Utiliser QRadar avec le DSM SNS
- Connectez-vous à votre console IBM QRadar.
- Dans le menu Log Activity, cliquez sur New Search.
- Remplissez les différents champs du formulaire de recherche :
- Champ Parameter : sélectionnez Log Source Type,
- Champ Operator : sélectionnez Equals,
- Champ Value : sélectionnez Stormshield Network Security.
- Validez en cliquant sur Add Filter.
- Cliquez sur Search.
Les logs Stormshield s'affichent dans la grille.
NOTE
La version 1.0.0 du DSM SNS présente deux limitations :
La version 1.0.0 du DSM SNS présente deux limitations :
- Les valeurs IPv6 ne sont pas prises en compte.
- Seuls les champs standards QRadar sont utilisés : les propriétés personnalisées destinées à filtrer selon des valeurs spécifiques au constructeur ne sont pas disponibles.
Les propriétés standard QRadar alimentées par le DSM Stormshield sont les suivantes :
- DestinationIp,
- DestinationMAC,
- DestinationPort,
- DestinationIpPreNAT,
- DestinationPortPreNAT,
- DeviceTime,
- EventCategory,
- Protocol,
- SourceIp,
- SourceMAC,
- SourcePort,
- SourceIpPostNAT,
- SourcePortPostNAT,
- UserName.
Les événements suivants sont catégorisés dans QRadar :
- Connections Pass or Block,
- Firewall and proxies,
- Filtering policy,
- Alarms (IPS Permit or Deny).
- Proxies,
- Virus detection,
- Sandboxing detection.
- Authentication errors,
- System events.
Support
Si vous rencontrez des difficultés lors de l'installation ou de l'utilisation du DSM Stormshield Network Security sur la plate-forme IBM QRadar, nous vous invitons à vous rapprocher du support technique Stormshield.