プロトコル設定オプション

ログ ソース タイプ

アカマイ コナ

プロトコル設定

Akamai Kona REST API

ホスト

ホスト値は、Akamai Luna Control CenterのSIEM OPEN APIプロビジョニング中に提供されます。ホストは、セキュリティ イベントをクエリーする適切な権限に関する情報を含む一意のベース URL です。値の一部にはシークレット クライアント情報が含まれているため、このパラメーターはパスワード フィールドです。

クライアント トークン

クライアント トークン は、2 つのセキュリティ パラメーターのいずれかです。このトークンは、 クライアントシークレット とペアでクライアント資格情報を作成します。このトークンは、Akamai SIEM OPEN APIをプロビジョニングした後に見つけることができます。

クライアント シークレット

クライアント シークレット は、2 つのセキュリティ パラメーターのいずれかです。このシークレットを クライアント トークン とペアにして、クライアントの資格情報を作成します。このトークンは、Akamai SIEM OPEN APIをプロビジョニングした後に見つけることができます。

アクセス トークン

アクセス トークン は、クライアント資格情報と共に使用されるセキュリティ パラメーターで、API クライアント アクセスを許可してセキュリティ イベントの取得を許可します。このトークンは、Akamai SIEM OPEN APIをプロビジョニングした後に見つけることができます。

セキュリティ設定 ID

セキュリティ設定ID は、セキュリティイベントを取得する各セキュリティ設定のIDです。このIDは、Akamai LunaポータルのSIEM統合セクションにあります。コンマ区切りのリストで複数の設定 ID を指定できます。例: configID1,configID2.

プロキシの使用

JSA がプロキシを使用して Amazon Web Service にアクセスする場合は、[プロキシの使用] を有効にします。

プロキシが認証を必要とする場合は、 プロキシサーバー、プロキシポート、プロキシユーザー名、 プロキシパスワード のフィールドを設定します。

プロキシが認証を必要としない場合は、 プロキシIP または ホスト名 フィールドを設定します。

サーバー証明書の自動取得

「 はい」 を選択すると、 サーバー 証明書が自動的にダウンロードされ、ターゲット・サーバーの信頼が開始されます。

再発

新しいイベントの Akamai SIEM API へのログ ソース クエリの間隔。時間間隔は、時間(H)、分(M)、または日(D)で指定できます。デフォルトは1分です。

EPS スロットル

1 秒あたりの最大イベント数。デフォルトは5000です。

プロトコル設定

Amazon AWS S3 REST API

ログ ソース識別子

ログ ソースの一意の名前を入力します。

ログ ソース識別子は任意の有効な値であり、特定のサーバーを参照する必要はありません。ログ ソース識別子は、ログ ソース名と同じ値を使用できます。複数の Amazon AWS CloudTrail ログソースが設定されている場合は、最初のログソースを 、 2 番目のログソースawscloudtrail1を 、 として、3 番目のログソースawscloudtrail2を としてawscloudtrail3識別することができます。

認証方法

• アクセスキーID/秘密鍵 – どこからでも使用できる標準認証。

• EC2 インスタンス IAM ロール - AWS EC2 インスタンスでマネージド ホストが実行されている場合、このオプションを選択すると、認証用にインスタンスに割り当てられたインスタンスメタデータの IAM ロールが使用されます。キーは不要です。このメソッドは、AWS EC2 コンテナ内で実行されているマネージドホストでのみ機能します。

アクセスキー

AWS ユーザー アカウントのセキュリティ認証情報を設定したときに生成されたアクセス キー ID

[アクセス キー ID/ シークレット キー] または [IAM ロールの引き受け] を選択した場合は、アクセス キー パラメーターが表示されます。

秘密鍵

AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成された秘密鍵。

[アクセス キー ID/ シークレット キー] または [IAM ロールの引き受け] を選択した場合は、[シークレット キー] パラメーターが表示されます。

IAM ロールを想定する

アクセスキーまたは EC2 インスタンスの IAM ロールで認証し、このオプションを有効にします。その後、アクセス用の IAM ロールを一時的に引き受けることができます。

ロール ARN の引き受け

想定するロールの完全な ARN。「arn:」で始まる必要があり、先頭または末尾に空白、または ARN 内のスペースを含めることはできません。

[IAM ロールの引き受け] を有効にした場合は、[ロールの ARN を想定] パラメーターが表示されます。

ロールセッション名の引き受け

想定するロールのセッション名。デフォルトは QRadarAWSession です。変更する必要がない場合は、デフォルトのままにします。このパラメーターには、大文字と小文字の英数字、アンダースコア、または次のいずれかの文字のみを含めることができます。=,.@-

[IAM ロールの引き受け] を有効にした場合は、[ロールセッション名の引き受け] パラメーターが表示されます。

イベント形式

AWS Cloud Trail JSON

AWSネットワークファイアウォール

AWS VPC フローログ

Cisco Umbrella CSB

ラインバイライン

W3c

地域名

SQS キューまたは AWS S3 バケットがあるリージョン。

Example: us-east-1, eu-west-1, ap-northeast-3

ゲートウェイ ログ ソースとして使用

収集されたイベントが JSA トラフィック分析エンジンを通過する場合と、1 つ以上のログ ソースを自動的に検出する JSA の場合は、このオプションを選択します。

詳細オプションを表示

イベント データをカスタマイズする場合は、このオプションを選択します。

ファイル パターン

このオプションは、[ 高度なオプションを表示 ] を [はい] に設定した場合に使用できます。

プルするファイルと一致するファイルパターンの正規表現を入力します。例えば、 .*?\.json\.gz

ローカル ディレクトリ

このオプションは、[ 高度なオプションを表示 ] を [はい] に設定した場合に使用できます。

ターゲット イベント コレクターのローカル ディレクトリ。AWS S3 REST API プロトコルがイベントの取得を試みる前に、ディレクトリが存在している必要があります。

S3 エンドポイント URL

このオプションは、[ 高度なオプションを表示 ] を [はい] に設定した場合に使用できます。

AWS S3 REST API のクエリーに使用されるエンドポイント URL。

エンドポイントの URL がデフォルトと異なる場合は、エンドポイント URL を入力します。デフォルトは https:// s3.amazonaws.com

S3 パススタイル アクセスを使用する

S3 リクエストにパススタイルのアクセスを強制します。

この方法は AWS では非推奨です。ただし、他の S3 対応 API を使用する場合は必須となる場合があります。

プロキシの使用

JSA がプロキシを使用して Amazon Web Service にアクセスする場合は、[プロキシの使用] を有効にします。

プロキシが認証を必要とする場合は、 プロキシサーバー、プロキシポート、プロキシユーザー名、 プロキシパスワード のフィールドを設定します。

プロキシに認証が必要ない場合は、[ プロキシIPまたはホスト名 ]フィールドを設定します。

再発

新しいデータをスキャンするポーリングが行われる頻度。

SQS イベント収集方法を使用する場合、 SQS イベント通知 の最小値は 10 (秒) です。SQS キュー のポーリングは頻繁に行われることがあるため、より低い値を使用できます。

ディレクトリ プレフィックス イベント収集方法を使用する場合、 特定のプレフィックスを使用 するの最小値は 60(秒)または 1M です。AWS S3 バケットに対するすべての listBucket リクエストはバケットを所有するアカウントにコストが発生するため、繰り返し値が小さいとコストが増加します。

時間の間隔を入力して、新しいイベント ログ ファイルに対してリモート ディレクトリをスキャンする頻度を指定します。最小値は 1 分です。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H = 2 時間、15 M = 15 分です。

EPS スロットル

フロー パイプラインに送信される 1 秒あたりの最大イベント数。デフォルトは5000です。

EPS スロットル値が受信レートよりも高いか、データ処理が遅れる可能性があることを確認します。

S3 収集方法

[特定のプレフィックスを使用する] を選択します。

バケット名

ログファイルが保存される AWS S3 バケットの名前。

ディレクトリプレフィックス

CloudTrail ログが取得される AWS S3 バケットのルートディレクトリの場所。たとえば、 AWSLogs/<AccountNumber>/CloudTrial/<RegionName>/

バケットのルートディレクトリからファイルをプルするには、 ディレクトリプレフィックス ファイルパスにフォワードスラッシュ(/)を使用する必要があります。

S3 収集方法

SQSイベント通知を選択します。

SQS キュー URL

S3 からオブジェクト作成イベントの通知を受信するように設定された SQS キューの 、 で始まる完全な URL。

メーカー

アマゾン

DSM 名

カスタム ログ ソース タイプ

RPM ファイル名

AWS S3 REST API PROTOCOL

サポートされているバージョン

フロー ログ v5

プロトコル

AWS S3 REST API PROTOCOL

イベント形式

JSA フロー ソースを使用した IPFIX

記録されたイベントタイプ

ネットワーク フロー

自動的に検出されましたか?

いいえ

アイデンティティが含まれますか?

いいえ

カスタム プロパティを含む

いいえ

詳細

(https:// docs.aws.amazon.com/vpc/latest/userguide/flowlogs. html)

プロトコル設定

プロトコル設定リストから Amazon Web Services を選択します。

認証方法

• アクセスキーID/秘密鍵 —どこからでも使用できる標準的な認証。

• EC2 インスタンス IAM ロール — JSA マネージド ホストが AWS EC2 インスタンスで実行されている場合、このオプションを選択すると、認証用にインスタンスに割り当てられたメタデータから IAM ロールが使用されます。キーは不要です。このメソッドは、AWS EC2 コンテナ内で実行されているマネージドホストでのみ機能します。

アクセスキー

AWS ユーザー アカウントのセキュリティ認証情報を設定したときに生成されたアクセス キー ID。

[アクセス キー ID/ シークレット キー] を選択した場合、[アクセス キー] パラメーターが表示されます。

秘密鍵

AWS ユーザーアカウントのセキュリティ認証情報を設定したときに生成された秘密鍵。

[アクセス キー ID/ シークレット キー] を選択した場合、[アクセス キー] パラメーターが表示されます。

地域

ログを収集する Amazon Web Service に関連付けられている各リージョンのチェック ボックスをオンにします。

その他の地域

ログを収集する Amazon Web Service に関連付けられている追加のリージョンの名前を入力します。複数の地域から収集するには、次の例に示すように、コンマ区切りリストを使用します。 region1,region2

AWS サービス

Amazon Web Service の名前。 [AWS サービス ] リストから [ CloudWatch Logs] を選択します。

ログ グループ

ログを収集する Amazon CloudWatch のログ グループの名前。

ログ ストリーム (オプション)

ログ グループ内のログ ストリームの名前。ログ グループ内のすべてのログ ストリームからログを収集する場合は、このフィールドは空白のままにします。

フィルター パターン (オプション)

収集されたイベントをフィルタリングするためのパターンを入力します。このパターンは正規表現フィルターではありません。指定した正確な値を含むイベントのみが CloudWatch ログから収集されます。[フィルター パターン] の値として ACCEPT と入力すると、次の例に示すように ACCEPT という単語を含むイベントのみが収集されます。

{LogStreamName: LogStreamTest,Timestamp: 0,
Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

元のイベントを抽出

CloudWatch ログに追加された元のイベントのみを JSA に転送するには、このオプションを選択します。

CloudWatch ログは、受信したイベントを追加のメタデータでラップします。

元のイベントは、CloudWatch ログから抽出されたメッセージ キーの値です。次の CloudWatch ログイベントの例では、CloudWatch ログから抽出された元のイベントが太字テキストで表示されます。

{"owner":"123456789012","subscriptionFilters":
["allEvents"],"logEvents":
[{"id":"35093963143971327215510178578576502306458824699048362100","mes
sage":"{\"eventVersion\":\"1.05\",\"userIdentity\":
{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test
_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role/
CVDevABRoleToBeAssumed/
test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId
\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":
{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\
"arn:aws:iam::123456789012:role/
CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\
"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":
{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54
Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudt
rail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"
apnortheast-
1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":
null,\"responseElements\":null,\"requestID\":\"41e62e80-
b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-
f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipi
entAccountId\":\"123456789012\"}","timestamp":1573667733143}],"message
Type":"DATA_MESSAGE","logGroup":"CloudTrail/
DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}

ゲートウェイログソースとして使用

イベントのカスタム ログ ソース識別子を定義しない場合は、このチェック ボックスがオフになっていることを確認します。

ログ ソース識別子パターン

[ ゲートウェイログソースとして使用]を選択した場合は、このオプションを使用して、処理されるイベントのカスタムログソース識別子を定義します。

キーと値のペアを使用してカスタムログソース識別子を定義します。キーは、結果として得られるソースまたは送信元値である識別子フォーマット文字列です。値は、現在のペイロードを評価するために使用される関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。

新しい行に各パターンを入力して、複数のキーと値のペアを定義します。複数のパターンがリストされた順序で評価されます。一致するものが見つかった場合は、カスタムのログ ソース識別子が表示されます。

次の例では、複数のキーと値のペア関数を示します。

• パターン - VPC=sREJECT\sFAILURE

  $1=\s(REJECT)\sOK

  VPC-$1-$2=\s(ACCEPT)\s(OK)

• イベント - {LogStreamName: LogStreamTest,タイムスタンプ: 0,メッセージ: ACCEPT OK,取り込み所要時間:0,EventId: 0}

• 結果として得られるカスタム ログ ソース識別子 -

  VPC-ACCEPT-OK

プロキシの使用

JSA がプロキシを使用して Amazon Web Service にアクセスする場合は、このオプションを選択します。

プロキシが認証を必要とする場合は、 プロキシサーバー、プロキシポート、プロキシユーザー名、 プロキシパスワード のフィールドを設定します。プロキシに認証が必要ない場合は、[ プロキシ サーバー] フィールドと [ プロキシ ポート] フィールドを構成します。

サーバー証明書の自動取得

「 はい」 を選択すると、 サーバー 証明書が自動的にダウンロードされ、ターゲット・サーバーの信頼が開始されます。

このオプションを使用して、新しく作成したログ ソースを初期化して証明書を取得したり、期限切れになった証明書を置き換えたりすることができます。

EPS スロットル

1 秒あたりのイベントの最大数(EPS)の上限。デフォルトは5000です。

[ゲートウェイログソースとして使用]オプションが選択されている場合、この値はオプションです。

EPS スロットル パラメーター値が空白の場合、 JSA によって EPS 制限は課されません。

ブートストラップ サーバー リスト

<hostname/ip>:<port>ブートストラップサーバー(またはサーバー)です。この例のように、複数のサーバーをコンマ区切りリストで指定できます。hostname1:9092,10.1.1.1:9092

コンシューマ グループ

このログ ソースが属するコンシューマ グループを識別する一意の文字列またはラベル。

Kafka トピックにパブリッシュされる各レコードは、各サブスクライブしているコンシューマ グループ内の 1 つのコンシューマ インスタンスに配信されます。Kafkaは、これらのラベルを使用して、グループ内のすべてのコンシューマインスタンス上でレコードの負荷分散を行います。

トピックサブスクリプションの方法

Kafkaトピックのサブスクライブに使用される方法。 [トピックのリスト] オプションを使用して、特定のトピックのリストを指定します。 正規表現パターンマッチング オプションを使用して、利用可能なトピックと一致させる正規表現を指定します。

トピックリスト

購読するトピック名のリスト。このリストはコンマ区切りで指定する必要があります。例: Topic1,Topic2,Topic3.

このオプションは、[トピックのサブスクリプション方法] オプションで [トピックの一覧] が選択されている場合にのみ表示されます。

トピック フィルター パターン

購読するトピックに一致する正規表現。

このオプションは、[トピックサブスクリプション方法]オプションに[正規表現パターンマッチング]が選択されている場合にのみ表示されます。

SASL 認証の使用

このオプションは、SASL 認証設定オプションを表示します。

クライアント認証なしで使用する場合は、 ディレクトリにサーバー証明書のコピーを配置する /opt/qradar/conf/ trusted_certificates/ 必要があります。

クライアント認証を使用する

クライアント認証設定オプションを表示します。

/キーストア/トラストストアタイプ

鍵ストアとトラストストア・タイプのアーカイブ・ファイル形式。アーカイブ・ファイル形式では、以下のオプションを使用できます。

• Jks

• PKCS12

Trust Storeファイル名

トラストストア ファイルの名前。トラストストアは 、/opt/qradar/conf/trusted_certificates/kafka/ に配置する必要があります。

ファイルには、ユーザー名とパスワードが含まれています。

鍵ストアファイル名

鍵ストア・ファイルの名前。鍵ストアは /opt/qradar/conf/trusted_certificates/kafka/ に配置する必要があります。

ファイルには、ユーザー名とパスワードが含まれています。

ゲートウェイログソースとして使用

このオプションを使用すると、収集されたイベントが JSA トラフィック分析エンジンを通過し、適切なログ ソースを自動的に検出できます。

ログ ソース識別子パターン

「ゲートウェイ・ログ・ソースとして使用」チェックボックスが選択されている場合に、処理されるイベントのカスタム ・ログ・ソース ID を定義します。

キーと値のペアは、カスタムログソース識別子を定義するために使用されます。キーは、結果として得られるソースまたは送信元値である識別子フォーマット文字列です。値は、現在のペイロードを評価するために使用される関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。

複数のキーと値のペアは、新しい行に各パターンを入力することで定義されます。複数のパターンがリストされた順序で評価されます。一致するものが見つかった場合は、カスタムのログ ソース識別子が表示されます。

次の例では、複数のキーと値のペア関数を示します。

パターン

1. VPC=\sREJECT\sFAILURE

2. $1=\s(REJECT)\sOK

3. VPC-$1-$2=\s(ACCEPT)\s(OK)

イベント

1. {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

結果として生成されるカスタム ログ ソース識別子

1. VPC-ACCEPT-OK

文字シーケンス置換

イベント ペイロード内の特定のリテラル文字シーケンスを実際の文字に置き換えます。以下のオプションのうち、1 つ以上を使用できます。

• 改行(CR LF)文字(\r\n)

• 改行文字(\n)

• キャリッジ リターン文字(\r)

• タブ文字(\t)

• スペース文字(\s)

EPS スロットル

1 秒あたりのイベントの最大数(EPS)。フィールドが空の場合、調整は適用されません。

API ユーザー名

Blue Coat Web Security サービスでの認証に使用される API ユーザー名。APIユーザー名は、Blue Coat Threat Pulseポータルを介して設定されます。

パスワード

Blue Coat Web Security サービスでの認証に使用されるパスワード。

パスワードの確認

パスワード フィールドの確認。

プロキシの使用

プロキシを設定すると、ログソースのすべてのトラフィックが JSA のプロキシを経由してブルーコートWebセキュリティサービスにアクセスします。

プロキシIPまたはホスト名、プロキシポート、プロキシユーザー名、プロキシパスワードのフィールドを設定します。プロキシに認証が必要ない場合は、[プロキシ ユーザー名] フィールドと [プロキシ パスワード] フィールドを空白のままにします。

再発

ログがデータを収集するタイミングを指定できます。M/H/D の形式は月/時間/日です。デフォルトは 5 M です。

EPS スロットル

1 秒あたりのイベントの最大数(EPS)の上限。デフォルトは5000です。

ログ ソース タイプ

Centrify Identity Platform

プロトコル設定

Centrify Redrock REST API

ログ ソース識別子

ログ ソースの一意の名前。

ログ ソース識別子は任意の有効な値であり、特定のサーバーを参照する必要はありません。ログ ソース識別子は、 ログ ソース名と同じ値を使用できます。複数の Centrify Identity Platform ログ ソースが構成されている場合は、最初のログ ソースを 、2 番目のログ ソース centrify1を 、 、3 番目のログ ソース centrify2を として centrify3識別することができます。

テナントID

Centrifyは、一意の顧客またはテナントIDを割り当てしました。

テナントURL

指定されたテナント ID のテナント URL を自動生成します。例えば tenantId.my.centrify.com

名

Centrify Identity Platform のクラウド サービスに関連付けられたユーザー名。

パスワード

Centrify Identity Platform ユーザー名に関連付けられたパスワード。

イベント ログ フィルター

取得するイベントのログ レベルを選択します。情報、警告、エラーは選択可能です。少なくとも 1 つのフィルターを選択する必要があります。

信頼できない証明書の許可

自己署名証明書、信頼できない証明書を許可するには、このオプションを有効にします。SaaSでホストされたテナントでは、このオプションを有効にしないでください。ただし、必要に応じて、他のテナント設定でこのオプションを有効にできます。

証明書は PEM または DER でエンコードされたバイナリ形式でダウンロードし、.cert または .crt ファイル拡張子を持つ /opt/ qradar/conf/trusted_certificates/ ディレクトリーに配置する必要があります。

プロキシの使用

プロキシが設定されると、Centrify Redrock REST API からのすべてのトラフィックがプロキシを通過します。

プロキシサーバー、プロキシポート、プロキシユーザー名、プロキシパスワードの各フィールドを設定します。プロキシに認証が必要ない場合は、[プロキシ ユーザー名] フィールドと [プロキシ パスワード] フィールドを空白のままにします。

EPS スロットル

1 秒あたりの最大イベント数。デフォルトは5000です。

再発

時間間隔は、時間(H)、分(M)、または日(D)で指定できます。デフォルトは5分(5M)です。

プロトコル設定

Cisco Firepower eStreamer

サーバー ポート

Cisco Firepower eStreamer サービスが 上の接続要求を受け入れるよう設定されているポート番号。

JSA が Cisco Firepower eStreamer に使用するデフォルト ポートは 8302 です。

鍵ストアファイル名

鍵ストア秘密鍵と関連証明書のディレクトリー・パスとファイル名。デフォルトでは、インポートスクリプトは /opt/qradar/conf/estreamer.鍵ストアの鍵ストアファイルを以下のディレクトリに作成します。

Truststoreファイル名

truststore ファイルのディレクトリ パスとファイル名。truststore ファイルには、クライアントから信頼されている証明書が含まれています。デフォルトでは、インポート スクリプトは 、/opt/qradar/conf/estreamer.truststore のディレクトリに truststore ファイルを作成します。

追加データのリクエスト

Cisco Firepower Management Center に余分なデータを要求する場合は、このオプションを選択します。たとえば、追加データにはイベントの元の IP アドレスが含まれます。

ドメイン

イベントのストリーミング元のドメイン。

[ドメイン] フィールドの値は、完全修飾ドメインである必要があります。つまり、目的のドメインのすべての先祖がトップレベル ドメインから始まり、イベントをリクエストするリーフ ドメインで終わる必要があります。

例：

グローバルはトップレベルドメインであり、Bはグローバルのサブドメインである第2レベルドメインであり、Cは第3レベルのドメインであり、Bのサブドメインであるリーフドメインです。C からイベントをリクエストするには、 Domain パラメーターに以下の値を入力します。

Global \ B \ C

プロトコル設定

Cisco NSEL

ログ ソース識別子

管理コンソールに接続されたデバイスがネットワークに含まれている場合、イベントを作成した個々のデバイスのIPアドレスを指定できます。IP アドレスなど、それぞれ固有の識別子により、イベント検索によってすべてのイベントの送信元として管理コンソールが識別されません。

コレクター ポート

Cisco ASA が NSEL イベントの転送に使用する UDP ポート番号。 JSA は、 JSA フロー プロセッサーのフロー データにポート 2055 を使用します。NetFlow向けCisco Adaptive Security Applianceに異なるUDPポートを割り当てる必要があります。

プロトコル設定

EMC VMware

ログ ソース識別子

このパラメーターの値は 、VMware IP パラメーターと一致する必要があります。

VMware IP

VMWare ESXi サーバーの IP アドレス。VMware プロトコルは、プロトコルがイベント データを要求する前に、VMware ESXi サーバーの IP アドレスを HTTPS に追加します。

サービス アカウントの資格情報の種類

必要なサービス アカウント資格情報の取得元を指定します。

関連するサービス アカウントに 、Pub/Sub Subscriber ロールまたは特定の pubsub.subscriptions.consume 権限があることを確認します。GCP で構成された サブスクリプション名 に対する権限を使用します。

ユーザー管理キー

ダウンロードしたサービスアカウントキーから JSON の全文を入力し、「サービスアカウントキー」フィールドに入力します。

GCP マネージド キー

JSA マネージド ホストが GCP コンピューティング インスタンスで実行されており、クラウド API アクセス スコープに Cloud Pub/Sub が含まれている必要があります。

サブスクリプション名

Cloud Pub/Subサブスクリプションの正式名称。たとえば、 プロジェクト/my-project/subscriptions/my-subscriptionです。

ゲートウェイログソースとして使用

収集されたイベントが JSA トラフィック分析エンジンを通過する場合と、1 つ以上のログ ソースを自動的に検出する JSA の場合は、このオプションを選択します。

このオプションを選択すると、 オプションでログ ソース識別子 パターンを使用して、処理されるイベントのカスタム ログ ソース識別子 を定義できます。

ログ ソース識別子パターン

[ゲートウェイログソースとして使用]オプションを選択した場合は、このオプションを使用して、処理されるイベントのカスタムログソース識別子を定義します。ログ ソース識別子パターンが構成されていない場合、JSA は未知の汎用ログ ソースとしてイベントを受信します。

ログ ソース識別子パターン フィールドは、key=value などのキーと値のペアを受け入れ、処理されるイベントと、該当する場合にログ ソースを自動的に検出するカスタム ログ ソース識別子を定義します。キーは、結果の送信元または送信元値である識別子フォーマット文字列です。Value は、現在のペイロードを評価するために使用される関連付けられた正規表現パターンです。値(正規表現パターン)は、キー(識別子フォーマット文字列)をさらにカスタマイズするために使用できるキャプチャグループもサポートしています。

複数のキーと値のペアは、新しい行に各パターンを入力することで定義できます。複数のパターンを使用する場合、一致が見つかるまで順番に評価されます。一致するものが見つかった場合は、カスタムのログ ソース識別子が表示されます。

次の例は、複数のキーと値のペアの機能を示しています。

パターン

VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

イベント

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

結果として生成されるカスタム ログ ソース識別子

VPC-ACCEPT-OK

プロキシの使用

プロキシを使用して GCP に接続する JSA の場合は、このオプションを選択します。

プロキシが認証を必要とする場合は、プロキシサーバー、プロキシポート、プロキシユーザー名、プロキシパスワードのフィールドを設定します。

プロキシに認証が必要ない場合は、[ プロキシ サーバー] フィールドと [ プロキシ ポート] フィールドを構成します。

プロキシIPまたはホスト名

プロキシ サーバーの IP またはホスト名。

プロキシ ポート

プロキシ サーバーとの通信に使用されるポート番号。

デフォルトは8080です。

プロキシ ユーザー名

プロキシが認証を必要とする場合にのみ必要です。

プロキシ パスワード

プロキシが認証を必要とする場合にのみ必要です。

EPS スロットル

このログ ソースが 1 秒あたりのイベント数(EPS)の上限を超えてはなりません。デフォルトは5000です。

[ゲートウェイログソースとして使用]オプションが選択されている場合、この値はオプションです。

EPS スロットル パラメーター値が空白の場合、JSA によって EPS 制限は課されません。

ログ ソース識別子

ログ ソースの一意の名前を入力します。

ログ ソース識別子は任意の有効な値であり、特定のサーバーを参照する必要はありません。ログ ソース識別子は、ログ ソース名と同じ値を使用できます。複数の Google G Suite ログ ソースが構成されている場合は、一意の識別子を作成できます。例えば、最初のログ・ソースを 、 2 番目のログ・ソースを googlegsuite1、 として googlegsuite2、3 番目のログ・ソースを として googlegsuite3識別することができます。

ユーザー アカウント

レポート権限を持つ Google ユーザー アカウント。

サービス アカウントの資格情報

イベントの取得のために Google の API へのアクセスを許可します。 サービス アカウント認証情報 は、Google Cloud Platform で新しいサービス アカウントを作成するときにダウンロードする JSON 形式のファイルに含まれています。

プロキシの使用

JSA がプロキシを使用して Google G Suite にアクセスする場合は、このオプションを有効にします。

プロキシが認証を必要とする場合は、 プロキシサーバー、プロキシポート、プロキシユーザー名、 プロキシパスワード のフィールドを設定します。

プロキシに認証が必要ない場合は、[ プロキシ サーバー] フィールドと [ プロキシ ポート] フィールドを構成します。

再発

新しいイベントのソース クエリを Google G Suite アクティビティ レポート API にログに記録するまでの時間。時間間隔は、時間(H)、分(M)、または日(D)で指定できます。

デフォルトは5分です。

EPS スロットル

1 秒あたりの最大イベント数。

イベントの遅延

データ収集の遅延(秒単位)。

Google G Suite は最終的な配信システムでログを記録します。データを見逃さないよう、遅延に基づいてログを収集します。

デフォルトの遅延は7200秒(2時間)で、0秒に設定できます。

プロトコル設定

リストから、 HTTP レシーバーを選択します。

ログ ソース識別子

デバイスを識別するためのIPアドレス、ホスト名、または任意の名前。

ログソースタイプに対して一意である必要があります。

通信タイプ

HTTP、HTTPs、または HTTPs とクライアント認証を選択します。

クライアント証明書パス

通信タイプとして HTTPs とクライアント認証 を選択した場合、クライアント証明書への絶対パスを設定する必要があります。ログ ソースの JSA コンソール または イベント コレクター にクライアント証明書をコピーする必要があります。

TLS バージョン

このプロトコルで使用できる TLS のバージョン。最もセキュアなバージョンを使用するには、 TLSv1.2 オプションを選択します。

複数の使用可能なバージョンのオプションを選択すると、HTTPS 接続はクライアントとサーバーの両方で利用可能な最高バージョンをネゴシエートします。

リッスン ポート

JSA が受信 HTTP レシーバー イベントを受け入れるのに使用するポート。デフォルトポートは12469です。

メッセージ パターン

デフォルトでは、HTTP POST 全体が 1 つのイベントとして処理されます。POST を複数の 1 行のイベントに分割するには、各イベントの開始を示す正規表現を指定します。

ゲートウェイログソースとして使用

収集されたイベントが JSA トラフィック分析エンジンを通過する場合と、1 つ以上のログ ソースを自動的に検出する JSA の場合は、このオプションを選択します。

最大ペイロード長(バイト)

1 つのイベントの最大ペイロード サイズ(バイト単位)ペイロード サイズがこの値を超えると、イベントが分割されます。

デフォルト値は8192で、32767を超えてはなりません。

最大 POST メソッド要求長(MB)

POST メソッドの要求本文の最大サイズ(MB)。POST 要求本文サイズがこの値を超えると、HTTP 413 ステータス コードが返されます。

デフォルト値は5で、10より大きくすることはできません。

EPS スロットル

このプロトコルを超えないようにする 1 秒あたりのイベントの最大数(EPS)。デフォルトは5000です。

ソース名のログ

ログ ソースの一意の名前を入力します。

ソースの説明のログ (オプション)

ログ ソースの説明を入力します。

ログ ソース タイプ

「 ログ・ソース・タイプ 」リストから、JDBC プロトコルを使用するデバイス・サポート・モジュール (DSM) を選択します。

プロトコル設定

Jdbc

ログ ソース識別子

ログ ソースの名前を入力します。名前にスペースを含めることはできません。また、JDBC プロトコルを使用するように構成されているログ・ソース・タイプのすべてのログ・ソース間で固有でなければなりません。

ログソースが静的IPアドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集する場合、アプライアンスのIPアドレスまたはホスト名を ログソース識別子 の値の全部または一部として使用します。例えば、192.168.1.1 または JDBC192.168.1.1 です。ログ ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集しない場合、ログ ソース識別子の値には任意の一意の名前を使用できます。例えば、JDBC1、JDBC2 などです。

データベースタイプ

イベントを含むデータベースのタイプを選択します。

データベース名

接続するデータベースの名前。

IP またはホスト名

データベース サーバーの IP アドレスまたはホスト名。

ポート

JDBC ポートを入力します。JDBC ポートは、リモート・データベース上で構成された listen ポートと一致している必要があります。データベースは、受信TCP接続を許可する必要があります。データベースは、受信TCP接続を許可する必要があります。有効な範囲は1~65535です。

デフォルトは次のとおりです。

• MSDE - 1433

• Postgres - 5432

• MySQL - 3306

• Sybase - 5000

• Oracle - 1521

• Informix - 9088

• Db2 - 50000

MSDE データベース タイプでデータベース インスタンスを使用する場合、管理者はログ ソース構成でポート パラメーターを空白のままにする必要があります。

名

データベース内の JSA のユーザー アカウント。

パスワード

データベースへの接続に必要なパスワード。

パスワードの確認

データベースへの接続に必要なパスワード。

認証ドメイン (MSDEのみ)

[ Microsoft JDBC を使用 ] を選択していない場合は、認証ドメインが表示されます。

Windows ドメインである MSDE のドメイン。ネットワークでドメインを使用していない場合は、このフィールドは空白のままにします。

データベース インスタンス (MSDE または Informix のみ)

必要に応じて、データベース インスタンスを指定します。MSDE データベースには、1 つのサーバー上に複数の SQL サーバー インスタンスを含めることができます。

標準以外のポートをデータベースに使用する場合、または SQL データベースを解決するためにポート 1434 へのアクセスをブロックする場合、ログ ソース構成で データベース インスタンス パラメーターを空白にする必要があります。

事前定義されたクエリー (オプション)

ログ ソースに対して定義済みのデータベース クエリを選択します。ログ ソース タイプに対して定義済みクエリを使用できない場合、管理者は [なし] を選択できます。

表名

イベント レコードを含むテーブルまたはビューの名前。テーブル名には、ドル記号($)、数字記号 (#)、アンダースコア(_)、en ダッシュ(-)、ピリオド(.)の特殊文字を使用できます。

リストを選択

イベントに対してテーブルをポーリングするときに含めるフィールドのリスト。カンマ区切りのリストを使用するか、アスタリスク(*)を入力して、テーブルまたはビューからすべてのフィールドを選択できます。コンマ区切りリストが定義されている場合、リストには「 比較フィールド」で定義されているフィールドを含む必要があります。

フィールドの比較

クエリ間のテーブルに追加される新しいイベントを識別する、テーブルまたはビューからの数値またはタイムスタンプフィールド。プロトコルで事前にポーリングされたイベントを識別して、重複するイベントが作成されないようにできます。

準備されたステートメントを使用する

準備済みステートメントを使用すると、JDBC プロトコル・ソースが SQL ステートメントをセットアップしてから、さまざまなパラメーターを使用して SQL ステートメントを何回も実行できます。セキュリティーおよびパフォーマンス上の理由から、ほとんどの JDBC プロトコル構成では、準備済みステートメントを使用できます。

開始日と時刻 (オプション)

データベースポーリングの開始日時を選択または入力します。yyyy-mm-dd HH:mm で、HH は 24 時間クロックを使用して指定します。

このパラメータが空の場合、ポーリングは直ちに開始され、指定されたポーリング間隔で繰り返されます。

このパラメーターは、プロトコルがターゲット データベースに接続してイベント収集を初期化する時間と日付を設定するために使用されます。これは、[ ポーリング間隔] パラメーターと共に使用して、データベースポーリングの特定のスケジュールを設定できます。たとえば、アンケートが 1 時間ごと、1 時間ごとに 5 分前に確実に行われるようにしたり、ポーリングが毎日午前 1 時 00 分に正確に行われるようにしたりします。

このパラメータを使用して、ターゲットデータベースから古いテーブル行を取得することはできません。たとえば、 パラメーターを Last Week に設定した場合、プロトコルは前の週からすべてのテーブル行を取得しません。プロトコルは、最初の接続で比較フィールドの最大値よりも新しい行を取得 します 。

ポーリング間隔

イベント テーブルへのクエリの間隔を入力します。より長いポーリング間隔を定義するには、時間の H を、分の場合は M を数値に追加します。

最大ポーリング間隔は1週間です。

EPS スロットル

このプロトコルを超えないようにする 1 秒あたりのイベント数(EPS)。有効な範囲は 100~ 20,000 です。

セキュリティ メカニズム (Db2 のみ)

リストから、Db2 サーバーでサポートされているセキュリティー・メカニズムを選択します。セキュリティ メカニズムを選択しない場合は、[なし] を選択 します。

デフォルトは 「なし」です。

Db2 環境でサポートされているセキュリティー・メカニズムの詳細については、 https://support.juniper.net/support/downloads/ を参照してください。

名前付きパイプ通信を使用 (MSDEのみ)

「Microsoft JDBC を使用」を選択していない場合は 、「名前付きパイプ通信を使用 する」が表示されます。

MSDE データベースでは、データベースのユーザー名とパスワードではなく、Windows 認証ユーザー名とパスワードを使用するためにユーザー名とパスワード フィールドが必要です。ログ ソース設定では、MSDE データベースでデフォルトの名前付きパイプを使用する必要があります。

データベース クラスタ名 (MSDE のみ)

[ 名前付きパイプ通信を使用]を選択した場合は、[ 名前付きパイプ通信を使用 ]パラメータが表示されます。

クラスター環境で SQL サーバーを実行している場合は、クラスター名を定義して、名前付きパイプ通信機能が正しく機能するようにしてください。

NTLMv2 を使用 する(MSDE のみ)

[Microsoft JDBC を使用] を選択していない場合は 、「NTLMv2 を使用する」 と表示されます。

NTLMv2 認証が必要な SQL サーバーと通信するときに、MSDE 接続で NTLMv2 プロトコルを使用する場合は、このオプションを選択します。このオプションは、NTLMv2 認証を必要としない MSDE 接続の通信を中断しません。

NTLMv2 認証を必要としない MSDE 接続の通信を中断しません。

Microsoft JDBC を使用 する(MSDE のみ)

Microsoft JDBC ドライバーを使用する場合は、「Microsoft JDBC を 使用」を有効にする必要があります。

SSL を使用 (MSDE のみ)

接続で SSL がサポートされている場合は、このオプションを選択します。このオプションは、MSDE の場合のみ表示されます。

SSL 証明書ホスト名

このフィールドは、「 Microsoft JDBC を使用 」と「 SSL を使用 」の両方が有効になっている場合に必要です。

この値は、ホストの完全修飾ドメイン名(FQDN)である必要があります。IPアドレスは許可されていません。

SSL 証明書および JDBC の詳細については、以下のリンクの手順を参照してください。

• QRadar: 自己署名証明書を使用した JDBC Over SSL の構成

• 外部署名証明書を使用した JDBC Over SSL の構成

Oracle暗号化を使用する

Oracle暗号化およびデータ整合性設定は、Oracle Advanced Securityとも呼ばれます。

これを選択した場合、Oracle JDBC 接続では、クライアントと同様の Oracle データ暗号化設定をサポートするサーバーが必要になります。

データベース ロケール (Informix のみ)

多言語インストールの場合は、このフィールドを使用して使用する言語を指定します。

コード セット (Informix のみ)

多言語インストール用の言語を選択すると、 Code-Set パラメーターが表示されます。このフィールドを使用して、使用する文字セットを指定します。

有効

ログ ソースを有効にするには、このチェック ボックスをオンにします。デフォルトでは、チェックボックスが選択されています。

信頼性

リストから、ログ ソースの 信頼性 を選択します。範囲は0~10です。

信頼性は、送信元デバイスからの信頼性評価によって決定されるイベントまたは攻撃の完全性を示します。複数のソースが同じイベントを報告すると、信頼性が高くなります。デフォルトは5です。

ターゲット イベント コレクター

ログ ソースのターゲットとして使用するターゲット イベント コレクター を選択します。

結合イベント

ログ ソースが (バンドル) イベントを結合 できるようにする場合は、[イベントの結合] チェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA の [システム設定] から [結合イベント] リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

イベント ペイロードの保存

ログ ソースが イベント ペイロード 情報を保存できるようにする場合は、[イベント ペイロードの格納] チェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA のシステム設定からストア イベント ペイロード リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

プロトコル設定

JDBC - サイトプロテクション

データベースタイプ

一覧から、イベント ソースに使用するデータベースの種類として MSDE を選択します。

データベース名

プロトコルが接続できるデータベースの名前として を入力 RealSecureDB します。

IP またはホスト名

データベース サーバーの IP アドレスまたはホスト名。

ポート

データベース サーバーが使用するポート番号。JDBC Site Protection 構成ポートは、データベースのリスナー・ポートと一致している必要があります。データベースには、受信TCP接続が有効になっている必要があります。データベース タイプとして MSDE を使用する場合に データベース インスタンス を定義する場合、ログ ソース構成で ポート パラメーターを空白のままにする必要があります。

名

JDBCプロトコルによるデータベースへのアクセスを追跡したい場合は、 JSA システム用の特定のユーザーを作成することができます。

認証ドメイン

[MSDE] を選択し、Windows 用にデータベースが構成されている場合は、Windows ドメインを定義する必要があります。

ネットワークでドメインを使用していない場合は、このフィールドは空白のままにします。

データベース インスタンス

MSDE を選択し、1 つのサーバーに複数の SQL サーバー インスタンスがある場合は、接続するインスタンスを定義します。データベース設定で標準以外のポートを使用している場合、または SQL データベースを解決するためにポート 1434 へのアクセスをブロックする場合は、構成で データベース インスタンス パラメーターを空白のままにする必要があります。

事前定義されたクエリー

ログ ソースに対する事前定義されたデータベース クエリ。事前定義されたデータベース照会は、特殊なログ・ソース接続に対してのみ使用できます。

表名

SensorData1

AVPビュー名

SensorDataAVP

応答ビュー名

SensorDataResponse

リストを選択

を入力 * して、テーブルまたはビューからのすべてのフィールドを含めます。

フィールドの比較

SensorDataRowID

準備されたステートメントを使用する

準備済みステートメントを使用すると、JDBC プロトコル・ソースは SQL ステートメントをセットアップしてから、さまざまなパラメーターを使用して SQL ステートメントを何回も実行できます。セキュリティーおよびパフォーマンス上の理由から、準備済みステートメントを使用してください。コンパイル済みのステートメントを使用しない別のクエリ方法を使用する場合は、このチェック ボックスをオフにします。

監査イベントを含める

IBM Proventia Management Site Protectionor から監査イベントを収集するように指定します。

開始日と時刻

オプション。プロトコルがデータベースのポーリングを開始できる開始日と時刻。

ポーリング間隔

イベント テーブルへのクエリ間の時間。時間の H を、分の場合は M を数値に追加することで、より長いポーリング間隔を定義できます。H または M 指定子なしの数値は、秒単位でポーリングします。

EPS スロットル

このプロトコルを超えないようにする 1 秒あたりのイベント数(EPS)。

データベースのロケール

多言語インストールの場合は、 データベースロケール フィールドを使用して、使用する言語を指定します。

データベースコードセット

多言語インストールの場合は、 Codeset フィールドを使用して、使用する文字セットを指定します。

名前付きパイプ通信を使用する

Windows 認証を使用している場合は、このパラメーターを有効にして、AD サーバーへの認証を許可します。SQL 認証を使用している場合は、名前付きパイプ通信を無効にします。

データベース クラスタ名

名前付きパイプ通信が正しく機能することを確認するためのクラスター名。

NTLMv2 の使用

NTLMv2 認証を必要とする SQL サーバーと共に、NTLMv2 プロトコルを使用するように MSDE 接続を強制します。 [NTLMv2 を使用 ] チェック ボックスは、NTLMv2 認証を必要としない MSDE 接続の通信を中断しません。

SSL を使用する

JDBC プロトコルの SSL 暗号化を有効にします。

ソース言語のログ

ログ ソースによって生成されるイベントの言語を選択します。ログソース言語は、システムが複数の言語でイベントを作成できる外部アプライアンスまたはオペレーティングシステムからのイベントを解析するのに役立ちます。

ログ ソース タイプ

ジュニパーネットワークス Network and Security Manager

プロトコル設定

ジュニパー NSM

プロトコル設定

セキュリティ バイナリ ログ コレクター

XML テンプレート ファイルの場所

ジュニパー SRX シリーズ サービス ゲートウェイまたは Juniper J シリーズ アプライアンスからバイナリ ストリームをデコードするために使用される XML ファイルへのパス。デフォルトでは、デバイスサポートモジュール(DSM)にはバイナリストリームをデコードするためのXMLファイルが含まれています。

XML ファイルは、 /opt/qradar/conf/security_log.xml のディレクトリにあります。

プロトコル設定

ログファイル

リモート サーバーからログ ファイルを取得する際に使用するプロトコルを選択します。

• SFTP - セキュアなファイル転送プロトコル(デフォルト)

• FTP - ファイル転送プロトコル

• FTPS - セキュアなファイル転送プロトコル

• SCP - セキュアコピープロトコル

• AWS - Amazon Web Services

リモートIPまたはホスト名フィールドで指定したサーバーは、SFTPサブシステムがSCPまたはSFTPでログファイルを取得できるようにする必要があります。

リモート ポート

リモート ホストが標準以外のポート番号を使用する場合、イベントを取得するためにポート値を調整する必要があります。

SSHキーファイル

キー認証を使用するようにシステムが設定されている場合は、SSHキーを入力します。SSHキーファイルを使用する場合、 リモートパスワード フィールドは無視されます。

SSHキーは /opt/qradar/conf/keys ディレクトリに配置する必要があります。

リモートディレクトリ

FTP の場合、ログ・ファイルがリモート・ユーザーのホーム・ディレクトリーにある場合、リモート・ディレクトリーはブランクのままにすることができます。空白のリモート・ディレクトリー・フィールドは、作業ディレクトリー (CWD) コマンドの変更が制限されているシステムをサポートします。

再帰

FTP または SFTP 接続が、イベント データのリモート ディレクトリのサブフォルダーを再帰的に検索できるようにする場合は、このチェック ボックスをオンにします。サブフォルダーから収集されるデータは、FTP ファイル・パターン内の正規表現に一致するかどうかによって異なります。 再帰的 オプションは、SCP接続では使用できません。

FTP ファイル パターン

リモートホストからダウンロードするファイルを識別するために必要な正規表現(正規表現)。

FTP 転送モード

FTP を介した ASCII 転送の場合、[プロセッサー] フィールドと LINEBYLINE [イベント ジェネレータ] フィールドで を選択NONEする必要があります。

FTPS 接続で使用できる TLS のバージョン。最もセキュアなバージョンを使用するには、 TLSv1.2 オプションを選択します。複数の使用可能なバージョンのオプションを選択すると、FTPS 接続はクライアントとサーバーの両方で利用可能な最高バージョンをネゴシエートします。

このオプションは、 サービス タイプ パラメーターで FTPS を選択した場合にのみ設定できます。

再発

新しいイベント ログ ファイルに対してリモート ディレクトリをスキャンする頻度を指定する時間間隔。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H の繰り返しは、2 時間ごとにリモート ディレクトリをスキャンします。

保存時に実行

ログ ソース設定を保存した直後に、ログ ファイルのインポートを開始します。このチェック ボックスをオンにすると、以前にダウンロードされ、処理されたファイルのリストがクリアされます。最初のファイル インポートの後、ログ ファイル プロトコルは管理者によって定義された開始時間と繰り返しスケジュールに従います。

EPS スロットル

プロトコルが超過できない 1 秒あたりのイベント数(EPS)。

ローカルディレクトリを変更しますか?

ターゲット イベント コレクターのローカル ディレクトリを変更して、イベント ログを処理する前に保存します。

ローカル ディレクトリ

ターゲット イベント コレクターのローカル ディレクトリ。このディレクトリは、ログファイルプロトコルがイベントの取得を試みる前に存在している必要があります。

ファイル エンコーディング

ログ・ファイル内のイベントによって使用される文字エンコード。

フォルダー区切り記号

オペレーティング システムのフォルダーを分離するために使用される文字。ほとんどの設定では、[ フォルダー区切り記号 ] フィールドの既定値を使用できます。このフィールドは、別のフォルダーを定義するために異なる文字を使用するオペレーティング システムを対象としています。たとえば、メインフレーム システム上のフォルダーを分離する期間です。

イベント ハブの接続文字列を使用する

接続文字列を使用して Azure Event Hub で認証します。

イベント ハブの接続文字列

イベント ハブへのアクセスを提供する認証文字列。例えば

Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>

コンシューマ グループ

接続中に使用されるビューを指定します。各 コンシューマ グループ は、独自のセッション追跡を維持します。コンシューマー グループと接続情報を共有するすべての接続は、セッション追跡情報を共有します。

ストレージ アカウントの接続文字列を使用する

接続文字列を使用して Azure ストレージ アカウントで認証します。

ストレージ アカウントの接続文字列

ストレージ アカウントへのアクセスを提供する認証文字列。例えば

DefaultEndpointsProtocol=https;Account Name=<Stor Account Name>AccountKey=<StorageAccount Key>;EndpointSuffix=core.windows.net

Azure LinuxイベントをSyslogにフォーマットする

Azure Linux のログを、Linux システムからの標準的な syslog ロギングのような単一行の syslog 形式にフォーマットします。

ゲートウェイ ログ ソースとして使用

収集されたイベントが JSA トラフィック分析エンジンを通過する場合と、1 つ以上のログ ソースを自動的に検出する JSA の場合は、このオプションを選択します。

このオプションを選択すると、 オプションでログ ソース識別子パターン を使用して、処理中のイベントのカスタム ログ ソース識別子 を定義できます。

ログ ソース識別子パターン

[ゲートウェイログソースとして使用]オプションを選択した場合は、このオプションを使用して、処理されるイベントのカスタムログソース識別子を定義します。ログ ソース識別子パターンが構成されていない場合、JSA は未知の汎用ログ ソースとしてイベントを受信します。

ログ ソース識別子パターン フィールドは、key=value などのキーと値のペアを受け入れ、処理されるイベントと、該当する場合にログ ソースを自動的に検出するカスタム ログ ソース識別子を定義します。キーは、結果の送信元または送信元値である識別子フォーマット文字列です。Value は、現在のペイロードを評価するために使用される関連付けられた正規表現パターンです。値(正規表現パターン)は、キー(識別子フォーマット文字列)をさらにカスタマイズするために使用できるキャプチャグループもサポートしています。

複数のキーと値のペアは、新しい行に各パターンを入力することで定義できます。複数のパターンを使用する場合、一致が見つかるまで順番に評価されます。一致するものが見つかった場合は、カスタムのログ ソース識別子が表示されます。

以下の例は、複数のキー値ペアの機能を示しています。

パターンVPC=\sREJECT\sFAILURE$1=\s(REJECT)\sOKVPC-$1-$2=\s(ACCEPT)\s(OK)

イベント{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

結果として生成されるカスタム ログ ソース識別子VPC-ACCEPT-OK

予測解析の使用

このパラメーターを有効にすると、アルゴリズムはすべてのイベントに対して正規表現を実行せずにログソース識別子パターンをイベントから抽出し、解析速度を向上させます。

高いイベントレートを受け取り、より高速な解析が必要なログソースタイプに対してのみ、予測解析を有効にします。

プロキシの使用

プロキシを構成すると、ログ ソースのすべてのトラフィックがプロキシを経由して Azure イベント ハブにアクセスします。このパラメーターを有効にした後、 プロキシIPまたはホスト名、 プロキシポート、 プロキシユーザー名、 プロキシパスワード のフィールドを設定します。

プロキシに認証が必要ない場合は、[ プロキシ ユーザー名] フィールドと [ プロキシ パスワード] フィールドを空白のままにします。

プロキシIPまたはホスト名

プロキシ サーバーの IP アドレスまたはホスト名。

このパラメータは 、[プロキシを使用 ]が有効になっている場合に表示されます。

プロキシ ポート

プロキシとの通信に使用されるポート番号。デフォルト値は8080です。

このパラメータは 、[プロキシを使用 ]が有効になっている場合に表示されます。

プロキシ ユーザー名

プロキシ サーバーにアクセスするためのユーザー名。

このパラメータは、[プロキシを使用]が有効になっている場合に表示されます。

プロキシ パスワード

プロキシ サーバーにアクセスするためのパスワード。

このパラメータは 、[プロキシを使用 ]が有効になっている場合に表示されます。

EPS スロットル

1 秒あたりのイベントの最大数(EPS)。デフォルトは5000です。

非推奨 - 名前空間名

このオプションは、[ イベント ハブの接続文字列を使用 ] オプションが [オフ] に設定されている場合に表示されます。

Microsoft Azure イベント ハブユーザー インターフェイス内のイベント ハブ エンティティを含むトップレベル ディレクトリの名前。

非推奨 - イベントハブ名

このオプションは、[ イベント ハブの接続文字列を使用 ] オプションが [オフ] に設定されている場合に表示されます。

アクセスするイベント ハブの識別子。 イベント ハブ名は、 名前空間内の Event Hub エンティティの 1 つに一致する必要があります。

非推奨 - SASキー名

このオプションは、[ イベント ハブの接続文字列を使用 ] オプションが [オフ] に設定されている場合に表示されます。

共有アクセス署名(SAS)名は、イベントパブリッシャーを識別します。

非推奨 - SASキー

このオプションは、[ イベント ハブの接続文字列を使用 ] オプションが [オフ] に設定されている場合に表示されます。

共有アクセス署名(SAS)キーは、イベントパブリッシャーを認証します。

非推奨 - ストレージ アカウント名

このオプションは、[ ストレージ アカウントの接続文字列を使用] オプションが [オフ] に設定されている場合に表示されます。

イベント ハブ データを格納するストレージ アカウントの名前。

ストレージ アカウント名は、Azure ストレージ アカウントのデータにアクセスするために必要な認証プロセスの一部です。

非推奨 - ストレージ アカウント キー

このオプションは、[ ストレージ アカウントの接続文字列を使用] オプションが [オフ] に設定されている場合に表示されます。

ストレージ アカウント認証に使用される認証キー。

ストレージ アカウント キーは、Azure ストレージ アカウントのデータにアクセスするために必要な認証プロセスの一部です。

ログ ソース タイプ

Microsoft 365 Defender

プロトコル設定

エンドポイント SIEM REST API 向け Microsoft Defender

認証サーバー URL

アクセス トークンの取得を許可するサーバーの URL。アクセス トークンは、Microsoft 365 Defender からイベントを収集する権限として使用されます。

認証サーバーの URL は、次の形式を使用します。

ここで、<Tenant_ID>は UUID です。

リソース

Microsoft 365 Defender SIEM API イベントにアクセスするために使用されるリソース。

クライアント ID

ユーザーがアクセス トークンの取得を承認されていることを確認します。

クライアント シークレット

クライアント シークレット値は 1 回だけ表示され、表示されなくなります。クライアント シークレット値にアクセスできない場合は、Microsoft Azure 管理者に問い合わせて新しいクライアント シークレットを要求します。

地域

ログを収集する Microsoft 365 Defender SIEM API に関連付けられているリージョンを選択します。

その他の地域

ログを収集する Microsoft 365 Defender SIEM API に関連付けられているその他のリージョンの名前を入力します。

コンマ区切りリストを使用します。例えば、 リージョン1、リージョン2などです。

GCCエンドポイントの使用

GCCおよびGCC HighおよびDODエンドポイントの使用を有効または無効にします。GCCおよびGCC High & DODエンドポイントは、米国政府のお客様向けのエンドポイントです。

詳細については、 米国政府のお客様向けエンドポイントの Microsoft Defender を参照してください。

GCCタイプ

GCCまたはGCC High & DODを選択します。

• GCC:Microsoft Government Community Cloud

• GCC High & DoD:準拠規格

  米国国防総省の

プロキシの使用

JSA のプロキシが構成されている場合、ログ ソースのすべてのトラフィックはプロキシを介して移動し、JSA が Microsoft 365 Defender SIEM API にアクセスできるようにします。

プロキシサーバー、プロキシポート、プロキシユーザー名、プロキシパスワードの各フィールドを設定します。プロキシに認証が必要ない場合は、[プロキシ サーバー] フィールドと [プロキシ ポート] フィールドを構成します。

再発

ログがデータを収集する頻度を指定できます。M/H/D の形式は分/時間/日です。

デフォルトは 5 M です。

EPS スロットル

1 秒あたりのイベントの最大数(EPS)の上限。デフォルトは5000です。

プロトコル設定

Microsoft DHCP

ログ ソース識別子

ログソースに固有のホスト名またはその他の識別子を入力します。

サーバーアドレス

Microsoft DHCP サーバーの IP アドレスまたはホスト名。

ドメイン

Microsoft DHCP サーバーのドメインを入力します。

サーバーがドメインにない場合、このパラメーターは省略可能です。

名

DHCP サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

DHCP サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

サーバーへのアクセスに必要なパスワードを入力します。

フォルダー パス

DHCP ログ ファイルへのディレクトリ パス。デフォルトは /WINDOWS/system32/dhcp/

ファイル パターン

イベントログを識別する正規表現(正規表現)。ログ ファイルには、曜日の 3 文字の略語が含まれている必要があります。以下のファイル パターンのいずれかを使用します。

英語：

• IPv4 ファイル パターン: DhcpSrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• IPv6 ファイル パターン: DhcpV6SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• IPv4 と IPv6 の混在ファイル パターン:Dhcp.*SrvLog- (?:Sun|月|火|ウェド|木|金|土)\.log

• 混合 IPv4 および IPv6 ファイル パターン: Dhcp.*SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log

ポーランド語：

• IPv4 ファイル パターン: DhcpSrvLog-(?:Pia|Pon|Sob|Wto|Sro|Csw|Nie) \.log.

• IPv6 ファイル パターン: DhcpV6SrvLog-(?:Pt|Pon|So|Wt|Si|Csw|Nie) \.log.

再帰

ファイル パターンでサブフォルダーを検索する場合は、このオプションを選択します。

SMB バージョン

使用する SMB のバージョン:

AUTO - クライアントとサーバーが使用することに同意した最高バージョンに自動検知します。

SMB1 - SMB1 の使用を強制します。SMB1 は( jCIFS.jar Java ARchive)ファイルを使用します。

SMB2 - SMB2 の使用を強制します。SMB2 はこのファイルを使用します jNQ.jar 。

SMB3 - SMB3 の使用を強制します。SMB3 はこのファイルを使用します jNQ.jar 。

ポーリング間隔(秒単位)

新しいデータを確認するためにログ ファイルに対するクエリ間の秒数。最小ポーリング間隔は10秒です。最大ポーリング間隔は3,600秒です。

スロットルイベント/秒

DHCP プロトコルが 1 秒あたりに転送できるイベントの最大数。最小値は 100 EPS です。最大値は 20,000 EPS です。

ファイル エンコーディング

ログ・ファイル内のイベントによって使用される文字エンコード。

有効

このオプションが有効になっていない場合、ログ ソースはイベントを収集せず、ログ ソースはライセンス制限内にカウントされません。

信頼性

信頼性とは、ログ ソースによって作成されたイベントの整合性または妥当性を表すものです。ログ ソースに割り当てられた信頼性の値は、受信イベントに基づいて増減したり、ユーザーが作成したイベント ルールへの応答として調整したりすることができます。ログ ソースからのイベントの信頼性は、攻撃の規模の計算に寄与し、攻撃の規模の値を増減する可能性があります。

ターゲット イベント コレクター

リモート ログ ソースをポーリングする JSA イベント コレクターを指定します。

分散デプロイメントでこのパラメーターを使用すると、ポーリングタスクをイベント・コレクターに移動してコンソール・システムのパフォーマンスが向上します。

結合イベント

同じイベントが短時間内で複数回発生した場合のイベント 数を増やします。結合されたイベントは、[ログ アクティビティ] タブで 1 つのイベント タイプが発生する頻度を表示して判断する方法を提供します。

このチェック ボックスがオフの場合、イベントは個別に表示され、イベントはバンドルされません。

新しく自動的に検出されたログ ソースは、[管理] タブの [システム設定] 構成からこのチェック ボックスの値を継承します。このチェック ボックスを使用して、個々のログ ソースに対するシステム設定のデフォルト動作を上書きできます。

プロトコル設定

Microsoft Exchange

ログ ソース識別子

ログ送信元を識別するために、IP アドレス、ホスト名、または名前を入力します。

サーバーアドレス

Microsoft Exchange サーバーの IP アドレスまたはホスト名。

ドメイン

Microsoft Exchange サーバーのドメインを入力します。

サーバーがドメインにない場合、このパラメーターは省略可能です。

名

Microsoft Exchange サーバーにアクセスするために必要なユーザー名を入力します。

パスワード

Microsoft Exchange サーバーにアクセスするために必要なパスワードを入力します。

パスワードの確認

Microsoft Exchange サーバーにアクセスするために必要なパスワードを入力します。

SMTP ログ フォルダー パス

SMTP ログ ファイルにアクセスするためのディレクトリ パス。

デフォルトのファイル パスは、プログラム ファイル/Microsoft/Exchange Server/TransportRoles/logs/ProtocolLog です。

フォルダー パスがクリアされている場合、SMTP イベント収集は無効になります。

OWAログフォルダパス

OWAログファイルにアクセスするためのディレクトリパス。

デフォルトのファイル パスは Windows/system32/LogFiles/W3SVC1 です。

フォルダー パスが明確な場合、OWA イベント収集は無効になります。

MSGTRK ログ フォルダー パス

メッセージ追跡ログにアクセスするためのディレクトリ パス。

既定のファイル パスは、プログラム ファイル/Microsoft/Exchange サーバー/TransportRoles/logs/MessageTracking です。

メッセージの追跡は、ハブ トランスポート、メールボックス、またはエッジ トランスポート サーバーの役割が割り当てられている Microsoft Exchange 2017 または 2010 サーバーで使用できます。

カスタム ファイル パターンを使用する

カスタム ファイル パターンを設定するには、このチェック ボックスをオンにします。デフォルトのファイル パターンを使用するには、このチェック ボックスをオフのままにします。

MSGTRK ファイル パターン

MSTRK ログを識別してダウンロードするために使用される正規表現(正規表現)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは MSGTRK\d+-\d+\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

MSGTRKMD ファイル パターン

MSGTRKMD ログを識別してダウンロードするために使用される正規表現(正規表現)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは MSGTRKMD\d+-\d+\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

MSGTRKMS ファイル パターン

MSGTRKMS ログを識別してダウンロードするために使用される正規表現(正規表現)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは MSGTRKMS\d+-\d+\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

MSGTRKMA ファイル パターン

MSGTRKMA ログを識別してダウンロードするために使用される正規表現(正規表現)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは MSGTRKMA\d+-\d+\.(?:log|

ファイル パターンに一致するすべてのファイルが処理されます。

SMTP ファイル パターン

SMTP ログを識別してダウンロードするために使用される正規表現(正規表現)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは .*\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

OWA ファイル パターン

OWAログを識別してダウンロードするために使用される正規表現(正規表現)。ファイル パターンに一致するすべてのファイルが処理されます。

デフォルトのファイル パターンは .*\.(?:log|ログ)$

ファイル パターンに一致するすべてのファイルが処理されます。

ファイルの読み取りを強制する

このチェック・ボックスがオフの場合、 JSA が変更時刻またはファイル・サイズの変更を検出した場合のみログ・ファイルが読み取られます。

再帰

ファイル パターンでサブフォルダーを検索する場合は、このオプションを使用します。デフォルトでは、このチェック ボックスがオンになっています。

SMB バージョン

使用する SMB のバージョンを選択します。

AUTO - クライアントとサーバーが使用することに同意した最高バージョンに自動検知します。

SMB1 - SMB1 の使用を強制します。SMB1 は jCIFS.jar (Java ARchive)ファイルを使用します。

SMB2 - SMB2 の使用を強制します。SMB2 はこのファイルを使用します jNQ.jar 。

SMB3 – SMB3 の使用を強制します。SMB3 はこのファイルを使用します jNQ.jar 。

ポーリング間隔(秒単位)

ポーリング間隔を入力します。これは、新しいデータをチェックするログ ファイルへのクエリ間の秒数です。デフォルトは10秒です。

スロットルイベント/秒

Microsoft Exchange プロトコルが 1 秒あたりに転送できるイベントの最大数。

ファイル エンコーディング

ログ・ファイル内のイベントによって使用される文字エンコード。

ログ ソース タイプ

このプロトコルを使用するカスタムログソースタイプまたは特定のDSM。

プロトコル設定

Microsoft GraphセキュリティAPI

テナントID

Microsoft Azure Active Directory 認証に使用される テナント ID 値。

クライアント ID

Microsoft Azure Active Directory のアプリケーション構成からの クライアント ID パラメーター値。

クライアント シークレット

Microsoft Azure Active Directory のアプリケーション構成からの クライアント シークレット パラメーター値。

イベント フィルター

Microsoft セキュリティ グラフ API クエリ フィルターを使用してイベントを取得します。たとえば、重大度 eq「high」です。フィルター パラメーターの前に「filter=」と入力しないでください。

プロキシの使用

JSA がプロキシによって Microsoft Graph Security API にアクセスする場合は、このチェック ボックスをオンにします。

プロキシが認証を必要とする場合は、 プロキシホスト名またはIP、プロキシポート、プロキシユーザー名、プロキシフィールドを 設定します。

プロキシが認証を必要としない場合は、 プロキシホスト名またはIPおよびプロキシポート フィールドを設定します。

プロキシIPまたはホスト名

プロキシ サーバーの IP アドレスまたはホスト名。

プロキシを使用を False に設定すると、このオプションは非表示になります。

プロキシ ポート

プロキシとの通信に使用されるポート番号。デフォルトは8080です。

プロキシを使用を False に設定すると、このオプションは非表示になります。

プロキシ ユーザー名

プロキシとの通信に使用されるユーザー名。

プロキシを使用を False に設定すると、このオプションは非表示になります。

プロキシ パスワード

プロキシへのアクセスに使用するパスワード。

プロキシを使用を False に設定すると、このオプションは非表示になります。

再発

[開始時間] で始まる時間間隔を入力して、新しいデータのポーリング スキャンの頻度を指定します。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2 時間~2 時間、1500 万~15 分です。デフォルトは1Mです。

EPS スロットル

1 秒あたりのイベントの最大数(EPS)。デフォルトは5000です。

詳細オプションを表示

イベント収集の高度なオプションを構成するには、このオプションを オン に設定します。

ログイン エンドポイント

Azure AD ログイン エンドポイントを指定します。デフォルト値は login.microsoftonline.com。

[詳細オプションの表示] を無効にすると、このオプションは非表示になります。

グラフ API エンドポイント

Microsoft Graph Security API URLを指定します。デフォルト値は https://graph.microsoft.com。

[詳細オプションの表示] を無効にすると、このオプションは非表示になります。

プロトコル設定

マイクロソフト IIS

ログ ソース識別子

ログの送信元を識別する IP アドレス、ホスト名、または一意の名前を入力します。

サーバーアドレス

MICROSOFT IIS サーバーの IP アドレスまたはホスト名。

ドメイン

Microsoft IIS サーバーのドメインを入力します。

サーバーがドメインにない場合、このパラメーターは省略可能です。

名

サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

サーバーへのアクセスに必要なパスワードを入力します。

ログ フォルダー パス

ログ ファイルにアクセスするためのディレクトリ パス。例えば、管理者は管理共有の c$/LogFiles/ ディレクトリー、またはパブリック共有フォルダー・パスの LogFiles/ ディレクトリーを使用できます。ただし、c:/LogFiles ディレクトリは、サポートされているログ フォルダー パスではありません。

ログ フォルダー パスに管理共有(C$)が含まれている場合、管理共有(C$)で NetBIOS がアクセスできるユーザーは、ログ ファイルの読み取りに必要な権限を持ちます。

管理共有上のログ ファイルにアクセスするには、ローカル システムまたはドメイン管理者権限でも十分です。

ファイル パターン

イベントログを識別する正規表現(正規表現)。

再帰

ファイル パターンでサブフォルダーを検索する場合は、このオプションを使用します。デフォルトでは、このチェック ボックスがオンになっています。

SMB バージョン

使用する SMB のバージョンを選択します。

AUTO - クライアントとサーバーが使用することに同意した最高バージョンに自動検知します。

SMB1 - SMB1 の使用を強制します。SMB1 は( jCIFS.jar Java ARchive)ファイルを使用します。

SMB2 - SMB2 の使用を強制します。SMB2 はこのファイルを使用します jNQ.jar 。

SMB3 - SMB3 の使用を強制します。SMB3 はこのファイルを使用します jNQ.jar 。

ポーリング間隔(秒単位)

ポーリング間隔を入力します。これは、新しいデータをチェックするログ ファイルへのクエリ間の秒数です。デフォルトは10秒です。

スロットルイベント/秒

IIS プロトコルが 1 秒あたりに転送できるイベントの最大数。

ファイル エンコーディング

ログ・ファイル内のイベントによって使用される文字エンコード。

プロトコル設定

Windows セキュリティ イベント ログ

プロトコル名

MQJM

IP またはホスト名

1 次キュー・マネージャーの IP アドレスまたはホスト名。

ポート

1 次キュー・マネージャーとの通信に使用されるデフォルト・ポートは 1414 です。

スタンバイ IP またはホスト名

スタンバイ・キュー・マネージャーの IP アドレスまたはホスト名。

スタンバイ ポート

スタンバイ・キュー・マネージャーとの通信に使用されるポート。

キュー・マネージャー

キュー・マネージャーの名前。

チャネル

キュー・マネージャーがメッセージを送信するチャネル。デフォルトのチャネルは SYSTEM です。デフ。SVRCONN、

キュー

監視するキューまたはキューのリスト。キューのリストは、コンマ区切りのリストで指定されます。

名

MQ サービスでの認証に使用されるユーザー名。

パスワード

オプション: MQ サービスとの認証に使用されるパスワード。

受信メッセージ エンコーディング

受信メッセージで使用される文字エンコード。

プロセス計算フィールド

オプション: このオプションは、取得されたメッセージに COBOL コピーブックで定義された計算データが含まれている場合にのみ選択します。メッセージ内のバイナリ データは、指定されたコピーブック・ファイルで見つかったフィールド定義に従って処理されます。

コピーブックファイル名

このパラメータは、[計算フィールドの処理]が選択されている場合に表示されます。データ処理に使用するコピーブック・ファイルの名前。コピーブック・ファイルは/store/ec/mqjms/* に配置する必要があります。

イベント フォーマッタ

計算フィールドを含むデータの処理から生成されるイベントに適用するイベントの書式を選択します。デフォルトでは、 書式設定 は使用されません。

JMメッセージヘッダーを含める

および などのJMSメッセージフィールドを含む、生成された各イベントにヘッダーを含める場合は、このオプションをJMSMessageIDJMSTimestamp選択します。

EPS スロットル

1 秒あたりのイベントの最大数(EPS)の制限。

ログ ソース識別子

ログ ソースの一意の名前。

名前にスペースを含めることはできません。Office 365 メッセージ トレース REST API プロトコルで構成されているこのタイプのすべてのログ ソース間で一意である必要があります。

Office 365 ユーザー アカウント電子メール

Office 365 メッセージ トレース REST API で認証するには、Office 365 電子メール アカウントに適切なアクセス許可を提供します。

Office 365 ユーザー アカウントパスワード

Office 365 メッセージ トレース REST API で認証するには、Office 365 ユーザー アカウントの電子メールに関連付けられているパスワードを指定します。

イベントの遅延

データ収集の遅延(秒単位)。

Office 365 メッセージ トレース ログは、最終的な配信システムで動作します。データを見逃さないよう、遅延に基づいてログを収集します。デフォルトの遅延は900秒(15分)で、0秒に設定できます。

プロキシの使用

プロキシを使用してサーバーにアクセスする場合は、[プロキシを 使用 ] チェック ボックスをオンにします。プロキシが認証を必要とする場合は、 プロキシサーバー、プロキシポート、プロキシユーザー名、プロキシパスワードのフィールドを設定します。 プロキシに認証が必要ない場合は、[ プロキシ サーバー] フィールドと [プロキシ ポート] フィールドを構成します。

プロキシIPまたはホスト名

プロキシ サーバーの IP アドレスまたはホスト名。

プロキシ ポート

プロキシとの通信に使用されるポート番号。デフォルトは8080です。

プロキシ ユーザー名

プロキシが認証を必要とする場合にプロキシ サーバーにアクセスするために使用されるユーザー名。

プロキシ パスワード

プロキシが認証を必要とする場合にプロキシ サーバーにアクセスするために使用されるパスワード。

再発

新しいイベントの Office 365 メッセージ トレース REST API へのログ ソースクエリの間隔。

時間間隔は、時間(H)、分(M)、または日(D)で指定できます。デフォルトは5分です。

EPS スロットル

1 秒あたりのイベントの最大数(EPS)。デフォルトは5000です。

ログ ソース識別子

ログ ソースの一意の名前。

ログ ソース識別子は任意の有効な値であり、特定のサーバーを参照する必要はありません。ログ ソース識別子は、ログ ソース名と同じ値を使用できます。複数の Okta ログ ソースが構成されている場合は、最初のログ ソースを、2 番目のログ ソースokta1を 、 として、3 番目のログ ソースokta2を としてokta3識別することができます。

IP またはホスト名

oktaprise.okta.com

認証トークン

Okta コンソールによって生成され、すべての API トランザクションに使用される必要がある単一認証トークン。

プロキシの使用

JSAがプロキシを使用してOktaにアクセスする場合は、このオプションを有効にします。

プロキシが設定されると、ログ ソースのすべてのトラフィックが JSA のプロキシを経由して Okta にアクセスします。

プロキシが認証を必要とする場合は、 ホスト名、 プロキシポート、 プロキシユーザー名、 プロキシパスワード のフィールドを設定します。プロキシに認証が必要ない場合は、[ プロキシ ユーザー名] フィールドと [ プロキシ パスワード] フィールドを空白のままにします。

ホスト

[プロキシを 使用]を選択した場合は、このパラメータが表示されます。

プロキシ ポート

[プロキシを 使用]を選択した場合は、このパラメータが表示されます。

プロキシ ユーザー名

[プロキシを 使用]を選択した場合は、このパラメータが表示されます。

プロキシ パスワード

[プロキシを 使用]を選択した場合は、このパラメータが表示されます。

再発

新しいデータに対してポーリングを行う頻度を決定する時間間隔。時間間隔には、時間(H)、分(M)、または日(D)の値を含めることができます。たとえば、2H = 2 時間、15M = 15 分、30 = 秒です。デフォルトは1Mです。

EPS スロットル

フロー パイプラインに送信される 1 秒あたりの最大イベント数。デフォルトは5000です。

EPS スロットル値が受信レートよりも高いか、データ処理が遅れる可能性があることを確認します。

プロトコル設定

OPSEC/LEA

ログ ソース識別子

デバイスを識別する IP アドレス、ホスト名、または任意の名前。

ログソースタイプに対して一意である必要があります。

サーバー IP

サーバーの IP アドレスを入力します。

サーバー ポート

OPSEC 通信に使用されるポート番号。有効な範囲は 0~65,536 で、デフォルトは 18184 です。

ログ ソースにサーバー IP を使用する

ログ ソースの管理対象デバイス の IP アドレスの代わりに LEA サーバーの IP アドレスを使用する場合は、[ログ ソースにサーバー IP を使用する] チェック ボックスをオンにします。デフォルトでは、このチェック ボックスがオンになっています。

統計レポート間隔

qradar.log ファイルに syslog イベントの数が記録される間隔(秒)。有効な範囲は 4~2,147,483,648 で、デフォルトの間隔は 600 です。

認証タイプ

リストから、この LEA 設定に使用する 認証タイプ を選択します。オプションは sslca(デフォルト)、sslca_clear、またはクリアです。この値は、サーバーが使用する認証方法と一致する必要があります。

OPSEC アプリケーション オブジェクト SIC 属性(SIC 名)

Secure Internal Communications(SIC)名は、アプリケーションの識別名(DN)です(例: CN=LEA、o=fwconsole.)。7psasx。

ログ ソース SIC 属性(エンティティ SIC 名)

サーバーの SIC 名( cn=cp_mgmt、o=fwconsole.など)。7psasxz。

証明書の指定

この LEA 設定の証明書を定義する場合は、このチェック ボックスをオンにします。 JSA は、証明書が必要になったときに、これらのパラメーターを使用して証明書の取得を試みます。

証明書ファイル名

このオプションは、[証明書の指定] が選択されている場合にのみ表示されます。この設定に使用する証明書のファイル名を入力します。証明書ファイルは 、/opt/qradar/conf/trusted_certificates/lea ディレクトリに保存する必要があります。

認証機関 IP

Check Point ManagerサーバーのIPアドレスを入力します。

証明書のパスワードを取得する

パスワードを入力します。

OPSEC アプリケーション

証明書要求を行うアプリケーションの名前。

有効

ログ ソースを有効にするには、このチェック ボックスをオンにします。デフォルトでは、このチェック ボックスがオンになっています。

信頼性

リストから、ログ ソースの 信頼性 を選択します。範囲は0~10です。

信頼性は、送信元デバイスからの信頼性評価によって決定されるイベントまたは攻撃の完全性を示します。複数のソースが同じイベントを報告すると、信頼性が高くなります。デフォルトは5です。

ターゲット イベント コレクター

一覧から、ログ ソースのターゲットとして使用する ターゲット イベント コレクター を選択します。

結合イベント

ログ ソースが イベントを結合 (バンドル)できるようにする場合は、[結合イベント] チェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA の [システム設定] から [結合イベント] リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

イベント ペイロードの保存

ログ ソースが イベント ペイロード 情報を格納できるようにする場合は、[イベント ペイロードの格納] チェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA のシステム設定からストア イベント ペイロード リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

プロトコル設定

Oracle データベース リスナー

ログ ソース識別子

ログの送信元を識別する IP アドレス、ホスト名、または一意の名前を入力します。

サーバーアドレス

Oracle データベース リスナー サーバーの IP アドレスまたはホスト名。

ドメイン

Oracle データベース学習者サーバーのドメインを入力します。

サーバーがドメインにない場合、このパラメーターは省略可能です。

名

サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

サーバーへのアクセスに必要なパスワードを入力します。

ログ フォルダー パス

Oracleデータベースリスナーログファイルにアクセスするためのディレクトリパスを入力します。

ファイル パターン

イベントログを識別する正規表現(正規表現)。

ファイルの読み取りを強制する

ポーリング間隔のタイミングが指定されたときにプロトコルにログ ファイルの読み取りを強制する場合は、このチェック ボックスをオンにします。

このチェック・ボックスをオンにすると、最後に変更された時間またはファイル・サイズ属性に関係なく、ポーリング間隔が指定されたときにログ・ファイル・ソースが常に検査されます。

このチェック・ボックスがオフの場合、最後に変更された時刻またはファイル・サイズ属性が変更された場合、ログ・ファイル・ソースはポーリング間隔で検査されます。

再帰

ファイル パターンでサブフォルダーを検索する場合は、このオプションを使用します。デフォルトでは、このチェック ボックスがオンになっています。

SMB バージョン

使用する SMB のバージョンを選択します。

AUTO - クライアントとサーバーが使用することに同意した最高バージョンに自動検知します。

SMB1 - SMB1 の使用を強制します。SMB1 は( jCIFS.jar Java ARchive)ファイルを使用します。

SMB2 - SMB2 の使用を強制します。SMB2 はこのファイルを使用します jNQ.jar 。

SMB3 - SMB3 の使用を強制します。SMB3 はこのファイルを使用します jNQ.jar 。

ポーリング間隔(秒単位)

ポーリング間隔を入力します。これは、新しいデータをチェックするログ ファイルへのクエリ間の秒数です。デフォルトは10秒です。

スロットルイベント/秒

Oracle データベース リスナー プロトコルが 1 秒あたりに転送するイベントの最大数。

ファイル エンコーディング

ログ・ファイル内のイベントによって使用される文字エンコード。

プロトコル設定

SDEE

Url

ログ ソースへのアクセスに必要な HTTP または HTTPS URL(例:https://www.mysdeeserver.com/cgi-bin/sdee-server)。

SDEE/CIDEE(Cisco IDS v5.x 以降)の場合、URL は で終わる /cgi-bin/sdee-server必要があります。RDEP(Cisco IDS v4.x)を持つ管理者は、URL を で /cgi-bin/event-server終える必要があります。

サブスクリプションを強制する

このチェック ボックスがオンの場合、プロトコルはサーバーに最小アクティブ接続を強制し、ログ ソースの新しい SDEE サブスクリプション接続を受け入れます。

イベントの最大ブロック待ち

コレクション要求が作成され、新しいイベントが利用できない場合、プロトコルはイベント ブロックを有効にします。このブロックでは、新しいイベントを持たないリモート デバイスに対して別のイベント要求が行われるのを防ぎます。このタイムアウトは、システム リソースを節約するためのものです。

プロトコル設定

SMB テール

ログ ソース識別子

ログの送信元を識別するために、IPアドレス、ホスト名、または一意の名前を入力します。

サーバーアドレス

SMB Tail サーバーの IP アドレスまたはホスト名。

ドメイン

SMB テール サーバーのドメインを入力します。

サーバーがドメインにない場合、このパラメーターは省略可能です。

名

サーバーへのアクセスに必要なユーザー名を入力します。

パスワード

サーバーへのアクセスに必要なパスワードを入力します。

パスワードの確認

サーバーへのアクセスに必要なパスワードを確認します。

ログ フォルダー パス

ログ ファイルにアクセスするためのディレクトリ パス。例えば、管理者は管理共有の c$/LogFiles/ ディレクトリー、またはパブリック共有フォルダー・パスの LogFiles/ ディレクトリーを使用できます。ただし、 c:/LogFiles ディレクトリは、サポートされているログ フォルダー パスではありません。

ログ フォルダー パスに管理共有(C$)が含まれている場合、管理共有(C$)で NetBIOS がアクセスできるユーザーは、ログ ファイルの読み取りに必要な権限を持ちます。

管理共有上のログ ファイルにアクセスするには、ローカル システムまたはドメイン管理者権限でも十分です。

ファイル パターン

イベントログを識別する正規表現(正規表現)。

SMB バージョン

使用するサーバー メッセージ ブロック (SMB) のバージョンを選択します。

AUTO - クライアントとサーバーが使用することに同意した最高バージョンに自動検知します。

SMB1 - SMB1 の使用を強制します。SMB1 は( jCIFS.jar Java ARchive)ファイルを使用します。

SMB2 - SMB2 の使用を強制します。SMB2 はこのファイルを使用します jNQ.jar 。

SMB3 - SMB3 の使用を強制します。SMB3 はこのファイルを使用します jNQ.jar 。

ファイルの読み取りを強制する

このチェック・ボックスがクリアされている場合、 JSA が変更時刻またはファイル・サイズの変更を検出した場合のみログ・ファイルが読み取られます。

再帰

ファイル パターンでサブフォルダーを検索する場合は、このオプションを使用します。デフォルトでは、チェックボックスが選択されています。

ポーリング間隔(秒単位)

ポーリング間隔を入力します。これは、新しいデータをチェックするログ ファイルへのクエリ間の秒数です。デフォルトは10秒です。

スロットルイベント/秒

SMB Tail プロトコルが 1 秒あたりに転送するイベントの最大数。

ファイル エンコーディング

ログ・ファイル内のイベントによって使用される文字エンコード。

プロトコル設定

Snmpv2

コミュニティ

SNMP イベントを含むシステムへのアクセスに必要な SNMP コミュニティ名。たとえば、パブリックです。

イベントペイロードに OID を含める

SNMP イベント ペイロードが、イベント ペイロード形式ではなく名前と値のペアを使用して構築されるように指定します。

[ログ ソース タイプ] リストから特定の ログ ソース を選択すると、SNMPv2 または SNMPv3 イベントを処理するために、イベント ペイロード内の OID が必要になります。

結合イベント

ログ ソースが (バンドル) イベントを結合できるようにする場合は、このチェック ボックスをオンにします。

イベントを結合すると、同じイベントが短時間で複数回発生した場合、イベント数が増加します。統合イベントにより、管理者はログ アクティビティ タブで 1 つのイベント タイプが発生する頻度を確認できます。

このチェック ボックスがオフの場合、イベントは個別に表示され、情報はバンドルされません。

新しく自動的に検出されたログ ソースは、[管理] タブの [システム設定] 構成からこのチェック ボックスの値を継承します。管理者は、このチェック ボックスを使用して、個々のログ ソースに対するシステム設定のデフォルト動作を上書きできます。

イベント ペイロードの保存

ログ ソースがイベントからのペイロード情報を保存できるようにする場合は、このチェック ボックスをオンにします。

新しく自動的に検出されたログ ソースは、[管理] タブの [システム設定] 構成からこのチェック ボックスの値を継承します。管理者は、このチェック ボックスを使用して、個々のログ ソースに対するシステム設定のデフォルト動作を上書きできます。

プロトコル設定

SNMPv3

ログ ソース識別子

ログ ソースの一意の名前を入力します。

認証プロトコル

SNMP3 トラップの認証に使用するアルゴリズム:

• SHA は、認証プロトコルとして SHA(セキュア ハッシュ アルゴリズム)を使用します。

• MD5 は 、認証プロトコルとしてメッセージ ダイジェスト 5(MD5)を使用します。

認証パスワード

SNMPv3 を認証するためのパスワード。認証パスワードには、最低 8 文字を含める必要があります。

暗号化解除プロトコル

SNMPv3 トラップの暗号化解除に使用するアルゴリズムを選択します。

• Des

• AES128

• AES192

• AES256

暗号化解除パスワード

SNMPv3 トラップを復号化するためのパスワード。暗号化解除パスワードには、最低 8 文字を含める必要があります。

ユーザー

アプライアンスで SNMPv3 を設定するために使用されたユーザー名。

イベントペイロードに OID を含める

SNMP イベント ペイロードが、標準のイベント ペイロード形式ではなく名前と値のペアを使用して構築されるように指定します。[ログ ソース タイプ] リストから特定の ログ ソース を選択すると、SNMPv2 または SNMPv3 イベントを処理するために、イベント ペイロード内の OID が必要になります。

ログ ソース タイプ

Seculert

プロトコル設定

Seculert 保護 REST API

ログ ソース識別子

Seculert からのイベントの識別子として、ログ ソースの IP アドレスまたはホスト名を入力します。

複数のインストールがある場合に作成する追加のログ ソースには、IP アドレスやホスト名などの一意の識別子が含まれるのが理想的です。

APIキー

Seculert 保護 REST API による認証に使用される API キー。API キー値は Seculert Web ポータルから取得されます。

プロキシの使用

プロキシを設定すると、ログソースのすべてのトラフィックが JSA のプロキシを経由してSeculert保護REST APIにアクセスします。

プロキシIPまたはホスト名、プロキシポート、プロキシユーザー名、プロキシパスワードのフィールドを設定します。プロキシに認証が必要ない場合は、[プロキシ ユーザー名] フィールドと [プロキシ パスワード] フィールドを空白のままにします。

サーバー証明書の自動取得

リストの 「 はい」 を選択すると、 JSA は証明書をダウンロードして、ターゲット・サーバーの信頼を開始します。

再発

ログがデータを収集するタイミングを指定します。M/H/D の形式は分/時間/日です。デフォルトは 1 M です。

EPS スロットル

API から受信したイベントの 1 秒あたりの最大イベント数(eps)の上限。

有効

ログ ソースを有効にするには、このチェック ボックスをオンにします。デフォルトでは、このチェック ボックスがオンになっています。

信頼性

ログ ソースの 信頼性 を選択します。範囲は0~10です。

信頼性は、送信元デバイスからの信頼性評価によって決定されるイベントまたは攻撃の完全性を示します。複数のソースが同じイベントを報告すると、信頼性が高くなります。デフォルトは5です。

ターゲット イベント コレクター

ログ ソースのターゲットとして使用するターゲット イベント コレクター を選択します。

結合イベント

ログ ソースが (バンドル) イベントを結合できるようにする場合は、このチェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA の [システム設定] から [結合イベント] リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

イベント ペイロードの保存

ログ ソースがイベント ペイロード情報を保存できるようにする場合は、このチェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA のシステム設定からストア イベント ペイロード リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

プロトコル設定

Sophos Enterprise Console JDBC

ログ ソース識別子

ログ ソースの名前を入力します。名前にスペースを含めることはできません。また、JDBC プロトコルを使用するように構成されているログ・ソース・タイプのすべてのログ・ソース間で固有でなければなりません。

ログ ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集する場合、そのアプライアンスの IP アドレスまたはホスト名を ログ ソース識別子 の値のすべてまたは一部として使用します。例えば、192.168.1.1 または JDBC192.168.1.1 です。ログ ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集しない場合、 ログ ソース識別子 の値には任意の一意の名前を使用できます。例えば、JDBC1、JDBC2 などです。

データベースタイプ

Msde

データベース名

データベース名は、[ ログ ソース識別子 ] フィールドで指定されたデータベース名と一致する必要があります。

ポート

Sophos Enterprise Console の MSDE のデフォルト ポートは 1168 です。JDBC 設定ポートは、 JSA と通信するために Sophos データベースのリスナー ポートと一致する必要があります。Sophos データベースでは、受信 TCP 接続が有効になっている必要があります。

MSDE データベース タイプでデータベース インスタンスを使用する場合は、ポート パラメーターを空白のままにする必要があります。

認証ドメイン

ネットワークでドメインを使用していない場合は、このフィールドは空白のままにします。

データベース インスタンス

必要に応じて、データベース インスタンスを指定します。MSDE データベースには、1 つのサーバー上に複数の SQL サーバー インスタンスを含めることができます。

データベースまたは管理者が SQL データベース解決のために非標準ポートを使用してポート 1434 へのアクセスをブロックする場合、 データベース インスタンス パラメーターは空白にする必要があります。

表名

vEventsCommonData

リストを選択

*

フィールドの比較

InsertedAt

準備されたステートメントを使用する

準備されたステートメントにより、プロトコル・ソースは SQL ステートメントをセットアップし、異なるパラメーターを使用して SQL ステートメントを何回も実行できます。セキュリティーとパフォーマンスの理由から、ほとんどの構成では準備済みステートメントを使用できます。コンパイル済みのステートメントを使用しない別のクエリ方法を使用する場合は、このチェック ボックスをオフにします。

開始日と時刻

オプション。プロトコルがデータベースのポーリングを開始できる開始日と時刻。開始時間が定義されていない場合、プロトコルはログ ソース設定の保存と導入後にイベントのポーリングを試みます。

ポーリング間隔

ポーリング間隔は、データベースへのクエリ間隔です。時間の H を、分の場合は M を数値に追加することで、より長いポーリング間隔を定義できます。最大ポーリング間隔は、任意の時間形式で1週間です。H または M 指定子なしの数値は、秒単位でポーリングします。

EPS スロットル

このプロトコルを超えないようにする 1 秒あたりのイベント数(EPS)。

名前付きパイプ通信を使用する

MSDE がデータベース タイプとして構成されている場合、管理者はこのチェック ボックスをオンにして、TCP/IP ポート接続の代替方法を使用できます。

MSDE データベースの名前付きパイプ接続では、ユーザー名とパスワード フィールドが、データベースのユーザー名とパスワードではなく、Windows 認証ユーザー名とパスワードを使用する必要があります。ログ ソース設定では、MSDE データベースでデフォルトの名前付きパイプを使用する必要があります。

データベース クラスタ名

クラスター環境で SQL サーバーを使用する場合は、クラスター名を定義して、名前付きパイプ通信が正しく機能するようにしてください。

NTLMv2 の使用

NTLMv2 認証を必要とする SQL サーバーと共に、NTLMv2 プロトコルを使用するように MSDE 接続を強制します。チェックボックスのデフォルト値が選択されます。

[NTLMv2 を使用] チェック ボックスは、NTLMv2 認証を必要としない MSDE 接続の通信を中断しません。

プロトコル設定

Syslogリダイレクト

ログソース識別子正規表現

正規表現を入力して、ペイロードからのログソース識別子を解析します。

ログ ソース識別子

デフォルトとして使用するログ ソース識別子を入力します。ログソース識別子正規表現が提供される正規表現を使用して特定のペイロードからのログソース識別子を解析できない場合、デフォルトが使用されます。

ログソース識別子正規表現フォーマット文字列

ログソース識別子正規表現からのキャプチャグループを組み合わせるフォーマット文字列。

例えば：

1. 「$1」は最初のキャプチャグループを使用します。

2. 「$1$2」は、キャプチャグループ1と2を連結します。

3. 「$1 TEXT $2」は、キャプチャグループ1、リテラル「TEXT」、キャプチャグループ2を連結します。

結果の文字列は、新しいログソース識別子として使用されます。

正規表現一致でDNSルックアップを実行する

[ 正規表現一致時に DNS ルックアップを実行する] チェック ボックスをオンにして、 ログ ソース識別子正規表現 とパラメーター値に基づく DNS 機能を有効にします。

デフォルトでは、このチェック・ボックスは選択されていません。

リッスン ポート

未使用のポートを入力し、そのポートで JSA にイベントを送信するようにログ ソースを設定します。

プロトコル

リストから、 TCP または UDP のいずれかを選択します。

Syslogリダイレクトプロトコルは、任意の数のUDP syslog接続をサポートしますが、TCP接続は2500に制限されます。syslog ストリームに 2,500 を超えるログ ソースがある場合、2 番目のログ ソースを入力し、ポート番号をリッスンする必要があります。

有効

ログ ソースを有効にするには、このチェック ボックスをオンにします。デフォルトでは、このチェック ボックスがオンになっています。

信頼性

リストから、ログ ソースの信頼性を選択します。範囲は0~10です。

信頼性は、送信元デバイスからの信頼性評価によって決定されるイベントまたは攻撃の完全性を示します。複数のソースが同じイベントを報告すると、信頼性が高くなります。デフォルトは5です。

ターゲット イベント コレクター

一覧から、ログ ソースのターゲットとして使用する ターゲット イベント コレクター を選択します。

結合イベント

ログ ソースがイベント を結合(バンドル)できるようにする場合は、[結合イベント] チェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA の [システム設定] から [結合イベント] リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

受信イベント ペイロード

[受信イベント ペイロード] リストから、ログの解析と保存に使用する受信ペイロード エンコーダーを選択します。

イベント ペイロードの保存

ログ ソースが イベント ペイロード 情報を格納できるようにする場合は、[イベント ペイロードの格納] チェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA のシステム設定からストア イベント ペイロード リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

プロトコル設定

TCP マルチライン Syslog

ログ ソース識別子

ログ送信元を識別する IP アドレスまたはホスト名を入力します。代わりに名前を使用するには、[ カスタム ソース名を使用 ] を選択し、[ ソース名の正規表現] パラメーターと [ ソース名の書式設定文字列 ] パラメーターに入力します。

リッスン ポート

デフォルトポートは12468です。

アグリゲーション方法

デフォルトは [開始/終了マッチング]です。共通の識別子で結合されたマルチライン イベントを組み合わせる場合は、 ID-Linked を使用します。

イベント開始パターン

このパラメーターは、[集約方法] パラメーターを [照合の開始/終了] に設定した場合に使用できます。

TCP マルチライン イベント ペイロードの開始を識別するために必要な正規表現(正規表現)。Syslog ヘッダーは通常、日付または時刻スタンプで始まります。プロトコルは、タイムスタンプなどのイベント開始パターンのみに基づく単一行イベントを作成できます。開始パターンのみが使用可能な場合、プロトコルは各開始値間のすべての情報をキャプチャして有効なイベントを作成します。

イベント終了パターン

このパラメーターは、[集約方法] パラメーターを [照合の開始/終了] に設定した場合に使用できます。

TCPマルチラインイベントペイロードの終了を識別するために必要なこの正規表現(正規表現)。syslog イベントが同じ値で終了する場合、正規表現を使用してイベントの終了を決定できます。プロトコルは、イベントエンドパターンのみに基づくイベントをキャプチャできます。エンド パターンのみが利用可能な場合、プロトコルは各エンド値間のすべての情報をキャプチャして有効なイベントを作成します。

メッセージ ID パターン

このパラメーターは、[ 集約方法] パラメーターを ID-Linked に設定した場合に使用できます。

この正規表現(正規表現)は、イベントペイロードメッセージをフィルタリングするために必要です。TCP マルチライン イベント メッセージには、イベント メッセージの各行で繰り返される共通の識別値を含める必要があります。

イベント フォーマッタ

Windows 専用にフォーマットされた複数行イベントの Windows マルチ ライン オプションを使用します。

詳細オプションを表示

デフォルトは 「いいえ」です。イベント データをカスタマイズする場合は、[ はい ] を選択します。

カスタム ソース名を使用する

このパラメータは、[ 高度なオプションを表示] を [はい]に設定した場合に使用できます。

正規表現でソース名をカスタマイズする場合は、このチェック ボックスをオンにします。

送信元名正規表現

このパラメーターは、[ カスタム ソース名を使用] をオンにした場合に使用できます。

このプロトコルで処理されるイベントペイロードから1つ以上の値を取得する正規表現(正規表現)。これらの値は、各イベントの送信元または送信元値を設定するソース 名の書式設定文字列 パラメーターと共に使用されます。このソース値は、一致するログ ソース識別子値を持つログ ソースにイベントをルーティングするために使用されます。

ソース名書式文字列

このパラメーターは、[ カスタム ソース名を使用] をオンにした場合に使用できます。

以下の 1 つ以上の入力を組み合わせて使用して、このプロトコルによって処理されるイベント ペイロードのソース値を形成できます。

• ソース名正規表現から1つ以上のキャプチャグループ。キャプチャグループを参照するには、\x記法を使用します。xはソース名正規表現からのキャプチャグループのインデックスです。

• イベント データの送信元となる IP アドレス。パケットIPを参照するには、トークン$PIP$を使用します。

• リテラル テキスト文字。 ソース名の書式設定文字列 全体は、ユーザーが提供するテキストを使用できます。たとえば、 Source Name Regex が'hostname=(.*?)'で、キャプチャ グループ 1 の値に hostname.com を追加する場合は、 ソース名の書式設定文字列を \1.hostname.com に設定します。ホスト名=ibmを含むイベントが処理された場合、イベントペイロードのソース値は ibm.hostname.com に設定され、JSAはその ログソース識別子を持つログソースにイベントをルーティングします。

ゲートウェイ ログ ソースとして使用

このパラメータは、[ 高度なオプションを表示] を [はい]に設定した場合に使用できます。

オンにすると、ログ ソースを通過するイベントは、イベントにタグ付けされたソース名に基づいて、他のログ ソースにルーティングできます。

このオプションを選択せず、「 カスタム・ソース名を使用」 をチェックしていない場合、受信イベントには「ログ・ソース ID」パラメーターに対応するソース名でタグ付けされます。

マルチライン イベントを 1 行に平坦化

このパラメータは、[ 高度なオプションを表示] を [はい]に設定した場合に使用できます。

1 行または複数行でイベントを表示します。

イベントアグリゲーション中に行全体を保持

このパラメータは、[ 高度なオプションを表示] を [はい]に設定した場合に使用できます。

[集約方法] パラメーターを ID-Linked に設定した場合、イベント集約中に行全体を保持を有効にして、同じ ID パターンでイベントを連結する際にメッセージ ID パターンの前にあるイベントの一部を破棄または保持することができます。

時間制限

イベントがイベント パイプラインにプッシュされるまでの、追加の一致するペイロードを待つ秒数。デフォルトは10秒です。

有効

ログ ソースを有効にするには、このチェック ボックスをオンにします。

信頼性

ログ ソースの信頼性を選択します。範囲は0~10です。

信頼性は、送信元デバイスからの信頼性評価によって決定されるイベントまたは攻撃の完全性を示します。複数のソースが同じイベントを報告すると、信頼性が高くなります。デフォルトは5です。

ターゲット イベント コレクター

TCP Multiline Syslog リスナーをホストする必要があるデプロイのイベント コレクターを選択します。

結合イベント

ログ ソースが (バンドル) イベントを結合できるようにする場合は、このチェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA の [システム設定] から [結合イベント] リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

イベント ペイロードの保存

ログ ソースがイベント ペイロード情報を保存できるようにする場合は、このチェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA のシステム設定からストア イベント ペイロード リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

プロトコル設定

TLS Syslog

ログ ソース識別子

ログの送信元を識別するための IP アドレスまたはホスト名。

TLSリスニングポート

デフォルトのTLSリッスンポートは6514です。

認証モード

TLS 接続が認証に使用するモード。 TLS およびクライアント認証 オプションを選択した場合、証明書パラメーターを構成する必要があります。

クライアント証明書認証

リストから以下のいずれかのオプションを選択します。

• CN許可リストと発行者検証

• ディスク上のクライアント証明書

CN許可リストを使用する

CN許可リストを使用するには、このパラメーターを有効にします。

CN許可リスト

信頼できるクライアント証明書の共通名の許可リスト。プレーンテキストまたは正規表現(正規表現)を入力できます。複数のエントリーを定義するには、それぞれを別の行に入力します。

発行者検証の使用

発行者検証を使用するには、このパラメーターを有効にします。

ルート/中間発行者の証明書または公開キー

ルート/中間発行者の証明書または公開キーを PEM 形式で入力します。

• 証明書を入力します。最初に次のようになります。

  -----べギン証明書-----

  で終わるのは次のとおりです。

  証明書-----送り-----

• 最初に公開キーを入力します。

  -----パブリックキーを作成します-----

  で終わるのは次のとおりです。

  パブリックキーを-----に送ります-----

証明書の取り消しの確認

クライアント証明書に対して証明書の失効ステータスを確認します。このオプションでは、X509v3 拡張内のクライアント証明書に対して 、CRL 配布ポイント フィールドで指定されている URL へのネットワーク接続が必要です。

証明書の使用状況の確認

「 鍵使用 」および「 拡張鍵使用 拡張」フィールドで証明書 X509v3 拡張の内容を確認します。受信クライアント証明書の場合、X509v3 鍵使用の許可値は 、デジタル署名 と 鍵アグレーメントです。X509v3拡張キー使用の許可値は、 TLS Webクライアント認証です。

このプロパティはデフォルトで無効になっています。

クライアント証明書パス

ディスク上のクライアント証明書への絶対パス。この証明書は、このログ ソースの JSA コンソール または イベント コレクター に保存する必要があります。

サーバー証明書の種類

サーバー証明書とサーバーキーの認証に使用する証明書の種類。

[サーバー証明書の種類] リストから、以下のいずれかのオプションを選択します。

• 生成された証明書

• PEM証明書と秘密鍵

• PKCS12 証明書チェーンとパスワード

• JSA認定書ストアから選択

生成された証明書

このオプションは、 証明書タイプを設定する場合に使用できます。

サーバー証明書とサーバー鍵に対して JSA によって生成されるデフォルト証明書と鍵を使用する場合は、このオプションを選択します。

生成された証明書の名前は、ログ ソースが割り当てられているターゲット イベント コレクター上の /opt/ qradar/conf/trusted_certificates/ ディレクトリ内の syslog-tls.cert という名前です。

単一証明書と秘密鍵

このオプションは、 証明書タイプを設定する場合に使用できます。

サーバー証明書に単一の PEM 証明書を使用する場合は、このオプションを選択し、以下のパラメーターを構成します。

• 指定されたサーバー証明書パス - サーバー証明書への絶対パス。

• 提供されたプライベートキーパス - プライベートキーへの絶対パス。

PKCS12 証明書とパスワード

このオプションは、 証明書タイプを設定する場合に使用できます。

サーバー証明書とサーバー キーを含む PKCS12 ファイルを使用する場合は、このオプションを選択し、以下のパラメーターを構成します。

• PKCS12 証明書パス - サーバー証明書とサーバー キーを含む PKCS12 ファイルのファイル パスを入力します。

• PKCS12 パスワード - パスワードを入力して PKCS12 ファイルにアクセスします。

• 証明書エイリアス - PKCS12ファイルに複数のエントリーがある場合、使用するエントリーを指定するためにエイリアスを提供する必要があります。PKCS12 ファイル内のエイリアスが 1 つだけの場合は、このフィールドは空白のままにします。

JSA認定書ストアから選択

このオプションは、 証明書タイプを設定する場合に使用できます。

証明書管理アプリを使用して、JSA 証明書ストアから証明書をアップロードできます。

このアプリケーションは、JSA 7.3.3 Fix Pack 6 以降および JSA 7.4.2 以降でサポートされています。

最大ペイロード長

TLS Syslog メッセージ用に表示される最大ペイロード長(文字)。

最大接続数

最大接続数パラメーターは、各イベント コレクターに対して TLS Syslog プロトコルが受け入れる同時接続の数を制御します。

TLS Syslog ログ ソース構成では、有効および無効なログ ソースを含め、イベント コレクターごとに 1,000 回の接続が制限されています。

TLS プロトコル

ログ ソースが使用する TLS プロトコル。

「TLS 1.2 以降」オプションを選択します。

ゲートウェイログソースとして使用

収集されたイベントを JSA トラフィック分析エンジンを介して送信し、適切なログ ソースを自動的に検出します。

イベントのカスタム ログ ソース識別子を定義しない場合は、チェック ボックスをオフにします。

このオプションが選択されず、 ログ ソース識別子パターン が構成されていない場合、JSA は未知の汎用ログ ソースとしてイベントを受信します。

ログ ソース識別子パターン

ゲートウェイログソースとして使用オプションを使用して、処理されるイベントと、該当する場合にログソースを自動的に検出するカスタムログソース識別子を定義します。ログ ソース識別子パターンを構成しない場合、JSA は未知の汎用ログ ソースとしてイベントを受信します。

キーと値のペアを使用してカスタムログソース識別子を定義します。キーは、結果として得られるソースまたは送信元値である識別子フォーマット文字列です。値は、現在のペイロードを評価するために使用される関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャ グループもサポートしています。

新しい行に各パターンを入力して、複数のキーと値のペアを定義します。複数のパターンがリストされた順序で評価されます。一致するものが見つかった場合は、カスタムのログ ソース識別子が表示されます。

次の例では、複数のキーと値のペア関数を示します。

• パターン - VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2= \s(ACCEPT)\s(OK)

• イベント - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• 結果として得られるカスタム ログ ソース識別子 - VPC-ACCEPT-OK

マルチラインを有効にする

開始/終了照合または ID-Linked 正規表現に基づいて、複数のメッセージを 1 つのイベントに集約します。

アグリゲーション方法

このパラメータは、[ マルチラインを有効にする] をオンにした場合に使用できます。

• ID-Linked - 行の先頭に共通の値を含むイベント ログを処理します。

• 開始/終了照合 - 開始または終了正規表現(正規表現)に基づいてイベントを集約します。

イベント開始パターン

このパラメータは 、[マルチラインを有効にする] がオンで、[ 集約方法 ] が [開始/終了照合] に設定されている場合に使用できます。

TCPマルチラインイベントペイロードの開始を識別するには、正規表現(正規表現)が必要です。Syslog ヘッダーは、通常、日付またはタイムスタンプで始まります。プロトコルは、タイムスタンプなどのイベント開始パターンのみに基づく単一行のイベントを作成できます。開始パターンのみが使用可能な場合、プロトコルは各開始値間のすべての情報をキャプチャして有効なイベントを作成します。

イベント終了パターン

このパラメータは 、[マルチラインを有効にする] がオンで、[ 集約方法 ] が [開始/終了照合] に設定されている場合に使用できます。

この正規表現(正規表現)は、TCPマルチラインイベントペイロードの終了を識別するために必要です。syslog イベントが同じ値で終了する場合、正規表現を使用してイベントの終了を決定できます。プロトコルは、イベントエンドパターンのみに基づくイベントをキャプチャできます。エンド パターンのみが利用可能な場合、プロトコルは各エンド値間のすべての情報をキャプチャして有効なイベントを作成します。

メッセージ ID パターン

このパラメータは 、[マルチラインを有効にする] がオンで、[ 集約方法 ]が ID-Linked に設定されている場合に使用できます。

この正規表現(正規表現)は、イベントペイロードメッセージをフィルタリングするために必要です。TCP マルチライン イベント メッセージには、イベント メッセージの各行で繰り返される共通の識別値を含める必要があります。

時間制限

このパラメータは 、[マルチラインを有効にする] がオンで、[ 集約方法 ]が ID-Linked に設定されている場合に使用できます。

イベントがイベント パイプラインにプッシュされるまでに一致するペイロードが増えるのを待つ秒数。デフォルトは10秒です。

イベントアグリゲーション中に行全体を保持

このパラメータは 、[マルチラインを有効にする] がオンで、[ 集約方法 ]が ID-Linked に設定されている場合に使用できます。

[集約方法] パラメーターを ID-Linked に設定した場合、イベントアグリゲーション中に行全体を保持を有効にして、メッセージ ID パターンの前にあるイベントを破棄または保持できます。この機能を有効にできるのは、同じ ID パターンでイベントを連結する場合のみです。

マルチライン イベントを 1 行に平坦化

このパラメータは、[ マルチラインを有効にする] をオンにした場合に使用できます。

1 行または複数行でイベントを表示します。

イベント フォーマッタ

このパラメータは、[ マルチラインを有効にする] をオンにした場合に使用できます。

Windows 専用にフォーマットされた複数行イベントの Windows マルチ ライン オプションを使用します。

プロトコル設定

UDP マルチライン Syslog

リッスン ポート

JSA が受信 UDP マルチライン Syslog イベントを受け入れるのに使用するデフォルトのポート番号は 517 です。1~65535 の範囲で異なるポートを使用できます。

保存した設定を編集して新しいポート番号を使用するには、次の手順を実行します。

1. [ Listen Port ] フィールドに、UDP マルチライン Syslog イベントを受信するための新しいポート番号を入力します。

2. [ 保存] をクリックします。

3. [ 変更の展開 ] をクリックして、この変更を有効にします。

ポート更新が完了し、新しいポート番号でイベント収集が開始されます。

メッセージ ID パターン

イベントペイロードメッセージをフィルタリングするために必要な正規表現(正規表現)。UDP マルチライン イベント メッセージには、イベント メッセージの各行で繰り返される共通の識別値が含まれている必要があります。

イベント フォーマッタ

リスナーによって検出された受信ペイロードをフォーマットするイベント フォーマッタ。ペイロードを手つかずのままにするには、[ 書式設定なし ] を選択します。ペイロードを 1 行のイベントにフォーマットするには、 Cisco ACS マルチライン を選択します。

ACS syslog ヘッダーには、total_segフィールドとseg_num フィールドがあります。これらの 2 つのフィールドは、Cisco ACS マルチライン オプションを選択した場合、ACS マルチライン イベントを正しい順序で 1 行のイベントに再配置するために使用されます。

詳細オプションを表示

デフォルトは 「いいえ」です。高度なオプションを設定する場合は、[ はい ] を選択します。

カスタム ソース名を使用する

正規表現でソース名をカスタマイズする場合は、このチェック ボックスをオンにします。

送信元名正規表現

JSA がこの UDP Multiline Syslog 設定によって処理されるイベントの送信元を決定する方法をカスタマイズしたい場合は、 ソース名正規表現 と ソース名の書式設定文字列 パラメータを使用します。

Source Name Regexでは、正規表現を入力して、このプロトコルで処理されるイベントペイロードから1つ以上の識別値をキャプチャします。これらの値は、各イベントの送信元または送信元値を設定するソース名の書式設定文字列と共に使用されます。このソース値は、[ゲートウェイのログ ソースとして使用] オプションが有効になっている場合に、一致するログ ソース識別子の値を持つログ ソースにイベントをルーティングするために使用されます。

ソース名書式文字列

以下の 1 つ以上の入力を組み合わせて使用して、このプロトコルによって処理されるイベント ペイロードのソース値を形成できます。

• ソース名正規表現から1つ以上のキャプチャグループ。キャプチャグループを参照するには、\x記法を使用します。xはソース名正規表現からのキャプチャグループのインデックスです。

• イベント データが発信された IP アドレス。パケットIPを参照するには、トークン$PIP$を使用します。

• リテラル テキスト文字。ソース名の書式設定文字列全体は、ユーザーが提供するテキストを使用できます。

例えば、CiscoACS\1\2$PIP$は、\1\2は ソース名正規表現 値から最初と2番目のキャプチャグループを意味し、$PIP$はパケットIPです。

ゲートウェイログソースとして使用

このチェック ボックスがオフの場合、受信イベントは、送信元 IP と一致する ログ ソース識別子 を使用してログ ソースに送信されます。

オンにすると、このログ ソースは、多くのソースからのマルチライン イベントの単一のエントリ ポイントまたはゲートウェイとして機能し、各ソースに UDP マルチライン Syslog ログ ソースを設定することなく、同じ方法で処理されます。RFC3164またはRFC5424に準拠したsyslogヘッダーを持つイベントは、 ソース名の書式設定文字列 パラメーターが使用されていない限り、ヘッダー内のIPまたはホスト名から発生したと識別されます。この場合は、各イベントに対してフォーマット文字列が評価されます。このようなイベントはすべて、キャプチャされた値に基づいて JSA を介してルーティングされます。

対応するログソース識別子を持つ1つ以上の ログソースが存在する場合、設定された解析順序に基づいてイベントが与われます。イベントを受け入れない場合、または一致するログ ソース識別子を持つ ログ ソースが存在しない場合、イベントが自動的に検出されるように分析されます。

マルチライン イベントを 1 行に平坦化

1 行または複数行でイベントを表示します。このチェック ボックスをオンにすると、すべての改行文字とキャリッジ リターン文字がイベントから削除されます。

イベントアグリゲーション中も行全体を保持

プロトコルが同じ ID パターンでイベントを連結する際に 、メッセージ ID パターン の前にあるイベントの一部を破棄または保持する場合は、このオプションを選択します。

時間制限

イベントがイベント パイプラインにプッシュされるまでの、追加の一致するペイロードを待つ秒数。デフォルトは10秒です。

有効

ログ ソースを有効にするには、このチェック ボックスをオンにします。

信頼性

ログ ソースの信頼性を選択します。範囲は0~10です。

信頼性は、送信元デバイスからの信頼性評価によって決定されるイベントまたは攻撃の完全性を示します。複数のソースが同じイベントを報告すると、信頼性が高くなります。デフォルトは5です。

ターゲット イベント コレクター

UDP マルチライン Syslog リスナーをホストする必要があるデプロイのイベント コレクターを選択します。

結合イベント

ログ ソースが (バンドル) イベントを結合できるようにする場合は、このチェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA の [システム設定] から [結合イベント] リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

イベント ペイロードの保存

ログ ソースがイベント ペイロード情報を保存できるようにする場合は、このチェック ボックスをオンにします。

デフォルトでは、自動的に検出されたログ ソースは JSA のシステム設定からストア イベント ペイロード リストの値を継承します。ログ ソースを作成したり、既存の設定を編集したりするときに、各ログ ソースに対してこのオプションを設定することで、デフォルト値を上書きできます。

ログ ソース識別子

ログ ソース名にスペースを含めることはできません。VMware vCloud Director プロトコルで構成されているこのタイプのすべてのログ ソース間で一意にする必要があります。

プロトコル設定

VMware vCloud Director

vCloud URL

VMware vCloud アプライアンスで REST API にアクセスするように構成された URL。URL は、vCloud サーバーの VCD パブリック REST API ベース URL フィールドとして構成されているアドレスと一致する必要があります。例えば、 https:<my.vcloud.server>/api.

ユーザー名

vCloud サーバーにリモートアクセスするために必要なユーザー名。例えば、 console/user@organization.

JSA と一緒に使用する読み取り専用アカウントを構成する場合は、「 コンソールのみ」 権限を持つ vCloud ユーザーを組織内に作成します。

パスワード

vCloud サーバーにリモートアクセスするために必要なパスワード。

ポーリング間隔(秒単位)

新しいイベントについて vCloud サーバーにクエリを実行するまでの時間。

デフォルトのポーリング間隔は10秒です。

EPS スロットル

1 秒あたりのイベントの最大数(EPS)。デフォルトは5000です。

高度なオプションを有効にする

このオプションを有効にして、より多くのパラメーターを設定します。

API ページサイズ

[ 高度なオプションを有効にする] を選択した場合は、このパラメーターが表示されます。

API 呼び出しごとに返されるレコードの数。最大は128です。

レガシーvCloud SDKを有効にする

[ 高度なオプションを有効にする] を選択した場合は、このパラメーターが表示されます。

vCloud 5.1以前に接続するには、このオプションを有効にします。

vCloud APIバージョン

[ 高度なオプションを有効にする ] を選択し、[ Legacy vCloud SDK を有効にする] を選択すると、このパラメーターは表示されなくなります。

API リクエストで使用される vCloud バージョン。このバージョンは、vCloud インストールと互換性のあるバージョンと一致している必要があります。

以下の例を使用して、vCloud インストールと互換性のあるバージョンを決定します。

• vCloud API 33.0(vCloud Director 10.0)

• vCloud API 32.0(vCloud Director 9.7)

• vCloud API 31.0(vCloud Director 9.5)

• vCloud API 30.0(vCloud Director 9.1)

• vCloud API 29.0(vCloud Director 9.0)

信頼できない証明書の許可

[ 高度なオプションを有効にする ] を選択し、[ Legacy vCloud SDK を有効にする] を選択すると、このパラメーターは表示されなくなります。

vCloud 5.1 以降に接続する場合、自己署名証明書、信頼できない証明書を許可するには、このオプションを有効にする必要があります。

証明書は PEM または DER エンコードされたバイナリ形式でダウンロードし、ファイル拡張子を /opt/qradar/conf/ trusted_certificates/ 持つディレクトリに配置する .cert or .crt 必要があります。

プロキシの使用

[ 高度なオプションを有効にする ] を選択し、[ Legacy vCloud SDK を有効にする] を選択すると、このパラメーターは表示されなくなります。

プロキシを使用してサーバーにアクセスする場合は、[プロキシを 使用 ] チェック ボックスをオンにします。プロキシが認証を必要とする場合は、 プロキシサーバー、プロキシポート、プロキシユーザー名、およびプロキシパスワードフィールドを 設定します。

プロキシに認証が必要ない場合は、[ プロキシIPまたはホスト名 ]フィールドを設定します。

プロキシIPまたはホスト名

[プロキシを 使用]を選択した場合は、このパラメータが表示されます。

[ 高度なオプションを有効にする ] を選択し、[ Legacy vCloud SDK を有効にする] を選択すると、このパラメーターは表示されなくなります。

プロキシ ポート

[プロキシを 使用]を選択した場合は、このパラメータが表示されます。

[ 高度なオプションを有効にする ] を選択し、[ Legacy vCloud SDK を有効にする] を選択すると、このパラメーターは表示されなくなります。

プロキシとの通信に使用されるポート番号。デフォルトは8080です。

プロキシ ユーザー名

[プロキシを 使用]を選択した場合は、このパラメータが表示されます。

[ 高度なオプションを有効にする ] を選択し、[ Legacy vCloud SDK を有効にする] を選択すると、このパラメーターは表示されなくなります。

プロキシ パスワード

[プロキシを 使用]を選択した場合は、このパラメータが表示されます。

[ 高度なオプションを有効にする ] を選択し、[ Legacy vCloud SDK を有効にする] を選択すると、このパラメーターは表示されなくなります。