Opciones de configuración del protocolo TLS Syslog

Configure un origen de registro de protocolo TLS Syslog para recibir sucesos de syslog cifrados de los dispositivos de red que dan soporte al reenvío de sucesos TLS Syslog para cada puerto de escucha.

El protocolo TLS Syslog es un protocolo de entrada pasivo. El origen de registro crea un puerto de escucha para los sucesos de Syslog TLS entrantes. De forma predeterminada, los orígenes de registro de TLS Syslog utilizan el certificado y la clave generados por IBM QRadar. El protocolo de origen de registro TLS da soporte a las funciones siguientes.

Un recopilador de sucesos da soporte a un máximo de 1000 conexiones TLS.
Cada origen de registro TLS (excepto AutoDiscovered) debe utilizar un puerto exclusivo en ese Recopilador de sucesos.
También puede crear hasta 1000 orígenes de registro TLS en un Recopilador de sucesos.
Para Pem y Key, la Key debe estar en formato PKCS8/DER .
Si está utilizando la aplicación Gestión de certificados , la Clave debe estar en formato PKCS8 .

La tabla siguiente describe los parámetros específicos del protocolo TLS Syslog:

Tabla 1. Parámetros del protocolo TLS Syslog
Parámetro	Descripción
Configuración de protocolo	TLS Syslog
Identificador de origen de registro	Una dirección IP o nombre de host para identificar el origen de registro.
Puerto de escucha TLS	El puerto de escucha predeterminado de TLS es 6514. Importante: Solo puede asignar un origen de registro TLS Syslog a cada puerto de escucha TLS.
Modo de autenticación	La modalidad que utiliza la conexión TLS para autenticarse. Si selecciona la opción TLS y autenticación de cliente, debe configurar los parámetros de certificado.
Autenticación de certificado de cliente	Seleccione una de las opciones siguientes de la lista: Verificación de lista de elementos permitidos de CN y emisor Certificado de cliente en disco
Utilizar lista de permitidos CN	Habilite este parámetro para utilizar una lista de elementos permitidos CN.
Lista de permitidos de CN	La lista de elementos permitidos de nombres comunes de certificados de cliente de confianza. Puede especificar texto sin formato o una expresión regular (regex). Para definir varias entradas, especifique cada una en una línea distinta.
Utilizar verificación de emisor	Habilite este parámetro para utilizar la verificación de emisor.
Certificado o clave pública del emisor raíz/intermedio	Especifique el certificado del emisor raíz/intermedio o la clave pública en formato PEM. Especifique el certificado, empezando por: `-----BEGIN CERTIFICATE-----` y terminando por: `-----END CERTIFICATE-----` Especifique la clave pública empezando por: `-----BEGIN PUBLIC KEY-----` y terminando por: `-----END PUBLIC KEY-----`
Comprobar revocación de certificado	Comprueba el estado de revocación del certificado en el certificado de cliente. Esta opción requiere conectividad de red a la URL especificada en el campo Puntos de distribución CRL para el certificado de cliente en la extensión X509v3.
Comprobar uso de certificados	Comprueba el contenido de las extensiones X509v3 del certificado en los campos de extensión Uso de claves y Uso de claves ampliado . Para el certificado de cliente entrante, los valores permitidos de X509v3 Uso de claves son `digitalSignature` y `keyAgreement`. El valor de permitir para X509v3 Extended Key Usage es `TLS Web Client Authentication`. Esta propiedad está inhabilitada de forma predeterminada.
Vía de acceso de certificado de cliente	Vía de acceso absoluta del certificado de cliente en el disco. El certificado debe estar almacenado en QRadar Console o Event Collector para este origen de registro. Importante: Asegúrese de que el archivo de certificado que especifique empiece por: `-----BEGIN CERTIFICATE-----` y termina con: `-----END CERTIFICATE-----`
Tipo de certificado de servidor	El tipo de certificado a utilizar para la autenticación para el certificado de servidor y la clave de servidor. Seleccione una de las opciones siguientes en la lista Tipo de certificado de servidor : Certificado generado Certificado de PEM y clave privada PKCS12 Cadena de certificados y contraseña Elija entre el almacén de certificados de QRadar
Certificado generado	Esta opción está disponible cuando configura el Tipo de certificado. Si desea utilizar el certificado y la clave predeterminados generados por QRadar para el certificado de servidor y la clave de servidor, seleccione esta opción. El certificado generado se denomina syslog-tls.cert en el directorio /opt/qradar/conf/trusted_certificates/ del recopilador de sucesos de destino al que está asignado el origen de registro.
Certificado único y clave privada	Esta opción está disponible cuando configura el Tipo de certificado. Si desea utilizar un único certificado PEM para el certificado de servidor, seleccione esta opción y, a continuación, configure los parámetros siguientes: Vía de acceso de certificado de servidor proporcionado : la vía de acceso absoluta al certificado de servidor. Vía de acceso de clave privada proporcionada : la vía de acceso absoluta a la clave privada. Importante: La clave privada correspondiente debe ser una clave PKCS8 codificada con DER. La configuración falla si se utiliza cualquier otro formato de clave.
PKCS12 Certificado y contraseña	Esta opción está disponible cuando configura el Tipo de certificado. Si desea utilizar un archivo PKCS12 que contiene el certificado de servidor y la clave de servidor, seleccione esta opción y, a continuación, configure los parámetros siguientes: PKCS12 Vía de acceso de certificado -Escriba la vía de acceso de archivo para el archivo PKCS12 que contiene el certificado de servidor y la clave de servidor. PKCS12 Contraseña -Escriba la contraseña para acceder al archivo PKCS12 . Alias de certificado -Si hay más de una entrada en el archivo PKCS12 , se debe proporcionar un alias para especificar qué entrada se debe utilizar. Si sólo hay un alias en el archivo PKCS12 , deje este campo en blanco.
Elija entre el almacén de certificados de QRadar	Esta opción está disponible cuando configura el Tipo de certificado. Puede utilizar la aplicación Gestión de certificados para cargar un certificado desde el almacén de certificados de QRadar .
Longitud máxima de carga útil	La longitud máxima de carga útil (caracteres) que se visualiza para el mensaje de registro del sistema TLS.
Conexiones máximas	El parámetro Número máximo de conexiones controla cuántas conexiones simultáneas puede aceptar el protocolo TLS Syslog para cada Event Collector. Para cada Event Collector, hay un límite de 1000 conexiones, incluidos los orígenes de registro habilitados e inhabilitados, en la configuración de origen de registro Syslog TLS para cada recopilador de sucesos. El valor predeterminado para cada conexión de dispositivo es 50, pero no el límite para cada puerto. Sugerencia: Los orígenes de registro descubiertos automáticamente comparten un escucha con otro origen de registro. Por ejemplo, si utiliza el mismo puerto en el mismo recopilador de sucesos, sólo cuenta una vez para el límite.
Protocolos TLS	El protocolo TLS que utilizará el origen de registro. Seleccione la opción "TLS 1.2 o posterior".
Utilizar como origen de registro de pasarela	Envía sucesos recopilados a través del motor de análisis de tráfico de QRadar para detectar automáticamente el origen de registro adecuado. Si no desea definir un identificador de origen de registro personalizado para sucesos, desmarque el recuadro de selección. Cuando esta opción no está seleccionada y Patrón de identificador de origen de registro no está configurado, QRadar recibe sucesos como orígenes de registro genéricos desconocidos.
Utilizar análisis predictivo	Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro de sucesos sin ejecutar la expresión regular para cada suceso, lo que aumenta la velocidad de análisis. Sugerencia: En circunstancias excepcionales, el algoritmo puede realizar predicciones incorrectas. Habilite el análisis predictivo sólo para los tipos de origen de registro que espera que reciban tasas de sucesos altas y que requieran un análisis más rápido.
Patrón de identificador de origen de registro	Utilice la opción Utilizar como origen de registro de pasarela para definir un identificador de origen de registro personalizado para los sucesos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando sea aplicable. Si no configura el Patrón de identificador de origen de registro, QRadar recibe sucesos como orígenes de registro genéricos desconocidos. Utilice pares de clave-valor para definir el identificador de origen de registro personalizado. La clave es la serie de formato de identificador, que es el origen o valor de origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. Este valor también da soporte a grupos de captura que se pueden utilizar para personalizar más la clave. Defina varios pares de clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se listan. Cuando se encuentra una coincidencia, se visualiza un identificador de origen de registro personalizado. Los ejemplos siguientes muestran varias funciones de pares de clave-valor. Patrones `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Sucesos `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Identificador de origen de registro personalizado resultante VPC-ACCEPT-Correcto
Habilitar multilínea	Agregue varios mensajes en sucesos únicos basados en una coincidencia de inicio/finalización o una expresión regular enlazada por ID.
Método de agregación	Este parámetro está disponible cuando Habilitar multilínea está activado. ID-enlazado : procesa los registros de sucesos que contienen un valor común al principio de cada línea. Coincidencia de inicio/finalización : agrega sucesos basados en una expresión regular de inicio o finalización (regex).
Patrón de inicio de suceso	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en Iniciar/finalizar coincidencia. La expresión regular (regex) es necesaria para identificar el inicio de una carga útil de suceso de varias líneas TCP. Las cabeceras de Syslog suelen empezar con una fecha o una indicación de fecha y hora. El protocolo puede crear un suceso de una sola línea que se basa únicamente en un patrón de inicio de suceso, como una indicación de fecha y hora. Cuando sólo existe un patrón de inicio, el protocolo captura toda la información entre cada valor de inicio para crear un suceso válido.
Patrón de final de suceso	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en Iniciar/finalizar coincidencia. Esta expresión regular (regex) es necesaria para identificar el final de una carga útil de suceso de varias líneas TCP. Si el suceso de syslog termina con el mismo valor, puede utilizar una expresión regular para determinar el final de un suceso. El protocolo puede capturar sucesos que están basados únicamente en un patrón de final de sucesos. Cuando sólo existe un patrón de final, el protocolo captura toda la información entre cada valor de finalización para crear un suceso válido.
Patrón de ID de mensaje	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en ID-enlazado. Esta expresión regular (regex) es necesaria para filtrar los mensajes de carga útil de suceso. Los mensajes de suceso de varias líneas TCP deben contener un valor de identificación común que se repita en cada línea del mensaje de suceso.
límite de tiempo	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en ID-enlazado. El número de segundos que se debe esperar a que haya más cargas útiles coincidentes antes de que el suceso se envíe al conducto de sucesos. El valor predeterminado es 10 segundos.
Retener líneas enteras durante la agregación de sucesos	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en ID-enlazado. Si establece el parámetro Método de agregación en ID-enlazado, puede habilitar Retener líneas enteras durante la agregación de sucesos para descartar o conservar la parte de los sucesos que preceden a Patrón de ID de mensaje. Puede habilitar esta función sólo cuando concatene sucesos con el mismo patrón de ID juntos.
Aplanar sucesos de varias líneas en una sola línea	Este parámetro está disponible cuando Habilitar multilínea está activado. Muestra un suceso en una sola línea o en varias líneas.
Formateador de sucesos	Este parámetro está disponible cuando Habilitar multilínea está activado. Utilice la opción Windows Multiline para sucesos de varias líneas formateados específicamente para Windows.

Una vez guardado el origen de registro, se crea un certificado syslog-tls para el origen de registro. El certificado se debe copiar en cualquier dispositivo de la red que esté configurado para reenviar syslog cifrado. Otros dispositivos de red que tienen un archivo de certificado syslog-tls y el número de puerto de escucha TLS se pueden descubrir automáticamente como origen de registro syslog de TLS.

Casos de uso de TLS Syslog

Los casos de uso siguientes representan configuraciones posibles que puede crear:

Certificado de cliente en disco

Puede proporcionar un certificado de cliente que permite que el protocolo intervenga en la autenticación de cliente. Si selecciona esta opción y proporciona el certificado, las conexiones entrantes se validan por comparación con el certificado de cliente.

CN Lista de elementos permitidos y verificación de emisor

Si ha seleccionado esta opción, debe copiar el certificado de emisor (con las extensiones de archivo .crt, .certo .der ) en el directorio siguiente:

/opt/qradar/conf/trusted_certificates

Este directorio está en el recopilador de sucesos de destino al que está asignado el origen de registro.

Cualquier certificado de cliente entrante se verifica mediante los métodos siguientes para comprobar si el certificado ha sido firmado por el emisor de confianza y otras comprobaciones. Puede elegir uno o ambos métodos para la autenticación de certificados de cliente:

Lista de permitidos de CN

Proporcione una lista de elementos permitidos de nombres comunes de certificados de cliente de confianza. Puede especificar texto sin formato o una expresión regular. Defina varias entradas especificando cada una en una línea nueva.

Verificación de emisor

Proporcione un certificado de emisor raíz o intermedio del certificado de cliente de confianza, o una clave pública en formato PEM.

Comprobar revocación de certificado

Comprueba el estado de revocación de certificados en el certificado de cliente. Esta opción necesita conectividad de red a la URL especificada en el campo Puntos de distribución CRL del certificado de cliente para la extensión X509v3. 

Comprobar uso de certificados

Comprueba el contenido de las extensiones X509v3 del certificado en los campos de extensión Uso de claves y Uso de claves ampliado . Para el certificado de cliente entrante, los valores permitidos de X509v3 Uso de claves son digitalSignature y keyAgreement. El valor de permitir para X509v3 Extended Key Usage es TLS Web Client Authentication.

Certificados de servidor proporcionados por el usuario

Puede definir un certificado de servidor propio y la clave privada correspondiente. El proveedor configurado de TLS Syslog utiliza el certificado y la clave. Las conexiones entrantes se presentan con el certificado proporcionado por el usuario, en lugar del certificado de TLS Syslog que se crea automáticamente.

Autenticación predeterminada: Para utilizar el método de autenticación predeterminado, utilice los valores predeterminados para los parámetros Modalidad de autenticación y Tipo de certificado. Después de guardar el origen de registro, se crea un certificado syslog-tls para el dispositivo de origen de registro. El certificado se debe copiar en cualquier dispositivo de la red que esté configurado para reenviar datos cifrados de syslog.