QRadar への結果の送信

IBM QRadarは、エンタープライズセキュリティ情報およびイベント管理(SIEM)システムです。企業、ネットワークデバイス、ホストアセットとオペレーティングシステム、アプリケーション、脆弱性、およびユーザアクティビティと動作からログデータを収集します。

QRadar の設定

1. IBM App Exchangeから、QRadarコンソールまたはアプリホストにDome9 QRadarアプリケーションをダウンロードしてインストールします。

   

2. QRadar 管理コンソールで、Dome9 アプリケーションへのアクセスのみを指定する新しいQRadar ロールを作成します。

   

3. 前の手順で作成したロールを使用する新しいQRadar 認定サービスを作成します。将来使用するために認証トークンをコピーします。

   

4. System Settings の下のAdvanced メニューで、Max TCP Syslog Payload Length の値を16,384 に設定します。

   必要に応じて、変更を展開します。

   

5. Dome9 Settings を使用して新しい統合を作成します。

   • 将来使用するために、Notifications HTTP Endpoint 値をコピーします。

   • (オプション) インテグレーションのCloudGuard API 認証情報を指定します。これらの認証情報を使用すると、QRadar で結果を確認したり、除外を直接作成したりできます。

   

CloudGuardの設定

1. CloudGuard で、Settings > Notifications に移動し、Add Notification をクリックします。

2. 通知で説明されているように、関連するオプションを入力します。

3. Immediate Notificationセクションで、Send to HTTP Endpointを選択します。エンドポイントパラメータのセクションが開きます。

   
   

4. エンドポイントパラメータを設定します。

   • Endpoint URL でQRadar を選択し、QRadar 設定の手順5 でコピーしたエンドポイント値を貼り付けます。

   • QRadar 設定の手順3 で作成したAuthentication Token 値をパスワードとして入力します。

   • Test ボタンをクリックして、統合接続を確認します。正しい場合は、Webフックテストが成功したことを示すメッセージが表示されます。

     

5. SAVEをクリックします。

統合のテスト

1. QRadar で、Dome9 通知がQRadar イベントデータベースに表示されることを確認します。

   

2. カスタムプロパティがサンプルイベントで想定どおりに入力されていることを確認します。

   

3. Dome9 QRadarアプリケーションで提供されるビューアでイベントを参照します。