BitdefenderGravityZone On-premises w wersji minimalnie 6.23.x z włączonym protokołem Syslog.
Włączenie wysyłania zdarzeń
1. Zaloguj się do Control Center.
2. Przejdź do zakładki Konfiguracja > Inne.
3. Zaznacz Włącz Syslog.
4. Podaj adres IP instancji QRader, preferowany protokół oraz port na którym nasłuchuje syslog.
5. Wybierz Common Event Format (CEF) w Format Zdarzenia.
6. Kliknij przycisk plusa (Dodaj) w sekcji Akcja.
Aby zdefiniować jakie powiadomienia będą wysyłane do QRadar:
1. Zaloguj się do GravityZone Control Center
2. Przejdź do zakładki Powiadomienia po prawej stronie ekranu i otwórz Ustawienia.
3. Zaznacz Przekazuj do serwera syslog obok powiadomienia, które ma być przekazane do SIEM.
Wdrożenie aplikacji w QRadar
Aby wdrożyć Bitdefender DSM for QRadar:
1. Zaloguj się do IBM QRadar.
2. Przejdź do zakładki Admin.
3. W sekcji System Configuration kliknij Extensions Management. Otworzy Ci się nowe okno.
4. Kliknij Add.
5. Wybierz Install immediately i kliknijAdd.
6. Kliknij Install.
Po zakończeniu instalacji aplikacja będzie widoczna w Extensions Management.
Konfiguracja źródła logów
Aby otrzymywać zdarzenia w instancji QRadar:
1. Przejdź do sekcji Admin i kliknikQRadar Log Source Management.
2. Wybierz Log Sources.
3. Utwórz nowe źródło logów klikając +New Log Source.
4. Wybierz pomiędzy Single Log Source lub Multiple Log Sources.
5. Wybierz Bitdefender CEF Syslog w log source type. Następnie kliknij Select Protocol Type aby kontynuować.
6. Wyszukaj i wybierz typ protokołu syslog. Kliknij Configure Log Source Parameter aby kontynuować.
7. Skonfiguruj źródło logów według własnych potrzeb. Kliknij Configure Protocol Parameters aby kontynuować.
8. Skonfiguruj parametry protokołu. Identyfikatorem źródła logów jest nazwa hosta maszyny wirtualnej GravityZone – domyślnie gzva.
9. Kliknij Finish.
Zapisane wzorce wyszukiwania
Bitdefender DSM for QRadar przechowuje dwa rodzaje zdarzeń:
Bitdefender “Malware – Still Infected Hosts”(On-prem) centralizuje zdarzenia z modułów Antymalware i HyperDetect. Możesz przeglądać zdarzenia, w których element przeskanowany przez odpowiednią technologię został zignorowany, przywrócony lub nadal jest obecny. Zdarzenia dostarczają szczegółowych informacji, takich jak adres IP, nazwa użytkownika, nazwa komputera, typ złośliwego oprogramowania, nazwa złośliwego oprogramowania i stan akcji.
Bitdefender “Threats Overview”(On-prem)centralizuje zdarzenia z następujących modułów: Antymalware, Antyphishing, Zaawansowana Kontrola Zagrożeń, Security for Exchange, HyperDetect, Analizator Sandbox, Zaawansowany Anty-Exploit, Kontrola Zawartości, Security for Storage i Łagodzenie Skutków Ransomware. Zdarzenia dostarczają szczegółowych informacji, takich jak adres IP, nazwa użytkownika, nazwa komputera i stan akcji.
Aby z nich skorzystać:
1. Kliknij Log Activity.
2. Kliknij Quick Searches. Wyświetli Ci się lista z przygotowanymi wzorcami wyszukiwania.
3. Wybierz interesujący Cię wzorzec, aby wyświetlić wszystkie wyniki.
Starszy serwisant, zajmuję się obsługą zgłoszeń serwisowych klientów indywidualnych i biznesowych. Zajmuję się również tłumaczeniami związanymi z interfejsem programu Bitdefender. Po godzinach pasjonat sprzętu komputerowego i nowinek ze świata technologii.