Symantec System Center
Symantec System Center(SSC) DSM for JSA는 JSA 용으로 생성된 사용자 지정 보기를 사용하여 SSC 데이터베이스에서 이벤트를 검색합니다.
JSA는 모든 SSC 이벤트를 기록합니다. 사용자 정의 JSA 뷰에 대한 읽기 및 쓰기 권한이 있는 사용자가 정보를 위해 뷰를 폴링할 수 있도록 SSC 데이터베이스를 구성해야 합니다. Symantec System Center(SSC)는 JDBC 프로토콜만 지원합니다.
Symantec 시스템 센터에 대한 데이터베이스 보기 구성
SSC 이벤트를 폴링하려면 JDBC 프로토콜에 의해 데이터베이스 보기가 필요합니다.
SSC 장비에서 사용되는 Microsoft SQL Server 데이터베이스에서 JSA를 지원하도록 사용자 지정 기본 보기를 구성합니다.
참고:데이터베이스 이름에 공백이 포함되어서는 안됩니다.
CREATE VIEW dbo.vw_qradar AS SELECT
dbo.alerts.Idx AS idx,
dbo.inventory.IP_Address AS ip,
dbo.inventory.Computer AS computer_name,
dbo.virus.Virusname AS virus_name,
dbo.alerts.Filepath AS filepath,
dbo.alerts.NoOfViruses AS no_of_virus,
dbo.actualaction.Actualaction AS [action],
dbo.alerts.Alertdatetime AS [date],
dbo.clientuser.Clientuser AS user_name FROM
dbo.alerts INNER JOIN
dbo.virus ON dbo.alerts.Virusname_Idx = dbo.virus.Virusname_Idx INNER JOIN
dbo.inventory ON dbo.alerts.Computer_Idx = dbo.inventory.Computer_Idx INNER JOIN
dbo.actualaction ON dbo.alerts.Actualaction_Idx =
dbo.actualaction.Actualaction_Idx INNER JOIN
dbo.clientuser ON dbo.alerts.Clientuser_Idx = dbo.clientuser.Clientuser_Idx
사용자 지정 보기를 생성한 후에는 JDBC 프로토콜을 사용하여 이벤트 정보를 수신하도록 JSA 를 구성해야 합니다.
Symantec System Center를 위한 JDBC 로그 소스 매개변수
JSA가 로그 소스를 자동으로 감지하지 못하면 JDBC 프로토콜을 사용하여 JSA 콘솔에 Symantec System Center 로그 소스를 추가합니다.
JDBC 프로토콜을 사용할 때 사용해야 하는 특정 매개 변수가 있습니다.
다음 표는 Symantec System Center에서 JDBC 이벤트를 수집하기 위해 특정 값이 필요한 매개 변수를 설명합니다.
매개 변수 |
값 |
---|---|
로그 소스 이름 |
로그 소스에 고유 이름을 입력합니다. |
로그 소스 설명 (옵션) |
로그 소스에 대한 설명을 입력합니다. |
로그 소스 유형 |
Symantec System Center |
프로토콜 구성 |
Jdbc |
로그 소스 식별자 |
로그 소스의 이름을 입력합니다. 이름은 공간을 포함할 수 없으며 JDBC 프로토콜을 사용하도록 구성된 로그 소스 유형의 모든 로그 소스 간에 고유해야 합니다. 로그 소스가 정적 IP 주소 또는 호스트 이름이 있는 단일 어플라이언스에서 이벤트를 수집하는 경우, 로그 소스 식별자 값의 전부 또는 일부로 IP 주소 또는 어플라이언스의 호스트 이름을 사용하십시오. 예를 들어 192.168.1.1 또는 JDBC192.168.1.1을 예로 들어 보겠습니다. 로그 소스가 정적 IP 주소 또는 호스트 이름을 가진 단일 어플라이언스에서 이벤트를 수집하지 않는 경우 , Log Source Identifier 값에 대해 고유의 이름을 사용할 수 있습니다. 예를 들어 JDBC1, JDBC2를 예로 들어 보겠습니다. |
데이터베이스 유형 |
Msde |
데이터베이스 이름 |
Symantec System Center 데이터베이스의 이름을 입력 Reporting 합니다. |
IP 또는 호스트 이름 |
Symantec System Center SQL Server의 IP 주소 또는 호스트 이름을 입력합니다. |
포트 |
데이터베이스 서버에서 사용하는 포트 번호를 입력합니다. MSDE의 기본 포트는 1433입니다. JDBC 구성 포트는 Symantec System Center 데이터베이스의 리스너 포트와 일치해야 합니다. Symantec System Center 데이터베이스에는 JSA와 통신할 수 있는 수신 TCP 연결이 있어야 합니다. MSDE를 데이터베이스 유형으로 사용할 때 데이터베이스 인스턴스 를 정의하는 경우 구성에서 포트 필드를 비워 두어야 합니다. |
사용자 |
데이터베이스 액세스에 필요한 사용자 이름을 입력합니다. |
암호 |
데이터베이스 액세스에 필요한 암호를 입력합니다. 암호의 길이는 최대 255자입니다. |
암호 확인 |
데이터베이스 액세스에 필요한 암호를 확인합니다. 확인 암호는 Password 필드에 입력한 암호와 동일해야 합니다. |
인증 도메인 |
Microsoft JDBC 사용을 선택하지 않으면 인증 도메인이 표시됩니다. WINDOWS 도메인인 MSDE의 도메인입니다. 네트워크가 도메인을 사용하지 않는 경우 이 필드를 비워 두십시오. |
데이터베이스 인스턴스 |
필요한 경우 데이터베이스 인스턴스입니다. MSDE 데이터베이스에는 하나의 서버에 여러 SQL 서버 인스턴스가 포함될 수 있습니다. 데이터베이스에 비표준 포트가 사용되거나 SQL 데이터베이스 해석을 위해 1434 포트에 대한 액세스가 차단되는 경우, Database Instance 매개 변수는 로그 소스 구성에서 비워야 합니다. |
표 이름 |
테이블 이름이나 이벤트 레코드가 포함된 뷰를 입력 vw_qradar 합니다. |
List 선택 |
테이블 또는 보기에서 모든 필드를 입력 * 합니다. 구성에 필요한 경우 쉼표로 구분된 목록을 사용하여 특정 테이블이나 뷰를 정의할 수 있습니다. 쉼표로 구분된 목록은 최대 255개의 영숫자 길이가 될 수 있습니다. 목록에는 달러 기호($), 번호 기호(#), 밑보(_), 엔 대시(-) 및 기간(.)이 포함될 수 있습니다. |
필드 비교 |
비교 필드로 입력 idx 합니다. 비교 필드는 테이블에 대한 쿼리 사이에 추가되는 새로운 이벤트를 식별하는 데 사용됩니다. |
준비된 문장 사용 |
준비된 명령문은 JDBC 프로토콜 소스가 SQL 문을 설정한 다음 여러 매개 변수를 사용하여 SQL 문을 여러 번 실행할 수 있도록 지원합니다. 보안 및 성능상의 이유로 대부분의 JDBC 프로토콜 구성은 준비된 문장을 사용할 수 있습니다. |
시작 날짜 및 시간(선택사항) |
데이터베이스 폴링의 시작 날짜와 시간을 다음과 같은 형식으로 입력합니다. 24시간 클럭을 사용하여 HH가 지정한 yyy-MM-dd HH:mm입니다. 시작 날짜 또는 시간이 명확하면 폴링이 즉시 시작되어 지정된 폴링 간격에 반복됩니다. |
폴링 간격 |
폴링 간격(이벤트 테이블에 대한 쿼리 간 시간)을 입력합니다. 기본 폴링 간격은 10초입니다. H를 시간 동안 추가해 더 긴 폴링 간격을 정의하거나 숫자 값에 몇 분 동안 M을 추가하면 더 긴 폴링 간격을 정의할 수 있습니다. 최대 폴링 간격은 언제든지 1주입니다. H 또는 M 폴링 없이 초만에 입력되는 숫자 값입니다. |
EPS 제한 |
이 프로토콜을 초과하지 않으려는 EPS(초당 이벤트 수)를 입력합니다. 기본값은 20000 EPS입니다. |
명명된 파이프 통신 사용 |
Microsoft JDBC 사용을 선택하지 않으면 명명된 파이프 통신 사용이 표시됩니다. 명명된 파이프 통신 사용 확인란의 지우기. MSDE 데이터베이스에는 데이터베이스 사용자 이름과 암호가 아닌 Windows 인증 사용자 이름과 암호를 사용하기 위해 사용자 이름과 암호 필드가 필요합니다. 로그 소스 구성은 MSDE 데이터베이스에서 파이프라는 기본값을 사용해야 합니다. |
데이터베이스 클러스터 이름 |
Name Pipe Communication 사용 확인란을 선택한 경우 Database Cluster Name 매개 변수가 표시됩니다. 클러스터 환경에서 SQL 서버를 실행하는 경우 명명된 파이프(Named Pipe) 통신 기능을 올바르게 보장하기 위해 클러스터 이름을 정의합니다. |
NTLMv2 사용 |
Microsoft JDBC 사용을 선택하지 않은 경우 NTLMv2 사용이 표시됩니다. MSDE 연결이 NTLMv2 인증이 필요한 SQL 서버와 통신할 때 NTLMv2 프로토콜을 사용하려는 경우 이 옵션을 선택합니다. 이 옵션은 NTLMv2 인증을 요구하지 않는 MSDE 연결에 대한 통신을 중단하지 않습니다. NTLMv2 인증을 요구하지 않는 MSDE 연결에 대한 통신을 중단하지 않습니다. |
Microsoft JDBC 사용 |
Microsoft JDBC 드라이버를 사용하려면 Microsoft JDBC 사용을 사용해야 합니다. |
SSL 사용 |
연결이 SSL을 지원하는 경우 이 옵션을 선택합니다. |
Microsoft SQL Server 호스트 이름 |
Microsoft JDBC 및 SSL 사용을 선택한 경우 Microsoft SQL Server Hostname 매개 변수가 표시됩니다. Microsoft SQL 서버의 호스트 이름을 입력해야 합니다. |