Options de configuration du protocole Google Cloud Pub/Sub

Le protocole Google Cloud Pub/Sub est un protocole sortant/actif pour IBM QRadar qui collecte les journaux Google Cloud Platform (GCP).

Si les mises à jour automatiques ne sont pas activées, téléchargez le GoogleCloudPubSub protocole RPM à partir du IBM®.

Important: Le protocole Google Cloud Pub/Sub est pris en charge sur QRadar 7.3.2.6, numéro de version 20191022133252 ou version ultérieure.

Le tableau suivant décrit les paramètres spécifiques au protocole pour collecter les journaux Google Cloud Pub/Sub avec le protocole Google Cloud Pub/Sub :

Tableau 1. Paramètres de source de journal Google Cloud Pub/Sub pour Google Cloud Pub/Sub
Paramètre	Descriptif
Service Account Credential Type	Indiquez la provenance des données d'identification de compte de service requises. Vérifiez que le compte de service associé dispose du rôle Pub/Sub Subscriber ou des droits pubsub.subscriptions.consume plus spécifiques sur le Nom d'abonnement configuré dans GCP. Clé gérée par l'utilisateur Fournie dans la zone Clé du compte de service en entrant le texte JSON complet à partir d'une clé de compte de service téléchargée. Clé gérée par GCP Vérifiez que l'hôte géré QRadar s'exécute dans une instance GCP Compute et que les portées d'accès à l'API Cloud incluent le Cloud Pub/Sub.
Service Account Key	Texte complet du fichier JSON qui a été téléchargé lorsque vous avez créé une clé gérée par l'utilisateur pour un compte de service dans IAM & admin > Comptes de service dans la section Google Cloud Platform (GCP). Exemple : { "type": "service_account", "project_id": "qradar-test-123456", "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b", "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n", "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com", "client_id": "526344196064252652671", "auth_uri": "https://accounts.google.com/o/oauth2/auth", "token_uri": "https://oauth2.googleapis.com/token", "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs", "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com" }
Subscription Name	Nom complet de l'abonnement Cloud Pub/Sub. Par exemple, projects/my-project/subscriptions/my-subscription.
Use As A Gateway Log Source	Lorsque vous sélectionnez cette option, les événements collectés circulent via le moteur QRadar Traffic Analysis et QRadar détecte automatiquement une ou plusieurs sources de journaux. Lorsque vous sélectionnez cette option, le Modèle d'identificateur de source de journal peut éventuellement être utilisé pour définir un Identificateur de source de journal personnalisé pour les événements en cours de traitement.
Log Source Identifier Pattern	Lorsque l'option Utiliser comme source de journal de passerelle est sélectionnée, utilisez-la pour définir un identificateur de source de journal personnalisé pour les événements traités. Si Modèle d'identificateur de source de journal n'est pas configuré, QRadar reçoit des événements en tant que sources de journal génériques inconnues. La zone Modèle d'identificateur de source de journal accepte les paires clé-valeur, telles que key=value, pour définir l'identificateur de source de journal personnalisé pour les événements en cours de traitement et pour que les sources de journal soient automatiquement reconnues, le cas échéant. Clé est la chaîne de format d'identificateur, qui est la source ou la valeur d'origine qui en résulte. La valeur est le modèle d'expression régulière associé utilisé pour évaluer le contenu actuel. La valeur (modèle d'expression régulière) prend également en charge les groupes de capture qui peuvent être utilisés pour personnaliser davantage la clé (chaîne de format d'identificateur). Plusieurs paires clé-valeur peuvent être définies en entrant chaque modèle sur une nouvelle ligne. Lorsque plusieurs modèles sont utilisés, ils sont évalués dans l'ordre jusqu'à ce qu'une correspondance soit trouvée. Lorsqu'une correspondance est trouvée, un identificateur de source de journal personnalisé s'affiche. Les exemples suivants montrent plusieurs fonctions de paire valeur-clé : Schémas `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Evénements `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` ID source de journal personnalisé résultant VPC-ACCEPT-OK
Use Predictive Parsing	Si vous activez ce paramètre, un algorithme extrait les modèles d'identificateur de source de journal des événements sans exécuter le regex pour chaque événement, ce qui augmente la vitesse d'analyse. Astuce: Dans de rares cas, l'algorithme peut générer des prévisions incorrectes. Activez l'analyse prédictive uniquement pour les types de source de journal desquels vous prévoyez recevoir des taux d'événements élevés et nécessitant une analyse plus rapide.
Use Proxy	Sélectionnez cette option pour que QRadar se connecte à GCP à l'aide d'un proxy. Si le proxy requiert une authentification, configurez les zones Serveur proxy, Port du proxy, Nom d'utilisateur du proxy et Mot de passe du proxy. Si le proxy ne requiert pas d'authentification, configurez les zones Serveur proxy et Port du proxy.
Proxy IP or Hostname	Adresse IP ou nom d'hôte du serveur proxy.
Proxy Port	Numéro de port utilisé pour communiquer avec le serveur proxy. La valeur par défaut est 8080.
Proxy Username	Requis uniquement lorsque le proxy nécessite une authentification.
Proxy Password	Requis uniquement lorsque le proxy nécessite une authentification.
EPS Throttle	Nombre maximal d'événements par seconde que QRadar ingère. Si votre source de données dépasse la régulation EPS, la collecte de données est retardée. Les données sont toujours collectées, puis elles sont ingérées lorsque la source de données cesse de dépasser le régulateur EPS. La valeur par défaut est 5000.
Convert Google VPC Flow Logs to IPFIX	Cette option convertit les journaux de flux VPC Google en IPFIX, qui est ensuite envoyé au processeur de flux.
Flow Destination Hostname	Nom d'hôte du processeur de flux où les journaux de flux VPC Google sont envoyés. Remarque: activez Convert Google VPC Flow Logs to IPFIX pour configurer ce paramètre.
Flow Destination Port	Port du processeur de flux sur lequel les journaux de flux VPC Google sont envoyés. Remarque: activez Convert Google VPC Flow Logs to IPFIX pour configurer ce paramètre.