DSM Configuration

DSM (Device Support Module) adalah file konfigurasi yang mem-parsing event yang diterima dari
beberapa sumber log dan memasukkannya ke format taksonomi standar yang bisa ditampilkan
sebagai output. Pada SIEM Qradar setiap jenis sumber log memiliki DSM yang sesuai. Misalnya,
DSM Microsoft Windows Security Event Log dapat memilah dan menormalkan kejadian dari log
OS Windows .

Berikut langkah – langkah untuk membuat/menambahkan log source sesuai dengan DSM nya:

1. Login ke Qradar

2. Klik tab admin pada qradar

3. Pada kolom sebelah kiri klik Data Source lalu pilih Events

4. Lalu klik pada icon Log Source

5. Ketika di klik akan muncul pop up browser, jika tidak muncul harap tidak di blok pop up
untuk web interface qradar, lalu pilih add.
6. Lalu pilih pada kolom log source type sesuai dengan perangkat yang akan kita monitor.
Misalnya kita ingin memonitor log pada Windows menggunakan protokol MSRPC. Maka
kita pilih log source type nya Microsoft Windows Security Event Log, dan pilih protocol
configuration nya Microsoft Windows Security Event Log over MSRPC.

7. Isi kolom seperti contoh berikut:

- Log Source Name : WINSERVER (boleh di isi apa saja)

- Log Source Identifier : WINSERVER (boleh di isi apa saja)
- Log Source Type : Microsoft Windows Security Event Log
- Protocol Configuration : Microsoft Windows Security Event Log over MSRPC
- Log Source Identifier : (dapat di isi dengan ip address atau hostname windows yang
akan di monitor log nya, hostname di isi harus sesuai FQDN contoh:
myhost.example.com)
- Domain : (isi sesuai dengan domain windows yang akan kita monitor)
- Konfigurasi log source user name dan password domain admin
- Konfigurasi field polling interval (optional)
- Konfigurasi field Event Throttle
- Pada Standard Log Types, pilih salah satu atau lebih check box, untuk mendapat
kan informasi yang diinginkan pada perangkat tersebut
- Klik Save
- Pada tab Admin klik Deploy Change