Google Cloud Pub/Sub コネクター の構成オプション

オンラインで編集

Google Cloud Pub/Sub コネクター は、 Google Cloud Platform (GCP) ログを収集する QRadar® 製品 用のアクティブなアウトバウンド コネクター です。

自動更新が有効になっていない場合は、 GoogleCloudPubSub コネクター RPM を IBM® サポート Web サイトからダウンロードします。

以下の表では、 Google Cloud Pub/Sub コネクターを使用して Google Cloud Pub/Sub ログを収集するための コネクター固有のパラメーターについて説明します。
表 1. Google Cloud Pub/Subの Google Cloud Pub/Sub データ・ソース・ パラメーター
パラメーター 説明
Service Account Credential Type

必要なサービス・アカウント認証情報の取得元を指定します。

関連付けられているサービス・アカウントに、GCP で構成されている「サブスクリプション名 (Subscription Name)」で、「Pub/Sub サブスクライバー (Pub/Sub Subscriber)」役割またはより具体的な pubsub.subscriptions.consume 権限があることを確認します。

ユーザー管理キー (User Managed Key)
ダウンロードしたサービス・アカウント・キーから JSON のフルテキストを入力することで、「サービス アカウント キー」フィールドに指定します。
GCP 管理キー (GCP Managed Key)
QRadar 製品の 管理対象ホストが GCP コンピュート・インスタンスで実行されており、Cloud API アクセス・スコープに Cloud Pub/Sub が含まれていることを確認します。
Service Account Key

Google Cloud Platform (GCP) の IAM & admin > 「サービス・アカウント」 セクションでサービス・アカウントの 「ユーザー管理キー」 を作成したときにダウンロードした JSON ファイルのフルテキスト。

例: 

{
  "type": "service_account",
  "project_id": "qradar-test-123456",
  "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b",
  "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n",
  "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com",
  "client_id": "526344196064252652671",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com"
}
Subscription Name Cloud Pub/Sub サブスクリプションの完全な名前。 例えば、projects/my-project/subscriptions/my-subscriptionなどです。
Use As A Gateway Log Source

収集されたイベントが QRadar 製品の トラフィック分析エンジンを通過し、 QRadar 製品 が 1 つ以上の データ・ソースを自動的に検出するようにするには、このオプションを選択します。

このオプションを選択すると、「ログ・ソース ID パターン (Log Source Identifier Pattern)」をオプションで使用して、処理対象のイベントのカスタム・ログ・ソース ID を定義できます。
Log Source Identifier Pattern

「ゲートウェイ・ログ・ソースとして使用」 オプションを選択した場合は、このオプションを使用して、処理されるイベントのカスタム 「ログ・ソース ID」 を定義します。 「ログ・ソース ID パターン」 が構成されていない場合、 QRadar 製品 は、不明な汎用イベントとしてイベントを受信します。

「ログ・ソース ID パターン (Log Source Identifier Pattern)」 フィールドには、 key= value などのキーと値のペアを受け入れて、処理中のイベントおよび該当する場合に自動的に検出されるイベントのカスタム 「ログ・ソース ID (Log Source Identifier)」 を定義します。 キーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。 値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。 値 (正規表現パターン) は、キー (ID フォーマット・ストリング) をさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。

各パターンを新しい行に入力することで、複数のキーと値のペアを定義できます。 複数のパターンが使用された場合、一致が見つかるまで、それらのパターンは順番に評価されます。 一致が見つかると、カスタムの 「ログ・ソース ID」 が表示されます。

次の例では複数のキーと値のペアの機能を示します。
パターン
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
イベント
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
結果としてのカスタム・ログ・ソース ID
VPC-ACCEPT-OK
Use Proxy

QRadar 製品 がプロキシーを使用して GCP に接続するには、このオプションを選択します。

プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。
Proxy IP or Hostname プロキシー・サーバーの IP またはホスト名。
Proxy Port プロキシー・サーバーとの通信に使用されるポート番号。

デフォルトは 8080 です。
Proxy Username プロキシーが認証を必要とする場合にのみ必要です。
Proxy Password プロキシーが認証を必要とする場合にのみ必要です。
EPS Throttle

この データ・ソース が超過してはならないイベント/秒 (EPS) の最大数の上限。 デフォルトは 5000 です。

「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションが選択されている場合、この値はオプションです。

「EPS スロットル (EPS Throttle)」 パラメーター値をブランクのままにすると、 QRadar 製品によって EPS 制限が課されることはありません。