Opciones de configuración del protocolo Google Cloud Pub/Sub

El protocolo Google Cloud Pub/Sub es un protocolo de salida/activo para IBM QRadar que recopila registros de Google Cloud Platform (GCP).

Si las actualizaciones automáticas no están activadas, descargue el RPM del protocolo GoogleCloudPubSub desde el sitio web de soporte de IBM®.

Importante: El protocolo Google Cloud Pub/Sub está soportado en QRadar 7.3.2.6, número de compilación 20191022133252 o posterior.

En la tabla siguiente se describen los parámetros específicos del protocolo para recopilar registros de Google Cloud Pub/Sub con el protocolo Google Cloud Pub/Sub :

Tabla 1. Google Cloud Pub/Sub para Google Cloud Pub/Sub
Parámetro	Descripción
Service Account Credential Type	Especifique de dónde proceden las credenciales de cuenta de servicio necesarias. Asegúrese de que la cuenta de servicio asociada tenga el rol Suscriptor de publicación/suscripción o el permiso pubsub.subscriptions.consume más específico en el Nombre de suscripción configurado en GCP. Clave gestionada por el usuario Se proporciona en el campo Clave de cuenta de servicio introduciendo el texto JSON completo de una clave de cuenta de servicio descargada. Clave gestionada de GCP Asegúrese de que el host gestionado de QRadar se esté ejecutando en una instancia de GCP Compute y de que los ámbitos de acceso de la API de nube incluyan Cloud Pub/Sub.
Service Account Key	El texto completo del archivo JSON que se ha descargado al crear una clave gestionada por el usuario para una cuenta de servicio en IAM & admin > Cuentas de servicio en la sección Google Cloud Platform (GCP). Ejemplo: { "type": "service_account", "project_id": "qradar-test-123456", "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b", "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n", "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com", "client_id": "526344196064252652671", "auth_uri": "https://accounts.google.com/o/oauth2/auth", "token_uri": "https://oauth2.googleapis.com/token", "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs", "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com" }
Subscription Name	El nombre completo de la suscripción de Cloud Pub/Sub. Por ejemplo, projects/my-project/subscriptions/my-subscription.
Use As A Gateway Log Source	Seleccione esta opción para que los sucesos recopilados fluyan a través del motor de QRadar Traffic Analysis y para que QRadar detecte automáticamente uno o varios orígenes de registro. Cuando selecciona esta opción, el Patrón de identificador de origen de registro se puede utilizar opcionalmente para definir un Identificador de origen de registro personalizado para los sucesos que se están procesando.
Log Source Identifier Pattern	Cuando la opción Utilizar como origen de registro de pasarela está seleccionada, utilice esta opción para definir un identificador de origen de registro personalizado para los sucesos que se procesan. Si el Patrón de identificador de origen de registro no está configurado, QRadar recibe sucesos como orígenes de registro genéricos desconocidos. El campo Patrón de identificador de origen de registro acepta pares de clave-valor, como key= value, para definir el identificador de origen de registro personalizado para los sucesos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando sea aplicable. Clave es la serie de formato de identificador que es el origen o valor de origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. El valor (patrón de expresión regular) también da soporte a grupos de captura que se pueden utilizar para personalizar adicionalmente la clave (serie de formato de identificador). Se pueden definir varios pares de clave-valor escribiendo cada patrón en una línea nueva. Cuando se utilizan varios patrones, se evalúan en orden hasta que se encuentra una coincidencia. Cuando se encuentra una coincidencia, se muestra un identificador de origen de registro personalizado. Los ejemplos siguientes muestran la funcionalidad de varios pares de clave-valor: Patrones `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Sucesos `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Identificador de origen de registro personalizado resultante VPC-ACCEPT-Correcto
Use Predictive Parsing	Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro de sucesos sin ejecutar la expresión regular para cada suceso, lo que aumenta la velocidad de análisis. Sugerencia: En circunstancias excepcionales, el algoritmo puede realizar predicciones incorrectas. Habilite el análisis predictivo sólo para los tipos de origen de registro que espera que reciban tasas de sucesos altas y que requieran un análisis más rápido.
Use Proxy	Seleccione esta opción para que QRadar se conecte al GCP utilizando un proxy. Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy . Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy .
Proxy IP or Hostname	IP o nombre de host del servidor proxy.
Proxy Port	El número de puerto que se utiliza para comunicarse con el servidor proxy. El valor predeterminado es 8080.
Proxy Username	Sólo es necesario cuando el proxy requiere autenticación.
Proxy Password	Sólo es necesario cuando el proxy requiere autenticación.
EPS Throttle	El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000.
Convert Google VPC Flow Logs to IPFIX	Esta opción convierte los registros de flujo de VPC de Google en IPFIX que luego se envía al procesador de flujos.
Flow Destination Hostname	El nombre de host del procesador de flujos donde se envían los registros de flujo de VPC de Google . Nota: Habilite Convert Google VPC Flow Logs to IPFIX para configurar este parámetro.
Flow Destination Port	El puerto del procesador de flujo donde se envían los registros de flujo de VPC de Google . Nota: Habilite Convert Google VPC Flow Logs to IPFIX para configurar este parámetro.