Opciones de configuración del protocolo OPSEC/LEA
Para recibir sucesos en el puerto 18184, configure un origen de registro para utilizar el protocolo OPSEC/LEA.
El protocolo OPSEC/LEA es un protocolo de salida/activo.
| Parámetro | Descripción |
|---|---|
| Configuración de protocolo | OPSEC/LEA |
| Identificador de origen de registro | La dirección IP, el nombre de host o cualquier nombre para identificar el dispositivo. Debe ser exclusivo para el tipo de origen de registro. |
| IP de servidor | Escriba la dirección IP del servidor. |
| Puerto de servidor | El número de puerto que se utiliza para la comunicación OPSEC. El rango válido es de 0 a 65.536 y el valor predeterminado es 18184. |
| Utilizar IP de servidor para origen de registro | Marque el recuadro de selección Utilizar IP de servidor para origen de registro si desea utilizar la dirección IP de servidor LEA en lugar de la dirección IP de dispositivo gestionado para un origen de registro. De manera predeterminada, el recuadro de selección aparece seleccionado. |
| Intervalo de informe estadístico | Intervalo, en segundos, durante el cual se registran sucesos de syslog en el archivo qradar.log. El rango válido es de 4 a 2.147.483.648 y el intervalo predeterminado es 600. |
| Tipo de autenticación | En la lista, seleccione el Tipo de autenticación que desea utilizar para esta configuración de LEA. Las opciones son sslca (valor predeterminado), sslca_clearo clear. Este valor debe coincidir con el método de autenticación utilizado por el servidor. |
| Atributo SIC de objeto de aplicación OPSEC (nombre SIC) | El nombre de comunicaciones internas seguras (SIC) es el nombre distinguido (DN) de la aplicación; por ejemplo: CN=LEA, o=fwconsole..7psasx. |
| Atributo SIC de origen de registro (Nombre de SIC de entidad) | Nombre de SIC del servidor, por ejemplo: cn=cp_mgmt,o=fwconsole..7psasx. |
| Especificar certificado | Seleccione este recuadro de selección si desea definir un certificado para esta configuración de LEA. QRadar intenta recuperar el certificado utilizando estos parámetros cuando se necesita el certificado. |
| Nombre de archivo de certificado | Esta opción sólo aparece si se selecciona Especificar certificado . Escriba el nombre de archivo del certificado que desea utilizar para esta configuración. El archivo de certificado debe estar ubicado en el directorio /opt/qradar/conf/ trusted_certificates/lea . |
| IP de entidad emisora de certificados | Escriba la dirección IP del servidor de Check Point Manager. |
| Extraer contraseña de certificado | Escriba la contraseña de la clave de activación. |
| Aplicación OPSEC | Nombre de la aplicación que realiza la solicitud de certificado. |
| Habilitado | Marque este recuadro de selección para habilitar el origen de registro. De manera predeterminada, el recuadro de selección aparece seleccionado. |
| Credibilidad | En la lista, seleccione la Credibilidad del origen de registro. El rango de valores es de 0 a 10. La credibilidad indica la integridad de un suceso o un delito según viene determinada por la valoración de credibilidad de los dispositivos de origen. La credibilidad aumenta si varios orígenes informan del mismo suceso. El valor predeterminado es 5. |
| Recopilador de sucesos de destino | En la lista, seleccione el Recopilador de sucesos de destino para utilizarlo como destino para el origen de registro. |
| Fusionar sucesos | Marque el recuadro de selección Fusionar sucesos para habilitar el origen de registro para fusionar (empaquetar) sucesos. De forma predeterminada, los orígenes de registro descubiertos automáticamente heredan el valor de la lista Sucesos de fusión de los valores del sistema en QRadar. Cuando crea un origen de registro o edita una configuración existente, puede alterar temporalmente el valor predeterminado configurando esta opción para cada origen de registro. |
| Almacenar carga útil de suceso | Marque el recuadro de selección Almacenar carga útil de suceso para habilitar el origen de registro para almacenar información de carga útil de suceso. De forma predeterminada, los orígenes de registro descubiertos automáticamente heredan el valor de la lista Almacenar carga útil de sucesos de los valores del sistema en QRadar. Cuando crea un origen de registro o edita una configuración existente, puede alterar temporalmente el valor predeterminado configurando esta opción para cada origen de registro. |
- Quite la marca del recuadro de selección Especificar certificado.
- Vuelva a especificar la contraseña para Recuperar contraseña de certificado.