Opciones de configuración del protocolo Amazon Web Services

El protocolo Amazon Web Services (AWS) es un protocolo de salida/activo para IBM QRadar que recopila AWS CloudWatch Logs, Amazon Kinesis Data Streams y Amazon Simple Queue Service (SQS) mensajes.

Importante: El protocolo Amazon Web Services requiere QRadar 7.3.1 o posterior y la aplicación IBM QRadar Log Source Management .

Puede utilizar el protocolo Amazon Web Services con Amazon Kinesis Data Streams, AWS CloudWatch Logso Amazon Simple Queue Service (SQS).

Secuencias de datos de Amazon Kinesis

En la tabla siguiente se describen los parámetros específicos del protocolo para recopilar Amazon Kinesis Data Streams con el protocolo Amazon Web Services :

Tabla 1. Amazon Web Services para Amazon Kinesis Data Streams
Parámetro	Descripción
Configuración de protocolo	Seleccione Amazon Web Services en la lista Configuración de protocolo.
Método de autenticación	ID de clave de acceso/Clave secreta Autenticación estándar que se puede utilizar desde cualquier lugar. EC2 Rol de IAM de instancia Si el host gestionado de QRadar se ejecuta en una instancia de AWS EC2 , al elegir esta opción se utiliza el rol de IAM de los metadatos asignados a la instancia para la autenticación. No se necesitan claves. Este método solo funciona para los hosts gestionados que se ejecutan en un contenedor AWS EC2 .
Clave de acceso	El ID de clave de acceso que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Si ha seleccionado ID de clave de acceso/clave secreta o Asumir rol de IAM, se muestra el parámetro Clave de acceso .
Clave secreta	La clave secreta que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Si ha seleccionado ID de clave de acceso/clave secreta o Asumir rol de IAM, se visualiza el parámetro Clave secreta .
Asumir un rol de IAM	Habilite esta opción para autenticarse con una clave de acceso o un rol de IAM de instancia de EC2 . A continuación, puede asumir temporalmente un rol de IAM para el acceso.
Asumir rol ARN	El ARN completo del rol a asumir. Debe empezar por `arn:` y no puede contener espacios iniciales ni finales ni espacios dentro del ARN. Si ha habilitado Asumir un rol de IAM, se muestra el parámetro Asumir rol ARN .
Asumir nombre de sesión de rol	El nombre de sesión del rol que se va a asumir. El valor predeterminado es `QRadarAWSSession`. Déjelo como valor predeterminado si no necesita cambiarlo. Este parámetro sólo puede contener caracteres alfanuméricos en mayúsculas y minúsculas, subrayados o cualquiera de los caracteres siguientes: `=,.@-` Si ha habilitado Asumir un rol de IAM, se muestra el parámetro Asumir nombre de sesión de rol .
Asumir ID externo de rol	Asumir ID externo de rol es un identificador opcional que es necesario para asumir un rol en una cuenta diferente. Si el administrador de cuentas, al que pertenece el rol, le proporciona un ID externo, inserte ese valor en el parámetro Asumir ID externo de rol . Este valor puede ser una serie, una frase de contraseña, un GUID o un número de cuenta. Para obtener más información, consulte la documentación de AWS Utilización de un ID externo para el acceso de terceros.
Regiones	Conmute cada región asociada con el servicio web de Amazon del que desea recopilar registros.
ServicioAWS	En la lista ServicioAWS , seleccione Corrientes de datos Kinesis.
Secuencia de datos de Kinesis	La corriente de datos de Kinesis desde la que se van a consumir los datos.
Habilitar opciones avanzadas de Kinesis	Habilite los siguientes valores de configuración avanzada opcionales. Los valores de opción avanzados sólo se utilizan cuando se elige esta opción; de lo contrario, se utilizan los valores predeterminados. Posición inicial en corriente Esta opción controla qué datos se extraen de un origen de registro recién configurado. Seleccione Más reciente para extraer los últimos datos disponibles. Seleccione Recortar horizonte para extraer los datos más antiguos disponibles. Recuento de hebras Worker de Kinesis El número de hebras Worker que se van a utilizar para el proceso de secuencia de datos de Kinesis. Cada hebra de trabajo puede procesar aproximadamente 10000-20000 sucesos por segundo en función del tamaño de registro y la carga del sistema. Si el origen de registro no puede procesar los nuevos datos en la secuencia, puede aumentar el número de hebras aquí hasta un máximo de 16. El rango permitido es de 1 a 16. El valor predeterminado es 2. Intervalo de punto de comprobación El intervalo (en segundos) en el que se van a establecer los números de secuencia de datos de punto de comprobación. Cada registro de un fragmento de una corriente de datos Kinesis tiene un número de secuencia. La comprobación de la posición permite que este fragmento reanude el proceso en el mismo punto si el proceso falla o se reinicia un servicio. Un intervalo más frecuente reduce la duplicación de datos, pero aumenta el uso de Amazon Dynamo DB. El rango permitido es de 1 a 3600 segundos. El valor predeterminado es 10 segundos. Aplicación Kinesis Deje esta opción en blanco para que este origen de registro consuma datos de todos los fragmentos disponibles en la corriente de datos de Kinesis. Para que varias fuentes de registro en varios procesadores de eventos escalen el consumo de registros sin pérdidas ni duplicaciones, utilice una Aplicación Kinesis común en todas esas fuentes de registro (Ejemplo: ProdKinesisConsumers). Partición Seleccione esta opción para recopilar datos de una partición específica en la corriente de datos de Kinesis especificando un nombre de partición.
Extraer suceso original	Reenvía sólo el suceso original que se ha añadido a la corriente de datos de Kinesis. Los registros de Kinesis envuelven los sucesos que reciben con metadatos adicionales. Seleccione esta opción si sólo desea el suceso original que se ha enviado a AWS sin los metadatos de secuencia adicionales a través de Kinesis. El suceso original es el valor de la clave de mensaje que se extrae del registro de Kinesis. El siguiente ejemplo de suceso de registros de Kinesis muestra el suceso original que se extrae del registro de Kinesis en el texto resaltado: {"owner":"123456789012","subscriptionFilters":["allEvents"], "logEvents":[{"id":"35093963143971327215510178578576502306458824699048362100", "message":"{\"eventVersion\":\"1.05\",\"userIdentity\":{\"type\":\"AssumedRole\", \"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role\/CVDevABRoleToBeAssumed\/test_visibility_session\", \"accountId\":\"123456789012\",\"accessKeyId\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\", \"arn\":\"arn:aws:iam::123456789012:role\/CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\", \"userName\":\"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":{\"mfaAuthenticated\":\"false\", \"creationDate\":\"2019-11-13T17:01:54Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudtrail.amazonaws.com\", \"eventName\":\"DescribeTrails\",\"awsRegion\":\"ap-northeast-1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":null,\"responseElements\":null, \"requestID\":\"41e62e80-b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\", \"recipientAccountId\":\"123456789012\"}","timestamp":1573667733143}],"messageType":"DATA_MESSAGE","logGroup":"CloudTrail\/DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}
Utilizar como origen de registro de pasarela	Seleccione esta opción para que los sucesos recopilados fluyan a través del motor de QRadar Traffic Analysis y para que QRadar detecte automáticamente uno o varios orígenes de registro. Cuando selecciona esta opción, el Patrón de identificador de origen de registro se puede utilizar opcionalmente para definir un Identificador de origen de registro personalizado para los sucesos que se están procesando.
Patrón de identificador de origen de registro	Si ha seleccionado Utilizar como origen de registro de pasarela, puede definir un identificador de origen de registro personalizado para los sucesos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando sea aplicable. Si no configura el Patrón de identificador de origen de registro, QRadar recibe sucesos como orígenes de registro genéricos desconocidos. Utilice pares de clave-valor para definir el identificador de origen de registro personalizado. La clave es la serie de formato de identificador, que es el origen o valor de origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. Este valor también da soporte a grupos de captura que se pueden utilizar para personalizar más la clave. Defina varios pares de clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se listan. Cuando se encuentra una coincidencia, se visualiza un identificador de origen de registro personalizado. Los ejemplos siguientes muestran varias funciones de pares de clave-valor. Patrones `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Sucesos `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Identificador de origen de registro personalizado resultante VPC-ACCEPT-Correcto
Utilizar análisis predictivo	Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro de sucesos sin ejecutar la expresión regular para cada suceso, lo que aumenta la velocidad de análisis. Sugerencia: En circunstancias excepcionales, el algoritmo puede realizar predicciones incorrectas. Habilite el análisis predictivo sólo para los tipos de origen de registro que espera que reciban tasas de sucesos altas y que requieran un análisis más rápido.
Utilizar proxy	Si QRadar accede al servicio web de Amazon utilizando un proxy, seleccione esta opción. Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy . Si el proxy no requiere autenticación, configure el campo IP de proxy o nombre de host .
Regulador de EPS	El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000.

Nota: Cuando se utilizan registros de Kinesis Data Streams, se utiliza una tabla DynamoDB para persistir la posición de cada consumidor.

Si la tabla requerida no existe, entonces la tabla se crea automáticamente con la siguiente convención de nomenclatura:

Si no se define ninguna aplicación Kinesis en las opciones avanzadas de Kinesis, se generará automáticamente un nombre de tabla deQRadarApplicationXXXse utiliza cuando XXX se refiere a un valor interno de la instancia de origen de registro configurada.
Si se especifica una aplicación Kinesis, el nombre de la tabla toma ese valor.

Además, las tablas creadas automáticamente se configuran en modo de capacidad aprovisionada con 10 unidades de capacidad de lectura y 10 unidades de capacidad de escritura con el autoescalado desactivado. Si el usuario desea actualizar estos valores para ajustarlos a los requisitos de rendimiento o coste, puede hacerlo mediante la acción Editar capacidad de la tabla en la consola AWS.

DynamoDB Las tablas pueden crearse de antemano con los parámetros deseados si el administrador de AWS lo prefiere, en cuyo caso deberá especificar manualmente el valor de la aplicación Kinesis en las opciones avanzadas de Kinesis y crear el nombre de la tabla para que coincida. Si está creando la tabla manualmente, entonces el permiso DynamoDB:CreateTable podría omitirse de la lista de permisos IAM que se requieren para QRadar®

Registros de AWS CloudWatch

En la tabla siguiente se describen los parámetros específicos del protocolo para recopilar registros de AWS CloudWatch con el protocolo Amazon Web Services :

Tabla 2. Parámetros de origen de registro de Amazon Web Services para AWS CloudWatch Logs
Parámetro	Descripción
Configuración de protocolo	Seleccione Amazon Web Services en la lista Configuración de protocolo.
Método de autenticación	ID de clave de acceso/Clave secreta Autenticación estándar que se puede utilizar desde cualquier lugar. EC2 Rol de IAM de instancia Si el host gestionado de QRadar se ejecuta en una instancia de AWS EC2 , al elegir esta opción se utiliza el rol de IAM de los metadatos asignados a la instancia para la autenticación. No se necesitan claves. Este método solo funciona para los hosts gestionados que se ejecutan en un contenedor AWS EC2 .
Clave de acceso	El ID de clave de acceso que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Si ha seleccionado ID de clave de acceso/clave secreta o Asumir rol de IAM, se muestra el parámetro Clave de acceso .
Clave secreta	La clave secreta que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Si ha seleccionado ID de clave de acceso/clave secreta o Asumir rol de IAM, se visualiza el parámetro Clave secreta .
Asumir un rol de IAM	Habilite esta opción autenticándose con una clave de acceso o un rol de IAM de instancia de EC2 . A continuación, puede asumir temporalmente un rol de IAM para el acceso.
Asumir rol ARN	El ARN completo del rol a asumir. Debe empezar por `arn:` y no puede contener espacios iniciales ni finales ni espacios dentro del ARN. Si ha habilitado Asumir un rol de IAM, se muestra el parámetro Asumir rol ARN .
Asumir nombre de sesión de rol	El nombre de sesión del rol que se va a asumir. El valor predeterminado es `QRadarAWSSession`. Déjelo como valor predeterminado si no necesita cambiarlo. Este parámetro sólo puede contener caracteres alfanuméricos en mayúsculas y minúsculas, subrayados o cualquiera de los caracteres siguientes: `=,.@-` Si ha habilitado Asumir un rol de IAM, se muestra el parámetro Asumir nombre de sesión de rol .
Asumir ID externo de rol	Asumir ID externo de rol es un identificador opcional que es necesario para asumir un rol en una cuenta diferente. Si el administrador de cuentas, al que pertenece el rol, le proporciona un ID externo, inserte ese valor en el parámetro Asumir ID externo de rol . Este valor puede ser una serie, una frase de contraseña, un GUID o un número de cuenta. Para más información, consulte la documentación de AWS Uso de un ID externo para el acceso de terceros.
Regiones	Conmute cada región asociada con el servicio web de Amazon del que desea recopilar registros.
ServicioAWS	En la lista ServicioAWS , seleccione Registros deCloudWatch.
Grupo de registro	El nombre del grupo de registro en Amazon CloudWatch del que desea recopilar registros. Sugerencia: Un único origen de registro recopila registros de CloudWatch de un grupo de registros a la vez. Si desea recopilar registros de varios grupos de registros, cree un origen de registro independiente para cada grupo de registros.
Habilitar opciones avanzadas de CloudWatch	Habilite los siguientes valores de configuración avanzada opcionales. Los valores de opción avanzados sólo se utilizan cuando se elige esta opción; de lo contrario, se utilizan los valores predeterminados. Secuencia de registro El nombre de la secuencia de registros dentro de un grupo de registros. Si desea recopilar registros de todas las secuencias de registro de un grupo de registros, deje este campo en blanco. Patrón de filtro Escriba un patrón para filtrar los sucesos recopilados. Este patrón no es un filtro de expresión regular. Sólo los sucesos que contienen el valor exacto que ha especificado se recopilan de los registros de CloudWatch . Si escribe ACCEPT como valor de patrón de filtro, sólo se recopilan los sucesos que contienen la palabra ACCEPT, tal como se muestra en el ejemplo siguiente. `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Retardo de evento Retardo en segundos para recopilar datos. Otras regiones En desuso. En su lugar, utilice Regiones .
Extraer suceso original	Reenvía sólo el suceso original que se ha añadido a los registros de CloudWatch . Los registros de CloudWatch envuelven los sucesos que reciben con metadatos adicionales. Seleccione esta opción si desea recopilar sólo el suceso original que se ha enviado a AWS sin los metadatos de secuencia adicionales a través de los registros de CloudWatch . El suceso original es el valor de la clave de mensaje que se extrae del registro de CloudWatch . El siguiente ejemplo de suceso de registro de CloudWatch muestra el suceso original extraído de CloudWatch Registros en texto resaltado: {LogStreamName: 123456786_CloudTrail_us-east-2, Timestamp: 1505744407363, Message: {"eventVersion":"1.05","userIdentity":{"type": "IAMUser","principalId":"AAAABBBCCCDDDBBBCCC", "arn":"arn:aws:iam::1234567890:user/<username>", "accountId":"1234567890","accessKeyId": "AAAABBBBCCCCDDDD","userName":"User-Name", "sessionContext":{"attributes": {"mfaAuthenticated":"false","creationDate": "2017-09-18T13:22:10Z"}},"invokedBy": "signin.amazonaws.com"},"eventTime": "2017-09-18T14:10:15Z","eventSource": "cloudtrail.amazonaws.com","eventName": "DescribeTrails","awsRegion":"us-east-1", "sourceIPAddress":"192.0.2.1","userAgent": "signin.amazonaws.com","requestParameters": {"includeShadowTrails":false,"trailNameList": []},"responseElements":null,"requestID": "11b1a00-7a7a-11a1-1a11-44a4aaa1a","eventID": "a4914e00-1111-491d-bbbb-a0dd3845b302", "eventType":"AwsApiCall","recipientAccountId": "1234567890"},IngestionTime: 1505744407506, EventId: 335792223611111122479126672222222513333}
Utilizar como origen de registro de pasarela	Seleccione esta opción para que los sucesos recopilados fluyan a través del motor de QRadar Traffic Analysis y para que QRadar detecte automáticamente uno o varios orígenes de registro. Cuando selecciona esta opción, el Patrón de identificador de origen de registro se puede utilizar opcionalmente para definir un Identificador de origen de registro personalizado para los sucesos que se están procesando.
Patrón de identificador de origen de registro	Si ha seleccionado Utilizar como origen de registro de pasarela, puede definir un identificador de origen de registro personalizado para los sucesos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando sea aplicable. Si no configura el Patrón de identificador de origen de registro, QRadar recibe sucesos como orígenes de registro genéricos desconocidos. Utilice pares de clave-valor para definir el identificador de origen de registro personalizado. La clave es la serie de formato de identificador, que es el origen o valor de origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. Este valor también da soporte a grupos de captura que se pueden utilizar para personalizar más la clave. Defina varios pares de clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se listan. Cuando se encuentra una coincidencia, se visualiza un identificador de origen de registro personalizado. Los ejemplos siguientes muestran varias funciones de pares de clave-valor. Patrones `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Sucesos `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Identificador de origen de registro personalizado resultante VPC-ACCEPT-Correcto
Utilizar análisis predictivo	Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro de sucesos sin ejecutar la expresión regular para cada suceso, lo que aumenta la velocidad de análisis. Sugerencia: En circunstancias excepcionales, el algoritmo puede realizar predicciones incorrectas. Habilite el análisis predictivo sólo para los tipos de origen de registro que espera que reciban tasas de sucesos altas y que requieran un análisis más rápido.
Utilizar proxy	Si QRadar accede al servicio web de Amazon utilizando un proxy, seleccione esta opción. Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy . Si el proxy no requiere autenticación, configure el campo IP de proxy o nombre de host .
Regulador de EPS	El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000.

Servicio de cola simple de Amazon (SQS)

La tabla siguiente describe los parámetros específicos del protocolo para recopilar orígenes de registro de Amazon SQS con el protocolo Amazon Web Services :

Tabla 3. Parámetros de origen de registro de Amazon Web Services para Amazon SQS
Parámetro	Descripción
Configuración de protocolo	Seleccione Amazon Web Services en la lista Configuración de protocolo.
Método de autenticación	ID de clave de acceso/Clave secreta Autenticación estándar que se puede utilizar desde cualquier lugar. EC2 Rol de IAM de instancia Si el host gestionado de QRadar se ejecuta en una instancia de AWS EC2 , al elegir esta opción se utiliza el rol de IAM de los metadatos asignados a la instancia para la autenticación. No se necesitan claves. Este método solo funciona para los hosts gestionados que se ejecutan en un contenedor AWS EC2 .
Clave de acceso	El ID de clave de acceso que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Si ha seleccionado ID de clave de acceso/clave secreta o Asumir rol de IAM, se muestra el parámetro Clave de acceso .
Clave secreta	La clave secreta que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Si ha seleccionado ID de clave de acceso/clave secreta o Asumir rol de IAM, se visualiza el parámetro Clave secreta .
Asumir un rol de IAM	Habilite esta opción autenticándose con una clave de acceso o un rol de IAM de instancia de EC2 . A continuación, puede asumir temporalmente un rol de IAM para el acceso.
Asumir rol ARN	El ARN completo del rol a asumir. Debe empezar por `arn:` y no puede contener espacios iniciales ni finales ni espacios dentro del ARN. Si ha habilitado Asumir un rol de IAM, se muestra el parámetro Asumir rol ARN .
Asumir nombre de sesión de rol	El nombre de sesión del rol que se va a asumir. El valor predeterminado es `QRadarAWSSession`. Déjelo como valor predeterminado si no necesita cambiarlo. Este nombre solo puede contener caracteres alfanuméricos en mayúsculas y minúsculas, subrayados o cualquiera de los caracteres siguientes: `=,.@-` Si ha habilitado Asumir un rol de IAM, se muestra el parámetro Asumir nombre de sesión de rol .
Asumir ID externo de rol	Asumir ID externo de rol es un identificador opcional que es necesario para asumir un rol en una cuenta diferente. Si el administrador de cuentas, al que pertenece el rol, le proporciona un ID externo, inserte ese valor en el parámetro Asumir ID externo de rol . Este valor puede ser una serie, una frase de contraseña, un GUID o un número de cuenta. Para más información, consulte la documentación de AWS Uso de un ID externo para el acceso de terceros.
Regiones	Conmute cada región asociada con el servicio web de Amazon del que desea recopilar registros.
ServicioAWS	En la lista ServicioAWS , seleccione Cola SQS.
URL la cola SQS	La URL completa de la cola SQS de la que extraer los datos, empezando por `https://`, como `https://sqs.us-east-2.amazonaws.com/1234567890123/CloudTrail_SQS_QRadar`. Para más información, consulte Amazon S3 Event Notifications ( https://docs.aws.amazon.com/AmazonS3/latest/dev/NotificationHowTo.html ).
Extraer suceso original	Reenvía sólo el suceso original que se ha añadido a la cola SQS a QRadar, seleccione esta opción.
Elemento JSON de suceso original	Cuando utilice esta opción para extraer el suceso original con SQS, el suceso original puede estar en un elemento JSON específico. Si es así, debe especificar el nombre del elemento JSON de nivel superior que contiene el suceso original. Esta opción también anula el escape de los datos contenidos en ese elemento. Por ejemplo, cuando se utiliza el elemento `Message` , toma ese elemento raíz y desescapa el JSON anidado si es necesario: `{ "Type" : "Notification", "MessageId" : "6d11936e-2361-5dc1-a689-c590f69c73da", "Subject" : "Test Notification", "Message" : "{\"eventVersion\":\"2.1\", \"eventSource\":\"aws:s3\", \"awsRegion\":\"us-east-1\", \"eventTime\":\"2020-04-01T17:47:39.107Z\"}" }` A continuación, los datos sin escape aparecen como este suceso original extraído: `{"eventVersion":"2.1", "eventSource":"aws:s3", "awsRegion":"us-east-1", "eventTime":"2020-04-01T17:47:39.107Z"}`
Utilizar como origen de registro de pasarela	Si no desea definir un identificador de origen de registro personalizado para sucesos, desmarque el recuadro de selección. Si no selecciona Utilizar como origen de registro de pasarela y no configura el Patrón de identificador de origen de registro, QRadar recibe sucesos como orígenes de registro genéricos desconocidos.
Patrón de identificador de origen de registro	Si ha seleccionado Utilizar como origen de registro de pasarela, puede definir un identificador de origen de registro personalizado. Esta opción se puede definir para sucesos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando sea aplicable. Si no configura el Patrón de identificador de origen de registro, QRadar recibe sucesos como orígenes de registro genéricos desconocidos. Utilice pares de clave-valor para definir el identificador de origen de registro personalizado. La clave es la serie de formato de identificador, que es el origen o valor de origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. Este valor también da soporte a grupos de captura que se pueden utilizar para personalizar más la clave. Defina varios pares de clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se listan. Cuando se encuentra una coincidencia, se visualiza un identificador de origen de registro personalizado. Los ejemplos siguientes muestran varias funciones de pares de clave-valor. Patrones `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Sucesos `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Identificador de origen de registro personalizado resultante VPC-ACCEPT-Correcto
Utilizar análisis predictivo	Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro de sucesos sin ejecutar la expresión regular para cada suceso, lo que aumenta la velocidad de análisis. Sugerencia: En circunstancias excepcionales, el algoritmo puede realizar predicciones incorrectas. Habilite el análisis predictivo sólo para los tipos de origen de registro que espera que reciban tasas de sucesos altas y que requieran un análisis más rápido.
Utilizar proxy	Si QRadar accede al servicio web de Amazon utilizando un proxy, seleccione esta opción. Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy . Si el proxy no requiere autenticación, configure el campo IP de proxy o nombre de host .
Regulador de EPS	El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000.