在 IBM Qradar 中儲存的 Jamf Security Cloud CEF 記錄擴充
超級管理員可在 Jamf Security Cloud 中存取您的組織以擷取 AWS S3 貯體的認證
- 在 Qradar 中,選取 Admin (管理員) 索引標籤的 Data Sources (資料源) 區段下方的 Log Sources (記錄源)。
- 按一下 Add (新增) 以新增 Jamf Security Cloud 記錄源配置。
- 針對 Jamf Security Cloud 記錄源輸入下列值:
記錄檔來源名稱
WanderaSIEM
記錄源類型
通用 CEF
通訊協定配置
記錄檔
記錄源識別碼
wandera
服務類型
AWS 貯體名稱。在Jamf Security Cloud中,前往Integrations(整合) > Data Streams(資料串流),選取Threat Events Stream(威脅事件串流),然後按一下串流目標區域中的AWS S3。
AWS 存取金鑰
在Jamf Security Cloud中,前往Integrations(整合) > Data Streams(資料串流),選取Threat Events Stream(威脅事件串流),然後按一下串流目標區域中的AWS S3。
AWS 秘密金鑰
在Jamf Security Cloud中,前往Integrations(整合) > Data Streams(資料串流),選取Threat Events Stream(威脅事件串流),然後按一下串流目標區域中的AWS S3。
遠端目錄
/
FTP 檔案模式
*?\.txt\.gz
開始時間
12am
週期
15m
EPS 節流
已啟用
處理器
GZIP
忽略先前處理的檔案
已停用
變更本機目錄?
已停用
事件產生器
LINEBYLINE
檔案編碼
UTF-8
已啟用
已啟用
信譽
5
目標事件收集器
預設值
合併事件
已停用
儲存事件承載
已啟用
記錄源擴充
UniversalCEF_ext
擴充使用條件
解析增強功能
群組
輸入您想要 Jamf Security Cloud 加入的群組。
- 您可以輸入下表的值來改用 QRadar 的最佳化 AWS S3 Rest API:Note:
要使用此功能,您必須為您的 QRadar 帳戶設定 Amazon AWS S3 REST API 通訊協定。如果您沒有此權限,請聯絡 QRadar 支援人員以取得存取權。
記錄檔來源名稱
WanderaSIEM
記錄源類型
通用 CEF
通訊協定配置
Amazon AWS S3 REST API
記錄源識別碼
wandera
簽名版本
AWSSIGNATUREV4
地區名稱
eu-west-1
服務名稱
S3
貯體名稱
在Jamf Security Cloud中,前往Integrations(整合) > Data Streams(資料串流),選取Threat Events Stream(威脅事件串流),然後按一下串流目標區域中的AWS S3。
端點 URL
https://s3.amazonaws.com/[AWS Access Key]。在Jamf Security Cloud中,前往Integrations(整合) > Data Streams(資料串流),選取Threat Events Stream(威脅事件串流),然後按一下串流目標區域中的AWS S3。
AWS 秘密金鑰
在Jamf Security Cloud中,前往Integrations(整合) > Data Streams(資料串流),選取Threat Events Stream(威脅事件串流),然後按一下串流目標區域中的AWS S3。
目錄字首
/
FTP 檔案模式
*?\.txt\.gz
事件格式
LINEBYLINE
使用代理
已停用
自動取得伺服器憑證
否
週期
15M
EPS 節流
5000
已啟用
已啟用
信譽
5
目標事件收集器
預設值
合併事件
已停用
儲存事件承載
已啟用
記錄源擴充
UniversalCEF_ext
擴充使用條件
解析增強功能
群組
輸入您想要 Jamf Security Cloud 加入的群組。
- 按一下儲存。
- 按一下 Admin (管理員) 索引標籤上的 Deploy Changes (部署變更)。
新建的 Jamf Security Cloud 記錄源的 Status (狀態) 欄應顯示值 "Success (成功)",且安全事件應開始填充 QRadar 中的「記錄活動」視圖。
若未在 1 小時內發生此情況,請聯絡 Jamf 支援 以獲得協助。