OPSEC/LEA プロトコルの構成オプション
ポート 18184 でイベントを受信するには、OPSEC/LEA プロトコルを使用するようにログ・ソースを構成します。
OPSEC/LEA プロトコルはアウトバウンド/アクティブ・プロトコルです。
OPSEC/LEA プロトコル用のプロトコル固有のパラメーターについて、以下の表で説明します。
| パラメーター | 説明 |
|---|---|
| プロトコル構成 | OPSEC/LEA |
| ログ・ソース ID | デバイスを識別するための IP アドレス、ホスト名、または任意の名前。 ログ・ソース・タイプに対して固有でなければなりません。 |
| サーバー IP | サーバーの IP アドレスを入力します。 |
| サーバー・ポート | OPSEC 通信に使用するポート番号。 有効な範囲は 0 から 65,536、デフォルトは 18184 です。 |
| ログ・ソースにサーバー IP を使用 | ログ・ソースに管理対象デバイスの IP アドレスではなく、LEA サーバーの IP アドレスを使用する場合は、「ログ・ソースにサーバー IP を使用」チェック・ボックスを選択します。 このチェック・ボックスはデフォルトで選択されます。 |
| 統計レポートの間隔 | Syslog イベント数が qradar.log ファイルに記録される期間を秒数で入力します。 有効な範囲は 4 から 2,147,483,648、デフォルトの間隔は 600 です。 |
| 認証タイプ | リストから、当該 LEA 構成で使用する「認証タイプ」を選択します。 オプションは、sslca (デフォルト)、sslca_clear、または clear です。 この値は、サーバーが使用する認証方式と一致している必要があります。 |
| OPSEC アプリケーション・オブジェクトの SIC 属性 (SIC 名) | SIC (Secure Internal Communication) 名は、アプリケーションの識別名 (DN) です (例: CN=LEA, o=fwconsole..7psasx)。 |
| ログ・ソースの SIC 属性 (SIC エンティティー名) | サーバーの SIC 名 (例えば cn=cp_mgmt,o=fwconsole..7psasx)。 |
| 証明書の指定 | この LEA 構成の証明書を定義する場合は、このチェック・ボックスを選択します。 QRadar は、証明書が必要なときに、これらのパラメーターを使用して証明書を取得しようとします。 |
| 証明書ファイル名 | このオプションは、「証明書の指定 (Specify Certificate)」が選択されている場合にのみ表示されます。 当該構成で使用する証明書のファイル名を入力します。 証明書ファイルは、 /opt/qradar/conf/ trusted_certificates/lea ディレクトリーに配置する必要があります。 |
| 認証局 IP (Certificate Authority IP) | Check Point Manager Server の IP アドレスを入力します。 |
| 証明書パスワードのプル | アクティベーション・キー・パスワードを入力します。 |
| OPSEC アプリケーション | 証明書要求を実行するアプリケーションの名前。 |
| 有効 | ログ・ソースを有効にするには、このチェック・ボックスを選択します。 このチェック・ボックスはデフォルトで選択されます。 |
| 信頼性 | リストから、ログ・ソースの「信頼性」を選択します。 範囲は 0 から 10 です。 送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。 複数の送信元が同じイベントを報告する場合、信頼性は高くなります。 デフォルトは 5 です。 |
| ターゲット・イベント・コレクター | リストから、ログ・ソースのターゲットとして使用する「ターゲット・イベント・コレクター」を選択します。 |
| イベントの統合 | ログ・ソースがイベントを統合 (バンドル) できるようにするには、「イベントの統合」チェック・ボックスを選択します。 デフォルトでは、自動的にディスカバーされたログ・ソースは、 QRadarの「システム設定」の 「イベントの統合」 リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。 |
| イベント・ペイロードの保管 | ログ・ソースによるイベント・ペイロード情報の保管を有効にするには、「イベント・ペイロードの保管」チェック・ボックスを選択します。 デフォルトでは、自動的に検出されたログ・ソースは、 QRadarの「システム設定」から ストア・イベント・ペイロード リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。 |
重要: アップグレード後に 「SSL 証明書をプルできません (Unable to pull SSL certificate)」 というエラー・メッセージが表示された場合は、以下の手順に従ってください。
- 「証明書の指定 (Specify Certificate)」チェック・ボックスをクリアします。
- 「証明書パスワードのプル」のパスワードを再入力します。