TLS Syslog プロトコルの構成オプション

各リスナー・ポートの TLS Syslog イベント転送をサポートするネットワーク・デバイスから暗号化された syslog イベントを受信するように TLS Syslog プロトコル・ログ・ソースを構成します。

TLS Syslog プロトコルは、パッシブ・インバウンド・プロトコルです。 ログ・ソースは、着信 TLS Syslog イベントの listen ポートを作成します。 デフォルトでは、TLS Syslog ログ・ソースは、 IBM QRadarによって生成された証明書と鍵を使用します。 TLS ログ・ソース・プロトコルは、以下の機能をサポートします。

  • イベント・コレクター は、最大 1000 の TLS 接続をサポートします。
  • 各 TLS ログ・ソース ( AutoDiscoveredを除く) は、その イベント・コレクターで固有のポートを使用する必要があります。
  • イベント・コレクター上に最大 1000 個の TLS ログ・ソースを作成することもできます。
  • Pem および Keyの場合、 KeyPKCS8/DER 形式でなければなりません。
  • 「証明書管理」 アプリケーションを使用している場合、 「鍵」PKCS8 形式でなければなりません。

TLS Syslog プロトコル用のプロトコル固有のパラメーターについて、以下の表で説明します。

表 1. TLS Syslog プロトコルのパラメーター
パラメーター 説明
プロトコル構成 TLS Syslog
ログ・ソース ID ログ・ソースを識別する IP アドレスまたはホスト名。
TLS listen ポート デフォルトの TLS listen ポートは 6514 です。
重要: 各 TLS listen ポートに割り当てることができる TLS Syslog ログ・ソースは 1 つのみです。
認証モード TLS 接続が認証に使用するモード。 「TLS およびクライアント認証 (TLS and Client Authentication)」オプションを選択した場合は、証明書パラメーターを構成する必要があります。
クライアント証明書認証
リストから、次のオプションのいずれかを選択します。
  • CN 許可リストおよび発行者検査 (CN Allowlist and Issuer Verification)
  • ディスク上のクライアント証明書 (Client Certificate on Disk)
CN 許可リストの使用 CN 許可リストを使用するには、このパラメーターを有効にします。
CN 許可リスト 信頼できるクライアント証明書の共通名の許可リスト。 プレーン・テキストまたは正規表現を入力できます。 複数の項目を定義するには、各行に 1 つずつ入力してください。
発行者検証の使用 発行者検査を使用するには、このパラメーターを有効にします。
ルート/中間発行者の証明書または公開鍵 (Root/Intermediate Issuer's Certificate or Public key) ルート/中間発行者の証明書または公開鍵を PEM 形式で入力します。

  • 証明書を、以下の文字列を先頭に置いて入力します。

    -----BEGIN CERTIFICATE-----

    末尾は以下の文字列で閉じます。

    -----END CERTIFICATE-----

  • 公開鍵を、以下の文字列を先頭に置いて入力します。

    -----BEGIN PUBLIC KEY-----

    末尾は以下の文字列で閉じます。

    -----END PUBLIC KEY-----
証明書失効の確認 証明書の失効状況をクライアント証明書に照らして検査します。 このオプションは X509v3のクライアント証明書でCRL Distribution Pointsフィールドで指定された URLへのネットワーク接続が必要です。

証明書の使用状況の確認 「鍵使用 (Key Usage)」および「拡張鍵使用 (Extended Key Usage)」の拡張フィールドにある証明書 X509v3 拡張の内容を検査します。 着信クライアント証明書の場合、X509v3 鍵使用に使用できる値は digitalSignature および keyAgreement です。 X509v3 拡張鍵使用の許可値は TLS Web Client Authenticationです。

このプロパティーは、デフォルトでは無効になっています。
クライアント証明書パス (Client Certificate Path)

ディスク上のクライアント証明書の絶対パス。 証明書は、このログ・ソースの QRadar Console または Event Collector に保管する必要があります。

重要:

証明書ファイルの先頭には、必ず以下の文字列を置いてください。

-----BEGIN CERTIFICATE-----

末尾は以下の文字列で閉じます。

-----END CERTIFICATE-----
サーバー証明書タイプ サーバー証明書およびサーバー鍵での認証に使用する証明書のタイプ。
「サーバー証明書タイプ (Server Certificate Type)」リストから、以下のいずれかのオプションを選択します。
  • 生成された証明書
  • PEM 証明書と秘密鍵 (PEM Certificate and Private Key)
  • PKCS12 証明書チェーンとパスワード (PKCS12 Certificate Chain and Password)
  • QRadar 証明書ストアから選択 (Choose from QRadar Certificate Store)
生成された証明書

このオプションは、「証明書タイプ (Certificate Type)」を構成した場合に使用可能になります。

QRadar によって生成されたデフォルトの証明書と鍵をサーバー証明書とサーバー鍵に使用する場合は、このオプションを選択します。

生成される証明書の名前は syslog-tls.cert であり、ログ・ソースの割り当て先ターゲット・イベント・コレクターの /opt/qradar/conf/trusted_certificates/ ディレクトリーに格納されます。
単一の証明書と秘密鍵

このオプションは、「証明書タイプ (Certificate Type)」を構成した場合に使用可能になります。

サーバー証明書に単一の PEM 証明書を使用する場合は、このオプションを選択してから、以下のパラメーターを構成します。
  • 提供されているサーバー証明書のパス (Provided Server Certificate Path) - サーバー証明書への絶対パス。
  • 提供された秘密鍵のパス (Provided Private Key Path) - 秘密鍵への絶対パス。
    重要: 対応する秘密鍵は DER エンコードの PKCS8 鍵でなければなりません。 他の鍵形式の場合は、構成に失敗します。
PKCS12 証明書およびパスワード

このオプションは、「証明書タイプ (Certificate Type)」を構成した場合に使用可能になります。

サーバー証明書とサーバー鍵が含まれている PKCS12 ファイルを使用する場合は、このオプションを選択してから、以下のパラメーターを構成します。
  • PKCS12 証明書のパス (PKCS12 Certificate Path) - サーバー証明書とサーバー鍵が含まれている PKCS12 ファイルのファイル・パスを入力します。
  • PKCS12 のパスワード (PKCS12 Password) - PKCS12 ファイルにアクセスするためのパスワードを入力します。
  • 証明書の別名 (Certificate Alias) - PKCS12 ファイル内に複数の項目がある場合、使用する項目を指定するために別名を指定する必要があります。 PKCS12 ファイルに別名が 1 つしかない場合は、このフィールドはブランクのままにします。
QRadar 証明書ストアから選択 (Choose from QRadar Certificate Store)

このオプションは、「証明書タイプ (Certificate Type)」を構成した場合に使用可能になります。

証明書管理アプリケーションを使用して、 QRadar 証明書ストアから証明書をアップロードできます。
ペイロードの最大長 (Max Payload Length) TLS Syslog メッセージに表示されるペイロードの最大長 (文字数)。
最大接続数 (Maximum Connections)

「最大接続数」 パラメーターは、 Event Collectorごとに TLS Syslog プロトコルが受け入れることができる同時接続の数を制御します。

Event Collectorごとに、各イベント・コレクターの TLS Syslog ログ・ソース構成での 1000 接続 (有効なログ・ソースと無効なログ・ソースを含む) に制限があります。

各デバイス接続のデフォルトは 50 ですが、各ポートの制限ではありません。

ヒント: 自動的にディスカバーされたログ・ソースは、別のログ・ソースとリスナーを共有します。 例えば、同じイベント・コレクターで同じポートを使用する場合は、この制限に対して 1 回のみカウントされます。
TLS プロトコル ログ・ソースにより使用される TLS プロトコル。

「TLS 1.2 以降」オプションを選択します。
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)

収集されたイベントを QRadar トラフィック分析エンジンを介して送信し、適切なログ・ソースを自動的に検出します。

イベントのカスタム・ログ・ソース ID を定義しない場合は、チェック・ボックスをクリアします。

このオプションが選択されておらず、 「ログ・ソース ID パターン」 が構成されていない場合、 QRadar はイベントを不明な汎用ログ・ソースとして受信します。
予測解析を使用 このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、解析速度が向上します。
ヒント: まれに、アルゴリズムが誤った予測を行うことがあります。 予測解析は、高いイベント率を受け取ることが予想され、より高速な解析を必要とするログ・ソース・タイプに対してのみ有効にします。
ログ・ソース ID パターン (Log Source Identifier Pattern)

「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションを使用して、処理中のイベントと該当する場合に自動的に検出されるログ・ソースのカスタム・ログ・ソース ID を定義します。 ログ・ソース ID パターン を構成しない場合、QRadar は、不明な汎用ログ・ソースとしてイベントを受け取ります。

カスタム・ログ・ソース ID を定義するには、キーと値のペアを使用します。 このキーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。 この値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。 この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。

各パターンを新しい行に入力して、複数のキーと値のペアを定義します。 複数のパターンは、リストされている順序で評価されます。 一致が見つかると、カスタム・ログ・ソース ID が表示されます。

次の例では複数のキーと値のペアの機能を示します。
パターン
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
イベント
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
結果としてのカスタム・ログ・ソース ID
VPC-ACCEPT-OK
複数行の有効化 「開始/終了に一致 (Start/End Matching)」正規表現または「ID でリンク (ID-Linked)」正規表現に基づいて、複数のメッセージを単一のイベントに集約します。
集計の方法

このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっている場合に使用可能になります。

  • 「ID でリンク (ID-Linked) - 各行の先頭に共通の値が含まれている複数のイベント・ログを処理します。
  • 開始/終了に一致 (Start/End Matching) - 開始または終了の正規表現 (regex) に基づいてイベントを集約します。
イベント開始パターン (Event Start Pattern)

このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」「開始/終了に一致 (Start/End Matching)」に設定されている場合に使用可能になります。

この正規表現 (regex) は、TCP 複数行イベント・ペイロードの開始を識別するために必要です。 通常、Syslog ヘッダーの先頭は日付またはタイム・スタンプです。 このプロトコルで、イベント開始パターン (タイム・スタンプなど) のみに基づく単一行イベントを作成できます。 開始パターンしか使用できない場合、このプロトコルは、それぞれの開始値の間にあるすべての情報を取り込んで有効なイベントを作成します。
イベント終了パターン (Event End Pattern)

このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」「開始/終了に一致 (Start/End Matching)」に設定されている場合に使用可能になります。

この正規表現は、TCP 複数行イベント・ペイロードの終了を識別するために必要です。 Syslog イベントがすべて同じ値で終了する場合は、正規表現を使用してイベントの終了を判別することができます。 このプロトコルでは、イベント終了パターンのみに基づくイベントをキャプチャーできます。 終了パターンしか使用できない場合、このプロトコルは、それぞれの終了値の間にあるすべての情報を取り込んで有効なイベントを作成します。
メッセージ ID のパターン

このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」「ID でリンク (ID-Linked)」に設定されている場合に使用可能になります。

イベント・ペイロード・メッセージをフィルタリングするために必要な正規表現。 TCP 複数行イベント・メッセージでは、イベント・メッセージの各行で共通の識別値が繰り返されている必要があります。
時間制限

このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」「ID でリンク (ID-Linked)」に設定されている場合に使用可能になります。

イベントをイベント・パイプラインにプッシュする前に、さらに一致するペイロードを待機する秒数。 デフォルトは 10 秒です。
イベントの集約時にすべての行を保持 (Retain Entire Lines During Event Aggregation)

このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」「ID でリンク (ID-Linked)」に設定されている場合に使用可能になります。

「集約方法 (Aggregation Method)」パラメーターが「ID でリンク (ID-Linked)」に設定されている場合、「イベントの集約時にすべての行を保持 (Retain Entire Lines During Event Aggregation)」を有効にして、「メッセージの ID パターン」に先行するイベントの部分を破棄または保持できます。 この機能を有効化できるのは、同じ ID パターンを持つイベントを連結するときだけです。
複数のイベントを単一行にフラット化 (Flatten Multiline Events Into Single Line)

このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっている場合に使用可能になります。

イベントを 1 行で表示するか複数行で表示するかを指定します。
イベント・フォーマッター (Event Formatter)

このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっている場合に使用可能になります。

Windows 専用にフォーマットされた複数行イベントの場合は、 「Windows 複数行」 オプションを使用します。

ログ・ソースが保存されると、ログ・ソースに対して syslog-tls 証明書が作成されます。 この証明書を、暗号化された Syslog を転送するように構成されたネットワーク上のすべてのデバイスにコピーする必要があります。 Syslog-tls 証明書ファイルおよび TLS 聴取ポート番号を持つ他のネットワーク・デバイスは、TLSSyslog ログ・ソースとして自動的にディスカバーできます。

TLS Syslog のユース・ケース

作成できる構成の例を以下のユース・ケースに示します。
ディスク上のクライアント証明書 (Client Certificate on Disk)
このプロトコルがクライアント認証に関与できるようにするクライアント証明書を提供できます。 このオプションを選択して証明書を提供すると、着信接続がクライアント証明書に照らして検証されます。
CN 許可リストおよび発行者検査 (CN Allowlist and Issuer Verification)

このオプションを選択した場合は、発行者証明書 (.crt.cert、または .der のファイル拡張子を持つもの) を以下のディレクトリーにコピーする必要があります。

/opt/qradar/conf/trusted_certificates

このディレクトリーは、ログ・ソースの割り当て先ターゲット・イベント・コレクターに存在します。

着信クライアント証明書は、いずれも以下の方法で検証され、証明書が信頼できる発行者および他の検査によって署名されたかどうかが検査されます。 クライアント証明書認証に、いずれかまたは両方の方法を選択できます。

CN 許可リスト

信頼できるクライアント証明書の共通名の許可リストを提供します。 プレーン・テキストまたは正規表現を入力できます。 複数の項目を定義するには、1 行に 1 つずつ入力します。

発行者検証

信頼できるクライアント証明書のルート証明書、中間発行者証明書、または PEM 形式の公開鍵を提供します。

証明書失効の確認

証明書の失効状況をクライアント証明書に照らして検査します。 このオプションは X509v3のクライアント証明書の CRL配布ポイントフィールドで指定された URLへのネットワーク接続が必要です。


証明書の使用状況の確認

「鍵使用 (Key Usage)」および「拡張鍵使用 (Extended Key Usage)」の拡張フィールドにある証明書 X509v3 拡張の内容を検査します。 着信クライアント証明書の場合、X509v3 鍵使用に使用できる値は digitalSignature および keyAgreement です。 X509v3 拡張鍵使用の許可値は TLS Web Client Authenticationです。

ユーザー提供のサーバー証明書
専用のサーバー証明書および対応する秘密鍵を構成できます。 構成した TLS Syslog プロバイダーは、その証明書と鍵を使用します。 着信接続には、自動的に生成された TLS Syslog 証明書ではなく、ユーザー提供の証明書が提示されます。
デフォルト認証
デフォルト認証方式を使用するには、「認証モード (Authentication Mode)」および「証明書タイプ (Certificate Type)」の各パラメーターにデフォルト値を使用します。 ログ・ソースが保存されると、ログ・ソース・デバイスに対して syslog-tls 証明書が作成されます。 この証明書を、暗号化された Syslog データを転送するネットワーク上のすべてのデバイスにコピーする必要があります。