Opzioni di configurazione del protocollo Syslog TLS

Configurare un'origine log del protocollo Syslog TLS per ricevere eventi syslog codificati dalle periferiche di rete che supportano l'inoltro di eventi Syslog TLS per ogni porta listener.

Il protocollo TLS Syslog è un protocollo passivo in entrata. L'origine log crea una porta di ascolto per gli eventi Syslog TLS in entrata. Per impostazione predefinita, le origini log Syslog TLS utilizzano il certificato e la chiave generati da IBM QRadar. Il protocollo di origine log TLS supporta le funzioni riportate di seguito.

Un raccoglitore eventi supporta fino a 1000 connessioni TLS.
Ogni origine log TLS (ad eccezione di AutoDiscovered) deve utilizzare una porta univoca su tale Event Collector.
È inoltre possibile creare fino a 1000 origini log TLS in Event Collector.
Per Pem e Key, la Key deve essere in formato PKCS8/DER .
Se stai utilizzando l'app Gestione certificati , la Chiave deve essere in formato PKCS8 .

La seguente tabella descrive i parametri specifici del protocollo per il protocollo Syslog TLS:

Tabella 1. Parametri del protocollo TLS Syslog
Parametro	Descrizione
Configurazione protocollo	syslog TLS
Identificativo origine log	Un indirizzo IP o un nome host per identificare l'origine log.
Porta di ascolto TLS	La porta di ascolto TLS predefinita è 6514. Importante è possibile assegnare una sola origine log Syslog TLS a ogni porta di ascolto TLS.
Modalità di autenticazione	La modalità utilizzata dalla connessione TLS per l'autenticazione. Se si seleziona l'opzione Autenticazione client e TLS , è necessario configurare i parametri del certificato.
Autenticazione del certificato client	Selezionare una delle opzioni seguenti dall'elenco: CN Allowlist e Verifica emittente Certificato client sul disco
Utilizza elenco CN	Abilitare questo parametro per utilizzare un CN allowlist.
Elenco CN	L'elenco consentito di nomi comuni di certificati client attendibili. È possibile immettere testo semplice o un'espressione regolare (regex). Per definire più voci, immetterne una su una riga separata.
Utilizza verifica emittente	Abilitare questo parametro per utilizzare la verifica emittente.
Certificato o chiave pubblica dell'emittente root / intermedio	Immettere il certificato dell'emittente root / intermedio o la chiave pubblica in formato PEM. Immettere il certificato, iniziando con: `-----BEGIN CERTIFICATE-----` e termina con: `-----END CERTIFICATE-----` Immettere la chiave pubblica che inizia con: `-----BEGIN PUBLIC KEY-----` e termina con: `-----END PUBLIC KEY-----`
Verifica revoca certificato	Controlla lo stato di revoca del certificato rispetto al certificato client. Questa opzione richiede la connettività di rete all' URL specificato dal campo Punti di distribuzione CRL per il certificato client nell'estensione X509v3.
Verifica utilizzo certificato	Verifica i contenuti delle estensioni del certificato X509v3 nei campi di estensione Utilizzo chiave e Utilizzo chiave esteso . Per il certificato del client in entrata, i valori consentiti di X509v3 Key Usage sono `digitalSignature` e `keyAgreement`. Il valore consentito per X509v3 Extended Key Usage è `TLS Web Client Authentication`. Questa proprietà è disabilitata per impostazione predefinita.
Percorso certificato client	Il percorso assoluto del certificato client sul disco. Il certificato deve essere memorizzato su QRadar Console o Event Collector per questa origine log. Importante: Assicurarsi che il file di certificato immesso inizi con: `-----BEGIN CERTIFICATE-----` e termina con: `-----END CERTIFICATE-----`
Tipo certificato server	Il tipo di certificato da utilizzare per l'autenticazione per il certificato server e la chiave server. Selezionare una delle seguenti opzioni dall'elenco Tipo certificato server : Certificato generato Certificato PEM e chiave privata PKCS12 Catena di certificati e password Scegliere da QRadar Certificate Store
Certificato generato	Questa opzione è disponibile quando si configura il tipo certificato. Se si desidera utilizzare il certificato e la chiave predefiniti generati da QRadar per il certificato server e la chiave server, selezionare questa opzione. Il certificato generato è denominato syslog-tls.cert nella directory /opt/qradar/conf/trusted_certificates/ sul raccoglitore eventi di destinazione a cui è assegnata l'origine log.
Certificato singolo e chiave privata	Questa opzione è disponibile quando si configura il tipo certificato. Se si desidera utilizzare un singolo certificato PEM per il certificato server, selezionare questa opzione e configurare i seguenti parametri: Percorso certificato server fornito - Il percorso assoluto del certificato server. Percorso chiave privata fornito - Il percorso assoluto della chiave privata. Importante: la chiave privata corrispondente deve essere una chiave PKCS8 codificata DER. La configurazione ha esito negativo con qualsiasi altro formato chiave.
PKCS12 Certificato e parola d'ordine	Questa opzione è disponibile quando si configura il tipo certificato. Se si desidera utilizzare un file PKCS12 che contenga il certificato server e la chiave server, selezionare questa opzione e configurare i seguenti parametri: PKCS12 Percorso certificato - Immettere il percorso del file PKCS12 che contiene il certificato del server e la chiave del server. PKCS12 Password - Immettere la password per accedere al file PKCS12 . Alias certificato - Se nel file PKCS12 è presente più di una voce, è necessario fornire un alias per specificare quale voce utilizzare. Se nel file PKCS12 è presente solo un alias, lasciare vuoto questo campo.
Scegliere da QRadar Certificate Store	Questa opzione è disponibile quando si configura il tipo certificato. È possibile utilizzare l'app Gestione certificati per caricare un certificato da QRadar Certificate Store.
Lunghezza massima payload	La lunghezza massima del payload (caratteri) visualizzata per il messaggio Syslog TLS.
Massimo Connessioni	Il parametro Numero massimo di connessioni controlla il numero di connessioni simultanee che il protocollo Syslog TLS può accettare per ogni Event Collector. Per ogni Event Collector, esiste un limite di 1000 connessioni, incluse le origini log abilitate e disabilitate, nella configurazione dell'origine log Syslog TLS per ogni raccoglitore eventi. Il valore predefinito per ogni connessione dispositivo è 50 ma non il limite per ogni porta. Suggerimento: le origini log rilevate automaticamente condividono un listener con un'altra origine log. Ad esempio, se si utilizza la stessa porta sullo stesso raccoglitore eventi, viene contato solo una volta per raggiungere il limite.
Protocolli TLS	Il protocollo TLS che deve essere utilizzato dall'origine log. Selezionare l'opzione "TLS 1.2 o successiva".
Utilizza come origine log gateway	Invia gli eventi raccolti tramite QRadar Traffic Analysis Engine per rilevare automaticamente l'origine log appropriata. Se non si desidera definire un identificativo di origine log personalizzato per gli eventi, deselezionare la casella di controllo. Quando questa opzione non viene selezionata e Pattern identificativo origine log non viene configurato, QRadar riceve gli eventi come origini log generiche sconosciute.
Utilizza analisi predittiva	Se si abilita questo parametro, un algoritmo estrae i pattern dell'identificativo di origine log dagli eventi senza eseguire l'espressione regolare per ogni evento, aumentando la velocità di analisi. Suggerimento: in rare circostanze, l'algoritmo può effettuare previsioni non corrette. Abilitare l'analisi predittiva solo per i tipi di origine log che si prevede ricevano quantità elevate di eventi e che richiedono un'analisi più rapida.
Modello identificativo origine log	Utilizzare l'opzione Utilizza come origine log del gateway per definire un identificativo di origine log personalizzato per gli eventi in fase di elaborazione e per le origini log da rilevare automaticamente quando applicabile. Se non si configura il Modello identificativo origine log, QRadar riceve gli eventi come origini log generiche sconosciute. Utilizzare le coppie chiave - valore per definire l'identificativo origine log personalizzato. La chiave è la stringa del formato identificativo, che è il valore di origine o di origine risultante. Il valore è il pattern regex associato utilizzato per valutare il payload corrente. Questo valore supporta anche i gruppi di cattura che possono essere utilizzati per personalizzare ulteriormente la chiave. Definire più coppie chiave - valore immettendo ciascun modello su una nuova linea. Più modelli vengono valutati nell'ordine in cui vengono elencati. Quando viene trovata una corrispondenza, viene visualizzato un identificativo origine log personalizzato. I seguenti esempi mostrano più funzioni di coppia chiave - valore. Pattern `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Eventi `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Identificativo origine log personalizzato risultante VPC - ACCEPT - OK
Abilita multilinea	Aggregare più messaggi in singoli eventi in base a una corrispondenza di inizio / fine o a un'espressione regolare collegata all'ID.
Metodo di aggregazione	Questo parametro è disponibile quando Abilita multi - linea è attivato. ID collegato - elabora i log eventi che contengono un valore comune all'inizio di ogni riga. Corrispondenza inizio / fine - Aggrega gli eventi in base a un'espressione regolare di inizio o di fine (regex).
Modello di avvio evento	Questo parametro è disponibile quando Abilita multi - linea è attivato e il Metodo di aggregazione è impostato su Corrispondenza inizio / fine. L'espressione regolare (regex) è richiesta per identificare l'inizio di un payload di eventi a più righe TCP. Le intestazioni syslog generalmente iniziano con una data o una data / ora. Il protocollo può creare un evento a riga singola basato esclusivamente su un pattern di inizio evento, ad esempio una data/ora. Quando è disponibile solo un modello di avvio, il protocollo acquisisce tutte le informazioni tra ciascun valore di avvio per creare un evento valido.
Pattern di fine evento	Questo parametro è disponibile quando Abilita multi - linea è attivato e il Metodo di aggregazione è impostato su Corrispondenza inizio / fine. Questa espressione regolare (regex) è necessaria per identificare la fine di un payload di eventi multilinea TCP. Se l'evento syslog termina con lo stesso valore, è possibile utilizzare un'espressione regolare per determinare la fine di un evento. Il protocollo può catturare gli eventi basati esclusivamente su un pattern di fine evento. Quando è disponibile solo un pattern di fine, il protocollo cattura tutte le informazioni tra ciascun valore di fine per creare un evento valido.
Modello ID messaggio	Questo parametro è disponibile quando Abilita multilinea è attivato e il Metodo di aggregazione è impostato su Collegato a ID. Questa espressione regolare (regex) richiesta per filtrare i messaggi del payload eventi. I messaggi di evento a più righe TCP devono contenere un valore di identificazione comune che si ripete su ciascuna riga del messaggio di evento.
Limite di tempo	Questo parametro è disponibile quando Abilita multilinea è attivato e il Metodo di aggregazione è impostato su Collegato a ID. Il numero di secondi di attesa per ulteriori payload corrispondenti prima che l'evento venga inserito nella pipeline di eventi. Il valore predefinito è 10 secondi.
Conserva intere linee durante l'aggregazione eventi	Questo parametro è disponibile quando Abilita multilinea è attivato e il Metodo di aggregazione è impostato su Collegato a ID. Se si imposta il parametro Metodo di aggregazione su Collegato a ID, è possibile abilitare Conserva intere righe durante l'aggregazione eventi per eliminare o conservare la parte degli eventi che precede Pattern ID messaggio. È possibile abilitare questa funzione solo quando si concatenano gli eventi con lo stesso modello ID.
Appiattire gli eventi a più righe in un'unica riga	Questo parametro è disponibile quando Abilita multi - linea è attivato. Mostra un evento in una o più righe.
Programma di formattazione eventi	Questo parametro è disponibile quando Abilita multi - linea è attivato. Utilizzare l'opzione Windows a più righe per gli eventi a più righe formattati specificamente per Windows.

Una volta salvata l'origine log, viene creato un certificato syslog - tls per l'origine log. Il certificato deve essere copiato su qualsiasi dispositivo sulla tua rete configurato per inoltrare syslog codificato. Altre unità di rete che hanno un file di certificato syslog - tls e il numero di porta di ascolto TLS possono automaticamente essere rilevate come origine log Syslog TLS.

Casi di utilizzo syslog TLS

I seguenti casi di utilizzo rappresentano le possibili configurazioni che è possibile creare:

Certificato client su disco

È possibile fornire un certificato client che abilita il protocollo all'autenticazione client. Se si seleziona questa opzione e si fornisce il certificato, le connessioni in entrata vengono convalidate rispetto al certificato del client.

Elenco di consentiti CN e verifica emittente

Se è stata selezionata questa opzione, è necessario copiare il certificato dell'emittente (con le estensioni file .crt, .certo .der ) nella seguente directory:

/opt/qradar/conf/trusted_certificates

Questa directory si trova sul raccoglitore eventi di destinazione a cui è assegnata l'origine log.

Qualsiasi certificato client in entrata viene verificato con i seguenti metodi per verificare se il certificato è stato firmato dall'emittente attendibile e da altri controlli. È possibile scegliere uno o entrambi i metodi per l'autenticazione del certificato client:

Elenco CN

Fornire un elenco consentito di nomi comuni di certificati client attendibili. È possibile immettere testo semplice o un'espressione regolare. Definire più voci immettendo ciascuna su una nuova riga.

Verifica emittente

Fornire un certificato client attendibile o un certificato emittente intermedio o una chiave pubblica in formato PEM.

Verifica revoca certificato

Controlla lo stato di revoca del certificato rispetto a quello client. Questa opzione richiede la connettività di rete all' URL specificato dal campo Punti di distribuzione CRL nel certificato client per l'estensione X509v3. 

Verifica utilizzo certificato

Verifica i contenuti delle estensioni del certificato X509v3 nei campi di estensione Utilizzo chiave e Utilizzo chiave esteso . Per il certificato del client in entrata, i valori consentiti di X509v3 Key Usage sono digitalSignature e keyAgreement. Il valore consentito per X509v3 Extended Key Usage è TLS Web Client Authentication.

Certificati server forniti dall'utente

È possibile configurare il certificato del proprio server e la chiave privata corrispondente. Il provider Syslog TLS configurato utilizza il certificato e la chiave. Le connessioni in entrata sono presentate con il certificato fornito dall'utente, piuttosto che con il certificato Syslog TLS generato automaticamente.

Autenticazione predefinita: Per utilizzare il metodo di autenticazione predefinito, utilizzare i valori predefiniti per i parametri Modalità di autenticazione e Tipo certificato . Una volta salvata l'origine log, viene creato un certificato syslog-tls per la periferica di origine log. Il certificato deve essere copiato su qualsiasi dispositivo sulla tua rete che inoltra i dati syslog crittografati.