Sommaire des Matières pour IBM Security QRadar Risk Manager
Page 1
IBM Security QRadar Risk Manager Version 7.2.6 Guide de configuration d'adaptateur...
Page 2
Avant d'utiliser le présent document et le produit associé, prenez connaissance des informations générales figurant à la section «Remarques», à la page 47. Ce document s'applique à IBM QRadar Security Intelligence Platform version 7.2.6 et à toutes les versions et modifications ultérieures sauf indication contraire dans les nouvelles éditions.
Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au tableau ci-dessous, au besoin. IBM France IBM Canada ingénieur commercial représentant...
Brevets Il est possible qu'IBM détienne des brevets ou qu'elle ait déposé des demandes de brevets portant sur certains sujets abordés dans ce document. Le fait qu'IBM vous fournisse le présent document ne signifie pas qu'elle vous accorde un permis d'utilisation de ces brevets.
être entièrement efficace dans la prévention d'une utilisation ou d'un accès incorrect. Les systèmes, les produits et les services IBM sont conçus pour s'intégrer à une approche de sécurité complète, qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent avoir besoin d'autres systèmes, produit...
Page 8
électroniques et le stockage. IBM Security QRadar peut être utilisé uniquement de façon réglementaire. Le client accepte d'utiliser ce programme conformément aux lois, réglementations et règles en vigueur et veille à s'y conformer. Le détenteur de licence déclare qu'il détiendra ou qu'il a obtenu les agréments, les autorisations ou les licences nécessaires pour une utilisation...
Chapitre 1. Présentation des adaptateurs Utilisez des adaptateurs pour intégrer IBM Security QRadar Risk Manager à vos unités réseau. La configuration d'adaptateurs permet à QRadar Risk Manager d'interroger et d'importer les paramètres de configuration des unités réseau (pare-feu, routeurs et commutateurs, par exemple).
Page 10
v Juniper Networks JUNOS v Juniper Networks NSM v Palo Alto v Sourcefire 3D Sensor v SNMP générique v IPS TippingPoint v McAfee Sidewinder QRadar Risk Manager - Guide de configuration d'adaptateur...
Chapitre 2. Installation d'adaptateurs Vous devez télécharger les fichiers d'adaptateur sur votre console IBM Security QRadar SIEM Console puis les copier dans IBM Security QRadar Risk Manager. Avant de commencer Après que vous avez établi la connexion initiale, QRadar SIEM Console est la seule unité...
Page 12
Procédure 1. En utilisant Secure Shell (SSH), connectez-vous à la console IBM Security QRadar SIEM Console en tant qu'utilisateur root. 2. Pour désinstaller un adaptateur, tapez la commande suivante : rpm -e fichier d'adaptateur Exemple : rpm -e adapters.cisco.ios-2011_05-205181.noarch.rpm QRadar Risk Manager - Guide de configuration d'adaptateur...
Ajoutez des unités depuis Sourcefire Defense Center. Ajout d'une unité réseau Pour ajouter une unité réseau à IBM Security QRadar Risk Manager, utilisez l'outil de gestion de sources de configuration. Avant de commencer Vérifiez les versions logicielles prises en charge, les données d'identification, ainsi que les commandes requises pour vos unités réseau.
Page 14
Votre unité utilise un port non standard pour le protocole de communication. v Vous souhaitez configurer le protocole utilisé par IBM Security QRadar Risk Manager pour communiquer avec des adresses IP spécifiques. QRadar Risk Manager - Guide de configuration d'adaptateur...
10. Répétez cette procédure pour chaque unité réseau à ajouter à la liste. Que faire ensuite Une fois toutes les unités requises ajoutées, vous pouvez configurer des protocoles. Pour plus d'informations, voir le manuel IBM Security QRadar Risk Manager - Guide d'utilisation. Ajout d'unités gérées par une console NSM Utilisez l'outil de gestion de sources de configuration pour ajouter toutes les unités...
Sauvegarder puis sur Oui. Que faire ensuite Une fois toutes les unités requises ajoutées, vous pouvez configurer des protocoles. Pour plus d'informations, voir le manuel IBM Security QRadar Risk Manager - Guide d'utilisation. Ajout d'unités gérées par une console CPSMS Utilisez l'outil de gestion de sources de configuration pour ajouter les unités à...
Pourquoi et quand exécuter cette tâche Effectuez la procédure suivante pour chaque unité CPSMS à laquelle vous voulez vous connecter, et pour lancer la reconnaissance de ses pare-feux gérés. Procédure 1. Cliquez sur l'onglet Admin. 2. Dans le menu de navigation Admin, cliquez sur Plug-ins. 3.
SiteProtector à IBM Security QRadar Risk Manager. Avant de commencer Les adaptateurs IBM Internet Security Systems GX et IBM Security SiteProtector System doivent être installés pour que vous puissiez ajouter des unités. Le protocole Microsoft SQL doit être activé pour l'utilisation du port 1433 de Microsoft SQL Server.
Page 19
Restriction : Le nom d'utilisateur et le mot de passe sont identiques aux données d'identifications utilisées pour accéder à la base de données Microsoft SQL Server de SiteProtector. 7. Cliquez sur OK. 8. Cliquez sur l'option permettant la reconnaissance via SiteProtector, puis entrez l'adresse IP SiteProtector.
Page 20
QRadar Risk Manager - Guide de configuration d'adaptateur...
Chapitre 4. Adaptateurs pris en charge IBM Security QRadar Risk Manager s'intègre aux produits de sécurité de nombreux fabricants et vendeurs. Les informations suivantes sont fournies pour chaque adaptateur pris en charge : Versions prises en charge Indique le nom du produit et la version prise en charge.
BIG-IP IBM Security QRadar Risk Manager prend en charge l'adaptateur BIG-IP. Le tableau suivant décrit les exigences d'intégration pour l'adaptateur BIG-IP. Tableau 4. Exigences d'intégration pour l'adaptateur BIG-IP Exigence d'intégration Description Versions 10.1.1 11.4.1 Prise en charge des données de...
Page 23
Tableau 4. Exigences d'intégration pour l'adaptateur BIG-IP (suite) Exigence d'intégration Description Commandes nécessaires à bigpipe global l'adaptateur pour se connecter et collecter des données bigpipe bigpipe system hostname bigpipe platform bigpipe version show bigpipe db packetfilter bigpipe db packetfilter.defaultaction bigpipe packet filter list bigpipe nat list all bigpipe vlan show all bigpipe vlangroup list all...
Page 24
Tableau 4. Exigences d'intégration pour l'adaptateur BIG-IP (suite) Exigence d'intégration Description Commandes nécessaires à tmsh -q list sys global-settings hostname l'adaptateur pour se connecter et collecter des données tmsh tmsh -q show sys version tmsh -q show sys hardware tmsh -q list sys snmp sys-contact tmsh -q show sys memory tmsh -q list /net interface all-properties tmsh -q list net trunk...
/config/bigip.license /config/snmp/snmpd.conf /etc/passwd Check Point SecurePlatform Appliances IBM Security QRadar Risk Manager prend en charge l'adaptateur Check Point SecurePlatform Appliances. Le tableau suivant décrit les exigences d'intégration pour l'adaptateur Check Point SecurePlatform Appliances. Tableau 5. Exigences d'intégration pour l'adaptateur Check Point SecurePlatform Appliances Exigence d'intégration...
Tableau 5. Exigences d'intégration pour l'adaptateur Check Point SecurePlatform Appliances (suite) Exigence d'intégration Description Commandes nécessaires à hostname l'adaptateur pour se connecter et dmidecode collecter des données uptime dmesg route -n show users ifconfig -a echo $FWDIR Fichiers collectés rules.C objects.C implied_rules.C Standard.pf...
CPMI sur le serveur CPSMS. Par exemple, cpmi_server auth_port 18190. Cisco CatOS IBM Security QRadar Risk Manager prend en charge l'adaptateur Cisco Catalyst (CatOS). L'adaptateur Cisco CatOS collecte les configurations d'unité en sauvegardant les appareils réseau CatOS auxquels QRadar Risk Manager peut accéder.
Page 28
Tableau 7. Exigences d'intégration pour l'adaptateur Cisco CatOS Exigence d'intégration Description Versions Catalyst série 6500 - périphériques châssis. Restriction : L'adaptateur pour CatOS sauvegarde uniquement la structure de port de commutation essentielle. Les adaptateurs CatOS MSFC (Multilayer Switch Feature Card) sont sauvegardés par des adaptateurs Cisco IOS.
Cisco IOS IBM Security QRadar Risk Manager prend en charge l'adaptateur Cisco Internet Operating System (IOS). L'adaptateur Cisco IOS collecte les configurations d'unité en sauvegardant les commutateurs et routeurs réseau basés IOS.
Page 30
Tableau 8. Exigences d'intégration pour Cisco IOS Exigence d'intégration Description Versions IOS 12.0 à 15.1 pour les routeurs et les commutateurs Commutateurs Cisco Catalyst 6500 avec MSFC. Utilisez l'adaptateur Cisco IOS pour sauvegarder la configuration et l'état des services de carte MSFC. Si un routeur Cisco IOS série 7600 dispose d'un FWSM, utilisez l'adaptateur Cisco ASA pour sauvegarder le FWSM.
Page 31
Tableau 8. Exigences d'intégration pour Cisco IOS (suite) Exigence d'intégration Description Commandes nécessaires à show access-lists l'adaptateur pour se connecter et show cdp neighbors detail collecter des données show diag show diagbus show file systems show glbp show install running show interfaces show inventory show ip route ospf...
0 Cisco Nexus Pour intégrer IBM Security QRadar Risk Manager à vos unités réseau, veillez à vérifier les exigences relatives à l'adaptateur Cisco Nexus. Le tableau suivant décrit les exigences d'intégration pour l'adaptateur Cisco Nexus.
Page 33
Tableau 9. Exigences d'intégration pour l'adaptateur Cisco Nexus (suite) Exigence d'intégration Description Protocoles de connexion pris en Utilisez un des protocoles de connexion pris en charge charge suivants : Pour ajouter des protocoles dans Telnet QRadar, connectez-vous en tant qu'administrateur et utilisez Gestion de la source de configuration sous l'onglet Admin.
Page 34
Tableau 9. Exigences d'intégration pour l'adaptateur Cisco Nexus (suite) Exigence d'intégration Description Commandes nécessaires à show hostname l'adaptateur pour se connecter et show version collecter des données show vdc show vdc current-vdc switchto vdc <vdc> où vdc est un contexte vdc actif s'affichant lorsque vous entrez la commande show vdc.
Utilisez l'outil de gestion de sources de configuration pour ajouter des unités réseau Nexus et des contextes d'unité virtuelle (VDC) à IBM Security QRadar SIEM. Il existe deux façons d'ajouter plusieurs VDC à IBM Security QRadar Risk Manager. Vous pouvez ajouter des VDC en tant que sous-unités de l'unité Nexus ou en tant qu'unités individuelles.
NexusDevice(config-role)# rule 4 permit command dir Cisco Security Appliances Pour intégrer IBM Security QRadar Risk Manager à vos unités réseau, veillez à vérifier les exigences relatives à l'adaptateur Cisco Security Appliances. L'adaptateur Cisco Security Appliances collecte des configurations d'unité en sauvegardant des unités de la famille Cisco.
Page 37
Tableau 10. Exigences d'intégration pour l'adaptateur Cisco Security Appliances (suite) Exigence d'intégration Description Niveau d'accès utilisateur Niveau de privilège 5 minimum Vous pouvez sauvegarder des unités avec un niveau d'accès de niveau de privilège 5. Par exemple, vous pouvez configurer un utilisateur de niveau 5 qui utilise l'authentification de base de données locale en exécutant les commandes suivantes : aaa authorization command LOCAL...
Page 38
Tableau 10. Exigences d'intégration pour l'adaptateur Cisco Security Appliances (suite) Exigence d'intégration Description Protocoles de connexion Telnet Pour ajouter des protocoles dans QRadar, connectez-vous en tant qu'administrateur et utilisez Gestion de la source de configuration sous l'onglet Admin. Commandes nécessaires à change context l'adaptateur pour se connecter et change context admin-context...
Fortinet FortiOS L'adaptateur IBM Security QRadar Risk Manager pour Fortinet FortiOS prend en charge les dispositifs Fortinet FortiGate permettant l'exécution du système d'exploitation Fortinet (FortiOS). L'interaction entre l'adaptateur Fortinet FortiOS et FortiOS se fait par Telnet ou SSH. v Les adresses géographiques et les règles référencées ne sont pas prises en charge par QRadar Risk Manager.
Adaptateur SNMP générique IBM Security QRadar Risk Manager prend en charge les dispositifs qui exécutent un agent SNMP avec l'adaptateur SNMP générique. Cet adaptateur interagit avec l'agent SNMP à l'aide de requêtes SNMP. Les identificateurs d'objet (OID) figurent dans SNMP MIB-2, et vous pouvez attendre de tous les agents SNMP qu'ils exposent ces OID.
Page 41
v Même s'il est affiché dans l'interface utilisateur Gestion de la source de configuration, avec SNMPv3, l'adaptateur ne prend pas en charge le chiffrement AES. v L'adaptateur ne prend pas en charge le chiffrement AES avec SNMPv3, même s'il semble qu'il soit pris en charge dans la fenêtre Gestion de la source de configuration.
.1.3.6.1.2.1.2.2.1.5 .1.3.6.1.2.1.2.2.1.6 .1.3.6.1.2.1.2.2.1.7 .1.3.6.1.2.1.4.20 HP Networking ProVision IBM Security QRadar Risk Manager prend en charge l'adaptateur HP Networking ProVision. Le tableau suivant décrit les exigences d'intégration pour l'adaptateur HP Networking ProVision. Tableau 12. Exigences d'intégration pour l'adaptateur HP Networking ProVision Exigence d'intégration...
Page 43
Tableau 12. Exigences d'intégration pour l'adaptateur HP Networking ProVision (suite) Exigence d'intégration Description Paramètres de données Username d'identification obligatoires Password Pour ajouter des données Enable Password d'identification dans QRadar, connectez-vous en tant qu'administrateur et utilisez Gestion de la source de configuration sous l'onglet Admin.
Page 44
Tableau 12. Exigences d'intégration pour l'adaptateur HP Networking ProVision (suite) Exigence d'intégration Description Commandes d'opération de dmesgshow system power-supply sauvegarde émises par l'adaptateur getmib à destination de l'unité show access-list vlan <id vlan> show access-list show access-list <nom ou numéro> show access-list ports <numéro de port>...
Juniper Networks JUNOS Pour intégrer IBM Security QRadar Risk Manager à vos unités réseau, veillez à vérifier les exigences relatives à l'adaptateur Juniper Networks JUNOS. Le tableau suivant décrit les exigences d'intégration pour l'adaptateur Juniper Networks JUNOS.
Page 46
Tableau 13. Exigences d'intégration pour l'adaptateur Juniper Networks JUNOS (suite) Exigence d'intégration Description Paramètres de données Username d'identification obligatoires Password Pour ajouter des données d'identification dans QRadar, connectez-vous en tant qu'administrateur et utilisez Gestion de la source de configuration sous l'onglet Admin. Protocoles de connexion Telnet Pour ajouter des protocoles dans...
Gestion de la source de configuration sous l'onglet Admin. Juniper Networks ScreenOS Pour intégrer IBM Security QRadar Risk Manager à vos unités réseau, veillez à vérifier les exigences relatives à l'adaptateur Juniper Networks ScreenOS. Le tableau suivant décrit les exigences d'intégration pour l'adaptateur Juniper Networks ScreenOS.
Page 48
Tableau 15. Exigences d'intégration pour l'adaptateur Juniper Networks ScreenOS (suite) Exigence d'intégration Description Prise en charge des données de Pris en charge voisinage Reconnaissance SNMP Correspond à netscreen ou SSG dans SNMP sysDescr. Paramètres de données Username d'identification obligatoires Password Protocoles de connexion Telnet Commandes nécessaires à...
Palo Alto IBM Security QRadar Risk Manager prend en charge l'adaptateur Palo Alto. L'adaptateur Palo Alto utilise l'interface de programme d'application (API) Rest XML PAN-OS pour communiquer avec les unités. Le tableau suivant décrit les exigences d'intégration pour l'adaptateur Palo Alto.
/api/?type=config&action=get&xpath=/config/ pour GetApplication. predefined/application Sidewinder IBM Security QRadar Risk Manager prend en charge les dispositifs McAfee Enterprise Firewall (Sidewinder) qui exécutent SecureOS. L'adaptateur Sidewinder interagit avec le système d'exploitation McAfee basé sur une interface CLI (SecureOS) sur Telnet ou SSH.
Page 51
Tableau 17. Adaptateur Sidewinder Exigence d'intégration Description Versions prises en charge 8.3.2 Niveau d'accès utilisateur admin minimum Le niveau d'accès administrateur est requis pour l'extraction des informations de services prédéfinies de la base de données à l'aide de la commande cf appdb list verbose=on.
Sourcefire 3D Sensor Pour intégrer IBM Security QRadar Risk Manager à vos unités réseau, veillez à vérifier les exigences relatives à l'adaptateur Sourcefire 3D Sensor. Le tableau suivant décrit les exigences d'intégration pour l'adaptateur Sourcefire 3D Sensor. Limitations : v Les règles d'intrusion associées à des règles de contrôle d'accès individuelles ne sont pas utilisées par QRadar Risk Manager.
Adaptateur IPS TippingPoint IBM Security QRadar Risk Manager prend en charge les dispositifs IPS (système de prévention contre les intrusions) TippingPoint qui exécutent TOS et sont sous contrôle SMS. Cet adaptateur requiert une interaction avec les périphériques suivants : v Directement avec le système de prévention contre les intrusions (IPS) par...
Page 54
v Les filtres IPS sans CVE associé ne sont pas modélisés car le système de prévention contre les intrusions ne peut être mappé à aucune vulnérabilité QRadar. Les exigences d'intégration pour l'adaptateur TippingPoint sont décrites dans le tableau suivant : Tableau 19.
Remarques Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plus de détails, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial IBM. Toute référence à un produit, logiciel ou service IBM n'implique pas que seul ce produit, logiciel ou service puisse être utilisé.
Page 56
Le présent document peut contenir des inexactitudes ou des coquilles. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. IBM peut, à tout moment et sans préavis, modifier les produits et logiciels décrits dans ce document.
IBM, le logo IBM et ibm.com sont des marques d'International Business Machines Corp. dans de nombreux pays. Les autres noms de produits et de service peuvent être des marques d'IBM ou d'autres sociétés. La liste actualisée de toutes les marques d'IBM est disponible sur la page Web "Copyright and trademark information"...
Page 58
QRadar Risk Manager - Guide de configuration d'adaptateur...