
Arquivo remoto do SCP Se você selecionar SCP como o Tipo de serviço, deve-se digitar o nome do arquivo
remoto.
Horário de Início Digite o horário do dia que deseja que o processamento comece. Esse parâmetro
funciona com o valor de Recorrência para estabelecer quando e com que frequência o
Diretório Remoto é varrido em busca de arquivos. Digite o horário de início, com
base em um relógio de 24 horas, no seguinte formato: HH: MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório seja varrido a cada 2 horas. O
padrão é 1H.

1034 Guia de configuração do QRadar DSM

Tabela 554. Parâmetros de arquivo de log (continuação)
Parâmetro Descrição
Executar no salvamento Marque esta caixa de seleção se desejar que o protocolo de arquivo de log seja
executado logo após clicar em Salvar. Depois que a operação Executar ao salvar for
concluída, o protocolo de arquivo de log seguirá o planejamento configurado de
horário de início e recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

para o parâmetro Ignorar arquivo(s) processado(s) anteriormente.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O intervalo válido é 100 a 5000.
Processador Se os arquivos no host remoto forem armazenados em um formato de archive .zip,
.gzip, .tar ou tar+gzip, selecione o processador que permite que os archives sejam
expandidos e o conteúdo processado.
Ignorar arquivo(s) Marque essa caixa de seleção para rastrear os arquivos que já foram processados e
processado(s) anteriormente você não deseja que os arquivos sejam processados uma segunda vez. Isso se aplica
somente aos Tipos de serviço FTP e SFTP.
Mudar o diretório local? Marque essa caixa de seleção para definir o diretório local em seu sistema QRadar
que você deseja usar para armazenar arquivos transferidos por download durante o
processamento. É sugerido que você deixe a caixa de seleção desmarcada. Quando a
caixa de seleção está marcada, o campo Diretório local é exibido, fornecendo a você a
opção de configurar o diretório local a ser usado para armazenar arquivos.
Gerador de evento Na lista Gerador de evento, selecione LINEBYLINE.

8. Clique em Salvar.
A configuração está concluída. Os eventos que são recuperados usando o protocolo de arquivo de log
são exibidos na guia Atividade de log do QRadar.

144 Sun 1035

1036 Guia de configuração do QRadar DSM
145 Sybase ASE
É possível integrar um dispositivo Sybase Adaptive Server Enterprise (ASE) com o IBM QRadar SIEM
para registrar todos os eventos relevantes usando JDBC.

Sobre Esta Tarefa

Para configurar um dispositivo Sybase ASE:

Procedimento
1. Configure a auditoria do Sybase.
Para obter informações sobre como configurar a auditoria do Sybase, consulte a documentação do
Sybase.
2. Efetue login no banco de dados do Sybase como um usuário sa:
isql -Usa -P<password>
Em que <password> é a senha necessária para acessar o banco de dados.
3. Alterne para o banco de dados de segurança:
v use sybsecurity
v go
4. Crie uma visualização para o IBM QRadar SIEM.
v create view audit_view
v as
v select audit_event_name(event) as event_name, * from <audit_table_1>
v union
v select audit_event_name(event) as event_name, * from <audit_table_2>
v go
5. Para cada tabela de auditoria adicional na configuração de auditoria, certifique-se de que o parâmetro
union select seja repetido para cada tabela de auditoria adicional.
Por exemplo, se você deseja configurar a auditoria com quatro tabelas de auditoria (sysaudits_01,
sysaudits_02, sysaudits_03, sysaudits_04), digite os comandos a seguir:
v create view audit_view as select audit_event_name(event) as event_name, * from
sysaudits_01
v union select audit_event_name(event) as event_name, * from sysaudits_02,
v union select audit_event_name(event) as event_name, * from sysaudits_03,
v union select audit_event_name(event) as event_name, * from sysaudits_04

O que Fazer Depois

Agora é possível configurar a origem de log do IBM QRadar SIEM.
Conceitos relacionados:
“Opções de configuração de protocolo JDBC” na página 49
O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem
dados do evento a partir de vários tipos de banco de dados.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
© Copyright IBM Corp. 2005, 2019 1037
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o IBM QRadar SIEM para receber eventos de um

dispositivo Sybase ASE
É possível configurar o QRadar SIEM para receber eventos de um dispositivo Sybase ASE:

Procedimento
1. Efetue login no QRadar SIEM.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
A área de janela Origens de dados é exibida.
4. Clique no ícone Origens de Log.
A janela Origens de log é exibida.
5. Clique em Incluir.
A janela Incluir uma origem de log é exibida.
6. Na lista Tipo de origem de log, selecione a opção Sybase ASE .
7. Usando a lista Configuração de protocolo, selecione JDBC.
A configuração do protocolo JDBC é exibida.
8. Atualize a configuração JDBC para incluir os valores a seguir:
v Nome do Banco de Dados: sybsecurity
v Porta: 5000 (Padrão)
v Nome do usuário: sa
v Nome da tabela: audit_view
v Campo de comparação: eventtime
Os parâmetros Nome do banco de dados e Nome da tabela fazem distinção entre maiúsculas e
minúsculas.
Para obter mais informações sobre o dispositivo Sybase ASE, consulte a documentação do fornecedor.

1038 Guia de configuração do QRadar DSM

146 Symantec
O IBM QRadar suporta vários DSMs Symantec.

Symantec Critical System Protection

O IBM QRadar DSM for Symantec Critical System Protection pode coletar logs de eventos dos sistemas
Symantec Critical System Protection.

A tabela a seguir identifica as especificações para o Symantec Critical System Protection DSM.
Tabela 555. Especificações de Symantec Critical System Protection DSM
Especificação Valor
Fabricante Symantec
Nome do DSM Critical System Protection
Nome do arquivo RPM DSM-SymantecCriticalSystemProtection-
Qradar_version_build number.noarch.rpm
Versões Suportadas 5.1.1
Formato de evento Entradas do banco de dados
Tipos de evento registrado do QRadar Todos os eventos da visualização ‘CSPEVENT_VWu
Tipo de origem de log na UI do QRadar Symantec Critical System Protection
Descoberta automática? No
Inclui identidade? No
Inclui propriedades customizadas No
Para obter mais informações Página da web do Symantec (http://
www.symantec.com/)

Para integrar o Symantec Critical System Protection ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais atual
dos RPMs a seguir em seu QRadar Console:
v RPM Protocol-JDBC
v Symantec Critical System Protection RPM
2. Para cada instância do Symantec Critical System Protection, configure o Symantec Critical System
Protection para ativar a comunicação com o QRadar.
Assegure-se de que o QRadar possa pesquisar eventos no banco de dados usando a porta TCP 1433
ou a porta que está configurada para sua origem de log. As conexões de protocolo geralmente são
desativadas nos bancos de dados e etapas de configuração extras são necessárias em certas situações
para permitir conexões para a pesquisa de eventos. Configure firewalls que estão localizados entre o
Symantec Critical System Protection e o QRadar para permitir o tráfego para a pesquisa de eventos.
3. Se o QRadar não descobrir automaticamente o Symantec Critical System Protection, crie uma origem
de log para cada instância do Symantec Critical System Protection no QRadar Console. Use os valores
a seguir para os parâmetros de origem de log necessários:

Parâmetro Descrição
Tipo de Fonte de Log Symantec Critical System Protection
Configuração de protocolo JDBC

Parâmetro Descrição
Tipo de banco de dados MSDE
Ocorrência SCSP
Nome do Banco de Dados SCSPDB
Nome da tabela CSPEVENT_VW
Comparar Campo EVENT_ID

Symantec Data Loss Prevention (DLP)

O DSM Symantec Data Loss Protection (DLP) para o IBM QRadar aceita eventos de um dispositivo
Symantec DLP usando syslog.

Antes de configurar o QRadar, deve-se configurar as regras de resposta no Symantec DLP. A regra de
resposta permite que o dispositivo Symantec DLP encaminhe eventos syslog para o QRadar quando uma
violação de política de perda de dados ocorre. A integração do Symantec DLP requer que você crie duas
regras de resposta de protocolo (SMTP e None of SMTP) para o QRadar. Essas regras de resposta de
protocolo criam uma ação para encaminhar as informações de eventos, usando syslog, quando um
incidente é acionado.

Para configurar o Symantec DLP com o QRadar, execute as etapas a seguir:

1. Crie uma regra de resposta SMTP.
2. Crie uma regra de resposta None of SMTP
3. Configure uma origem de log no QRadar.
4. Mapeie os eventos Symantec DLP no QRadar.

Criando uma regra de resposta SMTP

É possível configurar uma regra de resposta SMTP no Symantec DLP.

Procedimento
1. Efetue login na interface com o usuário do Symantec DLP.
2. No menu, selecione Gerenciar > Políticas > Regras de resposta.
3. Clique em Incluir regra de resposta.
4. Selecione um dos tipos de regras de resposta a seguir:
v Resposta automatizada – Regras de resposta automatizada são acionadas automaticamente
conforme incidentes ocorrem. Esse é o valor padrão.
v Resposta inteligente – Regras de resposta inteligente são incluídas na tela Comando de incidente
e manipuladas por um usuário Symantec DLP autorizado.
5. Clique em Avançar.
Configure os valores a seguir:
6. Nome da regra - Digite um nome para a regra que você está criando. Esse nome é idealmente
descritivo o suficiente para que autores de política identifiquem a regra. Por exemplo, QRadar Syslog
SMTP.
1040 Guia de configuração do QRadar DSM
7. Descrição – Opcional. Digite uma descrição para a regra que você está criando.
8. Clique em Incluir condição.
9. No painel Condições, selecione as condições a seguir:
v Na primeira lista, selecione Protocolo ou monitoramento de terminal.
v Na segunda lista, selecione Is Any Of.
v Na terceira lista, selecione SMTP.
10. Na área de janela Ações, clique em Incluir ação.
11. Na lista Ações, selecione Todos: log para um servidor syslog.
12. Configure as seguintes opções:
a. Host – Digite o endereço IP do IBM QRadar.
13. Porta - Digite 514 como a porta syslog.
14. Mensagem - Digite a sequência a seguir para incluir uma mensagem para eventos SMTP.
LEEF:1.0|Symantec|DLP|2:medium|$POLICY$
|usrName=$SENDER$|duser=$RECIPIENTS$|rules=$RULES$
|matchCount=$MATCH_COUNT$|blocked=$BLOCKED$
|incidentID=$INCIDENT_ID$|incidentSnapshot=$INCIDENT_SNAPSHOT$
|subject=$SUBJECT$|fileName=$FILE_NAME$|parentPath=$PARENT_PATH$
|path=$PATH$|quarantineParentPath=$QUARANTINE_PARENT_PATH$
|scan=$SCAN$|target=$TARGET$
15. Nível – Nessa lista, selecione 6 – Informativo.
16. Clique em Salvar.

O que Fazer Depois

Agora é possível configurar sua regra de resposta None Of SMTP.

Criando uma regra de resposta None Of SMTP

É possível configurar uma regra de resposta None Of SMTP no Symantec DLP:

Procedimento
1. No menu, selecione Gerenciar > Políticas > Regras de resposta.
2. Clique em Incluir regra de resposta.
3. Selecione um dos tipos de regras de resposta a seguir:
v Resposta automatizada – Regras de resposta automatizada são acionadas automaticamente
conforme incidentes ocorrem. Esse é o valor padrão.
v Resposta inteligente – Regras de resposta inteligente são incluídas na tela Comando de incidente
e manipuladas por um usuário Symantec DLP autorizado.
4. Clique em Avançar.
Configure os valores a seguir:
5. Nome da regra - Digite um nome para a regra que você está criando. Esse nome é idealmente
descritivo o suficiente para que autores de política identifiquem a regra. Por exemplo, QRadar Syslog
None Of SMTP
6. Descrição – Opcional. Digite uma descrição para a regra que você está criando.
7. Clique em Incluir condição.
8. Na área de janela Condições, selecione as condições a seguir:
v Na primeira lista, selecione Protocolo ou monitoramento de terminal.
v Na segunda lista, selecione Is Any Of.
v Na terceira lista, selecione None Of SMTP.
9. Na área de janela Ações, clique em Incluir ação.

146 Symantec 1041

O que Fazer Depois

Agora você está pronto para configurar o IBM QRadar.

Configurando uma origem de log

É possível configurar a origem de log no IBM QRadar para receber eventos de um dispositivo Symantec
DLP.

Sobre Esta Tarefa

O QRadar detecta automaticamente eventos syslog para as regras de resposta SMTP e None of SMTP que
você cria. No entanto, se você deseja configurar manualmente o QRadar para receber eventos de um
dispositivo Symantec DLP:

Procedimento
Na lista Tipo de origem de log, selecione a opção Symantec DLP.
Para obter mais informações sobre o Symantec DLP, consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Criação de mapa de eventos para eventos Symantec DLP

O mapeamento de eventos é requerido para diversos eventos Symantec DLP. Devido à natureza
customizável de regras de política, a maioria dos eventos, exceto os eventos de política padrão, não
contém um mapa de QRadar Identifier (QID) predefinido para categorizar eventos de segurança.

É possível mapear individualmente cada evento de seu dispositivo para uma categoria de evento no
QRadar. O mapeamento de eventos permite que o QRadar identifique, una e rastreie eventos recorrentes
em seus dispositivos de rede. Até que você mapeie um evento, todos os eventos que são exibidos na guia
Atividade de log para Symantec DLP são categorizados como desconhecidos. Os eventos Desconhecidos
são facilmente identificados, uma vez que a coluna Nome do evento e as colunas de Categoria de baixo
nível exibem Desconhecido.

Descobrindo eventos desconhecidos

Conforme seu dispositivo encaminha eventos para o IBM QRadar, ele pode levar um tempo para
categorizar todos os eventos de um dispositivo, porque alguns eventos podem não ser gerados
imediatamente pelo dispositivo ou software de origem de eventos.

1042 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

É útil saber como procurar rapidamente eventos desconhecidos. Quando você sabe procurar eventos
desconhecidos, é sugerido que repita essa procura até que esteja satisfeito de poder identificar a maioria de
seus eventos.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Atividade de log.
3. Clique em Incluir filtro.
4. Na primeira lista, selecione Origem de log.
5. Na lista Grupo de origem de log, selecione o grupo de origem de log ou Outro.
As origens de log que não estão designadas a um grupo são categorizadas como Outro.
6. Na lista Origem de log, selecione a origem de log Symantec DLP.
7. Clique em Incluir filtro.
A guia Atividade de log é exibida com um filtro para sua origem de log.
8. Na lista Visualizar, selecione Última hora.
Quaisquer eventos que são gerados pelo DSM Symantec DLP na última hora serão exibidos. Os
eventos que são exibidos como desconhecidos na coluna Nome do evento ou Categoria de baixo nível
requerem mapeamento de eventos no QRadar.

Nota: É possível salvar o filtro de procura existente clicando em Salvar critérios.

O que Fazer Depois

Agora é possível modificar o mapa de eventos.

Modificando o mapa de eventos

A modificação de um mapa de eventos fornece a opção de categorizar eventos manualmente para um
mapa QRadar Identifier (QID).

Sobre Esta Tarefa

Qualquer evento que é categorizado para uma origem de log pode ser remapeado para um novo QRadar
Identifier (QID).

Nota: Os eventos que não têm uma origem de log definida não podem ser mapeados para um evento.
Os eventos sem uma origem de log exibem o Log genérico SIM na coluna Origem de log.

Procedimento
1. Na coluna Nome do evento, dê um clique duplo em um evento desconhecido para Symantec DLP.
As informações de eventos detalhadas são exibidas.
2. Clique em Mapear evento.
3. Na área de janela Procurar QID, selecione qualquer uma das opções de procura a seguir para limitar
as categorias de eventos para um IBM QRadar Identifier (QID):
a. Na lista Categoria de alto nível, selecione uma categorização de evento de alto nível.
Para obter uma lista completa de categorias de eventos de alto e baixo nível ou definições de
categoria, consulte a seção Categorias de eventos do Guia de Administração do IBM QRadar.
4. Na lista Categoria de baixo nível, selecione uma categorização de evento de baixo nível.
5. Na lista Tipo de origem de log, selecione um tipo de origem de log.

146 Symantec 1043

A lista Tipo de origem de log fornece a opção de procurar QIDs de outras origens de log. A procura
de QIDs por origem de log é útil quando os eventos são semelhantes a outro dispositivo de rede
existente. Por exemplo, a Symantec fornece eventos de política e prevenção contra perda de dados;
você pode selecionar outro produto que provavelmente capture eventos semelhantes.
6. Para procurar um QID por nome, digite um nome no campo QID/Nome.
O campo QID/Nome fornece a opção de filtrar a lista completa de QIDs para uma palavra específica,
por exemplo, política.
7. Clique em Procurar.
Uma lista de QIDs é exibida.
8. Selecione o QID que você deseja associar ao evento desconhecido.
9. Clique em OK.
Mapeia quaisquer eventos adicionais que são encaminhados por seu dispositivo com o mesmo QID
que corresponde à carga útil do evento. A contagem de evento aumenta cada vez que o evento é
identificado pelo QRadar.
Se você atualizar um evento com um novo mapa QRadar Identifier (QID), os eventos passados que
estão armazenados no QRadar não serão atualizados. Somente os novos eventos serão categorizados
com o novo QID.

Symantec Endpoint Protection

O IBM QRadar for Symantec Endpoint Protection coleta eventos de um sistema Symantec Endpoint
Protection.

A tabela a seguir descreve as especificações para o Symantec Endpoint Protection DSM:

Tabela 556. Especificações do Symantec Endpoint Protection DSM
Especificação Valor
Fabricante Symantec
Nome do DSM Symantec Endpoint Protection
Nome do arquivo RPM DSM-SymantecEndpointProtection-QRadar_version-
build_number.noarch.rpm
Versões suportadas Endpoint Protection V11, V12 e V14
Protocolo Syslog
Formato de evento Syslog
Tipos de eventos registrados Todos de logs de auditoria e segurança
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Symantec (https: //www.symantec.com)

Para integrar o Symantec Endpoint Protection ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM do DSM Symantec Endpoint Protection
2. Configure o dispositivo Symantec Endpoint Protection para enviar eventos syslog para o QRadar.

1044 Guia de configuração do QRadar DSM

3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Symantec
Endpoint Protection no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para coletar eventos do Symantec Endpoint Protection:
Tabela 557. Parâmetros de origem de log do Symantec Endpoint Protection
Parâmetro Valor
Tipo de origem de log Symantec Endpoint Protection
Configuração do Protocolo Syslog
Log Source Identifier Digite um identificador exclusivo para a origem de log.

4. Verifique se o QRadar está configurado corretamente.

A tabela a seguir mostra uma mensagem de evento normalizada de amostra do Symantec Endpoint
Protection:
Tabela 558. Mensagem de amostra Symantec Endpoint Protection
Nome do Evento Categoria de baixo nível Mensagem de log de amostra
Bloqueado Acesso Negado <51>Mar 3 13:52:13 <Server> Syman
tecServer: USER, <IP_address>,
Bloqueado, [ AC13-1.5 ]
Bloquear a partir do carregamento
ing outros DLLs-Caller MD5 = xxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxx, Carregar Dl
l, Begin: 2017-03-03 13:48:18, End: 2
017-03-03 13:48:18, Rule: Corp Endpo
int-Browser Restrictions | [ AC13-
1.5] Block from loading other DLLs,
6804,C:/Program Files (x86)/Microso
ft Office/Office14/WINPROJ.EXE,0, N
o Module Name,C:/Users/USER
/AppData/Local/assembly/dl3/DMD7K
4QX.8GW/WQ9LV1W4.8HL/e705c114/00
6fef9d_f364d101/ProjectPublisher
2010.DLL, Usuário: USER, Domínio
: LAB, Tipo de Ação:, Tamanho do arquivo (
bytes): 4216832, ID do Dispositivo: SCSI\
Disco & Ven_ATA & Prod_SAMSUNG_SSD_
PM83\4 & 27c82505 & 0 & 000000

Configurando o Symantec Endpoint Protection para se comunicar com

o QRadar
Antes de poder incluir a origem de log do Symantec Endpoint Protection no QRadar, é necessário
configurar o dispositivo Symantec Endpoint Protection para encaminhar eventos syslog.

Procedimento
1. Efetue login no sistema Symantec Endpoint Protection Manager.
2. Na área de janela à esquerda, clique no ícone Administrador.
3. Na parte inferior da área de janela Visualizar servidores, clique em Servidores.

146 Symantec 1045

4. Na área de janela Visualizar servidores, clique em Site local.
5. Na área de janela Tarefas, clique em Configurar criação de log externa.
6. Na guia Geral, selecione a caixa de seleção Ativar transmissão de logs para um servidor syslog.
7. No campo Servidor syslog, digite o endereço IP de seu QRadar que você deseja analisar os logs.
8. No campo Porta de destino UDP, digite 514.
9. No campo Recurso de log, digite 6.
10. Na guia Filtro de log, em Logs do servidor de gerenciamento, marque a caixa de seleção Logs de
auditoria.
11. Na área de janela Log do cliente, selecione a caixa de seleção Logs de segurança.
12. Na área de janela Log do cliente, selecione a caixa de seleção Riscos.
13. Clique em OK.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Symantec Encryption Management Server

O DSM do Symantec Encryption Management Server para o IBM QRadar coleta eventos syslog do
Symantec Encryption Management Servers.

O Symantec Encryption Management Server era conhecido anteriormente como Symantec PGP Universal
Server.

O QRadar coleta todos os eventos relevantes das categorias a seguir:

v Administração
v Atualizações de software
v Armazenamento em cluster
v Backups
v Web Messenger
v Diretório verificado
v Postfix
v Logs do cliente
v Correio
v Logs de criptografia de disco inteiro

Antes de poder integrar eventos do Symantec Encryption Management Server com o QRadar, deve-se
configurar o Symantec Encryption Management Server para se comunicar com o QRadar.
Tarefas relacionadas:
“Configurando o Symantec Encryption Management Server para se comunicar com o QRadar” na página
1047
Ative a criação de log externa para encaminhar eventos syslog para o IBM QRadar.
“Configurando uma origem de log” na página 1047
O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Symantec
Encryption Management Servers.

1046 Guia de configuração do QRadar DSM

“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.

Configurando o Symantec Encryption Management Server para se

comunicar com o QRadar
Ative a criação de log externa para encaminhar eventos syslog para o IBM QRadar.

Procedimento
1. Em um navegador da web, efetue login na interface administrativa do servidor Encryption
Management.
https://<Encryption Management Server IP address>:9000
2. Clique em Configurações.
3. Marque a caixa de seleção Ativar syslog externo.
4. Na lista Protocolo, selecione UDP ou TCP.
Por padrão, o QRadar usa a porta 514 para receber mensagens de eventos syslog UDP ou TCP.
5. No campo Nome do host, digite o endereço IP do QRadar Console ou Event Collector.
6. No campo Porta, digite 514.
7. Clique em Salvar.
A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos do
Symantec Encryption Management Server são descobertos automaticamente. Os eventos que são
encaminhados para o QRadar pelos Symantec Encryption Management Servers são exibidos na guia
Atividade de log do QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do Symantec
Encryption Management Servers.

Sobre Esta Tarefa

Se o QRadar não detectar automaticamente a origem de log do syslog, inclua uma origem de log do
Symantec Encryption Management Server no QRadar Console.

146 Symantec 1047

Tabela 559. Parâmetros de origem de log do Syslog
Parâmetro Descrição
Identificador de Fonte de Digite o endereço IP ou o nome do host para a origem de log como um identificador
Log para eventos de seu Symantec Encryption Management Server.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

Symantec SGS
O DSM Symantec Gateway Security (SGS) Appliance para o IBM QRadar aceita eventos SGS usando
syslog.

Sobre Esta Tarefa

O QRadar registra todos os eventos relevantes do SGS. Antes de configurar o QRadar para integração
com um SGS, deve-se configurar o syslog no dispositivo SGS. Para obter mais informações sobre o
Symantec SGS, consulte a documentação do fornecedor.

Depois de configurar o syslog para encaminhar eventos para o QRadar, a configuração está concluída. Os
eventos encaminhados do Symantec SGS para o QRadar usando syslog são descobertos automaticamente.
No entanto, se você desejar criar manualmente uma origem de log para o Symantec SGS:

Procedimento

Na lista Tipo de origem de log, selecione a opção Symantec Gateway Security (SGS) Appliance.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Symantec System Center

O DSM Symantec System Center (SSC) para o IBM QRadar recupera eventos de um banco de dados SSC
usando uma visualização customizada que é criada para o QRadar.

O QRadar registra todos os eventos SSC. Deve-se configurar o banco de dados SSC com um usuário que
tenha privilégios de leitura e gravação para a visualização customizada do QRadar a fim de poder
pesquisar a visualização para obter informações. O Symantec System Center (SSC) suporta somente o
protocolo JDBC.

configurando uma visualização de banco de dados para o Symantec

System Center
Uma visualização do banco de dados é requerida pelo protocolo JDBC para pesquisar eventos SSC.

Procedimento

No banco de dados Microsoft SQL Server que é usado pelo dispositivo SSC, configure uma visualização
padrão customizada para suportar o IBM QRadar:

1048 Guia de configuração do QRadar DSM

Nota: O nome do banco de dados não deve conter nenhum espaço.
v CREATE VIEW dbo.vw_qradar AS SELECT
v dbo.alerts.Idx AS idx,
v dbo.inventory.IP_Address AS ip,
v dbo.inventory.Computer AS computer_name,
v dbo.virus.Virusname AS virus_name,
v dbo.alerts.Filepath AS filepath,
v dbo.alerts.NoOfViruses AS no_of_virus,
v dbo.actualaction.Actualaction AS [action],
v dbo.alerts.Alertdatetime AS [date],
v dbo.clientuser.Clientuser AS user_name FROM
v dbo.alerts INNER JOIN
v dbo.virus ON dbo.alerts.Virusname_Idx = dbo.virus.Virusname_Idx INNER JOIN
v dbo.inventory ON dbo.alerts.Computer_Idx = dbo.inventory.Computer_Idx INNER JOIN
v dbo.actualaction ON dbo.alerts.Actualaction_Idx =
v dbo.actualaction.Actualaction_Idx INNER JOIN
v dbo.clientuser ON dbo.alerts.Clientuser_Idx = dbo.clientuser.Clientuser_Idx

O que Fazer Depois

Depois de criar a visualização customizada, deve-se configurar o QRadar para receber informações de
evento usando o protocolo JDBC.

Configurando uma origem de log

É possível configurar o IBM QRadar para acessar o banco de dados SSC usando o protocolo JDBC.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Usando a lista Tipo de origem de log, selecione Symantec System Center.
7. Usando a lista Configuração de protocolo, selecione JDBC.
8. Configure os parâmetros a seguir:
Tabela 560. Parâmetros do Symantec System Center JDBC
Parâmetro Descrição
Identificador de origem de Digite o identificador da origem de log. Digite o identificador de origem de log no
log seguinte formato:

<SSC Database>@<SSC Database Server IP or Host Name>

Em que:
v <SSC Database> é o nome do banco de dados, conforme inserido no parâmetro
Nome do banco de dados.
v <SSC Database Server IP or Host Name> é o nome do host ou o endereço IP para
essa origem de log, conforme inserido no parâmetro IP ou nome do host.
Tipo de banco de dados Na lista, selecione MSDE.

146 Symantec 1049

Tabela 560. Parâmetros do Symantec System Center JDBC (continuação)
Parâmetro Descrição
Nome do banco de dados Digite Reporting como o nome do banco de dados Symantec System Center.
IP ou nome do host Digite o endereço IP ou o nome do host do Symantec System Center SQL Server.
Porta Digite o número da porta que é usado pelo servidor de banco de dados. A porta
padrão para o MSDE é 1433.

A porta de configuração JDBC deve corresponder à porta do listener do banco de

dados Symantec System Center. O banco de dados Symantec System Center deve ter
conexões TCP recebidas que estejam ativadas para se comunicar com o QRadar.

Se você definir uma Instância de banco de dados quando usar o MSDE como o tipo
de banco de dados, deverá deixar o parâmetro Porta em branco na configuração.
Nome do usuário Digite o nome do usuário que é necessário para acessar o banco de dados.
Senha Digite a senha que é necessária para acessar o banco de dados. A senha pode ter até
255 caracteres de comprimento.
Confirmar senha Confirme a senha que é necessária para acessar o banco de dados. A senha de
confirmação deve ser idêntica à senha inserida no parâmetro Senha.
Domínio de autenticação Se você selecionar MSDE como o Tipo de banco de dados e o banco de dados estiver
configurado para Windows, deve-se definir um Domínio de autenticação do
Windows. Caso contrário, deixe este campo em branco.
Instância de banco de Opcional. Digite a instância de banco de dados, se você tiver várias instâncias do SQL
dados server em seu servidor de banco de dados.

Se você usar uma porta não padrão na configuração do seu banco de dados ou
bloquear o acesso à porta 1434 para a resolução do banco de dados SQL, deverá
deixar o parâmetro Database Instance em branco na sua configuração.
Nome da tabela Digite vw_qradar como o nome da tabela ou visualização que inclui os registros de
eventos.
Selecionar lista Digite * em todos os campos da tabela ou visualização.

É possível usar uma lista separada por vírgula para definir tabelas ou visualizações
específicas, se você precisar disso para a sua configuração. A lista separada por
vírgula pode ter até 255 caracteres alfanuméricos de comprimento. A lista pode incluir
os seguintes caracteres especiais: símbolo de dólar ($), sinal de número (#),
sublinhado (_), traço (-) e ponto (.).
Comparar campo Digite idx como o campo de comparação. O campo de comparação é usado para
identificar novos eventos incluídos entre as consultas na tabela.
Data e hora de início Opcional. Digite a data e hora de início para a pesquisa de banco de dados.

O parâmetro Data e horário de início deve ser formatado como yyyy-MM-dd HH:
mm, com HH especificado com o uso de um relógio de 24 horas. Se a data ou hora
de início for limpa, a pesquisa começa imediatamente e repete no intervalo de
pesquisa especificado.
Usar instruções preparadas Selecione essa caixa de seleção para usar instruções preparadas.

Instruções preparadas permitem que a origem do protocolo JDBC configure a

instrução SQL uma vez, em seguida, execute a instrução SQL várias vezes com
parâmetros diferentes. Por motivos de segurança e desempenho, é sugerido que você
use as instruções preparadas.

Limpar esta caixa de seleção requer que você use um método alternativo de consulta
que não use instruções pré-compiladas.

1050 Guia de configuração do QRadar DSM

Tabela 560. Parâmetros do Symantec System Center JDBC (continuação)
Parâmetro Descrição
Intervalo de pesquisa Digite o intervalo de pesquisa, que é a quantidade de tempo entre as consultas à
tabela de eventos. O intervalo de pesquisa padrão é de 10 segundos.

É possível definir um intervalo de pesquisa maior ao anexar H para horas ou M para

minutos ao valor numérico. O intervalo máximo de pesquisa é 1 semana em qualquer
formato de hora. Os valores numéricos que são inseridos sem uma pesquisa de H ou
M em segundos.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O valor padrão é 20000 EPS.
Usar comunicação de canal Desmarque a caixa de seleção Usar comunicação de canal nomeado.
nomeado
Ao usar uma conexão de Canal Nomeado, o nome de usuário e a senha devem ser os
de autenticação do Windows apropriados e não os do banco de dados. Além disso,
deve-se usar o canal nomeado padrão.
Nome do cluster do banco Se você selecionou a caixa de seleção Usar comunicação do canal nomeado, o
de dados parâmetro Nome do cluster do banco de dados será exibido. Se você estiver
executando seu SQL server em um ambiente em cluster, defina o nome do cluster
para assegurar que a comunicação do canal nomeado funcione corretamente.

Nota: A seleção de um valor maior que 5 para o parâmetro Credibilidade pondera a origem de log
do Symantec System Center com uma importância maior se comparada com outras origens de log
no QRadar.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída.

146 Symantec 1051

1052 Guia de configuração do QRadar DSM
147 Sourcefire Intrusion Sensor
O DSM Sourcefire Intrusion Sensor para o IBM QRadar aceita eventos syslog de intrusão e prevenção
baseados no Snort dos dispositivos Sourcefire.

Configurando o Sourcefire Intrusion Sensor

Para configurar o Sourcefire Intrusion Sensor, deve-se ativar os alertas de política e configurar o seu
dispositivo para encaminhar o evento para o QRadar.

Procedimento
1. Efetue login na interface com o usuário do Sourcefire.
2. No menu de navegação, selecione Intrusion Sensor > Política de detecção > Editar.
3. Selecione uma política ativa e clique em Editar.
4. Clique em Alerta.
5. No campo Estado, selecione on para ativar o alerta de syslog para a sua política.
6. Na lista Recurso, selecione Alerta.
7. Na lista Prioridade, selecione Alerta.
8. No campo Host de criação de log, digite o endereço IP do QRadar Console ou Coletor de Eventos.
9. Clique em Salvar.
10. No menu de navegação, selecione Intrusion Sensor > Política de detecção > Aplicar.
11. Clique em Aplicar.

O que Fazer Depois

Agora você está pronto para configurar a origem de log no QRadar.

Configurando uma origem de log para o Sourcefire Intrusion Sensor

no QRadar
O QRadar descobre e cria automaticamente uma origem de log para eventos do syslog por meio do
Sourcefire Intrusion Sensor. No entanto, você pode criar manualmente uma origem de log para o QRadar
receber eventos syslog. O procedimento a seguir é opcional.

12. Na guia Administrador, clique em Implementar mudanças.

1054 Guia de configuração do QRadar DSM

148 ThreatGRID Malware Threat Intelligence Platform
O DSM ThreatGRID Malware Threat Intelligence Platform para o IBM QRadar coleta eventos de malware
usando protocolo de arquivo de log ou syslog.

O QRadar suporta dispositivos ThreatGRID Malware Threat Intelligence Platform com software v2.0 que
usam o script QRadar Log Enhanced Event Format (LEEF) Creation.

Protocolos de coleção de eventos suportado para o ThreatGRID

Malware Threat Intelligence
O ThreatGRID Malware Threat Intelligence Platform grava eventos de malware que são legíveis pelo IBM
QRadar.

O script de criação LEEF é configurado no dispositivo ThreatGRID e consulta a API ThreatGRID para
gravar eventos LEEF que são legíveis pelo QRadar. O protocolo de coleção de eventos que a origem de
log usa para coletar eventos de malware é baseado no script que você instala no dispositivo ThreatGRID.

Duas opções de script estão disponíveis para coletar eventos formatados LEEF:
v Syslog – A versão syslog do script de criação LEEF permite que o dispositivo ThreatGRID encaminhe
eventos diretamente para o QRadar. Os eventos que são encaminhados pelo script syslog são
descobertos automaticamente pelo QRadar.
v Log file - A versão de protocolo de arquivo de log do script de criação LEEF perite que o dispositivo
ThreatGRID grave eventos de malware em um arquivo. O QRadar usa o protocolo de arquivo de log
para se comunicar com o host de log de eventos a fim de recuperar e analisar eventos de malware.

O script de criação LEEF está disponível no suporte ao cliente ThreatGRID. Para obter mais informações,
consulte o website do ThreatGRID http://www.threatgrid.com ou envie um e-mail para o suporte do
ThreatGRID em [email protected].

Visão geral da configuração do ThreatGRID Malware Threat

Intelligence
É possível integrar eventos ThreatGRID Malware Threat Intelligence com o IBM QRadar.

Deve-se concluir as tarefas a seguir:

1. Faça download do script Log Enhanced Event Format Creation do QRadar para seu tipo de coleção
de eventos no website de suporte do ThreatGRID para seu dispositivo.
2. No dispositivo ThreatGRID, instale e configure o script para pesquisar a API ThreatGRID em busca de
eventos.
3. No dispositivo QRadar, configure uma origem de log para coletar eventos com base no script você
instalou no dispositivo ThreatGRID.
4. Assegure-se de que nenhuma regra de firewall bloqueie a comunicação entre a instalação do
ThreatGRID e o QRadar Console ou host gerenciado que é responsável por recuperar eventos.

Configurando uma origem de log syslog ThreatGRID

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos de malware que são
encaminhados pelo ThreatGRID Malware Threat Intelligence Platform.

Sobre Esta Tarefa

Esse procedimento é opcional.

O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
Ativado Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa caixa de
seleção é marcada.
Credibilidade Na lista, selecione a credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.
Coletor de eventos de Na lista, selecione o Coletor de eventos de destino a ser usado como o destino da
destino origem de log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor da lista

Eventos unidos das configurações do sistema em QRadar. Ao criar uma origem de
log ou editar uma configuração existente, é possível substituir o valor padrão
configurando esta opção para cada origem de log.
Carga útil do evento Na lista, selecione o codificador de carga útil de entrada para analisar e armazenar os
recebido logs.
Armazenar carga útil do Selecione essa caixa de seleção para ativar que a origem de log armazene as
evento informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

Armazenar carga útil do evento de Configurações do sistema em QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de log.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
Os eventos de malware que são encaminhados para o QRadar são exibidos na guia Atividade de log
do QRadar.

1056 Guia de configuração do QRadar DSM

Configurando uma origem de log do protocolo de arquivo de log
ThreatGRID
Para usar o protocolo de arquivo de log para coletar eventos, deve-se configurar uma origem de log no
IBM QRadar para pesquisar o log de eventos que contém eventos de malware.

Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de dados.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a origem de log.
6. No campo Descrição de origem de log , digite uma descrição para a origem de log.
7. Na lista Tipo de origem de log, selecione ThreatGRID Malware Threat Intelligence Platform.
8. Na lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os valores a seguir:
Tabela 562. Parâmetros de protocolo de arquivo de log
Parâmetro Descrição
Identificador de origem de Digite um endereço IP, nome do host ou nome para identificar a origem de eventos.
log
O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de serviço Na lista, selecione o protocolo que você deseja usar para recuperar arquivos de log de
um servidor remoto. O padrão é SFTP.
v SFTP - Protocolo de Transferência de Arquivos SSH
v FTP - Protocolo de Transferência de Arquivos
v SCP – Secure Copy Protocol

O tipo de serviço SCP e SFTP requer que o servidor host no campo IP ou nome do
host remoto tenha o subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do servidor ThreatGRID que contém os
arquivos de log de evento.
Porta remota Digite o número da porta para o protocolo que é selecionado para recuperar os logs
de eventos do servidor ThreatGRID. O intervalo válido é de 1 a 65535.

A lista de números de porta do tipo de serviço padrão:

v FTP - Porta TCP 21
v SFTP - Porta TCP 22
v SCP - Porta TCP 22
Usuário remoto Digite o nome do usuário que é necessário para efetuar login no servidor da web
ThreatGRID que contém registros de eventos de auditoria.

O nome de usuário pode ter até 255 caracteres de comprimento.

Senha remota Digite a senha para efetuar login no servidor ThreatGRID.
Confirmar senha Confirme a senha para efetuar login no servidor ThreatGRID
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço, use esse parâmetro para
definir um arquivo de chave privado SSH. Ao fornecer um Arquivo de chave SSH, o
campo Senha remota é ignorado.

148 ThreatGRID Malware Threat Intelligence Platform 1057

Tabela 562. Parâmetros de protocolo de arquivo de log (continuação)
Parâmetro Descrição
Diretório remoto Digite o local do diretório no host remoto a partir do qual os arquivos são
recuperados, relativo à conta do usuário que você está usando para efetuar login.

Somente para FTP. Se seus arquivos de log estiverem no diretório inicial do usuário
remoto, será possível deixar o diretório remoto em branco. Os valores em branco no
campo Diretório remoto suportam sistemas que têm sistemas operacionais nos quais
uma mudança no comando de diretório ativo (CWD) é restrita.
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo procure as
subpastas no diretório remoto. Por padrão, a caixa de seleção não é selecionada.

O parâmetro Recursivo será ignorado se você configurar SCP como o Tipo de

serviço.
Padrão do arquivo de FTP Digite a expressão regular (regex) requerida para filtrar a lista de arquivos que são
especificados no Diretório remoto. Todos os arquivos que correspondem à expressão
regular são recuperados e processados.

O padrão do arquivo FTP deve corresponder ao nome que você designou para o log
de eventos ThreatGRID. Por exemplo, para coletar arquivos que começam com leef
ou LEEF e terminam com uma extensão de arquivo de texto, digite o valor a seguir:

(leef|LEEF)+.*\.txt

A utilização deste parâmetro requer conhecimento de expressões regulares (regex).

Esse parâmetro se aplica a origens de log que estão configuradas para usar FTP ou
SFTP.
Modo de transferência por Se você selecionar FTP como o Tipo de serviço, na lista, selecione ASCII.
FTP
ASCII é necessário para logs de eventos baseados em texto.
Arquivo remoto do SCP Se você selecionar SCP como o Tipo de serviço, digite o nome do arquivo remoto.
Horário de Início Digite um valor de horário para representar o horário do dia em que você deseja que
o protocolo de arquivo de log seja iniciado. O horário de início é baseado em um
relógio de 24 horas e usa o seguinte formato: HH:MM.

Por exemplo, digite 00:00 para planejar o protocolo de Arquivo de log para coletar
arquivos de eventos à meia-noite.

Esse parâmetro funciona com o campo de valor Recorrência para estabelecer quando
o servidor ThreatGRID é pesquisado em busca de novos arquivos de log de eventos.
Recorrência Digite a frequência com que você deseja varrer o diretório remoto no servidor
ThreatGRID em busca de novos arquivos de log de eventos. Digite este valor em
horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H para varrer o diretório remoto a cada 2 horas a partir do
horário de início. O valor de recorrência padrão é 1H. O intervalo de tempo mínimo é
de 15M.
Executar no salvamento Selecione esta caixa de seleção se desejar que o protocolo de arquivo de log seja
executado imediatamente após você clicar em Salvar.

Após a ação de salvamento ser concluída, o protocolo de arquivo de log segue o

planejamento configurado de horário de início e recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos anteriormente processados

para o parâmetro Ignorar arquivo processado anteriormente.
Regulador de EPS Digite o número de eventos por segundo (EPS) que você não deseja que esse
protocolo exceda. O intervalo válido é 100 a 5000.

1058 Guia de configuração do QRadar DSM

Tabela 562. Parâmetros de protocolo de arquivo de log (continuação)
Parâmetro Descrição
Processador Na lista, selecione NENHUM.

Os processadores permitem que os archives de arquivo de evento sejam expandidos e

processados para seus eventos. Os arquivos são processados depois de serem
transferidos por download. O QRadar pode processar arquivos no formato de archive
zip, gzip, tar ou tar+gzip.
Ignorar arquivo(s) Marque essa caixa de seleção para rastrear e ignorar arquivos já processados.
processado(s) anteriormente
O QRadar examina os arquivos de log no diretório remoto para determinar se o log
de eventos foi processado pela origem de log. Se um arquivo processado
anteriormente for detectado, a origem de log não fará download do arquivo. Somente
arquivos de log de eventos novos ou não processados são transferidos por download
pelo QRadar.

Essa opção se aplica aos tipos de serviço FTP e SFTP.

Mudar o diretório local? Marque essa caixa de seleção para definir um diretório local em seu dispositivo
QRadar para armazenar arquivos de log de eventos durante o processamento.

Na maioria dos cenários, é possível deixar essa caixa de seleção desmarcada. Quando
essa caixa de seleção está marcada, o campo Diretório local é exibido. É possível
configurar um diretório local para armazenar temporariamente os arquivos de log de
eventos. Depois que o log de eventos é processado, os eventos incluídos no QRadar e
os logs de eventos no diretório local são excluídos.
Gerador de evento Na lista Gerador de evento, selecione LineByLine.

O Gerador de evento aplica processamento extra aos arquivos de eventos

recuperados. Cada linha do arquivo é um único evento. Por exemplo, se um arquivo
tiver 10 linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.
Os eventos de malware que são recuperados pela origem de log são exibidos na guia Atividade de
log do QRadar.

148 ThreatGRID Malware Threat Intelligence Platform 1059

1060 Guia de configuração do QRadar DSM
149 TippingPoint
O IBM QRadar suporta uma faixa de DSMs Tipping Point.

Tipping Point Intrusion Prevention System

O DSM Tipping Point Intrusion Prevention System (IPS) para o IBM QRadar aceita eventos Tipping Point
usando syslog.

O QRadar registra todos os eventos relevantes do dispositivo Local Security Management (LMS) ou de
vários dispositivos com um Security Management System (SMS).

Antes de configurar o QRadar para integração com o TippingPoint, deve-se configurar o dispositivo com
base no tipo:
v Se você estiver usando um SMS, consulte “Configurar syslog remoto para SMS”.
v Se você estiver usando um LSM, consulte “Configurando contatos de notificação para LSM” na página
1062.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurar syslog remoto para SMS

Para configurar o Tipping Point para SMS, deve-se ativar e configurar o dispositivo para encaminhar
eventos para um host remoto usando syslog.

Sobre Esta Tarefa

Para configurar o SMS Tipping Point:

Procedimento
1. Efetue login no sistema Tipping Point.
2. No menu de navegação Admin, selecione Propriedades de servidor.
3. Selecione a guia Gerenciamento.
4. Clique em Incluir.
A janela Editar notificação de syslog é exibida.
5. Marque a caixa de seleção Ativar.
6. Configure os valores a seguir:
a. Servidor syslog – Digite o endereço IP do QRadar para receber mensagens de eventos de syslog.
b. Porta - Digite 514 como o endereço de porta.
c. Tipo de log – Selecione Formato de syslog SMS 2.0 / 2.1 na lista.
d. Recurso – Selecione Auditoria de log na lista.
e. Gravidade – Selecione Gravidade no evento na lista.
f. Delimitador – Selecione TAB como o delimitador para os logs gerados.

g. Incluir registro de data e hora no cabeçalho – Selecione Usar registro de data e hora do evento
original.
h. Marque a caixa de seleção Incluir nome do host do SMS no cabeçalho.
i. Clique em OK.
j. Agora você está pronto para configurar a origem de log no QRadar.
7. Para configurar o QRadar para receber eventos de um dispositivo Tipping Point: na lista Tipo de
origem de log, selecione a opção sistema de prevenção de intrusão (IPS) Tipping Point.
Para obter mais informações sobre o dispositivo Tipping Point, consulte a documentação do
fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando contatos de notificação para LSM

É possível configurar contatos de notificação LSM.

Procedimento
1. Efetue login no sistema Tipping Point.
2. No menu LSM, selecione IPS > Conjuntos de ações.
A janela Perfil de IPS – Conjuntos de ações é exibida.
3. Clique na guia Contatos de notificação.
4. Na Lista de contatos, clique em Log de sistema remoto.
A página Editar contato de notificação é exibida.
5. Configure os valores a seguir:
a. Servidor syslog – Digite o endereço IP do QRadar para receber mensagens de eventos de syslog.
b. Porta - Digite 514 como o endereço de porta.
c. Recurso de alerta - Selecione nenhum ou um valor numérico de 0 a 31 na lista. O syslog usa esses
números para identificar a origem da mensagem.
d. Recurso de bloqueio - Selecione nenhum ou um valor numérico de 0 a 31 na lista. O syslog usa
esses números para identificar a origem da mensagem.
e. Delimitador – Selecione TAB na lista.
f. Clique em Incluir na tabela abaixo.
g. Configure um período de agregação de log do sistema remoto em minutos.
6. Clique em Salvar.

Nota: Se o QRadar estiver em uma sub-rede diferente de seu dispositivo Tipping Point, pode ser
necessário incluir rotas estáticas. Para obter mais informações, consulte a documentação do
fornecedor.

O que Fazer Depois

Agora você está pronto para configurar o conjunto de ações para o LSM; consulte “Configurando um
conjunto de ações para LSM”.

Configurando um conjunto de ações para LSM

É possível configurar um conjunto de ações para o LSM.

1062 Guia de configuração do QRadar DSM

Procedimento
1. Efetue login no sistema Tipping Point.
2. No menu LSM, selecione Conjuntos de ações IPS.
A janela Perfil de IPS – Conjuntos de ações é exibida.
3. Clique em Criar conjunto de ações.
A janela Criar/editar conjunto de ações é exibida.
4. Digite o nome do conjunto de ações.
5. Para Ações, selecione uma configuração de ação de controle de fluxo:
v Permitir - Permite tráfego.
v Limite de taxa - Limita a velocidade do tráfego. Se você selecionar Limite de taxa, também deverá
selecionar a taxa desejada.
v Bloquear – Não permite o tráfego.
v Reconfiguração de TCP – Quando isso é usado com a ação Bloquear, ele reconfigura os endereços IP
de origem e/ou de destino de um ataque. Essa opção redefine fluxos de TCP bloqueados.
v Quarentena - Quando isso é usado com a ação Bloquear, ele bloqueia um endereço IP (de origem ou
destino) que aciona o filtro.
6. Marque a caixa de seleção Log do sistema remoto para cada ação que você selecionar.
7. Clique em Criar.
Agora você está pronto para configurar a origem de log no QRadar.
8. Para configurar o QRadar para receber eventos de um dispositivo Tipping Point: na lista Tipo de
origem de log, selecione a opção sistema de prevenção de intrusão (IPS) Tipping Point.
Para obter mais informações sobre o dispositivo Tipping Point, consulte a documentação do
fornecedor.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Dispositivo Tipping Point X505/X506

O DSM Tipping Point X505/X506 para o IBM QRadar aceita eventos usando syslog.

O QRadar registra todos os eventos relevantes de sistema, auditoria, VPN e sessão de firewall.

Configurando syslog
É possível configurar seu dispositivo para encaminhar eventos para o IBM QRadar.

Procedimento
1. Efetue login no dispositivo Tipping Point X505/X506.
2. No menu LSM, selecione Sistema > Configuração > Servidores syslog.
A janela Servidores syslog é exibida.
3. Para cada tipo de log que você deseja encaminhar, marque uma caixa de seleção e digite o endereço
IP do QRadar.

149 TippingPoint 1063

4. Para configurar o QRadar para receber eventos de um dispositivo Tipping Point X505/X506: na lista
Tipo de origem de log, selecione a opção Tipping Point X Series Appliances.

Nota: Se você tiver um DSM Tipping Point X505/X506 configurado anteriormente instalado e
configurado no QRadar, a opção Tipping Point X Series Appliances ainda será exibida na lista Tipo de
origem de log. No entanto, para qualquer novo DSM Tipping Point X505/X506 configurado, deve-se
selecionar a opção Sistema de Prevenção de Intrusão (IPS) do Tipping Point.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

1064 Guia de configuração do QRadar DSM

150 Top Layer IPS
O DSM Top Layer IPS para o IBM QRadar aceita eventos Top Layer IPS usando syslog.

O QRadar registra e processa eventos Top Layer. Antes de configurar o QRadar para integração com um
dispositivo Top Layer, deve-se configurar o syslog no dispositivo Top Layer IPS. Para obter mais
informações sobre como configurar o Top Layer, consulte a documentação do Top Layer.

A configuração está concluída. A origem de log é incluída no QRadar conforme os eventos Top Layer IPS
são descobertos automaticamente. Os eventos que são encaminhados para o QRadar pelo Top Layer IPS
são exibidos na guia Atividade de log do QRadar.

Para configurar o QRadar para receber eventos de um dispositivo Top Layer IPS:

Na lista Tipo de origem de log, selecione a opção Top Layer Intrusion Prevention System (IPS).

Para obter mais informações sobre o dispositivo Top Layer, consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

1066 Guia de configuração do QRadar DSM
151 Townsend Security LogAgent
O IBM QRadar pode coletar eventos no formato CEF de instalações do Townsend Security LogAgent na
infraestrutura do IBM i.

O QRadar suporta eventos CEF do software Townsend Security instalado no IBM i V5.1 e acima.

Tipos de eventos suportados

As instalações do Townsend Security LogAgent no IBM i podem gravar para encaminhar eventos do
syslog de segurança, conformidade e auditoria para o QRadar.

Todos os eventos do syslog que são encaminhados pelo Raz-Lee iSecurity descobrem automaticamente e
os eventos são analisados e categorizados com o DSM IBM i.

Configurando o Raz-Lee iSecurity

Para coletar eventos de segurança e auditoria, deve-se configurar a instalação do Raz-Lee iSecurity para
encaminhar eventos syslog para o IBM QRadar.

Procedimento
1. Efetue login na interface da linha de comandos do IBM i.
2. Digite o comando a seguir para acessar as opções do menu de auditoria:
STRAUD
3. No menu Auditoria, selecione 81. Configuração do sistema.
4. No menu Configuração do sistema iSecurity/Base, selecione 31. Definições de SYSLOG.
5. Configure os parâmetros a seguir:
a. Enviar mensagem SYSLOG - Selecione Sim.
b. Endereço de destino – Digite o endereço IP do QRadar.
c. "Recurso" a ser usado - Digite um nível de recurso.
d. Faixa de "severidade" a ser usada para envio automático - Digite um nível de severidade.
e. Estrutura de mensagem – Digite quaisquer parâmetros adicionais de estrutura de mensagem que
são necessários para suas mensagens de syslog.

O que Fazer Depois

Os eventos do syslog que são encaminhados pelo Raz-Lee iSecurity são automaticamente descobertos
pelo QRadar pelo DSM IBM i. Na maioria dos casos, a origem de log é criada automaticamente no
QRadar após alguns eventos serem detectados. Se a taxa de eventos estiver baixa, pode ser necessário
criar manualmente uma origem de log para o Raz-Lee iSecurity no QRadar.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog encaminhados
pelo Raz-Lee i Security. Esse procedimento é opcional.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

1068 Guia de configuração do QRadar DSM

152 Trend Micro
O IBM QRadar suporta diversos DSMs Trend Micro.

Trend Micro Control Manager

É possível integrar um dispositivo Trend Micro Control Manager com o IBM QRadar.

Um Trend Micro Control Manager aceita eventos usando SNMPv1 ou SNMPv2. Antes de configurar o
QRadar para integração com um dispositivo Trend Micro Control Manager, deve-se configurar uma
origem de log e, em seguida, configurar as definições de trap SNMP para o Trend Micro Control
Manager.

Configurando uma origem de log

O IBM QRadar não descobre automaticamente eventos SNMP do Trend Micro Control Manager.

Sobre Esta Tarefa

Deve-se configurar uma origem de log SNMP para que o Trend Micro Control Manager use o protocolo
SNMPv1 ou SNMPv2. SNMPv3 não é suportado pelo Trend Micro Control Manager.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. No lista Tipo de origem de log, selecione Trend Micro Control Manager.
9. Na lista Configuração de protocolo, selecione SNMPv2.
10. SNMPv3 não é suportado pelo Trend Micro Control Manager.
Configure os valores a seguir:
Tabela 564. Parâmetros do protocolo SNMPv2
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um identificador
log para eventos do dispositivo Trend Micro Control Manager.
Comunidade Digite o nome da comunidade SNMP necessário para acessar o sistema que contém
eventos SNMP. O padrão é Público.
Incluir OIDs na carga útil Desmarque a caixa de seleção Incluir OIDs na carga útil do evento, se selecionado.
do evento
Essa opção permite que a carga útil do evento SNMP seja construída utilizando pares
nome-valor em vez do formato de carga útil do evento padrão. A inclusão de OIDs na
carga útil do evento é necessária para processamento de eventos SNMPv2 ou
SNMPv3 de determinados DSMs.

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.

A configuração está concluída.

Configurando Traps SNMP

É possível configurar traps SNMP para o Trend Micro Control Manager. Versões v5.5 e v6.0 são
suportados.

Procedimento
1. Efetue login no dispositivo Trend Micro Control Manager.
2. Escolha uma das seguintes opções com base na versão do Trend Micro Control Manager que você
está usando:
a. Para a v5.5, selecione Administração > Configurações > Configurações do centro de eventos.

Nota: O Trend Micro Control Manager v5.5 requer o hotfix 1697 ou hotfix 1713 após o Service
Pack 1 Correção 1 para fornecer eventos SNMPv2c formatados corretamente. Para obter mais
informações, consulte a documentação do fornecedor.
b. Para v6.0 e v7.0, selecione Administração > Centro de eventos > Configurações gerais de
eventos.
3. Configure as notificações de trap SNMP: no campo Configurações de trap SNMP, digite o Nome da
comunidade.
4. Digite o endereço IP do servidor IBM QRadar.
5. Clique em Salvar.
Agora você está pronto para configurar eventos no Centro de eventos.
6. Escolha uma das seguintes opções com base na versão do Trend Micro Control Manager que você
está usando:
a. Para v5.5, selecione Administração > Event Center.
b. Para v6.0, selecione Administração > Centro de eventos > Notificações de eventos.
7. Na lista Categoria de evento, expanda Alerta.
8. Clique em Destinatários para um alerta.
9. Em Métodos de notificação, marque a caixa de seleção Notificação de trap SNMP.
10. Clique em Salvar.
A janela Editar resultado de destinatários é exibida.
11. Clique em OK.
12. Repita “Configurando Traps SNMP” para cada alerta que requer uma Notificação de trap SNMP.
A configuração está concluída. Os eventos do Trend Micro Control Manager são exibidos na guia
Atividade de log do QRadar. Para obter mais informações sobre o Trend Micro Control Manager,
consulte a documentação do fornecedor.

Trend Micro Deep Discovery Analyzer

O DSM IBM QRadar for Trend Micro Deep Discovery Analyzer coleta logs de eventos do console Trend
Micro Deep Discovery Analyzer.

A tabela a seguir identifica as especificações para o DSM Trend Micro Deep Discovery Analyzer:
Tabela 565. Especificações do DSM Trend Micro Deep Discovery Analyzer
Especificação Valor
Fabricante Trend Micro
Nome do DSM Trend Micro Deep Discovery Analyzer

1070 Guia de configuração do QRadar DSM

Tabela 565. Especificações do DSM Trend Micro Deep Discovery Analyzer (continuação)
Especificação Valor
Nome do arquivo RPM DSM-TrendMicroDeepDiscoveryAnalyzer-
QRadar_version-build_number.noarch.rpm
Versões suportadas 5,0, 5,5, 5.8 e 6.0
Formato de evento LEEF
Tipos de evento registrado do QRadar Todos os eventos
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais Website do Trend Micro (http://www.trendmicro.com/
en_us/business/products/network/advanced-threat-
protection/analyzer.html)

Para enviar eventos do Trend Micro Deep Discovery Analyzer para o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download das versões mais recentes dos
RPMs a seguir.
v RPM DSMCommon
v Trend Micro Deep Discovery Analyzer DSM
2. Configure o dispositivo Trend Micro Deep Discovery Analyzer para comunicar-se com o QRadar.
3. Se o QRadar não detectar automaticamente o Trend Micro Deep Discovery Analyzer como uma
origem de log, crie uma origem de log do Trend Micro Deep Discovery Analyzer no QRadar Console.
Configure todos os parâmetros necessários e use a tabela a seguir para determinar valores específicos
que são necessários para a coleção de eventos do Trend Micro Deep Discovery Analyzer:
Tabela 566. Parâmetros de origem de log do Trend Micro Deep Discovery Analyzer
Parâmetro Valor
Tipo de origem de log Trend Micro Deep Discovery Analyzer
Configuração de protocolo Syslog

Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Configurando a instância do Trend Micro Deep Discovery Analyzer para comunicação com o QRadar”
Para coletar eventos do Trend Micro Deep Discovery Analyzer, configure a instância de terceiros para
ativar a criação de log.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando a instância do Trend Micro Deep Discovery Analyzer

para comunicação com o QRadar
Para coletar eventos do Trend Micro Deep Discovery Analyzer, configure a instância de terceiros para
ativar a criação de log.

152 Trend Micro 1071

Procedimento
1. Efetue login no console da web do Deep Discovery Analyzer.
2. Para configurar o Deep Discovery Analyzer V5.0, siga estas etapas:
a. Clique em Administração > Configurações de Log.
b. Selecione Encaminhar logs para um servidor syslog.
c. Selecione LEEF como o formato de log.
d. Selecione o protocolo que você deseja usar para encaminhar os eventos.
e. No campo Servidor Syslog, digite o nome do host ou o endereço IP do QRadar Console ou do
Event Collector.
f. No campo Porta, digite 514.
3. Para configurar o Deep Discovery Analyzer V5.5, siga estas etapas:
a. Clique em Administração > Configurações de Log.
b. Selecione Enviar logs para um servidor syslog.
c. No campo Servidor, digite o nome do host ou o endereço IP do QRadar Console ou do Coletor de
Eventos.
d. No campo Porta, digite 514.
e. Selecione o protocolo que você deseja usar para encaminhar os eventos.
f. Selecione LEEF como o formato de log.
4. Para configurar o Deep Discovery Analyzer V5.8 ou V6.0, siga estas etapas:
a. Clique em Administração > Produtos/serviços integrados > Configurações de log.
b. Selecione Enviar logs para um servidor syslog.
c. No campo Endereço do servidor, digite o nome do host ou o endereço IP do seu QRadar Console
ou Coletor de eventos.
d. No campo Porta, digite o número da porta.

Nota: O Trend Micro sugere que você use as seguintes portas do syslog padrão: UDP: 514; TCP:
601 e SSL: 443.
e. Selecione o protocolo que você deseja usar para encaminhar os eventos: UDP/TCP/SSL.
f. Selecione LEEF como o formato de log.
g. Selecione o Escopo dos logs a ser enviado para o servidor syslog.
h. Opcional: Marque a caixa de seleção Extensões se quiser excluir algum log do envio de dados
para o servidor syslog.
5. Clique em Salvar.

Trend Micro Deep Discovery Director

O DSM do IBM QRadar para Trend Micro Deep Discovery Director coleta eventos formatados LEEF de
um dispositivo Trend Micro Deep Discovery Director.

Para integrar o Trend Micro Deep Discovery Director com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale a
versão mais recente dos RPMs a seguir em seu QRadar Console:
v RPM do DSM do Trend Micro Deep Discovery Inspector
v RPM do DSM do Trend Micro Deep Discovery Director
2. Configure o dispositivo Trend Micro Deep Discovery Director para enviar eventos para o QRadar.

1072 Guia de configuração do QRadar DSM

3. Se o QRadar não detectar automaticamente a origem de log, inclua a origem de log do Trend Micro
Deep Discovery Director no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para coletar eventos Syslog do Trend Micro Deep Discovery Director:
Tabela 567. Parâmetros de origem de log do Trend Micro Deep Discovery Director Syslog
Parâmetro Valor
Tipo de origem de log Trend Micro Deep Discovery Director
Configuração de protocolo Syslog
Identificador de Fonte de Log O endereço IPv4 ou o nome do host que identifica a
origem de log. Se sua rede contiver diversos dispositivos
conectados a um console de gerenciamento único,
especifique o endereço IP do dispositivo individual que
criou o evento. Um identificador exclusivo, como um
endereço IP, evita que as procuras de eventos
identifiquem o console de gerenciamento como a fonte
para todos os eventos.

Especificações DSM do Trend Micro Deep Discovery Director

A tabela a seguir descreve as especificações para o DSM do Trend Micro Deep Discovery Director.
Tabela 568. Especificações DSM do Trend Micro Deep Discovery Director
Especificação Valor
Fabricante Micro Tendência
Nome do DSM Trend Micro Deep Discovery Director
Nome do arquivo RPM DSM-TrendMicroDeepDiscoveryDirector-QRadar_version-
build_number.noarch.rpm
Versões Suportadas 3.0
Protocolo Syslog
Formato de evento LEEF
Tipos de eventos registrados Eventos do Trend Micro Deep Discovery Inspector
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Informações do produto Trend Micro Deep Discovery
Director (http://docs.trendmicro.com/en-us/enterprise/
deep-discovery-director.aspx)

Configurando o Trend Micro Deep Discovery Director para se

comunicar com o QRadar
Para coletar eventos do Trend Micro Deep Discovery Director, configure o dispositivo Trend Micro Deep
Discovery Director para encaminhar eventos Syslog para o QRadar.

152 Trend Micro 1073

Procedimento
1. Efetue login no dispositivo Trend Micro Deep Discovery Director.
2. Clique em Administração > Produtos/serviços integrados > Syslog.
3. Clique em Incluir e, em seguida, selecione Ativado.
4. Configure os parâmetros na tabela a seguir.

Parâmetro Descrição
Nome do Perfil O nome para o servidor syslog do Deep Discovery
Director.
Endereço do Servidor O endereço IP do QRadar Console ou do Event Collector.
Port v SSL/TLS-6514 (porta padrão)
v TCP - 601
v UDP-514
Protocolo v SSL/TLS
v TCP
v UDP
Formato do Log LEEF
Scope Os eventos que você deseja encaminhar para o QRadar.

5. Clique em Salvar.

Mensagens de eventos de amostra

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece mensagens de eventos de amostra ao usar o protocolo Syslog para o DSM do
Trend Micro Deep Discovery Director:
Tabela 569. Mensagem de amostra do Trend Micro Deep Discovery Director suportada pelo Trend Micro Deep
Discovery Director.
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
DENYLIST Modificação de 24 de outubro 12:37:32 ddd35-1.ddxqa.com LEEF:1.0
_CHANGE Configuração | Trend Micro | Deep Discovery Director | 3.5.0.1174 | DENYLIST
Bem-sucedida _CHANGE|devTime=Oct 24 2018 12:37:32 GMT+08:00
devTimeFormat=MMM dd yyyy HH:mm:ss z
sev=3 dvc=198.51.100.88 dvchost=ddd35
-1.ddxqa.com deviceMacAddress=00-00-5E-00-5
3-00 deviceGUID=C4AC760E-8721-4B46-B966-47B
D419376D8 end = Jan 19 2038 11:14:07 GMT + 08: 0
0 act=Add type=Deny List IP/Port
dst=198.51.100.55 deviceExternalRiskType=High
pComp=UDSO

1074 Guia de configuração do QRadar DSM

Tabela 569. Mensagem de amostra do Trend Micro Deep Discovery Director suportada pelo Trend Micro Deep
Discovery Director. (continuação)
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
SECURITY _RISK_ Exploração < 156 > LEEF:1.0 |
DETECTION Diversa Potencial Trend Micro |
Deep Discovery Director | 2.0.0.1129 |
SECURITY_RISK_DETECTION |
Origin = Inspector
devTimeFormat=MMM dd yyyy HH:mm:ss z
ptype = IDS dvc=198.51.10065
dispositivo
MacAddress=00-00-5E-00-53-00
dvchost=localhost
deviceGUID=E77B0BE4474D-
4413AF2F-752E-5810-1B11
devTime=Maio 25 2017 05:59:53
GMT + 00:00 sev= 8 origin =
Inspector protoGroup=SQL proto = UDP vLAN
Id=4095 deviceDirection=1 dhost=hit-nxdomain.o
pendns.com dst=198.51.100.9 dstPort=1207 dstMAC
= 00:00:0c: 07 :ac: 0 shost=198.51.100.22 src=198.
55.100.7 srcPort=1060 srcMAC=00:00:0c: 07
:ac: 0 malName
= OPS_HTTP_SASFIS_REQUEST
malType=FRAUD sAttackPhase=
Data Exfiltration fname=controller.
php fileType=458757 fsize=520704 ruleId=328 msg
= WEMON-HTTP (Request) deviceRiskConfidenceLevel
= 1 [email protected] suser=username@ex
ample.com mailMsgSubject=Mail Subject botCommand
= msblast.exe botUrl=0005 channelName=#Infected
chatUserName = fhkvmxya url=http://1.alisiosanguer
a.com.cn/cgi-bin/forms.cgi requestClientApplicat
ion = Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1;
Trident/4.0) pComp=VSAPI riskType=0 com
pressedFileName = test_inarc mitigationTaskId= 48b
3d717-f30f-4890-8627-50bf75fbb6aa srcGroup=Defa
ult srcZone=1 dstGroup=Default dstZone=1 detect
ionType=2 act=não bloqueado ameaçType=1 interest
edIp=198.51.100.35 peerIp=198.51.100.8 fileHash
= F1C9FCF4B2F74E8EEEE53B6C006A4977F798A4D872 sUser1
= srcusername1 sUser1LoginTime=Março 09 2017 12:34:
56 GMT + 00:00 sUser2 = srcusername2 sUser2LoginTime
= Mar 09 2017 12:34:56 GMT + 00:00 sUser3 = srcuserna
me3 sUser3LoginTime=Mar 09 2017 12:34:56 GMT + 00:
00 dUser1 = dstusername1 dUser1LoginTime=Março 09 20
17 12:34:56 GMT + 00:00 dUser2 = dstusername2 dUser
2LoginTime=Mar 09 2017 12:34:56 GMT + 00:00 dUser
3 = dstusername3 dUser3LoginTime=Março 09 2017 12:
34:56 GMT + 00:00 suid = TsGh {8}{0}{3}{4}{6}{9}* 0:
(null) hostName=datingtipstricks.info cnt= 4 sOS
Name=Windows dOSName=Windows aggregatedCnt=1 ccc
aDestinationFormat=URL cccaDetectionSource=RELE
VANCE_RULE cccaRiskLevel=1 cccaDestination = xili
.zerolost.org cccaDetection=1 evtCat=Malware ev
tSubCat=Grayware aptRelated=1 hackerGroup = defau
lt hackingCampaign=IXESHE malFamily=ZEUS pAtta
ckPhase=0 oldFileSize=65530 oldFileType=15073
28 oldFileHash=5A272B7441328E09704B6D7EABDBD5
1B8858FDE4 oldFileName = anexo

152 Trend Micro 1075

Trend Micro Deep Discovery Email Inspector
O IBM QRadar DSM for Trend Micro Deep Discovery Email Inspector coleta eventos de um dispositivo
Trend Micro Deep Discovery Email Inspector.

A tabela a seguir descreve as especificações para o Trend Micro Deep Discovery Email Inspector DSM:
Tabela 570. Especificações do Trend Micro Deep Discovery Email Inspector DSM
Especificação Valor
Fabricante Trend Micro
Nome do DSM Trend Micro Deep Discovery Email Inspector
Nome do arquivo RPM DSM-TrendMicroDeepDiscoveryEmailInspector-
Qradar_version-build_number.noarch.rpm
Versões Suportadas V3.0
Formato de evento Log Event Extended Format (LEEF)
Tipos de eventos registrados Detecções

Logs de análise do analisador virtual

Eventos do sistema

Eventos de alerta
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais website do Trend Micro (http://www.trendmicro.ca)

Para integrar o Trend Micro Deep Discovery Email Inspector ao QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v Trend Micro Deep Discovery Email Inspector DSM RPM
v RPM do DSM Common
2. Configure seu dispositivo Trend Micro Deep Discovery Email Inspector para enviar eventos de syslog
ao QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do Trend
Micro Deep Discovery Email Inspector no QRadar Console. A tabela a seguir descreve os parâmetros
que requerem valores específicos para a coleção de eventos do Trend Micro Deep Discovery Email
Inspector:
Tabela 571. Parâmetros de origem de log do Trend Micro Deep Discovery Email Inspector
Parâmetro Descrição
Tipo de origem de log Trend Micro Deep Discovery Email Inspector
Configuração de protocolo Syslog

1076 Guia de configuração do QRadar DSM

origem de log para receber eventos dos dispositivos de rede.

Configurando o Trend Micro Deep Discovery Email Inspector para se

comunicar com o QRadar
Para coletar eventos do Trend Micro Deep Discovery Email Inspector, configure um perfil do servidor de
syslog para o host do IBM QRadar.

Procedimento
1. Efetue login na interface com o usuário do Trend Micro Deep Discovery Email Inspector.
2. Clique em Administração > Configurações de log.
3. Clique em Incluir.
4. Verifique se Ativado está selecionado para Status. O padrão é Ativado.
5. Configure os seguintes parâmetros:

Parâmetro Descrição
Nome do Perfil Especifique um nome para o perfil.
Syslog server O nome do host ou o IP do servidor do QRadar.
Port 514
Formato do Log LEEF

6. Selecione Detecções, Logs do Virtual Analyzer Analysis e Eventos do sistema para os tipos de
eventos para enviar ao QRadar.

Trend Micro Deep Discovery Inspector

O DSM IBM QRadar for Trend Micro Deep Discovery Inspector pode receber os logs de eventos do
console do Trend Micro Deep Discovery Inspector.

A tabela a seguir identifica as especificações para o Trend Micro Deep Discovery Inspector DSM:
Tabela 572. Especificações de DSM Trend Micro Deep Discovery Inspector
Especificação Valor
Fabricante Trend Micro
Nome do DSM Trend Micro Deep Discovery Inspector
Nome do arquivo RPM DSM-TrendMicroDeepDiscovery-QRadar_version-
build_number.noarch.rpm
Versões Suportadas V3.0 a V3.8, V5.0 e V5.1
Formato de evento LEEF

152 Trend Micro 1077

Tabela 572. Especificações de DSM Trend Micro Deep Discovery Inspector (continuação)
Especificação Valor
Tipos de evento registrado do QRadar Conteúdo malicioso

Comportamento malicioso

Comportamento suspeito

Explorar

Grayware

Reputação da web

Aplicativo disruptivo

Ambiente de simulação

Correlação

Sistema

Atualização
Descobertos automaticamente? SIM
Identidade incluída? No
Inclui propriedades customizadas? No
Informações adicionais Website do Trend Micro (https: //www.trendmicro.com/
en_us/business/products/network/advanced-ameaça-
protec/inspector.html)

Para enviar eventos do Trend Micro Deep Discovery Inspector para o QRadar, conclua as etapas a seguir:
1. Se atualizações automáticas não estiverem ativadas, faça download das versões mais recentes dos
RPMs a seguir:
v RPM DSMCommon
v DSM Trend Micro Deep Discovery Inspector
2. Configure o dispositivo Trend Micro Deep Discovery Inspector para enviar eventos para o QRadar.
3. Se o QRadar não detectar automaticamente o Trend Micro Deep Discovery Inspector como uma
origem de log, crie uma origem de log do Trend Micro Deep Discovery Inspector no QRadar Console.
A tabela a seguir mostra os valores específicos de protocolo para a coleção de eventos do Trend Micro
Deep Discovery Inspector:
Tabela 573. Parâmetros de origem de log do Trend Micro Deep Discovery Inspector
Parâmetro Valor
Tipo de origem de log Trend Micro Deep Discovery Inspector
Configuração do Protocolo Syslog

1078 Guia de configuração do QRadar DSM

Configurando o Trend Micro Deep Discovery Inspector V3.0 para
enviar eventos para o QRadar
Para coletar eventos do Trend Micro Deep Discovery Inspector, configure o dispositivo para enviar
eventos para o IBM QRadar.

Procedimento
1. Efetue login no Trend Micro Deep Discovery Inspector.
2. No menu de navegação, selecione Logs > Configurações do servidor syslog.
3. Selecione Ativar Syslog Server.
4. Configure os seguintes parâmetros:

Parâmetro Descrição
Endereço IP O endereço IP de seu QRadar Console ou Coletor de
eventos.
Porta 514
Instalação de syslog O recurso local, por exemplo, local 3.
Gravidade de syslog O nível de gravidade mínimo que você deseja incluir.
Formato Syslog LEEF

5. Na área de janela Detecções, selecione as caixas de seleção para os eventos que você deseja
encaminhar para o QRadar.
6. Clique em Salvar.

Configurando o Trend Micro Deep Discovery Inspector V3.8, V5.0 e

V5.1 para enviar eventos para o QRadar
Para coletar eventos do Trend Micro Deep Discovery Inspector, configure o dispositivo para enviar
eventos para o IBM QRadar.

Procedimento
1. Efetue login no Trend Micro Deep Discovery Inspector.
2. Clique em Administração > Produtos/serviços integrados > Syslog.
3. Clique em Incluir e, em seguida, selecione Ativar servidor Syslog.
4. Configure os seguintes parâmetros:

Parâmetro Descrição
Nome ou endereço IP do servidor O endereço IP de seu QRadar Console ou Coletor de
eventos.
Porta 514
Protocolo TCP
Nível de recurso Selecione um nível de recurso que especifique a origem
de uma mensagem.
Nível de Severidade Selecione um nível de severidade do tipo de mensagens
a ser enviado para o servidor syslog.
Formato do Log LEEF

5. Na área de janela Detecções, selecione as caixas de seleção para os eventos que você deseja
encaminhar para o QRadar.

152 Trend Micro 1079

6. Se você precisar de servidores proxy para suas conexões, selecione Conectar por meio de um servidor
proxy. O dispositivo usa as configurações que são definidas na tela Administrador > Configurações
do sistema > Proxy.

Nota: Se você requerer o uso de servidores proxy para conexões de intranet, selecione essa opção.
7. Clique em Salvar.

Trend Micro Deep Security

O DSM do IBM QRadar para Trend Micro Deep Security pode coletar logs de seu servidor Trend Micro
Deep Security.

A tabela a seguir identifica as especificações para o DSM Trend Micro Deep Security:
Tabela 574. Especificações do DSM Micro Deep Security
Especificação Valor
Fabricante Trend Micro
Nome do DSM Trend Micro Deep Security
Nome do arquivo RPM DSM-TrendMicroDeepSecurity-Qradar_version-
build_number.noarch.rpm
Versões suportadas V9.6.1532

V10.0.1962

V10.1
Formato de evento Log Event Extended Format
Tipos de eventos registrados Antimalware

Deep Security

Firewall

Monitor de integridade

Prevenção de Intrusão

Inspeção de log

Sistema

Reputação da Web
Descobertos automaticamente? Sim
Inclui identidade? Não
Inclui propriedades customizadas? Não
Informações adicionais website do Trend Micro (https://www.trendmicro.com/
us/)

Para integrar o Trend Micro Deep Security com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM do DSM Trend Micro Deep Security
v RPM DSMCommon
2. Configure seu dispositivo Trend Micro Deep Security para enviar eventos syslog para o QRadar.

1080 Guia de configuração do QRadar DSM

3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log do DSM Trend
Micro Deep Security no QRadar Console. A tabela a seguir descreve os parâmetros que requerem
valores específicos para a coleção de eventos do DSM Trend Micro Deep Security:
Tabela 575. Parâmetros de origem de log do DSM Trend Micro Deep Security
Parâmetro Valor
Tipo de origem de log Trend Micro Deep Security
Configuração de protocolo Syslog

Configurando o Trend Micro Deep Security para se comunicar com o

QRadar
Para coletar todos os eventos do Trend Micro Deep Security, deve-se especificar o IBM QRadar como o
servidor syslog e configurar o formato syslog.

Antes de Iniciar

Assegure-se de que o Deep Security Manager esteja instalado e configurado.

Procedimento
1. Clique na guia Administração > Configurações do sistema > SIEM.
2. Na área Notificação de evento do sistema (do Gerenciador), configure a opção Encaminhar eventos
do sistema para o computador remoto (via Syslog).
3. Digite o nome do host ou o endereço IP do sistema QRadar.
4. Digite 514 para a porta UDP.
5. Selecione o Recurso de syslog que você deseja usar.
6. Selecione LEEF para o Formato de syslog.

Nota: O Deep Security só pode enviar eventos no formato LEEF do Gerenciador. Se você selecionar a
opção Encaminhamento direto na guia SIEM, não será possível selecionar Log Event Extended
Format 2.0 para o Formato de syslog.

Trend Micro InterScan VirusWall

O DSM Trend Micro InterScan VirusWall para o IBM QRadar aceita eventos usando syslog.

Para configurar o QRadar para receber eventos de um dispositivo InterScan VirusWall, selecione Trend
InterScan VirusWall na lista Tipo de origem de log.
Tabela 576.
Parâmetro Descrição
Tipo de origem de log Trend InterScan VirusWall
Log Source Identifier Endereço IP ou nome do host da origem de log
Configuração do Protocolo Syslog

152 Trend Micro 1081

Para obter mais informações sobre o dispositivo Trend Micro InterScan VirusWall, consulte a
documentação do fornecedor.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Trend Micro Office Scan

Um DSM Trend Micro Office Scan para o IBM QRadar aceita eventos usando SNMPv2.

O QRadar registra eventos relacionados a vírus e spyware. Antes de configurar um dispositivo Trend
Micro no QRadar, deve-se configurar o dispositivo para encaminhar eventos SNMPv2.

O QRadar possui várias opções para a integração com um dispositivo Trend Micro. A opção de
integração que você escolhe depende da versão do seu dispositivo:
v “Integrando com o Trend Micro Office Scan 8.x”
v “Integrando com o Trend Micro Office Scan 10.x” na página 1083
v “Integrando com o Trend Micro OfficeScan XG” na página 1084
Conceitos relacionados:
“Opções de configuração de protocolo SNMPv2” na página 75
É possível configurar uma fonte de log para utilizar o protocolo SNMPv2 para receber eventos SNMPv2.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Integrando com o Trend Micro Office Scan 8.x

É possível integrar um dispositivo Trend Micro Office Scan 8.x com o IBM QRadar.

Procedimento
1. Efetue login na interface de administração do Office Scan.
2. Selecione Notificações.
3. Configure as Definições gerais para Traps SNMP: no campo Endereço IP do servidor, digite o
endereço IP do QRadar.

Nota: Não mude as informações de trap da comunidade.

4. Clique em Salvar.
5. Configurar a Notificação de alerta padrão: selecione Notificações padrão.
6. Clique na guia Trap SNMP.
7. Marque a caixa de seleção Ativar notificação via trap SNMP para detecções de vírus/malware.
8. Digite a mensagem a seguir no campo (este deve ser o padrão):
Vírus/malware: %v Computador: %s Domínio: %m Arquivo: %p Data/Hora: %y Resultado: %a
9. Marque a caixa de seleção Ativar notificação via trap SNMP para detecções de spyware/grayware.

1082 Guia de configuração do QRadar DSM

10. Digite a mensagem a seguir no campo (este deve ser o padrão):
Spyware/Grayware: %v Computador: %s Domínio: %m Data/Hora: %y Resultado: %a
11. Clique em Salvar.
12. Configure Notificações de alerta de ataque: selecione Notificações de saída.
13. Clique na guia Trap SNMP.
14. Selecione Ativar notificação via trap SNMP para ataques de vírus/malware.
15. Digite a mensagem a seguir no campo (este deve ser o padrão):
Número de vírus/malware: %CV Número de computadores: %CC Tipo de log excedido: %A Número de
logs de violação de firewall: %C Número de sessões de pasta compartilhada: %S Período de
tempo: %T
16. Marque a caixa de seleção Ativar notificação via trap SNMP para ataques de spyware/grayware.
17. Digite a mensagem a seguir no campo (este deve ser o padrão):
Número de spyware/grayware: %CV Número de computadores: %CC Tipo de log excedido: %A Número
de logs de violação de firewall: %C Número de sessões de pasta compartilhada: %S Período de
tempo: %T
18. Clique em Salvar. Agora você está pronto para configurar as origens de log no QRadar.
19. Para configurar o dispositivo Trend Micro Office Scan:
a. Na lista Tipo de origem de log, selecione a opção Trend Micro Office Scan.
b. Na lista Configuração de protocolo, selecione a opção SNMPv2.

Integrando com o Trend Micro Office Scan 10.x

Vários etapas preparatórias são necessárias antes de configurar o IBM QRadar para integração com um
dispositivo Trend Micro Office Scan 10.x.

Sobre Esta Tarefa

Deve-se:
1. Configurar as definições de SNMP para Trend Micro Office Scan 10.x.
2. Configurar notificações padrão.
3. Configurar critérios de ataque e notificações de alerta.

Configurando definições gerais

É possível integrar um dispositivo Trend Micro Office Scan 10.x com o IBM QRadar.

Procedimento
1. Efetue login na interface de administração do Office Scan.
2. Selecione Notificações > Notificações do administrador > Configurações gerais.
3. Configure as definições gerais para traps SNMP: no campo Endereço IP do servidor, digite o
endereço IP do QRadar.
4. Digite um nome de comunidade para o dispositivo Trend Micro Office Scan.
5. Clique em Salvar.

O que Fazer Depois

Deve-se agora configurar as Notificações padrão para o Office Scan.

Configurar notificações padrão

É possível configurar notificações padrão.

152 Trend Micro 1083

Procedimento
1. Selecione Notificações > Notificações do administrador > Notificações padrão.
2. Defina as configurações de Critérios. Clique na guia Critérios.
3. Selecione a opção para alertar os administradores na detecção de vírus/malware e spyware/grayware,
ou quando a ação sobre esses riscos de segurança for malsucedida.
4. Para ativar notificações: configure a guia Trap SNMP.
5. Marque a caixa de seleção Ativar notificação via trap SNMP.
6. Digite a mensagem a seguir no campo:
Vírus/Malware: %v Spyware/Grayware: %T Computador: %s Endereço IP: %i Domínio: %m Arquivo:
%p Data/Hora: %y Resultado: %a Nome do usuário: %n
7. Clique em Salvar.

O que Fazer Depois

Deve-se agora configurar as Notificações de ataque.

Configurando critérios de ataque e notificações de alerta

É possível configurar critérios de ataque e notificações de alerta para o dispositivo Trend Micro Office
Scan.

Procedimento
1. Selecione Notificações > Notificações do administrador > Notificações de ataque.
2. Clique na guia Critérios.
3. Digite o número de detecções e período de detecção para cada risco de segurança.
As mensagens de notificação são enviadas a um administrador quando os critérios excedem o limite
de detecção especificado.

Nota: A Trend Micro sugere que você use os valores padrão para o número e o período de detecção.
4. Selecione o Link de sessão de pasta compartilhada e ative o Office Scan para monitorar violações de
firewall e sessões de pasta compartilhada.

Nota: Para visualizar computadores na rede com pastas compartilhadas ou computadores atualmente
procurando pastas compartilhadas, é possível selecionar o link de número na interface.
5. Clique na guia Trap SNMP.
a. Marque a caixa de seleção Ativar notificação via trap SNMP.
6. Digite a mensagem a seguir no campo:
Number of virus/malware: %CV Number of computers: %CC Log Type Exceeded: %A Number of
firewall violation logs: %C Number of shared folder sessions: %S Time Period: %T
7. Clique em Salvar.
8. Agora você está pronto para configurar a origem de log no QRadar.
Configure o dispositivo Trend Micro Office Scan:
a. Na lista Tipo de origem de log, selecione a opção Trend Micro Office Scan.
b. Na lista Configuração de protocolo, selecione a opção SNMPv2.

Integrando com o Trend Micro OfficeScan XG

É possível integrar um dispositivo Trend Micro OfficeScan XG ao sistema QRadar.

1084 Guia de configuração do QRadar DSM

Sobre Esta Tarefa

Antes que seja possível integrar um dispositivo Trend Micro OfficeScan XG ao sistema QRadar deve-se
configurar os seguintes itens:
v Configurações do SNMP para Trend Micro OfficeScan XG
v Notificações do administrador
v Notificações de surto

Configurando as definições gerais do OfficeScan XG

É possível integrar um dispositivo Trend Micro OfficeScan XG ao IBM QRadar.

Procedimento
1. Efetue login na interface de Administração do OfficeScan.
2. Clique em Administração > Notificações > Configurações gerais.
3. Defina as configurações de notificação gerais para traps SNMP.
4. No campo Endereço IP do servidor, digite o endereço IP do QRadar Console.
5. Digite um nome da comunidade para seu dispositivo Trend Micro OfficeScan.
6. Clique em Salvar.

O que Fazer Depois

Agora configure as notificações do administrador para OfficeScan.

Configurando notificações de administrador no OfficeScan XG

Os administradores podem ser notificados quando certos riscos de segurança são detectados pelo Trend
Micro OfficeScan XG. Configure o dispositivo para enviar notificações por meio de trap SNMP.

Procedimento
1. Clique em Administração > Notificações > Administrador.
2. Clique na guia Critérios.
3. Selecione as seguintes opções para notificação:
v Detecção de vírus/malware
v Detecção de spyware/grayware
v Retornos de chamada de C&C
4. Opcional: Para ativar as notificações, configure a guia Trap SNMP.
5. Marque a caixa de seleção Ativar notificação via trap SNMP.
6. Digite a mensagem a seguir no campo:
Vírus/Malware: %v Spyware/Grayware: %T Computador: %s Endereço IP: %i Domínio: %m Arquivo:
%p Data/Hora: %y Resultado: %a Nome do usuário: %n
Spyware/Grayware: %v Endpoint: %s Domain: %m Date/Time: %y Result: %a
Compromised Host: %CLIENTCOMPUTER% IP Address: %IP% Domain: %DOMAIN% Date/Time: %DATETIME%
Callback address: %CALLBACKADDRESS% C&C risk level: %CNCRISKLEVEL% C&C list source:
%CNCLISTSOURCE% Action: %ACTION%
7. Clique em Salvar.

O que Fazer Depois

Deve-se agora configurar as Notificações de ataque.

152 Trend Micro 1085

Configurando notificações de surto no OfficeScan XG
É possível configurar seu dispositivo Trend Micro OfficeScan XG para notificá-lo sobre surtos de risco de
segurança. Defina um surto pelo número de detecções e o período de detecção.

Procedimento
1. Clique em Administração > Notificações > Surto.
2. Clique na guia Critérios.
3. Digite o número de detecções e período de detecção para cada risco de segurança.

Nota: As mensagens de notificação são enviadas a um administrador quando os critérios excedem o

limite de detecção especificado.

Dica: A Trend Micro sugere que você use os valores padrão para o número e o período de detecção.
4. Para ativar as notificações, clique na guia Trap SNMP e marque a caixa de seleção Ativar notificação
por trap SNMP.
5. Digite a mensagem a seguir no campo:
Number of virus/malware: %CV Number of computers: %CC
Number of spyware/grayware: %CV Number of endpoints: %CC
C&C callback detected: Accumulated log count: %C in the last %T hour(s)
6. Clique em Salvar.

O que Fazer Depois

Agora você está pronto para configurar a origem de log no QRadar.

1086 Guia de configuração do QRadar DSM

153 Tripwire
O DSM Tripwire aceita eventos de adições, remoção e modificação de recursos usando syslog.

Procedimento
1. Efetue login na interface do Tripwire.
2. Na navegação esquerda, clique em Ações.
3. Clique em Nova ação.
4. Configurar a nova ação.
5. Selecione Regras e clique na regra que você deseja monitorar.
6. Selecione a guia Ações.
7. Certifique-se de que a nova ação seja selecionada.
8. Clique em OK.
9. Repita 153, “Tripwire” a 153, “Tripwire” para cada regra que você deseja monitorar. Agora você está
pronto para configurar a origem de log no QRadar.
10. Para configurar o QRadar para receber eventos de um dispositivo Tripwire: na lista Tipo de origem
de log, selecione a opção Tripwire Enterprise .
Para obter mais informações sobre o dispositivo Tripwire, consulte a documentação do fornecedor.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

1088 Guia de configuração do QRadar DSM
154 Tropos Control
O DSM Tropos Control para o IBM QRadar aceita eventos usando syslog.

Sobre Esta Tarefa

O QRadar pode registrar todos os eventos de gerenciamento de falhas, login e logout, fornecimento e
upload da imagem do dispositivo. Antes de configurar o QRadar, deve-se configurar o Tropos Control
para encaminhar eventos syslog.

É possível configurar o Tropos Control para encaminhar logs usando syslog para o QRadar.

Procedimento
1. Use um SSH para efetuar login no dispositivo Tropos Control como um usuário raiz.
2. Abra o arquivo a seguir para edição:
/opt/ControlServer/ems/conf/logging.properties
3. Para ativar o syslog, remova o marcador de comentário (#) da linha a seguir:
#log4j.category.syslog = INFO, syslog
4. Para configurar o endereço IP para o destino de syslog, edite a linha a seguir:
log4j.appender.syslog.SyslogHost = <IP address>
Em que <IP address> é o endereço IP ou nome do host do QRadar.
Por padrão, o Tropos Control usa um recurso USER e um nível de log padrão INFO. Essas configurações
padrão estão corretas para coleção de eventos syslog de um dispositivo Tropos Control.
5. Salve e saia do arquivo.
6. Agora você está pronto para configurar o DSM Tropos Control no QRadar.
Para configurar o QRadar para receber eventos do Tropos Control:
a. Na lista Tipo de origem de log, selecione Tropos Control.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

1090 Guia de configuração do QRadar DSM
155 Universal
O IBM QRadar pode coletar e correlacionar eventos de qualquer dispositivo de infraestrutura ou
segurança de rede usando o DSM Universal.

Depois que os eventos são coletados e antes que a correlação possa começar. Os eventos individuais de
seus dispositivos devem ser analisados adequadamente para determinar o nome do evento, os endereços
IP, o protocolo e as portas. Para dispositivos de rede comuns, como firewalls Cisco, DSMs predefinidos
são projetados para que o QRadar analise e classifique corretamente as mensagens de eventos dos
respectivos dispositivos. Depois que os eventos de um dispositivo são analisados pelo DSM, o QRadar
pode continuar a correlacionar eventos em ofensas.

Se uma rede corporativa tiver um ou mais dispositivos de rede ou de segurança que não são oficialmente
suportados, em que nenhum DSM específico para o dispositivo exista, será possível usar o DSM
Universal. O DSM Universal fornece a opção de encaminhar eventos e mensagens de dispositivos não
suportados e usar o DSM Universal para categorizar os eventos para o QRadar. O OQRadar pode
integrar-se com praticamente qualquer dispositivo ou qualquer origem de protocolo comum usando o
DSM Universal.

Para configurar o DSM Universal, deve-se usar extensões de dispositivo para associar um DSM Universal
aos dispositivos. Para poder definir informações de extensão de dispositivo usando a janela de origens de
log da guia Admin, deve-se criar um documento de extensões para a origem de log.

Para obter mais informações sobre como gravar e testar um DSM Universal, consulte o fórum de suporte
em https://www.ibm.com/developerworks/community/forums.
Conceitos relacionados:
11, “Extensões de origem de log”, na página 97
Um documento de extensão pode estender ou modificar a maneira como os elementos de uma
determinada origem de log são analisados. É possível usar o documento de extensão para corrigir um
problema de análise sintática ou substituir a análise sintática padrão por um evento de um DSM
existente.
Tarefas relacionadas:
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Universal CEF
O DSM do IBM QRadar para o Universal CEF aceita eventos de qualquer dispositivo que produza
eventos no Common Event Format (CEF).

A tabela a seguir identifica as especificações para o DSM Universal CEF:

Tabela 577. Especificações do DSM Universal CEF
Especificação Valor
Nome do DSM Universal CEF
Nome do arquivo RPM DSM-UniversalCEF-Qradar_version-
build_number.noarch.rpm
Protocolo Syslog

Arquivo de log

Tabela 577. Especificações do DSM Universal CEF (continuação)
Especificação Valor
Tipos de eventos registrados Eventos formatados em CEF
Descobertos automaticamente? Não
Inclui identidade? Não
Inclui propriedades customizadas? Não

Para enviar eventos de um dispositivo que gera eventos formatados em CEF para o QRadar, conclua as
etapas a seguir:
1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
v RPM DSMCommon
v RPM Universal CEF
2. Inclua uma origem de log Universal CEF no QRadar Console. Use os valores a seguir que são
específicos do Universal CEF:

Parâmetro Descrição
Tipo de origem de log Universal CEF
Configuração de protocolo Syslog ou arquivo de log

3. Configure seu dispositivo de terceiros para enviar eventos ao QRadar. Para obter mais informações
sobre como configurar seu dispositivo de terceiros, consulte a documentação do fornecedor.
4. Configure o mapeamento de eventos do Universal CEF.

Configurando o mapeamento de eventos Universal CEF

Os eventos Universal CEF não contêm um mapa QRadar Identifier (QID) predefinido para categorizar
eventos de segurança. Deve-se procurar eventos desconhecidos na origem de log do Universal CEF e
mapeá-los para as categorias de alto e baixo nível.

Antes de Iniciar

Assegure-se de que você tenha instalado o DSM Universal CEF e incluído a origem de log para ele no
QRadar.

Sobre Esta Tarefa

Por padrão, o DSM Universal CEF categoriza todos os eventos como desconhecidos. Todos os eventos
Universal CEF exibem um valor unknown nas colunas Nome do evento e Categoria de baixo nível na
guia Atividade de log. Deve-se modificar o mapa QID para mapear individualmente cada evento de seu
dispositivo para uma categoria de evento no QRadar. O mapeamento de eventos permite que o QRadar
identifique, una e rastreie eventos de dispositivos de rede.

Para obter mais informações sobre o mapeamento de eventos, consulte o Guia do Usuário do IBM QRadar.

1092 Guia de configuração do QRadar DSM

6. Na lista Origem de log, selecione a origem de log Universal CEF.
7. Clique em Incluir filtro.
8. Na lista Visualizar, selecione Última hora.
9. Opcional: Clique em Salvar critérios para salvar seu filtro de procura existente.
10. Na coluna Nome do evento, dê um clique duplo em um evento desconhecido para seu DSM
Universal CEF.
11. Clique em Mapear evento.
12. Na área de janela Procurar QID, selecione qualquer uma das opções de procura a seguir para limitar
as categorias de eventos para um QRadar Identifier (QID):
v Na lista Categoria de Alto Nível, selecione uma categoria de evento de alto nível. Para obter uma
lista completa de categorias de eventos de alto e baixo nível ou definições de categoria, consulte a
seção Categorias de eventos do Guia de Administração do IBM QRadar.
v Na lista Categoria de baixo nível, selecione uma categoria de evento de baixo nível.
v Na lista Tipo de origem de log, selecione um tipo de origem de log.

Dica: A procura de QIDs por origem de log é útil quando os eventos do DSM Universal CEF são
semelhantes aos de outro dispositivo de rede existente. Por exemplo, se o Universal CEF fornecer
eventos de firewall, você poderá selecionar o Cisco ASA, como outro produto de firewall que
provavelmente captura eventos semelhantes.
v Para procurar um QID por nome, digite um nome no campo QID/Nome.
13. Clique em Procurar.
14. Selecione o QID que você deseja associar ao evento do DSM Universal CEF desconhecido e clique
em OK.

Universal LEEF
O Universal LEEF DSM para o IBM QRadar pode aceitar eventos de dispositivos que produzem eventos
usando o formato Log Event Extended Format (LEEF).

O formato de evento LEEF é um formato de evento proprietário que permite que os fabricantes de
hardware e produto de software leiam e mapeiem eventos de dispositivo projetados especificamente para
a integração do QRadar.

Os eventos com formato em LEEF enviados para o QRadar fora do programa de parceria requerem que
você tenha instalado o Universal LEEF DSM e identifique manualmente cada evento encaminhado para o
QRadar mapeando eventos desconhecidos. O DSM Universal LEEF pode analisar eventos encaminhados
por syslog ou arquivos contendo eventos no formato LEEF pesquisados em um dispositivo ou diretório
usando o protocolo de arquivo de log.

Para configurar eventos no QRadar usando o Universal LEEF, deve-se:

1. Configure uma origem de log Universal LEEF no QRadar.
2. Envie os eventos com formato LEEF do seu dispositivo para o QRadar. Para obter mais informações
sobre o encaminhamento de eventos, consulte a documentação do fornecedor.
3. Mapeie os eventos desconhecidos para os QRadar Identifiers (QIDs).

Configurando uma origem de log Universal LEEF

Antes de configurar seu dispositivo para enviar eventos para o IBM QRadar, deve-se incluir uma origem
de log para o dispositivo que fornece eventos LEEF.

155 Universal 1093

Sobre Esta Tarefa

O QRadar pode receber eventos de uma origem de tempo real usando syslog ou arquivos armazenados
em um dispositivo ou em um repositório usando o protocolo de Arquivo de log.

Para configurar uma origem de log para o Universal LEEF usando syslog:

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar. Agora você está pronto para encaminhar eventos LEEF para
o QRadar.

Configurando o protocolo de arquivo de log para coletar eventos Universal LEEF

O protocolo de arquivo de log permite que o IBM QRadar recupere arquivos de evento ou de log
arquivados de um host remoto ou repositório de arquivos.

Sobre Esta Tarefa

Os arquivos são transferidos, um por vez, para o QRadar para processamento. O QRadar lê os arquivos
de evento e atualiza a origem de log com novos eventos. Devido à pesquisa de archives do protocolo de
Arquivo de log, os eventos não são fornecidos em tempo real, mas incluídos em massa. O protocolo de
arquivo de log pode gerenciar texto simples, arquivos compactados ou archives.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. No campo Nome da origem de log, digite um nome para a origem de log Universal LEEF.
6. No campo Nome da origem de log, digite uma descrição para a origem de log Universal LEEF.
7. Na lista Tipo de origem de log, selecione Universal LEEF.
8. Usando a lista Configuração de protocolo, selecione Arquivo de log.
9. Configure os parâmetros a seguir:

1094 Guia de configuração do QRadar DSM

Tabela 579. Parâmetros de protocolo de arquivo de log
Parâmetro Descrição
Identificador de Fonte de Log Digite o endereço IP ou o nome do host para a origem de log Universal LEEF. Esse
valor deve corresponder ao valor configurado no parâmetro IP de host remoto ou
Nome do host.

O identificador de origem de log deve ser exclusivo para o tipo de origem de log.
Tipo de serviço Na lista, selecione o protocolo que deseja usar ao recuperar arquivos de log de um
servidor remoto. O padrão é SFTP.
v SFTP - Protocolo de Transferência de Arquivos SSH
v FTP - Protocolo de Transferência de Arquivos
v SCP - Copia segura

O protocolo subjacente usado para recuperar arquivos de log para o tipo de serviço
SCP e SFTP requer que o servidor especificado no campo IP ou nome do host
remoto tenha o subsistema SFTP ativado.
IP ou nome do host remoto Digite o endereço IP ou o nome do host do qual você deseja receber arquivos.
Porta remota Digite a porta TCP no host remoto que esteja executando o Tipo de Serviço
selecionado. Se você configurar o Tipo de serviço como FTP, o padrão será 21. Se
configurar o Tipo de serviço como SFTP ou SCP, o padrão será 22. O intervalo
válido é de 1 a 65535.
Usuário remoto Digite o nome do usuário necessário para efetuar login no host que executa o Tipo
de serviço selecionado. O nome do usuário pode ter até 255 caracteres de
comprimento.
Senha remota Digite a senha necessária para efetuar login no host que contém os arquivos de
eventos LEEF.
Confirmar senha Confirme a Senha remota para efetuar login no host que contém os arquivos de
eventos LEEF.
Arquivo de chave SSH Se você selecionar SCP ou SFTP como o Tipo de serviço, esse parâmetro permitirá
definir um arquivo de chave privado SSH. Ao fornecer um Arquivo de chave SSH,
a opção Senha remota é ignorada.
Diretório remoto Digite o local do diretório no host remoto a partir do qual os arquivos são
recuperados.

Somente para FTP. Se os arquivos de log residirem no diretório inicial do usuário

remoto, será possível deixar o diretório remoto em branco. Isso é para suportar
sistemas operacionais nos quais uma mudança no comando de diretório ativo
(CWD) é restrita.
Recursivo Selecione esta caixa de seleção se desejar que o padrão do arquivo procure
subpastas. Por padrão, a caixa de seleção não é selecionada.

O parâmetro Recursivo não será usado se você configurar SCP como o Tipo de
serviço.
Padrão do arquivo de FTP Se você selecionar SFTP ou FTP como o Tipo de serviço, essa opção permitirá que
você configure a expressão regular (regex) necessária para filtrar a lista de arquivos
especificados no Diretório remoto. Todos os arquivos correspondentes são incluídos
no processamento.

Por exemplo, se você desejar listar todos os arquivos que começam com a palavra
log, seguida por um ou mais dígitos e terminando com tar.gz, use a entrada a
seguir: log[0-9]+\.tar\.gz. A utilização deste parâmetro requer conhecimento de
expressões regulares (regex). Para obter mais informações, consulte o seguinte
website: http://download.oracle.com/javase/tutorial/essential/regex/

155 Universal 1095

Tabela 579. Parâmetros de protocolo de arquivo de log (continuação)
Parâmetro Descrição
Modo de transferência por Essa opção será exibida somente se você selecionar FTP como o Tipo de serviço. O
FTP parâmetro Modo de transferência por FTP permite que você defina o modo de
transferência de arquivo ao recuperar arquivos de log via FTP.

Na lista, selecione o modo de transferência que deseja aplicar a essa origem de log:
v Binário – Selecione Binário para origens de log que requerem arquivos de dados
binários ou archives compactados zip, gzip, tar ou tar+gzip.
v ASCII - Selecione ASCII para origens de log que requerem uma transferência de
arquivos ASCII por FTP.

Deve-se selecionar NONE como o Processador e LINEBYLINE como o Gerador de

evento ao usar ASCII como o Modo de transferência FTP.
Arquivo remoto SCP Se você selecionar SCP como o Tipo de serviço, deverá digitar o nome do arquivo
remoto.
Horário de Início Digite o horário do dia em que deseja que o processamento seja iniciado. Esse
parâmetro funciona com o valor de Recorrência para estabelecer quando e com que
frequência o Diretório Remoto é varrido em busca de arquivos. Digite o horário de
início, com base em um relógio de 24 horas, neste formato: HH:MM.
Recorrência Digite a frequência, começando no horário de início, que você deseja que o diretório
remoto seja varrido. Digite este valor em horas (H), minutos (M) ou dias (D).

Por exemplo, digite 2H se você desejar que o diretório seja varrido a cada 2 horas.
O padrão é 1H.
Executar ao salvar Selecione esta caixa de seleção se desejar que o protocolo de arquivo de log seja
executado imediatamente após você clicar em Salvar. Depois que a operação
Executar ao salvar for concluída, o protocolo de arquivo de log seguirá o
planejamento configurado de horário de início e recorrência.

A seleção de Executar ao salvar limpa a lista de arquivos processados anteriormente

para o parâmetro Ignorar arquivo processado anteriormente.
Regulador de EPS Digite o número de Eventos por Segundo (EPS) que você não deseja que esse
protocolo exceda. O intervalo válido é de 100 a 5000.
Processador Se os arquivos no host remoto estiverem armazenados em um formato de archive
zip, gzip, tar ou tar+gzip, selecione o processador que permite que os archives
sejam expandidos e conteúdo seja processado.
Ignorar arquivo(s) Marque essa caixa de seleção para rastrear os arquivos que já foram processados e
processado(s) anteriormente você não deseja que eles sejam processados uma segunda vez. Isso se aplica
somente aos Tipos de serviço FTP e SFTP.
Mudar diretório local? Marque essa caixa de seleção para definir o diretório local em seu sistema QRadar
que você deseja usar para armazenar arquivos transferidos por download durante o
processamento.

Recomendamos que você deixe essa caixa de seleção desmarcada. Quando a caixa
de seleção está marcada, o campo Diretório local é exibido, permitindo que você
configure o diretório local a ser usado para armazenar arquivos.
Gerador de evento Na lista Gerador de evento, selecione LineByLine.

O Gerador de evento aplica processamento adicional aos arquivos de eventos

recuperados. A opção LineByLine lê cada linha do arquivo como evento único. Por
exemplo, se um arquivo tiver 10 linhas de texto, 10 eventos separados serão criados.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.

1096 Guia de configuração do QRadar DSM

A origem de log é incluída no QRadar. Agora você está pronto para gravar eventos LEEF que podem
ser recuperados usando o protocolo de arquivo de log.

Encaminhando eventos para o IBM QRadar

Depois de criar a origem de log, é possível encaminhar ou recuperar eventos para o QRadar. O
encaminhamento de eventos usando syslog pode requerer mais configuração de seu dispositivo de rede.

Conforme os eventos são descobertos pelo QRadar, usando syslog ou pesquisando arquivos de log, os
eventos são exibidos na guia Atividade de log. Os eventos dos dispositivos que encaminham eventos
LEEF são identificados pelo nome que você digita no campo Nome da origem de log. Os eventos para a
origem de log não são categorizados por padrão no QRadar e requerem categorização. Para obter mais
informações sobre como categorizar eventos Universal LEEF, consulte “Criação do mapa de eventos LEEF
Universal”.

Criação do mapa de eventos LEEF Universal

O mapeamento de eventos é necessário para o DSM Universal LEEF, porque os eventos Universal LEEF
não contêm um mapa predefinido de QRadar Identifier (QID) para categorizar eventos de segurança.

Os membros do SIPP Partner Program têm mapas QID projetados para seus dispositivos de rede, por
meio dos quais a configuração é documentada e os mapas QID são testados pela IBM Corp.

O DSM Universal LEEF requer que você mapeie individualmente cada evento de seu dispositivo para
uma categoria de evento no IBM QRadar. O mapeamento de eventos permite que o QRadar identifique,
una e rastreie eventos que são recorrentes em seus dispositivos de rede. Até que você mapeie um evento,
todos os eventos que são exibidos na guia Atividade de log para o DSM Universal LEEF são
categorizados como desconhecidos. Os eventos desconhecidos são facilmente identificados, visto que a
coluna Nome do evento e as colunas Categoria de baixo nível exibem Desconhecido.

Descobrindo eventos desconhecidos

Conforme seu dispositivo encaminha eventos para o IBM QRadar, pode levar tempo para categorizar
todos os eventos de um dispositivo, porque alguns eventos podem não ser gerados imediatamente pelo
dispositivo ou software de origem de eventos.

Sobre Esta Tarefa

É útil saber como procurar rapidamente eventos desconhecidos. Quando você sabe como procurar
eventos desconhecidos, é possível repetir essa procura até que esteja satisfeito com a identificação da
maioria dos eventos Universal LEEF.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Atividade de log.
3. Clique em Incluir filtro.
4. Na primeira lista, selecione Origem de log.
5. Na lista Grupo de origem de log, selecione o grupo de origem de log ou Outro.
As origens de log que não estão designadas a um grupo são categorizadas como Outro.
6. Na lista Origem de log, selecione a origem de log Universal LEEF.
7. Clique em Incluir filtro.
A guia Atividade de log é exibida com um filtro para o DSM Universal LEEF.
8. Na lista Visualizar, selecione Última hora.

155 Universal 1097

Quaisquer eventos que são gerados pelo DSM Universal LEEF na última hora são exibidos. Os
eventos que são exibidos como desconhecidos na coluna Nome do evento ou Categoria de baixo nível
requerem mapeamento de eventos no QRadar.

Nota: É possível salvar o filtro de procura existente clicando em Salvar critérios.

Agora você está pronto para modificar o mapa de eventos do DSM Universal LEEF.

Modificando um mapa de eventos

Modificar um mapa de evento permite categorizar eventos manualmente para um mapa do IBM QRadar
Identifier (QID).

Sobre Esta Tarefa

Qualquer evento categorizado para uma origem de log pode ser remapeado para um novo QRadar
Identifier (QID). Por padrão, o DSM Universal LEEF categoriza todos os eventos como desconhecidos.

Nota: Os eventos que não têm uma origem de log definida não podem ser mapeados para um evento.
Os eventos sem uma origem de log exibem o Log genérico SIM na coluna Origem de log.

Procedimento
1. Na coluna Nome do evento, dê um clique duplo em um evento desconhecido para seu DSM
Universal LEEF.
As informações de eventos detalhadas são exibidas.
2. Clique em Mapear evento.
3. Na área de janela Procurar QID, selecione qualquer uma das opções de procura a seguir para limitar
as categorias de eventos para um QRadar Identifier (QID):
a. Na lista Categoria de alto nível, selecione uma categorização de evento de alto nível.
Para obter uma lista completa de categorias de eventos de alto e baixo nível ou definições de
categoria, consulte a seção Categorias de eventos do Guia de Administração do IBM QRadar.
4. Na lista Categoria de baixo nível, selecione uma categorização de evento de baixo nível.
5. Na lista Tipo de origem de log, selecione um tipo de origem de log.
A lista Tipo de origem de log permite procurar QIDs de outras origens de log individuais. A procura
de QIDs por origem de log é útil quando os eventos do DSM Universal LEEF são semelhantes aos de
outro dispositivo de rede existente. Por exemplo, se o DSM Universal fornecer eventos de firewall,
você poderá selecionar o Cisco ASA, como outro produto de firewall que provavelmente captura
eventos semelhantes.
6. Para procurar um QID por nome, digite um nome no campo QID/Nome.
O campo QID/Nome fornece permite filtrar a lista completa de QIDs para uma palavra específica,
por exemplo, MySQL.
7. Clique em Procurar.
Uma lista de QIDs é exibida.
8. Selecione o QID que você deseja associar ao evento do DSM Universal LEEF desconhecido.
9. Clique em OK.
O QRadar mapeia qualquer evento adicional encaminhado de seu dispositivo com o mesmo QID que
corresponde à carga útil do evento. A contagem de evento aumenta cada vez que o evento é
identificado pelo QRadar.

Nota: Se você atualiza um evento com um novo mapa do QRadar Identifier (QID), os eventos
passados armazenados no QRadar não são atualizados. Somente os novos eventos serão categorizados
com o novo QID.

1098 Guia de configuração do QRadar DSM

156 Vectra Networks Vectra
O IBM QRadar DSM for Vectra Networks Vectra coleta eventos da plataforma Vectra Networks Vectra
X-Series.

A tabela a seguir descreve as especificações para o Vectra Networks Vectra DSM:

Tabela 580. Especificações do Vectra Networks Vectra DSM
Especificação Valor
Fabricante Vectra Networks
Nome do DSM Vectra Networks Vectra
Nome do arquivo RPM DSM-VectraNetworksVectra-QRadar_version-
build_number.noarch.rpm
Versões Suportadas V2.2
Protocolo Syslog
Formato de Evento Formato de evento comum
Tipos de eventos registrados Pontuação do host, comando e controle, atividade botnet,
reconhecimento, movimento lateral, exfiltração
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Vectra Networks (http://
www.vectranetworks.com)

Para integrar o Vectra Networks Vectra com o QRadar, conclua as etapas a seguir:
1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
dos seguintes RPMs em seu QRadar Console na ordem em que estão listados:
v RPM DSMCommon
v RPM DSM Vectra Networks Vectra
2. Configure o dispositivo Vectra Networks Vectra para enviar eventos syslog para o QRadar.
3. Se o QRadar não detectar automaticamente a origem de log, inclua uma origem de log Vectra
Networks Vectra no QRadar Console. A tabela a seguir descreve os parâmetros que requerem valores
específicos para a coleção de eventos do Vectra Networks Vectra:
Tabela 581. Parâmetros da origem de log do Vectra Networks Vectra
Parâmetro Valor
Tipo de origem de log Vectra Networks Vectra
Configuração de protocolo Syslog
Log Source Identifier Um identificador exclusivo para a origem de log.

A tabela a seguir fornece uma mensagem de evento de amostra para o DSM Vectra Networks Vectra:

Tabela 582. Mensagem de amostra do Vectra Networks Vectra.
Nome de Evento Categoria de baixo nível Mensagem de log de amostra
Pontuação do host Porta dos Fundos Detectada <13>Dec 22 16:38:53
<Server> --:
CEF:0|Vectra Networks|
Vectra|2.3|HSC|Host
Score Change|3|externalId
=283 cat=HOST SCORING
shost = IP-<IP_address> src=
<Source_IP_address> flexNumber1=26
flexNumber1Label=threat
flexNumber2=60 flexNumber
2Label=certainty cs4=https:
// <IP_address> /hosts/283
cs4Label=URL start=
1450831133169 end=
1450831133169

Configurando o Vectra Networks Vectra para se comunicar com o

QRadar
Para coletar eventos do Vectra Networks Vectra, configure o listener de daemon de syslog do QRadar.

Procedimento
1. Efetue login no console da web do Vectra.
2. Clique em configurações > Notificações.
3. Na seção Syslog, clique em Editar.
4. Configure os parâmetros de listener de daemon de syslog do QRadar a seguir:

Opção Descrição
DESTINATION: O endereço IP do QRadar Event Collector.
Port 514
Protocolo UDP
Formato CEF

1100 Guia de configuração do QRadar DSM

157 Venustech Venusense
O DSM Venusense Venustech para o IBM QRadar pode coletar eventos de dispositivos Venusense usando
syslog.

O QRadar registra todos os eventos relevantes unificados de ameaça, firewall ou prevenção de intrusão
de rede que são encaminhados usando syslog na porta 514.

Os dispositivos Venustech a seguir são suportados pelo QRadar:

v Venustech Venusense Security Platform
v Venusense Unified Threat Management (UTM)
v Venusense Firewall
v Venusense Network Intrusion Prevention System (NIPS)

Visão geral da configuração do Venusense

O IBM QRadar pode coletar eventos de dispositivos Venustech que estão configurados para encaminhar
logs de eventos filtrados em formato syslog para o QRadar.

O processo a seguir descreve as etapas que são necessários para coletar eventos de um dispositivo
Venusense Venustech:
1. Configure o servidor syslog em seu dispositivo Venusense.
2. Configure um filtro de log em seu dispositivo Venusense para encaminhar logs de eventos específicos.
3. Configure uma origem de log no QRadar para corresponder aos eventos de log filtrados.

Configurando um servidor syslog Venusense

Para encaminhar eventos para o IBM QRadar, deve-se configurar e ativar um servidor syslog em seu
dispositivo Venusense com o endereço IP do QRadar Console ou Event Collector.

Procedimento
1. Efetue login na interface de configuração do dispositivo Venusense.
2. No menu de navegação, selecione Logs > Configuração de log > Servidores de log.
3. No campo Endereço IP, digite o endereço IP do QRadar Console ou Event Collector.
4. No campo Porta, digite 514.
5. Marque a caixa de seleção Ativar.
6. Clique em OK.

O que Fazer Depois

Agora você está pronto para configurar o dispositivo Venusense para filtrar os eventos que serão
encaminhados para o QRadar.

Configurando a filtragem de eventos Venusense

A filtragem de eventos determina quais eventos o dispositivo Venusense encaminha para o IBM QRadar.

Procedimento
1. No menu de navegação, selecione Logs > Configuração de log > Filtragem de log.

2. Na coluna Log syslog, marque uma caixa de seleção para cada log de eventos que você deseja
encaminhar para o QRadar.
3. Na lista, selecione um recurso de syslog para o log de eventos ativado.
4. Repita de “Configurando a filtragem de eventos Venusense” na página 1101 a “Configurando a
filtragem de eventos Venusense” na página 1101 para configurar quaisquer filtros de eventos de
syslog adicionais.
5. Clique em OK.

O que Fazer Depois

Agora é possível configurar uma origem de log para o dispositivo Venusense no QRadar. O QRadar não
descobre ou cria automaticamente origens de log para eventos syslog de dispositivos Venusense.

Configurando uma origem de log Venusense

Para integrar eventos syslog Venusense, deve-se criar manualmente uma origem de log no IBM QRadar
como eventos Venusense que não são descobertos automaticamente.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Nome da origem de log, digite um nome para a sua origem de log.
7. No campo Descrição de origem de log , digite uma descrição para a origem de log.
8. Na lista Tipo de origem de log, selecione o dispositivo Venustech Venusense.
O tipo de origem de log que você seleciona é determinado pelo filtro de eventos que está
configurado em seu dispositivo Venusense. As opções incluem os tipos a seguir:
v Venustech Venusense Security Platform - Selecione essa opção se você ativou todas as opções de
filtro de eventos.
v Venustech Venusense UTM - Selecione essa opção se você ativou eventos de filtragem unificados.
v Venustech Venusense Firewall - Selecione essa opção se você ativou a filtragem de eventos de
firewall.
v Venustech Venusense NIPS - Selecione essa opção se você ativou a filtragem de eventos de
firewall.
9. Na lista Configuração de protocolo, selecione Syslog.
10. No campo Identificador de origem de log, digite o endereço IP ou o nome do host para a origem de
log como um identificador para seu dispositivo Venusense.
11. Clique em Salvar.
12. Na guia Administrador, clique em Implementar mudanças.
A configuração está concluída. Os eventos que são encaminhados para o QRadar pelo dispositivo
Venusense são exibidos na guia Atividade de log.

1102 Guia de configuração do QRadar DSM

158 Verdasys Digital Guardian
O DSM Verdasys Digital Guardian para o IBM QRadar aceita e categoriza todos os eventos de alertas dos
aplicativos Verdasys Digital Guardian.

Verdasys Digital Guardian é uma plataforma Enterprise Information Protection (EIP) abrangente. O Digital
Guardian serve como fundamento da segurança acionada por política e centrada em dados, permitindo
que as organizações solucionem os desafios de risco que existem no ambiente de negócios altamente
colaborativo e móvel de hoje. A arquitetura do agente de terminal do Digital Guardian torna possível
implementar uma estrutura de segurança centrada em dados.

O Verdasys Digital Guardian permite aos gerentes de negócios e de TI:

v Descobrir e classificar dados sensíveis por contexto e conteúdo.
v Monitorar o acesso e o uso de dados por usuário ou processo.
v Implementar a proteção de informações acionada por política automaticamente.
v Alertar, bloquear e registrar o comportamento de alto risco para evitar incidentes de perda de dados
dispendiosa e prejudicial.

A integração do Digital Guardian com o QRadar fornece contexto do terminal e ativa um novo nível de
detecção e mitigação para Insider Threat e Cyber Threat (Advanced Persistent Threat).

O Digital Guardian fornece ao QRadar um rico fluxo de dados do terminal que inclui: visibilidade de
cada acesso a dados por usuários ou processos que incluem o nome do arquivo, a classificação do
arquivo, o aplicativo que é usado para acessar os dados e outras variáveis contextuais.

A tabela a seguir descreve as especificações para o DSM do Verdasys Digital Guardian:

Especificação Valor
Fabricante Verdasys Digital Guardian
Nome do DSM Verdasys Digital Guardian
Nome do arquivo RPM DSM-VerdasysDigitalGuardian-QRadar_version-
Build_number.noarch.rpm
Versões suportadas V6.1.x e V7.2.1.0248 com o formato LEEF do QRadar

V6.0x com o formato de evento Syslog

Protocolo Syslog, LEEF
Formato de evento Syslog
Tipos de eventos registrados Todos os eventos
Descobertos automaticamente? SIM
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do Digital Guardian (https://
digitalguardian.com)

Configurando IPtables
Antes de configurar o Verdasys Digital Guardian para encaminhar eventos, deve-se configurar IPtables no
IBM QRadar para permitir solicitações de ICMP do Verdasys Digital Guardian.

Procedimento
1. Use um SSH para efetuar login no QRadar como o usuário raiz.
Login: root
Senha: <password>
2. Digite o comando a seguir para editar o arquivo IPtables:
vi /opt/qradar/conf/iptables.post
O arquivo de configuração de IPtables é exibido.
3. Digite os comandos a seguir para permitir que o QRadar aceite solicitações de ICMP do Verdasys
Digital Guardian:
-I QChain 1 -m icmp -p icmp --icmp-type 8 --src <IP address> -j ACCEPT
-I QChain 1 -m icmp -p icmp --icmp-type 0 --src <IP address> -j ACCEPT
Em que <IP address> é o endereço IP do dispositivo Verdasys Digital Guardian. Por exemplo,
-I QChain 1 -m icmp -p icmp --icmp-type 8 --src <Source_IP_address> -j ACCEPT
-I QChain 1 -m icmp -p icmp --icmp-type 0 --src <Source_IP_address> -j ACCEPT

Nota: Certifique-se de especificar "--icmp-type" nos comandos para evitar falhas quando você estiver
fazendo upgrade dos IPTables.
4. Salve a sua configuração IPtables.
5. Digite o comando a seguir para atualizar o IPtables no QRadar:
/opt/qradar/bin/iptables_update.pl
6. Para verificar se o QRadar aceita tráfego ICMP de seu Verdasys Digital Guardian, digite o comando a
seguir: iptables --list --line-numbers
A saída a seguir é exibida:
[root@Qradar bin]# iptables --list --line-numbers
Chain QChain (1 references)
num target prot opt source destination
1 ACCEPT icmp -- <IP address> anywhere icmp echo-reply
2 ACCEPT icmp -- <IP address> anywhere icmp echo-request
3 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
4 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
A configuração de IPtables para o QRadar está concluída.

Configurando uma exportação de dados

Exportações de dados oferecem a opção de configurar os eventos que o Verdasys Digital Guardian
encaminha para o IBM QRadar.

Procedimento
1. Efetue login no Digital Guardian Management Console.
2. Selecione Área de trabalho > Exportação de dados > Criar exportação.
3. Na lista Origens de dados, selecione Alertas ou Eventos como a origem de dados.
4. Na lista Tipo de exportação, selecione QRadar LEEF.
Se a versão do Verdasys Digital Guardian for v6.0.x, será possível selecionar Syslog como o Tipo de
exportação. O QRadar LEEF é o formato de tipo de exportação preferencial para todos dispositivos
Verdasys Digital Guardian com a versão v6.1.1 e mais recente.
5. Na lista Tipo, selecione UDP ou TCP como o protocolo de transporte.
O QRadar pode aceitar eventos syslog de qualquer um desses protocolos de transporte. Se o
comprimento de seus eventos de alerta geralmente excede 1024 bytes, será possível selecionar TCP
para evitar que os eventos sejam truncados.

1104 Guia de configuração do QRadar DSM

6. No campo Servidor, digite o endereço IP do QRadar Console ou Event Collector.
7. No campo Porta, digite 514.
8. Na lista Nível de severidade, selecione um nível de severidade.
9. Marque a caixa de seleção Está ativo.
10. Clique em Avançar.
11. Na lista de campos disponíveis, inclua os campos de Alerta ou Evento a seguir para a exportação de
dados:
v Horário local do agente
v Aplicativo
v Nome do computador
v Tamanho do arquivo de detalhes
v Endereço IP
v Porta local
v Operação (obrigatório)
v Política
v Porta remota
v Regra
v Gravidade
v Endereço IP de origem
v Nome do usuário
v Foi bloqueado
v Foi classificado
12. Selecione um Critério para os campos na exportação de dados e clique em Avançar.
Por padrão, o Critério está em branco.
13. Selecione um grupo para os critérios e clique em Avançar.
Por padrão, o grupo está em branco.
14. Clique em Testar consulta.
Uma Consulta de teste assegura que o banco de dados seja executado de forma adequada.
15. Clique em Avançar.
16. Salve a exportação de dados.
A configuração está concluída.

O que Fazer Depois

A exportação de dados do Verdasys Digital Guardian ocorre em um intervalo de 5 minutos. É possível

ajustar essa sincronização com o planejador de tarefa no Verdasys Digital Guardian, se necessário. Os
eventos que são exportados para o QRadar pelo Verdasys Digital Guardian são exibidos na guia
Atividade de log.

Configurando uma origem de log

O IBM QRadar descobre e cria automaticamente uma origem de log para exportações de dados de
dispositivos Verdasys Digital Guardian.

Sobre Esta Tarefa

O procedimento a seguir é opcional.

158 Verdasys Digital Guardian 1105

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
A origem de log é incluída no QRadar.

1106 Guia de configuração do QRadar DSM

159 DSM Vericept Content 360
O DSM Vericept Content 360 para o IBM QRadar aceita eventos Vericept usando syslog.

Sobre Esta Tarefa

O QRadar registra todas as informações relevantes e disponíveis do evento. Antes de configurar um

dispositivo Vericept no QRadar, deve-se configurar o dispositivo para encaminhar syslog. Para obter mais
informações sobre como configurar o dispositivo Vericept, consulte a documentação do fornecedor.

Depois de configurar o syslog para encaminhar eventos para o QRadar, a configuração está concluída. A
origem de log é incluída no QRadar conforme os eventos do Vericept Content 360 são descobertos
automaticamente. Os eventos que são encaminhados para o QRadar por seu dispositivo Vericept Content
360 são exibidos na guia Atividade de log.

Para configurar manualmente uma origem de log para que o QRadar receba eventos de um dispositivo
Vericept:

Procedimento

Na lista Tipo de origem de log, selecione a opção Vericept Content 360.

1108 Guia de configuração do QRadar DSM
160 VMWare
O IBM QRadar suporta uma faixa de produtos VMWare.

VMware AppDefense
O IBM QRadar DSM for VMware AppDefense coleta eventos de um sistema VMware AppDefense.

Para integrar o VMware AppDefense ao QRadar, conclua as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, os RPMs estarão disponíveis para download
por meio do website de suporte IBM (http://www.ibm.com/support). Faça download e instale a
versão mais recente dos RPMs a seguir em seu QRadar Console:
v Protocolo-RPM Common
v RPM do Protocolo da API do VMWare AppDefense
v RPM DSMCommon
v RPM do DSM VMWare AppDefense
2. Configure o dispositivo VMware AppDefense para enviar eventos para o QRadar.
3. Inclua uma origem de log do VMWare AppDefense que use o protocolo de API do VMWare
AppDefense no QRadar Console.
Conceitos relacionados:
“Mensagens de evento de amostra do VMware AppDefense” na página 1112
Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.
Tarefas relacionadas:
“Configurando o VMware AppDefense para se comunicar com o QRadar” na página 1110
Para enviar eventos para o QRadar de seu sistema VMware AppDefense, deve-se criar uma nova chave
API em seu sistema VMware AppDefense.
“Configurando uma origem de log do VMware AppDefense usando o protocolo de API do VMWare
AppDefense” na página 1111
Se você desejar coletar logs do VMware AppDefense do VMware AppDefense, inclua uma origem de log
no QRadar Console para que o VMware AppDefense possa se comunicar com o QRadar usando o
protocolo de API do VMWare AppDefense.
Referências relacionadas:
“Especificações do DSM VMWare AppDefense”
A tabela a seguir descreve as especificações para o DSM do VMWare AppDefense.

Especificações do DSM VMWare AppDefense

A tabela a seguir descreve as especificações para o DSM do VMWare AppDefense.
Tabela 584. Especificações do DSM VMWare AppDefense
Especificação Valor
Fabricante VMware
Nome do DSM VMWare AppDefense
Nome do arquivo RPM DSM-VMWareAppDefense-QRadar_version-
build_number.noarch.rpm
Versões suportadas V1.0
Protocolo API do VMWare AppDefense

Tabela 584. Especificações do DSM VMWare AppDefense (continuação)
Especificação Valor
Formato de evento JSON
Tipos de eventos registrados Todos
Descobertos automaticamente? No
Inclui identidade? No
Inclui propriedades customizadas? No
Informações adicionais Website do VMware (https: //cloud.vmware.com/
appdefense)

Conceitos relacionados:
“VMware AppDefense” na página 1109
O IBM QRadar DSM for VMware AppDefense coleta eventos de um sistema VMware AppDefense.

Configurando o VMware AppDefense para se comunicar com o

QRadar
Para enviar eventos para o QRadar de seu sistema VMware AppDefense, deve-se criar uma nova chave
API em seu sistema VMware AppDefense.

Antes de Iniciar

Assegure-se de que você tenha acesso às configurações de Integrações na interface com o usuário do
VMware AppDefense para que você possa gerar a URL do Terminal e a Chave API que são necessárias
para configurar uma origem de log no QRadar. Deve-se ter as permissões de usuário corretas para a
interface com o usuário do VMware AppDefense a fim de concluir o procedimento a seguir:

Procedimento
1. Efetue login na interface com o usuário do VMware AppDefense.
2. No menu de navegação, clique no ícone à direita de seu nome de usuário e, em seguida, selecione
Integrações.
3. Clique em PROVISÃO NEW API KEY .
4. No campo Nome de integração, digite um nome para a sua integração.
5. Selecione uma integração na lista Tipo de integração.
6. Clique em PROVISÃO e, em seguida, registre e salve as informações a seguir da mensagem na janela
que é aberta. Você precisa dessas informações quando você configura uma origem de log no QRadar:
v URL do EndPoint
v Chave API - Este é o valor do parâmetro Token de autenticação quando você configura uma
origem de log no QRadar.

Nota: Se você clicar em OK ou fechar a janela, as informações na mensagem não poderão ser
recuperadas.
Conceitos relacionados:
“VMware AppDefense” na página 1109
O IBM QRadar DSM for VMware AppDefense coleta eventos de um sistema VMware AppDefense.

1110 Guia de configuração do QRadar DSM

Configurando uma origem de log do VMware AppDefense usando o
protocolo de API do VMWare AppDefense
Se você desejar coletar logs do VMware AppDefense do VMware AppDefense, inclua uma origem de log
no QRadar Console para que o VMware AppDefense possa se comunicar com o QRadar usando o
protocolo de API do VMWare AppDefense.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. Na lista Tipo de origem de log, selecione VMWare AppDefense.
6. Na lista Configuração de protocolo, selecione API do VMWare AppDefense.
7. Configure os parâmetros.
A tabela a seguir descreve os parâmetros que requerem valores específicos para coletar eventos JSON
do VMware AppDefense usando o protocolo de API do VMWare AppDefense:
Tabela 585. Parâmetros de origem de log do protocolo da API do VMWare AppDefense
Parâmetro Descrição
Tipo de Fonte de Log VMWare AppDefense
Configuração de protocolo API do VMWare AppDefense
URL do Nó de Extremidade A URL de terminal para acessar o VMware AppDefense.
Exemplo de revisão:

https://server_name.vmwaredrx.com/partnerapi/v1/
orgs/<organization ID>
Token de autenticação Um único token de autenticação que é gerado pelo
console do AppDefense e deve ser usado para todas as
transações da API.
Usar Proxy Se o QRadar acessa a API do VMWare AppDefense
usando um proxy, ative Usar proxy.

Se o proxy requerer autenticação, configure os campos

Nome do host, Porta de proxy, Nome do usuário de
proxy e Proxy.

Se o proxy não requerer autenticação, configure os

campos Nome do host e Porta de proxy.
Adquirir automaticamente certificados do servidor Se você escolher Sim na lista suspensa, o QRadar
automaticamente fará download do certificado e
começará a confiar no servidor de destino. Se Não for
selecionado, o QRadar não tentará recuperar nenhum
certificado do servidor.
Recorrência Iniciando no Horário de início, digite a frequência para a
frequência com que você deseja que o diretório remoto
seja varrido. Digite este valor em horas (H), minutos (M)
ou dias (D). Por exemplo, 2H se você desejar que o
diretório seja varrido a cada 2 horas. O padrão é 5M.
Acelerador O número máximo de eventos por segundo.

O padrão é 5000.

8. Clique em Salvar.

160 VMWare 1111

9. Na guia Administrador, clique em Implementar mudanças.
Conceitos relacionados:
“VMware AppDefense” na página 1109
O IBM QRadar DSM for VMware AppDefense coleta eventos de um sistema VMware AppDefense.

Mensagens de evento de amostra do VMware AppDefense

Use essas mensagens do evento de amostra como uma maneira para verificar uma integração
bem-sucedida com o QRadar.

A tabela a seguir fornece uma mensagem de evento de amostra ao usar o protocolo de API do VMWare
AppDefense para o DSM do VMWare AppDefense:
Tabela 586. Mensagem de amostra do VMware AppDefense suportada pelo VMware AppDefense
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Violação de Regra Negação de {1}{1}{1}{1}{1}{1}{1}, "createdAt": 1512009263.471000000,
de Conexão de Firewall "remediation": {1}{1}{1}{1}{1}{1}{1}, "severity": "CRITICAL",
Entrada "lastReceivedAt": 1516170726.957000000, "contagem": 2,
"status":"UNRESOLVED","violationDetails":{"processHa
shSHA256 ":" 100000000000000000000000000000000000000000000
00000000000000000000000 "," processHash ":" 100000000000
00000000000000000000 "," cli ":" <cli> "," localPort ":" < 24
"," processPath ":" "," alert ":" INBOUND_CONNECTION_RULES
_VIOLATION" ,"localAddress ":" 192.0.2.0 "," ipProtocol ":
"tcp", "preEstablishedConnection": "FALSE" }, " violating
VirtualMachine ": {1}{1}{1}{1}{1}{1}{1}," vmToolsStatus ":" TOOLS
_NOT_RUNNING "," vcenterUuid ":" 11111111-1111-1111-1111
-1111111111111111 "," vmUuid ":"
11111111-1111-1111-11111111111111111111111111111111
111111111","ipAddress":"192.0.2.0”,"osType":"WINDOWS
"," vmManageabilityStatus ":" HOST_MODULE_ENABLED_AND_
GUEST_MODULE_MISSING" ,"guestAgentVersion ":" 1.0.1.0 "
, "macAddress": "<MacAddress>", "guestId": "windows8", "
healthStatus ":" CRITICAL "," service ": {0}{0}{0}{0}{0}," vm
Id ":" 1 "," guestAgentStatus ":" Desconectado "," guest
Name ":" Microsoft Windows "," guestStatus ":" POWERED_
OFF "," name ":" <name> "," hostName ":" <Hostname> "}," viol
atingProcess ": {
"fullPathName": "System", "<System>": "<System>", " pro
cess256Hash":"100000000000000000000000000000000000
00000000000000000000000000000000 "," processMd5Hash ":" 10
000000000000000000000000000000 "}," subRuleViolated "
:null, "ruleViolated": "INBOUND_CONNECTION" }

1112 Guia de configuração do QRadar DSM

Tabela 586. Mensagem de amostra do VMware AppDefense suportada pelo VMware AppDefense (continuação)
Categoria de
Nome do Evento baixo nível Mensagem de log de amostra
Violação de regra de Negação de {1}{0}{1}{0}{1}{0}{0}{1}, "createdAt": 1512009263.495000000,
conexão de saída Firewall "remediation": {1}{5}{5}{1}{5}{1}{9}, "severity": "CRITICAL",
"lastReceivedAt": 1516224258.818000000, "count": 0000
1, "status": "UNRESOLVED", "violationDetails": {
ssHashSHA256 ":" 00000000000000000000000000000000000
00000000000000000000000000","processHash":"0000000
000000000000000000000000 "," cli ":" C: \ \ <path>, "alert"
: "OUTBOUND_CONNECTION_RULES_VIOLATION", " localAddre
ss ":" 192.0.2.0 "," remotePort ":" 24 "," ipProtocol ":
"udp", "preEstablishedConnection": "FALSE", " remote
Endereço ":" 0000: :0:0 "}," violatingVirtualMachine ":
{1}{0}{1}{0}{1}{0}, "vmToolsStatus": "TOOLS_NOT_RUNNING",
"vcenterUuid":
" 11111111-11111111111111111
1111111111111111111111111111111
11 "," vmUuid ":
" 11111111-1111-1111-1111-
11111111111111111111111111111111111111
1 "," ipAddress ":" 192.0.2.0 "," osType ":" WINDOWS " ,"vm
ManageabilityStatus":"HOST_MODULE_ENABLED_AND_GUE
ST_MODULE_MISSING" ,"guestAgentVersion ":" 1.0.1.0 "
, "macAddress": "<MacAddress>", "guestId": "windows8",
"healthStatus": "CRITICAL", "service": {2}{8}{4}{8}{6},
"vmId": "1", "guestAgentStatus": "Desconectado", " guest
Name ":" Microsoft Windows "," guestStatus ":" POWERED_
OFF "," name ":" <name> "," hostName ":" <host> "}," violat
ingProcess ": {
FileInfo ": {5}":" 000000000000000000000000000000 ",
"sha256": " 000000000000000000000000000000000000000
000000000000000000000000 "," container ":false," executab
le":true,"ssdeep":"100:THGFJFJFHJY7y86gHK7GHk7ghj
gkghjk "," fileSizeBytes ": 1," peFormat ":true," first
SeenName ":" <fileName> "," sha1 ":" 00000000000000000
0000000000000000000 "," crc32 ":null }," peHeaderMeta
data ": {
"productName": "Microsoft Windows," version " :null,
"originalName": "<host>", "description": " < descript
ion > ","fileVersion": "192.0.2.0," codePage " :null,
"productVersion": "6.3.9600.17415", "language ":
"English (U.S.)" },"certificate":{"commonName":
"Windows", "certificateexinfo": {0}{0}{0}{0}
00000000000000000000000000000000000000000 "," problema
rThumbprint ":" 0000000000000000000000000000000000000 "
, "serialNumber ":null," validToDate ": 1437604140.00
0000000, "validFromDate": 1398205740.000000000, "pu
blisher ":null," name ":null } }," trust ": 10," ameaça ":
0 }, "fullPathName": "C: \ \ <path>", "process256Hash":
" 000000000000000000000000000000000000000000
0000000000000000000000000000000000
0000000000000 "," processMd5Hash ":" 000000000000000
000000000000000000"},"subRuleViolated":null,"rul
eViolated ":" OUTBOUND_CONNECTION " }

Conceitos relacionados:
“VMware AppDefense” na página 1109
O IBM QRadar DSM for VMware AppDefense coleta eventos de um sistema VMware AppDefense.

160 VMWare 1113

VMware ESX e ESXi
O DSM EMC VMware para o IBM QRadar coleta eventos do servidor ESX e ESXi usando o protocolo
VMware ou syslog. O EMC VMware DSM suporta eventos dos servidores VMware ESX ou ESXi 3.x, 4.x,
5.x e 6.x.

Para coletar eventos do VMware ESX ou ESXi, é possível selecionar um dos métodos de coleção de
eventos a seguir:
v “Configurando syslog nos servidores VMware ESX e ESXi”
v “Configurando o protocolo EMC VMWare para servidores ESX ou ESXi” na página 1116

Configurando syslog nos servidores VMware ESX e ESXi

Para coletar eventos syslog para o VMware, deve-se configurar o servidor para encaminhar eventos
usando syslogd por meio de seu servidor ESXi para o IBM QRadar.

Procedimento
1. Efetue login no seu VMware vSphere Client.
2. Selecione o host que gerencia o inventário do VMware.
3. Clique na guia Configuração.
4. Na área de janela Software, clique em Configurações avançadas.
5. No menu de navegação, clique em Syslog.
6. Configure valores para os parâmetros a seguir:
Tabela 587. Parâmetros do protocolo syslog do VMware
Parâmetro Versão do ESX Descrição
Syslog.Local.DatastorePath ESX ou ESXi ou 4.x Digite o caminho do diretório para as mensagens de
3.5.x syslog local no servidor ESXi.

O caminho do diretório padrão é []

/scratch/log/messages.
Syslog.Remote.Hostname ESX ou ESXi ou 4.x Digite o endereço IP ou o nome do host do QRadar.
3.5.x
Syslog.Remote.Port ESX ou ESXi ou 4.x Digite o número da porta que o servidor ESXi usa para
3.5.x encaminhar dados syslog.

O padrão é a porta 514.

Syslog.global.logHost ESXi v5.x ou ESXi Digite a URL e o número da porta que o servidor ESXi
v6.x usa para encaminhar dados syslog.

Exemplos:

udp://<QRadar IP address>:514

tcp://<QRadar IP address>:514

7. Clique em OK para salvar a configuração.

A configuração de firewall padrão nos servidores VMware ESXi v5.x e VMware ESXi v6.x desativa as
conexões de saída por padrão. As conexões syslog de saída que estão desativadas restringem o
encaminhador de syslog interno de enviar eventos de segurança e acesso ao QRadar
Por padrão, a configuração de firewall de syslog para produtos VMware permite somente
comunicações syslog de saída. Para evitar riscos de segurança, não edite a regra de firewall syslog
padrão para ativar conexões syslog recebidas.

1114 Guia de configuração do QRadar DSM

Ativando configurações de firewall syslog em vSphere Clients
Para encaminhar eventos do syslog dos servidores ESXi v5.x ou ESXi v6.x, deve-se editar a sua política
de segurança para ativar conexões de saída do syslog para eventos.

Procedimento
1. Efetue login no servidor do ESXi v5.x ou ESXi v6.x por meio de um cliente vSphere.
2. Na lista Inventário, selecione o Servidor ESXi.
3. Clique na guia Gerenciar e selecione Perfil de segurança.
4. Na seção Firewall, clique em Propriedades.
5. Na janela Propriedades de firewall, marque a caixa de seleção syslog.
6. Clique em OK.

Ativando configurações de firewall syslog em vSphere Clients usando o comando

esxcli
Para encaminhar eventos syslog dos servidores ESXi v5.x ou ESXi v6.x, como uma alternativa, é possível
configurar a Exceção de firewall do ESXi usando o comando esxcli.

Nota: Para encaminhar logs syslog, pode ser necessário abrir manualmente o Conjunto de regras de
firewall. Essa regra de firewall não está em vigor no ESXi 5.0 compilação 456551. A porta UDP 514 fluxos
de tráfego.

Para abrir o tráfego de saída por meio do Firewall do ESXi na porta UDP 514 e nas portas TCP 514 e
1514, execute os comandos a seguir:
esxcli network firewall ruleset set --ruleset-id=syslog --enabled=true
Atualização de firewall de rede esxcli

Configurando uma origem de log syslog para VMware ESX ou ESXi

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog do VMware. As
etapas de configuração a seguir são opcionais.

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de origem de log, selecione EMC VMWare.
6. Usando a lista Configuração de protocolo, selecione Syslog.
7. Configure os valores a seguir:
Tabela 588. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log como um identificador
log para eventos de seu servidor EMC VMware.
Ativado Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa caixa de
seleção é marcada.
Credibilidade Na lista, selecione a credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.

160 VMWare 1115

Tabela 588. Parâmetros do protocolo Syslog (continuação)
Parâmetro Descrição
Coletor de eventos de Na lista, selecione o Coletor de eventos de destino a ser usado como o destino da
destino origem de log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

Por padrão, origens de log descobertas automaticamente herdam o valor da lista

Unindo eventos das Configurações do sistema no QRadar. Ao criar uma origem de
log ou editar uma configuração existente, é possível substituir o valor padrão
configurando esta opção para cada origem de log.
Carga útil do evento Na lista, selecione o codificador de carga útil de entrada para analisar e armazenar os
recebido logs.
Armazenar carga útil do Selecione essa caixa de seleção para ativar que a origem de log armazene as
evento informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

Armazenar carga útil do evento das Configurações do sistema no QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de log.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

Configurando o protocolo EMC VMWare para servidores ESX ou ESXi

É possível configurar o protocolo EMC VMWare para ler eventos por meio de seu servidor VMware ESXi.
O protocolo EMC VMWare usa HTTPS para pesquisar eventos nos servidores ESX e ESXi.

Sobre Esta Tarefa

Antes de você configurar a sua origem de log para usar o protocolo do EMC VMWare, é sugerido que
você crie um usuário exclusivo para pesquisar eventos. Esse usuário pode ser criado como membro do
grupo raiz ou administrativo, mas deve-se fornecer ao usuário uma atribuição designada de permissão
somente leitura. Isso assegura que o IBM QRadar possa coletar o número máximo de eventos e reter um
nível de segurança para os servidores virtuais. Para obter mais informações sobre funções de usuário,
veja a sua documentação do VMware.

Para integrar o EMC VMWare com o QRadar, deve-se concluir as tarefas a seguir:
1. Crie uma conta ESX para o QRadar.
2. Configure as permissões da conta para o usuário do QRadar.
3. Configure o protocolo EMC VMWare no QRadar.

A criação de um usuário que não faz parte da raiz ou de um grupo administrativo pode fazer com que
alguns eventos não sejam coletados pelo QRadar. É sugerido que você crie seu usuário QRadar para
incluir privilégios administrativos, mas designe a esse usuário customizado uma função somente leitura.

Criando uma conta para o QRadar no ESX

É possível criar uma conta do usuário IBM QRadar para o EMC VMWare para permitir que o protocolo
pesquise eventos de forma adequada.

Procedimento
1. Efetue login no host ESX usando o vSphere Client.
2. Clique na guia Usuários locais & Grupos.

1116 Guia de configuração do QRadar DSM

3. Clique em Usuários.
4. Clique com o botão direito e selecione Incluir.
5. Configure os parâmetros a seguir:
a. Login - Digite um nome de login para o novo usuário.
b. UID – Opcional. Digite um ID de usuário.
c. Nome do usuário - Digite um nome de usuário para a conta.
d. Senha - Digite uma senha para a conta.
e. Confirmar senha – Digite a senha novamente como confirmação.
f. Grupo – Na lista Grupo, selecione raiz
6. Clique em Incluir.
7. Clique em OK.

Configurando permissões de conta somente leitura

Por motivos de segurança, configure a conta do usuário do IBM QRadar como membro do grupo raiz ou
admin, mas selecione uma atribuição designada de permissões somente leitura.

Sobre Esta Tarefa

A permissão somente leitura permite que a conta do usuário do QRadar visualize e colete eventos usando
o protocolo EMC VMWare.

Procedimento
1. Clique na guia Permissões.
2. Clique com o botão direito e selecione Incluir permissões.
3. Na janela Usuários e grupos, clique em Incluir.
4. Selecione o usuário do QRadar e clique em Incluir.
5. Clique em OK.
6. Na lista Atribuição designada, selecione Somente leitura.
7. Clique em OK.

Configurando uma origem de log para o protocolo EMC VMWare

É possível configurar uma origem de log com o protocolo EMC VMWare para pesquisar eventos do EMC
VMWare.

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de origem de log, selecione EMC VMWare.
6. Usando a lista de Configurações de protocolo, selecione EMC VMWare.
7. Configure os valores a seguir:
Tabela 589. Parâmetros do protocolo VMWare
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log. Esse valor deve
log corresponder ao valor que está configurado no campo IP ESX.

160 VMWare 1117

Tabela 589. Parâmetros do protocolo VMWare (continuação)
Parâmetro Descrição
IP ESX Digite o endereço IP do servidor VMWare ESX ou ESXi.

O protocolo VMware pré-anexa o endereço IP do servidor VMware ESX ou ESXi com

HTTPS antes que o protocolo solicite os dados do evento.
Nome do usuário Digite o nome do usuário que é necessário para acessar o servidor VMWare.
Senha Digite a senha que é necessária para acessar o servidor VMWare.

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

VMware vCenter
O DSM VMware vCenter DSM for IBM QRadar coleta eventos do servidor vCenter, usando o protocolo
EMC VMWare.

O protocolo EMC VMware usa HTTPS para pesquisar eventos em dispositivos vCenter. Deve-se
configurar uma origem de log no QRadar para coletar eventos do VMware vCenter.

Antes de você configurar a sua origem de log para usar o protocolo do EMC VMWare, é sugerido que
você crie um usuário exclusivo para pesquisar eventos. Esse usuário pode ser criado como membro do
grupo raiz ou administrativo, mas deve-se fornecer ao usuário uma atribuição designada de permissão
somente leitura. Isso assegura que o QRadar possa coletar o número máximo de eventos e reter um nível
de segurança para os servidores virtuais. Para obter mais informações sobre funções de usuário, veja a
sua documentação do VMware.

Configurando uma origem de log para o VMware vCenter

Para coletar eventos vCenter com o protocolo EMC VMWare, deve-se configurar uma origem de log no
IBM QRadar.

Procedimento
1. Clique na guia Admin.
2. Clique no ícone Origens de Log.
3. Clique em Incluir.
4. No campo Nome da origem de log, digite um nome para a sua origem de log.
5. Na lista Tipo de origem de log, selecione VMware vCenter.
6. Usando a lista de Configurações de protocolo, selecione EMC VMWare.
7. Configure os valores a seguir:
Tabela 590. Parâmetros do protocolo EMC VMWare
Parâmetro Descrição
Identificador de origem de Digite o endereço IP ou o nome do host para a origem de log. Esse valor deve
log corresponder ao valor que está configurado no campo IP ESX.
IP ESX Digite o endereço IP do servidor VMWare vCenter.

O protocolo EMC VMWare pré-anexa o endereço IP do servidor do VMware vCenter

com HTTPS antes que o protocolo solicite dados do evento.
Nome do usuário Digite o nome do usuário que é necessário para acessar o servidor VMWare vCenter.
Senha Digite a senha que é necessária para acessar o servidor VMWare vCenter.

1118 Guia de configuração do QRadar DSM

8. Clique em Salvar.
9. Na guia Administrador, clique em Implementar mudanças.

VMware vCloud Director

É possível usar o DSM VMware vCloud Director e o protocolo vCloud para o IBM QRadar para
pesquisar a API REST vCloud em busca de eventos.

O QRadar suporta a pesquisa de eventos VMware vCloud Director nos dispositivos vCloud Directory 5.1.
Os eventos que são coletados usando a API REST vCloud são montados como eventos Log Extended
Event Format (LEEF).

Para integrar eventos vCloud com o QRadar, deve-se concluir as tarefas a seguir:
1. No dispositivo vCloud, configure um endereço público para a API REST vCloud.
2. No dispositivo QRadar, configure uma origem de log para pesquisar eventos vCloud.
3. Assegure-se de que nenhuma regra de firewall bloqueie a comunicação entre seu dispositivo vCloud e
o QRadar Console ou o host gerenciado que é responsável pela pesquisa da API REST vCloud.

Configurando o endereço público da API REST vCloud

O IBM QRadar coleta dados de segurança da API vCloud pesquisando a API REST do dispositivo
vCloud em busca de eventos. Para que o QRadar possa coletar quaisquer dados, deve-se configurar a
URL base da API REST pública.

Procedimento
1. Efetue login no seu dispositivo vCloud como um administrador.
2. Clique na guia Administração.
3. No menu Administração, selecione Configurações do sistema > Endereços públicos.
4. No campo URL base da API REST pública VCD, digite um endereço IP ou nome do host.
O endereço que você especifica se torna um endereço disponível publicamente fora do firewall ou
NAT em seu dispositivo vCloud.
5. Clique em Aplicar.
A URL da API pública é criada no dispositivo.

O que Fazer Depois

Agora é possível configurar uma origem de log no QRadar.

Tipos de eventos do VMware vCloud Director suportados registrados

pelo IBM QRadar
O VMware vCloud Director DSM for QRadar pode coletar eventos de diversas categorias.

Cada categoria de evento contém eventos de baixo nível que descrevem a ação que é tomada dentro da
categoria de evento. Por exemplo, eventos do usuário podem ter o usuário criado ou usuário excluído como
um evento de baixo nível.

A lista a seguir representa as categorias de evento padrão que são coletadas pelo QRadar no vCloud
Director:
v Eventos do usuário
v Eventos de grupo
v Eventos de função de usuário
v Eventos de Sessão

160 VMWare 1119

v Eventos de organização
v Eventos de rede
v Eventos de catálogo
v Eventos de datacenter virtual (VDC)
v Eventos de aplicativo virtual (vApp)
v Eventos de máquina virtual (VM)
v Eventos de mídia
v Eventos de operação de tarefas

Configurando uma origem de log do VMware vCloud Director no IBM

QRadar
Para coletar eventos do VMware vCloud Director, deve-se configurar uma origem de log no QRadar com
o local e as credenciais que são necessários para pesquisar a API vCloud.

A URL que você digita deve corresponder ao endereço configurado no campo URL
base da API REST pública VCD no vCloud Server.
Nome do usuário Digite o nome do usuário que é necessário para acessar remotamente o vCloud
Server.

Por exemplo, console/user@organization.

Se você desejar configurar uma conta somente leitura para uso com o QRadar, será
possível criar um usuário vCloud em sua organização que tenha a permissão Acesso
ao console somente .
Senha Digite a senha que é necessária para acessar remotamente o vCloud Server.
Confirmar senha Confirme a senha que é necessária para acessar remotamente o vCloud Server.
Intervalo de pesquisa Digite um intervalo de pesquisa, que é o tempo entre as consultas de novos eventos
no vCloud Server.

O intervalo de pesquisa padrão é de 10 segundos.

Ativado Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa caixa de
seleção é marcada.

1120 Guia de configuração do QRadar DSM

Tabela 591. Parâmetros de origem de log do VMware vCloud Director (continuação)
Parâmetro Descrição
Credibilidade Na lista, selecione a credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

Por padrão, origens de log descobertas automaticamente herdam o valor da lista

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

11. Clique em Salvar.

12. Na guia Administrador, clique em Implementar mudanças.
Os eventos do vCloud que são encaminhados para o QRadar são exibidos na guia Atividade de log
do QRadar.

VMware vShield
O DSM do IBM QRadar para o VMware vShield pode coletar logs de evento dos servidores VMware
vShield.

A tabela a seguir identifica as especificações para o DSM VMware vShield Server:

Tabela 592. Especificações do DSM VMware vShield
Especificação Valor
Fabricante VMware
DSM vShield
Nome do arquivo RPM DSM-VMwarevShield-build_number.noarch.rpm
Versões suportadas
Protocolo Syslog
QRadar eventos registrados Todos os eventos
Descoberto automaticamente Sim
Inclui identidade Não
Informações adicionais http://www.vmware.com/

160 VMWare 1121

Processo de integração do DSM VMware vShield
É possível integrar o DSM VMware vShield com o IBM QRadar.

Use os procedimentos a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale a versão mais recente
do RPM VMware vShield no QRadar Console.
2. Para cada instância do VMware vShield, configure o sistema VMware vShield para permitir a
comunicação com o QRadar. Esse procedimento deve ser concluído para cada instância do VMware
vShield.
3. Se o QRadar não descobrir automaticamente a origem de log, para cada servidor VMware vShield que
você deseja integrar, crie uma origem de log no QRadar Console.

Tarefas relacionadas

“Configurando o sistema VMware vShield para comunicação com o IBM QRadar”

“Configurando uma origem de log VMware vShield no IBM QRadar”

Configurando o sistema VMware vShield para comunicação com o IBM

QRadar
Para coletar todos os logs de auditoria e eventos do sistema do VMware vShield, deve-se configurar o
vShield Manager. Ao configurar o VMware vShield, deve-se especificar o IBM QRadar como o servidor
syslog.

Procedimento
1. Acesse a área de janela Inventário do vShield Manager.
2. Clique em Configurações & Relatórios.
3. Clique em Configuração > Geral.
4. Clique em Editar ao lado da opção Servidor syslog.
5. Digite o endereço IP do QRadar Console.
6. Opcional: Digite a porta do QRadar Console. Se você não especificar uma porta, a porta UDP padrão
para o endereço IP/nome do host do QRadar Console será usada.
7. Clique em OK.

Configurando uma origem de log VMware vShield no IBM QRadar

Para coletar eventos VMware vShield, configure uma origem de log no QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione VMware vShield.
7. Na lista Configuração de protocolo, selecione Syslog.
8. Configure os parâmetros restantes.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

1122 Guia de configuração do QRadar DSM

161 Vormetric Data Security
O DSM Data Security Vormetric para o IBM QRadar pode coletar logs de eventos dos servidores
Vormetric Data Security.

A tabela a seguir identifica as especificações para o DSM Vormetric Data Security:

Especificações do DSM Vormetric Data Security

Especificação Valor
Fabricante Vormetric, Inc.
DSM Vormetric Data Security
Nome do arquivo RPM DSM-VormetricDataSecurity-7.1-804377.noarch.rpm

DSM-VormetricDataSecurity-7.2-804381.noarch.rpm
Versões suportadas Vormetric Data Security Manager v5.1.3 e mais recente

Vormetric Data Firewall FS Agent v5.2 e mais recente

Protocolo Syslog (LEEF)
QRadar eventos registrados Auditoria, Alarme, Aviso, Modo de Aprendizado, Sistema
Descoberto automaticamente Sim
Inclui identidade Não
Informações adicionais website do Vormetric (http://www.vormetric.com)

Processo de integração do DSM Vormetric Data Security

É possível integrar o DSM Vormetric Data Security com o IBM QRadar.

Use os procedimentos a seguir:

1. Se as atualizações automáticas não forem ativadas, faça download e instale a versão mais recente dos
seguintes RPMs em seu QRadar Console:
2.
v RPM do protocolo Syslog
v RPM DSMCommon
A versão mínima do RPM DSMCommon que é possível usar é DSM-DSMCommon-7.1-530016.noarch.rpm
ou DSM-DSMCommon-7.2-572972.noarch.rpm
v RPM Vormetric Data Security
3. Para cada instância do Vormetric Data Security, configure o sistema Vormetric Data Security para
permitir a comunicação com o QRadar.
4. Se o QRadar não descobrir automaticamente o DSM, para cada servidor Vormetric Data Security que
você deseja integrar, crie uma origem de log no QRadar Console.

Tarefas relacionadas
“Configurando sistemas Vormetric Data Security para comunicação com o IBM QRadar” na página 1124

“Configurando uma origem de log Vormetric Data Security no IBM QRadar” na página 1125

Configurando sistemas Vormetric Data Security para comunicação
com o IBM QRadar
Para coletar todos os logs de auditoria e eventos do sistema do Vormetric Data Security, deve-se
configurar o Vormetric Data Security Manager para ativar a comunicação com o QRadar.

Sobre Esta Tarefa

A conta do usuário do Vormetric Data Security Manager deve ter permissões de Administrador do
sistema.

Procedimento
1. Efetue login no Vormetric Data Security Manager como um administrador que tenha permissões
designadas de Administrador do sistema.
2. No menu de navegação, clique em Log > Syslog.
3. Clique em Incluir.
4. No campo Nome do servidor, digite o endereço IP ou o nome do host do sistema QRadar.
5. Na lista Protocolo de transporte, selecione TCP ou um valor que corresponda à configuração do
protocolo de origem de log no sistema QRadar.
6. No campo Número da porta, digite 514 ou um valor que corresponda à configuração do protocolo
de origem de log no sistema QRadar.
7. Na lista Formato da mensagem, selecione LEEF.
8. Clique em OK.
9. Na tela de resumo do Servidor syslog, verifique os detalhes que você inseriu para o sistema QRadar.
Se o valor Criação de log para syslog for OFF, conclua as etapas a seguir. No menu de navegação,
clique em Sistema > Preferências gerais
10. Clique na guia Sistema.
11. Na área de janela Configurações de syslog, marque a caixa de seleção Syslog ativado.

O que Fazer Depois

“Configurando o Vormetric Data Firewall FS Agents para efetuar bypass do Vormetric Data Security
Manager”

Configurando o Vormetric Data Firewall FS Agents para efetuar bypass

do Vormetric Data Security Manager
Quando o Vormetric Data Security Manager está ativado para se comunicar com o IBM QRadar, todos os
eventos do Vormetric Data Firewall FS Agents também são encaminhados para o sistema QRadar por
meio do Vormetric Data Security Manager.

Sobre Esta Tarefa

Para efetuar bypass do Vormetric Data Security Manager, é possível configurar o Vormetric Data Firewall
FS Agents para enviar os eventos LEEF diretamente para o sistema QRadar.

A conta do usuário do Vormetric Data Security Manager deve ter permissões de Administrador do
sistema.

Procedimento
1. Efetue login no Vormetric Data Security Manager.
2. No menu de navegação, clique em Sistema > Preferências de log.

1124 Guia de configuração do QRadar DSM

3. Clique na guia Log do FS Agent.
4. Na linha Avaliação de política, configure os parâmetros a seguir:
a. Marque a caixa de seleção Log para syslog/Log de eventos.
5. Desmarque a caixa de seleção Fazer upload para o servidor.
6. Na lista Nível, selecione INFO.
Essa configuração permite que uma trilha de auditoria completa do módulo de avaliação de política
seja enviada diretamente para um servidor syslog, e não para o Gerenciador de segurança. Deixar
ambos os destinos ativados pode resultar em duplicação de eventos para o sistema QRadar.
7. Na seção Configurações de syslog, configure os parâmetros a seguir. No campo Servidor, use a
sintaxe a seguir para digitar o endereço IP ou o nome do host e o número da porta do sistema
QRadar.
qradar_IP address_or_host:port
8. Na lista Protocolo, selecione TCP ou um valor que corresponda à configuração da origem de log no
sistema QRadar.
9. Na lista Formato da mensagem, selecione LEEF.

O que Fazer Depois

Essa configuração é aplicada a todos os hosts ou grupos de host posteriormente incluídos no Vormetric
Data Security Manager. Para cada host ou grupo de hosts existente, selecione o host ou o grupo de hosts
requerido na lista Hosts e repita o procedimento.

Configurando uma origem de log Vormetric Data Security no IBM

QRadar
Para coletar eventos Vormetric Data Security, configure uma origem de log no IBM QRadar.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. Na lista Tipo de origem de log, selecione Vormetric Data Security.
7. Na lista Configuração de protocolo, selecione Syslog.
8. Configure os parâmetros restantes.
9. Clique em Salvar.
10. Na guia Administrador, clique em Implementar mudanças.

161 Vormetric Data Security 1125

1126 Guia de configuração do QRadar DSM
162 WatchGuard Fireware OS
O DSM do IBM QRadar para WatchGuard Fireware OS pode coletar logs de eventos do WatchGuard
Fireware OS.

A tabela a seguir identifica as especificações do DSM WatchGuard Fireware OS:

Tabela 593. Especificações do DSM WatchGuard Fireware
Especificação Valor
Fabricante WatchGuard
Nome do DSM WatchGuard Fireware OS
Nome do arquivo RPM DSM-WatchGuardFirewareOS-QRadar-version-
Build_number.noarch.rpm
Versões suportadas Fireware XTM OS v11.9 e mais recente
Formato de evento syslog
Tipos de evento registrado do QRadar Todos os eventos
Descobertos automaticamente? Sim
Inclui identidade? Não
Informações adicionais Website do WatchGuard (http://www.watchguard.com/)

Para integrar o WatchGuard Fireware OS com o QRadar, use as etapas a seguir:

1. Se as atualizações automáticas não estiverem ativadas, faça download e instale as versões mais
recentes dos RPMs a seguir no QRadar Console.
v RPM DSMCommon
v RPM WatchGuard Fireware OS
2. Para cada instância do WatchGuard Fireware OS, configure o dispositivo WatchGuard Fireware OS
para permitir a comunicação com o QRadar. É possível usar um dos procedimentos a seguir:
v “Configurando o dispositivo WatchGuard Fireware OS no Policy Manager para comunicação com o
QRadar”
v “Configurando o dispositivo WatchGuard Fireware OS no Fireware XTM para comunicação com o
QRadar” na página 1128
3. Se o QRadar não descobrir automaticamente a origem de log WatchGuard Fireware OS, crie uma
origem de log para cada instância do WatchGuard Fireware OS em sua rede.
Tarefas relacionadas:
“Incluindo um DSM” na página 4
Se o seu sistema estiver desconectado da Internet, pode ser necessário instalar um DSM RPM
manualmente.
“Incluindo uma origem de log” na página 5
Se uma origem de log não for descoberta automaticamente, será possível incluir manualmente uma
origem de log para receber eventos dos dispositivos de rede.

Configurando o dispositivo WatchGuard Fireware OS no Policy

Manager para comunicação com o QRadar
Para coletar eventos WatchGuard Fireware OS, é possível usar o Policy Manager para configurar
dispositivo de terceiros para enviar eventos ao QRadar.

Antes de Iniciar

Deve-se ter credenciais de acesso de Administrador de dispositivo.

Procedimento
1. Abra o WatchGuard System Manager.
2. Conecte-se ao seu dispositivo Firebox ou XTM.
3. Iniciar o Policy Manager para o seu dispositivo.
4. Para abrir a janela Configuração de criação de log, selecione Configuração > Criação de log.
5. Marque a caixa de seleção Enviar mensagens de log para este servidor syslog.
6. Na caixa de texto Endereço IP, digite o endereço IP para seu QRadar Console ou Coletor de
Eventos.
7. Na caixa de texto Porta, digite 514.
8. Na lista Formato de log, selecione IBM LEEF.
9. Opcional: Especifique os detalhes para incluir nas mensagens de log.
a. Clique em Configurar.
b. Para incluir o número de série do dispositivo XTM nos detalhes da mensagem de log, marque a
caixa de seleção O número de série do dispositivo.
c. Para incluir o cabeçalho syslog nos detalhes da mensagem de log, marque a caixa de seleção O
cabeçalho syslog.
d. Para cada tipo de mensagem de log, selecione um dos recursos de syslog a seguir:
v Para mensagens syslog de alta prioridade, como alarmes, selecione Local0.
v Para designar prioridades a outros tipos de mensagens de log, selecione uma opção de Local1
até Local7. Os números mais baixos têm prioridade maior.
v Para não enviar detalhes para um tipo de mensagem de log, selecione NONE.
e. Clique em OK.
10. Clique em OK.
11. Salve o arquivo de configuração para seu dispositivo.

Configurando o dispositivo WatchGuard Fireware OS no Fireware XTM

para comunicação com o QRadar
Para coletar eventos do WatchGuard Fireware OS, é possível usar a interface com o usuário da web do
Fireware XTM para configurar dispositivo de terceiros para enviar eventos ao QRadar.

Antes de Iniciar

Deve-se ter credenciais de acesso de Administrador de dispositivo.

Procedimento
1. Efetue login na interface com o usuário da web do Fireware XTM para seu dispositivo Fireware ou
XTM.
2. Selecione Sistema > Criação de log.
3. Na área de janela Servidor syslog, marque a caixa de seleção Enviar mensagens de log para o
servidor syslog neste endereço IP.
4. Na caixa de texto Endereço IP, digite o endereço IP para o QRadar Console ou Coletor de Eventos.
5. Na caixa de texto Porta, digite 514.
6. Na lista Formato de log, selecione IBM LEEF.
7. Opcional: Especifique os detalhes para incluir nas mensagens de log.

1128 Guia de configuração do QRadar DSM

a. Para incluir o número de série do dispositivo XTM nos detalhes da mensagem de log, marque a
caixa de seleção O número de série do dispositivo.
b. Para incluir o cabeçalho syslog nos detalhes da mensagem de log, marque a caixa de seleção O
cabeçalho syslog.
c. Para cada tipo de mensagem de log, selecione um dos recursos de syslog a seguir:
v Para mensagens syslog de alta prioridade, como alarmes, selecione Local0.
v Para designar prioridades a outros tipos de mensagens de log, selecione uma opção de Local1
até Local7. Os números mais baixos têm prioridade maior.
v Para não enviar detalhes para um tipo de mensagem de log, selecione NONE.
8. Clique em Salvar.

Configurando uma origem de log WatchGuard Fireware OS no QRadar

Use este procedimento se o QRadar Console não descobriu automaticamente a origem de log
WatchGuard Fireware OS.

Procedimento
1. Efetue login no QRadar
2. Clique na guia Admin.
3. No menu de navegação, clique em Origens de dados.
4. Clique no ícone Origens de Log.
5. Clique em Incluir.
6. No campo Identificador da origem de log, digite o endereço IP ou o nome do host do dispositivo
WatchGuard Fireware OS.
7. Na lista Tipo de origem de log, selecione WatchGuard Fireware OS.
8. Na lista Configuração de protocolo, selecione Syslog.
9. Configure os parâmetros restantes.
10. Clique em Salvar.

162 WatchGuard Fireware OS 1129

1130 Guia de configuração do QRadar DSM
163 Websense
Websense é agora conhecido como Forcepoint.
Conceitos relacionados:
64, “Forcepoint”, na página 447
O IBM QRadar suporta uma variedade de Forcepoint DSMs.

1132 Guia de configuração do QRadar DSM
164 Zscaler Nanolog Streaming Service
O IBM QRadar pode coletar e categorizar eventos dos feeds de log Zscaler Nanolog Streaming Service
(NSS) que encaminham evento syslog para o QRadar.

Para coletar eventos syslog, deve-se configurar o Zscaler NSS com um feed NSS para encaminhar eventos
syslog TCP para o QRadar. O QRadar descobre e cria automaticamente origens de logs para eventos
syslog que são encaminhados por feeds de log do Zscaler NSS. O QRadar suporta eventos syslog do
Zscaler NSS V4.1 e do Zscaler NSS V5.3.

Para configurar o Zscaler NSS, conclua as tarefas a seguir:

1. No dispositivo Zscaler NSS, crie um feed de log para QRadar.
2. No sistema QRadar, verifique se os eventos encaminhados são descobertos automaticamente.

Tipos de eventos suportados para Zscaler NSS

O DSM ZScaler NSS para o QRadar coleta informações sobre eventos de navegação da web das
instalações do Zscaler NSS.

Cada evento Zscaler NSS contém informações sobre a ação que é tomada quanto à navegação da web na
categoria de evento. Por exemplo, eventos de navegação da web pode ter uma categoria que permite ou
bloqueia o tráfego de website. Cada evento define o website que foi permitido ou bloqueado e inclui
todos os detalhes do evento na carga útil do evento.

Configurando um feed de syslog no Zscaler NSS

Para coletar eventos, deve-se configurar um feed de log no NSS Zscaler para encaminhar eventos de
syslog para o IBM QRadar.

Procedimento
1. Efetue login no portal de administração do NSS.
2. Selecione Administração > Configurações > Nanolog Streaming Service.
3. Na guia NSSFeeds, clique em Incluir.
4. Digite um nome para a alimentação.
5. No menu NSSServer, selecione um NSS.
6. Configure o endereço IP do SIEM para o endereço IP do QRadar Event Collector.
7. Configure a Porta TCP do SIEM para a porta 514.
8. Configure o Tipo de saída de feed para o QRadar LEEF. O Formato de saída de feed é
automaticamente preenchido com a sequência apropriada:
%s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss
LEEF:1.0|Zscaler|NSS|4.1|%s{reason}|cat=%s{action}
\tdevTime= %s {0}{2}d {0}{2}d {:
%02d {0}{2}d { %s =MMM dd aaaa HH:mm:ss
Z \tdst= %s = %s {
\trealm= %s = %s = %d {
\tdstBytes= %d {
\tpolicy= \trole= %s { %s = %s {
\trecordid= %d {
%s = %s {
\treferer= %s = %s {
\turlcategory= \tappproto= %s { %s {
\turlsupercategory=%s{urlsupercat}

\turlclass= %s = %s = %s {
\tmalwaretype= %s {
\tmalwareclass= %s = %s {
\triskscore= %d {
\tdlpdict=%s{dlpdict}\tdlpeng=%s{dlpeng}\tfileclass=%s{fileclass}
%s {
\treqmethod=%s{reqmethod}\trespcode=%s{respcode}\t%s{bamd5}\turl=%s{eurl}
9. Clique em Salvar.
O QRadar descobre e cria automaticamente uma origem de log para dispositivos Zscaler NSS. Os
eventos que são encaminhados para o QRadar são visualizáveis na guia Atividade de log.

Configurando uma origem de log Zscaler NSS

O IBM QRadar descobre e cria automaticamente uma origem de log para eventos syslog que são
encaminhados pelo Zscaler NSS.

Sobre Esta Tarefa

Essas etapas de configuração são opcionais.

Procedimento
1. Efetue login no QRadar.
2. Clique na guia Admin.
3. Clique no ícone Origens de Log.
4. Clique em Incluir.
5. No campo Nome da origem de log, digite um nome para a sua origem de log.
6. Opcional: No campo Descrição da origem de log, digite uma descrição para sua origem de log.
7. Na lista Tipo de origem de log, selecione Zscaler NSS.
8. Na lista Configuração de protocolo, selecione Syslog.
9. Configure os valores a seguir:
Tabela 594. Parâmetros do protocolo Syslog
Parâmetro Descrição
Identificador de origem de Digite o endereço IP como um identificador para eventos de sua instalação do Zscaler
log NSS.

O identificador de origem de log deve ser um valor exclusivo.

Ativado Selecione essa caixa de seleção para ativar a origem de log.

Por padrão, essa caixa de seleção é marcada.

Credibilidade Selecione a credibilidade da origem de log. O intervalo é de 0 – 10.

A credibilidade indica a integridade de um evento ou ofensa conforme determinado

pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade
aumenta se várias fontes relatam o mesmo evento. O padrão é 5.
Coletor de eventos de Selecione o Coletor de eventos de destino a ser usado como destino para a origem de
destino log.
Unindo eventos Marque essa caixa de seleção para permitir que a origem do log una (empacote)
eventos.

Por padrão, as origens de logs descobertas automaticamente herdam o valor da lista

1134 Guia de configuração do QRadar DSM

Tabela 594. Parâmetros do protocolo Syslog (continuação)
Parâmetro Descrição
Carga útil do evento Na lista, selecione o Codificador de carga útil recebida para análise sintática e
recebido armazenamento dos logs.
Armazenar carga útil do Selecione essa caixa de seleção para ativar que a origem de log armazene as
evento informações de carga de trabalho do evento.

Por padrão, as origens de log descobertas automaticamente herdam o valor da lista

Armazenar carga útil do evento de Configurações do sistema em QRadar. Ao criar
uma origem de log ou editar uma configuração existente, é possível substituir o valor
padrão configurando esta opção para cada origem de log.
Idioma de Origem do Log Selecione o idioma dos eventos que são gerados pelo zScaler NSS.

10. Clique em Salvar.

11. Na guia Administrador, clique em Implementar mudanças.

164 Zscaler Nanolog Streaming Service 1135

1136 Guia de configuração do QRadar DSM
165 DSMs suportados do QRadar
O IBM QRadar pode coletar eventos de seus produtos de segurança usando um arquivo de plug-in que é
chamado de Device Support Module (DSM).

O QRadar pode receber logs de sistemas e dispositivos usando o protocolo Syslog, que é um protocolo
padrão. Os DSMs suportados podem usar outros protocolos, conforme mencionado na tabela DSM
Suportada. É possível tentar configurar aplicativos de terceiros para enviar logs para o QRadar por meio
do protocolo Syslog. Para obter mais informações, consulte “Incluindo uma origem de log” na página 5.

Se desejar enviar logs usando um DSM suportado que não é suportado pelo recurso de descoberta
automática no QRadar, será necessário incluir manualmente uma origem de log. Para obter mais
informações sobre como incluir uma origem de log no QRadar, consulte “Incluindo uma origem de log”
na página 5.

O que você faz se a versão do produto ou o dispositivo que você possui não
estiver listado no Guia de configuração do DSM?

Às vezes, uma versão de um produto de fornecedor ou de um dispositivo não é listada como suportada.
Se o produto ou dispositivo não estiver listado, siga estas diretrizes:
Versão não listada
Se o DSM for para um produto que é oficialmente suportado pelo QRadar, mas a versão estiver
desatualizada, experimente o DSM para ver se ele funciona. As versões do produto que são
listadas no guia são testadas por IBM, mas as atualizações de software por fornecedores podem,
em raras ocasiões, incluir ou mudar formatos de eventos que quebram o DSM. Nesse caso, abra
um chamado de suporte para uma revisão da origem de log.
Dispositivo não listado
Quando um dispositivo não é oficialmente suportado, você tem estas opções:
v Abrir uma solicitação para aprimoramento (RFE) para que o seu dispositivo seja oficialmente
suportado.
1. Acessar a QRadar página do SIEM RFE (https://ibm.biz/BdRPx5).
2. Efetue login na página de portal de suporte.
3. Clique na guia Submeter e digite as informações necessárias.

Nota: Se você tiver logs de eventos de um dispositivo, conecte as informações do evento e

A tabela a seguir lista os DSMs suportados para terceiros e soluções do IBM QRadar.
Tabela 595. DSMs suportados do QRadar
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
3Com 8800 Series Switch V3.01.30 Syslog Eventos de status e condição de rede Sim Não Não
AhnLab AhnLab Policy Center AhnLabPolicy Detecção de spyware Não Sim Não

CenterJdbc Detecção de vírus

Auditoria

API de REST do Akamai Tipos de evento registrado: Todos os

Kona eventos de segurança
Amazônio Amazon AWS CloudTrail API REST do Amazon AWS Todos os eventos das versões 1.0, 1.02, Não Não Não
S3 1.03 e 1.04.
Amazônio Amazon GuardDuty Serviços da web Amazon Descobertas do Amazon GuardDuty Não Não Não

JSON
Ambiron TrustWave ipAngel V4.0 Syslog Eventos baseados no Snort Não Não Não
Apache HTTP Server V1.3+ Syslog, Syslog-ng Status de HTTP Sim Não Não
APC UPS Syslog Eventos da série Smart-UPS Não Não Não
Apple Mac OS X (10) Syslog Firewall, servidor da web (acesso/erro), Não Sim Não
privilégio e eventos de informações
Application Security, DbProtect V6.2, V6.3, V6.3sp1, V6.3.1 e v6.4 Syslog Todos os eventos Sim Não Não
Inc.
Arbor Networks Arbor Networks Pravail APS V3.1 + Syslog, syslog TLS Todos os eventos Sim Não Não
Arbor Networks Arbor Networks Peakflow SP V5.8 a V8.1.2 Syslog, syslog TLS Negação de Serviço (DoS) Sim Não Não

Autenticação

Explorar

Atividade Suspeita

Sistema
Arpeggio Software SIFT-IT V3.1+ Syslog Todos os eventos configurados no Sim Não Não
conjunto de regras SIFT-IT
Array Networks SSL VPN ArraySP V7.3 Syslog Todos os eventos Não Sim Sim

Aruba Networks ClearPass Policy Manager V6.5.0.71095 e Syslog LEEF Sim Sim Não
superior
Aruba Networks Mobility Controllers V2.5 + Syslog Todos os eventos Sim Não Não
Avaya Inc. Avaya VPN Gateway V9.0.7.2 Syslog Todos os eventos Sim Sim Não
BalaBit IT Security MicrosoftWindows Security Event Log V4.x Syslog Eventos do Microsoft Event Log Sim Sim Não
BalaBit IT Security Microsoft ISA V4.x Syslog e WinCollect Eventos do Microsoft Event Log Sim Sim Não
Barracuda Networks Spam & Virus Firewall V5.x e mais recente Syslog Todos os eventos Sim Não Não
Barracuda Networks Web Application Firewall V7.0.x Syslog Eventos de sistema, firewall da web, Sim Não Não
acesso e auditoria
Barracuda Networks Web Filter V6.0.x+ Syslog Eventos de trafego da web e interface da Sim Não Não
web
BlueCat Networks Adonis V6.7.1-P2+ Syslog Eventos DNS e DHCP Sim Não Não
Blue Coat SG V4.x+ Syslog, protocolo de arquivo Todos os eventos Não Não Sim
de log
Blue Coat Serviço de segurança da web Blue Coat ELFF, Acesso Não Não Não
Boxplot Boxplot API de REST do Box JSON Não Sim Não

Eventos de administrador e corporativos

Bridgewater Systems AAA V8.2c1 Syslog Todos os eventos Sim Sim Não
Brocade Fabric OS V7.x Syslog Eventos do sistema e de auditoria Sim Não Não
CA Access Control Facility V12 a V15 Protocolo de arquivo de log Todos os eventos Não Não Sim
CA SiteMinder Syslog Todos os eventos Não Não Não
CA Top Secret V12 a V15 Protocolo de arquivo de log Todos os eventos Não Não Sim
Centrify Centrify Identity Platform Centrify Redrock REST API Formato de evento: JSON Não Não Não

Tipos de evento: SaaS, Núcleo, Interno e

Móvel
Pigmento de Carbono Carbon Black V5.1 e mais recente Syslog Ocorrências de lista de observação Sim Não Não
Preto
Pigmento de Carbono Carbon Black Protection V8.0.0 Syslog LEEF Sim Sim Não
Preto
Gerenciamento de Computadores

Gerenciamento de servidor

Gerenciamento de sessão

Gerenciamento de política

Imposição da política

Eventos Internos

Gerência Geral

Discovery
Pigmento de Carbono Paridade do Bit9 do carbono preto Syslog LEEF Sim Não
Preto

1138 Guia de configuração do QRadar DSM

Tabela 595. DSMs suportados do QRadar (continuação)
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
Pigmento de Carbono Carbon Black Bit9 Security Platform V6.0.2 Syslog Todos os eventos Sim Sim Não
Preto
Centrify Centrify Identity Platform Centrify Redrock REST API Formato de evento: JSON Não Não Não

Tipos de evento: SaaS, Núcleo, Interno e

Móvel
Centrify Centrify Infrastructure Services 2017 Syslog e WinCollect Logs, eventos de auditoria do Sim Não Não
WinCollect
Ponto de verificação Versões do Check Point NG, FP1, FP2, FP3, AI Syslog ou OPSEC LEA Formato de evento: LEEF (versões Sim Sim Sim
R54, AI R55, R65, R70, R75, R77, R80 e NGX R77.30, R80.10, R80.20)

Tipos de eventos: Todos os eventos

Ponto de verificação VPN-1 versões NG, FP1, FP2, FP3, AI R54, AI Syslog ou OPSEC LEA Formato de evento: LEEF (versões Sim Sim Não
R55, R65, R70, R77 e NGX R77.30, R80.10, R80.20)

Tipos de eventos: Todos os eventos

Ponto de verificação Gerenciamento de Múltiplos Domínios do Syslog ou OPSEC LEA Formato de evento: LEEF (versões Sim Sim Não
Ponto de Verificação (Provedor-1) versões NG, R77.30, R80.10, R80.20)
FP1, FP2, FP3, AI R54, AI R55, R65, R70, R77 e
NGX
Tipos de eventos: Todos os eventos
Cilasoft Cilasoft QJRN/400 V5.14.K+ Syslog Eventos de auditoria IBM Sim Sim Não
Cisco 4400 Series Wireless LAN Controller V7.2 Syslog ou SNMPv2 Todos os eventos Não Não Não
Cisco CallManager V8.x Syslog Eventos de aplicativo Sim Não Não
Cisco ACS V4.1 e mais recente, se diretamente do Syslog Tentativas de acesso com falha Sim Sim Não
ACS V3.x e mais recente, se estiver usando
ALE
Cisco Aironet V4.x+ Syslog Formato de emblema Cisco Sim Não Não
Cisco ACE Firewall V12.2 Syslog Todos os eventos Sim Sim Não
Cisco Cisco AMP Cisco AMP Todos os eventos de segurança Não Não Não

Para obter uma lista detalhada dos

eventos suportados, acesse a
Documentação da API do Cisco AMP
for Endpoints. (https://api-
docs.amp.cisco.com/api_actions/
details?api_action=GET+%2Fv1
%2Fevent_types
&api_host=api.amp.cisco.com
&api_resource=Event+Type
&api_version=v1)

Nota: O tráfego de rede é suportado

somente para eventos do Controle de
Fluxo de Dados (DCF).
Cisco ASA V7.x e mais recente Syslog Todos os eventos Sim Sim Não
Cisco ASA V7.x+ Protocolo NSEL Todos os eventos Não Não Não
Cisco CSA V4.x, V5.x e V6.x Syslog SNMPv1 SNMPv2 Todos os eventos Sim Sim Não
Cisco CatOS for catalyst systems V7.3+ Syslog Todos os eventos Sim Sim Não
Cisco Cloud Web Security (CWS) API REST do Amazon AWS W3C Não Não Não
S3
Todos os logs de uso da web
Cisco Cisco Stealthwatch V6.8 Syslog Formato de evento: LEEF Sim Não Não

Tipos de evento: Anomalia, Acúmulo de

dados, Exploração, Preocupação alta,
Índice, Alto índice de origem de DDoS,
Alto índice de destino, Violação de
política, Reconfiguração, Alto índice de
destino de DDoS, Extração de dados,
C&C
Cisco IPS V7.1.10 e mais recente, V7.2.x, V7.3.x SDEE Todos os eventos Não Não Não
Cisco Syslog, protocolo de arquivo Formato de evento: todos os eventos Não Não Não
v Cisco IronPort V5.5, V6.5, V7.1, V7.5 (inclui
de log
suporte para logs de acesso)
Tipos de evento registrado:
v Cisco IronPort ESA: V10.0

v Cisco IronPort WSA: V10.0 Correio (syslog)

Sistema (syslog)

Acesso (syslog)

Filtragem de Conteúdo da Web

(Arquivo de Log)

165 DSMs suportados do QRadar 1139

Tabela 595. DSMs suportados do QRadar (continuação)
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
Cisco Cisco Firepower Management Center V5.2 a protocolo Cisco Firepower Eventos de descoberta Não Não Não
V6.2.0.1 eStreamer
Eventos de Correlação e Lista Branca
(anteriormente conhecido como Cisco
FireSIGHT Management Center)
Alertas Sinalizador de Impacto

Atividade do usuário

Eventos de malware

Eventos de arquivo

Eventos de conexão

Eventos de Intrusão

Dados do Packet de Evento de Intrusão

Dados Extras do Evento de Intrusção

Cisco Firewall Service Module (FWSM) v2.1+ Syslog Todos os eventos Sim Sim Sim
Cisco Catalyst Switch IOS, 12.2, 12.5+ Syslog Todos os eventos Sim Sim Não
Cisco Cisco Meraki Syslog Formato de evento: syslog Sim Não Não

Tipos de eventos:

Eventos

Fluxos

security_event_ids_alerted
Cisco NAC Appliance v4.x + Syslog Eventos de auditoria, erro, falha, Não Não Não
quarentena e infectado
Cisco Nexus v6.x Syslog Eventos do Nexus-OS Sim Não Não
Cisco PIX Firewall v5.x, v6.3+ Syslog Eventos do Cisco PIX Sim Sim Sim
Cisco Identity Services Engine V1.1 para V2.2 Syslog UDP multilinhas Formato de evento: syslog Não Sim Não

Tipos de eventos: eventos do dispositivo

Cisco IOS 12.2, 12.5+ Syslog Todos os eventos Sim Sim Não
Cisco Cisco Umbrella API REST do Amazon AWS Formato de evento: Cisco Umbrella CSV Não Não Não
S3
Tipos de eventos: auditoria
Cisco VPN 3000 Concentrator versões VPN 3005, Syslog Todos os eventos Sim Sim Sim
4.1.7.H
Cisco Wireless Services Modules (WiSM) V 5.1+ Syslog Todos os eventos Sim Não Não
Citrix NetScaler V9.3 a V10.0 Syslog Todos os eventos Sim Sim Não
Citrix Access Gateway V4.5 Syslog Eventos de acesso, auditoria e Sim Não Não
diagnóstico
Cloudera Cloudera Navigator Syslog Eventos de auditoria para HDFS, HBase, Sim Não Não
Hive, Hue, Cloudera Impala, Sentry
CloudPassage CloudPassage Halo Syslog, arquivo de log Todos os eventos Sim Não Não
CrowdStrike Falcon Host V1.0 Syslog Resumo de Detecção do Falcon Host Sim Não Não

LEEF Log de Autenticação do Falcon Host

Logs de Atualização de Status de

Detecção do Falcon Host

Evento de Detecção IOC do Cliente

Hash de Difusão do Hash

CorreLog CorreLog Agent for IBM z/OS Syslog LEEF Todos os eventos Sim Não Não
CRYPTOCard CRYPTO- Shield V6.3 Syslog Todos os eventos Não Não Não
CyberArk CyberArk Privileged Threat Analytics V3.1 Syslog Eventos de segurança detectados Sim Não Não
CyberArk CyberArk Vault V6.x Syslog Todos os eventos Sim Sim Não
CyberGuard Firewall/VPN KS1000 V5.1 Syslog Eventos CyberGuard Sim Não Não
Damballa Failsafe V5.0.2+ Syslog Todos os eventos Sim Não Não
Digital China Networks Comutadores DCS e DCRS Series V1.8.7 Syslog Eventos DCS e DCRS IPv4 Não Não Não
DG Technology DG Technology MEAS Syslog LEEF Eventos do mainframe Sim Não Não
ESET ESET Remote Administrator V6.4.270 Syslog Eventos de ameaça Sim Sim Não

LEEF Evento agregado do firewall

Evento agregado HIPS

Eventos de auditoria
Extrema Dragon V5.0, V6.x, V7.1, V7.2, V7.3 e V7.4 Syslog SNMPv1 SNMPv3 Todos os eventos Extreme Dragon Sim Não Não
relevantes
Extrema 800-Series Switch Syslog Todos os eventos Sim Não Não

1140 Guia de configuração do QRadar DSM

Tabela 595. DSMs suportados do QRadar (continuação)
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
Extrema Matrix Router V3.5 Syslog SNMPv1 SNMPv2 Eventos SNMP e login syslog, logout e Sim Não Não
SNMPv3 login com falha
Extrema NetSight Automatic Security Manager V3.1.2 Syslog Todos os eventos Sim Não Não
Extrema Matrix N/K/S Series Switch V6.x, V7.x Syslog Todos os eventos relevantes dos Sim Não Não
dispositivos Matrix K-Series, N-Series e
S-Series
Extrema Comutadores empilháveis e independentes Syslog Todos os eventos Sim Sim Não
Extrema XSR Security Router V7.6.14.0002 Syslog Todos os eventos Sim Não Não
Extrema HiGuard Wireless IPS V2R2.0.30 Syslog Todos os eventos Sim Não Não
Extrema HiPath Wireless Controller V2R2.0.30 Syslog Todos os eventos Sim Não Não
Extrema NAC V3.2 e V3.3 Syslog Todos os eventos Sim Não Não
Enterprise-IT- SF-Sherlock V8.1 e mais recente LEEF Sim Não Não
Security.com
All_Checks,
DB2_Security_Configuration,
JES_Configuration,
Job_Entry_System_Attack,
Network_Parameter, Network_Security,
No_Policy, Resource_Access_Viol,
Resource_Allocation,
Resource_Protection,
Running_System_Change,
Running_System_Security,
Running_System_Status,
Security_Dbase_Scan,
Security_Dbase_Specialty,
Security_Dbase_Status,
Security_Parm_Change,
Security_System_Attack,
Security_System_Software,
Security_System_Status, SF-Sherlock,
Sherlock_Diverse, Sherlock_Diverse,
Sherlock_Information,
Sherlock_Specialties,
Storage_Management, Subsystem_Scan,
Sysplex_Security, Sysplex_Status,
System_Catalog, System_File_Change,
System_File_Security,
System_File_Specialty,
System_Log_Monitoring,
System_Module_Security,
System_Process_Security,
System_Residence, System_Tampering,
System_Volumes, TSO_Status,
UNIX_OMVS_Security,
UNIX_OMVS_System,
User_Defined_Monitoring,
xx_Resource_Prot_Templ
Épico Epic SIEM, Versões Epic 2014, Epic 2015 e Epic LEEF Auditoria, Autenticação Sim Sim Não
2017
Exabeam Exabeam V1.7 e V2.0 não-aplicável Crítico, Anômalo Sim Não Não
Extreme Networks Extreme Ware V7.7 e XOS V12.4.1.x Syslog Todos os eventos Não Sim Não
Redes F5 BIG-IP AFM V11.3 e 12.x a 14.x Syslog Eventos de rede, DoS de rede, segurança Sim Sim Não
de protocolo, DNS e DoS de DNS
Redes F5 BIG-IP LTM V4.5, V9.x a V14.x Syslog Todos os eventos Não Sim Não
Redes F5 BIG-IP ASM V10.1 a V14.x Syslog Todos os eventos Sim Sim Não

Mensagens formatadas em Common

Event Format (CEF)
Redes F5 BIG-IP APM V10.x a v14.x Syslog Todos os eventos Sim Não Não
Redes F5 FirePass V7.0 Syslog Todos os eventos Sim Sim Não
Fair Warning Fair Warning V2.9.2 Protocolo de arquivo de log Todos os eventos Não Não Não
Fasoo Fasoo Enterprise DRM V5.0 JDBC Formato de evento NVP Não Não Não

Eventos de uso
Fidelis Security Systems Fidelis XPS V7.3.x Syslog Eventos de alerta Sim Não Não
FireEye FireEye CMS, MPS, EX, AX, NX, FX e HX Syslog, syslog TLS Sim Não Não
Todos os eventos relevantes

Mensagens formatadas em Common

Event Format (CEF)

Log Event Extended Format (LEEF)

FreeRADIUS FreeRADIUS V2.x Syslog Todos os eventos Sim Sim Não
Forcepoint Forcepoint Sidewinder V6.1 Syslog Eventos de auditoria do Forcepoint Sim Não Não
Sidewinder
(anteriormente conhecido como McAfee
Firewall Enterprise V6.1)
Forcepoint Stonesoft Management Center V5.4 a 6.1 Syslog Formato de evento: LEEF Sim Não Não

RTC 148827 Tipos de evento: eventos do Centro de

Gerenciamento, de IPS, Firewall e VPN

165 DSMs suportados do QRadar 1141

Tabela 595. DSMs suportados do QRadar (continuação)
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
Forcepoint Forcepoint TRITON V7.7 e V8.2 Syslog Eventos para conteúdo da web de várias Sim Não Não
soluções Forcepoint TRITON, incluindo
os dispositivos Web Security, Web
(anteriormente conhecido como Websense) LEEF
Security Gateway, Web Security
Gateway Anywhere e V-Series.

Todos os eventos
Forcepoint Forcepoint V-Series Data Security Suite (DSS) Syslog Todos os eventos Sim Sim Sim
V7.1x

(anteriormente conhecido como Websense)

Forcepoint Forcepoint V-Series Content Gateway V7.1x Protocolo de arquivo de log Todos os eventos Não Não Não

(formerley conhecido como Websense)

ForeScout CounterACT V7.x e mais recente Syslog Eventos de Negação de Serviço, sistema, Não Não Não
exploit, autenticação e suspeitos
Fortinet FortiGate Security Gateway FortiOS V5.6 e Syslog Todos os eventos Sim Sim Sim
anterior
Syslog Redirect
Foundry FastIron V3.x.x e V4.x.x Syslog Todos os eventos Sim Sim Não
genua genugate V8.2+ Syslog Mensagem comuns de erro Sim Sim Não

Alta disponibilidade

Mensagens gerais de retransmissão

Mensagens específicas de retransmissão

programas/daemons genua

Daemon de contabilidade EPSI -

gg/src/acctd

Configfw FWConfig

ROFWConfig

User-Interface

Webserver
Great Bay Beacon Syslog Todos os eventos Sim Sim Não
H3C Technologies H3C Comware Platform, Comutadores H3C, Syslog NVP Não Não Não
Roteadores H3C, Dispositivos LAN Wireless
H3C e Dispositivos de Segurança de IP H3C
Sistema

A V7 é suportada
HBGary Active Defense V1.2 e mais recente Syslog Todos os eventos Sim Não Não
HP Network Automation V10.11 Syslog Todos os eventos de rede operacionais e Sim Sim Não
de configuração.
LEEF
HP ProCurve K.14.52 Syslog Todos os eventos Sim Não Não
HP Tandem Protocolo de arquivo de log Eventos de arquivo de auditoria Safe Não Não Não
Guard
HP UX V11.x e mais recente Syslog Todos os eventos Não Sim Não
Honeycomb Lexicon File Integrity Monitor mesh service Syslog eventos de integridade Sim Não Não
Technologies V3.1 e mais recente
Huawei S Series Switch S5700, S7700 e S9700 usando Syslog Eventos IPv4 dos comutadores S5700, Não Não Não
V200R001C00 S7700 e S9700
Huawei AR Series Router (roteadores AR150, AR200, Syslog Eventos IPv4 Não Não Não
AR1200, AR2200 e AR3200 usando
V200R002C00)
IBM AIX V6.1 e V7.1 Syslog, protocolo de arquivo Eventos de auditoria configurados Sim Não Não
de log
IBM AIX 5.x, 6.x e v7.x Syslog Eventos de autenticação e do sistema Sim Sim Não
operacional
IBM BigFixV8.2.x para 9.5.2 IBM BigFix SOAP Protocol Eventos do servidor Não Sim Não

(anteriormente conhecido como Tivoli

EndPoint Manager)
IBM IBM BigFix Detect IBM BigFix EDR REST API Alertas LEEF, IOC e IOA Não Não Não
Protocol
IBM IBM Bluemix Platform Syslog, syslog TLS Todos os eventos do Sistema (Cloud Sim Não Não
Foundry), alguns eventos de aplicativo
IBM Federated Directory Server V7.2.0.2 e mais LEEF Auditoria FDS Sim Não Não
recente
IBM InfoSphere 8.2p45 Syslog Eventos do construtor de política Não Não Não
IBM DSM IBM i V5R4 e mais recente Protocolo de arquivo de log Todos os eventos Não Sim Não

(conhecido anteriormente como AS/400iSeries)

1142 Guia de configuração do QRadar DSM

Tabela 595. DSMs suportados do QRadar (continuação)
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
IBM IBM i - Robert Townsend Security Solutions Syslog Mensagens formatadas em CEF Sim Sim Não
V5R1 e mais recente

(conhecido anteriormente como AS/400iSeries)

IBM IBM i - Powertech Interact V5R1 e mais Syslog Mensagens formatadas em CEF Sim Sim Não
recente

(conhecido anteriormente como AS/400iSeries)

IBM ISS Proventia M10 v2.1_2004.1122_15.13.53 SNMP Todos os eventos Não Não Não
IBM Lotus Domino v8.5 SNMP Todos os eventos Não Não Não
IBM Proventia Management SiteProtector v2.0 e JDBC Eventos IPS e de auditoria Não Não Não
v2.9
IBM RACF v1.9 a v1.13 Protocolo de arquivo de log Todos os eventos Não Não Sim
IBM CICS v3.1 a v4.2 Protocolo de arquivo de log Todos os eventos Não Não Sim
IBM DB2 v8.1 a v10.1 Protocolo de arquivo de log Todos os eventos Não Não Sim
IBM IBM DataPower Firmware V6 e V7 Syslog Todos os eventos Sim Não Não

(anteriormente conhecido como WebSphere

DataPower)
IBM IBM Fiberlink MaaS360 LEEF Eventos de regra de conformidade Não Sim Não

Eventos de registro de dispositivo

Eventos de histórico de ações

IBM IBM QRadar Packet Capture Syslog, LEEF Todos os eventos Sim Não Não

IBM QRadar Packet Capture V7.2.3 a V7.2.8

IBM QRadar Network Packet Capture V7.3.0

IBM IBM SAN Volume Controller Syslog Formato de evento CADF Sim Não Não

Eventos de auditoria de Atividade,

Controle e Monitor
IBM z/OS v1.9 a v1.13 Protocolo de arquivo de log Todos os eventos Não Não Sim
IBM Informix v11 Protocolo de arquivo de log Todos os eventos Não Não Não
IBM IMS Protocolo de arquivo de log Todos os eventos Não Não Não
IBM Security Access Manager for Mobile (ISAM) TLS Syslog IBM_SECURITY_AUTHN Sim Não Não
IBM_SECURITY_TRUST

IBM_SECURITY_RUNTIME

IBM_SECURITY_CBA_AUDIT
_MGMT

IBM_SECURITY_CBA_AUDIT
_RTE

IBM_SECURITY_RTSS_AUDI
T_AUTHZ

IBM_SECURITY_SIGNING

CloudOE

Operações

Uso
IDaaS Appliance Audit

IDaaS Platform Audit

IBM Security Identity Governance (ISIG) JDBC Formato de evento NVP Não Não Não

Tipo de evento de auditoria

IBM QRadar Network Security XGS v5.0 com o fix Syslog Eventos de sistema, acesso e segurança Sim Não Não
pack 7 para a v5.4
IBM Security Network IPS (GX) v4.6 e mais recente Syslog Eventos de segurança, funcionamento e Sim Não Não
sistema
IBM Security Privileged Identity Manager V1.0.0 a JDBC Eventos de auditoria, autenticação e Não Não Não
V2.1.1 sistema
IBM Security Identity Manager 6.0.x e mais recente JDBC Eventos de auditoria e recertificação Não Sim Não

165 DSMs suportados do QRadar 1143

Tabela 595. DSMs suportados do QRadar (continuação)
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
IBM IBM Security Trusteer Apex Advanced Syslog/LEEF Detecção de malware Sim Sim Não
Malware Protection
Protocolo de arquivo de log Detecção de exploit

Detecção de exfiltração de dados

Evento de lockdown para Java

Evento de inspeção de arquivo

Evento de apex interrompido

Evento de apex desinstalado

Evento de política mudada

Evento de violação de ASLR

Evento de cumprimento de ASLR

Evento de proteção de senha

IBM IBM Sense v1 Syslog LEEF Sim Não Não
IBM IBM SmartCloud Orchestrator v2.3 FP1 e mais API REST do IBM Registros de auditoria Não Sim Não
recente SmartCloud Orchestrator
IBM Tivoli Access Manager IBM Web Security Syslog Eventos de auditoria, acesso e HTTP Sim Sim Não
Gateway v7.x
IBM Tivoli Endpoint Manager

(agora conhecido como IBM BigFix)

IBM WebSphere Application Server v5.0 a v8.5 Protocolo de arquivo de log Todos os eventos Não Sim Não
IBM WebSphere DataPower

(agora conhecido como DataPower)WebSphere

DataPower
IBM zSecure Alert v1.13.x e mais recente UNIX syslog Eventos de alerta Sim Sim Não
IBM Security Access Manager v8.1 e v8.2 Syslog Eventos de auditoria, sistema e Sim Não Não
autenticação
IBM Security Directory Server v6.3.1 e mais recente Syslog LEEF Todos os eventos Sim Sim Não
Illumio Illumio Adaptive Security Platform Syslog Auditoria Sim Não Não

LEEF Tráfego
Imperva Incapsula LEEF Os eventos de acesso e alertas de Sim Não Não
segurança
Imperva SecureSphere v6.2 e v7.x a v13 Release Syslog Todos os eventos Sim Não Não
Enterprise Edition (Syslog)
LEEF
SecureSphere v9.5 a v13 (LEEF)
Infoblox NIOS Infoblox NIOS v Syslog ISC Bind Não Sim Não

Linux DHCP

Servidor Linux

Apache
Internet Systems BIND v9.9, v9.11 Syslog Todos os eventos Sim Não Não
Consortium (ISC)
Intersect Alliance SNARE Enterprise Windows Agent Syslog Microsoft Event Logs Sim Sim Não
iT-CUBE agileSI v1.x SMB Tail Eventos SAP AgileSI Não Sim Não
Itron Openway Smart Meter Syslog Todos os eventos Sim Não Não
Juniper Networks AVT JDBC Todos os eventos Não Não Sim
Juniper Networks DDoS Secure Não Não

O Juniper Networks DDoS Secure agora é

conhecido como NCC Group DDoS Secure.
Juniper Networks DX Syslog Eventos de status e condição de rede Sim Não Sim
Juniper Networks* Infranet Controller v2.1, v3.1 & v4.0 Syslog Todos os eventos Não Sim Sim
Juniper Networks Firewall e VPN v5.5r3 e mais recente Syslog Eventos NetScreen Firewall Sim Sim Sim
Juniper Networks Junos WebApp Secure v4.2.x Syslog Eventos de incidente e acesso Sim Não Não
Juniper Networks IDP v4.0, v4.1 & v5.0 Syslog Eventos NetScreen IDP Sim Não Sim
Juniper Networks Network and Security Manager (NSM) e Syslog Eventos NetScreen NSM Sim Não Sim
Juniper SSG v2007.1r2 to 2007.2r2, 2008.r1,
2009r1.1, 2010.x
Juniper Networks Syslog ou PCAP Syslog*** Todos os eventos Sim** Sim Sim
Junos OS v7.x a v10.x Ex Series

O DSM Ethernet Switch suporta somente v9.0

a v10.x

1144 Guia de configuração do QRadar DSM

O Juniper Networks Secure Access agora é

conhecido como Pulse Secure Pulse Connect
Secure.
Juniper Networks Binário Eventos de auditoria, sistema, firewall e Não Não Sim
IPS
Juniper Security Binary Log Collector

Dispositivos SRX ou J Series em v12.1 ou mais

recente
Juniper Networks Steel-Belted Radius v5.x Arquivo de log Todos os eventos Sim Sim Sim
Juniper Networks vGW Virtual Gateway v4.5 Syslog Eventos de firewall, admin, política e Sim Não Não
log IDS
Juniper Networks Slog Todos os eventos Sim Não Não
Wireless LAN Controller

Dispositivos Wireless LAN com o Mobility

System Software (MSS) V7.6 e mais recente
Kaspersky Security Center v9.2 JDBC, LEEF Eventos de antivírus, servidor e Não Sim Não
auditoria
Kaspersky Kaspersky CyberTrace Syslog Formato de evento: LEEF Sim Não Não

Tipos de eventos: tipos de eventos:

Kisco Kisco Information Systems SafeNet/i V10.11 Arquivo de log Todos os eventos Não Não Não
Lastline Lastline Enterprise 6.0 LEEF Antimalware Sim Não Não
Lieberman Random Password Manager v4.8x Syslog Todos os eventos Sim Não Não
LightCyber LightCyber Magna V3.9 Syslog, LEEF C&C, exfilt, lateral, malware e recon Sim Não Não
Linux Open Source Linux OS v2.4 e mais recente Syslog Eventos do sistema operacional Sim Sim Não
Linux DHCP Server v2.4 e mais recente Syslog Todos os eventos de um servidor DHCP Sim Sim Não
Linux IPtables kernel v2.4 e mais recente Syslog Eventos de aceitação, descarte ou Sim Não Não
rejeição
McAfee Application / Change Control v4.5.x JDBC Eventos de gerenciamento de mudanças Não Sim Não
McAfee ePolicy Orchestrator V3.5 a v5.x JDBC, SNMPv1, SNMPv2, Eventos de antivírus Não Não Não
SNMPv3
McAfee Intrushield v2.x a v5.x Syslog Eventos de notificação de alerta Sim Não Não
McAfee Intrushield v6.x a v7.x Syslog Eventos de alerta e notificação de falha Sim Não Não
McAfee Web v6.0.0 e mais recente Syslog, protocolo de arquivo Todos os eventos Sim Não Não
de log
MetaInfo MetaIP v5.7.00-6059 e mais recente Syslog Todos os eventos Sim Sim Não
Microsoft Azul Celeste Syslog Formatos de eventos: LEEF, JSON Sim Não Não

Microsoft Azure Event Hubs Tipos de evento registrado:

Windows Server 2016, Windows Server 2012

R2, Windows Server 2008 R2
Microsoft IIS v6.0, 7.0 e 8.x Syslog e WinCollect Eventos de código de status HTTP Sim Não Não
Microsoft Internet and Acceleration (ISA) Server ou Syslog e WinCollect Eventos ISA ou TMG Sim Não Não
Threat Management Gateway 2006
Microsoft Servidor Exchange 2003, 2007, 2010, 2013 e Windows Exchange Protocol Eventos do Outlook Web Access (OWA) Não Não Não
2016
Eventos de Protocolo Simples de
Transporte de Correio (SMTP)

Eventos do Message Tracking Protocol

(MSGTRK)
Microsoft Endpoint Protection 2012 JDBC Eventos de detecção de malware Não Não Não

165 DSMs suportados do QRadar 1145

versões suportadas:

Windows Server 2016

Windows Server 2012 (mais recente)

Windows Server 2012 Core

Windows Server 2008 (mais recente)

Windows Server 2008 Core

Windows 10 (mais recente)

Windows 8 (mais recente)

Windows 7 (mais recente)

Windows Vista (mais recente)

Microsoft Syslog Todos os eventos Sim Não Não
IAS Server

v2000, 2003 e 2008

Microsoft Microsoft Windows Defender ATP Windows Defender API REST Formato de evento: JSON Não Não Não
ATP
Tipos de eventos:

Windows Defender ATP

Windows Defender AV

Terceiros TI

Cliente TI

Bitzagueiro
Microsoft Microsoft Windows Security Event Log Syslog Todos os eventos, incluindo sysmon Sim Sim Sim

versões suportadas: Não syslog

Windows Server 2016 Origem do protocolo de log

de eventos do
MicrosoftWindows
Windows Server 2012 (mais recente)

Formato Common Event

Windows Server 2012 Core
Format (CEF),

Windows Server 2008 (mais recente)

Log Event Extended Format
(LEEF)
Windows Server 2008 Core

Windows 10 (mais recente)

Windows 8 (mais recente)

Windows 7 (mais recente)

Windows Vista (mais recente)

Microsoft SQL Server 2008, 2012 e 2014 JDBC e WinCollect Eventos de auditoria SQL Não Não Não
Microsoft SharePoint 2010 e 2013 JDBC Eventos de auditoria, site e arquivo do Não Não Não
SharePoint
Microsoft DHCP Server 2000/2003 Syslog e WinCollect Todos os eventos Sim Sim Não
Microsoft Microsoft Office 365 API REST do Office 365 JSON Não Não Não
Microsoft Operations Manager 2005 JDBC Todos os eventos Não Não Não
Microsoft System Center Operations Manager 2007 JDBC Todos os eventos Não Não Não
Motorola Symbol AP firmware v1.1 a 2.1 Syslog Todos os eventos Não Não Não
Grupo do NCC DDos do grupo NCC V5.13.1-2s a 516.1-0 Syslog Formato de evento: LEEF Sim Não Não

Tipos de eventos: Todos os eventos

Niara Niara V1.6 Syslog Security Sim Não Sim

Sistema

Atividade interna

Exfiltração

Infecção

Comando e controle

1146 Guia de configuração do QRadar DSM

Tabela 595. DSMs suportados do QRadar (continuação)
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
NetApp Data ONTAP Syslog Eventos CIFS Sim Sim Não
Netskope Netskope Active API REST do Netskope Active Alerta, Todos os eventos Não Sim Não
NGINX NGINX HTTP Server V1.15.5 Syslog Syslog, syslog padrão Sim Não Não
Niksun NetVCR 2005 v3.x Syslog Eventos Niksun Não Não Não
Nokia Firewall NG FP1, FP2, FP3, AI R54, AI R55, Syslog ou OPSEC LEA Todos os eventos Sim Sim Não
NGX em IPSO v3.8 e mais recente
Nokia VPN-1 NG FP1, FP2, FP3, AI R54, AI R55, Syslog ou OPSEC LEA Todos os eventos Sim Sim Não
NGX em IPSO v3.8 e mais recente
Nominum Vantio v5.3

Nota: O Nominum
Vantio DSM for QRadar
está descontinuado.
Nortel Contivity Syslog Todos os eventos Sim Não Não
Nortel Application Switch v3.2 e mais recente Syslog Eventos de status e condição de rede Não Sim Não
Nortel ARN v15.5 Syslog Todos os eventos Sim Não Não
Nortel* Ethernet Routing Switch 2500 v4.1 Syslog Todos os eventos Não Sim Não
Nortel* Ethernet Routing Switch 4500 v5.1 Syslog Todos os eventos Não Sim Não
Nortel* Ethernet Routing Switch 5500 v5.1 Syslog Todos os eventos Não Sim Não
Nortel Ethernet Routing Switch 8300 v4.1 Syslog Todos os eventos Não Sim Não
Nortel Ethernet Routing Switch 8600 v5.0 Syslog Todos os eventos Não Sim Não
Nortel VPN Gateway v6.0, 7.0.1 e mais recente, v8.x Syslog Todos os eventos Sim Sim Não
Nortel Secure Router v9.3, v10.1 Syslog Todos os eventos Sim Sim Não
Nortel Secure Network Access Switch v1.6 e v2.0 Syslog Todos os eventos Sim Sim Não
Nortel Switched Firewall 5100 v2.4 Syslog ou OPSEC Todos os eventos Sim Sim Não
Nortel Switched Firewall 6000 v4.2 Syslog ou OPSEC Todos os eventos Sim Sim Não
Nortel Threat Protection System v4.6 e v4.7 Syslog Todos os eventos Não Não Não
Novell eDirectory v2.7 Syslog Todos os eventos Sim Não Não
ObserveIT ObserveIT 5.7.x e mais recente JDBC Alertas Não Sim Não

Atividade do Usuário

Eventos do sistema

Atividade de sessão

Atividade do DBA
Okta Okta Identity Management API REST Okta JSON Não Sim Não
Onapsis Onapsis Security Platform v1.5.8 e posterior Log Event Extended Format Avaliação (Assessment) Sim Não Não
(LEEF)
Assinatura de ataque

Correlação

Conformidade
OpenBSD Project OpenBSD v4.2 e mais recente Syslog Todos os eventos Não Sim Não
Open LDAP Foundation Open LDAP 2.4.x Syslog UDP multilinhas Todos os eventos Não Não Não
Open Source SNORT v2.x Syslog Todos os eventos Sim Não Não
OpenStack OpenStack v2015.1 Receptor HTTP Eventos de auditoria Não Não Não
Oracle Oracle DB Audit versões 9i, 10g, 11g, 12c JDBC, Syslog Formato de evento: par nome-valor Sim Sim Não
(inclui auditoria unificada)
Tipos de evento registrados: registros de
auditoria
Oracle Audit Vault V10.3 e V12.2 JDBC Todos os registros de auditoria da tabela Não Sim Não
AVSYS.AV$ALERT_STORE para V10.3
ou da visualização
AVSYS.AV_ALERT_STORE_V
customizada para V12.2.
Oracle OS Audit v9i, v10g e v11g Syslog Eventos Oracle Sim Sim Não
Oracle BEA WebLogic v10.3.x Protocolo de arquivo de log Eventos Oracle Não Não Não
Oracle Database Listener v9i, v10g e v11g Syslog Eventos Oracle Sim Não Não
Oracle Servidor de Diretórios

(Anteriormente conhecido como Sun ONE

LDAP).
Oracle Fine Grained Auditing v9i e v10g JDBC Eventos de seleção, inserção, exclusão Não Não Não
ou atualização para tabelas configuradas
com uma política
OSSEC OSSEC v2.6 e mais recente Syslog Todos os relevante Sim Não Não

165 DSMs suportados do QRadar 1147

CEF for PAN-OS v4.0 a v6.1 Ameaça

Filtragem de URL

Data

WildFire

Config

Sistema

Correspondência HIP

Autenticação

ID do Usuário

Inspeção de Túneis

Correlação

SCTP
Palo Alto Networks Palo Alto Endpoint Security Manager Syslog Agente Sim Não Não
V3.4.2.17401
LEEF Config

CEF Política

Sistema

Ameaça
Pirean Access: One v2.2 com DB2 v9.7 JDBC Eventos de gerenciamento de acesso e Não Não Não
autenticação
PostFix Mail Transfer Agent v2.6.6 e mais recente Protocolo UDP multilinhas ou Eventos de e-mail Não Não Não
syslog
ProFTPd ProFTPd v1.2.x, v1.3.x Syslog Todos os eventos Sim Sim Não
Proofpoint Proofpoint Enterprise Protection e Enterprise Syslog Sistema, Classificação de ameaça de Não Não Não
Privacy versões 7.0.2, 7.1, 7.2, 7.5, 8.0 segurança de e-mail, auditoria e
criptografia de e-mail
Arquivo de log
Pulse Secure Pulse Secure Pulse Connect V8.2R5 Syslog Formatos de eventos Sim Sim Sim

TLS Syslog Administrador, Autenticação, Sistema,

Rede, Erro

Tipos de eventos:

Todos os eventos
Radware AppWall V6.5.2 e V8.2 Syslog Formato do evento: Vision Log Sim Não Não

Tipos de evento registrado:

Administração

Auditoria

Saiba Mais

Security

Sistema
Radware DefensePro v4.23, 5.01, 6.x e 7.x Syslog Todos os eventos Sim Não Não
Raz-Lee iSecurity IBM i Firewall 15.7 e Audit 11.7 Syslog Eventos de segurança e auditoria Sim Sim Não
Redback Networks ASE v6.1.5 Syslog Todos os eventos Sim Não Não
Resolution1 Resolution1 CyberSecurity Arquivo de log Dados voláteis, Dados de análise de Não Não Não
memória, Dados de aquisição de
memória, Dados de coleção, Inventário
Conhecido anteriormente como AccessData
de software, Dados de dump de
InSightResolution1 CyberSecurity.
processo, Dados de varredura de
ameaça, Dados de correção de agente
Riverbed SteelCentral NetProfiler JDBC Eventos de alerta Não Não Não
Riverbed SteelCentral NetProfiler Audit Protocolo de arquivo de log Eventos de auditoria Não Sim Não
RSA Authentication Manager v6.x, v7.x e v8.x v6.x e v7.x usam Syslog ou Todos os eventos Não Não Não
Protocolo de arquivo de log

v8.x usa o Syslog apenas

SafeNet DataSecure v6.3.0 e mais recente Syslog Todos os eventos Sim Não Não
Salesforce Salesforce Security Auditing Arquivo de log Registros de auditoria de configuração Não Não Não

1148 Guia de configuração do QRadar DSM

Histórico de conta

Histórico de caso

Histórico de autorização

Histórico de contrato de serviço

Histórico de item de linha de contrato

Histórico de contrato

Histórico de contato

Histórico de lead

Histórico de oportunidade

Histórico de solução

Trilha de auditoria do Salesforce

Security Auditing
Samhain Labs HIDS v2.4 Todos os eventos Sim Não Não
Syslog

JDBC
SAP SAP Enterprise Threat Detection sp6 API de Alerta do SAP LEEF Não Não Não
Enterprise Threat Detection
Seculert Seculert v1 Protocolo de API REST do Todos os eventos de comunicação de Não Não Não
Seculert Protection malware
Seculert Seculert Protocolo de API REST de Todos os eventos de comunicação de Não Não Não
proteção Seculert malware
Sentrigo Hedgehog v2.5.3 Syslog Todos os eventos Sim Não Não
Skyhigh Networks Skyhigh Networks Cloud Security Platform 2.4 Syslog Formato de Evento: Sim Não Não
e 3.3
Log Event Extended Format (LEEF)

Tipos de evento registrado:

Acesso de privilégio, Ameaça interna,

Conta comprometida, Acesso,
Administrador, Dados, Política e
AuditoriaEventos de anomalia
SolarWinds SolarWinds Orion v2011.2 Syslog Todos os eventos Não Não Não
SonicWALL UTM/Firewall/VPN Appliance v3.x e mais Syslog Todos os eventos Sim Não Não
recente
Sophos Astaro v8.x Syslog Todos os eventos Sim Não Não
Sophos Enterprise Console v4.5.1 e v5.1 Todos os eventos Não Não Não
Protocolo Sophos Enterprise
Console

JDBC
Sophos PureMessage v3.1.0.0 e mais recente para JDBC Eventos de e-mail em quarentena Não Não Não
Microsoft Exchange v5.6.0 para Linux
Sophos Web Security Appliance v3.x Syslog Eventos de log de transações Sim Não Não
Sourcefire Intrusion Sensor IS 500, v2.x, 3.x, 4.x Syslog Todos os eventos Sim Não Não
Sourcefire Defense Center

(agora conhecido como Cisco FireSIGHT

Mangement Center)
Splunk MicrosoftWindows Security Event Log Evento baseado no Windows Todos os eventos Não Sim Não
fornecido por Splunk
Forwarders
Squid Web Proxy v2.5 e mais recente Syslog Todos os eventos de log de cache e de Sim Não Não
acesso
Startent Networks Startent Networks Syslog Todos os eventos Sim Não Não
STEALTHbits STEALTHbits File Activity Monitor Syslog LEEF Eventos do monitor de atividades de
Technologies arquivo
STEALTHbits StealthINTERCEPT Syslog LEEF Eventos de auditoria do Active Sim Não Não
Technologies Directory
STEALTHbits Alertas STEALTHbits StealthINTERCEPT Syslog LEEF Eventos de alertas do Active Directory Sim Não Não
Technologies
STEALTHbits STEALTHbits StealthINTERCEPT Analytics Syslog LEEF Eventos do Active Directory Analytics Sim Não Não
Technologies
Sun Solaris v5.8, v5.9, Sun OS v5.8, v5.9 Syslog Todos os eventos Sim Sim Não
Sun Solaris DHCP v2.8 Syslog Todos os eventos Sim Sim Não

165 DSMs suportados do QRadar 1149

Protocolo de arquivo de log

Log de sendmail do
Proofpoint 7.5 e 8.0
Sun Solaris Basic Security Mode (BSM) v5.10 e Protocolo de arquivo de log Todos os eventos Não Sim Não
v5.11
Sun ONE LDAP v11.1 Protocolo de arquivo de log Todos os eventos de acesso e LDAP Não Não Não
relevantes
(Conhecido como Oracle Directory Server) Syslog UDP multilinhas
Sybase ASE v15.0 e mais recente JDBC Todos os eventos Não Não Não
Symantec Endpoint Protection V11, V12 e V14 Syslog Todos de logs de auditoria e segurança Sim Não Sim
Symantec SGS Appliance v3.x e mais recente Syslog Todos os eventos Sim Não Sim
Symantec SSC v10.1 JDBC Todos os eventos Sim Não Não
Symantec Data Loss Prevention (DLP) v8.x e mais Syslog Todos os eventos Não Não Não
recente
Symantec Encryption Management Server V3.0x Syslog Todos os eventos Sim Não Não

anteriormente conhecido como PGP Universal

Server
Symark PowerBroker 4.0 Syslog Todos os eventos Sim Não Não
ThreatGRID Malware Threat Intelligence Platform v2.0 Eventos de malware Não Não Não
Protocolo de arquivo de log

Syslog
TippingPoint Intrusion Prevention System (IPS) v1.4.2 a Syslog Todos os eventos Não Não Não
v3.2.x
TippingPoint X505/X506 v2.5 e mais recente Syslog Todos os eventos Sim Sim Não
Top Layer IPS 5500 v4.1 e mais recente Syslog Todos os eventos Sim Não Não
Trend Micro Trend Micro Control Manager v5.0 ou v5.5 Todos os eventos Sim Não Não
com o hotfix 1697 ou o hotfix 1713 após o SP1
SNMPv1
Patch 1; v6.0 e V7.0.

SNMPv2

SNMPv3
Trend Micro Trend Micro Deep Discovery Analyzer V5.0, Syslog Formato de evento: LEEFEventos: todos Sim Não Não
V5.5, V5.8 e V6.0 os eventos
Trend Micro Trend Micro Deep Discovery Director V3.0 Syslog Formato de evento: LEEF Sim Não Não

Eventos: eventos do Trend Micro Deep

Discovery Inspector
Trend Micro Trend Micro Deep Discovery Email Inspector Syslog Formato de evento: LEEFEventos: Sim Não Não
V3.0 Detecções, logs do Virtual Analyzer
Analysis, Eventos do sistema, Eventos
de alerta
Trend Micro Trend Micro Deep Discovery Inspector V3.0 a Syslog Formato de evento: LEEF Sim Não Não
V3.8, V5.0 e V5.1
Eventos:

Conteúdo malicioso

Comportamento malicioso

Comportamento suspeito

Explorar

Grayware

Reputação da web

Aplicativo disruptivo

Ambiente de simulação

Correlação

Sistema

Atualização

1150 Guia de configuração do QRadar DSM

Tabela 595. DSMs suportados do QRadar (continuação)
Inclui
Descoberta Inclui propriedades
Fabricante Nome do dispositivo e versão Protocolo Eventos registrados e formatos automática? identidade? customizadas?
Trend Micro Trend Micro Deep Security V9.6.1532, Syslog Formato de evento: LEEF Sim Não Não
V10.0.1962 e V10.1
Eventos:

Antimalware

Deep Security

Firewall

Monitor de integridade

Prevenção de Intrusão

Inspeção de log

Sistema

Reputação da Web
Trend Micro Trend Micro InterScan VirusWall v6.0 e mais Syslog Todos os eventos Sim Não Não
recente
Trend Micro Trend Micro Office Scan v8.x e v10.x SNMPv2 Todos os eventos Não Não Não
Tripwire Tripwire Enterprise Manager v5.2 e mais Syslog Formato do evento: Common Event Sim Não Não
recente format (CEF)

Tipos de eventos: inclusões de recursos,

remoção e eventos de modificação
Tropos Networks Tropos Control v7.7 Syslog Eventos de falha de gerenciamento, Não Não Não
login/logout, provisão e upload de
imagem de dispositivo
Trusteer Apex Local Event Aggregator v1304.x e mais Syslog Eventos de detecção de malware, exploit Sim Não Não
recente e exfiltração de dados
Universal Syslog e SNMP Todos os eventos Não Sim Não
Syslog

SNMP

SDEE
Universal Syslog Todos os eventos Não Sim Não
Syslog

Protocolo de arquivo de log

Universal Authentication Server Syslog Todos os eventos Não Sim Não
Universal Firewall Syslog Todos os eventos Não Não Não
Vectra Networks Vectra Networks Vectra v2.2 Syslog Pontuação de host, comando e controle, Sim Não Não
atividade botnet, reconhecimento,
movimento lateral, exfiltração
Formato de evento comum
Verdasys Digital Guardian V6.0.x (somente Syslog) Syslog Formato de evento: LEEF Sim Não Não

Digital Guardian V6.1.1 e V7.2 (somente LEEF) Eventos: todos os eventos

Vericept Content 360 até v8.0 Syslog Todos os eventos Sim Não Não
VMware VMWare AppDefense V1.0 JSON Todos os eventos Não Não Não

Protocolo da API do
AppDefense VMWare
VMware VMware ESX ou ESXi 3.x, 4.x, 5.x e 6.x Informações da Conta Sim se syslog Não Não
Syslog
Nota
protocolo EMC VMware
Aviso

Erro

Informativo do Sistema

Configuração do Sistema

Erro do Sistema

Evento Suspeita Misc

Acesso Negado

Licença Expirada

Informações

Autenticação

Rastreamento de Sessão

165 DSMs suportados do QRadar 1151

Nota

Aviso

Erro

Informativo do Sistema

Configuração do Sistema

Erro do Sistema

Evento Suspeita Misc

Acesso Negado

Licença Expirada

Informações

Autenticação

Rastreamento de Sessão
VMware VMware vCloud Director v5.1 protocolo VMware vCloud Todos os eventos Não Sim Não
Director
VMware VMWare vShield Syslog Todos os eventos Sim Não Não
Vormetric, Inc. Vormetric Data Security Syslog (LEEF) Sim Não Não
Auditoria

Alarme

Aviso

Modo Aprender

Sistema
Watchguard WatchGuard Fireware OS Syslog Todos os eventos Sim Não Não
Websense

(agora conhecido como

Forcepoint)
Zscaler Zscaler NSS v4.1 Syslog Eventos de log da web Sim Não Não

1152 Guia de configuração do QRadar DSM

Parte 4. Apêndices

1154 Guia de configuração do QRadar DSM
Avisos
Estas informações foram desenvolvidas para produtos e serviços oferecidos nos Estados Unidos.

É possível que a IBM não ofereça os produtos, serviços ou recursos discutidos nesta publicação em outros
países. Consulte um representante IBM local para obter informações sobre produtos e serviços disponíveis
atualmente em sua área. Qualquer referência a produtos, programas ou serviços IBM não significa que
apenas produtos, programas ou serviços IBM possam ser utilizados. Qualquer produto, programa ou
serviço funcionalmente equivalente, que não infrinja nenhum direito de propriedade intelectual da IBM
poderá ser utilizado em substituição a este produto, programa ou serviço. Entretanto, a avaliação e
verificação da operação de qualquer produto, programa ou serviço não IBM são de responsabilidade do
Cliente.

A IBM pode ter patentes ou solicitações de patentes pendentes relativas a assuntos tratados nesta
publicação. O fornecimento desta publicação não lhe garante direito algum sobre tais patentes. Pedidos
de licença devem ser enviados, por escrito, para:

Gerência de Relações Comerciais e Industriais da IBM Brasil

Av. Pasteur, 138-146
Botafogo
Rio de Janeiro, RJ
CEP 22290-240

Para pedidos de licença relacionados a informações de DBCS (Conjunto de Caracteres de Byte Duplo),
entre em contato com o Departamento de Propriedade Intelectual da IBM em seu país ou envie pedidos
de licença, por escrito, para:

Intellectual Property Licensing

Legal and Intellectual Property Law
IBM Japan Ltd.
19-21, Nihonbashi-Hakozakicho, Chuo-ku
Tokyo 103-8510, Japan

A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO "NO

ESTADO EM QUE SE ENCONTRA", SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSA OU
IMPLÍCITA, INCLUINDO, MAS A ELAS NÃO SE LIMITANDO, AS GARANTIAS IMPLÍCITAS DE NÃO
INFRAÇÃO, COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. Alguns
países não permitem a exclusão de garantias expressas ou implícitas em certas transações; portanto, essa
disposição pode não se aplicar ao Cliente.

Essas informações podem conter imprecisões técnicas ou erros tipográficos. São feitas alterações
periódicas nas informações aqui contidas; tais alterações serão incorporadas em futuras edições desta
publicação. A IBM pode, a qualquer momento, aperfeiçoar e/ou alterar os produtos e/ou programas
descritos nesta publicação, sem aviso prévio.

Todas as referências a websites não IBM contidas nestas informações são fornecidas apenas por
conveniência e não representam, de forma alguma, um endosso a esses websites. Os materiais nesses
websites não fazem parte dos materiais para este produto IBM e o uso desses websites é de inteira
responsabilidade do Cliente.

A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgar apropriada, sem incorrer
em qualquer obrigação para com o Cliente.

Os licenciados deste programa que desejarem obter informações sobre este assunto com o propósito de
permitir: (i) a troca de informações entre programas criados independentemente e outros programas
(incluindo este) e (ii) o uso mútuo das informações trocadas, deverão entrar em contato com:

Gerência de Relações Comerciais e Industriais da IBM Brasil

Gerência de Relações Comerciais e Industriais da IBM Brasil
Av. Pasteur, 138-146
Botafogo
Rio de Janeiro, RJ
CEP 22290-240

Tais informações podem estar disponíveis, sujeitas a termos e condições apropriadas, incluindo em alguns
casos o pagamento de uma taxa.

O programa licenciado descrito nesta publicação e todo o material licenciado disponível são fornecidos
pela IBM sob os termos do Contrato com o Cliente IBM, do Contrato Internacional de Licença do
Programa IBM ou de qualquer outro contrato equivalente.

Os exemplos de clientes e dados de desempenho mencionados são apresentados apenas com propósitos
ilustrativos. Os resultados de desempenho reais podem variar, dependendo de configurações e condições
operacionais específicas.

As informações relativas a produtos não IBM foram obtidas junto aos fornecedores dos respectivos
produtos, de seus anúncios publicados ou de outras fontes disponíveis publicamente. A IBM não testou
estes produtos e não pode confirmar a precisão de seu desempenho, compatibilidade nem qualquer outra
reivindicação relacionada a produtos não IBM. Dúvidas sobre os recursos de produtos não IBM devem
ser encaminhadas diretamente a seus fornecedores.

Declarações sobre o intento ou direção futura da IBM são sujeitos à alteração ou retirada sem aviso e
representam somente objetivos e metas.

Os preços da IBM mostrados são preços de varejo sugeridos pela IBM, são atuais e estão sujeitos a
mudança sem aviso prévio. Os preços do revendedor podem variar.

Estas informações contêm exemplos de dados e relatórios utilizados nas operações diárias de negócios.
Para ilustrá-los da forma mais completa possível, os exemplos incluem nomes de indivíduos, empresas,
marcas e produtos. Todos estes nomes são fictícios e qualquer semelhança com pessoas ou empresas reais
é mera coincidência.

Marcas comerciais
IBM, o logotipo IBM e ibm.com são marcas registradas ou comerciais da International Business Machines
Corp., registradas em vários países no mundo todo. Outros nomes de produtos e serviços podem ser
marcas registradas da IBM ou de outras empresas. Uma lista atual das marcas comerciais da IBM está
disponível na web em "Informações de marca comercial e copyright" em www.ibm.com/legal/
copytrade.shtml.

Linux é uma marca registrada de Linus Torvalds nos Estados Unidos e/ou em outros países.

UNIX é uma marca registrada do The Open Group nos Estados Unidos e em outros países.

Java e todas as marcas comerciais e logotipos baseados em Java são marcas comerciais ou marcas
registradas da Oracle e/ou suas afiliadas.

1156 Guia de configuração do QRadar DSM

Microsoft, Windows, Windows NT e o logotipo Windows são marcas comerciais da Microsoft Corporation
nos Estados Unidos e/ou em outros países.

Termos e condições da documentação do produto

Permissões para o uso destas publicações são concedidas sujeitas aos seguintes termos e condições.

Aplicabilidade

Esses termos e condições estão em adição a quaisquer termos de uso do website da IBM.

Uso Pessoal

É possível reproduzir essas publicações para seu uso pessoal e não comercial, desde que todos os avisos
do proprietário sejam preservados. O Cliente não pode distribuir, exibir ou fazer trabalho derivado dessas
publicações ou de qualquer parte delas sem o consentimento expresso da IBM.

Uso comercial

O Cliente pode reproduzir, distribuir e exibir essas publicações unicamente dentro de sua empresa desde
que todos os avisos do proprietário sejam preservados. O Cliente não pode fazer trabalhos derivados,
reproduzir, distribuir ou exibir essas publicações, ou qualquer parte delas, fora de sua empresa, sem o
expresso consentimento da IBM.

Direitas
Exceto quando expressamente concedido nesta permissão, nenhum outro direito, licença ou permissão é
concedido, expresso ou implícito, às publicações ou qualquer informação, dados, software ou outra
propriedade intelectual nelas contidas.

IBM reserva o direito de retirar as permissões aqui concedidas a qualquer momento, a seu critério, o uso
das publicações é prejudicial para seu interesse ou, conforme determinado pela IBM, as instruções acima
não estão sendo corretamente seguidas.

Você não pode efetuar download, exportar ou reexportar essas informações, exceto se elas estiverem
totalmente em conformidade com todas as leis e regulamentações aplicáveis, incluindo todas as leis e
regulamentações de exportação dos Estados Unidos.

A IBM NÃO SE RESPONSABILIZA PELO CONTEÚDO DESTAS PUBLICAÇÕES. AS PUBLICAÇÕES

SÃO FORNECIDAS "NO ESTADO EM QUE SE ENCONTRAM" E SEM GARANTIA DE NENHUM TIPO,
SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS A ELAS NÃO SE LIMITANDO, GARANTIAS
IMPLÍCITAS DE COMERCIALIZAÇÃO, NÃO INFRAÇÃO E ADEQUAÇÃO A UM DETERMINADO
PROPÓSITO.

Avisos 1157
Política de Privacidade da IBM Online
Os produtos de Software IBM, incluindo soluções software como um serviço, (“Ofertas de Software”)
podem usar cookies ou outras tecnologias para coletar informações de uso do produto para ajudar a
melhorar a experiência do usuário final, customizar interações com o usuário final ou para outros
propósitos. Em muitos casos, nenhuma informação de identificação pessoal é coletada pelas Ofertas de
Software. Algumas de nossas Ofertas de Software podem ajudar na coleta de informações de identificação
pessoal. Se esta Oferta de Software usar cookies para coletar informações de identificação pessoal,
informações específicas sobre o uso de cookies desta oferta serão estabelecidas a seguir.

Dependendo das configurações implementadas, esta Oferta de Software pode usar cookies de sessão que
coletam o ID de sessão de cada usuário para propósitos de gerenciamento e autenticação de sessão. Esses
cookies podem ser desativados, mas desativá-los também eliminará a funcionalidade ativada.

Se as configurações implementadas para esta Oferta de Software fornecerem a você como cliente a
capacidade de coletar informações de identificação pessoal de usuários finais por meio de cookies e
outras tecnologias, você deverá consultar seu próprio conselho jurídico sobre as leis aplicáveis a essa
coleta de dados, incluindo requisitos para aviso e consentimento.

Para obter informações adicionais sobre o uso de várias tecnologias, incluindo cookies, para esses
propósitos, consulte o IBM Privacy Policy em http://www.ibm.com/privacy e o IBM Online Privacy
Statement em http://www.ibm.com/privacy/details, a seção “Cookies, Web Beacons and Other
Technologies” e “IBM Software Products and Software-as-a-Service Privacy Statement” em
http://www.ibm.com/software/info/product-privacy.

Considerações sobre política de privacidade

Os produtos de Software IBM, incluindo soluções software como um serviço, (“Ofertas de Software”)
podem usar cookies ou outras tecnologias para coletar informações de uso do produto para ajudar a
melhorar a experiência do usuário final, customizar interações com o usuário final ou para outros
propósitos. Em muitos casos, nenhuma informação de identificação pessoal é coletada pelas Ofertas de
Software. Algumas de nossas Ofertas de Software podem ajudar na coleta de informações de identificação
pessoal. Se esta Oferta de Software usar cookies para coletar informações de identificação pessoal,
informações específicas sobre o uso de cookies desta oferta serão estabelecidas a seguir.

1158 Guia de configuração do QRadar DSM

Glossário
Este glossário fornece termos e definições para arquivo que contém chaves públicas,
IBM QRadar SIEM software e produtos. chaves privadas, raízes confiáveis e
certificados.
As referências cruzadas a seguir são usadas neste
arquivo de armazenamento confiável
glossário:
Um arquivo de banco de dados de chave
v Consulte o encaminha de um termo não que contém as chaves públicas para uma
preferencial para um termo preferencial ou de entidade confiável.
forma de abreviação para uma forma integral.
assinatura de aplicativo
v Consulte também o encaminha para um termo
Um conjunto exclusivo de características
relacionado ou contrastante.
que são derivados pela análise de carga
útil do pacote e, em seguida, utilizado
Para outros termos e definições adicionais, veja o
para identificar um aplicativo específico.
website IBM Terminology (abre em uma nova
janela). ativo Um objeto gerenciável que é
implementado ou que se pretende que
seja implementado em um ambiente
A operacional.
acumulador
Um registro no qual um operando de B
uma operação pode ser armazenada e,
subsequentemente, substituído pelo burst Um aumento agudo e repentino na taxa
resultado dessa operação. dos eventos ou fluxos recebidos de forma
que o limite licenciado da taxa de fluxo
agregação de link
ou evento é excedido.
O agrupamento de placas da interface da
rede física, tal como cabos ou portas, em
uma única interface de rede lógica. A C
agregação de link é usada para aumentar
a largura da banda e a disponibilidade de camada de rede
rede. Na arquitetura de OSI, a camada que
fornece serviços para estabelecer um
Alta disponibilidade (HA) caminho entre os sistemas abertos com
Pertencente a um sistema em cluster, que uma qualidade de serviço previsíveis.
é reconfigurado quando nó ou falhas
daemon ocorrem, para que as cargas de captura de conteúdo
trabalho possam ser redistribuídos para Um processo que captura um valor
os nós restantes no cluster. configurável de carga útil e em seguida,
armazena os dados em um log do fluxo.
anomalia
Um desvio do comportamento esperado CIDR Consulte Classless Inter-Domain Routing.
da rede. Classless Inter-Domain Routing (CIDR)
ARP Veja Protocolo de Resolução de Endereço. Um método para incluir a classe C de
endereços IP (Internet Protocol). Os
ARP (Address Resolution Protocol) endereços são oferecidos aos Provedores
Um protocolo que mapeia dinamicamente de Serviço Internet (ISPs) para utilização
um endereço de IP para um adaptador de de seus clientes. Endereços CIDR
rede, mapeia em uma rede local. reduzem o tamanho das tabelas de
arquivo-chave roteamento e tornam disponíveis mais
Em segurança de computador, um endereços IP nas organizações.

cliente forma ininteligível, de tal maneira que os
Um programa ou computador de software dados originais, quer não pode ser obtido
que atende os serviços a partir de um ou só pode ser obtida por meio de um
servidor. processo de decriptografia.
Cluster HA CVSS Veja Common Vulnerability System.
Uma configuração de alta disponibilidade
que consiste em um servidor principal e
um servidor secundário.
D
compartilhamento administrativo dados de carga útil
Um recurso de rede que fica oculto dos os dados do aplicativo contidos em um
usuários sem privilégios administrativos. fluxo de IP, excluindo cabeçalho e
Os compartilhamentos administrativos informações administrativas.
fornecem aos administradores acesso a destino de encaminhamento
todos os recursos em um sistema de rede. Um ou mais sistemas fornecedores que
comportamento recebem dados brutos e normalizados a
Os efeitos observados em uma operação partir de fontes de log e fontes de fluxo.
ou evento, incluindo os resultados. destino externo
conjunto de referência Um dispositivo que está fora do local
Uma lista de elementos únicos que são primário que recebe fluxo de evento ou
derivados de eventos ou fluxos em uma dados de um coletor de eventos.
rede. Por exemplo, uma lista de endereços Device Support Module (DSM)
IP de uma lista de nomes de usuários. Um arquivo de configuração que analisa
console eventos recebidos de múltiplas fontes de
Uma estção de exibição, da qual um log e os converte para um formato de
operador pode controlar e observar um taxonomia padrão, que pode ser exibida
sistema de produção. como saída.

contexto do host DHCP Consulte Dynamic Host Configuration

Um serviço que monitora os componentes Protocol.
para assegurar que cada componente está dispositivo de varredura externo
operando conforme o esperado. Uma máquina que é conectada à rede
conversão de endereço de rede (NAT) para reunir informações de
Em um firewall, a conversão de segurança vulnerabilidade sobre ativos na rede.
de Internet Protocol (IP) endereça para DNS Consulte Domain Name System.
endereços registrados externos. Isto
permite comunicações com redes externas, DSM Consulte Módulo de Suporte de
mas mascara os endereços IP usados Dispositivo.
dentro do firewall. Dynamic Host Configuration Protocol (DHCP)
credencial Um protocolo de comunicação utilizado
Um conjunto de informações que é para gerenciar centralmente as
concedida a um usuário ou certos informações de configuração. Por
processos de direitos de acesso. exemplo, o DHCP automaticamente
designa endereços IP para computadores
credibilidade em uma rede.
Uma classificação numérica entre 0-10 que
é utilizada para determinar a integridade
de um evento ou uma ofensa. E
Credibilidade aumenta à medida que endereço IP virtual de cluster
várias fontes relatam o mesmo evento ou Um endereço IP que é compartilhado
ofensa. entre o host primário ou secundário e o
criptografia cluster de HA.
Na segurança do computador, o processo extensão de origem de log
de transformação de dados em uma Um arquivo XML que inclui todos os

1160 Guia de configuração do QRadar DSM

padrões de expressão regular necessários hierarquia de rede
para identificar e categorizar eventos da Um tipo de contêiner que constitui uma
carga útil do evento. coleta hierárquica de objetos da rede.
HMAC
F Consulte Código de autenticação
Hash-Based Message .
falso positivo
Um evento ou fluxo que o usuário pode host de HA primário
decidir não deve criar uma ofensa ou O computador principal que é conectada
uma ofensa que o usuário decide não é ao cluster de HA.
um incidente de segurança. host de HA secundário
Fluxo Uma única de transmissão de dados O computador espera que o está
transmitidos através de um link durante conectado ao cluster de HA. O host de
uma conversação. HA secundário assume a responsabilidade
do host de HA primário se o host de HA
fluxo de log primário falhar.
Uma coleção de grvação de fluxo.
fluxo duplicado I
Várias instâncias do mesmo fluxo de
transmissão recebidos a partir de ICMP Consulte Internet Control Message
diferentes origens de dados. Protocol.
folha Em uma árvore, uma entrada ou nó que Identifica
não possui frutos. Uma coleta de atributos de uma origem
de dados que representa uma pessoa,
fontes de fluxo
organização, lugar ou item.
A orígem na qual o fluxo é capturado.
Uma fonte de fluxo é classificada como IDS Consulte sistema de detecção de intrusão.
interna, quando o fluxo vem de um
Interconexão de sistemas abertos (OSI)
hardware instalado em um gerenciador de
A interconexão de sistemas abertos em
host ou é classificado como externo,
concordância com padrões do
quando o fluxo é enviado para um coletor
International Organization for
de fuxo.
Standardization (ISO) para a troca de
FQDN informações.
Consulte nome completo do domínio.
interface ligada
FQNN Consulte agregação de link.
Consulte nome completo da rede.
Internet Control Message Protocol (ICMP)
Um protocolo de Internet que é usado por
G um getway para comunicar-se com um
host de origem, por exemplo, para
Gateway reportar um erro em um datagrama.
Um dispositivo ou programa usado para
conectar redes ou sistemas com diferentes intervalo de relatório
arquiteturas de rede. Um intervalo de tempo configurável no
final do qual o processador de evento
deve enviar todos os eventos capturados e
H fluxo de dados para o console.
HA Consulte alta disponibilidade. intervalo de união
Hash-Com Message Authentication Code O intervalo no qual os eventos são
(HMAC) empacotados. o pacote configurável de
O código de criptografia que usa eventos ocorre em intervalos de 10s. e
criptografia função hash e chave secreta. começa com o primeiro evento que não
corresponde a nenhum evento de união
atualmente. No intervalo de união, os três
primeiros eventos correspondentes são

Glossário 1161
empacotados e enviados para o exemplo, o mapeamento do total de bytes
processador de eventos. de um aplicativo para um IP de origem.
IP Consulte Protocolo da Internet. Mapear QID
Uma taxonomia que identifica cada
IP multicast
evento único e mapeia os eventos de
Transmissão de um datagrama protocolo
categoria baixo e alto nível, para
de internet (IP), para configurar sistemas
determinar como um evento deve ser
que formam um grupo multicast único.
correlacionado e organizado.
IPS Consulte sistema de prevenção de
máscara de sub-rede
intrusão.
Para sub-rede da Internet, uma máscara
ISP Consulte Provedor de serviços da de 32 bits usada para identificar os bits
Internet. do endereço da sub-rede na parte do host
de um endereço IP.
L
N
LDAP Consulte protocolo LDAP.
NAT Consulte conversão de endereço de rede.
L2L Consulte Local para Local.
NetFlow
Local para Local (L2L)
Um protocolo de rede Cisco que monitora
Pertencente ao tráfego interno de uma
dados do fluxo do tráfego de rede. Dados
rede local para outra rede local.
NetFlow incluem informações do cliente e
Local para Remoto (R2L) informações de servidores, cujas portas
O tráfego externo a partir de uma rede são usadas, e o número de bytes e pacotes
remota a uma rede local. que fluem através de roteadores
conectados a uma rede. Os dados são
L2R Consulte Local para Remoto.
enviados para os coletores NetFlow onde
dados são analisados.
M Nome completo da rede (FQNN)
Magistrate Em uma hierarquia da rede, o nome de
Um componente interno que analisa o um objeto que inclui todos os
tráfego de rede e os eventos de segurança departamentos. Um exemplo de um nome
em relação às regras customizadas completo de rede é
definidas. CompanyA.Department.Marketing.

magnitude Nome completo do domínio (FQDN)

Uma medida da importância relativa de Em comunicações da Internet, o nome de
uma determinada falha crítica. Magnitude um sistema de host que inclui todos os
é um valor calculado a partir de peso a subnomes do nome de domínio. Um
relevância, gravidade e credibilidade. exemplo de um nome de domínio
completo é rchland.vnet.ibm.com.
mapa de referência
Um registro de dados de mapeamento NRA Consulte número de sistema autônomo.
direto de uma chave para um valor, por número do sistema ASN (Autonomous)
exemplo, um nome de usuário para um Em TCP/IP, um número que designa um
ID global. sistema autônomo pela mesma central de
mapa de referência de conjuntos autoridade que designa um endereço de
Um registro de dados de uma chave IP. O sistema autônomo faz com que seja
mapeada para muitos valores. Por possível para algoritimos de roteamentos
exemplo, o mapeamento de uma lista de automatizados, a distinção desistemas
usuários privilegiados para um host. autônomos.

mapa de referência de mapas

Um registro de dados de duas chaves
mapeadas para muitos valores. Por

1162 Guia de configuração do QRadar DSM

protocolo
O Um conjunto de regras que controlam a
objeto rede comunicação e a transferência de dados
Um componente de uma hierarquia de entre dois ou mais dispositivos ou
rede. sistemas em uma rede de comunicação.
ofensa Uma mensagem enviada ou um evento Protocolo da Internet(IP)
gerado em resposta a uma condição Um protocolo que encaminha dados
monitorada. Por exemplo, uma ofensa através de uma rede ou redes
fornecerá informações sobre se uma interconectadas. Este protocolo atua como
política tiver sido infringida ou a rede um intermediário entre as camadas de
está sofrendo um ataque. protocolo superiores e a rede física.
Consulte também Transmission Control
O objeto folha de banco dados Protocol.
Um objeto terminal ou um nó em uma
hierarquia de banco de dados. Protocolo de Controle de Transmissões (TCP)
Um protocolo de comunicação utilizado
ordem de análise na Internet e em todas as redes que
Uma definição de origem de log na qual seguem os padrões da Internet
o usuário pode definir a ordem de Engineering Task Force (IETF) para
importância para origens de log que protocolo de interligação de redes. O TCP
compartilham um endereço IP ou um oferece um protocolo confiável de host a
nome de host comum. host em redes de comunicação através da
origem do log comutação de pacotes e em sistemas
O equipamento de segurança ou o interconectados dessas redes. Consulte
equipamento de rede a partir da qual também Internet Protocol.
uma origem de log de eventos. protocolo LDAP
origem externa Um protocolo que usa TCP/IP para
Um dispositivo que está fora do local fornecer acesso aos diretórios que
primário que envia dados normalizados suportam um modelo X.500 que não
para um coletor de eventos. incorra nos requisitos de recursos X.500
Directory Access Protocol (DAP)mais
o servidor whois complexos. Por exemplo, LDAP pode ser
Um servidor que é utilizado para usado para localizar pessoas,
recuperar as informações sobre uma organizações, e outros recursos em um
Internet recursos registrados, como nomes diretório intranet, ou internet.
de domínio e alocações de endereço IP.
Provedor de serviços da Internet (ISP)
OSI Consulte interconexão de sistemas Uma organização que fornece acesso à
abertos. Internet.
OSVDB
Consulte Abrir Origem Vulnerabilidade R
de Banco de Dados.
recon Consulte reconhecimento.
P reconhecimento (recon)
Um método pelo qual as informações
Para Local (Remote L2R) pertencentes à identidade dos recursos da
Relativo ao tráfego interno de uma rede rede são reunidas. Varredura da rede e
local para outra rede remota. outras técnicas são usadas para compilar
para Remoto (Remote R2R) uma lista de eventos de recursos da rede
O tráfego externo a partir de uma rede que são então designados a um nível de
remota para outra rede remota. severidade.

ponto de dados Rede Local

Um valor calculado de uma métrica em Consulte rede local.
um momento.

Glossário 1163
Rede local (LAN) torna ativo quando o sistema ativo falhar.
Uma rede que conecta vários dispositivos Se a replicação de disco estiver ativado,
em uma área limitada (tal como uma replica dados do sistema ativo.
única construção ou campus) e que pode
Sistema de Nomes de Domínio (DNS)
ser conectada a uma rede maior.
O sistema de banco de dados distribuído
Redirecionamento do ARP que mapeia nomes de domínio para
Um método ARP para notificar o host se endereços IP.
existe um problema em uma rede.
Sistema de Pontuação de Vulnerabilidade
regra de roteamento Comum - Common Vulnerability Scoring
Uma condição que quando seus critérios System (CVSS)
são satisfeitos por dados do evento, uma Um sistema de pontuação cuja severidade
coleta de condições e roteamento de vulnerabilidade é medida.
subsequente são executadas.
Sistema de prevenção de intrusão (IPS)
Relatório Um sistema que tenta negar a atividade
Em um gerenciamento de consulta, os potencialmente dolosa. Os mecanismos de
dados formatados que resultam da negação podem envolver filtragem,
execução de uma consulta e da aplicação rastreamento ou configuração de taxa
de um formulário a ela. limite.
relevância SNMP
Uma medida de impacto relativo de um Consulte Simple Network Management
evento, categoria ou ofensa na rede. Protocol.
R2L Consulte Local para Remoto. SNMP (Simple Network Management Protocol)
Um conjunto de protocolos para sistemas
R2R Consulte Para Remoto Remoto.
de monitoramento e os dispositivos em
rule Um conjunto de instruções condicionais redes complexas. As informações sobre os
que permitem que os sistemas de dispositivos gerenciados são definidas e
computador identifiquem relacionamentos armazenadas em uma Management
e executem respostas automatizadas Information Base (MIB).
adequadamente.
SOAP Um protocolo leve, baseado em XML para
troca de informações em um ambiente
S distribuído, descentralizado. SOAP pode
ser utilizado para consultar e retornar
scanner informações e chamar os serviços através
Um programa de segurança automatizado da Internet.
que procura por vulnerabilidades do
software dentro de aplicativos da web. sub-procura
Uma função que permite que uma
severidade consulta de procura para ser executada
Uma medida da ameaça relativo que uma dentro de um conjunto de resultados de
origem apresenta em um destino. procura concluídas.
sistema ativo sub-rede
Em um cluster de alta disponibilidade Consulte sub-rede.
(HA), o sistema que possui todos os seus
serviços em execução. sub-rede (sub-rede)
Uma rede que é dividida em subgrupos
Sistema de detecção de intrusão (intrusion independentes menores, que ainda estão
detection system) (IDS) interconectados.
Software que detecta tentativas de ataque
ou ataques bem sucedidos nos recursos superflow
monitorados que são parte de uma rede Um único fluxo que é composto de vários
ou de um host de sistema. fluxos com propriedades semelhantes
para aumentar a capacidade de
sistema de espera processamento reduzindo as restrições de
Um sistema que automaticamente se armazenamento.

1164 Guia de configuração do QRadar DSM

T
tabela de referência
Uma tabela em que o registro de dados
mapeia chaves que têm um tipo
designado para outras chaves que são, em
seguida, mapeadas para um único valor.
TCP Consulte Protocolo de Controle de
Transmissões.
Tempo de atualização
Um dispositivo interno que é disparado
manualmente ou automaticamente em
intervalos de tempo que atualiza os dados
da atividade de rede atual.
terminal
O endereço de uma API ou um serviço
em um ambiente. Uma API expõe um
terminal e ao mesmo tempo chama os
terminais de outros serviços.

V
varredura em tempo real
Uma varredura de vulnerabilidade que
gera dados do relatório a partir dos
resultados da varredura com base no
nome da sessão.
violação
Um ato que ignora ou contrária à política
corporativa.
visualização do sistema
Uma representação visual de ambos
primário e os hosts gerenciados que
compõem um sistema.
vulnerabilidade
Uma exposição de segurança em um
sistema operacional, software do sistema
ou componente de software de aplicativo.
Vulnerabilidade de Banco de Dados de Origem
Aberta (OSVDB)
Criado pela comunidade de segurança de
rede para a segurança da comunidade de
rede, um banco de dados aberto que
fornece informações técnicas en uma rede
de vulnerabilidade de segurança.

Glossário 1165
1166 Guia de configuração do QRadar DSM
Índice Remissivo
Numéricos banco de dados Oracle
Perl 877
Cisco ACS v5.x
Origem de log 300
3Com Switch 8800 Series 127 banco de dados Sophos 988 Cisco Aironet 303
Barracuda 207 Fonte de Log 304
Origem de log 207 Cisco ASA 305, 307
A Syslog 207 Fonte de Log 308
Access Manager for Mobile 572 Barracuda Web Filter 211 Origem de log 306
Advanced Firewall Manager Origem de log 211 Syslog 305
Perfil de criação de log 425 Syslog 211 Cisco ASASyslog 305
agile 637 Basic Security Mode 1031 Cisco CallManager 314
agileSI 637 BIG-IP Fonte de Log 315
AhnLab Policy Center 129 Publicador de log 424 Syslog 314
Akamai Kona 131 BIG-IP AFM Cisco CatOS
alertas DbProtect 177 destino de criação de log de alta Comutadores Catalyst 315
Amazon AWS CloudTrail 142, 148, 160 velocidade 424 Origem de log 316
Ambiron TrustWave ipAngel 163 BIG-IP LTM 430 Syslog 316
APC UPS 165 Bit9 Parity 261 Cisco CSA 320
API REST vCloud 1119 Blue Coat 219, 222, 225 Fonte de Log 320
Apple Mac OS Blue Coat SG 219, 222 Syslog 320
Apple Mac OS X 171 BlueCat 217 Cisco FWSM 327
Apple Mac OS X Adonis 217 Origem de log 328
syslog 171 Origem de log 218 Syslog 328
Application Security DbProtect 175 Tipo de evento 217 Cisco IDS/IPS 333
Arbor 179 BlueCat Adonis 218 Cisco IOS 335
Arbor Networks Peakflow 179 Bluemix 520 Origem de log 336
Tipos de eventos suportados 180 Bridgewater 233 Cisco IOSEncaminhando eventos 335
Arbor Networks Peakflow SP Bridgewater Systems 233 Cisco ISE
Configurando definições de Origem de log 233 Categorias de criação de log 332
notificações globais 180 Brocade Fabric OS 235 eventos do Syslog 331
Configurando syslog remoto 180 Syslog 235 Cisco NAC 346
Configurar uma origem de log 182 eventos do Syslog 346
Arbor Networks PeakFlow SP Cisco Nexus
Configurando regras de notificação de C NX-OS 347
Origem de log 348
alerta 181 CA ACF2 237
Arbor Networks Pravail 183, 184 Syslog 347
CA SiteMinder 245
Arpeggio SIFT-IT 185, 186 Cisco NSEL 47
Origem de log 246
Informações adicionais 187 Cisco Pix 348
Syslog-ng 247
Array Networks 189 Encaminhando eventos 348
Check Point Firewall
SSL VPN 189 Cisco PixSyslog 349
Encaminhadores de syslog 284
Aruba 191 Cisco VPN 3000
Check Point Multi-Domain Management
Aruba Mobility Controller 195 Origem de log 356
(Provider-1) 288
Aruba Mobility Controllers 195, 196 Cisco VPN 3000 Concentrator 356
eventos do Syslog 289
atualizações automáticas 3 Cisco Wireless LAN Controllers 357
OPSEC 289
Autorização genérica Cisco Wireless Services Module
Syslog 288
Origem de log 475 WiSM 361
Check Point SmartCenter Server 829
Cisco WiSM
Check PointSyslog 282
Origem de log 363
Cilasoft QJRN/400 293
B Origem de log 294
Syslog 362
Citrix 365
Balabit Syslog 293
Citrix Access Gateway 367
Filtrando arquivo de log 204 Cisco ACE 297
Citrix NetScaler 365
BalaBit 199 Origem de log 297
Origem de log 366
Configurando uma origem de Cisco ACE Firewall 297
Comutadores empilháveis e
log 205 Cisco ACS 298
independentes do Extreme 420
PE Relay 204 Categorias de criação de log
configuração do Venusense 1101
Syslog 200 global 299
configurações de firewall syslog em
Syslog-ng Agent 202, 203 Log remoto 299
vSphere Clients 1115
BalaBIt v5.x 298
Configurando o encaminhamento de
Segurança de TI 199 Cisco ACS v4.x
syslog 664
BalaBit IT Security Origem de log 301
configurando o IBM AIX Audit para
Eventos Microsoft ISA e TMG 202 Syslog 300
syslog 506
BalaBit Syslog-ng 202

Configurando uma origem de log 201 exemplos de XML 119 Forcepoint V-Series Data Security
Conjunto de ações para LSM 1063 extensão de fonte de log Suite 454, 455
Conjunto de criação de log 423 ativar extensão 123 Forcepoint V-Series DSS 454
Console de gerenciamento de desativar extensão 123 ForeScout CounterACT 461
conteúdo 458 extensões de fonte de log 123 Origem de log 461
Contatos de notificação LSM 1062 Extrema 409 Plug-in 462
Content Gateway Manager 456 Extreme 800-Series Switch 409 Políticas 462
controlador LAN wireless Cisco Extreme 800-Series Switches Formato de log binário do Juniper
Origem de log 358 Origem de log 409 Networks 656
receptor de trap 360 Extreme Dragon 410 Fortinet FortiAnalyzer 466
SNMPv2 359, 360 Origem de log 412 Fortinet FortiGate 466
Syslog 357 Extreme Dragon EMS Fortinet FortiGate Security Gateway 465
Critérios de ataque e notificações de Política de ferramenta de alarme Foundry FastIron 469
alerta 1084 Syslog 410 FreeRADIUS 471
cron 1032 Extreme Dragon EMS v7.4.0 FW 5100 827
CRYPTOCard CRYPTO-Shield 383 Syslog 413
Origem de log 383 Extreme HiGuard Wireless IPS 414
CRYPTOCard CRYPTO-
ShieldSyslog 383
Extreme HiPath Wireless Controller 415
Extreme Matrix K/N/S Series
G
Gateway VPN Avaya 197, 198
CyberArk 385 Switch 417
integração do DSM 197
CyberArk Vault 386 Extreme Matrix Router
Genérico 473
Origem de log 387 versão 3.5 416
genua genugate 479
Syslog 387 Extreme NAC 419
Gerenciador de perfis em cascata 933,
CyberGuard Origem de log 419
935
Firewall/VPN Appliance 389 Extreme NetSight Automatic Security
gerenciar 123
Origem de log 389 Manager 418
Glossário 1159
Syslog 389 Extreme Networks ExtremeWare 421
Great Bay Beacon 481
Syslog 481

D F
Damballa Failsafe 391
Origem de log 391
F5 BIG-IP APM 10.x
syslog remoto 427
H
H3C Technologies 485
Syslog 391 F5 BIG-IP LTM
HBGary Active Defense 483
DbProtect LEEF Relay 176 9.4.2 a 9.4.8 431
Origem de log 483
DDoS Seguro do NCC 800 Origem de log 430
Syslog 483
depósito S3 142, 148, 160 F5 BIG-IP LTM 10.x
Hewlett Packard UniX
Digital China Networks syslog remoto 431
origem de log 495
DCN DCS/DCRS 396 F5 BIG-IP LTM 11.x
Hewlett Packard UNIX (HP-UX)
DCS/DCRS Series Switch 395 syslog remoto 430
Syslog 495
Origem de log 395 F5 FirePass
Honeycomb FIM
dispositivo Juniper Junos OS Syslog 432
Eventos 487
Platform 652 F5 Networks BIG-IP AFM 423, 425
Honeycomb Lexicon File Integrity
dispositivo Juniper Networks AVT 643 Origem de log 426
Monitor 487
dispositivo Juniper Networks Firewall e F5 Networks BIG-IP APM
Honeycomb Lexicon FIM
VPN Origem de log 427
Origem de log 488
eventos 650 syslog remoto 426
HP 491
dispositivo Sybase ASE 1038 F5 Networks BIG-IP ASM 428
HP ProCurve
Dispositivo Tipping Point Origem de log 429
Origem de log 494
X505/X506 1063 F5 Networks BIG-IP LTM 429
Syslog 493
dispositivos Splunk 999 F5 Networks FirePass 432
HP Tandem 494
documentos de extensão Origem de log 432
Huawei 497
resolução de problemas 119 Fair Warning 435
Huawei AR Series 498
Domino Origem de log 435
Origem de log 551
SNMP 550 Fidelis XPS 441
Huawei AR Series Router 497
Dragon Enterprise Management Server Origem de log 442
Huawei AR Series Routers 497
(EMS) v7.4.0 412 Syslog 441
Huawei S Series
DSM Vericept Content 360 1107 filtragem de eventos Venusense 1101
Origem de log 499
Firewall genérico 475
Huawei S Series Switch 499
Configurando propriedades de
Syslog 500
E eventos 475
Origem de log 477
HyTrust CloudControl 501
edição em lote 93
Forcepoint 1131
EMC VMWare 1116
Forcepoint TRITON 452, 453
encaminhando eventos 1097
Eventos de autorização genéricos 473
Forcepoint TRITON e V-Series 453 I
Forcepoint V-Series 458 IBM 503
eventos desconhecidos 1043, 1097
Forcepoint V-Series Content IBM AIX Audit, configurando para
eventos encaminhados pelo Splunk 1000
Gateway 455 syslog 506

1168 Guia de configuração do QRadar DSM

IBM AS/400 iSeries 513 Juniper IDP McAfee Web Gateway (continuação)
IBM AS/400® 510 syslog 648 mapa de eventos 723, 724
IBM BigFix 514 Juniper Infranet Controller 649 protocolo de arquivo de log 722, 723
IBM CICS 521 Juniper Junos OS 650 MetaInfo MetaIP 727
IBM Guardium 538 Juniper Junos WebApp Secure 664 Microsoft 729
eventos do Syslog 540 criação de log de eventos 665 Microsoft DHCP Server 737
mapa de eventos 542 Juniper Networks 643 Microsoft Endpoint Protection 740
Mapas de eventos 541 Juniper Secure Services Gateway origem do log 740
Política 540 (SSG) 654 Microsoft Hyper-V 749
IBM i 512 Juniper Networks AVT 643 origem do log 749
IBM IMS 543 Juniper Networks Firewall e VPN 649 Microsoft IAS
Origem de log 546 Juniper Networks NSM coleção de eventos LOGbinder
IBM Informix exportar para syslog 654 EX 750
auditoria 548 Juniper Networks SRX Microsoft IIS
IBM iSeries 510 origem do log 653 origem do log 752, 753
IBM ISS Proventia 557 Juniper Networks vGW Virtual Protocolo IIS 751
IBM Lotus Domino 548 Gateway 663 Microsoft IIS Server
Serviços SNMP 548 Juniper Networks WLC Series 667 protocolo IIS 750
IBM Network Security (XGS) Juniper NSM 648 Microsoft Internet and Acceleration
Origem de log 587 Juniper Security Binary Log (ISA) 754
IBM Proventia Management Collector 655, 656 Microsoft Operations Manager
SiteProtector 554 Juniper Steel-Belted Radius 658 origem do log 760
IBM Proventia® Management syslog 660 Microsoft SharePoint 762
SiteProtector® 52 Juniper WLC eventos 763
IBM Security Access Manager for syslog 668 eventos de auditoria 763
Enterprise Single Sign-On 571 origem do log 765, 768
versão 8.1 ou 8.2 570 visualização do banco de dados 764
IBM Security Access Manager for
Mobile 572
K Microsoft System Center Operations
Manager 775
Kaspersky 669
IBM Security Directory Server 576 Módulo Relay LEEF DbProtect 176
Kaspersky Security Center 674
Origem de log 578 Motorola Symbol AP 793
visualização do banco de dados 678
IBM Security Identity Manager 580 Motorola SymbolAP 793
Kisco Information Systems
IBM Security Network Protection (XGS)
SafeNet/i 681
Alertas 586
LEEF 586
IBM Security Trusteer Apex Advanced
N
Malware Protection 591 L Niksun NetVCR 2005 809
Nokia Firewall 811
IBM SiteProtector Lastline Enterprise 685
OPSEC 813
Origem de log 554 Lieberman Random Password
OPSEC/LEA 813
IBM Tivoli Access Manager Manager 687
origem do log 812
e-business 602, 604 Linux 691
script customizado 812
IBM Tivoli Endpoint Manager 604 Linux DHCP 691
syslog 811
IBM WebSphere 605 Linux IPtables 691
Nominum Vantio 817
IBM WebSphere Application Server 604 Linux OS 693
Nortel Application Switch 821
Origem de log 606 syslog 694
Nortel Contivity 822
IBM zSecure Alert 613 LOGbinder 697
Nortel Ethernet Routing Switch
inclusão em massa 6, 91 logs de auditoria do Sun Solaris
2500/4500/5500 823
Infoblox NIOS 635 BSM 1032
Nortel Ethernet Routing Switch
interface com o usuário do Juniper WLC logs de auditoria Oracle 874
8300/8600 823
syslog 667 logs MSGTRK 746
Nortel Multiprotocol Router 819
Internet System Consortium (ISC)
Nortel Networks 819
Bind 615
Nortel Secure Network Access
IPtables 692, 811
ISC Bind 615
M Switch 826
McAfee 703 Nortel Secure Router 824
ISC BIND 616
McAfee Application/Change Nortel Switched Firewall
Itron Smart Meter
Control 703 OPSEC 827
Array Networks SSL VPN 641
McAfee Intrushield 715 syslog 827
McAfee Intrushield V2.x - V5.x 716 Nortel Switched Firewall 5100 826
McAfee Intrushield V6.x e V7.x 717 Nortel Switched Firewall 6000 828
J eventos de notificação de falha 718 Nortel Switched Firewalls
JDBC McAfee Network Security Platform 715 OPSEC 829
eventos Samhain 950 McAfee Network Security Platform V6.x syslog 828
Juniper DX Application Acceleration e V7.x 717 Nortel Threat Protection System 830
Platform 645 eventos de notificação de falha 718 Nortel VPN Gateway 831
Juniper EX Series Ethernet Switch 646, McAfee Web Gateway 720, 721 Notificações padrão 1084, 1085, 1086
647 eventos desconhecidos 724 Novell eDirectory 833
integração do DSM 720

Índice Remissivo 1169

O Protocolo de arquivo de log
ThreatGRID 1057
Servidor de autorizações genérico 473
Servidor Domino
objeto Media Manager 861 protocolo do VMware para servidores Tarefas de suplemento 549
Observe IT JDBC 837 ESX ou ESXi 1116 servidor syslog Venusense 1101
ObserveIT 837 protocolo EMC VMware 47 Servidores DHCP Linux
Open LDAP 849 protocolo Forwarded 48 origem do log 691
encaminhamento de eventos 852 Protocolo IBM BigFix 49 Servidores Symantec Encryption
origem do log 849 protocolo JDBC 49 Management 1047
syslog 851 protocolo JDBC SiteProtector 52 Servidores VMware ESX e ESXi 1114
Open Source SNORT 853 protocolo Juniper Networks NSM 54 SIFT-IT 185
syslog 854 protocolo Juniper Security Binary Log sistema operacional Red Hat Enterprise
OpenBSD 847 Collector 54 Linux v6 695
origem do log 847 protocolo Microsoft DHCP 58 sistemas Vormetric Data Security 1124
syslog 848 protocolo Microsoft Exchange 60 Sobre este guia xxi
Oracle 859 protocolo Microsoft IIS 62 SonicWAL
Oracle Acme protocolo Microsoft Security Event origem do log 983
tipos de eventos 859 Log 64 SonicWALL 983
Oracle Acme Packet SBC protocolo OPSEC/LEA 69 Sophos 985
origem do log 859 protocolo Oracle Database Listener 70 Sophos Astaro Security Gateway 996
SNMP para conversão de syslog 860 protocolo PCAP 652 Sophos Enterprise Console 985, 988
Oracle Acme Packet Session Border protocolo PCAP Syslog Combination 72 JDBC 988
Controller 859 protocolo Receptor de HTTP 48 Sophos PureMessage 991, 992
Oracle BEA WebLogic 865 protocolo SDEE 74 Microsoft Exchange 994
criação de log do aplicativo 866 protocolo SMB Tail 74 Sophos PureMessage for Linux 994
criação de log do domínio 866 protocolo SNMPv2 75, 76 Sophos Web Security Appliance 997
logs de eventos 865 Protocolo Sophos Enterprise Spam e Virus Firewall 207
origem do log 867 Console 985 Splunk 999
provedor de auditoria 866 protocolo Sophos Enterprise Console Squid Web Proxy 1003, 1004
Oracle Database Listener 879 JDBC 78 Starent Networks 1009
Oracle DB Listener 875 protocolo syslog de multilinhas TCP 80 STEALTHbits 943, 1013
Oracle Enterprise Manager 879 protocolo syslog multilinhas UDP 86 STEALTHbits StealthINTERCEPT 1013,
Oracle Fine Grained Auditing 881 protocolo Syslog Redirect 79 1014
Oracle OS Audit 884, 886 protocolo syslog TLS 84 origem do log 1013, 1015
ordem de análise sintática 7, 95 protocolo vCloud Director 90 Stonesoft Management Center 447, 448,
origem de log agileSI 638 Protocolo VMWare 1117 449
origem de log Mac OS X 171 permissões de conta somente Sun 1021
origem de log OPSEC 814 leitura 1117 Sun ONE LDAP
origem de log vCloud 1120 Proventia 554 origem do log 1025
origem de log Venusense 1102 Sun Solaris 1029
origem de log VMware vShield 1122 Sun Solaris Basic Security Mode
origem do log
status 5, 27 R (BSM) 1030
Sun Solaris BSM 1033
origens de log 25 Radware DefensePro 921, 923, 924
Sun Solaris DHCP 1027, 1028
OSSEC 887 Raz-Lee i Security 1068
Sun Solaris Sendmail 1029, 1030
syslog 887 origem do log 927
SunOne LDAP
Raz-Lee iSecurity 925, 1067
syslog 1026
Redback ASE 929
Suporte técnico do Forcepoint 457
P regra de resposta None Of SMTP 1041
Riverbed 933
Sybase ASE 1037
Par Nome-Valor 795 Symantec 1039
Riverbed SteelCentral NetProfiler 933,
Pigmento de Carbono Preto 257 Symantec Data Loss Prevention
935
Pirean Access: One 901 (DLP) 1040
RSA Authentication Manager 937
origem do log 901 Symantec Encryption Management
Linux 937
Ponto de verificação 275, 281 Server 1047
protocolo de arquivo de log 939
Incluir um host 276 Symantec Endpoint Protection 1045
syslog 937
Objeto de aplicativo OPSEC 276 Symantec SGS 1048
Windows 938
OPSEC 275, 279 Symantec System Center 1048
RSA Authentication Manager 6.x 939
OPSEC LEA 280 Symark PowerBroker 214
OPSEC/LEA 277 syslog IPtables
Origem de log 283, 284 origem do log 693
origem de log OPSEC 290 S Syslog-ng Agent 199, 201
SIC de origem de log 277 Samhain HIDS 949 syslog ThreatGRID 1056
PostFix Mail Transfer Agent 905 Samhain Labs 949
PostFix MTA Sentrigo Hedgehog 971
eventos syslog UDP multilinhas 907 serviço Lexicon mesh 488
Servidor Apache HTTP 167, 168, 170
T
origem do log 905 ThreatGRID Malware Threat
ProFTPd 909 syslog 167
Intelligence 1055
syslog-ng 169
tipos de evento vCloud 1119

1170 Guia de configuração do QRadar DSM

Tipping Point Intrusion Prevention
System 1061
Tipping Point para SMS 1061
Tipping Point x505
Tipping Point x506 1063
TippingPoint 1061
Tivoli Access Manager
Configurar e-business 603
Top Layer IPS 1065
Townsend Security LogAgent 1067
Trend Micro 1069
Trend Micro Control Manager 1069,
1070
Trend Micro InterScan VirusWall 1081
Trend Micro Office Scan 1082
Trend Micro Office Scan 10.x 1083
Trend Micro Office Scan 8.x 1082
Trend Micro OfficeScan XG 1085
Tripwire 1087
Tropos Control 1089
Trusteer Apex Local Event
Aggregator 598, 599

U
Universal
LEEF 1093
Universal DSM 1091

V
Venustech Venusense 1101
Verdasys Digital Guardian 1103, 1104,
1105
IPtables 1104
visão geral 25
visão geral da coleção de eventos de
terceiros 3
VMWare 1109
VMware ESX ou ESXi 1115
VMware vCenter 1118
VMWare vCenter 1118
VMware vCloud Director 1119
VMware vShield 1121, 1122
Vormetric Data Firewall 1124
Vormetric Data Security 1123, 1125

W
WebSphere
Logs da JVM 605

Z
Zscaler Nanolog Streaming Service 1133
Zscaler NSS 1133, 1134

Índice Remissivo 1171

1172 Guia de configuração do QRadar DSM
IBM®

Impresso no Brasil