Opciones de configuración del protocolo JDBC
QRadar utiliza el protocolo JDBC para recopilar información de tablas o vistas que contienen datos de sucesos de varios tipos de base de datos.
El protocolo JDBC es un protocolo de salida/activo. QRadar no incluye un controlador MySQL para JDBC. Si utiliza un DSM o protocolo que requiere un controlador MySQL JDBC , debe descargar e instalar el MySQL Connector/J independiente de la plataforma desde http://dev.mysql.com/downloads/connector/j/.
- Copie el archivo JAR (Java™ Archive) en /opt/qradar/jars y /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/.
- Reinicie el servicio Tomcat escribiendo el mandato siguiente:
systemctl restart tomcat - Reinicie los servicios de recopilación de sucesos escribiendo el mandato siguiente:
systemctl restart ecs-ec-ingress
| Parámetro | Descripción |
|---|---|
| Nombre de origen de registro | Escriba un nombre exclusivo para el origen de registro. |
| Descripción de origen de registro (Opcional) | Escriba una descripción para el origen de registro. |
| Tipo de origen de registro | Seleccione el módulo de soporte de dispositivo (DSM) que utiliza el protocolo JDBC en la lista Tipo de origen de registro . |
| Configuración de protocolo | JDBC |
| Identificador de origen de registro | Escriba un nombre para el origen de registro. El nombre no puede contener espacios y debe ser exclusivo entre todos los orígenes de registro del tipo de origen de registro configurado para utilizar el protocolo JDBC . Si el origen de registro recopila sucesos de un único dispositivo que tiene una dirección IP estática o un nombre de host, utilice la dirección IP o el nombre de host del dispositivo como todo o parte del valor Identificador de origen de registro ; por ejemplo, 192.168.1.1 o JDBC192.168.1.1. Si el origen de registro no recopila sucesos de un único dispositivo que tiene una dirección IP estática o un nombre de host, puede utilizar cualquier nombre exclusivo para el valor Identificador de origen de registro ; por ejemplo, JDBC1, JDBC2. |
| Tipo de base de datos | Seleccione el tipo de base de datos que contiene los sucesos. |
| Nombre de base de datos | El nombre de la base de datos a la que desea conectarse. |
| Esquema ( Snowflake solamente) | Este parámetro especifica el esquema predeterminado que se utilizará para la conexión posterior a la base de datos especificada o una serie vacía. El esquema especificado debe ser un esquema existente para el que el rol predeterminado especificado tiene privilegios. |
| IP o nombre de host | La dirección IP o el nombre de host del servidor de bases de datos. |
| Almacén ( Snowflake only) | Este parámetro especifica el almacén virtual para utilizar la conexión posterior o una serie vacía. El almacén especificado debe ser un almacén existente para el que el rol predeterminado especificado tiene privilegios. |
| Función ( Snowflake only) | Este parámetro especifica el rol de control de acceso por defecto que se utilizará en la sesión Snowflake iniciada por el controlador. El rol especificado debe ser un rol existente que ya esté asignado al usuario especificado para el controlador. Si el rol especificado no está asignado al usuario, el rol no se utiliza durante la iniciación de la sesión por parte del controlador. |
| Puerto | Especifique el puerto JDBC . El puerto JDBC debe coincidir con el puerto de escucha configurado en la base de datos remota. La base de datos debe permitir conexiones TCP entrantes. El rango válido es de 1 a 65535. Los valores predeterminados son:
Si configura el parámetro Instancia de base de datos y tiene un tipo de base de datos MSDE, deje el parámetro Puerto en blanco. |
| Nombre de usuario | Una cuenta de usuario para QRadar en la base de datos. |
| Autenticación por par de claves (sólo Snowflake ) | Utilice la autenticación por pares de claves para una autenticación mejorada como alternativa a la autenticación básica, como el nombre de usuario y la contraseña. Al activar esta opción se oculta el campo de contraseña. Nota: los servidores Snowflake utilizan una hora muy precisa, sincronizada con relojes atómicos, para garantizar que tanto QRadar como el servidor Snowflake están configurados con la misma zona horaria y con marcas de tiempo estrechamente sincronizadas (~30).
|
| Nombre del archivo de clave privada ( Snowflake solamente) | El nombre del archivo de clave privada en el directorio /opt/qradar/conf/trusted_certificates/jdbc/ en QRadar. Para generar un archivo de clave privada, consulte Configuración de JDBC para comunicarse con QRadar. |
| Contraseña | La contraseña necesaria para conectarse a la base de datos. |
| Confirmar contraseña | La contraseña necesaria para conectarse a la base de datos. |
| Dominio de autenticación (solo MSDE) | Si inhabilita Utilizar Microsoft JDBC, se muestra el parámetro Dominio de autenticación . El dominio para MSDE que es un dominio de Windows. Si la red no utiliza un dominio, deje en blanco este campo. |
| Instancia de base de datos (solo MSDE o Informix ) | La instancia de base de datos, si es necesaria. Las bases de datos MSDE pueden incluir varias instancias de servidor SQL en un solo servidor. Cuando utilice un número de puerto distinto del predeterminado para la resolución de base de datos SQL, deje este parámetro en blanco. |
| Consulta predefinida (Opcional) | Seleccione una consulta de base de datos predefinida para el origen de registro. Si una consulta predefinida no está disponible para el tipo de origen de registro, puede seleccionar la opción Ninguno . Si la guía de configuración de un estado de integración específico utiliza una consulta predefinida, selecciónelo de la lista. De lo contrario, seleccione Ninguno y rellene los valores necesarios restantes. |
| Nombre de tabla | Nombre de la tabla o vista que incluye los registros de sucesos. El nombre de tabla puede incluir los caracteres especiales siguientes: signo de dólar ($), signo de número (#), subrayado (_), guión corto (-) y punto (.). |
| Lista de selección | Lista de campos que se deben incluir cuando la tabla busca sucesos. Puede utilizar una lista separada por comas o escribir un asterisco (*) para seleccionar todos los campos de la tabla o vista. Si ha definido una lista separada por comas, la lista debe contener el campo definido en el parámetro Campo de comparación . |
| Campo de comparación | Campo numérico o de fecha y hora procedente de la tabla o vista que identifica los sucesos de tabla nuevos que se añaden a la tabla entre una consulta y otra. Cuando establece este valor de parámetro, el protocolo identifica los sucesos extraídos anteriormente por el protocolo para asegurarse de que no se crean sucesos duplicados. |
| Utilizar sentencias preparadas | Las sentencias preparadas permiten que el origen de protocolo JDBC configure la sentencia SQL y luego ejecute la sentencia SQL muchas veces con parámetros diferentes. Por motivos de seguridad y rendimiento, la mayoría de las configuraciones de protocolo JDBC pueden utilizar sentencias preparadas. |
| Fecha y hora de inicio (Opcional) | Seleccione o especifique la fecha y hora de inicio para el sondeo de base de datos. El formato es aaaa-mm-dd HH:mm, donde HH se especifica utilizando un reloj de 24 horas. Si este parámetro está vacío, el sondeo empieza inmediatamente y se repite en el intervalo de sondeo especificado. Este parámetro se utiliza para establecer la fecha y hora en la que el protocolo se conecta a la base de datos de destino para inicializar la recopilación de sucesos. Se puede utilizar junto con el parámetro Intervalo de sondeo para configurar planificaciones específicas para los sondeos de base de datos. Por ejemplo, utilice estos parámetros para asegurarse de que el sondeo se produce cinco minutos después de la hora, cada hora, o para asegurarse de que el sondeo se realiza exactamente a la 1:00 AM cada día. Este parámetro no se puede utilizar para recuperar filas de tabla más antiguas de la base de datos de destino. Por ejemplo, si establece el parámetro en Última semana, el protocolo no recupera todas las filas de tabla de la semana anterior. El protocolo recupera las filas que son más recientes que el valor máximo del Campo de comparación en la conexión inicial. |
| Intervalo de sondeo | Especifique la cantidad de tiempo entre consultas a la tabla de sucesos. Para definir un intervalo de sondeo más largo, añada H para horas o M para minutos al valor numérico. El intervalo de sondeo máximo es de una semana. |
| Regulador de EPS | El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El rango válido es de 100 a 20.000. |
| Mecanismo de seguridad (soloDb2 ) | En la lista, seleccione el mecanismo de seguridad soportado por el servidor Db2 . Si no desea seleccionar un mecanismo de seguridad, seleccione Ninguno. El valor predeterminado es Ninguno. Para obtener más información sobre los mecanismos de seguridad compatibles con los entornos Db2, consulte el sitio web de asistencia IBM® ( https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html ) |
| Utilizar comunicación de conducto con nombre (solo MSDE) | Si inhabilita Utilizar Microsoft JDBC, se muestra el parámetro Utilizar comunicación de conducto con nombre . Las bases de datos MSDE requieren el campo de nombre de usuario y contraseña para utilizar un nombre de usuario y contraseña de autenticación de Windows y no el nombre de usuario y contraseña de base de datos. La configuración de origen de registro debe utilizar el valor predeterminado denominado pipe en la base de datos MSDE. |
| Nombre de clúster de base de datos | Si está ejecutando el servidor SQL en un entorno de clúster, defina el nombre de clúster para asegurarse de que la comunicación de conducto con nombre funciona correctamente. Este parámetro es necesario si habilita Utilizar comunicación de conducto con nombre y selecciona la opción de tipo de base de datos MSDE. |
| Utilizar NTLMv2 (solo MSDE) | Si inhabilita Utilizar Microsoft JDBC, se muestra el parámetro Utilizar NTLMv2 . Seleccione esta opción si desea que las conexiones MSDE utilicen el protocolo NTLMv2 cuando se comunican con servidores SQL que requieren autenticación NTLMv2 . Esta opción no interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2 . No interrumpe las comunicaciones para conexiones MSDE que no requieren autenticación NTLMv2 . |
| Utilizar Microsoft JDBC (solo MSDE) | Si desea utilizar el controlador JDBC de Microsoft, debe habilitar Utilizar JDBC de Microsoft JDBC. Este parámetro está habilitado de forma predeterminada. |
| Utilizar SSL (solo MSDE) | Habilite esta opción si la conexión MSDE da soporte a SSL. |
| Nombre de host de certificado SSL | Este campo es necesario cuando están habilitados Utilizar Microsoft JDBC y Utilizar SSL . Este valor debe ser el nombre de dominio completo (FQDN) para el host. La dirección IP no está permitida. Para obtener más información sobre los certificados SSL y JDBC, consulte los procedimientos en los enlaces siguientes:
|
| Permitir certificados no fiables (sólo MSDE) | Active esta opción cuando el endpoint utilice un certificado que no pueda verificarse mediante la Cadena de Certificados. Esto incluye un certificado autofirmado o uno de una CA privada que no quieras importar a tu CA de confianza. No utilice esta opción para puntos finales con un certificado emitido por una CA pública ( SaaS Products, Public Cloud Infrastructure, etc.) en la que el certificado se valida desde el almacén de confianza predeterminado o del sistema. Si utiliza esta opción, el certificado debe descargarse en formato binario codificado con PEM o DER y colocarse en la ubicación /opt/qradar/conf/trusted_certificates/ con extensión .cert o .crt . Nota: Para que este parámetro esté disponible, seleccione Tipo de base de datos como MSDE > Usar Microsoft JDBC (alternar) > Usar SSL (alternar).
Esta opción no está disponible para NTLMv2 ya que utilizajtdsque no admite la implementación personalizada de TrustManager. |
| Utilizar Oracle Encryption(soloOracle ) | Oracle Valores de cifrado e integridad de datos también se conoce como Oracle Advanced Security. Si se selecciona, los conexiones JDBC de Oracle requerirán que el servidor dé soporte a valores de cifrado de datos de Oracle similares a los del cliente. |
| Entorno local de base de datos (soloInformix ) | Para instalaciones multilingües, especifique el idioma que se utilizará para el proceso de instalación (¿o software?). Después de elegir un idioma, puede elegir el juego de caracteres que se utiliza en la instalación en el parámetro Conjunto de códigos . |
| Conjunto de códigos (soloInformix ) | El parámetro Conjunto de códigos se muestra después de elegir un idioma para instalaciones multilingües. Utilice este campo para especificar el juego de caracteres que se va a utilizar. |
| Habilitado | Seleccione este recuadro de selección para habilitar el origen de registro. De forma predeterminada, el recuadro de selección está seleccionado. |
| Credibilidad | En la lista, seleccione la Credibilidad del origen de registro. El rango de valores es de 0 a 10. La credibilidad indica la integridad de un suceso o un delito según viene determinada por la valoración de credibilidad de los dispositivos de origen. La credibilidad aumenta si varios orígenes informan del mismo suceso. El valor predeterminado es 5. |
| Recopilador de sucesos de destino | Seleccione el Recopilador de sucesos de destino para utilizarlo como destino para el origen de registro. |
| Fusionar sucesos | Seleccione el recuadro de selección Fusión de sucesos para habilitar el origen de registro para fusionar (empaquetar) sucesos. De forma predeterminada, los orígenes de registro descubiertos automáticamente heredan el valor de la lista Sucesos de fusión de los valores del sistema en QRadar. Cuando crea un origen de registro o edita una configuración existente, puede alterar temporalmente el valor predeterminado configurando esta opción para cada origen de registro. |
| Almacenar carga útil de suceso | Seleccione el recuadro de selección Almacenar carga útil de sucesos para habilitar el origen de registro para almacenar información de carga útil de sucesos. De forma predeterminada, los orígenes de registro descubiertos automáticamente heredan el valor de la lista Almacenar carga útil de sucesos de los valores del sistema en QRadar. Cuando crea un origen de registro o edita una configuración existente, puede alterar temporalmente el valor predeterminado configurando esta opción para cada origen de registro. |
| Habilitar opciones avanzadas | Seleccione este recuadro de selección para habilitar las opciones avanzadas. Cuando está inhabilitado, se utiliza el valor predeterminado. |
| Utilizar con (sin bloqueo) en sentencias SQL | Habilite esta opción para añadir las tablas en todas las sentencias SQL con "WITH (NOLOCK)". |
| Instancia de base de datos (sólo MSDE o Informix ) | Un parámetro de instancia de base de datos, si es necesario, para QRadar. Las bases de datos MSDE pueden incluir varias instancias de servidor SQL en un solo servidor. Cuando utilice un número de puerto distinto del predeterminado para la resolución de base de datos SQL, deje este parámetro en blanco. Nota: El parámetro Instancia de base de datos es obligatorio para las bases de datos MSDE cuando se utiliza una dirección IPv6.
|