Opzioni di configurazione del protocollo Google Cloud Pub/Sub

Specificare da dove provengono le credenziali dell'account di servizio richiesto.

Assicurarsi che l'account di servizio associato disponga del ruolo Sottoscrittore / sottoscrizione o dell'autorizzazione pubsub.subscriptions.consume più specifica sul Nome sottoscrizione configurato in GCP.

Chiave gestita dall'utente

Fornito nel campo Key Account Key inmettendo il testo JSON completo da una chiave account di servizio scaricato.

Chiave gestita GCP

Assicurarsi che l'host gestito da QRadar sia in esecuzione in un'istanza GCP Compute e che gli ambiti di accesso API Cloud includano Cloud Pub / Sub.

Il testo completo dal file JSON scaricato quando è stato creato un User Managed Key per un account di servizio nella IAM & admin > Conti di servizio sezione in Google Cloud Platform (GCP).

Esempio:

{
  "type": "service_account",
  "project_id": "qradar-test-123456",
  "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b",
  "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n",
  "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com",
  "client_id": "526344196064252652671",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com"
}

Selezionare questa opzione per consentire agli eventi raccolti di passare attraverso il motore di analisi del traffico QRadar e per consentire a QRadar di rilevare automaticamente una o più origini log.

Quando si seleziona questa opzione, il Log Source Identifier Pattern può opzionalmente essere utilizzato per definire un Log Source Identifier personalizzato per gli eventi elaborati.

Quando l'opzione Use As A Gateway Log Source viene selezionata, utilizzare questa opzione per definire un identificativo di origine log personalizzato per gli eventi elaborati. Se il Modello identificativo origine log non è configurato, QRadar riceve gli eventi come origini log generiche sconosciute.

Il campo Log Source Identifier Pattern accetta coppie chiave - valore, come key= valore, per definire l'identificativo di origine log personalizzato per gli eventi che vengono elaborati e per le origini log da scoprire automaticamente quando applicabile. Key è l'Identificativo Format String che è il valore di origine o di origine risultante. Il valore è il modello regex associato che viene utilizzato per valutare il payload corrente. Il valore (regex pattern) supporta anche i gruppi di acquisizione che possono essere utilizzati per personalizzare ulteriormente la chiave (Identifier Format String).

Più coppie di valore - chiave possono essere definite digitando ogni modello su una nuova linea. Quando vengono utilizzati più pattern, vengono valutati in ordine fino a quando non viene trovata una corrispondenza. Quando si trova una corrispondenza, viene visualizzato un custom Log Source Identifier.

Se si abilita questo parametro, un algoritmo estrae gli schemi identificativi di origine dagli eventi senza eseguire il regex per ogni evento, che aumenta la velocità di parsing.

Selezionare questa opzione per QRadar per connettersi a GCP utilizzando un proxy.

Se il proxy richiede l'autenticazione, configurare i campi Proxy Server, Proxy Port, Proxy Usernamee Proxy Password .

Il valore predefinito è 8080.

Il numero massimo di eventi al secondo che QRadar ingerisce.

Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS.

Il valore predefinito è 5000.

Il nome host del processore di flusso a cui vengono inviati i log del flusso VPC di Google .

La porta del processore di flusso a cui vengono inviati i log del flusso VPC Google .