# QRadar

### 概要

Keeperでは、IBM QRadarへのイベントストリームがサポートされています。外部ログはリアルタイムで発生し、、新しいイベントはほぼ即座に表示されます。以下は、セットアップ手順となります。

![QRadarプッシュ](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FAsYJvMSkkDEMvUvBfRxw%2FJP_IBM.png?alt=media\&token=48b9b2bd-3be8-4045-b6c4-89eb0ba2a0b7)

QRadarではTCPを介した標準の「Syslog」プッシュ機能を使用します。

**ポート**\
TCP Ports 514および6514 (TLS)

**エクスポートされるフィールド**\
"audit\_event"、"username"、"client\_version"、"remote\_address"、"channel"、"result\_code"、"email"、"to\_username"、"client\_version\_new"、"username\_new"、"file\_format"、"record\_uid"、"folder\_uid"、"folder\_type"、"shared\_folder\_uid"、"attachment\_id"、"team\_uid"、"role\_id"

**ペイロードの例**

{% code overflow="wrap" %}

```
<165>1 2022-10-13T21:05:51.996Z yourLogSourceID keeper - - - {"record_uid":"XXX","audit_event":"fast_fill","remote_address":"12.34.56.78","category":"usage","client_version":"Browser Extensions.16.4.7","username":"user@company.com","enterprise_id":123456}
```

{% endcode %}

{% hint style="info" %}
エンドポイントで証明書のサブジェクト名と一致する有効な署名付きのSSL証明書が使用されていることを確かにしてください。証明書には、CAからの完全な証明書チェーンも含まれていなければなりません。Keeperのシステムは、自己署名された証明書へは接続しません。

また、QRadarサーバーでKeeperサーバーからのトラフィックが許可されていることも確かにしてください。詳しくは[ファイアウォールの設定ページ](https://docs.keeper.io/enterprise-guide/event-reporting/firewall)をご参照ください。
{% endhint %}