启用 IBM QRadar 和 HP ArcSight syslog 重定向 - BlueCat Integrity - 9.5.0

管理指南
Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

BAM 通过 BDDS syslog 提供对 IBM® QRadar® 和HP® ArcSight® SIEM 集成的支持,以提供更多 DNS 和 DHCP 分析组织内的数据。

可以从 BAM 用户界面启用 BDDS上的 syslog 重定向到 IBM QRadar 和 HP ArcSight 服务器。

要在 BDDS上启用 syslog 重定向到 IBM QRadar 和 HP ArcSight:

  1. 从配置下拉菜单中,选择配置
  2. 选择服务器选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在配置信息页面上。
  3. 服务器下,单击服务器名称。将打开服务器的详情选项卡。
  4. 单击服务器名称菜单,然后选择服务配置
  5. 服务类型下拉菜单中,选择 SyslogBAM 查询服务器并返回服务设置的当前值。
  6. SIEM 设置下,设置以下参数:
    • 启用 QRadar 转发 — 选中该复选框,然后输入 QRadar 服务器的IPv4 或 IPv6 地址
    • 启用 ArcSight 转发 — 选中该复选框,然后输入 ArcSight 服务器的IPv4 或 IPv6 地址
  7. 单击更新
注: SIEM syslog 消息
发送到 IBM QRadar 和 HP ArcSight 服务器的日志包含以下内容:
  • DNS 查询 (querylogging)
  • DNS 记录更改
  • DDNS 更新作为 DNS_updates 转发
  • DHCP 日志 — 记录以下 DHCP 数据包类型:发现、提供、请求、确认、否定应答、拒绝、通知和发布
有关 DNS/DHCP 服务器 生成的 syslog 消息的示例,请参阅以下内容:
  • IBM QRadar LEEF 格式 — BlueCat 客户服务中心的知识库文章 7754
  • HP ArcSight CEF 格式 — BlueCat 客户服务中心的知识库文章 7753