IBM QRadar

Le DSM SUSE® Security pour l’intégration avec IBM QRadar est publié et validé par IBM sur le site Web IBM X-Force / App Exchange. Il est disponible en téléchargement ici depuis le site Web App Exchange.

Il est également disponible en téléchargement depuis ce site ici

Avant d’importer le DSM SUSE® Security dans QRadar, nous vous recommandons de vérifier/modifier ces configurations QRadar pour vous assurer que tout fonctionnera comme prévu :

Activez la configuration Syslog dans les paramètres → Configuration. L’adresse IP/URL du serveur et le port doivent pointer vers l’adresse IP et le port du service QRadar, et le port Syslog par défaut sera 514. Utilisez le protocole UDP et le format de journal “In Json”. Sélectionnez le niveau de journal et les catégories à signaler. Dans un environnement multi-cluster SUSE® Security, pour collecter les journaux de tous les clusters, ce paramètre doit être activé dans chaque cluster. Vous pouvez configurer le nom du cluster sur cette page pour distinguer les événements des clusters les uns des autres.

Si le type de source de journal “SUSE® Security” n’a pas été trouvé dans QRadar, veuillez vous référer au manuel de l’utilisateur QRadar pour installer le DSM SUSE® Security via Admin > Gestion des extensions.

Nous pouvons maintenant ajouter une nouvelle source de journal pour les journaux SUSE® Security :

“Log Source Identifier” doit être le nom du pod du contrôleur principal. Le nom du pod du contrôleur principal de SUSE® Security peut être trouvé dans les données de journal brutes de QRadar ou dans la console de gestion de SUSE® Security “Assets\Controllers” comme ci-dessous :

Plusieurs sources de journal doivent être ajoutées s’il y a plusieurs clusters SUSE® Security en cours d’exécution. La source de journal SUSE® Security est ajoutée et activée :

Générez quelques journaux SUSE® Security, par exemple des violations de stratégie réseau, des événements de changement de configuration ou effectuez des analyses de vulnérabilité sur des conteneurs/nœuds. Ces journaux d’incidents ou d’événements seront envoyés à QRadar en quelques secondes. Et les journaux SUSE® Security devraient être normalisés dans la console QRadar. Cela peut également être vérifié via l’éditeur DSM de QRadar :

Avec l’intégration terminée, les événements de sécurité et de gestion SUSE® Security peuvent être gérés via QRadar avec les données d’événements d’autres sources. QRadar sert de stockage permanent des événements pour SUSE® Security événements, tandis que le contrôleur SUSE® Security effectue des réponses de sécurité en temps réel et un stockage de cluster à court terme pour les événements. QRadar peut effectuer une corrélation avancée et des alertes pour des événements de sécurité critiques liés aux conteneurs et à Kubernetes.