О стандартной схеме интеграции (QRadar)

В этом разделе описывается стандартная схема интеграции QRadar и Kaspersky CyberTrace.

Для корректной работы стандартной схемы интеграции необходимо установить обновление DSM-KasperskyCyberTrace-%version%-20180802144954.noarch.rpm, где %version% соответствует версии QRadar. Обычно эти обновления поставляются в процессе автоматического обновления, но вы также можете загрузить их вручную с сайта IBM Fix Central.

О компонентах стандартной схемы интеграции

В стандартной схеме интеграции QRadar используются следующие компоненты:

• Kaspersky CyberTrace Service

  Этот сервис сопоставляет события QRadar с потоками данных об угрозах Kaspersky Threat Data Feeds.

• QRadar

  SIEM-решение, используемое в этой интеграции.

• Средства контроля безопасности

  Это источники событий для QRadar, такие как межсетевые экраны, прокси-серверы, системы обнаружения вторжений и другие сетевые устройства.

  Средства контроля безопасности могут отправлять события в QRadar любым способом, поддерживаемым QRadar.

Стандартная схема интеграции

В стандартной схеме интеграции Kaspersky CyberTrace Service по умолчанию настраивается на прослушивание адреса 0.0.0.0:9999 (все интерфейсы) для получения входящих событий от QRadar.

Kaspersky CyberTrace Service отправляет события обнаруженных киберугроз на порт 514 интерфейса, определенного в конфигурации QRadar. Адрес этого интерфейса указывается при установке Kaspersky CyberTrace.

Средства контроля безопасности могут отправлять события в QRadar в любом формате, поддерживаемом QRadar, например, Syslog, JDBC, OPSEC, File или SNMP.

Стандартная схема интеграции для QRadar

В начало