Opzioni di configurazione del protocollo JDBC
QRadar utilizza il protocollo JDBC per raccogliere informazioni da tabelle o viste che contengono dati evento da diversi tipi di database.
Il protocollo JDBC è un protocollo in uscita / attivo. QRadar non include un driver MySQL per JDBC. Se si utilizza un DSM o un protocollo che richiede un driver MySQL JDBC , è necessario scaricare e installare indipendente dalla piattaforma MySQL Connector/J da http://dev.mysql.com/downloads/connector/j/.
- Copiare il file JAR (Java™ archive) in /opt/qradar/jars e /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/.
- Riavviare il servizio Tomcat immettendo il seguente comando:
systemctl restart tomcat - Riavviare i servizi di raccolta eventi immettendo il seguente comando:
systemctl restart ecs-ec-ingress
| Parametro | Descrizione |
|---|---|
| Nome origine log | Immettere un nome univoco per l'origine log. |
| Descrizione origine log (facoltativo) | Immettere una descrizione per l'origine log. |
| Tipo di origine log | Selezionare il DSM (Device Support Module) che utilizza il protocollo JDBC dall'elenco Tipo di origine log . |
| Configurazione protocollo | JDBC |
| Identificativo origine log | Immettere un nome per l'origine log. Il nome non può contenere spazi e deve essere univoco tra tutte le origini log del tipo di origine log configurato per utilizzare il protocollo JDBC . Se l'origine log raccoglie gli eventi da un singolo dispositivo che ha un indirizzo IP statico o un nome host, utilizzare l'indirizzo IP o il nome host del dispositivo come tutto o parte del valore Identificativo origine log ; ad esempio, 192.168.1.1 o JDBC192.168.1.1. Se l'origine log non raccoglie gli eventi da una singola applicazione che ha un indirizzo IP statico o un nome host, è possibile utilizzare qualsiasi nome univoco per il valore Identificativo origine log ; ad esempio, JDBC1, JDBC2. |
| Tipo di database | Selezionare il tipo di database che contiene gli eventi. |
| Nome database | Il nome del database a cui si desidera connettersi. |
| Schema (solo Snowflake ) | Questo parametro specifica lo schema predefinito da utilizzare per la post - connessione al database specificato o una stringa vuota. Lo schema specificato deve essere uno schema esistente per cui il ruolo predefinito specificato dispone di privilegi. |
| IP o nome host | L'indirizzo IP o il nome host del server di database. |
| Magazzino (solo Snowflake ) | Questo parametro specifica il warehouse virtuale per utilizzare la post - connessione o una stringa vuota. Il warehouse specificato deve essere un warehouse esistente per cui il ruolo predefinito specificato dispone di privilegi. |
| Ruolo (solo Snowflake ) | Questo parametro specifica il ruolo di controllo degli accessi predefinito da utilizzare nella sessione Snowflake avviata dal driver. Il ruolo specificato deve essere un ruolo esistente che è già assegnato all'utente specificato per il driver. Se il ruolo specificato non è assegnato all'utente, il ruolo non viene utilizzato durante l'avvio della sessione dal driver. |
| Porta | Immettere la porta JDBC . La porta JDBC deve corrispondere alla porta listener configurata sul database remoto. Il database deve consentire connessioni TCP in entrata. L'intervallo valido è 1 - 65535. I valori predefiniti sono:
Se si configura il parametro Istanza database e si dispone di un tipo di database MSDE, lasciare vuoto il parametro Porta . |
| Nome utente | Un account utente per QRadar nel database. |
| Autenticazione a coppie di chiavi (solo Snowflake ) | Utilizzare l'autenticazione a coppie di chiavi per un'autenticazione avanzata in alternativa all'autenticazione di base, come nome utente e password. Abilitando questa opzione si nasconde il campo della password. Nota: i server Snowflake utilizzano un orario altamente preciso, sincronizzato con orologi atomici, per garantire che sia QRadar che il server Snowflake siano configurati con lo stesso fuso orario e con timestamp strettamente sincronizzati (~30).
|
| Nome del file della chiave privata (solo Snowflake ) | Il nome del file della chiave privata nella directory /opt/qradar/conf/trusted_certificates/jdbc/ in QRadar. Per generare un file di chiave privata, vedere Configurazione di JDBC per comunicare con QRadar. |
| Password | La password richiesta per la connessione al database. |
| Conferma password | La password richiesta per la connessione al database. |
| Dominio autenticazione (solo MSDE) | Se si disabilita Utilizza Microsoft JDBC, viene visualizzato il parametro Dominio di autenticazione . Il dominio per MSDE che è un dominio Windows. Se la rete non utilizza un dominio, lasciare questo campo vuoto. |
| Istanza database (solo MSDE o Informix ) | L'istanza del database, se richiesta. I database MSDE possono includere più istanze di SQL Server su un server. Quando si utilizza un numero di porta diverso da quello predefinito per la risoluzione del database SQL, lasciare vuoto questo parametro. |
| Query predefinita (facoltativo) | Selezionare una query database predefinita per l'origine log. Se una query predefinita non è disponibile per il tipo di origine log, è possibile selezionare l'opzione Nessuno . Se la guida alla configurazione per uno specifico stato di integrazione utilizza una query predefinita, selezionarla dall'elenco. In caso contrario, selezionare Nessuno e popolare i restanti valori richiesti. |
| Nome tabella | Il nome della tabella o della vista che include i record evento. Il nome tabella può includere i seguenti caratteri speciali: simbolo del dollaro ($), simbolo del numero (#), carattere di sottolineatura (_), trattino (-) e punto (.). |
| Seleziona elenco | L'elenco dei campi da includere quando la tabella viene sottoposta a polling per gli eventi. È possibile utilizzare un elenco separato da virgole o immettere un asterisco (*) per selezionare tutti i campi dalla tabella o dalla vista. Se è stato definito un elenco separato da virgole, l'elenco deve contenere il campo definito nel parametro Campo di confronto . |
| Confronta campo | Un valore numerico o un campo di data / ora dalla tabella o vista che identifica i nuovi eventi aggiunti alla tabella tra le query. Quando si imposta questo valore di parametro, il protocollo identifica gli eventi precedentemente estratti dal protocollo per garantire che non vengano creati eventi duplicati. |
| Utilizzare istruzioni preparate | Le istruzioni preparate abilitano l'origine del protocollo JDBC a configurare l'istruzione SQL, quindi eseguono l'istruzione SQL numerose volte con parametri differenti. Per motivi di sicurezza e prestazioni, la maggior parte delle configurazioni del protocollo JDBC può utilizzare istruzioni preparate. |
| Data e ora di avvio (facoltativo) | Selezionare o immettere la data e l'ora di avvio per il polling del database. Il formato è aaaa - mm - gg HH:mm, dove HH viene specificato utilizzando un formato 24 ore. Se questo parametro è vuoto, il polling inizia immediatamente e si ripete all'intervallo di polling specificato. Questo parametro viene utilizzato per impostare l'ora e la data in cui il protocollo si connette al database di destinazione per inizializzare la raccolta eventi. Può essere utilizzato insieme al parametro Intervallo di polling per configurare pianificazioni specifiche per i polling del database. Ad esempio, utilizzare questi parametri per assicurarsi che il polling avvenga cinque minuti dopo l'ora, ogni ora, o per garantire che il polling avvenga esattamente alle 1:00 AM ogni giorno. Questo parametro non può essere utilizzato per richiamare le righe di tabella più vecchie dal database di destinazione. Ad esempio, se si imposta il parametro su Ultima settimana, il protocollo non richiama tutte le righe della tabella dalla settimana precedente. Il protocollo richiama le righe più recenti del valore massimo del Campo di confronto sulla connessione iniziale. |
| Intervallo di polling | Immettere la quantità di tempo tra le query alla tabella eventi. Per definire un intervallo di polling più lungo, aggiungere H per ore o M per minuti al valore numerico. L'intervallo di polling massimo è una settimana. |
| Limitazione EPS | Il numero massimo di eventi al secondo che QRadar ingerisce. Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS. L'intervallo valido è compreso tra 100 e 20.000. |
| Meccanismo di sicurezza (soloDb2 ) | Dall'elenco, selezionare il meccanismo di sicurezza supportato dal server Db2 . Se non si desidera selezionare un meccanismo di sicurezza, selezionare Nessuno. Il valore predefinito è Nessuno. Per ulteriori informazioni sui meccanismi di sicurezza supportati dagli ambienti Db2, consultare il sito web di supporto IBM® ( https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html ) |
| Utilizza comunicazione Named Pipe (solo MSDE) | Se si disabilita Utilizza Microsoft JDBC, viene visualizzato il parametro Utilizza comunicazione Named Pipe . I database MSDE richiedono il campo nome utente e password per utilizzare un nome utente e password di autenticazione Windows e non il nome utente e la password del database. La configurazione dell'origine log deve utilizzare il valore predefinito named pipe sul database MSDE. |
| Nome cluster database | Se si sta eseguendo il server SQL in un ambiente cluster, definire il nome cluster per garantire il corretto funzionamento della comunicazione named pipe. Questo parametro è obbligatorio se si abilita Utilizza comunicazione named pipe e si seleziona l'opzione del tipo di database MSDE. |
| Utilizza NTLMv2 (solo MSDE) | Se si disabilita Utilizza Microsoft JDBC, viene visualizzato il parametro Utilizza NTLMv2 . Selezionare questa opzione se si desidera che le connessioni MSDE utilizzino il protocollo NTLMv2 quando comunicano con i server SQL che richiedono l'autenticazione NTLMv2 . Questa opzione non interrompe le comunicazioni per connessioni MSDE che non richiedono l'autenticazione NTLMv2 . Non interrompe le comunicazioni per connessioni MSDE che non richiedono l'autenticazione NTLMv2 . |
| Utilizza Microsoft JDBC (solo MSDE) | Se si desidera utilizzare il driver Microsoft JDBC , è necessario abilitare Utilizza Microsoft JDBC. Questo parametro è abilitato per impostazione predefinita. |
| Utilizza SSL (solo MSDE) | Abilitare questa opzione se la propria connessione MSDE supporta SSL. |
| Nome host certificato SSL | Questo campo è obbligatorio quando sono abilitati sia Utilizza JDBC Microsoft JDBC che Utilizza SSL . Questo valore deve essere il nome dominio completo (FQDN) per l'host. L'indirizzo IP non è consentito. Per ulteriori informazioni sui certificati SSL e JDBC, consultare le procedure ai seguenti link:
|
| Consenti certificati non attendibili (solo MSDE) | Attivare questa opzione quando l'endpoint utilizza un certificato che non può essere verificato tramite la Catena dei certificati. Questo include un certificato autofirmato o un certificato di una CA privata che non si desidera importare nel trust della CA. Non utilizzare questa opzione per gli endpoint con un certificato emesso da una CA pubblica ( SaaS Products, Public Cloud Infrastructure e così via) in cui il certificato viene convalidato dall'archivio attendibile predefinito o di sistema. Quando si usa questa opzione, il certificato deve essere scaricato in formato binario codificato PEM o DER e collocato nella posizione /opt/qradar/conf/trusted_certificates/ con estensione .cert o .crt . Nota: Per rendere disponibile questo parametro, selezionare Tipo di database come MSDE > Usa Microsoft JDBC (toggle) > Usa SSL (toggle).
Questa opzione non è disponibile per il sito NTLMv2, che utilizza il metodojtdsche non supporta l'implementazione personalizzata di TrustManager. |
| Utilizzare la codifica Oracle(soloOracle ) | Oracle Impostazioni di codifica e integrità dei dati è noto anche come Oracle Advanced Security. Se selezionato, le connessioni Oracle JDBC richiedono che il server supporti impostazioni di codifica dati Oracle simili a quelle del client. |
| Locale database (soloInformix ) | Per le installazioni multilingue, specificare la lingua da utilizzare per il processo di installazione (o il software?). Dopo aver scelto una lingua, è possibile quindi scegliere la serie di caratteri utilizzata nell'installazione nel parametro Serie di codici . |
| Code - Set (soloInformix ) | Il parametro Serie di codici viene visualizzato dopo aver scelto una lingua per le installazioni multilingue. Utilizzare questo campo per specificare la serie di caratteri da utilizzare. |
| Abilitato | Selezionare questa casella di controllo per abilitare l'origine log. Per impostazione predefinita, la casella di controllo è selezionata. |
| Affidabilità | Dall'elenco, selezionare Affidabilità dell'origine log. L'intervallo è 0 - 10. La credibilità indica l'integrità di un evento o di un'offensiva come determinato dalla valutazione di credibilità dalle periferiche di origine. L'affidabilità aumenta se più origini riportano lo stesso evento. Il valore predefinito è 5. |
| Raccoglitore eventi di destinazione | Selezionare il raccoglitore eventi di destinazione da utilizzare come destinazione per l'origine log. |
| Eventi di unione | Selezionare la casella di spunta Eventi di unione per abilitare l'origine log a unire gli eventi (bundle). Per impostazione predefinita, le origini log rilevate automaticamente ereditano il valore dell'elenco Eventi di unione dalle impostazioni di sistema in QRadar. Quando si crea un'origine log o si modifica una configurazione esistente, è possibile sovrascrivere il valore predefinito configurando questa opzione per ciascuna origine log. |
| Archivia payload evento | Selezionare la casella di spunta Memorizza payload eventi per abilitare l'origine log a memorizzare le informazioni sul payload eventi. Per impostazione predefinita, le origini log rilevate automaticamente ereditano il valore dell'elenco Memorizza payload eventi dalle impostazioni di sistema in QRadar. Quando si crea un'origine log o si modifica una configurazione esistente, è possibile sovrascrivere il valore predefinito configurando questa opzione per ciascuna origine log. |
| Abilita opzioni avanzate | Selezionare questa check box per abilitare le opzioni avanzate. Quando disabilitato, viene utilizzato il valore predefinito. |
| Utilizza con (Nessun blocco) nelle istruzioni SQL | Abilitare questa opzione per accodare le tabelle in tutte le istruzioni SQL con "WITH (NOLOCK)". |
| Istanza di database (solo MSDE o Informix ) | Un parametro di istanza del database, se richiesto, per QRadar. I database MSDE possono includere più istanze di SQL Server su un server. Quando si utilizza un numero di porta diverso da quello predefinito per la risoluzione del database SQL, lasciare vuoto questo parametro. Nota: Il parametro Istanza database è obbligatorio per i database MSDE quando si utilizza un indirizzo IPv6.
|