Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

プロトコル構成オプション

JSA のプロトコルは、さまざまな接続オプションを使用して一連のデータ ファイルを収集する機能を提供します。これらの接続は、データをプルバックするか、JSA のイベント パイプラインに受動的にデータを受信します。次に、対応するデバイスサポートモジュール(DSM)がデータを解析して正規化します。

次の標準接続オプションは、イベント パイプラインにデータをプルします。

  • JDBCの

  • FTP

  • SFTP

  • SCPの

次の標準接続オプションは、イベント パイプラインにデータを受信します。

  • syslog

  • HTTPレシーバー

  • SNMP

JSAは、Amazon Web Servicesなど、ベンダー固有の独自のプロトコルAPI呼び出しもサポートしています。

Akamai Kona REST API プロトコル構成オプション

Akamai Kona Platform からイベントを受信するには、Akamai Kona REST API プロトコルを使用するようにログソースを設定します。

Akamai Kona REST APIプロトコルは、Akamai Kona Platformを問い合せて JSAコンソールにイベントを送信するアウトバウンド/アクティブプロトコルです。

以下の表では、Akamai KONA DSM イベント収集に特定の値を必要とするパラメーターについて説明します。

表 1:Akamai KONA DSM ログソースパラメータ

パラメーター

価値

ログソースの種類

Akamai KONA

プロトコル設定

Akamai Kona REST API

ホスト

Host 値は、Akamai Luna Control Center での SIEM OPEN API プロビジョニング中に提供されます。ホストは、セキュリティ イベントを照会するための適切な権限に関する情報を含む一意のベース URL です。値の一部にシークレット クライアント情報が含まれているため、このパラメーターはパスワード フィールドです。

クライアントトークン

クライアントトークンは、2つのセキュリティパラメータのうちの1つです。このトークンはクライアントシークレットとペアになって、クライアント資格情報を作成します。このトークンは、Akamai SIEM OPEN API のプロビジョニング後に確認できます。

クライアントシークレット

クライアントシークレットは、2つのセキュリティパラメータのうちの1つです。このシークレットは、クライアント資格情報を作成するためにクライアントトークンとペアになります。このトークンは、Akamai SIEM OPEN API のプロビジョニング後に確認できます。

入力し

アクセストークンは、セキュリティイベントを取得するためのAPIクライアントアクセスを承認するためにクライアント資格情報とともに使用されるセキュリティパラメータです。このトークンは、Akamai SIEM OPEN API のプロビジョニング後に確認できます。

セキュリティ構成 ID

Security Configuration ID は、セキュリティ イベントを取得する各セキュリティ コンフィギュレーションの ID です。この ID は、Akamai Luna ポータルの [SIEM 統合] セクションにあります。複数のコンフィギュレーション ID をカンマで区切って指定できます。たとえば、configID1,configID2 などです。

プロキシを使用

JSA がプロキシを使用して Amazon Web Service にアクセスする場合は、[プロキシの使用] を有効にします。

プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを設定します。

プロキシが認証を必要としない場合は、[ プロキシ IP ] または [ホスト名] フィールドを設定します。

サーバー証明の自動取得

JSAがサーバー証明書を自動的にダウンロードし、ターゲットサーバーの信頼を開始するには、[はい]を選択します。

再発

新しいイベントのために Akamai SIEM API にログソースを照会する間隔。時間間隔は、時間(H)、分(M)、または日(D)です。既定値は 1 分です。

EPSスロットル

1秒あたりの最大イベント数。デフォルトは 5000 です。

Amazon AWS S3 REST API プロトコル設定オプション

Amazon AWS REST API プロトコルは、Amazon S3 バケットから AWS CloudTrail ログを収集するアウトバウンド/アクティブプロトコルです。

手記:

Amazon S3 からログを収集してカスタム DSM またはその他のサポートされていない統合で使用する場合は、データが失われていないことを確認することが重要です。S3 API がデータを返す方法により、フルパスがリストされている場合は、すべてのファイルがアルファベット順に増加する順序である必要があります。絶対パス名には、ISO9660形式の完全な日付と時刻が含まれていることを確認してください (すべてのフィールドの先頭にゼロがあり、YYYY-MM-DD 日付形式)。

次のファイルパスについて考えてみます。

<Name>test-bucket</Name> Prefix>Mylogs/ </Prefix><Marker> MyLogs/2018-8-9/2018-08-09T23-5925.log.g</Marker> <MaxKeys>1000</MaxKeys><IsTruncated> false<IsTruncated> </ListBucketResult>

マーカー内のファイルのフル ネームはMyLogs/2018-8-9/2018-08-09T23-59-25.955097.log.gzされ、フォルダー名は 2018-08-09 ではなく 2018-8-9 と書き込まれます。この日付形式は、2018 年 9 月 10 日のデータが表示されるときに問題を引き起こします。並べ替えると、日付は2018-8-10として表示され、ファイルは時系列で並べ替えられません。

2018-10-1

2018-11-1

2018-12-31

2018-8-10

2018-8-9

2018-9-1

2018 年 8 月 9 日のデータが JSA に送信されると、日付形式で先頭の 0 が使用されなかったため、2018 年 9 月 1 日までデータが再度表示されません。9 月以降は、2019 年までデータが表示されなくなります。日付 (ISO 9660) には先行ゼロが使用されているため、この問題は発生しません。

先頭の 0 を使用すると、ファイルとフォルダーは時系列に並べ替えられます。

2018-08-09

2018-08-10

2018-09-01

2018-10-01

2018-11-01

2018-12-01

2018-12-31

ログ・ソースは 1 つのリージョンからのみデータを取得できるため、リージョンごとに異なるログ・ソースを使用します。ディレクトリ接頭辞イベント収集方法を使用してログ・ソースを構成する場合は、ディレクトリ接頭辞値のファイル・パスに領域フォルダー名を含めます。

以下の表では、ディレクトリー・プレフィックス収集方式または SQS イベント収集方式を使用して監査イベントを収集するための共通パラメーター値について説明します。これらの収集方法では、Amazon AWS S3 REST API プロトコルを使用します。

次の表では、Amazon AWS REST API プロトコルのプロトコル固有のパラメータについて説明します。

表 2: Amazon AWS S3 REST API プロトコルのディレクトリプレフィックス方式または SQS 方式を使用する場合の共通ログソースパラメータ

パラメーター

形容

プロトコル設定

Amazon AWS S3 REST API

ログソース識別子

ログ・ソースの固有の名前を入力します。

ログソース ID は任意の有効な値にすることができ、特定のサーバーを参照する必要はありません。「ログソース ID」は、「ログソース名」と同じ値にすることができます。設定された Amazon AWS CloudTrail ログ・ソースが複数ある場合は、最初のログ・ソースを awscloudtrail1 、2 番目のログ・ソースを awscloudtrail2 として、3 番目のログ・ソースを awscloudtrail3 として識別できます。

認証方法

  • アクセスキーID/秘密鍵 – どこからでも使用できる標準認証。

  • EC2 インスタンス IAM ロール - マネージドホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられたインスタンスメタデータの IAM ロールが使用されます。キーは必要ありません。この方法は、AWS EC2 コンテナ内で実行されているマネージドホストに対してのみ機能します。

アクセスキー

AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成されたアクセスキー ID

[ Access Key ID / 秘密鍵 ] または [ IAM ロールを引き受ける] を選択した場合は、[ Access Key ] パラメータが表示されます。

秘密鍵

AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成された秘密鍵。

アクセス・キーID/秘密鍵 」または 「IAMロールを引き受ける」を選択した場合は、「 秘密鍵 」パラメータが表示されます。

IAM ロールを引き受ける

アクセスキーまたは EC2 インスタンスの IAM ロールで認証することで、このオプションを有効にします。その後、アクセスの IAM ロールを一時的に引き受けることができます。

ロール ARN の引き受け

引き受けるロールの完全な ARN。「arn:」で始まる必要があり、先頭または末尾のスペース、または ARN 内にスペースを含めることはできません。

[Assume an IAM Role] を有効にした場合は、[Assume Role ARN] パラメータが表示されます。

ロールセッション名を引き受ける

引き受けるロールのセッション名。デフォルトは QRadarAWSSession です。変更する必要がない場合は、デフォルトのままにしておきます。このパラメーターに使用できるのは、大文字と小文字の英数字、アンダースコア、または =,.@- のいずれかの文字のみです。

[Assume an IAM Role] を有効にした場合は、[Assume Role Session Name] パラメータが表示されます。

イベント形式

AWS クラウドトレイル JSON

AWS ネットワーク ファイアウォール

AWS VPC フローログ

Cisco Umbrella CSB

LINEBYLINE[ラインバイライン]

W3Cの

地域名

SQS キューまたは AWS S3 バケットが存在するリージョン。

Example: us-east-1, eu-west-1, ap-northeast-3

ゲートウェイ・ログ・ログソースとして使用

収集されたイベントが JSA トラフィック分析エンジンを通過し、 JSA が1つ以上のログ・ソースを自動的に検出するには、このオプションを選択します。

詳細オプションを表示

イベントデータをカスタマイズする場合は、このオプションを選択します。

ファイルパターン

このオプションは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

プルするファイルに一致するファイルパターンの正規表現を入力します。 たとえば、.*?\.json\.gz

ローカルディレクトリ

このオプションは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

ターゲット・イベント・コレクターのローカル・ディレクトリー。このディレクトリは、AWS S3 REST API プロトコルがイベントの取得を試みる前に存在している必要があります。

S3 エンドポイント URL

このオプションは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

AWS S3 REST API のクエリに使用されるエンドポイント URL。

エンドポイント URL がデフォルトと異なる場合は、エンドポイント URL を入力します。デフォルトは https:// s3.amazonaws.com です

S3 パススタイルアクセスを使用する

S3 リクエストにパススタイルのアクセスの使用を強制します。

このメソッドは AWS によって非推奨です。ただし、他の S3 互換 API を使用する場合は、必要になる場合があります。

プロキシを使用

JSA がプロキシを使用して Amazon Web Service にアクセスする場合は、[プロキシの使用] を有効にします。

プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを設定します。

プロキシが認証を必要としない場合は、[ プロキシ IP またはホスト名(Proxy IP or Hostname )] フィールドを設定します。

再発

新しいデータをスキャンするためにポーリングが行われる頻度。

SQS イベント収集方式を使用している場合、 SQS イベント通知の 最小値は 10 (秒) です。SQS キューのポーリングはより頻繁に発生する可能性があるため、より低い値を使用できます。

ディレクトリ プレフィックス イベント収集方法を使用している場合、[ 特定のプレフィックスを使用 ] の最小値は 60 (秒) または 1M です。AWS S3 バケットへのすべての listBucket リクエストでは、バケットを所有するアカウントにコストが発生するため、繰り返しの値が小さいほどコストが増加します。

リモート・ディレクトリで新しいイベント・ログ・ファイルをスキャンする頻度を決定する時間間隔を入力します。最小値は 1 分です。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H = 2 時間、15 M = 15 分です。

EPSスロットル

フローパイプラインに送信される 1 秒あたりのイベントの最大数。デフォルトは 5000 です。

EPSスロットル値が受信レートよりも高いことを確認してください、またはデータ処理が遅れる可能性があります。

次の表では、ディレクトリ プレフィックス イベント収集方法を使用して監査イベントを収集するための特定のパラメーター値について説明します。

表 3: ディレクトリプレフィックス方式を使用する場合の Amazon AWS S3 REST API プロトコルログソースパラメータ

パラメーター

形容

S3 の収集方法

[ 特定のプレフィックスを使用する] を選択します。

バケット名

ログファイルが保存されている AWS S3 バケットの名前。

ディレクトリプレフィックス

CloudTrail ログの取得元である AWS S3 バケット上のルートディレクトリの場所。 たとえば、AWSLogs/<AccountNumber>/CloudTrial/<RegionName>/ です。

バケットのルートディレクトリからファイルを取得するには、 ディレクトリプレフィックス ファイルパスにスラッシュ(/)を使用する必要があります。

手記:

[ディレクトリ プレフィックス] の値を変更すると、永続化されたファイル マーカーがクリアされます。新しいプレフィックスに一致するすべてのファイルが、次のプルでダウンロードされます。

ディレクトリプレフィックスファイルパスは、バケットのルートからデータを収集するためにスラッシュのみを使用しない限り、スラッシュ(/)で始めることはできません。

ディレクトリ プレフィックス ファイル パスを使用してフォルダーを指定する場合は、ファイル パスの先頭にスラッシュを使用しないでください (たとえば、代わりに folder1/folder2 を使用します)。

以下の表では、SQS イベント収集方式を使用して監査イベントを収集するために特定の値を必要とするパラメーターについて説明します。

表4: SQSメソッドを使用する場合のAmazon AWS S3 REST APIプロトコルログソースパラメータ

パラメーター

形容

S3 の収集方法

[ SQS イベント通知] を選択します。

SQS キュー URL

S3 から ObjectCreated イベントの通知を受信するように設定された SQS キューの で始まる完全な URL。

Amazon VPC フローログ

Amazon VPC (Virtual Private Cloud) フローログの JSA 統合は、SQS キューを使用して Amazon S3 バケットから VPC フローログを収集します。

手記:

この統合では、Amazon VPC フローログのデフォルト形式と、バージョン 3、4、または 5 のフィールドを含むカスタム形式がサポートされています。ただし、バージョン 2 のすべてのフィールドをカスタム形式に含める必要があります。デフォルトの形式には、次のフィールドが含まれます。

${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} $ {protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}

Amazon VPC フローログを JSA と統合するには、以下のステップを実行します。

  1. 自動更新が有効になっていない場合は、最新バージョンの Amazon VPC フローログ DSM RPM を https://support.juniper.net/support/downloads/ から JSA コンソールにダウンロードしてインストールします。

    • プロトコル共通 RPM

    • AWS S3 REST API プロトコル RPM

    手記:

    RPM をインストールして、QRadar の「ネットワーク・アクティビティー・フローの詳細」ウィンドウで追加の AWS 関連の VPC フロー・フィールドを有効にする場合、以下のサービスを表示するには、再始動する必要があります。プロトコルを機能させるためにサービスを再起動する必要はありません。

  2. Amazon VPC フローログを設定して、フローログを S3 バケットに発行します。

  3. ステップ 2 で使用した S3 バケットからObjectCreated通知を受信するために使用する SQS キューを作成します。

  4. AWS ユーザーアカウントのセキュリティ認証情報を作成します。

  5. JSA コンソールで Amazon VPC フローログログのログソースを追加します。

    手記:

    フロー プロセッサが使用可能であり、フロー ログを受信するためのライセンスを持っている必要があります。他のログソースとは異なり、AWS VPC フローログイベントは [Log Activity] (ログアクティビティ ) タブに送信されません。それらは [ネットワークアクティビティ] タブに送信されます。

    次の表では、Amazon VPC フローログからイベントを収集するために特定の値を必要とするパラメータについて説明します。

    表 5: Amazon VPC フローログのログソースパラメータ

    パラメーター

    価値

    ログソースの種類

    カスタム・ログ・ソース・タイプ

    プロトコル設定

    Amazon AWS S3 REST API

    ターゲット・イベント・コレクター

    このログ・ソースからイベントを受信して構文解析するイベント・コレクターまたはイベント・プロセッサー。

    手記:

    このインテグレーションは、Amazon VPCフローログに関するイベントを収集します。フローは収集されません。フローコレクターまたはフロープロセッサーをターゲットイベントコレクターとして使用することはできません。

    ログソース識別子

    ログ・ソースの固有の名前を入力します。

    ログソース ID は任意の有効な値にすることができ、特定のサーバーを参照する必要はありません。「ログソース ID」は、「ログソース名」と同じ値にすることができます。複数の Amazon VPC フローログログソースを設定した場合は、識別可能な方法で名前を付けることができます。例えば、最初のログ・ソースを vpcflowlogs1 として識別し、2 番目のログ・ソースを vpcflowlogs2 として識別できます。

    認証方法

    • アクセスキーID/秘密鍵

      どこからでも使用できる標準認証。

      詳細については、「 AWS ユーザーアカウントのセキュリティ認証情報の設定」を参照してください。

    • EC2 インスタンス IAM ロール

      マネージドホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられたインスタンスメタデータの IAM ロールが使用されます。キーは必要ありません。この方法は、AWS EC2 コンテナ内で実行されているマネージドホストに対してのみ機能します。

    IAMロールの引き受け

    アクセスキーまたは EC2 インスタンスの IAM ロールで認証することで、このオプションを有効にします。その後、アクセスの IAM ロールを一時的に引き受けることができます。このオプションは、SQS Event Notifications 収集方法を使用する場合にのみ使用できます。

    IAM ユーザーの作成とロールの割り当ての詳細については、「 AWS マネジメントコンソール での Identity and Access Management (IAM) ユーザーの作成」を参照してください。

    イベント形式

    AWS VPC フローログ

    S3 の収集方法

    SQS イベント通知

    VPC フロー宛先ホスト名

    VPC ログを送信する Flow Processor のホスト名または IP アドレス。

    手記:

    JSA が IPFIX フロー トラフィックを受け入れるには、UDP を使用する NetFlow/IPFIX フロー ソースを設定する必要があります。ほとんどのデプロイでは、default_Netflowフローソースを使用し、VPC フロー宛先ホスト名をそのマネージドホストのホスト名に設定できます。

    NetFlow/IPFIX フロー ソースで設定された管理対象ホストが、設定の前半で選択した ターゲット イベント コレクター と同じ場合は、[ VPC フロー宛先ホスト名(VPC Flow Destination Hostname )] を [ localhost] に設定できます。

    VPC フロー宛先ポート

    VPC ログを送信する Flow Processor のポート。

    手記:

    このポートは、NetFlow フロー ソースで指定されているモニタリング ポートと同じである必要があります。 default_Netflow フロー ソースのポートは 2055 です

    SQS キュー URL

    S3 から ObjectCreated イベントの通知を受信するように設定された SQS キューの https:// で始まる完全な URL。

    地域名

    SQS キューと S3 バケットに関連付けられているリージョン。

    例:us-east-1、eu-west-1、ap-northeast-3

    詳細オプションを表示

    デフォルトは [いいえ] です。イベント データをカスタマイズする場合は、[ はい ] を選択します。

    ファイルパターン

    このオプションは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

    プルするファイルに一致するファイルパターンの正規表現を入力します。例えば .*? \.json\.gz

    ローカルディレクトリ

    このオプションは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

    ターゲット・イベント・コレクターのローカル・ディレクトリー。ディレクトリは、AWS S3 REST API PROTOCOL がイベントの取得を試みる前に存在している必要があります。

    S3 エンドポイント URL

    このオプションは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

    AWS REST API のクエリに使用されるエンドポイント URL。

    エンドポイント URL がデフォルトと異なる場合は、エンドポイント URL を入力します。デフォルトは http://s3.amazonaws.com です。

    プロキシを使用

    JSA がプロキシを使用して Amazon Web Service にアクセスする場合は、[プロキシの使用] を有効にします。

    プロキシで認証が必要な場合は、[ プロキシ サーバー]、[ プロキシ ポート]、[ プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを設定します。

    プロキシが認証を必要としない場合は、[ プロキシ サーバー ] フィールドと [プロキシ ポート] フィールドを設定します。

    再発

    Amazon AWS S3 REST API プロトコルが Amazon クラウド API に接続し、新しいファイルを確認し、存在する場合は取得する頻度。AWS S3 バケットにアクセスするたびに、バケットを所有するアカウントにコストが発生します。したがって、繰り返しの値が小さいほどコストが増加します。

    リモート・ディレクトリで新しいイベント・ログ・ファイルをスキャンする頻度を決定する時間間隔を入力します。最小値は 1 分です。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H = 2 時間、15 M = 15 分です。

    EPSスロットル

    フローパイプラインに送信される 1 秒あたりのイベントの最大数。デフォルトは 5000 です。

    EPSスロットル値が受信レートよりも高いことを確認してください、またはデータ処理が遅れる可能性があります。

  6. 可視化のために VPC フロー ログを JSA Cloud Visibilityアプリに送信するには、次の手順を実行します。

    1. コンソールで、「 管理 」タブをクリックし、「 システム構成」>「システム設定」をクリックします

    2. [ Flow Processor Settings ] メニューをクリックし、[ IPFix additional field encoding ] フィールドで [TLV] または [TLV and Payload ] 形式を選択します。

    3. 保存」をクリックします。

    4. 管理 」タブのメニュー・バーから、「 完全な構成の展開 」をクリックし、変更を確認します。

      警告:

      完全な構成を展開すると、JSAサービスが再起動されます。この間、イベントおよびフローは収集されず、オフェンスは生成されません。

    5. ブラウザを更新します。

Amazon VPC フローログの仕様

次の表に、Amazon VPC フローログを収集するための仕様を示します。

表 6: Amazon VPC フローログの仕様

パラメーター

価値

生産者

アマゾン

DSM名

カスタム・ログ・ソース・タイプ

RPM ファイル名

AWS S3 REST API プロトコル

サポートされているバージョン

フローログv5

議定書

AWS S3 REST API プロトコル

イベント形式

JSA フロー ソースを使用した IPFIX

記録されるイベントの種類

ネットワークフロー

自動検出されますか?

いいえ

アイデンティティは含まれていますか?

いいえ

カスタムプロパティが含まれているか

いいえ

詳しく

(https:// docs.aws.amazon.com/vpc/latest/userguide/flowlogs. html)

フローログを S3 バケットに公開する

フローログを S3 バケットに発行するには、次の手順を実行します。

  1. AWS マネジメントコンソールにログインし、[ サービス ] メニューから VPC ダッシュボードに移動します。

  2. フローログを作成する VPC ID のチェックボックスをオンにします。

  3. [ Flow Logs ] タブをクリックします。

  4. [ フロー ログの作成] をクリックし、次のパラメータを設定します。

    表 7:フロー ログの作成 パラメータ

    パラメーター

    形容

    フィルター

    [ 承認]、[拒否]、または [すべて] を選択します。

    行き先

    [ Send to an S3 bucket] を選択します。

    S3 バケット ARN

    S3 バケットの ARN を入力します。

    arn:aws;s3:::myTestBucket
arn:aws:s3:::myTestBucket/testFlows

  5. 「作成」をクリックします。

ObjectCreated 通知の受信に使用する SQS キューを作成します。

ObjectCreated 通知の受信に使用される SQS キューを作成する

Amazon AWS REST API プロトコルを使用する場合は、AWS マネジメントコンソール で SQS キューを作成し、S3 ObjectCreated 通知を設定する必要があります。

SQS キューを作成し、S3 ObjectCreated 通知を設定するには、 ObjectCreated 通知の作成に関する AWS S3 REST API ドキュメントを参照してください。

AWS ユーザーアカウントのセキュリティ認証情報の設定

JSA でログソースを設定する前に、AWS ユーザーアカウントのアクセスキーとシークレットアクセスキーの値が必要です。

  1. IAMコンソール にログインします(https://console.aws.amazon.com/iam/)..

  2. 左側のナビゲーション ウィンドウから [ ユーザー ] を選択し、一覧からユーザー名を選択します。

  3. アクセスキーを作成するには、「 セキュリティ認証情報 」タブをクリックし、「 アクセスキー 」セクションで「 アクセスキーの作成」をクリックします。

  4. キーを含む CSVファイルをダウンロードするか、キーをコピーして保存します。

    手記:

    [アクセス キー ID] と [シークレット アクセス キー] を保存します。 これらは、JSA でログ ソースを構成するときに必要になります。

    シークレットアクセスキーは、作成時にのみ表示できます。

Amazon Web Services プロトコルの設定オプション

JSA の Amazon Web Services プロトコルは、Amazon CloudWatch ログから AWS CloudTrail ログを収集します。

次の表では、Amazon Web Services プロトコルのプロトコル固有のパラメーターについて説明します。

表 8: Amazon Web Services ログソースのパラメータ

パラメーター

形容

プロトコル設定

「プロトコル構成」リストから 「アマゾン ウェブ・サービス 」を選択します。

認証方法

  • アクセスキー ID/秘密鍵 — どこからでも使用できる標準認証。

  • EC2 インスタンス IAM ロールJSA 管理対象ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証のためにインスタンスに割り当てられているメタデータの IAM ロールが使用されます。キーは必要ありません。この方法は、AWS EC2 コンテナ内で実行されているマネージドホストに対してのみ機能します。

アクセスキー

AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成されたアクセスキー ID。

「アクセスキーID/秘密鍵」を選択した場合は、「アクセスキー」パラメータが表示されます。

秘密鍵

AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成された秘密鍵。

「アクセスキーID/秘密鍵」を選択した場合は、「アクセスキー」パラメータが表示されます。

地域

ログを収集するアマゾン ウェブ サービスに関連付けられている各リージョンのチェック ボックスをオンにします。

その他の地域

ログを収集するアマゾン ウェブ サービスに関連付けられている追加のリージョンの名前を入力します。複数のリージョンから収集するには、次の例に示すように、コンマ区切りのリストを使用します。 region1,region2

AWS のサービス

アマゾン ウェブ サービスの名前。 [AWS サービス ] リストから [ CloudWatch Logs] を選択します。

ログ・グループ

ログを収集する Amazon CloudWatch のロググループの名前。

手記:

1 つのログソースは、一度に 1 つのロググループから CloudWatch ログを収集します。複数のログ・グループからログを収集する場合は、ログ・グループごとに個別のログ・ソースを作成します

ログ・ストリーム (オプション)

ログ・グループ内のログ ストリームの名前。ログ・グループ内のすべてのログ・ストリームからログを収集する場合は、このフィールドをブランクのままにします。

フィルターパターン(オプション)

収集したイベントをフィルタリングするためのパターンを入力します。このパターンは正規表現フィルターではありません。指定した正確な値を含むイベントのみが CloudWatch Logs から収集されます。[フィルタ パターン(Filter Pattern)] の値として「ACCEPT」と入力すると、次の例に示すように、ACCEPT という単語を含むイベントのみが収集されます。

{LogStreamName: LogStreamTest,Timestamp: 0,
Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

元のイベントを抽出

CloudWatch ログに追加された元のイベントのみを JSA に転送するには、このオプションを選択します。

CloudWatch ログは、受信したイベントを追加のメタデータでラップします。

元のイベントは、CloudWatch ログから抽出されたメッセージキーの値です。次の CloudWatch ログイベント例は、CloudWatch ログから抽出された元のイベントを太字で示しています。

{"owner":"123456789012","subscriptionFilters":
["allEvents"],"logEvents":
[{"id":"35093963143971327215510178578576502306458824699048362100","mes
sage":"{\"eventVersion\":\"1.05\",\"userIdentity\":
{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test
_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role/
CVDevABRoleToBeAssumed/
test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId
\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":
{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\
"arn:aws:iam::123456789012:role/
CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\
"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":
{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54
Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudt
rail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"
apnortheast-
1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":
null,\"responseElements\":null,\"requestID\":\"41e62e80-
b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-
f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipi
entAccountId\":\"123456789012\"}","timestamp":1573667733143}],"message
Type":"DATA_MESSAGE","logGroup":"CloudTrail/
DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}

ゲートウェイ・ログ・ログソースとして使用

イベントにカスタム・ログ・ソース ID を定義しない場合は、このチェック・ボックスがクリアされていることを確認してください。

ログソース識別子パターン

ゲートウェイ・ログソースとして使用」を選択した場合は、このオプションを使用して、処理中のイベントのカスタム・ログソース識別子を定義します。

キーと値のペアを使用して、カスタム・ログソース識別子を定義します。キーは、結果のソースまたはオリジン値である識別子フォーマット文字列です。値は、現在のペイロードの評価に使用される関連する正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。

新しい行に各パターンを入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログソース ID が表示されます。

次の例は、複数のキーと値のペア関数を示しています。

  • パターン - VPC=\sREJECT\sFAILURE

    $1=\s(拒否)\sOK

    VPC-$1-$2=\s(受け入れ可能)\s(OK)

  • イベント - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

  • 結果のカスタム・ログ・ソース ID -

    VPC-ACCEPT-OK

プロキシを使用

JSAがプロキシを使用してAmazon Web Serviceにアクセスする場合は、このオプションを選択します。

プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを設定します。プロキシが認証を必要としない場合は、[ プロキシ サーバー ] フィールドと [プロキシ ポート ] フィールドを設定します。

サーバー証明の自動取得

JSAがサーバー証明書を自動的にダウンロードし、ターゲットサーバーの信頼を開始するには、[はい]を選択します。

このオプションを使用して、新しく作成されたログ・ソースを初期化して証明書を取得したり、期限切れの証明書を置き換えたりすることができます。

EPSスロットル

1 秒あたりの最大イベント数 (EPS) の上限。デフォルトは 5000 です。

ゲートウェイ・ログソースとして使用 」オプションが選択されている場合、この値はオプションです。

EPS スロットル パラメーター値を空白のままにすると、 JSA によって EPS 制限は課されません。

Apache Kafka プロトコルの構成オプション

JSA は Apache Kafka プロトコルを使用して、コンシューマー API を使用する Kafka クラスター内のトピックからイベントデータのストリームを読み取ります。トピックは、メッセージが保存およびパブリッシュされる Kafka のカテゴリまたはフィード名です。Apache Kafka プロトコルはアウトバウンド・プロトコルまたはアクティブ・プロトコルであり、カスタム・ログ・ソース・タイプを使用してゲートウェイ・ログ・ソースとして使用できます。

Apache Kafkaプロトコルは、ほぼすべての規模のトピックをサポートします。1つのトピックから収集するように、複数の JSA 収集ホスト(EP/EC)を設定できます。たとえば、すべてのファイアウォールです。詳細については、 Kafka のドキュメントを参照してください。

次の表では、Apache Kafka プロトコルのプロトコル固有のパラメーターについて説明します。

表9: Apache Kafkaプロトコルパラメータ

パラメーター

形容

ブートストラップ サーバ リスト

<hostname/ip>:<port>ブートストラップサーバー(またはサーバー)。この例のように、複数のサーバーをコンマで区切ったリストで指定できます。 hostname1:9092,10.1.1.1:9092

コンシューマグループ

このログ・ソースが属するコンシューマー・グループを識別する固有のストリングまたはラベル。

Kafka トピックにパブリッシュされた各レコードは、サブスクライブしている各コンシューマーグループ内の 1 つのコンシューマーインスタンスに配信されます。Kafka は、これらのラベルを使用して、グループ内のすべてのコンシューマーインスタンスでレコードを負荷分散します。

トピックのサブスクリプション方法

Kafka トピックをサブスクライブするために使用されるメソッド。「 トピックの一覧表示」 オプションを使用して、特定のトピックのリストを指定します。 「正規表現パターンマッチング 」オプションを使用して、使用可能なトピックと照合する正規表現を指定します。

トピック・リスト

サブスクライブするトピック名のリスト。リストはコンマで区切る必要があります。たとえば、「 Topic1,Topic2,Topic3」のように入力します。

このオプションは、「トピックのサブスクリプション方法」オプションで「トピックの一覧表示」が選択されている場合にのみ表示されます。

トピック・フィルター・パターン

サブスクライブするトピックに一致する正規表現。

このオプションは、「トピック・サブスクリプション・メソッド」オプションで「正規表現パターン・マッチング」が選択されている場合にのみ表示されます。

SASL 認証を使用する

このオプションは、SASL 認証構成オプションを表示します。

クライアント認証なしで使用する場合は、サーバー証明書のコピーを /opt/qradar/conf/ trusted_certificates/ ディレクトリに配置する必要があります。

クライアント認証を使用する

クライアント認証構成オプションを表示します。

/キーストア/トラストストアタイプ

キーストアおよびトラストストア・タイプのアーカイブ・ファイル形式。アーカイブ・ファイル・フォーマットでは、以下のオプションを使用できます。

  • JKS

  • PKCS12

トラストストアのファイル名

トラストストア・ファイルの名前。トラストストアは /opt/qradar/conf/trusted_certificates/kafka/ に配置する必要があります。

このファイルには、ユーザー名とパスワードが含まれています。

キーストアのファイル名

キーストア・ファイルの名前。鍵ストアは /opt/qradar/conf/trusted_certificates/kafka/ に配置する必要があります。

このファイルには、ユーザー名とパスワードが含まれています。

ゲートウェイ・ログ・ログソースとして使用

このオプションを使用すると、収集されたイベントが JSA トラフィック分析エンジンを通過し、適切なログ・ソースを自動的に検出できます。

ログソース識別子パターン

ゲートウェイ・ログソースとして使用 」チェック・ボックスが選択されている場合、処理中のイベントのカスタム・ログソース識別子を定義します。

キーと値のペアは、カスタム・ログソース識別子を定義するために使用されます。キーは、結果のソースまたはオリジン値である識別子フォーマット文字列です。値は、現在のペイロードの評価に使用される関連する正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。

複数のキーと値のペアは、新しい行に各パターンを入力することで定義されます。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログソース識別子が表示されます。

次の例は、複数のキーと値のペア関数を示しています。

パターン

  1. VPC=\sREJECT\sFAILURE

  2. $1=\s(REJECT)\sOK

  3. VPC-$1-$2=\s(ACCEPT)\s(OK)

イベント

  1. {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

結果のカスタム・ログ・ソース ID

  1. VPC-ACCEPT-OK

文字シーケンスの置換

イベント ペイロード内の特定のリテラル文字シーケンスを実際の文字に置き換えます。次のオプションの 1 つ以上を使用できます。

  • 改行(CR LF) 文字 (\r\n)

  • 改行文字 (\n)

  • キャリッジリターン文字 (\r)

  • タブ文字 (\t)

  • スペース文字 (\s)

EPSスロットル

1秒あたりの最大イベント数(EPS)。フィールドが空の場合、調整は適用されません。

クライアント認証を有効にするための Apache Kafka の構成

このタスクでは、Apache Kafka でクライアント認証を有効にする方法について説明します。

Kafka サーバーが使用するポートがファイアウォールによってブロックされていないことを確認します。

Kafkaコンシューマー(JSA)とKafkaブローカー間のクライアント認証を有効にするには、クラスター内のブローカーとクライアントごとにキーと証明書を生成する必要があります。また、証明書は認証局 (CA) によって署名される必要があります。

次の手順では、CA を生成し、それを使用してクライアント証明書とブローカー証明書に署名し、クライアントとブローカーのトラストストアに追加します。また、Java keytool と OpenSSL を使用して、鍵と証明書を生成することもできます。また、外部 CA を複数の CA (1 つはブローカー証明書の署名用、もう 1 つはクライアント証明書用) と共に使用することもできます。

  1. トラストストア、鍵ストア、秘密鍵、および CA 証明書を生成します。

    手記:

    次のコマンドの PASSWORD、VALIDITY、SERVER_ALIAS、および CLIENT_ALIAS を適切な値に置き換えます。

    1. サーバー・キーストアを生成します。

      手記:

      ブローカー証明書の共通名 (CN) は、サーバー/ホストの完全修飾ドメイン名 (FQDN) と一致する必要があります。 JSA が使用する Kafka コンシューマークライアントは、CN と DNS ドメイン名を比較して、悪意のあるブローカーではなく正しいブローカーに接続していることを確認します。サーバ キーストアを生成するときは、必ず [CN/名] と [姓] の値の FQDN を入力してください。

      keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -validity VALIDITY -genkey

    2. CA 証明書を生成します。

      手記:

      この CA 証明書を使用して、すべてのブローカー証明書とクライアント証明書に署名できます。

      openssl req -new -x509 -keyout ca-key -out ca-cert -days VALIDITY

    3. サーバートラストストアを作成し、CA証明書をインポートします。

      keytool -keystore kafka.server.truststore.jks -alias CARoot -import -file ca-cert

    4. クライアント・トラストストアを作成し、CA 証明書をインポートします。

      keytool -keystore kafka.client.truststore.jks -alias CARoot -import -file ca-cert

    5. サーバー証明を生成し、CA を使用して署名します。

      keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -certreq -file cert-file openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days VALIDITY -CAcreateserial

    6. CA 証明書をサーバ キーストアにインポートします。

      keytool -keystore kafka.server.keystore.jks -alias CARoot -import -file ca-cert

    7. 署名付きサーバー証明をサーバーキーストアにインポートします。

      keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -import -file cert-signed

    8. サーバー証明をバイナリ DER ファイルにエクスポートします。

      手記:

      keytool -exportcert コマンドは、デフォルトで DER 形式を使用します。Kafka と通信する EP の trusted_certificates/ ディレクトリに証明書を配置します。サーバー証明書は、構成で使用するすべてのブートストラップ サーバーに必要です。それ以外の場合、JSAはサーバーとのTLSハンドシェイクを拒否します。

      keytool -exportcert -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -file SEVER_ALIAS.der

    9. クライアント・キーストアを生成します。

      keytool -keystore kafka.client.keystore.jks -alias CLIENT_ALIAS -validity VALIDITY -genkey

    10. クライアント証明書を生成し、CAを使用して署名します。

      keytool -keystore kafka.client.keystore.jks -alias CLIENT_ALIAS -certreq -file client-cert-file

      openssl x509 -req -CA ca-cert -CAkey ca-key -in client-cert-file -out client-cert-signed -days VALIDITY -CAcreateserial

    11. CA 証明書をクライアント鍵ストアにインポートします。

      keytool -keystore kafka.client.keystore.jks -alias CARoot -import -file ca-cert

    12. 署名付きクライアント証明書をクライアントキーストアにインポートします。

      keytool -keystore kafka.client.keystore.jks -alias CLIENT_ALIAS -import -file client-cert-signed

    13. クライアントのキーストアとトラストストアを JSA にコピーします。

      1. ログ・ソースが構成されている各イベント・プロセッサーの /opt/qradar/conf/trusted_certificates/kafka/kafka.client.keystore.jkskafka.client.truststore.jksをコピーします。

      2. ブローカーごとに生成されたサーバー証明書 <filename>.der を /opt/qradar/conf/trusted_certificates/ にコピーします。

  2. クライアント認証用に Kafka ブローカーを構成します。

    1. [ Socket Server Settings](ソケットサーバー設定 )セクションを見つけます。

    2. 以下のオプションのうち 1 つを完了します。

      • SASL認証を使用していない場合は、 listeners=PLAINTEXT://:<port>をlisteners=SSL://:<PORT に変更し> security.inter.broker.protocol=SSLを追加します。

      • SASL認証を使用している場合は、 listeners=PLAINTEXT://:<port>をlisteners=SSL://:<PORT に変更し> security.inter.broker.protocol=SASL_SSL

    3. listeners=PLAINTEXT://:<port>をlisteners=SSL://:<PORT>に変更します。

    4. 以下のプロパティーを追加して、ブローカー間およびブローカーとクライアント間の暗号化通信を強制します。必要に応じて、パス、ファイル名、およびパスワードを調整します。これらのプロパティーは、 サーバーのトラストストアとキーストアです。

      ssl.client.auth=required

      ssl.keystore.location=/somefolder/kafka.server.keystore.jks

      ssl.keystore.password=test1234

      ssl.key.password=test1234

      ssl.truststore.location=/somefolder/kafka.server.truststore.jks

      ssl.truststore.password=test1234

      手記:

      パスワードは server.propertiesプレーンテキストで保存されるため、ファイルへのアクセスはファイルシステムの権限によって制限することをお勧めします。

    5. server.propertiesを変更した Kafka ブローカーを再起動します。

SASL 認証を有効にするための Apache Kafka の構成

このタスクでは、SSL クライアント認証を使用せずに Apache Kafka で SASL 認証を有効にする方法について説明します。

クライアント認証を有効にして SASL 認証を使用している場合は、「 クライアント認証を有効にするための Apache Kafka の構成」を参照してください。

  1. Kafka サーバーが使用するポートがファイアウォールによってブロックされていないことを確認します。

  2. Kafkaコンシューマー(JSA)とKafkaブローカー間のクライアント認証を有効にするには、クラスター内のブローカーとクライアントごとにキーと証明書を生成する必要があります。また、証明書は認証局 (CA) によって署名される必要があります。

以下のステップでは、CA を生成し、それを使用してクライアント証明書とブローカー証明書に署名し、ブローカートラストストアに追加します。また、Java keytool と OpenSSL を使用して、鍵と証明書を生成することもできます。また、外部 CA を複数の CA (1 つはブローカー証明書の署名用、もう 1 つはクライアント証明書用) と共に使用することもできます。

  1. トラストストア、鍵ストア、秘密鍵、および CA 証明書を生成します。

    手記:

    次のコマンドの PASSWORD、VALIDITY、SERVER_ALIAS、および CLIENT_ALIAS を適切な値に置き換えます。

    1. サーバー・キーストアを生成します。

      手記:

      ブローカー証明書の共通名 (CN) は、サーバー/ホストの完全修飾ドメイン名 (FQDN) と一致する必要があります。JSA が使用する Kafka コンシューマークライアントは、CN と DNS ドメイン名を比較して、悪意のあるブローカーではなく正しいブローカーに接続していることを確認します。サーバ キーストアを生成するときは、必ず [CN/名] と [姓] の値の FQDN を入力してください。

      keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -validity VALIDITY -genkey

    2. CA 証明書を生成します。

      手記:

      この CA 証明書を使用して、すべてのブローカー証明書とクライアント証明書に署名できます。

      openssl req -new -x509 -keyout ca-key -out ca-cert -days VALIDITY

    3. サーバートラストストアを作成し、CA証明書をインポートします。

      keytool -keystore kafka.server.truststore.jks -alias CARoot -import -file ca-cert

    4. サーバー証明を生成し、CA を使用して署名します。

      keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -certreq -file cert-file

      openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days VALIDITY -CAcreateserial

    5. CA 証明書をサーバ キーストアにインポートします。

      keytool -keystore kafka.server.keystore.jks -alias CARoot -import -file ca-cert

    6. 署名付きサーバー証明をサーバーキーストアにインポートします。

      keytool -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -import -file cert-signed

    7. サーバー証明をバイナリ DER ファイルにエクスポートします。

      手記:

      keytool -exportcert コマンドは、デフォルトで DER 形式を使用します。Kafka と通信する EP の trusted_certificates/ ディレクトリに証明書を配置します。サーバー証明書は、構成で使用するすべてのブートストラップ サーバーに必要です。それ以外の場合、JSAはサーバーとのTLSハンドシェイクを拒否します。

      keytool -exportcert -keystore kafka.server.keystore.jks -alias SERVER_ALIAS -file SEVER_ALIAS.der

  2. クライアント認証用に Kafka ブローカーを構成します。

    1. [ ソケット サーバーの設定 ] セクションを見つけて、listeners=PLAINTEXT://:<port>を listeners=SSL://:<PORT> に変更します。

    2. 以下のプロパティーを追加して、ブローカー間およびブローカーとクライアント間の暗号化通信を強制します。必要に応じて、パス、ファイル名、およびパスワードを調整します。これらのプロパティーは、 サーバーのトラストストアとキーストアです。

      security.inter.broker.protocol=SASL_SSL

      ssl.client.auth=none

      ssl.keystore.location=/somefolder/kafka.server.keystore.jks

      ssl.keystore.password=test1234

      ssl.key.password=test1234

      ssl.truststore.location=/somefolder/kafka.server.truststore.jks

      ssl.truststore.password=test1234

      手記:

      パスワードはserver.propertiesにプレーンテキストで保存されるため、ファイルへのアクセスはファイルシステムのアクセス権によって制限されることをお勧めします。

    3. server.properties を変更した Kafka ブローカーを再起動します。

Apache Kafkaのトラブルシューティング

このリファレンスでは、クライアント認証を有効にするように Apache Kafka を構成するためのトラブルシューティング オプションを提供します。

表 10: Apache Kafka クライアント認証のトラブルシューティング

発行

解決

ログ・ソース構成で「 ゲートウェイとして使用」ログソース オプションが選択されていますが、ログ・ソースが自動的に検出されていません。

Kafkaからストリーミングされるイベントには、 JSA が各イベントのログソース識別子を正しく判断できるように、有効なSyslog RFC3164またはRFC5424準拠のヘッダーが含まれている必要があります。

イベントは受信されず、ログ・ソース構成フォームに「Encountered an error while attempting to fetch topic metadata... Please verify the configuration information」というエラーが表示されます。

設定に入力されたブートストラップサーバーとポートの詳細が有効であることを確認します。

クライアント認証が有効になっている場合は、次の点を確認します。

  • 入力されたパスワードは正しいです。

  • クライアント・トラストストア・ファイルと鍵ストア・ファイルは /opt/qradar/conf/trusted_certificates/kafka/ フォルダーに存在し、指定されたファイル名は一致します。

  • サーバー証明書 (<filename>.der) は、 /opt/qradar/conf/trusted_certificates/ フォルダーにあります。

イベントが受信されず、ログ・ソース構成フォームに「The user specified list of topics did not contain any topics that exists in the Kafka cluster. Please verify the topic list」というエラーが表示されます。

[ List Topics ] オプションを使用してトピックをサブスクライブすると、 JSA は、ログ ソースが最初に起動されたときに、Kafka クラスタで使用可能なトピックを指定されたトピックに検証しようとします。構成に入力された内容とクラスターで使用可能なトピックの間に一致するトピックがない場合、このメッセージが表示されます。構成に入力されたトピック名を確認します。また、トピックをサブスクライブするための 正規表現パターンマッチング オプションの使用も検討してください。

Kafkaサーバー上のプロパティー・ファイルのパラメーター値が変更されると、期待した結果が得られません。

Kafka ログ・ソースを無効にしてから、再度有効にします。

Blue Coat Web Security Service REST API プロトコルの構成オプション

Blue Coat Web Security Service からイベントを受信するには、Blue Coat Web Security Service REST API プロトコルを使用するようにログソースを設定します。

Blue Coat Web Security Service REST API プロトコルは、Blue Coat Web Security Service Sync API を照会し、最近強化されたログ データをクラウドから取得する送信/アクティブ プロトコルです。

次の表では、Blue Coat Web Security Service REST API プロトコルのプロトコル固有のパラメーターについて説明します。

表 11:Blue Coat Web Security Service REST API プロトコル パラメータ

パラメーター

形容

APIユーザー名

Blue Coat Web Security Service での認証に使用される API ユーザー名。APIユーザー名は、Blue Coat Threat Pulseポータルから設定されます。

パスワード

Blue Coat Webセキュリティサービスでの認証に使用されるパスワード。

パスワードの確認

[パスワード] フィールドの確認。

プロキシを使用

プロキシを設定すると、ログ・ソースのすべてのトラフィックは、 JSA のプロキシを経由してBlue Coat Webセキュリティ・サービスにアクセスします。

[プロキシ IP またはホスト名(Proxy IP or Hostname)]、[プロキシ ポート(Proxy Port)]、[プロキシ ユーザ名(Proxy Username)]、および [プロキシ パスワード(Proxy Password)] フィールドを設定します。プロキシが認証を必要としない場合は、[プロキシ ユーザー名(Proxy Username)] フィールドと [プロキシ パスワード(Proxy Password)] フィールドを空白のままにすることができます。

再発

ログがデータを収集するタイミングを指定できます。形式は、月/時間/日を表す M/H/D です。デフォルトは 5 M です。

EPSスロットル

1 秒あたりの最大イベント数 (EPS) の上限。デフォルトは 5000 です。

Centrify Redrock REST API プロトコル構成オプション

Centrify Redrock REST APIプロトコルは、Centrify Identity Platformからイベントを収集するJSAのアウトバウンド/アクティブプロトコルです。

Centrify Redrock REST APIプロトコルは、Centrify Identity PlatformとCyberArk Identity Security Platformをサポートしています。

次のパラメーターには、Centrify Identity プラットフォームからイベントを収集するために特定の値が必要です。

表12: Centrify Redrock REST APIプロトコルのログソースパラメータ

パラメーター

価値

ログソースの種類

Centrify IDプラットフォーム

プロトコル設定

Centrify Redrock REST API

ログソース識別子

ログ・ソースの固有の名前。

ログソース ID は任意の有効な値にすることができ、特定のサーバーを参照する必要はありません。「ログソース ID」は、「 ログソース名」と同じ値にすることができます。構成されている Centrify Identity Platform ログ・ソースが複数ある場合は、最初のログ・ソースを centrify1、2 番目のログ・ソースを centrify2 として、3 番目のログ・ソースを centrify3 として識別できます。

テナント ID

セントリファイは、一意の顧客またはテナント ID を割り当てました。

テナント URL

指定したテナント ID に対して自動的に生成されたテナント URL。たとえば、 tenantId.my.centrify.com

ユーザー名

Centrify Identity Platform のクラウド サービスに関連付けられているユーザー名。

パスワード

Centrify Identity Platform ユーザー名に関連付けられているパスワード。

イベント ロギング フィルター

取得するイベントのログ レベルを選択します。情報、警告、エラーが選択可能です。少なくとも 1 つのフィルターを選択する必要があります。

信頼されていない証明書を許可する

このオプションを有効にすると、自己署名の信頼できない証明書が許可されます。SaaS でホストされるテナントに対しては、このオプションを有効にしないでください。ただし、必要に応じて、他のテナント構成に対してこのオプションを有効にできます。

証明書は、PEM または DER でエンコードされたバイナリー形式でダウンロードし、ファイル拡張子 .cert または .crt で /opt/ qradar/conf/trusted_certificates/ ディレクトリーに配置する必要があります。

プロキシを使用

プロキシが構成されている場合、Centrify Redrock REST API からのすべてのトラフィックはプロキシを通過します。

プロキシ サーバー、プロキシ ポート、プロキシ ユーザー名およびプロキシ パスワード フィールドを設定します。プロキシが認証を必要としない場合は、[プロキシ ユーザー名(Proxy Username)] フィールドと [プロキシ パスワード(Proxy Password)] フィールドを空白のままにすることができます。

EPSスロットル

1秒あたりの最大イベント数。デフォルトは 5000 です。

再発

時間間隔は、時間(H)、分(M)、または日(D)です。デフォルトは 5 分(5M)です。

Cisco Firepower EStreamer プロトコルの設定オプション

Cisco Firepower eStreamer(イベントストリーマー)サービスからイベントを受信するには、Cisco Firepower eStreamer プロトコルを使用するようにログ ソースを設定します。

Cisco Firepower eStreamer プロトコルは、以前は Sourcefire Defense Center eStreamer プロトコルと呼ばれていました。

Cisco Firepower eStreamer プロトコルは、着信/パッシブ プロトコルです。

イベント ファイルは JSA にストリーミングされ、Cisco Firepower Management Center DSM の設定後に処理されます。

次の表では、Cisco Firepower eStreamer プロトコルのプロトコル固有のパラメータについて説明します。

表 13: Cisco Firepower EStreamer プロトコル パラメータ

パラメーター

形容

プロトコル設定

Cisco Firepower eStreamer

サーバーポート

Cisco Firepower eStreamer サービスが接続要求を受け入れるように設定されているポート番号。

JSA が Cisco Firepower eStreamer に使用するデフォルト ポートは 8302 です。

キーストアのファイル名

キーストアの秘密キーおよび関連する証明書のディレクトリパスとファイル名。デフォルトでは、インポート スクリプトは、/ opt/qradar/conf/estreamer.keystore ディレクトリにキーストア ファイルを作成します。

トラストストア ファイル名

トラストストア ファイルのディレクトリ パスとファイル名。トラストストア・ファイルには、クライアントによって信頼されている証明書が含まれています。デフォルトでは、インポート スクリプトは、/ opt/qradar/conf/estreamer.truststore ディレクトリにトラストストア ファイルを作成します。

追加データのリクエスト

Cisco Firepower Management Center からの追加データを要求するには、このオプションを選択します(たとえば、追加データにはイベントの元の IP アドレスが含まれます)。

ドメイン
手記:

ドメイン ストリーミング要求は、eStreamer バージョン 6.x でのみサポートされています。eStreamer バージョン 5.x の [ドメイン(Domain)] フィールドは空白のままにします。

イベントのストリーミング元のドメイン。

[ドメイン] フィールドの値は、完全修飾ドメインである必要があります。つまり、目的のドメインのすべての祖先は、最上位ドメインから始まり、イベントを要求するリーフ ドメインで終わる必要があります。

例:

Globalはトップレベルドメイン、BはGlobalのサブドメインである第2レベルドメイン、Cは第3レベルドメインおよびBのサブドメインであるリーフドメインです。C からイベントを要求するには、 Domain パラメーターに次の値を入力します。

Global \ B \ C

Cisco NSEL プロトコルの設定オプション

Cisco 適応型セキュリティ アプライアンス(ASA)からの NetFlow パケット フローをモニタするには、Cisco Network Security Event Logging(NSEL)プロトコル ソースを設定します。

Cisco NSEL プロトコルは、着信/パッシブ プロトコルです。Cisco NSEL を JSA と統合するには、NetFlow イベントを受信するためのログ ソースを手動で作成する必要があります。 JSA は、Cisco NSEL からの syslog イベントのログ ソースを自動的に検出または作成しません。

次の表に、Cisco NSEL プロトコルのプロトコル固有のパラメータを示します。

表 14: Cisco NSEL プロトコル パラメータ

パラメーター

形容

プロトコル設定

Cisco NSEL

ログソース識別子

管理コンソールに接続されたデバイスがネットワークに含まれている場合は、イベントを作成した個々のデバイスの IP アドレスを指定できます。それぞれに固有の意の IP アドレスを使用すると、イベント検索で管理コンソールがすべてのイベントのソースとして識別されるのを防ぎます。

コレクター ポート

Cisco ASA が NSEL イベントの転送に使用する UDP ポート番号。 JSAはJSAフロープロセッサのフローデータにポート2055を使用します。NetFlow 用に Cisco 適応型セキュリティ アプライアンスで別の UDP ポートを割り当てる必要があります。

EMC VMwareプロトコル構成オプション

仮想環境の VMWare Web サービスからイベント・データを受信するには、EMC VMWare プロトコルを使用するようにログ・ソースを構成します。

EMC VMwareプロトコルは、アウトバウンド/アクティブ・プロトコルです。

JSAは、EMC VMwareプロトコルについて、次のイベント・タイプをサポートしています。

  • アカウント情報

  • 告知

  • 警告

  • エラー

  • システム情報

  • システム構成

  • システムエラー

  • ユーザーログイン

  • その他の不審なイベント

  • アクセスが拒否されました

  • 情報

  • 認証

  • セッショントラッキング

以下の表は、EMC VMwareプロトコルのプロトコル固有のパラメータの説明です。

表15: EMC VMwareプロトコルのパラメータ

パラメーター

形容

プロトコル設定

EMC VMware

ログソース識別子

このパラメータの値は、 VMware IP パラメータと一致する必要があります。

VMware IPアドレス

VMWare ESXiサーバのIPアドレス。VMwareプロトコルは、プロトコルがイベントデータを要求する前に、VMware ESXiサーバーのIPアドレスにHTTPSを追加します。

転送プロトコルの設定オプション

デプロイメント内の別のコンソールからイベントを受信するには、転送プロトコルを使用するようにログ・ソースを構成します。

転送プロトコルは、通常、イベントを別の JSA コンソールに転送するために使用される受信/受動プロトコルです。たとえば、コンソールAでは、コンソールBがオフサイトターゲットとして設定されています。自動的にディスカバーされたログ・ソースからのデータは、コンソール B に転送されます。コンソール A で手動で作成されたログ・ソースも、転送プロトコルを使用してコンソール B にログ・ソースとして追加する必要があります。

Google Cloud Pub/Sub プロトコルの構成オプション

Google Cloud Pub/Subプロトコルは、Google Cloud Platform(GCP)ログを収集するJSAのアウトバウンド/アクティブプロトコルです。

自動更新が有効になっていない場合は、 https://support.juniper.net/support/downloads/ から GoogleCloudPubSub プロトコル RPM をダウンロードします。

手記:

Google Cloud Pub/Subプロトコルは、JSA 7.3.2パッチ6以降でサポートされています。

次の表に、Google Cloud Pub/Sub プロトコルを使用して Google Cloud Pub/Sub ログを収集するためのプロトコル固有のパラメータを示します。
表 16: Google Cloud Pub/Sub の Google Cloud Pub/Sub ログソース パラメーター

パラメーター

形容

サービスアカウントの認証情報の種類

必要なサービスアカウントの認証情報がどこから来ているのかを指定します。

関連付けられたサービス アカウントに、GCP で構成されたサブスクリプション名に対する Pub/Subscriber ロールまたはより具体的な pubsub.subscriptions.consume 権限があることを確認します。

ユーザー管理キー

[サービス アカウント キー] フィールドには、ダウンロードしたサービス アカウント キーから完全な JSON テキストを入力することで提供されます。

GCPマネージドキー

JSA 管理対象ホストが GCP コンピューティング インスタンスで実行されており、Cloud API のアクセス スコープに Cloud Pub/Sub が含まれていることを確認します。

サブスクリプション名

Cloud Pub/Sub サブスクリプションのフルネーム。 たとえば、「 projects/my-project/subscriptions/my-subscription 」のように入力します。

ゲートウェイ・ログ・ログソースとして使用

収集されたイベントがJSAトラフィック分析エンジンを通過し、JSAが1つ以上のログ・ソースを自動的に検出するには、このオプションを選択します。

このオプションを選択すると、オプションで「 ログソース ID パターン」を使用して、処理中のイベントのカスタム・ ログソース ID を定義できます。

ログソース識別子パターン

ゲートウェイ・ログソースとして使用 」オプションが選択されている場合は、このオプションを使用して、処理されるイベントのカスタム・ログ・ソース ID を定義します。ログ ・ソース識別子パターン が構成されていない場合、JSA はイベントを不明な汎用ログ・ソースとして受信します。

ログソース ID パターン 」フィールドは、key=value などのキーと値のペアを受け入れて、処理中のイベントのカスタム・ログソース ID を定義し、該当する場合はログ・ソースが自動的に検出されるようにします。 キー は、結果のソースまたはオリジン値である識別子フォーマット文字列です。Value は、現在のペイロードの評価に使用される、関連付けられた正規表現パターンです。値 (正規表現パターン) は、キー (識別子フォーマット文字列) をさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。

複数のキーと値のペアは、新しい行に各パターンを入力することで定義できます。複数のパターンが使用されている場合、一致するものが見つかるまで順番に評価されます。一致が見つかると、カスタム・ログソース ID が表示されます。

次の例は、複数のキーと値のペアの機能を示しています。

パターン

VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

イベント

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

結果のカスタム・ログ・ソース ID

VPC-ACCEPT-OK

プロキシを使用

JSA がプロキシを使用して GCP に接続するには、このオプションを選択します。

プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、 および [プロキシ パスワード] フィールドを設定します。

プロキシが認証を必要としない場合は、[ プロキシ サーバー ] フィールドと [プロキシ ポート ] フィールドを設定します。

プロキシ IP またはホスト名

プロキシー・サーバーの IP またはホスト名。

プロキシ ポート

プロキシー・サーバーとの通信に使用されるポート番号。

デフォルトは 8080 です。

プロキシ ユーザー名

プロキシが認証を必要とする場合にのみ必要です。

プロキシ パスワード

プロキシが認証を必要とする場合にのみ必要です。

EPSスロットル

このログ・ソースが超えてはならない 1 秒あたりのイベント (EPS) の最大数の上限。デフォルトは 5000 です。

ゲートウェイ・ログソースとして使用 」オプションが選択されている場合、この値はオプションです。

[EPS スロットル] パラメーター値を空白のままにすると、JSA によって EPS 制限は課されません。

JSAと統合するためのGoogle Cloud Pub/Subの構成

JSA でログソースを追加する前に、Pub/Sub トピックとサブスクリプションを作成し、Pub/Sub サブスクリプションにアクセスするためのサービス アカウントを作成してから、Pub/Sub トピックにデータを入力する必要があります。

JSA と統合するように Google Cloud Pub/Sub を構成するには、次のタスクを実行します。

Google Cloud Console での Pub/Sub トピックとサブスクリプションの作成

Google Cloud Pub/Sub のトピックは、データが公開される場所です。1 つ以上のサブスクライバーが、サブスクリプションを使用してこのデータを使用できます。

Google Cloud Pub/Sub のサブスクリプションは、1 人のサブスクライバーまたはサブスクライバーのグループに関するトピック データのビューです。Pub/Sub からデータを収集するには、JSA は、他の SIEM、ビジネス プロセスなどによって共有されないトピックへの専用サブスクリプションを必要とします。ただし、同じデプロイメント内の複数の JSA イベント・コレクターは、ゲートウェイ・ログソース・オプションを使用して、同じサブスクリプションを使用し、同じトピックからの消費をロード・バランシングできます。

  1. トピックを作成します。JSA に送信するデータを含むトピックがすでにある場合は、この手順を省略します。

    1. Google Cloud Platform にログインします。

    2. ナビゲーション メニューから [Pub/Sub > Topics] を選択し、[ CREATE TOPIC] をクリックします。

    3. 「トピック ID」フィールドに、トピックの名前を入力します。

    4. [暗号化] セクションで、[ Google マネージド キー ] が選択されていることを確認し、[ トピックの作成] をクリックします。

  2. サブスクリプションを作成します。

    1. Pub/Sub ナビゲーション メニューから [サブスクリプション] を選択します。

    2. [ サブスクリプションの作成] をクリックし、パラメーターを構成します。

      次の表では、Google Cloud Pub/Sub でサブスクリプションを作成するために必要なパラメータ値について説明します。

      表 17: Google Cloud Pub/Sub の Google Cloud Pub/Sub 作成サブスクリプション パラメータ

      パラメーター

      形容

      サブスクリプション ID

      新しいサブスクリプション名を入力します。

      Cloud Pub/Sub トピックの選択

      リストからトピックを選択します。

      配信タイプ

      プルを有効にします。

      サブスクリプションの有効期限

      [ この日数が経過すると期限切れになる (365)] を有効にし、サブスクリプションを保持する日数を [日数] フィールドに入力します。たとえば、31 です。

      確認の期限

      メッセージが 1 回だけ処理されるようにするには、[ ] フィールドに 60 と入力します。

      メッセージの保持期間

      [日数] フィールドに、未確認メッセージを保持する日数を入力します。たとえば、7 です。JSA は、メッセージをコンシュームした後で確認応答します。

      手記:

      メッセージが 1 回だけ処理されるようにするには、[ 確認済みメッセージを保持する] を選択しないでください。

      プロキシ ポート

      プロキシー・サーバーとの通信に使用されるポート番号。

      デフォルトは 8080 です。

      プロキシ ユーザー名

      プロキシが認証を必要とする場合にのみ必要です。

      プロキシ パスワード

      プロキシが認証を必要とする場合にのみ必要です。

      EPSスロットル

      このログ・ソースが超えてはならない 1 秒あたりのイベント (EPS) の最大数の上限。デフォルトは 5000 です。

      ゲートウェイ・ログソースとして使用 」オプションが選択されている場合、この値はオプションです。

      [EPS スロットル] パラメーター値を空白のままにすると、JSA によって EPS 制限は課されません。

    3. 「作成」をクリックします。

Google Cloud Console でサービス アカウントとサービス アカウント キーを作成して Pub/Sub サブスクリプションにアクセスする

JSA が Google Cloud Pub/Sub API で認証するには、サービス アカウントを作成する必要があります。

サービス アカウント キーには、サービス アカウントの資格情報が JSON 形式で含まれています。

  1. サービスアカウントを作成します。

    次のいずれかの条件が当てはまる場合は、この手順を省略します。

    • 使用するサービス アカウントが既にあります。

    • JSAオールインワンアプライアンスまたはJSA Cloud Platform Computeインスタンスからイベントを収集するJSAイベントコレクタがあり、「サービスアカウントタイプ」オプションとしてGCPマネージドキーを使用しています。

    1. Google Cloud Platform にログインします。

    2. 「IAM & Admin」ナビゲーション・メニューから「サービス・アカウント」を選択し、「サービスロケーションの作成」をクリックします。

    3. [ サービス アカウント ] フィールドに、サービス アカウントの名前を入力します。

    4. [ サービス アカウントの説明 ] フィールドに、サービス アカウントの説明を入力します。

    5. 「作成」をクリックします。

  2. サービス アカウント キーを作成する - JSON 形式のサービス アカウントの資格情報が Web ブラウザーからコンピューターにダウンロードされます。JSA でログ・ソースを構成するときに、「サービス・アカウント・キー」パラメーターに「ユーザー管理キー」オプションを使用する場合は、サービス・アカウント・キー値が必要です。GCP マネージド キー オプションを使用する場合は、この手順を省略します。

    • Google Cloud Platform にログインします。

    • ナビゲーション・メニューから、「 IAM & Admin > Service Accounts」を選択します。

    • 電子メール」リストからサービス・アカウントを選択し、「アクション」リストから「キーの作成」を選択します。

    • 「キー・タイプ」で 「JSON 」を選択し、「 作成」をクリックします。

  3. サービスアカウントへの権限の割り当て - JSAがGoogle Cloud Pub/Sub APIで認証するには、サービスアカウントを作成する必要があります。すでにサービス アカウントをお持ちの場合は、この手順を省略します。Google Cloud Platform Computeインスタンスからイベントを収集するJSAオールインワンアプライアンスまたはJSAイベントコレクタがあり、「サービスアカウントタイプ」オプションとしてGCPマネージドキーを使用している場合は、このステップを省略します。

    1. Google Cloud Platform にログインします。

    2. ナビゲーション・メニューから、「 IAM & Admin > IAM」を選択し、「 追加」をクリックします。

    3. ステップ1で作成したサービス・アカウントを選択するか、GCPマネージド・キーを使用している場合は、JSAインストールで使用しているコンピュート・インスタンスに割り当てられているサービス・アカウントを選択します。

    4. [Role] リストから [Pub/Subscriber] を選択します。Pub/Subscribe サブスクライバー ロールを使用すると、サービス アカウントは Pub/Sub トピックからメッセージを読み取り、消費します。権限をさらに制限する場合は、pubsub.subscriptions.consume 権限を持つカスタム ロールを作成し、特定のサブスクリプションにのみ割り当てることができます。

    5. 保存」をクリックします。

Pub/Sub トピックにデータを入力する

一部の Google Cloud Platform サービスでは、Logging Sink を使用するか、Google Compute Engine インスタンスにインストールできる Stackdriver エージェントを使用して、Pub/Sub トピックにデータを書き込むことができます。

Google Cloud Platform で Pub/Sub トピックとサブスクリプションが設定されていることを確認します。

一般的なユースケースは、Google Cloud Platform から クラウド監査ログの管理アクティビティ を収集することです。次の例を使用して、ログ エクスポート シンクを作成します。

  1. Google Cloud Platform にログインします。

  2. ナビゲーション・メニューから、「ロギング>ログ・ビューア」をクリックします。

  3. [ 監査対象リソース ] リストから [Google プロジェクト] を選択します。

  4. [ ラベルまたはテキスト検索でフィルター ] リストから、[ 高度なフィルターに変換] を選択します。

  5. [ 高度なフィルター ] フィールドに logName:"logs/cloudaudit.googleapis.com" コマンドを入力します。

  6. [シンクの作成] をクリックします。

JSAでのGoogle Cloud Pub/Subログ・ソースの追加

カスタムログソースタイプ、または Google Cloud Pub/Sub プロトコルをサポートするジュニパーログソースタイプを使用するように、JSA でログソースを設定します。

Google Cloud Pub/Sub プロトコルを使用して、Google Cloud Pub/Sub サービスから任意のタイプのイベントを取得できます。ジュニパーでは、一部の Google Cloud サービス向けに DSM を提供しています。DSM を持たないサービスは、カスタム・ログ・ソース・タイプを使用して処理できます。

既存の DSM を使用してデータを解析する場合は、「 ゲートウェイ・ログソースとして使用 」パラメーター・オプションを選択して、この構成によって収集されたデータからさらに多くのログ・ソースを作成します。あるいは、ログ・ソースが自動的に検出されない場合は、「 プロトコル・タイプ 」パラメーター・オプションに Syslog を使用して、ログ・ソースを手動で作成できます。

  1. JSA にログインします。

  2. 管理 」タブで、「JSAログソース管理」アプリケーション・アイコンをクリックします。

  3. [ New ログソース > Single ログソース] をクリックします。

  4. [ Select a Logsource Type]ページで、カスタムログソースタイプ、またはGoogle Cloud Pub/SubプロトコルをサポートするJuniperログソースタイプを選択します。

  5. [ プロトコルの種類の選択 ] ページの [ プロトコルの種類の選択 ] リストから [Google Pub/Sub プロトコル] を選択します。

  6. ログソース・パラメーターの構成 」ページで、ログ・ソース・パラメーターを構成し、「 プロトコル・パラメーターの構成」をクリックします。Google Cloud Pub/Subプロトコルパラメータの設定の詳細については、「 JSAでのGoogle Cloud Pub/Subログソースの追加」を参照してください。

  7. 接続をテストして、接続、認証、および承認が機能していることを確認します。使用可能な場合は、サブスクリプションのサンプル イベントを表示します。

    1. [Test Protocol Parameters] をクリックし、[Start Test] をクリックします。

    2. エラーを修正するには、[ Configure Protocol Parameters] をクリックしてから、プロトコルを再度テストします。

Google G Suite アクティビティ レポート REST API プロトコル オプション

Google G Suite アクティビティ レポート REST API プロトコルは、Google G Suite からログを取得する JSA のアウトバウンド/アクティブ プロトコルです。

Google G Suite アクティビティ レポート REST API プロトコルは、JSA 7.3.2 パッチ 6 以降でサポートされています。

次の表に、Google G Suite Activity Reports REST API プロトコルのプロトコル固有のパラメータを示します。

表 18: Google G Suite アクティビティ レポートの REST API プロトコル ログソース パラメータ

パラメーター

形容

ログソース識別子

ログ・ソースの固有の名前を入力します。

ログソース ID は任意の有効な値にすることができ、特定のサーバーを参照する必要はありません。「ログソース ID」は、「ログソース名」と同じ値にすることができます。設定済みの Google G Suite ログソースが複数ある場合は、一意の識別子を作成できます。例えば、最初のログ・ソースを googlegsuite1、2 番目のログ・ソースを googlegsuite2 として、3 番目のログ・ソースを googlegsuite3 として識別できます。

ユーザー アカウント

レポート権限を持つ Google ユーザー アカウント。

サービス アカウントの認証情報

イベントを取得するための Google API へのアクセスを承認します。 サービスアカウントの認証情報は 、Google Cloud Platformで新しいサービスアカウントを作成するときにダウンロードするJSON形式のファイルに含まれています。

プロキシを使用

JSAがプロキシを使用してGoogle G Suiteにアクセスする場合は、このオプションを有効にします。

プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを設定します。

プロキシが認証を必要としない場合は、[ プロキシ サーバー ] フィールドと [プロキシ ポート ] フィールドを設定します。

再発

新しいイベントについて、Google G Suite Activity Reports API にログソースをクエリする間隔。時間間隔は、時間(H)、分(M)、または日(D)です。

既定値は 5 分です。

EPSスロットル

1秒あたりの最大イベント数。

イベント遅延

データ収集の遅延(秒単位)。

Google G Suite のログは、最終的な配信システムで機能します。データを見逃さないように、ログは遅延して収集されます。

デフォルトの遅延は 7200 秒 (2 時間) で、0 秒まで設定できます。

Google G Suite アクティビティ レポート REST API プロトコルに関するよくある質問

ご不明な点がございましたら、Google G Suite アクティビティ レポート REST API プロトコルについては、よくある質問と回答をご覧ください

イベント遅延オプションは何に使用されますか?

イベント遅延オプションは、イベントが見逃されるのを防ぐために使用されます。このコンテキストでの見逃したイベントは、プロトコルがクエリ範囲をイベントの到着時間よりも新しい時間枠に更新した後に使用可能になるために発生します。イベントが発生しても Google G Suite Activity Reports REST API に投稿されていない場合、プロトコルがそのイベントの作成時刻を照会しても、プロトコルはそのイベントを取得しません。

例 1:次の例は、イベントが失われる方法を示しています。

このプロトコルは、午後 2:00 に Google G Suite Activity Reports REST API をクエリして、午後 1:00 から午後 1:59 までのイベントを収集します。Google G Suite アクティビティ レポート REST API レスポンスは、午後 1:00 から午後 1:59 の間に Google G Suite アクティビティ レポート REST API で利用できるイベントを返します。このプロトコルは、あたかもすべてのイベントが収集されたかのように動作します。次に、午後 3:00 に次のクエリを Google G Suite Activity Reports REST API に送信して、午後 2:00 から午後 2:59 の間に発生したイベントを取得します。このシナリオの問題は、Google G Suite アクティビティ レポート REST API に、午後 1 時から午後 1 時 59 分の間に発生したすべてのイベントが含まれていない可能性があることです。イベントが午後 1 時 58 分に発生した場合、そのイベントは午後 2 時 3 分まで Google G Suite アクティビティ レポート REST API で利用できないことがあります。ただし、プロトコルは既に午後 1:00 から午後 1:59 までの時間範囲を照会しており、重複するイベントを取得せずにその範囲を再クエリすることはできません。この遅延には数時間かかることがあります。

例 2:次の例は例 1 を示していますが、このシナリオでは 15 分の遅延が追加されています。

この例では、プロトコルがクエリ呼び出しを行うときに 15 分の遅延を使用します。プロトコルが午後 2:00 に Google G Suite Activity Reports REST API へのクエリ呼び出しを行うと、午後 1:00 から 1:45 の間に発生したイベントが収集されます。このプロトコルは、あたかもすべてのイベントが収集されたかのように動作します。次に、午後 3:00 に次のクエリを Google G Suite Activity Reports REST API に送信し、午後 1 時 45 分から午後 2 時 45 分の間に発生したすべてのイベントを収集します。 例 1 のようにイベントを見逃すのではなく、午後 1 時 45 分から午後 2 時 45 分の間に次のクエリ呼び出しで取得されます。

例 3:次の例は例 2 を示していますが、このシナリオではイベントが 1 日後に使用可能になる点が異なります。

イベントが午後 1 時 58 分に発生し、翌日の午後 1 時 57 分にようやく Google G Suite Activity Reports REST API で使用可能になった場合、 例 2 のイベント遅延ではそのイベントは発生しません。代わりに、イベントの遅延をより高い値 (この場合は 24 時間) に設定する必要があります。

イベント遅延オプションはどのように機能しますか?

プロトコルは、最後に受信したイベント時刻から現在時刻までクエリを実行する代わりに、最後に受信したイベント時刻から現在の時刻(<イベント遅延>)までクエリを実行します。イベントの遅延は秒単位です。たとえば、遅延が 15 分 (900 秒) の場合、クエリは最大 15 分前までしか実行されません。このクエリにより、Google G Suite Activity Reports REST API に 15 分間の猶予が与えられ、イベントが失われる前にイベントを使用可能にすることができます。現在の時刻<イベント遅延>最後に受信したイベント時間よりも小さい場合、プロトコルは Google G Suite アクティビティ レポート REST API にクエリを実行しません。代わりに、条件が通過するのを待ってからクエリを実行します。

イベント遅延オプションにはどのような値を使用しますか?

Google G Suite アクティビティ レポート REST API を使用すると、予定の可用性が遅れることがあります。イベントが見落とされないようにするには、[ イベント遅延 ] パラメーター オプションの値を 168 時間 (1 週間) に設定します。ただし、イベントの遅延が大きいほど、結果のリアルタイム性は低くなります。たとえば、イベントの遅延が 24 時間の場合、イベントの発生後すぐにではなく、24 時間後にイベントが表示されます。その価値は、どれだけのリスクを負う覚悟があるか、リアルタイムデータがどれほど重要であるかによって異なります。デフォルトの遅延である 2 時間 (7200 秒) は、リアルタイムで設定される値を提供し、ほとんどのイベントが見逃されるのを防ぎます。遅延の詳細については、「 データ保持期間とラグ タイム」を参照してください。

HTTP 受信側プロトコルの設定オプション

HTTP または HTTPS 要求を転送するデバイスからイベントを収集するには、HTTP レシーバー・プロトコルを使用するようにログ・ソースを構成します。

HTTP レシーバー プロトコルは、インバウンド/パッシブ プロトコルです。HTTP レシーバーは、構成されたリスニング ポートで HTTP サーバーとして機能し、受信した POST 要求の要求本文をイベントに変換します。HTTPS要求とHTTP要求の両方をサポートします。

次の表に、HTTP Receiverプロトコルのプロトコル固有のパラメータを示します。

表 19: HTTP レシーバ プロトコル パラメータ

パラメーター

形容

プロトコル設定

リストから [HTTP Receiver] を選択します。

ログソース識別子

IPアドレス、ホスト名、またはデバイスを識別するための任意の名前。

ログ・ソース・タイプに対して固有でなければなりません。

通信タイプ

[ HTTP]、[ HTTPs]、または [HTTPs とクライアント認証] を選択します。

クライアント証明書のパス

通信の種類として [HTTPs とクライアント認証 ] を選択した場合は、クライアント証明書への絶対パスを設定する必要があります。クライアント証明書を JSA コンソール またはログ・ソースの イベント・コレクター にコピーする必要があります。

TLSバージョン

このプロトコルで使用できる TLS のバージョン。最も安全なバージョンを使用するには、 TLSv1.2 オプションを選択します。

使用可能なバージョンが複数あるオプションを選択すると、HTTPS 接続はクライアントとサーバーの両方で使用可能な最高バージョンをネゴシエートします。

リッスンポート

受信HTTP Receiverイベントを受け入れるために JSA が使用するポート。デフォルトのポートは 12469 です。

手記:

ポート 514 は使用しないでください。ポート 514 は、標準の Syslog リスナーによって使用されます。

メッセージパターン

既定では、HTTP POST 全体が 1 つのイベントとして処理されます。POST を複数の単一行イベントに分割するには、各イベントの開始を示す正規表現を指定します。

ゲートウェイ・ログ・ログソースとして使用

収集されたイベントがJSAトラフィック分析エンジンを通過し、JSAが1つ以上のログ・ソースを自動的に検出するには、このオプションを選択します。

最大ペイロード長(バイト)

1 つのイベントの最大ペイロード サイズ(バイト単位)。ペイロード サイズがこの値を超えると、イベントは分割されます。

デフォルト値は 8192 で、32767 より大きくてはなりません。

最大 POST メソッド要求長 (MB)

POST メソッド要求本文の最大サイズ (MB 単位)。POST 要求本文のサイズがこの値を超えると、HTTP 413 状態コードが返されます。

デフォルト値は 5 で、10 を超えてはなりません。

EPSスロットル

このプロトコルが超えないようにする 1 秒あたりのイベント(EPS)の最大数。デフォルトは 5000 です。

JDBC プロトコル構成オプション

JSA は、JDBC プロトコルを使用して、複数のデータベースタイプのイベントデータを含むテーブルまたはビューから情報を収集します。

JDBC プロトコルは、アウトバウンド/アクティブ・プロトコルです。 JSA には、JDBC用のMySQLドライバは含まれていません。MySQL JDBC ドライバを必要とする DSM またはプロトコルを使用している場合は、プラットフォームに依存しない MySQL Connector/J を http://dev.mysql.com/downloads/connector/j/ からダウンロードしてインストールする必要があります。

  1. Java アーカイブ (JAR) ファイルを /opt/qradar/jars にコピーします。

  2. JSA バージョン 7.3.1 を使用している場合は、JAR ファイルを /opt/ibm/si/services/ecs-ecingress/ eventgnosis/lib/q1labs/ にもコピーする必要があります。

  3. 次のいずれかのコマンドを入力して、Tomcat サービスを再起動します。

    • JSA 2014.8を使用している場合は、service tomcat restartと入力します。

    • JSA 7.3.0またはJSA 7.3.1を使用している場合は、systemctl restart tomcatと入力します

  4. 以下のいずれかのコマンドを入力して、イベント収集サービスを再始動します。

    • JSA 2014.8を使用している場合は、service ecs-ec restartと入力します。

    • JSA 7.3.0を使用している場合は、systemctl restart ecs-ecと入力します。

    • JSA 7.3.1 を使用している場合は、「systemctl restart ecs-ec-ingress

次の表に、JDBCプロトコルのプロトコル固有のパラメータを示します。

表 20: JDBC プロトコル パラメータ

パラメーター

形容

ログソース名

ログ・ソースの固有の名前を入力します。

ログソースの説明 (オプション)

ログ・ソースの説明を入力します。

ログソースの種類

ログソース・タイプ 」リストから、JDBC プロトコルを使用するデバイス・サポート・モジュール (DSM) を選択します。

プロトコル設定

JDBC

ログソース識別子

ログ・ソースの名前を入力します。この名前にはスペースを含めることはできず、JDBC プロトコルを使用するように構成されたログ・ソース・タイプのすべてのログ・ソース間で固有でなければなりません。

ログ・ソースが静的 IP アドレスまたはホスト名を持つ単一アプライアンスからイベントを収集する場合は、アプライアンスの IP アドレスまたはホスト名を「 ログソース識別子 」値の全部または一部として使用します。たとえば、192.168.1.1 や JDBC192.168.1.1 などです。ログ・ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集しない場合は、「ログソース識別子」の値に任意の一意の名前を使用できます。たとえば、JDBC1、JDBC2 などです。

データベースの種類

イベントを含むデータベースの種類を選択します。

データベース名

接続するデータベースの名前。

IPまたはホスト名

データベース・サーバーのIPアドレスまたはホスト名。

JDBC ポートを入力します。JDBC ポートは、リモート・データベースで構成されているリスニング・ポートと一致する必要があります。データベースは、受信 TCP 接続を許可する必要があります。データベースは、受信 TCP 接続を許可する必要があります。有効範囲は 1 から 65535 です。

デフォルトは次のとおりです。

  • のMSDE-1433

  • Postgresの- 5432

  • MySQLの- 3306

  • Sybase - 5000

  • オラクル - 1521

  • Informix(インフォミックス) - 9088

  • Db2 - 50000

データベース・インスタンスを MSDE データベース・タイプで使用する場合、管理者はログ・ソース構成の Port パラメーターをブランクのままにする必要があります。

ユーザー名

データベース内の JSA のユーザー・アカウント。

パスワード

データベースへの接続に必要なパスワード。

パスワードの確認

データベースへの接続に必要なパスワード。

認証ドメイン (MSDE のみ)

「Microsoft JDBCを使用」を選択しなかった場合は、「認証ドメイン」が表示されます。

Windows ドメインである MSDE のドメイン。ネットワークでドメインを使用しない場合は、このフィールドを空白のままにします。

データベース インスタンス (MSDE または Informix のみ)

データベース・インスタンス (必要な場合)。MSDE データベースには、1 つのサーバー上に複数の SQL Server インスタンスを含めることができます。

データベースに標準以外のポートが使用されている場合、または SQL データベース解決のためにポート 1434 へのアクセスがブロックされている場合は、ログ・ソース構成で 「データベース・インスタンス 」パラメーターをブランクにする必要があります。

定義済みクエリ (オプション)

ログ・ソースの事前定義データベース照会を選択します。事前定義照会がログ・ソース・タイプで使用できない場合、管理者は「なし」を選択できます。

テーブル名

イベント レコードを含むテーブルまたはビューの名前。テーブル名に使用できる特殊文字は、ドル記号 ($)、番号記号 (#)、アンダースコア (_)、半角ダッシュ (-)、ピリオド (.) です。

リストを選択

テーブルでイベントをポーリングするときに含めるフィールドのリスト。カンマ区切りのリストを使用するか、アスタリスク (*) を入力して、テーブルまたはビューからすべてのフィールドを選択できます。コンマ区切りリストが定義されている場合、そのリストには「 比較フィールド」で定義されているフィールドが含まれている必要があります。

フィールドの比較

照会と照会の間に表に追加される新規イベントを識別する表またはビューの数値またはタイム・スタンプ・フィールド。プロトコルが以前にプロトコルによってポーリングされたイベントを識別し、重複するイベントが作成されないようにします。

プリペアドステートメントを使用

プリペアド・ステートメントを使用すると、JDBCプロトコル・ソースはSQLステートメントをセットアップしてから、そのSQLステートメントを異なるパラメータで何度も実行できます。セキュリティとパフォーマンス上の理由から、ほとんどのJDBCプロトコル設定ではプリペアドステートメントを使用できます。

開始日時(オプション)

データベース・ポーリングの開始日時を選択または入力します。形式は yyyy-mm-dd HH:mm で、HH は 24 時間制で指定します。

このパラメーターが空の場合、ポーリングはすぐに開始され、指定されたポーリング間隔で繰り返されます。

このパラメーターは、プロトコルがターゲット・データベースに接続してイベント・コレクションを初期化する日時を設定するために使用されます。これを [ポーリング間隔 ] パラメーターと共に使用して、データベース ポーリングの特定のスケジュールを構成できます。たとえば、毎時 5 分後に投票が行われるようにしたり、毎日午前 1:00 に投票が行われるようにしたりします。

このパラメーターを使用して、ターゲット データベースから古いテーブル行を取得することはできません。たとえば、パラメーターを [先週] に設定した場合、プロトコルは前の週のすべてのテーブル行を取得するわけではありません。プロトコルは、初期接続時に [比較フィールド ] の最大値より新しい行を取得します。

ポーリング間隔

イベント テーブルへのクエリー間隔を入力します。より長いポーリング間隔を定義するには、数値に時間を表す H または分を表す M を追加します

最大ポーリング間隔は 1 週間です。

EPSスロットル

このプロトコルで超えたくない 1 秒あたりのイベント数(EPS)。有効な範囲は 100 から 20,000 です。

セキュリティー・メカニズム (Db2 のみ)

リストから、Db2 サーバーでサポートされるセキュリティー・メカニズムを選択します。セキュリティ メカニズムを選択しない場合は、 [なし] を選択します。

既定値は [なし] です。

Db2 環境でサポートされるセキュリティー・メカニズムについて詳しくは、 https://support.juniper.net/support/downloads/ を参照してください。

名前付きパイプ通信を使用する (MSDE のみ)

Microsoft JDBC を使用」を選択しなかった場合は、「名前付きパイプ通信を使用 」が表示されます。

MSDE データベースでは、データベースのユーザー名とパスワードではなく、Windows 認証のユーザー名とパスワードを使用するために、ユーザー名とパスワードのフィールドが必要です。ログ・ソース構成では、MSDE データベース上のデフォルトの名前付きパイプを使用する必要があります。

データベース クラスタ名 (MSDE のみ)

[ 名前付きパイプ通信を使用]を選択した場合は、[ 名前付きパイプ通信を使用 ]パラメータが表示されます。

クラスタ環境で SQL Server を実行している場合は、クラスタ名を定義して、名前付きパイプ通信が正しく機能するようにします。

NTLMv2 を使用する (MSDE のみ)

Microsoft JDBC を使用」を選択しなかった場合は、「NTLMv2 を使用 」と表示されます。

MSDE 接続が NTLMv2 認証を必要とする SQL Server と通信するときに NTLMv2 プロトコルを使用する場合は、このオプションを選択します。このオプションは、NTLMv2 認証を必要としない MSDE 接続の通信を中断しません。

NTLMv2 認証を必要としない MSDE 接続の通信を中断しません。

Microsoft JDBC の使用 (MSDE のみ)

Microsoft JDBC ドライバーを使用する場合は、[ Microsoft JDBC を使用する] を有効にする必要があります。

SSL の使用 (MSDE のみ)

接続が SSL をサポートしている場合は、このオプションを選択します。このオプションは、MSDE でのみ表示されます。

SSL 証明書ホスト名

このフィールドは、[ Microsoft JDBC を使用 ] と [SSL を使用 ] の両方が有効になっている場合に必須です。

この値は、ホストの完全修飾ドメイン名 (FQDN) である必要があります。IPアドレスは許可されていません。

SSL 証明書と JDBC の詳細については、次のリンクの手順を参照してください。

Oracle Encryptionの使用

Oracle Encryptionおよびデータ整合性の設定は、Oracle Advanced Securityとも呼ばれます。

選択した場合、Oracle JDBC接続では、サーバーがクライアントと同様のOracle Data Encryption設定をサポートする必要があります。

データベース ロケール (Informix のみ)

多言語インストールの場合は、このフィールドを使用して、使用する言語を指定します。

コード セット (Informix のみ)

「コード・セット」パラメータは、多言語インストールの言語を選択すると表示されます。このフィールドを使用して、使用する文字セットを指定します。

有効

このチェックボックスを選択すると、ログ・ソースが使用可能になります。デフォルトでは、このチェックボックスはオンになっています。

信頼性

リストから、ログ・ソースの 「信頼性 」を選択します。範囲は 0 から 10 です。

信頼性は、ソース デバイスからの信頼性評価によって決定される、イベントまたは攻撃の整合性を示します。複数の情報源が同じイベントを報告すると、信頼性が高まります。デフォルトは 5 です。

ターゲット・イベント・コレクター

ログ・ソースのターゲットとして使用する 「ターゲット・イベント・コレクター 」を選択します。

イベントの合体

イベントの合体 」チェック・ボックスを選択して、ログ・ソースがイベントを結合 (バンドル) できるようにします。

デフォルトでは、自動的に検出されたログ・ソースは、JSAのシステム設定から「合体イベント」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

ストア イベント ペイロード

イベント・ペイロードの保管 」チェック・ボックスを選択して、ログ・ソースがイベント・ペイロード情報を保管できるようにします。

デフォルトでは、自動的に検出されたログ・ソースは、JSAの「システム設定」から「ストア・イベント・ペイロード」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

JDBC – SiteProtector プロトコル構成オプション

Java Database Connectivity (JDBC) - SiteProtector プロトコルを使用して、IBM Proventia Management SiteProtector データベースでイベントをリモートでポーリングするようにログ・ソースを構成できます。

JDBC - SiteProtector プロトコルは、ログ・ソース・ペイロードの作成時に SensorData1 表と SensorDataAVP1 表からの情報を結合するアウトバウンド/アクティブ・プロトコルです。SensorData1 表と SensorDataAVP1 表は、IBM Proventia Management SiteProtector データベースにあります。JDBC - SiteProtector プロトコルが 1 つの照会でポーリングできる最大行数は 30,000 行です。

以下の表では、JDBC - SiteProtector プロトコルのプロトコル固有のパラメーターについて説明します。

表 21: JDBC - SiteProtector プロトコル パラメーター

パラメーター

形容

プロトコル設定

JDBC - サイトプロテクター

データベースの種類

一覧から、イベント ソースに使用するデータベースの種類として [MSDE ] を選択します。

データベース名

プロトコルが接続できるデータベースの名前として「 RealSecureDB 」と入力します。

IPまたはホスト名

データベース・サーバーのIPアドレスまたはホスト名。

データベース・サーバが使用するポート番号。JDBC SiteProtector 構成ポートは、データベースのリスナー・ポートと一致する必要があります。データベースでは、受信 TCP 接続が有効になっている必要があります。データベース・タイプとして MSDE を使用するときに データベース・インスタンス を定義する場合は、ログ・ソース構成の ポート ・パラメーターをブランクのままにする必要があります。

ユーザー名

JDBCプロトコルによってデータベースへのアクセスを追跡する場合は、 JSA システムに対して特定のユーザを作成できます。

認証ドメイン

[MSDE] を選択し、データベースが Windows 用に設定されている場合は、Windows ドメインを定義する必要があります。

ネットワークでドメインを使用しない場合は、このフィールドを空白のままにします。

データベースインスタンス

[MSDE] を選択し、1 つのサーバーに複数の SQL Server インスタンスがある場合は、接続先のインスタンスを定義します。データベース構成で標準以外のポートを使用する場合、または SQL データベースの解決のためにポート 1434 へのアクセスがブロックされている場合は、構成の [データベース インスタンス ] パラメーターを空白のままにする必要があります。

定義済みクエリ

ログ・ソースの事前定義データベース照会。事前定義データベース照会は、特殊なログ・ソース接続でのみ使用可能です。

テーブル名

SensorData1

AVPビュー名

SensorDataAVP

応答ビュー名

SensorDataResponse

リストを選択

* 」と入力すると、テーブルまたはビューのすべてのフィールドが含められます。

フィールドの比較

SensorDataRowID

プリペアドステートメントを使用

プリペアド・ステートメントを使用すると、JDBC プロトコル・ソースは SQL ステートメントをセットアップし、その SQL ステートメントを異なるパラメーターで何度も実行できます。セキュリティとパフォーマンス上の理由から、プリペアドステートメントを使用します。このチェック ボックスをオフにすると、プリコンパイル済みステートメントを使用しない別のクエリ方法を使用できます。

監査イベントを含める

IBM Proventia Management SiteProtector から監査イベントを収集することを指定します。

開始日時

随意。プロトコルがデータベースのポーリングを開始できる開始日時。

ポーリング間隔

イベント テーブルに対するクエリ間の時間。数値に時間を表す H または分を表す M を付加することで、より長いポーリング間隔を定義できます。H または M 指定子のない数値は、秒単位でポーリングします。

EPSスロットル

このプロトコルで超えたくない 1 秒あたりのイベント数(EPS)。

データベース ロケール

多言語インストールの場合は、「 データベース・ロケール 」フィールドを使用して、使用する言語を指定します。

データベース・コード・セット

多言語インストールの場合は、「 コードセット 」フィールドを使用して、使用する文字セットを指定します。

名前付きパイプ通信を使用する

Windows 認証を使用している場合は、このパラメーターを有効にして、AD サーバーへの認証を許可します。SQL 認証を使用している場合は、名前付きパイプ通信を無効にします。

データベースクラスタ名

名前付きパイプ通信が正しく機能するようにするためのクラスター名。

NTLMv2 を使用する

NTLMv2 認証を必要とする SQL Server で MSDE 接続に NTLMv2 プロトコルの使用を強制します。[ NTLMv2 を使用する ] チェック ボックスは、NTLMv2 認証を必要としない MSDE 接続の通信を中断しません。

SSLを使用

JDBC プロトコルの SSL暗号を有効にします。

ログソース言語

ログ・ソースによって生成されるイベントの言語を選択します。ログ・ソース言語は、複数の言語でイベントを作成できる外部アプライアンスまたはオペレーティング・システムからのイベントをシステムが解析するのに役立ちます。

ジュニパーネットワークスの NSM プロトコル設定オプション

ジュニパーネットワークスNSMおよびジュニパーネットワークスセキュアサービスゲートウェイ(SSG)ログイベントを受信するには、ジュニパーネットワークスNSMプロトコルを使用するようにログソースを設定します。

ジュニパーネットワークスNSMプロトコルは、インバウンド/パッシブプロトコルです。

以下の表は、ジュニパーネットワークス Network and Security Manager プロトコルのプロトコル固有のパラメーターを説明しています。

表22:ジュニパーネットワークスのNSMプロトコルパラメータ

パラメーター

形容

ログソースの種類

ジュニパーネットワークス ネットワークおよびセキュリティ マネージャー

プロトコル設定

ジュニパーNSM

Juniper Security バイナリログコレクタープロトコルの設定オプション

セキュリティー・バイナリー・ログ・コレクター・プロトコルを使用するようにログ・ソースを構成できます。このプロトコルを使用すると、ジュニパーアプライアンスは、監査、システム、ファイアウォール、IPS(侵入防御システム)イベントをバイナリ形式で JSAに送信できます。

インバウンド/パッシブプロトコルのセキュリティバイナリログコレクタープロトコル。

Juniper SRXシリーズサービスゲートウェイまたはJシリーズアプライアンスからのバイナリログ形式は、UDPプロトコルを使用してストリーミングされます。バイナリ形式のイベントをストリーミングするには、一意のポートを指定する必要があります。標準の syslog ポート 514 は、バイナリ形式のイベントには使用できません。ジュニパーアプライアンスからストリーミングバイナリイベントを受信するために割り当てられるデフォルトのポートはポート40798です。

次の表では、Juniper Security Binary Log Collector プロトコルのプロトコル固有のパラメータについて説明します。

表 23: Juniper Security Binary Log Collector プロトコルパラメータ

パラメーター

形容

プロトコル設定

セキュリティバイナリログコレクタ

XML テンプレート ファイルの場所

Juniper SRXシリーズサービスゲートウェイまたはJuniper Jシリーズ アプライアンスからのバイナリ ストリームをデコードするために使用されるXML ファイルへのパス。デフォルトでは、デバイスサポートモジュール(DSM)には、バイナリストリームをデコードするためのXML ファイルが含まれています。

XML ファイルは、ディレクトリー /opt/qradar/conf/security_log.xml にあります。

ログ ファイル プロトコルの構成オプション

リモート・ホストからイベントを受信するには、ログ・ファイル・プロトコルを使用するようにログ・ソースを構成します。

ログ ファイル プロトコルは、毎日のイベント ログを書き込むシステム向けの送信/アクティブ プロトコルです。イベントファイルに情報を追加するデバイスにログファイルプロトコルを使用することは適切ではありません。

ログ ファイルは、SFTP、FTP、SCP、または FTPS を使用して一度に 1 つずつ取得されます。ログ・ファイル・プロトコルは、プレーン・テキスト、圧縮ファイル、またはファイル・アーカイブを管理できます。アーカイブには、一度に 1 行ずつ処理できるプレーンテキスト ファイルが含まれている必要があります。ログ・ファイル・プロトコルがイベント・ファイルをダウンロードすると、ファイルで受信した情報によって「 ログ・アクティビティー 」タブが更新されます。ダウンロードの完了後にさらに情報がファイルに書き込まれた場合、追加された情報は処理されません。

以下の表は、ログファイルプロトコルのプロトコル固有のパラメーターを説明しています。

表 24: ログ ファイル プロトコル パラメータ

パラメーター

形容

プロトコル設定

ログファイル
サービスの種類

リモートサーバーからログファイルを取得するときに使用するプロトコルを選択します。

  • SFTP - セキュアファイル転送プロトコル (デフォルト)

  • FTP - ファイル転送プロトコル

  • FTPS - 安全なファイル転送プロトコル

  • SCP - セキュア コピー プロトコル

  • AWS - アマゾン ウェブ サービス

[リモート IP またはホスト名(Remote IP or Hostname)] フィールドで指定するサーバは、SFTP サブシステムが SCP または SFTP でログ ファイルを取得できるようにする必要があります。

リモートポート

リモートホストが標準以外のポート番号を使用している場合、イベントを取得するにはポート値を調整する必要があります。

SSHキーファイル

システムがキー認証を使用するように設定されている場合は、SSH キーを入力します。SSHキーファイルが使用されている場合、 リモートパスワード フィールドは無視されます。

SSH 鍵は、 /opt/qradar/conf/keys ディレクトリーにある必要があります。

手記:

[SSH Key File] フィールドは、ファイルパスを受け付けなくなりました。「/」や「~」を含めることはできません。SSH キーのファイル名を入力する必要があります。既存の構成の鍵は、/opt/qradar/ conf/keys ディレクトリーにコピーされます。一意性を確保するために、キーのファイル名に "<Timestamp>" を追加する必要があります。

リモートディレクトリ

FTP の場合、ログファイルがリモートユーザのホームディレクトリにある場合は、リモートディレクトリを空白のままにしておくことができます。ブランクのリモート・ディレクトリー・フィールドは、作業ディレクトリー (CWD) コマンドの変更が制限されているシステムをサポートします。

リカーシブ

このチェックボックスをオンにすると、FTPまたはSFTP接続でリモートディレクトリのサブフォルダでイベントデータを再帰的に検索できます。サブフォルダから収集されるデータは、FTPファイルパターンの正規表現との一致に依存します。 [再帰的(Recursive )] オプションは SCP 接続では使用できません。

FTP ファイル パターン

リモートホストからダウンロードするファイルを識別するために必要な正規表現(regex)。

FTP転送モード

FTP 経由の ASCII 転送の場合は、[プロセッサ(Processor)] フィールドで [NONE] を選択し、[イベント ジェネレータ(Event Generator)] フィールドで [LINEBYLINE] を選択する必要があります。
FTP TLSバージョン

FTPS接続で使用できるTLSのバージョン。最も安全なバージョンを使用するには、 TLSv1.2 オプションを選択します。使用可能なバージョンが複数あるオプションを選択すると、FTPS 接続はクライアントとサーバーの両方で使用可能な最高バージョンをネゴシエートします。

このオプションは、[ サービス タイプ(Service Type )] パラメータで [FTPS] を選択した場合にのみ設定できます。

再発

リモート・ディレクトリで新しいイベント・ログ・ファイルをスキャンする頻度を決定する時間間隔。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H を繰り返すと、リモート ディレクトリが 2 時間ごとにスキャンされます。

保存時に実行

ログ・ソース構成を保存した直後に、ログ・ファイルのインポートを開始します。このチェックボックスを選択すると、以前にダウンロードおよび処理されたファイルのリストがクリアされます。最初のファイル・インポートの後、ログ・ファイル・プロトコルは、管理者が定義した開始時刻と繰り返しスケジュールに従います。

EPSスロットル

プロトコルが超えることができない EPS(イベント/秒)。

ローカルディレクトリを変更しますか?

ターゲット・イベント・コレクターのローカル・ディレクトリーを変更して、イベント・ログを処理前に保管します。

ローカルディレクトリ

ターゲット・イベント・コレクターのローカル・ディレクトリー。このディレクトリは、ログファイルプロトコルがイベントを取得しようとする前に存在している必要があります。

ファイルエンコーディング

ログ・ファイル内のイベントで使用される文字エンコード。

フォルダセパレータ

オペレーティング・システムのフォルダーを区切るために使用される文字。ほとんどの構成では、[ フォルダー区切り記号] フィールドの既定値を使用できます。このフィールドは、異なる文字を使用して個別のフォルダーを定義するオペレーティング・システムを対象としています。たとえば、メインフレーム システム上のフォルダーを区切る期間などです。

ログファイルプロトコルにFTPSを使用するためのJSAの設定

ログ・ファイル・プロトコル用にFTPSを構成するには、FTPサーバーに接続するすべての JSA イベント・コレクターにサーバーSSL証明書を配置する必要があります。SSL 証明が RSA 2048 でない場合は、新しい SSL 証明を作成します。

次のコマンドは、Open SSL を使用して LINUX システム上に証明書を作成する例を示しています。

openssl req -newkey rsa:2048 -nodes -keyout ftpserver.key -x509 -days 365 -out ftpserver.crt

ファイル拡張子が .crt の FTP サーバー上のファイルは、各 Event Collector の /opt/qradar/conf/ trusted_certificates ディレクトリーにコピーする必要があります。

Microsoft Azure Event Hubs プロトコル構成オプション

JSAのMicrosoft Azure Event Hubsプロトコルは、Microsoft Azure Event Hubsからイベントを収集します。

手記:

既定では、各イベント コレクターは、ファイル ハンドルが不足する前に、最大 1000 個のパーティションからイベントを収集できます。より多くのパーティションから収集したい場合は、 ジュニパーカスタマーサポート に連絡して、詳細なチューニング情報とサポートを受けることができます。

次のパラメーターでは、Microsoft Azure Event Hubs アプライアンスからイベントを収集するために特定の値が必要です。

表25: Microsoft Azure Event Hubsのログソースパラメータ

パラメーター

価値

イベント ハブの接続文字列を使用する

接続文字列を使用して Azure Event Hub で認証します。

手記:

このスイッチをオフに切り替える機能は非推奨です。

イベント ハブの接続文字列

Event Hub へのアクセスを提供する承認文字列。例えば

Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>

コンシューマグループ

接続中に使用されるビューを指定します。各 コンシューマ・グループは 、独自のセッション・トラッキングを保持します。コンシューマ・グループと接続情報を共有する接続は、セッション・トラッキング情報を共有します。

ストレージ アカウント接続文字列を使用する

接続文字列を使用して Azure Storage アカウントで認証します。

手記:

このスイッチをオフに切り替える機能は非推奨です。

ストレージ アカウント接続文字列

ストレージ アカウントへのアクセスを提供する承認文字列。例えば

DefaultEndpointsProtocol=https;Account Name=<Stor Account Name>AccountKey=<StorageAccount Key>;EndpointSuffix=core.windows.net

Azure Linux イベントを Syslog にフォーマットする

Azure Linux ログを、Linux システムの標準の syslog ログに似た 1 行の syslog 形式に書式設定します。

ゲートウェイ・ログ・ログソースとして使用

収集されたイベントが JSA トラフィック分析エンジンを通過し、 JSA が1つ以上のログ・ソースを自動的に検出するには、このオプションを選択します。

このオプションを選択すると、オプションで「 ログソース ID パターン 」を使用して、処理中のイベントのカスタム・ ログソース ID を定義できます。

ログソース識別子パターン

ゲートウェイ・ログソースとして使用 」オプションが選択されている場合は、このオプションを使用して、処理されるイベントのカスタム・ログ・ソース ID を定義します。ログソース識別子パターンが構成されていない場合、 JSA はイベントを不明な汎用ログ・ソースとして受信します。

ログソース ID パターン 」フィールドは、key=value などのキーと値のペアを受け入れて、処理中のイベントのカスタム・ログソース ID を定義し、該当する場合はログ・ソースが自動的に検出されるようにします。 キー は、結果のソースまたはオリジン値である識別子フォーマット文字列です。Value は、現在のペイロードの評価に使用される、関連付けられた正規表現パターンです。値 (正規表現パターン) は、キー (識別子フォーマット文字列) をさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。

複数のキーと値のペアは、新しい行に各パターンを入力することで定義できます。複数のパターンが使用されている場合、一致するものが見つかるまで順番に評価されます。一致が見つかると、カスタム・ログソース識別子が表示されます。

次の例は、複数のキーと値のペアの機能を示しています。

パターンVPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

イベント{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

結果のカスタム・ログ・ソース ID VPC-ACCEPT-OK

予測解析の使用

このパラメーターを有効にすると、アルゴリズムは、イベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、構文解析速度が向上します。

予測構文解析を使用可能にするのは、高いイベント率を受信し、より高速な構文解析を必要とすることが予想されるログ・ソース・タイプに対してのみです。

プロキシを使用

プロキシを構成すると、ログ ソースのすべてのトラフィックがプロキシを経由して Azure Event Hub にアクセスします。このパラメーターを有効にした後、[ プロキシ IP またはホスト名]、[ プロキシ ポート]、[ プロキシ ユーザー名]、および [プロキシ パスワード ] フィールドを設定します。

プロキシが認証を必要としない場合は、[ プロキシ ユーザー名(Proxy Username )] フィールドと [プロキシ パスワード(Proxy Password )] フィールドを空白のままにしておくことができます。

手記:

プロキシのダイジェスト認証は、Java SDK for Azure Event Hubs ではサポートされていません。詳細については、「 Azure Event Hubs - Client SDK」を参照してください

プロキシ IP またはホスト名

プロキシ サーバーの IP アドレスまたはホスト名。

このパラメータは 、[プロキシを使用] が有効な場合に表示されます。

プロキシ ポート

プロキシとの通信に使用されるポート番号。デフォルト値は 8080 です。

このパラメータは 、[プロキシを使用] が有効な場合に表示されます。

プロキシ ユーザー名

プロキシ サーバーにアクセスするためのユーザー名。

このパラメータは、[プロキシを使用]が有効な場合に表示されます。

プロキシ パスワード

プロキシサーバーにアクセスするためのパスワード。

このパラメータは 、[プロキシを使用] が有効な場合に表示されます。

EPSスロットル

1秒あたりの最大イベント数(EPS)。デフォルトは 5000 です。

次の表では、非推奨の Microsoft Azure Event Hubs ログ ソース パラメーターについて説明します。

表26: 非推奨のMicrosoft Azure Event Hubsログソースパラメータ

パラメーター

価値

非推奨 - 名前空間名

このオプションは、[ イベント ハブの接続文字列を使用する] オプションが [オフ] に設定されている場合に表示されます。

Microsoft Azure Event Hubs ユーザー インターフェイスのイベント ハブ エンティティを含む最上位ディレクトリの名前。

非推奨 - イベント ハブ名

このオプションは、[ イベント ハブの接続文字列を使用する] オプションが [オフ] に設定されている場合に表示されます。

アクセスするイベント ハブの識別子。 [イベント ハブ名 ] は、名前空間内のイベント ハブ エンティティの 1 つと一致する必要があります。

非推奨 - SASキー名

このオプションは、[ イベント ハブの接続文字列を使用する] オプションが [オフ] に設定されている場合に表示されます。

Shared Access Signature (SAS) 名は、イベント発行元を識別します。

非推奨 - SASキー

このオプションは、[ イベント ハブの接続文字列を使用する] オプションが [オフ] に設定されている場合に表示されます。

Shared Access Signature (SAS) キーは、イベント発行元を認証します。

非推奨 - ストレージ アカウント名

このオプションは、[ ストレージ アカウント接続文字列を使用する] オプションがオフに設定されている場合に表示されます。

Event Hub データを格納するストレージ アカウントの名前。

ストレージ アカウント名は、Azure Storage アカウント内のデータにアクセスするために必要な認証プロセスの一部です。

非推奨 - ストレージ アカウント キー

このオプションは、[ ストレージ アカウント接続文字列を使用する] オプションがオフに設定されている場合に表示されます。

ストレージ アカウントの認証に使用される承認キー。

ストレージ アカウント キーは、Azure Storage アカウント内のデータにアクセスするために必要な認証プロセスの一部です。

JSAと通信するためのMicrosoft Azure Event Hubsの構成

Microsoft Azure Event Hubs プロトコルは、Event Hubs 内のイベントを収集します。このプロトコルは、イベントがイベント ハブ内にある場合、ソースに関係なくイベントを収集します。ただし、これらのイベントは、既存の DSM では解析できない場合があります。

JSA でイベントを取得するには、Azure Event Hub 名前空間の下に Microsoft Azure ストレージ アカウントとイベント ハブ エンティティを作成する必要があります。名前空間ごとに、ポート 5671 が開いている必要があります。ストレージ アカウントごとに、ポート 443 が開いている必要があります。

手記:

これらのポートは、JSAイベント・コレクタでアウトバウンド・ポートとして開いている必要があります。

通常、名前空間のホスト名は [Namespace Name].servicebus.windows.net で、ストレージ アカウントのホスト名は通常 [Storage_Account_Name].blob.core.windows.netです。イベント ハブには、リッスン ポリシーで作成された少なくとも 1 つの Shared Access Signature と、少なくとも 1 つのコンシューマー グループが必要です。

手記:

Microsoft Azure Event Hubs プロトコルは、プロキシ サーバーを使用して接続できません。

  1. Microsoft Azure ストレージ アカウントの接続文字列を取得します。

    ストレージ アカウント接続文字列には、ストレージ アカウント名と、Azure Storage アカウント内のデータへのアクセスに使用されるストレージ アカウント キーの認証が含まれています。

    1. Azure Portal にログインします。

    2. ダッシュボードの [すべてのリソース ] セクションで、 ストレージ アカウントを選択します。

    3. [すべてのタイプ] リストから、[ すべて選択] を無効にします。フィルター項目の検索ボックスに「 Storage Accounts」と入力し、一覧から [ストレージ アカウント ] を選択します

    4. [ストレージ アカウント] メニューから、 [アクセス キー] を選択します。

    5. ストレージ アカウント名の値を記録します。この値は、JSA でログ ソースを構成するときに [ストレージ アカウント名] パラメーター値に使用します。

    6. キー 1 またはキー 2 のセクションから、次の値を記録します。

      • キー - JSA でログ ソースを構成する場合は、この値を [ストレージ アカウント キー] パラメーター値に使用します。

      • 接続文字列 - JSA でログ ソースを構成する場合は、ストレージ アカウントの接続文字列パラメーター値にこの値を使用します。

      ほとんどのストレージ アカウントでは、エンドポイント サフィックスに core.window.net が使用されますが、この値は場所によって変わる可能性があります。たとえば、政府機関関連のストレージ アカウントでは、エンドポイント サフィックスの値が異なる場合があります。[ ストレージ アカウント名 ] と [ ストレージ アカウント キー ] の値を使用するか、 [ ストレージ アカウントの接続文字列 ] の値を使用してストレージ アカウントに接続できます。key1 または key2 を使用できます。

      手記:

      Microsoft Azure Event Hub に接続するには、選択した Azure Storage アカウントにブロック BLOB を作成できる必要があります。ページ BLOB タイプと追加 BLOB タイプは、Microsoft Azure Event Hubs プロトコルと互換性がありません。

    JSA は、指定されたストレージ BLOB に qradar という名前のコンテナーを作成します。

    先端:

    JSA は、Azure Event Hubs SDK を通じて、構成済みのストレージ アカウント BLOB 内のコンテナーを使用して、イベント ハブからのイベント消費を追跡します。トラッキング・データを保管するために qradar という名前のコンテナーが自動的に作成されますが、このコンテナーは手動で作成することもできます。

  2. Microsoft Azure Event Hub の接続文字列を取得します。

    イベント ハブの接続文字列には、 名前空間名、名前空間内のイベント ハブへのパス、および Shared Access Signature (SAS) 認証情報が含まれます。

    1. Azure Portal にログインします。

    2. ダッシュボードの [すべてのリソース] セクションで、イベント ハブを選択します。この値を記録して、JSA でログ ソースを構成するときに [名前空間名] パラメーター値として使用します。

    3. [エンティティ] セクションで、 [イベント ハブ] を選択します。JSA でログ ソースを構成するときに [イベント ハブ名] パラメーター値に使用するために、この値を記録します。

    4. [すべてのタイプ] リストから、[すべて選択] を無効にします。フィルター項目の検索ボックスに「event hub」と入力し、一覧から [Event Hubs 名前空間] を選択します。

    5. [イベント ハブ] セクションで、使用するイベント ハブを一覧から選択します。 JSA でログ ソースを構成するときに [イベント ハブ名] パラメーター値に使用するために、この値を記録します。

    6. [ 設定 ] セクションで、 [共有アクセス ポリシー] を選択します。

      手記:

      「エンティティ」セクションで、「コンシューマ・グループ」オプションが表示されていることを確認します。[Event Hubs] が表示されている場合は、 2 手順 c に戻ります。

      1. リッスン CLAIMS を含む POLICY を選択します。JSA でログ ソースを構成するときに SAS キー名パラメーター値に使用するために、この値を記録します。

      2. 次のパラメータの値を記録します。

        • 主キーまたはセカンダリ キー

          JSA でログ・ソースを構成する場合は、SAS キー・パラメーター値の値を使用します。主キーと副キーは機能的には同じです。

        • 接続文字列 - 主キー または 接続文字列 - セカンダリ キー

          JSA でログ ソースを構成する場合は、イベント ハブの接続文字列パラメーター値にこの値を使用します。接続文字列 - 主キー と 接続文字列 - セカンダリ キーは機能的に同じです。

          例:

          [名前空間名]、[イベント ハブ名]、[SAS キー名]、および [SAS キー] の値を使用するか、 [イベント ハブの接続文字列] の値を使用してイベント ハブに接続できます。

      3. エンティティ セクションで、コンシューマー グループ を選択します。JSA でログ・ソースを構成するときに、コンシューマー・グループ・パラメーター値に使用する値を記録します。

      手記:

      自動的に作成される $Default コンシューマー グループは使用しないでください。使用されていない既存のコンシューマ グループを使用するか、新しいコンシューマ グループを作成します。各コンシューマ グループは、 JSA などの 1 つのデバイスでのみ使用する必要があります。

Microsoft Azure Event Hubs プロトコルのトラブルシューティング

Microsoft Azure Event Hubs プロトコルの問題を解決するには、トラブルシューティングとサポートの情報を使用してください。 Juniper Secure Analyticsログソース管理アプリのプロトコルテストツールを使用して、エラーを見つけます。

一般的なトラブルシューティング

次の手順は、すべてのユーザー入力エラーに適用されます。一般的なトラブルシューティング手順には、Microsoft Azure Event Hubs プロトコルのエラーに従うための最初の手順が含まれています。

  1. [ イベント ハブ接続文字列を使用する ] または [ストレージ アカウント接続文字列を使用する ] オプションがオフに設定されている場合は、 オンに切り替えます。接続文字列の取得の詳細については、「 JSA と通信するための Microsoft Azure Event Hubs の構成」を参照してください。

  2. Microsoft Azure イベント ハブの接続文字列が次の例の形式に従っていることを確認します。 entityPath パラメーター値がイベント ハブの名前であることを確認します。

    ログ・ソースを保存して閉じると、セキュリティー上の理由から、入力した値は表示されなくなります。値が表示されない場合は、値を入力してから有効性を確認します。

  3. Microsoft Azure ストレージ アカウントの接続文字列が次の例の形式に従っていることを確認します。

    ログ・ソースを保存して閉じると、セキュリティー上の理由から、入力した値は表示されなくなります。値が表示されない場合は、値を再入力し、有効性を確認してください。

  4. 省略可能: トラブルシューティングを行うには、 [ ゲートウェイ ログソースとして使用 ] を [オフ ] に設定し、 [Azure Linux イベントを Syslog にフォーマットする ] を [オン] に設定します。これにより、すべてのイベントが、選択されたログ・ソース・タイプを経由するように強制されます。これにより、最低限のイベントが発生しているかどうか、ネットワークやアクセスに問題がないことを迅速に判断できます。

    [Use As a Gateway ログソース ] を [On] に設定したままにする場合は、イベントが Unknown、stored、または sim-generic として JSA に届いていないことを確認します。もしそうなら、それはプロトコルが機能していないように見える理由を説明するかもしれません。

  5. 指定されたコンシューマー グループが、選択したイベント ハブに存在することを確認します。詳細については、「 JSA と通信するための Microsoft Azure Event Hubs の構成」を参照してください。

  6. [ Automatically Acquire サーバー証明 ] オプションを有効にするか、証明書が JSA に手動で追加されたことを確認します。

  7. JSA システム時刻が正確であることを確認してください。システム時刻がリアルタイムでない場合は、ネットワークに問題がある可能性があります。

  8. ポート 443 がストレージ アカウント ホストに対して開いていることを確認します。通常、ストレージ アカウントのホストは <Storage_Account_Name>.<something> で、 <something> は通常、エンドポイント サフィックスを指します。

  9. イベント ハブ ホストでポート 5671 が開いていることを確認します。イベント ハブ ホストは、通常、イベント ハブ接続文字列からの <Endpoint> です。

詳細については、次を参照してください。

無効な接続文字列形式の例外

症状

エラー: "イベント ハブの接続文字列またはイベント ハブのパラメーターが有効であることを確認してください。"

"この例外は、指定されたイベント ハブ接続文字列またはイベント ハブ情報が、有効な接続文字列である要件を満たしていない場合にスローされます。次の再試行間隔でコンテンツのクエリが試行されます。

原因

イベント ハブの接続文字列が、Microsoft によって設定された仕様と一致しません。このエラーは、空白などの予期しない文字がイベント ハブの接続文字列にコピーされた場合にも発生することがあります。

問題の解決

次の手順に従って、不正な接続文字列エラーを解決します。

  1. ストレージ アカウントの接続文字列が有効であり、次の例のような形式で表示されることを確認します。

  2. イベント ハブの接続文字列を Azure portal から JSA に移動する場合は、空白や非表示の文字が追加されていないことを確認してください。または、文字列をコピーする前に、追加の文字や空白をコピーしないようにしてください。

ストレージ例外

症状

エラー: "ストレージ アカウント [ストレージ アカウント名] に接続できません。ストレージ アカウントの接続文字列が有効であり、JSA が [ストレージ アカウント ホスト名] に接続できることを確認してください。

"Microsoft Azure Storage サービスの例外を表すエラーが発生しました。次の再試行間隔でコンテンツのクエリが試行されます。

原因

ストレージ例外エラーは、ストレージ アカウントでの認証時、またはストレージ アカウントとの通信時に発生する問題を表します。次の再試行間隔でコンテンツのクエリが試行されます。ストレージ例外が原因で発生する可能性がある一般的な問題は 2 つあります。

  1. ストレージ アカウントの接続文字列が無効です。

  2. ネットワークの問題により、JSA がストレージ アカウントと通信できません。

問題の解決

次の手順に従って、ストレージ例外エラーを解決します。

  1. ストレージ アカウントの接続文字列が有効であり、次の例のような形式で表示されることを確認します。

  2. JSA がポート 443 でストレージ アカウント ホストと通信できることを確認します。

  3. JSA がポート 5671 および 5672 でイベント ハブと通信できることを確認します。

  4. JSA のシステム時刻が現在の時刻と一致していることを確認します。ストレージ アカウントのセキュリティ設定により、サーバー (ストレージ アカウント) とクライアント (JSA) の間の時間の不一致が防止されます。

  5. 証明書が手動でダウンロードされるか、[ サーバー証明を自動的に取得 する] オプションを使用してダウンロードされていることを確認します。証明書は <Storage Account Name>.blob.core.windows.net からダウンロードされます。

Illegal Entity exception (不正なエンティティの例外)

症状

エラー: "イベント ハブなどのエンティティが見つかりません。指定されたイベント ハブ情報が有効であることを確認します。この例外は、指定されたイベント ハブ接続文字列またはイベント ハブ情報が、有効な接続文字列である要件を満たしていない場合にスローされます。次の再試行間隔でコンテンツのクエリが試行されます。

エラー: "メッセージング エンティティ 'sb://qahub4.servicebus.windows.net/notreal' が見つかりませんでした。詳細については、https://aka.ms/sbResourceMgrExceptions をご覧ください。

エラー: "com.microsoft.azure.eventhubs.IllegalEntityException: メッセージング エンティティ 'sb:// qahub4.servicebus.windows.net/notreal'見つかりませんでした。詳細については、https://aka.ms/ sbResourceMgrExceptions を参照してください。

原因

イベント ハブ (エンティティ) が存在しないか、イベント ハブの接続文字列にイベント ハブ (エンティティ) への参照が含まれていません。

問題の解決

次の手順に従って、不正なエンティティのエラーを解決します。

  1. イベント ハブの接続文字列に entitypath セクションが含まれており、それがイベント ハブ名を参照していることを確認します。例えば

  2. イベント ハブが Azure portal 上に存在し、イベント ハブのパスが接続先の entitypath を参照していることを確認します。

  3. コンシューマ・グループが作成され、「 コンシューマ・グループ 」フィールドに正しく入力されていることを確認します。

URI 構文の例外

症状

エラー: "ストレージ アカウントの URI の形式が正しくありません。ストレージ アカウント情報が有効で、正しい形式であることを確認します。ホストに接続できません。

エラー: "テキストを URI 参照として解析できませんでした。詳細については、「Raw エラー メッセージ」を参照してください。次の再試行間隔でコンテンツのクエリが試行されます。

原因

ストレージ アカウントの接続文字列から形成された URI が無効です。URI は、 DefaultEndpointsProtocol, AccountName, フィールドと EndpointSuffix フィールドから形成されます。これらのフィールドの 1 つが変更されると、この例外が発生する可能性があります。

問題の解決

Azure portal からストレージ アカウントの接続文字列を再コピーします。次の例のように表示されます。

無効なキーの例外

症状

エラー: "ストレージ アカウント キーが無効です。ホストに接続できません。

エラー: "無効なキーが検出されました。このエラーは、通常、パスワードまたは認証キーに関連しています。詳細については、「Raw エラー メッセージ」を参照してください。次の再試行間隔でコンテンツのクエリが試行されます。

原因

ストレージ アカウントの接続文字列から形成されたキーが無効です。ストレージ アカウント キーは接続文字列内にあります。キーが変更されると、無効になる可能性があります。

問題の解決

Azure portal から、ストレージ アカウントの接続文字列を再コピーします。次の例のように表示されます。

タイムアウト例外

症状

エラー: 「接続を妨げるネットワーク関連の問題がないことを確認してください。さらに、イベント ハブとストレージ アカウントの接続文字列が有効であることを確認してください。

エラー: "サーバーは、OperationTimeout によって制御される指定された時間内に要求された操作に応答しませんでした。サーバーは、要求された操作を完了した可能性があります。この例外は、ネットワークまたはその他のインフラストラクチャの遅延が原因である可能性があります。次の再試行間隔でコンテンツのクエリが試行されます。

原因

最も一般的な原因は、接続文字列情報が無効であることです。ネットワークが通信をブロックしているため、タイムアウトが発生している可能性があります。まれではありますが、ネットワークの輻輳により、デフォルトのタイムアウト期間 (60 秒) が十分でない可能性があります。

問題の解決

次の手順に従って、タイムアウト例外エラーを解決します。

  1. イベント ハブの接続文字列を Azure portal から JSA にコピーするときは、余分な空白や非表示の文字が追加されていないことを確認してください。または、文字列をコピーする前に、追加の文字や空白をコピーしないようにしてください。

  2. ストレージ アカウントの接続文字列が有効であり、次の例のような形式で表示されることを確認します。

  3. JSA がポート 443 のストレージ アカウント ホストと、ポート 5671 および 5672 のイベント ハブと通信できることを確認します。

  4. 証明書が手動でダウンロードされるか、[サーバー証明を自動的に取得する] オプションを使用してダウンロードされていることを確認します。証明書は <Storage Account Name>.blob.core.windows.net からダウンロードされます。

  5. Advanced- デフォルトのタイムアウトを 60 秒から増やすことができる非表示のパラメーターがあります。タイムアウトを長くするためのサポートについては、 ジュニパーカスタマーサポート にお問い合わせください。

その他の例外

症状

エラー: 「接続を妨げるネットワーク関連の問題がないことを確認してください。さらに、イベント ハブとストレージ アカウントの接続文字列が有効であることを確認してください。

エラー: "エラーが発生しました。詳細については、「未加工のエラー メッセージ」を参照してください。次の再試行間隔でコンテンツのクエリが試行されます」

原因

このカテゴリの例外は、プロトコルには不明であり、予期しないものです。これらの例外はトラブルシューティングが困難な場合があり、通常は解決するために調査が必要です。

問題の解決

次の手順に従ってエラーを解決してください。これにより、より一般的な問題の一部が解決される可能性があります。

  1. イベント ハブの接続文字列が、次の例に示すものと同じ形式または類似の形式を使用していることを確認します。

  2. イベント ハブの接続文字列を Azure portal から JSA に移動する場合は、空白や非表示の文字が追加されていないことを確認してください。または、文字列をコピーする前に、追加の文字や空白をコピーしないようにしてください。

  3. ストレージ アカウントの接続文字列が有効であり、次の例のような形式で表示されることを確認します。

  4. JSA がポート 443 のストレージ アカウント ホストと通信でき、ポート 5671 および 5672 のイベント ハブと通信できることを確認します。

  5. 証明書が手動でダウンロードされるか、[サーバー証明を自動的に取得する] オプションを使用してダウンロードされることを確認します。証明書は <Storage Account Name>.blob.core.windows.net からダウンロードされます。

  6. JSA のシステム時刻が現在の時刻と一致していることを確認します。ストレージ アカウントのセキュリティ設定により、サーバー (ストレージ アカウント) とクライアント (JSA) の間の時間の不一致が防止されます。

Microsoft Azure Event Hubs プロトコルに関する FAQ

これらのよく寄せられる質問と回答は、Microsoft Azure Event Hubs プロトコルの理解に役立ちます。

イベント ハブに接続するためにストレージ アカウントが必要なのはなぜですか?

イベント ハブのリースとパーティションを管理するには、Microsoft Azure Event Hubs プロトコルのストレージ アカウントが必要です。

Microsoft Azure Event Hubs プロトコルでストレージ アカウントが使用されるのはなぜですか?

Microsoft Azure Event Hubs プロトコルでは、ストレージ アカウントを使用してパーティションの所有権を追跡します。このプロトコルは、Azure ストレージ アカウントの <Event Hub Name> → <Consumer group Name> ディレクトリに BLOB ファイルを作成します。各 BLOB ファイルは、イベント ハブによって管理される番号付きパーティションに関連します。

ストレージ アカウントに格納する必要があるデータの量はどれくらいですか?

ストレージ アカウントに格納する必要があるデータの量は、パーティションの数に ~150 バイトを掛けた数です。

ストレージ アカウントにイベントを含める必要がありますか?

いいえ。ストレージへのログの格納は、Microsoft が提供するオプションです。ただし、このオプションはプロトコルでは使用されません。

Microsoft Azure Event Hubs プロトコルによって作成される BLOB ファイルはどのようなものですか?

次の例は、プロトコルによって作成される BLOB ファイルに格納される内容を示しています。

{"offset":"@latest","sequenceNumber":0,"partitionId":"3","epoch":8,"owner":"","token":""}”

同じストレージ アカウントを他の Event Hubs で使用できますか?

ストレージ アカウントにデータを格納できるイベント ハブの数に制限はありません。同じ JSA 環境内のすべてのログ ソースに同じストレージ アカウントを使用できます。これにより、すべてのイベント ハブ パーティション管理フォルダーとファイルに対して 1 つの場所が作成されます。

プロトコルがイベントを収集していない場合はどうすればよいですか?

プロトコルが機能しているように見え、プロトコル テスト ツールがすべてのテストに合格し、イベントが表示されない場合は、次の手順に従ってイベントが投稿されているかどうかを確認します。

  1. イベント ハブが収集するイベントがあることを確認します。Azure 側の構成が正しくない場合、イベント ハブでイベントが収集されない可能性があります。

  2. [ ゲートウェイ ログ ログソースとして使用 ] が有効になっている場合は、イベント ハブ ログ ソースが収集するイベントのペイロード検索を実行します。イベントがどのように表示されるかわからない場合は、手順 4 に進みます。

  3. ゲートウェイ・ログ・ログソースとして使用 」オプションが使用可能で、プロトコルがイベントを収集していない場合は、ゲートウェイを使用不可にして同じログ・ソースをテストします。「 ゲートウェイとして使用」ログソース を使用不可に設定することにより、収集されたすべてのイベントは、プロトコルに接続されているログ・ソースを強制的に使用します。[ ゲートウェイとして使用] ログソース が無効になっているときにイベントが到着しているのに、[ ゲートウェイとして使用] ログソース が有効になっているときにイベントが到着しない場合は、ログ ソース識別子オプションに問題があるか、トラフィック分析でイベントを DSM に自動的に一致させることができない可能性があります。

  4. 手順 2 または手順 3 で、イベントが予期されるログ ソースで受信されていないことを確認した場合は、イベント ハブのログ ソース logsourceidentifierpatternに問題がある可能性があります。イベント ハブのログ ソース識別子パターンに関連する問題については、 ジュニパー カスタマー サポートへの問い合わせが必要な場合があります。

ポートが異なる 2 つの異なる IP のポートを開く必要があるのはなぜですか?

Microsoft Azure Event Hub プロトコルはイベント ハブ ホストとストレージ アカウント ホストの間で通信するため、異なるポートを開くには 2 つの異なる IP が必要です。

イベント ハブ接続では、ポート 5671 と 5672 で Advanced Message Queuing Protocol (AMQP) が使用されます。ストレージ アカウントでは、ポート 443 で HTTPS が使用されます。ストレージ アカウントとイベント ハブの IP は異なるため、2 つの異なるポートを開く必要があります。

Microsoft Event Hubs プロトコルを使用して <Service/Product> イベントを収集できますか?

Microsoft Event Hubs プロトコルは、イベント ハブに送信されるすべてのイベントを収集しますが、すべてのイベントがサポートされている DSM によって解析されるわけではありません。サポートされているDSMのリストについては、 JSAがサポートするDSMを参照してください

[Format Azure Linux Events To Syslog](Azure Linux イベントを Syslog に書式設定する) オプションは何をしますか?

このオプションは、メタデータを含む JSON 形式でラップされた Azure Linux イベントを受け取り、それを標準の syslog 形式に変換します。ペイロードのメタデータが必要な特別な理由がない限り、このオプションを有効にします。このオプションを無効にすると、ペイロードは Linux DSM で解析されません。

Microsoft Defender for Endpoint SIEM REST API プロトコル構成オプション

サポートされているデバイス サポート モジュール (DSM) からイベントを受信するようにMicrosoft Defender for Endpoint SIEM REST API プロトコルを構成します。

Microsoft Defender for Endpoint SIEM REST API プロトコルは、送信/アクティブ プロトコルです。

手記:

2021 年 11 月 25 日の時点での Microsoft Defender API スイートの変更により、Microsoft は SIEM API との新しい統合のオンボードを許可しなくなりました。既存の統合は引き続き機能します。ストリーミング API を Microsoft Azure Event Hubs プロトコルと共に使用して、イベントとアラートの転送を JSA に提供できます。

サービスとその構成の詳細については、「高度な ハンティング イベントを Azure イベント ハブにストリーミングするようにMicrosoft 365 Defenderを構成する」を参照してください。

次の表では、Microsoft Defender for Endpoint SIEM REST API プロトコルのプロトコル固有のパラメーターについて説明します。

表 27: Microsoft Defender for Endpoint SIEM REST API プロトコル

パラメーター

価値

ログソースの種類

Microsoft 365 Defender

プロトコル設定

Microsoft Defender for Endpoint SIEM REST API

認可サーバーの URL

入力しトークンを取得するための承認を提供するサーバーの URL。入力しは、Microsoft 365 Defenderからイベントを収集するための承認として使用されます。

承認サーバーの URL は、次の形式を使用します。

"https://login.microsoftonline.com/<Tenant_ID>/oauth2/token”

ここで、 は UUID です。

資源

Microsoft 365 Defender SIEM API イベントにアクセスするために使用されるリソース。

クライアント ID

ユーザーが入力しを取得する権限を持っていることを確認します。

クライアントシークレット

[クライアント シークレット] の値は 1 回だけ表示され、その後は表示されなくなります。[クライアント シークレット] の値にアクセスできない場合は、Microsoft Azure 管理者に問い合わせて、新しいクライアント シークレットを要求してください。

地域

ログを収集するMicrosoft 365 Defender SIEM APIに関連付けられているリージョンを選択します。

その他の地域

ログを収集するMicrosoft 365 Defender SIEM APIに関連付けられている追加のリージョンの名前を入力します。

コンマで区切られたリストを使用します。たとえば、「 Region1,Region2 」のように入力します。

GCC エンドポイントを使用する

GCC および GCC High & DOD エンドポイントの使用を有効または無効にします。GCC および GCC High & DOD エンドポイントは、米国政府の顧客向けのエンドポイントです。

先端:

このパラメーターが有効な場合、 Regions パラメーターを構成することはできません。

詳細については、「 米国政府機関のお客様向けのMicrosoft Defender for Endpoint」を参照してください。

GCC タイプ

[GCC] または [GCC High & DOD] を選択します。

  • GCC: Microsoft の政府機関向けコミュニティ クラウド

  • GCC High & DoD: 規制に準拠

    国防総省から。

プロキシを使用

JSA のプロキシが構成されている場合、JSA がMicrosoft 365 Defender SIEM APIにアクセスできるように、ログ ソースのすべてのトラフィックはプロキシを経由します。

プロキシ サーバー、プロキシ ポート、プロキシ ユーザー名およびプロキシ パスワード フィールドを設定します。プロキシが認証を必要としない場合は、[プロキシ サーバー] フィールドと [プロキシ ポート] フィールドを設定します。

再発

ログがデータを収集する頻度を指定できます。形式は、分/時間/日を表す M/H/D です。

デフォルトは 5 M です。

EPSスロットル

1 秒あたりの最大イベント数 (EPS) の上限。デフォルトは 5000 です。

仮想マシン (VM) を作成し、Microsoft Defender for Endpointと JSA 間の接続をテストする必要がある場合は、「 Microsoft Defender for Endpoint評価ラボ」を参照してください。

Microsoft DHCP プロトコル構成オプション

Microsoft DHCP サーバーからイベントを受信するには、Microsoft DHCP プロトコルを使用するようにログ・ソースを構成します。

Microsoft DHCPプロトコルは、送信/アクティブプロトコルです。

ログ ファイルを読み取るには、管理共有 (C$) を含むフォルダー パスには、管理共有 (C$) に対する NetBIOS 特権が必要です。ローカル管理者またはドメイン管理者には、管理共有のログ ファイルにアクセスするための十分な特権があります。

ファイル パスをサポートする Microsoft DHCP プロトコルのフィールドでは、管理者はパス情報を使用してドライブ文字を定義できます。たとえば、フィールドには管理共有の c$/LogFiles/ ディレクトリ、またはパブリック共有フォルダー パスの LogFiles/ ディレクトリを含めることができますが、 c:/LogFiles ディレクトリを含めることはできません。

手記:

Microsoft 認証プロトコル NTLMv2 は、Microsoft DHCP プロトコルではサポートされていません。

次の表では、Microsoft DHCP プロトコルのプロトコル固有のパラメーターについて説明します。

表 28: Microsoft DHCP プロトコル パラメータ

パラメーター

形容

プロトコル設定

Microsoft DHCP

ログソース識別子

一意のホスト名、またはログ・ソースに固有のその他の識別子を入力します。

サーバーアドレス

Microsoft DHCP サーバーの IP アドレスまたはホスト名。

ドメイン

Microsoft DHCP サーバーのドメインを入力します。

サーバーがドメイン内にない場合、このパラメーターは省略可能です。

ユーザー名

DHCP サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

DHCP サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

サーバーへのアクセスに必要なパスワードを入力します。

フォルダパス

DHCP ログ ファイルへのディレクトリ パス。デフォルトは /WINDOWS/system32/dhcp/ です。

ファイルパターン

イベントログを識別する正規表現(regex)。ログ ファイルには、曜日を表す 3 文字の省略形が含まれている必要があります。次のいずれかのファイル パターンを使用します。

英語:

  • IPv4 ファイルパターン: DhcpSrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log

  • IPv6 ファイルパターン: DhcpV6SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log

  • IPv4 と IPv6 の混在ファイル パターン: Dhcp.*SrvLog- (?:Sun|月曜日|火|水|木|金曜日|土)\.log。

  • IPv4 と IPv6 の混在ファイル パターン: Dhcp.*SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log

ポーランド語:

  • IPv4 ファイルパターン: DhcpSrvLog-(?:Pia|Pon|Sob|Wto|Sro|Csw|Nie) \.log

  • IPv6 ファイル パターン: DhcpV6SrvLog-(?:Pt|Pon|So|Wt|Si|Csw|Nie) \.log

リカーシブ

このオプションは、ファイルパターンでサブフォルダを検索する場合に選択します。

SMB バージョン

使用する SMB のバージョン:

AUTO - クライアントとサーバーが使用に同意した最高バージョンまで自動検出します。

SMB1 - SMB1 の使用を強制します。SMB1 は jCIFS.jar (Java ARchive) ファイルを使用します。

手記:

SMB1 はサポートされなくなりました。すべての管理者は、SMB2 または SMB3 を使用するように既存の構成を更新する必要があります。

SMB2 - SMB2 の使用を強制します。SMB2 は jNQ.jar ファイルを使用します。

SMB3 - SMB3 の使用を強制します。SMB3 は jNQ.jar ファイルを使用します。

手記:

特定の SMB バージョン (SMBv1、SMBv2、SMBv3 など) でログ・ソースを作成する前に、指定した SMB バージョンが、サーバーで実行されている Windows OS でサポートされていることを確認してください。また、指定した Windows Server で SMB バージョンが有効になっていることを確認する必要もあります。

ポーリング間隔(秒)

新しいデータを確認するためにログ ファイルに対してクエリを実行する間隔の秒数。最小ポーリング間隔は 10 秒です。最大ポーリング間隔は 3,600 秒です。

スロットル イベント数/秒

DHCP プロトコルが 1 秒に転送できるイベントの最大数。最小値は 100 EPS です。最大値は 20,000 EPS です。

ファイルエンコーディング

ログ・ファイル内のイベントで使用される文字エンコード。

有効

このオプションが使用可能になっていない場合、ログ・ソースはイベントを収集せず、ログ・ソースはライセンス制限にカウントされません。

信頼性

信頼性とは、ログ・ソースによって作成されるイベントの保全性または妥当性を表すものです。ログ・ソースに割り当てられる信頼性の値は、着信イベントに基づいて増減することも、ユーザーが作成したイベント・ルールへの応答として調整することもできます。ログ・ソースからのイベントの信頼性は、オフェンス・マグニチュードの計算に寄与し、オフェンスのマグニチュード値を増減させることができます。

ターゲット・イベント・コレクター

リモート・ログ・ソースをポーリングするJSAイベント・コレクタを指定します。

分散展開でこのパラメータを使用して、ポーリングタスクをイベントコレクタに移動することでコンソールシステムのパフォーマンスを向上させます。

イベントの合体

短時間に同じイベントが複数回発生した場合に、イベント数を増やします。結合されたイベントは、[ログ アクティビティ] タブで 1 つのイベントの種類が発生する頻度を表示および決定する方法を提供します。

このチェック ボックスをオフにすると、イベントは個別に表示され、イベントはバンドルされません。

新規および自動的にディスカバーされたログ・ソースは、「管理」タブの「システム設定」構成からこのチェック・ボックスの値を継承します。このチェック・ボックスを使用して、個々のログ・ソースのシステム設定のデフォルト動作をオーバーライドできます。

Microsoft Exchange プロトコル構成オプション

SMTP イベント、OWA、および Microsoft Exchange 2007、2010、2013、および 2017 サーバーからのメッセージ追跡イベントを受信するには、Microsoft Exchange プロトコルを使用するようにログ・ソースを構成します。

Microsoft Exchange プロトコルは、送信/アクティブ プロトコルです

ログ ファイルを読み取るには、管理共有 (C$) を含むフォルダー パスには、管理共有 (C$) に対する NetBIOS 特権が必要です。ローカル管理者またはドメイン管理者には、管理共有のログ ファイルにアクセスするための十分な特権があります。

ファイル パスをサポートする Microsoft Exchange プロトコルのフィールドを使用すると、管理者はパス情報を使用してドライブ文字を定義できます。たとえば、フィールドには管理共有の c$/LogFiles/ ディレクトリ、またはパブリック共有フォルダー パスの LogFiles/ ディレクトリを含めることができますが、 c:/LogFiles ディレクトリを含めることはできません。

手記:

Microsoft Exchange プロトコルは、Microsoft Exchange 2003 または Microsoft 認証プロトコル NTLMv2 セッションをサポートしていません。

次の表では、Microsoft Exchange プロトコルのプロトコル固有のパラメータについて説明します。

表 29: Microsoft Exchange プロトコル パラメータ

パラメーター

形容

プロトコル設定

Microsoft Exchange

ログソース識別子

ログ・ソースを識別するための IP アドレス、ホスト名、または名前を入力します。

サーバーアドレス

Microsoft Exchange サーバーの IP アドレスまたはホスト名。

ドメイン

Microsoft Exchange サーバーのドメインを入力します。

サーバーがドメイン内にない場合、このパラメーターは省略可能です。

ユーザー名

Microsoft Exchange サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

Microsoft Exchange サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

Microsoft Exchange サーバーへのアクセスに必要なパスワードを入力します。

SMTPログフォルダのパス

SMTP ログ ファイルにアクセスするためのディレクトリ パス。

既定のファイル パスは Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog です

フォルダー パスがクリアの場合、SMTP イベント コレクションは無効になります。

OWA ログ フォルダーのパス

OWA ログ ファイルにアクセスするためのディレクトリ パス。

既定のファイル パスは Windows/system32/LogFiles/W3SVC1 です。

フォルダー パスがクリアされると、OWA イベント コレクションは無効になります。

MSGTRK ログ フォルダーのパス

メッセージ追跡ログにアクセスするためのディレクトリ パス。

既定のファイル パスは Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking です

メッセージ追跡は、ハブ トランスポート、メールボックス、またはエッジ トランスポート サーバーの役割が割り当てられている Microsoft Exchange 2017 または 2010 サーバーで使用できます。

カスタムファイルパターンを使用

このチェックボックスをオンにすると、カスタムファイルパターンが設定されます。チェックボックスをオフのままにすると、デフォルトのファイルパターンが使用されます。

MSGTRK ファイル パターン

MSTRK ログの識別とダウンロードに使用される正規表現 (regex)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは MSGTRK\d+-\d+\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

MSGTRKMD ファイル パターン

MSGTRKMD ログの識別とダウンロードに使用される正規表現 (regex)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは MSGTRKMD\d+-\d+\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

MSGTRKMS ファイル パターン

MSGTRKMS ログを識別してダウンロードするために使用される正規表現 (regex)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは MSGTRKMS\d+-\d+\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

MSGTRKMA ファイル パターン

MSGTRKMA ログの識別とダウンロードに使用される正規表現 (regex)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル・パターンは 、MSGTRKMA\d+-\d+\.(?:log|

ファイル パターンに一致するすべてのファイルが処理されます。

SMTP ファイル パターン

SMTP ログの識別とダウンロードに使用される正規表現 (regex)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは .*\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

OWA ファイル パターン

OWA ログの識別とダウンロードに使用される正規表現 (regex)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは .*\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

ファイルの強制読み取り

このチェックボックスがオフの場合、 JSA が変更時刻またはファイルサイズの変更を検出したときにのみ、ログファイルが読み取られます。

リカーシブ

ファイルパターンでサブフォルダを検索する場合は、このオプションを使用します。デフォルトでは、このチェックボックスはオンになっています。

SMB バージョン

使用する SMB のバージョンを選択します。

AUTO - クライアントとサーバーが使用に同意した最高バージョンまで自動検出します。

SMB1 - SMB1 の使用を強制します。SMB1 は jCIFS.jar (Java ARchive) ファイルを使用します

手記:

SMB1 はサポートされなくなりました。すべての管理者は、SMB2 または SMB3 を使用するように既存の構成を更新する必要があります。

SMB2 - SMB2 の使用を強制します。SMB2 は jNQ.jar ファイルを使用します。

SMB3 – SMB3 の使用を強制します。SMB3 は jNQ.jar ファイルを使用します。

手記:

特定の SMB バージョン (SMBv1、SMBv2、SMBv3 など) でログ・ソースを作成する前に、指定した SMB バージョンが、サーバーで実行されている Windows OS でサポートされていることを確認してください。また、指定した Windows Server で SMB バージョンが有効になっていることを確認する必要もあります。

ポーリング間隔(秒)

ポーリング間隔を入力します。これは、ログファイルに対してクエリを実行して新しいデータをチェックする間隔を秒数にします。デフォルトは 10 秒です。

スロットル イベント数/秒

Microsoft Exchange プロトコルが 1 秒あたりに転送できるイベントの最大数。

ファイルエンコーディング

ログ・ファイル内のイベントで使用される文字エンコード。

Microsoft Graph Security API プロトコルの構成オプション

Microsoft Graph Security API からイベントを受信するには、Microsoft Graph Security API プロトコルを使用するように JSA でログ ソースを構成します。

Microsoft Graph Security API プロトコルは、送信/アクティブ プロトコルです。DSMもこのプロトコルを使用する場合があります。サポートされているDSMのリストについては、 JSAがサポートするDSMを参照してください

次のパラメーターには、Microsoft Graph セキュリティ サーバーからイベントを収集するために特定の値が必要です。

表 30: Microsoft Graph Security のログソース パラメーター

パラメーター

価値

ログソースの種類

カスタム・ログ・ソース・タイプ、またはこのプロトコルを使用する特定の DSM。

プロトコル設定

Microsoft Graph セキュリティ API

テナント ID

Microsoft Azure Active Directory 認証に使用される テナント ID 値。

クライアント ID

Microsoft Azure Active Directory のアプリケーション構成からの クライアント ID パラメーター値。

クライアントシークレット

Microsoft Azure Active Directory のアプリケーション構成の [クライアント シークレット ] パラメーター値。

イベントフィルタ

Microsoft Security Graph API クエリ フィルターを使用してイベントを取得します。たとえば、「 severity eq 'high' 」のように入力します。filter パラメーターの前に「filter=」と入力しないでください。

プロキシを使用

JSA がプロキシで Microsoft Graph Security API にアクセスする場合は、このチェック ボックスをオンにします。

プロキシで認証が必要な場合は、[ プロキシ ホスト名または IP]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ] フィールドを設定します。

プロキシが認証を必要としない場合は、[ プロキシホスト名(Proxy Hostname)] または [IP(IP and Proxy Port )] フィールドを設定します。

プロキシ IP またはホスト名

プロキシ サーバーの IP アドレスまたはホスト名。

プロキシを使用(Use Proxy)が False に設定されている場合、このオプションは非表示になります。

プロキシ ポート

プロキシとの通信に使用されるポート番号。デフォルトは 8080 です。

プロキシを使用(Use Proxy)が False に設定されている場合、このオプションは非表示になります。

プロキシ ユーザー名

プロキシとの通信に使用されるユーザー名。

プロキシを使用(Use Proxy)が False に設定されている場合、このオプションは非表示になります。

プロキシ パスワード

プロキシへのアクセスに使用されるパスワード。

プロキシを使用(Use Proxy)が False に設定されている場合、このオプションは非表示になります。

再発

開始時刻から始まる時間間隔を入力して、ポーリングが新しいデータをスキャンする頻度を決定します。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H - 2 時間、15M - 15 分です。デフォルトは 1M です。

EPSスロットル

1秒あたりの最大イベント数(EPS)。デフォルトは 5000 です。

詳細オプションを表示

イベント収集の詳細オプションを設定するには、このオプションを on に設定します。

手記:

詳細オプション値は、値を変更しなくても有効です。

ログインエンドポイント

Azure AD ログイン エンドポイントを指定します。デフォルト値は login.microsoftonline.com です。

「詳細オプションを表示」を無効にすると、このオプションは非表示になります。

Graph API エンドポイント

Microsoft Graph Security API の URL を指定します。デフォルト値は https://graph.microsoft.com です。

「詳細オプションを表示」を無効にすると、このオプションは非表示になります。

JSA と通信するための Microsoft Graph Security API の構成

プロトコルを使用する前に、Microsoft Graph Security API を JSA と統合します。

Microsoft Graph Security API を JSA と統合するには、Microsoft Azure Active Directory が必要です。

  1. 自動更新が有効になっていない場合、 RPMはジュニパーのダウンロードからダウンロードできます。次のRPMの最新バージョンをJSAコンソールにダウンロードしてインストールします。

    • プロトコル共通 RPM

    • Microsoft Graph Security API プロトコル RPM

  2. 次の手順に従って、JSA にイベントを転送するように Microsoft Graph Security API サーバーを構成します。

    1. 方法: ポータルを使用して、リソースにアクセスできる Azure AD アプリケーションとサービス プリンシパルを作成する

    2. 承認と Microsoft Graph Security API

      アクセストークンには、次のアプリロールを含める必要があります。

      • SecurityEvents.Read.All
      • User.Read.All
      • SecurityActions.Read.All
      • IdentityRiskyUser.Read.All
      • IdentityRiskEvent.Read.All
      手記:

      アプリケーションのアクセス許可を持つアプリ ロールを指定する必要があります。環境がアプリケーションのアクセス許可を受け入れない場合は、委任されたアクセス許可を使用できます。

  3. カスタムログソースタイプまたはこのプロトコルを使用する特定のDSMを使用して、JSAコンソールにMicrosoft Security Graph APIプロトコルログソースを追加します。

    サポートされているDSMの詳細については、「 JSAがサポートするDSM」を参照してください。JSA でのログソースの追加の詳細については、「 ログソースの追加」を参照してください。

Microsoft IIS プロトコル構成オプション

Microsoft IIS プロトコルを使用するようにログ・ソースを構成できます。このプロトコルは、Microsoft IIS Web サーバー上にある W3C 形式のログ ファイルの単一収集ポイントをサポートします。

Microsoft IIS プロトコルは、送信/アクティブ プロトコルです。

ログ ファイルを読み取るには、管理共有 (C$) を含むフォルダー パスには、管理共有 (C$) に対する NetBIOS 特権が必要です。ローカル管理者またはドメイン管理者には、管理共有のログ ファイルにアクセスするための十分な特権があります。

ファイル パスをサポートする Microsoft IIS プロトコルのフィールドを使用すると、管理者はパス情報を使用してドライブ文字を定義できます。たとえば、フィールドには管理共有の c$/LogFiles/ ディレクトリ、またはパブリック共有フォルダー パスの LogFiles/ ディレクトリを含めることができますが、 c:/LogFiles ディレクトリを含めることはできません。

手記:

Microsoft 認証プロトコル NTLMv2 は、Microsoft IIS プロトコルではサポートされていません。

次の表では、Microsoft IIS プロトコルのプロトコル固有のパラメーターについて説明します。

表 31: Microsoft IIS プロトコル パラメータ

パラメーター

形容

プロトコル設定

Microsoft IIS (英語)

ログソース識別子

IP アドレス、ホスト名、または固有の名前を入力して、ログ・ソースを識別します。

サーバーアドレス

Microsoft IIS サーバーの IP アドレスまたはホスト名。

ドメイン

Microsoft IIS サーバーのドメインを入力します。

サーバーがドメイン内にない場合、このパラメーターは省略可能です。

ユーザー名

サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

サーバーへのアクセスに必要なパスワードを入力します。

ログフォルダのパス

ログ ファイルにアクセスするためのディレクトリ パス。たとえば、管理者は、管理共有に c$/LogFiles/ ディレクトリを使用し、パブリック共有フォルダー パスに LogFiles/ ディレクトリを使用できます。ただし、c:/LogFiles ディレクトリは、サポートされているログ フォルダー パスではありません。

ログ フォルダー パスに管理用共有 (C$) が含まれている場合、管理用共有 (C$) に対する NetBIOS アクセス権を持つユーザーには、ログ ファイルの読み取りに必要な特権が与えられます。

ローカル システムまたはドメインの管理者特権は、管理共有上のログ ファイルにアクセスするのに十分です。

ファイルパターン

イベントログを識別する正規表現(regex)。

リカーシブ

ファイルパターンでサブフォルダを検索する場合は、このオプションを使用します。デフォルトでは、このチェックボックスはオンになっています。

SMB バージョン

使用する SMB のバージョンを選択します。

AUTO - クライアントとサーバーが使用に同意した最高バージョンまで自動検出します。

SMB1 - SMB1 の使用を強制します。SMB1 は jCIFS.jar (Java ARchive) ファイルを使用します。

手記:

SMB1 はサポートされなくなりました。すべての管理者は、SMB2 または SMB3 を使用するように既存の構成を更新する必要があります。

SMB2 - SMB2 の使用を強制します。SMB2 は jNQ.jar ファイルを使用します。

SMB3 - SMB3 の使用を強制します。SMB3 は jNQ.jar ファイルを使用します。

手記:

特定の SMB バージョン (SMBv1、SMBv2、SMBv3 など) でログ・ソースを作成する前に、指定した SMB バージョンが、サーバーで実行されている Windows OS でサポートされていることを確認してください。また、指定した Windows Server で SMB バージョンが有効になっていることを確認する必要もあります。

ポーリング間隔(秒単位)

ポーリング間隔を入力します。これは、ログファイルに対してクエリを実行して新しいデータをチェックする間隔を秒数にします。デフォルトは 10 秒です。

スロットル イベント数/秒

IIS プロトコルが 1 秒あたりに転送できるイベントの最大数。

ファイルエンコーディング

ログ・ファイル内のイベントで使用される文字エンコード。
手記:

高度な IIS ログを使用する場合は、新しいログ定義を作成する必要があります。[ Log Definition ] ウィンドウで、[ Selected Fields ] セクションで次のフィールドが選択されていることを確認します。

  • 日付-UTC

  • 時間-UTC

  • URIステム

  • URI クエリ文字列

  • コンテンツパス

  • 地位

  • サーバー名

  • リファラー

  • Win325ステータス

  • 送信バイト数

Microsoft セキュリティ イベント ログ プロトコルの構成オプション

Microsoft セキュリティー・イベント・ログ・プロトコルを使用するようにログ・ソースを構成できます。MicrosoftWindows Management Instrumentation(WMI)を使用して、カスタマイズされたイベントログまたはエージェントレスWindowsイベントログを収集できます。

WMI API では、ファイアウォール構成がポート 135 と DCOM に必要な動的ポートで受信外部通信を受け入れる必要があります。以下のリストでは、Microsoft セキュリティー・イベント・ログ・プロトコルを使用する場合のログ・ソースの制限事項について説明します。

  • 1秒あたり50イベント(eps)を超えるシステムは、このプロトコルの能力を超える可能性があります。WinCollect は、50 eps を超えるシステムに使用します。

  • JSA オールインワン インストールでは、Microsoft セキュリティ イベント ログ プロトコルを使用して最大 250 個のログ ソースをサポートできます。

  • 専用の JSA イベント・コレクターは、Microsoftセキュリティ・イベント・ログ・プロトコルを使用して、最大500個のログ・ソースをサポートできます。

Microsoft セキュリティ イベント ログ プロトコルは、送信/アクティブ プロトコルです。このプロトコルは、衛星ネットワークや低速の WAN ネットワークなど、ラウンドトリップ遅延時間が長いシステムなど、ネットワーク リンク経由でアクセスされるリモート サーバーには推奨されません。往復遅延を確認するには、リクエストと、サーバー ping 間の応答時間を調べます。低速接続によって発生するネットワーク遅延は、これらのリモートサーバーで使用できるEPSスループットを低下させます。また、ビジー状態のサーバーまたはドメイン コントローラーからのイベント収集は、受信イベントに追いつくために、短いラウンドトリップ遅延時間に依存しています。ネットワークの往復遅延時間を短縮できない場合は、WinCollect を使用して Windows イベントを処理できます。

Microsoft セキュリティ イベント ログは、MicrosoftWindows Management Instrumentation (WMI) API で次のソフトウェア バージョンをサポートしています。

  • Microsoft Windows 2000 の場合

  • Microsoft Windows Server 2003 (英語)

  • Microsoft Windows Server 2008の

  • Microsoft Windows Server 2008R3

  • Microsoft Windows XPの場合

  • Microsoft Windows Vistaの

  • Microsoft Windows 7の

次の表では、Microsoft セキュリティ イベント ログ プロトコルのプロトコル固有のパラメーターについて説明します。

表 32: Microsoft セキュリティ イベント ログ プロトコルのパラメータ

パラメーター

形容

プロトコル設定

Windows セキュリティ イベント ログ

MSRPC プロトコル経由の Microsoft セキュリティ イベント ログ

MSRPC プロトコル経由の Microsoft セキュリティ イベント ログ (MSRPC) は、Windows ホストにエージェントをインストールせずに Windows イベントを収集する送信/アクティブ プロトコルです。

MSRPC プロトコルは、Microsoft Distributed Computing Environment/Remote Procedure Call (DCE/RPC) 仕様を使用して、エージェントレスの暗号化されたイベント収集を提供します。MSRPC プロトコルは、イベントの収集に WMI/DCOM を使用する既定の Microsoft Windows セキュリティ イベント ログ プロトコルよりも高いイベント レートを提供します。

次の表に、MSRPC プロトコルでサポートされている機能を示します。

表 33: MSRPC プロトコルでサポートされる機能

顔立ち

MSRPC プロトコル経由の Microsoft セキュリティ イベント ログ

生産者

マイクロソフト

接続テストツール

MSRPCテストツールは、 JSA アプライアンスとWindowsホスト間の接続をチェックします。MSRPC テスト・ツールは MSRPC プロトコル RPM の一部であり、プロトコルのインストール後に /opt/qradar/jars にあります。

タイプのプロトコル

イベントを収集するためのリモート・プロシージャー・プロトコルのオペレーティング・システム依存のタイプ。

「プロトコル・タイプ」リストから以下のオプションのいずれかを選択します。

  • MS-EVEN6 -- 新しいログソースのデフォルトプロトコルタイプ。JSA が Windows Vista および Windows Server 2012 以降との通信に使用するプロトコルの種類。

  • MS-EVEN (Windows XP/2003 用) -- JSA が Windows XP および Windows Server 2003 との通信に使用するプロトコル タイプ。Windows XP および Windows Server 2003 は、Microsoft によってサポートされていません。このオプションの使用は成功しない可能性があります。

  • auto-detect (レガシー構成の場合) -- Microsoft Windows セキュリティー・イベント・ログ DSM の以前のログ・ソース構成は、自動検出 (レガシー構成の場合) プロトコル・タイプを使用します。MS_EVEN6 または MS-EVEN (Windows XP/2003 用) プロトコルの種類にアップグレードします。

最大EPSレート

100 EPS / Windowsホスト

MSRPCの最大全体EPSレート

8500 EPS/ JSA 16xxまたは18xxアプライアンス

サポートされるログ・ソースの最大数

500ログソース/ JSA 16xxまたは18xxアプライアンス

バルク・ログ・ソースのサポート

はい

暗号化

はい

サポートされているイベントの種類

アプリケーション

安全

DNS サーバー

ファイルのレプリケーション

ディレクトリ サービス ログ

サポートされている Windows オペレーティング システム

Windows Server 2022 (Core を含む)

Windows Server 2019 (Core を含む)

Windows Server 2016 (コアを含む)

Windows Server 2012 (コアを含む)

Windowsの10

必要なアクセス許可

ログ・ソース・ユーザーは、イベント・ログ・リーダー・グループのメンバーでなければなりません。このグループが構成されていない場合、ほとんどの場合、ドメイン全体で Windows イベント ログをポーリングするにはドメイン管理者特権が必要です。場合によっては、Microsoft グループ ポリシー オブジェクトの構成方法に応じて、バックアップ オペレータ グループを使用できます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ services\eventlog

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Nls\Language

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\ CurrentVersion

必要な RPM ファイル

プロトコル-WindowsEventRPC- JSA_release-Build_number.noarch.rpm

DSM-マイクロソフトWindows-JSA_release-Build_number.noarch.rpm

DSM-DSMCommon-JSA_release-Build_number.noarch.rpm

Windows サービス要件

  • リモート プロシージャ コール(RPC)

  • RPC エンドポイント マッパー

Windows ポートの要件

  • TCPポート135

  • TCPポート 445

  • RPC に動的に割り当てられる TCPポート (ポート 49152 から 65535 まで)

特別な機能

デフォルトでは、暗号化されたイベントをサポートしています。

自動検出されますか?

いいえ

アイデンティティは含まれていますか?

はい

カスタムプロパティが含まれているか

Windows カスタム イベント プロパティを含むセキュリティ コンテンツ パックは、 https://support.juniper.net/support/downloads/ で入手できます。

使用目的

ログ・ソース当たり 100 EPS をサポートできる Windows オペレーティング・システム用のエージェントレス・イベント収集。

チューニングサポート

MSRPCは100 EPS / Windowsホストに制限されています。より高いイベントレートシステムについては、 Juniper Secure Analytics WinCollectユーザーガイドを参照してください。

イベントフィルタリングのサポート

MSRPCはイベントフィルタリングをサポートしていません。この機能については、 Juniper Secure Analytics WinCollectユーザーガイド を参照してください。

詳しく

Microsoft サポート (http://support.microsoft.com/)

WMI/DCOMとは対照的に、MSRPCプロトコルは2倍のEPSを提供します。イベント率を次の表に示します。

表 34: MSRPC と WMI/DCOM イベント レートの対比

名前

タイプのプロトコル

最大イベントレート

Microsoft セキュリティ イベント ログ

WMI/DCOM

50EPS / Windowsホスト

MSRPC 経由の Microsoft セキュリティ イベント ログ

メーカー希望小売価格

100EPS / Windowsホスト

MQ プロトコル構成オプション

メッセージ・キュー (MQ) サービスからメッセージを受信するには、MQ プロトコルを使用するようにログ・ソースを構成します。プロトコル名は 、JSA では MQ JMS と表示されます。

MQがサポートされています。

MQ プロトコルは、複数のメッセージ・キュー (ログ・ソースごとに最大 50) をモニターできるアウトバウンド/アクティブ・プロトコルです。

以下の表では、MQ プロトコルのプロトコル固有のパラメーターについて説明します。

表 35: MQ プロトコル パラメーター

パラメーター

形容

プロトコル名

MQ JMS

IPまたはホスト名

1 次キュー・マネージャーの IP アドレスまたはホスト名。

1 次キュー・マネージャーとの通信に使用されるデフォルト・ポートは 1414 です。

スタンバイ IP またはホスト名

スタンバイ・キュー・マネージャーの IP アドレスまたはホスト名。

スタンバイポート

スタンバイ・キュー・マネージャーとの通信に使用されるポート。

キュー・マネージャー

キュー・マネージャーの名前。

チャンネル

キュー・マネージャーがメッセージを送信するチャネル。デフォルト・チャネルは SYSTEM です。デフ。SVRCONNです。

監視するキューまたはキューのリスト。キューのリストは、コンマで区切られたリストで指定します。

ユーザー名

MQ サービスでの認証に使用されるユーザー名。

パスワード

オプション: MQ サービスでの認証に使用されるパスワード。

受信メッセージのエンコード

受信メッセージで使用される文字エンコード。

計算フィールドを処理する

オプション: このオプションは、検索されたメッセージに COBOL コピーブックに定義されている計算データが含まれている場合にのみ選択します。メッセージ内のバイナリー・データは、指定されたコピーブック・ファイルにあるフィールド定義に従って処理されます。

CopyBook ファイル名

このパラメーターは、[計算フィールドの処理] が選択されている場合に表示されます。データの処理に使用するコピーブック ファイルの名前。コピーブック・ファイルは /store/ec/mqjms/* に置く必要があります。

イベントフォーマッタ

計算フィールドを含むデータの処理から生成されるイベントに適用するイベント形式を選択します。既定では、[ 書式設定なし ] が使用されます。

JMS メッセージ ヘッダーを含める

このオプションを選択すると、 JMSMessageIDJMSTimestampなどの JMS メッセージ・フィールドを含む生成された各イベントにヘッダーが含まれます。

EPSスロットル

1秒あたりの最大イベント数(EPS)の制限。

Office 365 メッセージ追跡 REST API プロトコル構成オプション

JSA の Office 365 Message Trace REST API プロトコルは、Message Trace REST API からメッセージ追跡ログを収集します。このプロトコルは、Office 365 の電子メール ログを収集するために使用されます。Office 365 Message Trace REST API プロトコルは、送信/アクティブ プロトコルです。

次のパラメーターでは、Office 365 メッセージ追跡からイベントを収集するために特定の値が必要です。

表 36: Office 365 メッセージ追跡 REST API プロトコル ログソース パラメーター

パラメーター

形容

ログソース識別子

ログ・ソースの固有の名前。

名前にスペースを含めることはできず、Office 365 Message Trace REST API プロトコルで構成されているこの種類のすべてのログ ソース間で一意である必要があります。

Office 365 ユーザー アカウントのメール

Office 365 Message Trace REST API で認証するには、適切なアクセス許可を持つ Office 365 電子メール アカウントを指定します。

Office 365 ユーザー アカウントのパスワード

Office 365 メッセージ追跡 REST API で認証するには、Office 365 ユーザー アカウントの電子メールに関連付けられているパスワードを指定します。

イベント遅延

データ収集の遅延(秒単位)。

Office 365 メッセージ追跡ログは、最終的な配信システムで機能します。データを見逃さないように、ログは遅延して収集されます。デフォルトの遅延は 900 秒 (15 分) で、0 秒まで設定できます。

プロキシを使用

プロキシを使用してサーバにアクセスする場合は、「 プロキシを使用」 チェックボックスを選択します。プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを設定します。 プロキシが認証を必要としない場合は、[ プロキシ サーバー] フィールドと [プロキシ ポート ] フィールドを設定します。

プロキシ IP またはホスト名

プロキシ サーバーの IP アドレスまたはホスト名。

プロキシ ポート

プロキシとの通信に使用されるポート番号。デフォルトは 8080 です。

プロキシ ユーザー名

プロキシが認証を必要とする場合にプロキシ サーバーへのアクセスに使用されるユーザー名。

プロキシ パスワード

プロキシーが認証を必要とするときにプロキシー・サーバーへのアクセスに使用されるパスワード。

再発

新しいイベントの Office 365 Message Trace REST API へのログ ソース クエリの間隔。

時間間隔は、時間(H)、分(M)、または日(D)です。既定値は 5 分です。

EPSスロットル

1秒あたりの最大イベント数(EPS)。デフォルトは 5000 です。

レポートを読むための条件付きアクセス

エラー メッセージ "Status Code: 401 | Status Reason: Unauthorized" が表示された場合は、次の条件付きアクセス ポリシーのドキュメントを参照して、ユーザー アカウントがレガシ アプリケーション Office 365 Message Trace API にアクセスできることを確認します。

Office 365 メッセージ追跡 REST API プロトコルのトラブルシューティング

Office 365 メッセージ追跡 REST API プロトコルの問題を解決するには、トラブルシューティングとサポート情報を使用します。 Juniper Secure Analyticsログソース管理アプリのプロトコルテストツールを使用して、エラーを見つけます。

一般的なトラブルシューティング

次の手順は、すべてのユーザー入力エラーに適用されます。一般的なトラブルシューティング手順には、Office 365 Message Trace REST API プロトコルのエラーに従うための最初の手順が含まれています。

  1. JSA 7.3.2 ソフトウェア更新 3 以降を使用する場合は、ログ・ソースを有効にする前にテスト・ツールを実行します。テスト・ツールがすべてのテストに合格しない場合、ログ・ソースは使用可能にすると失敗します。テストが失敗すると、詳細情報が記載されたエラーメッセージが表示されます。

  2. 選択した Event Collector が reports.office365.com host. にアクセスできることを確認します このプロトコルは、HTTPS (ポート 443) を使用して接続します。

  3. Office 365 メール アカウントのユーザー名とパスワードが有効であることを確認します。

  4. Office 365 メール アカウントに適切なアクセス許可があることを確認します。詳細については、「 Office 365 メッセージ追跡 REST API プロトコルに関する FAQ」を参照してください。

  5. レポート Web サービスのレガシ認証プロトコルへのアクセスがブロックされていないことを確認します。詳細については、「 HTTP 状態コード 401」を参照してください。

  6. すべてのフィールドを再入力します。

  7. 使用可能な場合は、テスト ツールを再実行します。

詳細については、次を参照してください。

HTTP ステータス コード 401

症状

エラー: "状態コード: 401 |ステータス: 承認されていません」

エラー: "Office 365 ユーザー アカウントの電子メールまたはパスワードが無効です"

エラー: <A response received from the Office 365 Message Trace REST API displays>

原因

JSA は Office 365 メッセージ追跡プロトコルに接続しましたが、ユーザーの資格情報が無効なため、認証できませんでした。

問題の解決

HTTP 状態コード 401 エラーを解決するには、Office 365 電子メール アカウントのユーザー名とアカウントのパスワードが有効であることを確認します。

HTTP ステータス コード 404

症状

エラー: "ステータス コード : 404 |ステータスの理由: 見つかりません」

エラー: "404 応答は、メッセージ追跡 API へのアクセスを許可していないユーザー アカウントのアクセス許可に関連している場合があります"

エラー: <A response received from the Office 365 Message Trace REST API displays>

原因

404応答は、通常、サーバーが見つからないことが原因です。ただし、Office 365 メッセージ追跡 REST API は、指定されたユーザー アカウントに適切なアクセス許可がない場合に、この応答を返すことができます。この例外のほとんどのインスタンスは、ユーザー アカウントに必要なアクセス許可がないために発生します。

問題の解決

HTTP ステータス コード 404 エラーを解決するには、ユーザー アカウントに必要なアクセス許可があることを確認します。詳細については、「 Office 365 メッセージ追跡 REST API プロトコルに関する FAQ」を参照してください。

Office 365 メッセージ追跡 REST API プロトコルに関する FAQ

ご不明な点がございましたら、よく寄せられる質問と回答を確認して、Office 365 メッセージ追跡 REST API プロトコルを理解してください。

Office 365 Message Trace REST API からログを収集するには、どのようなアクセス許可が必要ですか?

Office 365 組織のレポートへのアクセスに使用するのと同じ管理アクセス許可を使用します。

Microsoft Office 365 Message Trace REST API プロトコルによって収集されるイベントにはどのような情報が含まれていますか?

このプロトコルは、セキュリティ /コンプライアンス センターのメッセージ追跡で提供されるのと同じ情報を返します。

手記:

拡張レポートと拡張レポートは、Office 365 メッセージ追跡 REST API を使用する場合には使用できません。
イベント遅延オプションは何に使用されますか?

イベント遅延オプションは、イベントが見逃されるのを防ぐために使用されます。このコンテキストでのイベントの損失は、プロトコルがクエリ範囲をイベントの到着時刻よりも新しい時間枠に更新した後に使用可能になるために発生します。イベントが発生したが、Office 365 メッセージ追跡 REST API に投稿されなかった場合、プロトコルがそのイベントの作成時刻を照会しても、プロトコルはそのイベントを取得しません。

例 1: 次の例は、イベントが失われる方法を示しています。

このプロトコルは、午後 2:00 に Office 365 Message Trace API を照会して、午後 1:00 から午後 1:59 までのイベントを収集します。Office 365 Message Trace API の応答は、午後 1:00 から午後 1:59 の間に Office 365 Message Trace API で使用できるイベントを返します。このプロトコルは、すべてのイベントが収集されたかのように動作し、午後 3:00 に次のクエリを Office 365 Message Trace API に送信して、午後 1 時 45 分から午後 2 時 59 分の間に発生したイベントを取得します。このシナリオの問題は、Office 365 Message Trace API に、午後 1:00 から午後 1:59 の間に発生したすべてのイベントが含まれていない可能性があることです。イベントが午後 1 時 58 分に発生した場合、そのイベントは午後 2 時 3 分まで Office 365 Message Trace API で使用できない可能性があります。ただし、プロトコルは既に午後 1:00 から午後 1:59 までの時間範囲をクエリしており、重複するイベントを取得せずにその範囲を再クエリすることはできません。この遅延は 1 分から 24 時間の間で変化します。

例 2: 次の例は例 1 を示していますが、このシナリオでは 15 分の遅延が追加されています。

この例では、プロトコルがクエリ呼び出しを行うときに 15 分の遅延を使用します。プロトコルが午後 2:00 に Office 365 Message Trace API へのクエリ呼び出しを行うと、午後 1:00 から 1:45 の間に発生したイベントが収集されます。このプロトコルは、すべてのイベントが収集されたかのように動作し、午後 3:00 に Office 365 Message Trace API に次のクエリを送信し、午後 1 時 45 分から午後 2 時 45 分の間に発生したすべてのイベントを収集します。 例 1 のようにイベントが見逃されるのではなく、午後 1 時 45 分から午後 2 時 45 分までの次のクエリ呼び出しで取得されます。

例 3: 次の例は例 2 を示していますが、このシナリオではイベントが 1 日後に使用可能になります。

イベントが午後 1 時 58 分に発生し、翌日の午後 1 時 57 分に Office 365 Message Trace API で使用可能になった場合、 例 2 で説明されているイベントの遅延では、そのイベントは取得されなくなります。代わりに、イベントの遅延をより高い値 (この場合は 24 時間) に設定する必要があります。

イベント遅延オプションはどのように機能しますか?

プロトコルは、 最後に受信したイベント時刻 から 現在時刻までクエリを実行する代わりに、 最後に受信したイベント時刻 から 現在の時刻 ( <event delay>)までクエリを実行します。イベントの遅延は秒単位です。たとえば、遅延が 15 分 (900 秒) の場合、クエリは最大 15 分前までしか実行されません。このクエリにより、Office 365 Message Trace API は、イベントが失われる前にイベントを使用可能にするために 15 分間の猶予を与えます。 現在の時刻 - <event delay>最後に受信したイベント時刻より小さい場合、プロトコルは Office 365 Message Trace API に対してクエリを実行しません。 クエリを実行する前に条件が通過するのを待ちます。

イベント遅延オプションにはどのような値を使用しますか?

Office 365 Message Trace API は、イベントの可用性を最大 24 時間遅らせることができます。イベントが見落とされないようにするには、[ イベント遅延 ] パラメーター オプションの値を 24 時間に設定します。ただし、イベントの遅延が大きいほど、結果のリアルタイム性は低くなります。24 時間のイベント遅延では、イベントが発生してから 24 時間後にのみイベントが表示されます。その価値は、どれだけのリスクを負う覚悟があるか、リアルタイムデータがどれほど重要であるかによって異なります。この既定の遅延である 15 分は、リアルタイムで設定される値を提供し、ほとんどのイベントが見逃されるのを防ぎます。

Okta REST APIプロトコルの構成オプション

Oktaからイベントを受信するには、Okta REST APIプロトコルを使用してJSAでログソースを構成します。

Okta REST APIプロトコルは、OktaイベントとユーザーAPIエンドポイントをクエリして、組織内のユーザーによって完了したアクションに関する情報を取得する送信/アクティブプロトコルです。

以下の表では、Okta REST APIプロトコルのプロトコル固有のパラメーターについて説明します。

表37:Okta REST APIプロトコルパラメーター

パラメーター

形容

ログソース識別子

ログ・ソースの固有の名前。

ログソース ID は任意の有効な値にすることができ、特定のサーバーを参照する必要はありません。「ログソース ID」は、ログ・ソースの「名前」と同じ値にすることができます。構成されているOktaログ・ソースが複数ある場合は、最初のログ・ソースをokta1、2番目のログ・ソースをokta2、3番目のログ・ソースをokta3として識別できます。

IPまたはホスト名

oktaprise.okta.com

認証トークン

Oktaコンソールによって生成され、すべてのAPIトランザクションに使用する必要がある単一の認証トークン。

プロキシを使用

JSAがプロキシを使用してOktaにアクセスする場合は、このオプションを有効にします。

プロキシが構成されている場合、ログソースのすべてのトラフィックは、 JSA がOktaにアクセスするためにプロキシを経由します。

プロキシで認証が必要な場合は、[ ホスト名(Hostname)]、[ プロキシ ポート(Proxy Port)]、[ プロキシ ユーザー名(Proxy Username)]、および [プロキシ パスワード(Proxy Password )] フィールドを設定します。プロキシが認証を必要としない場合は、[ プロキシ ユーザー名(Proxy Username )] フィールドと [ プロキシ パスワード(Proxy Password )] フィールドを空白のままにすることができます。

ホスト名

プロキシーを使用」を選択すると、このパラメーターが表示されます。

プロキシ ポート

プロキシーを使用」を選択すると、このパラメーターが表示されます。

プロキシ ユーザー名

プロキシーを使用」を選択すると、このパラメーターが表示されます。

プロキシ パスワード

プロキシーを使用」を選択すると、このパラメーターが表示されます。

再発

新しいデータに対してポーリングが行われる頻度を決定する時間間隔。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H = 2 時間、15M = 15 分、30 = 秒です。デフォルトは 1M です。

EPSスロットル

フローパイプラインに送信される 1 秒あたりのイベントの最大数。デフォルトは 5000 です。

EPSスロットル値が受信レートよりも高いことを確認してください、またはデータ処理が遅れる可能性があります。

OPSEC/LEA プロトコル設定オプション

ポート 18184 でイベントを受信するには、OPSEC/LEA プロトコルを使用するようにログ・ソースを構成します。

OPSEC/LEA プロトコルは、アウトバウンド/アクティブ プロトコルです。

次の表では、OPSEC/LEAプロトコルのプロトコル固有のパラメータについて説明します。

表 38: OPSEC/LEA プロトコル パラメータ

パラメーター

形容

プロトコル設定

OPSEC/LEA

ログソース識別子

IP アドレス、ホスト名、またはデバイスを識別するための任意の名前。

ログ・ソース・タイプに対して固有でなければなりません。

サーバー IP

サーバーの IP アドレスを入力します。

サーバーポート

OPSEC 通信に使用されるポート番号。有効範囲は 0 から 65,536 で、デフォルトは 18184 です。

ログソースにサーバー IP を使用

ログ・ソースに管理対象デバイスの IP アドレスではなく、LEA サーバーの IP アドレスを使用する場合は、「 ログソースにサーバー IP を使用 」チェック・ボックスを選択します。デフォルトでは、このチェックボックスはオンになっています。

統計レポート間隔

syslog イベント数が qradar.log ファイルに記録される間隔(秒単位)。有効範囲は 4 から 2,147,483,648 で、デフォルトの間隔は 600 です。

認証タイプ

リストから、この LEA 設定に使用する 認証タイプ を選択します。オプションは、sslca(デフォルト)、sslca_clear、またはclearです。この値は、サーバーが使用する認証方法と一致する必要があります。

OPSEC アプリケーション オブジェクトの SIC 属性 (SIC 名)

Secure Internal Communications(SIC)名は、アプリケーションの識別名(DN)です(例: CN=LEA、o=fwconsole)。7psasxです。

ログソース SIC 属性 (エンティティ SIC 名)

サーバーの SIC 名( 例: cn=cp_mgmt,o=fwconsole.)。7psasxzです。

証明書の指定

この LEA コンフィギュレーションの証明書を定義する場合は、このチェック ボックスをオンにします。 JSA は、証明書が必要な場合に、これらのパラメータを使用して証明書を取得しようとします。

証明書のファイル名

このオプションは、「証明書の指定」が選択されている場合にのみ表示されます。この構成に使用する証明書のファイル名を入力します。証明書ファイルは、 /opt/qradar/conf/ trusted_certificates/lea ディレクトリーに配置する必要があります。

認証局 IP

Check Point Manager サーバーの IP アドレスを入力します。

証明書パスワードのプル

パスワードを入力します。

OPSECアプリケーション

証明書要求を行うアプリケーションの名前。

有効

このチェック・ボックスを選択すると、ログ・ソースが使用可能になります。デフォルトでは、このチェックボックスはオンになっています。

信頼性

リストから、ログ・ソースの 「信頼性 」を選択します。範囲は 0 から 10 です。

信頼性は、ソース デバイスからの信頼性評価によって決定される、イベントまたは攻撃の整合性を示します。複数の情報源が同じイベントを報告すると、信頼性が高まります。デフォルトは 5 です。

ターゲット・イベント・コレクター

リストから、ログ・ソースのターゲットとして使用する 「ターゲット・イベント・コレクター 」を選択します。

イベントの合体

コアレッシング・イベント 」チェック・ボックスを選択して、ログ・ソースがイベントを結合 (バンドル) できるようにします。

デフォルトでは、自動的に検出されたログ・ソースは、JSAのシステム設定から「合体イベント」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

ストア イベント ペイロード

イベント・ペイロードの保管 」チェック・ボックスを選択して、ログ・ソースがイベント・ペイロード情報を保管できるようにします。

デフォルトでは、自動的に検出されたログ・ソースは、JSAの「システム設定」から「ストア・イベント・ペイロード」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。
手記:

アップグレード後に SSL 証明を取得できません というエラー メッセージが表示された場合は、次の手順を実行します。

  1. [ 証明書の指定 ] チェック ボックスをオフにします。

  2. [証明書のパスワードの取得] にパスワードを再入力します。

Oracle Database Listener Protocolの構成オプション

Oracle データベース・サーバーから生成されたログ・ファイルをリモートで収集するには、Oracle Database Listener プロトコル・ソースを使用するようにログ・ソースを構成します。

Oracle Database Listenerプロトコルは、アウトバウンド/アクティブ・プロトコルです。

ログ・ファイルの処理を監視するようにOracle Database Listenerプロトコルを構成する前に、Oracleデータベース・ログ・ファイルへのディレクトリ・パスを取得する必要があります。

次の表に、Oracle Database Listenerプロトコルのプロトコル固有のパラメータを示します。

表39: Oracle Databaseリスナー・プロトコル・パラメータ

パラメーター

形容

プロトコル設定

Oracleデータベース・リスナー

ログソース識別子

IP アドレス、ホスト名、または固有の名前を入力して、ログ・ソースを識別します。

サーバーアドレス

Oracle Databaseリスナー・サーバーのIPアドレスまたはホスト名。

ドメイン

Oracle Database Learnerサーバーのドメインを入力します。

サーバーがドメイン内にない場合、このパラメーターは省略可能です。

ユーザー名

サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

サーバーへのアクセスに必要なパスワードを入力します。

ログフォルダのパス

Oracle Database Listenerログ・ファイルにアクセスするためのディレクトリ・パスを入力します。

ファイルパターン

イベントログを識別する正規表現(regex)。

ファイルの強制読み取り

このチェックボックスをオンにすると、ポーリング間隔のタイミングが指定されている場合に、プロトコルがログファイルを強制的に読み取ります。

このチェック・ボックスを選択すると、最終変更時刻やファイル・サイズ属性に関係なく、ポーリング間隔が指定されたときに常にログ・ファイル・ソースが検査されます。

このチェック・ボックスが選択されていない場合、最終変更時刻またはファイル・サイズ属性が変更されたかどうか、ポーリング間隔でログ・ファイル・ソースが検査されます。

リカーシブ

ファイルパターンでサブフォルダを検索する場合は、このオプションを使用します。デフォルトでは、このチェックボックスはオンになっています。

SMB バージョン

使用する SMB のバージョンを選択します。

AUTO - クライアントとサーバーが使用に同意した最高バージョンまで自動検出します。

SMB1 - SMB1 の使用を強制します。SMB1 は jCIFS.jar (Java ARchive) ファイルを使用します。

手記:

SMB1 はサポートされなくなりました。すべての管理者は、SMB2 または SMB3 を使用するように既存の構成を更新する必要があります。

SMB2 - SMB2 の使用を強制します。SMB2 は jNQ.jar ファイルを使用します。

SMB3 - SMB3 の使用を強制します。SMB3 は jNQ.jar ファイルを使用します。

手記:

特定の SMB バージョン (SMBv1、SMBv2、SMBv3 など) でログ・ソースを作成する前に、指定した SMB バージョンが、サーバーで実行されている Windows OS でサポートされていることを確認してください。また、指定した Windows Server で SMB バージョンが有効になっていることを確認する必要もあります。

ポーリング間隔(秒)

ポーリング間隔を入力します。これは、ログファイルに対してクエリを実行して新しいデータをチェックする間隔を秒数にします。デフォルトは 10 秒です。

スロットル イベント数/秒

Oracle Database Listenerプロトコルが1秒あたりに転送するイベントの最大数。

ファイルエンコーディング

ログ・ファイル内のイベントで使用される文字エンコード。

SDEE プロトコル設定オプション

Security Device Event Exchange (SDEE) プロトコルを使用するようにログ・ソースを構成できます。 JSA は、このプロトコルを使用して、SDEE サーバーを使用するアプライアンスからイベントを収集します。

SDEE プロトコルは、アウトバウンド/アクティブ プロトコルです。

次の表では、SDEE プロトコルのプロトコル固有のパラメーターについて説明します。

表 40: SDEE プロトコル パラメータ

パラメーター

形容

プロトコル設定

SDEE

URL (英語)

ログ・ソースへのアクセスに必要な HTTP または HTTPS URL (例えば、https://www.mysdeeserver.com/cgi-bin/sdee-server)。

SDEE/CIDEE(Cisco IDS v5.x 以降)の場合、URL は /cgi-bin/sdee-server で終わる必要があります。RDEP(Cisco IDS v4.x)を使用している管理者の場合、URL は /cgi-bin/event-server で終わる必要があります。

サブスクリプションの強制

このチェック・ボックスが選択されると、プロトコルは、サーバーが最もアクティブでない接続をドロップし、ログ・ソースの新しい SDEE サブスクリプション接続を受け入れるように強制します。

イベントをブロックする最大待機時間(Maximum Wait To Block For Events)

コレクション要求が行われ、新しいイベントが使用できない場合、プロトコルはイベント ブロックを有効にします。このブロックにより、新しいイベントがないリモート デバイスに対して別のイベント要求が行われるのを防ぎます。このタイムアウトは、システム リソースを節約することを目的としています。

SMB テール プロトコルの構成オプション

SMB テール・プロトコルを使用するようにログ・ソースを構成できます。このプロトコルを使用して、リモート Samba 共有のイベントを監視し、イベント ログに新しい行が追加されたときに Samba 共有からイベントを受信します。

SMB テール プロトコルは、送信/アクティブ プロトコルです。

次の表では、SMB テール プロトコルのプロトコル固有のパラメーターについて説明します。

表 41: SMB テール プロトコル パラメータ

パラメーター

形容

プロトコル設定

SMB テール

ログソース識別子

ログ・ソースを識別するための IP アドレス、ホスト名、または固有の名前を入力します。

サーバーアドレス

SMB テール サーバーの IP アドレスまたはホスト名。

ドメイン

SMB テール サーバーのドメインを入力します。

サーバーがドメイン内にない場合、このパラメーターは省略可能です。

ユーザー名

サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

サーバーへのアクセスに必要なパスワードを確認します。

ログフォルダのパス

ログ ファイルにアクセスするためのディレクトリ パス。たとえば、管理者は、管理共有に c$/LogFiles/ ディレクトリを使用し、パブリック共有フォルダー パスに LogFiles/ ディレクトリを使用できます。ただし、 c:/LogFiles ディレクトリは、サポートされているログ フォルダー パスではありません。

ログ フォルダー パスに管理用共有 (C$) が含まれている場合、管理用共有 (C$) に対する NetBIOS アクセス権を持つユーザーには、ログ ファイルの読み取りに必要な特権が与えられます。

ローカル システムまたはドメインの管理者特権は、管理共有上のログ ファイルにアクセスするのに十分です。

ファイルパターン

イベントログを識別する正規表現(regex)。

SMB バージョン

使用するサーバー メッセージ ブロック (SMB) のバージョンを選択します。

AUTO - クライアントとサーバーが使用に同意した最高バージョンまで自動検出します。

SMB1 - SMB1 の使用を強制します。SMB1 は jCIFS.jar (Java ARchive) ファイルを使用します。

手記:

SMB1 はサポートされなくなりました。すべての管理者は、SMB2 または SMB3 を使用するように既存の構成を更新する必要があります。

SMB2 - SMB2 の使用を強制します。SMB2 は jNQ.jar ファイルを使用します。

SMB3 - SMB3 の使用を強制します。SMB3 は jNQ.jar ファイルを使用します。

手記:

特定の SMB バージョン (SMBv1、SMBv2、SMBv3 など) でログ・ソースを作成する前に、指定した SMB バージョンが、サーバーで実行されている Windows OS でサポートされていることを確認してください。また、指定した Windows Server で SMB バージョンが有効になっていることを確認する必要もあります。

ファイルの強制読み取り

このチェックボックスをオフにすると、 JSA が変更時刻またはファイルサイズの変更を検出した場合にのみ、ログファイルが読み取られます。

リカーシブ

ファイルパターンでサブフォルダを検索する場合は、このオプションを使用します。デフォルトでは、このチェックボックスはオンになっています。

ポーリング間隔(秒単位)

ポーリング間隔を入力します。これは、ログファイルに対してクエリを実行して新しいデータをチェックする間隔を秒数にします。デフォルトは 10 秒です。

スロットル イベント数/秒

SMB テール プロトコルが 1 秒あたりに転送するイベントの最大数。

ファイルエンコーディング

ログ・ファイル内のイベントで使用される文字エンコード。

SNMPv2 プロトコル構成オプション

SNMPv2 プロトコルを使用して SNMPv2 イベントを受信するようにログ・ソースを構成できます。

SNMPv2プロトコルは、インバウンド/パッシブプロトコルです。

以下の表は、SNMPv2プロトコルのプロトコル固有のパラメーターを説明しています。

表 42: SNMPv2 プロトコル パラメータ

パラメーター

形容

プロトコル設定

SNMPv2

コミュニティ

SNMP イベントを含むシステムへのアクセスに必要な SNMP コミュニティ名。たとえば、Public です。

イベント ペイロードに OID を含める

SNMP イベント ペイロードが、イベント ペイロード形式ではなく、名前と値のペアを使用して構築されることを指定します。

ログソース・タイプ 」リストから特定のログ・ソースを選択する場合、SNMPv2 または SNMPv3 イベントの処理にはイベント・ペイロード内の OID が必要になります。

イベントの合体

このチェック・ボックスを選択すると、ログ・ソースがイベントを結合 (バンドル) できるようになります。

合体イベントは、同じイベントが短い時間間隔で複数回発生すると、イベント数を増やします。結合されたイベントを使用すると、管理者は [ ログ アクティビティ ] タブで 1 つのイベントの種類が発生する頻度を表示および決定できます。

このチェック ボックスをオフにすると、イベントが個別に表示され、情報がバンドルされません。

新規および自動的にディスカバーされたログ・ソースは、「管理」タブの「システム設定」構成からこのチェック・ボックスの値を継承します。管理者は、このチェック・ボックスを使用して、個々のログ・ソースのシステム設定のデフォルト動作をオーバーライドできます。

ストア イベント ペイロード

このチェック・ボックスを選択すると、ログ・ソースがイベントからのペイロード情報を保管できるようになります。

新規および自動的にディスカバーされたログ・ソースは、「管理」タブの「システム設定」構成からこのチェック・ボックスの値を継承します。管理者は、このチェック・ボックスを使用して、個々のログ・ソースのシステム設定のデフォルト動作をオーバーライドできます。

SNMPv3 プロトコル構成オプション

SNMPv3 プロトコルを使用して SNMPv3 イベントを受信するようにログ・ソースを構成できます。

SNMPv3プロトコルは、インバウンド/パッシブプロトコルです。

以下の表は、SNMPv3プロトコルのプロトコル固有のパラメーターを説明しています。

表 43:SNMPv3 プロトコル パラメータ

パラメーター

形容

プロトコル設定

SNMPv3

ログソース識別子

ログ・ソースの固有の名前を入力します。

認証プロトコル

SNMP3 トラップの認証に使用するアルゴリズム:

  • SHA は、認証プロトコルとしてセキュア ハッシュ アルゴリズム (SHA) を使用します。

  • MD5 は、認証プロトコルとしてメッセージ ダイジェスト 5(MD5)を使用します。

認証パスワード

SNMPv3 を認証するためのパスワード。認証パスワードは 8 文字以上である必要があります。

復号プロトコル

SNMPv3 トラップの復号に使用するアルゴリズムを選択します。

  • DES

  • AES128

  • AES192

  • AES256

手記:

復号化アルゴリズムとしてAES192またはAES256を選択した場合は、Java Cryptography Extensionをインストールする必要があります。McAfee ePolicy Orchestrator への Java Cryptography Extension のインストールの詳細については、「JSA への Java Cryptography Extension のインストール」を参照してください。

復号化パスワード

SNMPv3 トラップを復号するためのパスワード。復号化パスワードは 8 文字以上である必要があります。

利用者

アプライアンスで SNMPv3 を設定するために使用されたユーザー名。

イベント ペイロードに OID を含める

SNMP イベント ペイロードが、標準のイベント ペイロード形式ではなく、名前と値のペアを使用して構築されることを指定します。「 ログソース・タイプ 」リストから特定のログ・ソースを選択する場合、SNMPv2 または SNMPv3 イベントの処理にはイベント・ペイロード内の OID が必要になります。

手記:

McAfee ePolicy Orchestrator の SNMPv3 イベントを処理するには、イベント ペイロードに OID を含める必要があります。

Seculert Protection REST API プロトコルの構成オプション

Seculert からイベントを受信するには、Seculert Protection REST API プロトコルを使用するようにログ・ソースを構成します。

Seculert Protection REST API プロトコルは、アウトバウンド/アクティブプロトコルです。Seculert Protectionは、アクティブに通信または情報を盗み出しているマルウェアのインシデントが確認された場合にアラートを提供します。

Seculert のログ・ソースを構成する前に、Seculert Web ポータルから API キーを取得する必要があります。

  1. Seculert の Web ポータルにログインします。

  2. ダッシュボードで、[ API ] タブをクリックします。

  3. [API キー] の値をコピーします。

次の表では、Seculert Protection REST API プロトコルのプロトコル固有のパラメーターについて説明します。

表 44: Seculert Protection REST API プロトコル パラメータ

パラメーター

形容

ログソースの種類

セキュラート

プロトコル設定

Seculert Protection REST API

ログソース識別子

Seculert からのイベントの識別子として、ログ・ソースの IP アドレスまたはホスト名を入力します。

複数のインストール済み環境がある場合に作成する各追加ログ・ソースには、IP アドレスやホスト名などの意の ID が含まれているのが理想的です。

APIキー

Seculert Protection REST API での認証に使用される API キー。API キーの値は、Seculert Web ポータルから取得されます。

プロキシを使用

プロキシを構成すると、ログ・ソースのすべてのトラフィックは、 JSA のプロキシを経由して Seculert Protection REST API にアクセスします。

[プロキシ IP またはホスト名(Proxy IP or Hostname)]、[プロキシ ポート(Proxy Port)]、[プロキシ ユーザ名(Proxy Username)]、および [プロキシ パスワード(Proxy Password)] フィールドを設定します。プロキシが認証を必要としない場合は、[プロキシ ユーザー名(Proxy Username)] フィールドと [プロキシ パスワード(Proxy Password)] フィールドを空白のままにすることができます。

サーバー証明の自動取得

リストから [はい ] を選択すると、 JSA は証明書をダウンロードし、ターゲット サーバーの信頼を開始します。

再発

ログがデータを収集するタイミングを指定します。形式は、分/時間/日を表す M/H/D です。既定値は 1 M です。

EPSスロットル

API から受信するイベントの 1 秒あたりの最大イベント数 (eps) の上限。

有効

このチェック・ボックスを選択すると、ログ・ソースが使用可能になります。デフォルトでは、このチェックボックスはオンになっています。

信頼性

ログ・ソースの 「信頼性 」を選択します。範囲は 0 から 10 です。

信頼性は、ソース デバイスからの信頼性評価によって決定される、イベントまたは攻撃の整合性を示します。複数の情報源が同じイベントを報告すると、信頼性が高まります。デフォルトは 5 です。

ターゲット・イベント・コレクター

ログ・ソースのターゲットとして使用する 「ターゲット・イベント・コレクター 」を選択します。

イベントの合体

このチェック・ボックスを選択すると、ログ・ソースがイベントを結合 (バンドル) できるようになります。

デフォルトでは、自動的に検出されたログ・ソースは、JSAのシステム設定から「合体イベント」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

ストア イベント ペイロード

このチェック・ボックスを選択すると、ログ・ソースがイベント・ペイロード情報を保管できるようになります。

デフォルトでは、自動的に検出されたログ・ソースは、JSAの「システム設定」から「ストア・イベント・ペイロード」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

Sophos Enterprise Console JDBC プロトコルの設定オプション

Sophos Enterprise Console からイベントを受信するには、Sophos Enterprise Console JDBC プロトコルを使用するようにログソースを設定します。

Sophos Enterprise Console JDBC プロトコルは、アプリケーションコントロールログ、デバイスコントロールログ、データコントロールログ、タンパープロテクションログ、ファイアウォールログからのペイロード情報を vEventsCommonData テーブルに結合する送信/アクティブプロトコルです。Sophos Enterprise Console に Sophos Reporting Interface がインストールされていない場合は、標準の JDBC プロトコルを使用してウイルス対策イベントを収集できます。

以下の表は、Sophos Enterprise Console JDBC プロトコルのパラメータを説明しています。

表 45: Sophos Enterprise Console JDBC プロトコルパラメータ

パラメーター

形容

プロトコル設定

Sophos Enterprise Console JDBC

ログソース識別子

ログ・ソースの名前を入力します。この名前にはスペースを含めることはできず、JDBC プロトコルを使用するように構成されたログ・ソース・タイプのすべてのログ・ソース間で固有でなければなりません。

ログ・ソースが、静的 IP アドレスまたはホスト名を持つ単一アプライアンスからイベントを収集する場合は、アプライアンスの IP アドレスまたはホスト名を「 ログソース ID 」値の全部または一部として使用します。たとえば、192.168.1.1 や JDBC192.168.1.1 などです。ログ・ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集しない場合は、「 ログソース識別子 」値に任意の一意の名前を使用できます。たとえば、JDBC1、JDBC2 などです。

データベースの種類

MSDEの

データベース名

データベース名は、「 ログソース ID 」フィールドに指定されたデータベース名と一致する必要があります。

Sophos Enterprise Console の MSDE のデフォルトポートは 1168 です。JDBC 設定ポートは、 JSA と通信するためにソフォスデータベースのリスナーポートと一致する必要があります。ソフォスのデータベースで受信 TCP 接続が有効になっている必要があります。

データベース インスタンスを MSDE データベース タイプで使用する場合は、Port パラメータを空白のままにする必要があります。

認証ドメイン

ネットワークでドメインを使用しない場合は、このフィールドを空白のままにします。

データベースインスタンス

データベース・インスタンス (必要な場合)。MSDE データベースには、1 つのサーバー上に複数の SQL Server インスタンスを含めることができます。

データベースに標準以外のポートを使用する場合、または SQL データベースの解決のために管理者がポート 1434 へのアクセスをブロックする場合は、[ データベース インスタンス ] パラメーターを空白にする必要があります。

テーブル名

vEventsCommonData

リストを選択

*

フィールドの比較

InsertedAt

プリペアドステートメントを使用

プリペアド・ステートメントを使用すると、プロトコル・ソースは SQL ステートメントをセットアップし、その SQL ステートメントを異なるパラメーターで何度も実行することができます。セキュリティとパフォーマンス上の理由から、ほとんどの設定ではプリペアドステートメントを使用できます。このチェック ボックスをオフにすると、プリコンパイル済みステートメントを使用しない別のクエリ方法が使用されます。

開始日時

随意。プロトコルがデータベースのポーリングを開始できる開始日時。開始時刻が定義されていない場合、プロトコルは、ログ・ソース構成が保存およびデプロイされた後に、イベントのポーリングを試みます。

ポーリング間隔

ポーリング間隔は、データベースへのクエリ間の時間です。数値に時間を表す H または分を表す M を付加することで、より長いポーリング間隔を定義できます。最大ポーリング間隔は、任意の時間形式で 1 週間です。H または M 指定子のない数値は、秒単位でポーリングします。

EPSスロットル

このプロトコルで超えたくない 1 秒あたりのイベント数(EPS)。

名前付きパイプ通信を使用する

MSDE がデータベースの種類として構成されている場合、管理者はこのチェック ボックスをオンにして、TCP/IP ポート接続の代替方法を使用できます。

MSDE データベースの名前付きパイプ接続では、ユーザー名とパスワード フィールドで、データベースのユーザー名とパスワードではなく、Windows 認証のユーザー名とパスワードを使用する必要があります。ログ・ソース構成では、MSDE データベース上のデフォルトの名前付きパイプを使用する必要があります。

データベースクラスタ名

クラスタ環境で SQL Server を使用する場合は、クラスタ名を定義して、名前付きパイプ通信が正しく機能するようにします。

NTLMv2 を使用する

NTLMv2 認証を必要とする SQL Server で MSDE 接続に NTLMv2 プロトコルの使用を強制します。チェックボックスのデフォルト値が選択されています。

[ NTLMv2 を使用する ] チェック ボックスは、NTLMv2 認証を必要としない MSDE 接続の通信を中断しません。

Sourcefire Defense Center EStreamer プロトコル オプション

Sourcefire Defense Center eStreamer プロトコルは、Cisco Firepower eStreamer プロトコルと呼ばれるようになりました。

Syslogリダイレクトプロトコルの概要

Syslogリダイレクトプロトコルは、Syslogプロトコルの代替として使用される着信/パッシブプロトコルです。このプロトコルは、イベントを送信した特定のデバイス名を JSA で識別する場合に使用します。 JSA は、指定した未使用ポートでTCPまたはUDPを使用して、Syslogイベントを受動的にリッスンできます。

次の表では、Syslog リダイレクト プロトコルのプロトコル固有のパラメーターについて説明します。

表 46: Syslog リダイレクト プロトコル パラメータ

パラメーター

形容

プロトコル設定

Syslogリダイレクト

ログソース識別子正規表現

ペイロードからログソース識別子を解析するための正規表現を入力します。

ログソース識別子

デフォルトとして使用する「ログソース識別子」を入力します。ログソース ID 正規表現が、指定された正規表現を使用して特定のペイロードからのログソース識別子を解析できない場合は、デフォルトが使用されます。

ログソース識別子正規表現フォーマット文字列

ログソース識別子正規表現のキャプチャ グループを結合する書式指定文字列。

例えば:

  1. "$1" は最初のキャプチャ グループを使用します。

  2. "$1$2" は、キャプチャ グループ 1 と 2 を連結します。

  3. "$1 TEXT $2" は、キャプチャ グループ 1、リテラル "TEXT"、キャプチャ グループ 2 を連結します。

結果のストリングは、新しいログ・ソース ID として使用されます。

正規表現の一致時にDNSルックアップを実行する

[ 正規表現の一致時に DNS ルックアップを実行(Perform DNS Lookup On Regex Match)] チェックボックスをオンにして、[ ログソース識別子の正規表現(Log Source Identifier Regex )] とパラメータ値に基づく DNS 機能を有効にします。

デフォルトでは、このチェックボックスはオフになっています。

リッスンポート

未使用のポートを入力し、そのポートで JSA にイベントを送信するようにログソースを設定します。

議定書

リストから、[ TCP ] または [UDP] を選択します。

Syslogリダイレクトプロトコルは、任意の数のUDP syslog接続をサポートしますが、TCP接続は2500に制限されます。syslog ストリームに 2500 を超えるログ・ソースがある場合は、2 番目のログ・ソースと listen ポート番号を入力する必要があります。

有効

このチェック・ボックスを選択すると、ログ・ソースが使用可能になります。デフォルトでは、このチェックボックスはオンになっています。

信頼性

リストから、ログ・ソースの「信頼性」を選択します。範囲は 0 から 10 です。

信頼性は、ソース デバイスからの信頼性評価によって決定される、イベントまたは攻撃の整合性を示します。複数の情報源が同じイベントを報告すると、信頼性が高まります。デフォルトは 5 です。

ターゲット・イベント・コレクター

リストから、ログ・ソースのターゲットとして使用する 「ターゲット・イベント・コレクター 」を選択します。

イベントの合体

「イベントの結合 」チェック・ボックスを選択して、ログ・ソースがイベントを結合 (バンドル) できるようにします。

デフォルトでは、自動的に検出されたログ・ソースは、JSAのシステム設定から「合体イベント」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

受信イベント ペイロード

[ 受信イベント ペイロード ] の一覧から、ログを解析および保存する受信ペイロード エンコーダーを選択します。

ストア イベント ペイロード

イベント・ペイロードの保管 」チェック・ボックスを選択して、ログ・ソースがイベント・ペイロード情報を保管できるようにします。

デフォルトでは、自動的に検出されたログ・ソースは、JSAの「システム設定」から「ストア・イベント・ペイロード」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

TCP マルチライン syslog プロトコルの設定オプション

TCP 複数行 syslog プロトコルを使用するログ・ソースを構成できます。TCP マルチライン syslog プロトコルは、正規表現を使用してマルチライン イベントの開始と終了パターンを識別するインバウンド/パッシブ プロトコルです。

次の例は、複数行のイベントです。

次の表では、TCPマルチラインsyslogプロトコルのプロトコル固有のパラメータについて説明します。

表 47: TCP マルチライン Syslog プロトコル パラメータ

パラメーター

形容

プロトコル設定

TCP 複数行 Syslog

ログソース識別子

ログ・ソースを識別するための IP アドレスまたはホスト名を入力します。代わりに名前を使用するには、「 カスタム・ソース名を使用 」を選択し、「 ソース名の正規表現 」および 「ソース名のフォーマット文字列 」パラメータを入力します。

手記:

これらのパラメータは、[ 詳細オプションの表示 ]が [はい]に設定されている場合にのみ使用できます。

リッスンポート

デフォルトのポートは 12468 です。

集計方法

デフォルトは 「マッチングの開始/終了」です。共通の識別子で結合された複数行のイベントを結合する場合は、 IDリンク を使用します。

イベント開始パターン

このパラメーターは、[集約方法] パラメーターを [照合の開始/終了] に設定した場合に使用できます。

TCP 複数行イベント ペイロードの開始を識別するために必要な正規表現(regex)。Syslogヘッダーは、通常、日付またはタイムスタンプで始まります。このプロトコルは、タイム スタンプなどのイベント開始パターンのみに基づいて、1 行のイベントを作成できます。開始パターンのみが使用可能な場合、プロトコルは各開始値の間のすべての情報をキャプチャして、有効なイベントを作成します。

イベント終了パターン

このパラメーターは、[集約方法] パラメーターを [照合の開始/終了] に設定した場合に使用できます。

TCP 複数行イベント ペイロードの終わりを識別するために必要なこの正規表現(regex)。syslog イベントが同じ値で終了した場合、正規表現を使用してイベントの終了を判断できます。このプロトコルは、イベント終了パターンのみに基づくイベントをキャプチャできます。終了パターンのみが使用可能な場合、プロトコルは各終了値間のすべての情報をキャプチャして、有効なイベントを作成します。

メッセージ ID パターン

このパラメーターは、[ 集約方法 ] パラメーターを [ID リンク] に設定した場合に使用できます。

この正規表現(regex)は、イベントペイロードメッセージをフィルタリングするのに必要です。TCP 複数行イベント・メッセージには、イベント・メッセージの各行で繰り返される共通の識別値が含まれている必要があります。

イベントフォーマッタ

Windows 専用に書式設定された複数行イベントには、[ Windows 複数行 ] オプションを使用します。

詳細オプションを表示

デフォルトは [いいえ] です。イベント データをカスタマイズする場合は、[ はい ] を選択します。

カスタムソース名を使用

このパラメータは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

このチェックボックスは、正規表現でソース名をカスタマイズする場合に選択します。

ソース名正規表現

このパラメーターは、[ Use Custom Source Name] をオンにした場合に使用できます。

このプロトコルによって処理されるイベント ペイロードから 1 つ以上の値をキャプチャする正規表現(regex)。これらの値は、[ ソース名の書式設定文字列 ] パラメーターと共に使用され、各イベントのソース値またはオリジン値を設定します。このソース値は、一致する「ログソース識別子」値を持つログ・ソースにイベントをルーティングするために使用されます。

ソース名の書式設定文字列

このパラメーターは、[ Use Custom Source Name] をオンにした場合に使用できます。

次の 1 つ以上の入力の組み合わせを使用して、このプロトコルによって処理されるイベント ペイロードのソース値を形成できます。

  • ソース名の正規表現からの 1 つ以上のキャプチャ グループ。キャプチャ グループを参照するには、\x 表記を使用します (x はソース名の正規表現からのキャプチャ グループのインデックスです)。

  • イベント データの送信元の IP アドレス。パケット IP を参照するには、トークン $PIP$ を使用します。

  • リテラル テキスト文字。 ソース名の書式設定文字列 全体は、ユーザー指定のテキストにすることができます。たとえば、 ソース名の正規表現 が 'hostname=(.*?)' で、キャプチャ グループ 1 の値に hostname.com を追加する場合は、 ソース名の書式設定文字列 を\1.hostname.com に設定します。hostname=ibm を含むイベントが処理されると、イベント・ペイロードのソース値が ibm.hostname.com に設定され、JSA はその ログソース ID を持つログ・ソースにイベントをルーティングします。

ゲートウェイ・ログ・ログソースとして使用

このパラメータは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

選択すると、ログ・ソースを通過するイベントは、イベントでタグ付けされたソース名に基づいて、他のログ・ソースにルーティングできます。

このオプションが選択されておらず、「 カスタム・ソース名を使用 」が選択されていない場合、着信イベントには、「ログソース識別子」パラメーターに対応するソース名がタグ付けされます。

複数行のイベントを 1 行に平坦化

このパラメータは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

イベントを 1 行または複数行で表示します。

イベント集約時に行全体を保持

このパラメータは、[ 詳細オプションの表示 ] を [はい] に設定した場合に使用できます。

「集約方法」パラメーターを「ID リンク」に設定した場合、「イベント集約中に行全体を保持」を有効にして、同じ ID パターンを持つイベントを連結するときに、「メッセージ ID パターン」の前にあるイベントの一部を破棄または保持することができます。

期限

イベントがイベントパイプラインにプッシュされる前に、追加の一致するペイロードを待機する秒数。デフォルトは 10 秒です。

有効

このチェック・ボックスを選択すると、ログ・ソースが使用可能になります。

信頼性

ログ・ソースの信頼性を選択します。範囲は 0 から 10 です。

信頼性は、ソース デバイスからの信頼性評価によって決定される、イベントまたは攻撃の整合性を示します。複数の情報源が同じイベントを報告すると、信頼性が高まります。デフォルトは 5 です。

ターゲット・イベント・コレクター

TCP Multiline Syslog リスナーをホストするデプロイメント内の Event Collector を選択します。

イベントの合体

このチェック・ボックスを選択すると、ログ・ソースがイベントを結合 (バンドル) できるようになります。

デフォルトでは、自動的に検出されたログ・ソースは、 JSAのシステム設定から「合体イベント」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

ストア イベント ペイロード

このチェック・ボックスを選択すると、ログ・ソースがイベント・ペイロード情報を保管できるようになります。

デフォルトでは、自動的に検出されたログ・ソースは、JSAの「システム設定」から「ストア・イベント・ペイロード」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

TCPマルチラインSyslogプロトコル設定の使用例

TCP マルチライン Syslog リスナー・ログ・ソースが、同じシステムから送信されるすべてのイベントを収集するように設定するには、以下のステップを実行します。

  1. ゲートウェイ・ログ・ログソースとして使用 」および 「カスタム・ソース名を使用 」はオフのままにします。

  2. ログソース ID パラメーター」に、イベントを送信しているシステムの IP アドレスを入力します。

    図1:JSAログソースは、単一システムからTCPマルチラインSyslogリスナーData flow diagram showing event logging: System sends events to TCP Multiline Listener, which forwards them to JSA for analysis.に送信されたイベントを収集します

    複数のシステムが TCP マルチライン Syslog リスナーにイベントを送信している場合、または 1 つの中間システムが複数のシステムからのイベントを転送していて、イベントを syslog ヘッダーまたは IP アドレスに基づいて別々のログ・ソースにルーティングする場合は、「ゲートウェイ・ログソースとして使用」チェック・ボックスを選択します。

    手記:

    JSAは、各イベントでRFC3164またはRFC5424準拠のsyslogヘッダーを確認し、存在する場合は、そのヘッダーのIP/ホスト名をイベントのソース値として使用します。イベントは、ログソース ID と同じ IP またはホスト名を持つログ・ソースにルーティングされます。このようなヘッダーが存在しない場合、JSA は、イベントが到着したネットワーク パケットの送信元 IP 値をイベントの送信元値として使用します。
    図 2: 個別の JSA ログ ソースは、syslog ヘッダーを使用して、複数のシステムから TCP 複数行リスナーに送信されたイベントを収集します。 Diagram of data flow showing log sources within JSA connecting to TCP Multiline Listener, routing events to systems.
    図 3: 個別の JSA ログ ソースは、複数のシステムから送信され、中間システムを介して TCP マルチライン リスナーに転送されるイベントを収集します。 Data flow diagram showing log management. Log sources feed data to a TCP Multiline Listener, which routes events to an Intermediate layer, then sends processed data to Systems for analysis.

syslog ヘッダーの IP またはホスト名以外の値に基づいてイベントを別々のログ・ソースにルーティングするには、以下のステップに従います。

  1. [ Use Custom Source Name ] チェックボックスをオンにします。

  2. 「ソース名の正規表現」と「ソース名のフォーマット文字列」を設定して、JSAが受信したイベントをログ・ソースにルーティングするためのソース名の値を設定する方法をカスタマイズします。

    図4:個別のJSAログ・ソースは、ソース名の正規表現とソース名のフォーマット文字列を使用して、複数のシステムから送信され、中間システムを介してTCP複数行リスナーに転送されるイベントを収集します。 Flow diagram of a data processing system with JSA log sources, TCP Multiline Listener routing events, Intermediate component, and three systems receiving data.

TLS Syslog プロトコルの設定オプション

TLS Syslog プロトコル・ログ・ソースを構成して、各リスナー・ポートの TLS Syslog イベント転送をサポートする最大 50 のネットワーク・デバイスから暗号化された syslog イベントを受信します。

TLS Syslogプロトコルは、インバウンド/パッシブプロトコルです。ログ・ソースは、着信 TLS Syslog イベントのリスン・ポートを作成します。デフォルトでは、TLS Syslog ログ ソースは JSA によって生成された証明書とキーを使用します。最大 50 台のネットワークアプライアンスが、ログソースのリッスンポートにイベントを転送できます。固有のリスニング・ポートを持つログ・ソースをさらに作成する場合は、最大 1000 のネットワーク・アプライアンスを構成できます。

以下の表では、TLS Syslogプロトコルのプロトコル固有のパラメーターについて説明します。

表 48: TLS Syslog プロトコル パラメータ

パラメーター

形容

プロトコル設定

TLSシステムログ

ログソース識別子

ログ・ソースを識別するための IP アドレスまたはホスト名。

TLSリッスンポート

デフォルトのTLSリスニングポートは6514です。

認証モード

TLS 接続が認証に使用するモード。 [TLS とクライアント認証 ] オプションを選択した場合は、証明書パラメーターを構成する必要があります。

クライアント証明書認証

リストから次のオプションのいずれかを選択します。

  • CN許可リストと発行者の検証

  • ディスク上のクライアント証明書

CN許可リストの使用

CN 許可リストを使用するには、このパラメーターを有効にします。

CN 許可リスト

信頼されたクライアント証明書の共通名の許可リスト。プレーンテキストまたは正規表現(regex)を入力できます。複数のエントリを定義するには、それぞれを別々の行に入力します。

発行者検証を使用する

発行者検証を使用するには、このパラメーターを有効にします。

ルート/中間発行者の証明書または公開鍵

ルート/中間発行者の証明書または公開キーを PEM 形式で入力します。

  • 証明書を次のように入力します。

    -----証明書の開始-----

    そして、以下で終わります。

    -----証明書の終了-----

  • 次で始まる公開キーを入力します。

    -----公開キーの開始-----

    そして、以下で終わります。

    -----終了公開鍵-----

証明書失効の確認

証明書の失効ステータスをクライアント証明書と照合します。このオプションには、X509v3 拡張機能のクライアント証明書の [CRL 配布ポイント ] フィールドで指定されている URL へのネットワーク接続が必要です。

証明書の使用状況を確認する

[ キー使用法 ] フィールドと [拡張キー使用法 拡張] フィールドで、証明書 X509v3 拡張機能の内容を確認します。受信クライアント証明書の場合、X509v3 キー使用法の許可値は digitalSignaturekeyAgreement です。X509v3 拡張キー使用法の許可値は TLS Web クライアント認証です。

このプロパティはデフォルトで無効になっています。

クライアント証明書のパス

ディスク上のクライアント証明書への絶対パス。証明書は、このログ・ソースの JSAコンソール または イベント・コレクタ に格納する必要があります。

手記:

入力する証明書ファイルが次の文で始まっていることを確認します。

-----証明書の開始-----

で終わります:

-----証明書の終了-----

サーバー証明の種類

サーバー証明書とサーバー キーの認証に使用する証明書の種類。

サーバー証明タイプ 」リストから以下のオプションのいずれかを選択します。

  • 生成された証明書

  • PEM 証明書と秘密鍵

  • PKCS12 証明書チェーンとパスワード

  • JSA証明書ストアから選択します

生成された証明書

このオプションは、 証明書タイプを設定する場合に使用できます。

JSA によって生成されたデフォルトの証明書とキーをサーバー証明書とサーバー キーに使用する場合は、このオプションを選択します。

生成された証明書の名前は、ログ・ソースが割り当てられているターゲット・イベント・コレクターの /opt/ qradar/conf/trusted_certificates/ ディレクトリー内の syslog-tls.cert です。

単一の証明書と秘密キー

このオプションは、 証明書タイプを設定する場合に使用できます。

サーバー証明書に単一の PEM 証明書を使用する場合は、このオプションを選択し、次のパラメータを設定します。

  • 指定されたサーバー証明パス - サーバー証明書への絶対パス。

  • 指定された秘密キーのパス - 秘密キーへの絶対パス。

手記:

対応する秘密キーは、DER でエンコードされた PKCS8 キーである必要があります。構成は、他のキー形式では失敗します

PKCS12 証明書とパスワード

このオプションは、 証明書タイプを設定する場合に使用できます。

サーバー証明書とサーバー キーを含む PKCS12 ファイルを使用する場合は、このオプションを選択し、次のパラメーターを構成します。

  • PKCS12証明書パス - サーバー証明書とサーバーキーを含むPKCS12ファイルのファイルパスを入力します。

  • PKCS12パスワード - PKCS12ファイルにアクセスするためのパスワードを入力します。

  • 証明書エイリアス - PKCS12 ファイルに複数のエントリがある場合は、使用するエントリを指定するためにエイリアスを指定する必要があります。PKCS12 ファイルにエイリアスが 1 つしかない場合は、このフィールドを空白のままにします。

JSA証明書ストアから選択します

このオプションは、 証明書タイプを設定する場合に使用できます。

証明書管理アプリケーションを使用して、JSA証明書ストアから証明書をアップロードできます。

このアプリケーションは、JSA 7.3.3 フィックスパック 6 以降および JSA 7.4.2 以降でサポートされます。

最大ペイロード長

TLS Syslog メッセージに表示されるペイロードの最大長(文字数)。

最大接続数

「最大接続数」パラメータは、TLS Syslog プロトコルが各イベント・コレクターに対して受け入れることができる同時接続数を制御します。

イベント・コレクターごとに、TLS Syslog ログ・ソース構成には、使用可能および使用不可のログ・ソースを含む 1000 個の接続の制限があります。

先端:

自動的に検出されたログ・ソースは、リスナーを別のログ・ソースと共用します。たとえば、同じイベントコレクターで同じポートを使用した場合、制限に対してカウントされるのは 1 回だけです。

TLSプロトコル

ログ・ソースが使用する TLS プロトコル。

「TLS 1.2 以降」オプションを選択します。

ゲートウェイ・ログ・ログソースとして使用

収集したイベントをJSAトラフィック分析エンジンを介して送信し、適切なログソースを自動的に検出します。

イベントにカスタム・ログ・ソース ID を定義しない場合は、このチェック・ボックスをクリアします。

このオプションが選択されておらず、 識別子パターンログソース 設定されていない場合、JSA はイベントを不明な汎用ログソースとして受信します。

ログソース識別子パターン

ゲートウェイ・ログソースとして使用 」オプションを使用して、処理中のイベントおよび該当する場合はログ・ソースが自動的に検出されるように、カスタム・ログ・ソース ID を定義します。ログソース識別子パターンを構成しない場合、JSA はイベントを不明な汎用ログソースとして受信します。

キーと値のペアを使用して、カスタム・ログソース識別子を定義します。キーは、結果のソースまたはオリジン値である識別子フォーマット文字列です。値は、現在のペイロードの評価に使用される関連する正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。

新しい行に各パターンを入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログソース識別子が表示されます。

次の例は、複数のキーと値のペア関数を示しています。

  • パターン - VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2= \s(ACCEPT)\s(OK)

  • イベント - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

  • 結果のカスタム・ログ・ソース ID - VPC-ACCEPT-OK

複数行を有効にする

開始/終了マッチングまたはIDにリンクされた正規表現に基づいて、複数のメッセージを単一のイベントに集約します。

集計方法

このパラメータは、 Enable Multiline がオンのときに使用できます。

  • ID-Linked - 各行の先頭に共通の値を含むイベント ログを処理します。

  • Start/End Matching - 開始または終了の正規表現(regex)に基づいてイベントを集約します。

イベント開始パターン

このパラメーターは、[ 複数行の有効化 ] がオンで、[ 集約方法 ] が [照合の開始/終了] に設定されている場合に使用できます。

TCP複数行イベントペイロードの開始を識別するには、正規表現(regex)が必要です。通常、Syslog ヘッダーは日付またはタイムスタンプで始まります。このプロトコルは、タイムスタンプなどのイベント開始パターンのみに基づいて、1 行のイベントを作成できます。開始パターンのみが使用可能な場合、プロトコルは各開始値の間のすべての情報をキャプチャして、有効なイベントを作成します。

イベント終了パターン

このパラメーターは、[ 複数行の有効化 ] がオンで、[ 集約方法 ] が [照合の開始/終了] に設定されている場合に使用できます。

この正規表現(regex)は、TCP 複数行イベント ペイロードの終わりを識別するために必要です。syslog イベントが同じ値で終了した場合、正規表現を使用してイベントの終了を判断できます。このプロトコルは、イベント終了パターンのみに基づくイベントをキャプチャできます。終了パターンのみが使用可能な場合、プロトコルは各終了値間のすべての情報をキャプチャして、有効なイベントを作成します。

メッセージ ID パターン

このパラメーターは、[ 複数行の有効化 ] がオンで、[ 集約方法 ] が [ID リンク] に設定されている場合に使用できます。

この正規表現(regex)は、イベントペイロードメッセージをフィルタリングするのに必要です。TCP 複数行イベント・メッセージには、イベント・メッセージの各行で繰り返される共通の識別値が含まれている必要があります。

期限

このパラメーターは、[ 複数行の有効化 ] がオンで、[ 集約方法 ] が [ID リンク] に設定されている場合に使用できます。

イベントがイベントパイプラインにプッシュされる前に、さらに一致するペイロードを待機する秒数。デフォルトは 10 秒です。

イベント集約時に行全体を保持

このパラメーターは、[ 複数行の有効化 ] がオンで、[ 集約方法 ] が [ID リンク] に設定されている場合に使用できます。

「集約方法」パラメーターを「ID リンク」に設定した場合、「イベント集約中に行全体を保持」を有効にして、メッセージ ID パターンに先行するイベントの一部を破棄または保持できます。この機能は、同じ ID パターンを持つイベントを連結している場合にのみ有効にできます。

複数行のイベントを 1 行にフラット化

このパラメータは、 Enable Multiline がオンのときに使用できます。

イベントを 1 行または複数行で表示します。

イベントフォーマッタ

このパラメータは、 Enable Multiline がオンのときに使用できます。

Windows 専用に書式設定された複数行イベントには、[ Windows 複数行 ] オプションを使用します。
手記:

ログ・ソースが保管されると、そのログ・ソースの syslog-tls 証明書が作成されます。証明書は、暗号化された syslog を転送するように設定されているネットワーク上の任意のデバイスにコピーする必要があります。syslog-tls証明書ファイルとTLSリッスンポート番号を持つ他のネットワークデバイスは、TLS Syslogログソースとして自動的に検出できます。

TLS Syslogのユースケース

以下のユースケースは、作成可能な構成を表しています。

  • ディスク上のクライアント証明書 -- プロトコルがクライアント認証に従事できるようにするクライアント証明書を提供できます。このオプションを選択して証明書を提供すると、着信接続はクライアント証明書に対して検証されます。

  • CN許可リストと発行者検証

    このオプションを選択した場合は、発行者証明書 (.crt、.cert、または .der ファイル拡張子を持つ) を次のディレクトリにコピーする必要があります。

    /opt/qradar/conf/trusted_certificates

    このディレクトリーは、ログ・ソースが割り当てられているターゲット・イベント・コレクター上にあります。

    受信クライアント証明書は、証明書が信頼された発行者によって署名されているかどうかを確認し、その他のチェックを行うために、次の方法で検証されます。クライアント証明書の認証には、どちらか一方または両方の方法を選択できます。

    • [CN 許可リスト(CN Allowlist)] -- 信頼できるクライアント証明書の共通名の許可リストを指定します。プレーンテキストまたは正規表現を入力できます。新しい行にそれぞれを入力して、複数のエントリを定義します。

    • 発行者の検証 -- 信頼されたクライアント証明書のルート証明書または中間発行者証明書、または PEM 形式の公開キーを指定します。

    • [証明書失効の確認] -- 証明書の失効ステータスをクライアント証明書と照合します。このオプションには、X509v3 拡張機能のクライアント証明書の [CRL 配布ポイント] フィールドで指定されている URL へのネットワーク接続が必要です。

    • [証明書の使用法の確認(Check Certificate Usage)]:[キー使用法(Key Usage)] フィールドと [拡張キー使用法(Extended Key Usage)] 拡張フィールドで、証明書 X509v3 拡張の内容を確認します。受信クライアント証明書の場合、X509v3 キー使用法の許可値は digitalSignaturekeyAgreement です。X509v3 拡張キー使用法の許可値は TLS Web クライアント認証です。

  • ユーザ提供のサーバ証明書 -- 独自のサーバ証明書と対応する秘密キーを設定できます。構成された TLS Syslog プロバイダーは、証明書とキーを使用します。着信接続には、自動的に生成されたTLS Syslog証明書ではなく、ユーザー指定の証明書が表示されます。

  • デフォルト認証 -- デフォルトの認証方法を使用するには、[認証モード] パラメータと [証明書タイプ] パラメータにデフォルト値を使用します。ログ・ソースが保管されると、ログ・ソース・デバイスに対して syslog-tls 証明書が作成されます。証明書は、暗号化された syslog データを転送するネットワーク上の任意のデバイスにコピーする必要があります。

TLS Syslogを介した複数のログソース

ネットワーク内の複数のデバイスを設定して、暗号化されたsyslogイベントを単一のTLS Syslogリスニングポートに送信できます。TLS Syslogリスナーはゲートウェイとして機能し、イベントデータを復号化し、 JSA 内でSyslogプロトコルで構成された追加のログソースにフィードします。

TLS Syslog プロトコルを使用する場合、使用する必要がある特定のパラメーターがあります。

TLS暗号化syslogをサポートするネットワーク内の複数のデバイスは、TCP接続を介してTLS Syslogリッスンポートに暗号化されたイベントを送信できます。これらの暗号化されたイベントは、TLS syslog(ゲートウェイ)によって復号化され、イベントパイプラインに挿入されます。復号化されたイベントは、適切な受信ログソースまたはトラフィック分析エンジンにルーティングされて、自動検出が行われます。

イベントは、 JSA 内で、イベントのソース値と一致する ログソース識別子 値を持つログソースにルーティングされます。RFC3164、RFC5425、または RFC5424 準拠の syslog ヘッダーを持つ syslog イベントの場合、送信元値はヘッダーの IP アドレスまたはホスト名です。準拠ヘッダーを持たないイベントの場合、送信元値は syslog イベントの送信元の IP アドレスです。

JSA では、複数のデバイスから 1 つの TLS Syslog リッスン ポートに送信される暗号化イベントを受信するように、Syslog プロトコルを使用して複数のログ ソースを設定できます。

手記:

ほとんどのTLS対応クライアントでは、サーバーの接続を認証するために、ターゲットサーバーまたはリスナーの公開証明書が必要です。デフォルトでは、TLS Syslog ログ・ソースは、ログ・ソースが割り当てられているターゲット・イベント・コレクター/opt/qradar/conf/trusted_certificates/syslog-tls.cert という名前の証明書を生成します。この証明書ファイルは、TLS 接続を確立しているすべてのクライアントにコピーする必要があります。

TLS Syslog 経由でログ・ソースを追加するには、 ログソースの追加に進みます。

手記:

ネットワーク内のデバイスごとにログ・ソースを追加する手順を繰り返す必要があります。「ログ・ソース」ウィンドウから、複数のレシーバー・ログ・ソースを一括で追加することもできます。 「バルク・ログ・ソースの追加」を参照してください。

UDP マルチライン Syslog プロトコルの設定オプション

複数行のイベントから単一行の syslog イベントを作成するには、UDP 複数行プロトコルを使用するようにログソースを設定します。UDP複数行syslogプロトコルは、正規表現を使用して複数行syslogメッセージを識別し、単一のイベントペイロードに再構成します。

UDP マルチライン syslog プロトコルは、インバウンド/パッシブ プロトコルです。元の複数行イベントには、正規表現がその値をキャプチャし、複数行イベントを構成する個々の syslog メッセージを識別して再構成するために、各行で繰り返される値が含まれている必要があります。たとえば、この複数行のイベントでは、conn フィールドに繰り返される値 2467222 が含まれています。このフィールド値は、conn=2467222 を含むすべての syslog メッセージが 1 つのイベントに結合されるようにキャプチャされます。

以下の表では、UDPマルチラインsyslogプロトコルのプロトコル固有のパラメーターについて説明します。

表 49: UDP マルチライン Syslog プロトコル パラメータ

パラメーター

形容

プロトコル設定

UDP 複数行 Syslog

リッスンポート

JSA が受信 UDP マルチライン Syslog イベントを受け入れるために使用するデフォルトのポート番号は 517 です。1 から 65535 の範囲の別のポートを使用できます。

保存済みの設定を編集して新しいポート番号を使用するには、以下のステップを実行します。

  1. [ リッスン ポート(Listen Port )] フィールドに、UDP マルチライン Syslog イベントを受信するための新しいポート番号を入力します。

  2. 保存」をクリックします。

  3. 「変更のデプロイ」をクリックして、この変更を有効にします。

ポートの更新が完了し、新しいポート番号でイベントの収集が開始されます。

メッセージ ID パターン

イベントペイロードメッセージをフィルタリングするために必要な正規表現(regex)。UDP 複数行イベント・メッセージには、イベント・メッセージの各行で繰り返される共通の識別値が含まれている必要があります。

イベントフォーマッタ

リスナーによって検出された受信ペイロードをフォーマットするイベントフォーマッタ。[ 書式設定なし ] を選択して、ペイロードはそのままにします。[ Cisco ACS Multiline ] を選択して、ペイロードを単一行イベントにフォーマットします。

ACS syslog ヘッダーには、total_seg フィールドと seg_num フィールドがあります。これら 2 つのフィールドは、[Cisco ACS Multiline] オプションを選択するときに、ACS マルチライン イベントを正しい順序で 1 行のイベントに再配置するために使用されます。

詳細オプションを表示

デフォルトは [いいえ] です。詳細オプションを構成する場合は、[ はい ] を選択します。

カスタムソース名を使用

このチェックボックスは、正規表現でソース名をカスタマイズする場合に選択します。

ソース名正規表現

このUDP複数行Syslog設定によって処理されるイベントのソースをJSAが決定する方法をカスタマイズする場合は、[ Source Name Regex ]パラメータと [Source Name Formatting String ]パラメータを使用します。

[Source Name Regex (ソース名の正規表現)] に、このプロトコルによって処理されるイベントペイロードから 1 つ以上の識別値をキャプチャするための正規表現を入力します。これらの値は、各イベントのソース値またはオリジン値を設定するために、ソース名の書式設定文字列と共に使用されます。このソース値は、「ゲートウェイとして使用」ログソースが有効な場合に、「ログソース ID 」値が一致するログ・ソースにイベントをルーティングするために使用されます。

ソース名の書式設定文字列

次の 1 つ以上の入力の組み合わせを使用して、このプロトコルによって処理されるイベント ペイロードのソース値を形成できます。

  • ソース名の正規表現からの 1 つ以上のキャプチャ グループ。キャプチャ グループを参照するには、\x 表記を使用します (x はソース名の正規表現からのキャプチャ グループのインデックスです)。

  • イベント データの送信元の IP アドレス。パケット IP を参照するには、トークン $PIP$ を使用します。

  • リテラル テキスト文字。ソース名の書式設定文字列全体は、ユーザー指定のテキストにすることができます。

たとえば、CiscoACS\1\2$PIP$ の場合、\1\2 は Source Name Regex 値の 1 番目と 2 番目のキャプチャ グループを意味し、$PIP$ はパケット IP です。

ゲートウェイ・ログ・ログソースとして使用

このチェック・ボックスがクリアされている場合、着信イベントは、発信元の IP と一致する ログソース ID を持つログ・ソースに送信されます。

オンにすると、このログ・ソースは、多数のソースからの複数行イベントがJSAに入り、ソースごとにUDP複数行Syslogログ・ソースを構成する必要なく、同じ方法で処理するための単一のエントリ・ポイントまたはゲートウェイとして機能します。RFC3164 または RFC5424 準拠の syslog ヘッダーを持つイベントは、ヘッダー内の IP またはホスト名から発信されたものとして識別されます。ただし、[ Source Name Formatting String ] パラメータが使用されている場合は、そのフォーマット文字列がイベントごとに評価されます。このようなイベントは、このキャプチャされた値に基づいてJSAを介してルーティングされます。

対応する ログソース ID を持つログ・ソースが 1 つ以上存在する場合、構成された構文解析順序に基づいてイベントが与えられます。ユーザーがイベントを受け入れない場合、または一致する ログソース ID を持つログ・ソースが存在しない場合、イベントは自動検出のために分析されます。

複数行のイベントを 1 行にフラット化

イベントを 1 行または複数行で表示します。このチェックボックスがオンの場合、すべての改行文字と復帰文字がイベントから削除されます。

イベントアグリゲーション中に行全体を保持

このオプションを選択すると、プロトコルが同じ ID パターンを持つイベントを連結するときに 、メッセージ ID パターン の前に来るイベントの部分が破棄または保持されます。

期限

イベントがイベントパイプラインにプッシュされる前に、追加の一致するペイロードを待機する秒数。デフォルトは 10 秒です。

有効

このチェック・ボックスを選択すると、ログ・ソースが使用可能になります。

信頼性

ログ・ソースの信頼性を選択します。範囲は 0 から 10 です。

信頼性は、ソース デバイスからの信頼性評価によって決定される、イベントまたは攻撃の整合性を示します。複数の情報源が同じイベントを報告すると、信頼性が高まります。デフォルトは 5 です。

ターゲット・イベント・コレクター

UDP マルチライン Syslog リスナーをホストするデプロイメント内の Event Collector を選択します。

イベントの合体

このチェック・ボックスを選択すると、ログ・ソースがイベントを結合 (バンドル) できるようになります。

デフォルトでは、自動的に検出されたログ・ソースは、 JSAのシステム設定から「合体イベント」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

ストア イベント ペイロード

このチェック・ボックスを選択すると、ログ・ソースがイベント・ペイロード情報を保管できるようになります。

デフォルトでは、自動的に検出されたログ・ソースは、JSAの「システム設定」から「ストア・イベント・ペイロード」リストの値を継承します。ログ・ソースを作成するとき、または既存の構成を編集するときに、ログ・ソースごとにこのオプションを構成することにより、デフォルト値をオーバーライドできます。

VMware vCloud Director プロトコル構成オプション

VMware vCloud Director 仮想環境からイベントを収集するには、アウトバウンド/アクティブ プロトコルである VMware vCloud Director プロトコルを使用するログ ソースを作成します。

次の表では、VMware vCloud Director プロトコルのプロトコル固有のパラメータについて説明します。

表 50:VMware vCloud Director プロトコル パラメータ

パラメーター

形容

ログソース識別子

ログ ソース名にスペースを含めることはできず、VMware vCloud Director プロトコルで構成されているこのタイプのすべてのログ ソース間で一意である必要があります。

プロトコル設定

VMware vCloud Director

vCloud URL

REST API にアクセスするために VMware vCloud アプライアンスで構成されている URL。この URL は、vCloud サーバの VCD パブリック REST API ベース URL フィールドとして構成されているアドレスと一致する必要があります。たとえば、 https:<my.vcloud.server>/api

ユーザー名

vCloud Server にリモートでアクセスするために必要なユーザー名。たとえば、 console/user@organizationです。

JSA で使用する読み取り専用アカウントを構成する場合は、「 コンソール アクセスのみ 」権限を持つ vCloud ユーザーを組織内に作成します。

パスワード

vCloud Server にリモートでアクセスするために必要なパスワード。

ポーリング間隔(秒)

新しいイベントについてvCloud サーバにクエリを実行する間隔。

デフォルトのポーリング間隔は 10 秒です。

EPSスロットル

1秒あたりの最大イベント数(EPS)。デフォルトは 5000 です。

詳細オプションの有効化

このオプションを有効にすると、さらに多くのパラメータを設定できます。

API ページサイズ

「拡張オプションの有効化」を選択すると、このパラメータが表示されます。

API コールごとに返されるレコードの数。最大値は 128 です。

レガシー vCloud SDK の有効化

「拡張オプションの有効化」を選択すると、このパラメータが表示されます。

vCloud 5.1 以前に接続するには、このオプションを有効にします。

vCloud API バージョン

[ 詳細オプションの有効化 ] を選択してから [レガシー vCloud SDK の有効化] を選択すると、このパラメータは表示されなくなります。

API 要求で使用される vCloud のバージョン。このバージョンは、vCloud インストールと互換性のあるバージョンと一致する必要があります。

次の例を使用して、どのバージョンが vCloud インストールと互換性があるかを判断してください。

  • vCloud API 33.0(vCloud Director 10.0)

  • vCloud API 32.0(vCloud Director 9.7)

  • vCloud API 31.0(vCloud Director 9.5)

  • vCloud API 30.0(vCloud Director 9.1)

  • vCloud API 29.0(vCloud Director 9.0)

信頼されていない証明書を許可する

[ 詳細オプションの有効化 ] を選択してから [レガシー vCloud SDK の有効化] を選択すると、このパラメータは表示されなくなります。

vCloud 5.1 以降に接続する場合は、このオプションを有効にして、自己署名の信頼されていない証明書を許可する必要があります。

証明書は、PEM または DER でエンコードされたバイナリ形式でダウンロードし、.cert or .crt ファイル拡張子で /opt/qradar/conf/ trusted_certificates/ ディレクトリに配置する必要があります。

プロキシを使用

[ 詳細オプションの有効化 ] を選択してから [レガシー vCloud SDK の有効化] を選択すると、このパラメータは表示されなくなります。

プロキシを使用してサーバにアクセスする場合は、「 プロキシを使用」 チェックボックスを選択します。プロキシで認証が必要な場合は、[ プロキシ サーバー]、[プロキシ ポート]、[プロキシ ユーザー名]、および [プロキシ パスワード] フィールドを設定します。

プロキシが認証を必要としない場合は、[ プロキシ IP またはホスト名(Proxy IP or Hostname )] フィールドを設定します。

プロキシ IP またはホスト名

プロキシーを使用」を選択すると、このパラメーターが表示されます。

[ 詳細オプションの有効化 ] を選択してから [レガシー vCloud SDK の有効化] を選択すると、このパラメータは表示されなくなります。

プロキシ ポート

プロキシーを使用」を選択すると、このパラメーターが表示されます。

[ 詳細オプションの有効化 ] を選択してから [レガシー vCloud SDK の有効化] を選択すると、このパラメータは表示されなくなります。

プロキシとの通信に使用されるポート番号。デフォルトは 8080 です。

プロキシ ユーザー名

プロキシーを使用」を選択すると、このパラメーターが表示されます。

[ 詳細オプションの有効化 ] を選択してから [レガシー vCloud SDK の有効化] を選択すると、このパラメータは表示されなくなります。

プロキシ パスワード

プロキシーを使用」を選択すると、このパラメーターが表示されます。

[ 詳細オプションの有効化 ] を選択してから [レガシー vCloud SDK の有効化] を選択すると、このパラメータは表示されなくなります。