SAP Enterprise Threat Detection の SAP Enterprise Threat Detection Alert API ログ・ソース・パラメーター
QRadar でログ・ソースが自動的に検出されなかった場合は、 SAP Enterprise Threat Detection Alert API プロトコルを使用して QRadar Console で SAP Enterprise Threat Detection ログ・ソースを追加します。
SAP Enterprise Threat Detection Alert API プロトコルを使用する場合は、特定のパラメーターを使用する必要があります。
以下の表には、SAP Enterprise Threat Detection から SAP Enterprise Threat Detection Alert API イベントを収集するために固有の値を必要とするパラメーターの説明が示されています。
| パラメーター | 値 |
|---|---|
| Log Source type | SAP Enterprise Threat Detection |
| Protocol Configuration | SAP Enterprise Threat Detection Alert API |
| Log Source Identifier | ログ・ソースの固有 ID。 「ログ・ソース ID」には、任意の有効な値 (「ログ・ソース名」と同じ値を含む) を設定でき、特定のサーバーを参照する必要はありません。 複数の SAP Enterprise Threat Detection Alert API ログ・ソースを構成した場合は、最初のログ・ソースを SAPETD-1、2 番目のログ・ソースを SAPETD-2、3 番目のログ・ソースを SAPETD-3 として識別できます。 |
| Server URL | SAP Enterprise Threat Detection Alert API にアクセスするために使用する URL を、ポートを含めて指定します。 例えば、「http://192.0.2.1:8003」や「https://192.0.2.1:9443」のように指定します。 |
| Username/Password | SAP ETD サーバーへのアクセスに必要なユーザー名とパスワードを入力し、パスワードを正しく入力したことを確認します。 確認パスワードは、「パスワード」パラメーターに入力したパスワードと同じでなければなりません。 重要: SAP Enterprise Threat Detection のログイン試行回数の制限は 3 回です。 複数のログイン試行が原因でアカウントがロックされている場合、アカウントがアンロックされるまで、 QRadar を SAP Enterprise Threat Detection Server に接続することはできません。 SAP サポートに支援を依頼してください。
|
| Use Pattern Filter | 照会を特定のパターン・フィルターのみに制限するには、このオプションを選択します。 すべてのイベントを照会するには、フィールドをクリアしたままにします。 |
| Pattern Filter ID | 照会をフィルターに掛けるために使用されるパターン・フィルター ID。 このフィールドは、パターン・フィルターの作成時に作成される UUID を受け入れます。 「フィルター ID (Filter ID)」は、パラメーター「パターン・フィルター ID (Pattern Filter Id)」のプロトコル・パラメーター・テーブルで指定された UUID です。 |
| Use Proxy | QRadar がプロキシーを使用して SAP エンタープライズ脅威検出アラート API にアクセスする場合は、「プロキシーの使用」を有効にします。 プロキシーが認証を必要とする場合、「プロキシー・ホスト名 (Proxy Hostname)」または「IP」、「プロキシー・ポート」、「プロキシー・ユーザー名」、および「プロキシー (Proxy)」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ホスト名 (Proxy Hostname)」または「IP」および「プロキシー・ポート」を構成します。 |
| Automatically Acquire Server Certificates | リストから「はい」を選択すると、QRadar は証明書を自動的にダウンロードし、ターゲット・サーバーを信頼して使用し始めます。 「いいえ」 を選択した場合、 QRadar はサーバー証明書の取得を試行しません。 注: SAP HTTPSに構成されている場合、有効な証明書が必要です。 この値を「はい」に設定するか、ログ・ソース用の証明書を手動で取得します。
|
| Recurrence | SAP Enterprise Threat Detection Alert API に対する新しいイベントのログ・ソース照会から次のログ・ソース照会までの間の時間間隔。 この時間間隔は、時間数 (H)、分数 (M)、または日数 (D) にすることができます。 デフォルトは 5 分 (5M) です。 |
| Throttle | 1 秒あたりの最大イベント数。 デフォルトは 5000 です。 |