IBM QRadar および HP ArcSight Syslog リダイレクトの有効化 - BlueCat Integrity - 9.5.0

管理ガイド

Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

BAM は、組織内の DNS および DHCP データを詳細に分析するために、BDDS Syslog による IBM® QRadar® および HP® ArcSight® SIEM 統合のサポートを提供します。

QRadar および ArcSight サーバへの BDDSの Syslog リダイレクトは、BAM ユーザ インターフェイスから有効にできます。

IBM QRadar および HP ArcSight への BDDSの Syslog リダイレクトを有効にするには:

  1. 構成ドロップダウン メニューから、構成の 1 つを選択します。
  2. [サーバ] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[構成情報] ページにいることを確認します。
  3. [サーバ] でサーバ名をクリックします。サーバの [詳細] タブが開きます。
  4. サーバ名メニューをクリックし、[サービス構成] を選択します。
  5. [サービス タイプ] ドロップダウン メニューから [Syslog] を選択します。BAM はサーバにクエリを実行して、サービス設定の現在の値を返します。
  6. [SIEM 設定] で以下のパラメータを設定します。
    • QRadar フォワーディングの有効化: このチェックボックスを選択して、QRadar サーバの IPv4 または IPv6 アドレスを入力します。
    • ArcSight フォワーディングの有効化: このチェックボックスを選択して、ArcSight サーバの IPv4 または IPv6 アドレスを入力します。
  7. [更新] をクリックします。
注: SIEM Syslog メッセージ
IBM QRadar および HP ArcSight サーバに送信されるログには次の内容が含まれます。
  • DNS クエリ (querylogging)
  • DNS レコード変更
  • DNS_updates としてフォワードされている DDNS アップデート
  • DHCP ログ: 次の DHCP パケット タイプのログ:Discover、Offer、Request、Acknowledgement、Negative Acknowledgement、Decline、Inform、Release
DNS/DHCP サーバによって作成される Syslog メッセージの例については、次を参照してください。
  • IBM QRadar LEEF 形式: BlueCat カスタマー ケアのナレッジベースの記事 7754
  • HP ArcSight CEF 形式: BlueCat カスタマー ケアのナレッジベースの記事 7753