Opciones de configuración de protocolo

Tipo de origen de registro

Akamai KONA

Configuración del protocolo

Akamai Kona REST API

Anfitrión

El valor Host se proporciona durante el aprovisionamiento de la API abierta de SIEM en el Centro de control de Akamai Luna. El host es una dirección URL base única que contiene información sobre los derechos adecuados para consultar los eventos de seguridad. Este parámetro es un campo de contraseña porque parte del valor contiene información secreta del cliente.

Token de cliente

El token de cliente es uno de los dos parámetros de seguridad. Este token se combina con Client Secret para crear las credenciales de cliente. Este token se puede encontrar después de aprovisionar la API abierta de Akamai SIEM.

Secreto de cliente

El secreto de cliente es uno de los dos parámetros de seguridad. Este secreto se combina con el token de cliente para crear las credenciales de cliente. Este token se puede encontrar después de aprovisionar la API abierta de Akamai SIEM.

Token de acceso

El token de acceso es un parámetro de seguridad que se usa con las credenciales del cliente para autorizar el acceso del cliente de API para recuperar los eventos de seguridad. Este token se puede encontrar después de aprovisionar la API abierta de Akamai SIEM.

ID de configuración de seguridad

El identificador de configuración de seguridad es el identificador de cada configuración de seguridad para la que desea recuperar eventos de seguridad. Este ID se puede encontrar en la sección Integración de SIEM de su portal de Akamai Luna. Puede especificar varios ID de configuración en una lista separada por comas. Por ejemplo: configID1,configID2.

Usar proxy

Si JSA accede al Amazon Web Service mediante un proxy, habilite Usar proxy.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure los campos IP del proxy o Nombre de host .

Adquirir automáticamente certificado de servidor

Seleccione Sí para que JSA descargue automáticamente el certificado del servidor y comience a confiar en el servidor de destino.

Repetición

El intervalo de tiempo entre las consultas del origen de registro a la API de Akamai SIEM para eventos nuevos. El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D). El valor predeterminado es 1 minuto.

Acelerador EPS

Número máximo de eventos por segundo. El valor predeterminado es 5000.

Configuración del protocolo

API de REST de Amazon AWS S3

Identificador de origen de registro

Escriba un nombre único para el origen del registro.

El identificador de origen de registro puede tener cualquier valor válido y no necesita hacer referencia a un servidor específico. El identificador de origen de registro puede tener el mismo valor que el nombre de origen de registro. Si tiene configurado más de un origen de registro de Amazon AWS CloudTrail, es posible que desee identificar el primer origen de registro como awscloudtrail1 , el segundo origen de registro como awscloudtrail2 , y el tercer origen de registro como awscloudtrail3 .

Método de autenticación

• ID de clave de acceso / clave secreta: autenticación estándar que se puede usar desde cualquier lugar.

• Rol de IAM de instancia EC2: si el host administrado se ejecuta en una instancia AWS EC2, al elegir esta opción, se utiliza el rol de IAM de los metadatos de instancia asignados a la instancia para la autenticación; No se requieren llaves. Este método solo funciona para hosts administrados que se ejecutan dentro de un contenedor AWS EC2.

Tecla de acceso

El ID de clave de acceso que se generó al configurar las credenciales de seguridad para su cuenta de usuario de AWS

Si seleccionó ID de clave de acceso/clave secreta o Asumir rol de IAM, se muestra el parámetro Access Key .

Clave secreta

La clave secreta que se generó al configurar las credenciales de seguridad para su cuenta de usuario de AWS.

Si seleccionó ID de clave de acceso/clave secreta o Asumir rol de IAM, se muestra el parámetro Secret Key .

Asumir un rol de IAM

Active esta opción mediante la autenticación con una clave de acceso o un rol de IAM de instancia EC2. A continuación, puede asumir temporalmente un rol de IAM para el acceso.

Asumir el rol ARN

El ARN completo del rol que se va a asumir. Debe comenzar con "arn:" y no puede contener espacios iniciales o finales, ni espacios dentro del ARN.

Si habilitó Assume an IAM Role, se muestra el parámetro Assume Role ARN .

Asumir rol Nombre de sesión

Nombre de sesión de la función que se va a asumir. El valor predeterminado es QRadarAWSSession. Déjelo como predeterminado si no necesita cambiarlo. Este parámetro solo puede contener caracteres alfanuméricos en mayúsculas y minúsculas, guiones bajos o cualquiera de los siguientes caracteres: =,.@-

Si ha habilitado Assume an IAM Role, se muestra el parámetro Assume Role Session Name (Asumir rol de nombre de sesión).

Formato del evento

Seguimiento de la nube de AWS JSON

Firewall de red de AWS

Registros de flujo de AWS VPC

Cisco Umbrella CSB

LINEBYLINE

W3C

Nombre de la región

La región en la que se encuentra la cola de SQS o el bucket de AWS S3.

Example: us-east-1, eu-west-1, ap-northeast-3

Uso como origen de registro de puerta de enlace

Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico de JSA y para que JSA detecte automáticamente uno o más orígenes de registro.

Mostrar opciones avanzadas

Seleccione esta opción si desea personalizar los datos del evento.

Patrón de archivo

Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Sí.

Escriba un regex para el patrón de archivo que coincida con los archivos que desea extraer; Por ejemplo, .*?\.json\.gz

Directorio local

Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Sí.

El directorio local del recopilador de eventos de destino. El directorio debe existir antes de que el protocolo de la API de REST de AWS S3 intente recuperar eventos.

URL del punto de conexión de S3

Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Sí.

La URL del punto de enlace que se utiliza para consultar la API de REST de AWS S3.

Si la URL del punto de conexión es diferente de la predeterminada, escriba la dirección URL del punto de conexión. El valor predeterminado es https:// s3.amazonaws.com

Usar acceso de estilo de ruta de S3

Fuerza las solicitudes de S3 a utilizar el acceso de estilo de ruta.

AWS desaprueba este método. Sin embargo, es posible que sea necesario cuando utilice otras API compatibles con S3.

Usar proxy

Si JSA accede al Amazon Web Service mediante un proxy, habilite Usar proxy.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure el campo IP del proxy o Nombre de host .

Repetición

Con qué frecuencia se realiza una encuesta para buscar nuevos datos.

Si utiliza el método de recopilación de eventos SQS, las notificaciones de eventos SQS pueden tener un valor mínimo de 10 (segundos). Dado que el sondeo de la cola SQS puede ocurrir con más frecuencia, se puede utilizar un valor inferior.

Si utiliza el método de recopilación de eventos de prefijo de directorio, Usar un prefijo específico tiene un valor mínimo de 60 (segundos) o 1 M. Dado que cada solicitud listBucket a un bucket de AWS S3 incurre en un costo para la cuenta propietaria del bucket, un valor de periodicidad menor aumenta el costo.

Escriba un intervalo de tiempo para determinar la frecuencia con la que se examina el directorio remoto en busca de nuevos archivos de registro de eventos. El valor mínimo es 1 minuto. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15 M = 15 minutos.

Acelerador EPS

Número máximo de eventos por segundo que se envían a la canalización de flujo. El valor predeterminado es 5000.

Asegúrese de que el valor del acelerador de EPS sea superior a la velocidad de entrada o que el procesamiento de datos podría quedarse atrás.

Método de recolección de S3

Seleccione Usar un prefijo específico.

Nombre del bucket

El nombre del bucket de AWS S3 donde se almacenan los archivos de registro.

Prefijo de directorio

La ubicación del directorio raíz en el bucket de AWS S3 desde donde se recuperan los registros de CloudTrail; por ejemplo, AWSLogs/<AccountNumber>/CloudTrial/<RegionName>/

Para extraer archivos del directorio raíz de un bucket, debe usar una barra diagonal (/) en la ruta del archivo de prefijo de directorio .

Método de recolección de S3

Seleccione SQS Event Notifications (Notificaciones de eventos de SQS).

URL de la cola SQS

La dirección URL completa que comienza por , para la cola SQS que está configurada para recibir notificaciones de eventos ObjectCreated de S3.

Fabricante

Amazona

Nombre DSM

Un tipo de origen de registro personalizado

Nombre de archivo RPM

PROTOCOLO DE API REST DE AWS S3

Versiones compatibles

Registros de flujo v5

Protocolo

PROTOCOLO DE API REST DE AWS S3

Formato del evento

IPFIX mediante orígenes de flujo JSA

Tipos de eventos grabados

Flujos de red

¿Detectado automáticamente?

No

¿Incluye identidad?

No

¿Incluye propiedades personalizadas?

No

Más información

(https:// docs.aws.amazon.com/vpc/latest/userguide/flowlogs. html)

Configuración del protocolo

Seleccione Amazon Web Services en la lista Protocol Configuration (Configuración del protocolo).

Método de autenticación

• ID de clave de acceso / clave secreta: autenticación estándar que se puede utilizar desde cualquier lugar.

• Rol de IAM de instancia EC2: si el host administrado de JSA se ejecuta en una instancia EC2 de AWS, al elegir esta opción, se utiliza el rol de IAM a partir de los metadatos asignados a la instancia para la autenticación; No se requieren llaves. Este método solo funciona para hosts administrados que se ejecutan dentro de un contenedor AWS EC2.

Tecla de acceso

El ID de clave de acceso que se generó al configurar las credenciales de seguridad para su cuenta de usuario de AWS.

Si seleccionó ID de clave de acceso / clave secreta, se muestra el parámetro Clave de acceso .

Clave secreta

La clave secreta que se generó al configurar las credenciales de seguridad para su cuenta de usuario de AWS.

Si seleccionó ID de clave de acceso / clave secreta, se muestra el parámetro Clave de acceso .

Regiones

Seleccione la casilla de verificación para cada región asociada al Amazon Web Service del que desea recopilar registros.

Otras regiones

Escriba los nombres de las regiones adicionales asociadas al Amazon Web Service de las que desea recopilar registros. Para recopilar de varias regiones, use una lista separada por comas, como se muestra en el ejemplo siguiente: region1,region2

Servicio de AWS

Nombre de Amazon Web Service. En la lista AWS Service , seleccione CloudWatch Logs.

Grupo de registro

Nombre del grupo de registros de Amazon CloudWatch del que desea recopilar registros.

Secuencia de registro (opcional)

Nombre de la secuencia de registro dentro de un grupo de registros. Si desea recopilar registros de todas las secuencias de registros de un grupo de registros, deje este campo en blanco.

Patrón de filtro (opcional)

Escriba un patrón para filtrar los eventos recopilados. Este patrón no es un filtro regex. Solo los eventos que contienen el valor exacto especificado se recopilan de CloudWatch Logs. Si escribe ACCEPT como valor de patrón de filtro, sólo se recopilan los eventos que contienen la palabra ACCEPT, como se muestra en el ejemplo siguiente.

{LogStreamName: LogStreamTest,Timestamp: 0,
Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Extraer evento original

Para reenviar solo el evento original que se agregó a los registros de CloudWatch a JSA, seleccione esta opción.

Los registros de CloudWatch encapsulan los eventos que reciben con metadatos adicionales.

El evento original es el valor de la clave de mensaje que se extrae del registro de CloudWatch. El siguiente ejemplo de evento de registros de CloudWatch muestra el evento original que se extrae del registro de CloudWatch en negrita:

{"owner":"123456789012","subscriptionFilters":
["allEvents"],"logEvents":
[{"id":"35093963143971327215510178578576502306458824699048362100","mes
sage":"{\"eventVersion\":\"1.05\",\"userIdentity\":
{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test
_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role/
CVDevABRoleToBeAssumed/
test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId
\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":
{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\
"arn:aws:iam::123456789012:role/
CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\
"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":
{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54
Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudt
rail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"
apnortheast-
1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":
null,\"responseElements\":null,\"requestID\":\"41e62e80-
b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-
f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipi
entAccountId\":\"123456789012\"}","timestamp":1573667733143}],"message
Type":"DATA_MESSAGE","logGroup":"CloudTrail/
DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}

Usar como origen de registro de puerta de enlace

Si no desea definir un identificador de origen de registro personalizado para eventos, asegúrese de que esta casilla esté desactivada.

Patrón de identificador de origen de registro

Si seleccionó Usar como origen de registro de puerta de enlace, utilice esta opción para definir un identificador de origen de registro personalizado para los eventos que se están procesando.

Utilice pares clave-valor para definir el identificador de origen de registro personalizado. La clave es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. Este valor también admite grupos de captura que se pueden usar para personalizar aún más la clave.

Defina varios pares clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se enumeran. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

Los ejemplos siguientes muestran varias funciones de par clave-valor.

• Patrones: VPC=\sREJECT\sFAILURE

  $1=\s(REJECT)\sOK

  VPC-$1-$2=\s(ACCEPT)\s(OK)

• Eventos: {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• Identificador de origen de registro personalizado resultante:

  VPC-ACCEPT-OK

Usar proxy

Si JSA accede a Amazon Web Service mediante un proxy, seleccione esta opción.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxy y Contraseña de proxy . Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

Adquirir automáticamente certificados de servidor

Seleccione Sí para que JSA descargue automáticamente el certificado del servidor y comience a confiar en el servidor de destino.

Puede usar esta opción para inicializar un origen de registro recién creado y obtener certificados, o para reemplazar certificados caducados.

Acelerador EPS

El límite superior para el número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Si se selecciona la opción Usar como origen de registro de puerta de enlace , este valor es opcional.

Si el valor del parámetro EPS Throttle se deja en blanco, JSA no impone ningún límite de EPS.

Lista de servidores de arranque

El puerto <hostname/ip>:<> el servidor (o servidores) de arranque. Se pueden especificar varios servidores en una lista separada por comas, como en este ejemplo: hostname1:9092,10.1.1.1:9092

Grupo de consumidores

Una cadena o etiqueta única que identifica el grupo de consumidores al que pertenece este origen de registro.

Cada registro que se publica en un tema de Kafka se entrega a una instancia de consumidor dentro de cada grupo de consumidores suscritos. Kafka utiliza estas etiquetas para equilibrar la carga de los registros en todas las instancias de consumidor de un grupo.

Método de suscripción por tema

El método que se utiliza para suscribirse a temas de Kafka. Utilice la opción Lista de temas para especificar una lista específica de temas. Utilice la opción Coincidencia de patrones Regex para especificar una expresión regular que coincida con los temas disponibles.

Lista de temas

Una lista de nombres de temas a los que suscribirse. La lista debe estar separada por comas; Por ejemplo: Topic1,Topic2,Topic3.

Esta opción sólo se muestra cuando se selecciona Mostrar temas para la opción Método de suscripción de temas .

Patrón de filtro de tema

Una expresión regular que coincida con los temas a los que se va a suscribir.

Esta opción sólo se muestra cuando se selecciona Coincidencia de patrones Regex para la opción Método de suscripción de temas .

Usar autenticación SASL

Esta opción muestra las opciones de configuración de autenticación SASL.

Cuando se utiliza sin autenticación de cliente, debe colocar una copia del certificado de servidor en el /opt/qradar/conf/ trusted_certificates/ directorio.

Usar autenticación de cliente

Muestra las opciones de configuración de autenticación de cliente.

/Key Store/Trust Store Type

El formato de archivo de almacenamiento para el tipo de almacén de claves y almacén de confianza. Las siguientes opciones están disponibles para el formato de archivo de almacenamiento:

• JKS

• PKCS12

Nombre de archivo del almacén de confianza

Nombre del archivo de almacén de confianza. El almacén de confianza debe colocarse en /opt/qradar/conf/trusted_certificates/ kafka/.

El archivo contiene el nombre de usuario y la contraseña.

Nombre de archivo del almacén de claves

Nombre del archivo de almacén de claves. El almacén de claves debe colocarse en /opt/qradar/conf/trusted_certificates/ kafka/.

El archivo contiene el nombre de usuario y la contraseña.

Usar como origen de registro de puerta de enlace

Esta opción permite que los eventos recopilados pasen por el motor de análisis de tráfico de JSA y detecten automáticamente los orígenes de registro adecuados.

Patrón de identificador de origen de registro

Define un identificador de origen de registro personalizado para los eventos que se están procesando, si la casilla Usar como origen de registro de puerta de enlace está activada.

Los pares clave-valor se utilizan para definir el identificador de origen de registro personalizado. La clave es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. Este valor también admite grupos de captura que se pueden usar para personalizar aún más la clave.

Los pares de valores de clave múltiple se definen escribiendo cada patrón en una nueva línea. Se evalúan varios patrones en el orden en que se enumeran. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

Los ejemplos siguientes muestran varias funciones de par clave-valor.

Patrones

1. VPC=\sREJECT\sFAILURE

2. $1=\s(REJECT)\sOK

3. VPC-$1-$2=\s(ACCEPT)\s(OK)

Eventos

1. {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Identificador de origen de registro personalizado resultante

1. VPC-ACCEPT-OK

Reemplazo de secuencia de caracteres

Reemplaza secuencias de caracteres literales específicos en la carga de eventos a caracteres reales. Una o más de las siguientes opciones están disponibles:

• Carácter Newline(CR LF) (\r\n)

• Carácter de avance de línea (\n)

• Carácter de retorno de carro (\r)

• Carácter de tabulación (\t)

• Carácter de espacio (\s)

Acelerador EPS

El número máximo de eventos por segundo (EPS). No se aplica ninguna limitación si el campo está vacío.

Nombre de usuario de la API

El nombre de usuario de la API que se usa para autenticarse con Blue Coat Web Security Service. El nombre de usuario de la API se configura a través del Blue Coat Threat Pulse Portal.

Contraseña

La contraseña que se usa para autenticarse con Blue Coat Web Security Service.

Confirmar contraseña

Confirmación del campo Contraseña .

Usar proxy

Cuando configura un proxy, todo el tráfico del origen del registro viaja a través del proxy para que JSA acceda al servicio Blue Coat Web Security.

Configure los campos IP o nombre de host del proxy, Puerto del proxy, Nombre de usuario del proxy y Contraseña del proxy. Si el proxy no requiere autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

Repetición

Puede especificar cuándo se recopilan datos en el registro. El formato es M/H/D para meses/horas/días. El valor predeterminado es 5 M.

Acelerador EPS

El límite superior para el número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Tipo de origen de registro

Plataforma de identidad Centrify

Configuración del protocolo

Centrify Redrock REST API

Identificador de origen de registro

Un nombre único para el origen del registro.

El identificador de origen de registro puede tener cualquier valor válido y no necesita hacer referencia a un servidor específico. El identificador de origen de registro puede tener el mismo valor que el nombre de origen de registro. Si tiene más de un origen de registro de Centrify Identity Platform configurado, es posible que desee identificar el primer origen de registro como centrify1, el segundo origen de registro como centrify2, y el tercer origen de registro como centrify3.

ID de inquilino

Centrify asignó un ID único de cliente o inquilino.

URL del inquilino

URL de inquilino generada automáticamente para el ID de inquilino especificado. Por ejemplo tenantId.my.centrify.com

Nombre de usuario

Nombre de usuario asociado al servicio en la nube para Centrify Identity Platform.

Contraseña

La contraseña asociada al nombre de usuario de Centrify Identity Platform.

Filtro de registro de eventos

Seleccione el nivel de registro de los eventos que desea recuperar. Información, Advertencia y Error son seleccionables. Se debe seleccionar al menos un filtro.

Permitir certificados que no sean de confianza

Active esta opción para permitir certificados autofirmados que no sean de confianza. No habilite esta opción para inquilinos alojados en SaaS. Sin embargo, si es necesario, puede habilitar esta opción para otras configuraciones de inquilinos.

El certificado debe descargarse en formato binario codificado PEM o DER y, a continuación, colocarse en el directorio /opt/ qradar/conf/trusted_certificates/ con la extensión de archivo .cert o .crt.

Usar proxy

Cuando se configura un proxy, todo el tráfico de la API de REST de Centrify Redrock viaja a través del proxy.

Configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxy y Contraseña de proxy . Si el proxy no requiere autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

Acelerador EPS

Número máximo de eventos por segundo. El valor predeterminado es 5000.

Repetición

El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D). El valor predeterminado es 5 minutos (5M).

Configuración del protocolo

Cisco Firepower eStreamer

Puerto del servidor

El número de puerto en el que los servicios Cisco Firepower eStreamer está configurado para aceptar solicitudes de conexión.

El puerto predeterminado que JSA utiliza para Cisco Firepower eStreamer es 8302.

Nombre de archivo del almacén de claves

La ruta de acceso al directorio y el nombre de archivo de la clave privada del almacén de claves y el certificado asociado. De forma predeterminada, el script de importación crea el archivo de almacén de claves en el siguiente directorio: /opt/qradar/conf/estreamer.keystore.

Nombre de archivo del almacén de confianza

La ruta de acceso al directorio y el nombre de archivo de los archivos del almacén de confianza. El archivo de almacén de confianza contiene los certificados en los que confía el cliente. De forma predeterminada, el script de importación crea el archivo truststore en el siguiente directorio: /opt/qradar/conf/estreamer.truststore.

Solicitar datos adicionales

Seleccione esta opción para solicitar datos adicionales de Cisco Firepower Management Center, por ejemplo, datos adicionales incluyen la dirección IP original de un evento.

Dominio

El dominio desde donde se transmiten los eventos.

El valor del campo Dominio debe ser un dominio completo. Esto significa que todos los antepasados del dominio deseado deben aparecer en la lista, comenzando con el dominio de nivel superior y terminando con el dominio leaf al que desea solicitar eventos.

Ejemplo:

Global es el dominio de nivel superior, B es un dominio de segundo nivel que es un subdominio de Global y C es un dominio de tercer nivel y un dominio leaf que es un subdominio de B. Para solicitar eventos de C, escriba el siguiente valor para el parámetro Domain :

Global \ B \ C

Configuración del protocolo

Cisco NSEL

Identificador de origen de registro

Si la red contiene dispositivos conectados a una consola de administración, puede especificar la dirección IP del dispositivo individual que creó el evento. Un identificador único para cada uno, como una dirección IP, impide que las búsquedas de eventos identifiquen a la consola de administración como el origen de todos los eventos.

Puerto colector

El número de puerto UDP que Cisco ASA utiliza para reenviar eventos NSEL. JSA utiliza el puerto 2055 para los datos de flujo en los procesadores de flujo JSA. Debe asignar un puerto UDP diferente en Cisco Adaptive Security Appliance para NetFlow.

Configuración del protocolo

EMC VMware

Identificador de origen de registro

El valor de este parámetro debe coincidir con el parámetro IP de VMware .

VMware IP

La dirección IP del servidor ESXi de VMWare. El protocolo VMware anexa la dirección IP del servidor VMware ESXi con HTTPS antes de que el protocolo solicite datos de eventos.

Tipo de credencial de cuenta de servicio

Especifique de dónde provienen las credenciales de cuenta de servicio necesarias.

Asegúrate de que la cuenta de servicio asociada tenga el rol de suscriptor de pub/suscripción o el permiso pubsub.subscriptions.consume más específico en el nombre de suscripción configurado en GCP.

Clave administrada por el usuario

Se proporciona en el campo Clave de cuenta de servicio al ingresar el texto JSON completo de una clave de cuenta de servicio descargada.

Clave administrada de GCP

Asegúrate de que el host administrado de JSA se esté ejecutando en una instancia de GCP Compute y de que los ámbitos de acceso a la API de Cloud incluyan Cloud Pub/Sub.

Nombre de suscripción

Nombre completo de la suscripción a Cloud Pub/Sub. Por ejemplo, projects/my-project/subscriptions/my-subscription.

Usar como origen de registro de puerta de enlace

Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico de JSA y para que JSA detecte automáticamente uno o más orígenes de registro.

Al seleccionar esta opción, el patrón de identificador de origen de registro se puede utilizar opcionalmente para definir un identificador de origen de registro personalizado para los eventos que se están procesando.

Patrón de identificador de origen de registro

Cuando se selecciona la opción Usar como origen de registro de puerta de enlace , utilice esta opción para definir un identificador de origen de registro personalizado para los eventos que se procesan. Si el patrón de identificador de origen de registro no está configurado, JSA recibe eventos como orígenes de registro genéricos desconocidos.

El campo Patrón de identificador de origen de registro acepta pares clave-valor, como key=value, para definir el identificador de origen de registro personalizado para los eventos que se están procesando y para que los orígenes de registro se detecten automáticamente cuando corresponda. Key es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. El valor (patrón regex) también admite grupos de captura que se pueden utilizar para personalizar aún más la clave (cadena de formato de identificador).

Se pueden definir varios pares clave-valor escribiendo cada patrón en una nueva línea. Cuando se utilizan varios patrones, se evalúan en orden hasta que se encuentra una coincidencia. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

En los ejemplos siguientes se muestra la funcionalidad de varios pares clave-valor:

Patrones

VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

Eventos

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Identificador de origen de registro personalizado resultante

VPC-ACCEPT-OK

Usar proxy

Selecciona esta opción para que JSA se conecte al GCP mediante un proxy.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

IP de proxy o nombre de host

La IP o el nombre de host del servidor proxy.

Puerto proxy

Número de puerto que se utiliza para comunicarse con el servidor proxy.

El valor predeterminado es 8080.

Nombre de usuario del proxy

Solo es necesario cuando el proxy requiere autenticación.

Contraseña de proxy

Solo es necesario cuando el proxy requiere autenticación.

Acelerador EPS

El límite superior para el número máximo de eventos por segundo (EPS) que este origen de registro no debe superar. El valor predeterminado es 5000.

Si se selecciona la opción Usar como origen de registro de puerta de enlace , este valor es opcional.

Si el valor del parámetro EPS Throttle se deja en blanco, JSA no impone ningún límite de EPS.

Identificador de origen de registro

Escriba un nombre único para el origen del registro.

El identificador de origen de registro puede tener cualquier valor válido y no necesita hacer referencia a un servidor específico. El identificador de origen de registro puede tener el mismo valor que el nombre de origen de registro. Si tienes configurada más de una fuente de registro de Google G Suite, es posible que desees crear identificadores únicos. Por ejemplo, puede identificar el primer origen de registro como googlegsuite1, el segundo origen de registro como googlegsuite2, y el tercer origen de registro como googlegsuite3.

Cuenta de usuario

Cuenta de usuario de Google, que tiene privilegios de informes.

Credenciales de la cuenta de servicio

Autoriza el acceso a las API de Google para recuperar los eventos. Las credenciales de la cuenta de servicio se encuentran en un archivo con formato JSON que se descarga al crear una nueva cuenta de servicio en Google Cloud Platform.

Usar proxy

Si JSA accede a Google G Suite mediante un proxy, habilite esta opción.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

Repetición

El intervalo de tiempo entre las consultas de origen de registro a la API de informes de actividad de Google G Suite para eventos nuevos. El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D).

El valor predeterminado es de 5 minutos.

Acelerador EPS

Número máximo de eventos por segundo.

Retraso del evento

El retraso, en segundos, para recopilar datos.

Los registros de Google G Suite funcionan en un eventual sistema de entrega. Para garantizar que no se pierdan datos, los registros se recopilan con retraso.

El retraso predeterminado es de 7200 segundos (2 horas) y se puede establecer tan bajo como 0 segundos.

Configuración del protocolo

En la lista, seleccione Receptor HTTP.

Identificador de origen de registro

La dirección IP, el nombre de host o cualquier nombre para identificar el dispositivo.

Debe ser único para el tipo de origen de registro.

Tipo de comunicación

Seleccione HTTP o HTTP, o HTTP y autenticación de cliente.

Ruta de acceso del certificado de cliente

Si selecciona HTTP y autenticación de cliente como tipo de comunicación, debe establecer la ruta absoluta al certificado de cliente. Debe copiar el certificado de cliente en la consola de JSA o en el recopilador de eventos del origen del registro.

Versión TLS

Las versiones de TLS que se pueden usar con este protocolo. Para utilizar la versión más segura, seleccione la opción TLSv1.2 .

Cuando selecciona una opción con varias versiones disponibles, la conexión HTTPS negocia la versión más alta disponible tanto para el cliente como para el servidor.

Puerto de escucha

El puerto que usa JSA para aceptar eventos entrantes del receptor HTTP. El puerto predeterminado es 12469.

Patrón de mensajes

De forma predeterminada, todo el HTTP POST se procesa como un solo evento. Para dividir el POST en varios eventos de una sola línea, proporcione una expresión regular para indicar el inicio de cada evento.

Usar como origen de registro de puerta de enlace

Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico de JSA y para que JSA detecte automáticamente uno o más orígenes de registro.

Longitud máxima de la carga útil (Byte)

Tamaño máximo de carga de un solo evento en bytes. El evento se divide cuando el tamaño de su carga supera este valor.

El valor predeterminado es 8192 y no debe ser mayor que 32767.

Método POST máximo Longitud de solicitud (MB)

Tamaño máximo del cuerpo de una solicitud de método POST en MB. Si el tamaño del cuerpo de una solicitud POST supera este valor, se devuelve un código de estado HTTP 413.

El valor predeterminado es 5 y no debe ser mayor que 10.

Acelerador EPS

El número máximo de eventos por segundo (EPS) que no desea que se supere este protocolo. El valor predeterminado es 5000.

Nombre del origen del registro

Escriba un nombre único para el origen del registro.

Descripción del origen del registro (opcional)

Escriba una descripción para el origen del registro.

Tipo de origen de registro

Seleccione el módulo de compatibilidad de dispositivos (DSM) que utiliza el protocolo JDBC en la lista Tipo de origen de registro .

Configuración del protocolo

JDBC

Identificador de origen de registro

Escriba un nombre para el origen del registro. El nombre no puede contener espacios y debe ser único entre todos los orígenes de registro del tipo de origen de registro configurado para utilizar el protocolo JDBC.

Si el origen de registro recopila eventos de un único dispositivo que tiene una dirección IP estática o un nombre de host, utilice la dirección IP o el nombre de host del dispositivo como todo o parte del valor Identificador de origen de registro ; por ejemplo, 192.168.1.1 o JDBC192.168.1.1. Si el origen de registro no recopila eventos de un único dispositivo que tenga una dirección IP estática o un nombre de host, puede usar cualquier nombre único para el valor Identificador de origen de registro; por ejemplo, JDBC1, JDBC2.

Tipo de base de datos

Seleccione el tipo de base de datos que contiene los eventos.

Nombre de la base de datos

Nombre de la base de datos a la que desea conectarse.

IP o nombre de host

La dirección IP o el nombre de host del servidor de base de datos.

Puerto

Introduzca el puerto JDBC. El puerto JDBC debe coincidir con el puerto de escucha configurado en la base de datos remota. La base de datos debe permitir conexiones TCP entrantes. La base de datos debe permitir conexiones TCP entrantes. El rango válido es 1 - 65535.

Los valores predeterminados son:

• MSDE - 1433

• Postgres - 5432

• MySQL - 3306

• Sybase - 5000

• Oráculo - 1521

• Informix - 9088

• Db2 - 50000

Si se usa una instancia de base de datos con el tipo de base de datos MSDE, los administradores deben dejar el parámetro Port en blanco en la configuración del origen del registro.

Nombre de usuario

Una cuenta de usuario para JSA en la base de datos.

Contraseña

La contraseña necesaria para conectarse a la base de datos.

Confirmar contraseña

La contraseña necesaria para conectarse a la base de datos.

Dominio de autenticación (sólo MSDE)

Si no seleccionó Usar Microsoft JDBC, se mostrará Dominio de autenticación .

El dominio para MSDE que es un dominio de Windows. Si su red no utiliza ningún dominio, deje este campo en blanco.

Instancia de base de datos (sólo MSDE o Informix)

La instancia de base de datos, si es necesario. Las bases de datos MSDE pueden incluir varias instancias de SQL Server en un servidor.

Cuando se usa un puerto no estándar para la base de datos o se bloquea el acceso al puerto 1434 para la resolución de la base de datos SQL, el parámetro Instancia de base de datos debe estar en blanco en la configuración del origen del registro.

Consulta predefinida (opcional)

Seleccione una consulta de base de datos predefinida para el origen del registro. Si una consulta predefinida no está disponible para el tipo de origen de registro, los administradores pueden seleccionar ninguna.

Nombre de la tabla

Nombre de la tabla o vista que incluye los registros de eventos. El nombre de la tabla puede incluir los siguientes caracteres especiales: signo de dólar ($), signo de número (#), guión bajo (_), guión en (-) y punto (.).

Seleccionar lista

Lista de campos que se incluirán cuando se sondee la tabla para eventos. Puede utilizar una lista separada por comas o escribir un asterisco (*) para seleccionar todos los campos de la tabla o vista. Si se define una lista separada por comas, la lista debe contener el campo definido en el campo Comparar.

Comparar campo

Un valor numérico o un campo de marca de tiempo de la tabla o vista que identifica los nuevos eventos que se agregan a la tabla entre consultas. Permite que el protocolo identifique eventos que el protocolo sondeó previamente para garantizar que no se crean eventos duplicados.

Usar declaraciones preparadas

Las instrucciones preparadas permiten que el origen del protocolo JDBC configure la instrucción SQL y, a continuación, ejecute la instrucción SQL varias veces con diferentes parámetros. Por motivos de seguridad y rendimiento, la mayoría de las configuraciones de protocolo JDBC pueden utilizar instrucciones preparadas.

Fecha y hora de inicio (opcional)

Seleccione o escriba la fecha y hora de inicio del sondeo de la base de datos. El formato es aaaa-mm-dd HH:mm, donde HH se especifica utilizando un reloj de 24 horas.

Si este parámetro está vacío, el sondeo comienza inmediatamente y se repite en el intervalo de sondeo especificado.

Este parámetro se usa para establecer la hora y la fecha en que el protocolo se conecta a la base de datos de destino para inicializar la recopilación de eventos. Se puede usar junto con el parámetro Intervalo de sondeo para configurar programaciones específicas para los sondeos de la base de datos. Por ejemplo, para asegurarse de que la encuesta ocurra cinco minutos después de la hora, cada hora, o para asegurarse de que la encuesta ocurra exactamente a la 1:00 a.m. todos los días.

Este parámetro no se puede utilizar para recuperar filas de tabla antiguas de la base de datos de destino. Por ejemplo, si establece el parámetro en Última semana, el protocolo no recupera todas las filas de tabla de la semana anterior. El protocolo recupera filas que son más recientes que el valor máximo del campo Comparar en la conexión inicial.

Intervalo de sondeo

Especifique la cantidad de tiempo entre consultas en la tabla de eventos. Para definir un intervalo de sondeo más largo, anexe H para horas o M para minutos al valor numérico

El intervalo máximo de sondeo es de una semana.

Acelerador EPS

El número de eventos por segundo (EPS) que no desea que supere este protocolo. El rango válido es de 100 a 20.000.

Mecanismo de seguridad (solo Db2)

En la lista, seleccione el mecanismo de seguridad soportado por el servidor Db2. Si no desea seleccionar un mecanismo de seguridad, seleccione Ninguno.

El valor predeterminado es Ninguno.

Para obtener más información acerca de los mecanismos de seguridad soportados por entornos Db2, consulte el https://support.juniper.net/support/downloads/.

Usar comunicación de canalización con nombre (solo MSDE)

Si no seleccionó Usar Microsoft JDBC, se mostrará Usar comunicación de canalización con nombre .

Las bases de datos MSDE requieren el campo de nombre de usuario y contraseña para utilizar un nombre de usuario y contraseña de autenticación de Windows y no el nombre de usuario y la contraseña de la base de datos. La configuración del origen de registro debe utilizar la canalización con nombre predeterminada en la base de datos MSDE.

Nombre del clúster de base de datos (sólo MSDE)

Si seleccionó Usar comunicación de canalización con nombre, se mostrará el parámetro Usar comunicación de canalización con nombre .

Si ejecuta SQL Server en un entorno de clúster, defina el nombre del clúster para asegurarse de que la comunicación por canalización con nombre funciona correctamente.

Utilice NTLMv2 (sólo MSDE)

Si no seleccionó Usar Microsoft JDBC, se muestra Usar NTLMv2 .

Seleccione esta opción si desea que las conexiones MSDE utilicen el protocolo NTLMv2 cuando se comunican con servidores SQL Server que requieren autenticación NTLMv2. Esta opción no interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2.

No interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2.

Usar Microsoft JDBC (sólo MSDE)

Si desea utilizar el controlador JDBC de Microsoft, debe habilitar Usar Microsoft JDBC.

Usar SSL (sólo MSDE)

Seleccione esta opción si su conexión admite SSL. Esta opción sólo aparece para MSDE.

Nombre de host del certificado SSL

Este campo es obligatorio cuando están habilitadas Usar Microsoft JDBC y Usar SSL .

Este valor debe ser el nombre de dominio completo (FQDN) del host. La dirección IP no está permitida.

Para obtener más información acerca de los certificados SSL y JDBC, consulte los procedimientos en los siguientes vínculos:

• QRadar: Configuración de JDBC a través de SSL con un certificado autofirmado

• Configuración de JDBC a través de SSL con un certificado firmado externamente

Usar Oracle Encryption

La configuración de cifrado e integridad de datos de Oracle también se conoce como seguridad avanzada de Oracle.

Si se seleccionan, las conexiones JDBC de Oracle requieren que el servidor admita una configuración de Oracle Data Encryption similar a la del cliente.

Configuración regional de la base de datos (sólo Informix)

Para instalaciones multilingües, utilice este campo para especificar el idioma que desea utilizar.

Conjunto de códigos (sólo Informix)

El parámetro Code-Set se muestra después de elegir un idioma para instalaciones multilingües. Utilice este campo para especificar el juego de caracteres que se va a utilizar.

Habilitado

Seleccione esta casilla de verificación para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está seleccionada.

Credibilidad

En la lista, seleccione la Credibilidad del origen del registro. El rango es 0 - 10.

La credibilidad indica la integridad de un evento u ofensa según lo determinado por la calificación de credibilidad de los dispositivos fuente. La credibilidad aumenta si varias fuentes informan del mismo evento. El valor predeterminado es 5.

Recopilador de eventos de destino

Seleccione el recopilador de eventos de destino que desea usar como destino del origen del registro.

Eventos coalescentes

Active la casilla Eventos coalescentes para permitir que el origen del registro se fusione (agrupe) eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos coalescentes de la Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga útil del evento de la tienda

Seleccione la casilla de verificación Almacenar carga de eventos para permitir que el origen del registro almacene información de la carga del evento.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración del protocolo

JDBC - SiteProtector

Tipo de base de datos

En la lista, seleccione MSDE como el tipo de base de datos que se utilizará para el origen del evento.

Nombre de la base de datos

Escriba RealSecureDB como el nombre de la base de datos a la que se puede conectar el protocolo.

IP o nombre de host

La dirección IP o el nombre de host del servidor de base de datos.

Puerto

Número de puerto utilizado por el servidor de base de datos. El puerto de configuración de JDBC SiteProtector debe coincidir con el puerto de escucha de la base de datos. La base de datos debe tener habilitadas las conexiones TCP entrantes. Si define una instancia de base de datos con MSDE como tipo de base de datos, debe dejar el parámetro Port en blanco en la configuración del origen del registro.

Nombre de usuario

Si desea realizar un seguimiento del acceso a una base de datos mediante el protocolo JDBC, puede crear un usuario específico para su sistema JSA .

Dominio de autenticación

Si selecciona MSDE y la base de datos está configurada para Windows, debe definir un dominio de Windows.

Si su red no utiliza ningún dominio, deje este campo en blanco.

Instancia de base de datos

Si selecciona MSDE y tiene varias instancias de SQL Server en un servidor, defina la instancia a la que desea conectarse. Si usa un puerto no estándar en la configuración de la base de datos o si se bloquea el acceso al puerto 1434 para la resolución de la base de datos SQL, debe dejar el parámetro Instancia de base de datos en blanco en la configuración.

Consulta predefinida

La consulta de base de datos predefinida para el origen de registro. Las consultas de base de datos predefinidas solo están disponibles para conexiones de origen de registro especiales.

Nombre de la tabla

SensorData1

Nombre de vista de AVP

SensorDataAVP

Nombre de vista de respuesta

SensorDataResponse

Seleccionar lista

Escriba * para incluir todos los campos de la tabla o vista.

Comparar campo

SensorDataRowID

Usar declaraciones preparadas

Las instrucciones preparadas permiten que el origen del protocolo JDBC configure la instrucción SQL y, a continuación, ejecute la instrucción SQL varias veces con diferentes parámetros. Por motivos de seguridad y rendimiento, utilice instrucciones preparadas. Puede desactivar esta casilla para utilizar un método alternativo de consulta que no utilice instrucciones precompiladas.

Incluir eventos de auditoría

Especifica que se recopilen eventos de auditoría de IBM Proventia Management SiteProtector.

Fecha y hora de inicio

Opcional. Fecha y hora de inicio para cuando el protocolo puede comenzar a sondear la base de datos.

Intervalo de sondeo

Cantidad de tiempo entre consultas y la tabla de eventos. Puede definir un intervalo de sondeo más largo anexando H para horas o M para minutos al valor numérico. Valores numéricos sin sondeo del designador H o M en segundos.

Acelerador EPS

El número de eventos por segundo (EPS) que no desea que supere este protocolo.

Configuración regional de la base de datos

Para instalaciones multilingües, utilice el campo Configuración regional de base de datos para especificar el idioma que se va a utilizar.

Conjunto de códigos de base de datos

Para instalaciones multilingües, utilice el campo Conjunto de códigos para especificar el juego de caracteres que se va a utilizar.

Usar comunicación de canalización con nombre

Si usa la autenticación de Windows, habilite este parámetro para permitir la autenticación en el servidor de AD. Si utiliza la autenticación SQL, deshabilite la comunicación de canalización con nombre.

Nombre del clúster de base de datos

Nombre del clúster para garantizar que las comunicaciones de canalización con nombre funcionen correctamente.

Usar NTLMv2

Fuerza las conexiones MSDE a utilizar el protocolo NTLMv2 con servidores SQL Server que requieren autenticación NTLMv2. La casilla de verificación Usar NTLMv2 no interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2.

Usar SSL

Habilita el cifrado SSL para el protocolo JDBC.

Idioma de origen del registro

Seleccione el idioma de los eventos generados por el origen del registro. El idioma de origen del registro ayuda al sistema a analizar eventos de dispositivos externos o sistemas operativos que pueden crear eventos en varios idiomas.

Tipo de origen de registro

Gerente de redes y seguridad de Juniper Networks

Configuración del protocolo

NSM de Juniper

Configuración del protocolo

Recopilador de registros binarios de seguridad

Ubicación del archivo de plantilla XML

La ruta al archivo XML utilizado para descodificar la secuencia binaria desde la puerta de enlace de servicios de la serie SRX de Juniper o del dispositivo de la serie J de Juniper. De forma predeterminada, el módulo de compatibilidad de dispositivos (DSM) incluye un archivo XML para descodificar la secuencia binaria.

El archivo XML se encuentra en el siguiente directorio: /opt/qradar/conf/security_log.xml.

Configuración del protocolo

Archivo de registro

Seleccione el protocolo que se utilizará al recuperar archivos de registro de un servidor remoto.

• SFTP - Protocolo seguro de transferencia de archivos (predeterminado)

• FTP - Protocolo de transferencia de archivos

• FTPS - Protocolo de transferencia de archivos seguro

• SCP - Protocolo de copia segura

• AWS - Amazon Web Services

El servidor que especifique en el campo IP remota o Nombre de host debe permitir que el subsistema SFTP recupere archivos de registro con SCP o SFTP.

Puerto remoto

Si el host remoto utiliza un número de puerto no estándar, debe ajustar el valor del puerto para recuperar eventos.

Archivo de clave SSH

Si el sistema está configurado para utilizar la autenticación de claves, escriba la clave SSH. Cuando se utiliza un archivo de clave SSH, se ignora el campo Contraseña remota .

La clave SSH debe estar ubicada en el directorio /opt/qradar/conf/keys .

Directorio remoto

Para FTP, si los archivos de registro están en el directorio principal de usuarios remotos, puede dejar el directorio remoto en blanco. Un campo de directorio remoto en blanco admite sistemas en los que está restringido un cambio en el comando del directorio de trabajo (CWD).

Recursivo

Active esta casilla de verificación para permitir que las conexiones FTP o SFTP busquen datos de eventos de forma recursiva en las subcarpetas del directorio remoto. Los datos que se recopilan de las subcarpetas dependen de las coincidencias con la expresión regular del patrón de archivo FTP. La opción Recursiva no está disponible para conexiones SCP.

Patrón de archivo FTP

La expresión regular (regex) que se necesita para identificar los archivos que se van a descargar desde el host remoto.

Modo de transferencia FTP

Para transferencias ASCII a través de FTP, debe seleccionar NONE en el campo Procesador y LINEBYLINE en el campo Generador de eventos .

Las versiones de TLS que se pueden usar con conexiones FTPS. Para utilizar la versión más segura, seleccione la opción TLSv1.2 . Cuando selecciona una opción con varias versiones disponibles, la conexión FTPS negocia la versión más alta disponible tanto para el cliente como para el servidor.

Esta opción solo se puede configurar si seleccionó FTPS en el parámetro Tipo de servicio .

Repetición

El intervalo de tiempo para determinar la frecuencia con la que se examina el directorio remoto en busca de nuevos archivos de registro de eventos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, una recurrencia de 2H escanea el directorio remoto cada 2 horas.

Ejecutar en Guardar

Inicia la importación del archivo de registro inmediatamente después de guardar la configuración del origen del registro. Cuando se selecciona, esta casilla de verificación borra la lista de archivos descargados y procesados anteriormente. Después de la primera importación de archivos, el protocolo Archivo de registro sigue la hora de inicio y la programación de periodicidad definida por el administrador.

Acelerador EPS

El número de eventos por segundo (EPS) que el protocolo no puede superar.

¿Cambiar directorio local?

Cambia el directorio local del recopilador de eventos de destino para almacenar los registros de eventos antes de procesarlos.

Directorio local

El directorio local del recopilador de eventos de destino. El directorio debe existir antes de que el protocolo de archivo de registro intente recuperar eventos.

Codificación de archivos

La codificación de caracteres que utilizan los eventos del archivo de registro.

Separador de carpetas

Carácter que se utiliza para separar carpetas del sistema operativo. La mayoría de las configuraciones pueden usar el valor predeterminado en el campo Separador de carpetas . Este campo está destinado a sistemas operativos que utilizan un carácter diferente para definir carpetas independientes. Por ejemplo, períodos que separan carpetas en sistemas mainframe.

Usar la cadena de conexión del Centro de eventos

Autenticación con un Centro de eventos de Azure mediante una cadena de conexión.

Cadena de conexión del Centro de eventos

Cadena de autorización que proporciona acceso a un Centro de eventos. Por ejemplo

Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>

Grupo de consumidores

Especifica la vista que se utiliza durante la conexión. Cada grupo de consumidores mantiene su propio seguimiento de sesiones. Cualquier conexión que comparta grupos de consumidores e información de conexión comparte información de seguimiento de sesión.

Usar la cadena de conexión de la cuenta de almacenamiento

Se autentica con una cuenta de almacenamiento de Azure mediante una cadena de conexión.

Cadena de conexión de la cuenta de almacenamiento

Cadena de autorización que proporciona acceso a una cuenta de almacenamiento. Por ejemplo

DefaultEndpointsProtocol=https;Account Name=<Stor Account Name>AccountKey=<StorageAccount Key>;EndpointSuffix=core.windows.net

Formatear eventos de Azure Linux en Syslog

Formatea los registros de Azure Linux a un formato syslog de una sola línea similar al registro syslog estándar de los sistemas Linux.

Uso como origen de registro de puerta de enlace

Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico de JSA y para que JSA detecte automáticamente uno o más orígenes de registro.

Al seleccionar esta opción, el patrón de identificador de origen de registro se puede utilizar opcionalmente para definir un identificador de origen de registro personalizado para los eventos que se están procesando.

Patrón de identificador de origen de registro

Cuando se selecciona la opción Usar como origen de registro de puerta de enlace , utilice esta opción para definir un identificador de origen de registro personalizado para los eventos que se procesan. Si el patrón de identificador de origen de registro no está configurado, JSA recibe eventos como orígenes de registro genéricos desconocidos.

El campo Patrón de identificador de origen de registro acepta pares clave-valor, como key=value, para definir el identificador de origen de registro personalizado para los eventos que se están procesando y para que los orígenes de registro se detecten automáticamente cuando corresponda. Key es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. El valor (patrón regex) también admite grupos de captura que se pueden utilizar para personalizar aún más la clave (cadena de formato de identificador).

Se pueden definir varios pares clave-valor escribiendo cada patrón en una nueva línea. Cuando se utilizan varios patrones, se evalúan en orden hasta que se encuentra una coincidencia. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

En los ejemplos siguientes se muestra la funcionalidad del par varios clave-valores:

Patrones VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

Eventos {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Identificador de origen de registro personalizado resultante VPC-ACCEPT-OK

Usar análisis predictivo

Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro de eventos sin ejecutar el regex para cada evento, lo que aumenta la velocidad de análisis.

Habilite el análisis predictivo solo para los tipos de origen de registro que espera que reciban altas tasas de eventos y que requieran un análisis más rápido.

Usar proxy

Cuando se configura un proxy, todo el tráfico del origen de registro viaja a través del proxy para acceder al Centro de eventos de Azure. Después de habilitar este parámetro, configure los campos IP proxy o nombre de host, Puerto proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no necesita autenticación, puede dejar en blanco los campos Nombre de usuario de proxy y Contraseña de proxy .

IP de proxy o nombre de host

La dirección IP o el nombre de host del servidor proxy.

Este parámetro aparece cuando Usar proxy está habilitado.

Puerto proxy

El número de puerto utilizado para comunicarse con el proxy. El valor predeterminado es 8080.

Este parámetro aparece cuando Usar proxy está habilitado.

Nombre de usuario del proxy

El nombre de usuario para acceder al servidor proxy.

Este parámetro aparece cuando Usar proxy está habilitado.

Contraseña de proxy

La contraseña para acceder al servidor proxy.

Este parámetro aparece cuando Usar proxy está habilitado.

Acelerador EPS

El número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

En desuso: nombre del espacio de nombres

Esta opción se muestra si la opción Usar cadena de conexión del Centro de eventos está desactivada.

Nombre del directorio de nivel superior que contiene las entidades del Centro de eventos en la interfaz de usuario de Centros de eventos de Microsoft Azure.

Obsoleto: nombre del centro de eventos

Esta opción se muestra si la opción Usar cadena de conexión del Centro de eventos está desactivada.

Identificador del Centro de eventos al que desea tener acceso. El nombre del Centro de eventos debe coincidir con una de las entidades del Centro de eventos dentro del espacio de nombres.

Obsoleto: nombre de clave SAS

Esta opción se muestra si la opción Usar cadena de conexión del Centro de eventos está desactivada.

El nombre de la firma de acceso compartido (SAS) identifica al publicador del evento.

Obsoleto: clave SAS

Esta opción se muestra si la opción Usar cadena de conexión del Centro de eventos está desactivada.

La clave de firma de acceso compartido (SAS) autentica al publicador del evento.

Obsoleto: nombre de la cuenta de almacenamiento

Esta opción se muestra si la opción Usar cadena de conexión de cuenta de almacenamiento está desactivada.

Nombre de la cuenta de almacenamiento que almacena los datos del Centro de eventos.

El nombre de la cuenta de almacenamiento forma parte del proceso de autenticación necesario para tener acceso a los datos de la cuenta de almacenamiento de Azure.

Obsoleto: clave de cuenta de almacenamiento

Esta opción se muestra si la opción Usar cadena de conexión de cuenta de almacenamiento está desactivada.

Una clave de autorización que se usa para la autenticación de la cuenta de almacenamiento.

La clave de la cuenta de almacenamiento forma parte del proceso de autenticación necesario para tener acceso a los datos de la cuenta de almacenamiento de Azure.

Tipo de origen de registro

Microsoft 365 Defender

Configuración del protocolo

API de REST de SIEM de Microsoft Defender para puntos de conexión

URL del servidor de autorización

La dirección URL del servidor que proporciona la autorización para obtener un token de acceso. El token de acceso se usa como autorización para recopilar eventos de Microsoft 365 Defender.

La dirección URL del servidor de autorización utiliza el formato siguiente:

donde <Tenant_ID> es un UUID.

Recurso

El recurso que se usa para acceder a los eventos de la API SIEM de Microsoft 365 Defender.

ID de cliente

Garantiza que el usuario esté autorizado para obtener un token de acceso.

Secreto de cliente

El valor del secreto de cliente se muestra solo una vez y, a continuación, ya no es visible. Si no tiene acceso al valor Secreto de cliente , póngase en contacto con el administrador de Microsoft Azure para solicitar un nuevo secreto de cliente.

Región

Seleccione las regiones asociadas a la API de SIEM de Microsoft 365 Defender de las que desea recopilar registros.

Otra región

Escriba los nombres de las regiones adicionales asociadas a la API SIEM de Microsoft 365 Defender de la que desea recopilar registros.

Utilice una lista separada por comas; por ejemplo, región1,región2.

Usar puntos de conexión de GCC

Habilite o deshabilite el uso de los puntos finales GCC y GCC High & DOD . Los puntos de conexión GCC y GCC High & DOD son puntos de conexión para los clientes del gobierno de EE. UU.

Para obtener más información, consulte Microsoft Defender for Endpoint para clientes del gobierno de EE. UU.

Tipo GCC

Seleccione GCC o GCC High & DOD.

• GCC: La nube de la comunidad gubernamental de Microsoft

• GCC High & DoD: Cumple con las regulaciones

  del Departamento de Defensa.

Usar proxy

Si se configura un proxy para JSA, todo el tráfico del origen del registro viaja a través del proxy para que JSA pueda acceder a la API de SIEM de Microsoft 365 Defender.

Configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxy y Contraseña de proxy . Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

Repetición

Puede especificar la frecuencia con la que el registro recopila datos. El formato es M/H/D para minutos/horas/días.

El valor predeterminado es 5 M.

Acelerador EPS

El límite superior para el número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Configuración del protocolo

DHCP de Microsoft

Identificador de origen de registro

Escriba un nombre de host único u otro identificador exclusivo del origen del registro.

Dirección del servidor

La dirección IP o el nombre de host del servidor DHCP de Microsoft.

Dominio

Escriba el dominio del servidor DHCP de Microsoft.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para tener acceso al servidor DHCP.

Contraseña

Escriba la contraseña necesaria para tener acceso al servidor DHCP.

Confirmar contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Ruta de carpeta

La ruta de acceso al directorio a los archivos de registro DHCP. El valor predeterminado es /WINDOWS/system32/dhcp/

Patrón de archivo

Expresión regular (regex) que identifica los registros de eventos. Los archivos de registro deben contener una abreviatura de tres caracteres para un día de la semana. Utilice uno de los siguientes patrones de archivo:

Inglés:

• Patrón de archivo IPv4: DhcpSrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• Patrón de archivo IPv6: DhcpV6SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• Patrón de archivo IPv4 e IPv6 mixto: Dhcp.*SrvLog- (?:Sun|Lun|Mar|Mié|Jue|vie|Sábado)\.log.

• Patrón de archivo IPv4 e IPv6 mixto: Dhcp.*SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

Polaco:

• Patrón de archivo IPv4: DhcpSrvLog-(?:Pia|Pon|Sob|Wto|Sro|Csw|Nie) \.log.

• Patrón de archivo IPv6: DhcpV6SrvLog-(?:Pt|Pon|So|Wt|Si|Csw|Nie) \.log.

Recursivo

Seleccione esta opción si desea que el patrón de archivo busque en las subcarpetas.

Versión SMB

La versión de SMB que se va a utilizar:

AUTO: detecta automáticamente a la versión más alta que el cliente y el servidor acuerdan usar.

SMB1: fuerza el uso de SMB1. SMB1 utiliza el jCIFS.jar archivo (Java ARchive).

SMB2: fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3: fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Intervalo de sondeo (en segundos)

Número de segundos entre consultas a los archivos de registro para comprobar si hay datos nuevos. El intervalo mínimo de sondeo es de 10 segundos. El intervalo máximo de sondeo es de 3.600 segundos.

Eventos del acelerador/seg

Número máximo de eventos que el protocolo DHCP puede reenviar por segundo. El valor mínimo es 100 EPS. El valor máximo es de 20.000 EPS.

Codificación de archivos

La codificación de caracteres que utilizan los eventos del archivo de registro.

Habilitado

Cuando esta opción no está habilitada, el origen de registro no recopila eventos y el origen de registro no se cuenta en el límite de licencias.

Credibilidad

La credibilidad es una representación de la integridad o validez de los eventos creados por un origen de registro. El valor de credibilidad que se asigna a un origen de registro puede aumentar o disminuir en función de los eventos entrantes o ajustarse como respuesta a las reglas de eventos creadas por el usuario. La credibilidad de los eventos a partir de fuentes de registro contribuye al cálculo de la magnitud de la ofensa y puede aumentar o disminuir el valor de magnitud de una ofensa.

Recopilador de eventos de destino

Especifica el recopilador de eventos JSA que sondea el origen del registro remoto.

Utilice este parámetro en una implementación distribuida para mejorar el rendimiento del sistema de la consola moviendo la tarea de sondeo a un recopilador de eventos.

Eventos coalescentes

Aumenta el recuento de eventos cuando el mismo evento ocurre varias veces en un corto intervalo de tiempo. Los eventos fusionados proporcionan una manera de ver y determinar la frecuencia con la que se produce un único tipo de evento en la ficha Actividad de registro.

Cuando esta casilla está desactivada, los eventos se ven individualmente y los eventos no se agrupan.

Los orígenes de registro nuevos y detectados automáticamente heredan el valor de esta casilla de verificación de la configuración del sistema de la ficha Admin . Puede utilizar esta casilla para invalidar el comportamiento predeterminado de la configuración del sistema para un origen de registro individual.

Configuración del protocolo

Microsoft Exchange

Identificador de origen de registro

Escriba la dirección IP, el nombre de host o el nombre para identificar el origen del registro.

Dirección del servidor

La dirección IP o el nombre de host del servidor de Microsoft Exchange.

Dominio

Escriba el dominio del servidor de Microsoft Exchange.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para tener acceso al servidor de Microsoft Exchange.

Contraseña

Escriba la contraseña necesaria para tener acceso al servidor de Microsoft Exchange.

Confirmar contraseña

Escriba la contraseña necesaria para tener acceso al servidor de Microsoft Exchange.

Ruta de la carpeta de registro SMTP

La ruta de acceso al directorio para tener acceso a los archivos de registro SMTP.

La ruta de acceso predeterminada del archivo es Archivos de programa/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog

Cuando la ruta de acceso a la carpeta está clara, se deshabilita la recopilación de eventos SMTP.

Ruta de acceso a la carpeta de registro de OWA

La ruta de acceso al directorio para tener acceso a los archivos de registro de OWA.

La ruta de archivo predeterminada es Windows/system32/LogFiles/W3SVC1

Cuando la ruta de acceso a la carpeta está clara, la colección de eventos de OWA se deshabilita.

Ruta de acceso a la carpeta de registro MSGTRK

La ruta de acceso al directorio para tener acceso a los registros de seguimiento de mensajes.

La ruta de acceso predeterminada del archivo es Archivos de programa/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking

El seguimiento de mensajes está disponible en los servidores de Microsoft Exchange 2017 o 2010 que tienen asignada la función de servidor Transporte de concentradores, Buzón de correo o Transporte perimetral.

Usar patrones de archivo personalizados

Active esta casilla para configurar patrones de archivo personalizados. Deje la casilla de verificación desactivada para usar los patrones de archivo predeterminados.

Patrón de archivo MSGTRK

La expresión regular (regex) que se utiliza para identificar y descargar los registros de MSTRK. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es MSGTRK\d+-\d+\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.

Patrón de archivo MSGTRKMD

La expresión regular (regex) que se utiliza para identificar y descargar los registros de MSGTRKMD. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es MSGTRKMD\d+-\d+\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.

Patrón de archivo MSGTRKMS

Expresión regular (regex) que se usa para identificar y descargar los registros de MSGTRKMS. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es MSGTRKMS\d+-\d+\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.

Patrón de archivo MSGTRKMA

La expresión regular (regex) que se utiliza para identificar y descargar los registros MSGTRKMA. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es MSGTRKMA\d+-\d+\.(?:log|

Se procesan todos los archivos que coinciden con el patrón de archivo.

Patrón de archivo SMTP

Expresión regular (regex) que se usa para identificar y descargar los registros SMTP. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es .*\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.

Patrón de archivo OWA

Expresión regular (regex) que se usa para identificar y descargar los registros de OWA. Se procesan todos los archivos que coinciden con el patrón de archivo.

El patrón de archivo predeterminado es .*\.(?:log|LOG)$

Se procesan todos los archivos que coinciden con el patrón de archivo.

Forzar lectura de archivos

Si la casilla está desactivada, el archivo de registro es de sólo lectura cuando JSA detecta un cambio en la hora o el tamaño de archivo modificados.

Recursivo

Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, la casilla de verificación está activada.

Versión SMB

Seleccione la versión de SMB que desea utilizar.

AUTO: detecta automáticamente a la versión más alta que el cliente y el servidor acuerdan usar.

SMB1: fuerza el uso de SMB1. SMB1 utiliza el jCIFS.jar archivo (Java ARchive)

SMB2: fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3 – Fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Intervalo de sondeo (en segundos)

Escriba el intervalo de sondeo, que es el número de segundos entre consultas a los archivos de registro para comprobar si hay datos nuevos. El valor predeterminado es de 10 segundos.

Eventos del acelerador/segundo

El número máximo de eventos que el protocolo Microsoft Exchange puede reenviar por segundo.

Codificación de archivos

La codificación de caracteres que utilizan los eventos del archivo de registro.

Tipo de origen de registro

Un tipo de origen de registro personalizado o un DSM específico que utilice este protocolo.

Configuración del protocolo

API de seguridad de Microsoft Graph

ID de inquilino

El valor de identificador de inquilino que se usa para la autenticación de Microsoft Azure Active Directory.

ID de cliente

El valor del parámetro Client ID de la configuración de la aplicación de Microsoft Azure Active Directory.

Secreto de cliente

El valor del parámetro Secreto de cliente de la configuración de la aplicación de Microsoft Azure Active Directory.

Filtro de eventos

Recuperar eventos mediante el filtro de consulta de la API Security Graph de Microsoft. Por ejemplo, la gravedad eq 'alta'. No escriba "filter=" antes del parámetro filter.

Usar proxy

Si JSA accede a la API de seguridad de Microsoft Graph por proxy, habilite esta casilla de verificación.

Si el proxy requiere autenticación, configure los campos Nombre de host o IP del proxy, Puerto del proxy, Nombre de usuario del proxy y Proxy .

Si el proxy no requiere autenticación, configure los campos Nombre de host del proxy o Puerto IP y Puerto proxy .

IP de proxy o nombre de host

La dirección IP o el nombre de host del servidor proxy.

Si Usar proxy se establece en False, esta opción se oculta.

Puerto proxy

Número de puerto que se utiliza para comunicarse con el proxy. El valor predeterminado es 8080.

Si Usar proxy se establece en False, esta opción se oculta.

Nombre de usuario del proxy

Nombre de usuario que se utiliza para comunicarse con el proxy.

Si Usar proxy se establece en False, esta opción se oculta.

Contraseña de proxy

La contraseña que se utiliza para tener acceso al proxy.

Si Usar proxy se establece en False, esta opción se oculta.

Repetición

Escriba un intervalo de tiempo que comience a la hora de inicio para determinar la frecuencia con la que el sondeo busca datos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H - 2 horas, 15M - 15 minutos. El valor predeterminado es 1M.

Acelerador EPS

El número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Mostrar opciones avanzadas

Para configurar las opciones avanzadas para la recopilación de eventos, establezca esta opción en activado.

Punto de conexión de inicio de sesión

Especifique el punto de conexión de inicio de sesión de Azure AD. El valor predeterminado es login.microsoftonline.com.

Si desactiva Mostrar opciones avanzadas, esta opción queda oculta.

Punto de conexión de la API Graph

Especifique la dirección URL de la API de seguridad de Microsoft Graph. El valor predeterminado es https://graph.microsoft.com.

Si desactiva Mostrar opciones avanzadas, esta opción queda oculta.

Configuración del protocolo

Microsoft IIS

Identificador de origen de registro

Escriba la dirección IP, el nombre de host o un nombre único para identificar el origen del registro.

Dirección del servidor

La dirección IP o el nombre de host del servidor Microsoft IIS.

Dominio

Escriba el dominio para el servidor Microsoft IIS.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para tener acceso al servidor.

Contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Confirmar contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Ruta de acceso a la carpeta de registro

La ruta de acceso al directorio para tener acceso a los archivos de registro. Por ejemplo, los administradores pueden usar el directorio c$/LogFiles/ para un recurso compartido administrativo o el directorio LogFiles/ para una ruta de carpeta de recurso compartido público. Sin embargo, el directorio c:/LogFiles no es una ruta de carpeta de registro compatible.

Si una ruta de acceso a la carpeta de registro contiene un recurso compartido administrativo (C$), los usuarios con acceso NetBIOS en el recurso compartido administrativo (C$) tienen los privilegios necesarios para leer los archivos de registro.

Los privilegios de administrador del sistema local o del dominio también son suficientes para tener acceso a los archivos de registro que se encuentran en un recurso compartido administrativo.

Patrón de archivo

Expresión regular (regex) que identifica los registros de eventos.

Recursivo

Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, la casilla de verificación está activada.

Versión SMB

Seleccione la versión de SMB que desea utilizar.

AUTO: detecta automáticamente a la versión más alta que el cliente y el servidor acuerdan usar.

SMB1: fuerza el uso de SMB1. SMB1 utiliza el jCIFS.jar archivo (Java ARchive).

SMB2: fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3: fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Intervalo de sondeo (en segundos)

Escriba el intervalo de sondeo, que es el número de segundos entre consultas a los archivos de registro para comprobar si hay datos nuevos. El valor predeterminado es de 10 segundos.

Eventos del acelerador/segundo

Número máximo de eventos que el protocolo IIS puede reenviar por segundo.

Codificación de archivos

La codificación de caracteres que utilizan los eventos del archivo de registro.

Configuración del protocolo

Registro de eventos de seguridad de Windows

Nombre del protocolo

MQ JMS

IP o nombre de host

La dirección IP o el nombre de host del gestor de colas principal.

Puerto

El puerto predeterminado que se utiliza para comunicarse con el gestor de colas principal es 1414.

IP en espera o nombre de host

La dirección IP o el nombre de host del gestor de colas en espera.

Puerto en espera

El puerto que se usa para comunicarse con el administrador de colas en espera.

Administrador de colas

Nombre del gestor de colas.

Canal

El canal a través del cual el gestor de colas envía mensajes. El canal predeterminado es SYSTEM. DEF. SVRCONN.

Cola

La cola o lista de colas que se van a supervisar. Se especifica una lista de colas con una lista separada por comas.

Nombre de usuario

El nombre de usuario que se utiliza para autenticarse con el servicio MQ.

Contraseña

Opcional: La contraseña que se utiliza para autenticarse con el servicio MQ.

Codificación de mensajes entrantes

La codificación de caracteres que utilizan los mensajes entrantes.

Campos computacionales de procesos

Opcional: Seleccione esta opción sólo si los mensajes recuperados contienen datos computacionales definidos en un cuaderno COBOL. Los datos binarios de los mensajes se procesan de acuerdo con la definición de campo que se encuentra en el archivo de cuaderno especificado.

Nombre de archivo CopyBook

Este parámetro se muestra cuando se selecciona Campos computacionales de proceso . Nombre del archivo de cuaderno que se va a utilizar para procesar datos. El archivo del cuaderno debe colocarse en /store/ec/mqjms/*

Formateador de eventos

Seleccione el formato de evento que se aplicará a cualquier evento que se genere a partir del procesamiento de datos que contengan campos computacionales. De forma predeterminada, se utiliza Sin formato .

Incluir encabezado de mensaje JMS

Seleccione esta opción para incluir un encabezado en cada evento generado que contenga campos de mensaje JMS, como el JMSMessageID y JMSTimestamp.

Acelerador EPS

El límite para el número máximo de eventos por segundo (EPS).

Identificador de origen de registro

Un nombre único para el origen del registro.

El nombre no puede incluir espacios y debe ser único entre todos los orígenes de registro de este tipo configurados con el protocolo de API de REST de seguimiento de mensajes de Office 365.

Correo electrónico de la cuenta de usuario de Office 365

Para autenticarse con la API de REST de seguimiento de mensajes de Office 365, proporcione una cuenta de correo electrónico de Office 365 con los permisos adecuados.

Contraseña de cuenta de usuario de Office 365

Para autenticarse con la API de REST de seguimiento de mensajes de Office 365, proporcione la contraseña asociada al correo electrónico de la cuenta de usuario de Office 365.

Retraso del evento

El retraso, en segundos, para recopilar datos.

Los registros de seguimiento de mensajes de Office 365 funcionan en un sistema de entrega eventual. Para garantizar que no se pierdan datos, los registros se recopilan con retraso. El retraso predeterminado es de 900 segundos (15 minutos) y se puede establecer tan bajo como 0 segundos.

Usar proxy

Si se accede al servidor mediante un proxy, active la casilla Usar proxy . Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxy y Contraseña de proxy. Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

IP de proxy o nombre de host

La dirección IP o el nombre de host del servidor proxy.

Puerto proxy

Número de puerto que se utiliza para comunicarse con el proxy. El valor predeterminado es 8080.

Nombre de usuario del proxy

Nombre de usuario que se utiliza para tener acceso al servidor proxy cuando el proxy requiere autenticación.

Contraseña de proxy

La contraseña que se utiliza para tener acceso al servidor proxy cuando el proxy requiere autenticación.

Repetición

El intervalo de tiempo entre las consultas de origen de registro a la API de REST de seguimiento de mensajes de Office 365 para nuevos eventos.

El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D). El valor predeterminado es de 5 minutos.

Acelerador EPS

El número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Identificador de origen de registro

Un nombre único para el origen del registro.

El identificador de origen de registro puede tener cualquier valor válido y no necesita hacer referencia a un servidor específico. El identificador de origen de registro puede tener el mismo valor que el nombre del origen de registro. Si tiene más de un origen de registro de Okta configurado, es posible que desee identificar el primer origen de registro como okta1, el segundo origen de registro como okta2, y el tercer origen de registro como okta3.

IP o nombre de host

oktaprise.okta.com

Token de autenticación

Un único token de autenticación generado por la consola de Okta y que debe usarse para todas las transacciones de la API.

Usar proxy

Si JSA accede a Okta mediante un proxy, habilite esta opción.

Cuando se configura un proxy, todo el tráfico del origen del registro viaja a través del proxy para que JSA acceda a Okta.

Si el proxy requiere autenticación, configure los campos Nombre de host, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy . Si el proxy no requiere autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

Nombre de host

Si selecciona Usar proxy, se muestra este parámetro.

Puerto proxy

Si selecciona Usar proxy, se muestra este parámetro.

Nombre de usuario del proxy

Si selecciona Usar proxy, se muestra este parámetro.

Contraseña de proxy

Si selecciona Usar proxy, se muestra este parámetro.

Repetición

Un intervalo de tiempo para determinar con qué frecuencia se realiza el sondeo de datos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15M = 15 minutos, 30 = segundos. El valor predeterminado es 1M.

Acelerador EPS

Número máximo de eventos por segundo que se envían a la canalización de flujo. El valor predeterminado es 5000.

Asegúrese de que el valor del acelerador de EPS sea superior a la velocidad de entrada o que el procesamiento de datos podría quedarse atrás.

Configuración del protocolo

OPSEC/LEA

Identificador de origen de registro

La dirección IP, el nombre de host o cualquier nombre para identificar el dispositivo.

Debe ser único para el tipo de origen de registro.

IP del servidor

Escriba la dirección IP del servidor.

Puerto del servidor

Número de puerto que se utiliza para la comunicación OPSEC. El intervalo válido es 0 - 65.536 y el predeterminado es 18184.

Usar IP de servidor para el origen del registro

Active la casilla Usar IP de servidor para origen de registro si desea usar la dirección IP del servidor LEA en lugar de la dirección IP del dispositivo administrado para un origen de registro. De forma predeterminada, la casilla de verificación está activada.

Intervalo del informe de estadísticas

El intervalo, en segundos, durante el cual se registra el número de eventos syslog en el archivo qradar.log . El intervalo válido es 4 - 2.147.483.648 y el intervalo predeterminado es 600.

Tipo de autenticación

En la lista, seleccione el Tipo de autenticación que desea usar para esta configuración LEA. Las opciones son sslca (predeterminado), sslca_clear o clear. Este valor debe coincidir con el método de autenticación utilizado por el servidor.

Atributo SIC del objeto de aplicación OPSEC (nombre SIC)

El nombre de las comunicaciones internas seguras (SIC) es el nombre distintivo (DN) de la aplicación, por ejemplo: CN=LEA, o=fwconsole. 7PSASX.

Atributo SIC de origen del registro (nombre de entidad SIC)

El nombre SIC del servidor, por ejemplo: cn=cp_mgmt,o=fwconsole.. 7psasxz.

Especificar certificado

Active esta casilla si desea definir un certificado para esta configuración LEA. JSA intenta recuperar el certificado utilizando estos parámetros cuando el certificado es necesario.

Nombre de archivo del certificado

Esta opción sólo aparece si está seleccionada la opción Especificar certificado. Escriba el nombre de archivo del certificado que desea usar para esta configuración. El archivo de certificado debe estar ubicado en el directorio /opt/qradar/conf/ trusted_certificates/lea .

IP de la autoridad de certificación

Escriba la dirección IP del servidor de Check Point Manager.

Extraer contraseña de certificado

Escriba la contraseña.

Aplicación OPSEC

Nombre de la aplicación que realiza la solicitud de certificado.

Habilitado

Active esta casilla para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está activada.

Credibilidad

En la lista, seleccione la Credibilidad del origen del registro. El rango es 0 - 10.

La credibilidad indica la integridad de un evento u ofensa según lo determinado por la calificación de credibilidad de los dispositivos fuente. La credibilidad aumenta si varias fuentes informan del mismo evento. El valor predeterminado es 5.

Recopilador de eventos de destino

En la lista, seleccione el recopilador de eventos de destino que desea utilizar como destino del origen de registro.

Eventos coalescentes

Active la casilla Eventos de fusión para permitir que el origen del registro se fusione (agrupe) eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos coalescentes de la Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga útil del evento de la tienda

Active la casilla Almacenar carga de evento para permitir que el origen del registro almacene información de la carga del evento.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración del protocolo

Escucha de base de datos Oracle

Identificador de origen de registro

Escriba la dirección IP, el nombre de host o un nombre único para identificar el origen del registro.

Dirección del servidor

La dirección IP o el nombre de host del servidor de escucha de base de datos de Oracle.

Dominio

Escriba el dominio para el servidor de Oracle Database Learner.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para tener acceso al servidor.

Contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Confirmar contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Ruta de acceso a la carpeta de registro

Escriba la ruta del directorio para acceder a los archivos de registro de Oracle Database Listener.

Patrón de archivo

Expresión regular (regex) que identifica los registros de eventos.

Forzar lectura de archivos

Active esta casilla para forzar al protocolo a leer el archivo de registro cuando se especifique el momento del intervalo de sondeo.

Cuando se activa la casilla, el origen del archivo de registro siempre se examina cuando se especifica el intervalo de sondeo, independientemente de la hora de la última modificación o del atributo de tamaño de archivo.

Cuando la casilla no está activada, el origen del archivo de registro se examina en el intervalo de sondeo si cambian los atributos de hora o tamaño de archivo de la última modificación.

Recursivo

Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, la casilla de verificación está activada.

Versión SMB

Seleccione la versión de SMB que desea usar:

AUTO: detecta automáticamente a la versión más alta que el cliente y el servidor acuerdan usar.

SMB1: fuerza el uso de SMB1. SMB1 utiliza el jCIFS.jar archivo (Java ARchive).

SMB2: fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3: fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Intervalo de sondeo (en segundos)

Escriba el intervalo de sondeo, que es el número de segundos entre consultas a los archivos de registro para comprobar si hay datos nuevos. El valor predeterminado es de 10 segundos.

Eventos del acelerador/seg

El número máximo de eventos que el protocolo de escucha de base de datos de Oracle reenvía por segundo.

Codificación de archivos

La codificación de caracteres que utilizan los eventos del archivo de registro.

Configuración del protocolo

SDEE

URL

La dirección URL HTTP o HTTPS necesaria para tener acceso al origen del registro, por ejemplo, https://www.mysdeeserver.com/cgi-bin/sdee-server.

Para SDEE/CIDEE (Cisco IDS v5.x y posterior), la URL debe terminar con /cgi-bin/sdee-server. Administradores con RDEP (Cisco IDS v4.x), la URL debe terminar en /cgi-bin/event-server.

Forzar suscripción

Cuando se activa la casilla, el protocolo obliga al servidor a eliminar la conexión menos activa y aceptar una nueva conexión de suscripción SDEE para el origen del registro.

Espera máxima para bloquear eventos

Cuando se realiza una solicitud de recopilación y no hay nuevos eventos disponibles, el protocolo habilita un bloqueo de eventos. El bloqueo impide que se realice otra solicitud de evento a un dispositivo remoto que no haya tenido ningún evento nuevo. Este tiempo de espera está destinado a conservar los recursos del sistema.

Configuración del protocolo

Cola SMB

Identificador de origen de registro

Escriba la dirección IP, el nombre de host o un nombre único para identificar el origen del registro.

Dirección del servidor

La dirección IP o el nombre de host del servidor SMB Tail.

Dominio

Escriba el dominio para su servidor SMB Tail.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para acceder al servidor.

Contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Confirmar contraseña

Confirme la contraseña necesaria para tener acceso al servidor.

Ruta de acceso a la carpeta de registro

La ruta de acceso al directorio para tener acceso a los archivos de registro. Por ejemplo, los administradores pueden usar el directorio c$/LogFiles/ para un recurso compartido administrativo o el directorio LogFiles/ para una ruta de carpeta de recurso compartido público. Sin embargo, el directorio c:/LogFiles no es una ruta de carpeta de registro compatible.

Si una ruta de acceso a la carpeta de registro contiene un recurso compartido administrativo (C$), los usuarios con acceso NetBIOS en el recurso compartido administrativo (C$) tienen los privilegios necesarios para leer los archivos de registro.

Los privilegios de administrador del sistema local o del dominio también son suficientes para tener acceso a los archivos de registro que se encuentran en un recurso compartido administrativo.

Patrón de archivo

Expresión regular (regex) que identifica los registros de eventos.

Versión SMB

Seleccione la versión del bloque de mensajes del servidor (SMB) que desea utilizar.

AUTO: detecta automáticamente a la versión más alta que el cliente y el servidor acuerdan usar.

SMB1: fuerza el uso de SMB1. SMB1 utiliza el jCIFS.jar archivo (Java ARchive).

SMB2: fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3: fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Forzar lectura de archivos

Si la casilla de verificación está desactivada, el archivo de registro se lee solo cuando JSA detecta un cambio en la hora o el tamaño del archivo modificados.

Recursivo

Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, la casilla de verificación está seleccionada.

Intervalo de sondeo (en segundos)

Escriba el intervalo de sondeo, que es el número de segundos entre consultas a los archivos de registro para comprobar si hay datos nuevos. El valor predeterminado es de 10 segundos.

Eventos del acelerador/segundo

Número máximo de eventos que el protocolo SMB Tail reenvía por segundo.

Codificación de archivos

La codificación de caracteres que utilizan los eventos del archivo de registro.

Configuración del protocolo

SNMPv2

Comunidad

Nombre de comunidad SNMP necesario para tener acceso al sistema que contiene eventos SNMP. Por ejemplo, Público.

Incluir OID en la carga del evento

Especifica que la carga de eventos SNMP se construye utilizando pares nombre-valor en lugar del formato de carga de eventos.

Cuando se seleccionan orígenes de registro específicos de la lista Tipos de orígenes de registro , se requieren OID en caso de carga para procesar eventos SNMPv2 o SNMPv3.

Eventos coalescentes

Active esta casilla para permitir que el origen del registro se fusione (agrupe) eventos.

Los eventos coalescentes aumentan el número de eventos cuando el mismo evento ocurre varias veces en un corto intervalo de tiempo. Los eventos fusionados proporcionan a los administradores una forma de ver y determinar la frecuencia con la que se produce un único tipo de evento en la ficha Actividad de registro .

Cuando esta casilla está desactivada, los eventos se muestran individualmente y la información no se agrupa.

Los orígenes de registro nuevos y detectados automáticamente heredan el valor de esta casilla de verificación de la configuración del sistema de la ficha Admin . Los administradores pueden usar esta casilla para invalidar el comportamiento predeterminado de la configuración del sistema para un origen de registro individual.

Carga útil del evento de la tienda

Active esta casilla para permitir que el origen de registro almacene la información de carga de un evento.

Los orígenes de registro nuevos y detectados automáticamente heredan el valor de esta casilla de verificación de la configuración del sistema de la ficha Admin . Los administradores pueden usar esta casilla para invalidar el comportamiento predeterminado de la configuración del sistema para un origen de registro individual.

Configuración del protocolo

SNMPv3

Identificador de origen de registro

Escriba un nombre único para el origen del registro.

Protocolo de autenticación

El algoritmo que desea utilizar para autenticar capturas SNMP3:

• SHA utiliza el algoritmo de hash seguro (SHA) como protocolo de autenticación.

• MD5 utiliza Message Digest 5 (MD5) como protocolo de autenticación.

Contraseña de autenticación

La contraseña para autenticar SNMPv3. Su contraseña de autenticación debe incluir un mínimo de 8 caracteres.

Protocolo de descifrado

Seleccione el algoritmo que desea utilizar para descifrar las capturas SNMPv3.

• DES

• AES128

• AES192

• AES256

Contraseña de descifrado

La contraseña para descifrar las capturas SNMPv3. Su contraseña de descifrado debe incluir un mínimo de 8 caracteres.

Usuario

Nombre de usuario que se utilizó para configurar SNMPv3 en el dispositivo.

Incluir OID en la carga del evento

Especifica que la carga de eventos SNMP se construye mediante pares nombre-valor en lugar del formato de carga de evento estándar. Cuando se seleccionan orígenes de registro específicos de la lista Tipos de orígenes de registro , se requieren OID en caso de carga para procesar eventos SNMPv2 o SNMPv3.

Tipo de origen de registro

Seculert

Configuración del protocolo

API REST de protección de Seculert

Identificador de origen de registro

Escriba la dirección IP o el nombre de host del origen de registro como identificador de eventos de Seculert.

Cada origen de registro adicional que se crea cuando tiene varias instalaciones idealmente incluye un identificador único, como una dirección IP o un nombre de host.

Clave de API

La clave de API que se usa para autenticarse con la API de REST de Seculert Protection. El valor de la clave API se obtiene del portal web de Seclert.

Usar proxy

Cuando se configura un proxy, todo el tráfico del origen del registro viaja a través del proxy de JSA para acceder a la API de REST de Seculert Protection.

Configure los campos IP o nombre de host del proxy, Puerto del proxy, Nombre de usuario del proxy y Contraseña del proxy . Si el proxy no requiere autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

Adquirir automáticamente certificados de servidor

Si selecciona Sí en la lista, JSA descarga el certificado y comienza a confiar en el servidor de destino.

Repetición

Especifique cuándo recopila datos el registro. El formato es M/H/D para minutos/horas/días. El valor predeterminado es 1 M.

Acelerador EPS

El límite superior para el número máximo de eventos por segundo (eps) para los eventos que se reciben de la API.

Habilitado

Active esta casilla para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está activada.

Credibilidad

Seleccione la Credibilidad del origen del registro. El rango es 0 - 10.

La credibilidad indica la integridad de un evento u ofensa según lo determinado por la calificación de credibilidad de los dispositivos fuente. La credibilidad aumenta si varias fuentes informan del mismo evento. El valor predeterminado es 5.

Recopilador de eventos de destino

Seleccione el recopilador de eventos de destino que desea usar como destino del origen del registro.

Eventos coalescentes

Active esta casilla para permitir que el origen del registro se fusione (agrupe) eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos coalescentes de la Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga útil del evento de la tienda

Active esta casilla para permitir que el origen de registro almacene información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración del protocolo

JDBC de Sophos Enterprise Console

Identificador de origen de registro

Escriba un nombre para el origen del registro. El nombre no puede contener espacios y debe ser único entre todos los orígenes de registro del tipo de origen de registro configurado para utilizar el protocolo JDBC.

Si el origen de registro recopila eventos de un único dispositivo que tiene una dirección IP estática o un nombre de host, utilice la dirección IP o el nombre de host del dispositivo como todo o parte del valor Identificador de origen de registro ; por ejemplo, 192.168.1.1 o JDBC192.168.1.1. Si el origen de registro no recopila eventos de un único dispositivo que tenga una dirección IP estática o un nombre de host, puede usar cualquier nombre único para el valor Identificador de origen de registro ; por ejemplo, JDBC1, JDBC2.

Tipo de base de datos

MSDE

Nombre de la base de datos

El nombre de la base de datos debe coincidir con el nombre de la base de datos especificado en el campo Identificador de origen de registro .

Puerto

El puerto predeterminado para MSDE en Sophos Enterprise Console es 1168. El puerto de configuración de JDBC debe coincidir con el puerto de escucha de la base de datos de Sophos para comunicarse con JSA. La base de datos de Sophos debe tener habilitadas las conexiones TCP entrantes.

Si se utiliza una instancia de base de datos con el tipo de base de datos MSDE, debe dejar el parámetro Port en blanco.

Dominio de autenticación

Si su red no utiliza ningún dominio, deje este campo en blanco.

Instancia de base de datos

La instancia de base de datos, si es necesario. Las bases de datos MSDE pueden incluir varias instancias de SQL Server en un servidor.

Cuando se usa un puerto no estándar para la base de datos o los administradores bloquean el acceso al puerto 1434 para la resolución de la base de datos SQL, el parámetro Instancia de base de datos debe estar en blanco.

Nombre de la tabla

vEventsCommonData

Seleccionar lista

*

Comparar campo

InsertedAt

Usar declaraciones preparadas

Las instrucciones preparadas permiten al origen del protocolo configurar la instrucción SQL y, a continuación, ejecutar la instrucción SQL varias veces con diferentes parámetros. Por motivos de seguridad y rendimiento, la mayoría de las configuraciones pueden utilizar instrucciones preparadas. Desactive esta casilla para utilizar un método alternativo de consulta que no utilice instrucciones precompiladas.

Fecha y hora de inicio

Opcional. Fecha y hora de inicio para cuando el protocolo puede comenzar a sondear la base de datos. Si no se define una hora de inicio, el protocolo intenta sondear eventos después de guardar e implementar la configuración del origen de registro.

Intervalo de sondeo

El intervalo de sondeo, que es la cantidad de tiempo entre consultas a la base de datos. Puede definir un intervalo de sondeo más largo anexando H para horas o M para minutos al valor numérico. El intervalo máximo de sondeo es de 1 semana en cualquier formato de tiempo. Valores numéricos sin sondeo del designador H o M en segundos.

Acelerador EPS

El número de eventos por segundo (EPS) que no desea que supere este protocolo.

Usar comunicación de canalización con nombre

Si MSDE está configurado como el tipo de base de datos, los administradores pueden activar esta casilla para utilizar un método alternativo a una conexión de puerto TCP/IP.

Las conexiones de canalización con nombre para bases de datos MSDE requieren el campo nombre de usuario y contraseña para utilizar un nombre de usuario y contraseña de autenticación de Windows y no el nombre de usuario y la contraseña de la base de datos. La configuración del origen de registro debe utilizar la canalización con nombre predeterminada en la base de datos MSDE.

Nombre del clúster de base de datos

Si utiliza SQL Server en un entorno de clúster, defina el nombre del clúster para asegurarse de que las comunicaciones de canalización con nombre funcionan correctamente.

Usar NTLMv2

Fuerza las conexiones MSDE a utilizar el protocolo NTLMv2 con servidores SQL Server que requieren autenticación NTLMv2. El valor predeterminado de la casilla de verificación está activado.

La casilla de verificación Usar NTLMv2 no interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2.

Configuración del protocolo

Redireccionamiento de Syslog

Identificador de origen de registro Regex

Introduzca un regex para analizar el identificador de origen de registro de la carga.

Identificador de origen de registro

Escriba un identificador de origen de registro para usarlo de forma predeterminada. Si el identificador de origen de registro Regex no puede analizar el identificador de origen de registro de una carga determinada mediante el regex que se proporciona, se utiliza el valor predeterminado.

Identificador de origen de registro Cadena de formato Regex

Cadena de formato para combinar grupos de captura desde el Regex del identificador de origen de registro.

Por ejemplo:

1. "$1" usaría el primer grupo de captura.

2. "$1$2" concatenaría los grupos de captura 1 y 2.

3. "$1 TEXTO $2" concatenaría el grupo de captura 1, el literal "TEXTO" y el grupo de captura 2.

La cadena resultante se usa como el nuevo identificador de origen de registro.

Realizar búsqueda DNS en Regex Match

Active la casilla Realizar búsqueda DNS en Regex Match, para habilitar la funcionalidad DNS, que se basa en el identificador de origen de registro Regex y el valor del parámetro.

De forma predeterminada, la casilla no está activada.

Puerto de escucha

Ingrese cualquier puerto no utilizado y configure su origen de registro para enviar eventos a JSA en ese puerto.

Protocolo

En la lista, seleccione TCP o UDP.

El protocolo de redireccionamiento de Syslog admite cualquier número de conexiones syslog UDP, pero restringe las conexiones TCP a 2500. Si la secuencia syslog tiene más de 2500 orígenes de registro, debe especificar un segundo origen de registro y un número de puerto de escucha.

Habilitado

Active esta casilla para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está activada.

Credibilidad

En la lista, seleccione la Credibilidad del origen del registro. El rango es 0 - 10.

La credibilidad indica la integridad de un evento u ofensa según lo determinado por la calificación de credibilidad de los dispositivos fuente. La credibilidad aumenta si varias fuentes informan del mismo evento. El valor predeterminado es 5.

Recopilador de eventos de destino

En la lista, seleccione el recopilador de eventos de destino que desea utilizar como destino del origen de registro.

Eventos coalescentes

Active la casilla Eventos de fusión para permitir que el origen del registro se fusione (agrupe) eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos coalescentes de la Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga de evento entrante

En la lista Carga de eventos entrantes , seleccione el codificador de carga entrante para analizar y almacenar los registros.

Carga útil del evento de la tienda

Active la casilla Almacenar carga de evento para permitir que el origen del registro almacene información de la carga del evento.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración del protocolo

TCP Multiline Syslog

Identificador de origen de registro

Escriba una dirección IP o un nombre de host para identificar el origen del registro. Para usar un nombre en su lugar, seleccione Usar nombre de origen personalizado y rellene los parámetros Source Name Regex y Source Name Formatting String .

Puerto de escucha

El puerto predeterminado es 12468.

Método de agregación

El valor predeterminado es Coincidencia de inicio/fin. Utilice ID-Linked si desea combinar eventos de varias líneas unidos por un identificador común.

Patrón de inicio de evento

Este parámetro está disponible cuando se establece el parámetro Método de agregación en Coincidencia de inicio/fin.

Expresión regular (regex) necesaria para identificar el inicio de una carga de eventos multilínea TCP. Los encabezados de syslog suelen comenzar con una marca de fecha u hora. El protocolo puede crear un evento de una sola línea que se basa únicamente en un patrón de inicio de evento, como una marca de tiempo. Cuando solo hay disponible un patrón de inicio, el protocolo captura toda la información entre cada valor inicial para crear un evento válido.

Patrón de fin de evento

Este parámetro está disponible cuando se establece el parámetro Método de agregación en Coincidencia de inicio/fin.

Esta expresión regular (regex) que se requiere para identificar el final de una carga de eventos multilínea TCP. Si el evento syslog termina con el mismo valor, puede utilizar una expresión regular para determinar el final de un evento. El protocolo puede capturar eventos que se basan únicamente en un patrón de fin de evento. Cuando solo hay disponible un patrón final, el protocolo captura toda la información entre cada valor final para crear un evento válido.

Patrón de ID de mensaje

Este parámetro está disponible cuando se establece el parámetro Aggregation Method en ID-Linked.

Esta expresión regular (regex) necesaria para filtrar los mensajes de carga de eventos. Los mensajes de sucesos multilínea TCP deben contener un valor de identificación común que se repita en cada línea del mensaje de suceso.

Formateador de eventos

Use la opción Multilínea de Windows para eventos multilínea con formato específico para Windows.

Mostrar opciones avanzadas

El valor predeterminado es No. Seleccione Sí si desea personalizar los datos del evento.

Usar nombre de origen personalizado

Este parámetro está disponible cuando se establece Mostrar opciones avanzadas en Sí.

Active la casilla si desea personalizar el nombre de origen con regex.

Nombre de origen Regex

Este parámetro está disponible cuando marca Usar nombre de origen personalizado.

Expresión regular (regex) que captura uno o más valores de cargas de eventos controladas por este protocolo. Estos valores se usan junto con el parámetro Source Name Formatting String para establecer un valor de origen u origen para cada evento. Este valor de origen se usa para enrutar el evento a un origen de registro con un valor de identificador de origen de registro coincidente.

Cadena de formato de nombre de origen

Este parámetro está disponible cuando marca Usar nombre de origen personalizado.

Puede usar una combinación de una o varias de las siguientes entradas para formar un valor de origen para las cargas de eventos que procesa este protocolo:

• Uno o varios grupos de captura del Regex de nombre de origen. Para hacer referencia a un grupo de captura, utilice la notación \x, donde x es el índice de un grupo de captura del nombre de origen Regex.

• La dirección IP de donde se originaron los datos del evento. Para hacer referencia a la IP del paquete, utilice el token $PIP$.

• Caracteres de texto literales. Toda la cadena de formato de nombre de origen puede ser texto proporcionado por el usuario. Por ejemplo, si el Regex del nombre de origen es 'hostname=(.*?)' y desea anexar hostname.com al valor del grupo de captura 1, establezca la cadena de formato de nombre de origen en\1.hostname.com. Si se procesa un evento que contiene hostname=ibm, el valor de origen de la carga del evento se establece en ibm.hostname.com y JSA enruta el evento a un origen de registro con ese identificador de origen de registro.

Uso como origen de registro de puerta de enlace

Este parámetro está disponible cuando se establece Mostrar opciones avanzadas en Sí.

Cuando se selecciona, los eventos que fluyen a través del origen de registro se pueden enrutar a otros orígenes de registro, según el nombre de origen etiquetado en los eventos.

Cuando esta opción no está seleccionada y Usar nombre de origen personalizado no está marcada, los eventos entrantes se etiquetan con un nombre de origen que corresponde al parámetro Identificador de origen de registro.

Aplanar eventos multilínea en una sola línea

Este parámetro está disponible cuando se establece Mostrar opciones avanzadas en Sí.

Muestra un evento en una sola línea o en varias.

Conservar líneas enteras durante la agregación de eventos

Este parámetro está disponible cuando se establece Mostrar opciones avanzadas en Sí.

Si establece el parámetro Aggregation Method en ID-Linked, puede habilitar Retain Entire Lines during Event Aggregation para descartar o mantener la parte de los eventos que precede a Message ID Pattern al concatenar eventos con el mismo patrón de ID.

Plazo

Número de segundos que se deben esperar a que se realicen cargas adicionales coincidentes antes de que el evento se inserte en la canalización de eventos. El valor predeterminado es de 10 segundos.

Habilitado

Active esta casilla para habilitar el origen del registro.

Credibilidad

Seleccione la credibilidad del origen del registro. El rango es 0 - 10.

La credibilidad indica la integridad de un evento u ofensa según lo determinado por la calificación de credibilidad de los dispositivos fuente. La credibilidad aumenta si varias fuentes informan del mismo evento. El valor predeterminado es 5.

Recopilador de eventos de destino

Seleccione el recopilador de eventos de la implementación que debe hospedar el agente de escucha de Syslog multilínea TCP.

Eventos coalescentes

Active esta casilla para permitir que el origen del registro se fusione (agrupe) eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos coalescentes de la Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga útil del evento de la tienda

Active esta casilla para permitir que el origen de registro almacene información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración del protocolo

TLS Syslog

Identificador de origen de registro

Una dirección IP o un nombre de host para identificar el origen del registro.

Puerto de escucha TLS

El puerto de escucha TLS predeterminado es 6514.

Modo de autenticación

El modo que utiliza la conexión TLS para autenticarse. Si selecciona la opción TLS y autenticación de cliente , debe configurar los parámetros del certificado.

Autenticación de certificados de cliente

Seleccione una de las siguientes opciones de la lista:

• Lista de permitidos de CN y verificación del emisor

• Certificado de cliente en disco

Usar lista de permitidos de CN

Habilite este parámetro para usar una lista de permitidos CN.

Lista de permitidos de CN

La lista de permitidos de nombres comunes de certificados de cliente de confianza. Puede introducir texto sin formato o una expresión regular (regex). Para definir varias entradas, introduzca cada una en una línea separada.

Usar la verificación del emisor

Habilite este parámetro para usar la verificación del emisor.

Certificado de emisor raíz/intermedio o clave pública

Introduzca el certificado o la clave pública del emisor raíz/intermedio en formato PEM.

• Introduzca el certificado, empezando por:

  -----COMENZAR CERTIFICADO-----

  y terminando con:

  -----CERTIFICADO FINAL-----

• Introduzca la clave pública empezando por:

  -----COMENZAR CLAVE PÚBLICA-----

  y terminando con:

  -----FINALIZAR CLAVE PÚBLICA-----

Comprobar la revocación del certificado

Comprueba el estado de revocación del certificado con el certificado de cliente. Esta opción requiere conectividad de red con la dirección URL especificada por el campo Puntos de distribución CRL para el certificado de cliente en la extensión X509v3.

Comprobar el uso del certificado

Comprueba el contenido de las extensiones de certificado X509v3 en los campos de extensión Uso de clave y Uso extendido de claves . Para el certificado de cliente entrante, los valores allow de X509v3 Key Usage son digitalSignature y keyAgreement. El valor allow para el uso extendido de claves X509v3 es Autenticación de cliente web TLS.

Esta propiedad está deshabilitada de forma predeterminada.

Ruta de acceso del certificado de cliente

La ruta absoluta al certificado de cliente en el disco. El certificado debe almacenarse en la consola de JSA o en el recopilador de eventos para este origen de registro.

Tipo de certificado de servidor

Tipo de certificado que se va a usar para la autenticación del certificado de servidor y la clave de servidor.

Seleccione una de las siguientes opciones en la lista Tipo de certificado de servidor :

• Certificado generado

• Certificado PEM y clave privada

• Cadena de certificados y contraseña PKCS12

• Elija entre el almacén de certificados JSA

Certificado generado

Esta opción está disponible al configurar el Tipo de certificado.

Si desea utilizar el certificado y la clave predeterminados generados por JSA para el certificado de servidor y la clave de servidor, seleccione esta opción.

El certificado generado se denomina syslog-tls.cert en el directorio /opt/ qradar/conf/trusted_certificates/ del recopilador de eventos de destino al que está asignado el origen del registro.

Certificado único y clave privada

Esta opción está disponible al configurar el Tipo de certificado.

Si desea utilizar un único certificado PEM para el certificado de servidor, seleccione esta opción y, a continuación, configure los siguientes parámetros:

• Ruta de certificado de servidor proporcionada: la ruta absoluta al certificado de servidor.

• Ruta de clave privada proporcionada: la ruta absoluta a la clave privada.

Certificado y contraseña PKCS12

Esta opción está disponible al configurar el Tipo de certificado.

Si desea utilizar un archivo PKCS12 que contenga el certificado de servidor y la clave de servidor, seleccione esta opción y, a continuación, configure los siguientes parámetros:

• Ruta de certificado PKCS12: escriba la ruta de acceso del archivo PKCS12 que contiene el certificado de servidor y la clave de servidor.

• Contraseña PKCS12: escriba la contraseña para acceder al archivo PKCS12.

• Alias de certificado: si hay más de una entrada en el archivo PKCS12, se debe proporcionar un alias para especificar qué entrada usar. Si solo hay un alias en el archivo PKCS12, deje este campo en blanco.

Elija entre el almacén de certificados JSA

Esta opción está disponible al configurar el Tipo de certificado.

Puede utilizar la aplicación Administración de certificados para cargar un certificado desde el almacén de certificados JSA.

La aplicación es compatible con JSA 7.3.3 Fix Pack 6 o posterior, y JSA 7.4.2 o posterior.

Longitud máxima de la carga útil

La longitud máxima de la carga útil (caracteres) que se muestra para el mensaje TLS Syslog.

Número máximo de conexiones

El parámetro Maximum Connections controla cuántas conexiones simultáneas puede aceptar el protocolo TLS Syslog para cada recopilador de eventos.

Para cada recopilador de eventos, hay un límite de 1000 conexiones, incluidos los orígenes de registro habilitados y deshabilitados, en la configuración del origen de registro de TLS Syslog.

Protocolos TLS

El protocolo TLS que va a usar el origen del registro.

Seleccione la opción "TLS 1.2 o posterior".

Usar como origen de registro de puerta de enlace

Envía los eventos recopilados a través del motor de análisis de tráfico de JSA para detectar automáticamente el origen de registro adecuado.

Si no desea definir un identificador de origen de registro personalizado para eventos, desactive la casilla de verificación.

Cuando esta opción no está seleccionada y el patrón de identificador de origen de registro no está configurado, JSA recibe eventos como orígenes de registro genéricos desconocidos.

Patrón de identificador de origen de registro

Use la opción Usar como origen de registro de puerta de enlace para definir un identificador de origen de registro personalizado para los eventos que se están procesando y para que los orígenes de registro se detecten automáticamente cuando corresponda. Si no configura el patrón de identificador de origen de registro, JSA recibe eventos como orígenes de registro genéricos desconocidos.

Utilice pares clave-valor para definir el identificador de origen de registro personalizado. La clave es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. Este valor también admite grupos de captura que se pueden usar para personalizar aún más la clave.

Defina varios pares clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se enumeran. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

Los ejemplos siguientes muestran varias funciones de par clave-valor.

• Patrones - VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2= \s(ACCEPT)\s(OK)

• Eventos - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• Identificador de origen de registro personalizado resultante: VPC-ACCEPT-OK

Habilitar multilínea

Agregue varios mensajes en eventos únicos basados en una coincidencia de inicio/fin o una expresión regular vinculada al ID.

Método de agregación

Este parámetro está disponible cuando la opción Habilitar multilínea está activada.

• Vinculado a ID: procesa registros de eventos que contienen un valor común al principio de cada línea.

• Coincidencia de inicio/fin: agrega eventos basados en una expresión regular inicial o final (regex).

Patrón de inicio de evento

Este parámetro está disponible cuando Habilitar multilínea está activado y el método de agregación está establecido en Coincidencia de inicio/fin.

La expresión regular (regex) es necesaria para identificar el inicio de una carga de eventos multilínea TCP. Los encabezados de syslog suelen comenzar con una marca de fecha u hora. El protocolo puede crear un evento de una sola línea que se basa únicamente en un patrón de inicio de evento, como una marca de tiempo. Cuando solo hay disponible un patrón de inicio, el protocolo captura toda la información entre cada valor inicial para crear un evento válido.

Patrón de fin de evento

Este parámetro está disponible cuando Habilitar multilínea está activado y el método de agregación está establecido en Coincidencia de inicio/fin.

Esta expresión regular (regex) es necesaria para identificar el final de una carga de eventos multilínea TCP. Si el evento syslog termina con el mismo valor, puede utilizar una expresión regular para determinar el final de un evento. El protocolo puede capturar eventos que se basan únicamente en un patrón de fin de evento. Cuando solo hay disponible un patrón final, el protocolo captura toda la información entre cada valor final para crear un evento válido.

Patrón de ID de mensaje

Este parámetro está disponible cuando Habilitar multilínea está activado y el método de agregación se establece en Vinculado a ID.

Esta expresión regular (regex) necesaria para filtrar los mensajes de carga de eventos. Los mensajes de sucesos multilínea TCP deben contener un valor de identificación común que se repita en cada línea del mensaje de suceso.

Plazo

Este parámetro está disponible cuando Habilitar multilínea está activado y el método de agregación se establece en Vinculado a ID.

Número de segundos que se deben esperar a que haya más cargas coincidentes antes de que el evento se inserte en la canalización de eventos. El valor predeterminado es de 10 segundos.

Conservar líneas enteras durante la agregación de eventos

Este parámetro está disponible cuando Habilitar multilínea está activado y el método de agregación se establece en Vinculado a ID.

Si establece el parámetro Aggregation Method en ID-Linked, puede habilitar Retain Entire Lines during Event Aggregation para descartar o mantener la parte de los eventos que precede a Message ID Pattern. Puede habilitar esta función solo cuando concatena eventos con el mismo patrón de identificador.

Aplanar eventos multilínea en una sola línea

Este parámetro está disponible cuando la opción Habilitar multilínea está activada.

Muestra un evento en una sola línea o en varias.

Formateador de eventos

Este parámetro está disponible cuando la opción Habilitar multilínea está activada.

Use la opción Multilínea de Windows para eventos multilínea con formato específico para Windows.

Configuración del protocolo

UDP Multiline Syslog

Puerto de escucha

El número de puerto predeterminado que utiliza JSA para aceptar eventos UDP Multiline Syslog entrantes es 517. Puede utilizar un puerto diferente en el intervalo 1 - 65535.

Para editar una configuración guardada para usar un nuevo número de puerto, siga estos pasos:

1. En el campo Puerto de escucha , escriba el nuevo número de puerto para recibir eventos UDP Multiline Syslog.

2. Haga clic en Guardar.

3. Haga clic en Implementar cambios para que este cambio sea efectivo.

La actualización del puerto se ha completado y la recopilación de eventos comienza en el nuevo número de puerto.

Patrón de ID de mensaje

La expresión regular (regex) necesaria para filtrar los mensajes de carga de eventos. Los mensajes de eventos multilínea UDP deben contener un valor de identificación común que se repita en cada línea del mensaje de evento.

Formateador de eventos

El formateador de eventos que da formato a las cargas entrantes detectadas por el agente de escucha. Seleccione Sin formato para dejar la carga intacta. Seleccione Cisco ACS Multiline para formatear la carga útil en un evento de una sola línea.

En el encabezado syslog de ACS, hay campos total_seg y seg_num. Estos dos campos se utilizan para reorganizar los eventos multilínea de ACS en un evento de una sola línea con el orden correcto cuando se selecciona la opción Cisco ACS Multiline.

Mostrar opciones avanzadas

El valor predeterminado es No. Seleccione Sí si desea configurar opciones avanzadas.

Usar nombre de origen personalizado

Active la casilla si desea personalizar el nombre de origen con regex.

Nombre de origen Regex

Utilice los parámetros Source Name Regex y Source Name Formatting String si desea personalizar la forma en que JSA determina el origen de los eventos procesados por esta configuración de UDP Multiline Syslog.

En Source Name Regex, escriba un regex para capturar uno o más valores de identificación de las cargas de eventos controladas por este protocolo. Estos valores se utilizan con la cadena de formato de nombre de origen para establecer un valor de origen u origen para cada evento. Este valor de origen se usa para enrutar el evento a un origen de registro con un valor de identificador de origen de registro coincidente cuando la opción Usar como origen de registro de puerta de enlace está habilitada.

Cadena de formato de nombre de origen

Puede usar una combinación de una o varias de las siguientes entradas para formar un valor de origen para las cargas de eventos que procesa este protocolo:

• Uno o varios grupos de captura del Regex de nombre de origen. Para hacer referencia a un grupo de captura, utilice la notación \x, donde x es el índice de un grupo de captura del nombre de origen Regex.

• La dirección IP desde la que se originaron los datos del evento. Para hacer referencia a la IP del paquete, utilice el token $PIP$.

• Caracteres de texto literales. Toda la cadena de formato de nombre de origen puede ser texto proporcionado por el usuario.

Por ejemplo, CiscoACS\1\2$PIP$, donde \1\2 significa primer y segundo grupo de captura del valor Regex del nombre de origen y $PIP$ es la IP del paquete.

Usar como origen de registro de puerta de enlace

Si esta casilla está desactivada, los eventos entrantes se envían al origen de registro con el identificador de origen de registro que coincide con la dirección IP desde la que se originaron.

Cuando se marca, este origen de registro sirve como punto de entrada único o puerta de enlace para que los eventos multilínea de muchos orígenes entren en JSA y se procesen de la misma manera, sin necesidad de configurar un origen de registro UDP Multiline Syslog para cada origen. Los eventos con un encabezado syslog compatible con RFC3164 o RFC5424 se identifican como originarios de la IP o el nombre de host en su encabezado, a menos que el parámetro Source Name Formatting String esté en uso, en cuyo caso esa cadena de formato se evalúa para cada evento. Cualquier evento de este tipo se enruta a través de JSA en función de este valor capturado.

Si existen uno o más orígenes de registro con un identificador de origen de registro correspondiente, se les asigna el evento según el orden de análisis configurado. Si no aceptan el evento, o si no existen orígenes de registro con un identificador de origen de registro coincidente, los eventos se analizan para la detección automática.

Aplanar eventos multilínea en una sola línea

Muestra un evento en una sola línea o en varias. Si se activa esta casilla, todos los caracteres de retorno de línea nueva y carro se quitan del evento.

Conserve líneas enteras durante la agregación de eventos

Elija esta opción para descartar o mantener la parte de los eventos que precede a Patrón de identificador de mensaje cuando el protocolo concatena eventos con el mismo patrón de identificador.

Plazo

Número de segundos que se deben esperar a que se realicen cargas adicionales coincidentes antes de que el evento se inserte en la canalización de eventos. El valor predeterminado es de 10 segundos.

Habilitado

Active esta casilla para habilitar el origen del registro.

Credibilidad

Seleccione la credibilidad del origen del registro. El rango es 0 - 10.

La credibilidad indica la integridad de un evento u ofensa según lo determinado por la calificación de credibilidad de los dispositivos fuente. La credibilidad aumenta si varias fuentes informan del mismo evento. El valor predeterminado es 5.

Recopilador de eventos de destino

Seleccione el recopilador de eventos de la implementación que debe hospedar el agente de escucha de Syslog multilínea UDP.

Eventos coalescentes

Active esta casilla para permitir que el origen del registro se fusione (agrupe) eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos coalescentes de la Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga útil del evento de la tienda

Active esta casilla para permitir que el origen de registro almacene información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de Configuración del sistema en JSA. Al crear un origen de registro o editar una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Identificador de origen de registro

El nombre del origen de registro no puede incluir espacios y debe ser único entre todos los orígenes de registro de este tipo configurados con el protocolo VMware vCloud Director.

Configuración del protocolo

VMware vCloud Director

URL de vCloud

La URL configurada en el dispositivo VMware vCloud para acceder a la API de REST. La URL debe coincidir con la dirección configurada como el campo URL base de la API de REST pública de VCD en el servidor de vCloud. Por ejemplo, https:<my.vcloud.server>/api.

Nombre de usuario

El nombre de usuario necesario para acceder de forma remota a vCloud Server. Por ejemplo, console/user@organization.

Si desea configurar una cuenta de solo lectura para usarla con JSA, cree un usuario de vCloud en su organización que tenga el permiso Solo acceso a la consola.

Contraseña

La contraseña necesaria para acceder de forma remota a vCloud Server.

Intervalo de sondeo (en segundos)

La cantidad de tiempo entre las consultas al servidor de vCloud para eventos nuevos.

El intervalo de sondeo predeterminado es de 10 segundos.

Acelerador EPS

El número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Habilitar opciones avanzadas

Active esta opción para configurar más parámetros.

Tamaño de página de API

Si selecciona Habilitar opciones avanzadas, se muestra este parámetro.

Número de registros que se van a devolver por llamada a la API. El máximo es 128.

Habilitar el SDK de vCloud heredado

Si selecciona Habilitar opciones avanzadas, se muestra este parámetro.

Para conectarse a vCloud 5.1 o versiones anteriores, habilite esta opción.

Versión de la API de vCloud

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar vCloud SDK heredado, este parámetro ya no se muestra.

La versión de vCloud que se utiliza en la solicitud de API. Esta versión debe coincidir con una versión compatible con la instalación de vCloud.

Utilice los siguientes ejemplos como ayuda para determinar qué versión es compatible con su instalación de vCloud:

• vCloud API 33.0 (vCloud Director 10.0)

• vCloud API 32.0 (vCloud Director 9.7)

• vCloud API 31.0 (vCloud Director 9.5)

• vCloud API 30.0 (vCloud Director 9.1)

• vCloud API 29.0 (vCloud Director 9.0)

Permitir certificados que no sean de confianza

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar vCloud SDK heredado, este parámetro ya no se muestra.

Cuando se conecte a vCloud 5.1 o posterior, debe habilitar esta opción para permitir certificados autofirmados que no sean de confianza.

El certificado debe descargarse en formato binario codificado PEM o DER y luego colocarse en el directorio con una .cert or .crt extensión de /opt/qradar/conf/ trusted_certificates/ archivo.

Usar proxy

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar vCloud SDK heredado, este parámetro ya no se muestra.

Si se accede al servidor mediante un proxy, active la casilla Usar proxy . Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure el campo IP del proxy o Nombre de host .

IP de proxy o nombre de host

Si selecciona Usar proxy, se muestra este parámetro.

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar vCloud SDK heredado, este parámetro ya no se muestra.

Puerto proxy

Si selecciona Usar proxy, se muestra este parámetro.

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar vCloud SDK heredado, este parámetro ya no se muestra.

Número de puerto que se utiliza para comunicarse con el proxy. El valor predeterminado es 8080.

Nombre de usuario del proxy

Si selecciona Usar proxy, se muestra este parámetro.

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar vCloud SDK heredado, este parámetro ya no se muestra.

Contraseña de proxy

Si selecciona Usar proxy, se muestra este parámetro.

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar vCloud SDK heredado, este parámetro ya no se muestra.