IBM QRadar
Integração com o IBM QRadar
O IBM® QRadar® Security Information and Event Management (SIEM) ajuda as equipes de segurança a detectar e priorizar ameaças com precisão em toda a empresa, e fornece insights inteligentes que permitem que as equipes respondam rapidamente para reduzir o impacto dos incidentes. Ao consolidar eventos de log e dados de fluxo de rede de milhares de dispositivos, pontos finais e aplicativos distribuídos em sua rede, o QRadar correlaciona todas essas informações diferentes e agrega eventos relacionados em alertas únicos para acelerar a análise e a remediação de incidentes. O QRadar SIEM está disponível no local e em um ambiente de nuvem.
SUSE® Security é uma plataforma de segurança de contêiner com ciclo de vida completo que suporta totalmente a integração com o QRadar. Essa integração permite que o QRadar colete eventos, logs e informações de incidentes para ambientes de contêiner e Kubernetes. Ao usar o DSM do SUSE® Security para o QRadar, os clientes poderão normalizar os dados de log de segurança SUSE® Security no QRadar, e então analisar, relatar ou remediar eventos de segurança de contêiner.
IBM QRadar e SUSE® Security DSM
O SUSE® Security DSM para integração com o IBM QRadar está publicado e validado pela IBM no site IBM X-Force / App Exchange. Está disponível para download aqui no site App Exchange.
Também está disponível para download neste site aqui
Como integrar SUSE® Security com o QRadar
Antes de importar o DSM SUSE® Security para o QRadar, recomendamos que você verifique/modifique essas configurações do QRadar para garantir que tudo funcionará como esperado:
-
IBM QRadar versão 7.3.1 e posterior
-
Configure o QRadar “System Settings” para garantir que o comprimento do payload Syslog seja grande o suficiente, por exemplo:
Configure SUSE® Security para enviar Syslog para o QRadar
Ative a configuração do Syslog nas Configurações → Configuração. O IP/URL do Servidor e a porta devem apontar para o IP e a Porta do serviço QRadar, e a porta padrão do Syslog será 514. Use o protocolo UDP e o formato de log “In Json”. Selecione o nível de log e as categorias a serem relatadas. Em um ambiente de SUSE® Security multi-cluster, para coletar os logs de todos os clusters, essa configuração precisa ser ativada em cada cluster. Você pode configurar o nome do cluster nesta página para distinguir os eventos do cluster uns dos outros.
Configure o QRadar para analisar os logs de SUSE® Security
-
Ative ou importe o DSM SUSE® Security para o QRadar. Ao adicionar uma nova fonte de log do QRadar, se “SUSE® Security” aparecer no tipo de fonte de log do QRadar, por favor, ignore as instruções de importação da fonte de log abaixo e siga para o próximo passo “Add and enable log sources for SUSE® Security”.
Se o tipo de fonte de log “SUSE® Security” não foi encontrado no QRadar, consulte o manual do usuário do QRadar para instalar o DSM SUSE® Security via Admin > Gerenciamento de Extensão.
-
Adicione e ative fontes de log para SUSE® Security
Agora podemos adicionar uma nova fonte de log para os logs de SUSE® Security:
“Log Source Identifier” deve ser o nome do pod do controlador principal. O nome do pod do controlador principal de SUSE® Security pode ser encontrado nos dados de log brutos do QRadar ou no console de gerenciamento de SUSE® Security “Assets\Controllers” como abaixo:
Múltiplas fontes de log devem ser adicionadas se houver múltiplos clusters de SUSE® Security em execução. A fonte de log SUSE® Security foi adicionada e ativada:
Verifique as Atividades de Log
Gere alguns logs de SUSE® Security, por exemplo, violações de política de rede, eventos de alteração de configuração ou faça algumas varreduras de vulnerabilidade em contêineres/nós. Esses logs de incidente ou evento serão enviados ao QRadar em segundos. E os logs de SUSE® Security devem ser normalizados no console do QRadar. Isso também pode ser verificado através do editor DSM do QRadar:
Resumo da Integração
Com a integração concluída, os eventos de segurança e gerenciamento SUSE® Security podem ser gerenciados através do QRadar junto com os dados de eventos de outras fontes. O QRadar serve como o armazenamento permanente de eventos SUSE® Security, enquanto o controlador SUSE® Security realiza respostas de segurança em tempo real e armazenamento de curto prazo para eventos. O QRadar pode realizar correlação avançada e alertas para eventos críticos de segurança de contêineres e Kubernetes.