Opcje konfiguracji protokołu Amazon Web Services

Protokół Amazon Web Services (AWS) jest protokołem wychodzącym/aktywnym dla produktu IBM® QRadar® , który gromadzi dzienniki AWS CloudWatch Logs, Amazon Kinesis Data Streams i Amazon Simple Queue Service (SQS).

Ważne: Protokół Amazon Web Services wymaga programu QRadar 7.3.1 lub nowszego, a także aplikacji IBM QRadar Log Source Management .

Za pomocą protokołu Amazon Web Services można korzystać z następujących opcji: Amazon Kinesis Data Streams, AWS CloudWatch Logslub Amazon Simple Queue Service (SQS).

Strumienie danych Amazon Kinesis

W poniższej tabeli opisano parametry specyficzne dla protokołu dotyczące gromadzenia strumieni danych Amazon Kinesis Data Streams z protokołem Amazon Web Services :

Tabela 1. Parametry źródła dziennika Amazon Web Services dla strumieni Amazon Kinesis Data Streams
Parametr	Opis
Konfiguracja protokołu	Z listy Konfiguracja protokołu wybierz opcję Amazon Web Services .
Metoda uwierzytelniania	Identyfikator klucza dostępu/klucz tajny Standardowe uwierzytelnianie, które może być używane z dowolnego miejsca. Rola IAM instancji EC2 Jeśli host zarządzany QRadar jest uruchomiony w instancji AWS EC2 , wybranie tej opcji korzysta z roli IAM z metadanych przypisanych do instancji w celu uwierzytelnienia. Klucze nie są wymagane. Ta metoda działa tylko w przypadku hostów zarządzanych, które działają w kontenerze AWS EC2 .
Klucz dostępu	Identyfikator klucza dostępu, który został wygenerowany podczas konfigurowania referencji zabezpieczeń dla konta użytkownika AWS . Jeśli wybrano opcję Access Key ID/Secret Key (Identyfikator klucza dostępu/klucz tajny) lub Przyjmij rolę IAM, zostanie wyświetlony parametr Access Key (Klucz dostępu).
Klucz tajny	Klucz tajny, który został wygenerowany podczas konfigurowania referencji zabezpieczeń dla konta użytkownika AWS . Jeśli wybrano opcję Access Key ID/Secret Key (Identyfikator klucza dostępu/klucz tajny) lub Assume IAM Role(Rola IAM), zostanie wyświetlony parametr Klucz tajny .
Zakłada się, że rola IAM	Włącz tę opcję, aby uwierzytelnić się przy użyciu roli klucza dostępu lub roli IAM instancji EC2 . Następnie można tymczasowo przyjąć rolę IAM w celu uzyskania dostępu.
Przyjmij Rolę ARN	Pełna nazwa ARN roli, która ma zostać założona. Musi zaczynać się od `arn:` i nie może zawierać spacji wiodących ani końcowych, ani spacji w obrębie ARN. Jeśli została włączona opcja Przyjmij rolę IAM, zostanie wyświetlony parametr Przyjmij rolę ARN .
Zakładanie nazwy sesji roli	Nazwa sesji, która ma być przyjmowana. Wartością domyślną jest `QRadarAWSSession`. Pozostaw jako domyślny, jeśli nie trzeba go zmieniać. Ten parametr może zawierać tylko wielkie i małe litery, znaki alfanumeryczne lub dowolne z następujących znaków: `=,.@-` Jeśli została włączona opcja Przyjmij rolę IAM, zostanie wyświetlony parametr Nazwa sesji założenia roli .
Regiony	Przełącz każdy region powiązany z usługą Web Service Amazon, z którego mają być gromadzone dzienniki.
UsługaAWS	Z listy Usługa AWS wybierz opcję Strumienie danych Kinesis.
Strumień danych Kinesis	Strumień danych Kinesis, z którego mają być używane dane.
Włącz opcje zaawansowane Kinesis	Włącz następujące opcjonalne zaawansowane wartości konfiguracyjne. Wartości opcji zaawansowanych są używane tylko wtedy, gdy ta opcja jest wybrana. W przeciwnym razie używane są wartości domyślne. Początkowa pozycja w strumieniu Ta opcja określa, które dane mają zostać wyciągane z nowo skonfigurowanego źródła dziennika. Wybierz opcję Najnowszy , aby pobrać najnowsze dane, które są dostępne. Wybierz opcję Trim Horizon (Trim Horizon), aby pobrać najstarsze dane, które są dostępne. Liczba wątków roboczych Kinesis Liczba wątków roboczych, które mają być używane na potrzeby przetwarzania strumienia danych Kinesis. Każdy wątek roboczy może przetwarzać około 10000-20000 zdarzeń na sekundę w zależności od wielkości rekordu i obciążenia systemu. Jeśli źródło dziennika nie jest w stanie przetworzyć nowych danych w strumieniu, można zwiększyć liczbę wątków w tym miejscu maksymalnie do 16. Dozwolony zakres to 1-16. Wartością domyślną jest 2. Przedział punktów kontrolnych Przedział czasu (w sekundach), w którym mają być punkty kontrolne numery porządkowe danych. Każdy rekord ze strumienia w strumieniu danych Kinesis ma numer kolejny. Sprawdzenie pozycji pozwala na wznowienie przetwarzania w tym samym punkcie, jeśli przetwarzanie nie powiedzie się lub zostanie zrestartowana usługa. Częstsze odstępy czasu redukują powielanie danych, ale zwiększają wykorzystanie bazy danych w środowisku Amazon Dynamo. Dozwolony zakres: 1-3600 sekund. Wartość domyślna to 10 sekund. Aplikacja Kinesis Pozostaw tę opcję pustą, aby źródło dziennika używało danych ze wszystkich dostępnych części w strumieniu danych Kinesis. Aby mieć wiele źródeł dzienników na wielu procesorach zdarzeń, których wykorzystanie w dzienniku jest mniejsze bez utraty lub powielania, należy użyć wspólnej aplikacji kinezy w tych źródłach dziennika (przykład: ProdKinesisConsumers). Partycja Wybierz tę opcję, aby gromadzić dane z określonej partycji w strumieniu danych Kinesis, podając nazwę partycji.
Wyodrębnij zdarzenie oryginalne	Przekazuje tylko oryginalne zdarzenie, które zostało dodane do strumienia danych Kinesis. Dzienniki Kinesis opakowują zdarzenia, które otrzymują, z dodatkowymi metadanymi. Tę opcję należy wybrać, jeśli tylko oryginalne zdarzenie, które zostało wysłane do systemu AWS bez dodatkowych metadanych strumienia, zostało wysłane przez Kinesis. Pierwotne zdarzenie to wartość klucza komunikatu, który jest wyodrębniany z dziennika Kinesis. Poniższy przykład zdarzenia Dzienniki Kinesis przedstawia oryginalne zdarzenie wyodrębnione z dziennika Kinesis w podświetlonym tekście: {"owner":"123456789012","subscriptionFilters":["allEvents"],"logEvents":[{"id":"35093963143971327215510178578576502306458824699048362100","message":"{\"eventVersion\":\"1.05\",\"userIdentity\":{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role\/CVDevABRoleToBeAssumed\/test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\"arn:aws:iam::123456789012:role\/CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudtrail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"ap-northeast-1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":null,\"responseElements\":null,\"requestID\":\"41e62e80-b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipientAccountId\":\"123456789012\"}","timestamp":1573667733143}],"messageType":"DATA_MESSAGE","logGroup":"CloudTrail\/DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}
Użyj Jako Źródła Dziennika Bramy	Jeśli nie chcesz definiować niestandardowego identyfikatora źródłowego dziennika dla zdarzeń, usuń zaznaczenie tego pola wyboru. Jeśli nie zostanie wybrana opcja Użyj jako źródła dziennika bramy , a użytkownik nie skonfiguruje wzorca identyfikatora źródła dziennika, produkt QRadar odbiera zdarzenia jako nieznane ogólne źródła dzienników.
używaj analizy predykcyjnej	Jeśli ten parametr zostanie włączony, algorytm wyodrębnia wzorce identyfikatora źródła dziennika ze zdarzeń bez uruchamiania regexu dla każdego zdarzenia, co zwiększa szybkość analizowania. Wskazówka: W rzadkich przypadkach algorytm może wprowadzać niepoprawne predykcje. Włącz analizę predykcyjną tylko dla typów źródeł dziennika, które mają otrzymywać wysokie współczynniki zdarzeń, i wymagają szybszego analizowania.
Wzorzec identyfikatora źródła dziennika	Jeśli wybrano opcję Użyj jako źródła dziennika bramy, można zdefiniować niestandardowy identyfikator źródła dziennika dla zdarzeń, które są przetwarzane, oraz dla źródeł dzienników, które mają być automatycznie wykrywane w razie potrzeby. Jeśli użytkownik nie skonfiguruje wzorca identyfikatora źródła dziennika, program QRadar odbierze zdarzenia jako nieznane ogólne źródła dzienników. Użyj par klucz-wartość, aby zdefiniować niestandardowy identyfikator źródła dziennika. Klucz jest łańcuchem formatu identyfikatora, który jest wynikiem wartości źródłowej lub źródłowej. Wartością jest powiązany wzorzec wyrażenia regularnego, który jest używany do oceny bieżącego ładunku. Ta wartość obsługuje także grupy przechwytywania, które mogą być używane do dalszego dostosowywania klucza. Zdefiniuj wiele par klucz-wartość, wpisując każdy wzorzec w nowej linii. Wiele wzorców jest wartościowanych w kolejności, w jakiej są wymienione. Po znalezieniu zgodności wyświetlany jest niestandardowy identyfikator źródła dziennika. W poniższych przykładach przedstawiono wiele funkcji par klucz-wartość. Wzorce `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Wydarzenia `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Wynikowy identyfikator źródła dziennika niestandardowego VPC-ACCEPT-OK
Użyj proxy	Jeśli program QRadar uzyskuje dostęp do usługi Amazon Web Service przy użyciu proxy, należy wybrać tę opcję. Jeśli serwer proxy wymaga uwierzytelniania, należy skonfigurować pola Serwer proxy, Port proxy, Nazwa użytkownika proxyi Hasło proxy . Jeśli serwer proxy nie wymaga uwierzytelniania, należy skonfigurować pole Adres IP lub nazwa hosta proxy .
Ograniczenie EPS	Górny limit maksymalnej liczby zdarzeń na sekundę (EPS). Wartością domyślną jest 5000. Jeśli wybrana jest opcja Użyj jako źródła dziennika bramy , ta wartość jest opcjonalna. Jeśli wartość parametru EPS Throttle pozostanie pusta, program QRadarnie będzie narzucał limitu EPS.

Dzienniki AWS CloudWatch

W poniższej tabeli opisano parametry specyficzne dla protokołu dotyczące gromadzenia dzienników AWS CloudWatch Logs z protokołem Amazon Web Services :

Tabela 2. Parametry źródła dziennika Amazon Web Services dla dzienników AWS CloudWatch Logs
Parametr	Opis
Konfiguracja protokołu	Z listy Konfiguracja protokołu wybierz opcję Amazon Web Services .
Metoda uwierzytelniania	Identyfikator klucza dostępu/klucz tajny Standardowe uwierzytelnianie, które może być używane z dowolnego miejsca. Rola IAM instancji EC2 Jeśli host zarządzany QRadar jest uruchomiony w instancji AWS EC2 , wybranie tej opcji korzysta z roli IAM z metadanych przypisanych do instancji w celu uwierzytelnienia. Klucze nie są wymagane. Ta metoda działa tylko w przypadku hostów zarządzanych, które działają w kontenerze AWS EC2 .
Klucz dostępu	Identyfikator klucza dostępu, który został wygenerowany podczas konfigurowania referencji zabezpieczeń dla konta użytkownika AWS . Jeśli wybrano opcję Access Key ID/Secret Key (Identyfikator klucza dostępu/klucz tajny) lub Przyjmij rolę IAM, zostanie wyświetlony parametr Access Key (Klucz dostępu).
Klucz tajny	Klucz tajny, który został wygenerowany podczas konfigurowania referencji zabezpieczeń dla konta użytkownika AWS . Jeśli wybrano opcję Access Key ID/Secret Key (Identyfikator klucza dostępu/klucz tajny) lub Assume IAM Role(Rola IAM), zostanie wyświetlony parametr Klucz tajny .
Zakłada się, że rola IAM	Włącz tę opcję, uwierzytelniając przy użyciu klucza dostępu lub roli IAM instancji EC2 . Następnie można tymczasowo przyjąć rolę IAM w celu uzyskania dostępu.
Przyjmij Rolę ARN	Pełna nazwa ARN roli, która ma zostać założona. Musi zaczynać się od `arn:` i nie może zawierać spacji wiodących ani końcowych, ani spacji w obrębie ARN. Jeśli została włączona opcja Przyjmij rolę IAM, zostanie wyświetlony parametr Przyjmij rolę ARN .
Zakładanie nazwy sesji roli	Nazwa sesji, która ma być przyjmowana. Wartością domyślną jest `QRadarAWSSession`. Pozostaw jako domyślny, jeśli nie trzeba go zmieniać. Ten parametr może zawierać tylko wielkie i małe litery, znaki alfanumeryczne lub dowolne z następujących znaków: `=,.@-` Jeśli została włączona opcja Przyjmij rolę IAM, zostanie wyświetlony parametr Nazwa sesji założenia roli .
Regiony	Przełącz każdy region powiązany z usługą Web Service Amazon, z którego mają być gromadzone dzienniki.
UsługaAWS	Z listy Usługa AWS wybierz opcję Dzienniki CloudWatch.
Grupa dziennika	Nazwa grupy dzienników w usłudze Amazon CloudWatch , z której mają być gromadzone dzienniki. Wskazówka: pojedyncze źródło dzienników gromadzi dzienniki CloudWatch z jednej grupy dzienników w danym momencie. Jeśli chcesz gromadzić dzienniki z wielu grup dzienników, utwórz osobne źródło dzienników dla każdej grupy dzienników.
Włącz opcje zaawansowane CloudWatch	Włącz następujące opcjonalne zaawansowane wartości konfiguracyjne. Wartości opcji zaawansowanych są używane tylko wtedy, gdy ta opcja jest wybrana. W przeciwnym razie używane są wartości domyślne. Strumień dziennika Nazwa strumienia dziennika w grupie dzienników. Jeśli chcesz gromadzić dzienniki ze wszystkich strumieni dziennika w obrębie grupy dzienników, pozostaw to pole puste. Wzorzec filtru Wpisz wzorzec filtrowania zebranych zdarzeń. Ten wzorzec nie jest filtrem typu regex. Z dzienników CloudWatch Logs gromadzone są tylko zdarzenia, które zawierają określoną wartość. Jeśli jako wartość wzorca filtru zostanie wprowadzona wartość ACCEPT, zbierane są tylko te zdarzenia, które zawierają słowo ACCEPT, jak to pokazano w poniższym przykładzie. `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Opóźnienie zdarzenia Opóźnienie w sekundach dla gromadzenia danych. Inny region (y) Nieaktualne. Zamiast tego użyj opcji Regiony .
Wyodrębnij zdarzenie oryginalne	Przekazuje tylko oryginalne zdarzenie, które zostało dodane do dzienników programu CloudWatch . Dzienniki CloudWatch opakowują zdarzenia, które otrzymują, z dodatkowymi metadanymi. Wybierz tę opcję, jeśli chcesz gromadzić tylko oryginalne zdarzenie, które zostało wysłane do AWS bez dodatkowych metadanych strumienia za pomocą dzienników CloudWatch . Pierwotne zdarzenie to wartość klucza komunikatu, który jest wyodrębniany z dziennika CloudWatch . Następujący przykład zdarzenia Dzienniki CloudWatch przedstawia oryginalne zdarzenie, które jest wyodrębniane z dzienników CloudWatch w podświetlonym tekście: {LogStreamName: 123456786_CloudTrail_us-east-2,Timestamp: 1505744407363, Message: {"eventVersion":"1.05","userIdentity":{"type":"IAMUser","principalId":"AAAABBBCCCDDDBBBCCC","arn":"arn:aws:iam::1234567890:user/<username>","accountId":"1234567890","accessKeyId":"AAAABBBBCCCCDDDD","userName":"User-Name","sessionContext":{"attributes":{"mfaAuthenticated":"false","creationDate":"2017-09-18T13:22:10Z"}},"invokedBy":"signin.amazonaws.com"},"eventTime":"2017-09-18T14:10:15Z","eventSource":"cloudtrail.amazonaws.com","eventName":"DescribeTrails","awsRegion":"us-east-1","sourceIPAddress":"192.0.2.1","userAgent":"signin.amazonaws.com","requestParameters":{"includeShadowTrails":false,"trailNameList":[]},"responseElements":null,"requestID":"11b1a00-7a7a-11a1-1a11-44a4aaa1a","eventID":"a4914e00-1111-491d-bbbb-a0dd3845b302","eventType":"AwsApiCall","recipientAccountId":"1234567890"},IngestionTime: 1505744407506,EventId: 335792223611111122479126672222222513333}
Użyj Jako Źródła Dziennika Bramy	Jeśli nie chcesz definiować niestandardowego identyfikatora źródłowego dziennika dla zdarzeń, usuń zaznaczenie tego pola wyboru. Jeśli nie zostanie wybrana opcja Użyj jako źródła dziennika bramy , a użytkownik nie skonfiguruje wzorca identyfikatora źródła dziennika, produkt QRadar odbiera zdarzenia jako nieznane ogólne źródła dzienników.
używaj analizy predykcyjnej	Jeśli ten parametr zostanie włączony, algorytm wyodrębnia wzorce identyfikatora źródła dziennika ze zdarzeń bez uruchamiania regexu dla każdego zdarzenia, co zwiększa szybkość analizowania. Wskazówka: W rzadkich przypadkach algorytm może wprowadzać niepoprawne predykcje. Włącz analizę predykcyjną tylko dla typów źródeł dziennika, które mają otrzymywać wysokie współczynniki zdarzeń, i wymagają szybszego analizowania.
Wzorzec identyfikatora źródła dziennika	Jeśli wybrano opcję Użyj jako źródła dziennika bramy, można zdefiniować niestandardowy identyfikator źródła dziennika dla zdarzeń, które są przetwarzane, oraz dla źródeł dzienników, które mają być automatycznie wykrywane w razie potrzeby. Jeśli użytkownik nie skonfiguruje wzorca identyfikatora źródła dziennika, program QRadar odbierze zdarzenia jako nieznane ogólne źródła dzienników. Użyj par klucz-wartość, aby zdefiniować niestandardowy identyfikator źródła dziennika. Klucz jest łańcuchem formatu identyfikatora, który jest wynikiem wartości źródłowej lub źródłowej. Wartością jest powiązany wzorzec wyrażenia regularnego, który jest używany do oceny bieżącego ładunku. Ta wartość obsługuje także grupy przechwytywania, które mogą być używane do dalszego dostosowywania klucza. Zdefiniuj wiele par klucz-wartość, wpisując każdy wzorzec w nowej linii. Wiele wzorców jest wartościowanych w kolejności, w jakiej są wymienione. Po znalezieniu zgodności wyświetlany jest niestandardowy identyfikator źródła dziennika. W poniższych przykładach przedstawiono wiele funkcji par klucz-wartość. Wzorce `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Wydarzenia `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Wynikowy identyfikator źródła dziennika niestandardowego VPC-ACCEPT-OK
Użyj proxy	Jeśli program QRadar uzyskuje dostęp do usługi Amazon Web Service przy użyciu proxy, należy wybrać tę opcję. Jeśli serwer proxy wymaga uwierzytelniania, należy skonfigurować pola Serwer proxy, Port proxy, Nazwa użytkownika proxyi Hasło proxy . Jeśli serwer proxy nie wymaga uwierzytelniania, należy skonfigurować pole Adres IP lub nazwa hosta proxy .
Ograniczenie EPS	Górny limit maksymalnej liczby zdarzeń na sekundę (EPS). Wartością domyślną jest 5000. Jeśli wybrana jest opcja Użyj jako źródła dziennika bramy , ta wartość jest opcjonalna. Jeśli wartość parametru EPS Throttle pozostanie pusta, program QRadarnie będzie narzucał limitu EPS.

Usługa Amazon Simple Queue Service (SQS)

W poniższej tabeli opisano parametry specyficzne dla protokołu dotyczące gromadzenia źródeł dziennika Amazon SQS przy użyciu protokołu Amazon Web Services :

Tabela 3. Parametry źródła dziennika Amazon Web Services dla Amazon SQS
Parametr	Opis
Konfiguracja protokołu	Z listy Konfiguracja protokołu wybierz opcję Amazon Web Services .
Metoda uwierzytelniania	Identyfikator klucza dostępu/klucz tajny Standardowe uwierzytelnianie, które może być używane z dowolnego miejsca. Rola IAM instancji EC2 Jeśli host zarządzany QRadar jest uruchomiony w instancji AWS EC2 , wybranie tej opcji korzysta z roli IAM z metadanych przypisanych do instancji w celu uwierzytelnienia. Klucze nie są wymagane. Ta metoda działa tylko w przypadku hostów zarządzanych, które działają w kontenerze AWS EC2 .
Klucz dostępu	Identyfikator klucza dostępu, który został wygenerowany podczas konfigurowania referencji zabezpieczeń dla konta użytkownika AWS . Jeśli wybrano opcję Access Key ID/Secret Key (Identyfikator klucza dostępu/klucz tajny) lub Przyjmij rolę IAM, zostanie wyświetlony parametr Access Key (Klucz dostępu).
Klucz tajny	Klucz tajny, który został wygenerowany podczas konfigurowania referencji zabezpieczeń dla konta użytkownika AWS . Jeśli wybrano opcję Access Key ID/Secret Key (Identyfikator klucza dostępu/klucz tajny) lub Assume IAM Role(Rola IAM), zostanie wyświetlony parametr Klucz tajny .
Zakłada się, że rola IAM	Włącz tę opcję, uwierzytelniając przy użyciu klucza dostępu lub roli IAM instancji EC2 . Następnie można tymczasowo przyjąć rolę IAM w celu uzyskania dostępu.
Przyjmij Rolę ARN	Pełna nazwa ARN roli, która ma zostać założona. Musi zaczynać się od `arn:` i nie może zawierać spacji wiodących ani końcowych, ani spacji w obrębie ARN. Jeśli została włączona opcja Przyjmij rolę IAM, zostanie wyświetlony parametr Przyjmij rolę ARN .
Zakładanie nazwy sesji roli	Nazwa sesji, która ma być przyjmowana. Wartością domyślną jest `QRadarAWSSession`. Pozostaw jako domyślny, jeśli nie trzeba go zmieniać. Ta nazwa może zawierać tylko wielkie i małe litery, znaki alfanumeryczne lub dowolne z następujących znaków: `=,.@-` Jeśli została włączona opcja Przyjmij rolę IAM, zostanie wyświetlony parametr Nazwa sesji założenia roli .
Regiony	Przełącz każdy region powiązany z usługą Web Service Amazon, z którego mają być gromadzone dzienniki.
UsługaAWS	Z listy Usługa AWS wybierz opcję Kolejka SQS.
Adres URL kolejki SQS	Pełny adres URL kolejki SQS, z której mają zostać wyciągane dane, począwszy od `https://`, na przykład `https://sqs.us-east-2.amazonaws.com/1234567890123/CloudTrail_SQS_QRadar`. Więcej informacji na ten temat zawiera sekcja Amazon S3 Event Notifications (https://docs.aws.amazon.com/AmazonS3/latest/dev/NotificationHowTo.html).
Wyodrębnij zdarzenie oryginalne	Wybierz tę opcję tylko w przypadku oryginalnego zdarzenia, które zostało dodane do kolejki SQS do programu QRadar.
Oryginalny element JSON zdarzenia	Jeśli ta opcja jest używana do wyodrębnienia oryginalnego zdarzenia z SQS, pierwotne zdarzenie może znajdować się w określonym elemencie JSON. Jeśli tak, należy określić nazwę elementu JSON najwyższego poziomu, który zawiera oryginalne zdarzenie. Ta opcja powoduje również anulowanie ucieczki z danych zawartych w tym elemencie. Na przykład, gdy używany jest element `Message` , przyjmuje on element główny i w razie potrzeby nie zmienia znaczenia zagnieżdżonego obiektu JSON: `{ "Type" : "Notification", "MessageId" : "6d11936e-2361-5dc1-a689-c590f69c73da", "Subject" : "Test Notification", "Message" : "{\"eventVersion\":\"2.1\", \"eventSource\":\"aws:s3\", \"awsRegion\":\"us-east-1\", \"eventTime\":\"2020-04-01T17:47:39.107Z\"}" }` Dane, które nie zostały zmienione, są wyświetlane jako wyodrębnione oryginalne zdarzenie: `{"eventVersion":"2.1", "eventSource":"aws:s3", "awsRegion":"us-east-1", "eventTime":"2020-04-01T17:47:39.107Z"}`
Użyj Jako Źródła Dziennika Bramy	Jeśli nie chcesz definiować niestandardowego identyfikatora źródłowego dziennika dla zdarzeń, usuń zaznaczenie tego pola wyboru. Jeśli nie zostanie wybrana opcja Użyj jako źródła dziennika bramy , a użytkownik nie skonfiguruje wzorca identyfikatora źródła dziennika, produkt QRadar odbiera zdarzenia jako nieznane ogólne źródła dzienników.
używaj analizy predykcyjnej	Jeśli ten parametr zostanie włączony, algorytm wyodrębnia wzorce identyfikatora źródła dziennika ze zdarzeń bez uruchamiania regexu dla każdego zdarzenia, co zwiększa szybkość analizowania. Wskazówka: W rzadkich przypadkach algorytm może wprowadzać niepoprawne predykcje. Włącz analizę predykcyjną tylko dla typów źródeł dziennika, które mają otrzymywać wysokie współczynniki zdarzeń, i wymagają szybszego analizowania.
Wzorzec identyfikatora źródła dziennika	Jeśli wybrano opcję Użyj jako źródła dziennika bramy, można zdefiniować niestandardowy identyfikator źródła dziennika. Ta opcja może być zdefiniowana dla zdarzeń, które są przetwarzane, oraz dla źródeł dzienników, które mają być automatycznie wykrywane w razie potrzeby. Jeśli użytkownik nie skonfiguruje wzorca identyfikatora źródła dziennika, program QRadar odbierze zdarzenia jako nieznane ogólne źródła dzienników. Użyj par klucz-wartość, aby zdefiniować niestandardowy identyfikator źródła dziennika. Klucz jest łańcuchem formatu identyfikatora, który jest wynikiem wartości źródłowej lub źródłowej. Wartością jest powiązany wzorzec wyrażenia regularnego, który jest używany do oceny bieżącego ładunku. Ta wartość obsługuje także grupy przechwytywania, które mogą być używane do dalszego dostosowywania klucza. Zdefiniuj wiele par klucz-wartość, wpisując każdy wzorzec w nowej linii. Wiele wzorców jest wartościowanych w kolejności, w jakiej są wymienione. Po znalezieniu zgodności wyświetlany jest niestandardowy identyfikator źródła dziennika. W poniższych przykładach przedstawiono wiele funkcji par klucz-wartość. Wzorce `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Wydarzenia `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Wynikowy identyfikator źródła dziennika niestandardowego VPC-ACCEPT-OK
Użyj proxy	Jeśli program QRadar uzyskuje dostęp do usługi Amazon Web Service przy użyciu proxy, należy wybrać tę opcję. Jeśli serwer proxy wymaga uwierzytelniania, należy skonfigurować pola Serwer proxy, Port proxy, Nazwa użytkownika proxyi Hasło proxy . Jeśli serwer proxy nie wymaga uwierzytelniania, należy skonfigurować pole Adres IP lub nazwa hosta proxy .
Ograniczenie EPS	Górny limit maksymalnej liczby zdarzeń na sekundę (EPS). Wartością domyślną jest 5000. Jeśli wybrana jest opcja Użyj jako źródła dziennika bramy , ta wartość jest opcjonalna. Jeśli wartość parametru EPS Throttle pozostanie pusta, program QRadarnie będzie narzucał limitu EPS.