SAP Enterprise Threat Detection の SAP Enterprise Threat Detection Alert API ログ・ソース・パラメーター

QRadar でログ・ソースが自動的に検出されなかった場合は、 SAP Enterprise Threat Detection Alert API プロトコルを使用して QRadar Console で SAP Enterprise Threat Detection ログ・ソースを追加します。

SAP Enterprise Threat Detection Alert API プロトコルを使用する場合は、特定のパラメーターを使用する必要があります。

以下の表には、SAP Enterprise Threat Detection から SAP Enterprise Threat Detection Alert API イベントを収集するために固有の値を必要とするパラメーターの説明が示されています。
表 1. SAP Enterprise Threat Detection DSM の SAP Enterprise Threat Detection Alert API ログ・ソース・パラメーター
パラメーター
Log Source type SAP Enterprise Threat Detection
Protocol Configuration SAP Enterprise Threat Detection Alert API
Log Source Identifier ログ・ソースの固有 ID。

「ログ・ソース ID」には、任意の有効な値 (「ログ・ソース名」と同じ値を含む) を設定でき、特定のサーバーを参照する必要はありません。 複数の SAP Enterprise Threat Detection Alert API ログ・ソースを構成した場合は、最初のログ・ソースを SAPETD-1、2 番目のログ・ソースを SAPETD-2、3 番目のログ・ソースを SAPETD-3 として識別できます。

Server URL SAP Enterprise Threat Detection Alert API にアクセスするために使用する URL を、ポートを含めて指定します。 例えば、「http://192.0.2.1:8003」や「https://192.0.2.1:9443」のように指定します。
Username/Password SAP ETD サーバーへのアクセスに必要なユーザー名とパスワードを入力し、パスワードを正しく入力したことを確認します。 確認パスワードは、「パスワード」パラメーターに入力したパスワードと同じでなければなりません。
重要: SAP Enterprise Threat Detection のログイン試行回数の制限は 3 回です。 複数のログイン試行が原因でアカウントがロックされている場合、アカウントがアンロックされるまで、 QRadar を SAP Enterprise Threat Detection Server に接続することはできません。 SAP サポートに支援を依頼してください。
Use Pattern Filter 照会を特定のパターン・フィルターのみに制限するには、このオプションを選択します。 すべてのイベントを照会するには、フィールドをクリアしたままにします。
Pattern Filter ID 照会をフィルターに掛けるために使用されるパターン・フィルター ID。 このフィールドは、パターン・フィルターの作成時に作成される UUID を受け入れます。

「フィルター ID (Filter ID)」は、パラメーター「パターン・フィルター ID (Pattern Filter Id)」のプロトコル・パラメーター・テーブルで指定された UUID です。

Use Proxy QRadar がプロキシーを使用して SAP エンタープライズ脅威検出アラート API にアクセスする場合は、「プロキシーの使用」を有効にします。

プロキシーが認証を必要とする場合、「プロキシー・ホスト名 (Proxy Hostname)」または「IP」「プロキシー・ポート」「プロキシー・ユーザー名」、および「プロキシー (Proxy)」の各フィールドを構成します。

プロキシーが認証を必要としない場合、「プロキシー・ホスト名 (Proxy Hostname)」または「IP」および「プロキシー・ポート」を構成します。

Automatically Acquire Server Certificates リストから「はい」を選択すると、QRadar は証明書を自動的にダウンロードし、ターゲット・サーバーを信頼して使用し始めます。 「いいえ」 を選択した場合、 QRadar はサーバー証明書の取得を試行しません。
注: SAP HTTPSに構成されている場合、有効な証明書が必要です。 この値を「はい」に設定するか、ログ・ソース用の証明書を手動で取得します。
Recurrence SAP Enterprise Threat Detection Alert API に対する新しいイベントのログ・ソース照会から次のログ・ソース照会までの間の時間間隔。 この時間間隔は、時間数 (H)、分数 (M)、または日数 (D) にすることができます。 デフォルトは 5 分 (5M) です。
Throttle 1 秒あたりの最大イベント数。 デフォルトは 5000 です。