Opzioni di configurazione protocollo OPSEC/LEA
Per ricevere gli eventi sulla porta 18184, configurare un'origine log per utilizzare il protocollo OPSEC/LEA.
Il protocollo OPSEC/LEA è un protocollo in uscita / attivo.
| Parametro | Descrizione |
|---|---|
| Configurazione protocollo | OPSEC/LEA |
| Identificativo origine log | L'indirizzo IP, il nome host o qualsiasi nome per identificare il dispositivo. Deve essere univoco per il tipo di origine log. |
| Ip server | Digitare l'indirizzo IP del server. |
| Porta server | Il numero di porta utilizzato per la comunicazione OPSEC. La gamma valida è di 0 - 65.536 e il default è di 18184. |
| Utilizza IP server per Log Source | Selezionare la casella di controllo Utilizza IP server per la registrazione se si desidera utilizzare l'indirizzo IP del server LEA invece dell'indirizzo IP del dispositivo gestito per una sorgente log. Per impostazione predefinita, la casella di controllo è selezionata. |
| Intervallo Report Statistiche | L'intervallo, in secondi, durante il quale il numero di eventi syslog viene registrato nel file qradar.log . La gamma valida è di 4 - 2.147.483.648 e l'intervallo predefinito è 600. |
| Tipo di autenticazione | Dall'elenco, selezionare il Tipo di autenticazione che si desidera utilizzare per questa configurazione LEA. Le opzioni sono sslca (predefinito), sslca_clearo clear. Questo valore deve corrispondere al metodo di autenticazione utilizzato dal server. |
| Attributo oggetto Applicazione OPSEC (Nome SIC) | Il nome SIC (Secure Internal Communications) è il DN (distinguished name) dell'applicazione; ad esempio: CN=LEA, o=fwconsole..7psasx. |
| Attributo SIC di registrazione (Entity SIC Name) | Il nome SIC del server, ad esempio cn=cp_mgmt,o=fwconsole..7psasx. |
| Specificare il certificato | Selezionare questa casella di spunta se si desidera definire un certificato per questa configurazione LEA. QRadar tenta di recuperare il certificato utilizzando questi parametri quando il certificato è necessario. |
| Nome file certificato | Questa opzione appare solo se Specifica certificato è selezionato. Digitare il nome del file del certificato che si desidera utilizzare per questa configurazione. Il file certificato deve essere ubicato nella directory /opt/qradar/conf/ trusted_certificates/lea . |
| IP Autorità di certificazione | Digitare l'indirizzo IP di Check Point Manager Server. |
| Password certificato di pull | Digitare la password della chiave di attivazione. |
| Applicazione OPSEC | Il nome dell'applicazione che effettua la richiesta del certificato. |
| Abilitato | Selezionare questa casella di controllo per abilitare l'origine log. Per impostazione predefinita, la casella di controllo è selezionata. |
| Affidabilità | Dall'elenco, selezionare la Credibilità della sorgente log. L'intervallo è 0 - 10. La credibilità indica l'integrità di un evento o un'offesa determinata dal rating di credibilità dai dispositivi sorgente. La credibilità aumenta se più fonti riportano lo stesso evento. Il valore predefinito è 5. |
| Raccoglitore eventi di destinazione | Dall'elenco, selezionare il Collector Event Event da utilizzare come destinazione per l'origine log. |
| Eventi di unione | Selezionare la casella di controllo Eventi Coalescenti per abilitare l'origine log ad eventi di coalescenza (bundle). Per impostazione predefinita, le origini log rilevate automaticamente ereditano il valore dell'elenco Eventi di unione dalle impostazioni di sistema in QRadar. Quando si crea una sorgente log o si modifica una configurazione esistente, è possibile sovrascrivere il valore predefinito configurando questa opzione per ogni sorgente di log. |
| Archivia payload evento | Selezionare la casella di controllo Archivio eventi negozio per abilitare l'origine log per memorizzare le informazioni sul payload eventi. Per impostazione predefinita, le origini log rilevate automaticamente ereditano il valore dell'elenco Memorizza payload eventi dalle impostazioni di sistema in QRadar. Quando si crea una sorgente log o si modifica una configurazione esistente, è possibile sovrascrivere il valore predefinito configurando questa opzione per ogni sorgente di log. |
- Cancellare la casella di controllo Specifica certificato .
- Reinserire la password per Password certificato Pull.