IBM QRadar
Integration mit IBM QRadar
Das IBM® QRadar® Security Information and Event Management (SIEM) hilft Sicherheitsteams, Bedrohungen im gesamten Unternehmen genau zu erkennen und zu priorisieren, und es bietet intelligente Einblicke, die es den Teams ermöglichen, schnell zu reagieren, um die Auswirkungen von Vorfällen zu verringern. Durch die Konsolidierung von Protokollereignissen und Netzwerkflussdaten von Tausenden von Geräten, Endpunkten und Anwendungen, die in Ihrem Netzwerk verteilt sind, korreliert QRadar all diese unterschiedlichen Informationen und aggregiert verwandte Ereignisse in einzelnen Warnmeldungen, um die Analyse und Behebung von Vorfällen zu beschleunigen. QRadar SIEM ist sowohl lokal als auch in einer Cloud-Umgebung verfügbar.
SUSE® Security ist eine vollständige Lebenszyklus-Container-Sicherheitsplattform, die die QRadar-Integration vollständig unterstützt. Diese Integration ermöglicht es QRadar, Ereignisse, Protokolle und Vorfallinformationen für Container- und Kubernetes-Umgebungen zu sammeln. Durch die Verwendung von SUSE® Security’s DSM für QRadar können Kunden die SUSE® Security Sicherheitsprotokolldaten in QRadar normalisieren und dann Sicherheitsereignisse von Containern analysieren, berichten oder beheben.
IBM QRadar und SUSE® Security DSM
Das SUSE® Security DSM zur Integration mit IBM QRadar ist veröffentlicht und von IBM auf der IBM X-Force / App Exchange-Website validiert. Es ist zum Download verfügbar hier von der App Exchange-Website.
Es ist auch von dieser Seite hier zum Download verfügbar.
Wie man SUSE® Security mit QRadar integriert
Bevor Sie das SUSE® Security DSM in QRadar importieren, empfehlen wir, diese QRadar-Konfigurationen zu überprüfen/zu ändern, um sicherzustellen, dass alles wie erwartet funktioniert:
-
IBM QRadar Version 7.3.1 und höher
-
Konfigurieren Sie QRadar “System Settings”, um sicherzustellen, dass die Syslog-Payload-Länge groß genug ist, zum Beispiel:
Konfigurieren Sie SUSE® Security, um Syslog an QRadar zu senden.
Aktivieren Sie die Syslog-Konfiguration in den Einstellungen → Konfiguration. Die Server-IP/URL und der Port sollten auf die QRadar-Dienst-IP und den Port zeigen, und der Standard-Syslog-Port ist 514. Verwenden Sie das UDP-Protokoll und “In Json” Protokollformat. Wählen Sie die Protokollebene und die Kategorien aus, die gemeldet werden sollen. In einer Multi-Cluster SUSE® Security Umgebung muss diese Einstellung in jedem Cluster aktiviert werden, um alle Cluster-Protokolle zu sammeln. Sie können den Clusternamen auf dieser Seite konfigurieren, um Clusterereignisse voneinander zu unterscheiden.
Konfigurieren Sie QRadar zur Analyse von SUSE® Security Protokollen.
-
Aktivieren oder importieren Sie das SUSE® Security DSM in QRadar. Wenn Sie eine neue QRadar-Protokollquelle hinzufügen und “SUSE® Security” im QRadar-Protokollquellentyp erscheint, ignorieren Sie bitte die Anweisungen zum Importieren der Protokollquelle unten und fahren Sie mit dem nächsten Schritt “Add and enable log sources for SUSE® Security” fort.
Wenn der Protokollquellentyp “SUSE® Security” in QRadar nicht gefunden wurde, konsultieren Sie bitte das QRadar-Benutzerhandbuch, um das SUSE® Security DSM über Admin > Erweiterungsmanagement zu installieren.
-
Fügen Sie Protokollquellen für SUSE® Security hinzu und aktivieren Sie sie.
Jetzt können wir eine neue Protokollquelle für SUSE® Security Protokolle hinzufügen:
“Log Source Identifier” sollte der Pod-Name des Hauptcontrollers sein. Der Pod-Name des Hauptcontrollers von SUSE® Security kann in den Rohprotokolldaten von QRadar oder aus der Verwaltungskonsole von SUSE® Security “Assets\Controllers” wie folgt gefunden werden:
Mehrere Protokollquellen sollten hinzugefügt werden, wenn mehrere SUSE® Security Cluster laufen. SUSE® Security Protokollquelle wurde hinzugefügt und aktiviert:
Überprüfen Sie die Protokollaktivitäten.
Generieren Sie einige SUSE® Security Protokolle, zum Beispiel Netzwerk-Richtlinienverletzungen, Konfigurationsänderungsereignisse oder führen Sie einige Schwachstellenscans auf Containern/Knoten durch. Diese Vorfall- oder Ereignisprotokolle werden in Sekunden an QRadar gesendet. Und die SUSE® Security Protokolle sollten in der QRadar-Konsole normalisiert werden. Es kann auch über den DSM-Editor von QRadar überprüft werden:
Integrationsübersicht.
Mit der abgeschlossenen Integration können SUSE® Security Sicherheits- und Verwaltungsereignisse zusammen mit Ereignisdaten aus anderen Quellen über QRadar verwaltet werden. QRadar dient als permanente Ereignisspeicherung für SUSE® Security Ereignisse, während der SUSE® Security Controller Echtzeitsicherheitsreaktionen und kurzfristige Cluster-Speicherung für Ereignisse durchführt. QRadar kann fortgeschrittene Korrelation und Alarmierung für kritische Sicherheitsereignisse von Containern und Kubernetes durchführen.