Centrify Redrock REST API プロトコルの構成オプション

Centrify Redrock REST API プロトコルは、Centrify Identity Platform からイベントを収集する IBM® Security QRadar® のアウトバウンド/アクティブ・プロトコルです。

Centrify Redrock REST API プロトコルは、Centrify Identity Platform および CyberArk Identity Security Platform をサポートします。

Centrify Identity Platformからイベントを収集するには、以下のパラメーターで具体的な値を指定する必要があります。

表 1. Centrify Redrock REST API プロトコルのログ・ソース・パラメーター
パラメーター
ログ・ソース・タイプ Centrify Identity Platform
プロトコル構成 Centrify Redrock REST API
ログ・ソース ID ログ・ソースの固有名。

「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数の Centrify Identity Platform ログ・ソースが構成済みの場合は、最初のログ・ソースを centrify1、2 番目のログ・ソースを centrify2、3 番目のログ・ソースを centrify3 として識別できます。

テナント ID (Tenant ID) Centrify で割り当てられた固有のカスタマーまたはテナント ID。
テナントURL 指定されたテナント ID に対して自動的に生成されるテナント URL。 例えば、<tenant_id>.id.cyberark.cloud
Username Centrify Identity Platform 用のクラウド・サービスに関連付けられるユーザー名。
パスワード Centrify Identity Platform ユーザー名に関連付けられるパスワード。
イベント・ロギング・フィルター (Event Logging Filter) 取得するイベントのロギング・レベルを選択します。 「情報」「警告」 、および 「エラー」 が選択可能です。 少なくとも 1 つのフィルターを選択する必要があります。
信頼されていない証明書の許可 (Allow Untrusted Certificates)

自己署名の信頼されていない証明書を許可するには、このオプションを有効にします。 SaaS がホストするテナントではこのオプションを有効にしないでください。 ただし、必要に応じて、他のテナント構成ではこのオプションを有効にすることができます。

証明書は、PEM エンコードまたは DER エンコードのバイナリー形式でダウンロードし、/opt/qradar/conf/trusted_certificates/ ディレクトリー内に .cert ファイル拡張子または .crt ファイル拡張子を付けて配置する必要があります。

プロキシーの使用 (Use Proxy)

プロキシーが構成されると、Centrify Redrock REST API からのトラフィックはすべてプロキシーを経由します。

「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままでかまいません。

EPS スロットル

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。

繰り返し (Recurrence)

この時間間隔は、時間数 (H)、分数 (M)、または日数 (D) にすることができます。 デフォルトは 5 分 (5M) です。