Konfigurationsoptionen für das Microsoft Azure Event Hubs-Protokoll

Das Microsoft Azure Event Hubs-Protokoll ist ein abgehendes und aktives Protokoll für IBM® Security QRadar® , das Ereignisse von Microsoft Azure Event Hubs erfasst.

Wichtig: Standardmäßig kann jeder Ereigniskollektor Ereignisse von bis zu 1.000 Partitionen erfassen, bevor keine Dateikennungen mehr verfügbar sind. Wenn Sie Daten von mehr Partitionen erfassen möchten, können Sie sich an den IBM Support wenden, um Informationen zur erweiterten Optimierung und Unterstützung zu erhalten. Weitere Informationen finden Sie unter IBM Support.

Die folgenden Parameter erfordern bestimmte Werte, um Ereignisse von Microsoft Azure Event Hubs-Appliances zu erfassen:

Tabelle 1. Microsoft Azure Event Hubs
Parameter	Wert
Authentifizierungsmethode	Dieses Dropdown-Feld dient zur Auswahl der Authentifizierungsmethode für Azure Event Hub. Es unterstützt die folgenden zwei Optionen: SAS (Shared Access Signature) : Verbindungsstring-basierte Authentifizierung. (Standardauswahl) Entra ID : Die Authentifizierung erfolgt über die Mieter-ID, die Kunden-ID und das Kundengeheimnis. Hinweise: Um eine Microsoft Entra-Anwendung zu erstellen, siehe Einrichten der erforderlichen Azure Ressourcen für den Export von Sicherheitswarnungen an IBM QRadar und Splunk - Microsoft Defender for Cloud. Um Microsoft Entra ID zu erlauben, aus dem Event Hub zu lesen, siehe Einrichten der erforderlichen Azure Ressourcen zum Exportieren von Sicherheitswarnungen auf IBM QRadar und Splunk - Microsoft Defender for Cloud.
Event Hub-Verbindungszeichenfolge verwenden	Authentifizierung mit einem Azure -Ereignishub unter Verwendung einer Verbindungszeichenfolge. Hinweise: Die Möglichkeit, diesen Schalter auszuschalten, ist veraltet. Wählen Sie Authentifizierungsmethode > SAS (Shared Access Signature), um diesen Parameter verfügbar zu machen.
Event Hub-Verbindungszeichenfolge	Berechtigungszeichenfolge, die den Zugriff auf einen Event Hub ermöglicht. Beispiel: `Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>` Hinweis: Wählen Sie Authentifizierungsmethode > SAS (Shared Access Signature), um diesen Parameter verfügbar zu machen.
Tenant-ID	Verwendet für Azure AD-Authentifizierung. Hinweis: Wählen Sie Authentifizierungsmethode > Entra ID, um diesen Parameter verfügbar zu machen.
Client ID	Die Client-ID ist eine öffentliche Kennung, die von Oauth2 zur Authentifizierung verwendet wird. Hinweis: Wählen Sie Authentifizierungsmethode > Entra ID, um diesen Parameter verfügbar zu machen.
Clientschlüssel	Das Client Secret wird verwendet, um sicherzustellen, dass der Benutzer berechtigt ist, ein Zugriffstoken zu erhalten. Das Client Secret ist ein Passwort, das nur dem Benutzer zur Verfügung steht, wenn es erstellt wird. Danach kann sie nur noch aus dem Gedächtnis oder in schriftlicher Form erhalten werden. Hinweis: Wählen Sie Authentifizierungsmethode > Entra ID, um diesen Parameter verfügbar zu machen.
Namespace (Namensbereich)	Der Name des Top-Level-Verzeichnisses, das die Event Hub-Entitäten enthält. Hinweis: Wählen Sie Authentifizierungsmethode > Entra ID, um diesen Parameter verfügbar zu machen.
Event Hub-Name	Die Kennung für den Event Hub, auf den Sie zugreifen wollen Der Name des Ereignishubs muss mit einer der Entitäten des Ereignishubs innerhalb des Namensraums übereinstimmen. Hinweis: Wählen Sie Authentifizierungsmethode > Entra ID, um diesen Parameter verfügbar zu machen.
Konsumentengruppe	Gibt die Ansicht an, die während der Verbindung verwendet wird. Jede Consumer Group verwaltet ihre eigene Sitzungsüberwachung. Jede Verbindung, die Konsumentengruppen und Verbindungsinformationen gemeinsam nutzt, nutzt Sitzungsüberwachungsdaten.
Speicher-Authentifizierungsverfahren	Dieses Dropdown-Feld dient zur Auswahl der Authentifizierungsmethode für Azure Storage. Es unterstützt die folgenden zwei Optionen: Gemeinsame Zugangssignatur (SAS) Verbindungsstring-basierte Authentifizierung. Dies ist die Standardauswahl. Entra ID Die Authentifizierung erfolgt über Mieter-ID, Client-ID und Client-Geheimnis.
Event Hub Entra ID Credentials verwenden	Verwenden Sie für die Speicherkonten die gleichen Entra ID-Anmeldeinformationen, die für den Azure Event Hub konfiguriert wurden. Setzen Sie diese Option auf false, um separate Entra ID-Anmeldedaten für die Verbindung zum Speicherkonto bereitzustellen.
Tenant-ID	Eine Tenant ID in Azure Entra ID ist ein eindeutiger Identifikator für den Microsoft Entra-Tenant einer Organisation, der als Container für alle Azure Ressourcen, Benutzer und Abonnements dient. Wählen Sie Speicherauthentifizierungsmethode>Entra ID und setzen Sie Use Event Hub Entra ID Credentials auf false, um diesen Parameter verfügbar zu machen.
Client ID	Die Client-ID ist eine öffentliche Kennung, die von Oauth2 zur Authentifizierung verwendet wird. Wählen Sie Speicherauthentifizierungsmethode>Entra ID und setzen Sie Use Event Hub Entra ID Credentials auf false, um diesen Parameter verfügbar zu machen.
Clientschlüssel	Das Client Secret wird verwendet, um sicherzustellen, dass der Benutzer berechtigt ist, ein Zugriffstoken zu erhalten. Das Client Secret ist ein Passwort, das nur dem Benutzer zur Verfügung steht, wenn es erstellt wird. Danach kann sie nur noch aus dem Gedächtnis oder in schriftlicher Form nachgelesen werden. Wählen Sie Speicherauthentifizierungsmethode>Entra ID und setzen Sie Use Event Hub Entra ID Credentials auf false, um diesen Parameter verfügbar zu machen.
Name des Speicherkontos	Der Name des Speicherkontos, in dem Event Hub Checkpoint- und Ownership-Metadaten gespeichert werden. Wählen Sie Speicherauthentifizierungsmethode>Entra ID, um diesen Parameter verfügbar zu machen
Verbindungszeichenfolge für Speicherkonto verwenden	Die Authentifizierung erfolgt mit einem Azure -Speicheraccount unter Verwendung einer Verbindungszeichenfolge. Hinweis: Die Möglichkeit, diesen Schalter zu inaktivieren, ist veraltet.
Verbindungszeichenfolge für Speicherkonto	Berechtigungszeichenfolge, die Zugriff auf ein Speicherkonto ermöglicht. Beispiel für Zugriffsschlüssel: `DefaultEndpointsProtocol=https;AccountName=<Storage Account Name>;AccountKey=<Storage Account Key>;EndpointSuffix=core.windows.net` Beispiel für Signatur für gemeinsamen Zugriff: `BlobEndpoint=<Blob Endpoint>;QueueEndpoint=<Queue Endpoint>;FileEndpoint=<File Endpoint>;TableEndpoint=<Table Endpoint>;SharedAccessSignature=<Access Signature>`
Azure Linux -Ereignisse in Syslog	Formatiert Azure Linux® -Protokolle in einem einzeiligen syslog-Format, das der syslog-Standardprotokollierung von Linux -Systemen ähnelt.
VNet-Datenflussprotokolle in IPFIX konvertieren	Microsoft Azure VNet Flow-Protokolle. Wählen Sie diese Option aus, um Datenflussprotokolle an die Registerkarte Netzaktivität in QRadarzu senden.
Durchfluss HostName	Aktivieren Sie die Option VNet-Datenflussprotokolle in IPFIX konvertieren , um diesen Parameter zu konfigurieren. Der Name des Datenflussprozessors, an den die Microsoft Azure VNet-Datenflussprotokolle gesendet werden.
Datenflussport	Aktivieren Sie die Option VNet-Datenflussprotokolle in IPFIX konvertieren , um diesen Parameter zu konfigurieren. Der Port des Datenflussprozessors, an den die Microsoft Azure VNet-Datenflussprotokolle gesendet werden.
Als Gateway-Protokollquelle verwenden	Wählen Sie diese Option aus, damit die erfassten Ereignisse durch die QRadar Traffic Analysis Engine fließen und QRadar automatisch eine oder mehrere Protokollquellen erkennt. Wenn Sie diese Option auswählen, kann das Muster für Protokollquellenkennung optional verwendet werden, um eine angepasste Protokollquellenkennung für Ereignisse zu definieren, die verarbeitet werden.
Protokollquellen-ID-Muster	Wenn die Option Als Gateway-Protokollquelle verwenden ausgewählt ist, können Sie mit dieser Option eine angepasste Protokollquellen-ID für Ereignisse definieren, die verarbeitet werden. Wenn das Protokollquellen-ID-Muster nicht konfiguriert ist, empfängt QRadar Ereignisse als unbekannte generische Protokollquellen. Das Feld Muster für Protokollquellenkennung akzeptiert Schlüssel/Wert-Paare, wie z. B. key= value, um die angepasste Protokollquellenkennung für Ereignisse zu definieren, die verarbeitet werden, und für Protokollquellen, die bei Bedarf automatisch erkannt werden sollen. Schlüssel ist die ID-Formatzeichenfolge, bei der es sich um den resultierenden Quellen-oder Ursprungswert handelt. Wert ist das zugehörige Muster für reguläre Ausdrücke, das zur Auswertung der aktuellen Nutzdaten verwendet wird. Der Wert (Muster für reguläre Ausdrücke) unterstützt auch Erfassungsgruppen, die zur weiteren Anpassung des Schlüssels verwendet werden können (ID Format String). Sie können mehrere Schlüssel/Wert-Paare definieren, indem Sie jedes Muster in einer neuen Zeile eingeben. Wenn mehrere Muster verwendet werden, werden sie nacheinander ausgewertet, bis eine Übereinstimmung gefunden wird. Wenn eine Übereinstimmung gefunden wird, wird eine angepasste Protokollquellen-ID angezeigt. Die folgenden Beispiele zeigen die Funktionalität für mehrere Schlüssel/Wert-Paare: Muster `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Ereignisse `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Resultierende ID der angepassten Protokollquelle VPC-AKZEPTIEREN-OK
Predictive Parsing verwenden	Wenn Sie diesen Parameter aktivieren, extrahiert ein Algorithmus Protokollquellen-ID-Muster aus Ereignissen, ohne den regulären Ausdruck für jedes Ereignis auszuführen, was die Parsing-Geschwindigkeit erhöht. Aktivieren Sie das vorausschauende Parsing nur für Protokollquellentypen, von denen Sie erwarten, dass sie hohe Ereignisraten erhalten und ein schnelleres Parsing erfordern.
Proxy verwenden	Wenn Sie einen Proxy konfigurieren, wird der gesamte Datenverkehr für die Protokollquelle über den Proxy geleitet, um auf Azure Event Hub zuzugreifen. Nachdem Sie diesen Parameter aktiviert haben, konfigurieren Sie die Felder Proxy IP or Hostname, Proxy Port, Proxy Usernameund Proxy Password . Wenn der Proxy keine Authentifizierung erfordert, können Sie die Felder Proxy-Benutzername und Proxy-Kennwort leer lassen. Hinweis: Die Digest-Authentifizierung für Proxy wird im Java™ SDK for Azure Event Hubs nicht unterstützt. Weitere Informationen finden Sie unter Azure Event Hubs - Client SDKs ( https://docs.microsoft.com/en-us/azure/event-hubs/sdks ).
Proxy-IP oder -Hostname	Die IP-Adresse oder der Hostname des Proxy-Servers. Dieser Parameter wird angezeigt, wenn Proxy verwenden aktiviert ist.
Proxy-Port	Die für die Kommunikation mit dem Proxy verwendete Portnummer. Der Standardwert ist 8080. Dieser Parameter wird angezeigt, wenn Proxy verwenden aktiviert ist.
Proxy-Benutzername	Der Benutzername für den Zugang zum Proxy-Server. Dieser Parameter wird angezeigt, wenn Proxy verwenden aktiviert ist.
Proxy-Kennwort	Das Kennwort für den Zugriff auf den Proxy-Server. Dieser Parameter wird angezeigt, wenn Proxy verwenden aktiviert ist.
EPS-Regulierung	Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt. Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet. Der Standardwert ist 5000.

In der folgenden Tabelle werden die nicht weiter unterstützten Microsoft Azure Event Hubs-Protokollquellenparameter beschrieben:

Tabelle 2. Veraltete Microsoft Azure Event Hubs-Protokollquellenparameter
Parameter	Wert
Veraltet-Name des Namensbereichs	Diese Option wird angezeigt, wenn die Option Use Event Hub Connection String inaktiviert ist. Der Name des Basisverzeichnisses, das die Event Hub-Entitäten in der Benutzerschnittstelle von Microsoft Azure Event Hubs enthält
Veraltet-Event Hub-Name	Diese Option wird angezeigt, wenn die Option Use Event Hub Connection String inaktiviert ist. Die Kennung für den Event Hub, auf den Sie zugreifen wollen Der Event Hub-Name muss mit einer der Event Hub-Entitäten im Namensbereich übereinstimmen.
Veraltet-SAS-Schlüsselname	Diese Option wird angezeigt, wenn die Option Use Event Hub Connection String inaktiviert ist. Der SAS-Name (SAS = Shared Access Signature) gibt den Ereignisbereitsteller an.
Veraltet-SAS-Schlüssel	Diese Option wird angezeigt, wenn die Option Use Event Hub Connection String inaktiviert ist. Der SAS-Schlüssel (SAS = Shared Access Signature) authentifiziert den Ereignispublisher.
Veraltet-Speicherkontoname	Diese Option wird angezeigt, wenn die Option Use Storage Account Connection String inaktiviert ist. Der Name des Speicherkontos, das Event Hub-Daten speichert. Der Name des Speicherkontos ist Teil des Authentifizierungsprozesses, der für den Zugriff auf Daten im Azure -Speicherkonto erforderlich ist.
Veraltet-Speicherkontoschlüssel	Diese Option wird angezeigt, wenn die Option Use Storage Account Connection String inaktiviert ist. Ein Berechtigungsschlüssel, der für die Authentifizierung des Speicherkontos verwendet wird. Der Speicherkontoschlüssel ist Teil des Authentifizierungsprozesses, der für den Zugriff auf Daten im Azure Storage-Konto erforderlich ist.