Protokollkonfigurationsoptionen

Typ der Protokollquelle

Akamai KONA

Protokollkonfiguration

Akamai Kona REST API

Gastgeber

Der Host-Wert wird während der Bereitstellung der SIEM OPEN API im Akamai Luna Control Center bereitgestellt. Der Host ist eine eindeutige Basis-URL, die Informationen über die entsprechenden Rechte zum Abfragen der Sicherheitsereignisse enthält. Bei diesem Parameter handelt es sich um ein Kennwortfeld, da ein Teil des Werts geheime Clientinformationen enthält.

Client-Token

Client-Token ist einer der beiden Sicherheitsparameter. Dieses Token wird mit dem geheimen Clientschlüssel gekoppelt, um die Clientanmeldeinformationen zu erstellen. Dieses Token finden Sie nach der Bereitstellung der offenen SIEM-API von Akamai

Geheimer Clientschlüssel

Der geheime Clientschlüssel ist einer der beiden Sicherheitsparameter. Dieser geheime Schlüssel wird mit dem Clienttoken gekoppelt, um die Clientanmeldeinformationen zu erstellen. Dieses Token finden Sie nach der Bereitstellung der offenen SIEM-API von Akamai

Zugriffstoken

Zugriffstoken ist ein Sicherheitsparameter, der mit Clientanmeldeinformationen verwendet wird, um den API-Clientzugriff zum Abrufen der Sicherheitsereignisse zu autorisieren. Dieses Token finden Sie nach der Bereitstellung der offenen SIEM-API von Akamai

Sicherheitskonfigurations-ID

Die Sicherheitskonfigurations-ID ist die ID für jede Sicherheitskonfiguration, für die Sie Sicherheitsereignisse abrufen möchten. Diese ID finden Sie im Abschnitt SIEM-Integration Ihres Akamai Luna-Portals. Sie können mehrere Konfigurations-IDs in einer durch Kommas getrennten Liste angeben. Beispiel: configID1,configID2.

Proxy verwenden

Wenn JSA über einen Proxy auf Amazon Web Service zugreift, aktivieren Sie Proxy verwenden.

Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder "Proxy-Server", "Proxy-Port", "Proxy-Benutzername" und "Proxy-Kennwort ".

Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxy-IP oder Hostname .

Automatisches Abrufen des Serverzertifikats

Wählen Sie Ja aus, damit JSA das Serverzertifikat automatisch herunterlädt und dem Zielserver vertraut.

Wiederholung

Das Zeitintervall zwischen Protokollquellenabfragen an die Akamai SIEM-API für neue Ereignisse. Das Zeitintervall kann in Stunden (H), Minuten (M) oder Tagen (D) angegeben werden. Der Standardwert ist 1 Minute.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde. Der Standardwert ist 5000.

Protokollkonfiguration

Amazon AWS S3 REST-API

Kennung der Protokollquelle

Geben Sie einen eindeutigen Namen für die Protokollquelle ein.

Der Bezeichner der Protokollquelle kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Der Bezeichner der Protokollquelle kann mit dem Namen der Protokollquelle identisch sein. Wenn Sie mehr als eine Amazon AWS CloudTrail-Protokollquelle konfiguriert haben, sollten Sie die erste Protokollquelle als awscloudtrail1 , die zweite Protokollquelle als awscloudtrail2 und die dritte Protokollquelle als awscloudtrail3 identifizieren.

Authentifizierungsmethode

• Access Key ID / Secret Key – Standardauthentifizierung, die von überall aus verwendet werden kann.

• EC2-Instance-IAM-Rolle – Wenn Ihr verwalteter Host auf einer AWS EC2-Instance ausgeführt wird, wird bei Auswahl dieser Option die IAM-Rolle aus den Instance-Metadaten verwendet, die der Instance für die Authentifizierung zugewiesen sind. Es sind keine Schlüssel erforderlich. Diese Methode funktioniert nur für verwaltete Hosts, die in einem AWS EC2-Container ausgeführt werden.

Zugriffsschlüssel

Die Zugriffsschlüssel-ID, die generiert wurde, als Sie die Sicherheitsanmeldeinformationen für Ihr AWS-Benutzerkonto konfiguriert haben

Wenn Sie Zugriffsschlüssel-ID/Geheimer Schlüssel oder IAM-Rolle übernehmen ausgewählt haben, wird der Parameter Zugriffsschlüssel angezeigt.

Geheimer Schlüssel

Der geheime Schlüssel, der generiert wurde, als Sie die Sicherheitsanmeldeinformationen für Ihr AWS-Benutzerkonto konfiguriert haben.

Wenn Sie Zugriffsschlüssel-ID/Geheimer Schlüssel oder IAM-Rolle übernehmen ausgewählt haben, wird der Parameter Geheimer Schlüssel angezeigt.

Übernehmen einer IAM-Rolle

Aktivieren Sie diese Option, indem Sie sich mit einem Zugriffsschlüssel oder einer EC2-Instance-IAM-Rolle authentifizieren. Anschließend können Sie vorübergehend eine IAM-Rolle für den Zugriff übernehmen.

Rolle übernehmen ARN

Der vollständige ARN der Rolle, die übernommen werden soll. Er muss mit "arn:" beginnen und darf keine führenden oder nachfolgenden Leerzeichen oder Leerzeichen innerhalb des ARN enthalten.

Wenn Sie Assume an IAM Role aktiviert haben, wird der Parameter Assume Role ARN (Rolle übernehmen ) angezeigt.

Rollensitzungsnamen annehmen

Der Sitzungsname der Rolle, die übernommen werden soll. Der Standardwert ist QRadarAWSSession. Behalten Sie die Standardeinstellung bei, wenn Sie sie nicht ändern müssen. Dieser Parameter darf nur alphanumerische Groß- und Kleinbuchstaben, Unterstriche oder eines der folgenden Zeichen enthalten: =,.@-

Wenn Sie Assume an IAM Role aktiviert haben, wird der Parameter Assume Role Session Name (Rolle übernehmen ) angezeigt.

Format der Veranstaltung

AWS Cloud Trail JSON

AWS-Netzwerk-Firewall

AWS-VPC-Datenstromprotokolle

Cisco Umbrella CSB

ZEILE FÜR ZEILE

W3C

Name der Region

Die Region, in der sich die SQS-Warteschlange oder der AWS S3-Bucket befindet.

Example: us-east-1, eu-west-1, ap-northeast-3

Verwendung als Gateway-Protokollquelle

Wählen Sie diese Option aus, damit die erfassten Ereignisse die JSA-Datenverkehrsanalyse-Engine durchlaufen und JSA automatisch eine oder mehrere Protokollquellen erkennt.

Erweiterte Optionen anzeigen

Wählen Sie diese Option aus, wenn Sie die Ereignisdaten anpassen möchten.

Dateimuster

Diese Option ist verfügbar, wenn Sie "Erweiterte Optionen anzeigen " auf "Ja" setzen.

Geben Sie einen regulären Ausdruck für das Dateimuster ein, das mit den Dateien übereinstimmt, die Sie abrufen möchten. Beispiel: .*?\.json\.gz

Lokales Verzeichnis

Diese Option ist verfügbar, wenn Sie "Erweiterte Optionen anzeigen " auf "Ja" setzen.

Das lokale Verzeichnis auf der Zielereignissammlung. Das Verzeichnis muss vorhanden sein, bevor das AWS S3 REST API-Protokoll versucht, Ereignisse abzurufen.

S3-Endpunkt-URL

Diese Option ist verfügbar, wenn Sie "Erweiterte Optionen anzeigen " auf "Ja" setzen.

Die Endpunkt-URL, die zum Abfragen der AWS S3-REST-API verwendet wird.

Wenn Ihre Endpunkt-URL von der Standard-URL abweicht, geben Sie Ihre Endpunkt-URL ein. Der Standardwert ist https:// s3.amazonaws.com

Verwenden des pfadartigen Zugriffs von S3

Erzwingt für S3-Anforderungen die Verwendung des Pfadzugriffs.

Diese Methode wird von AWS als veraltet markiert. Es kann jedoch erforderlich sein, wenn Sie andere S3-kompatible APIs verwenden.

Proxy verwenden

Wenn JSA über einen Proxy auf Amazon Web Service zugreift, aktivieren Sie Proxy verwenden.

Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder "Proxy-Server", "Proxy-Port", "Proxy-Benutzername" und "Proxy-Kennwort ".

Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie das Feld Proxy-IP oder Hostname .

Wiederholung

Gibt an, wie oft eine Umfrage durchgeführt wird, um nach neuen Daten zu suchen.

Wenn Sie die SQS-Ereignissammlungsmethode verwenden, können SQS-Ereignisbenachrichtigungen einen Mindestwert von 10 (Sekunden) aufweisen. Da der SQS-Warteschlangenpoll häufiger auftreten kann, kann ein niedrigerer Wert verwendet werden.

Wenn Sie die Ereignissammlungsmethode "Verzeichnispräfix" verwenden, hat "Bestimmtes Präfix verwenden " einen Mindestwert von 60 (Sekunden) oder 1M. Da jede listBucket-Anforderung an einen AWS S3-Bucket Kosten für das Konto verursacht, dem der Bucket gehört, erhöht ein kleinerer Wiederholungswert die Kosten.

Geben Sie ein Zeitintervall ein, um zu bestimmen, wie häufig das Remoteverzeichnis nach neuen Ereignisprotokolldateien durchsucht wird. Der Mindestwert beträgt 1 Minute. Das Zeitintervall kann Werte in Stunden (H), Minuten (M) oder Tagen (D) enthalten. Beispiel: 2H = 2 Stunden, 15 M = 15 Minuten.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde, die an die Datenflusspipeline gesendet werden. Der Standardwert ist 5000.

Stellen Sie sicher, dass der EPS-Drosselungswert höher ist als die eingehende Rate, da sonst die Datenverarbeitung in Rückstand geraten könnte.

S3-Erfassungsmethode

Wählen Sie Bestimmtes Präfix verwenden aus.

Bucket-Name

Der Name des AWS S3-Buckets, in dem die Protokolldateien gespeichert sind.

Verzeichnis-Präfix

Der Speicherort des Stammverzeichnisses im AWS S3-Bucket, von dem die CloudTrail-Protokolle abgerufen werden; Beispiel : AWSLogs/<AccountNumber>/CloudTrial/<RegionName>/

Um Dateien aus dem Stammverzeichnis eines Buckets abzurufen, müssen Sie einen Schrägstrich (/) im Dateipfad für Verzeichnispräfix verwenden.

S3-Erfassungsmethode

Wählen Sie SQS-Ereignisbenachrichtigungen aus.

SQS-Warteschlangen-URL

Die vollständige URL, die mit beginnt, für die SQS-Warteschlange, die so eingerichtet ist, dass sie Benachrichtigungen für ObjectCreated-Ereignisse von S3 empfängt.

Hersteller

Amazonas

DSM-Name

Ein benutzerdefinierter Protokollquellentyp

RPM-Dateiname

AWS S3 REST API-PROTOKOLL

Unterstützte Versionen

Datenstromprotokolle v5

Protokoll

AWS S3 REST API-PROTOKOLL

Format der Veranstaltung

IPFIX durch Verwendung von JSA-Datenstromquellen

Aufgezeichnete Ereignistypen

Netzwerkdatenströme

Automatisch erkannt?

Nein

Beinhaltet Identität?

Nein

Enthält benutzerdefinierte Eigenschaften?

Nein

Weitere Informationen

(https:// docs.aws.amazon.com/vpc/latest/userguide/flowlogs. html)

Protokollkonfiguration

Wählen Sie Amazon Web Services aus der Liste Protokollkonfiguration aus.

Authentifizierungsmethode

• Zugriffsschlüssel-ID / Geheimer Schlüssel – Standardauthentifizierung, die von überall aus verwendet werden kann.

• EC2-Instance-IAM-Rolle – Wenn Ihr von JSA verwalteter Host in einer AWS EC2-Instance ausgeführt wird, wird bei Auswahl dieser Option die IAM-Rolle aus den Metadaten verwendet, die der Instance für die Authentifizierung zugewiesen sind. Es sind keine Schlüssel erforderlich. Diese Methode funktioniert nur für verwaltete Hosts, die in einem AWS EC2-Container ausgeführt werden.

Zugriffsschlüssel

Die Zugriffsschlüssel-ID, die generiert wurde, als Sie die Sicherheitsanmeldeinformationen für Ihr AWS-Benutzerkonto konfiguriert haben.

Wenn Sie Zugriffsschlüssel-ID / Geheimer Schlüssel ausgewählt haben, wird der Parameter Zugriffsschlüssel angezeigt.

Geheimer Schlüssel

Der geheime Schlüssel, der generiert wurde, als Sie die Sicherheitsanmeldeinformationen für Ihr AWS-Benutzerkonto konfiguriert haben.

Wenn Sie Zugriffsschlüssel-ID / Geheimer Schlüssel ausgewählt haben, wird der Parameter Zugriffsschlüssel angezeigt.

Regionen

Aktivieren Sie das Kontrollkästchen für jede Region, die mit dem Amazon Web Service verknüpft ist, von dem Sie Protokolle erfassen möchten.

Andere Regionen

Geben Sie die Namen aller zusätzlichen Regionen ein, die mit dem Amazon Web Service verknüpft sind, von dem Sie Protokolle erfassen möchten. Verwenden Sie zum Erfassen aus mehreren Regionen eine durch Kommas getrennte Liste, wie im folgenden Beispiel gezeigt: region1,region2

AWS-Service

Der Name des Amazon Web Service. Wählen Sie in der Liste AWS Service die Option CloudWatch Logs aus.

Protokollgruppe

Der Name der Protokollgruppe in Amazon CloudWatch, aus der Sie Protokolle erfassen möchten.

Protokoll-Stream (optional)

Der Name des Protokolldatenstroms innerhalb einer Protokollgruppe. Wenn Sie Protokolle aus allen Protokolldatenströmen innerhalb einer Protokollgruppe sammeln möchten, lassen Sie dieses Feld leer.

Filtermuster (optional)

Geben Sie ein Muster zum Filtern der gesammelten Ereignisse ein. Bei diesem Muster handelt es sich nicht um einen Regex-Filter. Nur die Ereignisse, die genau den von Ihnen angegebenen Wert enthalten, werden von CloudWatch Logs erfasst. Wenn Sie ACCEPT als Wert für das Filtermuster eingeben, werden nur die Ereignisse erfasst, die das Wort ACCEPT enthalten, wie im folgenden Beispiel gezeigt.

{LogStreamName: LogStreamTest,Timestamp: 0,
Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Ursprüngliches Ereignis extrahieren

Um nur das ursprüngliche Ereignis, das den CloudWatch-Protokollen hinzugefügt wurde, an JSA weiterzuleiten, wählen Sie diese Option aus.

CloudWatch-Protokolle umschließen die Ereignisse, die sie empfangen, mit zusätzlichen Metadaten.

Das ursprüngliche Ereignis ist der Wert für den Nachrichtenschlüssel, der aus dem CloudWatch-Protokoll extrahiert wird. Das folgende Beispiel für ein CloudWatch-Protokollereignis zeigt das ursprüngliche Ereignis, das aus dem CloudWatch-Protokoll extrahiert wurde, in fettem Text:

{"owner":"123456789012","subscriptionFilters":
["allEvents"],"logEvents":
[{"id":"35093963143971327215510178578576502306458824699048362100","mes
sage":"{\"eventVersion\":\"1.05\",\"userIdentity\":
{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test
_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role/
CVDevABRoleToBeAssumed/
test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId
\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":
{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\
"arn:aws:iam::123456789012:role/
CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\
"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":
{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54
Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudt
rail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"
apnortheast-
1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":
null,\"responseElements\":null,\"requestID\":\"41e62e80-
b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-
f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipi
entAccountId\":\"123456789012\"}","timestamp":1573667733143}],"message
Type":"DATA_MESSAGE","logGroup":"CloudTrail/
DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}

Verwendung als Gateway-Protokollquelle

Wenn Sie keinen benutzerdefinierten Protokollquellenbezeichner für Ereignisse definieren möchten, stellen Sie sicher, dass dieses Kontrollkästchen deaktiviert ist.

Muster für Protokollquellen-IDs

Wenn Sie Als Gateway-Protokollquelle verwenden ausgewählt haben, verwenden Sie diese Option, um eine benutzerdefinierte Protokollquellen-ID für Ereignisse zu definieren, die verarbeitet werden.

Verwenden Sie Schlüssel-Wert-Paare, um den benutzerdefinierten Protokollquellenbezeichner zu definieren. Der Schlüssel ist die Bezeichnerformatzeichenfolge, bei der es sich um den resultierenden Quell- oder Ursprungswert handelt. Der Wert ist das zugeordnete Regex-Muster, das zum Auswerten der aktuellen Nutzlast verwendet wird. Dieser Wert unterstützt auch Erfassungsgruppen, mit denen der Schlüssel weiter angepasst werden kann.

Definieren Sie mehrere Schlüssel-Wert-Paare, indem Sie jedes Muster in einer neuen Zeile eingeben. Mehrere Muster werden in der Reihenfolge ausgewertet, in der sie aufgelistet sind. Wenn eine Übereinstimmung gefunden wird, wird eine benutzerdefinierte Protokollquellen-ID angezeigt.

Die folgenden Beispiele zeigen mehrere Schlüssel-Wert-Paarfunktionen.

• Muster - VPC=\sREJECT\sFAILURE

  $1=\s(ABLEHNEN)\sOK

  VPC-$1-$2=\s(AKZEPTIEREN)\s(OK)

• Ereignisse - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• Resultierende benutzerdefinierte Protokollquellen-ID:

  VPC-AKZEPTIEREN-OK

Proxy verwenden

Wenn JSA über einen Proxy auf Amazon Web Service zugreift, wählen Sie diese Option aus.

Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder "Proxy-Server", "Proxy-Port", "Proxy-Benutzername" und "Proxy-Kennwort ". Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxyserver und Proxyport .

Automatisches Abrufen von Serverzertifikaten

Wählen Sie Ja aus, damit JSA das Serverzertifikat automatisch herunterlädt und dem Zielserver vertraut.

Sie können diese Option verwenden, um eine neu erstellte Protokollquelle zu initialisieren und Zertifikate abzurufen oder abgelaufene Zertifikate zu ersetzen.

EPS-Drosselklappe

Die Obergrenze für die maximale Anzahl von Ereignissen pro Sekunde (EPS). Der Standardwert ist 5000.

Wenn die Option Als Gateway-Protokollquelle verwenden ausgewählt ist, ist dieser Wert optional.

Wenn der Wert des Parameters "EPS-Drosselung" leer gelassen wird, wird von der JSA kein EPS-Limit auferlegt.

Bootstrap-Serverliste

Der <Hostname/ip>:<Port> der Bootstrap-Server (oder die Bootstrap-Server). In einer durch Kommas getrennten Liste können mehrere Server angegeben werden, wie in diesem Beispiel: hostname1:9092,10.1.1.1:9092

Verbrauchergruppe

Eine eindeutige Zeichenfolge oder Bezeichnung, die die Consumergruppe identifiziert, zu der diese Protokollquelle gehört.

Jeder Datensatz, der in einem Kafka-Thema veröffentlicht wird, wird an eine Consumerinstanz innerhalb jeder abonnierten Consumergruppe übermittelt. Kafka verwendet diese Bezeichnungen, um einen Lastenausgleich für die Datensätze über alle Consumerinstanzen in einer Gruppe durchzuführen.

Methode zum Abonnieren von Themen

Die Methode, die zum Abonnieren von Kafka-Themen verwendet wird. Verwenden Sie die Option Themen auflisten , um eine bestimmte Liste von Themen anzugeben. Verwenden Sie die Option Regex-Mustervergleich , um einen regulären Ausdruck anzugeben, der mit verfügbaren Themen abgeglichen werden soll.

Themenliste

Eine Liste von Themennamen, die abonniert werden können. Die Liste muss durch Kommas getrennt werden. Beispiel: Topic1,Topic2,Topic3.

Diese Option wird nur angezeigt, wenn für die Option Themenabonnementmethode die Option "Themen auflisten" ausgewählt ist.

Themenfiltermuster

Ein regulärer Ausdruck, der mit den Themen übereinstimmt, die abonniert werden sollen.

Diese Option wird nur angezeigt, wenn Regex-Musterabgleich für die Option Themenabonnementmethode ausgewählt ist.

Verwenden der SASL-Authentifizierung

Mit dieser Option werden Konfigurationsoptionen für die SASL-Authentifizierung angezeigt.

Bei Verwendung ohne Clientauthentifizierung müssen Sie eine Kopie des Serverzertifikats im /opt/qradar/conf/ trusted_certificates/ Verzeichnis ablegen.

Verwenden der Clientauthentifizierung

Zeigt die Konfigurationsoptionen für die Clientauthentifizierung an.

/Schlüsselspeichertyp/Speichertyp vertrauen

Das Archivdateiformat für Ihren Keystore- und Truststore-Typ. Für das Archivdateiformat stehen folgende Optionen zur Verfügung:

• JKS

• PKCS12-KARTON

Dateiname des Trust-Speichers

Der Name der Truststore-Datei. Der Truststore muss in /opt/qradar/conf/trusted_certificates/ kafka/ platziert werden.

Die Datei enthält den Benutzernamen und das Kennwort.

Keystore-Dateiname

Der Name der Keystore-Datei. Der Keystore muss in /opt/qradar/conf/trusted_certificates/ kafka/ abgelegt werden.

Die Datei enthält den Benutzernamen und das Kennwort.

Verwendung als Gateway-Protokollquelle

Mit dieser Option können erfasste Ereignisse die JSA-Datenverkehrsanalyse-Engine durchlaufen und automatisch die entsprechenden Protokollquellen erkennen.

Muster für Protokollquellen-IDs

Definiert einen benutzerdefinierten Protokollquellenbezeichner für Ereignisse, die verarbeitet werden, wenn das Kontrollkästchen Als Gateway-Protokollquelle verwenden aktiviert ist.

Schlüssel-Wert-Paare werden verwendet, um den benutzerdefinierten Protokollquellenbezeichner zu definieren. Der Schlüssel ist die Bezeichnerformatzeichenfolge, bei der es sich um den resultierenden Quell- oder Ursprungswert handelt. Der Wert ist das zugeordnete Regex-Muster, das zum Auswerten der aktuellen Nutzlast verwendet wird. Dieser Wert unterstützt auch Erfassungsgruppen, mit denen der Schlüssel weiter angepasst werden kann.

MehrereSchlüssel-Wert-Paare werden definiert, indem jedes Muster in eine neue Zeile eingegeben wird. Mehrere Muster werden in der Reihenfolge ausgewertet, in der sie aufgelistet sind. Wenn eine Übereinstimmung gefunden wird, wird eine benutzerdefinierte Protokollquellen-ID angezeigt.

Die folgenden Beispiele zeigen mehrere Schlüssel-Wert-Paarfunktionen.

Muster

1. VPC=\sREJECT\sFAILURE

2. $1=\s(REJECT)\sOK

3. VPC-$1-$2=\s(ACCEPT)\s(OK)

Ereignisse

1. {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Resultierende benutzerdefinierte Protokollquellen-ID

1. VPC-ACCEPT-OK

Ersetzen von Zeichenfolgen

Ersetzt bestimmte Literalzeichenfolgen in der Ereignisnutzlast durch tatsächliche Zeichen. Eine oder mehrere der folgenden Optionen sind verfügbar:

• Zeilenumbruch(CR LF) Zeichen (\r\n)

• Zeilenvorschubzeichen (\n)

• Wagenrücklaufzeichen (\r)

• Tabulatorzeichen (\t)

• Leerzeichen (\s)

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde (EPS). Wenn das Feld leer ist, wird keine Drosselung angewendet.

API-Benutzername

Der API-Benutzername, der für die Authentifizierung beim Blue Coat Web Security Service verwendet wird. Der API-Benutzername wird über das Blue Coat Threat Pulse Portal konfiguriert.

Passwort

Das Kennwort, das für die Authentifizierung beim Blue Coat Web Security Service verwendet wird.

Passwort bestätigen

Bestätigung des Passwortfeldes .

Proxy verwenden

Wenn Sie einen Proxy konfigurieren, wird der gesamte Datenverkehr für die Protokollquelle über den Proxy geleitet, damit JSA auf den Blue Coat Web Security Service zugreifen kann.

Konfigurieren Sie die Felder Proxy-IP oder Hostname, Proxy-Port, Proxy-Benutzername und Proxy-Kennwort. Wenn für den Proxy keine Authentifizierung erforderlich ist, können Sie die Felder "Proxy-Benutzername" und "Proxy-Kennwort " leer lassen.

Wiederholung

Sie können angeben, wann das Protokoll Daten sammelt. Das Format ist M/H/D für Monate/Stunden/Tage. Der Standardwert ist 5 M.

EPS-Drosselklappe

Die Obergrenze für die maximale Anzahl von Ereignissen pro Sekunde (EPS). Der Standardwert ist 5000.

Typ der Protokollquelle

Centrify Identity-Plattform

Protokollkonfiguration

Centrify Redrock REST-API

Kennung der Protokollquelle

Ein eindeutiger Name für die Protokollquelle.

Der Bezeichner der Protokollquelle kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Der Bezeichner der Protokollquelle kann mit dem Namen der Protokollquelle identisch sein. Wenn Sie mehr als eine konfigurierte Centrify Identity Platform-Protokollquelle haben, sollten Sie die erste Protokollquelle als , die zweite Protokollquelle als centrify1centrify2und die dritte Protokollquelle als centrify3identifizieren.

Mandanten-ID

Die von Centrify zugewiesene eindeutige Kunden- oder Mandanten-ID.

Mandanten-URL

Automatisch generierte Mandanten-URL für die angegebene Mandanten-ID. Zum Beispiel tenantId.my.centrify.com

Nutzername

Der Benutzername, der dem Cloud-Service für Centrify Identity Platform zugeordnet ist.

Passwort

Das Passwort, das mit dem Centrify Identity Platform-Benutzernamen verknüpft ist.

Filter für die Ereignisprotokollierung

Wählen Sie die Protokollierungsebene der Ereignisse aus, die Sie abrufen möchten. Info, Warnung und Fehler sind wählbar. Mindestens ein Filter muss ausgewählt sein.

Nicht vertrauenswürdige Zertifikate zulassen

Aktivieren Sie diese Option, um selbstsignierte, nicht vertrauenswürdige Zertifikate zuzulassen. Aktivieren Sie diese Option nicht für SaaS-gehostete Mandanten. Bei Bedarf können Sie diese Option jedoch für andere Mandantenkonfigurationen aktivieren.

Das Zertifikat muss im PEM- oder DER-kodierten Binärformat heruntergeladen und dann im Verzeichnis /opt/ qradar/conf/trusted_certificates/ mit der Dateierweiterung .cert oder .crt abgelegt werden.

Proxy verwenden

Wenn ein Proxy konfiguriert ist, wird der gesamte Datenverkehr von der Centrify Redrock REST API über den Proxy geleitet.

Konfigurieren Sie die Felder Proxy-Server, Proxy-Port, Proxy-Benutzername und Proxy-Kennwort . Wenn für den Proxy keine Authentifizierung erforderlich ist, können Sie die Felder "Proxy-Benutzername " und "Proxy-Kennwort " leer lassen.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde. Der Standardwert ist 5000.

Wiederholung

Das Zeitintervall kann in Stunden (H), Minuten (M) oder Tagen (D) angegeben werden. Der Standardwert ist 5 Minuten (5 M).

Protokollkonfiguration

Cisco Firepower eStreamer

Server-Port

Die Portnummer, für die die Cisco Firepower eStreamer-Services konfiguriert sind, um Verbindungsanforderungen zu akzeptieren.

Der Standardport, den JSA für Cisco Firepower eStreamer verwendet, ist 8302.

Keystore-Dateiname

Der Verzeichnispfad und der Dateiname für den privaten Schlüssel des Keystores und das zugehörige Zertifikat. Standardmäßig erstellt das Importskript die Keystore-Datei im folgenden Verzeichnis: /opt/qradar/conf/estreamer.keystore.

Truststore-Dateiname

Der Verzeichnispfad und der Dateiname für die Truststore-Dateien. Die Truststore-Datei enthält die Zertifikate, die vom Client als vertrauenswürdig eingestuft werden. Standardmäßig erstellt das Importskript die Truststore-Datei im folgenden Verzeichnis: /opt/qradar/conf/estreamer.truststore.

Fordern Sie zusätzliche Daten an

Wählen Sie diese Option aus, um zusätzliche Daten vom Cisco FirePOWER Management Center anzufordern, z. B. die ursprünglichen IP-Adresse eines Ereignisses.

Domäne

Die Domäne, von der aus die Ereignisse gestreamt werden.

Bei dem Wert im Feld Domäne muss es sich um eine vollqualifizierte Domäne handeln. Das bedeutet, dass alle Vorgänger der gewünschten Domäne aufgelistet werden müssen, beginnend mit der Domäne der obersten Ebene und endend mit der Blattdomäne, von der Sie Ereignisse anfordern möchten.

Beispiel:

Global ist die Domäne der obersten Ebene, B ist eine Domäne der zweiten Ebene, die eine Subdomäne von Global ist, und C ist eine Domäne der dritten Ebene und eine Blattdomäne, die eine Subdomäne von B ist. Um Ereignisse von C anzufordern, geben Sie den folgenden Wert für den Parameter Domain ein:

Global \ B \ C

Protokollkonfiguration

Cisco NSEL

Kennung der Protokollquelle

Wenn das Netzwerk Geräte enthält, die mit einer Verwaltungskonsole verbunden sind, können Sie die IP-Adresse des einzelnen Geräts angeben, das das Ereignis erstellt hat. Eine eindeutige Kennung für jedes Dokument, z. B. eine IP-Adresse, verhindert, dass bei der Ereignissuche die Verwaltungskonsole als Quelle für alle Ereignisse identifiziert wird.

Collector-Port

Die UDP-Portnummer, die Cisco ASA zum Weiterleiten von NSEL-Ereignissen verwendet. JSA verwendet Port 2055 für Datenstromdaten auf JSA-Datenflussprozessoren. Sie müssen der Cisco Adaptive Security Appliance für NetFlow einen anderen UDP-Port zuweisen.

Protokollkonfiguration

EMC VMware

Kennung der Protokollquelle

Der Wert für diesen Parameter muss mit dem VMware-IP-Parameter übereinstimmen.

VMware-IP

Die IP-Adresse des VMWare ESXi-Servers. Das VMware-Protokoll hängt HTTPS an die IP-Adresse Ihres VMware ESXi-Servers an, bevor das Protokoll Ereignisdaten anfordert.

Typ der Anmeldeinformationen für das Dienstkonto

Geben Sie an, woher die erforderlichen Anmeldeinformationen für das Dienstkonto stammen.

Stellen Sie sicher, dass das zugeordnete Dienstkonto über die Rolle Pub/ Sub-Abonnent oder die spezifischere Berechtigung pubsub.subscriptions.consume für den konfigurierten Abonnementnamen in GCP verfügt.

Benutzerverwalteter Schlüssel

Wird im Feld Dienstkontoschlüssel angegeben, indem Sie den vollständigen JSON-Text aus einem heruntergeladenen Dienstkontoschlüssel eingeben.

Verwalteter GCP-Schlüssel

Stellen Sie sicher, dass der von JSA verwaltete Host in einer GCP Compute-Instanz ausgeführt wird und die Cloud API-Zugriffsbereiche Cloud Pub/Sub enthalten.

Name des Abonnements

Der vollständige Name des Cloud Pub/Sub-Abonnements. Beispiel: projects/my-project/subscriptions/my-subscription.

Verwendung als Gateway-Protokollquelle

Wählen Sie diese Option aus, damit die erfassten Ereignisse die JSA-Datenverkehrsanalyse-Engine durchlaufen und JSA automatisch eine oder mehrere Protokollquellen erkennt.

Wenn Sie diese Option auswählen, kann das Protokollquellen-ID-Muster optional verwendet werden, um eine benutzerdefinierte Protokollquellen-ID für die verarbeiteten Ereignisse zu definieren.

Muster für Protokollquellen-IDs

Wenn die Option Als Gateway-Protokollquelle verwenden ausgewählt ist, verwenden Sie diese Option, um einen benutzerdefinierten Protokollquellenbezeichner für Ereignisse zu definieren, die verarbeitet werden. Wenn das Log Source Identifier Pattern nicht konfiguriert ist, empfängt JSA Ereignisse als unbekannte generische Protokollquellen.

Das Feld "Muster für Protokollquellenbezeichner" akzeptiert Schlüssel-Wert-Paare, z. B. Schlüssel = Wert, um den benutzerdefinierten Protokollquellenbezeichner für Ereignisse zu definieren, die verarbeitet werden, und um Protokollquellen gegebenenfalls automatisch zu ermitteln. Key ist der Identifier Format String, bei dem es sich um den resultierenden Quell- oder Ursprungswert handelt. Value ist das zugeordnete Regex-Muster, das zum Auswerten der aktuellen Nutzlast verwendet wird. Der Wert (Regex-Muster) unterstützt auch Erfassungsgruppen, die verwendet werden können, um den Schlüssel weiter anzupassen (Identifier Format String).

Sie können mehrere Schlüssel-Wert-Paare definieren, indem Sie jedes Muster in einer neuen Zeile eingeben. Wenn mehrere Muster verwendet werden, werden sie der Reihe nach ausgewertet, bis eine Übereinstimmung gefunden wird. Wenn eine Übereinstimmung gefunden wird, wird eine benutzerdefinierte Protokollquellen-ID angezeigt.

Die folgenden Beispiele veranschaulichen die Funktionalität mehrerer Schlüssel-Wert-Paare:

Muster

VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

Ereignisse

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Resultierende benutzerdefinierte Protokollquellen-ID

VPC-ACCEPT-OK

Proxy verwenden

Wählen Sie diese Option aus, damit JSA über einen Proxy eine Verbindung mit dem GCP herstellen kann.

Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder "Proxy-Server", "Proxy-Port", "Proxy-Benutzername" und "Proxy-Kennwort ".

Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxyserver und Proxyport .

Proxy-IP oder Hostname

Die IP- oder Hostname des Proxyservers.

Proxy-Port

Die Portnummer, die für die Kommunikation mit dem Proxyserver verwendet wird.

Der Standardwert ist 8080.

Proxy-Benutzername

Nur erforderlich, wenn der Proxy eine Authentifizierung erfordert.

Proxy-Passwort

Nur erforderlich, wenn der Proxy eine Authentifizierung erfordert.

EPS-Drosselklappe

Die Obergrenze für die maximale Anzahl von Ereignissen pro Sekunde (EPS), die diese Protokollquelle nicht überschreiten darf. Der Standardwert ist 5000.

Wenn die Option Als Gateway-Protokollquelle verwenden ausgewählt ist, ist dieser Wert optional.

Wenn der Wert des Parameters "EPS-Drosselung " leer gelassen wird, wird von JSA kein EPS-Grenzwert auferlegt.

Kennung der Protokollquelle

Geben Sie einen eindeutigen Namen für die Protokollquelle ein.

Der Bezeichner der Protokollquelle kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Der Bezeichner der Protokollquelle kann mit dem Namen der Protokollquelle identisch sein. Wenn Sie mehr als eine Google G Suite-Protokollquelle konfiguriert haben, sollten Sie eindeutige Bezeichner erstellen. Sie können z. B. die erste Protokollquelle als googlegsuite1, die zweite Protokollquelle als googlegsuite2und die dritte Protokollquelle als googlegsuite3.

Benutzerkonto

Google-Nutzerkonto, das über Berechtigungen für Berichte verfügt.

Anmeldeinformationen für das Dienstkonto

Autorisiert den Zugriff auf die APIs von Google zum Abrufen der Ereignisse. Die Anmeldedaten für das Dienstkonto sind in einer Datei im JSON-Format enthalten, die Sie herunterladen, wenn Sie ein neues Dienstkonto in der Google Cloud Platform erstellen.

Proxy verwenden

Wenn JSA über einen Proxy auf Google G Suite zugreift, aktivieren Sie diese Option.

Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder "Proxy-Server", "Proxy-Port", "Proxy-Benutzername" und "Proxy-Kennwort ".

Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxyserver und Proxyport .

Wiederholung

Das Zeitintervall zwischen den Abfragen von Protokollquellen an die Google G Suite Activity Reports API für neue Ereignisse. Das Zeitintervall kann in Stunden (H), Minuten (M) oder Tagen (D) angegeben werden.

Der Standardwert ist 5 Minuten.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde.

Ereignisverzögerung

Die Verzögerung (in Sekunden) für die Datenerfassung.

Google G Suite-Protokolle arbeiten an einem eventuellen Auslieferungssystem. Um sicherzustellen, dass keine Daten übersehen werden, werden Protokolle verzögert erfasst.

Die Standardverzögerung beträgt 7200 Sekunden (2 Stunden) und kann auf bis zu 0 Sekunden eingestellt werden.

Protokollkonfiguration

Wählen Sie in der Liste HTTP-Empfänger aus.

Kennung der Protokollquelle

Die IP-Adresse, der Hostname oder ein anderer Name zur Identifizierung des Geräts.

Muss für den Typ der Protokollquelle eindeutig sein.

Art der Kommunikation

Wählen Sie HTTP oder HTTPs oder HTTPs und Clientauthentifizierung aus.

Clientzertifikatpfad

Wenn Sie HTTPs und Clientauthentifizierung als Kommunikationstyp auswählen, müssen Sie den absoluten Pfad zum Clientzertifikat festlegen. Sie müssen das Clientzertifikat in die JSA-Konsole oder in den Ereignissammler für die Protokollquelle kopieren.

TLS-Version

Die TLS-Versionen, die mit diesem Protokoll verwendet werden können. Um die sicherste Version zu verwenden, wählen Sie die Option TLSv1.2 aus.

Wenn Sie eine Option mit mehreren verfügbaren Versionen auswählen, handelt die HTTPS-Verbindung die höchste Version aus, die sowohl vom Client als auch vom Server verfügbar ist.

Port abhören

Der Port, der von JSA verwendet wird, um eingehende HTTP-Empfängerereignisse zu akzeptieren. Der Standardport ist 12469.

Nachrichtenmuster

Standardmäßig wird der gesamte HTTP POST als einzelnes Ereignis verarbeitet. Um den POST in mehrere einzeilige Ereignisse aufzuteilen, geben Sie einen regulären Ausdruck an, um den Beginn jedes Ereignisses anzugeben.

Verwendung als Gateway-Protokollquelle

Wählen Sie diese Option aus, damit die erfassten Ereignisse die JSA-Datenverkehrsanalyse-Engine durchlaufen und JSA automatisch eine oder mehrere Protokollquellen erkennt.

Maximale Nutzlastlänge (Byte)

Die maximale Nutzlastgröße eines einzelnen Ereignisses in Bytes. Das Ereignis wird geteilt, wenn seine Nutzlastgröße diesen Wert überschreitet.

Der Standardwert ist 8192 und darf nicht größer als 32767 sein.

Maximale Anforderungslänge der POST-Methode (MB)

Die maximale Größe eines Anforderungstexts der POST-Methode in MB. Wenn die Größe eines POST-Anforderungstexts diesen Wert überschreitet, wird der HTTP 413-Statuscode zurückgegeben.

Der Standardwert ist 5 und darf nicht größer als 10 sein.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde (EPS), die dieses Protokoll nicht überschreiten soll. Der Standardwert ist 5000.

Name der Protokollquelle

Geben Sie einen eindeutigen Namen für die Protokollquelle ein.

Beschreibung der Protokollquelle (optional)

Geben Sie eine Beschreibung für die Protokollquelle ein.

Typ der Protokollquelle

Wählen Sie in der Liste Protokollquellentyp das Device Support Module (DSM) aus, das das JDBC-Protokoll verwendet.

Protokollkonfiguration

JDBC

Kennung der Protokollquelle

Geben Sie einen Namen für die Protokollquelle ein. Der Name darf keine Leerzeichen enthalten und muss unter allen Protokollquellen des Protokollquellentyps, der für die Verwendung des JDBC-Protokolls konfiguriert ist, eindeutig sein.

Wenn die Protokollquelle Ereignisse von einer einzelnen Appliance erfasst, die über eine statische IP-Adresse oder einen Hostnamen verfügt, verwenden Sie die IP-Adresse oder den Hostnamen der Appliance als gesamten oder einen Teil des Werts für die Protokollquellen-ID . Beispiel: 192.168.1.1 oder JDBC192.168.1.1. Wenn die Protokollquelle keine Ereignisse von einer einzelnen Appliance erfasst, die über eine statische IP-Adresse oder einen Hostnamen verfügt, können Sie einen beliebigen eindeutigen Namen für den Wert für die Protokollquellen-ID verwenden. zum Beispiel JDBC1, JDBC2.

Datenbanktyp

Wählen Sie den Datenbanktyp aus, der die Ereignisse enthält.

Name der Datenbank

Der Name der Datenbank, mit der Sie eine Verbindung herstellen möchten.

IP- oder Hostname

Die IP-Adresse oder der Hostname des Datenbankservers.

Hafen

Geben Sie den JDBC-Port ein. Der JDBC-Port muss mit dem Listen-Port übereinstimmen, der in der entfernten Datenbank konfiguriert ist. Die Datenbank muss eingehende TCP-Verbindungen zulassen. Die Datenbank muss eingehende TCP-Verbindungen zulassen. Der gültige Bereich liegt zwischen 1 und 65535.

Die Standardwerte sind:

• MSDE - 1433

• Postgres - 5432

• MySQL - 3306

• Sybase - 5000

• Orakel - 1521

• Informix – 9088

• DB2 - 50000

Wenn eine Datenbankinstanz mit dem MSDE-Datenbanktyp verwendet wird, müssen Administratoren den Parameter Port in der Protokollquellenkonfiguration leer lassen.

Nutzername

Ein Benutzerkonto für JSA in der Datenbank.

Passwort

Das Kennwort, das zum Herstellen einer Verbindung mit der Datenbank erforderlich ist.

Passwort bestätigen

Das Kennwort, das zum Herstellen einer Verbindung mit der Datenbank erforderlich ist.

Authentifizierungsdomäne (nur MSDE)

Wenn Sie Microsoft JDBC verwenden nicht ausgewählt haben, wird Authentifizierungsdomäne angezeigt.

Die Domäne für MSDE, bei der es sich um eine Windows-Domäne handelt. Wenn Ihr Netzwerk keine Domäne verwendet, lassen Sie dieses Feld leer.

Datenbankinstanz (nur MSDE oder Informix)

Die Datenbankinstanz, falls erforderlich. MSDE-Datenbanken können mehrere SQL Server-Instanzen auf einem Server enthalten.

Wenn ein nicht standardmäßiger Port für die Datenbank verwendet wird oder der Zugriff auf Port 1434 für die SQL-Datenbankauflösung blockiert ist, muss der Parameter Datenbankinstanz in der Protokollquellenkonfiguration leer sein.

Vordefinierte Abfrage (optional)

Wählen Sie eine vordefinierte Datenbankabfrage für die Protokollquelle aus. Wenn eine vordefinierte Abfrage für den Protokollquellentyp nicht verfügbar ist, können Administratoren keine auswählen.

Tabellenname

Der Name der Tabelle oder Sicht, die die Ereignisdatensätze enthält. Der Tabellenname kann die folgenden Sonderzeichen enthalten: Dollarzeichen ($), Nummernzeichen (#), Unterstrich (_), Bindestrich (-) und Punkt (.).

Liste auswählen

Die Liste der Felder, die eingeschlossen werden sollen, wenn die Tabelle nach Ereignissen abgefragt wird. Sie können eine durch Kommas getrennte Liste verwenden oder ein Sternchen (*) eingeben, um alle Felder aus der Tabelle oder Ansicht auszuwählen. Wenn eine durch Kommas getrennte Liste definiert ist, muss die Liste das Feld enthalten, das im Vergleichsfeld definiert ist.

Feld vergleichen

Ein numerisches Wert- oder Zeitstempelfeld aus der Tabelle oder Sicht, das neue Ereignisse identifiziert, die der Tabelle zwischen Abfragen hinzugefügt werden. Ermöglicht es dem Protokoll, Ereignisse zu identifizieren, die zuvor vom Protokoll abgefragt wurden, um sicherzustellen, dass keine doppelten Ereignisse erstellt werden.

Vorbereitete Anweisungen verwenden

Vorbereitete Anweisungen ermöglichen es der JDBC-Protokollquelle, die SQL-Anweisung einzurichten und die SQL-Anweisung dann mehrmals mit verschiedenen Parametern auszuführen. Aus Sicherheits- und Leistungsgründen können bei den meisten JDBC-Protokollkonfigurationen vorbereitete Anweisungen verwendet werden.

Startdatum und -uhrzeit (optional)

Wählen Sie das Startdatum und die Startzeit für den Datenbankabruf aus, oder geben Sie sie ein. Das Format ist yyyy-mm-dd HH:mm, wobei HH im 24-Stunden-Format angegeben wird.

Wenn dieser Parameter leer ist, beginnt der Abruf sofort und wird im angegebenen Abrufintervall wiederholt.

Dieser Parameter wird verwendet, um die Uhrzeit und das Datum festzulegen, an dem das Protokoll eine Verbindung mit der Zieldatenbank herstellt, um die Ereigniserfassung zu initialisieren. Er kann zusammen mit dem Parameter Abrufintervall verwendet werden, um bestimmte Zeitpläne für die Datenbankabfragen zu konfigurieren. Beispielsweise um sicherzustellen, dass die Abfrage jede Stunde um fünf Minuten nach der vollen Stunde erfolgt, oder um sicherzustellen, dass die Abfrage jeden Tag genau um 1:00 Uhr erfolgt.

Dieser Parameter kann nicht zum Abrufen älterer Tabellenzeilen aus der Zieldatenbank verwendet werden. Wenn Sie z. B. den Parameter auf Letzte Woche festlegen, ruft das Protokoll nicht alle Tabellenzeilen aus der Vorwoche ab. Das Protokoll ruft Zeilen ab, die neuer sind als der Maximalwert des Vergleichsfelds bei der ersten Verbindung.

Abrufintervall

Geben Sie die Zeitspanne zwischen den Abfragen in der Ereignistabelle ein. Um ein längeres Abrufintervall zu definieren, hängen Sie H für Stunden oder M für Minuten an den numerischen Wert an

Das maximale Abrufintervall beträgt eine Woche.

EPS-Drosselklappe

Die Anzahl der Ereignisse pro Sekunde (EPS), die dieses Protokoll nicht überschreiten soll. Der gültige Bereich liegt zwischen 100 und 20.000.

Sicherheitsmechanismus (nur Db2)

Wählen Sie in der Liste den Sicherheitsmechanismus aus, der von Ihrem Db2-Server unterstützt wird. Wenn Sie keinen Sicherheitsmechanismus auswählen möchten, wählen Sie Keine aus.

Der Standardwert ist Keine.

Weitere Informationen zu Sicherheitsmechanismen, die von Db2-Umgebungen unterstützt werden, finden Sie im https://support.juniper.net/support/downloads/.

Named Pipe-Kommunikation verwenden (nur MSDE)

Wenn Sie Microsoft JDBC verwenden nicht ausgewählt haben, wird Named Pipe-Kommunikation verwenden angezeigt.

Bei MSDE-Datenbanken müssen im Feld Benutzername und Kennwort ein Benutzername und ein Kennwort für die Windows-Authentifizierung und nicht der Benutzername und das Kennwort für die Datenbank verwendet werden. Bei der Konfiguration der Protokollquelle muss die standardmäßige Named Pipe in der MSDE-Datenbank verwendet werden.

Name des Datenbankclusters (nur MSDE)

Wenn Sie Named Pipe-Kommunikation verwenden ausgewählt haben, wird der Parameter Named Pipe-Kommunikation verwenden angezeigt.

Wenn Sie den SQL-Server in einer Clusterumgebung ausführen, definieren Sie den Clusternamen, um sicherzustellen, dass die Named Pipe-Kommunikation ordnungsgemäß funktioniert.

Verwenden von NTLMv2 (nur MSDE)

Wenn Sie Microsoft JDBC verwenden nicht ausgewählt haben, wird NTLMv2 verwenden angezeigt.

Wählen Sie diese Option aus, wenn MSDE-Verbindungen das NTLMv2-Protokoll verwenden sollen, wenn sie mit SQL-Servern kommunizieren, für die eine NTLMv2-Authentifizierung erforderlich ist. Diese Option unterbricht nicht die Kommunikation für MSDE-Verbindungen, für die keine NTLMv2-Authentifizierung erforderlich ist.

Unterbricht nicht die Kommunikation für MSDE-Verbindungen, für die keine NTLMv2-Authentifizierung erforderlich ist.

Verwenden von Microsoft JDBC (nur MSDE)

Wenn Sie den Microsoft JDBC-Treiber verwenden möchten, müssen Sie Microsoft JDBC verwenden aktivieren.

SSL verwenden (nur MSDE)

Wählen Sie diese Option aus, wenn Ihre Verbindung SSL unterstützt. Diese Option wird nur für MSDE angezeigt.

Hostname des SSL-Zertifikats

Dieses Feld ist erforderlich, wenn sowohl Microsoft JDBC als auch SSL verwenden aktiviert sind.

Bei diesem Wert muss es sich um den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für den Host handeln. Die IP-Adresse ist nicht zulässig.

Weitere Informationen zu SSL-Zertifikaten und JDBC finden Sie in den Verfahren unter den folgenden Links:

• QRadar: Konfigurieren von JDBC über SSL mit einem selbstsignierten Zertifikat

• Konfigurieren von JDBC über SSL mit einem extern signierten Zertifikat

Verwenden der Oracle-Verschlüsselung

Die Einstellungen für Oracle-Verschlüsselung und Datenintegrität werden auch als Oracle Advanced Security bezeichnet.

Wenn diese Option ausgewählt ist, muss der Server für Oracle JDBC-Verbindungen ähnliche Oracle Data Encryption-Einstellungen wie der Client unterstützen.

Datenbank-Gebietsschema (nur Informix)

Verwenden Sie dieses Feld für mehrsprachige Installationen, um die zu verwendende Sprache anzugeben.

Code-Set (nur Informix)

Der Parameter Codesatz wird angezeigt, nachdem Sie eine Sprache für mehrsprachige Installationen ausgewählt haben. Verwenden Sie dieses Feld, um den zu verwendenden Zeichensatz anzugeben.

Ermöglichte

Aktivieren Sie dieses Kontrollkästchen, um die Protokollquelle zu aktivieren. Standardmäßig ist das Kontrollkästchen aktiviert.

Glaubwürdigkeit

Wählen Sie in der Liste die Glaubwürdigkeit der Protokollquelle aus. Der Bereich liegt zwischen 0 und 10.

Die Glaubwürdigkeit gibt die Integrität eines Ereignisses oder Vergehens an, die durch die Glaubwürdigkeitsbewertung der Quellgeräte bestimmt wird. Die Glaubwürdigkeit steigt, wenn mehrere Quellen über dasselbe Ereignis berichten. Der Standardwert ist 5.

Zielereignis-Collector

Wählen Sie den Zielereignissammler aus, der als Ziel für die Protokollquelle verwendet werden soll.

Koaleszenz-Veranstaltungen

Aktivieren Sie das Kontrollkästchen Koaleszenzereignisse , damit die Protokollquelle Ereignisse zusammenführen (bündeln) kann.

Standardmäßig erben automatisch erkannte Protokollquellen den Wert der Liste Koaleszenzereignisse aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Store-Ereignis-Payload

Aktivieren Sie das Kontrollkästchen Ereignisnutzlast speichern , damit die Protokollquelle Ereignisnutzlastinformationen speichern kann.

Standardmäßig erben automatisch ermittelte Protokollquellen den Wert der Store-Ereignis-Payload-Liste aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Protokollkonfiguration

JDBC - SiteProtector

Datenbanktyp

Wählen Sie in der Liste MSDE als Datenbanktyp aus, der für die Ereignisquelle verwendet werden soll.

Name der Datenbank

Geben Sie RealSecureDB den Namen der Datenbank ein, mit der das Protokoll eine Verbindung herstellen kann.

IP- oder Hostname

Die IP-Adresse oder der Hostname des Datenbankservers.

Hafen

Die Portnummer, die vom Datenbankserver verwendet wird. Der JDBC SiteProtector Konfigurationsport muss mit dem Listener-Port der Datenbank übereinstimmen. In der Datenbank müssen eingehende TCP-Verbindungen aktiviert sein. Wenn Sie eine Datenbankinstanz definieren, wenn Sie MSDE als Datenbanktyp verwenden, müssen Sie den Parameter Port in der Protokollquellenkonfiguration leer lassen.

Nutzername

Wenn Sie den Zugriff auf eine Datenbank über das JDBC-Protokoll nachverfolgen möchten, können Sie einen bestimmten Benutzer für Ihr JSA-System erstellen.

Authentifizierungsdomäne

Wenn Sie MSDE auswählen und die Datenbank für Windows konfiguriert ist, müssen Sie eine Windows-Domäne definieren.

Wenn Ihr Netzwerk keine Domäne verwendet, lassen Sie dieses Feld leer.

Datenbank-Instanz

Wenn Sie MSDE auswählen und über mehrere SQL Server-Instanzen auf einem Server verfügen, definieren Sie die Instanz, mit der Sie eine Verbindung herstellen möchten. Wenn Sie in Ihrer Datenbankkonfiguration einen nicht standardmäßigen Port verwenden oder der Zugriff auf Port 1434 für die SQL-Datenbankauflösung blockiert ist, müssen Sie den Parameter Datenbankinstanz in Ihrer Konfiguration leer lassen.

Vordefinierte Abfrage

Die vordefinierte Datenbankabfrage für Ihre Protokollquelle. Vordefinierte Datenbankabfragen sind nur für spezielle Protokollquellenverbindungen verfügbar.

Tabellenname

SensorData1

Name der AVP-Ansicht

SensorDataAVP

Name der Antwortansicht

SensorDataResponse

Liste auswählen

Geben Sie * ein, um alle Felder aus der Tabelle oder Sicht einzuschließen.

Feld vergleichen

SensorDataRowID

Vorbereitete Anweisungen verwenden

Vorbereitete Anweisungen ermöglichen es der JDBC-Protokollquelle, die SQL-Anweisung einzurichten und die SQL-Anweisung dann mehrmals mit verschiedenen Parametern auszuführen. Verwenden Sie aus Sicherheits- und Leistungsgründen vorbereitete Anweisungen. Sie können dieses Kontrollkästchen deaktivieren, um eine alternative Abfragemethode zu verwenden, die keine vorkompilierten Anweisungen verwendet.

Audit-Ereignisse einschließen

Gibt an, dass Audit-Ereignisse von IBM Proventia Management SiteProtector erfasst werden sollen.

Startdatum und -uhrzeit

Wahlfrei. Ein Startdatum und eine Startzeit, zu der das Protokoll mit dem Abfragen der Datenbank beginnen kann.

Abrufintervall

Die Zeitspanne zwischen Abfragen an die Ereignistabelle. Sie können ein längeres Abrufintervall definieren, indem Sie H für Stunden oder M für Minuten an den numerischen Wert anhängen. Numerische Werte ohne H- oder M-Bezeichnerabfrage in Sekunden.

EPS-Drosselklappe

Die Anzahl der Ereignisse pro Sekunde (EPS), die dieses Protokoll nicht überschreiten soll.

Gebietsschema der Datenbank

Verwenden Sie für mehrsprachige Installationen das Feld Datenbankgebietsschema , um die zu verwendende Sprache anzugeben.

Datenbank-Codesatz

Verwenden Sie für mehrsprachige Installationen das Feld Codesatz , um den zu verwendenden Zeichensatz anzugeben.

Verwenden der Named Pipe-Kommunikation

Wenn Sie die Windows-Authentifizierung verwenden, aktivieren Sie diesen Parameter, um die Authentifizierung beim AD-Server zuzulassen. Wenn Sie die SQL-Authentifizierung verwenden, deaktivieren Sie die Named Pipe-Kommunikation.

Name des Datenbank-Clusters

Der Clustername, um sicherzustellen, dass die Named Pipe-Kommunikation ordnungsgemäß funktioniert.

Verwenden von NTLMv2

Erzwingt die Verwendung des NTLMv2-Protokolls durch MSDE-Verbindungen mit SQL-Servern, die eine NTLMv2-Authentifizierung erfordern. Das Kontrollkästchen NTLMv2 verwenden unterbricht nicht die Kommunikation für MSDE-Verbindungen, für die keine NTLMv2-Authentifizierung erforderlich ist.

SSL verwenden

Aktiviert die SSL-Verschlüsselung für das JDBC-Protokoll.

Protokollquellsprache

Wählen Sie die Sprache der Ereignisse aus, die von der Protokollquelle generiert werden. Die Protokollquellsprache hilft dem System, Ereignisse von externen Appliances oder Betriebssystemen zu analysieren, die Ereignisse in mehreren Sprachen erstellen können.

Typ der Protokollquelle

Netzwerk- und Sicherheitsmanager von Juniper Networks

Protokollkonfiguration

Juniper NSM

Protokollkonfiguration

Sicherheit Binärer Protokollsammler

Speicherort der XML-Vorlagendatei

Der Pfad zu der XML-Datei, die zum Decodieren des Binärdatenstroms von Ihrem Juniper Services Gateway der SRX-Serie oder Juniper Appliance der J-Serie verwendet wird. Standardmäßig enthält das Device Support Module (DSM) eine XML-Datei zum Dekodieren des Binärdatenstroms.

Die XML-Datei befindet sich im folgenden Verzeichnis: /opt/qradar/conf/security_log.xml.

Protokollkonfiguration

Protokolldatei

Wählen Sie das Protokoll aus, das beim Abrufen von Protokolldateien von einem Remoteserver verwendet werden soll.

• SFTP – Sicheres Dateiübertragungsprotokoll (Standard)

• FTP - Dateiübertragungsprotokoll

• FTPS - Dateiübertragungsprotokoll sicher

• SCP - Sicheres Kopierprotokoll

• AWS – Amazon Web Services

Der Server, den Sie im Feld Remote-IP oder Hostname angeben, muss das SFTP-Subsystem für das Abrufen von Protokolldateien mit SCP oder SFTP aktivieren.

Remote-Port

Wenn der Remote-Host eine nicht standardmäßige Portnummer verwendet, müssen Sie den Portwert anpassen, um Ereignisse abzurufen.

SSH-Schlüsseldatei

Wenn das System für die Verwendung der Schlüsselauthentifizierung konfiguriert ist, geben Sie den SSH-Schlüssel ein. Wenn eine SSH-Schlüsseldatei verwendet wird, wird das Feld "Remote-Kennwort " ignoriert.

Der SSH-Schlüssel muss sich im Verzeichnis /opt/qradar/conf/keys befinden.

Remote-Verzeichnis

Wenn sich die Protokolldateien für FTP im Home-Verzeichnis des Remote-Benutzers befinden, können Sie das Remote-Verzeichnis leer lassen. Ein leeres Feld für ein Remote-Verzeichnis unterstützt Systeme, bei denen eine Änderung des Befehls im Arbeitsverzeichnis (CWD) eingeschränkt ist.

Rekursiv

Aktivieren Sie dieses Kontrollkästchen, damit FTP- oder SFTP-Verbindungen Unterordner des Remote-Verzeichnisses rekursiv nach Ereignisdaten durchsuchen können. Daten, die aus Unterordnern gesammelt werden, hängen von Übereinstimmungen mit dem regulären Ausdruck im FTP-Dateimuster ab. Die Option Rekursiv ist für SCP-Verbindungen nicht verfügbar.

FTP-Dateimuster

Der reguläre Ausdruck (Regex), der benötigt wird, um die Dateien zu identifizieren, die vom Remotehost heruntergeladen werden sollen.

FTP-Übertragungsmodus

Für ASCII-Übertragungen über FTP müssen Sie im Feld Prozessor und LINEBYLINE im Feld Ereignisgenerator auswählenNONE.

Die TLS-Versionen, die mit FTPS-Verbindungen verwendet werden können. Um die sicherste Version zu verwenden, wählen Sie die Option TLSv1.2 aus. Wenn Sie eine Option mit mehreren verfügbaren Versionen auswählen, handelt die FTPS-Verbindung die höchste Version aus, die sowohl vom Client als auch vom Server verfügbar ist.

Diese Option kann nur konfiguriert werden, wenn Sie im Parameter Diensttyp FTPS ausgewählt haben.

Wiederholung

Das Zeitintervall, in dem bestimmt wird, wie häufig das Remoteverzeichnis nach neuen Ereignisprotokolldateien durchsucht wird. Das Zeitintervall kann Werte in Stunden (H), Minuten (M) oder Tagen (D) enthalten. Bei einer Wiederholung von 2 Stunden wird das Remote-Verzeichnis beispielsweise alle 2 Stunden gescannt.

Beim Speichern ausführen

Startet den Import der Protokolldatei unmittelbar nach dem Speichern der Protokollquellenkonfiguration. Wenn dieses Markierungsfeld aktiviert ist, wird die Liste der zuvor heruntergeladenen und verarbeiteten Dateien gelöscht. Nach dem ersten Dateiimport folgt das Protokolldateiprotokoll der Startzeit und dem Wiederholungszeitplan, der vom Administrator definiert wird.

EPS-Drosselklappe

Die Anzahl der Ereignisse pro Sekunde (EPS), die das Protokoll nicht überschreiten darf.

Lokales Verzeichnis wechseln?

Ändert das lokale Verzeichnis in der Zielereignissammlung , um Ereignisprotokolle zu speichern, bevor sie verarbeitet werden.

Lokales Verzeichnis

Das lokale Verzeichnis auf der Zielereignissammlung. Das Verzeichnis muss vorhanden sein, bevor das Protokolldateiprotokoll versucht, Ereignisse abzurufen.

Dateikodierung

Die Zeichencodierung, die von den Ereignissen in der Protokolldatei verwendet wird.

Ordnertrennzeichen

Das Zeichen, das zum Trennen von Ordnern für Ihr Betriebssystem verwendet wird. Bei den meisten Konfigurationen kann der Standardwert im Feld Ordnertrennzeichen verwendet werden. Dieses Feld ist für Betriebssysteme gedacht, die ein anderes Zeichen verwenden, um separate Ordner zu definieren. Zum Beispiel Punkte, die Ordner auf Mainframe-Systemen trennen.

Verwenden der Event Hub-Verbindungszeichenfolge

Authentifizieren Sie sich mit einem Azure Event Hub mithilfe einer Verbindungszeichenfolge.

Event Hub-Verbindungszeichenfolge

Autorisierungszeichenfolge, die den Zugriff auf einen Event Hub ermöglicht. Zum Beispiel

Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>

Verbrauchergruppe

Gibt die Ansicht an, die während der Verbindung verwendet wird. Jede Verbrauchergruppe unterhält ihr eigenes Sitzungs-Tracking. Jede Verbindung, die Consumergruppen und Verbindungsinformationen gemeinsam nutzt, teilt Informationen zur Sitzungsverfolgung.

Verwenden der Verbindungszeichenfolge für das Speicherkonto

Authentifiziert sich mit einem Azure Storage-Konto mithilfe einer Verbindungszeichenfolge.

Verbindungszeichenfolge für Speicherkonto

Autorisierungszeichenfolge, die den Zugriff auf ein Speicherkonto ermöglicht. Zum Beispiel

DefaultEndpointsProtocol=https;Account Name=<Stor Account Name>AccountKey=<StorageAccount Key>;EndpointSuffix=core.windows.net

Formatieren von Azure Linux-Ereignissen in Syslog

Formatiert Azure Linux-Protokolle in einem einzeiligen Syslog-Format, das der standardmäßigen Syslog-Protokollierung von Linux-Systemen ähnelt.

Verwendung als Gateway-Protokollquelle

Wählen Sie diese Option aus, damit die erfassten Ereignisse die JSA-Datenverkehrsanalyse-Engine durchlaufen und JSA automatisch eine oder mehrere Protokollquellen erkennt.

Wenn Sie diese Option auswählen, kann das Protokollquellen-ID-Muster optional verwendet werden, um eine benutzerdefinierte Protokollquellen-ID für Ereignisse zu definieren, die verarbeitet werden.

Muster für Protokollquellen-IDs

Wenn die Option Als Gateway-Protokollquelle verwenden ausgewählt ist, verwenden Sie diese Option, um einen benutzerdefinierten Protokollquellenbezeichner für Ereignisse zu definieren, die verarbeitet werden. Wenn das Log Source Identifier Pattern nicht konfiguriert ist, empfängt JSA Ereignisse als unbekannte generische Protokollquellen.

Das Feld "Muster für Protokollquellenbezeichner" akzeptiert Schlüssel-Wert-Paare, z. B. Schlüssel = Wert, um den benutzerdefinierten Protokollquellenbezeichner für Ereignisse zu definieren, die verarbeitet werden, und um Protokollquellen gegebenenfalls automatisch zu ermitteln. Key ist der Identifier Format String, bei dem es sich um den resultierenden Quell- oder Ursprungswert handelt. Value ist das zugeordnete Regex-Muster, das zum Auswerten der aktuellen Nutzlast verwendet wird. Der Wert (Regex-Muster) unterstützt auch Erfassungsgruppen, die verwendet werden können, um den Schlüssel weiter anzupassen (Identifier Format String).

Sie können mehrere Schlüssel-Wert-Paare definieren, indem Sie jedes Muster in einer neuen Zeile eingeben. Wenn mehrere Muster verwendet werden, werden sie der Reihe nach ausgewertet, bis eine Übereinstimmung gefunden wird. Wenn eine Übereinstimmung gefunden wird, wird eine benutzerdefinierte Protokollquellen-ID angezeigt.

Die folgenden Beispiele veranschaulichen die Funktionalität mehrerer Schlüssel-Wert-Paare:

Muster VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

Ereignisse {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Resultierende benutzerdefinierte Protokollquellen-ID VPC-ACCEPT-OK

Verwenden der prädiktiven Analyse

Wenn Sie diesen Parameter aktivieren, extrahiert ein Algorithmus Protokollquellen-ID-Muster aus Ereignissen, ohne den regulären Ausdruck für jedes Ereignis auszuführen, wodurch die Analysegeschwindigkeit erhöht wird.

Aktivieren Sie die prädiktive Analyse nur für Protokollquellentypen, bei denen Sie hohe Ereignisraten erwarten und die eine schnellere Analyse erfordern.

Proxy verwenden

Wenn Sie einen Proxy konfigurieren, wird der gesamte Datenverkehr für die Protokollquelle über den Proxy übertragen, um auf den Azure Event Hub zuzugreifen. Nachdem Sie diesen Parameter aktiviert haben, konfigurieren Sie die Felder Proxy-IP oder Hostname, Proxy-Port, Proxy-Benutzername und Proxy-Kennwort .

Wenn der Proxy keine Authentifizierung benötigt, können Sie die Felder "Proxy-Benutzername " und "Proxy-Kennwort " leer lassen.

Proxy-IP oder Hostname

Die IP-Adresse oder der Hostname des Proxyservers.

Dieser Parameter wird angezeigt, wenn Proxy verwenden aktiviert ist.

Proxy-Port

Die Portnummer, die für die Kommunikation mit dem Proxy verwendet wird. Der Standardwert ist 8080.

Dieser Parameter wird angezeigt, wenn Proxy verwenden aktiviert ist.

Proxy-Benutzername

Der Benutzername für den Zugriff auf den Proxyserver.

Dieser Parameter wird angezeigt, wenn Proxy verwenden aktiviert ist.

Proxy-Passwort

Das Kennwort für den Zugriff auf den Proxyserver.

Dieser Parameter wird angezeigt, wenn Proxy verwenden aktiviert ist.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde (EPS). Der Standardwert ist 5000.

Veraltet – Name des Namespace

Diese Option wird angezeigt, wenn die Option Event Hub-Verbindungszeichenfolge verwenden auf Aus festgelegt ist.

Der Name des Verzeichnisses der obersten Ebene, das die Event Hub-Entitäten in der Microsoft Azure Event Hubs-Benutzeroberfläche enthält.

Veraltet – Event Hub-Name

Diese Option wird angezeigt, wenn die Option Event Hub-Verbindungszeichenfolge verwenden auf Aus festgelegt ist.

Der Bezeichner für den Event Hub, auf den Sie zugreifen möchten. Der Event Hub-Name muss mit einer der Event Hub-Entitäten innerhalb des Namespace übereinstimmen.

Veraltet – SAS-Schlüsselname

Diese Option wird angezeigt, wenn die Option Event Hub-Verbindungszeichenfolge verwenden auf Aus festgelegt ist.

Der SAS-Name (Shared Access Signature) identifiziert den Herausgeber des Ereignisses.

Veraltet – SAS-Schlüssel

Diese Option wird angezeigt, wenn die Option Event Hub-Verbindungszeichenfolge verwenden auf Aus festgelegt ist.

Der SAS-Schlüssel (Shared Access Signature) authentifiziert den Herausgeber des Ereignisses.

Veraltet – Name des Speicherkontos

Diese Option wird angezeigt, wenn die Option "Verbindungszeichenfolge für Speicherkonto verwenden " auf "Aus" festgelegt ist.

Der Name des Speicherkontos, in dem Event Hub-Daten gespeichert sind.

Der Name des Speicherkontos ist Teil des Authentifizierungsprozesses, der für den Zugriff auf Daten im Azure Storage-Konto erforderlich ist.

Veraltet – Speicherkontoschlüssel

Diese Option wird angezeigt, wenn die Option "Verbindungszeichenfolge für Speicherkonto verwenden " auf "Aus" festgelegt ist.

Ein Autorisierungsschlüssel, der für die Authentifizierung des Speicherkontos verwendet wird.

Der Speicherkontoschlüssel ist Teil des Authentifizierungsprozesses, der für den Zugriff auf Daten im Azure Storage-Konto erforderlich ist.

Typ der Protokollquelle

Microsoft 365 Defender

Protokollkonfiguration

Microsoft Defender für Endpunkt SIEM-REST-API

Autorisierungsserver-URL

Die URL für den Server, der die Autorisierung zum Abrufen eines Zugriffstokens bereitstellt. Das Zugriffstoken wird als Autorisierung zum Sammeln von Ereignissen von Microsoft 365 Defender verwendet.

Die Autorisierungsserver-URL verwendet das folgende Format:

wobei <Tenant_ID> eine UUID ist.

Ressource

Die Ressource, die für den Zugriff auf Microsoft 365 Defender SIEM-API-Ereignisse verwendet wird.

Client-ID

Stellt sicher, dass der Benutzer zum Abrufen eines Zugriffstokens autorisiert ist.

Geheimer Clientschlüssel

Der Wert für den geheimen Clientschlüssel wird nur einmal angezeigt und ist dann nicht mehr sichtbar. Wenn Sie keinen Zugriff auf den Wert des geheimen Clientschlüssels haben, wenden Sie sich an Ihren Microsoft Azure-Administrator, um einen neuen geheimen Clientschlüssel anzufordern.

Region

Wählen Sie die Regionen aus, die der Microsoft 365 Defender SIEM-API zugeordnet sind und aus denen Sie Protokolle sammeln möchten.

Andere Region

Geben Sie die Namen aller zusätzlichen Regionen ein, die der Microsoft 365 Defender SIEM-API zugeordnet sind und von denen Sie Protokolle sammeln möchten.

Verwenden Sie eine durch Kommas getrennte Liste. Beispiel: Region1, Region2.

GCC-Endpunkte verwenden

Aktivieren oder deaktivieren Sie die Verwendung von GCC- und GCC High- und DOD-Endpunkten . GCC- und GCC High- und DOD-Endgeräte sind Endgeräte für Kunden der US-Regierung.

Weitere Informationen finden Sie unter Microsoft Defender für Endpunkt für Kunden der US-Regierung.

GCC-Typ

Wählen Sie GCC oder GCC High & DOD aus.

• GCC: Microsofts Community Cloud für Behörden

• GCC High & DoD: Konform mit den Vorschriften

  vom Verteidigungsministerium.

Proxy verwenden

Wenn ein Proxy für JSA konfiguriert ist, wird der gesamte Datenverkehr für die Protokollquelle über den Proxy geleitet, sodass JSA auf die Microsoft 365 Defender SIEM-API zugreifen kann.

Konfigurieren Sie die Felder Proxy-Server, Proxy-Port, Proxy-Benutzername und Proxy-Kennwort . Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxyserver und Proxyport .

Wiederholung

Sie können angeben, wie oft das Protokoll Daten sammelt. Das Format ist M/H/T für Minuten/Stunden/Tage.

Der Standardwert ist 5 M.

EPS-Drosselklappe

Die Obergrenze für die maximale Anzahl von Ereignissen pro Sekunde (EPS). Der Standardwert ist 5000.

Protokollkonfiguration

Microsoft DHCP

Kennung der Protokollquelle

Geben Sie einen eindeutigen Hostnamen oder einen anderen Bezeichner ein, der für die Protokollquelle eindeutig ist.

Serveradresse

Die IP-Adresse oder der Hostname Ihres Microsoft DHCP-Servers.

Domäne

Geben Sie die Domäne für Ihren Microsoft DHCP-Server ein.

Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.

Nutzername

Geben Sie den Benutzernamen ein, der für den Zugriff auf den DHCP-Server erforderlich ist.

Passwort

Geben Sie das Kennwort ein, das für den Zugriff auf den DHCP-Server erforderlich ist.

Passwort bestätigen

Geben Sie das Kennwort ein, das für den Zugriff auf den Server erforderlich ist.

Ordnerpfad

Der Verzeichnispfad zu den DHCP-Protokolldateien. Der Standardwert ist /WINDOWS/system32/dhcp/

Dateimuster

Der reguläre Ausdruck (Regex), der Ereignisprotokolle identifiziert. Die Protokolldateien müssen eine dreistellige Abkürzung für einen Wochentag enthalten. Verwenden Sie eines der folgenden Dateimuster:

Englisch:

• IPv4-Dateimuster: DhcpSrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• IPv6-Dateimuster: DhcpV6SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• Gemischtes IPv4- und IPv6-Dateimuster: Dhcp.*SrvLog- (?:Sun|Mo|Di|Mi|Do|Fr|Sa)\.log.

• Gemischtes IPv4- und IPv6-Dateimuster: Dhcp.*SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

Polnisch:

• IPv4-Dateimuster: DhcpSrvLog-(?:Pia|Pon|Sob|Wto|Sro|Csw|Nie) \.log.

• IPv6-Dateimuster: DhcpV6SrvLog-(?:Pt|Pon|So|Wt|Si|Csw|Nie) \.log.

Rekursiv

Wählen Sie diese Option aus, wenn das Dateimuster die Unterordner durchsuchen soll.

SMB-Version

Die zu verwendende SMB-Version:

AUTO - Erkennt automatisch die höchste Version, deren Verwendung der Client und der Server zustimmen.

SMB1: Erzwingt die Verwendung von SMB1. SMB1 verwendet die jCIFS.jar Datei (Java ARchive).

SMB2 - Erzwingt die Verwendung von SMB2. SMB2 verwendet die jNQ.jar Datei.

SMB3 - Erzwingt die Verwendung von SMB3. SMB3 verwendet die jNQ.jar Datei.

Abrufintervall (in Sekunden)

Die Anzahl der Sekunden zwischen Abfragen der Protokolldateien, um nach neuen Daten zu suchen. Das minimale Abrufintervall beträgt 10 Sekunden. Das maximale Abrufintervall beträgt 3.600 Sekunden.

Drosselungsereignisse/Sek.

Die maximale Anzahl von Ereignissen, die das DHCP-Protokoll pro Sekunde weiterleiten kann. Der Mindestwert beträgt 100 EPS. Der Maximalwert beträgt 20.000 EPS.

Dateikodierung

Die Zeichencodierung, die von den Ereignissen in der Protokolldatei verwendet wird.

Ermöglichte

Wenn diese Option nicht aktiviert ist, erfasst die Protokollquelle keine Ereignisse und wird nicht in das Lizenzlimit einbezogen.

Glaubwürdigkeit

Glaubwürdigkeit ist eine Darstellung der Integrität oder Gültigkeit von Ereignissen, die von einer Protokollquelle erstellt werden. Der Glaubwürdigkeitswert, der einer Protokollquelle zugewiesen wird, kann basierend auf eingehenden Ereignissen erhöht oder verringert oder als Reaktion auf vom Benutzer erstellte Ereignisregeln angepasst werden. Die Glaubwürdigkeit von Ereignissen aus Protokollquellen trägt zur Berechnung der Magnitude eines Verstoßes bei und kann den Magnitudenwert eines Verstoßes erhöhen oder verringern.

Zielereignis-Collector

Gibt den JSA-Ereignissammler an, der die Remote-Protokollquelle abfragt.

Verwenden Sie diesen Parameter in einer verteilten Bereitstellung, um die Leistung des Konsolensystems zu verbessern, indem Sie den Abruftask in eine Ereignissammlung verschieben.

Koaleszenz-Veranstaltungen

Erhöht die Anzahl der Ereignisse, wenn dasselbe Ereignis mehrmals innerhalb eines kurzen Zeitintervalls auftritt. Koaleszierte Ereignisse bieten eine Möglichkeit, die Häufigkeit, mit der ein einzelner Ereignistyp auftritt, auf der Registerkarte Protokollaktivität anzuzeigen und zu bestimmen.

Wenn dieses Kontrollkästchen deaktiviert ist, werden Ereignisse einzeln angezeigt und Ereignisse nicht gebündelt.

Neue und automatisch ermittelte Protokollquellen erben den Wert dieses Kontrollkästchens aus der Systemeinstellungskonfiguration auf der Registerkarte Admin . Sie können dieses Kontrollkästchen verwenden, um das Standardverhalten der Systemeinstellungen für eine einzelne Protokollquelle außer Kraft zu setzen.

Protokollkonfiguration

Microsoft Exchange

Kennung der Protokollquelle

Geben Sie die IP-Adresse, den Hostnamen oder den Namen ein, um die Protokollquelle zu identifizieren.

Serveradresse

Die IP-Adresse oder der Hostname Ihres Microsoft Exchange-Servers.

Domäne

Geben Sie die Domäne für Ihren Microsoft Exchange-Server ein.

Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.

Nutzername

Geben Sie den Benutzernamen ein, der für den Zugriff auf den Microsoft Exchange-Server erforderlich ist.

Passwort

Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Microsoft Exchange-Server erforderlich ist.

Passwort bestätigen

Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Microsoft Exchange-Server erforderlich ist.

SMTP-Protokollordnerpfad

Der Verzeichnispfad für den Zugriff auf die SMTP-Protokolldateien.

Der Standarddateipfad lautet Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog

Wenn der Ordnerpfad leer ist, ist die SMTP-Ereignissammlung deaktiviert.

OWA-Protokollordnerpfad

Der Verzeichnispfad für den Zugriff auf OWA-Protokolldateien.

Der Standarddateipfad lautet Windows/system32/LogFiles/W3SVC1

Wenn der Ordnerpfad leer ist, ist die OWA-Ereignisauflistung deaktiviert.

MSGTRK-Protokollordnerpfad

Der Verzeichnispfad für den Zugriff auf Nachrichtenverfolgungsprotokolle.

Der Standarddateipfad lautet Program Files/Microsoft/Exchange Server/TransportRoles/Logs/MessageTracking

Die Nachrichtenverfolgung ist auf Microsoft Exchange 2017- oder 2010-Servern verfügbar, denen die Serverrolle Hub-Transport, Postfach oder Edge-Transport zugewiesen ist.

Benutzerdefinierte Dateimuster verwenden

Aktivieren Sie dieses Kontrollkästchen, um benutzerdefinierte Dateimuster zu konfigurieren. Lassen Sie das Kontrollkästchen deaktiviert, um die Standarddateimuster zu verwenden.

MSGTRK-Dateimuster

Der reguläre Ausdruck (Regex), der zum Identifizieren und Herunterladen der MSTRK-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

Das Standarddateimuster ist MSGTRK\d+-\d+\.(?:log|LOG)$

Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

MSGTRKMD-Dateimuster

Der reguläre Ausdruck (Regex), der zum Identifizieren und Herunterladen der MSGTRKMD-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

Das Standarddateimuster ist MSGTRKMD\d+-\d+\.(?:log|LOG)$

Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

MSGTRKMS-Dateimuster

Der reguläre Ausdruck (Regex), der zum Identifizieren und Herunterladen der MSGTRKMS-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

Das Standarddateimuster ist MSGTRKMS\d+-\d+\.(?:log|LOG)$

Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

MSGTRKMA-Dateimuster

Der reguläre Ausdruck (Regex), der zum Identifizieren und Herunterladen der MSGTRKMA-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

Das Standarddateimuster ist MSGTRKMA\d+-\d+\.(?:log|

Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

SMTP-Dateimuster

Der reguläre Ausdruck (Regex), der zum Identifizieren und Herunterladen der SMTP-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

Das Standarddateimuster ist .*\.(?:log|LOG)$

Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

OWA-Dateimuster

Der reguläre Ausdruck (Regex), der zum Identifizieren und Herunterladen der OWA-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

Das Standarddateimuster ist .*\.(?:log|LOG)$

Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.

Lesen der Datei erzwingen

Wenn das Kontrollkästchen deaktiviert ist, wird die Protokolldatei nur gelesen, wenn JSA eine Änderung des Änderungszeitpunkts oder der Dateigröße erkennt.

Rekursiv

Wenn Sie möchten, dass das Dateimuster Unterordner durchsucht, verwenden Sie diese Option. Standardmäßig ist das Kontrollkästchen aktiviert.

SMB-Version

Wählen Sie die SMB-Version aus, die Sie verwenden möchten.

AUTO - Erkennt automatisch die höchste Version, deren Verwendung der Client und der Server zustimmen.

SMB1: Erzwingt die Verwendung von SMB1. SMB1 verwendet die jCIFS.jar Datei (Java ARchive)

SMB2 - Erzwingt die Verwendung von SMB2. SMB2 verwendet die jNQ.jar Datei.

SMB3 – Erzwingt die Verwendung von SMB3. SMB3 verwendet die jNQ.jar Datei.

Abrufintervall (in Sekunden)

Geben Sie das Abrufintervall ein, d. h. die Anzahl der Sekunden zwischen den Abfragen der Protokolldateien, um nach neuen Daten zu suchen. Der Standardwert ist 10 Sekunden.

Drosselungsereignisse/Sekunde

Die maximale Anzahl von Ereignissen, die das Microsoft Exchange-Protokoll pro Sekunde weiterleiten kann.

Dateikodierung

Die Zeichencodierung, die von den Ereignissen in der Protokolldatei verwendet wird.

Typ der Protokollquelle

Ein benutzerdefinierter Protokollquellentyp oder ein bestimmter DSM, der dieses Protokoll verwendet.

Protokollkonfiguration

Microsoft Graph-Sicherheits-API

Mandanten-ID

Der Mandanten-ID-Wert , der für die Microsoft Azure Active Directory-Authentifizierung verwendet wird.

Client-ID

Der Wert des Client-ID-Parameters aus der Anwendungskonfiguration von Microsoft Azure Active Directory.

Geheimer Clientschlüssel

Der Wert des Parameters "Geheimer Clientschlüssel " aus der Anwendungskonfiguration von Microsoft Azure Active Directory.

Ereignisfilter

Abrufen von Ereignissen mithilfe des Abfragefilters der Microsoft Security Graph-API. Beispiel: Schweregrad eq 'hoch'. Geben Sie nicht "filter=" vor dem Filterparameter ein.

Proxy verwenden

Wenn JSA über einen Proxy auf die Microsoft Graph-Sicherheits-API zugreift, aktivieren Sie dieses Kontrollkästchen.

Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxy-Hostname oder IP, Proxy-Port, Proxy-Benutzername und Proxy .

Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie die Felder "Proxy-Hostname" oder "IP" und "Proxy-Port ".

Proxy-IP oder Hostname

Die IP-Adresse oder der Hostname des Proxyservers.

Wenn Proxy verwenden auf False festgelegt ist, wird diese Option ausgeblendet.

Proxy-Port

Die Portnummer, die für die Kommunikation mit dem Proxy verwendet wird. Der Standardwert ist 8080.

Wenn Proxy verwenden auf False festgelegt ist, wird diese Option ausgeblendet.

Proxy-Benutzername

Der Benutzername, der für die Kommunikation mit dem Proxy verwendet wird.

Wenn Proxy verwenden auf False festgelegt ist, wird diese Option ausgeblendet.

Proxy-Passwort

Das Kennwort, das für den Zugriff auf den Proxy verwendet wird.

Wenn Proxy verwenden auf False festgelegt ist, wird diese Option ausgeblendet.

Wiederholung

Geben Sie ein Zeitintervall ein, das mit der Startzeit beginnt, um zu bestimmen, wie häufig die Abfrage nach neuen Daten sucht. Das Zeitintervall kann Werte in Stunden (H), Minuten (M) oder Tagen (D) enthalten. Zum Beispiel 2 Stunden - 2 Stunden, 15 Minuten - 15 Minuten. Der Standardwert ist 1M.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde (EPS). Der Standardwert ist 5000.

Erweiterte Optionen anzeigen

Um die erweiterten Optionen für die Ereigniserfassung zu konfigurieren, legen Sie diese Option auf Ein fest.

Anmelde-Endpunkt

Geben Sie den Azure AD-Anmeldeendpunkt an. Der Standardwert ist login.microsoftonline.com.

Wenn Sie die Option "Erweiterte Optionen anzeigen" deaktivieren, wird diese Option ausgeblendet.

Graph-API-Endpunkt

Geben Sie die URL der Microsoft Graph-Sicherheits-API an. Der Standardwert ist https://graph.microsoft.com.

Wenn Sie die Option "Erweiterte Optionen anzeigen" deaktivieren, wird diese Option ausgeblendet.

Protokollkonfiguration

Microsoft IIS

Kennung der Protokollquelle

Geben Sie die IP-Adresse, den Hostnamen oder einen eindeutigen Namen ein, um die Protokollquelle zu identifizieren.

Serveradresse

Die IP-Adresse oder der Hostname Ihres Microsoft IIS-Servers.

Domäne

Geben Sie die Domäne für Ihren Microsoft IIS-Server ein.

Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.

Nutzername

Geben Sie den Benutzernamen ein, der für den Zugriff auf den Server erforderlich ist.

Passwort

Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Server erforderlich ist.

Passwort bestätigen

Geben Sie das Kennwort ein, das für den Zugriff auf den Server erforderlich ist.

Pfad des Protokollordners

Der Verzeichnispfad für den Zugriff auf die Protokolldateien. Administratoren können z. B. das Verzeichnis c$/LogFiles/ für eine administrative Freigabe oder das Verzeichnis LogFiles/ für einen Ordnerpfad für die öffentliche Freigabe verwenden. Das Verzeichnis c:/LogFiles ist jedoch kein unterstützter Protokollordnerpfad.

Wenn ein Protokollordnerpfad eine administrative Freigabe (C$) enthält, verfügen Benutzer mit NetBIOS-Zugriff auf die administrative Freigabe (C$) über die Berechtigungen, die zum Lesen der Protokolldateien erforderlich sind.

Lokale System- oder Domänenadministratorrechte sind auch ausreichend, um auf Protokolldateien zuzugreifen, die sich auf einer administrativen Freigabe befinden.

Dateimuster

Der reguläre Ausdruck (Regex), der die Ereignisprotokolle identifiziert.

Rekursiv

Wenn Sie möchten, dass das Dateimuster Unterordner durchsucht, verwenden Sie diese Option. Standardmäßig ist das Kontrollkästchen aktiviert.

SMB-Version

Wählen Sie die SMB-Version aus, die Sie verwenden möchten.

AUTO - Erkennt automatisch die höchste Version, deren Verwendung der Client und der Server zustimmen.

SMB1: Erzwingt die Verwendung von SMB1. SMB1 verwendet die jCIFS.jar Datei (Java ARchive).

SMB2 - Erzwingt die Verwendung von SMB2. SMB2 verwendet die jNQ.jar Datei.

SMB3 - Erzwingt die Verwendung von SMB3. SMB3 verwendet die jNQ.jar Datei.

Abrufintervall (in Sekunden)

Geben Sie das Abrufintervall ein, d. h. die Anzahl der Sekunden zwischen den Abfragen der Protokolldateien, um nach neuen Daten zu suchen. Der Standardwert ist 10 Sekunden.

Drosselungsereignisse/Sekunde

Die maximale Anzahl von Ereignissen, die das IIS-Protokoll pro Sekunde weiterleiten kann.

Dateikodierung

Die Zeichencodierung, die von den Ereignissen in der Protokolldatei verwendet wird.

Protokollkonfiguration

Windows-Sicherheitsereignisprotokoll

Protokollname

MQ JMS

IP- oder Hostname

Die IP-Adresse oder der Hostname des primären Warteschlangenmanagers.

Hafen

Der Standardport, der für die Kommunikation mit dem primären Warteschlangenmanager verwendet wird, ist 1414.

Standby-IP oder Hostname

Die IP-Adresse oder der Hostname des Standby-Warteschlangenmanagers.

Standby-Port

Der Port, der für die Kommunikation mit dem Standby-Warteschlangenmanager verwendet wird.

Warteschlangenmanager

Der Name des Warteschlangenmanagers.

Kanal

Der Kanal, über den der Warteschlangenmanager Nachrichten sendet. Der Standardkanal ist SYSTEM. DEF. SVRCONN.

Schlange

Die Warteschlange oder Liste der zu überwachenden Warteschlangen. Eine Liste von Warteschlangen wird mit einer durch Kommas getrennten Liste angegeben.

Nutzername

Der Benutzername, der für die Authentifizierung beim MQ-Service verwendet wird.

Passwort

Optional: Das Kennwort, das für die Authentifizierung beim MQ-Dienst verwendet wird.

Codierung eingehender Nachrichten

Die Zeichencodierung, die von eingehenden Nachrichten verwendet wird.

Rechenfelder verarbeiten

Optional: Wählen Sie diese Option nur aus, wenn die abgerufenen Nachrichten Berechnungsdaten enthalten, die in einem COBOL-Copybook definiert sind. Die Binärdaten in den Nachrichten werden gemäß der Felddefinition in der angegebenen Copybook-Datei verarbeitet.

CopyBook-Dateiname

Dieser Parameter wird angezeigt, wenn "Berechnungsfelder verarbeiten" ausgewählt ist. Der Name der Copybook-Datei, die für die Verarbeitung von Daten verwendet werden soll. Die Copybook-Datei muss im Verzeichnis /store/ec/mqjms/* abgelegt werden.

Formatierungsprogramm für Ereignisse

Wählen Sie die Ereignisformatierung aus, die auf alle Ereignisse angewendet werden soll, die aus der Verarbeitung von Daten generiert werden, die Berechnungsfelder enthalten. Standardmäßig wird keine Formatierung verwendet.

JMS-Nachrichtenheader einschließen

Wählen Sie diese Option aus, um jedem generierten Ereignis einen Header hinzuzufügen, der JMSMessageID JMS-Meldungsfelder enthält, z. B. und JMSTimestamp.

EPS-Drosselklappe

Der Grenzwert für die maximale Anzahl von Ereignissen pro Sekunde (EPS).

Kennung der Protokollquelle

Ein eindeutiger Name für die Protokollquelle.

Der Name darf keine Leerzeichen enthalten und muss unter allen Protokollquellen dieses Typs, die mit dem REST-API-Protokoll für die Office 365-Nachrichtenablaufverfolgung konfiguriert sind, eindeutig sein.

E-Mail-Adresse des Office 365-Benutzerkontos

Um sich mit der REST-API für die Office 365-Nachrichtenablaufverfolgung zu authentifizieren, stellen Sie ein Office 365-E-Mail-Konto mit den entsprechenden Berechtigungen bereit.

Kennwort für Office 365-Benutzerkonto

Um sich mit der REST-API für die Office 365-Nachrichtenablaufverfolgung zu authentifizieren, geben Sie das Kennwort an, das der E-Mail-Adresse des Office 365-Benutzerkontos zugeordnet ist.

Ereignisverzögerung

Die Verzögerung (in Sekunden) für die Datenerfassung.

Office 365-Nachrichtenablaufverfolgungsprotokolle funktionieren für ein eventuelles Übermittlungssystem. Um sicherzustellen, dass keine Daten übersehen werden, werden Protokolle verzögert erfasst. Die Standardverzögerung beträgt 900 Sekunden (15 Minuten) und kann auf bis zu 0 Sekunden eingestellt werden.

Proxy verwenden

Wenn der Zugriff auf den Server über einen Proxy erfolgt, aktivieren Sie das Kontrollkästchen Proxy verwenden . Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder "Proxy-Server", "Proxy-Port", "Proxy-Benutzername" und "Proxy-Kennwort". Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxyserver und Proxyport .

Proxy-IP oder Hostname

Die IP-Adresse oder der Hostname des Proxyservers.

Proxy-Port

Die Portnummer, die für die Kommunikation mit dem Proxy verwendet wird. Der Standardwert ist 8080.

Proxy-Benutzername

Der Benutzername, der für den Zugriff auf den Proxyserver verwendet wird, wenn der Proxy eine Authentifizierung erfordert.

Proxy-Passwort

Das Kennwort, das für den Zugriff auf den Proxyserver verwendet wird, wenn der Proxy eine Authentifizierung erfordert.

Wiederholung

Das Zeitintervall zwischen Protokollquellenabfragen an die REST-API für die Office 365-Nachrichtenablaufverfolgung für neue Ereignisse.

Das Zeitintervall kann in Stunden (H), Minuten (M) oder Tagen (D) angegeben werden. Der Standardwert ist 5 Minuten.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde (EPS). Der Standardwert ist 5000.

Kennung der Protokollquelle

Ein eindeutiger Name für die Protokollquelle.

Der Bezeichner der Protokollquelle kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Der Bezeichner der Protokollquelle kann mit dem Namen der Protokollquelle identisch sein. Wenn Sie mehr als eine Okta-Protokollquelle konfiguriert haben, sollten Sie die erste Protokollquelle als okta1, die zweite Protokollquelle als okta2und die dritte Protokollquelle als okta3.

IP- oder Hostname

oktaprise.okta.com

Authentifizierungstoken

Ein einzelnes Authentifizierungstoken, das von der Okta-Konsole generiert wird und für alle API-Transaktionen verwendet werden muss.

Proxy verwenden

Wenn JSA über einen Proxy auf Okta zugreift, aktivieren Sie diese Option.

Wenn ein Proxy konfiguriert ist, wird der gesamte Datenverkehr für die Protokollquelle über den Proxy geleitet, damit JSA auf Okta zugreifen kann.

Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Hostname, Proxy-Port, Proxy-Benutzername und Proxy-Kennwort . Wenn für den Proxy keine Authentifizierung erforderlich ist, können Sie die Felder "Proxy-Benutzername " und "Proxy-Kennwort " leer lassen.

Hostname

Wenn Sie Proxy verwenden auswählen, wird dieser Parameter angezeigt.

Proxy-Port

Wenn Sie Proxy verwenden auswählen, wird dieser Parameter angezeigt.

Proxy-Benutzername

Wenn Sie Proxy verwenden auswählen, wird dieser Parameter angezeigt.

Proxy-Passwort

Wenn Sie Proxy verwenden auswählen, wird dieser Parameter angezeigt.

Wiederholung

Ein Zeitintervall, um zu bestimmen, wie häufig die Abfrage für neue Daten durchgeführt wird. Das Zeitintervall kann Werte in Stunden (H), Minuten (M) oder Tagen (D) enthalten. Beispiel: 2H = 2 Stunden, 15M = 15 Minuten, 30 = Sekunden. Der Standardwert ist 1M.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde, die an die Datenflusspipeline gesendet werden. Der Standardwert ist 5000.

Stellen Sie sicher, dass der EPS-Drosselungswert höher ist als die eingehende Rate, da sonst die Datenverarbeitung in Rückstand geraten könnte.

Protokollkonfiguration

OPSEC/LEA

Kennung der Protokollquelle

Die IP-Adresse, der Hostname oder ein anderer Name zur Identifizierung des Geräts.

Muss für den Typ der Protokollquelle eindeutig sein.

Server-IP

Geben Sie die IP-Adresse des Servers ein.

Server-Port

Die Portnummer, die für die OPSEC-Kommunikation verwendet wird. Der gültige Bereich liegt zwischen 0 und 65.536 und der Standardwert ist 18184.

Server-IP als Protokollquelle verwenden

Aktivieren Sie das Kontrollkästchen Server-IP für Protokollquelle verwenden , wenn Sie die IP-Adresse des LEA-Servers anstelle der IP-Adresse des verwalteten Geräts für eine Protokollquelle verwenden möchten. Standardmäßig ist das Kontrollkästchen aktiviert.

Intervall für Statistikberichte

Das Intervall in Sekunden, in dem die Anzahl der Syslog-Ereignisse in der qradar.log Datei aufgezeichnet wird. Der gültige Bereich liegt zwischen 4 und 2.147.483.648 und das Standardintervall ist 600.

Authentifizierungstyp

Wählen Sie aus der Liste den Authentifizierungstyp aus, den Sie für diese LEA-Konfiguration verwenden möchten. Die Optionen sind sslca (Standard), sslca_clear oder clear. Dieser Wert muss mit der Authentifizierungsmethode übereinstimmen, die vom Server verwendet wird.

SIC-Attribut des OPSEC-Anwendungsobjekts (SIC-Name)

Der Name Secure Internal Communications (SIC) ist der Distinguished Name (DN) der Anwendung, z . B.: CN=LEA, o=fwconsole.. 7PSASX.

SIC-Attribut für Protokollquelle (Name der Entitäts-SIC)

Der SIC-Name des Servers, zum Beispiel: cn=cp_mgmt,o=fwconsole.. 7psasxz.

Zertifikat angeben

Aktivieren Sie dieses Kontrollkästchen, wenn Sie ein Zertifikat für diese LEA-Konfiguration definieren möchten. JSA versucht, das Zertifikat mithilfe dieser Parameter abzurufen, wenn das Zertifikat benötigt wird.

Dateiname des Zertifikats

Diese Option wird nur angezeigt, wenn Zertifikat angeben ausgewählt ist. Geben Sie den Dateinamen des Zertifikats ein, das Sie für diese Konfiguration verwenden möchten. Die Zertifikatsdatei muss sich im Verzeichnis /opt/qradar/conf/ trusted_certificates/lea befinden.

IP-Adresse der Zertifizierungsstelle

Geben Sie die IP-Adresse des Check Point Manager-Servers ein.

Kennwort für Pull-Zertifikat

Geben Sie das Kennwort ein.

OPSEC-Anwendung

Der Name der Anwendung, die die Zertifikatanforderung stellt.

Ermöglichte

Aktivieren Sie dieses Kontrollkästchen, um die Protokollquelle zu aktivieren. Standardmäßig ist das Kontrollkästchen aktiviert.

Glaubwürdigkeit

Wählen Sie in der Liste die Glaubwürdigkeit der Protokollquelle aus. Der Bereich liegt zwischen 0 und 10.

Die Glaubwürdigkeit gibt die Integrität eines Ereignisses oder Vergehens an, die durch die Glaubwürdigkeitsbewertung der Quellgeräte bestimmt wird. Die Glaubwürdigkeit steigt, wenn mehrere Quellen über dasselbe Ereignis berichten. Der Standardwert ist 5.

Zielereignis-Collector

Wählen Sie in der Liste den Zielereignissammler aus, der als Ziel für die Protokollquelle verwendet werden soll.

Koaleszenz-Veranstaltungen

Aktivieren Sie das Kontrollkästchen Koaleszenzereignisse , damit die Protokollquelle Ereignisse zusammenführen (bündeln) kann.

Standardmäßig erben automatisch erkannte Protokollquellen den Wert der Liste Koaleszenzereignisse aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Store-Ereignis-Payload

Aktivieren Sie das Kontrollkästchen Ereignisnutzlast speichern , damit die Protokollquelle Informationen zu Ereignisnutzlasten speichern kann.

Standardmäßig erben automatisch ermittelte Protokollquellen den Wert der Store-Ereignis-Payload-Liste aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Protokollkonfiguration

Oracle Database Listener

Kennung der Protokollquelle

Geben Sie die IP-Adresse, den Hostnamen oder einen eindeutigen Namen ein, um die Protokollquelle zu identifizieren.

Serveradresse

Die IP-Adresse oder der Hostname des Oracle Database Listener-Servers.

Domäne

Geben Sie die Domäne für den Oracle Database Learner-Server ein.

Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.

Nutzername

Geben Sie den Benutzernamen ein, der für den Zugriff auf den Server erforderlich ist.

Passwort

Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Server erforderlich ist.

Passwort bestätigen

Geben Sie das Kennwort ein, das für den Zugriff auf den Server erforderlich ist.

Pfad des Protokollordners

Geben Sie den Verzeichnispfad für den Zugriff auf die Oracle Database Listener-Protokolldateien ein.

Dateimuster

Der reguläre Ausdruck (Regex), der die Ereignisprotokolle identifiziert.

Lesen der Datei erzwingen

Aktivieren Sie dieses Kontrollkästchen, um zu erzwingen, dass das Protokoll die Protokolldatei liest, wenn der Zeitpunkt des Abrufintervalls angegeben ist.

Wenn das Kontrollkästchen aktiviert ist, wird die Quelle der Protokolldatei immer untersucht, wenn das Abrufintervall angegeben ist, unabhängig vom Zeitpunkt der letzten Änderung oder dem Dateigrößenattribut.

Wenn das Kontrollkästchen nicht aktiviert ist, wird die Quelle der Protokolldatei im Abrufintervall überprüft, ob sich die Attribute für die letzte Änderung oder die Dateigröße geändert haben.

Rekursiv

Wenn Sie möchten, dass das Dateimuster Unterordner durchsucht, verwenden Sie diese Option. Standardmäßig ist das Kontrollkästchen aktiviert.

SMB-Version

Wählen Sie die SMB-Version aus, die Sie verwenden möchten:

AUTO - Erkennt automatisch die höchste Version, deren Verwendung der Client und der Server zustimmen.

SMB1: Erzwingt die Verwendung von SMB1. SMB1 verwendet die jCIFS.jar Datei (Java ARchive).

SMB2 - Erzwingt die Verwendung von SMB2. SMB2 verwendet die jNQ.jar Datei.

SMB3 - Erzwingt die Verwendung von SMB3. SMB3 verwendet die jNQ.jar Datei.

Abrufintervall (in Sekunden)

Geben Sie das Abrufintervall ein, d. h. die Anzahl der Sekunden zwischen den Abfragen der Protokolldateien, um nach neuen Daten zu suchen. Der Standardwert ist 10 Sekunden.

Drosselungsereignisse/Sek.

Die maximale Anzahl von Ereignissen, die das Oracle Database Listener-Protokoll pro Sekunde weiterleitet.

Dateikodierung

Die Zeichencodierung, die von den Ereignissen in der Protokolldatei verwendet wird.

Protokollkonfiguration

SDEE

Internetadresse

Die HTTP- oder HTTPS-URL, die für den Zugriff auf die Protokollquelle erforderlich ist, z. B. https://www.mysdeeserver.com/cgi-bin/sdee-server.

Für SDEE/CIDEE (Cisco IDS v5.x und höher) muss die URL mit /cgi-bin/sdee-serverenden. Administratoren mit RDEP (Cisco IDS v4.x) muss die URL mit /cgi-bin/event-serverenden.

Abonnement erzwingen

Wenn das Kontrollkästchen aktiviert ist, zwingt das Protokoll den Server, die am wenigsten aktive Verbindung zu trennen und eine neue SDEE-Abonnementverbindung für die Protokollquelle zu akzeptieren.

Maximale Wartezeit bis zum Blockieren von Ereignissen

Wenn eine Erfassungsanforderung gestellt wird und keine neuen Ereignisse verfügbar sind, aktiviert das Protokoll eine Ereignissperre. Der Block verhindert, dass eine weitere Ereignisanforderung an ein Remotegerät gesendet wird, für das keine neuen Ereignisse vorhanden waren. Diese Zeitüberschreitung dient dazu, Systemressourcen zu schonen.

Protokollkonfiguration

SMB-Schwanz

Kennung der Protokollquelle

Geben Sie die IP-Adresse, den Hostnamen oder einen eindeutigen Namen ein, um die Protokollquelle zu identifizieren.

Serveradresse

Die IP-Adresse oder der Hostname Ihres SMB Tail-Servers.

Domäne

Geben Sie die Domäne für Ihren SMB Tail-Server ein.

Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.

Nutzername

Geben Sie den Benutzernamen ein, der für den Zugriff auf Ihren Server erforderlich ist.

Passwort

Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Server erforderlich ist.

Passwort bestätigen

Bestätigen Sie das Kennwort, das für den Zugriff auf den Server erforderlich ist.

Pfad des Protokollordners

Der Verzeichnispfad für den Zugriff auf die Protokolldateien. Administratoren können z. B. das Verzeichnis c$/LogFiles/ für eine administrative Freigabe oder das Verzeichnis LogFiles/ für einen Ordnerpfad für die öffentliche Freigabe verwenden. Das Verzeichnis c:/LogFiles ist jedoch kein unterstützter Protokollordnerpfad.

Wenn ein Protokollordnerpfad eine administrative Freigabe (C$) enthält, verfügen Benutzer mit NetBIOS-Zugriff auf die administrative Freigabe (C$) über die Berechtigungen, die zum Lesen der Protokolldateien erforderlich sind.

Lokale System- oder Domänenadministratorrechte sind auch ausreichend, um auf Protokolldateien zuzugreifen, die sich auf einer administrativen Freigabe befinden.

Dateimuster

Der reguläre Ausdruck (Regex), der die Ereignisprotokolle identifiziert.

SMB-Version

Wählen Sie die Version von Server Message Block (SMB) aus, die Sie verwenden möchten.

AUTO - Erkennt automatisch die höchste Version, deren Verwendung der Client und der Server zustimmen.

SMB1: Erzwingt die Verwendung von SMB1. SMB1 verwendet die jCIFS.jar Datei (Java ARchive).

SMB2 - Erzwingt die Verwendung von SMB2. SMB2 verwendet die jNQ.jar Datei.

SMB3 - Erzwingt die Verwendung von SMB3. SMB3 verwendet die jNQ.jar Datei.

Lesen der Datei erzwingen

Wenn das Kontrollkästchen deaktiviert ist, wird die Protokolldatei nur gelesen, wenn JSA eine Änderung des Änderungszeitpunkts oder der Dateigröße erkennt.

Rekursiv

Wenn Sie möchten, dass das Dateimuster Unterordner durchsucht, verwenden Sie diese Option. Standardmäßig ist das Kontrollkästchen aktiviert.

Abrufintervall (in Sekunden)

Geben Sie das Abrufintervall ein, d. h. die Anzahl der Sekunden zwischen den Abfragen der Protokolldateien, um nach neuen Daten zu suchen. Der Standardwert ist 10 Sekunden.

Drosselungsereignisse/Sekunde

Die maximale Anzahl von Ereignissen, die das SMB Tail-Protokoll pro Sekunde weiterleitet.

Dateikodierung

Die Zeichencodierung, die von den Ereignissen in der Protokolldatei verwendet wird.

Protokollkonfiguration

SNMPv2

Gemeinschaft

Der Name der SNMP-Community, der für den Zugriff auf das System erforderlich ist, das SNMP-Ereignisse enthält. Beispiel: Öffentlich.

Einbeziehen von OIDs in Ereignisnutzdaten

Gibt an, dass die SNMP-Ereignisnutzlast mithilfe von Name-Wert-Paaren anstelle des Ereignisnutzlastformats erstellt wird.

Wenn Sie bestimmte Protokollquellen aus der Liste Protokollquellentypen auswählen, sind OIDs in der Ereignisnutzlast für die Verarbeitung von SNMPv2- oder SNMPv3-Ereignissen erforderlich.

Koaleszenz-Veranstaltungen

Aktivieren Sie dieses Kontrollkästchen, damit die Protokollquelle Ereignisse zusammenführen (bündeln) kann.

Koaleszenzereignisse erhöhen die Ereignisanzahl, wenn dasselbe Ereignis mehrmals innerhalb eines kurzen Zeitintervalls auftritt. Zusammengeführte Ereignisse bieten Administratoren eine Möglichkeit, die Häufigkeit, mit der ein einzelner Ereignistyp auftritt, auf der Registerkarte "Protokollaktivität " anzuzeigen und zu bestimmen.

Wenn dieses Kontrollkästchen deaktiviert ist, werden die Ereignisse einzeln angezeigt und die Informationen werden nicht gebündelt.

Neue und automatisch ermittelte Protokollquellen erben den Wert dieses Kontrollkästchens aus der Systemeinstellungskonfiguration auf der Registerkarte Admin . Administratoren können dieses Kontrollkästchen verwenden, um das Standardverhalten der Systemeinstellungen für eine einzelne Protokollquelle außer Kraft zu setzen.

Store-Ereignis-Payload

Aktivieren Sie dieses Kontrollkästchen, damit die Protokollquelle die Nutzlastinformationen eines Ereignisses speichern kann.

Neue und automatisch ermittelte Protokollquellen erben den Wert dieses Kontrollkästchens aus der Systemeinstellungskonfiguration auf der Registerkarte Admin . Administratoren können dieses Kontrollkästchen verwenden, um das Standardverhalten der Systemeinstellungen für eine einzelne Protokollquelle außer Kraft zu setzen.

Protokollkonfiguration

SNMPv3

Kennung der Protokollquelle

Geben Sie einen eindeutigen Namen für die Protokollquelle ein.

Authentifizierungsprotokoll

Der Algorithmus, den Sie zur Authentifizierung von SNMP3-Traps verwenden möchten:

• SHA verwendet Secure Hash Algorithm (SHA) als Authentifizierungsprotokoll.

• MD5 verwendet Message Digest 5 (MD5) als Authentifizierungsprotokoll.

Authentifizierungskennwort

Das Kennwort für die Authentifizierung von SNMPv3. Ihr Authentifizierungskennwort muss mindestens 8 Zeichen lang sein.

Entschlüsselungsprotokoll

Wählen Sie den Algorithmus aus, den Sie zum Entschlüsseln der SNMPv3-Traps verwenden möchten.

• DES

• AES128-KARTON

• AES192-KARTON

• AES256-KARTON

Entschlüsselungs-Passwort

Das Passwort zum Entschlüsseln von SNMPv3-Traps. Ihr Entschlüsselungspasswort muss mindestens 8 Zeichen lang sein.

Benutzer

Der Benutzername, der zum Konfigurieren von SNMPv3 auf Ihrer Appliance verwendet wurde.

Einbeziehen von OIDs in Ereignisnutzdaten

Gibt an, dass die Nutzlast des SNMP-Ereignisses mithilfe von Name-Wert-Paaren anstelle des standardmäßigen Ereignisnutzlastformats erstellt wird. Wenn Sie bestimmte Protokollquellen aus der Liste Protokollquellentypen auswählen, sind OIDs in der Ereignisnutzlast für die Verarbeitung von SNMPv2- oder SNMPv3-Ereignissen erforderlich.

Typ der Protokollquelle

Seculert

Protokollkonfiguration

Seculert Protection REST API

Kennung der Protokollquelle

Geben Sie die IP-Adresse oder den Hostnamen für die Protokollquelle als Bezeichner für Ereignisse von Seculert ein.

Jede zusätzliche Protokollquelle, die Sie bei mehreren Installationen erstellen, enthält im Idealfall einen eindeutigen Bezeichner, z. B. eine IP-Adresse oder einen Hostnamen.

API-Schlüssel

Der API-Schlüssel, der für die Authentifizierung mit der Seculert Protection REST API verwendet wird. Der API-Schlüsselwert wird über das Seculert-Webportal abgerufen.

Proxy verwenden

Wenn Sie einen Proxy konfigurieren, wird der gesamte Datenverkehr für die Protokollquelle über den Proxy übertragen, damit JSA auf die REST-API "Seculert Protection" zugreifen kann.

Konfigurieren Sie die Felder Proxy-IP oder Hostname, Proxy-Port, Proxy-Benutzername und Proxy-Kennwort . Wenn für den Proxy keine Authentifizierung erforderlich ist, können Sie die Felder "Proxy-Benutzername " und "Proxy-Kennwort " leer lassen.

Automatisches Abrufen von Serverzertifikaten

Wenn Sie Ja aus der Liste auswählen, lädt JSA das Zertifikat herunter und beginnt, dem Zielserver zu vertrauen.

Wiederholung

Geben Sie an, wann das Protokoll Daten sammelt. Das Format ist M/H/T für Minuten/Stunden/Tage. Der Standardwert ist 1 M.

EPS-Drosselklappe

Die Obergrenze für die maximale Anzahl von Ereignissen pro Sekunde (eps) für Ereignisse, die von der API empfangen werden.

Ermöglichte

Aktivieren Sie dieses Kontrollkästchen, um die Protokollquelle zu aktivieren. Standardmäßig ist das Kontrollkästchen aktiviert.

Glaubwürdigkeit

Wählen Sie die Glaubwürdigkeit der Protokollquelle aus. Der Bereich liegt zwischen 0 und 10.

Die Glaubwürdigkeit gibt die Integrität eines Ereignisses oder Vergehens an, die durch die Glaubwürdigkeitsbewertung der Quellgeräte bestimmt wird. Die Glaubwürdigkeit steigt, wenn mehrere Quellen über dasselbe Ereignis berichten. Der Standardwert ist 5.

Zielereignis-Collector

Wählen Sie den Zielereignissammler aus, der als Ziel für die Protokollquelle verwendet werden soll.

Koaleszenz-Veranstaltungen

Aktivieren Sie dieses Kontrollkästchen, damit die Protokollquelle Ereignisse zusammenführen (bündeln) kann.

Standardmäßig erben automatisch erkannte Protokollquellen den Wert der Liste Koaleszenzereignisse aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Store-Ereignis-Payload

Aktivieren Sie dieses Kontrollkästchen, damit die Protokollquelle Ereignisnutzlastinformationen speichern kann.

Standardmäßig erben automatisch ermittelte Protokollquellen den Wert der Store-Ereignis-Payload-Liste aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Protokollkonfiguration

Sophos Enterprise Console JDBC

Kennung der Protokollquelle

Geben Sie einen Namen für die Protokollquelle ein. Der Name darf keine Leerzeichen enthalten und muss unter allen Protokollquellen des Protokollquellentyps, der für die Verwendung des JDBC-Protokolls konfiguriert ist, eindeutig sein.

Wenn die Protokollquelle Ereignisse von einer einzelnen Appliance erfasst, die über eine statische IP-Adresse oder einen Hostnamen verfügt, verwenden Sie die IP-Adresse oder den Hostnamen der Appliance als gesamten oder einen Teil des Werts für die Protokollquellen-ID . Beispiel: 192.168.1.1 oder JDBC192.168.1.1. Wenn die Protokollquelle keine Ereignisse von einer einzelnen Appliance erfasst, die über eine statische IP-Adresse oder einen Hostnamen verfügt, können Sie einen beliebigen eindeutigen Namen für den Wert für die Protokollquellen-ID verwenden. zum Beispiel JDBC1, JDBC2.

Datenbanktyp

MSDE

Name der Datenbank

Der Datenbankname muss mit dem Datenbanknamen übereinstimmen, der im Feld Protokollquellen-ID angegeben ist.

Hafen

Der Standardport für MSDE in Sophos Enterprise Console ist 1168. Der JDBC-Konfigurationsport muss mit dem Listener-Port der Sophos-Datenbank übereinstimmen, um mit JSA kommunizieren zu können. In der Sophos-Datenbank müssen eingehende TCP-Verbindungen aktiviert sein.

Wenn eine Datenbankinstanz mit dem MSDE-Datenbanktyp verwendet wird, müssen Sie den Parameter Port leer lassen.

Authentifizierungsdomäne

Wenn Ihr Netzwerk keine Domäne verwendet, lassen Sie dieses Feld leer.

Datenbank-Instanz

Die Datenbankinstanz, falls erforderlich. MSDE-Datenbanken können mehrere SQL Server-Instanzen auf einem Server enthalten.

Wenn ein nicht standardmäßiger Port für die Datenbank verwendet wird oder Administratoren den Zugriff auf Port 1434 für die SQL-Datenbankauflösung blockieren, muss der Parameter Datenbankinstanz leer sein.

Tabellenname

vEventsCommonData

Liste auswählen

*

Feld vergleichen

InsertedAt

Vorbereitete Anweisungen verwenden

Vorbereitete Anweisungen ermöglichen es der Protokollquelle, die SQL-Anweisung einzurichten und die SQL-Anweisung dann mehrmals mit verschiedenen Parametern auszuführen. Aus Sicherheits- und Leistungsgründen können für die meisten Konfigurationen vorbereitete Anweisungen verwendet werden. Deaktivieren Sie dieses Kontrollkästchen, um eine alternative Abfragemethode zu verwenden, die keine vorkompilierten Anweisungen verwendet.

Startdatum und -uhrzeit

Wahlfrei. Ein Startdatum und eine Startzeit, zu der das Protokoll mit dem Abfragen der Datenbank beginnen kann. Wenn keine Startzeit definiert ist, versucht das Protokoll, Ereignisse abzufragen, nachdem die Protokollquellenkonfiguration gespeichert und bereitgestellt wurde.

Abrufintervall

Das Abrufintervall, d. h. die Zeitspanne zwischen Abfragen an die Datenbank. Sie können ein längeres Abrufintervall definieren, indem Sie H für Stunden oder M für Minuten an den numerischen Wert anhängen. Das maximale Abrufintervall beträgt 1 Woche in einem beliebigen Zeitformat. Numerische Werte ohne H- oder M-Bezeichnerabfrage in Sekunden.

EPS-Drosselklappe

Die Anzahl der Ereignisse pro Sekunde (EPS), die dieses Protokoll nicht überschreiten soll.

Verwenden der Named Pipe-Kommunikation

Wenn MSDE als Datenbanktyp konfiguriert ist, können Administratoren dieses Kontrollkästchen aktivieren, um eine alternative Methode zu einer TCP/IP-Portverbindung zu verwenden.

Für Named Pipe-Verbindungen für MSDE-Datenbanken ist es erforderlich, dass im Feld Benutzername und Kennwort ein Benutzername und ein Kennwort für die Windows-Authentifizierung und nicht der Benutzername und das Kennwort der Datenbank verwendet werden. Bei der Konfiguration der Protokollquelle muss die standardmäßige Named Pipe in der MSDE-Datenbank verwendet werden.

Name des Datenbank-Clusters

Wenn Sie Ihren SQL-Server in einer Clusterumgebung verwenden, definieren Sie den Clusternamen, um sicherzustellen, dass die Named Pipe-Kommunikation ordnungsgemäß funktioniert.

Verwenden von NTLMv2

Erzwingt die Verwendung des NTLMv2-Protokolls durch MSDE-Verbindungen mit SQL-Servern, die eine NTLMv2-Authentifizierung erfordern. Der Standardwert des Kontrollkästchens ist aktiviert.

Das Kontrollkästchen NTLMv2 verwenden unterbricht nicht die Kommunikation für MSDE-Verbindungen, für die keine NTLMv2-Authentifizierung erforderlich ist.

Protokollkonfiguration

Syslog-Umleitung

Regex für Protokollquellen-ID

Geben Sie einen regulären Ausdruck ein, um den Log Source Identifier aus der Nutzlast zu analysieren.

Kennung der Protokollquelle

Geben Sie einen Protokollquellenbezeichner ein, der als Standard verwendet werden soll. Wenn der reguläre Ausdruck für den Protokollquellenbezeichner den Protokollquellenbezeichner aus einer bestimmten Nutzlast nicht mithilfe des bereitgestellten regulären Ausdrucks analysieren kann, wird der Standardwert verwendet.

Protokollquellen-ID Regex-Formatzeichenfolge

Formatieren Sie Zeichenfolgen, um Erfassungsgruppen aus dem Regex für Protokollquellenbezeichner zu kombinieren.

Zum Beispiel:

1. "$1" würde die erste Erfassungsgruppe verwenden.

2. "$1$2" würde die Erfassungsgruppen 1 und 2 verketten.

3. "$1 TEXT $2" würde die Erfassungsgruppe 1, das wörtliche "TEXT" und die Erfassungsgruppe 2 verketten.

Die resultierende Zeichenfolge wird als neuer Protokollquellenbezeichner verwendet.

Durchführen einer DNS-Suche bei Regex-Übereinstimmung

Aktivieren Sie das Kontrollkästchen DNS-Suche bei Regex-Übereinstimmung durchführen, um die DNS-Funktionalität zu aktivieren, die auf dem Regex und dem Parameterwert für den Protokollquellenbezeichner basiert.

Standardmäßig ist das Kontrollkästchen nicht aktiviert.

Port abhören

Geben Sie einen beliebigen ungenutzten Port ein, und legen Sie Ihre Protokollquelle so fest, dass Ereignisse an JSA auf diesem Port gesendet werden.

Protokoll

Wählen Sie in der Liste entweder TCP oder UDP aus.

Das Syslog-Umleitungsprotokoll unterstützt eine beliebige Anzahl von UDP-Syslog-Verbindungen, beschränkt jedoch TCP-Verbindungen auf 2500. Wenn der Syslog-Stream mehr als 2500 Protokollquellen enthält, müssen Sie eine zweite Protokollquelle und eine Listening-Portnummer eingeben.

Ermöglichte

Aktivieren Sie dieses Kontrollkästchen, um die Protokollquelle zu aktivieren. Standardmäßig ist das Kontrollkästchen aktiviert.

Glaubwürdigkeit

Wählen Sie in der Liste die Glaubwürdigkeit der Protokollquelle aus. Der Bereich liegt zwischen 0 und 10.

Die Glaubwürdigkeit gibt die Integrität eines Ereignisses oder Vergehens an, die durch die Glaubwürdigkeitsbewertung der Quellgeräte bestimmt wird. Die Glaubwürdigkeit steigt, wenn mehrere Quellen über dasselbe Ereignis berichten. Der Standardwert ist 5.

Zielereignis-Collector

Wählen Sie in der Liste den Zielereignissammler aus, der als Ziel für die Protokollquelle verwendet werden soll.

Koaleszenz-Veranstaltungen

Aktivieren Sie das Kontrollkästchen Koaleszenzereignisse , damit die Protokollquelle Ereignisse zusammenführen (bündeln) kann.

Standardmäßig erben automatisch ermittelte Protokollquellen den Wert der Liste Koaleszenzereignisse aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Nutzdaten für eingehende Ereignisse

Wählen Sie in der Liste Eingehende Ereignisnutzlast den Encoder für eingehende Nutzlasten zum Analysieren und Speichern der Protokolle aus.

Store-Ereignis-Payload

Aktivieren Sie das Kontrollkästchen Ereignisnutzlast speichern , damit die Protokollquelle Informationen zu Ereignisnutzlasten speichern kann.

Standardmäßig erben automatisch ermittelte Protokollquellen den Wert der Store-Ereignis-Payload-Liste aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Protokollkonfiguration

TCP Multi-Line-Syslog

Kennung der Protokollquelle

Geben Sie eine IP-Adresse oder einen Hostnamen ein, um die Protokollquelle zu identifizieren. Wenn Sie stattdessen einen Namen verwenden möchten, wählen Sie Benutzerdefinierten Quellnamen verwenden aus, und geben Sie die Parameter Quellnamen-Regex und Formatierungszeichenfolge für Quellnamen ein.

Port abhören

Der Standardport ist 12468.

Aggregationsmethode

Die Standardeinstellung ist Start/End-Abgleich. Verwenden Sie ID-Linked, wenn Sie mehrzeilige Ereignisse kombinieren möchten, die durch einen gemeinsamen Bezeichner verbunden sind.

Startmuster für Veranstaltungen

Dieser Parameter ist verfügbar, wenn Sie den Parameter Aggregationsmethode auf Start/End-Abgleich festlegen.

Der reguläre Ausdruck (Regex), der erforderlich ist, um den Beginn einer mehrzeiligen TCP-Ereignisnutzlast zu identifizieren. Syslog-Header beginnen in der Regel mit einem Datums- oder Zeitstempel. Das Protokoll kann ein einzeiliges Ereignis erstellen, das ausschließlich auf einem Ereignisstartmuster, z. B. einem Zeitstempel, basiert. Wenn nur ein Startmuster verfügbar ist, erfasst das Protokoll alle Informationen zwischen den einzelnen Startwerten, um ein gültiges Ereignis zu erstellen.

Muster für das Ende des Ereignisses

Dieser Parameter ist verfügbar, wenn Sie den Parameter Aggregationsmethode auf Start/End-Abgleich festlegen.

Dieser reguläre Ausdruck (Regex), der erforderlich ist, um das Ende einer mehrzeiligen TCP-Ereignisnutzlast zu identifizieren. Wenn das Syslog-Ereignis mit demselben Wert endet, können Sie einen regulären Ausdruck verwenden, um das Ende eines Ereignisses zu bestimmen. Das Protokoll kann Ereignisse erfassen, die ausschließlich auf einem Ereignisendmuster basieren. Wenn nur ein Endmuster verfügbar ist, erfasst das Protokoll alle Informationen zwischen den einzelnen Endwerten, um ein gültiges Ereignis zu erstellen.

Nachrichten-ID-Muster

Dieser Parameter ist verfügbar, wenn Sie den Parameter Aggregationsmethode auf ID-verknüpft festlegen.

Dieser reguläre Ausdruck (Regex) ist erforderlich, um die Ereignisnutzlastmeldungen zu filtern. Die mehrzeiligen TCP-Ereignismeldungen müssen einen gemeinsamen Identifikationswert enthalten, der in jeder Zeile der Ereignismeldung wiederholt wird.

Formatierungsprogramm für Ereignisse

Verwenden Sie die Option Windows Mehrzeilig für mehrzeilige Ereignisse, die speziell für Windows formatiert sind.

Erweiterte Optionen anzeigen

Der Standardwert ist Nein. Wählen Sie Ja aus, wenn Sie die Ereignisdaten anpassen möchten.

Benutzerdefinierten Quellnamen verwenden

Dieser Parameter ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf Ja setzen.

Aktivieren Sie das Kontrollkästchen, wenn Sie den Quellnamen mit regulärem Ausdruck anpassen möchten.

Quellenname Regex

Dieser Parameter ist verfügbar, wenn Sie Benutzerdefinierten Quellnamen verwenden aktivieren.

Der reguläre Ausdruck (Regex), der einen oder mehrere Werte aus Ereignisnutzlasten erfasst, die von diesem Protokoll verarbeitet werden. Diese Werte werden zusammen mit dem Parameter Formatierungszeichenfolge für den Quellnamen verwendet, um für jedes Ereignis einen Quell- oder Ursprungswert festzulegen. Dieser Quellenwert wird verwendet, um das Ereignis an eine Protokollquelle mit einem übereinstimmenden Wert für die Protokollquellen-ID weiterzuleiten.

Formatierungszeichenfolge für Quellname

Dieser Parameter ist verfügbar, wenn Sie Benutzerdefinierten Quellnamen verwenden aktivieren.

Sie können eine Kombination aus einer oder mehreren der folgenden Eingaben verwenden, um einen Quellwert für Ereignisnutzlasten zu bilden, die von diesem Protokoll verarbeitet werden:

• Eine oder mehrere Erfassungsgruppen aus dem Regex für den Quellnamen. Wenn Sie auf eine Erfassungsgruppe verweisen möchten, verwenden Sie die \x-Notation, wobei x der Index einer Erfassungsgruppe aus der Quellnamen-Regex ist.

• Die IP-Adresse, von der die Ereignisdaten stammen. Um auf die Paket-IP zu verweisen, verwenden Sie das Token $PIP$.

• Literale Textzeichen. Bei der gesamten Formatierungszeichenfolge für den Quellnamen kann es sich um vom Benutzer bereitgestellten Text handeln. Wenn der Regex für den Quellnamen z. B. "hostname=(.*?)" lautet und Sie hostname.com an den Wert der Aufzeichnungsgruppe 1 anfügen möchten, legen Sie die Formatierungszeichenfolge für den Quellnamen auf \1.hostname.com fest. Wenn ein Ereignis verarbeitet wird, das hostname=ibm enthält, wird der Quellwert der Ereignisnutzlast auf ibm.hostname.com gesetzt, und JSA leitet das Ereignis an eine Protokollquelle mit dieser Protokollquellenkennung weiter.

Verwendung als Gateway-Protokollquelle

Dieser Parameter ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf Ja setzen.

Wenn diese Option ausgewählt ist, können Ereignisse, die über die Protokollquelle fließen, basierend auf dem Quellennamen, der auf den Ereignissen markiert ist, an andere Protokollquellen weitergeleitet werden.

Wenn diese Option nicht ausgewählt ist und Benutzerdefinierte Quellname verwenden nicht aktiviert ist, werden eingehende Ereignisse mit einem Quellennamen gekennzeichnet, der dem Parameter Protokollquellenbezeichner entspricht.

Vereinfachen von mehrzeiligen Ereignissen in eine einzelne Zeile

Dieser Parameter ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf Ja setzen.

Zeigt ein Ereignis in einer oder mehreren Zeilen an.

Beibehalten ganzer Zeilen während der Ereignisaggregation

Dieser Parameter ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf Ja setzen.

Wenn Sie den Parameter Aggregationsmethode auf ID-verknüpft festlegen, können Sie die Option Ganze Zeilen während der Ereignisaggregation beibehalten aktivieren, um den Teil der Ereignisse, der vor dem Nachrichten-ID-Muster steht, entweder zu verwerfen oder beizubehalten, wenn Ereignisse mit demselben ID-Muster miteinander verkettet werden.

Frist

Die Anzahl der Sekunden, die auf zusätzliche übereinstimmende Nutzlasten gewartet werden soll, bevor das Ereignis in die Ereignispipeline übertragen wird. Der Standardwert ist 10 Sekunden.

Ermöglichte

Aktivieren Sie dieses Kontrollkästchen, um die Protokollquelle zu aktivieren.

Glaubwürdigkeit

Wählen Sie die Glaubwürdigkeit der Protokollquelle aus. Der Bereich liegt zwischen 0 und 10.

Die Glaubwürdigkeit gibt die Integrität eines Ereignisses oder Vergehens an, die durch die Glaubwürdigkeitsbewertung der Quellgeräte bestimmt wird. Die Glaubwürdigkeit steigt, wenn mehrere Quellen über dasselbe Ereignis berichten. Der Standardwert ist 5.

Zielereignis-Collector

Wählen Sie den Ereignissammler in Ihrer Bereitstellung aus, der den mehrzeiligen TCP-Syslog-Listener hosten soll.

Koaleszenz-Veranstaltungen

Aktivieren Sie dieses Kontrollkästchen, damit die Protokollquelle Ereignisse zusammenführen (bündeln) kann.

Standardmäßig erben automatisch erkannte Protokollquellen den Wert der Liste Koaleszenzereignisse aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Store-Ereignis-Payload

Aktivieren Sie dieses Kontrollkästchen, damit die Protokollquelle Ereignisnutzlastinformationen speichern kann.

Standardmäßig erben automatisch ermittelte Protokollquellen den Wert der Store-Ereignis-Payload-Liste aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Protokollkonfiguration

TLS-Syslog

Kennung der Protokollquelle

Eine IP-Adresse oder ein Hostname zur Identifizierung der Protokollquelle.

TLS-Abhörport

Der standardmäßige TLS-Überwachungsport ist 6514.

Authentifizierungsmodus

Der Modus, den Ihre TLS-Verbindung für die Authentifizierung verwendet. Wenn Sie die Option TLS und Clientauthentifizierung auswählen, müssen Sie die Zertifikatparameter konfigurieren.

Clientzertifikatauthentifizierung

Wählen Sie eine der folgenden Optionen aus der Liste aus:

• CN-Zulassungsliste und Überprüfung des Ausstellers

• Clientzertifikat auf Datenträger

CN-Zulassungsliste verwenden

Aktivieren Sie diesen Parameter, um eine CN-Zulassungsliste zu verwenden.

CN-Zulassungsliste

Die Zulassungsliste der allgemeinen Namen für vertrauenswürdige Clientzertifikate. Sie können Nur-Text oder einen regulären Ausdruck (Regex) eingeben. Um mehrere Einträge zu definieren, geben Sie jeden Eintrag in einer separaten Zeile ein.

Ausstellerüberprüfung verwenden

Aktivieren Sie diesen Parameter, um die Ausstellerüberprüfung zu verwenden.

Zertifikat oder öffentlicher Schlüssel des Root-/Zwischenausstellers

Geben Sie das Zertifikat oder den öffentlichen Schlüssel des Root/Intermediate-Ausstellers im PEM-Format ein.

• Geben Sie das Zertifikat ein, beginnend mit:

  -----BEGIN CERTIFICATE-----

  und endend mit:

  -----END-ZERTIFIKAT-----

• Geben Sie den öffentlichen Schlüssel ein, der beginnt mit:

  -----BEGIN PUBLIC KEY-----

  und endend mit:

  -----ÖFFENTLICHER SCHLÜSSEL BEENDEN-----

Zertifikatssperrung prüfen

Überprüft den Sperrstatus des Zertifikats anhand des Clientzertifikats. Für diese Option ist eine Netzwerkverbindung mit der URL erforderlich, die im Feld CRL-Verteilungspunkte für das Clientzertifikat in der X509v3-Erweiterung angegeben ist.

Überprüfen der Zertifikatverwendung

Überprüft den Inhalt der X509v3-Zertifikaterweiterungen in den Feldern Schlüsselverwendung und Erweiterung für erweiterte Schlüsselverwendung . Für eingehende Clientzertifikate sind die zulässigen Werte der X509v3-Schlüsselverwendung digitalSignature und keyAgreement. Der zulässige Wert für die erweiterte Schlüsselverwendung von X509v3 ist TLS-Webclientauthentifizierung.

Diese Eigenschaft ist standardmäßig deaktiviert.

Clientzertifikatpfad

Der absolute Pfad zum Clientzertifikat auf dem Datenträger. Das Zertifikat muss in der JSA-Konsole oder im Ereignissammler für diese Protokollquelle gespeichert werden.

Serverzertifikattyp

Der Typ des Zertifikats, das für die Authentifizierung des Serverzertifikats und des Serverschlüssels verwendet werden soll.

Wählen Sie in der Liste Serverzertifikattyp eine der folgenden Optionen aus:

• Generiertes Zertifikat

• PEM-Zertifikat und privater Schlüssel

• PKCS12-Zertifikatskette und Kennwort

• Aus dem JSA-Zertifikatsspeicher auswählen

Generiertes Zertifikat

Diese Option ist verfügbar, wenn Sie den Zertifikatstyp konfigurieren.

Wenn Sie das Standardzertifikat und den Standardschlüssel verwenden möchten, die von JSA für das Serverzertifikat und den Serverschlüssel generiert werden, wählen Sie diese Option aus.

Das generierte Zertifikat erhält den Namen syslog-tls.cert im Verzeichnis /opt/ qradar/conf/trusted_certificates/ des Ziel-Ereignissammlers, dem die Protokollquelle zugewiesen ist.

Ein einziges Zertifikat und ein privater Schlüssel

Diese Option ist verfügbar, wenn Sie den Zertifikatstyp konfigurieren.

Wenn Sie ein einzelnes PEM-Zertifikat für das Serverzertifikat verwenden möchten, wählen Sie diese Option aus, und konfigurieren Sie dann die folgenden Parameter:

• Angegebener Serverzertifikatpfad: Der absolute Pfad zum Serverzertifikat.

• Provided Private Key Path (Bereitgestellter Pfad des privaten Schlüssels): Der absolute Pfad zum privaten Schlüssel.

PKCS12-Zertifikat und -Kennwort

Diese Option ist verfügbar, wenn Sie den Zertifikatstyp konfigurieren.

Wenn Sie eine PKCS12-Datei verwenden möchten, die das Serverzertifikat und den Serverschlüssel enthält, wählen Sie diese Option aus, und konfigurieren Sie dann die folgenden Parameter:

• PKCS12-Zertifikatpfad: Geben Sie den Dateipfad für die PKCS12-Datei ein, die das Serverzertifikat und den Serverschlüssel enthält.

• PKCS12-Kennwort: Geben Sie das Kennwort für den Zugriff auf die PKCS12-Datei ein.

• Zertifikatsalias: Wenn die PKCS12-Datei mehr als einen Eintrag enthält, muss ein Alias angegeben werden, um anzugeben, welcher Eintrag verwendet werden soll. Wenn nur ein Alias in der PKCS12-Datei enthalten ist, lassen Sie dieses Feld leer.

Aus dem JSA-Zertifikatsspeicher auswählen

Diese Option ist verfügbar, wenn Sie den Zertifikatstyp konfigurieren.

Sie können die Zertifikatverwaltungs-App verwenden, um ein Zertifikat aus dem JSA-Zertifikatspeicher hochzuladen.

Die App wird unter JSA 7.3.3 Fix Pack 6 oder höher und JSA 7.4.2 oder höher unterstützt.

Maximale Nutzlastlänge

Die maximale Nutzlastlänge (Zeichen), die für die TLS-Syslog-Nachricht angezeigt wird.

Maximale Anzahl an Verbindungen

Der Parameter Maximale Anzahl an Verbindungen steuert, wie viele gleichzeitige Verbindungen das TLS-Syslog-Protokoll für jede Ereignissammlung akzeptieren kann.

Für jeden Ereignissammler gibt es in der Konfiguration der TLS-Syslog-Protokollquelle ein Limit von 1000 Verbindungen, einschließlich aktivierter und deaktivierter Protokollquellen.

TLS-Protokolle

Das TLS-Protokoll, das von der Protokollquelle verwendet werden soll.

Wählen Sie die Option "TLS 1.2 oder höher" aus.

Verwendung als Gateway-Protokollquelle

Sendet erfasste Ereignisse über die JSA-Datenverkehrsanalyse-Engine, um automatisch die entsprechende Protokollquelle zu ermitteln.

Wenn Sie keinen benutzerdefinierten Protokollquellenbezeichner für Ereignisse definieren möchten, deaktivieren Sie das Kontrollkästchen.

Wenn diese Option nicht ausgewählt ist und das Protokollquellen-ID-Muster nicht konfiguriert ist, empfängt JSA Ereignisse als unbekannte generische Protokollquellen.

Muster für Protokollquellen-IDs

Verwenden Sie die Option Als Gateway-Protokollquelle verwenden , um einen benutzerdefinierten Protokollquellenbezeichner für Ereignisse zu definieren, die verarbeitet werden, und für Protokollquellen, die gegebenenfalls automatisch erkannt werden. Wenn Sie das Log Source Identifier Pattern nicht konfigurieren, empfängt JSA Ereignisse als unbekannte generische Protokollquellen.

Verwenden Sie Schlüssel-Wert-Paare, um den benutzerdefinierten Protokollquellenbezeichner zu definieren. Der Schlüssel ist die Bezeichnerformatzeichenfolge, bei der es sich um den resultierenden Quell- oder Ursprungswert handelt. Der Wert ist das zugeordnete Regex-Muster, das zum Auswerten der aktuellen Nutzlast verwendet wird. Dieser Wert unterstützt auch Erfassungsgruppen, mit denen der Schlüssel weiter angepasst werden kann.

Definieren Sie mehrere Schlüssel-Wert-Paare, indem Sie jedes Muster in einer neuen Zeile eingeben. Mehrere Muster werden in der Reihenfolge ausgewertet, in der sie aufgelistet sind. Wenn eine Übereinstimmung gefunden wird, wird eine benutzerdefinierte Protokollquellen-ID angezeigt.

Die folgenden Beispiele zeigen mehrere Schlüssel-Wert-Paarfunktionen.

• Muster - VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2= \s(ACCEPT)\s(OK)

• Veranstaltungen - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• Resultierende benutzerdefinierte Protokollquellen-ID: VPC-ACCEPT-OK

Mehrzeilige aktivieren

Aggregieren Sie mehrere Nachrichten in einzelne Ereignisse basierend auf einem Start/End-Abgleich oder einem ID-verknüpften regulären Ausdruck.

Aggregationsmethode

Dieser Parameter ist verfügbar, wenn die Option Mehrfachzeile aktivieren aktiviert ist.

• ID-verknüpft: Verarbeitet Ereignisprotokolle, die am Anfang jeder Zeile einen gemeinsamen Wert enthalten.

• Start/End-Abgleich: Aggregiert Ereignisse basierend auf einem regulären Start- oder Endausdruck (Regex).

Startmuster für Veranstaltungen

Dieser Parameter ist verfügbar, wenn die Option "Mehrzeile aktivieren " aktiviert ist und die Aggregationsmethode auf "Abgleich von Start/Ende" festgelegt ist.

Der reguläre Ausdruck (Regex) ist erforderlich, um den Beginn einer mehrzeiligen TCP-Ereignisnutzlast zu identifizieren. Syslog-Header beginnen in der Regel mit einem Datums- oder Zeitstempel. Das Protokoll kann ein einzeiliges Ereignis erstellen, das ausschließlich auf einem Ereignisstartmuster, z. B. einem Zeitstempel, basiert. Wenn nur ein Startmuster verfügbar ist, erfasst das Protokoll alle Informationen zwischen den einzelnen Startwerten, um ein gültiges Ereignis zu erstellen.

Muster für das Ende des Ereignisses

Dieser Parameter ist verfügbar, wenn die Option "Mehrzeile aktivieren " aktiviert ist und die Aggregationsmethode auf "Abgleich von Start/Ende" festgelegt ist.

Dieser reguläre Ausdruck (Regex) ist erforderlich, um das Ende einer mehrzeiligen TCP-Ereignisnutzlast zu identifizieren. Wenn das Syslog-Ereignis mit demselben Wert endet, können Sie einen regulären Ausdruck verwenden, um das Ende eines Ereignisses zu bestimmen. Das Protokoll kann Ereignisse erfassen, die ausschließlich auf einem Ereignisendmuster basieren. Wenn nur ein Endmuster verfügbar ist, erfasst das Protokoll alle Informationen zwischen den einzelnen Endwerten, um ein gültiges Ereignis zu erstellen.

Nachrichten-ID-Muster

Dieser Parameter ist verfügbar, wenn die Option "Mehrzeile aktivieren " aktiviert ist und die Aggregationsmethode auf "ID-verknüpft" festgelegt ist.

Dieser reguläre Ausdruck (Regex) ist erforderlich, um die Ereignisnutzlastmeldungen zu filtern. Die mehrzeiligen TCP-Ereignismeldungen müssen einen gemeinsamen Identifikationswert enthalten, der in jeder Zeile der Ereignismeldung wiederholt wird.

Frist

Dieser Parameter ist verfügbar, wenn die Option "Mehrzeile aktivieren " aktiviert ist und die Aggregationsmethode auf "ID-verknüpft" festgelegt ist.

Die Anzahl der Sekunden, die auf weitere übereinstimmende Nutzlasten gewartet werden soll, bevor das Ereignis in die Ereignispipeline übertragen wird. Der Standardwert ist 10 Sekunden.

Beibehalten ganzer Zeilen während der Ereignisaggregation

Dieser Parameter ist verfügbar, wenn die Option "Mehrzeile aktivieren " aktiviert ist und die Aggregationsmethode auf "ID-verknüpft" festgelegt ist.

Wenn Sie den Parameter Aggregationsmethode auf ID-verknüpft festlegen, können Sie die Option Ganze Zeilen während der Ereignisaggregation beibehalten aktivieren, um den Teil der Ereignisse, der dem Nachrichten-ID-Muster vorausgeht, zu verwerfen oder beizubehalten. Sie können diese Funktion nur aktivieren, wenn Ereignisse mit demselben ID-Muster miteinander verkettet werden.

Vereinfachen von mehrzeiligen Ereignissen in eine einzige Zeile

Dieser Parameter ist verfügbar, wenn die Option Mehrfachzeile aktivieren aktiviert ist.

Zeigt ein Ereignis in einer oder mehreren Zeilen an.

Formatierungsprogramm für Ereignisse

Dieser Parameter ist verfügbar, wenn die Option Mehrfachzeile aktivieren aktiviert ist.

Verwenden Sie die Option Windows Mehrzeilig für mehrzeilige Ereignisse, die speziell für Windows formatiert sind.

Protokollkonfiguration

UDP-Multiline-Syslog

Port abhören

Die Standardportnummer, die von JSA verwendet wird, um eingehende mehrzeilige UDP-Syslog-Ereignisse zu akzeptieren, ist 517. Sie können einen anderen Port im Bereich 1 - 65535 verwenden.

Führen Sie die folgenden Schritte aus, um eine gespeicherte Konfiguration für die Verwendung einer neuen Portnummer zu bearbeiten:

1. Geben Sie im Feld Port abhören die neue Portnummer für den Empfang von mehrzeiligen UDP-Syslog-Ereignissen ein.

2. Klicken Sie auf Speichern.

3. Klicken Sie auf Änderungen bereitstellen , um diese Änderung wirksam zu machen.

Die Portaktualisierung ist abgeschlossen, und die Ereigniserfassung beginnt mit der neuen Portnummer.

Nachrichten-ID-Muster

Der reguläre Ausdruck (Regex), der zum Filtern der Ereignisnutzlastmeldungen erforderlich ist. Die mehrzeiligen UDP-Ereignisnachrichten müssen einen gemeinsamen identifizierenden Wert enthalten, der in jeder Zeile der Ereignisnachricht wiederholt wird.

Formatierungsprogramm für Ereignisse

Das Ereignisformatierungsprogramm, das eingehende Nutzlasten formatiert, die vom Listener erkannt werden. Wählen Sie Keine Formatierung aus, um die Payload unberührt zu lassen. Wählen Sie Cisco ACS Multiline aus, um die Nutzlast in ein einzeiliges Ereignis zu formatieren.

Im ACS-Syslog-Header gibt es total_seg und seg_num Felder. Diese beiden Felder werden verwendet, um mehrzeilige ACS-Ereignisse in einem einzeiligen Ereignis mit der richtigen Reihenfolge neu anzuordnen, wenn Sie die Option Cisco ACS Multiline auswählen.

Erweiterte Optionen anzeigen

Der Standardwert ist Nein. Wählen Sie Ja aus, wenn Sie erweiterte Optionen konfigurieren möchten.

Benutzerdefinierten Quellnamen verwenden

Aktivieren Sie das Kontrollkästchen, wenn Sie den Quellnamen mit regulärem Ausdruck anpassen möchten.

Quellenname Regex

Verwenden Sie die Parameter Quellname-Regex und Quellnamen-Formatierungszeichenfolge , wenn Sie anpassen möchten, wie JSA die Quelle der Ereignisse bestimmt, die von dieser mehrzeiligen UDP-Syslog-Konfiguration verarbeitet werden.

Geben Sie für Quellname Regex einen Regex ein, um einen oder mehrere identifizierende Werte aus Ereignisnutzlasten zu erfassen, die von diesem Protokoll verarbeitet werden. Diese Werte werden zusammen mit der Formatierungszeichenfolge für den Quellnamen verwendet, um einen Quell- oder Ursprungswert für jedes Ereignis festzulegen. Dieser Quellenwert wird verwendet, um das Ereignis an eine Protokollquelle mit einem übereinstimmenden Wert für die Protokollquellen-ID weiterzuleiten, wenn die Option Als Gateway-Protokollquelle verwenden aktiviert ist.

Formatierungszeichenfolge für Quellname

Sie können eine Kombination aus einer oder mehreren der folgenden Eingaben verwenden, um einen Quellwert für Ereignisnutzlasten zu bilden, die von diesem Protokoll verarbeitet werden:

• Eine oder mehrere Erfassungsgruppen aus dem Regex für den Quellnamen. Wenn Sie auf eine Erfassungsgruppe verweisen möchten, verwenden Sie die \x-Notation, wobei x der Index einer Erfassungsgruppe aus der Quellnamen-Regex ist.

• Die IP-Adresse, von der die Ereignisdaten stammen. Um auf die Paket-IP zu verweisen, verwenden Sie das Token $PIP$.

• Literale Textzeichen. Bei der gesamten Formatierungszeichenfolge für den Quellnamen kann es sich um vom Benutzer bereitgestellten Text handeln.

Beispiel: CiscoACS\1\2$PIP$, wobei \1\2 für erste und zweite Erfassungsgruppen aus dem Regex-Wert für den Quellnamen und $PIP$ für die Paket-IP steht.

Verwendung als Gateway-Protokollquelle

Wenn dieses Kontrollkästchen deaktiviert ist, werden eingehende Ereignisse an die Protokollquelle gesendet, wobei der Protokollquellenbezeichner mit der IP-Adresse übereinstimmt, von der sie stammen.

Wenn diese Option aktiviert ist, dient diese Protokollquelle als einzelner Einstiegspunkt oder Gateway für mehrzeilige Ereignisse aus vielen Quellen, um in JSA einzutreten und auf die gleiche Weise verarbeitet zu werden, ohne dass für jede Quelle eine mehrzeilige UDP-Syslog-Protokollquelle konfiguriert werden muss. Ereignisse mit einem RFC3164- oder RFC5424-kompatiblen Syslog-Header werden als vom IP- oder Hostnamen in ihrem Header stammend identifiziert, es sei denn, der Parameter Formatierungszeichenfolge für Quellname wird verwendet. In diesem Fall wird diese Formatzeichenfolge für jedes Ereignis ausgewertet. Alle derartigen Ereignisse werden basierend auf diesem erfassten Wert durch JSA geleitet.

Wenn eine oder mehrere Protokollquellen mit einem entsprechenden Protokollquellenbezeichner vorhanden sind, wird ihnen das Ereignis basierend auf der konfigurierten Analysereihenfolge zugewiesen. Wenn sie das Ereignis nicht akzeptieren oder wenn keine Protokollquellen mit einer übereinstimmenden Protokollquellen-ID vorhanden sind, werden die Ereignisse für die automatische Erkennung analysiert.

Vereinfachen von mehrzeiligen Ereignissen in eine einzige Zeile

Zeigt ein Ereignis in einer oder mehreren Zeilen an. Wenn dieses Kontrollkästchen aktiviert ist, werden alle Zeilenumbruch- und Wagenrücklaufzeichen aus dem Ereignis entfernt.

Beibehalten ganzer Zeilen während der Ereignisaggregation

Wählen Sie diese Option aus, um den Teil der Ereignisse, der vor dem Nachrichten-ID-Muster steht, entweder zu verwerfen oder beizubehalten, wenn das Protokoll Ereignisse mit demselben ID-Muster miteinander verkettet.

Frist

Die Anzahl der Sekunden, die auf zusätzliche übereinstimmende Nutzlasten gewartet werden soll, bevor das Ereignis in die Ereignispipeline übertragen wird. Der Standardwert ist 10 Sekunden.

Ermöglichte

Aktivieren Sie dieses Kontrollkästchen, um die Protokollquelle zu aktivieren.

Glaubwürdigkeit

Wählen Sie die Glaubwürdigkeit der Protokollquelle aus. Der Bereich liegt zwischen 0 und 10.

Die Glaubwürdigkeit gibt die Integrität eines Ereignisses oder Vergehens an, die durch die Glaubwürdigkeitsbewertung der Quellgeräte bestimmt wird. Die Glaubwürdigkeit steigt, wenn mehrere Quellen über dasselbe Ereignis berichten. Der Standardwert ist 5.

Zielereignis-Collector

Wählen Sie die Ereignissammlung in Ihrer Bereitstellung aus, die den mehrzeiligen UDP-Syslog-Listener hosten soll.

Koaleszenz-Veranstaltungen

Aktivieren Sie dieses Kontrollkästchen, damit die Protokollquelle Ereignisse zusammenführen (bündeln) kann.

Standardmäßig erben automatisch erkannte Protokollquellen den Wert der Liste Koaleszenzereignisse aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Store-Ereignis-Payload

Aktivieren Sie dieses Kontrollkästchen, damit die Protokollquelle Ereignisnutzlastinformationen speichern kann.

Standardmäßig erben automatisch ermittelte Protokollquellen den Wert der Store-Ereignis-Payload-Liste aus den Systemeinstellungen in JSA. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren.

Kennung der Protokollquelle

Der Name der Protokollquelle darf keine Leerzeichen enthalten und muss unter allen Protokollquellen dieses Typs, die mit dem VMware vCloud Director-Protokoll konfiguriert sind, eindeutig sein.

Protokollkonfiguration

VMware vCloud Director

vCloud-URL

Die URL, die auf Ihrer VMware vCloud-Appliance für den Zugriff auf die REST-API konfiguriert ist. Die URL muss mit der Adresse übereinstimmen, die auf dem vCloud-Server als Feld für die Basis-URL der öffentlichen VCD-REST API konfiguriert ist. Beispiel: https:<my.vcloud.server>/api.

Benutzername

Der Benutzername, der für den Remotezugriff auf den vCloud Server erforderlich ist. Beispiel: console/user@organization.

Wenn Sie ein schreibgeschütztes Konto für die Verwendung mit JSA konfigurieren möchten, erstellen Sie einen vCloud-Benutzer in Ihrer Organisation, der über die Berechtigung "Nur Konsolenzugriff " verfügt.

Passwort

Das Kennwort, das für den Remotezugriff auf den vCloud Server erforderlich ist.

Abrufintervall (in Sekunden)

Die Zeitspanne zwischen den Abfragen an den vCloud-Server für neue Ereignisse.

Das Standardabrufintervall beträgt 10 Sekunden.

EPS-Drosselklappe

Die maximale Anzahl von Ereignissen pro Sekunde (EPS). Der Standardwert ist 5000.

Erweiterte Optionen aktivieren

Aktivieren Sie diese Option, um weitere Parameter zu konfigurieren.

API-Seitengröße

Wenn Sie Erweiterte Optionen aktivieren auswählen, wird dieser Parameter angezeigt.

Die Anzahl der Datensätze, die pro API-Aufruf zurückgegeben werden sollen. Das Maximum ist 128.

Aktivieren des Legacy-vCloud-SDK

Wenn Sie Erweiterte Optionen aktivieren auswählen, wird dieser Parameter angezeigt.

Um eine Verbindung zu vCloud 5.1 oder früher herzustellen, aktivieren Sie diese Option.

vCloud-API-Version

Wenn Sie "Erweiterte Optionen aktivieren " und dann "Legacy-vCloud-SDK aktivieren" auswählen, wird dieser Parameter nicht mehr angezeigt.

Die vCloud-Version, die in Ihrer API-Anforderung verwendet wird. Diese Version muss mit einer Version übereinstimmen, die mit Ihrer vCloud-Installation kompatibel ist.

Verwenden Sie die folgenden Beispiele, um festzustellen, welche Version mit Ihrer vCloud-Installation kompatibel ist:

• vCloud API 33.0 (vCloud Director 10.0)

• vCloud API 32.0 (vCloud Director 9.7)

• vCloud API 31.0 (vCloud Director 9.5)

• vCloud API 30.0 (vCloud Director 9.1)

• vCloud API 29.0 (vCloud Director 9.0)

Nicht vertrauenswürdige Zertifikate zulassen

Wenn Sie "Erweiterte Optionen aktivieren " und dann "Legacy-vCloud-SDK aktivieren" auswählen, wird dieser Parameter nicht mehr angezeigt.

Wenn Sie eine Verbindung zu vCloud 5.1 oder höher herstellen, müssen Sie diese Option aktivieren, um selbstsignierte, nicht vertrauenswürdige Zertifikate zuzulassen.

Das Zertifikat muss im PEM- oder DER-kodierten Binärformat heruntergeladen und dann in dem Verzeichnis mit der /opt/qradar/conf/ trusted_certificates/ .cert or .crt Dateierweiterung abgelegt werden.

Proxy verwenden

Wenn Sie "Erweiterte Optionen aktivieren " und dann "Legacy-vCloud-SDK aktivieren" auswählen, wird dieser Parameter nicht mehr angezeigt.

Wenn der Zugriff auf den Server über einen Proxy erfolgt, aktivieren Sie das Kontrollkästchen Proxy verwenden . Wenn für den Proxy eine Authentifizierung erforderlich ist, konfigurieren Sie die Felder Proxy-Server, Proxy-Port, Proxy-Benutzername und Proxy-Kennwort .

Wenn für den Proxy keine Authentifizierung erforderlich ist, konfigurieren Sie das Feld Proxy-IP oder Hostname .

Proxy-IP oder Hostname

Wenn Sie Proxy verwenden auswählen, wird dieser Parameter angezeigt.

Wenn Sie "Erweiterte Optionen aktivieren " und dann "Legacy-vCloud-SDK aktivieren" auswählen, wird dieser Parameter nicht mehr angezeigt.

Proxy-Port

Wenn Sie Proxy verwenden auswählen, wird dieser Parameter angezeigt.

Wenn Sie "Erweiterte Optionen aktivieren " und dann "Legacy-vCloud-SDK aktivieren" auswählen, wird dieser Parameter nicht mehr angezeigt.

Die Portnummer, die für die Kommunikation mit dem Proxy verwendet wird. Der Standardwert ist 8080.

Proxy-Benutzername

Wenn Sie Proxy verwenden auswählen, wird dieser Parameter angezeigt.

Wenn Sie "Erweiterte Optionen aktivieren " und dann "Legacy-vCloud-SDK aktivieren" auswählen, wird dieser Parameter nicht mehr angezeigt.

Proxy-Passwort

Wenn Sie Proxy verwenden auswählen, wird dieser Parameter angezeigt.

Wenn Sie "Erweiterte Optionen aktivieren " und dann "Legacy-vCloud-SDK aktivieren" auswählen, wird dieser Parameter nicht mehr angezeigt.