Konfigurationsoptionen für TLS-Syslog-Protokolle

Konfigurieren Sie eine Protokollquelle für das TLS-Syslog, um verschlüsselte Syslog-Ereignisse von Netzeinheiten zu empfangen, die die Weiterleitung von TLS-Syslog-Ereignissen für jeden Listener-Port unterstützen.

Das Protokoll TLS Syslog ist ein passives Protokoll für eingehende Anforderungen. Die Protokollquelle erstellt einen Empfangsport für eingehende TLS-Syslog-Ereignisse. Standardmäßig verwenden TLS-Syslog-Protokollquellen das Zertifikat und den Schlüssel, die von IBM QRadargeneriert werden. Das TLS-Protokollquellenprotokoll unterstützt die folgenden Funktionen.

Ein Ereigniskollektor unterstützt bis zu 1000 TLS-Verbindungen.
Jede TLS-Protokollquelle (außer AutoDiscovered) muss einen eindeutigen Port auf diesem Ereigniskollektorverwenden.
Sie können auch bis zu 1000 TLS-Protokollquellen auf einem Ereigniskollektorerstellen.
Für Pem und Keymuss der Schlüssel das Format PKCS8/DER haben.
Wenn Sie die App Cert Management verwenden, muss der Schlüssel im PKCS8 -Format vorliegen.

In der folgenden Tabelle werden die protokollspezifischen Parameter für das Protokoll TLS Syslog beschrieben:

Tabelle 1. TLS-Syslog-Protokollparameter
Parameter	Beschreibung
Protokollkonfiguration	TLS Syslog
Log Source Identifier (Protokollquellenkennung)	Eine IP-Adresse oder ein Hostname zur Identifizierung der Protokollquelle.
TLS-Empfangsport	Der Standard-TLS-Empfangsport ist 6514. Wichtig: Sie können jedem TLS-Empfangsport nur eine TLS-Syslog-Protokollquelle zuordnen.
Authentifizierungsmodul	Der Modus, den Ihre TLS-Verbindung für die Authentifizierung verwendet. Wenn Sie die Option TLS-und Clientauthentifizierung auswählen, müssen Sie die Zertifikatsparameter konfigurieren.
Clientzertifikatsauthentifizierung	Wählen Sie eine der folgenden Optionen aus der Liste: CN-Zulassungsliste und Ausstellerprüfung Clientzertifikat auf Platte
CN-Zulassungsliste verwenden	Aktivieren Sie diesen Parameter, um eine CN-Zulassungsliste zu verwenden.
CN-Zulassungsliste	Die Zulassungsliste der allgemeinen Namen vertrauenswürdiger Clientzertifikate. Sie können einfachen Text oder einen regulären Ausdruck (regulären Ausdruck) eingeben. Um mehrere Einträge zu definieren, geben Sie jeden in einer separaten Zeile ein.
Ausstellerprüfung verwenden	Aktivieren Sie diesen Parameter, um die Ausstellerprüfung zu verwenden.
Root-/Zwischenzertifikat des Ausstellers oder öffentlicher Schlüssel	Geben Sie das Zertifikat des Root-/Zwischenausstellers oder den öffentlichen Schlüssel im PEM-Format ein. Geben Sie das Zertifikat ein, beginnend mit: `-----BEGIN CERTIFICATE-----` und endet mit: `-----END CERTIFICATE-----` Geben Sie den öffentlichen Schlüssel ein, der wie folgt beginnt: `-----BEGIN PUBLIC KEY-----` und endet mit: `-----END PUBLIC KEY-----`
Zertifikatswiderruf überprüfen	Überprüft den Status des Zertifikatswiderrufs anhand des Clientzertifikats. Diese Option erfordert eine Netzwerkverbindung zu URL, die im Feld "CRL-Verteilungspunkte" für das Client-Zertifikat in X509v3 angegeben ist.
Zertifikatsnutzung prüfen	Überprüft den Inhalt der X509v3 -Erweiterungen für Zertifikate in den Erweiterungsfeldern Schlüsselverwendung und Erweiterte Schlüsselverwendung . Für eingehende Clientzertifikate sind die zulässigen Werte für X509v3 -Schlüsselverwendung `digitalSignature` und `keyAgreement`. Der Zulassungswert für X509v3 Extended Key Usage ist `TLS Web Client Authentication`. Diese Eigenschaft ist standardmäßig inaktiviert.
Clientzertifikatspfad	Der absolute Pfad zum Clientzertifikat auf der Platte. Das Zertifikat muss in QRadar Console oder Event Collector für diese Protokollquelle gespeichert werden. Wichtig: Stellen Sie sicher, dass die Zertifikatsdatei, die Sie eingeben, wie folgt beginnt: `-----BEGIN CERTIFICATE-----` und endet mit: `-----END CERTIFICATE-----`
Serverzertifikatstyp	Der Typ des Zertifikats, das für die Authentifizierung für das Serverzertifikat und den Serverschlüssel verwendet werden soll Wählen Sie eine der folgenden Optionen aus der Liste Serverzertifikatstyp aus: Generiertes Zertifikat PEM-Zertifikat und privater Schlüssel PKCS12 Zertifikatskette und Kennwort Wählen Sie einen QRadar -Zertifikatsspeicher aus
Generiertes Zertifikat	Diese Option ist verfügbar, wenn Sie den Zertifikatstypkonfigurieren. Wählen Sie diese Option aus, wenn Sie das Standardzertifikat und den Standardschlüssel verwenden wollen, die von QRadar für das Serverzertifikat und den Serverschlüssel generiert werden. Das generierte Zertifikat wird im Verzeichnis /opt/qradar/conf/trusted_certificates/ auf dem Ereigniskollektor, dem die Protokollquelle zugeordnet ist, als syslog-tls.cert bezeichnet.
Einzelnes Zertifikat und privater Schlüssel	Diese Option ist verfügbar, wenn Sie den Zertifikatstypkonfigurieren. Wenn Sie ein einzelnes PEM-Zertifikat für das Serverzertifikat verwenden wollen, wählen Sie diese Option aus und konfigurieren Sie anschließend die folgenden Parameter: Bereitgestellter Serverzertifikatspfad -Der absolute Pfad zum Serverzertifikat. Bereitgestellter privater Schlüsselpfad -Der absolute Pfad zum privaten Schlüssel. Wichtig: Der entsprechende private Schlüssel muss ein DER-codierter PKCS8 -Schlüssel sein. Die Konfiguration schlägt mit einem anderen Schlüsselformat fehl.
PKCS12 Zertifikat und Kennwort	Diese Option ist verfügbar, wenn Sie den Zertifikatstypkonfigurieren. Wenn Sie eine PKCS12 -Datei verwenden möchten, die das Serverzertifikat und den Serverschlüssel enthält, wählen Sie diese Option aus und konfigurieren Sie die folgenden Parameter: PKCS12 Zertifikatspfad -Geben Sie den Dateipfad für die PKCS12 -Datei ein, die das Serverzertifikat und den Serverschlüssel enthält. PKCS12 Kennwort -Geben Sie das Kennwort für den Zugriff auf die PKCS12 -Datei ein. Zertifikatsalias -Wenn die PKCS12 -Datei mehrere Einträge enthält, muss ein Alias angegeben werden, um anzugeben, welcher Eintrag verwendet werden soll. Wenn nur ein Aliasname in der PKCS12 -Datei enthalten ist, lassen Sie dieses Feld leer.
Wählen Sie einen QRadar -Zertifikatsspeicher aus	Diese Option ist verfügbar, wenn Sie den Zertifikatstypkonfigurieren. Mit der App "Certificate Management" können Sie ein Zertifikat aus dem QRadar -Zertifikatsspeicher hochladen.
Maximale Nutzdatenlänge	Die maximale Nutzdatenlänge (Zeichen), die für TLS-Syslog-Nachricht angezeigt wird.
Maximale Anzahl Verbindungen	Der Parameter Maximale Anzahl Verbindungen steuert, wie viele gleichzeitige Verbindungen das TLS-Syslog-Protokoll für jedes Event Collectorakzeptieren kann. Für jeden Event Collectorgibt es einen Grenzwert von 1000 Verbindungen, einschließlich aktivierter und inaktivierter Protokollquellen, in der TLS-Syslog-Protokollquellenkonfiguration für jeden Ereigniskollektor. Der Standardwert für jede Einheitenverbindung ist 50, aber nicht der Grenzwert für jeden Port. Tipp: Automatisch erkannte Protokollquellen nutzen einen Listener gemeinsam mit einer anderen Protokollquelle. Wenn Sie beispielsweise denselben Port auf demselben Ereigniskollektor verwenden, wird der Grenzwert nur einmal gezählt.
TLS-Protokolle	Das von der Protokollquelle zu verwendende TLS-Protokoll. Wählen Sie die Option "TLS 1.2 oder höher" aus.
Als Gateway-protokollquelle Verwenden	Sendet erfasste Ereignisse über die QRadar Traffic Analysis Engine, um die entsprechende Protokollquelle automatisch zu erkennen. Wenn Sie keine benutzerdefinierte Protokollquellen-ID für Ereignisse definieren möchten, wählen Sie das Kontrollkästchen ab. Wenn diese Option nicht ausgewählt und Muster für Protokollquellenkennung nicht konfiguriert ist, empfängt QRadar Ereignisse als unbekannte generische Protokollquellen.
Predictive Parsing verwenden	Wenn Sie diesen Parameter aktivieren, extrahiert ein Algorithmus Protokollquellen-ID-Muster aus Ereignissen, ohne den regulären Ausdruck für jedes Ereignis auszuführen, was die Parsing-Geschwindigkeit erhöht. Tipp: In seltenen Fällen kann der Algorithmus falsche Vorhersagen treffen. Aktivieren Sie das vorausschauende Parsing nur für Protokollquellentypen, von denen Sie erwarten, dass sie hohe Ereignisraten erhalten und ein schnelleres Parsing erfordern.
Protokollquellen-ID-Muster	Verwenden Sie die Option Als Gateway-Protokollquelle verwenden , um eine angepasste Protokollquellen-ID für Ereignisse zu definieren, die verarbeitet werden, und für Protokollquellen, die gegebenenfalls automatisch erkannt werden. Wenn Sie Log Source Identifier Patternnicht konfigurieren, empfängt QRadar Ereignisse als unbekannte generische Protokollquellen. Verwenden Sie Schlüssel/Wert-Paare, um die angepasste Protokollquellen-ID zu definieren. Der Schlüssel ist die ID-Formatzeichenfolge, die den resultierenden Quellen-oder Ursprungswert darstellt. Der Wert ist das zugehörige Muster für reguläre Ausdrücke, das zum Auswerten der aktuellen Nutzdaten verwendet wird. Dieser Wert unterstützt auch Erfassungsgruppen, die zur weiteren Anpassung des Schlüssels verwendet werden können. Definieren Sie mehrere Schlüssel/Wert-Paare, indem Sie jedes Muster in einer neuen Zeile eingeben. Mehrere Muster werden in der Reihenfolge ausgewertet, in der sie aufgelistet sind. Wenn eine Übereinstimmung gefunden wird, wird eine angepasste Protokollquellen-ID angezeigt. Die folgenden Beispiele zeigen mehrere Schlüssel/Wert-Paarfunktionen. Muster `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Ereignisse `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Resultierende ID der angepassten Protokollquelle VPC-AKZEPTIEREN-OK
Multiline aktivieren	Fassen Sie mehrere Nachrichten auf der Basis eines Start-/Endabgleichs oder eines mit ID verknüpften regulären Ausdrucks zu einzelnen Ereignissen zusammen.
Aggregationsmethode	Dieser Parameter ist verfügbar, wenn Multiline aktivieren aktiviert ist. ID-Linked -Prozessereignisprotokolle, die einen gemeinsamen Wert am Anfang jeder Zeile enthalten. Start/End Matching -Aggregiert Ereignisse auf der Basis eines regulären Start-oder Endausdrucks (regulärer Ausdruck).
Ereignisstartmuster	Dieser Parameter ist verfügbar, wenn Mehrzeilige Aktivierung aktiviert und die Aggregationsmethode auf Start-/Endabgleichgesetzt ist. Der reguläre Ausdruck (regex) ist erforderlich, um den Anfang einer mehrzeiligen TCP-Ereignisnutzlast zu identifizieren. Syslog-Header beginnen normalerweise mit einem Datum oder einer Zeitmarke. Das Protokoll kann ein einzeiliges Ereignis erstellen, das ausschließlich auf einem Ereignisstartmuster (z. B. einer Zeitmarke) basiert. Wenn nur ein Startmuster verfügbar ist, erfasst das Protokoll alle Informationen zwischen jedem Startwert, um ein gültiges Ereignis zu erstellen.
Ereignisendmuster	Dieser Parameter ist verfügbar, wenn Mehrzeilige Aktivierung aktiviert und die Aggregationsmethode auf Start-/Endabgleichgesetzt ist. Dieser reguläre Ausdruck (regex) ist erforderlich, um das Ende der mehrzeiligen TCP-Ereignisnutzdaten zu identifizieren. Wenn das syslog-Ereignis mit demselben Wert endet, können Sie einen regulären Ausdruck verwenden, um das Ende eines Ereignisses zu bestimmen. Das Protokoll kann Ereignisse erfassen, die ausschließlich auf einem Ereignisendmuster basieren. Wenn nur ein Endmuster verfügbar ist, erfasst das Protokoll alle Informationen zwischen jedem Endwert, um ein gültiges Ereignis zu erstellen.
Nachrichten-ID-Muster	Dieser Parameter ist verfügbar, wenn Multiline aktivieren aktiviert und die Aggregationsmethode auf ID-Linkedgesetzt ist. Dieser reguläre Ausdruck (regex), der zum Filtern der Ereignisnutzdatennachrichten erforderlich ist. Die mehrzeiligen TCP-Ereignisnachrichten müssen einen allgemeinen Identifikationswert enthalten, der in jeder Zeile der Ereignisnachricht wiederholt wird.
Zeitlimit	Dieser Parameter ist verfügbar, wenn Multiline aktivieren aktiviert und die Aggregationsmethode auf ID-Linkedgesetzt ist. Die Anzahl der Sekunden, die auf weitere übereinstimmende Nutzdaten gewartet wird, bevor das Ereignis mit Push-Operation in die Ereignispipeline übertragen wird. Der Standardwert beträgt 10 Sekunden.
Gesamte Zeilen während Ereignisaggregation beibehalten	Dieser Parameter ist verfügbar, wenn Multiline aktivieren aktiviert und die Aggregationsmethode auf ID-Linkedgesetzt ist. Wenn Sie den Parameter Aggregation Method auf ID-Linkedsetzen, können Sie Retain Entire Lines during Event Aggregation aktivieren, um den Teil der Ereignisse zu löschen oder beizubehalten, die dem Nachrichten-ID-Mustervorausgehen. Sie können diese Funktion nur aktivieren, wenn Sie Ereignisse mit demselben ID-Muster miteinander verknüpfen.
Mehrzeilige Ereignisse in einer Zeile abflachen	Dieser Parameter ist verfügbar, wenn Multiline aktivieren aktiviert ist. Zeigt ein Ereignis in einer Zeile oder in mehreren Zeilen an.
Ereignisformatierungsprogramm	Dieser Parameter ist verfügbar, wenn Multiline aktivieren aktiviert ist. Verwenden Sie die Option Windows Multiline für mehrzeilige Ereignisse, die speziell für Windows formatiert sind.

Nach dem Speichern der Protokollquelle wird ein syslog-tls-Zertifikat für die Protokollquelle erstellt. Das Zertifikat muss auf jede Einheit in Ihrem Netz kopiert werden, die für die Weiterleitung verschlüsselter Systemprotokolle konfiguriert ist. Andere Netzeinheiten, die eine syslog-tls-Zertifikatsdatei und die TLS-Empfangsportnummer haben, können automatisch als TLS-Syslog-Protokollquelle erkannt werden.

TLS-Syslog-Anwendungsfälle

Die folgenden Anwendungsfälle stellen mögliche Konfigurationen dar, die Sie erstellen können:

Clientzertifikat auf Platte

Sie können ein Clientzertifikat bereitstellen, das das Protokoll für die Clientauthentifizierung aktiviert. Wenn Sie diese Option auswählen und das Zertifikat bereitstellen, werden eingehende Verbindungen anhand des Clientzertifikats validiert.

Prüfung der CN-Zulassungsliste und des Ausstellers

Wenn Sie diese Option ausgewählt haben, müssen Sie das Ausstellerzertifikat (mit den Dateierweiterungen .crt, .certoder .der ) in das folgende Verzeichnis kopieren:

/opt/qradar/conf/trusted_certificates

Dieses Verzeichnis befindet sich auf dem Zielereigniskollektor, dem die Protokollquelle zugeordnet ist.

Jedes eingehende Clientzertifikat wird mit den folgenden Methoden überprüft, um zu überprüfen, ob das Zertifikat vom vertrauenswürdigen Aussteller und anderen Prüfungen signiert wurde. Sie können eine oder beide Methoden für die Clientzertifikatsauthentifizierung auswählen:

CN-Zulassungsliste

Geben Sie eine Zulassungsliste mit allgemeinen Namen für vertrauenswürdige Clientzertifikate an. Sie können einfachen Text oder einen regulären Ausdruck eingeben. Definieren Sie mehrere Einträge, indem Sie jeden Eintrag in einer neuen Zeile eingeben.

Ausstellerprüfung

Geben Sie das Root-oder Zwischenzertifikat eines vertrauenswürdigen Clientzertifikats oder einen öffentlichen Schlüssel im PEM-Format an.

Zertifikatswiderruf überprüfen

Überprüft den Zertifikatswiderrufstatus anhand des Clientzertifikats. Diese Option erfordert eine Netzwerkverbindung zu URL, die im Feld "CRL-Verteilungspunkte" im Client-Zertifikat für X509v3 angegeben ist. 

Zertifikatsnutzung prüfen

Überprüft den Inhalt der X509v3 -Erweiterungen für Zertifikate in den Erweiterungsfeldern Schlüsselverwendung und Erweiterte Schlüsselverwendung . Für eingehende Clientzertifikate sind die zulässigen Werte für X509v3 -Schlüsselverwendung digitalSignature und keyAgreement. Der Zulassungswert für X509v3 Extended Key Usage ist TLS Web Client Authentication.

Vom Benutzer bereitgestellte Serverzertifikate

Sie können Ihr eigenes Serverzertifikat und den entsprechenden privaten Schlüssel konfigurieren. Der konfigurierte TLS-Syslog-Provider verwendet das Zertifikat und den Schlüssel. Eingehende Verbindungen werden mit dem vom Benutzer bereitgestellten Zertifikat dargestellt und nicht mit dem automatisch generierten TLS-Syslog-Zertifikat.

Standardauthentifizierung: Wenn Sie die Standardauthentifizierungsmethode verwenden möchten, verwenden Sie die Standardwerte für die Parameter Authentifizierungsmodus und Zertifikatstyp . Nach dem Speichern der Protokollquelle wird ein syslog-tls -Zertifikat für die Protokollquelleneinheit erstellt. Das Zertifikat muss auf jede Einheit in Ihrem Netz kopiert werden, die verschlüsselte Syslog-Daten weiterleitet.