IBM QRadar
IBM QRadarとの統合
IBM® QRadar® セキュリティ情報およびイベント管理 (SIEM) は、セキュリティチームが企業全体で脅威を正確に検出し、優先順位を付けるのを支援し、インシデントの影響を軽減するために迅速に対応できるようにするインテリジェントな洞察を提供します。QRadarは、ネットワーク全体に分散された数千のデバイス、エンドポイント、アプリケーションからのログイベントとネットワークフローデータを統合することで、これらの異なる情報を相関させ、関連するイベントを単一のアラートに集約し、インシデントの分析および対応を迅速化します。QRadar SIEMは、オンプレミスおよびクラウド環境で利用可能です。
SUSE® Securityは、QRadar統合を完全にサポートするライフサイクル全体をカバーするコンテナセキュリティプラットフォームです。この統合により、QRadarはコンテナおよびKubernetes環境のイベント、ログ、インシデント情報を収集できるようになります。SUSE® SecurityのQRadar用DSMを使用することで、顧客はQRadar内でSUSE® Securityのセキュリティログデータを正規化し、その後、コンテナセキュリティイベントを分析、報告、または対応できるようになります。
IBM QRadarとSUSE® Security DSM
IBM QRadarとの統合のためのSUSE® Security DSMは、IBM X-Force / App Exchangeウェブサイトで公開され、IBMによって検証されています。App Exchangeウェブサイトから こちらでダウンロード可能です。
このサイトからもこちらでダウンロード可能です。
SUSE® SecurityをQRadarと統合する方法
SUSE® Security DSMをQRadarにインポートする前に、すべてが期待通りに動作することを確認するため、これらのQRadar設定を確認または変更することをお勧めします:
-
IBM QRadarバージョン7.3.1以降
-
Syslogペイロードの長さが十分であることを確認するために、QRadar "`System Settings`"を構成します。
SUSE® SecurityをQRadarにSyslogを送信するように構成します。
「設定」セクションの→構成で、Syslog設定を有効にします。サーバーのIP/URLとポートはQRadarサービスのIPとポートを指す必要があり、デフォルトのSyslogポートは514になります。UDPプロトコルと"`In Json`"ログフォーマットを使用してください。報告するログレベルとカテゴリを選択してください。マルチクラスターSUSE® Security環境では、すべてのクラスターのログを収集するために、この設定を各クラスターで有効にする必要があります。このページでクラスター名を設定して、クラスターイベントを区別できます。
QRadarを設定してSUSE® Securityログを分析します。
-
SUSE® Security DSMをQRadarに有効化またはインポートします。新しいQRadarログソースを追加する際に、QRadarログソースタイプに"`SUSE® Security`"が表示された場合は、以下のログソースインポート手順を無視し、次のステップ"`Add and enable log sources for SUSE® Security`"を進めてください。
QRadarで"`SUSE® Security`"ログソースタイプが見つからなかった場合は、QRadarユーザーマニュアルを参照して、Admin > 拡張管理からSUSE® Security DSMをインストールしてください。
-
SUSE® Securityのためにログソースを追加して有効にします。
これでSUSE® Securityログの新しいログソースを追加できます:
"`Log Source Identifier`"はリードコントローラーのポッド名である必要があります。SUSE® Securityのリードコントローラーのポッド名は、QRadarの生ログデータまたはSUSE® Securityの管理コンソール"`Assets\Controllers`"から以下のように見つけることができます:
複数のSUSE® Securityクラスターが稼働している場合は、複数のログソースを追加する必要があります。SUSE® Securityログソースが追加されて有効になっています:
