Optionen für die Konfiguration des PCAP-Syslog-Kombinationsprotokolls

Um Ereignisse von Juniper SRX Series Services Gateway oder Juniper Junos OS Platform zu erfassen, die PCAP-Daten (PCAP-Packet Capture) weiterleiten, konfigurieren Sie eine Protokollquelle für die Verwendung des PCAP-Syslog-Kombinationsprotokolls.

Das PCAP-Syslog-Kombinationsprotokoll ist ein Protokoll für eingehende/passive Anforderungen.

Bevor Sie eine Protokollquelle konfigurieren, die das PCAP-Syslog-Kombinationsprotokoll verwendet, müssen Sie den abgehenden PCAP-Port ermitteln, der auf Juniper SRX Series Services Gateway oder Juniper Junos OS Platform konfiguriert ist. PCAP-Daten können nicht an Port 514 weitergeleitet werden.
Hinweis:

QRadar unterstützt den Empfang von PCAP-Daten nur von Juniper SRX Series Services Gateway oder Juniper Junos OS Platform für jeden Ereigniskollektor.

In der folgenden Tabelle werden die protokollspezifischen Parameter für das PCAP-Syslog-Kombinationsprotokoll beschrieben:
Tabelle 1. Parameter für PCAP-Syslog-Kombinationsprotokolle
Parameter Beschreibung
Protokollquellenname Geben Sie einen eindeutigen Namen für die Protokollquelle ein.
Protokollquellenbeschreibung (Optional) Geben Sie eine Beschreibung für die Protokollquelle ein.
Protokollquellentyp

In der Liste können Sie entweder Juniper SRX Series Services Gateway oder Juniper Junos OS Platformauswählen.
Protokollkonfiguration

Wählen Sie in der Liste PCAP-Syslog-Kombinationaus.
Protokollquellenkennung

Geben Sie eine IP-Adresse, einen Hostnamen oder einen Namen ein, um die Appliance Juniper SRX Series Services Gateway oder Juniper Junos Platform zu identifizieren.

Die Protokollquellen-ID muss für den Protokollquellentyp eindeutig sein.
Eingehender PCAP-Port

Wenn der abgehende PCAP-Port auf der Appliance Juniper SRX Series Services Gateway oder Juniper Junos OS Platform bearbeitet wird, müssen Sie die Protokollquelle bearbeiten, um den eingehenden PCAP-Port zu aktualisieren.

Führen Sie die folgenden Schritte aus, um die PCAP-Portnummer für eingehende Ereignisdaten zu bearbeiten:
  1. Geben Sie die neue Portnummer für den Empfang von PCAP-Daten ein.
  2. Klicken Sie auf Speichern.

Die Portaktualisierung ist abgeschlossen und die Ereigniserfassung beginnt an der neuen Portnummer.
Aktiviert

Aktivieren Sie dieses Kontrollkästchen, um die Protokollquelle zu aktivieren.

Wenn dieses Kontrollkästchen abgewählt ist, erfasst die Protokollquelle keine Ereignisse und die Protokollquelle wird nicht im Lizenzgrenzwert gezählt.
Zuverlässigkeit

Wählen Sie die Zuverlässigkeit der Protokollquelle aus. Der Bereich ist 0 (niedrigste) bis 10 (höchste). Die Standardzuverlässigkeitseinstellung ist 5.

Zuverlässigkeit ist eine Darstellung der Integrität oder Gültigkeit von Ereignissen, die von einer Protokollquelle erstellt wurden. Der einer Protokollquelle zugeordnete Zuverlässigkeitswert kann abhängig von eingehenden Ereignissen zu- oder abnehmen oder als Antwort auf vom Benutzer erstellte Ereignisregeln angepasst werden. Die Zuverlässigkeit von Ereignissen aus Protokollquellen trägt zur Berechnung des Ausmaßes des Angriffs bei und kann den Wert für das Ausmaß eines Angriffs erhöhen oder verringern.
Zielereigniskollektor

Wählen Sie das Ziel für die Protokollquelle aus. Wenn eine Protokollquelle aktiv Ereignisse aus einer fernen Quelle erfasst, definiert dieses Feld, welche Appliance die Ereignisse abfragt.

Diese Option ermöglicht Administratoren das Abfragen und Verarbeiten von Ereignissen auf dem Zielereigniskollektor anstelle der Konsolenappliance. Dies kann die Leistung in verteilten Implementierungen verbessern.
Verbindungsereignisse

Wählen Sie dieses Kontrollkästchen aus, um die Protokollquelle für die Verbindung von Ereignissen (Bundle) zu aktivieren.

Das Verbinden von Ereignissen erhöht die Ereignisanzahl, wenn dasselbe Ereignis innerhalb eines kurzen Zeitintervalls mehrmals auftritt. Verbindungsereignisse bieten Administratoren eine Möglichkeit, die Häufigkeit, in der ein einzelner Ereignistyp auf der Registerkarte Protokollaktivität auftritt, anzuzeigen und zu bestimmen.

Wenn dieses Kontrollkästchen abgewählt ist, werden die Ereignisse einzeln angezeigt und die Informationen werden nicht gebündelt.

Neue und automatisch erkannte Protokollquellen übernehmen den Wert dieses Kontrollkästchens aus der Konfiguration Systemeinstellungen auf der Registerkarte Verwaltung . Administratoren können dieses Kontrollkästchen verwenden, um das Standardverhalten der Systemeinstellungen für eine einzelne Protokollquelle zu überschreiben.
Ereignisnutzdaten speichern

Wählen Sie dieses Kontrollkästchen aus, damit die Protokollquelle die Nutzdateninformationen aus einem Ereignis speichern kann.

Neue und automatisch erkannte Protokollquellen übernehmen den Wert dieses Kontrollkästchens aus der Konfiguration Systemeinstellungen auf der Registerkarte Verwaltung . Administratoren können dieses Kontrollkästchen verwenden, um das Standardverhalten der Systemeinstellungen für eine einzelne Protokollquelle zu überschreiben.
Protokollquellenerweiterung

(Optional) Wählen Sie den Namen der Erweiterung aus, die auf die Protokollquelle angewendet werden soll.

Dieser Parameter ist nach dem Hochladen einer Protokollquellenerweiterung verfügbar. Protokollquellenerweiterungen sind XML-Dateien mit regulären Ausdrücken, die die von einem Einheitenunterstützungsmodul (Device Support Module, DSM) definierten Ereignisparsingmuster überschreiben oder reparieren können.
Nutzungsbedingung für Erweiterung

Wählen Sie im Listenfeld die Verwendungsbedingung für die Protokollquellenerweiterung aus. Folgende Optionen sind verfügbar:

  • Parsing-Erweiterung: Aktivieren Sie diese Option, wenn die meisten Felder ordnungsgemäß für Ihre Protokollquelle syntaktisch analysiert werden.
  • Parsing override -Wählen Sie diese Option aus, wenn die Protokollquelle Ereignisse nicht ordnungsgemäß analysieren kann.
Gruppen Wählen Sie mindestens eine Gruppe für die Protokollquelle aus.