프로토콜 구성 옵션

로그 소스 유형

Akamai KONA

프로토콜 구성

Akamai Kona REST API

호스트

호스트 값은 Akamai Luna Control Center에서 SIEM OPEN API 프로비저닝 중에 제공됩니다. Host는 보안 이벤트를 조회할 수 있는 적절한 권한에 대한 정보를 포함하는 고유의 기본 URL입니다. 이 매개 변수는 암호 필드입니다. 값의 일부에는 암호 클라이언트 정보가 포함되어 있기 때문입니다.

클라이언트 토큰

클라이언트 토큰 은 2가지 보안 매개변수 중 하나입니다. 이 토큰은 Client Secret 와 짝을 이루어 클라이언트 자격 증명을 만듭니다. 이 토큰은 Akamai SIEM OPEN API를 프로비저닝한 후에 찾을 수 있습니다.

클라이언트 암호

클라이언트 암호 는 2가지 보안 매개변수 중 하나입니다. 이 암호는 클라이언트 토큰 과 짝을 이루어 클라이언트 자격 증명을 만듭니다. 이 토큰은 Akamai SIEM OPEN API를 프로비저닝한 후에 찾을 수 있습니다.

액세스 토큰

액세스 토큰 은 보안 이벤트를 검색하기 위해 API 클라이언트 액세스를 승인하기 위해 클라이언트 자격 증명과 함께 사용되는 보안 매개 변수입니다. 이 토큰은 Akamai SIEM OPEN API를 프로비저닝한 후에 찾을 수 있습니다.

보안 구성 ID

보안 구성 ID 는 보안 이벤트를 검색하려는 각 보안 구성의 ID입니다. 이 ID는 Akamai Luna 포털의 SIEM 통합 섹션에서 확인할 수 있습니다. 쉼표로 구분된 목록에서 여러 구성 IP를 지정할 수 있습니다. 예: configID1,configID2.

프록시 사용

프록시를 사용하여 JSA 가 Amazon Web Service에 액세스하는 경우 , Use Proxy를 활성화합니다.

프록시에 인증이 필요한 경우 Proxy Server, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다.

프록시가 인증을 요구하지 않는 경우 Proxy IP 또는 Hostname 필드를 구성합니다.

서버 인증서 자동 취득

JSA에 대해 Yes를 선택하여 서버 증명서를 자동으로 다운로드하고 대상 서버를 신뢰하기 시작합니다.

되풀이

새로운 이벤트에 대한 Akamai SIEM API에 대한 로그 소스 쿼리 간의 시간 간격입니다. 시간 간격은 시간 (H), 분 (M) 또는 일 (D)일 수 있습니다. 기본값은 1분입니다.

EPS 제한

초당 최대 이벤트 개수입니다. 기본값은 5000입니다.

프로토콜 구성

Amazon AWS S3 REST API

로그 소스 식별자

로그 소스에 고유 이름을 입력합니다.

Log Source Identifier는 유효한 값이 될 수 있으며 특정 서버를 참조할 필요가 없습니다. Log Source Identifier는 Log Source Name과 동일한 값을 사용할 수 있습니다. 구성된 Amazon AWS CloudTrail 로그 소스가 두 개 이상인 경우 첫 번째 로그 소스를 로, 두 번째 로그 소스awscloudtrail1는 로awscloudtrail2, 세 번째 로그 소스는 로 awscloudtrail3식별하려고 할 수 있습니다.

인증 방법

• 액세스 키 ID / Secret Key – 어디에서나 사용할 수 있는 표준 인증.

• EC2 인스턴스 IAM 역할 - 매니지드 호스트가 AWS EC2 인스턴스에서 실행되는 경우 이 옵션을 선택하면 인증을 위해 인스턴스에 할당된 인스턴스 메타데이터에서 IAM 역할을 사용합니다. 키가 필요하지 않습니다. 이 방법은 AWS EC2 컨테이너 내에서 실행되는 매니지드 호스트에 대해서만 작동합니다.

액세스 키

AWS 사용자 계정에 대한 보안 자격 증명을 구성했을 때 생성된 Access Key ID

Access Key ID /Secret Key 또는 Assume IAM Role을 선택한 경우 Access Key 매개 변수가 표시됩니다.

암호 키

AWS 사용자 계정에 대한 보안 자격 증명을 구성했을 때 생성된 암호 키입니다.

Access Key ID / Secret Key를 선택했거나 IAM 역할을 가정하면, Secret Key 매개 변수가 표시됩니다.

IAM 역할 가정

Access Key 또는 EC2 인스턴스 IAM 역할로 인증하여 이 옵션을 활성화합니다. 그런 다음 액세스를 위해 일시적으로 IAM 역할을 가정할 수 있습니다.

역할 ARN 가정

가정할 역할의 전체 ARN. "arn:"으로 시작해야 하며 ARN 내의 선두 또는 후행 공간 또는 공간을 포함할 수 없습니다.

IAM 역할 가정(Assume a IAM Role)을 활성화한 경우, 역할 ARN 매개 변수가 표시됩니다.

역할 세션 이름 가정

가정할 역할의 세션 이름입니다. 기본은 QRadarAWSSession입니다. 변경할 필요가 없는 경우 기본값으로 남겨 둡니다. 이 매개 변수는 영숫자 대/소문자만 포함할 수 있으며 밑판 또는 다음 문자 중 어느 것만 포함할 수 있습니다.

IAM 역할 가정(Assume an IAM Role)을 활성화한 경우, 역할 세션 이름(Assume Role Session Name) 매개 변수가 표시됩니다.

이벤트 형식

AWS Cloud Trail JSON

AWS 네트워크 방화벽

AWS VPC 플로우 로그

Cisco Umbrella CSB

라인바이어

W3c

지역 이름

SQS 큐 또는 AWS S3 버킷이 있는 지역입니다.

Example: us-east-1, eu-west-1, ap-northeast-3

게이트웨이 로그 소스로 사용

JSA 트래픽 분석 엔진을 통해 전송되는 수집된 이벤트와 하나 이상의 로그 소스를 자동으로 탐지하는 JSA에 대해 이 옵션을 선택합니다.

고급 옵션 표시

이벤트 데이터를 사용자 지정하려는 경우 이 옵션을 선택합니다.

파일 패턴

이 옵션은 Show Advanced Options 를 Yes로 설정할 때 사용할 수 있습니다.

당기려는 파일과 일치하는 파일 패턴에 대한 regex를 입력합니다. 예를 들어 .*?\.json\.gz

로컬 디렉토리

이 옵션은 Show Advanced Options 를 Yes로 설정할 때 사용할 수 있습니다.

Target Event Collector의 로컬 디렉토리 AWS S3 REST API 프로토콜이 이벤트를 검색하려고 시도하기 전에 디렉토리가 있어야 합니다.

S3 엔드포인트 URL

이 옵션은 Show Advanced Options 를 Yes로 설정할 때 사용할 수 있습니다.

AWS S3 REST API를 쿼리하는 데 사용되는 엔드포인트 URL입니다.

단말 장치 URL이 기본값과 다른 경우 단말 장치 URL을 입력합니다. 기본값은 https:// s3.amazonaws.com

S3 경로 스타일 액세스 사용

S3 요청이 경로 스타일의 액세스를 사용하도록 강제합니다.

이 방법은 AWS에 의해 사용되지 않습니다. 그러나 다른 S3 호환 API를 사용할 때 필요할 수도 있습니다.

프록시 사용

프록시를 사용하여 JSA 가 Amazon Web Service에 액세스하는 경우, Use Proxy를 활성화합니다.

프록시에 인증이 필요한 경우 Proxy Server, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다.

프록시가 인증을 요구하지 않는 경우 Proxy IP 또는 Hostname 필드를 구성합니다.

되풀이

새 데이터를 스캔하기 위해 설문 조사가 얼마나 자주 이루어지는지.

SQS 이벤트 수집 방법을 사용하는 경우 SQS 이벤트 알림 의 최소 값이 10(초)입니다. SQS 큐 폴링은 더 자주 발생할 수 있기 때문에 더 낮은 값을 사용할 수 있습니다.

Directory Prefix 이벤트 수집 방법을 사용하는 경우 특정 Prefix 사용 시 최소 값이 60(초) 또는 1M입니다. AWS S3 버킷에 대한 모든 listBucket 요청은 버킷을 소유하는 계정의 비용이 발생하므로, 반복 값이 적을수록 비용이 증가합니다.

시간 간격을 입력하여 새로운 이벤트 로그 파일을 검사하는 원격 디렉토리의 빈도를 결정합니다. 최소값은 1분입니다. 시간 간격은 시간(H), 분(M) 또는 일(D)의 값을 포함할 수 있습니다. 예를 들어, 2H = 2시간, 15M = 15분.

EPS 제한

플로우 파이프라인에 전송되는 최대 초당 이벤트 수입니다. 기본값은 5000입니다.

EPS Throttle 값이 수신 속도보다 높거나 데이터 처리가 뒤쳐질 수 있는지 확인합니다.

S3 수집 방법

특정 Prefix 사용을 선택합니다.

버킷 이름

로그 파일이 저장되는 AWS S3 버킷의 이름입니다.

디렉토리 접두사

CloudTrail 로그가 검색되는 AWS S3 버킷의 루트 디렉토리 위치 예를 들어 AWSLogs/<AccountNumber>/CloudTrial/<RegionName>/

버킷의 루트 디렉토리에서 파일을 가져오려면 디렉토리 Prefix 파일 경로에서 포워드 슬래시(/)를 사용해야 합니다.

S3 수집 방법

SQS 이벤트 알림을 선택합니다.

SQS 큐 URL

S3에서 ObjectCreated 이벤트에 대한 알림을 수신하도록 설정된 SQS 큐에 대해 시작하는 전체 URL입니다.

제조업체

아마존

DSM 이름

사용자 지정 로그 소스 유형

RPM 파일 이름

AWS S3 REST API 프로토콜

지원되는 버전

플로우 로그 v5

프로토콜

AWS S3 REST API 프로토콜

이벤트 형식

JSA 플로우 소스를 사용하여 IPFIX

기록된 이벤트 유형

네트워크 플로우

자동으로 발견되었습니까?

아니요

ID 포함?

아니요

사용자 지정 속성을 포함합니까?

아니요

자세한 정보

(https:// docs.aws.amazon.com/vpc/latest/userguide/flowlogs. html)

프로토콜 구성

Protocol Configuration 목록에서 Amazon Web Services 를 선택합니다.

인증 방법

• Access Key ID / Secret Key — 어디에서나 사용할 수 있는 표준 인증.

• EC2 인스턴스 IAM 역할 — JSA 매니지드 호스트가 AWS EC2 인스턴스에서 실행되는 경우 이 옵션을 선택하면 인증을 위해 인스턴스에 할당된 메타데이터에서 IAM 역할을 사용합니다. 키가 필요하지 않습니다. 이 방법은 AWS EC2 컨테이너 내에서 실행되는 매니지드 호스트에 대해서만 작동합니다.

액세스 키

AWS 사용자 계정에 대한 보안 자격 증명을 구성했을 때 생성된 Access Key ID입니다.

Access Key ID / Secret Key를 선택한 경우 Access Key 매개 변수가 표시됩니다.

암호 키

AWS 사용자 계정에 대한 보안 자격 증명을 구성했을 때 생성된 암호 키입니다.

Access Key ID / Secret Key를 선택한 경우 Access Key 매개 변수가 표시됩니다.

지역

Amazon Web Service와 연결된 각 지역에서 로그를 수집하려는 확인란을 선택합니다.

기타 지역

로그를 수집하려는 Amazon 웹 서비스와 관련된 추가 지역의 이름을 입력합니다. 다음 예와 같이 여러 지역에서 수집하려면 쉼표로 구분된 목록을 사용합니다. region1,region2

AWS 서비스

Amazon Web Service의 이름입니다. AWS 서비스 목록에서 CloudWatch Logs를 선택합니다.

로그 그룹

Amazon CloudWatch에서 로그를 수집하려는 로그 그룹의 이름입니다.

로그 스트림 (옵션)

로그 그룹 내 로그 스트림의 이름입니다. 로그 그룹 내의 모든 로그 스트림에서 로그를 수집하려는 경우 이 필드를 비워 두십시오.

필터 패턴 (옵션)

수집된 이벤트를 필터링하기 위한 패턴을 입력합니다. 이 패턴은 regex 필터가 아닙니다. 지정된 값을 포함한 이벤트만 CloudWatch Logs에서 수집합니다. ACCEPT를 필터 패턴 값으로 입력하면 다음 예와 같이 ACCEPT라는 단어가 포함된 이벤트만 수집됩니다.

{LogStreamName: LogStreamTest,Timestamp: 0,
Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

원래 이벤트 추출

CloudWatch 로그에 추가된 원래 이벤트만 JSA로 전달하려면 이 옵션을 선택합니다.

CloudWatch 로그는 수신되는 이벤트를 추가 메타데이터로 마무리합니다.

원래 이벤트는 CloudWatch 로그에서 추출한 메시지 키의 값입니다. 다음 CloudWatch 로그 이벤트 예는 굵은 텍스트로 CloudWatch 로그에서 추출한 원래 이벤트를 보여줍니다.

{"owner":"123456789012","subscriptionFilters":
["allEvents"],"logEvents":
[{"id":"35093963143971327215510178578576502306458824699048362100","mes
sage":"{\"eventVersion\":\"1.05\",\"userIdentity\":
{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test
_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role/
CVDevABRoleToBeAssumed/
test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId
\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":
{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\
"arn:aws:iam::123456789012:role/
CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\
"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":
{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54
Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudt
rail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"
apnortheast-
1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":
null,\"responseElements\":null,\"requestID\":\"41e62e80-
b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-
f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipi
entAccountId\":\"123456789012\"}","timestamp":1573667733143}],"message
Type":"DATA_MESSAGE","logGroup":"CloudTrail/
DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}

게이트웨이 로그 소스로 사용

이벤트에 대한 사용자 지정 로그 소스 식별자를 정의하지 않으려면 이 확인란이 명확해야 합니다.

로그 소스 식별자 패턴

Gateway As A Gateway Log Source를 선택한 경우 이 옵션을 사용하여 처리 중인 이벤트에 대한 맞춤형 Log Source Identifier를 정의합니다.

키-값 쌍을 사용하여 사용자 지정 로그 소스 식별자를 정의합니다. 키는 결과 소스 또는 원본 값인 Identifier Format String입니다. 값은 현재 페이로드를 평가하는 데 사용되는 관련 Regex 패턴입니다. 또한 이 값은 키를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹을 지원합니다.

새로운 라인에 각 패턴을 입력하여 여러 키 값 쌍을 정의합니다. 여러 패턴이 나열된 순서대로 평가됩니다. 일치되는 경우 사용자 지정 Log Source Identifier가 표시됩니다.

다음 예에서는 여러 키-값 페어 기능을 보여 줍니다.

• 패턴 - VPC=\sREJECT\sFAILURE

  $1=s(거부)\sOK

  VPC-$1-$2=s(허용)\s(OK)

• 이벤트 - {LogStreamName: LogStreamTest,타임스탬프: 0,메시지: 허용 OK,IngestionTime: 0,EventId: 0}

• 그 결과 맞춤형 로그 소스 식별자 -

  VPC-허용-OK

프록시 사용

프록시를 사용하여 JSA 가 Amazon Web Service에 액세스하는 경우 이 옵션을 선택합니다.

프록시에 인증이 필요한 경우 Proxy Server, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다. 프록시가 인증을 요구하지 않는 경우 Proxy Server 및 Proxy 포트 필드를 구성합니다.

서버 인증서 자동 취득

JSA에 대해 Yes를 선택하여 서버 증명서를 자동으로 다운로드하고 대상 서버를 신뢰하기 시작합니다.

이 옵션을 사용하여 새로 생성된 로그 소스를 초기화하고 인증서를 얻거나 만료된 인증서를 대체할 수 있습니다.

EPS 제한

최대 초당 이벤트 수(EPS)에 대한 상한입니다. 기본값은 5000입니다.

게이트웨이로 사용 로그 소스 옵션을 선택한 경우 이 값은 옵션입니다.

EPS Throttle 매개 변수 값을 비워 두면 JSA에 의해 EPS 한도가 부과되지 않습니다.

부트스트랩 서버 목록

<hostname/ip>:<port> 부트스트랩 서버(또는 서버)입니다. 이 예와 같이 쉼표로 구분된 목록에 여러 서버를 지정할 수 있습니다.hostname1:9092,10.1.1.1:9092

소비자 그룹

이 로그 소스가 속한 소비자 그룹을 식별하는 고유 문자열 또는 레이블

Kafka 주제에 게시되는 각 레코드는 구독 소비자 그룹 내의 각 소비자 인스턴스에 전달됩니다. Kafka는 이러한 라벨을 사용하여 그룹의 모든 소비자 인스턴스에서 레코드의 균형을 로드합니다.

주제 구독 방법

Kafka 주제를 구독하는 데 사용되는 방법입니다. 목록 주제 옵션을 사용하여 특정 주제 목록을 지정합니다. Regex 패턴 매칭 옵션을 사용하여 사용 가능한 주제와 일치하는 정규 표현식을 지정합니다.

주제 목록

구독할 주제 이름 목록 목록은 쉼표로 구분해야 합니다. 예: Topic1,Topic2,Topic3.

이 옵션은 주제 구독 방법 옵션에 대해 List Topics를 선택한 경우에만 표시됩니다.

주제 필터 패턴

구독할 주제와 일치하는 정규 표현식입니다.

이 옵션은 항목 구독 방법 옵션에 대해 Regex 패턴 매칭을 선택한 경우에만 표시됩니다.

SASL 인증 사용

이 옵션은 SASL 인증 구성 옵션을 표시합니다.

클라이언트 인증 없이 사용하는 경우, 디렉토리에 /opt/qradar/conf/ trusted_certificates/ 서버 증명서 사본을 배치해야 합니다.

클라이언트 인증 사용

클라이언트 인증 구성 옵션을 표시합니다.

/주요 매장/트러스트 스토어 유형

키스토어 및 트러스트스토어 유형에 대한 아카이브 파일 형식입니다. 아카이브 파일 형식에는 다음과 같은 옵션이 제공됩니다.

• Jks

• PKCS12

Trust Store 파일 이름

truststore 파일의 이름입니다. 트러스트스토어는 /opt/qradar/conf/trusted_certificates/kafka/에 배치해야 합니다.

파일에는 사용자 이름과 암호가 포함되어 있습니다.

키스토어 파일명

키스토어 파일의 이름입니다. 키스토어는 /opt/qradar/conf/trusted_certificates/ kafka/에 배치해야 합니다.

파일에는 사용자 이름과 암호가 포함되어 있습니다.

게이트웨이 로그 소스로 사용

이 옵션을 사용하면 수집된 이벤트가 JSA 트래픽 분석 엔진을 통과하여 적절한 로그 소스를 자동으로 감지할 수 있습니다.

로그 소스 식별자 패턴

A Gateway로 사용 로그 소스 확인란을 선택한 경우 처리 중인 이벤트에 대한 사용자 지정 로그 소스 식별자를 정의합니다.

키-값 쌍은 사용자 정의 Log Source Identifier를 정의하는 데 사용됩니다. 키는 결과 소스 또는 원본 값인 Identifier Format String입니다. 값은 현재 페이로드를 평가하는 데 사용되는 관련 Regex 패턴입니다. 또한 이 값은 키를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹을 지원합니다.

새 줄에 각 패턴을 입력하여 다중 키 가치 쌍을 정의합니다. 여러 패턴이 나열된 순서대로 평가됩니다. 일치되는 경우 사용자 지정 로그 소스 식별자가 표시됩니다.

다음 예에서는 여러 키-값 페어 기능을 보여 줍니다.

패턴

1. VPC=\sREJECT\sFAILURE

2. $1=\s(REJECT)\sOK

3. VPC-$1-$2=\s(ACCEPT)\s(OK)

이벤트

1. {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

결과 맞춤형 로그 소스 식별자

1. VPC-ACCEPT-OK

문자 시퀀스 대체

이벤트 페이로드의 특정 리터럴 문자 시퀀스를 실제 문자로 대체합니다. 다음 중 하나 이상의 옵션을 사용할 수 있습니다.

• Newline(CR LF) 문자(\r\n)

• 라인 피드 문자(\n)

• 캐리지 반환 문자 (\r)

• 탭 문자(\t)

• 공간 문자(\s)

EPS 제한

최대 초당 이벤트 개수(EPS). 필드가 비어 있는 경우 제한은 적용되지 않습니다.

API 사용자 이름

Blue Coat 웹 보안 서비스 인증에 사용되는 API 사용자 이름입니다. API 사용자 이름은 Blue Coat Threat Pulse 포털을 통해 구성됩니다.

암호

Blue Coat 웹 보안 서비스를 사용하여 인증하는 데 사용되는 암호입니다.

암호 확인

암호 필드 확인.

프록시 사용

프록시를 구성하면 로그 소스의 모든 트래픽이 JSA 의 프록시를 통해 Blue Coat 웹 보안 서비스에 액세스합니다.

Proxy IP 또는 Hostname, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Username 및 Proxy Password 필드를 비워 둘 수 있습니다.

되풀이

로그가 데이터를 수집하는 시기를 지정할 수 있습니다. 형식은 몇 개월/시간/일 동안 M/H/D입니다. 기본값은 5M입니다.

EPS 제한

최대 초당 이벤트 수(EPS)에 대한 상한입니다. 기본값은 5000입니다.

로그 소스 유형

아이덴티티 플랫폼 중심화

프로토콜 구성

Redrock REST API 중심

로그 소스 식별자

로그 소스의 고유한 이름입니다.

Log Source Identifier는 유효한 값이 될 수 있으며 특정 서버를 참조할 필요가 없습니다. Log Source Identifier는 Log Source Name과 동일한 값을 사용할 수 있습니다. 구성된 두 개 이상의 Centrify Identity Platform 로그 소스가 있는 경우 첫 번째 로그 소스를 로, 두 번째 로그 소스 centrify1는 로 centrify2, 세 번째 로그 소스 centrify3는 로 식별하려고 할 수 있습니다.

테넌트 ID

Centrify에 고유한 고객 또는 테넌트 ID가 할당되었습니다.

테넌트 URL

지정된 테넌트 ID에 대한 테넌트 URL을 자동으로 생성합니다. 예를 들어 tenantId.my.centrify.com

사용자

Centrify Identity Platform용 클라우드 서비스와 연관된 사용자 이름입니다.

암호

Centrify Identity Platform 사용자 이름과 연관된 암호입니다.

이벤트 로깅 필터

검색할 이벤트의 로깅 수준을 선택합니다. 정보, 경고 및 오류를 선택할 수 있습니다. 필터를 하나 이상 선택해야 합니다.

신뢰할 수 없는 인증서 허용

이 옵션을 사용하여 언트러스트 자동 인증서를 허용합니다. SaaS 호스팅 테넌트에서는 이 옵션을 활성화하지 마십시오. 그러나 필요한 경우 다른 테넌트 구성에 이 옵션을 사용할 수 있습니다.

인증서는 PEM 또는 DER 인코딩 바이너리 형식으로 다운로드한 다음 .cert 또는 .crt 파일 확장자를 갖춘 /opt/qradar/conf/trusted_certificates/ 디렉토리에 배치해야 합니다.

프록시 사용

프록시가 구성되면 Centrify Redrock REST API의 모든 트래픽이 프록시를 통해 이동합니다.

Proxy Server, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Username 및 Proxy Password 필드를 비워 둘 수 있습니다.

EPS 제한

초당 최대 이벤트 개수입니다. 기본값은 5000입니다.

되풀이

시간 간격은 시간 (H), 분 (M) 또는 일 (D)일 수 있습니다. 기본값은 5분(5M)입니다.

프로토콜 구성

Cisco Firepower eStreamer

서버 포트

Cisco Firepower eStreamer 서비스가 연결 요청을 수락하도록 구성된 포트 번호입니다.

JSA가 Cisco Firepower eStreamer에 사용하는 기본 포트는 8302입니다.

키스토어 파일명

Keystore 프라이빗 키 및 관련 인증서의 디렉토리 경로 및 파일 이름입니다. 기본적으로 임포트 스크립트는 다음 디렉토리에 키스토어 파일을 만듭니다. /opt/qradar/conf/estreamer.keystore.

Truststore 파일 이름

truststore 파일의 디렉토리 경로 및 파일 이름입니다. truststore 파일에는 클라이언트가 신뢰할 수 있는 인증서가 포함되어 있습니다. 기본적으로 임포트 스크립트는 다음 디렉토리에 truststore 파일을 만듭니다. /opt/qradar/conf/estreamer.truststore.

추가 데이터 요청

Cisco Firepower Management Center에서 추가 데이터를 요청하려면 이 옵션을 선택합니다. 예를 들어 추가 데이터에는 이벤트의 원래 IP 주소가 포함됩니다.

도메인

이벤트가 스트리밍되는 도메인입니다.

도메인 필드의 값은 완벽하게 검증된 도메인이어야 합니다. 즉, 원하는 도메인의 모든 조상을 최상위 도메인으로 나열하고 이벤트를 요청하려는 리프 도메인으로 끝나야 합니다.

예제:

Global은 최상위 도메인, B는 Global의 하위 도메인인 2단계 도메인, C는 3계층 도메인 및 B의 하위 도메인인 리프 도메인입니다. C로부터 이벤트를 요청하려면 Domain 매개 변수에 다음 값을 입력합니다.

Global \ B \ C

프로토콜 구성

Cisco NSEL

로그 소스 식별자

네트워크에 관리 콘솔에 연결된 장치가 있는 경우 이벤트를 생성한 개별 장비의 IP 주소를 지정할 수 있습니다. IP 주소와 같은 각 고유 식별자가 이벤트 검색을 통해 관리 콘솔을 모든 이벤트의 소스로 식별하는 것을 방지합니다.

컬렉터 포트

Cisco ASA가 NSEL 이벤트를 포워즈하는 데 사용하는 UDP 포트 번호입니다. JSA는 JSA Flow Processor의 플로우 데이터에 포트 2055를 사용합니다. NetFlow를 위해 Cisco Adaptive Security Appliance에 다른 UDP 포트를 할당해야 합니다.

프로토콜 구성

EMC VMware

로그 소스 식별자

이 매개 변수에 대한 값은 VMware IP 매개 변수와 일치해야 합니다.

VMware IP

VMWare ESXi 서버의 IP 주소 VMware 프로토콜은 프로토콜이 이벤트 데이터를 요청하기 전에 VMware ESXi 서버의 IP 주소를 HTTPS에 추가합니다.

서비스 계정 자격 유형

필요한 Service Account 자격 증명의 출신 위치를 지정합니다.

관련 서비스 계정에 Pub/Sub Subscriber 역할 또는 보다 구체적인 pubsub.subscriptions.consume 권한을 가지고 있는지 확인합니다. GCP의 구성된 구독 이름 에 대한 권한을 부여합니다.

사용자 관리 키

다운로드한 Service Account Key에서 전체 JSON 텍스트를 입력하여 Service Account Key 필드에 제공됩니다.

GCP 매니지드 키

JSA 매니지드 호스트가 GCP 컴퓨팅 인스턴스에서 실행되고 클라우드 API 액세스 범위가 Cloud Pub/Sub를 포함하도록 보장합니다.

구독 이름

Cloud Pub/Sub 구독의 전체 이름입니다. 예를 들어, 프로젝트/my-project/subscriptions/my-subscription.

게이트웨이 로그 소스로 사용

JSA 트래픽 분석 엔진을 통해 전송되는 수집된 이벤트와 하나 이상의 로그 소스를 자동으로 탐지하는 JSA에 대해 이 옵션을 선택합니다.

이 옵션을 선택하면, 처리 중인 이벤트에 대한 사용자 지정 Log Source Identifier 를 정의하는 데 선택적으로 Log Source Identifier 패턴을 사용할 수 있습니다.

로그 소스 식별자 패턴

게이트웨이로 사용 로그 소스 옵션을 선택하면 이 옵션을 사용하여 처리되는 이벤트에 대한 사용자 지정 로그 소스 식별자를 정의합니다. Log Source Identifier Pattern이 구성되지 않으면 JSA는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

Log Source Identifier Pattern 필드는 key=value와 같은 키-값 쌍을 수용하여 처리 중인 이벤트에 대해 사용자 정의 로그 소스 식별자를 정의하고 해당되는 경우 로그 소스를 자동으로 검색합니다. 키는 결과 소스 또는 원본 값인 Identifier Format String입니다. 값은 현재 페이로드를 평가하는 데 사용되는 관련 regex 패턴입니다. 값(regex 패턴)은 키를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹(Identifier Format String)을 지원합니다.

새로운 라인에 각 패턴을 입력하여 여러 키 값 쌍을 정의할 수 있습니다. 여러 패턴을 사용하면 일치되는 패턴을 찾을 때까지 순서대로 평가됩니다. 일치되는 경우 사용자 지정 Log Source Identifier가 표시됩니다.

다음 예에서는 여러 키-값(key-value) 쌍(key-value pair) 기능을 보여 줍니다.

패턴

VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

이벤트

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

결과 맞춤형 로그 소스 식별자

VPC-ACCEPT-OK

프록시 사용

프록시를 사용하여 JSA가 GCP에 연결할 수 있도록 이 옵션을 선택합니다.

프록시에 인증이 필요한 경우 Proxy Server, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다.

프록시가 인증을 요구하지 않는 경우 Proxy Server 및 Proxy 포트 필드를 구성합니다.

프록시 IP 또는 호스트 이름

프록시 서버의 IP 또는 호스트 이름입니다.

프록시 포트

프록시 서버와 통신하는 데 사용되는 포트 번호입니다.

기본값은 8080입니다.

프록시 사용자 이름

프록시가 인증을 요구하는 경우에만 필요합니다.

프록시 암호

프록시가 인증을 요구하는 경우에만 필요합니다.

EPS 제한

이 로그 소스가 초과해서는 안 되는 최대 EPS(초당 최대 이벤트 수)에 대한 상한입니다. 기본값은 5000입니다.

게이트웨이로 사용 로그 소스 옵션을 선택한 경우 이 값은 옵션입니다.

EPS Throttle 매개 변수 값을 비워 두면 JSA에 의해 EPS 한도가 부과되지 않습니다.

로그 소스 식별자

로그 소스에 고유 이름을 입력합니다.

Log Source Identifier는 유효한 값이 될 수 있으며 특정 서버를 참조할 필요가 없습니다. Log Source Identifier는 Log Source Name과 동일한 값을 사용할 수 있습니다. 두 개 이상의 Google G Suite 로그 소스가 구성된 경우 고유한 식별자를 만들 수 있습니다. 예를 들어, 첫 번째 로그 소스 googlegsuite1는 로, 두 번째 로그 소스는 로 googlegsuite2, 세 번째 로그 소스는 로 googlegsuite3식별할 수 있습니다.

사용자 계정

보고 권한이 있는 Google 사용자 계정.

서비스 계정 자격 증명

이벤트 검색을 위해 Google API에 대한 액세스 권한을 부여합니다. Service Account 자격 증명 은 Google 클라우드 플랫폼에서 새 서비스 계정을 만들 때 다운로드한 JSON 형식의 파일에 포함되어 있습니다.

프록시 사용

프록시를 사용하여 JSA가 Google G Suite에 액세스하는 경우 이 옵션을 활성화합니다.

프록시에 인증이 필요한 경우 Proxy Server, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다.

프록시가 인증을 요구하지 않는 경우 Proxy Server 및 Proxy 포트 필드를 구성합니다.

되풀이

Google G Suite 활동에 대한 로그 소스 쿼리 간의 시간 간격이 새로운 이벤트에 대한 API를 보고합니다. 시간 간격은 시간 (H), 분 (M) 또는 일 (D)일 수 있습니다.

기본값은 5분입니다.

EPS 제한

초당 최대 이벤트 개수입니다.

이벤트 지연

데이터 수집 지연(초).

Google G Suite 로그는 최종 배송 시스템에서 작동합니다. 데이터를 놓치지 않도록 하기 위해 지연에 로그를 수집합니다.

기본 지연 시간은 7200초(2시간)이며, 최저 0초까지 설정할 수 있습니다.

프로토콜 구성

목록에서 HTTP 수신기를 선택합니다.

로그 소스 식별자

장비 식별을 위한 IP 주소, 호스트 이름 또는 이름

로그 소스 유형에 고유해야 합니다.

통신 유형

HTTP 또는 HTTP 또는 HTTP 및 클라이언트 인증을 선택합니다.

클라이언트 인증서 경로

통신 유형으로 HTTP 및 클라이언트 인증 을 선택한 경우 클라이언트 증명서에 대한 절대 경로를 설정해야 합니다. 로그 소스를 위해 클라이언트 증명서를 JSA 콘솔 또는 이벤트 컬렉터 에 복사해야 합니다.

TLS 버전

이 프로토콜과 함께 사용할 수 있는 TLS 버전 가장 안전한 버전을 사용하려면 TLSv1.2 옵션을 선택합니다.

사용 가능한 여러 버전이 있는 옵션을 선택하면 HTTPS 연결은 클라이언트와 서버 모두에서 사용할 수 있는 최고 버전을 협상합니다.

수신 포트

수신 HTTP 수신기 이벤트를 수락하기 위해 JSA 에 의해 사용되는 포트입니다. 기본 포트는 12469입니다.

메시지 패턴

기본적으로 전체 HTTP POST는 단일 이벤트로 처리됩니다. POST를 여러 단일 회선 이벤트로 나누려면 각 이벤트의 시작을 나타내는 정규 표현식을 제공합니다.

게이트웨이 로그 소스로 사용

JSA 트래픽 분석 엔진을 통해 전송되는 수집된 이벤트와 하나 이상의 로그 소스를 자동으로 탐지하는 JSA에 대해 이 옵션을 선택합니다.

최대 페이로드 길이(바이트)

바이트 단위로 단일 이벤트의 최대 페이로드 크기. 페이로드 크기가 이 값을 초과하면 이벤트가 분할됩니다.

기본값은 8192이며 32767을 초과해서는 안 됩니다.

최대 POST 방법 요청 길이(MB)

MB의 POST 메소드 요청 본문의 최대 크기 POST 요청 본문 크기가 이 값을 초과하는 경우 HTTP 413 상태 코드가 반환됩니다.

기본값은 5이며 10을 넘지 않아야 합니다.

EPS 제한

이 프로토콜을 초과하지 않으려는 최대 EPS(초당 이벤트 수) 기본값은 5000입니다.

로그 소스 이름

로그 소스에 고유 이름을 입력합니다.

로그 소스 설명 (옵션)

로그 소스에 대한 설명을 입력합니다.

로그 소스 유형

Log Source Type 목록에서 JDBC 프로토콜을 사용하는 DSM(Device Support Module)을 선택합니다.

프로토콜 구성

Jdbc

로그 소스 식별자

로그 소스의 이름을 입력합니다. 이름은 공간을 포함할 수 없으며 JDBC 프로토콜을 사용하도록 구성된 로그 소스 유형의 모든 로그 소스 간에 고유해야 합니다.

로그 소스가 정적 IP 주소 또는 호스트 이름을 가진 단일 어플라이언스에서 이벤트를 수집하는 경우, 로그 소스 식별자 값의 전부 또는 일부로 IP 주소 또는 어플라이언스의 호스트 이름을 사용; 예를 들어 192.168.1.1 또는 JDBC192.168.1.1을 예로 들어 보겠습니다. 로그 소스가 정적 IP 주소 또는 호스트 이름을 가진 단일 어플라이언스에서 이벤트를 수집하지 않는 경우, Log Source Identifier 값에 대해 고유의 이름을 사용할 수 있습니다. 예를 들어 JDBC1, JDBC2를 예로 들어 보겠습니다.

데이터베이스 유형

이벤트가 포함된 데이터베이스 유형을 선택합니다.

데이터베이스 이름

연결할 데이터베이스의 이름입니다.

IP 또는 호스트 이름

데이터베이스 서버의 IP 주소 또는 호스트 이름입니다.

포트

JDBC 포트를 입력합니다. JDBC 포트는 원격 데이터베이스에 구성된 수신 대기 포트와 일치해야 합니다. 데이터베이스는 수신 TCP 연결을 허용해야 합니다. 데이터베이스는 수신 TCP 연결을 허용해야 합니다. 유효 범위는 1 - 65535입니다.

기본값은 다음과 같습니다.

• MSDE - 1433

• 포스트그레스 - 5432

• MySQL - 3306

• Sybase - 5000

• Oracle - 1521

• Informix - 9088

• Db2 - 50000

데이터베이스 인스턴스를 MSDE 데이터베이스 유형과 함께 사용하는 경우 관리자는 로그 소스 구성에서 Port 매개 변수를 비워 두어야 합니다.

사용자

데이터베이스에서 JSA 에 대한 사용자 계정.

암호

데이터베이스에 연결하는 데 필요한 암호입니다.

암호 확인

데이터베이스에 연결하는 데 필요한 암호입니다.

인증 도메인 (MSDE만 해당)

Microsoft JDBC 사용을 선택하지 않으면 인증 도메인이 표시됩니다.

WINDOWS 도메인인 MSDE의 도메인입니다. 네트워크가 도메인을 사용하지 않는 경우 이 필드를 비워 두십시오.

데이터베이스 인스턴스 (MSDE 또는 Informix만 해당)

필요한 경우 데이터베이스 인스턴스입니다. MSDE 데이터베이스에는 하나의 서버에 여러 SQL 서버 인스턴스가 포함될 수 있습니다.

데이터베이스에 비표준 포트가 사용되거나 SQL 데이터베이스 해석을 위해 1434 포트에 대한 액세스가 차단되는 경우, Database Instance 매개 변수는 로그 소스 구성에서 비워야 합니다.

사전 정의된 쿼리 (옵션)

로그 소스에 대한 사전 정의된 데이터베이스 쿼리를 선택합니다. 로그 소스 유형에 대해 사전 정의된 쿼리를 사용할 수 없는 경우 관리자는 아무도 선택할 수 없습니다.

표 이름

이벤트 레코드를 포함하는 테이블 또는 보기의 이름입니다. 테이블 이름에는 달러 기호($), 번호 기호(#), 밑보(_), 엔 대시(-) 및 기간(.)이 포함될 수 있습니다.

List 선택

테이블에 이벤트에 대해 폴링될 때 포함할 필드 목록입니다. 쉼표로 구분된 목록을 사용하거나 별표(*)를 입력하여 테이블 또는 보기에서 모든 필드를 선택할 수 있습니다. 쉼표로 구분된 목록이 정의된 경우, 이 목록에는 Compare Field에 정의된 필드가 포함되어야 합니다.

필드 비교

테이블의 숫자 값 또는 타임스탬프 필드 또는 쿼리 간에 테이블에 추가된 새로운 이벤트를 식별하는 뷰 프로토콜이 이전에 프로토콜에 의해 폴링된 이벤트를 식별하여 중복 이벤트가 생성되지 않도록 합니다.

준비된 문장 사용

준비된 명령문은 JDBC 프로토콜 소스가 SQL 문을 설정한 다음 여러 매개 변수를 사용하여 SQL 문을 여러 번 실행할 수 있도록 지원합니다. 보안 및 성능상의 이유로 대부분의 JDBC 프로토콜 구성은 준비된 문장을 사용할 수 있습니다.

시작 날짜 및 시간 (선택사항)

데이터베이스 폴링을 위한 시작 날짜와 시간을 선택하거나 입력합니다. 형식은 24시간 클럭을 사용하여 HH를 지정하는 yymm-dd HH:mm입니다.

이 매개 변수가 비어 있으면 폴링이 즉시 시작되어 지정된 폴링 간격으로 반복됩니다.

이 매개 변수는 프로토콜이 대상 데이터베이스에 연결하는 시간과 날짜를 설정하여 이벤트 수집을 초기화하는 데 사용됩니다. 폴링 간격 매개 변수와 함께 사용하여 데이터베이스 폴링에 대한 특정 일정을 구성할 수 있습니다. 예를 들어, 여론조사가 매시간 5분 간격으로 이루어지도록 보장하거나, 매일 정확히 오전 1:00에 폴링이 이루어지도록 보장합니다.

이 매개 변수는 대상 데이터베이스에서 이전 테이블 행을 검색하는 데 사용할 수 없습니다. 예를 들어, 매개 변수를 Last Week로 설정하면 프로토콜이 이전 주의 모든 테이블 행을 검색하지 않습니다. 이 프로토콜은 최초 연결에서 Compare Field 의 최대값보다 더 새로운 행을 검색합니다.

폴링 간격

이벤트 테이블에 대한 쿼리 간의 시간을 입력합니다. 더 긴 폴링 간격을 정의하려면 시간 동안 H를 추가하거나 숫자 값에 분 간 M을 추가합니다.

최대 폴링 간격은 1주일입니다.

EPS 제한

이 프로토콜을 초과하지 않으려는 EPS(초당 이벤트 수) 유효 범위는 100 - 20,000입니다.

보안 메커니즘 (Db2 전용)

목록에서 Db2 서버가 지원하는 보안 메커니즘을 선택합니다. 보안 메커니즘을 선택하지 않으려면 None을 선택합니다.

기본값은 없음입니다.

Db2 환경에서 지원되는 보안 메커니즘에 대한 자세한 내용은 https://support.juniper.net/support/downloads/ 참조하십시오.

명명된 파이프 통신 사용 (MSDE만 해당)

Microsoft JDBC 사용을 선택하지 않으면 명명된 파이프 통신 사용이 표시됩니다.

MSDE 데이터베이스에는 데이터베이스 사용자 이름과 암호가 아닌 Windows 인증 사용자 이름과 암호를 사용하기 위해 사용자 이름 및 암호 필드가 필요합니다. 로그 소스 구성은 MSDE 데이터베이스에서 기본 명명 파이프를 사용해야 합니다.

데이터베이스 클러스터 이름 (MSDE만 해당)

명명된 파이프 통신 사용을 선택한 경우, 명명된 파이프 통신 사용 매개 변수가 표시됩니다.

클러스터 환경에서 SQL 서버를 실행하는 경우 명명된 파이프 통신 기능을 올바르게 보장하도록 클러스터 이름을 정의합니다.

NTLMv2 사용 (MSDE만 해당)

Microsoft JDBC 사용을 선택하지 않은 경우 NTLMv2 사용이 표시됩니다.

MSDE 연결이 NTLMv2 인증이 필요한 SQL 서버와 통신할 때 NTLMv2 프로토콜을 사용하려는 경우 이 옵션을 선택합니다. 이 옵션은 NTLMv2 인증을 요구하지 않는 MSDE 연결에 대한 통신을 중단하지 않습니다.

NTLMv2 인증을 요구하지 않는 MSDE 연결에 대한 통신을 중단하지 않습니다.

Microsoft JDBC 사용 (MSDE만 해당)

Microsoft JDBC 드라이버를 사용하려면 Microsoft JDBC 사용을 사용해야 합니다.

SSL 사용 (MSDE만 해당)

연결이 SSL을 지원하는 경우 이 옵션을 선택합니다. 이 옵션은 MSDE에만 나타납니다.

SSL 인증서 호스트 이름

이 필드는 Microsoft JDBC 및 SSL 사용 모두를 활성화할 때 필요합니다.

이 값은 호스트에 대한 완벽한 검증 도메인 이름(FQDN)이어야 합니다. IP 주소는 허용되지 않습니다.

SSL 인증서 및 JDBC에 대한 자세한 내용은 다음 링크의 절차를 참조하십시오.

• QRadar: 자체 서명 인증서를 사용하여 SSL을 통해 JDBC 구성

• 외부 서명 인증서를 사용하여 SSL을 통한 JDBC 구성

Oracle Encryption 사용

Oracle Encryption 및 Data Integrity 설정은 Oracle Advanced Security라고도 합니다.

선택한 경우 Oracle JDBC 연결은 서버가 클라이언트와 유사한 Oracle Data Encryption 설정을 지원하도록 요구합니다.

데이터베이스 로컬 (Informix만 해당)

다국어 설치의 경우 이 필드를 사용하여 사용할 언어를 지정합니다.

코드 세트 (Informix만 해당)

Code-Set 매개 변수는 다국어 설치를 위한 언어를 선택한 후에 표시됩니다. 이 필드를 사용하여 사용할 문자 집합을 지정합니다.

사용

이 확인란을 선택하여 로그 소스를 활성화합니다. 기본적으로 체크박스가 선택됩니다.

신뢰성

목록에서 로그 소스의 신뢰성 을 선택합니다. 범위는 0 - 10입니다.

신뢰도는 소스 디바이스의 신뢰도 등급에 따라 결정된 이벤트 또는 위반 사항의 무결성을 나타냅니다. 여러 소스가 동일한 이벤트를 보고하면 신뢰성이 높아질 수 있습니다. 기본값은 5입니다.

대상 이벤트 수집기

로그 소스의 대상으로 사용할 Target Event Collector 를 선택합니다.

결합 이벤트

Coalescing Events 확인란을 선택하여 로그 소스가 (번들) 이벤트를 결합할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 콜레싱 이벤트 목록의 값을 그대로 집니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

스토어 이벤트 페이로드

스토어 이벤트 페이로드 확인란을 선택하여 로그 소스가 이벤트 페이로드 정보를 저장할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 가치를 그대로 니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

프로토콜 구성

JDBC - SiteProtector

데이터베이스 유형

목록에서 이벤트 소스에 사용할 데이터베이스 유형으로 MSDE 를 선택합니다.

데이터베이스 이름

프로토콜이 연결할 수 있는 데이터베이스의 이름으로 입력 RealSecureDB 합니다.

IP 또는 호스트 이름

데이터베이스 서버의 IP 주소 또는 호스트 이름입니다.

포트

데이터베이스 서버에서 사용하는 포트 번호입니다. JDBC SiteProtector 구성 포트는 데이터베이스의 리스너 포트와 일치해야 합니다. 데이터베이스는 수신 TCP 연결을 활성화해야 합니다. MSDE 를 데이터베이스 유형으로 정의할 경우 로그 소스 구성에서 포트 매개 변수를 비워 두어야 합니다.

사용자

JDBC 프로토콜을 통해 데이터베이스에 대한 액세스를 추적하려는 경우 JSA 시스템에 대한 특정 사용자를 생성할 수 있습니다.

인증 도메인

MSDE를 선택하고 데이터베이스가 Windows로 구성된 경우 Windows 도메인을 정의해야 합니다.

네트워크가 도메인을 사용하지 않는 경우 이 필드를 비워 두십시오.

데이터베이스 인스턴스

MSDE를 선택하고 한 서버에 여러 SQL 서버 인스턴스가 있는 경우 연결할 인스턴스를 정의합니다. 데이터베이스 구성에서 비표준 포트를 사용하거나 SQL 데이터베이스 해석을 위해 1434 포트에 액세스가 차단된 경우 구성에서 Database Instance 매개 변수를 비워 두어야 합니다.

사전 정의된 쿼리

로그 소스에 대한 사전 정의된 데이터베이스 쿼리입니다. 사전 정의된 데이터베이스 쿼리는 특수 로그 소스 연결에만 사용할 수 있습니다.

표 이름

SensorData1

AVP 보기 이름

SensorDataAVP

응답 보기 이름

SensorDataResponse

List 선택

테이블 또는 보기에서 모든 필드를 포함하도록 유형을 * 입력합니다.

필드 비교

SensorDataRowID

준비된 문장 사용

준비된 명령문을 통해 JDBC 프로토콜 소스는 SQL 문을 설정한 다음 여러 매개 변수로 SQL 문을 여러 번 실행할 수 있습니다. 보안 및 성능상의 이유로 준비된 문장을 사용하십시오. 이 확인란을 지워서 미리 컴파일된 명령문을 사용하지 않는 다른 쿼리 방법을 사용할 수 있습니다.

감사 이벤트 포함

IBM Proventia Management SiteProtector로부터 감사 이벤트를 수집하도록 지정합니다.

시작일 및 시간

선택적. 프로토콜이 데이터베이스 폴링에 착수할 수 있는 시작 날짜 및 시간

폴링 간격

이벤트 테이블에 대한 쿼리 간의 시간 H를 시간 동안 추가해 더 긴 폴링 간격을 정의하거나 숫자 값에 몇 분 동안 M을 추가하면 더 긴 폴링 간격을 정의할 수 있습니다. H 또는 M 지정자 폴링이 없는 숫자 값(초)

EPS 제한

이 프로토콜을 초과하지 않으려는 EPS(초당 이벤트 수)

데이터베이스 로컬

다국어 설치의 경우 Database Locale 필드를 사용하여 사용할 언어를 지정합니다.

데이터베이스 코드 세트

다국어 설치의 경우 , Codeset 필드를 사용하여 사용할 문자 집합을 지정합니다.

명명된 파이프 통신 사용

Windows 인증을 사용하는 경우 이 매개 변수를 활성화하여 AD 서버에 인증을 허용합니다. SQL 인증을 사용하는 경우 Named Pipe Communication을 비활성화합니다.

데이터베이스 클러스터 이름

명명된 파이프 통신이 제대로 작동하는지 확인하는 클러스터 이름입니다.

NTLMv2 사용

MSDE 연결을 강제하여 NTLMv2 인증이 필요한 SQL 서버와 NTLMv2 프로토콜을 사용합니다. NTLMv2 사용 확인란은 NTLMv2 인증을 요구하지 않는 MSDE 연결에 대한 통신을 방해하지 않습니다.

SSL 사용

JDBC 프로토콜에 대한 SSL 암호화를 지원합니다.

로그 소스 언어

로그 소스에 의해 생성되는 이벤트의 언어를 선택합니다. 로그 소스 언어는 시스템이 여러 언어로 이벤트를 생성할 수 있는 외부 어플라이언스 또는 운영 체제의 이벤트를 구문 분석하는 데 도움이 됩니다.

로그 소스 유형

주니퍼 네트웍스 네트워크 및 보안 관리자

프로토콜 구성

주니퍼 NSM

프로토콜 구성

보안 바이너리 로그 수집기

XML 템플릿 파일 위치

XML 파일로 향하는 경로는 주니퍼 SRX 시리즈 서비스 게이트웨이 또는 주니퍼 J 시리즈 어플라이언스에서 바이너리 스트림을 디코딩하는 데 사용되었습니다. 기본적으로 디바이스 지원 모듈(DSM)은 바이너리 스트림을 디코딩하기 위한 XML 파일을 포함합니다.

XML 파일은 다음 디렉토리에 있습니다. /opt/qradar/conf/security_log.xml.

프로토콜 구성

로그 파일

원격 서버에서 로그 파일을 검색할 때 사용할 프로토콜을 선택합니다.

• SFTP - 안전한 파일 전송 프로토콜(기본)

• FTP - 파일 전송 프로토콜

• FTPS - 파일 전송 프로토콜 보안

• SCP - 보안 카피 프로토콜

• AWS - Amazon 웹 서비스

Remote IP 또는 Hostname 필드에서 사용자가 지정한 서버는 SFTP 서브시스템이 SCP 또는 SFTP를 통해 로그 파일을 검색할 수 있도록 해야 합니다.

원격 포트

원격 호스트가 비표준 포트 번호를 사용하는 경우, 이벤트를 검색하려면 포트 값을 조정해야 합니다.

SSH 키 파일

시스템이 키 인증을 사용하도록 구성된 경우 SSH 키를 입력합니다. SSH 키 파일을 사용하면 원격 암호 필드가 무시됩니다.

SSH 키는 /opt/qradar/conf/keys 디렉토리에 있어야 합니다.

원격 디렉토리

FTP의 경우, 로그 파일이 원격 사용자 홈 디렉토리에 있는 경우 원격 디렉토리를 비워 둘 수 있습니다. 빈 원격 디렉토리 필드는 CWD(작업 디렉토리) 명령의 변경이 제한되는 시스템을 지원합니다.

재귀

이 확인란을 활성화하여 FTP 또는 SFTP 연결이 원격 디렉토리의 하위 폴더에서 이벤트 데이터를 검색할 수 있도록 합니다. 하위 폴더에서 수집되는 데이터는 FTP 파일 패턴의 정규 표현식과 일치하느냐에 따라 다릅니다. SCP 연결에는 Recursive 옵션이 제공되지 않습니다.

FTP 파일 패턴

원격 호스트에서 다운로드할 파일을 식별하는 데 필요한 정규 표현식(regex)입니다.

FTP 전송 모드

FTP를 통한 ASCII 전송의 경우 프로세서 필드와 LINEBYLINE Event Generator 필드에서 선택 NONE 해야 합니다.

FTPS 연결과 함께 사용할 수 있는 TLS 버전 가장 안전한 버전을 사용하려면 TLSv1.2 옵션을 선택합니다. 사용 가능한 여러 버전이 있는 옵션을 선택하면 FTPS 연결이 클라이언트와 서버 모두에서 사용할 수 있는 최고 버전을 협상합니다.

이 옵션은 Service Type 매개 변수에서 FTPS를 선택한 경우에만 구성할 수 있습니다.

되풀이

새로운 이벤트 로그 파일을 검사하는 원격 디렉토리의 빈도를 결정하는 시간 간격 시간 간격은 시간(H), 분(M) 또는 일(D)의 값을 포함할 수 있습니다. 예를 들어, 2H의 재발은 2시간마다 원격 디렉토리를 스캔합니다.

Run On Save

로그 소스 구성을 저장한 직후 로그 파일 가져오기를 시작합니다. 이 체크박스를 선택하면 이전에 다운로드 및 처리된 파일 목록이 지워지게 됩니다. 첫 번째 파일 임포트 이후, Log File 프로토콜은 관리자가 정의한 시작 시간과 반복 일정을 따릅니다.

EPS 제한

프로토콜이 초과할 수 없는 EPS(초당 이벤트 수)

로컬 디렉토리를 변경하십니까?

이벤트 로그가 처리되기 전에 저장하도록 Target Event Collector 의 로컬 디렉토리를 변경합니다.

로컬 디렉토리

Target Event Collector의 로컬 디렉토리 Log File 프로토콜이 이벤트를 검색하기 전에 디렉토리가 있어야 합니다.

파일 인코딩

로그 파일의 이벤트에 의해 사용되는 문자 인코딩

폴더 구분 기호

운영 체제에서 폴더를 분리하는 데 사용되는 문자입니다. 대부분의 구성은 폴더 분리기 필드에서 기본값을 사용할 수 있습니다. 이 필드는 별도의 폴더를 정의하기 위해 다른 문자를 사용하는 운영 체제를 위한 것입니다. 예를 들어, 메인프레임 시스템에서 폴더를 분리하는 마침표입니다.

이벤트 허브 연결 문자열 사용

연결 문자열을 사용하여 Azure 이벤트 허브로 인증합니다.

이벤트 허브 연결 문자열

이벤트 허브에 대한 액세스를 제공하는 권한 부여 문자열 예를 들어

Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>

소비자 그룹

연결 중에 사용되는 뷰를 지정합니다. 각 소비자 그룹은 자체 세션 추적을 유지 관리합니다. 소비자 그룹과 연결 정보를 공유하는 모든 연결은 세션 추적 정보를 공유합니다.

스토리지 계정 연결 문자열 사용

연결 문자열을 사용하여 Azure Storage Account로 인증

스토리지 계정 연결 문자열

Storage Account에 대한 액세스를 제공하는 권한 부여 문자열 예를 들어

DefaultEndpointsProtocol=https;Account Name=<Stor Account Name>AccountKey=<StorageAccount Key>;EndpointSuffix=core.windows.net

Syslog에 Azure Linux 이벤트 형식

형식 Azure Linux는 Linux 시스템의 표준 syslog 로깅과 유사한 단일 라인 syslog 형식으로 로그를 기록합니다.

게이트웨이 로그 소스로 사용

JSA 트래픽 분석 엔진을 통해 전송되는 수집된 이벤트와 하나 이상의 로그 소스를 자동으로 탐지하는 JSA에 대해 이 옵션을 선택합니다.

이 옵션을 선택하면, 처리 중인 이벤트에 대해 사용자 정의 Log Source Identifier 를 정의하는 데 선택적으로 Log Source Identifier 패턴을 사용할 수 있습니다.

로그 소스 식별자 패턴

게이트웨이로 사용 로그 소스 옵션을 선택하면 이 옵션을 사용하여 처리되는 이벤트에 대한 사용자 지정 로그 소스 식별자를 정의합니다. Log Source Identifier Pattern이 구성되지 않으면 JSA는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

Log Source Identifier Pattern 필드는 key=value와 같은 키-값 쌍을 수용하여 처리 중인 이벤트에 대해 사용자 정의 로그 소스 식별자를 정의하고 해당되는 경우 로그 소스를 자동으로 검색합니다. 키는 결과 소스 또는 원본 값인 Identifier Format String입니다. 값은 현재 페이로드를 평가하는 데 사용되는 관련 regex 패턴입니다. 값(regex 패턴)은 키를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹(Identifier Format String)을 지원합니다.

새로운 라인에 각 패턴을 입력하여 여러 키 값 쌍을 정의할 수 있습니다. 여러 패턴을 사용하면 일치되는 패턴을 찾을 때까지 순서대로 평가됩니다. 일치되는 경우 사용자 지정 로그 소스 식별자가 표시됩니다.

다음 예에서는 여러 키밸류 페어 기능을 보여 줍니다.

패턴VPC=\sREJECT\sFAILURE$1=\s(REJECT)\sOKVPC-$1-$2=\s(ACCEPT)\s(OK)

이벤트{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

결과 맞춤형 로그 소스 식별자VPC-ACCEPT-OK

예측적 구문 분석 사용

이 매개 변수를 활성화하면 알고리즘이 모든 이벤트에 대한 regex를 실행하지 않고 이벤트에서 로그 소스 식별자 패턴을 추출하여 파싱 속도를 높입니다.

높은 이벤트 속도를 받고 더 빠른 구문 분석을 필요로 하는 로그 소스 유형에 대해서만 예측 구문 분석을 활성화합니다.

프록시 사용

프록시를 구성하면 로그 소스의 모든 트래픽이 프록시를 통해 Azure 이벤트 허브에 액세스합니다. 이 매개 변수를 활성화한 후 Proxy IP 또는 Hostname, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다.

프록시에 인증이 필요하지 않은 경우 Proxy Username 및 Proxy Password 필드를 비워 둘 수 있습니다.

프록시 IP 또는 호스트 이름

프록시 서버의 IP 주소 또는 호스트 이름입니다.

이 매개 변수는 Use Proxy 를 사용할 때 나타납니다.

프록시 포트

프록시와 통신하는 데 사용되는 포트 번호입니다. 기본값은 8080입니다.

이 매개 변수는 Use Proxy 를 사용할 때 나타납니다.

프록시 사용자 이름

프록시 서버에 액세스하기 위한 사용자 이름입니다.

이 매개 변수는 Use Proxy를 사용할 때 나타납니다.

프록시 암호

프록시 서버에 액세스하기 위한 암호입니다.

이 매개 변수는 Use Proxy 를 사용할 때 나타납니다.

EPS 제한

최대 초당 이벤트 개수(EPS). 기본값은 5000입니다.

사용되지 않은 - Namespace 이름

이 옵션은 이벤트 허브 연결 문자열 사용 옵션이 설정된 경우 표시됩니다.

Microsoft Azure Event Hubs 사용자 인터페이스에 있는 Event Hub 엔티티를 포함하는 최상위 디렉토리의 이름입니다.

사용되지 않은 - 이벤트 허브 이름

이 옵션은 이벤트 허브 연결 문자열 사용 옵션이 설정된 경우 표시됩니다.

액세스하려는 이벤트 허브의 식별자입니다. Event Hub Name 은 네임스페이스 내의 Event Hub 엔티티 중 하나와 일치해야 합니다.

사용되지 않은 경우 - SAS 키 이름

이 옵션은 이벤트 허브 연결 문자열 사용 옵션이 설정된 경우 표시됩니다.

SAS(Shared Access Signature) 이름은 이벤트 퍼블리셔를 식별합니다.

사용되지 않은 - SAS 키

이 옵션은 이벤트 허브 연결 문자열 사용 옵션이 설정된 경우 표시됩니다.

SAS(Shared Access Signature) 키는 이벤트 퍼블리셔를 인증합니다.

사용 안 됨 - 스토리지 계정 이름

이 옵션은 저장 계정 연결 문자열 사용 옵션이 설정된 경우 표시됩니다.

이벤트 허브 데이터를 저장하는 스토리지 계정의 이름입니다.

Storage Account Name은 Azure Storage Account의 데이터에 액세스하는 데 필요한 인증 프로세스의 일부입니다.

사용되지 않은 스토리지 계정 키

이 옵션은 저장 계정 연결 문자열 사용 옵션이 설정된 경우 표시됩니다.

스토리지 계정 인증에 사용되는 권한 부여 키

Storage Account Key는 Azure Storage Account의 데이터에 액세스하는 데 필요한 인증 프로세스의 일부입니다.

로그 소스 유형

Microsoft 365 Defender

프로토콜 구성

엔드포인트 SIEM REST API를 위한 Microsoft Defender

권한 부여 서버 URL

액세스 토큰을 얻기 위한 인증을 제공하는 서버의 URL입니다. 액세스 토큰은 Microsoft 365 Defender로부터 이벤트를 수집하는 인증으로 사용됩니다.

Authorization Server URL은 다음 형식을 사용합니다.

UUID가 <Tenant_ID> 있습니다.

리소스

Microsoft 365 Defender SIEM API 이벤트에 액세스하는 데 사용되는 리소스입니다.

클라이언트 ID

사용자가 액세스 토큰을 획득할 수 있는 권한이 있는지 확인합니다.

클라이언트 암호

Client Secret 값은 한 번만 표시되며 더 이상 보이지 않습니다. Client Secret 값에 액세스할 수 없는 경우 Microsoft Azure 관리자에게 새로운 클라이언트 기밀을 요청하십시오.

지역

로그를 수집하려는 Microsoft 365 Defender SIEM API와 연관된 지역을 선택합니다.

기타 지역

로그를 수집하려는 Microsoft 365 Defender SIEM API와 연관된 추가 지역의 이름을 입력합니다.

쉼표로 구분된 목록을 사용하십시오. 예를 들어 Region1,Region2를 예로 들어 보겠습니다.

GCC 엔드포인트 사용

GCC 및 GCC High & DOD 엔드포인트 사용을 활성화 또는 비활성화합니다. GCC 및 GCC High & DOD 엔드포인트는 미국 정부 고객들을 위한 단말 장치입니다.

자세한 내용은 미국 정부 고객을 위한 Microsoft Defender for Endpoint를 참조하십시오.

GCC 유형

GCC 또는 GCC High & DOD를 선택합니다.

• GCC: Microsoft의 정부 커뮤니티 클라우드

• GCC High 및 DoD: 규정 준수

  국방부에서 근무하고 있습니다.

프록시 사용

JSA에 대한 프록시가 구성되면 로그 소스에 대한 모든 트래픽이 프록시를 통해 전송되므로 JSA가 Microsoft 365 Defender SIEM API에 액세스할 수 있습니다.

Proxy Server, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다. 프록시가 인증을 요구하지 않는 경우 Proxy Server 및 Proxy 포트 필드를 구성합니다.

되풀이

로그가 데이터를 수집하는 빈도를 지정할 수 있습니다. 포맷은 분 / 시간 / 일에 대한 M / H / D입니다.

기본값은 5M입니다.

EPS 제한

최대 초당 이벤트 수(EPS)에 대한 상한입니다. 기본값은 5000입니다.

프로토콜 구성

Microsoft DHCP

로그 소스 식별자

로그 소스에 고유한 호스트 이름 또는 기타 식별자를 입력합니다.

서버 주소

Microsoft DHCP 서버의 IP 주소 또는 호스트 이름입니다.

도메인

Microsoft DHCP 서버의 도메인을 입력합니다.

서버가 도메인에 없는 경우 이 매개 변수는 옵션입니다.

사용자

DHCP 서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

DHCP 서버에 액세스하는 데 필요한 암호를 입력합니다.

암호 확인

서버에 액세스하는 데 필요한 암호를 입력합니다.

폴더 경로

DHCP 로그 파일에 대한 디렉토리 경로 기본값은 /WINDOWS/system32/dhcp/입니다.

파일 패턴

이벤트 로그를 식별하는 일반 표현식(regex) 로그 파일에는 요일 동안 3자 약어가 포함되어야 합니다. 다음 파일 패턴 중 하나를 사용합니다.

영어:

• IPv4 파일 패턴: DhcpSrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• IPv6 파일 패턴: DhcpV6SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• 혼합 IPv4 및 IPv6 파일 패턴: Dhcp.*SrvLog- (?:Sun| 월| 화요일| 수| 목요일| 금요일| Sat)\.log.

• 혼합 IPv4 및 IPv6 파일 패턴: Dhcp.*SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

폴란드어:

• IPv4 파일 패턴: DhcpSrvLog-(?:Pia|Pon|Sob|Wto|Sro|Csw|Nie) \.log.

• IPv6 파일 패턴: DhcpV6SrvLog-(?:Pt|Pon|So|Wt|Si|Csw|Nie) \.log.

재귀

파일 패턴이 하위 폴더를 검색하려면 이 옵션을 선택합니다.

SMB 버전

사용할 SMB 버전:

자동 - 클라이언트와 서버가 사용하는 데 동의한 가장 높은 버전으로 자동 탐지.

SMB1 - SMB1 의 사용을 강제합니다. SMB1은 jCIFS.jar (Java ARchive) 파일을 사용합니다.

SMB2 - SMB2 의 사용을 강제합니다. SMB2는 jNQ.jar 이 파일을 사용합니다.

SMB3 - SMB3 의 사용을 강제합니다. SMB3은 jNQ.jar 이 파일을 사용합니다.

폴링 간격(초)

새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 간의 초 수입니다. 최소 폴링 간격은 10초입니다. 최대 폴링 간격은 3,600초입니다.

이벤트/초 제한

DHCP 프로토콜이 초당 전송할 수 있는 최대 이벤트 개수입니다. 최소값은 100 EPS입니다. 최대값은 20,000 EPS입니다.

파일 인코딩

로그 파일의 이벤트에 의해 사용되는 문자 인코딩

사용

이 옵션을 사용할 수 없는 경우, 로그 소스는 이벤트를 수집하지 않으며 로그 소스는 라이센스 제한에 포함되지 않습니다.

신뢰성

신뢰성은 로그 소스에 의해 생성된 이벤트의 무결성 또는 유효성을 표현하는 것입니다. 로그 소스에 할당되는 신뢰성 값은 수신 이벤트에 따라 증가하거나 감소하거나 사용자가 생성한 이벤트 규칙에 대한 응답으로 조정될 수 있습니다. 로그 소스에서 발생하는 이벤트의 신뢰성은 위반 크기의 계산에 기여하며 위반의 규모를 늘리거나 줄일 수 있습니다.

대상 이벤트 수집기

원격 로그 소스를 폴렉터하는 JSA 이벤트 콜렉터(JSA Event Collector)를 지정합니다.

분산 구축 환경에서 이 매개 변수를 사용하여 폴링 작업을 이벤트 컬렉터로 이동하여 콘솔 시스템 성능을 개선합니다.

결합 이벤트

짧은 시간 내에 동일한 이벤트가 여러 번 발생할 때 이벤트 수가 증가합니다. 결합된 이벤트는 Log Activity 탭에서 단일 이벤트 유형이 발생하는 빈도를 보고 결정하는 방법을 제공합니다.

이 확인란이 명확하면 이벤트를 개별적으로 볼 수 있으며 이벤트는 번들되지 않습니다.

새 로그 소스와 자동으로 검색된 로그 소스는 관리 탭의 시스템 설정 구성에서 이 확인란의 가치를 그대로 니다. 이 확인란을 사용하여 개별 로그 소스에 대한 시스템 설정의 기본 동작을 무시할 수 있습니다.

프로토콜 구성

Microsoft Exchange

로그 소스 식별자

IP 주소, 호스트 이름 또는 이름을 입력하여 로그 소스를 식별합니다.

서버 주소

Microsoft Exchange 서버의 IP 주소 또는 호스트 이름입니다.

도메인

Microsoft Exchange 서버의 도메인을 입력합니다.

서버가 도메인에 없는 경우 이 매개 변수는 옵션입니다.

사용자

Microsoft Exchange 서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

Microsoft Exchange 서버에 액세스하는 데 필요한 암호를 입력합니다.

암호 확인

Microsoft Exchange 서버에 액세스하는 데 필요한 암호를 입력합니다.

SMTP 로그 폴더 경로

SMTP 로그 파일에 액세스할 수 있는 디렉토리 경로입니다.

기본 파일 경로는 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog입니다.

폴더 경로가 명확해지면 SMTP 이벤트 수집은 비활성화됩니다.

OWA 로그 폴더 경로

OWA 로그 파일에 액세스하는 디렉토리 경로입니다.

기본 파일 경로는 Windows/system32/LogFiles/W3SVC1입니다.

폴더 경로가 명확하면 OWA 이벤트 수집은 비활성화됩니다.

MSGTRK 로그 폴더 경로

메시지 추적 로그에 액세스하는 디렉토리 경로

기본 파일 경로는 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking입니다.

메시지 추적은 허브 전송, 사서함 또는 에지 전송 서버 역할이 할당된 Microsoft Exchange 2017 또는 2010 서버에서 사용할 수 있습니다.

사용자 지정 파일 패턴 사용

이 확인란을 선택하여 사용자 지정 파일 패턴을 구성합니다. 기본 파일 패턴을 사용하도록 확인란을 명확히 둡니다.

MSGTRK 파일 패턴

MSTRK 로그를 식별하고 다운로드하는 데 사용되는 정규 표현식(regex) 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRK\d+-\d+.(?:log| 로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

MSGTRKMD 파일 패턴

MSGTRKMD 로그를 식별하고 다운로드하는 데 사용되는 정규 표현식(regex) 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMD\d+-\d+.(?:log| 로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

MSGTRKMS 파일 패턴

MSGTRKMS 로그를 식별하고 다운로드하는 데 사용되는 정규 표현식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMS\d+-\d+.(?:log| 로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

MSGTRKMA 파일 패턴

MSGTRKMA 로그를 식별하고 다운로드하는 데 사용되는 정규 표현식(regex) 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMA\d+-\d+.(?:log|

파일 패턴과 일치하는 모든 파일이 처리됩니다.

SMTP 파일 패턴

SMTP 로그를 식별하고 다운로드하는 데 사용되는 정규 표현식(regex) 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 .*\.(?:log| 로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

OWA 파일 패턴

OWA 로그를 식별하고 다운로드하는 데 사용되는 정규 표현식(regex) 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 .*\.(?:log| 로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

강제 파일 읽기

확인란이 지워지면 로그 파일은 JSA 가 변경된 시간 또는 파일 크기의 변경을 탐지한 경우에만 읽습니다.

재귀

파일 패턴이 하위 폴더를 검색하려면 이 옵션을 사용합니다. 기본적으로 확인란이 선택되어 있습니다.

SMB 버전

사용할 SMB 버전을 선택합니다.

자동 - 클라이언트와 서버가 사용하는 데 동의한 가장 높은 버전으로 자동 탐지.

SMB1 - SMB1 의 사용을 강제합니다. SMB1은 jCIFS.jar (Java ARchive) 파일을 사용합니다.

SMB2 - SMB2 의 사용을 강제합니다. SMB2는 jNQ.jar 이 파일을 사용합니다.

SMB3 – SMB3 의 사용을 강제합니다. SMB3은 jNQ.jar 이 파일을 사용합니다.

폴링 간격(초)

폴링 간격(새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 간 초)을 입력합니다. 기본값은 10초입니다.

이벤트/초 제한

Microsoft Exchange 프로토콜이 초당 전송할 수 있는 최대 이벤트 개수입니다.

파일 인코딩

로그 파일의 이벤트에 의해 사용되는 문자 인코딩

로그 소스 유형

사용자 지정 로그 소스 유형 또는 이 프로토콜을 사용하는 특정 DSM

프로토콜 구성

Microsoft 그래프 보안 API

테넌트 ID

Microsoft Azure Active Directory 인증에 사용되는 테넌트 ID 값입니다.

클라이언트 ID

Microsoft Azure Active Directory의 애플리케이션 구성에서 클라이언트 ID 매개 변수 값

클라이언트 암호

Microsoft Azure Active Directory의 애플리케이션 구성에서 Client Secret 매개 변수 값

이벤트 필터

Microsoft Security Graph API 쿼리 필터를 사용하여 이벤트를 검색합니다. 예를 들어 심각도는 '높음'을 가를 수 있습니다. 필터 매개 변수 앞에 "filter="를 입력하지 마십시오.

프록시 사용

JSA가 프록시를 통해 Microsoft 그래프 보안 API에 액세스하는 경우 이 확인란을 활성화합니다.

프록시에 인증이 필요한 경우 프록시 호스트 이름 또는 IP, 프록시 포트, 프록시 사용자 이름 및 프록시 필드를 구성합니다.

프록시가 인증을 요구하지 않는 경우 Proxy Hostname 또는 IP 및 Proxy 포트 필드를 구성합니다.

프록시 IP 또는 호스트 이름

프록시 서버의 IP 주소 또는 호스트 이름입니다.

Use Proxy가 False로 설정된 경우 이 옵션은 숨겨집니다.

프록시 포트

프록시와 통신하는 데 사용되는 포트 번호입니다. 기본값은 8080입니다.

Use Proxy가 False로 설정된 경우 이 옵션은 숨겨집니다.

프록시 사용자 이름

프록시와 통신하는 데 사용되는 사용자 이름입니다.

Use Proxy가 False로 설정된 경우 이 옵션은 숨겨집니다.

프록시 암호

프록시에 액세스하는 데 사용되는 암호입니다.

Use Proxy가 False로 설정된 경우 이 옵션은 숨겨집니다.

되풀이

시작 시간부터 시작하는 시간 간격을 입력하여 새 데이터에 대한 폴 스캔 빈도를 결정합니다. 시간 간격은 시간(H), 분(M) 또는 일(D)의 값을 포함할 수 있습니다. 예를 들어, 2H - 2 시간, 15M - 15 분. 기본값은 1M입니다.

EPS 제한

최대 초당 이벤트 개수(EPS). 기본값은 5000입니다.

고급 옵션 표시

이벤트 수집을 위한 고급 옵션을 구성하려면 이 옵션을 설정하십시오.

로그인 엔드포인트

Azure AD 로그인 엔드포인트를 지정합니다. 기본값은 login.microsoftonline.com.

고급 옵션 표시를 비활성화하면 이 옵션이 숨겨집니다.

그래프 API 엔드포인트

Microsoft 그래프 보안 API URL을 지정합니다. 기본값은 https://graph.microsoft.com.

고급 옵션 표시를 비활성화하면 이 옵션이 숨겨집니다.

프로토콜 구성

Microsoft IIS

로그 소스 식별자

로그 소스를 식별하기 위해 IP 주소, 호스트 이름 또는 고유 이름을 입력합니다.

서버 주소

Microsoft IIS 서버의 IP 주소 또는 호스트 이름입니다.

도메인

Microsoft IIS 서버의 도메인을 입력합니다.

서버가 도메인에 없는 경우 이 매개 변수는 옵션입니다.

사용자

서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

서버에 액세스하는 데 필요한 암호를 입력합니다.

암호 확인

서버에 액세스하는 데 필요한 암호를 입력합니다.

로그 폴더 경로

로그 파일에 액세스할 수 있는 디렉토리 경로입니다. 예를 들어 관리자는 관리 공유에 c$/LogFiles/ 디렉토리를 사용하거나 공용 공유 폴더 경로에 LogFiles/디렉토리를 사용할 수 있습니다. 그러나 c:/LogFiles 디렉토리는 지원되는 로그 폴더 경로가 아닙니다.

로그 폴더 경로에 관리 공유(C$)가 포함되어 있는 경우 관리 공유(C$)에서 NetBIOS에 액세스하는 사용자는 로그 파일을 읽는 데 필요한 권한을 갖습니다.

로컬 시스템 또는 도메인 관리자 권한도 관리 공유에 있는 로그 파일에 액세스하기에 충분합니다.

파일 패턴

이벤트 로그를 식별하는 일반 표현식(regex)입니다.

재귀

파일 패턴이 하위 폴더를 검색하려면 이 옵션을 사용합니다. 기본적으로 확인란이 선택되어 있습니다.

SMB 버전

사용할 SMB 버전을 선택합니다.

자동 - 클라이언트와 서버가 사용하는 데 동의한 가장 높은 버전으로 자동 탐지.

SMB1 - SMB1 의 사용을 강제합니다. SMB1은 jCIFS.jar (Java ARchive) 파일을 사용합니다.

SMB2 - SMB2 의 사용을 강제합니다. SMB2는 jNQ.jar 이 파일을 사용합니다.

SMB3 - SMB3 의 사용을 강제합니다. SMB3은 jNQ.jar 이 파일을 사용합니다.

폴링 간격(초)

폴링 간격(새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 간 초)을 입력합니다. 기본값은 10초입니다.

이벤트/초 제한

IIS 프로토콜이 초당 전송할 수 있는 최대 이벤트 개수입니다.

파일 인코딩

로그 파일의 이벤트에 의해 사용되는 문자 인코딩

프로토콜 구성

Windows 보안 이벤트 로그

프로토콜 이름

MQ JMS

IP 또는 호스트 이름

기본 큐 매니저의 IP 주소 또는 호스트 이름입니다.

포트

기본 큐 매니저와 통신하는 데 사용되는 기본 포트는 1414입니다.

대기 IP 또는 호스트 이름

대기 대기열 관리자의 IP 주소 또는 호스트 이름입니다.

대기 포트

대기 대기열 관리자와 통신하는 데 사용되는 포트입니다.

큐 매니저(Queue Manager)

큐 매니저의 이름입니다.

채널

큐 관리자가 메시지를 보내는 채널입니다. 기본 채널은 SYSTEM입니다. Def. SVRCONN.

큐

모니터링할 큐 또는 큐 목록 대기열 목록은 쉼표로 구분된 목록으로 지정됩니다.

사용자

MQ 서비스 인증에 사용되는 사용자 이름입니다.

암호

옵션: MQ 서비스에서 인증하는 데 사용되는 암호입니다.

수신 메시지 인코딩

수신 메시지에 사용되는 문자 인코딩

프로세스 계산 필드

옵션: 검색된 메시지에 COBOL 카피북에 정의된 연산 데이터가 포함되어 있는 경우에만 이 옵션을 선택합니다. 메시지의 바이너리 데이터는 지정된 카피북 파일에 있는 필드 정의에 따라 처리됩니다.

CopyBook 파일 이름

프로세스 계산 필드를 선택하면 이 매개 변수가 표시됩니다. 데이터 처리에 사용할 카피북 파일의 이름입니다. 카피북 파일은 /store/ec/mqjms/*에 저장되어야 합니다.

이벤트 포맷

연산 필드를 포함하는 데이터를 처리하여 생성되는 모든 이벤트에 적용할 이벤트 형식을 선택합니다. 기본적으로 형식은 사용되지 않습니다 .

JMS 메시지 헤더 포함

이 옵션을 선택하면 각 생성된 이벤트(예: 및)와 같은 JMS 메시지 필드가 포함된 헤더를 JMSMessageID JMSTimestamp포함

EPS 제한

최대 초당 이벤트 수(EPS)에 대한 제한입니다.

로그 소스 식별자

로그 소스의 고유한 이름입니다.

이 이름은 공간을 포함할 수 없으며 Office 365 Message Trace REST API 프로토콜로 구성된 이 유형의 모든 로그 소스에서 고유해야 합니다.

Office 365 사용자 계정 이메일

Office 365 Message Trace REST API로 인증하려면 적절한 권한을 가진 Office 365 이메일 계정을 제공하십시오.

Office 365 사용자 계정 암호

Office 365 Message Trace REST API로 인증하려면 Office 365 사용자 계정 이메일과 연결된 암호를 제공합니다.

이벤트 지연

데이터 수집 지연(초).

Office 365 메시지 추적 로그는 최종 제공 시스템에서 작동합니다. 데이터를 놓치지 않도록 하기 위해 지연에 로그를 수집합니다. 기본 지연은 900초(15분)이며, 최저 0초까지 설정할 수 있습니다.

프록시 사용

프록시를 사용하여 서버에 액세스하는 경우 , Use Proxy 확인란을 선택합니다. 프록시에 인증이 필요한 경우 Proxy Server, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다. 프록시가 인증을 요구하지 않는 경우 Proxy Server 및 Proxy 포트 필드를 구성합니다.

프록시 IP 또는 호스트 이름

프록시 서버의 IP 주소 또는 호스트 이름입니다.

프록시 포트

프록시와 통신하는 데 사용되는 포트 번호입니다. 기본값은 8080입니다.

프록시 사용자 이름

프록시가 인증을 요구할 때 프록시 서버에 액세스하는 데 사용되는 사용자 이름입니다.

프록시 암호

프록시가 인증을 요구할 때 프록시 서버에 액세스하는 데 사용되는 암호입니다.

되풀이

새로운 이벤트에 대한 Office 365 Message Trace REST API에 로그 소스 쿼리 간의 시간 간격

시간 간격은 시간 (H), 분 (M) 또는 일 (D)일 수 있습니다. 기본값은 5분입니다.

EPS 제한

최대 초당 이벤트 개수(EPS). 기본값은 5000입니다.

로그 소스 식별자

로그 소스의 고유한 이름입니다.

Log Source Identifier는 유효한 값이 될 수 있으며 특정 서버를 참조할 필요가 없습니다. Log Source Identifier는 로그 소스 이름과 동일한 값을 사용할 수 있습니다. 두 개 이상의 Okta 로그 소스가 구성된 경우 첫 번째 로그 소스를 "로okta1, 두 번째 로그 소스", 세 번째 로그 소스를 으로 okta2okta3식별할 수 있습니다.

IP 또는 호스트 이름

oktaprise.okta.com

인증 토큰

Okta 콘솔에 의해 생성되고 모든 API 트랜잭션에 사용해야 하는 단일 인증 토큰입니다.

프록시 사용

프록시를 사용하여 JSA가 Okta에 액세스하는 경우 이 옵션을 활성화합니다.

프록시가 구성되면 로그 소스의 모든 트래픽은 JSA 가 Okta에 액세스할 수 있도록 프록시를 통해 이동합니다.

프록시에 인증이 필요한 경우 Hostname, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Username 및 Proxy Password 필드를 비워 둘 수 있습니다.

호스트

Use Proxy를 선택하면 이 매개 변수가 표시됩니다.

프록시 포트

Use Proxy를 선택하면 이 매개 변수가 표시됩니다.

프록시 사용자 이름

Use Proxy를 선택하면 이 매개 변수가 표시됩니다.

프록시 암호

Use Proxy를 선택하면 이 매개 변수가 표시됩니다.

되풀이

새 데이터에 대한 폴링 빈도를 결정하는 시간 간격입니다. 시간 간격은 시간(H), 분(M) 또는 일(D)의 값을 포함할 수 있습니다. 예를 들어, 2H = 2시간, 15M = 15분, 30초 기본값은 1M입니다.

EPS 제한

플로우 파이프라인에 전송되는 최대 초당 이벤트 수입니다. 기본값은 5000입니다.

EPS Throttle 값이 수신 속도보다 높거나 데이터 처리가 뒤쳐질 수 있는지 확인합니다.

프로토콜 구성

OPSEC/LEA

로그 소스 식별자

장비 식별을 위한 IP 주소, 호스트 이름 또는 이름

로그 소스 유형에 고유해야 합니다.

서버 IP

서버의 IP 주소를 입력합니다.

서버 포트

OPSEC 통신에 사용되는 포트 번호입니다. 유효 범위는 0 - 65,536이고 기본 범위는 18184입니다.

로그 소스에 서버 IP 사용

로그 소스에 대해 관리되는 장비 IP 주소 대신 LEA 서버 IP 주소를 사용하려면 Log Source용 서버 IP 사용 확인란을 선택합니다. 기본적으로 확인란이 선택되어 있습니다.

통계 보고서 간격

간격(초 단위)으로, syslog 이벤트 수가 qradar.log 파일에 기록됩니다. 유효 범위는 4 - 2,147,483,648이고 기본 간격은 600입니다.

인증 유형

목록에서 이 LEA 구성에 사용할 인증 유형을 선택합니다. 옵션은 sslca(기본값), sslca_clear 또는 명확합니다. 이 값은 서버에서 사용하는 인증 방법과 일치해야 합니다.

OPSEC Application Object SIC 속성(SIC 이름)

SIC(Secure Internal Communications) 이름은 애플리케이션의 구분 이름(DN)입니다. 예를 들어 CN=LEA, o=fwconsole.. 7psasx.

로그 소스 SIC 속성(Entity SIC Name)

서버의 SIC 이름( 예: cn=cp_mgmt,o=fwconsole.) 7pssxz.

인증서 지정

이 LEA 구성에 대한 인증서를 정의하려면 이 확인란을 선택합니다. JSA 는 인증서가 필요할 때 이러한 매개 변수를 사용하여 인증서를 검색하려고 시도합니다.

인증서 파일 이름

이 옵션은 Certificate 지정을 선택한 경우에만 나타납니다. 이 구성에 사용할 인증서의 파일 이름을 입력합니다. 인증서 파일은 /opt/qradar/conf/ trusted_certificates/lea 디렉토리에 있어야 합니다.

인증 기관 IP

Check Point Manager 서버 IP 주소를 입력합니다.

풀 인증서 암호

암호를 입력합니다.

OPSEC 애플리케이션

인증서를 요청하는 애플리케이션의 이름입니다.

사용

이 확인란을 선택하여 로그 소스를 활성화합니다. 기본적으로 확인란이 선택되어 있습니다.

신뢰성

목록에서 로그 소스의 신뢰성 을 선택합니다. 범위는 0 - 10입니다.

신뢰도는 소스 디바이스의 신뢰도 등급에 따라 결정된 이벤트 또는 위반 사항의 무결성을 나타냅니다. 여러 소스가 동일한 이벤트를 보고하면 신뢰성이 높아질 수 있습니다. 기본값은 5입니다.

대상 이벤트 수집기

목록에서 로그 소스의 대상으로 사용할 대상 이벤트 수집 기를 선택합니다.

결합 이벤트

콜렉싱 이벤트(Coalescing Events) 확인란을 선택하여 로그 소스가 (번들) 이벤트를 결합할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 콜레싱 이벤트 목록의 값을 그대로 집니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

스토어 이벤트 페이로드

스토어 이벤트 페이로드 확인란을 선택하여 로그 소스가 이벤트 페이로드 정보를 저장할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 가치를 그대로 니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

프로토콜 구성

Oracle Database Listener

로그 소스 식별자

로그 소스를 식별하기 위해 IP 주소, 호스트 이름 또는 고유 이름을 입력합니다.

서버 주소

Oracle Database Listener 서버의 IP 주소 또는 호스트 이름

도메인

Oracle Database Learner 서버의 도메인을 입력합니다.

서버가 도메인에 없는 경우 이 매개 변수는 옵션입니다.

사용자

서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

서버에 액세스하는 데 필요한 암호를 입력합니다.

암호 확인

서버에 액세스하는 데 필요한 암호를 입력합니다.

로그 폴더 경로

Oracle Database Listener 로그 파일에 액세스할 수 있는 디렉토리 경로를 입력합니다.

파일 패턴

이벤트 로그를 식별하는 일반 표현식(regex)입니다.

강제 파일 읽기

폴링 간격의 타이밍이 지정되면 이 확인란을 선택하여 프로토콜이 로그 파일을 읽도록 합니다.

확인란을 선택하면 마지막으로 수정된 시간이나 파일 크기 속성에 관계없이 폴링 간격이 지정되면 로그 파일 소스가 항상 검사됩니다.

확인란을 선택하지 않으면 마지막으로 수정된 시간 또는 파일 크기 속성이 변경된 경우 폴링 간격으로 로그 파일 소스가 조사됩니다.

재귀

파일 패턴이 하위 폴더를 검색하려면 이 옵션을 사용합니다. 기본적으로 확인란이 선택되어 있습니다.

SMB 버전

사용할 SMB 버전을 선택합니다.

자동 - 클라이언트와 서버가 사용하는 데 동의한 가장 높은 버전으로 자동 탐지.

SMB1 - SMB1 의 사용을 강제합니다. SMB1은 jCIFS.jar (Java ARchive) 파일을 사용합니다.

SMB2 - SMB2 의 사용을 강제합니다. SMB2는 jNQ.jar 이 파일을 사용합니다.

SMB3 - SMB3 의 사용을 강제합니다. SMB3은 jNQ.jar 이 파일을 사용합니다.

폴링 간격(초)

폴링 간격(새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 간 초)을 입력합니다. 기본값은 10초입니다.

이벤트/초 제한

Oracle Database Listener 프로토콜이 초당 전달하는 최대 이벤트 개수입니다.

파일 인코딩

로그 파일의 이벤트에 의해 사용되는 문자 인코딩

프로토콜 구성

SDEE

Url

예를 들어, 로그 소스에 액세스하는 데 필요한 HTTP 또는 HTTPS URL은 https://www.mysdeeserver.com/cgi-bin/sdee-server.

SDEE/CIDEE(Cisco IDS v5.x 이상)의 경우 URL은 로 끝나 /cgi-bin/sdee-server야 합니다. RDEP(Cisco IDS v4.x)를 사용하는 관리자의 URL은 로 끝나 /cgi-bin/event-server야 합니다.

강제 구독

확인란을 선택하면 프로토콜은 서버가 최소 활성 연결을 드롭하도록 강제하고 로그 소스에 대한 새로운 SDEE 구독 연결을 허용합니다.

이벤트 차단 대기 최대 수

컬렉션 요청이 이루어지고 새로운 이벤트를 사용할 수 없는 경우, 프로토콜은 이벤트 블록을 활성화합니다. 이 블록은 새로운 이벤트가 없는 원격 장비에 대한 또 다른 이벤트 요청이 이루어지는 것을 방지합니다. 이 타임아웃은 시스템 리소스를 보존하기 위한 것입니다.

프로토콜 구성

SMB Tail

로그 소스 식별자

로그 소스를 식별하기 위해 IP 주소, 호스트 이름 또는 고유 이름을 입력합니다.

서버 주소

SMB Tail 서버의 IP 주소 또는 호스트 이름입니다.

도메인

SMB Tail 서버의 도메인을 입력합니다.

서버가 도메인에 없는 경우 이 매개 변수는 옵션입니다.

사용자

서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

서버에 액세스하는 데 필요한 암호를 입력합니다.

암호 확인

서버에 액세스하는 데 필요한 암호를 확인합니다.

로그 폴더 경로

로그 파일에 액세스할 수 있는 디렉토리 경로입니다. 예를 들어 관리자는 관리 공유에 c$/LogFiles/ 디렉토리를 사용하거나 공용 공유 폴더 경로에 LogFiles/ 디렉토리를 사용할 수 있습니다. 그러나 c:/LogFiles 디렉토리는 지원되는 로그 폴더 경로가 아닙니다.

로그 폴더 경로에 관리 공유(C$)가 포함되어 있는 경우 관리 공유(C$)에서 NetBIOS에 액세스하는 사용자는 로그 파일을 읽는 데 필요한 권한을 갖습니다.

로컬 시스템 또는 도메인 관리자 권한도 관리 공유에 있는 로그 파일에 액세스하기에 충분합니다.

파일 패턴

이벤트 로그를 식별하는 일반 표현식(regex)입니다.

SMB 버전

사용할 Server Message Block(SMB) 버전을 선택합니다.

자동 - 클라이언트와 서버가 사용하는 데 동의한 가장 높은 버전으로 자동 탐지.

SMB1 - SMB1 의 사용을 강제합니다. SMB1은 jCIFS.jar (Java ARchive) 파일을 사용합니다.

SMB2 - SMB2 의 사용을 강제합니다. SMB2는 jNQ.jar 이 파일을 사용합니다.

SMB3 - SMB3 의 사용을 강제합니다. SMB3은 jNQ.jar 이 파일을 사용합니다.

강제 파일 읽기

확인란이 지워지면 로그 파일은 JSA 가 변경된 시간 또는 파일 크기의 변경을 탐지한 경우에만 읽습니다.

재귀

파일 패턴이 하위 폴더를 검색하려면 이 옵션을 사용합니다. 기본적으로 체크박스가 선택됩니다.

폴링 간격(초)

폴링 간격(새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 간 초)을 입력합니다. 기본값은 10초입니다.

이벤트/초 제한

SMB Tail 프로토콜이 초당 전달하는 최대 이벤트 개수입니다.

파일 인코딩

로그 파일의 이벤트에 의해 사용되는 문자 인코딩

프로토콜 구성

SNMPv2

커뮤니티

SNMP 이벤트가 포함된 시스템에 액세스하는 데 필요한 SNMP 커뮤니티 이름입니다. 예를 들어 퍼블릭을 예로 들면,

이벤트 페이로드에 OID 포함

SNMP 이벤트 페이로드가 이벤트 페이로드 형식 대신 이름 값 쌍을 사용하여 구성되도록 지정합니다.

Log Source Types 목록에서 특정 로그 소스를 선택하면 SNMPv2 또는 SNMPv3 이벤트를 처리하기 위해 페이로드가 필요한 경우 OID가 필요합니다.

결합 이벤트

이 확인란을 선택하여 로그 소스가 (번들) 이벤트를 결합할 수 있도록 합니다.

결합 이벤트는 동일한 이벤트가 짧은 시간 간격으로 여러 번 발생할 때 이벤트 수를 증가시킵니다. 통합된 이벤트를 통해 관리자는 Log Activity 탭에서 단일 이벤트 유형이 발생하는 빈도를 보고 결정할 수 있습니다.

이 확인란이 명확하면 이벤트는 개별적으로 표시되며 정보가 번들되지 않습니다.

새 로그 소스와 자동으로 검색된 로그 소스는 관리 탭의 시스템 설정 구성에서 이 확인란의 가치를 그대로 니다. 관리자는 이 확인란을 사용하여 개별 로그 소스에 대한 시스템 설정의 기본 동작을 무시할 수 있습니다.

스토어 이벤트 페이로드

로그 소스가 이벤트에서 페이로드 정보를 저장할 수 있도록 하려면 이 확인란을 선택합니다.

새 로그 소스와 자동으로 검색된 로그 소스는 관리 탭의 시스템 설정 구성에서 이 확인란의 가치를 그대로 니다. 관리자는 이 확인란을 사용하여 개별 로그 소스에 대한 시스템 설정의 기본 동작을 무시할 수 있습니다.

프로토콜 구성

SNMPv3

로그 소스 식별자

로그 소스에 고유 이름을 입력합니다.

인증 프로토콜

SNMP3 트랩 인증에 사용하려는 알고리즘:

• SHA 는 SHA(Secure Hash Algorithm)를 인증 프로토콜로 사용합니다.

• MD5 는 MD5(Message Digest 5)를 인증 프로토콜로 사용합니다.

인증 암호

SNMPv3 인증을 위한 암호입니다. 인증 암호에는 최소 8자까지 포함되어야 합니다.

암호 해독 프로토콜

SNMPv3 트랩의 복호화에 사용할 알고리즘을 선택합니다.

• Des

• AES128

• AES192

• AES256

암호 해독

SNMPv3 트랩을 복호화하기 위한 암호입니다. 암호 해독 암호에는 최소 8자까지 포함되어야 합니다.

사용자

어플라이언스상에서 SNMPv3를 구성하는 데 사용된 사용자 이름입니다.

이벤트 페이로드에 OID 포함

SNMP 이벤트 페이로드가 표준 이벤트 페이로드 형식 대신 이름 값 쌍을 사용하여 구성되도록 지정합니다. Log Source Types 목록에서 특정 로그 소스를 선택하면 SNMPv2 또는 SNMPv3 이벤트를 처리하기 위해 페이로드가 필요한 경우 OID가 필요합니다.

로그 소스 유형

Seculert

프로토콜 구성

Seculert 보호 REST API

로그 소스 식별자

로그 소스의 IP 주소 또는 호스트 이름을 Seculert 이벤트의 식별자로 입력합니다.

여러 설치 시 생성되는 각 추가 로그 소스에는 IP 주소 또는 호스트 이름과 같은 고유 식별자가 가장 이상적입니다.

API 키

Seculert Protection REST API 인증에 사용되는 API 키입니다. API 키 값은 Seculert 웹 포털에서 얻습니다.

프록시 사용

프록시를 구성하면 로그 소스의 모든 트래픽이 JSA 의 프록시를 통해 Seculert Protection REST API에 액세스합니다.

Proxy IP 또는 Hostname, Proxy Port, Proxy Username 및 Proxy Password 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Username 및 Proxy Password 필드를 비워 둘 수 있습니다.

서버 인증서 자동 취득

Yes를 선택하면 목록에서 JSA가 인증서를 다운로드하고 대상 서버를 신뢰하기 시작합니다.

되풀이

로그가 데이터를 수집하는 시기를 지정합니다. 포맷은 분 / 시간 / 일에 대한 M / H / D입니다. 기본값은 1M입니다.

EPS 제한

API로부터 수신되는 이벤트의 최대 초당 이벤트 수(EPS)에 대한 상한입니다.

사용

이 확인란을 선택하여 로그 소스를 활성화합니다. 기본적으로 확인란이 선택되어 있습니다.

신뢰성

로그 소스의 신뢰성 을 선택합니다. 범위는 0 - 10입니다.

신뢰도는 소스 디바이스의 신뢰도 등급에 따라 결정된 이벤트 또는 위반 사항의 무결성을 나타냅니다. 여러 소스가 동일한 이벤트를 보고하면 신뢰성이 높아질 수 있습니다. 기본값은 5입니다.

대상 이벤트 수집기

로그 소스의 대상으로 사용할 Target Event Collector 를 선택합니다.

결합 이벤트

이 확인란을 선택하여 로그 소스가 (번들) 이벤트를 결합할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 콜레싱 이벤트 목록의 값을 그대로 집니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

스토어 이벤트 페이로드

로그 소스에서 이벤트 페이로드 정보를 저장할 수 있도록 하려면 이 확인란을 선택합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 가치를 그대로 니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

프로토콜 구성

Sophos 엔터프라이즈 콘솔 JDBC

로그 소스 식별자

로그 소스의 이름을 입력합니다. 이름은 공간을 포함할 수 없으며 JDBC 프로토콜을 사용하도록 구성된 로그 소스 유형의 모든 로그 소스 간에 고유해야 합니다.

로그 소스가 정적 IP 주소 또는 호스트 이름이 있는 단일 어플라이언스에서 이벤트를 수집하는 경우, 로그 소스 식별자 값의 전부 또는 일부로 IP 주소 또는 어플라이언스의 호스트 이름을 사용하십시오. 예를 들어 192.168.1.1 또는 JDBC192.168.1.1을 예로 들어 보겠습니다. 로그 소스가 정적 IP 주소 또는 호스트 이름을 가진 단일 어플라이언스에서 이벤트를 수집하지 않는 경우 , Log Source Identifier 값에 대해 고유의 이름을 사용할 수 있습니다. 예를 들어 JDBC1, JDBC2를 예로 들어 보겠습니다.

데이터베이스 유형

Msde

데이터베이스 이름

데이터베이스 이름은 Log Source Identifier 필드에 지정된 데이터베이스 이름과 일치해야 합니다.

포트

Sophos Enterprise Console의 MSDE 기본 포트는 1168입니다. JDBC 구성 포트는 Sophos 데이터베이스의 리스너 포트와 일치하여 JSA와 통신해야 합니다. Sophos 데이터베이스에는 수신 TCP 연결이 활성화되어 있어야 합니다.

데이터베이스 인스턴스를 MSDE 데이터베이스 유형과 함께 사용하는 경우 포트 매개 변수를 비워 두어야 합니다.

인증 도메인

네트워크가 도메인을 사용하지 않는 경우 이 필드를 비워 두십시오.

데이터베이스 인스턴스

필요한 경우 데이터베이스 인스턴스입니다. MSDE 데이터베이스에는 하나의 서버에 여러 SQL 서버 인스턴스가 포함될 수 있습니다.

데이터베이스에 비표준 포트가 사용되거나 관리자가 SQL 데이터베이스 해석을 위해 포트 1434에 대한 액세스를 차단할 때 Database Instance 매개 변수는 공백이어야 합니다.

표 이름

vEventsCommonData

List 선택

*

필드 비교

InsertedAt

준비된 문장 사용

준비된 명령문은 프로토콜 소스가 SQL 문을 설정한 다음 서로 다른 매개 변수로 SQL 문을 여러 번 실행할 수 있도록 합니다. 보안 및 성능상의 이유로 대부분의 구성은 준비된 문장을 사용할 수 있습니다. 이 확인란을 지우면 미리 컴파일된 명령문을 사용하지 않는 다른 쿼리 방법을 사용합니다.

시작일 및 시간

선택적. 프로토콜이 데이터베이스 폴링에 착수할 수 있는 시작 날짜 및 시간 시작 시간이 정의되지 않은 경우, 프로토콜은 로그 소스 구성이 저장되고 구축된 후에 이벤트에 대한 폴링(poll)을 시도합니다.

폴링 간격

폴링 간격(데이터베이스에 대한 쿼리 간 시간)입니다. H를 시간 동안 추가해 더 긴 폴링 간격을 정의하거나 숫자 값에 몇 분 동안 M을 추가하면 더 긴 폴링 간격을 정의할 수 있습니다. 최대 폴링 간격은 언제든지 1주입니다. H 또는 M 지정자 폴링이 없는 숫자 값(초)

EPS 제한

이 프로토콜을 초과하지 않으려는 EPS(초당 이벤트 수)

명명된 파이프 통신 사용

MSDE가 데이터베이스 유형으로 구성된 경우 관리자는 이 확인란을 선택하여 TCP/IP 포트 연결에 대한 대체 방법을 사용할 수 있습니다.

MSDE 데이터베이스에 대한 명명된 파이프 연결에는 데이터베이스 사용자 이름과 암호가 아닌 Windows 인증 사용자 이름과 암호를 사용하려면 사용자 이름과 암호 필드가 필요합니다. 로그 소스 구성은 MSDE 데이터베이스에서 기본 명명 파이프를 사용해야 합니다.

데이터베이스 클러스터 이름

클러스터 환경에서 SQL 서버를 사용하는 경우 클러스터 이름을 정의하여 명명된 파이프 통신(pipe communications)이 올바르게 작동하는지 확인합니다.

NTLMv2 사용

MSDE 연결을 강제하여 NTLMv2 인증이 필요한 SQL 서버와 NTLMv2 프로토콜을 사용합니다. 확인란의 기본값이 선택되었습니다.

NTLMv2 사용 확인란은 NTLMv2 인증을 요구하지 않는 MSDE 연결에 대한 통신을 방해하지 않습니다.

프로토콜 구성

Syslog 리디렉션

로그 소스 식별자 Regex

Regex를 입력하여 페이로드에서 Log Source Identifier를 구문 분석합니다.

로그 소스 식별자

기본값으로 사용할 Log Source Identifier를 입력합니다. Log Source Identifier Regex가 제공되는 regex를 사용하여 특정 페이로드에서 로그 소스 식별자를 구문 분석할 수 없는 경우 기본값이 사용됩니다.

로그 소스 식별자 Regex 포맷 문자열

Log Source Identifier Regex에서 캡처 그룹을 결합하는 포맷 문자열

예를 들어:

1. "$1"은 첫 번째 캡처 그룹을 사용합니다.

2. "$1$2"는 캡처 그룹 1과 2를 구성합니다.

3. "$1 TEXT $2"는 리터럴 "TEXT"인 캡처 그룹 1을 구성하고 그룹 2를 캡처합니다.

생성된 문자열은 새 로그 소스 식별자로 사용됩니다.

Regex 일치 시 DNS 조회 수행

Regex Match에서 DNS 조회 수행 확인란을 선택하여 Log Source Identifier Regex 및 매개 변수 값을 기반으로 DNS 기능을 활성화합니다.

기본적으로 확인란을 선택하지 않습니다.

수신 포트

사용되지 않는 포트를 입력하고 로그 소스를 설정하여 해당 포트의 JSA 에 이벤트를 보냅니다.

프로토콜

목록에서 TCP 또는 UDP 중 하나를 선택합니다.

Syslog Redirect 프로토콜은 모든 UDP syslog 연결을 지원하지만 TCP 연결을 2500으로 제한합니다. syslog 스트림에 2,500개 이상의 로그 소스가 있는 경우 두 번째 로그 소스를 입력하고 포트 번호를 수신 대기해야 합니다.

사용

이 확인란을 선택하여 로그 소스를 활성화합니다. 기본적으로 확인란이 선택되어 있습니다.

신뢰성

목록에서 로그 소스의 신뢰성을 선택합니다. 범위는 0 - 10입니다.

신뢰도는 소스 디바이스의 신뢰도 등급에 따라 결정된 이벤트 또는 위반 사항의 무결성을 나타냅니다. 여러 소스가 동일한 이벤트를 보고하면 신뢰성이 높아질 수 있습니다. 기본값은 5입니다.

대상 이벤트 수집기

목록에서 로그 소스의 대상으로 사용할 대상 이벤트 수집 기를 선택합니다.

결합 이벤트

콜렉싱 이벤트(Coalescing Events ) 확인란을 선택하여 로그 소스가 (번들) 이벤트를 결합할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 콜레싱 이벤트 목록의 값을 그대로 집니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

수신 이벤트 페이로드

수신 이벤트 페이로드 목록에서 로그를 구문 분석 및 저장할 수신 페이로드 인코더를 선택합니다.

스토어 이벤트 페이로드

스토어 이벤트 페이로드 확인란을 선택하여 로그 소스가 이벤트 페이로드 정보를 저장할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 가치를 그대로 니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

프로토콜 구성

TCP 멀티라인 Syslog

로그 소스 식별자

로그 소스를 식별하기 위해 IP 주소 또는 호스트 이름을 입력합니다. 대신 이름을 사용하려면 사용자 지정 소스 이름 사용을 선택하고 Source Name Regex 및 Source Name Formatting String 매개변수를 채웁니다.

수신 포트

기본 포트는 12468입니다.

어그리게이션 방법

기본값은 시작/종료 매칭입니다. 공통 식별자가 결합한 멀티라인 이벤트를 결합하려면 ID-Linked 를 사용합니다.

이벤트 시작 패턴

이 매개 변수는 Aggregation Method 매개변수를 시작/종료 매칭으로 설정할 때 사용할 수 있습니다.

TCP 멀티라인 이벤트 페이로드의 시작을 식별하는 데 필요한 정규 표현식(regex) Syslog 헤더는 일반적으로 날짜 또는 타임 스탬프로 시작됩니다. 이 프로토콜은 타임 스탬프와 같은 이벤트 시작 패턴만을 기반으로 하는 단일 라인 이벤트를 생성할 수 있습니다. 시작 패턴만 사용 가능한 경우 프로토콜은 각 시작 값 간의 모든 정보를 캡처하여 유효한 이벤트를 만듭니다.

이벤트 엔드 패턴

이 매개 변수는 Aggregation Method 매개변수를 시작/종료 매칭으로 설정할 때 사용할 수 있습니다.

TCP 멀티라인 이벤트 페이로드의 끝을 식별하는 데 필요한 정규 표현식(regex)입니다. syslog 이벤트가 동일한 값으로 끝나면 정규 표현식을 사용하여 이벤트 종료 여부를 결정할 수 있습니다. 프로토콜은 이벤트 엔드 패턴을 기반으로 하는 이벤트를 캡처할 수 있습니다. 단말 패턴만 사용 가능한 경우, 프로토콜은 각 단말 값 간의 모든 정보를 캡처하여 유효한 이벤트를 생성합니다.

메시지 ID 패턴

이 매개 변수는 Aggregation Method 매개변수를 ID-Linked로 설정할 때 사용할 수 있습니다.

이벤트 페이로드 메시지를 필터링하는 데 필요한 정규 표현식(regex)입니다. TCP 멀티라인 이벤트 메시지에는 이벤트 메시지의 각 줄에서 반복되는 공통의 식별 값이 포함되어야 합니다.

이벤트 포맷

Windows를 위해 특별히 포맷된 멀티라인 이벤트에 Windows 멀티라인 옵션을 사용합니다.

고급 옵션 표시

기본값은 아니오입니다. 이벤트 데이터를 커스터마이징하려는 경우 Yes 를 선택합니다.

사용자 지정 소스 이름 사용

이 매개 변수는 Show Advanced Options 를 Yes로 설정할 때 사용할 수 있습니다.

Regex로 소스 이름을 사용자 지정하려면 확인란을 선택합니다.

소스 이름 Regex

사용자 지정 소스 이름 사용을 확인할 때 이 매개 변수를 사용할 수 있습니다.

이 프로토콜에서 처리되는 이벤트 페이로드에서 하나 이상의 값을 캡처하는 정규 표현식(regex)입니다. 이러한 값은 각 이벤트에 대한 소스 또는 원본 값을 설정하기 위해 Source Name Formatting String 매개 변수와 함께 사용됩니다. 이 소스 값은 일치하는 로그 소스 식별자 값으로 이벤트를 로그 소스로 라우팅하는 데 사용됩니다.

소스 이름 포맷 문자열

사용자 지정 소스 이름 사용을 확인할 때 이 매개 변수를 사용할 수 있습니다.

다음 중 하나 이상의 입력을 조합하여 이 프로토콜에 의해 처리되는 이벤트 페이로드의 소스 값을 형성할 수 있습니다.

• Source Name Regex에서 하나 이상의 그룹을 캡처합니다. 캡처 그룹을 참조하려면 소스 이름 Regex에서 캡처 그룹의 인덱스인 \x 표기를 사용합니다.

• 이벤트 데이터가 발생한 IP 주소입니다. 패킷 IP를 참조하려면 토큰 $PIP$를 사용합니다.

• 리터럴 텍스트 문자. 전체 Source Name Formatting String 은 사용자 제공 텍스트일 수 있습니다. 예를 들어, Source Name Regex 가 'hostname=(.*?)'이고 캡처 그룹 1 값에 hostname.com 추가하려는 경우 Source Name Formatting String을 \1.hostname.com 설정합니다. hostname=ibm이 포함된 이벤트가 처리되면 이벤트 페이로드의 소스 값이 ibm.hostname.com 설정되고 JSA는 해당 로그 소스 식별자를 통해 이벤트를 로그 소스로 라우팅합니다.

게이트웨이 로그 소스로 사용

이 매개 변수는 Show Advanced Options 를 Yes로 설정할 때 사용할 수 있습니다.

이 옵션을 선택하면 이벤트에 태그된 소스 이름을 기반으로 로그 소스를 통과하는 이벤트를 다른 로그 소스로 라우팅할 수 있습니다.

이 옵션을 선택하지 않고 사용자 지정 소스 이름 사용을 선택하지 않은 경우 수신 이벤트는 Log Source Identifier 매개 변수에 해당하는 소스 이름으로 태그됩니다.

멀티라인 이벤트를 단일 라인으로 평면화

이 매개 변수는 Show Advanced Options 를 Yes로 설정할 때 사용할 수 있습니다.

한 줄 또는 여러 줄로 이벤트를 표시합니다.

이벤트 어그리게이션 동안 전체 회선 유지

이 매개 변수는 Show Advanced Options 를 Yes로 설정할 때 사용할 수 있습니다.

어그리게이션 메소드 매개 변수를 ID-Linked로 설정하면 이벤트 어그리게이션 중에 전체 줄 유지를 활성화하여 동일한 ID 패턴을 가진 이벤트를 함께 구성할 때 Message ID 패턴 앞에 발생하는 이벤트의 일부를 폐기하거나 유지할 수 있습니다.

시간 제한

이벤트가 이벤트 파이프라인에 푸시되기 전에 추가 매칭 페이로드를 기다릴 수 있는 초 수입니다. 기본값은 10초입니다.

사용

이 확인란을 선택하여 로그 소스를 활성화합니다.

신뢰성

로그 소스의 신뢰성을 선택합니다. 범위는 0 - 10입니다.

신뢰도는 소스 디바이스의 신뢰도 등급에 따라 결정된 이벤트 또는 위반 사항의 무결성을 나타냅니다. 여러 소스가 동일한 이벤트를 보고하면 신뢰성이 높아질 수 있습니다. 기본값은 5입니다.

대상 이벤트 수집기

구축 환경에서 TCP Multiline Syslog 리스너를 호스팅할 이벤트 콜렉터(Event Collector)를 선택합니다.

결합 이벤트

이 확인란을 선택하여 로그 소스가 (번들) 이벤트를 결합할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 콜레싱 이벤트 목록의 값을 그대로 집니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

스토어 이벤트 페이로드

로그 소스에서 이벤트 페이로드 정보를 저장할 수 있도록 하려면 이 확인란을 선택합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 가치를 그대로 니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

프로토콜 구성

TLS Syslog

로그 소스 식별자

로그 소스를 식별하는 IP 주소 또는 호스트 이름

TLS 수신 대기 포트

기본 TLS 수신 대기 포트는 6514입니다.

인증 모드

TLS 연결이 인증하는 데 사용하는 모드입니다. TLS 및 클라이언트 인증 옵션을 선택하면 증명서 매개변수를 구성해야 합니다.

클라이언트 인증서 인증

목록에서 다음 옵션 중 하나를 선택합니다.

• CN 허용 목록 및 발행자 검증

• 디스크상의 클라이언트 인증서

CN 허용 목록 사용

CN 허용 목록을 사용하도록 이 매개 변수를 활성화합니다.

CN 허용 목록

신뢰할 수 있는 클라이언트 인증서 공통 이름의 허용 목록 일반 텍스트 또는 일반 표현식(regex)을 입력할 수 있습니다. 여러 항목을 정의하려면 각 항목을 별도의 줄에 입력합니다.

Issuer 검증 사용

이 매개 변수를 사용하여 발행자 검증을 사용합니다.

Root/Intermediate Issuer의 Certificate 또는 Public Key

PEM 형식으로 Root/Intermediate 발급자의 인증서 또는 공용 키를 입력합니다.

• 인증서를 다음과 같이 입력합니다.

  -----베긴 인증서-----

  끝으로 끝나는 것:

  -----엔드 인증서-----

• 공개 키 시작은 다음과 같습니다.

  -----가장 공용 키-----

  끝으로 끝나는 것:

  -----엔드 퍼블릭 키-----

인증서 호출 확인

클라이언트 인증서에 대한 인증서 철회 상태를 확인합니다. 이 옵션은 X509v3 확장의 클라이언트 인증서에 대해 CRL Distribution Points 필드가 지정한 URL에 대한 네트워크 연결을 요구합니다.

인증서 사용량 확인

키 사용 및 확장 키 사용 확장 필드에서 인증서 X509v3 확장의 내용을 확인합니다. 수신 클라이언트 인증서의 경우 X509v3 키 사용의 허용 값은 디지털 서명 및 키 집계입니다. X509v3 확장 키 사용에 대한 허용 가치는 TLS 웹 클라이언트 인증입니다.

이 속성은 기본적으로 비활성화됩니다.

클라이언트 인증서 경로

디스크의 클라이언트 인증서로 향하는 절대 경로입니다. 인증서는 이 로그 소스를 위해 JSA 콘솔 또는 이벤트 컬렉터 에 저장되어야 합니다.

서버 인증서 유형

서버 인증서 및 서버 키에 대한 인증을 위해 사용할 인증서 유형입니다.

Server Certificate Type 목록에서 다음 옵션 중 하나를 선택합니다.

• 생성된 인증서

• PEM 인증서 및 프라이빗 키

• PKCS12 인증서 체인 및 암호

• JSA Certificate Store에서 선택

생성된 인증서

이 옵션은 Certificate Type을 구성할 때 사용할 수 있습니다.

서버 인증서 및 서버 키에 대해 JSA가 생성한 기본 인증서 및 키를 사용하려면 이 옵션을 선택합니다.

생성된 인증서는 로그 소스가 할당된 대상 이벤트 컬렉터의 /opt/qradar/conf/trusted_certificates/디렉토리에 syslog-tls.cert라고 합니다.

단일 인증서 및 프라이빗 키

이 옵션은 Certificate Type을 구성할 때 사용할 수 있습니다.

서버 인증서에 대해 단일 PEM 인증서를 사용하려는 경우 이 옵션을 선택한 다음 매개 변수를 구성합니다.

• 제공된 서버 인증서 경로 - 서버 증명서에 대한 절대 경로입니다.

• 제공된 프라이빗 키 경로 - 프라이빗 키로의 절대 경로.

PKCS12 인증서 및 암호

이 옵션은 Certificate Type을 구성할 때 사용할 수 있습니다.

서버 증명서 및 서버 키가 포함된 PKCS12 파일을 사용하려면 이 옵션을 선택한 다음 매개변수를 구성합니다.

• PKCS12 인증서 경로 - 서버 증명서 및 서버 키가 포함된 PKCS12 파일에 대한 파일 경로를 입력합니다.

• PKCS12 암호 - PKCS12 파일에 액세스할 암호를 입력합니다.

• Certificate Alias - PKCS12 파일에 두 개 이상의 항목이 있는 경우 사용할 항목을 지정하기 위해 별칭을 제공해야 합니다. PKCS12 파일에 별칭이 하나뿐이면 이 필드를 비워 두십시오.

JSA Certificate Store에서 선택

이 옵션은 Certificate Type을 구성할 때 사용할 수 있습니다.

Certificate Management 앱을 사용하여 JSA 인증서 저장소에서 인증서를 업로드할 수 있습니다.

이 앱은 JSA 7.3.3 Fix Pack 6 이상, JSA 7.4.2 이상에서 지원됩니다.

최대 페이로드 길이

TLS Syslog 메시지에 표시되는 최대 페이로드 길이(문자)

최대 연결 수

최대 연결 매개 변수는 TLS Syslog 프로토콜이 각 이벤트 컬렉터에 허용할 수 있는 동시 연결의 수를 제어합니다.

각 이벤트 수집기마다 TLS Syslog 로그 소스 구성에 활성화 및 비활성화된 로그 소스를 포함하여 1,000개의 연결이 제한됩니다.

TLS 프로토콜

로그 소스에서 사용할 TLS 프로토콜

"TLS 1.2 이상" 옵션을 선택합니다.

게이트웨이 로그 소스로 사용

수집된 이벤트를 JSA 트래픽 분석 엔진을 통해 전송하여 적절한 로그 소스를 자동으로 감지합니다.

이벤트에 대한 사용자 지정 로그 소스 식별자를 정의하지 않으려면 확인란의 지우기.

이 옵션을 선택하지 않고 Log Source Identifier Pattern 이 구성되지 않을 경우 JSA는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

로그 소스 식별자 패턴

Use As A Gateway Log Source 옵션을 사용하여 처리 중인 이벤트에 대한 사용자 지정 로그 소스 식별자를 정의하고 해당되는 경우 로그 소스를 자동으로 검색할 수 있습니다. 로그 소스 식별자 패턴을 구성하지 않으면 JSA는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

키-값 쌍을 사용하여 사용자 지정 로그 소스 식별자를 정의합니다. 키는 결과 소스 또는 원본 값인 Identifier Format String입니다. 값은 현재 페이로드를 평가하는 데 사용되는 관련 Regex 패턴입니다. 또한 이 값은 키를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹을 지원합니다.

새로운 라인에 각 패턴을 입력하여 여러 키 값 쌍을 정의합니다. 여러 패턴이 나열된 순서대로 평가됩니다. 일치되는 경우 사용자 지정 로그 소스 식별자가 표시됩니다.

다음 예에서는 여러 키-값 페어 기능을 보여 줍니다.

• 패턴 - VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2= \s(ACCEPT)\s(OK)

• 이벤트 - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• 그 결과 맞춤형 로그 소스 식별자 - VPC-ACCEPT-OK

멀티라인 지원

시작/종료 매칭 또는 ID-Linked 정규 표현식을 기반으로 여러 메시지를 단일 이벤트로 통합합니다.

어그리게이션 방법

이 매개 변수는 Enable Multiline 이 설정되면 사용할 수 있습니다.

• ID-Linked - 각 줄의 시작 부분에 공통 값을 포함하는 이벤트 로그를 처리합니다.

• 시작/끝 매칭 - 시작 또는 끝 정규 표현식(regex)을 기반으로 이벤트를 집계합니다.

이벤트 시작 패턴

이 매개 변수는 Enable Multiline 이 설정되고 어그리게이션 메소 드를 시작/종료 매칭으로 설정하면 사용할 수 있습니다.

TCP 멀티라인 이벤트 페이로드의 시작을 식별하려면 정규 표현식(regex)이 필요합니다. Syslog 헤더는 일반적으로 날짜 또는 타임스탬프로 시작됩니다. 이 프로토콜은 타임스탬프와 같은 이벤트 시작 패턴만을 기반으로 하는 단일 회선 이벤트를 생성할 수 있습니다. 시작 패턴만 사용 가능한 경우 프로토콜은 각 시작 값 간의 모든 정보를 캡처하여 유효한 이벤트를 만듭니다.

이벤트 엔드 패턴

이 매개 변수는 Enable Multiline 이 설정되고 어그리게이션 메소 드를 시작/종료 매칭으로 설정하면 사용할 수 있습니다.

이 정규 표현식(regex)은 TCP 멀티라인 이벤트 페이로드의 끝을 식별하는 데 필요합니다. syslog 이벤트가 동일한 값으로 끝나면 정규 표현식을 사용하여 이벤트 종료 여부를 결정할 수 있습니다. 프로토콜은 이벤트 엔드 패턴을 기반으로 하는 이벤트를 캡처할 수 있습니다. 단말 패턴만 사용 가능한 경우, 프로토콜은 각 단말 값 간의 모든 정보를 캡처하여 유효한 이벤트를 생성합니다.

메시지 ID 패턴

이 매개 변수는 Enable Multiline 을 설정하고 어그리게이션 메소드를 ID-Linked로 설정하면 사용할 수 있습니다.

이벤트 페이로드 메시지를 필터링하는 데 필요한 정규 표현식(regex)입니다. TCP 멀티라인 이벤트 메시지에는 이벤트 메시지의 각 줄에서 반복되는 공통의 식별 값이 포함되어야 합니다.

시간 제한

이 매개 변수는 Enable Multiline 을 설정하고 어그리게이션 메소드를 ID-Linked로 설정하면 사용할 수 있습니다.

이벤트가 이벤트 파이프라인에 푸시되기 전에 더 일치하는 페이로드를 기다릴 수 있는 초 수입니다. 기본값은 10초입니다.

이벤트 어그리게이션 동안 전체 회선 유지

이 매개 변수는 Enable Multiline 을 설정하고 어그리게이션 메소드를 ID-Linked로 설정하면 사용할 수 있습니다.

어그리게이션 메소드 매개변수를 ID-Linked로 설정하면 이벤트 어그리게이션 중에 전체 줄 유지를 활성화하여 메시지 ID 패턴 앞에 있는 이벤트의 일부를 삭제하거나 유지할 수 있습니다. 동일한 ID 패턴을 가진 이벤트를 함께 구성해야만 이 기능을 사용할 수 있습니다.

멀티라인 이벤트를 단일 라인으로 평면화

이 매개 변수는 Enable Multiline 이 설정되면 사용할 수 있습니다.

한 줄 또는 여러 줄로 이벤트를 표시합니다.

이벤트 포맷

이 매개 변수는 Enable Multiline 이 설정되면 사용할 수 있습니다.

Windows를 위해 특별히 포맷된 멀티라인 이벤트에 Windows 멀티라인 옵션을 사용합니다.

프로토콜 구성

UDP 멀티라인 Syslog

수신 포트

수신 UDP Multiline Syslog 이벤트를 수락하기 위해 JSA 에서 사용하는 기본 포트 번호는 517입니다. 1 - 65535 범위에서 다른 포트를 사용할 수 있습니다.

저장된 구성을 편집하여 새 포트 번호를 사용하려면 다음 단계를 완료하십시오.

1. Listen Port 필드에서 UDP Multiline Syslog 이벤트를 수신하기 위한 새 포트 번호를 입력합니다.

2. Save를 클릭합니다.

3. Deploy Changes를 클릭하여 변경을 효과적으로 만듭니다.

포트 업데이트가 완료되었으며 이벤트 수집은 새 포트 번호에서 시작됩니다.

메시지 ID 패턴

이벤트 페이로드 메시지를 필터링하는 데 필요한 정규 표현식(regex) UDP 멀티라인 이벤트 메시지에는 이벤트 메시지의 각 줄에서 반복되는 공통의 식별 값이 포함되어야 합니다.

이벤트 포맷

수신 대기자가 감지하는 수신 페이로드의 형식을 지정하는 이벤트 포맷 [형식 없음 ]을 선택하여 페이로드를 아무런 영향을 받지 않고 남겨 둡니다. Cisco ACS Multiline 을 선택하여 페이로드를 단일 라인 이벤트에 포맷합니다.

ACS syslog 헤더에는 total_seg 및 seg_num 필드가 있습니다. 이 두 필드는 Cisco ACS 멀티라인 옵션을 선택할 때 올바른 순서로 ACS 멀티라인 이벤트를 단일 회선 이벤트로 재구축하는 데 사용됩니다.

고급 옵션 표시

기본값은 아니오입니다. 고급 옵션을 구성하려는 경우 Yes 를 선택합니다.

사용자 지정 소스 이름 사용

Regex로 소스 이름을 사용자 지정하려면 확인란을 선택합니다.

소스 이름 Regex

JSA가 이 UDP Multiline Syslog 구성에서 처리되는 이벤트의 소스를 결정하는 방법을 사용자 정의하려면 Source Name Regex 및 Source Name Formatting String 매개 변수를 사용합니다.

Source Name Regex의 경우, 이 프로토콜에서 처리되는 이벤트 페이로드에서 하나 이상의 식별 값을 캡처하기 위해 regex를 입력합니다. 이러한 값은 각 이벤트에 대한 소스 또는 원본 값을 설정하기 위해 Source Name Formatting String과 함께 사용됩니다. 이 소스 값은 SSG(Use As A Gateway Log Source) 옵션을 사용할 때 일치하는 Log Source Identifier 값으로 이벤트를 로그 소스로 라우팅하는 데 사용됩니다.

소스 이름 포맷 문자열

다음 중 하나 이상의 입력을 조합하여 이 프로토콜에 의해 처리되는 이벤트 페이로드의 소스 값을 형성할 수 있습니다.

• Source Name Regex에서 하나 이상의 그룹을 캡처합니다. 캡처 그룹을 참조하려면 소스 이름 Regex에서 캡처 그룹의 인덱스인 \x 표기를 사용합니다.

• 이벤트 데이터가 발생한 IP 주소입니다. 패킷 IP를 참조하려면 토큰 $PIP$를 사용합니다.

• 리터럴 텍스트 문자. 전체 Source Name Formatting String은 사용자 제공 텍스트일 수 있습니다.

예를 들어 CiscoACS\1\2$PIP$입니다. 여기서 \1\2는 Source Name Regex 값에서 첫 번째 및 두 번째 캡처 그룹을 의미하며, $PIP$는 패킷 IP입니다.

게이트웨이 로그 소스로 사용

이 확인란이 명확하면 수신 이벤트는 로그 소스에서 시작된 IP와 일치하는 Log Source Identifier와 함께 로그 소스 로 전송됩니다.

이 로그 소스는 JSA를 입력하는 여러 소스의 멀티라인 이벤트를 위한 단일 진입점 또는 게이트웨이 역할을 하며 각 소스에 대해 UDP Multiline Syslog 로그 소스를 구성할 필요 없이 동일한 방식으로 처리됩니다. RFC3164 또는 RFC5424 호환 syslog 헤더가 있는 이벤트는 Source Name Formatting String 매개 변수가 사용되지 않는 한 헤더의 IP 또는 호스트 이름에서 유래한 것으로 식별됩니다. 이 경우 각 이벤트에 대해 포맷 문자열이 평가됩니다. 이러한 모든 이벤트는 이 캡처된 값을 기반으로 JSA를 통해 라우팅됩니다.

하나 이상의 로그 소스가 해당 Log Source Identifier와 함께 존재하는 경우, 구성된 파싱 순서(Parsing Order)를 기반으로 하는 이벤트가 제공됩니다. 이벤트에 동의하지 않거나 일치하는 Log Source Identifier와 함께 로그 소스가 없는 경우 자동 탐지를 위해 이벤트를 분석합니다.

멀티라인 이벤트를 단일 라인으로 평면화

한 줄 또는 여러 줄로 이벤트를 표시합니다. 이 확인란을 선택하면 모든 새 라인 및 캐리지 반환 문자가 이벤트에서 제거됩니다.

이벤트 어그리게이션 동안 전체 회선 유지

프로토콜이 동일한 ID 패턴으로 이벤트를 통합할 때 Message ID 패턴 앞에 오는 이벤트를 폐기하거나 부품을 유지하려면 이 옵션을 선택합니다.

시간 제한

이벤트가 이벤트 파이프라인에 푸시되기 전에 추가 매칭 페이로드를 기다릴 수 있는 초 수입니다. 기본값은 10초입니다.

사용

이 확인란을 선택하여 로그 소스를 활성화합니다.

신뢰성

로그 소스의 신뢰성을 선택합니다. 범위는 0 - 10입니다.

신뢰도는 소스 디바이스의 신뢰도 등급에 따라 결정된 이벤트 또는 위반 사항의 무결성을 나타냅니다. 여러 소스가 동일한 이벤트를 보고하면 신뢰성이 높아질 수 있습니다. 기본값은 5입니다.

대상 이벤트 수집기

UDP Multiline Syslog listener를 호스팅해야 하는 이벤트 콜렉터(Event Collector)를 선택합니다.

결합 이벤트

이 확인란을 선택하여 로그 소스가 (번들) 이벤트를 결합할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 콜레싱 이벤트 목록의 값을 그대로 집니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

스토어 이벤트 페이로드

로그 소스에서 이벤트 페이로드 정보를 저장할 수 있도록 하려면 이 확인란을 선택합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 가치를 그대로 니다. 로그 소스를 만들거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 무시할 수 있습니다.

로그 소스 식별자

로그 소스 이름은 공간을 포함할 수 없으며 VMware vCloud Director 프로토콜로 구성된 이 유형의 모든 로그 소스 사이에서 고유해야 합니다.

프로토콜 구성

VMware vCloud Director

vCloud URL

REST API에 액세스하기 위해 VMware vCloud 어플라이언스상에서 구성된 URL입니다. URL은 vCloud 서버의 VCD 공용 REST API 기반 URL 필드로 구성된 주소와 일치해야 합니다. 예를 들어, https:<my.vcloud.server>/api.

사용자 이름

vCloud Server에 원격으로 액세스하는 데 필요한 사용자 이름입니다. 예를 들어, console/user@organization.

JSA와 함께 사용할 읽기 전용 계정을 구성하려면 조직에서 Console Access Only 권한을 가진 vCloud 사용자를 만드십시오.

암호

vCloud Server에 원격으로 액세스하는 데 필요한 암호입니다.

폴링 간격(초)

새로운 이벤트에 대한 vCloud 서버에 대한 쿼리 간의 시간

기본 폴링 간격은 10초입니다.

EPS 제한

최대 초당 이벤트 개수(EPS). 기본값은 5000입니다.

고급 옵션 사용

이 옵션을 사용하여 더 많은 매개 변수를 구성합니다.

API 페이지 크기

고급 옵션 사용(Enable Advanced Options)을 선택하면 이 매개 변수가 표시됩니다.

API 호출당 반환할 레코드 수입니다. 최대는 128입니다.

레거시 vCloud SDK 구현

고급 옵션 사용(Enable Advanced Options)을 선택하면 이 매개 변수가 표시됩니다.

vCloud 5.1 이상에 연결하려면 이 옵션을 사용할 수 있습니다.

vCloud API 버전

고급 옵션 사용(Enable Advanced Options)을 선택하고 Enable Legacy vCloud SDK를 선택하면 이 매개 변수는 더 이상 표시되지 않습니다.

API 요청에 사용되는 vCloud 버전입니다. 이 버전은 vCloud 설치와 호환되는 버전과 일치해야 합니다.

vCloud 설치와 호환되는 버전을 결정하는 데 도움이 되는 다음 예제를 사용하십시오.

• vCloud API 33.0(vCloud Director 10.0)

• vCloud API 32.0(vCloud Director 9.7)

• vCloud API 31.0(vCloud Director 9.5)

• vCloud API 30.0(vCloud Director 9.1)

• vCloud API 29.0(vCloud Director 9.0)

신뢰할 수 없는 인증서 허용

고급 옵션 사용(Enable Advanced Options)을 선택하고 Enable Legacy vCloud SDK를 선택하면 이 매개 변수는 더 이상 표시되지 않습니다.

vCloud 5.1 이상에 연결하는 경우 이 옵션을 사용하여 언트러스트 자동 인증서를 허용해야 합니다.

인증서는 PEM 또는 DER 인코딩 바이너리 형식으로 다운로드한 다음 파일 확장자를 /opt/qradar/conf/ trusted_certificates/ 가진 .cert or .crt 디렉토리에 배치해야 합니다.

프록시 사용

고급 옵션 사용(Enable Advanced Options)을 선택하고 Enable Legacy vCloud SDK를 선택하면 이 매개 변수는 더 이상 표시되지 않습니다.

프록시를 사용하여 서버에 액세스하는 경우 , Use Proxy 확인란을 선택합니다. 프록시에 인증이 필요한 경우 Proxy Server, Proxy Port, Proxy 사용자 이름 및 Proxy Password 필드를 구성합니다.

프록시가 인증을 요구하지 않는 경우 Proxy IP 또는 Hostname 필드를 구성합니다.

프록시 IP 또는 호스트 이름

Use Proxy를 선택하면 이 매개 변수가 표시됩니다.

고급 옵션 사용(Enable Advanced Options)을 선택하고 Enable Legacy vCloud SDK를 선택하면 이 매개 변수는 더 이상 표시되지 않습니다.

프록시 포트

Use Proxy를 선택하면 이 매개 변수가 표시됩니다.

고급 옵션 사용(Enable Advanced Options)을 선택하고 Enable Legacy vCloud SDK를 선택하면 이 매개 변수는 더 이상 표시되지 않습니다.

프록시와 통신하는 데 사용되는 포트 번호입니다. 기본값은 8080입니다.

프록시 사용자 이름

Use Proxy를 선택하면 이 매개 변수가 표시됩니다.

고급 옵션 사용(Enable Advanced Options)을 선택하고 Enable Legacy vCloud SDK를 선택하면 이 매개 변수는 더 이상 표시되지 않습니다.

프록시 암호

Use Proxy를 선택하면 이 매개 변수가 표시됩니다.

고급 옵션 사용(Enable Advanced Options)을 선택하고 Enable Legacy vCloud SDK를 선택하면 이 매개 변수는 더 이상 표시되지 않습니다.