Origen de registro de pasarela

Utilice un origen de registro de pasarela para configurar un protocolo para utilizar muchos módulos de soporte de dispositivo (DSM) en lugar de depender de un único tipo de DSM. Con un origen de registro de pasarela, los protocolos de agregador de sucesos pueden manejar dinámicamente varios tipos de sucesos.

Antes de configurar el origen de registro de pasarela, debe comprender la diferencia entre protocolos, DSM y orígenes de registro.

Protocolo: Los protocolos proporcionan la posibilidad de recopilar un conjunto de archivos de datos utilizando diversas opciones de conexión. Estas conexiones recuperan los datos, o reciben datos de forma pasiva, en la interconexión de sucesos en QRadar®. A continuación, el DSM correspondiente analiza y normaliza los datos.
DSM: Un DSM es un módulo de código que analiza los sucesos recibidos de varios orígenes de registro y los convierte a un formato de taxonomía estándar que se puede visualizar como salida. Cada tipo de origen de registro tiene un DSM correspondiente.
Origen de registro: Un origen de registro es un origen de datos que crea un registro de sucesos. Para obtener más información, consulte Introducción a la gestión de orígenes de registro.

Los orígenes de registro de pasarela dan soporte a los protocolos siguientes:

REST de Amazon AWS S3
Servicios web de Amazon AWS
Google Cloud Pub Sub
Receptor de HTTP
Kafka
Microsoft Azure Event Hubs
TCPMutilineSyslog
TLS Syslog
UDPMutilineSyslog

Sugerencia: Para proporcionar el mejor ajuste para los datos genéricos, utilice el DSM universal cuando configure el origen de registro de pasarela.

Un origen de registro de pasarela no utiliza un DSM. Delega el análisis de DSM a orígenes de registro de Syslog autónomos que tienen un identificador adecuado y DSM. Estos orígenes de registro son un origen de registro de recopilador (la pasarela) y un origen de registro de analizador. Los orígenes de registro del analizador coinciden con los datos que proceden de la pasarela y no recopilan activamente los propios sucesos.

Antes de crear el origen de registro de pasarela, debe saber qué tipos de datos espera recopilar de la pasarela de datos. Las pasarelas de datos pueden recopilar muchos tipos de datos y QRadar no da soporte a todos los tipos de datos de forma predeterminada. Para analizar los datos correctamente, debe existir un DSM que pueda manejar los sucesos que está recopilando. Incluso si QRadar da soporte al origen del suceso, si la pasarela lo devuelve en un formato inesperado, es posible que el DSM no lo analice. Por ejemplo, si la pasarela de datos devuelve un suceso en un formato JSON, pero el DSM espera un formato LEEF, es posible que necesite un DSM personalizado para analizar los datos.

Un origen de registro de pasarela funciona de la misma forma que otros orígenes de registro utilizando su protocolo seleccionado para alcanzar y recopilar sucesos. La diferencia entre un origen de registro de pasarela y otros orígenes de registro se produce cuando los sucesos recopilados están listos para ser publicados. Un origen de registro normal intenta forzar que el DSM seleccionado analice los sucesos. Un origen de registro de pasarela envía los sucesos como una carga útil de Syslog con un identificador predeterminado establecido en 0.0.0.0 o en la dirección IP de servicios conectados.

Cuando se publica un suceso en el conducto de sucesos como una carga útil de Syslog, los sucesos se manejan mediante la detección automática de origen de registro. Si existe un origen de registro ficticio existente con el identificador proporcionado, el suceso lo maneja dicho origen de registro, independientemente de si el suceso se analiza con ese DSM. Si no existe ningún origen de registro ficticio, los DSM que dan soporte a la detección automática analizan el suceso. Si el suceso analiza correctamente con un DSM, actualiza el identificador a "IP o Host @ DSM" y crea un origen de registro.

Los orígenes de registro que se crean automáticamente no tienen su identificador establecido por el protocolo. Estos identificadores de orígenes de registro están en el formato "IP o Host @ DSM Type". Para que coincida con un origen de registro ficticio creado automáticamente, la carga útil de Syslog debe tener un identificador que sea la misma IP o host, y el DSM seleccionado debe poder analizarlo. El identificador predeterminado se envía como [IP o host], no "IP o host @ DSM Type". Para que el identificador se actualice con el tipo de DSM, debe analizarse con ese tipo de DSM. Si utiliza los valores predeterminados, los sucesos que no se pueden analizar se envían directamente a sim-generic.

Sugerencia:

Los orígenes de registro creados manualmente que tienen un identificador que coincide con el identificador de la carga útil de Syslog se utilizan incluso si el DSM del origen de registro no puede analizar el suceso.

Para configurar un origen de registro de pasarela, habilite la opción Utilizar como origen de registro de pasarela para el protocolo seleccionado. Si habilita esta opción, los sucesos se envían a la interconexión de sucesos y se detectan automáticamente. Para obtener el valor máximo de esta característica, utilice el Patrón de identificador de origen de registro.