Options de configuration du protocole RabbitMQ
Pour recevoir des messages d'un DSM Cisco AMP, configurez une source de journal pour utiliser le protocole RabbitMQ .
Le protocole RabbitMQ est un protocole sortant actif.
Le tableau suivant décrit les paramètres spécifiques au protocole RabbitMQ :
| Paramètre | Descriptif |
|---|---|
| Nom de protocole | RabbitMQ |
| Identificateur de source de journal | Entrez un nom unique pour la source de journal. L'identificateur de source de journal peut être n'importe quelle valeur valide et n'a pas besoin de faire référence à un serveur spécifique. Il peut également s'agir de la même valeur que Nom de la source du journal. Si vous avez configuré plusieurs sources de journal RabbitMQ , veillez à leur attribuer un nom unique. |
| Format d'événement | Le format d'événement indique au protocole le type d'événements à attendre. Les produits bénéficiant d'un soutien public ont des options spécifiques à leur disposition. Pour les produits non pris en charge, vous pouvez utiliser Aucune mise en forme ou JSON. |
| IP ou nom d'hôte | Adresse IP ou nom d'hôte du gestionnaire de files d'attente principal. |
| Port | Port fourni par le service AMQP lorsqu'une file d'attente est créée ou visualisé. |
| File d'attente | La file d'attente ou liste de files d'attente à surveiller. Les files d'attente doivent être spécifiées dans une liste séparée par des virgules. |
| Nom d'utilisateur | Nom d'utilisateur utilisé pour l'authentification auprès du service RabbitMQ . |
| Mot de passe | Mot de passe utilisé pour l'authentification auprès du service RabbitMQ . |
| Régulation des EPS | Nombre maximal d'événements par seconde que QRadar ingère. Si votre source de données dépasse la régulation EPS, la collecte de données est retardée. Les données sont toujours collectées, puis elles sont ingérées lorsque la source de données cesse de dépasser le régulateur EPS. La valeur par défaut est 5000. |
| Autoriser les certificats non sécurisés | Activez cette option lorsque le noeud final utilise un certificat qui ne peut pas être vérifié via la chaîne de certificats. Il peut s'agir d'un certificat autosigné ou d'un certificat d'une autorité de certification privée que vous ne souhaitez pas importer dans votre accréditation d'autorité de certification. Cette option ne doit pas être utilisée pour les noeuds finaux avec un certificat émis par une autorité de certification publique (produitsSaaS , infrastructure de cloud public, etc.) Le certificat doit être téléchargé au format binaire codé en PEM ou DER, puis placé dans le répertoire /opt/qradar/conf/trusted_certificates/ avec une extension de fichier .cert ou .crt. |