Google Cloud Pub/Sub プロトコルの構成オプション

Google Cloud Pub/Sub プロトコルは、 Google Cloud Platform (GCP) ログを収集する IBM QRadar のアウトバウンド/アクティブ・プロトコルです。

自動更新が有効になっていない場合は、IBM® サポート Web サイトから GoogleCloudPubSub プロトコル RPM をダウンロードしてください。
重要: Google Cloud Pub/Sub プロトコルは、 QRadar 7.3.2.6(ビルド番号 20191022133252 以降) でサポートされています。
以下の表には、Google Cloud Pub/Sub プロトコルを使用して Google Cloud Pub/Sub ログを収集するためのプロトコル固有のパラメーターの説明が示されています。
表 1. Google Cloud Pub/Sub の Google Cloud Pub/Sub ログ・ソース・パラメーター
パラメーター 説明
Service Account Credential Type

必要なサービス・アカウント認証情報の取得元を指定します。

関連付けられているサービス・アカウントに、GCP で構成されている「サブスクリプション名 (Subscription Name)」で、「Pub/Sub サブスクライバー (Pub/Sub Subscriber)」役割またはより具体的な pubsub.subscriptions.consume 権限があることを確認します。

ユーザー管理キー (User Managed Key)
ダウンロードしたサービス・アカウント・キーから JSON のフルテキストを入力することで、「サービス アカウント キー」フィールドに指定します。
GCP 管理キー (GCP Managed Key)
QRadar 管理対象ホストが GCP Compute インスタンスで実行されていること、および Cloud API アクセス・スコープに Cloud Pub/Sub が含まれていることを確認してください。
Service Account Key

Google Cloud Platform (GCP) の IAM & 管理者 > サービス・アカウント セクションでサービス・アカウント用の ユーザー管理キー を作成したときにダウンロードした JSON ファイルのフルテキスト。

例: 

{
  "type": "service_account",
  "project_id": "qradar-test-123456",
  "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b",
  "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n",
  "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com",
  "client_id": "526344196064252652671",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com"
}
Subscription Name Cloud Pub/Sub サブスクリプションの完全な名前。 例えば、projects/my-project/subscriptions/my-subscriptionなどです。
Use As A Gateway Log Source

収集されたイベントが QRadar トラフィック分析エンジンを通過し、 QRadar が 1 つ以上のログ・ソースを自動的に検出するようにするには、このオプションを選択します。

このオプションを選択すると、「ログ・ソース ID パターン (Log Source Identifier Pattern)」をオプションで使用して、処理対象のイベントのカスタム・ログ・ソース ID を定義できます。
Log Source Identifier Pattern

「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションを選択した場合は、このオプションを使用して、処理対象のイベントのカスタム・ログ・ソース ID を定義します。 「ログ・ソース ID パターン」 が構成されていない場合、 QRadar はイベントを不明な汎用ログ・ソースとして受信します。

「ログ・ソース ID パターン (Log Source Identifier Pattern)」フィールドでは、処理対象のイベントと、該当する場合に自動的に検出されるログ・ソースのカスタム・ログ・ソース ID を定義するために、key=value などのキーと値のペアを使用できます。 キーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。 値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。 値 (正規表現パターン) は、キー (ID フォーマット・ストリング) をさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。

各パターンを新しい行に入力することで、複数のキーと値のペアを定義できます。 複数のパターンが使用された場合、一致が見つかるまで、それらのパターンは順番に評価されます。 一致が見つかると、カスタム・ログ・ソース ID が表示されます。

次の例では複数のキーと値のペアの機能を示します。
パターン
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
イベント
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
結果としてのカスタム・ログ・ソース ID
VPC-ACCEPT-OK
Use Predictive Parsing

このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、解析速度が向上します。

ヒント: まれに、アルゴリズムが誤った予測を行うことがあります。 予測解析は、高いイベント率を受け取ることが予想され、より高速な解析を必要とするログ・ソース・タイプに対してのみ有効にします。
Use Proxy

QRadar がプロキシーを使用して GCP に接続するには、このオプションを選択します。

プロキシーが認証を必要とする場合、「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。

プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。
Proxy IP or Hostname プロキシー・サーバーの IP またはホスト名。
Proxy Port プロキシー・サーバーとの通信に使用されるポート番号。

デフォルトは 8080 です。
Proxy Username プロキシーが認証を必要とする場合にのみ必要です。
Proxy Password プロキシーが認証を必要とする場合にのみ必要です。
EPS Throttle

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。
Convert Google VPC Flow Logs to IPFIX このオプションは、 Google VPC フロー・ログを、フロー・プロセッサーに送信される IPFIX に変換します。
Flow Destination Hostname

Google VPC フロー・ログが送信されるフロー・プロセッサーのホスト名。

注: このパラメーターを構成するには、 Convert Google VPC Flow Logs to IPFIX を有効にしてください。
Flow Destination Port

Google VPC フロー・ログが送信されるフロー・プロセッサー・ポート。

注: このパラメーターを構成するには、 Convert Google VPC Flow Logs to IPFIX を有効にしてください。