Opciones de configuración de protocolo

Tipo de fuente de registro

Akamai KONA

Configuración de protocolo

Akamai Kona REST API

Host

El valor de Host se proporciona durante el aprovisionamiento de SIEM OPEN API en el Centro de control Luna de Akamai. El host es una dirección URL base única que contiene información sobre los derechos adecuados para consultar los eventos de seguridad. Este parámetro es un campo de contraseña porque parte del valor contiene información secreta del cliente.

Token de cliente

El token de cliente es uno de los dos parámetros de seguridad. Este token se empareja con El secreto de cliente para crear las credenciales de cliente. Este token se puede encontrar después de aprovisionar la API SIEM OPEN de Akamai.

Secreto de cliente

El secreto de cliente es uno de los dos parámetros de seguridad. Este secreto se combina con el token de cliente para crear las credenciales de cliente. Este token se puede encontrar después de aprovisionar la API SIEM OPEN de Akamai.

Token de acceso

El token de acceso es un parámetro de seguridad que se utiliza con las credenciales de cliente para autorizar el acceso de cliente de API para recuperar los eventos de seguridad. Este token se puede encontrar después de aprovisionar la API SIEM OPEN de Akamai.

ID de configuración de seguridad

El ID de configuración de seguridad es el ID de cada configuración de seguridad para la que desea recuperar los eventos de seguridad. Este ID se puede encontrar en la sección Integración de SIEM de su portal Akamai Luna. Puede especificar varios IDs de configuración en una lista separada por comas. Por ejemplo: configID1,configID2.

Usar proxy

Si JSA accede a Amazon Web Service mediante un proxy, habilite Usar proxy.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure los campos IP de proxy o Nombre de host .

Adquirir automáticamente un certificado de servidor

Seleccione Sí para que JSA descargue automáticamente el certificado del servidor y comience a confiar en el servidor de destino.

Repetición

Intervalo de tiempo entre las consultas de origen de registro a la API de SIEM de Akamai para eventos nuevos. El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D). El valor predeterminado es de 1 minuto.

Aceleración de EPS

Número máximo de eventos por segundo. El valor predeterminado es 5000.

Configuración de protocolo

Amazon AWS S3 REST API

Identificador de origen de registro

Escriba un nombre único para el origen del registro.

El identificador de origen de registro puede ser cualquier valor válido y no necesita hacer referencia a un servidor específico. El identificador de origen de registro puede ser el mismo valor que el nombre del origen del registro. Si tiene más de un origen de registro amazon AWS CloudTrail configurado, es posible que desee identificar el primer origen de registro como awscloudtrail1, el segundo origen de registro como awscloudtrail2y el tercer origen de registro como awscloudtrail3.

Método de autenticación

• ID de clave de acceso / clave secreta : autenticación estándar que se puede utilizar desde cualquier lugar.

• Función de IAM de la instancia EC2 : si su host administrado se ejecuta en una instancia AWS EC2, al elegir esta opción se utiliza el rol de IAM de los metadatos de la instancia asignados a la instancia para la autenticación; no se requieren claves. Este método solo funciona para hosts administrados que se ejecutan dentro de un contenedor AWS EC2.

Clave de acceso

El ID de clave de acceso que se generó cuando configuró las credenciales de seguridad para su cuenta de usuario de AWS

Si seleccionó id. / clave secreta de clave de acceso o asumir el rol de IAM, se muestra el parámetro Clave de acceso .

Clave secreta

La clave secreta que se generó cuando configuró las credenciales de seguridad para su cuenta de usuario de AWS.

Si seleccionó id. / clave secreta de clave de acceso o asumir el rol de IAM, se muestra el parámetro Clave secreta .

Asumir un rol de IAM

Habilite esta opción mediante la autenticación con una clave de acceso o un rol de IAM de instancia EC2. Luego, puede asumir temporalmente un rol de IAM para el acceso.

Asuma el ARN de rol

El ARN completo del rol a asumir. Debe comenzar con "arn:" y no puede contener ningún espacio de entrada o de seguimiento, ni espacios dentro del ARN.

Si habilitó Asumir un rol de IAM, se mostrará el parámetro Asumir ARN de función .

Asumir el nombre de la sesión del rol

El nombre de la sesión de la función que se asumirá. El valor predeterminado es QRadarAWSSession. Déjelo como predeterminado si no necesita cambiarlo. Este parámetro solo puede contener caracteres alfanuméricos superiores y minúsculas, guiones bajos o cualquiera de los siguientes caracteres: =,.@-

Si habilitó Asumir un rol de IAM, se mostrará el parámetro Asumir función nombre de sesión .

Formato de evento

AWS Cloud Trail JSON

Firewall de red de AWS

Registros de flujo de AWS VPC

Cisco Umbrella CSB

LÍNEA POR LÍNEA

W3C

Nombre de región

La región en la que se encuentra la cola SQS o el bucket de AWS S3.

Example: us-east-1, eu-west-1, ap-northeast-3

Usar como fuente de registro de puerta de enlace

Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico JSA y para que JSA detecte automáticamente uno o varios orígenes de registro.

Mostrar opciones avanzadas

Seleccione esta opción si desea personalizar los datos del evento.

Patrón de archivo

Esta opción está disponible cuando establece Mostrar opciones avanzadas en Sí.

Escriba un regex para el patrón de archivo que coincida con los archivos que desea extraer; por ejemplo, .*?\.json\.gz

Directorio local

Esta opción está disponible cuando establece Mostrar opciones avanzadas en Sí.

El directorio local del recopilador de eventos de destino. El directorio debe existir antes de que el protocolo de la API de REST de AWS S3 intente recuperar eventos.

URL del punto de conexión S3

Esta opción está disponible cuando establece Mostrar opciones avanzadas en Sí.

La URL del punto de conexión que se utiliza para consultar la API de REST de AWS S3.

Si la URL del punto de conexión es diferente a la predeterminada, escriba la URL del punto de conexión. El valor predeterminado es https:// s3.amazonaws.com

Usar acceso al estilo de ruta S3

Fuerza las solicitudes S3 a usar el acceso al estilo de ruta.

AWS está en desuso de este método. Sin embargo, es posible que sea necesario cuando utilice otras API compatibles con S3.

Usar proxy

Si JSA accede a Amazon Web Service mediante un proxy, habilite Usar proxy.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure el campo IP de proxy o Nombre de host.

Repetición

Con qué frecuencia se realiza una encuesta para buscar nuevos datos.

Si usa el método de recopilación de eventos SQS, las notificaciones de eventos SQS pueden tener un valor mínimo de 10 (segundos). Dado que la encuesta de cola SQS puede realizarse con más frecuencia, se puede usar un valor menor.

Si utiliza el método de recopilación de eventos de prefijo de directorio, Use un prefijo específico tiene un valor mínimo de 60 (segundos) o 1M. Dado que cada solicitud de lista a un bucket de AWS S3 supone un costo para la cuenta propietaria del bucket, un valor de recurrencia más pequeño aumenta el costo.

Escriba un intervalo de tiempo para determinar la frecuencia con la que se analiza el directorio remoto en busca de archivos de registro de eventos nuevos. El valor mínimo es de 1 minuto. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15 M = 15 minutos.

Aceleración de EPS

Número máximo de eventos por segundo que se envían a la canalización de flujo. El valor predeterminado es 5000.

Asegúrese de que el valor del acelerador de EPS sea mayor que la velocidad de entrada o que el procesamiento de datos pueda quedarse atrás.

Método de recopilación de S3

Seleccione Usar un prefijo específico.

Nombre del bucket

Nombre del bucket de AWS S3 en el que se almacenan los archivos de registro.

Prefijo de directorio

La ubicación del directorio raíz en el bucket de AWS S3 desde donde se recuperan los registros de CloudTrail; por ejemplo, AWSLogs/<AccountNumber>/CloudTrial/<RegionName>/

Para extraer archivos del directorio raíz de un bucket, debe usar una barra diagonal (/) en la ruta del archivo de prefijo de directorio .

Método de recopilación de S3

Seleccione Notificaciones de eventos SQS.

URL de cola SQS

La dirección URL completa que comienza con , para la cola SQS que está configurada para recibir notificaciones de eventos ObjectCreated desde S3.

Fabricante

Amazon

Nombre de DSM

Un tipo de origen de registro personalizado

Nombre de archivo RPM

PROTOCOLO DE LA API DE REST de AWS S3

Versiones compatibles

Registros de flujo v5

Protocolo

PROTOCOLO DE LA API DE REST de AWS S3

Formato de evento

IPFIX mediante el uso de fuentes de flujo JSA

Tipos de eventos registrados

Flujos de red

¿Se detecta automáticamente?

No

¿Incluye identidad?

No

¿Incluye propiedades personalizadas?

No

Más información

(https:// docs.aws.amazon.com/vpc/latest/userguide/flowlogs. html)

Configuración de protocolo

Seleccione Amazon Web Services en la lista Configuración de protocolo.

Método de autenticación

• ID de clave de acceso / clave secreta : autenticación estándar que se puede utilizar desde cualquier lugar.

• Función de IAM de la instancia EC2 : si su host administrado de JSA se ejecuta en una instancia AWS EC2, al elegir esta opción se utiliza el rol de IAM desde los metadatos que se asignan a la instancia para la autenticación; no se requieren claves. Este método solo funciona para hosts administrados que se ejecutan dentro de un contenedor AWS EC2.

Clave de acceso

El ID de clave de acceso que se generó cuando configuró las credenciales de seguridad para su cuenta de usuario de AWS.

Si seleccionó id. de clave de acceso / clave secreta, se mostrará el parámetro Clave de acceso .

Clave secreta

La clave secreta que se generó cuando configuró las credenciales de seguridad para su cuenta de usuario de AWS.

Si seleccionó id. de clave de acceso / clave secreta, se mostrará el parámetro Clave de acceso .

Regiones

Active la casilla de verificación para cada región que esté asociada con Amazon Web Service desde la que desea recopilar registros.

Otras regiones

Escriba los nombres de cualquier región adicional que esté asociada con Amazon Web Service desde la que desea recopilar registros. Para recopilar desde varias regiones, utilice una lista separada por comas, como se muestra en el ejemplo siguiente: region1,region2

Servicio de AWS

El nombre de Amazon Web Service. En la lista aws Service , seleccione CloudWatch Logs.

Grupo de registros

El nombre del grupo de registros de Amazon CloudWatch desde el que desea recopilar registros.

Flujo de registro (opcional)

El nombre de la secuencia de registro dentro de un grupo de registros. Si desea recopilar registros de todas las secuencias de registro de un grupo de registros, deje este campo en blanco.

Patrón de filtro (opcional)

Escriba un patrón para filtrar los eventos recopilados. Este patrón no es un filtro regex. Solo se recopilan de CloudWatch Logs los eventos que contienen el valor exacto que especificó. Si escribe ACCEPT como valor de patrón de filtro, solo se recopilan los eventos que contienen la palabra ACCEPT, como se muestra en el ejemplo siguiente.

{LogStreamName: LogStreamTest,Timestamp: 0,
Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Extraer evento original

Para reenviar solo el evento original que se agregó a los registros de CloudWatch a JSA, seleccione esta opción.

Los registros de CloudWatch envuelven los eventos que reciben con metadatos adicionales.

El evento original es el valor de la clave de mensaje que se extrae del registro de CloudWatch. El siguiente ejemplo de evento de registro de CloudWatch muestra el evento original que se extrae del texto en negrita del registro de CloudWatch:

{"owner":"123456789012","subscriptionFilters":
["allEvents"],"logEvents":
[{"id":"35093963143971327215510178578576502306458824699048362100","mes
sage":"{\"eventVersion\":\"1.05\",\"userIdentity\":
{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test
_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role/
CVDevABRoleToBeAssumed/
test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId
\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":
{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\
"arn:aws:iam::123456789012:role/
CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\
"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":
{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54
Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudt
rail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"
apnortheast-
1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":
null,\"responseElements\":null,\"requestID\":\"41e62e80-
b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-
f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipi
entAccountId\":\"123456789012\"}","timestamp":1573667733143}],"message
Type":"DATA_MESSAGE","logGroup":"CloudTrail/
DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}

Usar como fuente de registro de puerta de enlace

Si no desea definir un identificador de origen de registro personalizado para los eventos, asegúrese de que esta casilla de verificación esté desactivada.

Patrón de identificador de origen de registro

Si seleccionó Usar como fuente de registro de puerta de enlace, utilice esta opción para definir un identificador de origen de registro personalizado para los eventos que se están procesando.

Utilice pares clave-valor para definir el identificador de origen de registro personalizado. La clave es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. Este valor también admite grupos de captura que se pueden usar para personalizar aún más la clave.

Defina varios pares clave-valor escribiendo cada patrón en una nueva línea. Se evalúan varios patrones en el orden en que se enumeran. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

En los siguientes ejemplos, se muestran varias funciones de par clave-valor.

• Patrones : VPC=\sREJECT\sFAILURE

  $1=\s(RECHAZAR)\sOK

  VPC-$1-$2=\s(ACCEPT)\s(OK)

• Eventos - {LogStreamName: LogStreamTest,Marca de hora: 0,Mensaje: ACEPTAR, IngestiónTime: 0,EventId: 0}

• Identificador de origen de registro personalizado resultante :

  VPC-ACCEPT-OK

Usar proxy

Si JSA accede a Amazon Web Service mediante un proxy, seleccione esta opción.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy . Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

Adquirir automáticamente certificados de servidor

Seleccione Sí para que JSA descargue automáticamente el certificado del servidor y comience a confiar en el servidor de destino.

Puede usar esta opción para inicializar un origen de registro recién creado y obtener certificados, o para reemplazar certificados vencidos.

Aceleración de EPS

El límite superior para la cantidad máxima de eventos por segundo (EPS). El valor predeterminado es 5000.

Si la opción Usar como fuente de registro de puerta de enlace está seleccionada, este valor es opcional.

Si el valor del parámetro Throttle EPS se deja en blanco, JSA no impone ningún límite de EPS.

Lista de servidores de Bootstrap

El <hostname/ip>:<port> el servidor de arranque (o servidores). Se pueden especificar varios servidores en una lista separada por comas, como en este ejemplo: hostname1:9092,10.1.1.1:9092

Grupo de consumidores

Una cadena o etiqueta únicas que identifica al grupo de consumidores al que pertenece este origen de registro.

Cada registro que se publica en un tema de Kafka se entrega a una instancia de consumidor dentro de cada grupo de consumidores suscriptores. Kafka usa estas etiquetas para equilibrar los registros en todas las instancias de consumidor de un grupo.

Método de suscripción a temas

El método que se utiliza para suscribirse a temas de Kafka. Utilice la opción Lista de temas para especificar una lista específica de temas. Utilice la opción Coincidencia de patrón regex para especificar una expresión regular que coincida con los temas disponibles.

Lista de temas

Una lista de nombres de temas a los que se debe suscribir. La lista debe estar separada por comas; por ejemplo: Topic1,Topic2,Topic3.

Esta opción solo se muestra cuando la lista de temas está seleccionada en la opción Método de suscripción a temas .

Patrón de filtro de temas

Una expresión regular que coincide con los temas a los que desea suscribirse.

Esta opción solo se muestra cuando la coincidencia de patrón Regex está seleccionada en la opción Método de suscripción a tema .

Usar autenticación SASL

Esta opción muestra las opciones de configuración de autenticación SASL.

Cuando se usa sin autenticación de cliente, debe colocar una copia del certificado de servidor en el /opt/qradar/conf/ trusted_certificates/ directorio.

Usar autenticación de cliente

Muestra las opciones de configuración de autenticación del cliente.

/Key Store/Tipo de almacén de confianza

El formato de archivo de archivo para el almacén de claves y el tipo de almacén de confianza. Las siguientes opciones están disponibles para el formato de archivo de archivo:

• JKS

• PKCS12

Nombre de archivo de Trust Store

El nombre del archivo truststore. La truststore debe colocarse en /opt/qradar/conf/trusted_certificates/kafka/.

El archivo contiene el nombre de usuario y la contraseña.

Nombre de archivo de Keystore

El nombre del archivo de almacén de claves. El almacén de claves debe colocarse en /opt/qradar/conf/trusted_certificates/kafka/.

El archivo contiene el nombre de usuario y la contraseña.

Usar como fuente de registro de puerta de enlace

Esta opción permite que los eventos recopilados pasen por el motor de análisis de tráfico JSA y detecten automáticamente los orígenes de registro adecuados.

Patrón de identificador de origen de registro

Define un identificador de origen de registro personalizado para los eventos que se están procesando, si la casilla Usar como fuente de registro de puerta de enlace está activada.

Los pares clave-valor se utilizan para definir el identificador de origen de registro personalizado. La clave es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. Este valor también admite grupos de captura que se pueden usar para personalizar aún más la clave.

Los pares de valor de varias claves se definen escribiendo cada patrón en una nueva línea. Se evalúan varios patrones en el orden en que se enumeran. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

En los siguientes ejemplos, se muestran varias funciones de par clave-valor.

Patrones

1. VPC=\sREJECT\sFAILURE

2. $1=\s(REJECT)\sOK

3. VPC-$1-$2=\s(ACCEPT)\s(OK)

Eventos

1. {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Identificador de origen de registro personalizado resultante

1. VPC-ACCEPT-OK

Reemplazo de la secuencia de caracteres

Reemplaza secuencias de caracteres literales específicas en la carga de eventos a caracteres reales. Hay disponibles una o más de las siguientes opciones:

• Carácter de nueva línea (CR LF) (\r\n)

• Carácter de fuente de línea (\n)

• Carácter de devolución de transporte (\r)

• Carácter de pestaña (\t)

• Carácter de espacio (\s)

Aceleración de EPS

Número máximo de eventos por segundo (EPS). No se aplica ninguna limitación si el campo está vacío.

Nombre de usuario de LA API

El nombre de usuario de LA API que se utiliza para autenticar con el Servicio de seguridad web Blue Coat. El nombre de usuario de la API se configura a través del Portal de Pulso de amenazas de Blue Coat.

Contraseña

La contraseña que se utiliza para autenticar con el Servicio de seguridad web de Blue Coat.

Confirmar contraseña

Confirmación del campo Contraseña .

Usar proxy

Cuando configure un proxy, todo el tráfico del origen del registro viaja a través del proxy para que JSA tenga acceso al servicio de seguridad web de Blue Coat.

Configure los campos IP o nombre de host de proxy, puerto de proxy, nombre de usuario de proxy y contraseña de proxy. Si el proxy no requiere autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

Repetición

Puede especificar cuándo el registro recopila datos. El formato es M/H/D para meses/horas/días. El valor predeterminado es 5 M.

Aceleración de EPS

El límite superior para la cantidad máxima de eventos por segundo (EPS). El valor predeterminado es 5000.

Tipo de fuente de registro

Plataforma de identidad centrify

Configuración de protocolo

Centrify Redrock REST API

Identificador de origen de registro

Un nombre único para el origen del registro.

El identificador de origen de registro puede ser cualquier valor válido y no necesita hacer referencia a un servidor específico. El identificador de origen de registro puede ser el mismo valor que el nombre del origen del registro. Si tiene más de un origen de registro de Centrify Identity Platform configurado, es posible que desee identificar el primer origen de registro como centrify1, el segundo origen de registro como centrify2, y el tercer origen de registro como centrify3.

ID de inquilino

El ID de cliente o inquilino único asignado de Centrify.

URL del inquilino

Url de inquilino generada automáticamente para el ID de inquilino especificado. Por ejemplo, tenantId.my.centrify.com

Nombre de usuario

El nombre de usuario que está asociado con el servicio de nube para Centrify Identity Platform.

Contraseña

La contraseña que está asociada con el nombre de usuario de Centrify Identity Platform.

Filtro de registro de eventos

Seleccione el nivel de registro de los eventos que desea recuperar. La información, las advertencias y los errores son seleccionables. Debe seleccionar al menos un filtro.

Permitir certificados no confiables

Habilite esta opción para permitir certificados autofirmados y no de confianza. No habilite esta opción para inquilinos alojados en SaaS. Sin embargo, si es necesario, puede habilitar esta opción para otras configuraciones de inquilino.

El certificado debe descargarse en formato binario codificado PEM o DER y luego colocarse en el directorio /opt/ qradar/conf/trusted_certificates/ con extensión de archivo .cert o .crt.

Usar proxy

Cuando se configura un proxy, todo el tráfico de la API rest centrify Redrock viaja a través del proxy.

Configure los campos Servidor proxy, puerto proxy, nombre de usuario de proxy y contraseña de proxy . Si el proxy no requiere autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

Aceleración de EPS

Número máximo de eventos por segundo. El valor predeterminado es 5000.

Repetición

El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D). El valor predeterminado es de 5 minutos (5M).

Configuración de protocolo

Cisco Firepower eStreamer

Puerto del servidor

Número de puerto en el que los servicios cisco Firepower eStreamer está configurado para aceptar solicitudes de conexión.

El puerto predeterminado que JSA usa para Cisco Firepower eStreamer es 8302.

Nombre de archivo de Keystore

La ruta del directorio y el nombre de archivo de la clave privada del almacén de claves y el certificado asociado. De forma predeterminada, la secuencia de comandos de importación crea el archivo de almacén de claves en el directorio siguiente: /opt/qradar/conf/estreamer.keystore.

Nombre de archivo de Truststore

La ruta del directorio y el nombre del archivo de los archivos del almacén de confianza. El archivo de almacén de confianza contiene los certificados de confianza del cliente. De forma predeterminada, la secuencia de comandos de importación crea el archivo truststore en el directorio siguiente: /opt/qradar/conf/estreamer.truststore.

Solicitar datos adicionales

Seleccione esta opción para solicitar datos adicionales del Centro de administración de energía de fuego de Cisco; por ejemplo, los datos adicionales incluyen la dirección IP original de un evento.

Dominio

Dominio desde el que se transmiten los eventos.

El valor del campo Dominio debe ser un dominio completo. Esto significa que todos los antepasados del dominio deseado deben enumerarse comenzando por el dominio de nivel superior y terminando por el dominio leaf al que desea solicitar eventos.

Ejemplo:

Global es el dominio de nivel superior, B es un dominio de segundo nivel que es un subdominio de Global, y C es un dominio de tercer nivel y un dominio leaf que es un subdominio de B. Para solicitar eventos de C, escriba el siguiente valor para el parámetro Domain :

Global \ B \ C

Configuración de protocolo

Cisco NSEL

Identificador de origen de registro

Si la red contiene dispositivos conectados a una consola de administración, puede especificar la dirección IP del dispositivo individual que creó el evento. Un identificador único para cada uno, como una dirección IP, impide que las búsquedas de eventos identifiquen la consola de administración como el origen de todos los eventos.

Puerto de recolección

El número de puerto UDP que Cisco ASA utiliza para reenviar eventos NSEL. JSA usa el puerto 2055 para datos de flujo en procesadores de flujo JSA. Debe asignar un puerto UDP diferente en cisco Adaptive Security Appliance para NetFlow.

Configuración de protocolo

VMware de EMC

Identificador de origen de registro

El valor de este parámetro debe coincidir con el parámetro IP de VMware .

VMware IP

La dirección IP del servidor VMWare ESXi. El protocolo VMware anexa la dirección IP de su servidor VMware ESXi con HTTPS antes de que el protocolo solicite datos de evento.

Tipo de credencial de cuenta de servicio

Especifique de dónde vienen las credenciales de cuenta de servicio requeridas.

Asegúrese de que la cuenta de servicio asociada tiene el rol pub/sub suscriptor o el permiso pubsub.subscriptions.consume más específico en el nombre de suscripción configurado en GCP.

Clave administrada por el usuario

Se proporciona en el campo Clave de cuenta de servicio ingresando el texto JSON completo desde una clave de cuenta de servicio descargada.

Clave administrada de GCP

Asegúrese de que el host administrado de JSA se ejecuta en una instancia de computación de GCP y que los ámbitos de acceso de la API de nube incluyen Cloud Pub/Sub.

Nombre de suscripción

Nombre completo de la suscripción a Cloud Pub/Sub. Por ejemplo, proyectos/mi-proyecto/suscripciones/mi-suscripción.

Usar como fuente de registro de puerta de enlace

Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico JSA y para que JSA detecte automáticamente uno o varios orígenes de registro.

Cuando seleccione esta opción, el patrón de identificador de origen de registro se puede usar opcionalmente para definir un identificador de origen de registro personalizado para los eventos que se procesan.

Patrón de identificador de origen de registro

Cuando está seleccionada la opción Usar como fuente de registro de puerta de enlace , utilice esta opción para definir un identificador de origen de registro personalizado para los eventos que se procesan. Si el patrón de identificador de origen de registro no está configurado, JSA recibe eventos como orígenes de registro genéricos desconocidos.

El campo Patrón de identificador de origen de registro acepta pares clave-valor, como key=value, para definir el identificador de origen de registro personalizado para los eventos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando corresponda. La clave es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. El valor (patrón regex) también admite grupos de captura que se pueden utilizar para personalizar aún más la clave (cadena de formato de identificador).

Se pueden definir varios pares clave-valor escribiendo cada patrón en una nueva línea. Cuando se utilizan varios patrones, se evalúan hasta que se encuentre una coincidencia. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

Los siguientes ejemplos muestran la funcionalidad de par clave-valor múltiple:

Patrones

VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

Eventos

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Identificador de origen de registro personalizado resultante

VPC-ACCEPT-OK

Usar proxy

Seleccione esta opción para que JSA se conecte al GCP mediante un proxy.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

IP de proxy o nombre de host

El ip o nombre de host del servidor proxy.

Puerto proxy

Número de puerto que se utiliza para comunicarse con el servidor proxy.

El valor predeterminado es 8080.

Nombre de usuario de proxy

Obligatorio solo cuando el proxy requiere autenticación.

Contraseña de proxy

Obligatorio solo cuando el proxy requiere autenticación.

Aceleración de EPS

El límite superior para la cantidad máxima de eventos por segundo (EPS) que este origen de registro no debe superar. El valor predeterminado es 5000.

Si la opción Usar como fuente de registro de puerta de enlace está seleccionada, este valor es opcional.

Si el valor del parámetro Throttle EPS se deja en blanco, JSA no impone ningún límite de EPS.

Identificador de origen de registro

Escriba un nombre único para el origen del registro.

El identificador de origen de registro puede ser cualquier valor válido y no necesita hacer referencia a un servidor específico. El identificador de origen de registro puede ser el mismo valor que el nombre del origen del registro. Si tiene más de un origen de registro de Google G Suite configurado, es posible que desee crear identificadores únicos. Por ejemplo, puede identificar el primer origen de registro como googlegsuite1, el segundo origen de registro como googlegsuite2y el tercer origen de registro como googlegsuite3.

Cuenta de usuario

Cuenta de usuario de Google, que tiene privilegios de informes.

Credenciales de cuenta de servicio

Autoriza el acceso a las API de Google para recuperar los eventos. Las credenciales de cuenta de servicio están contenidas en un archivo formateado JSON que descarga al crear una nueva cuenta de servicio en Google Cloud Platform.

Usar proxy

Si JSA accede a Google G Suite mediante un proxy, active esta opción.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

Repetición

Intervalo de tiempo entre las consultas de origen del registro a la API de informes de actividad de Google G Suite para eventos nuevos. El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D).

El valor predeterminado es de 5 minutos.

Aceleración de EPS

Número máximo de eventos por segundo.

Retraso del evento

El retraso, en segundos, para recopilar datos.

Los registros de Google G Suite funcionan en un eventual sistema de entrega. Para garantizar que no se pierdan datos, los registros se recopilan con retraso.

El retraso predeterminado es de 7200 segundos (2 horas) y se puede establecer de tan solo 0 segundos.

Configuración de protocolo

En la lista, seleccione Receptor HTTP.

Identificador de origen de registro

La dirección IP, el nombre de host o cualquier nombre para identificar el dispositivo.

Debe ser único para el tipo de origen del registro.

Tipo de comunicación

Seleccione HTTP o HTTP o HTTP y autenticación de cliente.

Ruta de certificado de cliente

Si selecciona HTTP y Autenticación de cliente como tipo de comunicación, debe establecer la ruta absoluta al certificado de cliente. Debe copiar el certificado de cliente a la consola de JSA o al recopilador de eventos para el origen del registro.

Versión TLS

Las versiones de TLS que se pueden usar con este protocolo. Para usar la versión más segura, seleccione la opción TLSv1.2 .

Cuando selecciona una opción con varias versiones disponibles, la conexión HTTPS negocia la versión más alta disponible tanto para el cliente como para el servidor.

Puerto de escucha

El puerto que usa JSA para aceptar eventos de receptor HTTP entrantes. El puerto predeterminado es 12469.

Patrón de mensaje

De forma predeterminada, el HTTP POST completo se procesa como un evento único. Para dividir el POST en varios eventos de una sola línea, proporcione una expresión regular para indicar el inicio de cada evento.

Usar como fuente de registro de puerta de enlace

Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico JSA y para que JSA detecte automáticamente uno o varios orígenes de registro.

Longitud máxima de carga (byte)

El tamaño máximo de carga de un solo evento en bytes. El evento se divide cuando su tamaño de carga supera este valor.

El valor predeterminado es 8192 y no debe ser mayor que 32767.

Longitud máxima de solicitud del método POST (MB)

El tamaño máximo de un cuerpo de solicitud de método POST en MB. Si un tamaño de cuerpo de solicitud POST supera este valor, se devuelve un código de estado HTTP 413.

El valor predeterminado es 5 y no debe ser mayor que 10.

Aceleración de EPS

La cantidad máxima de eventos por segundo (EPS) que no desea que este protocolo supere. El valor predeterminado es 5000.

Nombre del origen del registro

Escriba un nombre único para el origen del registro.

Descripción del origen del registro (opcional)

Escriba una descripción para el origen del registro.

Tipo de fuente de registro

Seleccione el módulo de soporte de dispositivos (DSM) que usa el protocolo JDBC de la lista Tipo de origen de registro .

Configuración de protocolo

JDBC

Identificador de origen de registro

Escriba un nombre para el origen del registro. El nombre no puede contener espacios y debe ser único entre todos los orígenes de registro del tipo de origen de registro que está configurado para usar el protocolo JDBC.

Si el origen del registro recopila eventos de un único dispositivo que tiene una dirección IP estática o nombre de host, utilice la dirección IP o el nombre de host del dispositivo como todo o parte del valor del identificador de origen de registro ; por ejemplo, 192.168.1.1 o JDBC192.168.1.1. Si el origen del registro no recopila eventos de un solo dispositivo que tenga una dirección IP estática o nombre de host, puede usar cualquier nombre único para el valor del identificador de origen de registro; por ejemplo, JDBC1, JDBC2.

Tipo de base de datos

Seleccione el tipo de base de datos que contiene los eventos.

Nombre de la base de datos

El nombre de la base de datos a la que desea conectarse.

IP o nombre de host

La dirección IP o el nombre de host del servidor de base de datos.

Puerto

Ingrese el puerto JDBC. El puerto JDBC debe coincidir con el puerto de escucha que está configurado en la base de datos remota. La base de datos debe permitir conexiones TCP entrantes. La base de datos debe permitir conexiones TCP entrantes. El rango válido es 1 - 65535.

Los valores predeterminados son:

• MSDE - 1433

• - 5432

• MySQL - 3306

• Sybase - 5000

• Oracle: 1521

• Informix - 9088

• Db2 - 50000

Si se utiliza una instancia de base de datos con el tipo de base de datos MSDE, los administradores deben dejar el parámetro Port en blanco en la configuración del origen del registro.

Nombre de usuario

Una cuenta de usuario para JSA en la base de datos.

Contraseña

La contraseña necesaria para conectarse a la base de datos.

Confirmar contraseña

La contraseña necesaria para conectarse a la base de datos.

Dominio de autenticación (solo MSDE)

Si no seleccionó Usar Microsoft JDBC, dominio de autenticación se mostrará.

El dominio para MSDE que es un dominio de Windows. Si la red no usa un dominio, deje este campo en blanco.

Instancia de base de datos (solo MSDE o Informix)

La instancia de la base de datos, si es necesario. Las bases de datos MSDE pueden incluir varias instancias de SQL Server en un servidor.

Cuando se utiliza un puerto no estándar para la base de datos o se bloquea el acceso al puerto 1434 para la resolución de base de datos SQL, el parámetro Instancia de base de datos debe estar en blanco en la configuración del origen del registro.

Consulta predefinida (opcional)

Seleccione una consulta de base de datos predefinida para el origen del registro. Si una consulta predefinida no está disponible para el tipo de origen del registro, los administradores pueden seleccionar ninguna.

Nombre de la tabla

Nombre de la tabla o vista que incluye los registros de eventos. El nombre de la tabla puede incluir los siguientes caracteres especiales: signo de dólar ($), signo de número (#), guión (_), guión (-) y punto (.).

Seleccionar lista

La lista de campos que se incluyen cuando se sondean eventos en la tabla. Puede usar una lista separada por comas o escribir un asterisco (*) para seleccionar todos los campos de la tabla o vista. Si se define una lista separada por comas, la lista debe contener el campo que se define en el Campo de comparación.

Comparar el campo

Un valor numérico o campo de marca de hora de la tabla o vista que identifica los nuevos eventos que se agregan a la tabla entre consultas. Permite que el protocolo identifique eventos que fueron sondados anteriormente por el protocolo para asegurarse de que no se crean eventos duplicados.

Usar instrucciones preparadas

Las instrucciones preparadas permiten que el origen del protocolo JDBC configure la instrucción SQL y, luego, ejecute la instrucción SQL varias veces con diferentes parámetros. Por razones de seguridad y rendimiento, la mayoría de las configuraciones de protocolo JDBC pueden usar instrucciones preparadas.

Fecha y hora de inicio (opcional)

Seleccione o ingrese la fecha y hora de inicio para la encuesta de base de datos. El formato es aaaa-mm-dd HH:mm, donde HH se especifica mediante un reloj de 24 horas.

Si este parámetro está vacío, el sondeo comienza inmediatamente y se repite en el intervalo de sondeo especificado.

Este parámetro se utiliza para establecer la hora y la fecha en que el protocolo se conecta a la base de datos de destino para inicializar la recopilación de eventos. Se puede usar junto con el intervalo de sondeo para configurar programaciones específicas para las encuestas de base de datos. Por ejemplo, para asegurarse de que la encuesta se realiza a los cinco minutos de la hora, cada hora, o para asegurarse de que la encuesta se realiza exactamente a la 1:00 a. m. cada día.

Este parámetro no se puede usar para recuperar filas de tabla anteriores de la base de datos de destino. Por ejemplo, si establece el parámetro en Last Week, el protocolo no recupera todas las filas de tabla de la semana anterior. El protocolo recupera las filas que son más recientes que el valor máximo del campo de comparación en la conexión inicial.

Intervalo de sondeo

Escriba la cantidad de tiempo entre las consultas a la tabla de eventos. Para definir un intervalo de sondeo más largo, anexe H durante horas o M durante minutos al valor numérico

El intervalo máximo de sondeo es de una semana.

Aceleración de EPS

Número de eventos por segundo (EPS) que no desea que supere este protocolo. El rango válido es de 100 a 20 000.

Mecanismo de seguridad (solo Db2)

En la lista, seleccione el mecanismo de seguridad compatible con su servidor Db2. Si no desea seleccionar un mecanismo de seguridad, seleccione Ninguno.

El valor predeterminado es Ninguno.

Para obtener más información acerca de los mecanismos de seguridad compatibles con entornos de Db2, consulte la https://support.juniper.net/support/downloads/.

Usar comunicación de canalización denominada (solo MSDE)

Si no seleccionó Usar Microsoft JDBC, se mostrará Usar comunicación de canalización con nombre.

Las bases de datos de MSDE requieren el nombre de usuario y el campo de contraseña para usar un nombre de usuario y contraseña de autenticación de Windows, y no el nombre de usuario y contraseña de la base de datos. La configuración del origen del registro debe usar la canalización predeterminada denominada en la base de datos MSDE.

Nombre del clúster de base de datos (solo MSDE)

Si seleccionó Usar comunicación de canal con nombre, se mostrará el parámetro Usar comunicación de canalización con nombre.

Si está ejecutando el servidor SQL Server en un entorno de clúster, defina el nombre del clúster para garantizar que funcione correctamente las funciones de comunicación de canalización con nombre.

Usar NTLMv2 (solo MSDE)

Si no seleccionó Usar Microsoft JDBC, se mostrará Usar NTLMv2 .

Seleccione esta opción si desea que las conexiones MSDE usen el protocolo NTLMv2 cuando se comuniquen con servidores SQL que requieren autenticación NTLMv2. Esta opción no interrumpe las comunicaciones de las conexiones MSDE que no requieren autenticación NTLMv2.

No interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2.

Usar Microsoft JDBC (solo MSDE)

Si desea usar el controlador de Microsoft JDBC, debe habilitar Usar Microsoft JDBC.

Usar SSL (solo MSDE)

Seleccione esta opción si su conexión admite SSL. Esta opción aparece solo para MSDE.

Certificado SSL Nombre de host

Este campo es obligatorio cuando se habilita Usar Microsoft JDBC y Usar SSL .

Este valor debe ser el nombre de dominio completo (FQDN) del host. No se permite la dirección IP.

Para obtener más información acerca de los certificados SSL y JDBC, consulte los procedimientos en los siguientes vínculos:

• QRadar: Configurar JDBC mediante SSL con un certificado autofirmado

• Configuración de JDBC mediante SSL con un certificado firmado externamente

Usar Oracle Encryption

La configuración de Cifrado e integridad de datos de Oracle también se conoce como Oracle Advanced Security.

Si está seleccionada, las conexiones de Oracle JDBC requieren que el servidor admita configuraciones similares de Oracle Data Encryption como el cliente.

Configuración regional de base de datos (solo Informix)

En el caso de las instalaciones multilingües, utilice este campo para especificar el idioma que se va a usar.

Conjunto de códigos (solo Informix)

El parámetro Code-Set se muestra después de elegir un idioma para instalaciones multilingües. Utilice este campo para especificar el conjunto de caracteres que se va a usar.

Habilitado

Active esta casilla de verificación para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está activada.

Credibilidad

En la lista, seleccione credibilidad del origen del registro. El rango es de 0 a 10.

La credibilidad indica la integridad de un evento o delito determinado por la calificación de credibilidad de los dispositivos de origen. La credibilidad aumenta si varias fuentes informan sobre el mismo evento. El valor predeterminado es 5.

Recolector de eventos de destino

Seleccione el recopilador de eventos de destino para usar como destino para el origen del registro.

Eventos de unección

Active la casilla Eventos de agrupación para habilitar el origen del registro para agrupar eventos (agrupación).

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos de coalescing de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga de eventos de la tienda

Active la casilla Carga de eventos de almacenamiento para habilitar el origen del registro para almacenar la información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración de protocolo

JDBC: SiteProtector

Tipo de base de datos

En la lista, seleccione MSDE como el tipo de base de datos que se utilizará para el origen del evento.

Nombre de la base de datos

Escriba RealSecureDB como el nombre de la base de datos a la que puede conectarse el protocolo.

IP o nombre de host

La dirección IP o el nombre de host del servidor de base de datos.

Puerto

Número de puerto que usa el servidor de base de datos. El puerto de configuración JDBC SiteProtector debe coincidir con el puerto de escucha de la base de datos. La base de datos debe tener habilitadas las conexiones TCP entrantes. Si define una instancia de base de datos con MSDE como tipo de base de datos, debe dejar el parámetro Port en blanco en la configuración de origen del registro.

Nombre de usuario

Si desea realizar un seguimiento del acceso a una base de datos mediante el protocolo JDBC, puede crear un usuario específico para su sistema JSA .

Dominio de autenticación

Si selecciona MSDE y la base de datos está configurada para Windows, debe definir un dominio de Windows.

Si la red no usa un dominio, deje este campo en blanco.

Instancia de base de datos

Si selecciona MSDE y tiene varias instancias de SQL Server en un servidor, defina la instancia a la que desea conectarse. Si usa un puerto no estándar en la configuración de la base de datos o si el acceso se bloquea al puerto 1434 para la resolución de base de datos SQL, debe dejar el parámetro Instancia de base de datos en blanco en su configuración.

Consulta predefinida

La consulta de base de datos predefinida para el origen del registro. Las consultas de base de datos predefinidas solo están disponibles para conexiones de origen de registro especiales.

Nombre de la tabla

SensorData1

Nombre de la vista de AVP

SensorDataAVP

Nombre de la vista de respuesta

SensorDataResponse

Seleccionar lista

Escriba * para incluir todos los campos de la tabla o vista.

Comparar el campo

SensorDataRowID

Usar instrucciones preparadas

Las instrucciones preparadas permiten que el origen del protocolo JDBC configure la instrucción SQL y, luego, ejecute la instrucción SQL varias veces con diferentes parámetros. Por motivos de seguridad y rendimiento, utilice instrucciones preparadas. Puede desactivar esta casilla de verificación para usar un método alternativo de consulta que no use instrucciones precompiladas.

Incluir eventos de auditoría

Especifica para recopilar eventos de auditoría desde IBM Proventia Management SiteProtector.

Fecha y hora de inicio

Opcional. Fecha y hora de inicio para cuando el protocolo puede comenzar a sondear la base de datos.

Intervalo de sondeo

La cantidad de tiempo entre las consultas a la tabla de eventos. Puede definir un intervalo de sondeo más largo anexando H durante horas o M durante minutos al valor numérico. Valores numéricos sin sondeo de designador H o M en segundos.

Aceleración de EPS

Número de eventos por segundo (EPS) que no desea que supere este protocolo.

Configuración regional de base de datos

Para instalaciones multilingües, utilice el campo configuración regional de base de datos para especificar el idioma que se utilizará.

Conjunto de códigos de base de datos

Para instalaciones multilingües, utilice el campo Codeset para especificar el conjunto de caracteres que se utilizará.

Usar comunicación de canal denominada

Si usa la autenticación de Windows, habilite este parámetro para permitir la autenticación en el servidor de AD. Si usa autenticación de SQL, desactive la comunicación de canalización denominada.

Nombre del clúster de la base de datos

El nombre del clúster para garantizar que las comunicaciones de canalización con nombre funcionen correctamente.

Usar NTLMv2

Fuerza las conexiones MSDE a usar el protocolo NTLMv2 con servidores SQL que requieren autenticación NTLMv2. La casilla usar NTLMv2 no interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2.

Usar SSL

Habilita el cifrado SSL para el protocolo JDBC.

Idioma de origen del registro

Seleccione el idioma de los eventos generados por el origen del registro. El idioma de origen del registro ayuda al sistema a analizar eventos de dispositivos o sistemas operativos externos que pueden crear eventos en varios idiomas.

Tipo de fuente de registro

Gerente de red y seguridad de Juniper Networks

Configuración de protocolo

NSM de Juniper

Configuración de protocolo

Recolector de registros binarios de seguridad

Ubicación del archivo de plantilla XML

La ruta al archivo XML utilizado para descodificar el flujo binario desde la puerta de enlace de servicios de la serie SRX de Juniper o el dispositivo de la serie J de Juniper. De forma predeterminada, el módulo de soporte de dispositivos (DSM) incluye un archivo XML para decodificar la secuencia binario.

El archivo XML se encuentra en el directorio siguiente: /opt/qradar/conf/security_log.xml.

Configuración de protocolo

Archivo de registro

Seleccione el protocolo que se utilizará al recuperar archivos de registro desde un servidor remoto.

• SFTP- Protocolo de transferencia segura de archivos (predeterminado)

• FTP: protocolo de transferencia de archivos

• FTPS: protocolo de transferencia de archivos seguro

• SCP - Protocolo de copia segura

• AWS: Amazon Web Services

El servidor que especifique en el campo IP remota o Nombre de host debe habilitar el subsistema SFTP para recuperar archivos de registro con SCP o SFTP.

Puerto remoto

Si el host remoto usa un número de puerto no estándar, debe ajustar el valor de puerto para recuperar eventos.

Archivo de clave SSH

Si el sistema está configurado para usar autenticación de clave, escriba la clave SSH. Cuando se utiliza un archivo de clave SSH, se omite el campo Contraseña remota .

La clave SSH debe estar ubicada en el directorio /opt/qradar/conf/keys .

Directorio remoto

En el caso de FTP, si los archivos de registro se encuentran en el directorio principal de usuarios remotos, puede dejar el directorio remoto en blanco. Un campo de directorio remoto en blanco admite sistemas en los que un cambio en el comando del directorio de trabajo (CWD) está restringido.

Recursiva

Habilite esta casilla de verificación para permitir que las conexiones FTP o SFTP busquen de forma recursiva los datos de eventos en subcarpetas del directorio remoto. Los datos que se recopilan de las subcarpetas dependen de las coincidencias con la expresión regular en el patrón de archivo FTP. La opción recursiva no está disponible para conexiones SCP.

Patrón de archivo FTP

La expresión regular (regex) que se necesita para identificar los archivos que se descargarán desde el host remoto.

Modo de transferencia FTP

Para transferencias ASCII a través de FTP, debe seleccionar NONE en el campo Procesador y LINEBYLINE en el campo Generador de eventos.

Las versiones de TLS que se pueden usar con conexiones FTPS. Para usar la versión más segura, seleccione la opción TLSv1.2 . Cuando selecciona una opción con varias versiones disponibles, la conexión FTPS negocia la versión más alta disponible tanto para el cliente como para el servidor.

Esta opción solo se puede configurar si seleccionó FTPS en el parámetro Service Type .

Repetición

Intervalo de tiempo para determinar la frecuencia con la que se analiza el directorio remoto en busca de archivos de registro de eventos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, una recurrencia de 2H escanea el directorio remoto cada 2 horas.

Ejecutar al guardar

Inicia la importación del archivo de registro inmediatamente después de guardar la configuración del origen del registro. Cuando está activada, esta casilla de verificación borra la lista de archivos descargados y procesados anteriormente. Después de la primera importación de archivo, el protocolo archivo de registro sigue la hora de inicio y el programa de recurrencia definidos por el administrador.

Aceleración de EPS

Número de eventos por segundo (EPS) que el protocolo no puede superar.

¿Cambiar el directorio local?

Cambia el directorio local del recopilador de eventos de destino para almacenar registros de eventos antes de procesarlos.

Directorio local

El directorio local del recopilador de eventos de destino. El directorio debe existir antes de que el protocolo del archivo de registro intente recuperar eventos.

Codificación de archivos

Codificación de caracteres que utilizan los eventos del archivo de registro.

Separador de carpetas

El carácter que se utiliza para separar las carpetas del sistema operativo. La mayoría de las configuraciones pueden usar el valor predeterminado en el campo Separador de carpetas. Este campo está diseñado para sistemas operativos que utilizan un carácter diferente para definir carpetas separadas. Por ejemplo, los períodos que separan las carpetas en sistemas de central central.

Usar cadena de conexión del centro de eventos

Autentique con un Centro de eventos de Azure mediante una cadena de conexión.

Cadena de conexión del hub de eventos

Cadena de autorización que proporciona acceso a un centro de eventos. Por ejemplo,

Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>

Grupo de consumidores

Especifica la vista que se utiliza durante la conexión. Cada grupo de consumidores mantiene su propio seguimiento de sesiones. Cualquier conexión que comparta grupos de consumidores e información de conexión comparte información de seguimiento de sesión.

Usar cadena de conexión de cuenta de almacenamiento

Se autentica con una cuenta de Azure Storage mediante una cadena de conexión.

Cadena de conexión de cuenta de almacenamiento

Cadena de autorización que proporciona acceso a una cuenta de almacenamiento. Por ejemplo,

DefaultEndpointsProtocol=https;Account Name=<Stor Account Name>AccountKey=<StorageAccount Key>;EndpointSuffix=core.windows.net

Formatear eventos de Azure Linux a Syslog

Formatea los registros de Azure Linux a un formato syslog de una sola línea que se asemeja al registro syslog estándar desde sistemas Linux.

Usar como fuente de registro de puerta de enlace

Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico JSA y para que JSA detecte automáticamente uno o varios orígenes de registro.

Cuando seleccione esta opción, el patrón de identificador de origen de registro se puede usar opcionalmente para definir un identificador de origen de registro personalizado para los eventos que se están procesando.

Patrón de identificador de origen de registro

Cuando está seleccionada la opción Usar como fuente de registro de puerta de enlace , utilice esta opción para definir un identificador de origen de registro personalizado para los eventos que se procesan. Si el patrón de identificador de origen de registro no está configurado, JSA recibe eventos como orígenes de registro genéricos desconocidos.

El campo Patrón de identificador de origen de registro acepta pares clave-valor, como key=value, para definir el identificador de origen de registro personalizado para los eventos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando corresponda. La clave es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. El valor (patrón regex) también admite grupos de captura que se pueden utilizar para personalizar aún más la clave (cadena de formato de identificador).

Se pueden definir varios pares clave-valor escribiendo cada patrón en una nueva línea. Cuando se utilizan varios patrones, se evalúan hasta que se encuentre una coincidencia. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

Los siguientes ejemplos muestran la funcionalidad de par de valores de varios claves:

PatronesVPC=\sREJECT\sFAILURE$1=\s(REJECT)\sOKVPC-$1-$2=\s(ACCEPT)\s(OK)

Eventos{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

Identificador de origen de registro personalizado resultanteVPC-ACCEPT-OK

Usar análisis predictivo

Si habilita este parámetro, un algoritmo extrae patrones de identificadores de origen de registro de eventos sin ejecutar el regex para cada evento, lo que aumenta la velocidad de análisis.

Habilite el análisis predictivo solo para tipos de origen de registro que espera recibir altas tasas de eventos y que requieren un análisis más rápido.

Usar proxy

Cuando configure un proxy, todo el tráfico del origen del registro viaja a través del proxy para tener acceso al Centro de eventos de Azure. Después de habilitar este parámetro, configure los campos IP o nombre de host del proxy, puerto de proxy, nombre de usuario de proxy y contraseña de proxy .

Si el proxy no necesita autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

IP de proxy o nombre de host

La dirección IP o el nombre de host del servidor proxy.

Este parámetro aparece cuando se habilita Usar proxy .

Puerto proxy

Número de puerto utilizado para comunicarse con el proxy. El valor predeterminado es 8080.

Este parámetro aparece cuando se habilita Usar proxy .

Nombre de usuario de proxy

Nombre de usuario para acceder al servidor proxy.

Este parámetro aparece cuando se habilita Usar proxy.

Contraseña de proxy

La contraseña para acceder al servidor proxy.

Este parámetro aparece cuando se habilita Usar proxy .

Aceleración de EPS

Número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

En desuso: nombre del espacio de nombres

Esta opción se muestra si la opción Usar cadena de conexión de centro de eventos está desactivada.

El nombre del directorio de nivel superior que contiene las entidades del centro de eventos en la interfaz de usuario de Centros de eventos de Microsoft Azure.

En desuso: nombre del centro de eventos

Esta opción se muestra si la opción Usar cadena de conexión de centro de eventos está desactivada.

Identificador del centro de eventos al que desea acceder. El nombre del concentrador de eventos debe coincidir con una de las entidades del centro de eventos dentro del espacio de nombres.

En desuso: nombre de clave SAS

Esta opción se muestra si la opción Usar cadena de conexión de centro de eventos está desactivada.

El nombre de la firma de acceso compartido (SAS) identifica al publicador de eventos.

En desuso: clave SAS

Esta opción se muestra si la opción Usar cadena de conexión de centro de eventos está desactivada.

La clave de firma de acceso compartido (SAS) autentica al publicador de eventos.

Desusado: nombre de cuenta de almacenamiento

Esta opción se muestra si la opción Usar cadena de conexión de cuenta de almacenamiento está desactivada.

El nombre de la cuenta de almacenamiento que almacena los datos del Centro de eventos.

El nombre de cuenta de almacenamiento forma parte del proceso de autenticación necesario para tener acceso a los datos de la cuenta de Azure Storage.

En desuso: clave de cuenta de almacenamiento

Esta opción se muestra si la opción Usar cadena de conexión de cuenta de almacenamiento está desactivada.

Una clave de autorización que se utiliza para la autenticación de cuenta de almacenamiento.

La clave de cuenta de almacenamiento forma parte del proceso de autenticación necesario para tener acceso a los datos en la cuenta de Almacenamiento de Azure.

Tipo de fuente de registro

Defensor de Microsoft 365

Configuración de protocolo

API REST de Microsoft Defender para el punto de conexión SIEM

URL del servidor de autorización

La dirección URL del servidor que proporciona la autorización para obtener un token de acceso. El token de acceso se utiliza como autorización para recopilar eventos de Microsoft 365 Defender.

La DIRECCIÓN URL del servidor de autorización utiliza el siguiente formato:

donde <Tenant_ID> es un UUID.

Recursos

Recurso que se usa para tener acceso a los eventos de la API DE SIEM de Microsoft 365 Defender.

ID de cliente

Garantiza que el usuario esté autorizado a obtener un token de acceso.

Secreto de cliente

El valor secreto de cliente solo se muestra una vez y, luego, ya no es visible. Si no tiene acceso al valor secreto de cliente , póngase en contacto con el administrador de Microsoft Azure para solicitar un nuevo secreto de cliente.

Región

Seleccione las regiones asociadas con la API de SIEM de Microsoft 365 Defender desde las que desea recopilar registros.

Otra región

Escriba los nombres de cualquier región adicional que esté asociada con la API SIEM de Microsoft 365 Defender de la que desea recopilar registros.

Utilice una lista separada por comas; por ejemplo, region1,region2.

Usar puntos de conexión GCC

Habilite o desactive el uso de puntos de conexión GCC y GCC High & DOD . Los puntos de conexión de GCC y GCC High & DOD son puntos de conexión para los clientes del gobierno de EE. UU.

Para obtener más información, consulte Microsoft Defender for Endpoint para clientes del gobierno de EE. UU.

Tipo GCC

Seleccione GCC o GCC High & DOD.

• GCC: Nube de comunidad gubernamental de Microsoft

• GCC High & DoD: Cumple con las regulaciones

  del Departamento de Defensa.

Usar proxy

Si se configura un proxy para JSA, todo el tráfico del origen del registro viaja a través del proxy para que JSA pueda tener acceso a la API SIEM de Microsoft 365 Defender.

Configure los campos Servidor proxy, puerto proxy, nombre de usuario de proxy y contraseña de proxy . Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

Repetición

Puede especificar la frecuencia con la que el registro recopila datos. El formato es M/H/D por minutos/horas/días.

El valor predeterminado es 5 M.

Aceleración de EPS

El límite superior para la cantidad máxima de eventos por segundo (EPS). El valor predeterminado es 5000.

Configuración de protocolo

Microsoft DHCP

Identificador de origen de registro

Escriba un nombre de host único u otro identificador único del origen del registro.

Dirección del servidor

La dirección IP o el nombre de host del servidor MICROSOFT DHCP.

Dominio

Escriba el dominio para su servidor MICROSOFT DHCP.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para tener acceso al servidor DHCP.

Contraseña

Escriba la contraseña necesaria para tener acceso al servidor DHCP.

Confirmar contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Ruta de la carpeta

La ruta del directorio a los archivos de registro DHCP. El valor predeterminado es /WINDOWS/system32/dhcp/

Patrón de archivo

La expresión regular (regex) que identifica los registros de eventos. Los archivos de registro deben contener una abreviatura de tres caracteres para un día de la semana. Utilice uno de los siguientes patrones de archivo:

Inglés:

• Patrón de archivo IPv4: DhcpSrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• Patrón de archivo IPv6: DhcpV6SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

• Patrón de archivo IPv4 e IPv6 mixto: Dhcp.*SrvLog- (?:Sun| lunes| Mar| Mie| Thu| Viernes| Sat)\.log.

• Patrón de archivo IPv4 e IPv6 mixto: Dhcp.*SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log.

Polaco:

• Patrón de archivo IPv4: DhcpSrvLog-(?:Pia|Pon|Sob|Wto|Sro|Csw|Nie) \.log.

• Patrón de archivo IPv6: DhcpV6SrvLog-(?:Pt|Pon|So|Wt|Si|Csw|Nie) \.log.

Recursiva

Seleccione esta opción si desea que el patrón de archivo busque en las subcarpetas.

Versión para SMB

La versión de SMB que se utilizará:

AUTO : detecta automáticamente en la versión más alta que el cliente y el servidor acuerdan usar.

SMB1 - Fuerza el uso de SMB1. SMB1 usa el jCIFS.jar archivo (Java ARchive).

SMB2 - Fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3 - Fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Intervalo de sondeo (en segundos)

Número de segundos entre las consultas a los archivos de registro para buscar datos nuevos. El intervalo mínimo de sondeo es de 10 segundos. El intervalo máximo de sondeo es de 3.600 segundos.

Eventos de aceleración por segundo

Número máximo de eventos que el protocolo DHCP puede reenviar por segundo. El valor mínimo es 100 EPS. El valor máximo es de 20 000 EPS.

Codificación de archivos

Codificación de caracteres que utilizan los eventos del archivo de registro.

Habilitado

Cuando esta opción no está habilitada, el origen del registro no recopila eventos y el origen del registro no se cuenta en el límite de licencia.

Credibilidad

La credibilidad es una representación de la integridad o validez de los eventos creados por un origen de registro. El valor de credibilidad asignado a un origen de registro puede aumentar o disminuir según los eventos entrantes o ajustarse como respuesta a las reglas de eventos creadas por el usuario. La credibilidad de los eventos de las fuentes del registro contribuye al cálculo de la magnitud de la infracción y puede aumentar o disminuir el valor de la magnitud de una infracción.

Recolector de eventos de destino

Especifica el recopilador de eventos JSA que sondear el origen de registro remoto.

Use este parámetro en una implementación distribuida para mejorar el rendimiento del sistema de la consola moviendo la tarea de sondeo a un recopilador de eventos.

Eventos de unección

Aumenta el recuento de eventos cuando se produce el mismo evento varias veces en un intervalo de tiempo corto. Los eventos coalesced proporcionan una forma de ver y determinar la frecuencia con la que se produce un único tipo de evento en la pestaña Actividad de registro.

Cuando esta casilla de verificación está desactivada, los eventos se visualizan individualmente y los eventos no se agrupan.

Los orígenes de registro nuevos y detectados automáticamente heredan el valor de esta casilla de verificación de la configuración de configuración del sistema en la ficha Administrador . Puede usar esta casilla de verificación para invalidar el comportamiento predeterminado de la configuración del sistema de un origen de registro individual.

Configuración de protocolo

Microsoft Exchange

Identificador de origen de registro

Escriba la dirección IP, el nombre de host o el nombre para identificar el origen del registro.

Dirección del servidor

La dirección IP o el nombre de host de su microsoft exchange server.

Dominio

Escriba el dominio para el servidor de Microsoft Exchange.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para tener acceso al servidor de Microsoft Exchange.

Contraseña

Escriba la contraseña necesaria para tener acceso al servidor de Microsoft Exchange.

Confirmar contraseña

Escriba la contraseña necesaria para tener acceso al servidor de Microsoft Exchange.

Ruta de la carpeta de registro SMTP

La ruta del directorio para tener acceso a los archivos de registro SMTP.

La ruta predeterminada del archivo es Program Files/Microsoft/Exchange Server/TransportRoles/Logs/ProtocolLog

Cuando la ruta de la carpeta está despejada, la recopilación de eventos SMTP se deshabilita.

Ruta de la carpeta de registro de OWA

La ruta del directorio para acceder a los archivos de registro de OWA.

La ruta predeterminada del archivo es Windows/system32/LogFiles/W3SVC1

Cuando la ruta de la carpeta está despejada, la recopilación de eventos OWA se deshabilita.

Ruta de la carpeta de registro MSGTRK

La ruta del directorio para acceder a los registros de seguimiento de mensajes.

La ruta predeterminada del archivo es Program Files/Microsoft/Exchange Server/TransportRoles/Logs/MessageTracking

El seguimiento de mensajes está disponible en servidores de Microsoft Exchange 2017 o 2010 a los que se les asigna el rol de servidor transporte de concentrador, buzón de correo o transporte perimetral.

Usar patrones de archivo personalizados

Active esta casilla de verificación para configurar patrones de archivo personalizados. Deje la casilla de verificación despejada para usar los patrones de archivo predeterminados.

Patrón de archivo MSGTRK

La expresión regular (regex) que se utiliza para identificar y descargar los registros de MSTRK. Se procesan todos los archivos que coincidan con el patrón de archivos.

El patrón de archivo predeterminado es MSGTRK\d+-\d+\.(?:log| REGISTRO)$

Se procesan todos los archivos que coincidan con el patrón de archivos.

Patrón de archivo MSGTRKMD

La expresión regular (regex) que se utiliza para identificar y descargar los registros de MSGTRKMD. Se procesan todos los archivos que coincidan con el patrón de archivos.

El patrón de archivo predeterminado es MSGTRKMD\d+-\d+\.(?:log| REGISTRO)$

Se procesan todos los archivos que coincidan con el patrón de archivos.

Patrón de archivo MSGTRKMS

La expresión regular (regex) que se utiliza para identificar y descargar los registros de MSGTRKMS. Se procesan todos los archivos que coincidan con el patrón de archivos.

El patrón de archivo predeterminado es MSGTRKMS\d+-\d+\.(?:log| REGISTRO)$

Se procesan todos los archivos que coincidan con el patrón de archivos.

Patrón de archivo MSGTRKMA

La expresión regular (regex) que se utiliza para identificar y descargar los registros de MSGTRKMA. Se procesan todos los archivos que coincidan con el patrón de archivos.

El patrón de archivo predeterminado es MSGTRKMA\d+-\d+\.(?:log|

Se procesan todos los archivos que coincidan con el patrón de archivos.

Patrón de archivo SMTP

La expresión regular (regex) que se utiliza para identificar y descargar los registros smtp. Se procesan todos los archivos que coincidan con el patrón de archivos.

El patrón de archivo predeterminado es .*\.(?:log| REGISTRO)$

Se procesan todos los archivos que coincidan con el patrón de archivos.

Patrón de archivo OWA

La expresión regular (regex) que se utiliza para identificar y descargar los registros de OWA. Se procesan todos los archivos que coincidan con el patrón de archivos.

El patrón de archivo predeterminado es .*\.(?:log| REGISTRO)$

Se procesan todos los archivos que coincidan con el patrón de archivos.

Fuerza de lectura del archivo

Si la casilla de verificación está desactivada, el archivo de registro solo se lee cuando JSA detecta un cambio en el tiempo modificado o en el tamaño del archivo.

Recursiva

Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, la casilla de verificación está activada.

Versión para SMB

Seleccione la versión de SMB que desea usar.

AUTO : detecta automáticamente en la versión más alta que el cliente y el servidor acuerdan usar.

SMB1 - Fuerza el uso de SMB1. SMB1 utiliza el jCIFS.jar archivo (Java ARchive)

SMB2 - Fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3 : fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Intervalo de sondeo (en segundos)

Escriba el intervalo de sondeo, que es el número de segundos entre las consultas a los archivos de registro para buscar datos nuevos. El valor predeterminado es de 10 segundos.

Eventos de aceleración/segundo

Número máximo de eventos que el protocolo de Microsoft Exchange puede reenviar por segundo.

Codificación de archivos

Codificación de caracteres que utilizan los eventos del archivo de registro.

Tipo de fuente de registro

Un tipo de origen de registro personalizado o un DSM específico que use este protocolo.

Configuración de protocolo

API de seguridad de Microsoft Graph

ID de inquilino

El valor de ID de inquilino que se usa para la autenticación de Microsoft Azure Active Directory.

ID de cliente

El valor del parámetro Client ID de la configuración de la aplicación de Microsoft Azure Active Directory.

Secreto de cliente

El valor del parámetro Client Secret de la configuración de la aplicación de Microsoft Azure Active Directory.

Filtro de eventos

Recuperar eventos mediante el filtro de consulta de la API de security Graph de Microsoft. Por ejemplo, la severidad eq 'alta'. No escriba "filter=" antes del parámetro filter.

Usar proxy

Si JSA tiene acceso a la API de seguridad de Microsoft Graph por proxy, active esta casilla de verificación.

Si el proxy requiere autenticación, configure los campos Nombre de host o IP del proxy, puerto de proxy, nombre de usuario de proxy y proxy .

Si el proxy no requiere autenticación, configure los campos Nombre de host de proxy o IP y Puerto de proxy .

IP de proxy o nombre de host

La dirección IP o el nombre de host del servidor proxy.

Si Usar proxy se establece en False, esta opción se oculta.

Puerto proxy

Número de puerto que se utiliza para comunicarse con el proxy. El valor predeterminado es 8080.

Si Usar proxy se establece en False, esta opción se oculta.

Nombre de usuario de proxy

Nombre de usuario que se utiliza para comunicarse con el proxy.

Si Usar proxy se establece en False, esta opción se oculta.

Contraseña de proxy

La contraseña que se utiliza para acceder al proxy.

Si Usar proxy se establece en False, esta opción se oculta.

Repetición

Escriba un intervalo de tiempo que comience en la hora de inicio para determinar la frecuencia con la que la encuesta analiza los datos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H - 2 horas, 15M - 15 minutos. El valor predeterminado es 1M.

Aceleración de EPS

Número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Mostrar opciones avanzadas

Para configurar las opciones avanzadas para la recopilación de eventos, establezca esta opción en.

Punto de conexión de inicio de sesión

Especifique el punto de conexión de inicio de sesión de Azure AD. El valor predeterminado es login.microsoftonline.com.

Si deshabilita Mostrar opciones avanzadas, esta opción se ocultará.

Punto de conexión de API de gráficos

Especifique la DIRECCIÓN URL de la API de seguridad de Microsoft Graph. El valor predeterminado es https://graph.microsoft.com.

Si deshabilita Mostrar opciones avanzadas, esta opción se ocultará.

Configuración de protocolo

Microsoft IIS

Identificador de origen de registro

Escriba la dirección IP, el nombre de host o un nombre único para identificar el origen del registro.

Dirección del servidor

La dirección IP o el nombre de host del servidor microsoft IIS.

Dominio

Escriba el dominio para el servidor de Microsoft IIS.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para tener acceso al servidor.

Contraseña

Escriba la contraseña necesaria para acceder al servidor.

Confirmar contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Ruta de la carpeta de registro

La ruta del directorio para acceder a los archivos de registro. Por ejemplo, los administradores pueden usar el directorio c$/LogFiles/ para un recurso compartido administrativo o el directorio LogFiles/ para una ruta de carpeta de recurso compartido público. Sin embargo, el directorio c:/LogFiles no es una ruta de carpeta de registro compatible.

Si una ruta de carpeta de registro contiene un recurso compartido administrativo (C$), los usuarios con acceso NetBIOS en el recurso compartido administrativo (C$) tienen los privilegios necesarios para leer los archivos de registro.

Los privilegios de administrador de dominio o sistema local también son suficientes para tener acceso a los archivos de registro que se encuentran en un recurso compartido administrativo.

Patrón de archivo

La expresión regular (regex) que identifica los registros de eventos.

Recursiva

Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, la casilla de verificación está activada.

Versión para SMB

Seleccione la versión de SMB que desea usar.

AUTO : detecta automáticamente en la versión más alta que el cliente y el servidor acuerdan usar.

SMB1 - Fuerza el uso de SMB1. SMB1 usa el jCIFS.jar archivo (Java ARchive).

SMB2 - Fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3 - Fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Intervalo de sondeo (en segundos)

Escriba el intervalo de sondeo, que es el número de segundos entre las consultas a los archivos de registro para buscar datos nuevos. El valor predeterminado es de 10 segundos.

Eventos de aceleración/segundo

La cantidad máxima de eventos que el protocolo IIS puede reenviar por segundo.

Codificación de archivos

Codificación de caracteres que utilizan los eventos del archivo de registro.

Configuración de protocolo

Registro de eventos de seguridad de Windows

Nombre de protocolo

JMS de MQ

IP o nombre de host

La dirección IP o el nombre de host del administrador de colas principal.

Puerto

El puerto predeterminado que se utiliza para comunicarse con el administrador de colas principal es 1414.

IP en espera o nombre de host

La dirección IP o el nombre de host del administrador de colas en espera.

Puerto de espera

El puerto que se utiliza para comunicarse con el administrador de colas en espera.

Gestor de colas

El nombre del administrador de colas.

Canal

El canal a través del cual el gestor de colas envía mensajes. El canal predeterminado es SYSTEM. DEF. SVRCONN.

Cola

La cola o lista de colas que se supervisarán. Se especifica una lista de colas con una lista separada por comas.

Nombre de usuario

El nombre de usuario que se utiliza para autenticar con el servicio MQ.

Contraseña

Opcional: la contraseña que se utiliza para autenticarse con el servicio MQ.

Codificación de mensajes entrantes

Codificación de caracteres que utilizan los mensajes entrantes.

Campos computacionales de procesos

Opcional: Seleccione esta opción solo si los mensajes recuperados contienen datos computacionales definidos en un libro de copia COBOL. Los datos binarios de los mensajes se procesan según la definición de campo que se encuentra en el archivo de libro de copia especificado.

Nombre del archivo CopyBook

Este parámetro muestra cuando campos computacionales de proceso está seleccionado. El nombre del archivo copybook que se utilizará para el procesamiento de datos. El archivo del copybook debe colocarse en /store/ec/mqjms/*

Formateador de eventos

Seleccione el formato de evento que se aplicará a cualquier evento que se genere a partir del procesamiento de datos que contengan campos computacionales. De forma predeterminada, no se utiliza ningún formato .

Incluir encabezado de mensaje JMS

Seleccione esta opción para incluir un encabezado en cada evento generado que contenga campos de mensaje JMS como y JMSMessageID JMSTimestamp.

Aceleración de EPS

El límite para la cantidad máxima de eventos por segundo (EPS).

Identificador de origen de registro

Un nombre único para el origen del registro.

El nombre no puede incluir espacios y debe ser único entre todos los orígenes de registro de este tipo que están configurados con el protocolo API DE REST de seguimiento de mensajes de Office 365.

Correo electrónico de cuenta de usuario de Office 365

Para autenticarse con la API DE REST de rastreo de mensajes de Office 365, proporcione una cuenta de correo electrónico de Office 365 con los permisos adecuados.

Contraseña de cuenta de usuario de Office 365

Para autenticarse con la API de REST de seguimiento de mensajes de Office 365, proporcione la contraseña que está asociada con el correo electrónico de cuenta de usuario de Office 365.

Retraso del evento

El retraso, en segundos, para recopilar datos.

Los registros de seguimiento de mensajes de Office 365 funcionan en un sistema de entrega eventual. Para garantizar que no se pierdan datos, los registros se recopilan con retraso. El retraso predeterminado es de 900 segundos (15 minutos) y se puede establecer de tan solo 0 segundos.

Usar proxy

Si se accede al servidor mediante un proxy, active la casilla Usar proxy . Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy. Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .

IP de proxy o nombre de host

La dirección IP o el nombre de host del servidor proxy.

Puerto proxy

Número de puerto que se utiliza para comunicarse con el proxy. El valor predeterminado es 8080.

Nombre de usuario de proxy

Nombre de usuario que se utiliza para tener acceso al servidor proxy cuando el proxy requiere autenticación.

Contraseña de proxy

La contraseña que se utiliza para acceder al servidor proxy cuando el proxy requiere autenticación.

Repetición

El intervalo de tiempo entre las consultas de origen de registro a la API de REST de seguimiento de mensajes de Office 365 para eventos nuevos.

El intervalo de tiempo puede ser en horas (H), minutos (M) o días (D). El valor predeterminado es de 5 minutos.

Aceleración de EPS

Número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Identificador de origen de registro

Un nombre único para el origen del registro.

El identificador de origen de registro puede ser cualquier valor válido y no necesita hacer referencia a un servidor específico. El identificador de origen de registro puede ser el mismo valor que el nombre del origen del registro. Si tiene más de un origen de registro Okta configurado, es posible que desee identificar el primer origen de registro como okta1, el segundo origen de registro como okta2y el tercer origen de registro como okta3.

IP o nombre de host

oktaprise.okta.com

Token de autenticación

Un único token de autenticación que se genera en la consola de Okta y se debe usar para todas las transacciones de API.

Usar proxy

Si JSA accede a Okta mediante un proxy, habilite esta opción.

Cuando se configura un proxy, todo el tráfico del origen del registro viaja a través del proxy para que JSA acceda a Okta.

Si el proxy requiere autenticación, configure los campos Nombre de host, Puerto de proxy, Nombre de usuario de proxy y Contraseña de proxy . Si el proxy no requiere autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

Host

Si selecciona Usar proxy, se mostrará este parámetro.

Puerto proxy

Si selecciona Usar proxy, se mostrará este parámetro.

Nombre de usuario de proxy

Si selecciona Usar proxy, se mostrará este parámetro.

Contraseña de proxy

Si selecciona Usar proxy, se mostrará este parámetro.

Repetición

Intervalo de tiempo para determinar la frecuencia con la que se realiza la encuesta para los datos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15M = 15 minutos, 30 = segundos. El valor predeterminado es 1M.

Aceleración de EPS

Número máximo de eventos por segundo que se envían a la canalización de flujo. El valor predeterminado es 5000.

Asegúrese de que el valor del acelerador de EPS sea mayor que la velocidad de entrada o que el procesamiento de datos pueda quedarse atrás.

Configuración de protocolo

OPSEC/LEA

Identificador de origen de registro

La dirección IP, el nombre de host o cualquier nombre para identificar el dispositivo.

Debe ser único para el tipo de origen del registro.

IP del servidor

Escriba la dirección IP del servidor.

Puerto del servidor

Número de puerto que se utiliza para la comunicación OPSEC. El intervalo válido es 0 - 65,536 y el valor predeterminado es 18184.

Usar IP del servidor para el origen del registro

Active la casilla usar IP del servidor para el origen del registro si desea usar la dirección IP del servidor LEA en lugar de la dirección IP del dispositivo administrado para un origen de registro. De forma predeterminada, la casilla de verificación está activada.

Intervalo de informe de estadísticas

El intervalo, en segundos, durante el cual se registra el número de eventos syslog en el archivo qradar.log . El intervalo válido es 4 - 2,147,483,648 y el intervalo predeterminado es 600.

Tipo de autenticación

En la lista, seleccione el tipo de autenticación que desea utilizar para esta configuración LEA. Las opciones son sslca (predeterminada), sslca_clear o clear. Este valor debe coincidir con el método de autenticación que usa el servidor.

Atributo SIC de objeto de aplicación OPSEC (nombre sic)

El nombre de Secure Internal Communications (SIC) es el nombre distinguido (DN) de la aplicación, por ejemplo: CN=LEA, o=fwconsole.. 7psasx.

Atributo SIC de origen de registro (nombre de entidad SIC)

El nombre SIC del servidor, por ejemplo: cn=cp_mgmt,o=fwconsole.. 7psasxz.

Especificar certificado

Active esta casilla de verificación si desea definir un certificado para esta configuración LEA. JSA intenta recuperar el certificado mediante estos parámetros cuando se necesita el certificado.

Nombre de archivo de certificado

Esta opción solo aparece si está seleccionada Especificar certificado. Escriba el nombre de archivo del certificado que desea usar para esta configuración. El archivo de certificado debe estar ubicado en el directorio /opt/qradar/conf/ trusted_certificates/lea .

IP de la autoridad de certificación

Escriba la dirección IP del servidor de Check Point Manager.

Extracción de contraseña de certificado

Escriba la contraseña.

Aplicación OPSEC

Nombre de la aplicación que realiza la solicitud de certificado.

Habilitado

Active esta casilla de verificación para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está activada.

Credibilidad

En la lista, seleccione credibilidad del origen del registro. El rango es de 0 a 10.

La credibilidad indica la integridad de un evento o delito determinado por la calificación de credibilidad de los dispositivos de origen. La credibilidad aumenta si varias fuentes informan sobre el mismo evento. El valor predeterminado es 5.

Recolector de eventos de destino

En la lista, seleccione el recopilador de eventos de destino para usar como destino para el origen del registro.

Eventos de unección

Active la casilla Eventos de agrupación para habilitar el origen del registro para agrupar eventos (agrupación).

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos de coalescing de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga de eventos de la tienda

Active la casilla Carga de eventos de almacén para habilitar el origen del registro para almacenar la información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración de protocolo

Escucha de base de datos Oracle

Identificador de origen de registro

Escriba la dirección IP, el nombre de host o un nombre único para identificar el origen del registro.

Dirección del servidor

La dirección IP o el nombre de host de su servidor Oracle Database Listener.

Dominio

Escriba el dominio para el servidor de Oracle Database Learner.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para tener acceso al servidor.

Contraseña

Escriba la contraseña necesaria para acceder al servidor.

Confirmar contraseña

Escriba la contraseña necesaria para tener acceso al servidor.

Ruta de la carpeta de registro

Escriba la ruta del directorio para acceder a los archivos de registro de Oracle Database Listener.

Patrón de archivo

La expresión regular (regex) que identifica los registros de eventos.

Fuerza de lectura del archivo

Active esta casilla de verificación para obligar al protocolo a leer el archivo de registro cuando se especifique el tiempo del intervalo de sondeo.

Cuando se activa la casilla de verificación, el origen del archivo de registro siempre se examina cuando el intervalo de sondeo especifica, independientemente del último atributo de tiempo modificado o tamaño de archivo.

Cuando la casilla de verificación no está activada, el origen del archivo de registro se examina en el intervalo de sondeo si cambian los atributos de tiempo o tamaño del archivo de última modificación.

Recursiva

Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, la casilla de verificación está activada.

Versión para SMB

Seleccione la versión de SMB que desea utilizar:

AUTO : detecta automáticamente en la versión más alta que el cliente y el servidor acuerdan usar.

SMB1 - Fuerza el uso de SMB1. SMB1 usa el jCIFS.jar archivo (Java ARchive).

SMB2 - Fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3 - Fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Intervalo de sondeo (en segundos)

Escriba el intervalo de sondeo, que es el número de segundos entre las consultas a los archivos de registro para buscar datos nuevos. El valor predeterminado es de 10 segundos.

Eventos de aceleración por segundo

Número máximo de eventos que reenvía el protocolo Oracle Database Listener por segundo.

Codificación de archivos

Codificación de caracteres que utilizan los eventos del archivo de registro.

Configuración de protocolo

SDEE

URL

La DIRECCIÓN URL HTTP o HTTPS que es necesaria para tener acceso al origen del registro, por ejemplo, https://www.mysdeeserver.com/cgi-bin/sdee-server.

Para SDEE/CIDEE (Cisco IDS v5.x y posteriores), la dirección URL debe finalizar con /cgi-bin/sdee-server. Los administradores con RDEP (Cisco IDS v4.x), la dirección URL debe terminar con /cgi-bin/event-server.

Forzar la suscripción

Cuando se activa la casilla de verificación, el protocolo obliga al servidor a soltar la conexión menos activa y aceptar una nueva conexión de suscripción SDEE para el origen del registro.

Espera máxima para bloquear los eventos

Cuando se realiza una solicitud de recopilación y no hay eventos nuevos disponibles, el protocolo habilita un bloque de eventos. El bloque impide que se realice otra solicitud de evento en un dispositivo remoto que no tuvo ningún evento nuevo. Este tiempo de espera está destinado a conservar los recursos del sistema.

Configuración de protocolo

Cola de SMB

Identificador de origen de registro

Escriba la dirección IP, el nombre de host o un nombre único para identificar el origen del registro.

Dirección del servidor

La dirección IP o nombre de host de su servidor de cola de SMB.

Dominio

Escriba el dominio para su servidor de cola de SMB.

Este parámetro es opcional si el servidor no está en un dominio.

Nombre de usuario

Escriba el nombre de usuario necesario para acceder al servidor.

Contraseña

Escriba la contraseña necesaria para acceder al servidor.

Confirmar contraseña

Confirme la contraseña necesaria para acceder al servidor.

Ruta de la carpeta de registro

La ruta del directorio para acceder a los archivos de registro. Por ejemplo, los administradores pueden usar el directorio c$/LogFiles/ para un recurso compartido administrativo o el directorio LogFiles/ para una ruta de carpeta de recurso compartido público. Sin embargo, el directorio c:/LogFiles no es una ruta de carpeta de registro compatible.

Si una ruta de carpeta de registro contiene un recurso compartido administrativo (C$), los usuarios con acceso NetBIOS en el recurso compartido administrativo (C$) tienen los privilegios necesarios para leer los archivos de registro.

Los privilegios de administrador de dominio o sistema local también son suficientes para tener acceso a los archivos de registro que se encuentran en un recurso compartido administrativo.

Patrón de archivo

La expresión regular (regex) que identifica los registros de eventos.

Versión para SMB

Seleccione la versión del bloque de mensajes del servidor (SMB) que desea usar.

AUTO : detecta automáticamente en la versión más alta que el cliente y el servidor acuerdan usar.

SMB1 - Fuerza el uso de SMB1. SMB1 usa el jCIFS.jar archivo (Java ARchive).

SMB2 - Fuerza el uso de SMB2. SMB2 utiliza el jNQ.jar archivo.

SMB3 - Fuerza el uso de SMB3. SMB3 utiliza el jNQ.jar archivo.

Fuerza de lectura del archivo

Si la casilla de verificación está desactivada, el archivo de registro solo se lee cuando JSA detecta un cambio en el tiempo o el tamaño del archivo modificados.

Recursiva

Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, la casilla de verificación está activada.

Intervalo de sondeo (en segundos)

Escriba el intervalo de sondeo, que es el número de segundos entre las consultas a los archivos de registro para buscar datos nuevos. El valor predeterminado es de 10 segundos.

Eventos de aceleración/segundo

Número máximo de eventos que el protocolo SMB Tail reenvía por segundo.

Codificación de archivos

Codificación de caracteres que utilizan los eventos del archivo de registro.

Configuración de protocolo

SNMPv2

Comunidad

El nombre de comunidad SNMP necesario para tener acceso al sistema que contiene eventos SNMP. Por ejemplo, Público.

Incluir OIDs en la carga de eventos

Especifica que la carga de eventos SNMP se construye mediante el uso de pares nombre-valor en lugar del formato de carga de eventos.

Cuando selecciona orígenes de registro específicos de la lista Tipos de origen de registro , los OIDs en la carga de eventos son necesarios para procesar los eventos SNMPv2 o SNMPv3.

Eventos de unección

Active esta casilla de verificación para permitir que el origen del registro unifique eventos (agrupación).

Los eventos de unificación aumentan el recuento de eventos cuando el mismo evento ocurre varias veces en un breve intervalo de tiempo. Los eventos coalesced proporcionan a los administradores una forma de ver y determinar la frecuencia con la que se produce un único tipo de evento en la pestaña Actividad de registro .

Cuando esta casilla de verificación está desactivada, los eventos se muestran individualmente y la información no se agrupa.

Los orígenes de registro nuevos y detectados automáticamente heredan el valor de esta casilla de verificación de la configuración de configuración del sistema en la ficha Administrador . Los administradores pueden usar esta casilla de verificación para invalidar el comportamiento predeterminado de la configuración del sistema para un origen de registro individual.

Carga de eventos de la tienda

Active esta casilla de verificación para permitir que el origen del registro almacene la información de carga de un evento.

Los orígenes de registro nuevos y detectados automáticamente heredan el valor de esta casilla de verificación de la configuración de configuración del sistema en la ficha Administrador . Los administradores pueden usar esta casilla de verificación para invalidar el comportamiento predeterminado de la configuración del sistema para un origen de registro individual.

Configuración de protocolo

SNMPv3

Identificador de origen de registro

Escriba un nombre único para el origen del registro.

Protocolo de autenticación

El algoritmo que desea usar para autenticar capturas SNMP3:

• SHA usa el algoritmo hash seguro (SHA) como protocolo de autenticación.

• MD5 usa el resumen del mensaje 5 (MD5) como protocolo de autenticación.

Contraseña de autenticación

La contraseña para autenticar SNMPv3. La contraseña de autenticación debe incluir un mínimo de 8 caracteres.

Protocolo de descifrado

Seleccione el algoritmo que desea usar para descifrar las trampas de SNMPv3.

• DES

• AES128

• AES192

• AES256

Contraseña de descifrado

La contraseña para descifrar las trampas de SNMPv3. La contraseña de descifrado debe incluir un mínimo de 8 caracteres.

Usuario

El nombre de usuario que se usó para configurar SNMPv3 en el dispositivo.

Incluir OIDs en la carga de eventos

Especifica que la carga de eventos SNMP se construye mediante el uso de pares nombre-valor en lugar del formato de carga de eventos estándar. Cuando selecciona orígenes de registro específicos de la lista Tipos de origen de registro , los OIDs en la carga de eventos son necesarios para procesar los eventos SNMPv2 o SNMPv3.

Tipo de fuente de registro

Seculert

Configuración de protocolo

Seculert Protection REST API

Identificador de origen de registro

Escriba la dirección IP o el nombre de host del origen del registro como identificador para eventos de Seculert.

Cada fuente de registro adicional que crea cuando tiene varias instalaciones incluye idealmente un identificador único, como una dirección IP o un nombre de host.

Clave de API

La clave de API que se utiliza para autenticar con la API DE REST de Seculert Protection. El valor de la clave API se obtiene del portal web de Seculert.

Usar proxy

Cuando configura un proxy, todo el tráfico del origen del registro viaja a través del proxy para que JSA tenga acceso a la API de REST de seculert Protection.

Configure los campos IP o nombre de host de proxy, puerto de proxy, nombre de usuario de proxy y contraseña de proxy . Si el proxy no requiere autenticación, puede dejar los campos Nombre de usuario de proxy y Contraseña de proxy en blanco.

Adquirir automáticamente certificados de servidor

Si selecciona Sí en la lista, JSA descarga el certificado y comienza a confiar en el servidor de destino.

Repetición

Especifique cuándo el registro recopila datos. El formato es M/H/D por minutos/horas/días. El valor predeterminado es 1 M.

Aceleración de EPS

El límite superior para la cantidad máxima de eventos por segundo (eps) para los eventos que se reciben de la API.

Habilitado

Active esta casilla de verificación para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está activada.

Credibilidad

Seleccione la credibilidad del origen del registro. El rango es de 0 a 10.

La credibilidad indica la integridad de un evento o delito determinado por la calificación de credibilidad de los dispositivos de origen. La credibilidad aumenta si varias fuentes informan sobre el mismo evento. El valor predeterminado es 5.

Recolector de eventos de destino

Seleccione el recopilador de eventos de destino para usar como destino para el origen del registro.

Eventos de unección

Active esta casilla de verificación para permitir que el origen del registro unifique eventos (agrupación).

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos de coalescing de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga de eventos de la tienda

Active esta casilla de verificación para habilitar el origen del registro para almacenar información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración de protocolo

JDBC de Sophos Enterprise Console

Identificador de origen de registro

Escriba un nombre para el origen del registro. El nombre no puede contener espacios y debe ser único entre todos los orígenes de registro del tipo de origen de registro que está configurado para usar el protocolo JDBC.

Si el origen del registro recopila eventos de un único dispositivo que tiene una dirección IP estática o un nombre de host, use la dirección IP o el nombre de host del dispositivo como todo o parte del valor del identificador de origen de registro ; por ejemplo, 192.168.1.1 o JDBC192.168.1.1. Si el origen del registro no recopila eventos de un solo dispositivo que tenga una dirección IP estática o un nombre de host, puede usar cualquier nombre único para el valor del identificador de origen de registro ; por ejemplo, JDBC1, JDBC2.

Tipo de base de datos

MSDE

Nombre de la base de datos

El nombre de la base de datos debe coincidir con el nombre de la base de datos especificado en el campo Identificador de origen de registro.

Puerto

El puerto predeterminado para MSDE en Sophos Enterprise Console es 1168. El puerto de configuración JDBC debe coincidir con el puerto de escucha de la base de datos de Sophos para comunicarse con JSA. La base de datos de Sophos debe tener habilitadas las conexiones TCP entrantes.

Si se utiliza una instancia de base de datos con el tipo de base de datos MSDE, debe dejar el port parámetro en blanco.

Dominio de autenticación

Si la red no usa un dominio, deje este campo en blanco.

Instancia de base de datos

La instancia de la base de datos, si es necesario. Las bases de datos MSDE pueden incluir varias instancias de SQL Server en un servidor.

Cuando se utiliza un puerto no estándar para la base de datos o los administradores bloquean el acceso al puerto 1434 para la resolución de base de datos SQL, el parámetro Instancia de base de datos debe estar en blanco.

Nombre de la tabla

vEventsCommonData

Seleccionar lista

*

Comparar el campo

InsertedAt

Usar instrucciones preparadas

Las instrucciones preparadas permiten que el origen del protocolo configure la instrucción SQL y, luego, ejecute la instrucción SQL varias veces con diferentes parámetros. Por razones de seguridad y rendimiento, la mayoría de las configuraciones pueden usar instrucciones preparadas. Desactive esta casilla de verificación para usar un método alternativo de consulta que no use instrucciones compiladas previamente.

Fecha y hora de inicio

Opcional. Fecha y hora de inicio para cuando el protocolo puede comenzar a sondear la base de datos. Si no se define una hora de inicio, el protocolo intenta sondear los eventos después de guardar e implementar la configuración del origen del registro.

Intervalo de sondeo

El intervalo de sondeo, que es la cantidad de tiempo entre las consultas a la base de datos. Puede definir un intervalo de sondeo más largo anexando H durante horas o M durante minutos al valor numérico. El intervalo máximo de sondeo es de 1 semana en cualquier formato de tiempo. Valores numéricos sin sondeo de designador H o M en segundos.

Aceleración de EPS

Número de eventos por segundo (EPS) que no desea que supere este protocolo.

Usar comunicación de canal denominada

Si MSDE está configurado como el tipo de base de datos, los administradores pueden activar esta casilla de verificación para usar un método alternativo a una conexión de puerto TCP/IP.

Las conexiones de canalización con nombre para bases de datos MSDE requieren el nombre de usuario y el campo de contraseña para usar un nombre de usuario y contraseña de autenticación de Windows, y no el nombre de usuario y la contraseña de la base de datos. La configuración del origen del registro debe usar la canalización predeterminada denominada en la base de datos MSDE.

Nombre del clúster de la base de datos

Si usa su SQL Server en un entorno de clúster, defina el nombre del clúster para asegurarse de que las comunicaciones de canalización con nombre funcionen correctamente.

Usar NTLMv2

Fuerza las conexiones MSDE a usar el protocolo NTLMv2 con servidores SQL que requieren autenticación NTLMv2. El valor predeterminado de la casilla de verificación está seleccionado.

La casilla usar NTLMv2 no interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2.

Configuración de protocolo

Redirección de Syslog

Identificador de origen de registro Regex

Escriba un regex para analizar el identificador de origen de registro desde la carga.

Identificador de origen de registro

Escriba un identificador de origen de registro para usar como valor predeterminado. Si el Regex del identificador de origen de registro no puede analizar el identificador de origen de registro desde una carga determinada mediante el regex proporcionado, se utiliza el valor predeterminado.

Cadena de formato Regex del identificador de origen de registro

Formato de cadena para combinar grupos de captura del Regex de identificador de origen de registro.

Por ejemplo:

1. "$1" usaría el primer grupo de captura.

2. "$1$2" concatenaría los grupos de captura 1 y 2.

3. "$1 TEXT $2" concatenaría el grupo de captura 1, el literal "TEXTO" y el grupo de captura 2.

La cadena resultante se utiliza como nuevo identificador de origen de registro.

Realice una búsqueda de DNS en la coincidencia de Regex

Active la casilla Realizar búsqueda dns en la coincidencia de regex para habilitar la funcionalidad de DNS, que se basa en el valor de parámetro y el regex del identificador de origen de registro .

De forma predeterminada, la casilla de verificación no está activada.

Puerto de escucha

Ingrese cualquier puerto no usar y establezca su origen de registro para enviar eventos a JSA en ese puerto.

Protocolo

En la lista, seleccione TCP o UDP.

El protocolo de redirección Syslog admite cualquier número de conexiones syslog UDP, pero restringe las conexiones TCP a 2500. Si la secuencia syslog tiene más de 2500 orígenes de registro, debe escribir un segundo origen de registro y escuchar número de puerto.

Habilitado

Active esta casilla de verificación para habilitar el origen del registro. De forma predeterminada, la casilla de verificación está activada.

Credibilidad

En la lista, seleccione credibilidad del origen del registro. El rango es de 0 a 10.

La credibilidad indica la integridad de un evento o delito determinado por la calificación de credibilidad de los dispositivos de origen. La credibilidad aumenta si varias fuentes informan sobre el mismo evento. El valor predeterminado es 5.

Recolector de eventos de destino

En la lista, seleccione el recopilador de eventos de destino para usar como destino para el origen del registro.

Eventos de unección

Active la casilla Eventos de agrupación para habilitar el origen del registro para agrupar eventos (agrupación).

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos de coalescing de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga de eventos entrantes

En la lista Carga de eventos entrantes , seleccione el codificador de carga entrante para analizar y almacenar los registros.

Carga de eventos de la tienda

Active la casilla Carga de eventos de almacén para habilitar el origen del registro para almacenar la información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración de protocolo

Syslog multilínea TCP

Identificador de origen de registro

Escriba una dirección IP o un nombre de host para identificar el origen del registro. Para usar un nombre en su lugar, seleccione Usar nombre de fuente personalizado y complete los parámetros Regex de nombre de origen y cadena de formato de nombre de origen .

Puerto de escucha

El puerto predeterminado es 12468.

Método de agregación

El valor predeterminado es La coincidencia inicio/fin. Utilice ID-Linked si desea combinar eventos de varias líneas unidos por un identificador común.

Patrón de inicio de eventos

Este parámetro está disponible cuando se establece el parámetro Método de agregación en coincidencia de inicio/fin.

La expresión regular (regex) necesaria para identificar el inicio de una carga de eventos multilínea TCP. Los encabezados syslog suelen comenzar con una marca de fecha u hora. El protocolo puede crear un evento de una sola línea basado únicamente en un patrón de inicio de evento, como una marca de tiempo. Cuando solo hay un patrón de inicio disponible, el protocolo captura toda la información entre cada valor de inicio para crear un evento válido.

Patrón de fin de evento

Este parámetro está disponible cuando se establece el parámetro Método de agregación en coincidencia de inicio/fin.

Esta expresión regular (regex) es necesaria para identificar el final de una carga de eventos tcp multilínea. Si el evento syslog termina con el mismo valor, puede usar una expresión regular para determinar el final de un evento. El protocolo puede capturar eventos que se basan únicamente en un patrón de fin de evento. Cuando solo está disponible un patrón final, el protocolo captura toda la información entre cada valor final para crear un evento válido.

Patrón de ID de mensaje

Este parámetro está disponible cuando se establece el parámetro Método de agregación en ID-Linked.

Esta expresión regular (regex) se requiere para filtrar los mensajes de carga de eventos. Los mensajes de eventos de varias líneas TCP deben contener un valor de identificación común que se repita en cada línea del mensaje de evento.

Formateador de eventos

Use la opción Multiline de Windows para eventos de varias líneas con formato específico para Windows.

Mostrar opciones avanzadas

El valor predeterminado es No. Seleccione Sí si desea personalizar los datos del evento.

Usar nombre de origen personalizado

Este parámetro está disponible cuando establece Mostrar opciones avanzadas en Sí.

Active la casilla de verificación si desea personalizar el nombre de origen con regex.

Nombre de fuente Regex

Este parámetro está disponible al comprobar Usar nombre de origen personalizado.

La expresión regular (regex) que captura uno o más valores de cargas de eventos que se manejan mediante este protocolo. Estos valores se utilizan junto con el parámetro Cadena de formato de nombre de origen para establecer un valor de origen o origen para cada evento. Este valor de origen se utiliza para enrutar el evento a un origen de registro con un valor de identificador de origen de registro coincidente.

Cadena de formato de nombre de origen

Este parámetro está disponible al comprobar Usar nombre de origen personalizado.

Puede usar una combinación de una o más de las siguientes entradas para formar un valor de origen para cargas de eventos que se procesan mediante este protocolo:

• Uno o más grupos de captura del Regex de nombre de origen. Para hacer referencia a un grupo de captura, use la notación \x donde x es el índice de un grupo de captura del Regex de nombre de origen.

• La dirección IP de donde se originaron los datos de eventos. Para hacer referencia a la IP del paquete, utilice el token $PIP$.

• Caracteres de texto literal. Toda la cadena de formato de nombre de origen puede ser texto proporcionado por el usuario. Por ejemplo, si el Regex de nombre de origen es 'hostname=(.*??)' y desea anexar hostname.com al valor del grupo de captura 1, establezca la cadena de formato de nombre de origen en\1.hostname.com. Si se procesa un evento que contiene hostname=ibm, el valor de origen de la carga del evento se establece en ibm.hostname.com y JSA enruta el evento a un origen de registro con ese identificador de origen de registro.

Usar como fuente de registro de puerta de enlace

Este parámetro está disponible cuando establece Mostrar opciones avanzadas en Sí.

Cuando se selecciona, los eventos que fluyen a través del origen del registro se pueden enrutar a otros orígenes de registro, según el nombre de origen etiquetado en los eventos.

Cuando esta opción no está seleccionada y usar nombre de origen personalizado no está marcado, los eventos entrantes se etiquetan con un nombre de origen que corresponde al parámetro Identificador de origen de registro.

Aplane los eventos de varias líneas en una sola línea

Este parámetro está disponible cuando establece Mostrar opciones avanzadas en Sí.

Muestra un evento en una o varias líneas.

Conservar líneas completas durante la agregación de eventos

Este parámetro está disponible cuando establece Mostrar opciones avanzadas en Sí.

Si establece el parámetro Método de agregación en ID vinculado, puede habilitar Conservar líneas completas durante la agregación de eventos para descartar o mantener la parte de los eventos que viene antes del patrón id. de mensaje al concatenar eventos con el mismo patrón de ID.

Límite de tiempo

Número de segundos para esperar a que se produzcan cargas coincidentes adicionales antes de insertar el evento en la canalización de eventos. El valor predeterminado es de 10 segundos.

Habilitado

Active esta casilla de verificación para habilitar el origen del registro.

Credibilidad

Seleccione la credibilidad del origen del registro. El rango es de 0 a 10.

La credibilidad indica la integridad de un evento o delito determinado por la calificación de credibilidad de los dispositivos de origen. La credibilidad aumenta si varias fuentes informan sobre el mismo evento. El valor predeterminado es 5.

Recolector de eventos de destino

Seleccione el recopilador de eventos en su implementación que debería alojar el escucha syslog multilínea TCP.

Eventos de unección

Active esta casilla de verificación para permitir que el origen del registro unifique eventos (agrupación).

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos de coalescing de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga de eventos de la tienda

Active esta casilla de verificación para habilitar el origen del registro para almacenar información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Configuración de protocolo

Syslog TLS

Identificador de origen de registro

Una dirección IP o nombre de host para identificar el origen del registro.

Puerto de escucha TLS

El puerto de escucha TLS predeterminado es 6514.

Modo de autenticación

El modo en el que usa la conexión TLS para autenticarse. Si selecciona la opción TLS y autenticación de cliente , debe configurar los parámetros de certificado.

Autenticación de certificado de cliente

Seleccione una de las siguientes opciones de la lista:

• Verificación de lista de permitidos y emisores de CN

• Certificado de cliente en disco

Usar lista de permitidos de CN

Habilite este parámetro para usar una lista de permitir CN.

Lista de permitidos de CN

Lista de permitidos de nombres comunes de certificados de cliente de confianza. Puede introducir texto sin formato o una expresión regular (regex). Para definir varias entradas, escriba cada una en una línea independiente.

Usar verificación del emisor

Habilite este parámetro para usar la verificación del emisor.

Certificado de emisor raíz/intermedio o clave pública

Ingrese el certificado o la clave pública del emisor raíz/intermedio en formato PEM.

• Ingrese el certificado, a partir de:

  ----- CERTIFICADOBEGIN-----

  y terminando con:

  certificado -----END-----

• Ingrese la clave pública a partir de:

  ----- ----- pública-----

  y terminando con:

  clave pública -----END-----

Comprobar revocación de certificado

Comprueba el estado de revocación de certificado en el certificado de cliente. Esta opción requiere conectividad de red a la dirección URL especificada por el campo Puntos de distribución CRL para el certificado de cliente en la extensión X509v3.

Comprobar el uso de certificados

Comprueba el contenido de las extensiones del certificado X509v3 en los campos Uso de clave y Extensión de uso de clave extendido . Para el certificado de cliente entrante, los valores permitidos de uso de claves X509v3 son firma digital y keyAgreement. El valor permitido para el uso extendido de clave X509v3 es autenticación de cliente web TLS.

Esta propiedad está deshabilitada de forma predeterminada.

Ruta de certificado de cliente

La ruta absoluta al certificado de cliente en el disco. El certificado se debe almacenar en la consola de JSA o en el recopilador de eventos para este origen de registro.

Tipo de certificado de servidor

El tipo de certificado que se utilizará para la autenticación para el certificado de servidor y la clave de servidor.

Seleccione una de las siguientes opciones de la lista Tipo de certificado de servidor:

• Certificado generado

• Certificado PEM y clave privada

• Contraseña y cadena de certificados PKCS12

• Elija entre el almacén de certificados JSA

Certificado generado

Esta opción está disponible al configurar el tipo de certificado.

Si desea usar el certificado y la clave predeterminados generados por JSA para el certificado y la clave de servidor, seleccione esta opción.

El certificado generado se denomina syslog-tls.cert en el directorio /opt/ qradar/conf/trusted_certificates/ del recopilador de eventos de destino al que se asigna el origen del registro.

Certificado único y clave privada

Esta opción está disponible al configurar el tipo de certificado.

Si desea usar un solo certificado PEM para el certificado de servidor, seleccione esta opción y, a continuación, configure los siguientes parámetros:

• Ruta de certificado de servidor proporcionada : la ruta absoluta al certificado de servidor.

• Ruta de clave privada proporcionada : la ruta absoluta a la clave privada.

Certificado y contraseña PKCS12

Esta opción está disponible al configurar el tipo de certificado.

Si desea usar un archivo PKCS12 que contenga el certificado y la clave de servidor, seleccione esta opción y, a continuación, configure los siguientes parámetros:

• Ruta de certificado PKCS12: escriba la ruta del archivo para el archivo PKCS12 que contiene el certificado y la clave del servidor.

• PKCS12 Password : escriba la contraseña para acceder al archivo PKCS12.

• Alias de certificado : si hay más de una entrada en el archivo PKCS12, se debe proporcionar un alias para especificar qué entrada se utilizará. Si solo hay un alias en el archivo PKCS12, deje este campo en blanco.

Elija entre el almacén de certificados JSA

Esta opción está disponible al configurar el tipo de certificado.

Puede usar la aplicación Administración de certificados para cargar un certificado desde el almacén de certificados JSA.

La aplicación se admite en JSA 7.3.3 Fix Pack 6 o posterior, y JSA 7.4.2 o posterior.

Longitud máxima de carga

La longitud máxima de carga (caracteres) que se muestra para el mensaje TLS Syslog.

Máximo de conexiones

El parámetro Maximum Connections controla cuántas conexiones simultáneas puede aceptar el protocolo Syslog TLS para cada recolector de eventos.

Para cada recopilador de eventos, hay un límite de 1000 conexiones, incluidos los orígenes de registro habilitados y deshabilitados, en la configuración de origen de registro Syslog TLS.

Protocolos TLS

El protocolo TLS que utilizará el origen del registro.

Seleccione la opción "TLS 1.2 o posterior".

Usar como fuente de registro de puerta de enlace

Envía los eventos recopilados a través del motor de análisis de tráfico JSA para detectar automáticamente el origen de registro adecuado.

Si no desea definir un identificador de origen de registro personalizado para eventos, desactive la casilla de verificación.

Cuando esta opción no está seleccionada y el patrón de identificador de origen de registro no está configurado, JSA recibe eventos como orígenes de registro genéricos desconocidos.

Patrón de identificador de origen de registro

Use la opción Usar como fuente de registro de puerta de enlace para definir un identificador de origen de registro personalizado para los eventos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando corresponda. Si no configura el patrón de identificador de origen de registro, JSA recibe los eventos como orígenes de registro genéricos desconocidos.

Utilice pares clave-valor para definir el identificador de origen de registro personalizado. La clave es la cadena de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón regex asociado que se utiliza para evaluar la carga actual. Este valor también admite grupos de captura que se pueden usar para personalizar aún más la clave.

Defina varios pares clave-valor escribiendo cada patrón en una nueva línea. Se evalúan varios patrones en el orden en que se enumeran. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado.

En los siguientes ejemplos, se muestran varias funciones de par clave-valor.

• Patrones - VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2= \s(ACCEPT)\s(OK)

• Eventos - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• Identificador de origen de registro personalizado resultante : VPC-ACCEPT-OK

Habilitar varias líneas

Agregue varios mensajes en eventos únicos según una coincidencia de inicio/fin o una expresión regular vinculada a ID.

Método de agregación

Este parámetro está disponible cuando habilitar multilínea está activado.

• ID-Linked : procesa registros de eventos que contienen un valor común al principio de cada línea.

• Coincidencia de inicio/fin : agrega eventos basados en una expresión regular de inicio o fin (regex).

Patrón de inicio de eventos

Este parámetro está disponible cuando Enable Multiline está activado y el método de agregación se establece en Coincidencia de inicio/fin.

La expresión regular (regex) es necesaria para identificar el inicio de una carga de eventos multilínea TCP. Los encabezados de Syslog normalmente comienzan con una fecha o una marca de hora. El protocolo puede crear un evento de una sola línea que se basa únicamente en un patrón de inicio de evento, como una marca de hora. Cuando solo hay un patrón de inicio disponible, el protocolo captura toda la información entre cada valor de inicio para crear un evento válido.

Patrón de fin de evento

Este parámetro está disponible cuando Enable Multiline está activado y el método de agregación se establece en Coincidencia de inicio/fin.

Esta expresión regular (regex) es necesaria para identificar el final de una carga de eventos multilínea TCP. Si el evento syslog termina con el mismo valor, puede usar una expresión regular para determinar el final de un evento. El protocolo puede capturar eventos que se basan únicamente en un patrón de fin de evento. Cuando solo está disponible un patrón final, el protocolo captura toda la información entre cada valor final para crear un evento válido.

Patrón de ID de mensaje

Este parámetro está disponible cuando Enable Multiline está activado y el método de agregación se establece en ID vinculado.

Esta expresión regular (regex) se requiere para filtrar los mensajes de carga de eventos. Los mensajes de eventos de varias líneas TCP deben contener un valor de identificación común que se repita en cada línea del mensaje de evento.

Límite de tiempo

Este parámetro está disponible cuando Enable Multiline está activado y el método de agregación se establece en ID vinculado.

Número de segundos para esperar a que haya más cargas coincidentes antes de insertar el evento en la canalización de eventos. El valor predeterminado es de 10 segundos.

Conservar líneas completas durante la agregación de eventos

Este parámetro está disponible cuando Enable Multiline está activado y el método de agregación se establece en ID vinculado.

Si establece el parámetro Método de agregación en ID vinculado, puede habilitar Conservar líneas completas durante la agregación de eventos para descartar o mantener la parte de los eventos que preceden al patrón id. de mensaje. Solo puede habilitar esta función cuando se concatenan eventos con el mismo patrón de ID.

Aplane los eventos de varias líneas en una sola línea

Este parámetro está disponible cuando habilitar multilínea está activado.

Muestra un evento en una o varias líneas.

Formateador de eventos

Este parámetro está disponible cuando habilitar multilínea está activado.

Use la opción Multiline de Windows para eventos de varias líneas con formato específico para Windows.

Configuración de protocolo

Syslog multilínea UDP

Puerto de escucha

El número de puerto predeterminado que usa JSA para aceptar eventos de Syslog multilínea UDP entrantes es 517. Puede usar un puerto diferente en el rango 1 - 65535.

Para editar una configuración guardada para usar un nuevo número de puerto, realice los pasos siguientes:

1. En el campo Listen Port , escriba el nuevo número de puerto para recibir eventos UDP Multiline Syslog.

2. Haga clic en Guardar.

3. Haga clic en Implementar cambios para que este cambio sea efectivo.

La actualización de puerto está completa y la recopilación de eventos comienza en el nuevo número de puerto.

Patrón de ID de mensaje

La expresión regular (regex) necesaria para filtrar los mensajes de carga de eventos. Los mensajes de eventos multilínea UDP deben contener un valor de identificación común que se repita en cada línea del mensaje de evento.

Formateador de eventos

Formateador de eventos que formatea las cargas entrantes que detecta el escucha. Seleccione Sin formato para dejar la carga intacta. Seleccione Cisco ACS Multiline para formatear la carga en un evento de una sola línea.

En el encabezado syslog de ACS, hay campos total_seg y seg_num. Estos dos campos se utilizan para reorganizar los eventos multilínea de ACS en un evento de una sola línea con el orden correcto cuando seleccione la opción Multiline de ACS de Cisco.

Mostrar opciones avanzadas

El valor predeterminado es No. Seleccione Sí si desea configurar opciones avanzadas.

Usar nombre de origen personalizado

Active la casilla de verificación si desea personalizar el nombre de origen con regex.

Nombre de fuente Regex

Utilice los parámetros Regex de nombre de origen y Cadena de formato de nombre de origen si desea personalizar cómo JSA determina el origen de los eventos que se procesan en esta configuración de Syslog multilínea UDP.

En Regex de nombre de origen, escriba un regex para capturar uno o más valores de identificación de cargas de eventos que se manejan mediante este protocolo. Estos valores se usan con la cadena de formato de nombre de origen para establecer un valor de origen o origen para cada evento. Este valor de origen se utiliza para enrutar el evento a un origen de registro con un valor de identificador de origen de registro coincidente cuando la opción Usar como puerta de enlace Origen de registro está habilitada.

Cadena de formato de nombre de origen

Puede usar una combinación de una o más de las siguientes entradas para formar un valor de origen para cargas de eventos que se procesan mediante este protocolo:

• Uno o más grupos de captura del Regex de nombre de origen. Para hacer referencia a un grupo de captura, use la notación \x donde x es el índice de un grupo de captura del Regex de nombre de origen.

• La dirección IP de la que se originaron los datos de eventos. Para hacer referencia a la IP del paquete, utilice el token $PIP$.

• Caracteres de texto literal. Toda la cadena de formato de nombre de origen puede ser texto proporcionado por el usuario.

Por ejemplo, CiscoACS\1\2$PIP$, donde \1\2 significa el primer y segundo grupo de captura del valor Regex de nombre fuente , y $PIP$ es la IP del paquete.

Usar como fuente de registro de puerta de enlace

Si esta casilla de verificación está desactivada, los eventos entrantes se envían al origen del registro con el identificador de origen de registro que coincide con la IP desde la que se originaron.

Cuando se comprueba, este origen de registro sirve como un único punto de entrada o puerta de enlace para eventos de varias líneas de muchos orígenes para entrar en JSA y procesarse de la misma manera, sin la necesidad de configurar un origen de registro UDP Multiline Syslog para cada origen. Los eventos con un encabezado syslog compatible con RFC3164 o RFC5424 se identifican como originados en el nombre de IP o host en su encabezado, a menos que el parámetro Cadena de formato de nombre de origen esté en uso, en cuyo caso esa cadena de formato se evalúa para cada evento. Estos eventos se enrutan a través de JSA según este valor capturado.

Si existen uno o más orígenes de registro con un identificador de origen de registro correspondiente, se les da el evento en función del orden de análisis configurado. Si no aceptan el evento o si no existen orígenes de registro con un identificador de origen de registro coincidente, los eventos se analizan para la detección automática.

Aplane los eventos de varias líneas en una sola línea

Muestra un evento en una o varias líneas. Si esta casilla de verificación está activada, todos los caracteres de devolución de línea y transporte nuevos se quitarán del evento.

Conservar líneas completas durante la agregación de eventos

Elija esta opción para descartar o conservar la parte de los eventos que viene antes del patrón de ID de mensaje cuando el protocolo concatena eventos con el mismo patrón de ID.

Límite de tiempo

Número de segundos para esperar a que se produzcan cargas coincidentes adicionales antes de insertar el evento en la canalización de eventos. El valor predeterminado es de 10 segundos.

Habilitado

Active esta casilla de verificación para habilitar el origen del registro.

Credibilidad

Seleccione la credibilidad del origen del registro. El rango es de 0 a 10.

La credibilidad indica la integridad de un evento o delito determinado por la calificación de credibilidad de los dispositivos de origen. La credibilidad aumenta si varias fuentes informan sobre el mismo evento. El valor predeterminado es 5.

Recolector de eventos de destino

Seleccione el recopilador de eventos en su implementación que debería alojar el agente de escucha syslog multilínea UDP.

Eventos de unección

Active esta casilla de verificación para permitir que el origen del registro unifique eventos (agrupación).

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Eventos de coalescing de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Carga de eventos de la tienda

Active esta casilla de verificación para habilitar el origen del registro para almacenar información de carga de eventos.

De forma predeterminada, los orígenes de registro detectados automáticamente heredan el valor de la lista Carga de eventos de almacén de la configuración del sistema en JSA. Cuando crea un origen de registro o edita una configuración existente, puede invalidar el valor predeterminado configurando esta opción para cada origen de registro.

Identificador de origen de registro

El nombre de origen del registro no puede incluir espacios y debe ser único entre todos los orígenes de registro de este tipo que estén configurados con el protocolo VMware vCloud Director.

Configuración de protocolo

VMware vCloud Director

URL de vCloud

La URL que está configurada en su dispositivo VMware vCloud para acceder a la API de REST. La DIRECCIÓN URL debe coincidir con la dirección que está configurada como el campo URL base de la API de REST público VCD en el servidor de vCloud. Por ejemplo, https:<my.vcloud.server>/api.

Nombre de usuario

Nombre de usuario necesario para acceder de forma remota al servidor vCloud. Por ejemplo, console/user@organization.

Si desea configurar una cuenta de solo lectura para usarla con JSA, cree un usuario de vCloud en su organización que tenga el permiso Solo acceso a la consola .

Contraseña

La contraseña necesaria para acceder de forma remota al servidor vCloud.

Intervalo de sondeo (en segundos)

La cantidad de tiempo entre consultas al servidor vCloud para eventos nuevos.

El intervalo de sondeo predeterminado es de 10 segundos.

Aceleración de EPS

Número máximo de eventos por segundo (EPS). El valor predeterminado es 5000.

Habilitar opciones avanzadas

Active esta opción para configurar más parámetros.

Dimensiones de la API

Si selecciona Habilitar opciones avanzadas, se mostrará este parámetro.

Número de registros que se devolverán por llamada a la API. El máximo es de 128.

Habilitar SDK de vCloud heredado

Si selecciona Habilitar opciones avanzadas, se mostrará este parámetro.

Para conectarse a vCloud 5.1 o anterior, habilite esta opción.

Versión de la API de vCloud

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar SDK de vCloud heredado, este parámetro ya no se muestra.

La versión de vCloud que se utiliza en su solicitud de API. Esta versión debe coincidir con una versión compatible con la instalación de vCloud.

Utilice los siguientes ejemplos para ayudarlo a determinar qué versión es compatible con su instalación de vCloud:

• API de vCloud 33.0 (vCloud Director 10.0)

• API de vCloud 32.0 (vCloud Director 9.7)

• API de vCloud 31.0 (vCloud Director 9.5)

• API de vCloud 30.0 (vCloud Director 9.1)

• API de vCloud 29.0 (vCloud Director 9.0)

Permitir certificados no confiables

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar SDK de vCloud heredado, este parámetro ya no se muestra.

Cuando se conecta a vCloud 5.1 o posterior, debe habilitar esta opción para permitir certificados autofirmados y no de confianza.

El certificado debe descargarse en formato binario codificado PEM o DER y, luego, colocarse en el /opt/qradar/conf/ trusted_certificates/ directorio con una .cert or .crt extensión de archivo.

Usar proxy

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar SDK de vCloud heredado, este parámetro ya no se muestra.

Si se accede al servidor mediante un proxy, active la casilla Usar proxy . Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto de proxy, nombre de usuario de proxy y Contraseña de proxy .

Si el proxy no requiere autenticación, configure el campo IP de proxy o Nombre de host.

IP de proxy o nombre de host

Si selecciona Usar proxy, se mostrará este parámetro.

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar SDK de vCloud heredado, este parámetro ya no se muestra.

Puerto proxy

Si selecciona Usar proxy, se mostrará este parámetro.

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar SDK de vCloud heredado, este parámetro ya no se muestra.

Número de puerto que se utiliza para comunicarse con el proxy. El valor predeterminado es 8080.

Nombre de usuario de proxy

Si selecciona Usar proxy, se mostrará este parámetro.

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar SDK de vCloud heredado, este parámetro ya no se muestra.

Contraseña de proxy

Si selecciona Usar proxy, se mostrará este parámetro.

Si selecciona Habilitar opciones avanzadas y, a continuación, selecciona Habilitar SDK de vCloud heredado, este parámetro ya no se muestra.