Google Cloud Pub/Sub 프로토콜 구성 옵션

Google Cloud Pub/Sub 프로토콜은 Google Cloud Platform) 로그를 수집하는 IBM QRadar 의 아웃바운드/활성 프로토콜입니다.

자동 업데이트가 활성화되어 있지 않은 경우, IBM® 지원 웹사이트에서 GoogleCloudPubSub 프로토콜 RPM을 다운로드하세요.
중요: Google Cloud Pub/Sub 프로토콜은 QRadar 7.3.2.6, 빌드 번호 20191022133252이상에서 지원됩니다.
다음 표에서는 Google Cloud Pub/Sub 프로토콜에서 Google Cloud Pub/Sub 로그를 수집하기 위한 프로토콜 고유의 매개변수에 대해 설명합니다.
표 1. Google Cloud Pub/Sub에 대한 Google Cloud Pub/Sub 로그 소스 매개변수
매개변수 설명
Service Account Credential Type

필수 서비스 계정 신임 정보를 가져오는 위치를 지정하십시오.

연관된 서비스 계정에 Pub/Sub 등록자 역할이나 GCP에서 구성된 등록 이름에 대한 특정 pubsub.subscriptions.consume 권한이 있는지 확인하십시오.

사용자 관리 키
다운로드된 서비스 계정 키의 전체 JSON 텍스트를 입력하여 서비스 계정 키 필드에서 제공됩니다.
GCP 관리 키
QRadar 관리 호스트가 GCP 계산 인스턴스에서 실행 중이고 클라우드 API 액세스 범위에 클라우드 발행/구독이 포함되어 있는지 확인하십시오.
Service Account Key

Google Cloud Platform) 의 IAM & admin > 서비스 계정 섹션에서 서비스 계정에 대한 사용자 관리 키 를 작성할 때 다운로드된 JSON 파일의 전체 텍스트입니다.

예제: 

{
  "type": "service_account",
  "project_id": "qradar-test-123456",
  "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b",
  "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n",
  "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com",
  "client_id": "526344196064252652671",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com"
}
Subscription Name 클라우드 Pub/Sub 등록의 전체 이름입니다 예를 들면 projects/my-project/subscriptions/my-subscription입니다.
Use As A Gateway Log Source

수집된 이벤트가 QRadar 트래픽 분석 엔진을 통해 플로우되고 QRadar 가 하나 이상의 로그 소스를 자동으로 발견하도록 하려면 이 옵션을 선택하십시오.

이 옵션을 선택하는 경우 선택적으로 로그 소스 ID 패턴을 사용하여 처리되는 이벤트에 대한 사용자 정의 로그 소스 ID를 정의할 수 있습니다.
Log Source Identifier Pattern

게이트웨이 로그 소스로 사용 옵션이 선택된 경우 처리되는 이벤트에 대한 사용자 정의 로그 소스 ID를 정의하려면 이 옵션을 사용하십시오. 로그 소스 ID 패턴 이 구성되지 않은 경우 QRadar 는 알 수 없는 일반 로그 소스로 이벤트를 수신합니다.

로그 소스 ID 패턴 필드는 처리 중인 이벤트 및 해당되는 경우 자동으로 발견될 로그 소스에 대한 사용자 정의 로그 소스 ID를 정의하도록 키-값 쌍(예: =값)을 허용합니다. 는 ID 형식 문자열이며, 이는 결과로 생성되는 소스 또는 오리진 값입니다. 값은 현재 페이로드를 평가하는 데 사용되는 연관된 정규 표현식 패턴입니다. 값(정규 표현식 패턴)은 키(ID 형식 문자열)를 추가로 사용자 정의하는 데 사용될 수 있는 캡처 그룹도 지원합니다.

각 패턴을 새 행에 입력하여 다중 키-값 쌍을 정의할 수 있습니다. 다중 패턴이 사용되는 경우 일치하는 항목이 발견될 때까지 순서대로 평가됩니다. 일치가 발견되면 사용자 정의 로그 소스 ID가 표시됩니다.

다음 예제는 다중 키-값 쌍 기능을 보여줍니다.
패턴
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
이벤트
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
결과로 생성되는 사용자 정의 로그 소스 ID
VPC-ACCEPT-OK
Use Predictive Parsing

이 매개변수를 사용으로 설정하면 알고리즘이 모든 이벤트에 대해 정규식을 실행하지 않고 이벤트에서 로그 소스 ID 패턴을 추출하여 구문 분석 속도를 높입니다.

팁: 드문 상황에서 알고리즘이 잘못된 예측을 할 수 있습니다. 높은 이벤트 비율을 수신할 것으로 예상되고 더 빠른 구문 분석이 필요한 로그 소스 유형에 대해서만 예측 구문 분석을 사용으로 설정하십시오.
Use Proxy

QRadar 에서 프록시를 사용하여 GCP에 연결하려면 이 옵션을 선택하십시오.

프록시에 인증이 필요한 경우 프록시 서버, 프록시 포트, 프록시 사용자 이름프록시 비밀번호 필드를 구성하십시오.

프록시에 인증이 필요하지 않은 경우 프록시 서버프록시 포트 필드를 구성하십시오.
Proxy IP or Hostname 프록시 서버의 IP 또는 호스트 이름입니다.
Proxy Port 프록시 서버와 통신하는 데 사용되는 포트 번호입니다.

기본값은 8080입니다.
Proxy Username 프록시에 인증이 요구되는 경우에만 필요합니다.
Proxy Password 프록시에 인증이 요구되는 경우에만 필요합니다.
EPS Throttle

QRadar 가 수집하는 초당 최대 이벤트 수입니다.

데이터 소스가 EPS 제한을 초과하면 데이터 콜렉션이 지연됩니다. 데이터는 여전히 수집된 후 데이터 소스가 EPS 제한을 초과하는 것을 중지할 때 수집됩니다.

기본값은 5000입니다.
Convert Google VPC Flow Logs to IPFIX 이 옵션은 Google VPC 플로우 로그를 플로우 프로세서에 전송되는 IPFIX로 변환합니다.
Flow Destination Hostname

Google VPC 플로우 로그가 전송되는 플로우 프로세서 호스트 이름입니다.

참고: Convert Google VPC Flow Logs to IPFIX 를 사용하여 이 매개변수를 구성하십시오.
Flow Destination Port

Google VPC 플로우 로그가 전송되는 플로우 프로세서 포트입니다.

참고: Convert Google VPC Flow Logs to IPFIX 를 사용하여 이 매개변수를 구성하십시오.