Opciones de configuración del protocolo TLS Syslog

Configure una fuente de registro del protocolo Syslog de TLS para recibir eventos Syslog cifrados de dispositivos de red que admitan el reenvío de eventos Syslog de TLS para cada puerto de escucha.

El protocolo Syslog de TLS es un protocolo pasivo de entrada. La fuente de registro crea un puerto de escucha para los eventos Syslog entrantes TLS. De forma predeterminada, las fuentes de registro Syslog de TLS utilizan el certificado y la clave generados por IBM QRadar. El protocolo de origen de registro « TLS » admite las siguientes funciones.

Un recopilador de eventos admite hasta 1000 conexiones TLS.
Cada origen de registro TLS (excepto AutoDiscovered ) debe utilizar un puerto único en ese recopilador de eventos.
También puede crear hasta 1000 fuentes de registro TLS en un recopilador de eventos.
Para Pem y Key, la Key debe estar en formato PKCS8/DER .
Si está utilizando la aplicación Gestión de certificados , la Clave debe estar en formato PKCS8 .

Importante: Si la capacidad de la cola del protocolo Syslog de TLS necesita anular un valor configurado previamente y se ha establecido manualmente un valor diferente, es necesario reiniciar el ecs-ec-ingress servicio para aplicar los cambios. Las opciones Implementar cambio o Implementar configuración completa no funcionan. Es necesario reiniciar el ecs-ec-ingress servicio después de la implementación.

La tabla siguiente describe los parámetros específicos del protocolo TLS Syslog:

Tabla 1. Parámetros del protocolo TLS Syslog
Parámetro	Descripción
Configuración de protocolo	TLS Syslog
Identificador de origen de registro	Una dirección IP o nombre de host para identificar el origen de registro. Novedades en UP15 Ahora puedes configurar hasta 10 identificadores de origen de registro para un origen de registro basado en Syslog de TLS.
Puerto de escucha TLS	El puerto de escucha predeterminado de TLS es 6514. Importante: Solo se puede asignar una fuente de registro Syslog TLS a cada puerto de escucha TLS.
Modo de autenticación	El modo que utiliza tu conexión TLS para autenticarse. Si selecciona la opción TLS y autenticación de cliente, debe configurar los parámetros de certificado.
Autenticación de certificado de cliente	Seleccione una de las opciones siguientes de la lista: Verificación de lista de elementos permitidos de CN y emisor Certificado de cliente en disco
Utilizar lista de permitidos CN	Habilite este parámetro para utilizar una lista de elementos permitidos CN.
Lista de permitidos de CN	La lista de elementos permitidos de nombres comunes de certificados de cliente de confianza. Puede especificar texto sin formato o una expresión regular (regex). Para definir varias entradas, especifique cada una en una línea distinta.
Utilizar verificación de emisor	Habilite este parámetro para utilizar la verificación de emisor.
Certificado o clave pública del emisor raíz/intermedio	Introduzca el certificado o la clave pública del emisor raíz/intermedio en formato PEM. Especifique el certificado, empezando por: `-----BEGIN CERTIFICATE-----` y terminando por: `-----END CERTIFICATE-----` Especifique la clave pública empezando por: `-----BEGIN PUBLIC KEY-----` y terminando por: `-----END PUBLIC KEY-----`
Comprobar revocación de certificado	Comprueba el estado de revocación del certificado en el certificado de cliente. Esta opción requiere conectividad de red a la URL especificada en el campo Puntos de distribución CRL para el certificado de cliente en la extensión X509v3.
Comprobar uso de certificados	Comprueba el contenido de las extensiones X509v3 del certificado en los campos de extensión Uso de claves y Uso de claves ampliado . Para el certificado de cliente entrante, los valores permitidos de X509v3 Uso de claves son `digitalSignature` y `keyAgreement`. El valor de permitir para X509v3 Extended Key Usage es `TLS Web Client Authentication`. Esta propiedad está inhabilitada de forma predeterminada.
Vía de acceso de certificado de cliente	Vía de acceso absoluta del certificado de cliente en el disco. El certificado debe estar almacenado en QRadar Console o Event Collector para este origen de registro. Importante: Asegúrese de que el archivo de certificado que especifique empiece por: `-----BEGIN CERTIFICATE-----` y termina con: `-----END CERTIFICATE-----`
Tipo de certificado de servidor	El tipo de certificado a utilizar para la autenticación para el certificado de servidor y la clave de servidor. Seleccione una de las opciones siguientes en la lista Tipo de certificado de servidor : Certificado generado PEM Certificado y clave privada PKCS12 Cadena de certificados y contraseña Elija entre el almacén de certificados de QRadar
Certificado generado	Esta opción está disponible cuando configura el Tipo de certificado. Si desea utilizar el certificado y la clave predeterminados generados por QRadar para el certificado de servidor y la clave de servidor, seleccione esta opción. El certificado generado se denomina syslog-tls.cert en el directorio /opt/qradar/conf/trusted_certificates/ del recopilador de sucesos de destino al que está asignado el origen de registro.
Certificado único y clave privada	Esta opción está disponible cuando configura el Tipo de certificado. Si desea utilizar un único certificado PEM para el certificado del servidor, seleccione esta opción y, a continuación, configure los siguientes parámetros: Vía de acceso de certificado de servidor proporcionado : la vía de acceso absoluta al certificado de servidor. Vía de acceso de clave privada proporcionada : la vía de acceso absoluta a la clave privada. Importante: La clave privada correspondiente debe ser una clave DER codificada PKCS8. La configuración falla si se utiliza cualquier otro formato de clave.
PKCS12 Certificado y contraseña	Esta opción está disponible cuando configura el Tipo de certificado. Si desea utilizar un archivo PKCS12 que contiene el certificado de servidor y la clave de servidor, seleccione esta opción y, a continuación, configure los parámetros siguientes: PKCS12 Vía de acceso de certificado -Escriba la vía de acceso de archivo para el archivo PKCS12 que contiene el certificado de servidor y la clave de servidor. PKCS12 Contraseña -Escriba la contraseña para acceder al archivo PKCS12 . Alias de certificado -Si hay más de una entrada en el archivo PKCS12 , se debe proporcionar un alias para especificar qué entrada se debe utilizar. Si sólo hay un alias en el archivo PKCS12 , deje este campo en blanco.
Elija entre el almacén de certificados de QRadar	Esta opción está disponible cuando configura el Tipo de certificado. Puede utilizar la aplicación Gestión de certificados para cargar un certificado desde el almacén de certificados de QRadar .
Longitud máxima de carga útil	La longitud máxima de la carga útil (caracteres) que se muestra para un mensaje Syslog de TLS.
Conexiones máximas	El parámetro «Máximo de conexiones » controla cuántas conexiones simultáneas puede aceptar el protocolo Syslog de TLS para cada Event Collector. Para cada uno Event Collector, hay un límite de 1000 conexiones, incluidas las fuentes de registro habilitadas y deshabilitadas, en la configuración de la fuente de registro Syslog de TLS para cada recopilador de eventos. El valor predeterminado para cada conexión de dispositivo es 50, pero no el límite para cada puerto. Sugerencia: Los orígenes de registro descubiertos automáticamente comparten un escucha con otro origen de registro. Por ejemplo, si utiliza el mismo puerto en el mismo recopilador de sucesos, sólo cuenta una vez para el límite.
TLS Protocolos	El protocolo TLS que utilizará la fuente de registro. Seleccione la opción « TLS1.2 o posterior».
Utilizar como origen de registro de pasarela	Envía sucesos recopilados a través del motor de análisis de tráfico de QRadar para detectar automáticamente el origen de registro adecuado. Si no desea definir un identificador de origen de registro personalizado para sucesos, desmarque el recuadro de selección. Cuando esta opción no está seleccionada y Patrón de identificador de origen de registro no está configurado, QRadar recibe sucesos como orígenes de registro genéricos desconocidos.
Utilizar análisis predictivo	Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro de sucesos sin ejecutar la expresión regular para cada suceso, lo que aumenta la velocidad de análisis. Sugerencia: En circunstancias excepcionales, el algoritmo puede realizar predicciones incorrectas. Habilite el análisis predictivo sólo para los tipos de origen de registro que espera que reciban tasas de sucesos altas y que requieran un análisis más rápido.
Patrón de identificador de origen de registro	Utilice la opción Utilizar como origen de registro de pasarela para definir un identificador de origen de registro personalizado para los sucesos que se están procesando y para que los orígenes de registro se descubran automáticamente cuando sea aplicable. Si no configura el Patrón de identificador de origen de registro, QRadar recibe sucesos como orígenes de registro genéricos desconocidos. Utilice pares de clave-valor para definir el identificador de origen de registro personalizado. La clave es la serie de formato de identificador, que es el origen o valor de origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. Este valor también da soporte a grupos de captura que se pueden utilizar para personalizar más la clave. Defina varios pares de clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se listan. Cuando se encuentra una coincidencia, se visualiza un identificador de origen de registro personalizado. Los ejemplos siguientes muestran varias funciones de pares de clave-valor. Patrones `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Sucesos `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Identificador de origen de registro personalizado resultante VPC-ACCEPT-Correcto
Habilitar multilínea	Agregue varios mensajes en sucesos únicos basados en una coincidencia de inicio/finalización o una expresión regular enlazada por ID.
Método de agregación	Este parámetro está disponible cuando Habilitar multilínea está activado. ID-enlazado : procesa los registros de sucesos que contienen un valor común al principio de cada línea. Coincidencia de inicio/finalización : agrega sucesos basados en una expresión regular de inicio o finalización (regex).
Patrón de inicio de suceso	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en Iniciar/finalizar coincidencia. La expresión regular (regex) es necesaria para identificar el inicio de una carga útil de evento multilínea TCP. Las cabeceras de Syslog suelen empezar con una fecha o una indicación de fecha y hora. El protocolo puede crear un suceso de una sola línea que se basa únicamente en un patrón de inicio de suceso, como una indicación de fecha y hora. Cuando sólo existe un patrón de inicio, el protocolo captura toda la información entre cada valor de inicio para crear un suceso válido.
Patrón de final de suceso	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en Iniciar/finalizar coincidencia. Esta expresión regular (regex) es necesaria para identificar el final de una carga útil de evento multilínea TCP. Si el suceso de syslog termina con el mismo valor, puede utilizar una expresión regular para determinar el final de un suceso. El protocolo puede capturar sucesos que están basados únicamente en un patrón de final de sucesos. Cuando sólo existe un patrón de final, el protocolo captura toda la información entre cada valor de finalización para crear un suceso válido.
Patrón de ID de mensaje	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en ID-enlazado. Esta expresión regular (regex) es necesaria para filtrar los mensajes de carga útil de suceso. Los mensajes de eventos multilínea TCP deben contener un valor identificativo común que se repita en cada línea del mensaje de evento.
límite de tiempo	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en ID-enlazado. El número de segundos que se debe esperar a que haya más cargas útiles coincidentes antes de que el suceso se envíe al conducto de sucesos. El valor predeterminado es 10 segundos.
Retener líneas enteras durante la agregación de sucesos	Este parámetro está disponible cuando Habilitar multilínea está activado y el Método de agregación está establecido en ID-enlazado. Si establece el parámetro Método de agregación en ID-enlazado, puede habilitar Retener líneas enteras durante la agregación de sucesos para descartar o conservar la parte de los sucesos que preceden a Patrón de ID de mensaje. Puede habilitar esta función sólo cuando concatene sucesos con el mismo patrón de ID juntos.
Aplanar sucesos de varias líneas en una sola línea	Este parámetro está disponible cuando Habilitar multilínea está activado. Muestra un suceso en una sola línea o en varias líneas.
Formateador de sucesos	Este parámetro está disponible cuando Habilitar multilínea está activado. Utilice la opción Windows Multiline para sucesos de varias líneas formateados específicamente para Windows.

Una vez guardado el origen de registro, se crea un certificado syslog-tls para el origen de registro. El certificado se debe copiar en cualquier dispositivo de la red que esté configurado para reenviar syslog cifrado. Otros dispositivos de red que tienen un archivo de certificado syslog-tls y el número de puerto de escucha TLS se pueden descubrir automáticamente como origen de registro syslog de TLS.

Casos de uso de TLS Syslog

Los casos de uso siguientes representan configuraciones posibles que puede crear:

Certificado de cliente en disco

Puede proporcionar un certificado de cliente que permite que el protocolo intervenga en la autenticación de cliente. Si selecciona esta opción y proporciona el certificado, las conexiones entrantes se validan por comparación con el certificado de cliente.

CN Lista de elementos permitidos y verificación de emisor

Si ha seleccionado esta opción, debe copiar el certificado de emisor (con las extensiones de archivo .crt, .certo .der ) en el directorio siguiente:

/opt/qradar/conf/trusted_certificates

Este directorio está en el recopilador de sucesos de destino al que está asignado el origen de registro.

Cualquier certificado de cliente entrante se verifica mediante los métodos siguientes para comprobar si el certificado ha sido firmado por el emisor de confianza y otras comprobaciones. Puede elegir uno o ambos métodos para la autenticación de certificados de cliente:

Lista de permitidos de CN

Proporcione una lista de elementos permitidos de nombres comunes de certificados de cliente de confianza. Puede especificar texto sin formato o una expresión regular. Defina varias entradas especificando cada una en una línea nueva.

Verificación de emisor

Proporcione un certificado raíz o un certificado emisor intermedio de un certificado de cliente de confianza, o una clave pública en formato PEM.

Comprobar revocación de certificado

Comprueba el estado de revocación de certificados en el certificado de cliente. Esta opción necesita conectividad de red a la URL especificada en el campo Puntos de distribución CRL del certificado de cliente para la extensión X509v3. 

Comprobar uso de certificados

Comprueba el contenido de las extensiones X509v3 del certificado en los campos de extensión Uso de claves y Uso de claves ampliado . Para el certificado de cliente entrante, los valores permitidos de X509v3 Uso de claves son digitalSignature y keyAgreement. El valor de permitir para X509v3 Extended Key Usage es TLS Web Client Authentication.

Certificados de servidor proporcionados por el usuario

Puede definir un certificado de servidor propio y la clave privada correspondiente. El proveedor configurado de TLS Syslog utiliza el certificado y la clave. Las conexiones entrantes se presentan con el certificado proporcionado por el usuario, en lugar del certificado de TLS Syslog que se crea automáticamente.

Autenticación predeterminada

Para utilizar el método de autenticación predeterminado, utilice los valores predeterminados para los parámetros Modalidad de autenticación y Tipo de certificado. Después de guardar el origen de registro, se crea un certificado syslog-tls para el dispositivo de origen de registro. El certificado se debe copiar en cualquier dispositivo de la red que esté configurado para reenviar datos cifrados de syslog.