IBM QRadar
Integración con IBM Qradar
El IBM® QRadar® Security Information and Event Management (SIEM) ayuda a los equipos de seguridad a detectar y priorizar amenazas de manera precisa en toda la empresa, y proporciona información inteligente que permite a los equipos responder rápidamente para reducir el impacto de los incidentes. Al consolidar eventos de registro y datos de flujo de red de miles de dispositivos, puntos finales y aplicaciones distribuidas a lo largo de su red, QRadar correlaciona toda esta información diferente y agrega eventos relacionados en alertas únicas para acelerar el análisis y la remediación de incidentes. QRadar SIEM está disponible in situ y en un entorno en la nube.
SUSE® Security es una plataforma de seguridad de contenedores de ciclo de vida completo que admite completamente la integración con QRadar. Esta integración permite que QRadar pueda recopilar eventos, registros e información de incidentes para entornos de contenedores y Kubernetes. Al utilizar el DSM de SUSE® Security para QRadar, los clientes podrán normalizar los datos de registro de seguridad SUSE® Security en QRadar, luego analizar, informar o remediar eventos de seguridad de contenedores.
IBM QRadar y SUSE® Security DSM
El DSM de SUSE® Security para integrar con IBM QRadar está publicado y validado por IBM en el sitio web de IBM X-Force / App Exchange. Está disponible para descargar aquí desde el sitio web de App Exchange.
También está disponible para descargar desde este sitio aquí
Instrucciones para integrar SUSE® Security con QRadar
Antes de importar el DSM de SUSE® Security en QRadar, recomendamos que verifiques/modifiques estas configuraciones de QRadar para asegurarte de que todo funcione como se espera:
-
IBM QRadar versión 7.3.1 y posteriores
-
Configura QRadar “System Settings” para asegurarte de que la longitud de carga útil de Syslog sea lo suficientemente grande, por ejemplo:
Configura SUSE® Security para enviar Syslog a QRadar
Habilita la configuración de Syslog en la Configuración →. La IP/URL del servidor y el puerto deben apuntar a la IP y puerto del servicio QRadar, y el puerto Syslog por defecto será el 514. Utiliza el protocolo UDP y el formato de registro “In Json”. Selecciona el nivel de registro y las categorías a informar. En un entorno de clúster múltiple SUSE® Security, para recopilar los registros de todos los clústeres, esta configuración debe habilitarse en cada clúster. Puedes configurar el nombre del clúster en esta página para distinguir los eventos del clúster entre sí.
Configura QRadar para analizar los registros SUSE® Security
-
Habilita o importa el DSM SUSE® Security a QRadar. Al añadir una nueva fuente de registro QRadar, si “SUSE® Security” aparece en el tipo de fuente de registro QRadar, por favor ignora las instrucciones de importación de la fuente de registro a continuación y pasa al siguiente paso “Add and enable log sources for SUSE® Security”.
Si el tipo de fuente de registro “SUSE® Security” no se encontró en QRadar, por favor consulta el manual del usuario de QRadar para instalar el DSM SUSE® Security a través de Admin > Gestión de extensiones.
-
Añade y habilita fuentes de registro para SUSE® Security.
Ahora podemos añadir una nueva fuente de registro para los registros SUSE® Security:
“Log Source Identifier” debe ser el nombre del pod del controlador principal. El nombre del pod del controlador principal de SUSE® Security se puede encontrar en los datos de registro en bruto de QRadar o desde la consola de gestión de SUSE® Security “Assets\Controllers” como se muestra a continuación:
Se deben añadir múltiples fuentes de registro si hay múltiples clústeres SUSE® Security en funcionamiento. Se han añadido y habilitado las fuentes de registro SUSE® Security:
Verifica las actividades de registro.
Genera algunos registros SUSE® Security, por ejemplo, violaciones de políticas de red, eventos de cambio de configuración o realiza algunos escaneos de vulnerabilidades en contenedores/nodos. Estos registros de incidentes o eventos se enviarán a QRadar en segundos. Y los registros SUSE® Security deben ser normalizados en la consola de QRadar. También se puede verificar a través del editor DSM de QRadar:
Resumen de integración.
Con la integración completada, los eventos de seguridad y gestión SUSE® Security pueden ser gestionados a través de QRadar junto con los datos de eventos de otras fuentes. QRadar sirve como el almacenamiento permanente de eventos para SUSE® Security eventos, mientras que el controlador SUSE® Security realiza respuestas de seguridad en tiempo real y almacenamiento a corto plazo en clúster para eventos. QRadar puede realizar correlación avanzada y alertas para eventos de seguridad críticos de contenedores y Kubernetes.