Utiliser QRadar avec le DSM SNS

  1. Connectez-vous à votre console IBM QRadar.
  2. Dans le menu Log Activity, cliquez sur New Search.
  3. Remplissez les différents champs du formulaire de recherche :
  • Champ Parameter : sélectionnez Log Source Type,
  • Champ Operator : sélectionnez Equals,
  • Champ Value : sélectionnez Stormshield Network Security.
  1. Validez en cliquant sur Add Filter.
  2. Cliquez sur Search.
    Les logs Stormshield s'affichent dans la grille.

NOTE
La version 1.0.0 du DSM SNS présente deux limitations :

  • Les valeurs IPv6 ne sont pas prises en compte.
  • Seuls les champs standards QRadar sont utilisés : les propriétés personnalisées destinées à filtrer selon des valeurs spécifiques au constructeur ne sont pas disponibles.


Les propriétés standard QRadar alimentées par le DSM Stormshield sont les suivantes :

  • DestinationIp,
  • DestinationMAC,
  • DestinationPort,
  • DestinationIpPreNAT,
  • DestinationPortPreNAT,
  • DeviceTime,
  • EventCategory,
  • Protocol,
  • SourceIp,
  • SourceMAC,
  • SourcePort,
  • SourceIpPostNAT,
  • SourcePortPostNAT,
  • UserName.


Les événements suivants sont catégorisés dans QRadar :

  • Connections Pass or Block,
    • Firewall and proxies,
    • Filtering policy,
    • Alarms (IPS Permit or Deny).
  • Proxies,
    • Virus detection,
    • Sandboxing detection.
  • Authentication errors,
  • System events.

Support

Si vous rencontrez des difficultés lors de l'installation ou de l'utilisation du DSM Stormshield Network Security sur la plate-forme IBM QRadar, nous vous invitons à vous rapprocher du support technique Stormshield.