Integra OpManager con IBM QRadar

OpManager se integra con IBM QRadar, una plataforma SIEM que permite un análisis detallado de eventos de red y registros de seguridad. Con esta integración, puedes reenviar eventos mediante el protocolo UDP/syslog desde OpManager a QRadar en tiempo real, reforzando la detección de amenazas, mejorando la respuesta ante posibles incidentes y reduciendo el tiempo de inactividad.

Configuración de IBM QRadar

1. Pasos para configurar en IBM

Configuración de OpManager

1. Configurar registros de auditoría y acceso
2. Asociar un perfil de notificación

Configuración de IBM QRadar

Pasos para configurar en IBM

• Ve a Log Sources, haz clic en New Log Sources y elige Single o Multiple Log Sources según si los syslogs provienen de una o de múltiples fuentes.

• Establece el Log Source Type como Universal DSM.
• Selecciona el Protocol Type como Syslog.
• Puedes configurar las fuentes de registro proporcionando el nombre, la descripción y otros campos. Estos campos son opcionales.

• Configura los parámetros del protocolo especificando el host del servidor OpManager. Selecciona 'Multi Source' para agregar múltiples IP o nombres de host.
• Haz clic en Finish y despliega los cambios aplicados en Admin.
• Una vez desplegado, puedes continuar con la configuración desde la interfaz de OpManager.

Configuración de OpManager

Configurar registros de auditoría y acceso

• Ve a Settings → General Settings → Integrations → SIEM (UDP/Syslog) - Configuration.
• Indica el SIEM Application Name como 'IBM QRadar'.
• Especifica la dirección IP de la máquina donde está alojado IBM QRadar.
• Introduce el número de puerto como 514 (puerto syslog predeterminado para IBM QRadar).
• Selecciona Send Access logs o elige Audit modules en la lista desplegable. También puedes seleccionar ambos según tus necesidades.
• Haz clic en Save.

Asociar un perfil de notificación

Sigue los pasos a continuación para configurar el perfil de notificación para IBM QRadar

• Ve a Settings → Notification Profile y haz clic en Add.
• Selecciona SIEM y luego elige SIEM (UDP/Syslog).
• Ingresa los parámetros requeridos, incluyendo Format, Severity, Facility, Description y las Variables relevantes.
• Si es necesario, habilita structured message y proporciona los valores en los campos requeridos.
• Haz clic en Test Action para verificar la configuración del perfil.

• Obtén más información sobre cómo configurar los criterios, dispositivos y la ventana de tiempo en los perfiles de notificación aquí.
• Haz clic en Save.

Verificación de la integración

Después de la integración, IBM QRadar recibe los eventos desde OpManager.

Conoce más sobre las integraciones que ofrece OpManager

Conoce más sobre las variables dinámicas utilizadas en el cuerpo de la solicitud