В этом разделе описывается стандартная схема интеграции QRadar и Kaspersky CyberTrace.
Для корректной работы стандартной схемы интеграции необходимо установить обновление DSM-KasperskyCyberTrace-%version%-20180802144954.noarch.rpm, где %version%
соответствует версии QRadar. Обычно эти обновления поставляются в процессе автоматического обновления, но вы также можете загрузить их вручную с сайта IBM Fix Central.
О компонентах стандартной схемы интеграции
В стандартной схеме интеграции QRadar используются следующие компоненты:
Этот сервис сопоставляет события QRadar с потоками данных об угрозах Kaspersky Threat Data Feeds.
SIEM-решение, используемое в этой интеграции.
Это источники событий для QRadar, такие как межсетевые экраны, прокси-серверы, системы обнаружения вторжений и другие сетевые устройства.
Средства контроля безопасности могут отправлять события в QRadar любым способом, поддерживаемым QRadar.
Стандартная схема интеграции
В стандартной схеме интеграции Kaspersky CyberTrace Service по умолчанию настраивается на прослушивание адреса 0.0.0.0:9999
(все интерфейсы) для получения входящих событий от QRadar.
Kaspersky CyberTrace Service отправляет события обнаруженных киберугроз на порт 514 интерфейса, определенного в конфигурации QRadar. Адрес этого интерфейса указывается при установке Kaspersky CyberTrace.
Средства контроля безопасности могут отправлять события в QRadar в любом формате, поддерживаемом QRadar, например, Syslog, JDBC, OPSEC, File или SNMP.
Стандартная схема интеграции для QRadar
В начало