프로토콜 구성 옵션

로그 소스 유형

Akamai KONA

프로토콜 구성

Akamai Kona REST API

호스트

호스트 값은 Akamai Luna Control Center에서 SIEM OPEN API 프로비저닝 중에 제공됩니다. 호스트는 보안 이벤트를 쿼리할 수 있는 적절한 권한에 대한 정보를 포함하는 고유한 기본 URL입니다. 이 매개 변수는 값의 일부에 비밀 클라이언트 정보가 포함되어 있기 때문에 암호 필드입니다.

클라이언트 토큰

클라이언트 토큰은 두 가지 보안 매개 변수 중 하나입니다. 이 토큰은 클라이언트 자격 증명을 만들기 위해 클라이언트 암호와 쌍을 이룹니다. 이 토큰은 Akamai SIEM OPEN API를 프로비저닝한 후에 찾을 수 있습니다.

클라이언트 시크릿

클라이언트 암호는 두 가지 보안 매개 변수 중 하나입니다. 이 비밀은 클라이언트 자격 증명을 만들기 위해 클라이언트 토큰과 쌍을 이룹니다. 이 토큰은 Akamai SIEM OPEN API를 프로비저닝한 후에 찾을 수 있습니다.

액세스 토큰

액세스 토큰은 보안 이벤트를 검색하기 위해 API 클라이언트 액세스 권한을 부여하기 위해 클라이언트 자격 증명과 함께 사용되는 보안 매개 변수입니다. 이 토큰은 Akamai SIEM OPEN API를 프로비저닝한 후에 찾을 수 있습니다.

보안 구성 ID

보안 구성 ID는 보안 이벤트를 검색하려는 각 보안 구성의 ID입니다. 이 ID는 Akamai Luna 포털의 SIEM 통합 섹션에서 찾을 수 있습니다. 쉼표로 구분된 목록에 여러 구성 ID를 지정할 수 있습니다. 예: configID1,configID2.

프록시 사용

JSA가 프록시를 사용하여 Amazon Web Service에 액세스하는 경우 프록시 사용을 활성화합니다.

프록시에 인증이 필요한 경우 Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호 ) 필드를 구성합니다.

프록시에 인증이 필요하지 않은 경우 프록시 IP 또는 호스트 이름 필드를 구성합니다.

서버 인증서 자동 취득

JSA가 서버 인증서를 자동으로 다운로드하고 대상 서버를 신뢰하기 시작하려면 Yes(예)를 선택합니다.

재발

새 이벤트에 대한 Akamai SIEM API에 대한 로그 소스 쿼리 간의 시간 간격입니다. 시간 간격은 시간(H), 분(M) 또는 일(D) 단위일 수 있습니다. 기본값은 1분입니다.

EPS 스로틀

초당 최대 이벤트 수입니다. 기본값은 5000입니다.

프로토콜 구성

Amazon AWS S3 REST API

로그 소스 식별자

로그 소스의 고유한 이름을 입력합니다.

로그 소스 식별자는 모든 유효한 값이 될 수 있으며 특정 서버를 참조할 필요가 없습니다. Log Source Identifier(로그 소스 식별자)는 Log Source Name(로그 소스 이름)과 동일한 값일 수 있습니다. 구성된 Amazon AWS CloudTrail 로그 소스가 두 개 이상인 경우 첫 번째 로그 소스를 , awscloudtrail1 두 번째 로그 소스를 , awscloudtrail2 세 번째 로그 소스를 awscloudtrail3 로 식별할 수 있습니다.

인증 방법

• Access Key ID / Secret Key – 어디서든 사용할 수 있는 표준 인증입니다.

• EC2 인스턴스 IAM 역할 - 관리형 호스트가 AWS EC2 인스턴스에서 실행 중인 경우 이 옵션을 선택하면 인증을 위해 인스턴스에 할당된 인스턴스 메타데이터의 IAM 역할이 사용됩니다. 키가 필요하지 않습니다. 이 방법은 AWS EC2 컨테이너 내에서 실행되는 관리형 호스트에 대해서만 작동합니다.

액세스 키

AWS 사용자 계정에 대한 보안 자격 증명을 구성할 때 생성된 액세스 키 ID

[Access Key ID / Secret Key] 또는 [Assume IAM Role]을 선택한 경우 [Access Key] 파라미터가 표시됩니다.

시크릿 키

AWS 사용자 계정에 대한 보안 자격 증명을 구성할 때 생성된 비밀 키입니다.

[Access Key ID / Secret Key] 또는 [Assume IAM Role]을 선택한 경우 [Secret Key] 파라미터가 표시됩니다.

IAM 역할 수임

액세스 키 또는 EC2 인스턴스 IAM 역할로 인증하여 이 옵션을 활성화합니다. 그런 다음 액세스를 위해 임시로 IAM 역할을 수임할 수 있습니다.

역할 ARN 수임

수임할 역할의 전체 ARN입니다. "arn:"으로 시작해야 하며 선행 또는 후행 공백이나 ARN 내의 공백을 포함할 수 없습니다.

[Assume an IAM Role]을 활성화한 경우 [Assume Role ARN] 파라미터가 표시됩니다.

역할 수임 세션 이름

수임할 역할의 세션 이름입니다. 기본값은 QRadarAWSSession 입니다. 변경할 필요가 없는 경우 기본값으로 둡니다. 이 매개 변수에는 대문자와 소문자 영숫자, 밑줄 또는 =,.@- 문자만 포함될 수 있습니다.

IAM 역할 수임(Assume an IAM Role)을 활성화한 경우 역할 수임 세션 이름(Assume Role Session Name) 파라미터가 표시됩니다.

이벤트 형식

AWS 클라우드 트레일 JSON

AWS 네트워크 방화벽

AWS VPC 흐름 로그

Cisco 엄브렐라 CSB

라인바이라인

W3C

지역 이름

SQS 대기열 또는 AWS S3 버킷이 있는 리전입니다.

Example: us-east-1, eu-west-1, ap-northeast-3

게이트웨이 로그 소스로 사용

수집된 이벤트가 JSA 트래픽 분석 엔진을 통해 흐르고 JSA 가 하나 이상의 로그 소스를 자동으로 탐지하도록 하려면 이 옵션을 선택합니다.

고급 옵션 표시

이벤트 데이터를 사용자 지정하려는 경우 이 옵션을 선택합니다.

파일 패턴

이 옵션은 Show Advanced Options(고급 옵션 표시 )를 Yes(예)로 설정한 경우에 사용할 수 있습니다.

가져오려는 파일과 일치하는 파일 패턴에 대한 regex를 입력합니다. 예를 들면 .*?\.json\와 같습니다.gz

로컬 디렉토리

이 옵션은 Show Advanced Options(고급 옵션 표시 )를 Yes(예)로 설정한 경우에 사용할 수 있습니다.

Target Event Collector의 로컬 디렉터리입니다. 디렉터리는 AWS S3 REST API 프로토콜이 이벤트 검색을 시도하기 전에 존재해야 합니다.

S3 엔드포인트 URL

이 옵션은 Show Advanced Options(고급 옵션 표시 )를 Yes(예)로 설정한 경우에 사용할 수 있습니다.

AWS S3 REST API를 쿼리하는 데 사용되는 엔드포인트 URL입니다.

엔드포인트 URL이 기본값과 다른 경우 엔드포인트 URL을 입력합니다. 기본값은 https:// s3.amazonaws.com 입니다

S3 경로 스타일 액세스 사용

S3 요청이 경로 스타일 액세스를 사용하도록 강제합니다.

이 메서드는 AWS에서 더 이상 사용되지 않습니다. 그러나 다른 S3 호환 API를 사용하는 경우 필요할 수 있습니다.

프록시 사용

JSA가 프록시를 사용하여 Amazon Web Service에 액세스하는 경우 프록시 사용을 활성화합니다.

프록시에 인증이 필요한 경우 Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호 ) 필드를 구성합니다.

프록시에 인증이 필요하지 않은 경우 프록시 IP 또는 호스트 이름 필드를 구성합니다.

재발

새 데이터를 검색하기 위해 폴링이 수행되는 빈도입니다.

SQS 이벤트 수집 방법을 사용하는 경우 SQS 이벤트 알림 의 최소값은 10(초)일 수 있습니다. SQS 대기열 폴링이 더 자주 발생할 수 있으므로 더 낮은 값을 사용할 수 있습니다.

디렉터리 접두사 이벤트 수집 방법을 사용하는 경우 특정 접두사 사용 의 최소값은 60(초) 또는 1M입니다. AWS S3 버킷에 대한 모든 listBucket 요청은 버킷을 소유한 계정에 비용을 발생시키므로 반복 값이 작을수록 비용이 증가합니다.

원격 디렉터리에서 새 이벤트 로그 파일을 검색하는 빈도를 결정하는 시간 간격을 입력합니다. 최소값은 1분입니다. 시간 간격에는 시간(H), 분(M) 또는 일(D) 단위의 값이 포함될 수 있습니다. 예를 들어, 2H = 2시간, 15M = 15분입니다.

EPS 스로틀

플로우 파이프라인으로 전송되는 초당 최대 이벤트 수입니다. 기본값은 5000입니다.

EPS 스로틀 값이 수신 속도보다 높거나 데이터 처리가 지연될 수 있는지 확인합니다.

S3 수집 방법

Use a specific prefix(특정 접두사 사용)를 선택합니다.

버킷 이름

로그 파일이 저장되는 AWS S3 버킷의 이름입니다.

디렉터리 접두사

CloudTrail 로그가 검색되는 AWS S3 버킷의 루트 디렉터리 위치입니다. 예: AWSLogs/<AccountNumber>/CloudTrial/<RegionName>/

버킷의 루트 디렉터리에서 파일을 가져오려면 디렉터리 접두사 파일 경로에 슬래시(/)를 사용해야 합니다.

S3 수집 방법

[SQS Event Notifications]를 선택합니다.

SQS 대기열 URL

S3에서 ObjectCreated 이벤트에 대한 알림을 수신하도록 설정된 SQS 대기열의 경우 로 시작하는 전체 URL입니다.

생산자

아마존

DSM 이름

사용자 지정 로그 소스 유형

RPM 파일 이름

AWS S3 REST API 프로토콜

지원되는 버전

흐름 로그 v5

프로토콜

AWS S3 REST API 프로토콜

이벤트 형식

JSA 플로우 소스를 사용한 IPFIX

기록된 이벤트 유형

네트워크 플로우

자동으로 검색되나요?

아니요

ID를 포함합니까?

아니요

사용자 지정 속성을 포함합니까?

아니요

추가 정보

(https:// docs.aws.amazon.com/vpc/latest/userguide/flowlogs. html)

프로토콜 구성

프로토콜 구성 목록에서 Amazon Web Services 를 선택합니다.

인증 방법

• 액세스 키 ID/비밀 키 — 어디서나 사용할 수 있는 표준 인증입니다.

• EC2 인스턴스 IAM 역할 — JSA 관리형 호스트가 AWS EC2 인스턴스에서 실행 중인 경우 이 옵션을 선택하면 인증을 위해 인스턴스에 할당된 메타데이터의 IAM 역할이 사용됩니다. 키가 필요하지 않습니다. 이 방법은 AWS EC2 컨테이너 내에서 실행되는 관리형 호스트에 대해서만 작동합니다.

액세스 키

AWS 사용자 계정에 대한 보안 자격 증명을 구성할 때 생성된 액세스 키 ID입니다.

액세스 키 ID/비밀 키를 선택한 경우 액세스 키 매개변수가 표시됩니다.

시크릿 키

AWS 사용자 계정에 대한 보안 자격 증명을 구성할 때 생성된 비밀 키입니다.

액세스 키 ID/비밀 키를 선택한 경우 액세스 키 매개변수가 표시됩니다.

지역

로그를 수집하려는 Amazon Web Service와 연결된 각 지역에 대한 확인란을 선택합니다.

기타 지역

로그를 수집하려는 Amazon Web Service와 연결된 추가 리전의 이름을 입력합니다. 여러 지역에서 수집하려면 다음 예제와 같이 쉼표로 구분된 목록을 사용합니다. region1,region2

AWS 서비스

Amazon Web Service의 이름입니다. [AWS Service ] 목록에서 [CloudWatch Logs]를 선택합니다.

로그 그룹

로그를 수집하려는 Amazon CloudWatch의 로그 그룹 이름입니다.

로그 스트림(선택 사항)

로그 그룹 내 로그 스트림의 이름입니다. 로그 그룹 내의 모든 로그 스트림에서 로그를 수집하려면 이 필드를 비워 둡니다.

필터 패턴(옵션)

수집된 이벤트를 필터링하기 위한 패턴을 입력합니다. 이 패턴은 정규식 필터가 아닙니다. 지정한 정확한 값이 포함된 이벤트만 CloudWatch Logs에서 수집됩니다. 필터 패턴 값으로 ACCEPT를 입력하면 다음 예제와 같이 ACCEPT라는 단어가 포함된 이벤트만 수집됩니다.

{LogStreamName: LogStreamTest,Timestamp: 0,
Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

원본 이벤트 추출

CloudWatch 로그에 추가된 원래 이벤트만 JSA로 전달하려면 이 옵션을 선택합니다.

CloudWatch Logs는 수신한 이벤트를 추가 메타데이터로 래핑합니다.

원래 이벤트는 CloudWatch 로그에서 추출된 메시지 키의 값입니다. 다음 CloudWatch 로그 이벤트 예제는 CloudWatch 로그에서 추출된 원본 이벤트를 굵은 텍스트로 보여줍니다.

{"owner":"123456789012","subscriptionFilters":
["allEvents"],"logEvents":
[{"id":"35093963143971327215510178578576502306458824699048362100","mes
sage":"{\"eventVersion\":\"1.05\",\"userIdentity\":
{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test
_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role/
CVDevABRoleToBeAssumed/
test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId
\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":
{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\
"arn:aws:iam::123456789012:role/
CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\
"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":
{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54
Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudt
rail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"
apnortheast-
1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":
null,\"responseElements\":null,\"requestID\":\"41e62e80-
b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-
f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipi
entAccountId\":\"123456789012\"}","timestamp":1573667733143}],"message
Type":"DATA_MESSAGE","logGroup":"CloudTrail/
DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}

게이트웨이 로그 소스로 사용

이벤트에 대한 사용자 정의 로그 소스 식별자를 정의하지 않으려면 이 확인란의 선택을 취소해야 합니다.

로그 소스 식별자 패턴

Use As A Gateway Log Source(게이트웨이 로그 소스로 사용)를 선택한 경우, 이 옵션을 사용하여 처리 중인 이벤트에 대한 사용자 정의 Log Source Identifier를 정의합니다.

키-값 쌍을 사용하여 사용자 정의 Log Source Identifier를 정의합니다. 키는 결과 소스 또는 원본 값인 식별자 형식 문자열입니다. 이 값은 현재 페이로드를 평가하는 데 사용되는 연관된 regex 패턴입니다. 이 값은 키를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹도 지원합니다.

새 줄에 각 패턴을 입력하여 여러 키-값 쌍을 정의합니다. 여러 패턴은 나열된 순서대로 평가됩니다. 일치하는 항목이 발견되면 사용자 지정 Log Source Identifier(로그 소스 식별자)가 표시됩니다.

다음 예제에서는 여러 키-값 페어 함수를 보여 줍니다.

• 패턴 - VPC=\sREJECT\sFAILURE

  $1=\s(거부)\sOK

  VPC-$1-$2=\s(수락)\s(확인)

• 이벤트 - {LogStreamName: LogStreamTest,타임스탬프: 0,메시지: ACCEPT OK,IngestionTime: 0,EventId: 0}

• 결과 사용자 지정 로그 소스 식별자 -

  VPC-수락-확인

프록시 사용

JSA가 프록시를 사용하여 Amazon Web Service에 액세스하는 경우 이 옵션을 선택합니다.

프록시에 인증이 필요한 경우 Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호 ) 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Server(프록시 서버 ) 및 Proxy Port(프록시 포트 ) 필드를 구성합니다.

서버 인증서 자동 취득

JSA가 서버 인증서를 자동으로 다운로드하고 대상 서버를 신뢰하기 시작하려면 Yes(예)를 선택합니다.

이 옵션을 사용하여 새로 작성된 로그 소스를 초기화하고 인증서를 확보하거나 만료된 인증서를 교체할 수 있습니다.

EPS 스로틀

초당 최대 이벤트 수(EPS)의 상한입니다. 기본값은 5000입니다.

Use As A Gateway Log Source(게이트웨이 로그 소스로 사용) 옵션을 선택한 경우 이 값은 선택 사항입니다.

EPS 스로틀 매개변수 값을 비워 두면 JSA에 의해 EPS 제한이 부과되지 않습니다.

부트스트랩 서버 목록

<hostname/ip>:<port> 부트스트랩 서버(또는 서버들)입니다. 다음 예 hostname1:9092,10.1.1.1:9092 와 같이 쉼표로 구분된 목록에 여러 서버를 지정할 수 있습니다.

소비자 그룹

이 로그 소스가 속한 소비자 그룹을 식별하는 고유한 문자열 또는 레이블입니다.

Kafka 토픽에 게시된 각 레코드는 구독하는 각 소비자 그룹 내의 하나의 소비자 인스턴스로 전달됩니다. Kafka는 이러한 레이블을 사용하여 그룹의 모든 소비자 인스턴스에 대해 레코드의 부하를 분산합니다.

주제 구독 방법

Kafka 토픽을 구독하는 데 사용되는 방법입니다. 항목 목록 옵션을 사용하여 특정 항목 목록을 지정할 수 있습니다. Regex Pattern Matching 옵션을 사용하여 사용 가능한 주제와 일치시킬 정규식을 지정할 수 있습니다.

주제 목록

구독할 주제 이름 목록입니다. 목록은 쉼표로 구분되어야 합니다. 예: Topic1,Topic2,Topic3.

이 옵션은 주제 구독 방법 옵션에 대해 항목 목록을 선택한 경우에만 표시됩니다.

주제 필터 패턴

구독할 주제와 일치하는 정규 표현식입니다.

이 옵션은 Topic Subscription Method(주제 구독 방법) 옵션에 대해 Regex Pattern Matching(정규식 패턴 일치)을 선택한 경우에만 표시됩니다.

SASL 인증 사용

이 옵션은 SASL 인증 구성 옵션을 표시합니다.

클라이언트 인증 없이 사용할 경우 서버 인증서의 복사본을 디렉터리에 /opt/qradar/conf/ trusted_certificates/ 저장해야 합니다.

클라이언트 인증 사용

클라이언트 인증 구성 옵션을 표시합니다.

/키 저장소/트러스트 저장소 유형

키 저장소 및 신뢰 저장소 유형에 대한 아카이브 파일 형식입니다. 아카이브 파일 형식에 사용할 수 있는 옵션은 다음과 같습니다.

• 증권 시세 표시기

• 재질 보기 PKCS12

트러스트 스토어 파일 이름

신뢰 저장소 파일의 이름입니다. 신뢰 저장소는 /opt/qradar/conf/trusted_certificates/ kafka/에 배치되어야 합니다.

파일에는 사용자 이름과 비밀번호가 포함되어 있습니다.

키 저장소 파일 이름

키 저장소 파일의 이름입니다. 키 저장소는 /opt/qradar/conf/trusted_certificates/ kafka/에 위치해야 합니다.

파일에는 사용자 이름과 비밀번호가 포함되어 있습니다.

게이트웨이 로그 소스로 사용

이 옵션을 사용하면 수집된 이벤트가 JSA 트래픽 분석 엔진을 통과하여 적절한 로그 소스를 자동으로 탐지할 수 있습니다.

로그 소스 식별자 패턴

Use As A Gateway Log Source(게이트웨이 로그 소스로 사용) 확인란이 선택된 경우 처리 중인 이벤트에 대한 사용자 정의 Log Source Identifier(로그 소스 식별자)를 정의합니다.

키-값 쌍은 사용자 지정 Log Source Identifier를 정의하는 데 사용됩니다. 키는 결과 소스 또는 원본 값인 식별자 형식 문자열입니다. 이 값은 현재 페이로드를 평가하는 데 사용되는 연관된 regex 패턴입니다. 이 값은 키를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹도 지원합니다.

multiplekey-value 쌍은 새 줄에 각 패턴을 입력하여 정의됩니다. 여러 패턴은 나열된 순서대로 평가됩니다. 일치하는 항목이 발견되면 사용자 지정 로그 소스 식별자가 표시됩니다.

다음 예제에서는 여러 키-값 페어 함수를 보여 줍니다.

패턴

1. VPC=\sREJECT\sFAILURE

2. $1=\s(REJECT)\sOK

3. VPC-$1-$2=\s(ACCEPT)\s(OK)

이벤트

1. {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

결과 사용자 지정 로그 소스 식별자

1. VPC-ACCEPT-OK

문자 시퀀스 교체

이벤트 페이로드의 특정 리터럴 문자 시퀀스를 실제 문자로 대체합니다. 다음 옵션 중 하나 이상을 사용할 수 있습니다.

• 줄 바꿈(CR LF) 문자(\r\n)

• 줄 바꿈 문자(\n)

• 캐리지 리턴 문자(\r)

• 탭 문자(\t)

• 공백 문자(\s)

EPS 스로틀

초당 최대 이벤트 수(EPS)입니다. 필드가 비어 있으면 제한이 적용되지 않습니다.

API 사용자 이름

Blue Coat Web Security Service를 사용하여 인증하는 데 사용되는 API 사용자 이름입니다. API 사용자 이름은 Blue Coat Threat Pulse 포털을 통해 구성됩니다.

암호

Blue Coat Web Security Service를 사용하여 인증하는 데 사용되는 암호입니다.

비밀번호 확인

암호 필드 확인.

프록시 사용

프록시를 구성하면 로그 소스의 모든 트래픽이 JSA 의 프록시를 통해 이동하여 Blue Coat Web Security Service에 액세스합니다.

프록시 IP 또는 호스트 이름, 프록시 포트, 프록시 사용자 이름 및 프록시 암호 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 암호) 필드를 비워 둘 수 있습니다.

재발

로그가 데이터를 수집하는 시기를 지정할 수 있습니다. 형식은 월/시간/일에 대한 M/H/D입니다. 기본값은 5M입니다.

EPS 스로틀

초당 최대 이벤트 수(EPS)의 상한입니다. 기본값은 5000입니다.

로그 소스 유형

Centrify Identity Platform

프로토콜 구성

Redrock REST API 중심화

로그 소스 식별자

로그 소스의 고유한 이름입니다.

로그 소스 식별자는 모든 유효한 값이 될 수 있으며 특정 서버를 참조할 필요가 없습니다. Log Source Identifier(로그 소스 식별자)는 Log Source Name(로그 소스 이름)과 동일한 값일 수 있습니다. 구성된 Centrify Identity Platform 로그 소스가 두 개 이상 있는 경우 첫 번째 로그 소스를 ( centrify1으)로 식별하고, 두 번째 로그 소스를 ( centrify2으)로 식별하고, 세 번째 로그 소스를 (으)로 centrify3식별할 수 있습니다.

테넌트 ID

Centrify는 고유한 고객 또는 테넌트 ID를 할당했습니다.

테넌트 URL

지정된 테넌트 ID에 대해 자동으로 생성된 테넌트 URL입니다. 예를 들어 tenantId.my.centrify.com

사용자 이름

Centrify Identity Platform용 클라우드 서비스와 연결된 사용자 이름입니다.

암호

Centrify Identity Platform 사용자 이름과 연결된 암호입니다.

이벤트 로깅 필터

검색할 이벤트의 로깅 수준을 선택합니다. Info(정보), Warning(경고) 및 Error(오류 )를 선택할 수 있습니다. 하나 이상의 필터를 선택해야 합니다.

신뢰할 수 없는 인증서 허용

자체 서명된 신뢰할 수 없는 인증서를 허용하려면 이 옵션을 활성화합니다. SaaS 호스팅 테넌트에 대해 이 옵션을 사용하도록 설정하지 마세요. 그러나 필요한 경우 다른 테넌트 구성에 대해 이 옵션을 사용하도록 설정할 수 있습니다.

인증서는 PEM 또는 DER로 인코딩된 바이너리 형식으로 다운로드한 다음 파일 확장자가 .cert 또는 .crt인 /opt/ qradar/conf/trusted_certificates/ 디렉토리에 배치해야 합니다.

프록시 사용

프록시가 구성되면 Centrify Redrock REST API의 모든 트래픽이 프록시를 통해 이동합니다.

Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호) 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 암호) 필드를 비워 둘 수 있습니다.

EPS 스로틀

초당 최대 이벤트 수입니다. 기본값은 5000입니다.

재발

시간 간격은 시간(H), 분(M) 또는 일(D) 단위일 수 있습니다. 기본값은 5분(5M)입니다.

프로토콜 구성

Cisco Firepower eStreamer

서버 포트

Cisco Firepower eStreamer 서비스가 연결 요청을 수락하도록 구성된 포트 번호입니다.

JSA가 Cisco Firepower eStreamer에 사용하는 기본 포트는 8302입니다.

키 저장소 파일 이름

키 저장소 개인 키 및 연관된 인증서의 디렉토리 경로 및 파일 이름입니다. 기본적으로 가져오기 스크립트는 /opt/qradar/conf/estreamer.keystore 디렉토리에 키 저장소 파일을 작성합니다.

신뢰 저장소 파일 이름

신뢰 저장소 파일의 디렉토리 경로 및 파일 이름입니다. 신뢰 저장소 파일에는 클라이언트가 신뢰하는 인증서가 포함되어 있습니다. 기본적으로 가져오기 스크립트는 /opt/qradar/conf/estreamer.truststore 디렉토리에 신뢰 저장소 파일을 작성합니다.

추가 데이터 요청

Cisco Firepower Management Center에서 추가 데이터(예: 추가 데이터에는 이벤트의 원래 IP 주소가 포함됨)를 요청하려면 이 옵션을 선택합니다.

도메인

이벤트가 스트리밍되는 도메인입니다.

도메인 필드의 값은 정규화된 도메인이어야 합니다. 즉, 원하는 도메인의 모든 상위 항목이 최상위 도메인에서 시작하여 이벤트를 요청하려는 리프 도메인으로 끝나는 목록에 나열되어야 합니다.

본보기:

Global은 최상위 도메인이고, B는 Global의 하위 도메인인 두 번째 수준 도메인이며, C는 세 번째 수준 도메인이자 B의 하위 도메인인 리프 도메인입니다. C에서 이벤트를 요청하려면 Domain 매개 변수에 다음 값을 입력합니다.

Global \ B \ C

프로토콜 구성

시스코 NSEL

로그 소스 식별자

네트워크에 관리 콘솔에 연결된 디바이스가 포함된 경우, 이벤트를 생성한 개별 디바이스의 IP 주소를 지정할 수 있습니다. IP 주소와 같은 각각에 대한 고유 식별자를 사용하면 이벤트 검색에서 관리 콘솔을 모든 이벤트의 소스로 식별할 수 없습니다.

컬렉터 포트

Cisco ASA가 NSEL 이벤트를 전달하는 데 사용하는 UDP 포트 번호입니다. JSA 는 JSA 플로우 프로세서의 플로우 데이터에 포트 2055를 사용합니다. Cisco Adaptive Security Appliance for NetFlow에 다른 UDP 포트를 할당해야 합니다.

프로토콜 구성

EMC VMware

로그 소스 식별자

이 매개변수의 값은 VMware IP 매개변수와 일치해야 합니다.

VMware IP

VMWare ESXi 서버의 IP 주소입니다. VMware 프로토콜은 프로토콜이 이벤트 데이터를 요청하기 전에 VMware ESXi 서버의 IP 주소에 HTTPS를 추가합니다.

서비스 계정 사용자 인증 정보 유형

필요한 서비스 계정 사용자 인증 정보의 출처를 지정합니다.

연결된 서비스 계정에 GCP에 구성된 구독 이름에 대한 Pub/Sub 구독자 역할 또는 보다 구체적인 pubsub.subscriptions.consume 권한이 있는지 확인합니다.

사용자 관리 키

다운로드한 서비스 계정 키의 전체 JSON 텍스트를 입력하여 서비스 계정 키 필드에 제공됩니다.

GCP 관리형 키

JSA 관리 호스트가 GCP 컴퓨팅 인스턴스에서 실행 중이고 Cloud API 액세스 범위에 Cloud Pub/Sub가 포함되어 있는지 확인합니다.

구독 이름

Cloud Pub/Sub 구독의 전체 이름입니다. 예: projects/my-project/subscriptions/my-subscription.

게이트웨이 로그 소스로 사용

수집된 이벤트가 JSA 트래픽 분석 엔진을 통해 흐르고 JSA가 하나 이상의 로그 소스를 자동으로 탐지하도록 하려면 이 옵션을 선택합니다.

이 옵션을 선택하면 Log Source Identifier Pattern을 선택적으로 사용하여 처리 중인 이벤트에 대한 사용자 정의 Log Source Identifier 를 정의할 수 있습니다.

로그 소스 식별자 패턴

Use As A Gateway Log Source(게이트웨이 로그 소스로 사용) 옵션을 선택한 경우, 이 옵션을 사용하여 처리되는 이벤트에 대한 사용자 정의 로그 소스 식별자를 정의합니다. 로그 소스 식별자 패턴이 구성되지 않은 경우, JSA는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

Log Source Identifier Pattern(로그 소스 식별자 패턴) 필드는 key=value와 같은 키-값 쌍을 허용하여 처리 중인 이벤트와 로그 소스가 자동으로 검색되는 경우 사용자 정의 로그 소스 식별자를 정의합니다. Key는 결과 소스 또는 원본 값인 식별자 형식 문자열입니다. 값은 현재 페이로드를 평가하는 데 사용되는 연관된 정규식 패턴입니다. 값(regex 패턴)은 키(식별자 형식 문자열)를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹도 지원합니다.

여러 키-값 쌍은 새 줄에 각 패턴을 입력하여 정의할 수 있습니다. 여러 패턴을 사용하는 경우 일치하는 패턴이 발견될 때까지 순서대로 평가됩니다. 일치하는 항목이 발견되면 사용자 지정 Log Source Identifier(로그 소스 식별자)가 표시됩니다.

다음 예제에서는 다중 키-값 페어 기능을 보여 줍니다.

패턴

VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

이벤트

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

결과 사용자 지정 로그 소스 식별자

VPC-ACCEPT-OK

프록시 사용

JSA가 프록시를 사용하여 GCP에 연결하려면 이 옵션을 선택합니다.

프록시에 인증이 필요한 경우 Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호 ) 필드를 구성합니다.

프록시에 인증이 필요하지 않은 경우 Proxy Server(프록시 서버 ) 및 Proxy Port(프록시 포트 ) 필드를 구성합니다.

프록시 IP 또는 호스트 이름

프록시 서버의 IP 또는 호스트 이름입니다.

프록시 포트

프록시 서버와 통신하는 데 사용되는 포트 번호입니다.

기본값은 8080입니다.

프록시 사용자 이름

프록시에 인증이 필요한 경우에만 필요합니다.

프록시 암호

프록시에 인증이 필요한 경우에만 필요합니다.

EPS 스로틀

이 로그 소스가 초과해서는 안 되는 초당 최대 이벤트 수(EPS)의 상한입니다. 기본값은 5000입니다.

Use As A Gateway Log Source(게이트웨이 로그 소스로 사용) 옵션을 선택한 경우 이 값은 선택 사항입니다.

EPS 스로틀 매개변수 값을 비워 두면 JSA에 의해 EPS 제한이 부과되지 않습니다.

로그 소스 식별자

로그 소스의 고유한 이름을 입력합니다.

로그 소스 식별자는 모든 유효한 값이 될 수 있으며 특정 서버를 참조할 필요가 없습니다. Log Source Identifier(로그 소스 식별자)는 Log Source Name(로그 소스 이름)과 동일한 값일 수 있습니다. 구성된 Google G Suite 로그 소스가 두 개 이상 있는 경우 고유 식별자를 만들 수 있습니다. 예를 들어, 첫 번째 로그 소스는 로 googlegsuite1, 두 번째 로그 소스는 로 googlegsuite2, 세 번째 로그 소스 googlegsuite3는 로 식별할 수 있습니다.

사용자 계정

보고서 권한이 있는 Google 사용자 계정입니다.

서비스 계정 사용자 인증 정보

이벤트를 검색하기 위해 Google의 API에 대한 액세스 권한을 부여합니다. 서비스 계정 사용자 인증 정보는 Google Cloud Platform에서 새 서비스 계정을 만들 때 다운로드하는 JSON 형식의 파일에 포함되어 있습니다.

프록시 사용

JSA가 프록시를 사용하여 Google G Suite에 액세스하는 경우, 이 옵션을 활성화합니다.

프록시에 인증이 필요한 경우 Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호 ) 필드를 구성합니다.

프록시에 인증이 필요하지 않은 경우 Proxy Server(프록시 서버 ) 및 Proxy Port(프록시 포트 ) 필드를 구성합니다.

재발

새 이벤트에 대한 Google G Suite Activity Reports API에 대한 로그 소스 쿼리 사이의 시간 간격입니다. 시간 간격은 시간(H), 분(M) 또는 일(D) 단위일 수 있습니다.

기본값은 5분입니다.

EPS 스로틀

초당 최대 이벤트 수입니다.

이벤트 지연

데이터 수집을 위한 지연 시간(초)입니다.

Google G Suite 로그는 최종 전송 시스템에서 작동합니다. 데이터가 누락되지 않도록 로그는 지연 시 수집됩니다.

기본 지연 시간은 7200초(2시간)이며 0초까지 낮게 설정할 수 있습니다.

프로토콜 구성

목록에서 HTTP 수신자를 선택합니다.

로그 소스 식별자

디바이스를 식별하기 위한 IP 주소, 호스트 이름 또는 이름.

로그 소스 유형에 대해 고유해야 합니다.

통신 유형

HTTP 또는 HTTPs 또는 HTTPs and Client Authentication(HTTP 또는 HTTPs 및 클라이언트 인증)을 선택합니다.

클라이언트 인증서 경로

통신 유형으로 HTTP 및 클라이언트 인증을 선택하는 경우 클라이언트 인증서에 대한 절대 경로를 설정해야 합니다. 클라이언트 인증서를 JSA 콘솔 또는 로그 소스의 이벤트 수집 기에 복사해야 합니다.

TLS 버전

이 프로토콜과 함께 사용할 수 있는 TLS 버전입니다. 가장 안전한 버전을 사용하려면 TLSv1.2 옵션을 선택합니다.

사용 가능한 버전이 여러 개 있는 옵션을 선택하면 HTTPS 연결은 클라이언트와 서버 모두에서 사용할 수 있는 가장 높은 버전을 협상합니다.

수신 포트

JSA가 수신 HTTP 수신기 이벤트를 수락하는 데 사용하는 포트입니다. 기본 포트는 12469입니다.

메시지 패턴

기본적으로 전체 HTTP POST는 단일 이벤트로 처리됩니다. POST를 여러 개의 한 줄 이벤트로 나누려면 각 이벤트의 시작을 나타내는 정규식을 제공합니다.

게이트웨이 로그 소스로 사용

수집된 이벤트가 JSA 트래픽 분석 엔진을 통해 흐르고 JSA가 하나 이상의 로그 소스를 자동으로 탐지하도록 하려면 이 옵션을 선택합니다.

최대 페이로드 길이(바이트)

단일 이벤트의 최대 페이로드 크기(바이트)입니다. 페이로드 크기가 이 값을 초과하면 이벤트가 분할됩니다.

기본값은 8192이며 32767보다 크지 않아야 합니다.

최대 POST 메서드 요청 길이(MB)

POST 메서드 요청 본문의 최대 크기(MB)입니다. POST 요청 본문 크기가 이 값을 초과하면 HTTP 413 상태 코드가 반환됩니다.

기본값은 5이며 10보다 크지 않아야 합니다.

EPS 스로틀

이 프로토콜이 초과하지 않도록 하려는 초당 최대 이벤트 수(EPS)입니다. 기본값은 5000입니다.

로그 소스 이름

로그 소스의 고유한 이름을 입력합니다.

로그 소스 설명(선택 사항)

로그 소스에 대한 설명을 입력합니다.

로그 소스 유형

로그 소스 유형 목록에서 JDBC 프로토콜을 사용하는 장치 지원 모듈(DSM)을 선택합니다.

프로토콜 구성

JDBC (JDBC)

로그 소스 식별자

로그 소스의 이름을 입력합니다. 이름은 공백을 포함할 수 없으며 JDBC 프로토콜을 사용하도록 구성된 로그 소스 유형의 모든 로그 소스 중에서 고유해야 합니다.

로그 소스가 고정 IP 주소 또는 호스트 이름이 있는 단일 어플라이언스에서 이벤트를 수집하는 경우 어플라이언스의 IP 주소 또는 호스트 이름을 로그 소스 식별자 값의 전체 또는 일부로 사용합니다. 예: 192.168.1.1 또는 JDBC192.168.1.1. 로그 소스가 고정 IP 주소 또는 호스트 이름이 있는 단일 어플라이언스에서 이벤트를 수집하지 않는 경우 로그 소스 식별자 값에 고유한 이름을 사용할 수 있습니다. 예를 들어, JDBC1, JDBC2입니다.

데이터베이스 유형

이벤트가 포함된 데이터베이스 유형을 선택합니다.

데이터베이스 이름

연결할 데이터베이스의 이름입니다.

IP 또는 호스트 이름

데이터베이스 서버의 IP 주소 또는 호스트 이름입니다.

항구

JDBC 포트를 입력합니다. JDBC 포트는 원격 데이터베이스에 구성된 청취 포트와 일치해야 합니다. 데이터베이스는 들어오는 TCP 연결을 허용해야 합니다. 데이터베이스는 들어오는 TCP 연결을 허용해야 합니다. 유효한 범위는 1 - 65535입니다.

기본값은 다음과 같습니다.

• MSDE - 1433년

• 포스트그레스 - 5432

• MySQL을 - 3306

• 사이베이스 - 5000

• 오라클 - 1521

• Informix - 9088

• Db2 - 50000

데이터베이스 인스턴스가 MSDE 데이터베이스 유형과 함께 사용되는 경우 관리자는 로그 소스 구성에서 Port 매개 변수를 비워 두어야 합니다.

사용자 이름

데이터베이스에 있는 JSA 의 사용자 계정.

암호

데이터베이스에 연결하는 데 필요한 암호입니다.

비밀번호 확인

데이터베이스에 연결하는 데 필요한 암호입니다.

인증 도메인(MSDE만 해당)

Microsoft JDBC 사용을 선택하지 않은 경우 인증 도메인이 표시됩니다.

Windows 도메인인 MSDE의 도메인입니다. 네트워크에서 도메인을 사용하지 않는 경우 이 필드를 비워 둡니다.

데이터베이스 인스턴스(MSDE 또는 Informix에만 해당)

필요한 경우 데이터베이스 인스턴스입니다. MSDE 데이터베이스는 한 서버에 여러 SQL Server 인스턴스를 포함할 수 있습니다.

데이터베이스에 비표준 포트가 사용되거나 SQL 데이터베이스 분석을 위해 포트 1434에 대한 액세스가 차단된 경우 로그 소스 구성에서 데이터베이스 인스턴스 매개변수가 공백이어야 합니다.

사전 정의된 쿼리(선택 사항)

로그 소스에 대해 사전 정의된 데이터베이스 쿼리를 선택합니다. 로그 소스 유형에 대해 사전 정의된 쿼리를 사용할 수 없는 경우 관리자는 없음을 선택할 수 있습니다.

테이블 이름

이벤트 레코드를 포함하는 테이블 또는 뷰의 이름입니다. 테이블 이름에는 달러 기호($), 숫자 기호(#), 밑줄(_), 대시(-) 및 마침표(.)와 같은 특수 문자가 포함될 수 있습니다.

목록 선택

테이블이 이벤트에 대해 폴링될 때 포함할 필드 목록입니다. 쉼표로 구분된 목록을 사용하거나 별표(*)를 입력하여 테이블 또는 뷰에서 모든 필드를 선택할 수 있습니다. 쉼표로 구분된 목록이 정의된 경우 목록에는 비교 필드에 정의된 필드가 포함되어야 합니다.

비교 필드

쿼리 사이에 테이블에 추가되는 새 이벤트를 식별하는 테이블 또는 뷰의 숫자 값 또는 타임스탬프 필드입니다. 프로토콜이 이전에 프로토콜에 의해 폴링된 이벤트를 식별하여 중복 이벤트가 생성되지 않도록 합니다.

준비된 명령문 사용

준비된 명령문을 사용하면 JDBC 프로토콜 소스가 SQL문을 설정한 다음 다른 매개변수를 사용하여 SQL문을 여러 번 실행할 수 있습니다. 보안 및 성능상의 이유로 대부분의 JDBC 프로토콜 구성은 준비된 명령문을 사용할 수 있습니다.

시작 날짜 및 시간(선택 사항)

데이터베이스 폴링의 시작 날짜 및 시간을 선택하거나 입력합니다. 형식은 yyyy-mm-dd HH:mm이며, 여기서 HH는 24시간제를 사용하여 지정됩니다.

이 매개 변수가 비어 있으면 폴링이 즉시 시작되고 지정된 폴링 간격으로 반복됩니다.

이 매개 변수는 프로토콜이 이벤트 수집을 초기화하기 위해 대상 데이터베이스에 연결하는 시간과 날짜를 설정하는 데 사용됩니다. 폴링 간격 매개 변수와 함께 사용하여 데이터베이스 폴링에 대한 특정 일정을 구성할 수 있습니다. 예를 들어 매시간 매시 5분에 폴링이 발생하도록 하거나 폴링이 매일 정확히 오전 1:00에 발생하도록 합니다.

이 매개변수는 대상 데이터베이스에서 이전 테이블 행을 검색하는 데 사용할 수 없습니다. 예를 들어 매개 변수를 Last Week로 설정하면 프로토콜은 이전 주의 모든 테이블 행을 검색하지 않습니다. 프로토콜은 초기 연결 시 비교 필드 의 최대값보다 새로운 행을 검색합니다.

폴링 간격

이벤트 테이블에 대한 쿼리 사이의 시간을 입력합니다. 더 긴 폴링 간격을 정의하려면 숫자 값에 시간 동안 H 또는 분 단위로 M을 추가합니다

최대 폴링 간격은 1주일입니다.

EPS 스로틀

이 프로토콜이 초과하지 않도록 하려는 초당 이벤트 수(EPS)입니다. 유효한 범위는 100 - 20,000입니다.

보안 메커니즘(Db2 전용)

목록에서 Db2 서버에서 지원하는 보안 메커니즘을 선택하십시오. 보안 메커니즘을 선택하지 않으려면 없음을 선택합니다.

기본값은 없음입니다.

Db2 환경에서 지원하는 보안 메커니즘에 대한 자세한 정보는 https://support.juniper.net/support/downloads/ 참조하십시오.

명명된 파이프 통신 사용(MSDE에만 해당)

Microsoft JDBC 사용을 선택하지 않은 경우 명명된 파이프 통신 사용이 표시됩니다.

MSDE 데이터베이스에는 데이터베이스 사용자 이름 및 암호가 아닌 Windows 인증 사용자 이름 및 암호를 사용하기 위해 사용자 이름 및 암호 필드가 필요합니다. 로그 소스 구성은 MSDE 데이터베이스에서 기본 명명된 파이프를 사용해야 합니다.

데이터베이스 클러스터 이름(MSDE만 해당)

명명된 파이프 통신 사용(Use Named Pipe Communication)을 선택한 경우 명명된 파이프 통신 사용(Use Named Pipe Communication) 매개변수가 표시됩니다.

클러스터 환경에서 SQL Server를 실행하는 경우 명명된 파이프 통신이 제대로 작동하도록 클러스터 이름을 정의합니다.

NTLMv2 사용(MSDE만 해당)

Microsoft JDBC 사용을 선택하지 않은 경우 NTLMv2 사용이 표시됩니다.

MSDE 연결이 NTLMv2 인증이 필요한 SQL Server와 통신할 때 NTLMv2 프로토콜을 사용하려면 이 옵션을 선택합니다. 이 옵션은 NTLMv2 인증이 필요하지 않은 MSDE 연결에 대한 통신을 중단하지 않습니다.

NTLMv2 인증이 필요하지 않은 MSDE 연결에 대한 통신을 중단하지 않습니다.

Microsoft JDBC 사용(MSDE만 해당)

Microsoft JDBC 드라이버를 사용하려면 Microsoft JDBC 사용을 사용하도록 설정해야 합니다.

SSL 사용(MSDE만 해당)

연결에서 SSL을 지원하는 경우 이 옵션을 선택합니다. 이 옵션은 MSDE에만 나타납니다.

SSL 인증서 호스트 이름

Microsoft JDBC 사용 및 SSL 사용을 모두 사용할 수 있는 경우 이 필드가 필요합니다.

이 값은 호스트의 FQDN(정규화된 도메인 이름)이어야 합니다. IP 주소는 허용되지 않습니다.

SSL 인증서 및 JDBC에 대한 자세한 내용은 다음 링크의 절차를 참조하십시오.

• QRadar: 자체 서명된 인증서를 사용하여 SSL을 통해 JDBC 구성

• 외부 서명 인증서를 사용하여 SSL을 통해 JDBC 구성

Oracle 암호화 사용

Oracle 암호화 및 데이터 무결성 설정은 Oracle Advanced Security라고도 합니다.

이 옵션을 선택하면 Oracle JDBC 연결을 사용하려면 서버가 클라이언트와 유사한 Oracle Data Encryption 설정을 지원해야 합니다.

데이터베이스 로케일(Informix에만 해당)

다국어 설치의 경우 이 필드를 사용하여 사용할 언어를 지정합니다.

코드 세트(Informix 전용)

Code-Set 매개변수는 다국어 설치를 위한 언어를 선택한 후에 표시됩니다. 이 필드를 사용하여 사용할 문자 세트를 지정합니다.

사용

이 확인란을 선택하여 로그 소스를 활성화합니다. 기본적으로 이 확인란은 선택되어 있습니다.

신빙성

목록에서 로그 소스의 신뢰성 을 선택합니다. 범위는 0 - 10입니다.

신뢰성은 소스 디바이스의 신뢰성 등급에 의해 결정되는 이벤트 또는 공격의 무결성을 나타냅니다. 여러 출처에서 동일한 이벤트를 보고하면 신뢰성이 높아집니다. 기본값은 5입니다.

대상 이벤트 수집기

로그 소스의 대상으로 사용할 대상 이벤트 콜렉터를 선택하십시오.

병합 이벤트

Coalescing Events 확인란을 선택하여 로그 소스가 이벤트를 병합(번들)할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 병합 이벤트 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

Store 이벤트 페이로드

Store Event Payload 확인란을 선택하여 로그 소스가 이벤트 페이로드 정보를 저장할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

프로토콜 구성

JDBC - SiteProtector

데이터베이스 유형

목록에서 이벤트 원본에 사용할 데이터베이스 유형으로 MSDE 를 선택합니다.

데이터베이스 이름

프로토콜이 연결할 수 있는 데이터베이스의 이름을 입력합니다 RealSecureDB .

IP 또는 호스트 이름

데이터베이스 서버의 IP 주소 또는 호스트 이름입니다.

항구

데이터베이스 서버에서 사용하는 포트 번호입니다. JDBC SiteProtector 구성 포트는 데이터베이스의 리스너 포트와 일치해야 합니다. 데이터베이스에는 들어오는 TCP 연결이 활성화되어 있어야 합니다. MSDE를 데이터베이스 유형으로 사용할 때 데이터베이스 인스턴스를 정의하는 경우 로그 소스 구성에서 Port 매개 변수를 비워 두어야 합니다.

사용자 이름

JDBC 프로토콜로 데이터베이스에 대한 액세스를 추적하려는 경우, JSA 시스템에 대한 특정 사용자를 생성할 수 있습니다.

인증 도메인

MSDE를 선택하고 데이터베이스가 Windows용으로 구성된 경우 Windows 도메인을 정의해야 합니다.

네트워크에서 도메인을 사용하지 않는 경우 이 필드를 비워 둡니다.

데이터베이스 인스턴스

MSDE를 선택하고 한 서버에 여러 SQL Server 인스턴스가 있는 경우 연결할 인스턴스를 정의합니다. 데이터베이스 구성에서 비표준 포트를 사용하거나 SQL 데이터베이스 확인을 위해 포트 1434에 대한 액세스가 차단된 경우 구성에서 데이터베이스 인스턴스 매개 변수를 비워 두어야 합니다.

사전 정의된 쿼리

로그 소스에 대한 사전 정의된 데이터베이스 쿼리입니다. 사전 정의된 데이터베이스 쿼리는 특수 로그 소스 연결에만 사용할 수 있습니다.

테이블 이름

SensorData1

AVP 보기 이름

SensorDataAVP

응답 보기 이름

SensorDataResponse

목록 선택

테이블 또는 뷰의 모든 필드를 포함하려면 을 입력합니다 * .

비교 필드

SensorDataRowID

준비된 명령문 사용

준비된 명령문을 사용하면 JDBC 프로토콜 소스가 SQL 문을 설정한 다음 다른 매개 변수를 사용하여 SQL 문을 여러 번 실행할 수 있습니다. 보안 및 성능상의 이유로 준비된 문을 사용합니다. 이 확인란의 선택을 취소하면 미리 컴파일된 문을 사용하지 않는 대체 쿼리 방법을 사용할 수 있습니다.

감사 이벤트 포함

IBM Proventia Management SiteProtector에서 감사 이벤트를 수집하도록 지정합니다.

시작 날짜 및 시간

선택적. 프로토콜이 데이터베이스 폴링을 시작할 수 있는 시작 날짜 및 시간입니다.

폴링 간격

이벤트 테이블에 대한 쿼리 사이의 시간입니다. 숫자 값에 시간 단위 H 또는 분 단위의 M을 추가하여 더 긴 폴링 간격을 정의할 수 있습니다. H 또는 M 지정자 폴링이 없는 숫자 값(초)입니다.

EPS 스로틀

이 프로토콜이 초과하지 않도록 하려는 초당 이벤트 수(EPS)입니다.

데이터베이스 로캘

다국어 설치의 경우 데이터베이스 로케일 필드를 사용하여 사용할 언어를 지정합니다.

데이터베이스 코드 세트

다국어 설치의 경우, 코드 세트 필드를 사용하여 사용할 문자 세트를 지정하십시오.

명명된 파이프 통신 사용

Windows 인증을 사용하는 경우 이 매개 변수를 사용하도록 설정하여 AD 서버에 대한 인증을 허용합니다. SQL 인증을 사용하는 경우 명명된 파이프 통신을 사용하지 않도록 설정합니다.

데이터베이스 클러스터 이름

명명된 파이프 통신이 제대로 작동하도록 하기 위한 클러스터 이름입니다.

NTLMv2 사용

MSDE 연결이 NTLMv2 인증이 필요한 SQL Server에서 NTLMv2 프로토콜을 사용하도록 강제합니다. NTLMv2 사용 확인란은 NTLMv2 인증이 필요하지 않은 MSDE 연결에 대한 통신을 중단하지 않습니다.

SSL 사용

JDBC 프로토콜에 대해 SSL 암호화를 활성화합니다.

로그 소스 언어

로그 소스에서 생성하는 이벤트의 언어를 선택합니다. 로그 소스 언어는 시스템이 여러 언어로 이벤트를 작성할 수 있는 외부 어플라이언스 또는 운영 체제의 이벤트를 구문 분석하는 데 도움이 됩니다.

로그 소스 유형

주니퍼 네트웍스 네트워크 및 보안 관리자

프로토콜 구성

주니퍼 NSM

프로토콜 구성

보안 바이너리 로그 수집기

XML 템플릿 파일 위치

주니퍼 SRX 시리즈 서비스 게이트웨이 또는 주니퍼 J 시리즈 어플라이언스에서 이진 스트림을 디코딩하는 데 사용되는 XML 파일의 경로입니다. 기본적으로 DSM(장치 지원 모듈)에는 이진 스트림을 디코딩하기 위한 XML 파일이 포함되어 있습니다.

XML 파일은 /opt/qradar/conf/security_log.xml 디렉토리에 있습니다.

프로토콜 구성

로그 파일

원격 서버에서 로그 파일을 검색할 때 사용할 프로토콜을 선택합니다.

• SFTP - 보안 파일 전송 프로토콜(기본값)

• FTP - 파일 전송 프로토콜

• FTPS - 파일 전송 프로토콜 보안

• SCP - 보안 복사 프로토콜

• AWS – Amazon Web Services

원격 IP 또는 호스트 이름 필드에 지정하는 서버는 SFTP 서브시스템이 SCP 또는 SFTP로 로그 파일을 검색할 수 있도록 해야 합니다.

원격 포트

원격 호스트가 비표준 포트 번호를 사용하는 경우 이벤트를 검색하려면 포트 값을 조정해야 합니다.

SSH 키 파일

시스템이 키 인증을 사용하도록 구성된 경우 SSH 키를 입력합니다. SSH 키 파일을 사용할 경우, 원격 비밀번호 필드는 무시됩니다.

SSH 키는 /opt/qradar/conf/keys 디렉토리에 있어야 합니다.

원격 디렉터리

FTP의 경우 로그 파일이 원격 사용자 홈 디렉토리에 있으면 원격 디렉토리를 비워 둘 수 있습니다. 공백 원격 디렉토리 필드는 CWD(Working Directory) 명령의 변경이 제한되는 시스템을 지원합니다.

재귀

이 확인란을 활성화하면 FTP 또는 SFTP 연결이 원격 디렉터리의 하위 폴더에서 이벤트 데이터를 재귀적으로 검색할 수 있습니다. 하위 폴더에서 수집되는 데이터는 FTP 파일 패턴의 정규식과 일치하는 항목에 따라 달라집니다. SCP 연결에는 재귀 옵션을 사용할 수 없습니다.

FTP 파일 패턴

원격 호스트에서 다운로드할 파일을 식별하는 데 필요한 정규식(regex)입니다.

FTP 전송 모드

FTP를 통한 ASCII 전송의 경우, 프로세서 필드와 LINEBYLINE 이벤트 생성기 필드에서 을(를) 선택해야 NONE 합니다.

FTPS 연결에 사용할 수 있는 TLS 버전입니다. 가장 안전한 버전을 사용하려면 TLSv1.2 옵션을 선택합니다. 사용 가능한 여러 버전이 있는 옵션을 선택하면 FTPS 연결은 클라이언트와 서버 모두에서 사용할 수 있는 가장 높은 버전을 협상합니다.

이 옵션은 서비스 유형 매개변수에서 FTPS를 선택한 경우에만 구성할 수 있습니다.

재발

원격 디렉터리에서 새 이벤트 로그 파일을 검색하는 빈도를 결정하는 시간 간격입니다. 시간 간격에는 시간(H), 분(M) 또는 일(D) 단위의 값이 포함될 수 있습니다. 예를 들어 2H의 되풀이는 2시간마다 원격 디렉터리를 검색합니다.

저장 시 실행

로그 소스 구성을 저장한 직후 로그 파일 가져오기를 시작합니다. 이 확인란을 선택하면 이전에 다운로드 및 처리된 파일 목록이 지워집니다. 첫 번째 파일 가져오기 후 로그 파일 프로토콜은 관리자가 정의한 시작 시간 및 되풀이 일정을 따릅니다.

EPS 스로틀

프로토콜이 초과할 수 없는 초당 이벤트 수(EPS).

로컬 디렉토리를 변경하시겠습니까?

이벤트 로그가 처리되기 전에 저장하도록 Target Event Collector 의 로컬 디렉토리를 변경합니다.

로컬 디렉토리

Target Event Collector의 로컬 디렉터리입니다. 로그 파일 프로토콜이 이벤트 검색을 시도하기 전에 디렉터리가 존재해야 합니다.

파일 인코딩

로그 파일의 이벤트에 사용되는 문자 인코딩입니다.

폴더 구분 기호

운영 체제의 폴더를 구분하는 데 사용되는 문자입니다. 대부분의 구성은 폴더 구분 기호 필드의 기본값을 사용할 수 있습니다. 이 필드는 다른 문자를 사용하여 별도의 폴더를 정의하는 운영 체제를 위한 것입니다. 예를 들어 메인프레임 시스템에서 폴더를 구분하는 기간이 있습니다.

이벤트 허브 연결 문자열 사용

연결 문자열을 사용하여 Azure Event Hub로 인증합니다.

이벤트 허브 연결 문자열

이벤트 허브에 대한 액세스를 제공하는 권한 부여 문자열입니다. 예를 들어

Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>

소비자 그룹

연결 중에 사용되는 보기를 지정합니다. 각 소비자 그룹은 자체 세션 추적을 유지 관리합니다. 소비자 그룹 및 연결 정보를 공유하는 모든 연결은 세션 추적 정보를 공유합니다.

저장소 계정 연결 문자열 사용Use Storage Account Connection String

연결 문자열을 사용하여 Azure Storage 계정으로 인증합니다.

저장소 계정 연결 문자열

스토리지 계정에 대한 액세스를 제공하는 권한 부여 문자열입니다. 예를 들어

DefaultEndpointsProtocol=https;Account Name=<Stor Account Name>AccountKey=<StorageAccount Key>;EndpointSuffix=core.windows.net

Azure Linux 이벤트를 Syslog로 포맷

형식: Azure Linux 로그를 Linux 시스템의 표준 syslog 로깅과 유사한 한 줄 syslog 형식으로 지정합니다.

게이트웨이 로그 소스로 사용

수집된 이벤트가 JSA 트래픽 분석 엔진을 통해 흐르고 JSA 가 하나 이상의 로그 소스를 자동으로 탐지하도록 하려면 이 옵션을 선택합니다.

이 옵션을 선택하면 로그 소스 식별자 패턴을 선택적으로 사용하여 처리 중인 이벤트에 대한 사용자 정의 로그 소스 식별자 를 정의할 수 있습니다.

로그 소스 식별자 패턴

Use As A Gateway Log Source(게이트웨이 로그 소스로 사용) 옵션을 선택한 경우, 이 옵션을 사용하여 처리되는 이벤트에 대한 사용자 정의 로그 소스 식별자를 정의합니다. 로그 소스 식별자 패턴이 구성되지 않은 경우, JSA는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

Log Source Identifier Pattern(로그 소스 식별자 패턴) 필드는 key=value와 같은 키-값 쌍을 허용하여 처리 중인 이벤트와 로그 소스가 자동으로 검색되는 경우 사용자 정의 로그 소스 식별자를 정의합니다. Key는 결과 소스 또는 원본 값인 식별자 형식 문자열입니다. 값은 현재 페이로드를 평가하는 데 사용되는 연관된 정규식 패턴입니다. 값(regex 패턴)은 키(식별자 형식 문자열)를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹도 지원합니다.

여러 키-값 쌍은 새 줄에 각 패턴을 입력하여 정의할 수 있습니다. 여러 패턴을 사용하는 경우 일치하는 패턴이 발견될 때까지 순서대로 평가됩니다. 일치하는 항목이 발견되면 사용자 지정 로그 소스 식별자가 표시됩니다.

다음 예제에서는 여러 키 값 쌍 기능을 보여 줍니다.

패턴 VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

이벤트 {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

결과 사용자 지정 로그 소스 식별자 VPC-ACCEPT-OK

예측 구문 분석 사용

이 매개 변수를 활성화하면 알고리즘이 모든 이벤트에 대해 정규식을 실행하지 않고 이벤트에서 로그 소스 식별자 패턴을 추출하여 구문 분석 속도를 높입니다.

높은 이벤트 속도를 수신하고 더 빠른 구문 분석이 필요할 것으로 예상되는 로그 소스 유형에 대해서만 예측 구문 분석을 사용하십시오.

프록시 사용

프록시를 구성하면 로그 원본에 대한 모든 트래픽이 프록시를 통해 이동하여 Azure Event Hub에 액세스합니다. 이 매개 변수를 활성화한 후 프록시 IP 또는 호스트 이름, 프록시 포트, 프록시 사용자 이름 및 프록시 암호 필드를 구성합니다.

프록시에 인증이 필요하지 않은 경우 Proxy Username(프록시 사용자 이름 ) 및 Proxy Password(프록시 암호 ) 필드를 비워 둘 수 있습니다.

프록시 IP 또는 호스트 이름

프록시 서버의 IP 주소 또는 호스트 이름입니다.

이 매개 변수는 프록시 사용 이 활성화된 경우에 나타납니다.

프록시 포트

프록시와 통신하는 데 사용되는 포트 번호입니다. 기본값은 8080입니다.

이 매개 변수는 프록시 사용 이 활성화된 경우에 나타납니다.

프록시 사용자 이름

프록시 서버에 액세스하기 위한 사용자 이름입니다.

이 매개 변수는 프록시 사용이 활성화된 경우에 나타납니다.

프록시 암호

프록시 서버에 액세스하기 위한 암호입니다.

이 매개 변수는 프록시 사용 이 활성화된 경우에 나타납니다.

EPS 스로틀

초당 최대 이벤트 수(EPS)입니다. 기본값은 5000입니다.

더 이상 사용되지 않음 - 네임스페이스 이름

이 옵션은 이벤트 허브 연결 문자열 사용 옵션이 off로 설정된 경우에 표시됩니다.

Microsoft Azure Event Hubs 사용자 인터페이스에 이벤트 허브 엔터티를 포함하는 최상위 디렉터리의 이름입니다.

사용되지 않음 - 이벤트 허브 이름

이 옵션은 이벤트 허브 연결 문자열 사용 옵션이 off로 설정된 경우에 표시됩니다.

액세스하려는 이벤트 허브의 식별자입니다. 이벤트 허브 이름은 네임스페이스 내의 이벤트 허브 엔터티 중 하나와 일치해야 합니다.

더 이상 사용되지 않음 - SAS 키 이름

이 옵션은 이벤트 허브 연결 문자열 사용 옵션이 off로 설정된 경우에 표시됩니다.

SAS(공유 액세스 서명) 이름은 이벤트 게시자를 식별합니다.

사용되지 않음 - SAS 키

이 옵션은 이벤트 허브 연결 문자열 사용 옵션이 off로 설정된 경우에 표시됩니다.

SAS(공유 액세스 서명) 키는 이벤트 게시자를 인증합니다.

사용되지 않음 - 스토리지 계정 이름

이 옵션은 저장소 계정 연결 문자열 사용 옵션이 해제로 설정된 경우에 표시됩니다.

Event Hub 데이터를 저장하는 스토리지 계정의 이름입니다.

스토리지 계정 이름은 Azure Storage 계정의 데이터에 액세스하는 데 필요한 인증 프로세스의 일부입니다.

사용되지 않음 - Storage 계정 키

이 옵션은 저장소 계정 연결 문자열 사용 옵션이 해제로 설정된 경우에 표시됩니다.

스토리지 계정 인증에 사용되는 권한 부여 키입니다.

스토리지 계정 키는 Azure Storage 계정의 데이터에 액세스하는 데 필요한 인증 프로세스의 일부입니다.

로그 소스 유형

Microsoft 365 Defender

프로토콜 구성

엔드포인트용 Microsoft Defender SIEM REST API

권한 부여 서버 URL

액세스 토큰을 가져올 수 있는 권한을 제공하는 서버의 URL입니다. 액세스 토큰은 Microsoft 365 Defender 이벤트를 수집하기 위한 권한 부여로 사용됩니다.

권한 부여 서버 URL은 다음 형식을 사용합니다.

여기서 <Tenant_ID>는 UUID입니다.

자원

Microsoft 365 Defender SIEM API 이벤트에 액세스하는 데 사용되는 리소스입니다.

클라이언트 ID

사용자에게 액세스 토큰을 가져올 수 있는 권한이 있는지 확인합니다.

클라이언트 시크릿

클라이언트 암호 값은 한 번만 표시되며 더 이상 표시되지 않습니다. 클라이언트 암호 값에 액세스할 수 없는 경우 Microsoft Azure 관리자에게 문의하여 새 클라이언트 암호를 요청합니다.

부위

로그를 수집하려는 Microsoft 365 Defender SIEM API와 연결된 지역을 선택합니다.

다른 지역

로그를 수집하려는 Microsoft 365 Defender SIEM API와 연결된 추가 지역의 이름을 입력합니다.

쉼표로 구분된 목록을 사용합니다. 예: region1,region2.

GCC 끝점 사용

GCC 및 GCC High & DOD 엔드포인트의 사용을 사용하거나 사용하지 않도록 설정합니다. GCC 및 GCC High & DOD 엔드포인트는 미국 정부 고객을 위한 엔드포인트입니다.

자세한 내용은 미국 정부 고객을 위한 엔드포인트용 Microsoft Defender 참조하세요.

GCC 유형

GCC 또는 GCC High & DOD를 선택합니다.

• GCC: Microsoft의 정부 커뮤니티 클라우드

• GCC High & DoD: 규정 준수

  국방부에서.

프록시 사용

JSA용 프록시가 구성된 경우 JSA가 Microsoft 365 Defender SIEM API에 액세스할 수 있도록 로그 소스의 모든 트래픽이 프록시를 통해 이동합니다.

Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호) 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Server(프록시 서버) 및 Proxy Port(프록시 포트) 필드를 구성합니다.

재발

로그가 데이터를 수집하는 빈도를 지정할 수 있습니다. 형식은 분/시간/일에 대한 M/H/D입니다.

기본값은 5M입니다.

EPS 스로틀

초당 최대 이벤트 수(EPS)의 상한입니다. 기본값은 5000입니다.

프로토콜 구성

마이크로소프트 DHCP

로그 소스 식별자

로그 소스에 고유한 고유한 호스트 이름 또는 기타 식별자를 입력합니다.

서버 주소

Microsoft DHCP 서버의 IP 주소 또는 호스트 이름입니다.

도메인

Microsoft DHCP 서버의 도메인을 입력합니다.

이 매개 변수는 서버가 도메인에 없는 경우 선택 사항입니다.

사용자 이름

DHCP 서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

DHCP 서버에 액세스하는 데 필요한 암호를 입력합니다.

비밀번호 확인

서버에 액세스하는 데 필요한 암호를 입력합니다.

폴더 경로

DHCP 로그 파일에 대한 디렉터리 경로입니다. 기본값은 /WINDOWS/system32/dhcp/입니다.

파일 패턴

이벤트 로그를 식별하는 정규식(regex)입니다. 로그 파일에는 요일에 대한 3자 약어가 포함되어야 합니다. 다음 파일 패턴 중 하나를 사용합니다.

영어:

• IPv4 파일 패턴: DhcpSrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• IPv6 파일 패턴: DhcpV6SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• 혼합 IPv4 및 IPv6 파일 패턴: Dhcp.*SrvLog- (?:Sun|월|화|수|목|금|토)\.log.

• IPv4 및 IPv6 혼합 파일 패턴: Dhcp.*SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

폴란드어:

• IPv4 파일 패턴: DhcpSrvLog-(?:Pia|Pon|Sob|Wto|Sro|Csw|Nie) \.log.

• IPv6 파일 패턴: DhcpV6SrvLog-(?:Pt|Pon|So|Wt|Si|Csw|Nie) \.log.

재귀

파일 패턴이 하위 폴더를 검색하도록 하려면 이 옵션을 선택합니다.

SMB 버전

사용할 SMB 버전은 다음과 같습니다.

AUTO - 클라이언트와 서버가 사용하기로 동의한 가장 높은 버전으로 자동 감지합니다.

SMB1 - SMB1을 강제로 사용합니다. SMB1은 (Java ARchive) 파일을 사용합니다 jCIFS.jar .

SMB2 - SMB2를 강제로 사용합니다. SMB2는 jNQ.jar 파일을 사용합니다.

SMB3 - SMB3를 강제로 사용합니다. SMB3는 jNQ.jar 파일을 사용합니다.

폴링 간격(초)

새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 사이의 시간(초)입니다. 최소 폴링 간격은 10초입니다. 최대 폴링 간격은 3,600초입니다.

스로틀 이벤트/초

DHCP 프로토콜이 초당 전달할 수 있는 최대 이벤트 수입니다. 최소값은 100EPS입니다. 최대값은 20,000EPS입니다.

파일 인코딩

로그 파일의 이벤트에 사용되는 문자 인코딩입니다.

사용

이 옵션이 활성화되지 않은 경우, 로그 소스는 이벤트를 수집하지 않으며 로그 소스는 라이센스 제한에 포함되지 않습니다.

신빙성

신뢰성은 로그 소스에 의해 생성된 이벤트의 무결성 또는 유효성을 나타냅니다. 로그 소스에 할당된 신뢰성 값은 수신 이벤트에 따라 증가 또는 감소하거나 사용자 생성 이벤트 규칙에 대한 응답으로 조정될 수 있습니다. 로그 소스의 이벤트 신뢰성은 공격 규모 계산에 기여하며 공격의 크기 값을 늘리거나 줄일 수 있습니다.

대상 이벤트 수집기

원격 로그 소스를 폴링하는 JSA 이벤트 수집기를 지정합니다.

분산 배치에서 이 매개변수를 사용하면 폴링 태스크를 이벤트 콜렉터로 이동하여 콘솔 시스템 성능을 향상시킬 수 있습니다.

병합 이벤트

짧은 시간 간격 내에 동일한 이벤트가 여러 번 발생하는 경우 이벤트 수를 늘립니다. 병합된 이벤트는 Log Activity 탭에서 단일 이벤트 유형이 발생하는 빈도를 보고 확인할 수 있는 방법을 제공합니다.

이 확인란의 선택을 취소하면 이벤트가 개별적으로 표시되며 이벤트가 번들로 표시되지 않습니다.

자동으로 검색된 새 로그 소스는 관리 탭의 시스템 설정 구성에서 이 확인란의 값을 상속합니다. 이 확인란을 사용하여 개별 로그 소스에 대한 시스템 설정의 기본 동작을 대체할 수 있습니다.

프로토콜 구성

마이크로소프트 익스체인지

로그 소스 식별자

IP 주소, 호스트 이름 또는 이름을 입력하여 로그 소스를 식별합니다.

서버 주소

Microsoft Exchange Server의 IP 주소 또는 호스트 이름입니다.

도메인

Microsoft Exchange 서버의 도메인을 입력합니다.

이 매개 변수는 서버가 도메인에 없는 경우 선택 사항입니다.

사용자 이름

Microsoft Exchange 서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

Microsoft Exchange 서버에 액세스하는 데 필요한 암호를 입력합니다.

비밀번호 확인

Microsoft Exchange 서버에 액세스하는 데 필요한 암호를 입력합니다.

SMTP 로그 폴더 경로

SMTP 로그 파일에 액세스하기 위한 디렉터리 경로입니다.

기본 파일 경로는 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog입니다.

폴더 경로가 지워지면 SMTP 이벤트 수집을 사용할 수 없습니다.

OWA 로그 폴더 경로

OWA 로그 파일에 액세스하기 위한 디렉터리 경로입니다.

기본 파일 경로는 Windows/system32/LogFiles/W3SVC1입니다.

폴더 경로가 명확하면 OWA 이벤트 수집을 사용할 수 없습니다.

MSGTRK 로그 폴더 경로

메시지 추적 로그에 액세스하기 위한 디렉터리 경로입니다.

기본 파일 경로는 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking입니다.

메시지 추적은 허브 전송, 사서함 또는 Edge 전송 서버 역할이 할당된 Microsoft Exchange 2017 또는 2010 서버에서 사용할 수 있습니다.

사용자 지정 파일 패턴 사용

사용자 지정 파일 패턴을 구성하려면 이 확인란을 선택합니다. 기본 파일 패턴을 사용하려면 확인란을 선택 취소한 상태로 둡니다.

MSGTRK 파일 패턴

MSTRK 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRK\d+-\d+\.(?:log|로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

MSGTRKMD 파일 패턴

MSGTRKMD 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMD\d+-\d+\.(?:log|로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

MSGTRKMS 파일 패턴

MSGTRKMS 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMS\d+-\d+\.(?:log|로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

MSGTRKMA 파일 패턴

MSGTRKMA 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMA\d+-\d+\.(?:log|

파일 패턴과 일치하는 모든 파일이 처리됩니다.

SMTP 파일 패턴

SMTP 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 .*\.(?:log|로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

OWA 파일 패턴

OWA 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 .*\.(?:log|로그)$

파일 패턴과 일치하는 모든 파일이 처리됩니다.

파일 읽기 강제 실행

이 확인란의 선택을 취소하면 JSA 가 수정된 시간 또는 파일 크기의 변경을 감지한 경우에만 로그 파일을 읽을 수 있습니다.

재귀

파일 패턴이 하위 폴더를 검색하도록 하려면 이 옵션을 사용합니다. 기본적으로 이 확인란은 선택되어 있습니다.

SMB 버전

사용할 SMB 버전을 선택합니다.

AUTO - 클라이언트와 서버가 사용하기로 동의한 가장 높은 버전으로 자동 감지합니다.

SMB1 - SMB1을 강제로 사용합니다. SMB1은 (Java ARchive) 파일을 사용합니다 jCIFS.jar .

SMB2 - SMB2를 강제로 사용합니다. SMB2는 jNQ.jar 파일을 사용합니다.

SMB3 – SMB3를 강제로 사용합니다. SMB3는 jNQ.jar 파일을 사용합니다.

폴링 간격(초)

새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 사이의 시간(초)인 폴링 간격을 입력합니다. 기본값은 10초입니다.

스로틀 이벤트/초

Microsoft Exchange 프로토콜이 초당 전달할 수 있는 최대 이벤트 수입니다.

파일 인코딩

로그 파일의 이벤트에 사용되는 문자 인코딩입니다.

로그 소스 유형

사용자 지정 로그 소스 유형 또는 이 프로토콜을 사용하는 특정 DSM입니다.

프로토콜 구성

Microsoft Graph 보안 API

테넌트 ID

Microsoft Azure Active Directory 인증에 사용되는 테넌트 ID 값입니다.

클라이언트 ID

Microsoft Azure Active Directory의 응용 프로그램 구성에 있는 클라이언트 ID 매개 변수 값입니다.

클라이언트 시크릿

Microsoft Azure Active Directory의 응용 프로그램 구성에 있는 클라이언트 암호 매개 변수 값입니다.

이벤트 필터

Microsoft Security Graph API 쿼리 필터를 사용하여 이벤트를 검색합니다. 예를 들어 severity eq 'high'와 같습니다. filter 매개 변수 앞에 "filter="를 입력하지 마십시오.

프록시 사용

JSA가 프록시를 통해 Microsoft Graph Security API에 액세스하는 경우 이 확인란을 활성화합니다.

프록시에 인증이 필요한 경우 프록시 호스트 이름 또는 IP, 프록시 포트, 프록시 사용자 이름 및 프록시 필드를 구성합니다.

프록시에 인증이 필요하지 않은 경우 프록시 호스트 이름 또는 IP 및 프록시 포트 필드를 구성합니다.

프록시 IP 또는 호스트 이름

프록시 서버의 IP 주소 또는 호스트 이름입니다.

프록시 사용이 False로 설정된 경우 이 옵션은 숨겨집니다.

프록시 포트

프록시와 통신하는 데 사용되는 포트 번호입니다. 기본값은 8080입니다.

프록시 사용이 False로 설정된 경우 이 옵션은 숨겨집니다.

프록시 사용자 이름

프록시와 통신하는 데 사용되는 사용자 이름입니다.

프록시 사용이 False로 설정된 경우 이 옵션은 숨겨집니다.

프록시 암호

프록시에 액세스하는 데 사용되는 암호입니다.

프록시 사용이 False로 설정된 경우 이 옵션은 숨겨집니다.

재발

시작 시간부터 시작하는 시간 간격을 입력하여 폴링이 새 데이터를 스캔하는 빈도를 결정합니다. 시간 간격에는 시간(H), 분(M) 또는 일(D) 단위의 값이 포함될 수 있습니다. 예를 들어 2시간 - 2시간, 15M - 15분입니다. 기본값은 1M입니다.

EPS 스로틀

초당 최대 이벤트 수(EPS)입니다. 기본값은 5000입니다.

고급 옵션 표시

이벤트 수집에 대한 고급 옵션을 구성하려면 이 옵션을 on으로 설정합니다.

로그인 끝점

Azure AD 로그인 엔드포인트를 지정합니다. 기본값은 login.microsoftonline.com 입니다.

Show Advanced Options(고급 옵션 표시)를 비활성화하면 이 옵션이 숨겨집니다.

Graph API 끝점

Microsoft Graph Security API URL을 지정합니다. 기본값은 https://graph.microsoft.com 입니다.

Show Advanced Options(고급 옵션 표시)를 비활성화하면 이 옵션이 숨겨집니다.

프로토콜 구성

마이크로소프트 IIS

로그 소스 식별자

IP 주소, 호스트 이름 또는 로그 소스를 식별할 고유 이름을 입력합니다.

서버 주소

Microsoft IIS 서버의 IP 주소 또는 호스트 이름입니다.

도메인

Microsoft IIS 서버의 도메인을 입력합니다.

이 매개 변수는 서버가 도메인에 없는 경우 선택 사항입니다.

사용자 이름

서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

서버에 액세스하는 데 필요한 암호를 입력합니다.

비밀번호 확인

서버에 액세스하는 데 필요한 암호를 입력합니다.

로그 폴더 경로

로그 파일에 액세스하기 위한 디렉터리 경로입니다. 예를 들어 관리자는 관리 공유에 c$/LogFiles/ 디렉터리를 사용하거나 공용 공유 폴더 경로에 LogFiles/ 디렉터리를 사용할 수 있습니다. 그러나 c:/LogFiles 디렉터리는 지원되는 로그 폴더 경로가 아닙니다.

로그 폴더 경로에 관리 공유(C$)가 포함된 경우 관리 공유(C$)에 대한 NetBIOS 액세스 권한이 있는 사용자는 로그 파일을 읽는 데 필요한 권한을 갖습니다.

로컬 시스템 또는 도메인 관리자 권한으로도 관리 공유에 있는 로그 파일에 액세스할 수 있습니다.

파일 패턴

이벤트 로그를 식별하는 정규식(regex)입니다.

재귀

파일 패턴이 하위 폴더를 검색하도록 하려면 이 옵션을 사용합니다. 기본적으로 이 확인란은 선택되어 있습니다.

SMB 버전

사용할 SMB 버전을 선택합니다.

AUTO - 클라이언트와 서버가 사용하기로 동의한 가장 높은 버전으로 자동 감지합니다.

SMB1 - SMB1을 강제로 사용합니다. SMB1은 (Java ARchive) 파일을 사용합니다 jCIFS.jar .

SMB2 - SMB2를 강제로 사용합니다. SMB2는 jNQ.jar 파일을 사용합니다.

SMB3 - SMB3를 강제로 사용합니다. SMB3는 jNQ.jar 파일을 사용합니다.

폴링 간격(초)

새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 사이의 시간(초)인 폴링 간격을 입력합니다. 기본값은 10초입니다.

스로틀 이벤트/초

IIS 프로토콜이 초당 전달할 수 있는 최대 이벤트 수입니다.

파일 인코딩

로그 파일의 이벤트에 사용되는 문자 인코딩입니다.

프로토콜 구성

Windows 보안 이벤트 로그

프로토콜 이름

MQ JMS

IP 또는 호스트 이름

기본 큐 관리자의 IP 주소 또는 호스트 이름입니다.

항구

기본 큐 관리자와 통신하는 데 사용되는 기본 포트는 1414입니다.

대기 IP 또는 호스트 이름

대기 큐 관리자의 IP 주소 또는 호스트 이름입니다.

대기 포트

대기 큐 관리자와 통신하는 데 사용되는 포트입니다.

큐 관리자

큐 관리자의 이름입니다.

채널

큐 관리자가 메시지를 송신하는 채널입니다. 기본 채널은 SYSTEM입니다. 방어. SVRCONN입니다.

큐

모니터링할 큐 또는 큐 목록입니다. 큐 목록은 쉼표로 구분된 목록으로 지정됩니다.

사용자 이름

MQ 서비스로 인증하는 데 사용되는 사용자 이름입니다.

암호

옵션: MQ 서비스를 사용하여 인증하는 데 사용되는 비밀번호입니다.

들어오는 메시지 인코딩

들어오는 메시지에 사용되는 문자 인코딩입니다.

계산 필드 처리

옵션: 검색된 메시지에 COBOL 카피북에 정의된 계산 데이터가 포함된 경우에만 이 옵션을 선택하십시오. 메시지의 2진 데이터는 지정된 카피북 파일에 있는 필드 정의에 따라 처리됩니다.

카피북 파일 이름

이 매개 변수는 계산 필드 처리를 선택할 때 표시됩니다. 데이터 처리에 사용할 카피북 파일의 이름입니다. 카피북 파일은 /store/ec/mqjms/*에 배치되어야 합니다

이벤트 포맷터

계산 필드를 포함하는 데이터를 처리하여 생성된 모든 이벤트에 적용할 이벤트 형식을 선택합니다. 기본적으로 서식 없음 이 사용됩니다.

JMS 메시지 헤더 포함

생성된 각 이벤트에 및 와(과) 같은 JMS 메시지 필드를 포함하는 헤더를 JMSMessageID JMSTimestamp포함하려면 이 옵션을 선택합니다.

EPS 스로틀

초당 최대 이벤트 수(EPS)에 대한 제한입니다.

로그 소스 식별자

로그 소스의 고유한 이름입니다.

이름은 공백을 포함할 수 없으며 Office 365 메시지 추적 REST API 프로토콜로 구성된 이 유형의 모든 로그 원본 간에 고유해야 합니다.

Office 365 사용자 계정 전자 메일

Office 365 메시지 추적 REST API를 사용하여 인증하려면 적절한 권한이 있는 Office 365 전자 메일 계정을 제공합니다.

Office 365 사용자 계정 암호

Office 365 메시지 추적 REST API를 사용하여 인증하려면 Office 365 사용자 계정 전자 메일과 연결된 암호를 제공합니다.

이벤트 지연

데이터 수집을 위한 지연 시간(초)입니다.

Office 365 메시지 추적 로그는 최종 배달 시스템에서 작동합니다. 데이터가 누락되지 않도록 로그는 지연 시 수집됩니다. 기본 지연은 900초(15분)이며 0초까지 낮게 설정할 수 있습니다.

프록시 사용

서버가 프록시를 사용하여 액세스되는 경우 프록시 사용 확인란을 선택합니다. 프록시에 인증이 필요한 경우 Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호) 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Server(프록시 서버) 및 Proxy Port(프록시 포트 ) 필드를 구성합니다.

프록시 IP 또는 호스트 이름

프록시 서버의 IP 주소 또는 호스트 이름입니다.

프록시 포트

프록시와 통신하는 데 사용되는 포트 번호입니다. 기본값은 8080입니다.

프록시 사용자 이름

프록시에 인증이 필요할 때 프록시 서버에 액세스하는 데 사용되는 사용자 이름입니다.

프록시 암호

프록시에 인증이 필요할 때 프록시 서버에 액세스하는 데 사용되는 암호입니다.

재발

새 이벤트에 대한 Office 365 Message Trace REST API에 대한 로그 원본 쿼리 사이의 시간 간격입니다.

시간 간격은 시간(H), 분(M) 또는 일(D) 단위일 수 있습니다. 기본값은 5분입니다.

EPS 스로틀

초당 최대 이벤트 수(EPS)입니다. 기본값은 5000입니다.

로그 소스 식별자

로그 소스의 고유한 이름입니다.

로그 소스 식별자는 모든 유효한 값이 될 수 있으며 특정 서버를 참조할 필요가 없습니다. Log Source Identifier(로그 소스 식별자)는 로그 소스 Name(이름)과 동일한 값일 수 있습니다. 구성된 Okta 로그 소스가 두 개 이상 있는 경우 첫 번째 로그 소스를 (okta1으)로 식별하고, 두 번째 로그 소스를 (okta2으)로 식별하고, 세 번째 로그 소스를 (으)로 okta3식별할 수 있습니다.

IP 또는 호스트 이름

oktaprise.okta.com

인증 토큰

Okta 콘솔에서 생성되고 모든 API 트랜잭션에 사용해야 하는 단일 인증 토큰입니다.

프록시 사용

JSA가 프록시를 사용하여 Okta에 액세스하는 경우 이 옵션을 활성화합니다.

프록시가 구성되면 로그 소스의 모든 트래픽이 JSA 가 Okta에 액세스할 수 있도록 프록시를 통해 이동합니다.

프록시에 인증이 필요한 경우 Hostname(호스트 이름), Proxy Port(프록시 포트), Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 비밀번호 ) 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Username(프록시 사용자 이름 ) 및 Proxy Password(프록시 암호 ) 필드를 비워 둘 수 있습니다.

호스트 이름

프록시 사용을 선택하면 이 매개 변수가 표시됩니다.

프록시 포트

프록시 사용을 선택하면 이 매개 변수가 표시됩니다.

프록시 사용자 이름

프록시 사용을 선택하면 이 매개 변수가 표시됩니다.

프록시 암호

프록시 사용을 선택하면 이 매개 변수가 표시됩니다.

재발

새 데이터에 대한 폴링이 수행되는 빈도를 결정하는 시간 간격입니다. 시간 간격에는 시간(H), 분(M) 또는 일(D) 단위의 값이 포함될 수 있습니다. 예를 들어, 2H = 2시간, 15M = 15분, 30 = 초입니다. 기본값은 1M입니다.

EPS 스로틀

플로우 파이프라인으로 전송되는 초당 최대 이벤트 수입니다. 기본값은 5000입니다.

EPS 스로틀 값이 수신 속도보다 높거나 데이터 처리가 지연될 수 있는지 확인합니다.

프로토콜 구성

OPSEC/LEA

로그 소스 식별자

디바이스를 식별하기 위한 IP 주소, 호스트 이름 또는 이름.

로그 소스 유형에 대해 고유해야 합니다.

서버 IP

서버의 IP 주소를 입력합니다.

서버 포트

OPSEC 통신에 사용되는 포트 번호입니다. 유효한 범위는 0 - 65,536이고 기본값은 18184입니다.

로그 소스에 서버 IP 사용

로그 소스에 대해 매니지드 디바이스 IP 주소 대신 LEA 서버 IP 주소를 사용하려면 로그 소스에 서버 IP 사용 확인란을 선택합니다. 기본적으로 이 확인란은 선택되어 있습니다.

통계 보고서 간격

syslog 이벤트 수가 qradar.log 파일에 기록되는 간격(초)입니다. 유효한 범위는 4 - 2,147,483,648이고 기본 간격은 600입니다.

인증 유형

목록에서 이 LEA 구성에 사용할 인증 유형을 선택합니다. 옵션은 sslca(기본값), sslca_clear 또는 clear입니다. 이 값은 서버에서 사용하는 인증 방법과 일치해야 합니다.

OPSEC 응용 프로그램 객체 SIC 속성(SIC 이름)

SIC(Secure Internal Communications) 이름은 애플리케이션의 DN(고유 이름)입니다(예: CN=LEA, o=fwconsole.). 7psasx입니다.

로그 소스 SIC 속성(엔티티 SIC 이름)

서버의 SIC 이름(예: cn=cp_mgmt,o=fwconsole.). 7psasxz입니다.

인증서 지정

이 LEA 구성에 대한 인증서를 정의하려면 이 확인란을 선택합니다. JSA 는 인증서가 필요할 때 이러한 매개 변수를 사용하여 인증서 검색을 시도합니다.

인증서 파일 이름

이 옵션은 인증서 지정을 선택한 경우에만 나타납니다. 이 구성에 사용할 인증서의 파일 이름을 입력합니다. 인증서 파일은 /opt/qradar/conf/ trusted_certificates/lea 디렉토리에 있어야 합니다.

인증 기관 IP

Check Point Manager 서버 IP 주소를 입력합니다.

인증서 암호 가져오기

암호를 입력합니다.

OPSEC 애플리케이션

인증서를 요청하는 응용 프로그램의 이름입니다.

사용

이 확인란을 선택하면 로그 소스를 사용할 수 있습니다. 기본적으로 이 확인란은 선택되어 있습니다.

신빙성

목록에서 로그 소스의 신뢰성 을 선택합니다. 범위는 0 - 10입니다.

신뢰성은 소스 디바이스의 신뢰성 등급에 의해 결정되는 이벤트 또는 공격의 무결성을 나타냅니다. 여러 출처에서 동일한 이벤트를 보고하면 신뢰성이 높아집니다. 기본값은 5입니다.

대상 이벤트 수집기

목록에서 로그 소스의 대상으로 사용할 대상 이벤트 콜렉터를 선택하십시오.

병합 이벤트

Coalescing Events 확인란을 선택하여 로그 소스가 이벤트를 병합(번들)할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 병합 이벤트 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

Store 이벤트 페이로드

Store Event Payload 확인란을 선택하여 로그 소스가 이벤트 페이로드 정보를 저장할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

프로토콜 구성

Oracle Database 리스너

로그 소스 식별자

IP 주소, 호스트 이름 또는 로그 소스를 식별할 고유 이름을 입력합니다.

서버 주소

Oracle Database Listener 서버의 IP 주소 또는 호스트 이름입니다.

도메인

Oracle Database Learner 서버의 도메인을 입력합니다.

이 매개 변수는 서버가 도메인에 없는 경우 선택 사항입니다.

사용자 이름

서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

서버에 액세스하는 데 필요한 암호를 입력합니다.

비밀번호 확인

서버에 액세스하는 데 필요한 암호를 입력합니다.

로그 폴더 경로

Oracle Database Listener 로그 파일에 액세스할 디렉토리 경로를 입력합니다.

파일 패턴

이벤트 로그를 식별하는 정규식(regex)입니다.

파일 읽기 강제 실행

폴링 간격의 타이밍이 지정될 때 프로토콜이 로그 파일을 읽도록 하려면 이 확인란을 선택합니다.

이 확인란을 선택하면 마지막 수정 시간이나 파일 크기 속성에 관계없이 폴링 간격이 지정할 때 로그 파일 원본이 항상 검사됩니다.

이 확인란을 선택하지 않으면 마지막으로 수정한 시간 또는 파일 크기 속성이 변경된 경우 폴링 간격에 로그 파일 원본이 검사됩니다.

재귀

파일 패턴이 하위 폴더를 검색하도록 하려면 이 옵션을 사용합니다. 기본적으로 이 확인란은 선택되어 있습니다.

SMB 버전

사용할 SMB 버전을 선택합니다.

AUTO - 클라이언트와 서버가 사용하기로 동의한 가장 높은 버전으로 자동 감지합니다.

SMB1 - SMB1을 강제로 사용합니다. SMB1은 (Java ARchive) 파일을 사용합니다jCIFS.jar .

SMB2 - SMB2를 강제로 사용합니다. SMB2는 jNQ.jar 파일을 사용합니다.

SMB3 - SMB3를 강제로 사용합니다. SMB3는 jNQ.jar 파일을 사용합니다.

폴링 간격(초)

새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 사이의 시간(초)인 폴링 간격을 입력합니다. 기본값은 10초입니다.

스로틀 이벤트/초

Oracle Database Listener 프로토콜이 초당 전달하는 최대 이벤트 수입니다.

파일 인코딩

로그 파일의 이벤트에 사용되는 문자 인코딩입니다.

프로토콜 구성

(주)디디에이

URL (영문)

로그 소스에 액세스하는 데 필요한 HTTP 또는 HTTPS URL(예: https://www.mysdeeserver.com/cgi-bin/sdee-server).

SDEE/CIDEE(Cisco IDS v5.x 이상)의 경우 URL은 (으)로 /cgi-bin/sdee-server끝나야 합니다. RDEP(Cisco IDS v4.x)를 사용하는 관리자의 경우 URL은 (으)로 /cgi-bin/event-server끝나야 합니다.

강제 구독

이 확인란을 선택하면 프로토콜은 서버가 최소 활성 연결을 삭제하고 로그 소스에 대한 새 SDEE 구독 연결을 수락하도록 강제합니다.

Maximum Wait To Block For Events(이벤트 차단 최대 대기)

수집 요청이 이루어지고 새 이벤트를 사용할 수 없는 경우 프로토콜은 이벤트 블록을 사용하도록 설정합니다. 차단은 새 이벤트가 없는 원격 디바이스에 대한 다른 이벤트 요청이 이루어지는 것을 방지합니다. 이 시간 제한은 시스템 리소스를 절약하기 위한 것입니다.

프로토콜 구성

SMB 테일

로그 소스 식별자

IP 주소, 호스트 이름 또는 로그 소스를 식별할 고유 이름을 입력합니다.

서버 주소

SMB Tail 서버의 IP 주소 또는 호스트 이름입니다.

도메인

SMB Tail 서버의 도메인을 입력합니다.

이 매개 변수는 서버가 도메인에 없는 경우 선택 사항입니다.

사용자 이름

서버에 액세스하는 데 필요한 사용자 이름을 입력합니다.

암호

서버에 액세스하는 데 필요한 암호를 입력합니다.

비밀번호 확인

서버에 액세스하는 데 필요한 암호를 확인합니다.

로그 폴더 경로

로그 파일에 액세스하기 위한 디렉터리 경로입니다. 예를 들어 관리자는 관리 공유에 c$/LogFiles/ 디렉터리를 사용하거나 공용 공유 폴더 경로에 LogFiles/ 디렉터리를 사용할 수 있습니다. 그러나 c:/LogFiles 디렉터리는 지원되는 로그 폴더 경로가 아닙니다.

로그 폴더 경로에 관리 공유(C$)가 포함된 경우 관리 공유(C$)에 대한 NetBIOS 액세스 권한이 있는 사용자는 로그 파일을 읽는 데 필요한 권한을 갖습니다.

로컬 시스템 또는 도메인 관리자 권한으로도 관리 공유에 있는 로그 파일에 액세스할 수 있습니다.

파일 패턴

이벤트 로그를 식별하는 정규식(regex)입니다.

SMB 버전

사용할 SMB(서버 메시지 블록) 버전을 선택합니다.

AUTO - 클라이언트와 서버가 사용하기로 동의한 가장 높은 버전으로 자동 감지합니다.

SMB1 - SMB1을 강제로 사용합니다. SMB1은 (Java ARchive) 파일을 사용합니다 jCIFS.jar .

SMB2 - SMB2를 강제로 사용합니다. SMB2는 jNQ.jar 파일을 사용합니다.

SMB3 - SMB3를 강제로 사용합니다. SMB3는 jNQ.jar 파일을 사용합니다.

파일 읽기 강제 실행

확인란의 선택을 취소하면 JSA 가 수정된 시간 또는 파일 크기의 변경을 감지한 경우에만 로그 파일을 읽을 수 있습니다.

재귀

파일 패턴이 하위 폴더를 검색하도록 하려면 이 옵션을 사용합니다. 기본적으로 이 확인란은 선택되어 있습니다.

폴링 간격(초)

새 데이터를 확인하기 위해 로그 파일에 대한 쿼리 사이의 시간(초)인 폴링 간격을 입력합니다. 기본값은 10초입니다.

스로틀 이벤트/초

SMB Tail 프로토콜이 초당 전달하는 최대 이벤트 수입니다.

파일 인코딩

로그 파일의 이벤트에 사용되는 문자 인코딩입니다.

프로토콜 구성

- SNMPv2

커뮤니티

SNMP 이벤트를 포함하는 시스템에 액세스하는 데 필요한 SNMP 커뮤니티 이름입니다. 예를 들어 Public입니다.

이벤트 페이로드에 OID 포함

SNMP 이벤트 페이로드가 이벤트 페이로드 형식 대신 이름-값 쌍을 사용하여 구성되도록 지정합니다.

로그 소스 유형 목록에서 특정 로그 소스를 선택하는 경우, SNMPv2 또는 SNMPv3 이벤트를 처리하려면 이벤트 페이로드의 OID가 필요합니다.

병합 이벤트

이 확인란을 선택하면 로그 소스가 이벤트를 병합(번들)할 수 있습니다.

병합 이벤트는 짧은 시간 간격 내에 동일한 이벤트가 여러 번 발생할 때 이벤트 수를 늘립니다. 병합된 이벤트를 통해 관리자는 Log Activity(로그 활동 ) 탭에서 단일 이벤트 유형이 발생하는 빈도를 보고 확인할 수 있습니다.

이 확인란의 선택을 취소하면 이벤트가 개별적으로 표시되고 정보가 번들로 제공되지 않습니다.

자동으로 검색된 새 로그 소스는 관리 탭의 시스템 설정 구성에서 이 확인란의 값을 상속합니다. 관리자는 이 확인란을 사용하여 개별 로그 소스에 대한 시스템 설정의 기본 동작을 대체할 수 있습니다.

Store 이벤트 페이로드

이 확인란을 선택하면 로그 소스가 이벤트의 페이로드 정보를 저장할 수 있습니다.

자동으로 검색된 새 로그 소스는 관리 탭의 시스템 설정 구성에서 이 확인란의 값을 상속합니다. 관리자는 이 확인란을 사용하여 개별 로그 소스에 대한 시스템 설정의 기본 동작을 대체할 수 있습니다.

프로토콜 구성

SNMPv3

로그 소스 식별자

로그 소스의 고유한 이름을 입력합니다.

인증 프로토콜

SNMP3 트랩을 인증하는 데 사용할 알고리즘은 다음과 같습니다.

• SHA는 SHA(Secure Hash Algorithm)를 인증 프로토콜로 사용합니다.

• MD5는 인증 프로토콜로 MD5(Message Digest 5)를 사용합니다.

인증 패스워드

SNMPv3를 인증하기 위한 암호입니다. 인증 패스워드는 최소 8자 이상이어야 합니다.

복호화 프로토콜

SNMPv3 트랩을 해독하는 데 사용할 알고리즘을 선택합니다.

• 데스

• AES128 시리즈

• AES192 시리즈

• AES256 시리즈

암호 해독 암호

SNMPv3 트랩을 복호화하기 위한 암호입니다. 암호 해독 암호는 최소 8자를 포함해야 합니다.

사용자

어플라이언스에서 SNMPv3을 구성하는 데 사용된 사용자 이름입니다.

이벤트 페이로드에 OID 포함

SNMP 이벤트 페이로드가 표준 이벤트 페이로드 형식 대신 이름-값 쌍을 사용하여 구성되도록 지정합니다. 로그 소스 유형 목록에서 특정 로그 소스를 선택하는 경우, SNMPv2 또는 SNMPv3 이벤트를 처리하려면 이벤트 페이로드의 OID가 필요합니다.

로그 소스 유형

Seculert

프로토콜 구성

Seculert 보호 REST API

로그 소스 식별자

로그 소스의 IP 주소 또는 호스트 이름을 Seculert 이벤트의 식별자로 입력합니다.

여러 설치가 있는 경우 작성하는 각 추가 로그 소스에는 IP 주소 또는 호스트 이름과 같은 고유 식별자가 포함되는 것이 이상적입니다.

API 키

Seculert Protection REST API를 사용하여 인증하는 데 사용되는 API 키입니다. API 키 값은 Seculert 웹 포털에서 가져옵니다.

프록시 사용

프록시를 구성하면 로그 소스의 모든 트래픽이 JSA 의 프록시를 통해 이동하여 Seculert Protection REST API에 액세스합니다.

프록시 IP 또는 호스트 이름, 프록시 포트, 프록시 사용자 이름 및 프록시 암호 필드를 구성합니다. 프록시에 인증이 필요하지 않은 경우 Proxy Username(프록시 사용자 이름) 및 Proxy Password(프록시 암호) 필드를 비워 둘 수 있습니다.

서버 인증서 자동 취득

목록에서 Yes( 예 )를 선택하면 JSA 가 인증서를 다운로드하고 대상 서버를 신뢰하기 시작합니다.

재발

로그가 데이터를 수집하는 시기를 지정합니다. 형식은 분/시간/일에 대한 M/H/D입니다. 기본값은 1M입니다.

EPS 스로틀

API에서 수신된 이벤트의 초당 최대 이벤트 수(eps)에 대한 상한입니다.

사용

이 확인란을 선택하면 로그 소스를 사용할 수 있습니다. 기본적으로 이 확인란은 선택되어 있습니다.

신빙성

로그 소스의 신뢰성(Credibility of the log source)을 선택합니다. 범위는 0 - 10입니다.

신뢰성은 소스 디바이스의 신뢰성 등급에 의해 결정되는 이벤트 또는 공격의 무결성을 나타냅니다. 여러 출처에서 동일한 이벤트를 보고하면 신뢰성이 높아집니다. 기본값은 5입니다.

대상 이벤트 수집기

로그 소스의 대상으로 사용할 대상 이벤트 콜렉터를 선택하십시오.

병합 이벤트

이 확인란을 선택하면 로그 소스가 이벤트를 병합(번들)할 수 있습니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 병합 이벤트 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

Store 이벤트 페이로드

이 확인란을 선택하면 로그 소스가 이벤트 페이로드 정보를 저장할 수 있습니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

프로토콜 구성

Sophos Enterprise 콘솔 JDBC

로그 소스 식별자

로그 소스의 이름을 입력합니다. 이름은 공백을 포함할 수 없으며 JDBC 프로토콜을 사용하도록 구성된 로그 소스 유형의 모든 로그 소스 중에서 고유해야 합니다.

로그 소스가 고정 IP 주소 또는 호스트 이름이 있는 단일 어플라이언스에서 이벤트를 수집하는 경우 어플라이언스의 IP 주소 또는 호스트 이름을 로그 소스 식별자 값의 전체 또는 일부로 사용합니다. 예: 192.168.1.1 또는 JDBC192.168.1.1. 로그 소스가 고정 IP 주소 또는 호스트 이름이 있는 단일 어플라이언스에서 이벤트를 수집하지 않는 경우 로그 소스 식별자 값에 고유한 이름을 사용할 수 있습니다. 예를 들어, JDBC1, JDBC2입니다.

데이터베이스 유형

증권 시세 표시기

데이터베이스 이름

데이터베이스 이름은 로그 소스 ID 필드에 지정된 데이터베이스 이름과 일치해야 합니다.

항구

Sophos Enterprise Console에서 MSDE의 기본 포트는 1168입니다. JDBC 구성 포트는 JSA와 통신하기 위해 Sophos 데이터베이스의 리스너 포트와 일치해야 합니다. Sophos 데이터베이스에는 들어오는 TCP 연결이 활성화되어 있어야 합니다.

데이터베이스 인스턴스를 MSDE 데이터베이스 유형과 함께 사용하는 경우 Port 매개 변수를 비워 두어야 합니다.

인증 도메인

네트워크에서 도메인을 사용하지 않는 경우 이 필드를 비워 둡니다.

데이터베이스 인스턴스

필요한 경우 데이터베이스 인스턴스입니다. MSDE 데이터베이스는 한 서버에 여러 SQL Server 인스턴스를 포함할 수 있습니다.

데이터베이스에 비표준 포트가 사용되거나 관리자가 SQL 데이터베이스 확인을 위해 포트 1434에 대한 액세스를 차단하는 경우 데이터베이스 인스턴스 매개 변수는 비어 있어야 합니다.

테이블 이름

vEventsCommonData

목록 선택

*

비교 필드

InsertedAt

준비된 명령문 사용

준비된 문을 사용하면 프로토콜 원본이 SQL 문을 설정한 다음 다른 매개 변수를 사용하여 SQL 문을 여러 번 실행할 수 있습니다. 보안 및 성능상의 이유로 대부분의 구성은 준비된 문을 사용할 수 있습니다. 미리 컴파일된 문을 사용하지 않는 다른 쿼리 방법을 사용하려면 이 확인란의 선택을 취소합니다.

시작 날짜 및 시간

선택적. 프로토콜이 데이터베이스 폴링을 시작할 수 있는 시작 날짜 및 시간입니다. 시작 시간이 정의되지 않은 경우, 프로토콜은 로그 소스 구성이 저장 및 구축된 후 이벤트에 대한 폴링을 시도합니다.

폴링 간격

데이터베이스에 대한 쿼리 사이의 시간인 폴링 간격입니다. 숫자 값에 시간 단위 H 또는 분 단위의 M을 추가하여 더 긴 폴링 간격을 정의할 수 있습니다. 최대 폴링 간격은 모든 시간 형식에서 1주일입니다. H 또는 M 지정자 폴링이 없는 숫자 값(초)입니다.

EPS 스로틀

이 프로토콜이 초과하지 않도록 하려는 초당 이벤트 수(EPS)입니다.

명명된 파이프 통신 사용

MSDE가 데이터베이스 유형으로 구성된 경우 관리자는 이 확인란을 선택하여 TCP/IP 포트 연결에 대한 대체 방법을 사용할 수 있습니다.

MSDE 데이터베이스에 대한 명명된 파이프 연결에는 데이터베이스 사용자 이름 및 암호가 아닌 Windows 인증 사용자 이름 및 암호를 사용하기 위한 사용자 이름 및 암호 필드가 필요합니다. 로그 소스 구성은 MSDE 데이터베이스에서 기본 명명된 파이프를 사용해야 합니다.

데이터베이스 클러스터 이름

클러스터 환경에서 SQL Server를 사용하는 경우 클러스터 이름을 정의하여 명명된 파이프 통신이 제대로 작동하는지 확인합니다.

NTLMv2 사용

MSDE 연결이 NTLMv2 인증이 필요한 SQL Server에서 NTLMv2 프로토콜을 사용하도록 강제합니다. 확인란의 기본값이 선택되어 있습니다.

NTLMv2 사용 확인란은 NTLMv2 인증이 필요하지 않은 MSDE 연결에 대한 통신을 중단하지 않습니다.

프로토콜 구성

Syslog 리디렉션

로그 소스 식별자 Regex

regex를 입력하여 페이로드에서 Log Source Identifier를 구문 분석합니다.

로그 소스 식별자

기본값으로 사용할 Log Source Identifier(로그 소스 식별자)를 입력합니다. Log Source Identifier Regex가 제공된 regex를 사용하여 특정 페이로드에서 Log Source Identifier를 구문 분석할 수 없는 경우 기본값이 사용됩니다.

로그 소스 식별자 정규식 형식 문자열

Log Source Identifier Regex의 캡처 그룹을 결합하기 위한 형식 문자열입니다.

예를 들어:

1. "$1"은 첫 번째 캡처 그룹을 사용합니다.

2. "$1$2"는 캡처 그룹 1과 2를 연결합니다.

3. "$1 TEXT $2"는 캡처 그룹 1, 리터럴 "TEXT" 및 캡처 그룹 2를 연결합니다.

결과 문자열은 새 로그 소스 식별자로 사용됩니다.

정규식 일치에서 DNS 조회 수행

Perform DNS Lookup On Regex Match(정규식 일치 시 DNS 조회 수행) 확인란을 선택하여 Log Source Identifier Regex 및 매개 변수 값을 기반으로 하는 DNS 기능을 활성화합니다.

기본적으로 이 확인란은 선택되어 있지 않습니다.

수신 포트

사용하지 않는 포트를 입력하고 로그 소스를 설정하여 해당 포트의 JSA 에 이벤트를 전송합니다.

프로토콜

목록에서 TCP 또는 UDP를 선택합니다.

Syslog 리디렉션 프로토콜은 UDP syslog 연결을 개수에 관계없이 지원하지만 TCP 연결을 2500으로 제한합니다. syslog 스트림에 2500개 이상의 로그 소스가 있는 경우 두 번째 로그 소스 및 수신 대기 포트 번호를 입력해야 합니다.

사용

이 확인란을 선택하면 로그 소스를 사용할 수 있습니다. 기본적으로 이 확인란은 선택되어 있습니다.

신빙성

목록에서 로그 소스의 신뢰성을 선택합니다. 범위는 0 - 10입니다.

신뢰성은 소스 디바이스의 신뢰성 등급에 의해 결정되는 이벤트 또는 공격의 무결성을 나타냅니다. 여러 출처에서 동일한 이벤트를 보고하면 신뢰성이 높아집니다. 기본값은 5입니다.

대상 이벤트 수집기

목록에서 로그 소스의 대상으로 사용할 대상 이벤트 콜렉터를 선택하십시오.

병합 이벤트

Coalescing Events 확인란을 선택하여 로그 소스가 이벤트를 병합(번들)할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 병합 이벤트 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

들어오는 이벤트 페이로드

들어오는 이벤트 페이로드 목록에서 로그를 구문 분석하고 저장할 들어오는 페이로드 인코더를 선택합니다.

Store 이벤트 페이로드

Store Event Payload 확인란을 선택하여 로그 소스가 이벤트 페이로드 정보를 저장할 수 있도록 합니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

프로토콜 구성

TCP 여러 줄 Syslog

로그 소스 식별자

로그 소스를 식별하기 위해 IP 주소 또는 호스트 이름을 입력합니다. 대신 이름을 사용하려면 사용자 지정 소스 이름 사용(Use Custom Source Name )을 선택하고 소스 이름 정규식(Source Name Regex ) 및 소스 이름 형식 지정 문자열(Source Name Formatting String ) 파라미터를 입력합니다.

수신 포트

기본 포트는 12468입니다.

집계 방법

기본값은 Start/End Matching(일치 시작/종료)입니다. 공통 식별자로 결합된 여러 줄 이벤트를 결합하려는 경우 ID-Linked 를 사용합니다.

이벤트 시작 패턴

이 매개 변수는 Aggregation Method 매개 변수를 Start/End Matching으로 설정할 때 사용할 수 있습니다.

TCP 여러 줄 이벤트 페이로드의 시작을 식별하는 데 필요한 정규식(regex). Syslog 헤더는 일반적으로 날짜 또는 타임스탬프로 시작합니다. 프로토콜은 타임스탬프와 같은 이벤트 시작 패턴만을 기반으로 하는 한 줄 이벤트를 만들 수 있습니다. 시작 패턴만 사용할 수 있는 경우 프로토콜은 각 시작 값 사이의 모든 정보를 캡처하여 유효한 이벤트를 만듭니다.

이벤트 종료 패턴

이 매개 변수는 Aggregation Method 매개 변수를 Start/End Matching으로 설정할 때 사용할 수 있습니다.

TCP 여러 줄 이벤트 페이로드의 끝을 식별하는 데 필요한 정규식(regex). syslog 이벤트가 동일한 값으로 끝나는 경우 정규 표현식을 사용하여 이벤트 종료를 확인할 수 있습니다. 프로토콜은 이벤트 종료 패턴만을 기반으로 하는 이벤트를 캡처할 수 있습니다. 끝 패턴만 사용할 수 있는 경우 프로토콜은 각 끝 값 사이의 모든 정보를 캡처하여 유효한 이벤트를 만듭니다.

메시지 ID 패턴

이 매개 변수는 집계 방법 매개 변수를 ID-Linked로 설정할 때 사용할 수 있습니다.

이 정규 표현식(regex)은 이벤트 페이로드 메시지를 필터링하는 데 필요합니다. TCP 여러 줄 이벤트 메시지에는 이벤트 메시지의 각 줄에서 반복되는 공통 식별 값이 포함되어야 합니다.

이벤트 포맷터

Windows용으로 특별히 형식이 지정된 여러 줄 이벤트에 대해 Windows 여러 줄 옵션을 사용합니다.

고급 옵션 표시

기본값은 아니오입니다. 이벤트 데이터를 사용자 지정하려면 Yes(예 )를 선택합니다.

사용자 지정 소스 이름 사용

이 매개 변수는 Show Advanced Options(고급 옵션 표시 )를 Yes(예)로 설정할 때 사용할 수 있습니다.

regex를 사용하여 소스 이름을 사용자 지정하려면 확인란을 선택합니다.

소스 이름 Regex

이 매개 변수는 사용자 지정 소스 이름 사용(Use Custom Source Name)을 선택할 때 사용할 수 있습니다.

이 프로토콜에서 처리하는 이벤트 페이로드에서 하나 이상의 값을 캡처하는 정규식(regex)입니다. 이러한 값은 Source Name Formatting String 파라미터와 함께 사용되어 각 이벤트의 원본 또는 원본 값을 설정합니다. 이 소스 값은 일치하는 Log Source Identifier 값이 있는 로그 소스로 이벤트를 라우팅하는 데 사용됩니다.

소스 이름 형식 지정 문자열

이 매개 변수는 사용자 지정 소스 이름 사용(Use Custom Source Name)을 선택할 때 사용할 수 있습니다.

다음 입력 중 하나 이상을 조합하여 이 프로토콜에서 처리하는 이벤트 페이로드의 소스 값을 형성할 수 있습니다.

• 소스 이름 Regex에서 하나 이상의 캡처 그룹. 캡처 그룹을 참조하려면 \x 표기법을 사용합니다. 여기서 x는 소스 이름 Regex의 캡처 그룹 인덱스입니다.

• 이벤트 데이터가 시작된 IP 주소입니다. 패킷 IP를 참조하려면 토큰 $PIP$를 사용합니다.

• 리터럴 텍스트 문자입니다. 전체 원본 이름 서식 문자열 은 사용자가 제공한 텍스트일 수 있습니다. 예를 들어 소스 이름 Regex 가 'hostname=(.*?)'이고 캡처 그룹 1 값에 hostname.com 추가하려면 소스 이름 서식 문자열 을 \1.hostname.com 로 설정합니다. hostname=ibm을 포함하는 이벤트가 처리되면 이벤트 페이로드의 소스 값이 ibm.hostname.com 로 설정되고 JSA는 해당 로그 소스 식별자를 사용하여 이벤트를 로그 소스로 라우팅합니다.

게이트웨이 로그 소스로 사용

이 매개 변수는 Show Advanced Options(고급 옵션 표시 )를 Yes(예)로 설정할 때 사용할 수 있습니다.

이 옵션을 선택하면 이벤트에 태그된 소스 이름을 기반으로 로그 소스를 통해 흐르는 이벤트를 다른 로그 소스로 라우팅할 수 있습니다.

이 옵션을 선택하지 않고 Use Custom Source Name(사용자 지정 소스 이름 사용 )을 선택하지 않으면 수신 이벤트에 Log Source Identifier 매개변수에 해당하는 소스 이름으로 태그가 지정됩니다.

여러 줄 이벤트를 한 줄로 병합

이 매개 변수는 Show Advanced Options(고급 옵션 표시 )를 Yes(예)로 설정할 때 사용할 수 있습니다.

이벤트를 한 줄 또는 여러 줄로 표시합니다.

이벤트 어그리게이션 중 전체 라인 유지

이 매개 변수는 Show Advanced Options(고급 옵션 표시 )를 Yes(예)로 설정할 때 사용할 수 있습니다.

집계 방법 매개 변수를 ID-Linked로 설정하면 이벤트 집계 중 전체 줄 유지를 사용하도록 설정하여 동일한 ID 패턴을 가진 이벤트를 함께 연결할 때 메시지 ID 패턴 앞에 오는 이벤트 부분을 삭제하거나 유지할 수 있습니다.

기한

이벤트가 이벤트 파이프라인으로 푸시되기 전에 일치하는 추가 페이로드를 대기하는 시간(초)입니다. 기본값은 10초입니다.

사용

이 확인란을 선택하면 로그 소스를 사용할 수 있습니다.

신빙성

로그 소스의 신뢰성을 선택합니다. 범위는 0 - 10입니다.

신뢰성은 소스 디바이스의 신뢰성 등급에 의해 결정되는 이벤트 또는 공격의 무결성을 나타냅니다. 여러 출처에서 동일한 이벤트를 보고하면 신뢰성이 높아집니다. 기본값은 5입니다.

대상 이벤트 수집기

배포에서 TCP Multiline Syslog 수신기를 호스트해야 하는 이벤트 수집기를 선택합니다.

병합 이벤트

이 확인란을 선택하면 로그 소스가 이벤트를 병합(번들)할 수 있습니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 병합 이벤트 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

Store 이벤트 페이로드

이 확인란을 선택하면 로그 소스가 이벤트 페이로드 정보를 저장할 수 있습니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

프로토콜 구성

TLS Syslog

로그 소스 식별자

로그 소스를 식별하기 위한 IP 주소 또는 호스트 이름.

TLS 수신 대기 포트

기본 TLS 수신 대기 포트는 6514입니다.

인증 모드

TLS 연결에서 인증하는 데 사용하는 모드입니다. TLS 및 클라이언트 인증 옵션을 선택하는 경우 인증서 매개 변수를 구성해야 합니다.

클라이언트 인증서 인증

목록에서 다음 옵션 중 하나를 선택합니다.

• CN 허용 목록 및 발급자 확인

• 디스크의 클라이언트 인증서

CN 허용 목록 사용

CN 허용 목록을 사용하려면 이 매개 변수를 사용하도록 설정합니다.

CN 허용 목록

신뢰할 수 있는 클라이언트 인증서 일반 이름의 허용 목록입니다. 일반 텍스트 또는 정규식(regex)을 입력할 수 있습니다. 여러 항목을 정의하려면 각 항목을 별도의 줄에 입력합니다.

발급자 확인 사용

발급자 확인을 사용하려면 이 매개 변수를 사용하도록 설정합니다.

루트/중간 발급자의 인증서 또는 공개 키

루트/중간 발급자의 인증서 또는 공개 키를 PEM 형식으로 입력합니다.

• 다음으로 시작하는 인증서를 입력합니다.

  -----인증서 시작-----

  그리고 다음으로 끝납니다.

  -----최종 인증서-----

• 다음으로 시작하는 공개 키를 입력합니다.

  -----시작 공개 키-----

  그리고 다음으로 끝납니다.

  -----최종 공개 키-----

인증서 해지 확인

클라이언트 인증서에 대한 인증서 해지 상태를 확인합니다. 이 옵션을 사용하려면 X509v3 확장의 클라이언트 인증서에 대한 CRL 배포 지점 필드에 지정된 URL에 대한 네트워크 연결이 필요합니다.

인증서 사용량 확인

Key Usage(키 사용) 및 Extended Key Usage(확장 키 사용) 확장 필드에서 인증서 X509v3 확장의 내용을 확인합니다. 들어오는 클라이언트 인증서의 경우 X509v3 키 사용의 허용 값은 digitalSignature 및 keyAgreement입니다. X509v3 확장 키 사용에 허용되는 값은 TLS 웹 클라이언트 인증입니다.

이 속성은 기본적으로 비활성화되어 있습니다.

클라이언트 인증서 경로

디스크에 있는 클라이언트 인증서의 절대 경로입니다. 인증서는 이 로그 소스에 대한 JSA 콘솔 또는 이벤트 수집 기에 저장해야 합니다.

서버 인증서 유형

서버 인증서 및 서버 키에 대한 인증에 사용할 인증서 유형입니다.

서버 인증서 유형 목록에서 다음 옵션 중 하나를 선택합니다.

• 생성된 인증서

• PEM 인증서 및 개인 키

• PKCS12 인증서 체인 및 암호

• JSA 인증서 저장소에서 선택

생성된 인증서

이 옵션은 인증서 유형을 구성할 때 사용할 수 있습니다.

서버 인증서 및 서버 키에 대해 JSA에서 생성한 기본 인증서 및 키를 사용하려면 이 옵션을 선택합니다.

생성된 인증서의 이름은 로그 소스가 지정된 대상 이벤트 콜렉터의 /opt/ qradar/conf/trusted_certificates/ 디렉토리에서 syslog-tls.cert로 지정됩니다.

단일 인증서 및 개인 키

이 옵션은 인증서 유형을 구성할 때 사용할 수 있습니다.

서버 인증서에 단일 PEM 인증서를 사용하려면 이 옵션을 선택한 후 다음 매개 변수를 구성합니다.

• 제공된 서버 인증서 경로 - 서버 인증서의 절대 경로입니다.

• 제공된 개인 키 경로 - 개인 키의 절대 경로입니다.

PKCS12 인증서 및 암호

이 옵션은 인증서 유형을 구성할 때 사용할 수 있습니다.

서버 인증서 및 서버 키가 포함된 PKCS12 파일을 사용하려면 이 옵션을 선택한 후 다음 매개 변수를 구성합니다.

• PKCS12 인증서 경로 - 서버 인증서 및 서버 키가 포함된 PKCS12 파일의 파일 경로를 입력합니다.

• PKCS12 암호 - PKCS12 파일에 액세스하기 위한 암호를 입력합니다.

• 인증서 별명 - PKCS12 파일에 둘 이상의 항목이 있는 경우 사용할 항목을 지정하기 위해 별명을 제공해야 합니다. PKCS12 파일에 별명이 하나만 있는 경우 이 필드를 공백으로 두십시오.

JSA 인증서 저장소에서 선택

이 옵션은 인증서 유형을 구성할 때 사용할 수 있습니다.

인증서 관리 앱을 사용하여 JSA 인증서 저장소에서 인증서를 업로드할 수 있습니다.

앱은 JSA 7.3.3 수정 팩 6 이상 및 JSA 7.4.2 이상에서 지원됩니다.

최대 페이로드 길이

TLS Syslog 메시지에 대해 표시되는 최대 페이로드 길이(문자)입니다.

최대 연결 수

최대 연결 수 매개변수는 TLS Syslog 프로토콜이 각 이벤트 콜렉터에 대해 허용할 수 있는 동시 연결 수를 제어합니다.

각 이벤트 콜렉터의 경우, TLS Syslog 로그 소스 구성에서 사용 가능 및 사용 안함으로 설정된 로그 소스를 포함하여 1000개의 연결로 제한됩니다.

TLS 프로토콜

로그 소스에서 사용할 TLS 프로토콜입니다.

"TLS 1.2 이상" 옵션을 선택합니다.

게이트웨이 로그 소스로 사용

JSA 트래픽 분석 엔진을 통해 수집된 이벤트를 전송하여 적절한 로그 소스를 자동으로 감지합니다.

이벤트에 대한 사용자 지정 로그 소스 식별자를 정의하지 않으려면 확인란의 선택을 취소합니다.

이 옵션을 선택하지 않고 로그 소스 식별자 패턴 이 구성되지 않은 경우, JSA는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

로그 소스 식별자 패턴

Use As A Gateway Log Source(게이트웨이 로그 소스로 사용) 옵션을 사용하여 처리 중인 이벤트에 대한 사용자 정의 로그 소스 식별자를 정의하고 적용 가능한 경우 로그 소스가 자동으로 검색되도록 합니다. 로그 소스 식별자 패턴을 구성하지 않으면 JSA는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

키-값 쌍을 사용하여 사용자 정의 Log Source Identifier를 정의합니다. 키는 결과 소스 또는 원본 값인 식별자 형식 문자열입니다. 이 값은 현재 페이로드를 평가하는 데 사용되는 연관된 regex 패턴입니다. 이 값은 키를 추가로 사용자 지정하는 데 사용할 수 있는 캡처 그룹도 지원합니다.

새 줄에 각 패턴을 입력하여 여러 키-값 쌍을 정의합니다. 여러 패턴은 나열된 순서대로 평가됩니다. 일치하는 항목이 발견되면 사용자 지정 로그 소스 식별자가 표시됩니다.

다음 예제에서는 여러 키-값 페어 함수를 보여 줍니다.

• 패턴 - VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2= \s(ACCEPT)\s(OK)

• 이벤트 - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• 결과 사용자 지정 로그 소스 식별자 - VPC-ACCEPT-OK

여러 줄 사용

일치 시작/종료 또는 ID 연결 정규식을 기반으로 여러 메시지를 단일 이벤트로 집계합니다.

집계 방법

이 매개변수는 여러 줄 사용 이 켜져 있을 때 사용할 수 있습니다.

• ID-Linked - 각 줄의 시작 부분에 공통 값이 포함된 이벤트 로그를 처리합니다.

• Start/End Matching - 시작 또는 종료 정규식(regex)을 기반으로 이벤트를 집계합니다.

이벤트 시작 패턴

이 매개 변수는 여러 줄 사용이 켜져 있고 집계 방법이 일치 시작/종료로 설정된 경우에 사용할 수 있습니다.

정규 표현식(regex)은 TCP 여러 줄 이벤트 페이로드의 시작을 식별하는 데 필요합니다. Syslog 헤더는 일반적으로 날짜 또는 타임스탬프로 시작합니다. 프로토콜은 타임스탬프와 같은 이벤트 시작 패턴만을 기반으로 하는 한 줄 이벤트를 생성할 수 있습니다. 시작 패턴만 사용할 수 있는 경우 프로토콜은 각 시작 값 사이의 모든 정보를 캡처하여 유효한 이벤트를 만듭니다.

이벤트 종료 패턴

이 매개 변수는 여러 줄 사용이 켜져 있고 집계 방법이 일치 시작/종료로 설정된 경우에 사용할 수 있습니다.

이 정규 표현식(regex)은 TCP 여러 줄 이벤트 페이로드의 끝을 식별하는 데 필요합니다. syslog 이벤트가 동일한 값으로 끝나는 경우 정규 표현식을 사용하여 이벤트 종료를 확인할 수 있습니다. 프로토콜은 이벤트 종료 패턴만을 기반으로 하는 이벤트를 캡처할 수 있습니다. 끝 패턴만 사용할 수 있는 경우 프로토콜은 각 끝 값 사이의 모든 정보를 캡처하여 유효한 이벤트를 만듭니다.

메시지 ID 패턴

이 매개 변수는 여러 줄 사용 이 켜져 있고 집계 방법이 ID-Linked로 설정된 경우에 사용할 수 있습니다.

이 정규 표현식(regex)은 이벤트 페이로드 메시지를 필터링하는 데 필요합니다. TCP 여러 줄 이벤트 메시지에는 이벤트 메시지의 각 줄에서 반복되는 공통 식별 값이 포함되어야 합니다.

기한

이 매개 변수는 여러 줄 사용 이 켜져 있고 집계 방법이 ID-Linked로 설정된 경우에 사용할 수 있습니다.

이벤트가 이벤트 파이프라인으로 푸시되기 전에 일치하는 페이로드가 더 많아질 때까지 대기하는 시간(초)입니다. 기본값은 10초입니다.

이벤트 어그리게이션 중 전체 라인 유지

이 매개 변수는 여러 줄 사용 이 켜져 있고 집계 방법이 ID-Linked로 설정된 경우에 사용할 수 있습니다.

집계 방법 매개변수를 ID-Linked로 설정하면 이벤트 집계 중 전체 줄 유지를 활성화하여 메시지 ID 패턴 앞에 오는 이벤트 부분을 삭제하거나 유지할 수 있습니다. 이 기능은 ID 패턴이 동일한 이벤트를 함께 연결할 때만 활성화할 수 있습니다.

여러 줄 이벤트를 한 줄로 병합

이 매개변수는 여러 줄 사용 이 켜져 있을 때 사용할 수 있습니다.

이벤트를 한 줄 또는 여러 줄로 표시합니다.

이벤트 포맷터

이 매개변수는 여러 줄 사용 이 켜져 있을 때 사용할 수 있습니다.

Windows용으로 특별히 형식이 지정된 여러 줄 이벤트에 대해 Windows 여러 줄 옵션을 사용합니다.

프로토콜 구성

UDP 여러 줄 Syslog

수신 포트

JSA가 수신 UDP 멀티라인 Syslog 이벤트를 수락하는 데 사용하는 기본 포트 번호는 517입니다. 1 - 65535 범위의 다른 포트를 사용할 수 있습니다.

저장된 구성을 편집하여 새 포트 번호를 사용하려면 다음 단계를 완료하십시오.

1. Listen Port(수신 포트) 필드에 UDP 여러 줄 Syslog 이벤트를 수신하기 위한 새 포트 번호를 입력합니다.

2. 저장을 클릭합니다.

3. Deploy Changes(변경 사항 구축)를 클릭하여 이 변경 사항을 적용합니다.

포트 업데이트가 완료되고 새 포트 번호에서 이벤트 수집이 시작됩니다.

메시지 ID 패턴

이벤트 페이로드 메시지를 필터링하는 데 필요한 정규식(regex)입니다. UDP 여러 줄 이벤트 메시지에는 이벤트 메시지의 각 줄에서 반복되는 공통 식별 값이 포함되어야 합니다.

이벤트 포맷터

수신기에서 감지하는 들어오는 페이로드의 형식을 지정하는 이벤트 포맷터입니다. No Format(서식 없음 )을 선택하여 페이로드를 그대로 둡니다. Cisco ACS Multiline(Cisco ACS 멀티라인 )을 선택하여 페이로드를 한 줄 이벤트로 포맷합니다.

ACS syslog 헤더에는 total_seg 및 seg_num 필드가 있습니다. 이 두 필드는 Cisco ACS Multiline(Cisco ACS 멀티라인) 옵션을 선택할 때 ACS 멀티라인 이벤트를 올바른 순서로 단일 라인 이벤트로 재정렬하는 데 사용됩니다.

고급 옵션 표시

기본값은 아니오입니다. 고급 옵션을 구성하려면 Yes(예 )를 선택합니다.

사용자 지정 소스 이름 사용

regex를 사용하여 소스 이름을 사용자 지정하려면 확인란을 선택합니다.

소스 이름 Regex

JSA가 이 UDP 멀티라인 Syslog 구성에 의해 처리되는 이벤트의 소스를 결정하는 방법을 사용자 정의하려면 Source Name Regex 및 Source Name Formatting String 매개 변수를 사용합니다.

Source Name Regex(소스 이름 정규식)에 정규식을 입력하여 이 프로토콜에서 처리하는 이벤트 페이로드에서 하나 이상의 식별 값을 캡처합니다. 이러한 값은 Source Name Formatting String(소스 이름 형식 문자열)과 함께 사용되어 각 이벤트의 소스 또는 원본 값을 설정합니다. 이 소스 값은 Use As A Gateway Log Source(게이트웨이 로그 소스로 사용) 옵션이 활성화된 경우 일치하는 Log Source Identifier(로그 소스 식별자) 값이 있는 로그 소스로 이벤트를 라우팅하는 데 사용됩니다.

소스 이름 형식 지정 문자열

다음 입력 중 하나 이상을 조합하여 이 프로토콜에서 처리하는 이벤트 페이로드의 소스 값을 형성할 수 있습니다.

• 소스 이름 Regex에서 하나 이상의 캡처 그룹. 캡처 그룹을 참조하려면 \x 표기법을 사용합니다. 여기서 x는 소스 이름 Regex의 캡처 그룹 인덱스입니다.

• 이벤트 데이터가 시작된 IP 주소입니다. 패킷 IP를 참조하려면 토큰 $PIP$를 사용합니다.

• 리터럴 텍스트 문자입니다. 전체 원본 이름 서식 문자열은 사용자가 제공한 텍스트일 수 있습니다.

예를 들어, CiscoACS\1\2$PIP$에서 \1\2는 Source Name Regex 값의 첫 번째 및 두 번째 캡처 그룹을 의미하고 $PIP$는 패킷 IP입니다.

게이트웨이 로그 소스로 사용

이 확인란의 선택을 취소하면 수신 이벤트가 발생한 IP와 일치하는 Log Source Identifier 와 함께 로그 소스로 전송됩니다.

이 옵션을 선택하면 이 로그 소스는 여러 소스의 여러 라인 이벤트에 대한 단일 진입점 또는 게이트웨이 역할을 하여 JSA에 들어가 각 소스에 대해 UDP 멀티라인 Syslog 로그 소스를 구성할 필요 없이 동일한 방식으로 처리됩니다. RFC3164 또는 RFC5424 호환 syslog 헤더가 있는 이벤트는 Source Name Formatting String 매개 변수가 사용 중이 아니면 헤더의 IP 또는 호스트 이름에서 유래한 것으로 식별되며, 이 경우 해당 형식 문자열은 각 이벤트에 대해 평가됩니다. 이러한 모든 이벤트는 이 캡처된 값을 기반으로 JSA를 통해 라우팅됩니다.

해당 로그 소스 식별자를 가진 로그 소스가 하나 이상 존재하는 경우, 구성된 구문 분석 순서에 따라 이벤트가 제공됩니다. 이벤트를 수락하지 않거나 일치하는 로그 소스 식별자를 가진 로그 소스가 없는 경우 자동 탐지를 위해 이벤트를 분석합니다.

여러 줄 이벤트를 한 줄로 병합

이벤트를 한 줄 또는 여러 줄로 표시합니다. 이 확인란을 선택하면 모든 줄 바꿈 및 캐리지 리턴 문자가 이벤트에서 제거됩니다.

이벤트 어그리게이션 중 전체 라인 유지

프로토콜이 동일한 ID 패턴을 가진 이벤트를 함께 연결할 때 메시지 ID 패턴 앞에 오는 이벤트 부분을 삭제하거나 유지하려면 이 옵션을 선택합니다.

기한

이벤트가 이벤트 파이프라인으로 푸시되기 전에 일치하는 추가 페이로드를 대기하는 시간(초)입니다. 기본값은 10초입니다.

사용

이 확인란을 선택하면 로그 소스를 사용할 수 있습니다.

신빙성

로그 소스의 신뢰성을 선택합니다. 범위는 0 - 10입니다.

신뢰성은 소스 디바이스의 신뢰성 등급에 의해 결정되는 이벤트 또는 공격의 무결성을 나타냅니다. 여러 출처에서 동일한 이벤트를 보고하면 신뢰성이 높아집니다. 기본값은 5입니다.

대상 이벤트 수집기

배포에서 UDP 여러 줄 Syslog 수신기를 호스트해야 하는 이벤트 수집기를 선택합니다.

병합 이벤트

이 확인란을 선택하면 로그 소스가 이벤트를 병합(번들)할 수 있습니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 병합 이벤트 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

Store 이벤트 페이로드

이 확인란을 선택하면 로그 소스가 이벤트 페이로드 정보를 저장할 수 있습니다.

기본적으로 자동으로 검색된 로그 소스는 JSA의 시스템 설정에서 Store Event Payload 목록의 값을 상속합니다. 로그 소스를 생성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 재정의할 수 있습니다.

로그 소스 식별자

로그 소스 이름은 공백을 포함할 수 없으며 VMware vCloud Director 프로토콜로 구성된 이 유형의 모든 로그 소스 중에서 고유해야 합니다.

프로토콜 구성

VMware vCloud Director

vCloud URL

REST API에 액세스하기 위해 VMware vCloud Appliance에 구성된 URL입니다. URL은 vCloud 서버에서 VCD 공용 REST API 기본 URL 필드로 구성된 주소와 일치해야 합니다. 예를 들어, https:<my.vcloud.server>/api.

사용자 이름

vCloud Server에 원격으로 액세스하는 데 필요한 사용자 이름입니다. 예를 들어, console/user@organization.

JSA에서 사용할 읽기 전용 계정을 구성하려면 조직에서 콘솔 액세스 전용 권한이 있는 vCloud 사용자를 생성합니다.

암호

vCloud Server에 원격으로 액세스하는 데 필요한 암호입니다.

폴링 간격(초)

새 이벤트에 대해 vCloud 서버에 대한 쿼리 사이의 시간입니다.

기본 폴링 간격은 10초입니다.

EPS 스로틀

초당 최대 이벤트 수(EPS)입니다. 기본값은 5000입니다.

Enable Advanced Options(고급 옵션 사용)

이 옵션을 활성화하여 더 많은 매개 변수를 구성합니다.

API 페이지 크기

고급 옵션 사용을 선택하면 이 매개변수가 표시됩니다.

API 호출당 반환할 레코드 수입니다. 최대값은 128입니다.

Legacy vCloud SDK 사용

고급 옵션 사용을 선택하면 이 매개변수가 표시됩니다.

vCloud 5.1 이하에 연결하려면 이 옵션을 사용하도록 설정합니다.

vCloud API 버전

고급 옵션 사용을 선택한 다음 레거시 vCloud SDK 사용을 선택하면 이 매개 변수가 더 이상 표시되지 않습니다.

API 요청에 사용되는 vCloud 버전입니다. 이 버전은 vCloud 설치와 호환되는 버전과 일치해야 합니다.

다음 예를 사용하여 vCloud 설치와 호환되는 버전을 확인할 수 있습니다.

• vCloud API 33.0(vCloud Director 10.0)

• vCloud API 32.0(vCloud Director 9.7)

• vCloud API 31.0(vCloud Director 9.5)

• vCloud API 30.0(vCloud Director 9.1)

• vCloud API 29.0(vCloud Director 9.0)

신뢰할 수 없는 인증서 허용

고급 옵션 사용을 선택한 다음 레거시 vCloud SDK 사용을 선택하면 이 매개 변수가 더 이상 표시되지 않습니다.

vCloud 5.1 이상에 연결할 때 신뢰할 수 없는 자체 서명된 인증서를 허용하려면 이 옵션을 사용하도록 설정해야 합니다.

인증서는 PEM 또는 DER로 인코딩된 이진 형식으로 다운로드한 다음 파일 확장명을 사용하여 .cert or .crt 디렉터리에 /opt/qradar/conf/ trusted_certificates/ 배치해야 합니다.

프록시 사용

고급 옵션 사용을 선택한 다음 레거시 vCloud SDK 사용을 선택하면 이 매개 변수가 더 이상 표시되지 않습니다.

서버가 프록시를 사용하여 액세스되는 경우 프록시 사용 확인란을 선택합니다. 프록시에 인증이 필요한 경우 Proxy Server(프록시 서버), Proxy Port(프록시 포트), Proxy username(프록시 사용자 이름) 및 Proxy Password(프록시 암호) 필드를 구성합니다.

프록시에 인증이 필요하지 않은 경우 프록시 IP 또는 호스트 이름 필드를 구성합니다.

프록시 IP 또는 호스트 이름

프록시 사용을 선택하면 이 매개 변수가 표시됩니다.

고급 옵션 사용을 선택한 다음 레거시 vCloud SDK 사용을 선택하면 이 매개 변수가 더 이상 표시되지 않습니다.

프록시 포트

프록시 사용을 선택하면 이 매개 변수가 표시됩니다.

고급 옵션 사용을 선택한 다음 레거시 vCloud SDK 사용을 선택하면 이 매개 변수가 더 이상 표시되지 않습니다.

프록시와 통신하는 데 사용되는 포트 번호입니다. 기본값은 8080입니다.

프록시 사용자 이름

프록시 사용을 선택하면 이 매개 변수가 표시됩니다.

고급 옵션 사용을 선택한 다음 레거시 vCloud SDK 사용을 선택하면 이 매개 변수가 더 이상 표시되지 않습니다.

프록시 암호

프록시 사용을 선택하면 이 매개 변수가 표시됩니다.

고급 옵션 사용을 선택한 다음 레거시 vCloud SDK 사용을 선택하면 이 매개 변수가 더 이상 표시되지 않습니다.