Source de journal de passerelle

Utilisez une source de journal de passerelle pour configurer un protocole afin qu'il utilise de nombreux modules de support d'unité (DSM) au lieu de s'appuyer sur un seul type de DSM. Avec une source de journal de passerelle, les protocoles d'agrégation d'événements peuvent gérer dynamiquement différents types d'événements.

Avant de configurer votre source de journal de passerelle, vous devez comprendre les différences qui existent entre les protocoles, les DSM et les sources de journal.
Protocole
Les protocoles permettent de collecter un ensemble de fichiers de données à l'aide de différentes options de connexion. Ces connexions renvoient les données ou reçoivent passivement des données dans le pipeline d'événements dans QRadar. Ensuite, le DSM correspondant analyse et normalise les données.
gestionnaire de services de données
Un DSM est un module de code qui analyse les évènements reçus à partir de plusieurs sources de journal et les convertit en un format de taxinomie standard qui peut être affiché sous forme de sortie. Chaque type de source de journal a un DSM correspondant.
Source du journal
Une source de journal est une source de données créant un journal d'événement. Pour plus d'informations, voir Introduction à la gestion des sources de journaux.
Les sources de journal de passerelle prennent en charge les protocoles suivants :
  • Amazon AWS S3 REST
  • Amazon AWS Web Services
  • Google Cloud PubSub
  • Récepteur HTTP
  • Kafka
  • Microsoft Azure Event Hubs
  • TCPMutilineSyslog
  • TLS Syslog
  • UDPMutilineSyslog
Astuce: Pour fournir la meilleure adéquation aux données génériques, utilisez le DSM universel lorsque vous configurez votre source de journal de passerelle.

Une source de journal de passerelle n'utilise pas de DSM. Elle délègue l'analyse DSM aux sources de journal Syslog autonomes qui possèdent un DSM et un identificateur appropriés. Ces sources de journal sont une source de journal de collecteur (la passerelle) et une source de journal d'analyseur syntaxique. Les sources de journal de l'analyseur syntaxique correspondent aux données provenant de la passerelle et ne collectent pas activement les événements eux-mêmes.

Avant de créer votre source de journal de passerelle, vous devez savoir quels types de données vous prévoyez de collecter à partir de la passerelle de données. Les passerelles de données peuvent collecter de nombreux types de données et QRadar ne prend pas en charge tous les types de données par défaut. Pour analyser correctement les données, DSM pouvant gérer les événements que vous collectez doit exister. Même si QRadar prend en charge la source de l'événement, si la passerelle le renvoie dans un format inattendu, le DSM ne peut pas l'analyser. Par exemple, si la passerelle de données renvoie un événement au format JSON, mais que le DSM attend un format LEEF, un DSM personnalisé devra peut-être analyser les données.

Une source de journal de passerelle fonctionne de la même manière que les autres sources de journal, en utilisant son protocole sélectionné pour atteindre et collecter des événements. La différence entre une source de journal de passerelle et d'autres sources de journal se produit lorsque les événements collectés sont prêts à être affichés. Une source de journal normale tente de forcer l'analyse syntaxique des événements par le DSM sélectionné. Une source de journal de passerelle envoie les événements sous forme de charge utile Syslog avec un identifiant par défaut défini sur 0.0.0.0 ou sur l'adresse IP des services connectés (l'adresse IP source du paquet).

Lorsqu'un événement est publié dans le pipeline d'événements en tant que contenu Syslog, les événements sont gérés par la détection automatique de la source de journal. Si une source de journalisation existante avec l'identifiant fourni existe, l'événement est traité par cette source de journalisation, que l'événement soit analysé avec ce DSM ou non. S'il n'existe aucune source de journalisation, l'événement est analysé par les DSM qui prennent en charge la détection automatique. Si l'événement est correctement analysé par un DSM, une source de journalisation est alors créée avec un format de nom dépendant de la configuration de la détection automatique de la source de journalisation pour ce DSM particulier, qui est généralement $$DEVICE_TYPE$$ @ $$SOURCE_ADDRESS$$.

Les sources de journalisation créées automatiquement ont généralement l'option Log Source Identifier définie sur hostname/IP s'il s'agit d'un en-tête syslog valide, l'IP source du paquet ou 0.0.0.0. Pour correspondre à une source de journalisation créée automatiquement, la charge utile doit avoir un identifiant qui correspond à ce qui se trouve dans l'identifiant de la source de journalisation, et le DSM sélectionné doit être capable de l'analyser. Les événements qui ne peuvent pas être analysés sont envoyés directement à sim-generic ou stockés.

Astuce :

Les sources de journal créées manuellement dont l'identificateur correspond à l'identificateur du contenu Syslog sont utilisées même si le DSM de la source de journal ne parvient pas à analyser l'événement.

Pour configurer une source de journal de passerelle, activez l'option Utiliser comme source de journal de passerelle pour le protocole sélectionné. Si vous activez cette option, les événements sont envoyés au pipeline d'événements et sont détectés automatiquement. Pour obtenir la valeur maximale de cette fonction, utilisez le modèle d'identificateur de source de journal.