Options de configuration du protocole TLS Syslog

Configurez une source de journal de protocole TLS Syslog pour recevoir les événements syslog chiffrés des périphériques réseau qui prennent en charge le transfert d'événements TLS Syslog pour chaque port d'écoute.

Le protocole TLS Syslog est un protocole entrant passif. La source de journal crée un port d'écoute pour les événements TLS Syslog entrants. Par défaut, les sources de journal TLS Syslog utilisent le certificat et la clé générés par IBM QRadar. Le protocole TLS Log Source prend en charge les fonctions suivantes.

Un collecteur d'événements prend en charge jusqu'à 1000 connexions TLS.
Chaque source de journal TLS (à l'exception de AutoDiscovered) doit utiliser un port unique sur ce collecteur d'événements.
Vous pouvez également créer jusqu'à 1000 sources de journal TLS sur un collecteur d'événements.
Pour Pem et Key, la clé doit être au format PKCS8/DER .
Si vous utilisez l'application Gestion des certificats , la clé doit être au format PKCS8 .

Le tableau suivant décrit les paramètres propres au protocole TLS Syslog :

Tableau 1. Paramètres du protocole TLS Syslog
Paramètre	Descriptif
Configuration du protocole	TLS Syslog
Identificateur de source de journal	Adresse IP ou nom d'hôte identifiant la source de journal.
Port d'écoute TLS	La valeur par défaut du port d'écoute TLS est 6514. Important: Vous ne pouvez affecter qu'une seule source de journal TLS Syslog à chaque port d'écoute TLS.
Mode d'authentification	Mode utilisé par votre connexion TLS pour l'authentification. Si vous sélectionnez l'option TLS and Client Authentication, vous devez configurez les paramètres de certificat.
Authentification par certificat client	Sélectionnez l'une des options suivantes dans la liste : Liste autorisée de CN et vérification de l'émetteur Certificat client sur disque
Utiliser la liste autorisée de CN	Activez ce paramètre pour utiliser une liste autorisée de CN.
Liste autorisée de CN	Liste autorisée des noms communs des certificats client dignes de confiance. Vous pouvez entrer un texte en clair ou une expression régulière (regex). Pour définir plusieurs entrées, entrez chacune sur une ligne distincte.
Utiliser la vérification de l'émetteur	Activez ce paramètre pour utiliser la vérification de l'émetteur.
Certificat ou clé publique de l'émetteur root/intermédiaire	Entrez le certificat ou la clé publique de l'émetteur root/intermédiaire au format PEM. Entrez le certificat, en commençant par : `-----BEGIN CERTIFICATE-----` et en terminant par : `-----END CERTIFICATE-----` Entrez la clé publique en commençant par : `-----BEGIN PUBLIC KEY-----` et en terminant par : `-----END PUBLIC KEY-----`
Vérifier la révocation du certificat	Vérifie le statut de révocation du certificat par rapport au certificat client. Cette option nécessite une connectivité réseau à l' URL spécifiée dans le champ Points de distribution CRL pour le certificat client dans l'extension X509v3.
Vérifier l'utilisation du certificat	Vérifie le contenu des extensions X509v3 du certificat dans les zones d'extension Utilisation de la clé et Utilisation étendue de la clé. Pour le certificat client entrant, les valeurs admises pour X509v3 Key Usage sont `digitalSignature` et `keyAgreement`. La valeur autorisée pour l'extension X509v3 de la zone Utilisation étendue de la clé est `TLS Web Client Authentication`. Cette propriété est désactivée par défaut.
Chemin du certificat client	Chemin d'accès absolu au certificat client sur le disque. Le certificat doit être stocké sur QRadar Console ou Event Collector pour cette source de journal. Important : Vérifiez que le fichier certificat que vous entrez commence par : `-----BEGIN CERTIFICATE-----` et se termine par : `-----END CERTIFICATE-----`
Type de certificat serveur	Type de certificat à utiliser pour l'authentification pour le certificat serveur et la clé de serveur. Sélectionnez l'une des options suivantes dans la liste Type de certificat serveur : Certificat généré Certificat PEM et clé privée Chaîne de certificats et mot de passePKCS12 Choisir dans le magasin de certificats QRadar
Certificat généré	Cette option est disponible lorsque vous configurez le Type de certificat. Si vous souhaitez utiliser le certificat et la clé par défaut générés par QRadar pour le certificat serveur et la clé de serveur, sélectionnez cette option. Le certificat généré est nommé syslog-tls.cert dans le répertoire /opt/qradar/conf/trusted_certificates/ sur le collecteur d'événements cible auquel la source de journal est affectée.
Certificat unique et clé privée	Cette option est disponible lorsque vous configurez le Type de certificat. Si vous souhaitez utiliser un seul certificat PEM pour le certificat serveur, sélectionnez cette option, puis configurez les paramètres suivants : Chemin du certificat serveur fourni - Chemin d'accès absolu au certificat serveur. Chemin de la clé privée fourni - Chemin d'accès absolu à la clé privée. Important: La clé privée correspondante doit être une clé PKCS8 codée DER. La configuration échoue avec un autre format de clé.
Certificat et mot de passe PKCS12	Cette option est disponible lorsque vous configurez le Type de certificat. Si vous souhaitez utiliser un fichier PKCS12 contenant le certificat serveur et la clé de serveur, sélectionnez cette option, puis configurez les paramètres suivants : Chemin du certificat PKCS12 - Entrez le chemin du fichier PKCS12 contenant le certificat serveur et la clé de serveur. Mot de passe PKCS12 - Entrez le mot de passe pour accéder au fichier PKCS12. Alias de certificat - S'il existe plusieurs entrées dans le fichier PKCS12, un alias doit être fourni pour indiquer l'entrée à utiliser. Si le fichier PKCS12 ne contient qu'un seul alias, laissez cette zone vide.
Choisir dans le magasin de certificats QRadar	Cette option est disponible lorsque vous configurez le Type de certificat. Vous pouvez utiliser l'application de gestion des certificats pour télécharger un certificat à partir du magasin de certificats QRadar.
Longueur maximale du contenu	Longueur maximale du contenu (en caractères) affichée pour le message TLS Syslog.
Nombre maximal de connexions	Le paramètre Nombre maximal de connexions contrôle le nombre de connexions simultanées que le protocole TLS Syslog peut accepter pour chaque Event Collector. Pour chaque Event Collector, il existe une limite de 1000 connexions, y compris les sources de journal activées et désactivées, dans la configuration de la source de journal TLS Syslog pour chaque collecteur d'événements. La valeur par défaut pour chaque connexion d'unité est 50, mais pas la limite pour chaque port. Astuce: Les sources de journal découvertes automatiquement partagent un programme d'écoute avec une autre source de journal. Par exemple, si vous utilisez le même port sur le même collecteur d'événements, cela ne compte qu'une seule fois dans la limite.
Protocoles TLS	Protocole TLS à utiliser par la source de journal. Sélectionnez l'option "TLS 1.2 ou version ultérieure".
Utiliser comme source de journal de passerelle	Envoie les événements collectés via le moteur d'analyse du trafic QRadar pour détecter automatiquement la source de journal appropriée. Si vous ne souhaitez pas définir d'identificateur de source de journal personnalisé pour les événements, décochez la case. Lorsque cette option n'est pas sélectionnée et que Modèle d'identificateur de source de journal n'est pas configuré, QRadar reçoit des événements en tant que sources de journal génériques inconnues.
Utiliser l'analyse syntaxique prédictive	Si vous activez ce paramètre, un algorithme extrait les modèles d'identificateur de source de journal des événements sans exécuter le regex pour chaque événement, ce qui augmente la vitesse d'analyse. Astuce: Dans de rares cas, l'algorithme peut générer des prévisions incorrectes. Activez l'analyse prédictive uniquement pour les types de source de journal desquels vous prévoyez recevoir des taux d'événements élevés et nécessitant une analyse plus rapide.
Modèle d'identificateur de source de journal	Utilisez l'option Utiliser comme source de journal de passerelle pour définir un identificateur de source de journal personnalisé pour les événements en cours de traitement et pour que les sources de journal soient automatiquement reconnues, le cas échéant. Si vous ne configurez pas Modèle d'identificateur de source de journal, QRadar reçoit des événements en tant que sources de journal génériques inconnues. Utilisez des paires clé-valeur pour définir l'identificateur de source de journal personnalisé. La clé est la chaîne de format d'identificateur, qui est la source ou la valeur d'origine qui en résulte. La valeur est le modèle de regex associé utilisé pour évaluer la charge actuelle. Cette valeur prend également en charge les groupes de capture qui peuvent être utilisés pour personnaliser davantage la clé. Définissez plusieurs paires clé-valeur en entrant chaque modèle sur une nouvelle ligne. Les modèles multiples sont évalués dans l'ordre dans lequel ils sont répertoriés. Lorsqu'une correspondance est trouvée, un identificateur de source de journal personnalisé s'affiche. Les exemples suivants montrent plusieurs fonctions de paire valeur-clé. Schémas `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Evénements `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` ID source de journal personnalisé résultant VPC-ACCEPT-OK
Activer le mode multiligne	Agrégez plusieurs messages en événements uniques en fonction d'une correspondance de début/fin ou d'une expression régulière liée à l'ID.
Méthode d'agrégation	Ce paramètre est disponible lorsque Activer le mode multiligne est activé. Lié à l'ID - Traite les journaux d'événements qui contiennent une valeur commune au début de chaque ligne. Correspondance de début/fin - Agrège les événements en fonction d'une expression régulière de début ou de fin (regex).
Modèle de début d'événement	Ce paramètre est disponible lorsque Activer le mode multiligne est activé et que le paramètre Méthode d'agrégation est défini sur Correspondance de début/fin. L'expression régulière (regex) est requise pour identifier le début d'un contenu d'événement multiligne TCP. Les en-têtes Syslog commencent généralement par une date ou un horodatage. Le protocole peut créer un événement à une ligne basé uniquement sur un modèle de début d'événement, tel qu'un horodatage. Si seul un modèle de début est disponible, le protocole capture toutes les informations fournies entre chaque valeur de début pour créer un événement valide.
Modèle de fin d'événement	Ce paramètre est disponible lorsque Activer le mode multiligne est activé et que le paramètre Méthode d'agrégation est défini sur Correspondance de début/fin. Cette expression régulière (regex) est requise pour identifier la fin d'un contenu d'événement multiligne TCP. Si l'événement Syslog se termine par la même valeur, vous pouvez utiliser une expression régulière pour déterminer la fin d'un événement. Le protocole peut capturer des événements basés uniquement sur un modèle de fin d'événement. Si seul un modèle de fin est disponible, le protocole capture toutes les informations fournies entre chaque valeur de fin pour créer un événement valide.
Modèle d'ID message	Ce paramètre est disponible lorsque Activer le mode multiligne est activé et que le paramètre Méthode d'agrégation est défini sur Lié à l'ID. Cette expression régulière (regex) est requise pour filtrer les messages de contenu d'événements. Les messages d'événements multilignes TCP doivent contenir une valeur d'identification commune se répétant sur chaque ligne du message d'événement.
Limite de temps	Ce paramètre est disponible lorsque Activer le mode multiligne est activé et que le paramètre Méthode d'agrégation est défini sur Lié à l'ID. Nombre de secondes d'attente pour des contenus correspondants supplémentaires avant que l'événement ne soit inséré dans le pipeline d'événements. La valeur par défaut est de 10 secondes.
Conserver des lignes entières pendant l'agrégation d'événements	Ce paramètre est disponible lorsque Activer le mode multiligne est activé et que le paramètre Méthode d'agrégation est défini sur Lié à l'ID. Si vous définissez le paramètre Méthode d'agrégation sur Lié à l'ID, vous pouvez activer Conserver des lignes entières pendant l'agrégation d'événements pour supprimer ou conserver la partie des événements qui précède Modèle d'ID message. Vous pouvez activer cette fonction uniquement lors de la concaténation d'événements avec le même modèle d'ID.
Mettre les événements multilignes sur une seule ligne	Ce paramètre est disponible lorsque Activer le mode multiligne est activé. Affiche un événement sur une ou plusieurs lignes.
Formatage d'événement	Ce paramètre est disponible lorsque Activer le mode multiligne est activé. Utilisez l'option Windows Multiline pour les événements multiligne formatés spécifiquement pour Windows.

Une fois la source de journal sauvegardée, un certificat syslog-tls est créé pour la source de journal. Le certificat doit être copié vers tous les périphériques de votre réseau étant configurés pour réacheminer les événements Syslog chiffrés. D'autres dispositifs réseau qui ont un fichier certificat syslog-tls et le numéro de port d'écoute TLS peuvent être automatiquement reconnus en tant que source de journal TLS Syslog.

Cas d'utilisation TLS Syslog

Les cas d'utilisation suivants représentes les configurations possibles que vous pouvez créer :

Certificat client sur disque

Vous pouvez fournir un certificat client qui permet au protocole de s'engager dans une authentification client. Si vous sélectionnez cette option et fournissez le certificat, les connexions entrantes sont validées par rapport au certificat client.

Liste autorisée de CN et vérification de l'émetteur

Si vous avez sélectionné cette option, vous devez copier le certificat d'émetteur (avec les extensions de fichier .crt, .cert ou .der) dans le répertoire suivant :

/opt/qradar/conf/trusted_certificates

Ce répertoire se trouve sur le collecteur d'événement cible auquel la source de journal est affectée.

Tout certificat client entrant est vérifié par les méthodes suivantes pour s'assurer que le certificat a été signé par l'émetteur de confiance et pour effectuer d'autres contrôles. Vous pouvez choisir une ou les deux méthodes pour l'authentification par certificat client :

Liste autorisée de CN

Fournissez une liste autorisée des noms communs des certificats client dignes de confiance. Vous pouvez entrer un texte en clair ou une expression régulière. Définissez plusieurs entrées en entrant chacune sur une nouvelle ligne.

Vérification de l'émetteur

Fournissez le certificat d'émetteur root ou intermédiaire d'un certificat client de confiance, ou une clé publique au format PEM.

Vérifier la révocation du certificat

Vérifie le statut de révocation du certificat par rapport au certificat client. Cette option nécessite une connectivité réseau avec l' URL spécifiée dans le champ " CRL Distribution Points" du certificat client pour l'extension X509v3. 

Vérifier l'utilisation du certificat

Vérifie le contenu des extensions X509v3 du certificat dans les zones d'extension Utilisation de la clé et Utilisation étendue de la clé. Pour le certificat client entrant, les valeurs admises pour X509v3 Key Usage sont digitalSignature et keyAgreement. La valeur autorisée pour l'extension X509v3 de la zone Utilisation étendue de la clé est TLS Web Client Authentication.

Certificats serveur fournis par l'utilisateur

Vous pouvez configurer votre propre certificat serveur et la clé privée correspondante. Le fournisseur TLS Syslog configuré utilise le certificat et la clé. Les connexions entrantes sont présentés avec le certificat fourni par l'utilisateur, au lieu d'un certificat TLS syslog généré automatiquement.

Authentification par défaut: Pour utiliser la méthode d'authentification par défaut, utilisez les valeurs par défaut pour les paramètres Authentication Mode et Certificate Type. Une fois la source de journal enregistrée, un certificat syslog-tls est créé pour le dispositif de source de journal. Le certificat doit être copié sur tous les périphériques de votre réseau configurés pour réacheminer les données Syslog chiffrées.