ThreatGRID Malware Threat Intelligence Platform のログ・ファイル・ログ・ソース・パラメーター

QRadar でログ・ソースが自動的に検出されなかった場合は、ログ・ファイル・プロトコルを使用して QRadar Console で ThreatGRID Malware Threat Intelligence Platform ログ・ソースを追加します。

ログ・ファイル・プロトコルを使用する場合は、特定のパラメーターを使用する必要があります。

以下の表には、ThreatGRID Malware Threat Intelligence Platform からログ・ファイル・イベントを収集するために固有の値を必要とするパラメーターの説明が示されています。
表 1. ThreatGRID Malware Threat Intelligence Platform DSM のログ・ファイル・ログ・ソース・パラメーター
パラメーター
Log Source Name ログ・ソースの名前を入力します
Log Source Description ログ・ソースの説明を入力します。
Log Source Type ThreatGRID マルウェア・インテリジェンス・プラットフォーム
Protocol Configuration ログ・ファイル
Log Source Identifier

イベント・ソースを識別するための IP アドレス、ホスト名、または名前を入力します。

ログ・ソース ID は、ログ・ソース・タイプに対して固有でなければなりません。

Service Type

リモート・サーバーからのログ・ファイルの取得に使用するプロトコルをリストから選択します。 デフォルトは SFTP です。

  • SFTP - SSH ファイル転送プロトコル
  • FTP -ファイル転送プロトコル
  • SCP - セキュア・コピー・プロトコル

SCP と SFTP のサービス・タイプは、「リモート IP またはホスト名」フィールドのホスト・サーバーで SFTP サブシステムが有効になっている必要があります。

Remote IP or Hostname

イベント・ログ・ファイルが格納されている ThreatGRID サーバーの IP アドレスまたはホスト名を入力します。

Remote Port

ThreatGRID サーバーからのイベント・ログの取得に選択したプロトコルのポート番号を入力します。 有効な範囲は、1 から 65535 です。

サービス・タイプのデフォルト・ポート番号のリスト

  • FTP - TCP ポート 21
  • SFTP - TCP ポート 22
  • SCP - TCP ポート 22
Remote User

監査イベント・ログが格納される ThreatGRID Web サーバーへのログインに必要なユーザー名を入力します。

ユーザー名の長さは最大で 255 文字までです。

Remote Password

ThreatGRID サーバーにログインするためのパスワードを入力します。

Confirm Password

ThreatGRID サーバーにログインするためのパスワードを確認します。

SSH Key File

サービス・タイプとして SCP または SFTP を選択する場合、このパラメーターを使用して SSH 秘密鍵ファイルを定義します。 SSH 鍵ファイルを指定すると、「リモート・パスワード」フィールドは無視されます。

Remote Directory

ログインに使用しているユーザー・アカウントに関連した、ファイルを取得するリモート・ホスト上のディレクトリーの場所を入力します。

FTP の場合のみ。 ログ・ファイルがリモート・ユーザーのホーム・ディレクトリー内にある場合は、リモート・ディレクトリーをブランクのままにしておくことができます。 「リモート・ディレクトリー」フィールドのブランク値は、作業ディレクトリーの変更 (CWD) コマンドが制限されているオペレーティング・システムが存在するシステムをサポートします。

Recursive

ファイル・パターンでリモート・ディレクトリーのサブフォルダーを検索するようにしたい場合は、このチェック・ボックスを選択します。 デフォルトでは、このチェック・ボックスはクリアされています。

「サービス・タイプ」として SCP を構成している場合は、「再帰的 (Recursive)」パラメーターが無視されます。

FTP File Pattern

「リモート・ディレクトリー」で指定されたファイルのリストのフィルタリングに必要な正規表現 (regex) を入力します。 この正規表現と一致するすべてのファイルが取得および処理されます。

FTP ファイル・パターンは、ThreatGRID イベント・ログに割り当てた名前と一致する必要があります。 例えば、先頭が leef または LEEF で、末尾がテキスト・ファイル拡張子のファイルを収集するには、以下の値を入力します。

(leef|LEEF)+.*\.txt

このパラメーターの使用には、正規表現 (regex) の知識が必要です。 このパラメーターは、FTP または SFTP の使用が構成されているログ・ソースに適用されます。

FTP Transfer Mode

「サービス・タイプ」として 「FTP」 を選択した場合は、リストから「ASCII」を選択します。

テキスト・ベースのイベント・ログには ASCII が必須です。

SCP Remote File

「サービス・タイプ」として「SCP」を選択した場合は、リモート・ファイルのファイル名を入力します。

Start Time

ログ・ファイル・プロトコルを開始する時刻を表す時刻値を入力します。 開始時刻は 24 時間クロックに基づき、HH:MM の形式を使用します。

例えば、午前 0 時にイベント・ファイルを収集するようにログ・ファイル・プロトコルをスケジュールするには、00:00 と入力します。

このパラメーターは、新規イベント・ログ・ファイルがないかどうか ThreatGRID サーバーをポーリングするタイミングを設定するための「繰り返し (Recurrence)」フィールド値とともに機能します。

Recurrence

新規イベント・ログ・ファイルがないかどうか ThreatGRID サーバーのリモート・ディレクトリーをスキャンする頻度を入力します。 この値は、時間数 (H)、分数 (M)、または日数 (D) で入力します。

例えば、開始時刻から 2 時間ごとにリモート・ディレクトリーをスキャンするには、2H と入力します。 デフォルトの繰り返し値は 1H です。 最短の時間間隔は 15M です。

Run On Save

「保存」をクリックした後にログ・ファイル・プロトコルを即時に実行するには、このチェック・ボックスを選択します。

保存アクションが完了すると、ログ・ファイル・プロトコルは構成した開始時刻および繰り返しのスケジュールに従います。

「保存時に実行」を選択すると、「以前に処理したファイルを無視 (Ignore Previously Processed File)」パラメーターの、以前に処理したファイルのリストはクリアされます。

EPS Throttle

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

有効な範囲は、100 から 5000 です。

Processor

リストから 「なし」を選択します。

プロセッサーによってイベント・ファイル・アーカイブの展開およびそれらのイベントの処理が可能になります。 ファイルはダウンロード後に処理されます。 QRadar は、 zipgziptar、または tar+gzip アーカイブ形式のファイルを処理できます。

Ignore Previously Processed File(s)

このチェック・ボックスを選択すると、既に処理済みのファイル追跡し、無視します。

QRadar は、リモート・ディレクトリー内のログ・ファイルを調べて、イベント・ログがログ・ソースによって処理されたかどうかを判別します。 既に処理済みのファイルが検出された場合、ログ・ソースはそのファイルをダウンロードしません。 新規または未処理のイベント・ログ・ファイルのみが QRadarによってダウンロードされます。

このオプションは、FTPSFTP のサービス・タイプに適用されます。

Change Local Directory?

処理中にイベント・ログ・ファイルを保管する QRadar アプライアンス上のローカル・ディレクトリーを定義するには、このチェック・ボックスを選択します。

大半のシナリオでは、このチェック・ボックスを選択しなくてもかまいません。 このチェック・ボックスを選択すると、「ローカル・ディレクトリー (Local Directory)」フィールドが表示されます。 イベント・ログ・ファイルを一時的に格納するローカル・ディレクトリーを構成できます。 イベント・ログが処理されると、 QRadar に追加されたイベントと、ローカル・ディレクトリー内のイベント・ログが削除されます。

Event Generator

Event Generatorリストから、LineByLineを選択します。

「イベント・ジェネレーター (Event Generator)」は、取得したイベント・ファイルに追加処理を適用します。 ファイルの各行が、単一イベントです。 例えば、ファイルに 10 行のテキストがある場合、10 件の個別のイベントが生成されます。