標準的な連携スキームについて(QRadar)
2024年4月11日
ID 173820
このセクションでは、QRadar と Kaspersky CyberTrace の標準的な連携スキームについて説明します。
標準的な連携スキームを適切に機能させるには、アップデート DSM-KasperskyCyberTrace-%version%-20180802144954.noarch.rpm をインストールする必要があります。%version%
は QRadar のバージョンです。通常、これらのアップデートは自動更新プロセスの一部として届きますが、IBM Fix Central にアクセスして手動でダウンロードすることもできます。
標準的な連携スキームのコンポーネントについて
以下のコンポーネントが QRadar 向けの標準的な連携スキームで使用されます:
- Kaspersky CyberTrace サービス
このサービスは QRadar イベントを Kaspersky Threat Data Feeds と照合します。
- QRadar
この連携で使用される SIEM ソリューション。
- セキュリティコントロール
QRadar には、ファイアウォール、プロキシ、侵入検知システム、その他のネットワークデバイスなど、様々なイベントのソースがあります。
セキュリティコントロールは、QRadar がサポートする任意の方法を使用して、イベントを QRadar に送信できます。
標準的な連携スキーム
標準的な連携スキームでは、Kaspersky CyberTrace サービスは QRadar からの受信イベントを 0.0.0.0:9999
(すべてのインターフェイス)でリッスンするように既定で構成されています。
Kaspersky CyberTrace サービスは、QRadar 構成で定義されたインターフェイスのポート 514 に検知イベントを送信します。このインターフェイスのアドレスは、Kaspersky CyberTrace のインストール時に指定されます。
セキュリティコントロールは、Syslog、JDBC、OPSEC、ファイル、または SNMP など、QRadar でサポートされているすべての形式でイベントを QRadar に送信できます。
QRadar 向けの標準的な連携スキーム