Options de configuration du protocole Microsoft Azure Event Hubs

Le protocole Microsoft Azure Event Hubs est un protocole actif et sortant pour IBM® Security QRadar® qui collecte des événements à partir de Microsoft Azure Event Hubs.

Important: Par défaut, chaque collecteur d'événements peut collecter des événements à partir de 1000 partitions maximum avant qu'il ne soit à court de descripteurs de fichiers. Si vous souhaitez effectuer une collecte à partir de plusieurs partitions, vous pouvez contacter le support IBM pour obtenir des informations d'optimisation et une assistance avancées. Pour plus d'informations, voir IBM Support.

Les paramètres suivants requièrent des valeurs spécifiques pour collecter des événements à partir des dispositifs Microsoft Azure Event Hubs:

Tableau 1. Paramètres de source de journal Microsoft Azure Event Hubs
Paramètre	Valeur
Méthode d'authentification	Ce champ déroulant permet de sélectionner la méthode d'authentification pour Azure Event Hub. Il prend en charge les deux options suivantes : SAS (Shared Access Signature) : Authentification basée sur la chaîne de connexion. (Sélection par défaut) Entra ID : L'authentification est assurée par l'identifiant du locataire, l'identifiant du client et le secret du client. Remarques : Pour créer une application Microsoft Entra, voir Configurer les ressources Azure requises pour exporter les alertes de sécurité vers IBM QRadar et Splunk - Microsoft Defender for Cloud. Pour permettre à Microsoft Entra ID de lire le hub d'événements, voir Configurer les ressources Azure requises pour exporter les alertes de sécurité vers IBM QRadar et Splunk - Microsoft Defender for Cloud.
Utiliser la chaîne de connexion du concentrateur d'événements	Authentifiez-vous auprès d'Azure Event Hub à l'aide d'une chaîne de connexion. Remarques : La possibilité de désactiver ce commutateur est obsolète. Sélectionnez Méthode d'authentification > SAS (Shared Access Signature) pour rendre ce paramètre disponible.
Chaîne de connexion du concentrateur d'événements	Chaîne d'autorisation permettant d'accéder à un concentrateur d'événements. Par exemple, `Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>` Note : Sélectionnez Méthode d'authentification > SAS (Shared Access Signature) pour que ce paramètre soit disponible.
ID titulaire	Utilisé pour l'authentification d'Azure AD. Note : Sélectionnez Méthode d'authentification > Entra ID pour que ce paramètre soit disponible.
ID de client	L'identifiant du client est un identifiant public utilisé par Oauth2 pour l'authentification. Note : Sélectionnez Méthode d'authentification > Entra ID pour que ce paramètre soit disponible.
Secret client	Le secret du client est utilisé pour s'assurer que l'utilisateur est autorisé à obtenir un jeton d'accès. Le secret client est un mot de passe qui n'est accessible qu'à l'utilisateur lors de sa création. Par la suite, il ne peut être obtenu que de mémoire ou par une copie écrite. Note : Sélectionnez Méthode d'authentification > Entra ID pour que ce paramètre soit disponible.
Espace de nom	Le nom du répertoire de premier niveau qui contient les entités d'Event Hub. Note : Sélectionnez Méthode d'authentification > Entra ID pour que ce paramètre soit disponible.
Nom du concentrateur d'événements	Identificateur du concentrateur d'événements auquel vous souhaitez accéder. Le nom du carrefour d'événements doit correspondre à l'une des entités du carrefour d'événements dans l'espace de noms. Note : Sélectionnez Méthode d'authentification > Entra ID pour que ce paramètre soit disponible.
Groupe de consommateurs	Indique la vue utilisée lors de la connexion. Chaque Consumer Group gère son propre suivi de session. Toute connexion qui partage des groupes de consommateurs et des informations de connexion partage des informations de suivi de session.
Méthode d'authentification du stockage	Ce champ déroulant permet de sélectionner la méthode d'authentification pour Azure Storage. Il prend en charge les deux options suivantes : Signature à accès partagé (SAS) Authentification basée sur la chaîne de connexion. Il s'agit de la sélection par défaut. Entra ID L'authentification est assurée par l'identifiant du locataire, l'identifiant du client et le secret du client.
Utiliser les identifiants d'Event Hub Entra ID	Utilisez les mêmes informations d' identification Entra pour les comptes de stockage qui ont été configurés pour le Hub d'événements Azure. Réglez cette option sur false (faux) pour fournir des informations d' identification Entra distinctes pour la connexion au compte de stockage.
ID titulaire	Un identifiant de locataire dans Azure Entra ID est un identifiant unique pour le locataire Microsoft Entra d'une organisation, qui agit comme un conteneur pour toutes ses ressources Azure, ses utilisateurs et ses abonnements. Sélectionnez Storage Authentication Method>Entra ID et réglez Use Event Hub Entra ID Credentials sur false, pour rendre ce paramètre disponible.
ID de client	L'identifiant du client est un identifiant public utilisé par Oauth2 pour l'authentification. Sélectionnez Storage Authentication Method>Entra ID et réglez Use Event Hub Entra ID Credentials sur false, pour rendre ce paramètre disponible.
Secret client	Le secret du client est utilisé pour s'assurer que l'utilisateur est autorisé à obtenir un jeton d'accès. Le secret client est un mot de passe qui n'est accessible qu'à l'utilisateur lors de sa création. Par la suite, il ne peut être obtenu que de mémoire ou par une copie écrite. Sélectionnez Storage Authentication Method>Entra ID et réglez Use Event Hub Entra ID Credentials sur false, pour rendre ce paramètre disponible.
Nom du compte de stockage	Le nom du compte de stockage qui stocke les métadonnées de point de contrôle et de propriété d'Event Hub. Sélectionnez Méthode d'authentification du stockage>Intra ID pour rendre ce paramètre disponible
Utiliser la chaîne de connexion du compte de stockage	Authentifiez-vous auprès du compte de stockage Azure à l'aide d'une chaîne de connexion. Remarque: La possibilité de désactiver ce commutateur est obsolète.
Chaîne de connexion du compte de stockage	Chaîne d'autorisation permettant d'accéder à un compte de stockage. Exemple de clé d'accès: `DefaultEndpointsProtocol=https;AccountName=<Storage Account Name>;AccountKey=<Storage Account Key>;EndpointSuffix=core.windows.net` Exemple de signature d'accès partagé: `BlobEndpoint=<Blob Endpoint>;QueueEndpoint=<Queue Endpoint>;FileEndpoint=<File Endpoint>;TableEndpoint=<Table Endpoint>;SharedAccessSignature=<Access Signature>`
Formater des événements Azure Linux en Syslog	Formate les journaux Azure Linux® dans un format syslog à ligne unique qui ressemble à la journalisation syslog standard des systèmes Linux .
Convertir les journaux de flux VNet en IPFIX	Journaux de flux VNet Microsoft Azure . Sélectionnez cette option pour envoyer des journaux de flux à l'onglet Activité réseau dans QRadar.
Flux HostName	Activez Convertir les journaux de flux VNet en IPFIX pour configurer ce paramètre. Nom d'hôte du processeur de flux où les journaux de flux VNet Microsoft Azure sont envoyés.
Port de flux	Activez Convertir les journaux de flux VNet en IPFIX pour configurer ce paramètre. Port du processeur de flux sur lequel les journaux de flux VNet Microsoft Azure sont envoyés.
Utiliser comme source de journal de passerelle	Lorsque vous sélectionnez cette option, les événements collectés circulent via le moteur QRadar Traffic Analysis et QRadar détecte automatiquement une ou plusieurs sources de journaux. Lorsque vous sélectionnez cette option, le modèle d'identificateur de source de journal peut éventuellement être utilisé pour définir un identificateur de source de journal personnalisé pour les événements en cours de traitement.
Modèle d'identificateur de source de journal	Lorsque l'option Utiliser comme source de journal de passerelle est sélectionnée, utilisez-la pour définir un identificateur de source de journal personnalisé pour les événements traités. Si Modèle d'identificateur de source de journal n'est pas configuré, QRadar reçoit des événements en tant que sources de journal génériques inconnues. La zone Modèle d'identificateur de source de journal accepte les paires clé-valeur, telles que key=value, pour définir l'identificateur de source de journal personnalisé pour les événements en cours de traitement et pour que les sources de journal soient automatiquement reconnues, le cas échéant. Clé est la chaîne de format d'identificateur, qui est la source ou la valeur d'origine qui en résulte. La valeur est le modèle d'expression régulière associé utilisé pour évaluer le contenu actuel. La valeur (modèle regex) prend également en charge les groupes de capture, qui peuvent être utilisés pour personnaliser davantage la clé (String Format String). Plusieurs paires clé-valeur peuvent être définies en entrant chaque modèle sur une nouvelle ligne. Lorsque plusieurs modèles sont utilisés, ils sont évalués dans l'ordre jusqu'à ce qu'une correspondance soit trouvée. Lorsqu'une correspondance est trouvée, un identificateur de source de journal personnalisé s'affiche. Les exemples suivants montrent plusieurs fonctions de paire valeur-clé : Schémas `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Evénements `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` ID source de journal personnalisé résultant VPC-ACCEPT-OK
Utiliser l'analyse syntaxique prédictive	Si vous activez ce paramètre, un algorithme extrait les modèles d'identificateur de source de journal des événements sans exécuter le regex pour chaque événement, ce qui augmente la vitesse d'analyse. Activez l'analyse prédictive uniquement pour les types de source de journal desquels vous prévoyez recevoir des taux d'événements élevés et nécessitant une analyse plus rapide.
Utiliser le proxy	Lorsque vous configurez un proxy, tout le trafic de la source de journal passe par le proxy pour accéder à Azure Event Hub. Après avoir activé ce paramètre, configurez les zones Adresse IP ou nom d'hôte du proxy, Port du proxy, Nom d'utilisateur du proxyet Mot de passe du proxy. Si le proxy n'a pas besoin d'authentification, vous pouvez laisser les zones Nom d'utilisateur du proxy et Mot de passe du proxy vides. Remarque: l'authentification simplifiée pour le proxy n'est pas prise en charge dans Java™ SDK for Azure Event Hubs. Pour plus d'informations, voir Azure Event Hubs-SDK client (https: //docs.microsoft.com/en-us/azure/event-hubs/sdks).
Adresse IP ou nom d'hôte du proxy	Adresse IP ou nom d'hôte du serveur proxy. Ce paramètre apparaît lorsque Utiliser le proxy est activé.
Port du proxy	Numéro de port utilisé pour communiquer avec le proxy. La valeur par défaut est 8080. Ce paramètre apparaît lorsque Utiliser le proxy est activé.
Nom d'utilisateur du proxy	Nom d'utilisateur permettant d'accéder au serveur proxy. Ce paramètre apparaît lorsque Utiliser le proxy est activé.
Mot de passe du proxy	Mot de passe permettant d'accéder au serveur proxy. Ce paramètre apparaît lorsque Utiliser le proxy est activé.
Régulation des EPS	Nombre maximal d'événements par seconde que QRadar ingère. Si votre source de données dépasse la régulation EPS, la collecte de données est retardée. Les données sont toujours collectées, puis elles sont ingérées lorsque la source de données cesse de dépasser le régulateur EPS. La valeur par défaut est 5000.

Le tableau suivant décrit les paramètres de source de journal Microsoft Azure Event Hubs qui sont obsolètes:

Tableau 2. Paramètres obsolètes de la source de journal Microsoft Azure Event Hubs
Paramètre	Valeur
Obsolète - Nom de l'espace de nom	Cette option s'affiche si l'option Use Event Hub Connection String est désactivée. Nom du répertoire de niveau supérieur qui contient les entités Event Hub dans l'interface utilisateur Microsoft Azure Event Hubs.
Obsolète - Nom du concentrateur d'événements	Cette option s'affiche si l'option Use Event Hub Connection String est désactivée. Identificateur du concentrateur d'événements auquel vous souhaitez accéder. Le nom du concentrateur d'événements doit correspondre à l'une des entités Event Hub de l'espace de nom.
Obsolète - Nom de la clé SAS	Cette option s'affiche si l'option Use Event Hub Connection String est désactivée. Le nom SAS (Shared Access Signature) identifie l'éditeur d'événements.
Obsolète - Clé SAS	Cette option s'affiche si l'option Use Event Hub Connection String est désactivée. La clé SAS (Shared Access Signature) authentifie l'éditeur d'événements.
Obsolète - Nom du compte de stockage	Cette option s'affiche si l'option Use Storage Account Connection String est désactivée. Nom du compte de stockage qui stocke les données du concentrateur d'événements. Le Nom du compte de stockage fait partie du processus d'authentification requis pour accéder aux données du compte de stockage Azure.
Obsolète - Clé du compte de stockage	Cette option s'affiche si l'option Use Storage Account Connection String est désactivée. Clé d'autorisation utilisée pour l'authentification du compte de stockage. La Clé du compte de stockage fait partie du processus d'authentification requis pour accéder aux données du compte de stockage Azure.