Foro en Español

Reply
Occasional Contributor II

Integracion IEE Qradar

Buenas,

 

Desde hace un tiempo estoy tratando de integrar un Qradar con clearpass, pero me ha sido imposible ya que no logro encontrar, o construir un dicionario para este fabricante.

 

En la WEB de ARUBA no especifica ninguna TechNote sobre este tipo de integracion.

 

Alguien tiene alguna idea o construido un diccionario basico del Qradar?.

 

Saludos.

 

ATTE Jkvasquez

Re: Integracion IEE Qradar

En la Technote de IEE (CPPM Ingress Event Engine) se especifica en las dos últimas páginas un ejemplo de diccionario de ClearPass. Este diccionario se basa en parsear los mensajes de Syslog mediante Grok, por lo que podrías construir un diccionario para QRadar de esta forma. 

Puedes partir de uno de los Diccionarios de IEE de ClearPass exportando el xml y creando la versión específica para los mensajes que quieras recibir en ClearPass.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: Integracion IEE Qradar

Buenas Rafael,

 

Gracias por contestar, aun sigo con este problema, he creado un diccionario para los mensajes del Qradar pero al parecer no traduce los mensajes, adjunto XML y caps de la configuracion.

 

Saludos.

Re: Integracion IEE Qradar

Sería necesario disponer de un ejemplo del syslog que envía Qradar, para comprobar como traducirlo. ¿puedes pasar un ejemplo de syslog capturado?


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: Integracion IEE Qradar

Buenas Rafael,

 

Te adjunto mi diccionario para parsear los syslog, el ejemplo de syslog y el Log que me muestra el Clearpass.

 

Tambien he comprobado el grok construido en http://grokconstructor.appspot.com, me aparece correcto y que hacen matchs, sin embargo en los eventos me sigue sin aparecer ningun dato.

 

Saludos.

Occasional Contributor II

Re: Integracion IEE Qradar

Buenas Rafael,

 

Ya pude solucionar la integracion con el Qradar, mi diccionario estaba bien construido, el problema estaba en el mensaje de Syslog que lee el Clearpass.

Qradar enviava un syslog limpio (Adjunto en este hilo), pero el Clearpass nose porque autorellena los espacios con "#011".

Ejemplo:

2018-02-08T15:06:36+01:00 192.168.233.132 AgentDevice=WindowsLog#011AgentLogFile=Security#011PluginVersion=7.2.3.2015120#011Source=Microsoft-Windows-Security-Auditing#011Computer=UOC-MAQUI.interna.uoc.edu#011OriginatingComputer=192.168.233.132

 

Asi que tube que modificar el area <Sample> y el grok agregando ese autorelleno y empezo a funcionar.

 

Adjunto diccionario Final por si sirve de ayuda para alguien mas.

 

Saludos.

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: