Microsoft Azure Event Hubs プロトコルの構成オプション

Microsoft Azure Event Hubs プロトコルは、IBM® Security QRadar® 用のアウトバウンド/アクティブ・プロトコルであり、Microsoft Azure Event Hubs からイベントを収集します。

Microsoft Azure Event Hubs アプライアンスからイベントを収集するには、以下のパラメーターの固有の値を指定する必要があります。

表 1. Microsoft Azure Event Hubs ログ・ソース・パラメーター
パラメーター
イベント・ハブ接続ストリングを使用 (Use Event Hub Connection String)
接続ストリングを使用して Azure イベント・ハブで認証します。
注: このスイッチをオフに切り替える機能は非推奨です。
イベント・ハブ接続ストリング (Event Hub Connection String)

イベント・ハブへのアクセスを提供する許可ストリング。例: 

Endpoint=sb://<Namespace 
Name>.servicebus.windows.net/;SharedAccess
KeyNam Key Name>;SharedAccessKey=<SAS Key>;
EntityPath=<Event Hub Name>
コンシューマー・グループ (Consumer Group) 接続中に使用されるビューを指定します。「コンシューマー・グループ (Consumer Group)」はそれぞれ独自のセッション・トラッキングを保持します。コンシューマー・グループおよび接続情報を共有するすべての接続は、セッション・トラッキング情報を共有します。
ストレージ・アカウント接続ストリングを使用 (Use Storage Account Connection String)
接続ストリングを使用して Azure ストレージ・アカウントで認証します。
注: このスイッチをオフに切り替える機能は非推奨です。
ストレージ・アカウント接続ストリング (Storage Account Connection String)

ストレージ・アカウントへのアクセスを提供する許可ストリング。例: 

DefaultEndpointsProtocol=https;Account 
Name=<Stor Account Name>;AccountKey=<Storage Account
 Key>;EndpointSuffix=core.windows.net
Syslog への Azure Linux イベントの形式設定 (Format Azure Linux Events To Syslog) Azure Linux® ログを、Linux システムからの標準の Syslog ロギングに似た単一行の Syslog 形式にフォーマット設定します。
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)

収集されたイベントが QRadar トラフィック分析エンジンを通過し、QRadar が自動的に 1 つ以上のログ・ソースを検出するようにするには、このオプションを選択します。

このオプションを選択すると、「ログ・ソース ID パターン (Log Source Identifier Pattern)」をオプションで使用して、処理対象のイベントのカスタム・ログ・ソース ID を定義できます。
ログ・ソース ID パターン (Log Source Identifier Pattern)

「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションを選択した場合は、このオプションを使用して、処理対象のイベントのカスタム・ログ・ソース ID を定義します。「ログ・ソース ID パターン (Log Source Identifier Pattern)」を構成しない場合、QRadar は、不明な汎用ログ・ソースとしてイベントを受信します。

「ログ・ソース ID パターン (Log Source Identifier Pattern)」フィールドでは、処理対象のイベントと、該当する場合に自動的に検出されるログ・ソースのカスタム・ログ・ソース ID を定義するために、key=value などのキーと値のペアを使用できます。 キーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。値 (正規表現パターン) は、キー (ID フォーマット・ストリング) をさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。

各パターンを新しい行に入力することで、複数のキーと値のペアを定義できます。複数のパターンが使用された場合、一致が見つかるまで、それらのパターンは順番に評価されます。一致が見つかると、カスタム・ログ・ソース ID が表示されます。

次の例では複数のキーと値のペアの機能を示します。
パターン
VPC=¥sREJECT¥sFAILURE
$1=¥s(REJECT)¥sOK
VPC-$1-$2=¥s(ACCEPT)¥s(OK)
イベント
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
結果としてのカスタム・ログ・ソース ID
VPC-ACCEPT-OK
サーバー証明書を自動的に獲得 (Automatically Acquire Server Certificate(s)) 「はい」を選択すると、QRadar は、自動的にサーバー証明書をダウンロードし、ターゲット・サーバーを信頼し始めます。
EPS スロットル 1 秒当たりの最大イベント数 (EPS)。デフォルトは 5000 です。

次の表で、非推奨になった Microsoft Azure Event Hubs ログ・ソース・パラメーターについて説明します。

表 2. 非推奨の Microsoft Azure Event Hubs ログ・ソース・パラメーター
パラメーター
非推奨 - 名前空間名

このオプションは、「イベント・ハブ接続ストリングを使用 (Use Event Hub Connection String)」オプションがオフに設定されている場合に表示されます。

Microsoft Azure Event Hubs ユーザー・インターフェース内のイベント・ハブ・エンティティーが含まれている最上位ディレクトリーの名前。
非推奨 - イベント・ハブ名 (Event Hub Name)

このオプションは、「イベント・ハブ接続ストリングを使用 (Use Event Hub Connection String)」オプションがオフに設定されている場合に表示されます。

アクセス対象のイベント・ハブの識別子。「イベント・ハブ名 (Event Hub Name)」は、名前空間内のイベント・ハブ・エンティティーの 1 つと一致している必要があります。
非推奨 - SAS キー名 (SAS Key Name)

このオプションは、「イベント・ハブ接続ストリングを使用 (Use Event Hub Connection String)」オプションがオフに設定されている場合に表示されます。

Shared Access Signature (SAS) 名はイベント・パブリッシャーを識別します。
非推奨 - SAS キー (SAS Key)

このオプションは、「イベント・ハブ接続ストリングを使用 (Use Event Hub Connection String)」オプションがオフに設定されている場合に表示されます。

Shared Access Signature (SAS) キーはイベント・パブリッシャーを認証します。
非推奨 - ストレージ・アカウント名 (Storage Account Name)

このオプションは、「ストレージ・アカウント接続ストリングを使用 (Use Storage Account Connection String)」オプションがオフに設定されている場合に表示されます。

イベント・ハブ・データを保管するストレージ・アカウントの名前。

「ストレージ・アカウント名 (Storage Account Name)」は、Azure ストレージ・アカウントのデータにアクセスするために必要な認証プロセスの一部です。
非推奨 - ストレージ・アカウント・キー (Storage Account Key)

このオプションは、「ストレージ・アカウント接続ストリングを使用 (Use Storage Account Connection String)」オプションがオフに設定されている場合に表示されます。

ストレージ・アカウントの認証に使用される許可キー。

「ストレージ・アカウント・キー (Storage Account Key)」は、Azure ストレージ・アカウントのデータにアクセスするために必要な認証プロセスの一部です。