Opciones de configuración del protocolo de archivo de registro

Para recibir sucesos de hosts remotos, configure un origen de registro para utilizar el protocolo de archivo de registro.

El protocolo de archivo de registro es un protocolo de salida activo que está pensado para sistemas que escriben registros de sucesos diarios. No es apropiado utilizar el protocolo de archivo de registro para dispositivos que añaden información a sus archivos de sucesos.

Los archivos de registro se recuperan de uno en uno utilizando SFTP, FTP, SCP o FTPS. El protocolo de archivo de registro puede manejar texto sin formato, archivos comprimidos o archivadores. Los archivadores deben contener archivos de texto sin formato que se pueden procesar una línea cada vez. Cuando el protocolo de archivo de registro descarga un archivo de suceso, la información recibida en el archivo actualiza el panel Actividad de registro. Si se escribe más información en el archivo después de terminar la descarga, la información añadida no se procesa.

La tabla siguiente describe los parámetros específicos del protocolo de archivo de registro:
Tabla 1. Parámetros de protocolo de archivo de registro
Parámetro Descripción
Configuración de protocolo Archivo de registro
Identificador de origen de registro

Escriba un nombre exclusivo para el origen de registro.

El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. También puede ser el mismo valor que el Nombre de origen de registro. Si tiene más de un origen de registro de archivo de registro configurado, asegúrese de que asigna a cada uno un nombre exclusivo.
Tipo de servicio

Seleccione el protocolo a utilizar al recuperar archivos de registro de un servidor remoto.

  • SFTP-Protocolo Secure File Transfer (valor predeterminado)
  • FTP - File Transfer Protocol
  • FTPS-Protocolo de transferencia de archivos seguro
  • SCP-Protocolo de copia segura

El servidor que especifique en el campo IP remota o nombre de host debe habilitar el subsistema SFTP para recuperar archivos de registro con SCP o SFTP.
IP remota o nombre de host Escriba la dirección IP o el nombre de host del dispositivo que contiene los archivos de registro de sucesos.
Puerto remoto Si el host remoto utiliza un número de puerto no estándar, debe ajustar el valor de puerto para recuperar sucesos.
Usuario remoto Escriba el nombre de usuario que utiliza para iniciar la sesión en el host que contiene los archivos de sucesos.
Contraseña remota Escriba la contraseña que utiliza para iniciar la sesión en el host.
Habilitar comprobación de clave de host estricta Habilite esta opción para definir una lista de claves públicas permitidas para el host de destino en el parámetro Lista de claves de host .
Nota: Esta opción sólo está disponible cuando selecciona SFTP (protocoloSecure File Transfer ) o SCP (protocolo de copia segura) en el campo Tipo de servicio .
Lista de claves de host

Proporcione una lista de claves de host codificadas en Base64 para utilizarlas al conectarse al host de destino. Separe varias teclas utilizando una nueva línea y utilice líneas en blanco para formatear. Los tipos de clave de host soportados son: ssh-dss, ssh-rsa, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384y ecdsa-sha2-nistp521.

Puede obtener estas claves ejecutando el mandato OpenSSH ssh-keyscan en Linuxo ssh-keyscan.exe en Windows, u obteniendo la clave pública del sistema de destino directamente desde una ubicación similar a /root/.ssh/id_rsa.pub. Utilice solo el hash Base64 y no el nombre de host o algoritmo.

Nota: Esta opción sólo está disponible cuando selecciona SFTP (protocoloSecure File Transfer ) o SCP (protocolo de copia segura) en el campo Tipo de servicio .
Archivos de claves SSH

Si el sistema está configurado para utilizar la autenticación de claves, escriba la clave SSH. Cuando se utiliza un archivo de claves SSH, el campo Contraseña remota no se tiene en cuenta.

La clave SSH debe estar ubicada en el directorio /opt/qradar/conf/keys .

Importante: El campo Archivo de claves SSH ya no acepta una vía de acceso de archivo. No puede contener "/" o "~". Escriba el nombre de archivo para la clave SSH. Las claves de las configuraciones existentes se copian en el directorio /opt/qradar/conf/keys . Para garantizar la exclusividad, las claves deben tener "_< Timestamp>" añadido al nombre de archivo.
Remote Directory Para FTP, si los archivos de registro residen en el directorio de inicio del usuario remoto, puede dejar en blanco el campo de directorio remoto. Un campo de directorio remoto en blanco da soporte a sistemas en los que el mandato Cambiar directorio de trabajo (CWD) está restringido.
Recursivo Habilite este recuadro de selección para permitir que las conexiones FTP o SFTP busquen de forma recursiva en las subcarpetas del directorio remoto los datos de sucesos. Los datos recopilados de las subcarpetas dependen de las coincidencias con la expresión regular del patrón de archivos FTP. La opción Recursivo no está disponible para conexiones SCP.
Patrón de archivo FTP La expresión regular (regex) necesaria para identificar los archivos que se deben descargar del host remoto.
Modalidad de transferencia FTP Para las transferencias ASCII mediante FTP, debe seleccionar NONE en el campo Procesador y LINEBYLINE en el campo Generador de sucesos.
Versión de FTPS TLS
Las versiones de TLS que son compatibles con conexiones FTPS. Seleccione TLS 1.3 para el nivel más alto de seguridad TLS. Cuando selecciona una opción que da soporte a varias versiones, la conexión FTPS negocia la versión más reciente soportada por el cliente y el servidor. TLS 1.3 es compatible con QRadar 7.5.0 Update Package 5 y posterior.
Importante: TLS 1.0 y TLS 1.1 ya no están soportados por QRadar 7.4.3 Fixpack 3 y 7.5.0 versiones de release candidatas, y los releases posteriores dejarán de darles soporte.
Restricción: QRadar sólo da soporte a FTPS explícito

Si el servidor FTP da soporte a la reutilización de sesiones, asegúrese de inhabilitarlo en el archivo de configuración del servidor FTP. Esta opción de configuración es aplicable cuando se selecciona FTPS en el parámetro Tipo de servicio .
Archivo remoto SCP Para transferencias de archivos SCP, escriba el nombre del archivo en el host remoto. Sólo puede elegir un único archivo. Este parámetro no da soporte a la adición de varios archivos, incluidos métodos como la globalización de archivos o expresiones regulares.
Hora de inicio Seleccione la hora del día para que el origen de registro inicie la importación del archivo. Este parámetro funciona con el parámetro Recurrencia para establecer cuándo y con qué frecuencia se explora el directorio remoto en busca de archivos.
Recurrencia

Intervalo de tiempo que determina la frecuencia con que se explora el directorio remoto en busca de nuevos archivos de registro de sucesos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, una recurrencia de 2H explora el directorio remoto cada 2 horas.
Ejecutar al guardar Inicia la importación del archivo de registro inmediatamente después de guardar la configuración del origen de registro. Cuando se selecciona, este recuadro de selección borra la lista de archivos previamente descargados y procesados. Después de la primera importación de archivo, el protocolo de archivo de registro sigue la hora de inicio y la planificación de recurrencia que define el administrador.
Regulador de EPS

El número máximo de sucesos por segundo que QRadar ingiere.

Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS.
Procesador Si los archivos del host remoto se almacenan en un formato de archivado, seleccione el procesador que se utiliza para descomprimir el registro de sucesos. Si los archivos no se almacenan en un formato de archivado, seleccione Ninguno. El valor predeterminado es Ninguno.
Ignorar archivos procesados anteriormente Seleccione este recuadro de selección para realizar un seguimiento de los archivos que procesa el origen de registro. Esta opción impide sucesos duplicados de archivos que se procesan por segunda vez. Este recuadro de selección se aplica a las transferencias de archivos FTP y SFTP.
Cambiar directorio local Cambia el directorio local en el Recopilador de sucesos de destino para almacenar registros de sucesos antes de que se procesen.
Directorio local Directorio local en el Recopilador de sucesos de destino. El directorio debe existir para que el protocolo de archivo de registro pueda intentar recuperar sucesos.
Generador de suceso Elija uno de los siguientes tipos de archivo para utilizar como generador de sucesos para el protocolo.
LineByLine
Cada línea se procesa como un único suceso. Un archivo de 10 líneas crea 10 sucesos separados.
HPTandem
El archivo se procesa como un registro de auditoría binario HPTandem NonStop . Cada registro del archivo de registro (ya sea primario o secundario) se convierte en texto y se procesa como un único suceso. Los registros de auditoría de HPTandem utilizan el siguiente patrón de nombre de archivo: [aA]\d{7}.
WebSphere Application Server
Procesa registros de sucesos para WebSphere Application Server. El directorio remoto debe definir la vía de acceso de archivo que está configurada en el DSM.
W3C
Procesa archivos de registro de orígenes que utilizan el formato W3C . La cabecera del archivo de registro identifica el orden y los datos contenidos en cada línea del archivo.
Fair Warning
Procesa archivos de registro de dispositivos de aviso justo que protegen la identidad del paciente y la información médica. El directorio remoto debe definir la vía de acceso de archivo a los registros de sucesos que genera el dispositivo Aviso aceptable.
Datos de suscriptor de DPI
El archivo se procesa como un registro de estadísticas de DPI generado por un direccionador Juniper Networks MX. La cabecera del archivo identifica el orden y los datos contenidos en cada línea del archivo. Cada línea del archivo después de la cabecera se formatea en una delimitada por tabuladoresname=valueevento de par.
Registros de auditoría de SAP
Archivos de proceso para registros de auditoría de SAP para mantener un registro de sucesos relacionados con la seguridad en sistemas SAP .
Oracle BEA WebLogic
Procesa archivos para archivos de registro de aplicación Oracle BEA WebLogic .
SBR de Juniper
Procesa los archivos de registro de sucesos de Juniper Steel-belted RADIUS.
ID-Multilínea enlazada
Procesa registros de sucesos de varias líneas que contienen un valor común al principio de cada línea en un mensaje de suceso de varias líneas. Esta opción utiliza expresiones regulares para identificar y volver a ensamblar el suceso de varias líneas en una sola carga útil de suceso.
Buscador de coincidencias de línea
Itera por las líneas hasta que se encuentra una línea que coincide con el patrón y descarta las líneas que no coinciden con el patrón.
Auditoría XML del sistema operativo Oracle
Procesa el registro de auditoría generado por Oracle Database.
Auditoría de Oracle OS Multiline
Procesa registros de auditoría de Oracle de varias líneas que contienen información de auditoría como, por ejemplo, acción, usuario, estado, etc.
Multilínea basada en RegEx
Itera a través de las líneas basadas en el patrón de inicio, el patrón de finalización y el patrón de omisión de las expresiones regulares proporcionadas, y descarta las líneas de la ruta que no coinciden con los patrones.
Codificación de archivo Codificación de caracteres que es utilizada por en los sucesos contenidos en el archivo de registro.
Patrón de ID de mensaje Escriba una expresión regular (regex) que identifique un valor común al principio de cada línea en un mensaje de suceso de varias líneas.
Separador de carpetas Carácter que se utiliza para separar carpetas del sistema operativo. La mayoría de las configuraciones pueden utilizar el valor predeterminado en el campo Separador de carpetas . Este campo está pensado para los sistemas operativos que utilizan un carácter diferente para separar carpetas. Por ejemplo, los puntos que separan carpetas en sistemas principales.
Patrón de inicio RegEx Escriba una expresión regular (regex) que identifique el patrón de inicio de cada línea.
Patrón de finalización RegEx Escriba una expresión regular (regex) que identifique el patrón final de cada línea.
Ignorar patrón RegEx Escriba una expresión regular (regex) para excluir un patrón específico en cada línea.
Fecha y hora RegEx Escriba una expresión regular (regex) que identifique el formato de fecha y hora de cada línea.
Formato de fecha y hora Escriba un formato de fecha y hora para identificar el inicio de un suceso desde cada línea.

Configure QRadar para utilizar FTPS para el protocolo de archivo de registro

Para configurar FTPS para el protocolo de archivo de registro, debe colocar certificados SSL de servidor en todos los QRadar Event Collectors que se conectan al servidor FTP. Si el certificado SSL no es RSA 2048, cree un nuevo certificado SSL.

El mandato siguiente proporciona un ejemplo de creación de un certificado en un sistema LINUX utilizando Open SSL:
openssl req -newkey rsa:2048 -nodes -keyout ftpserver.key -x509 -days 365 -out ftpserver.crt

Los archivos del servidor FTP que tienen una extensión de archivo .crt deben copiarse en el directorio /opt/qradar/conf/trusted_certificates en cada uno de los Event Collectors.