将 OpManager 与 IBM QRadar 集成
OpManager 可与 IBM QRadar 集成。IBM QRadar 是一款 SIEM 平台,可对网络事件和安全日志进行详细分析。通过此集成,你可以通过 UDP 协议/系统日志(syslog)将事件从 OpManager 实时转发到 QRadar,以加强威胁检测、改进对潜在威胁的事件响应并减少停机时间。
IBM QRadar 配置
OpManager 配置
IBM QRadar 配置
在 IBM 中的配置步骤
- 进入 Log Sources(日志来源),点击 New Log Sources,并根据系统日志是来自单一还是多个来源,选择 Single 或 Multiple Log Sources。
- 将 Log Source Type 设置为 Universal DSM。
- 选择 Protocol Type 为 Syslog。
- 可以通过填写名称、描述及其他字段来配置日志来源。这些字段为可选项。
- 通过指定 OpManager 服务器主机来配置协议参数。选择 “Multi Source” 可添加多个 IP 或主机名。
- 点击 Finish,并在 Admin 下部署所应用的更改。
- 部署完成后,即可通过 OpManager 界面继续进行后续配置。
OpManager 配置
配置审计日志和访问日志
- 进入 Settings → General Settings → Integrations → SIEM (UDP/Syslog) - Configuration。
- 将 SIEM Application Name 填写为 “IBM QRadar”。
- 指定托管 IBM QRadar 的机器的 IP 地址。
- 将 端口号 填写为 514(IBM QRadar 的默认 syslog 端口)。
- 选择 Send Access logs 或在下拉列表中选择 Audit modules。也可以根据需求同时选择二者。
- 点击 Save。
关联通知配置文件
按照以下步骤为 IBM QRadar 配置通知配置文件:
- 进入 Settings → Notification Profile 并点击 Add。
- 选择 SIEM,然后选择 SIEM (UDP/Syslog)。
- 输入所需参数,包括 Format、Severity、Facility、Description 以及相关 Variables。
- 如有需要,启用结构化消息(structured message),并在必填字段中提供相关输入。
- 点击 Test Action 以验证配置文件设置。
验证集成
完成集成后,IBM QRadar 将接收来自 OpManager 的事件。
感谢您的反馈!