Parámetros de origen de registro de la API REST de Amazon AWS S3 para Amazon AWS Route 53 cuando se utiliza una cola SQS

Si desea recopilar registros de consulta de AWS Route 53 Resolver de varias cuentas o regiones en un grupo Amazon S3 , añada un origen de registro Amazon AWS Route 53 en QRadar Console utilizando el protocolo de API REST Amazon AWS S3 y una cola SQS (Simple Queue Service).
En la tabla siguiente se describen los parámetros para un origen de registro de Amazon AWS Route 53 que utiliza el protocolo de API REST AWS S3 de Amazon:
Tabla 1. Parámetros de origen de registro de la API REST de Amazon AWS S3 para Amazon AWS Route 53 DSM
Parámetro Valor
Log Source type Amazon AWS Ruta 53
Protocol Configuration API REST de Amazon AWS S3
Log Source Identifier

Escriba un nombre exclusivo para el origen de registro.

El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. El Identificador de origen de registro puede ser el mismo valor que el Nombre de origen de registro. Si tiene más de un origen de registro de Amazon AWS Route 53 configurado, es posible que desee identificar el primer origen de registro como awsroute53-1, el segundo origen de registro como awsroute53-2y el tercer origen de registro como awsroute53-3.

Authentication Method
ID de clave de acceso/Clave secreta
Autenticación estándar que se puede utilizar desde cualquier lugar.
Para obtener más información sobre la configuración de credenciales de seguridad, consulte Configuración de credenciales de seguridad para la cuenta de usuario de AWS.
Asumir rol de IAM
Autentique con claves y, a continuación, asuma temporalmente un rol para el acceso. Esta opción sólo está disponible cuando se utiliza el método de recopilación Event Notifications de SQS.
Para obtener más información sobre cómo crear usuarios de IAM y asignar roles, consulte Creación de un usuario de Identity and Access Management (IAM) en la AWS.
Access Key ID

Si ha seleccionado ID de clave de acceso/clave secreta para el Método de autenticación, se visualiza el parámetro ID de clave de acceso .

El ID de clave de acceso que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Este valor también es el ID de clave de acceso que se utiliza para acceder al grupo AWS S3 .

Secret Key ID

Si ha seleccionado ID de clave de acceso/clave secreta para el Método de autenticación, se muestra el parámetro ID de clave secreta .

La clave secreta que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Este valor también es el ID de clave de Decret que se utiliza para acceder al grupo AWS S3 .

Event Format Seleccione LINEBYLINE. El origen de registro recopila sucesos con formato JSON.
S3 Collection Method Seleccione SQS Event Notifications.
SQS Queue URL Introduzca la URL completa, empezando por https://, de la cola SQS configurada para recibir notificaciones de eventos ObjectCreate de S3.
Region Name La región en la que se encuentra la cola SQS o el grupo S3 .

Ejemplo: us-east-1, eu-west-1, ap-northeast-3

Use as a Gateway Log Source Seleccione esta opción para que los sucesos recopilados fluyan a través del motor de análisis de tráfico de QRadar y para que QRadar detecte automáticamente uno o varios orígenes de registro.
Log Source Identifier Pattern

Esta opción está disponible cuando Utilizar como origen de registro de pasarela está establecido en sí.

Utilice esta opción si desea definir un identificador de origen de registro personalizado para los sucesos que se están procesando. Este campo acepta pares de clave-valor para definir el identificador de origen de registro personalizado, donde la clave es la serie de formato de identificador y el valor es el patrón de expresión regular asociado. Puede definir varios pares de clave-valor especificando un patrón en una línea nueva. Cuando se utilizan varios patrones, se evalúan en orden hasta que se encuentra una coincidencia y se puede devolver un identificador de origen de registro personalizado.

Show Advanced Options Seleccione esta opción si desea personalizar los datos de suceso.
File Pattern

Esta opción está disponible cuando se establece Mostrar opciones avanzadas en .

Escriba una expresión regular para el patrón de archivo que coincida con los archivos que desea extraer; por ejemplo, .*?\.json\.gz

Local Directory

Esta opción está disponible cuando se establece Mostrar opciones avanzadas en .

El directorio local en el recopilador de sucesos de destino. El directorio debe existir antes de que la API REST PROTOCOL de AWS S3 intente recuperar sucesos.

S3 Endpoint URL

Esta opción está disponible cuando se establece Mostrar opciones avanzadas en .

La URL del punto de enlace que se utiliza para consultar la API REST AWS.

Si la URL de su punto final es diferente de la predeterminada, escriba la URL su punto final. El valor predeterminado es http:/s3.amazonaws.com

Use S3 Path-Style Access

Fuerza a las solicitudes S3 a utilizar el acceso de estilo de vía de acceso.

Este método está en desuso por AWS. Sin embargo, es posible que sea necesario cuando utilice otras API compatibles con S3 . Por ejemplo, https://s3.region.amazonaws.com/bucket-name/key- name path-style se utiliza automáticamente cuando un nombre de grupo contiene un punto (.). Por lo tanto, esta opción no es necesaria, pero se puede utilizar.

Use Proxy

Si QRadar accede al servicio web de Amazon utilizando un proxy, habilite Utilizar proxy.

Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy .

Si el proxy no requiere autenticación, configure el campo IP de proxy o nombre de host .

Recurrence

Frecuencia con la que se realiza un sondeo para buscar nuevos datos.

Cuando se utiliza el método de recopilación de sucesos SQS, Notificaciones de sucesos SQS puede tener un valor mínimo de 10 (segundos). Debido a que el sondeo de cola SQS puede producirse con más frecuencia, se puede utilizar un valor inferior.

Escriba un intervalo de tiempo para determinar la frecuencia con la que se realiza el sondeo para los datos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15M = 15 minutos, 30 = segundos.

EPS Throttle

El número máximo de sucesos por segundo que QRadar ingiere.

Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS.

El valor predeterminado es de 5000.

Para obtener más información sobre el protocolo de la API REST AWS S3 de Amazon, consulte Amazon AWS S3 Opciones de configuración del protocolo de la API REST.