Opcje konfiguracji protokołu Google Cloud Pub/Sub

Protokół Google Cloud Pub/Sub jest protokołem wychodzącym/aktywnym dla produktu IBM® QRadar® , który gromadzi dzienniki platformy Google Cloud Platform (GCP).

Jeśli aktualizacje automatyczne nie są włączone, należy pobrać pakiet RPM GoogleCloudPubSub z serwisu WWW działu wsparciaIBM.
Ważne: Protokół Google Cloud Pub/Sub jest obsługiwany w systemie QRadar 7.3.2.6, numer kompilacji 20191022133252 lub nowszy.
W poniższej tabeli opisano parametry specyficzne dla protokołu dotyczące gromadzenia dzienników Google Cloud Pub/Sub przy użyciu protokołu Google Cloud Pub/Sub :
Tabela 1. Parametry źródła dziennika Google Cloud Pub/Sub dla Google Cloud Pub/Sub
Parametr Opis
Service Account Credential Type

Określ miejsce, z którego pochodzą wymagane referencje konta usługi.

Upewnij się, że powiązane konto usługi ma rolę publikowania/subskrybent lub bardziej konkretne uprawnienie pubsub.subscriptions.consume na skonfigurowanym nazwie subskrypcji w usłudze GCP.

Klucz zarządzany przez użytkownika
Udostępniony w polu Klucz konta usługi , umieszczając pełny tekst JSON z pobranego klucza konta usługi.
Klucz zarządzany GCP
Upewnij się, że host zarządzany QRadar jest uruchomiony w instancji GCP Compute, a zasięgi dostępu do interfejsów API w chmurze obejmują Cloud Pub/Sub.
Service Account Key

Pełny tekst z pliku JSON, który został pobrany podczas tworzenia klucza użytkownika zarządzanego przez użytkownika dla konta usługi w IAM & admin > Konta usług w serwisie Google Cloud Platform (GCP).

Przykład: 

{
  "type": "service_account",
  "project_id": "qradar-test-123456",
  "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b",
  "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n",
  "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com",
  "client_id": "526344196064252652671",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com"
}
Subscription Name Pełna nazwa subskrypcji usługi Cloud Pub/subskrypcji. Na przykład: projects/my-project/subscriptions/my-subscription.
Use As A Gateway Log Source

Wybierz tę opcję dla zebranych zdarzeń, aby przepływać przez mechanizm analizy ruchu QRadar i dla produktu QRadar w celu automatycznego wykrywania jednego lub większej liczby źródeł dzienników.

Po wybraniu tej opcji można opcjonalnie użyć wzorca identyfikatora źródła dziennika w celu zdefiniowania niestandardowego identyfikatora źródła dziennika dla przetwarzanych zdarzeń.
Log Source Identifier Pattern

Jeśli wybrana jest opcja Użyj jako źródła dziennika bramy , użyj tej opcji, aby zdefiniować niestandardowy identyfikator źródła dziennika dla przetwarzanych zdarzeń. Jeśli wzorzec identyfikatora źródła dziennika nie jest skonfigurowany, program QRadar odbiera zdarzenia jako nieznane ogólne źródła dzienników.

W polu Wzorzec identyfikatora źródła dziennika akceptowane są pary klucz-wartość, takie jak klucz= wartość, definiujące niestandardowy identyfikator źródła dziennika dla przetwarzanych zdarzeń oraz dla źródeł dzienników, które mają być automatycznie wykrywane, gdy ma to zastosowanie. Klucz : Identyfikator formatu identyfikatora, który jest pochodną wartości źródła lub pochodzenia. Wartością jest powiązany wzorzec wyrażenia regularnego, który jest używany do oceny bieżącego ładunku. Wartość (wzorzec wyrażenia regularnego) obsługuje także grupy przechwytywania, które mogą być używane do dalszego dostosowywania klucza (łańcuch formatu identyfikatora).

Wiele par klucz-wartość można zdefiniować, wpisując każdy wzorzec w nowej linii. Jeśli używanych jest wiele wzorców, są one wartościowane w kolejności do momentu znalezienia dopasowania. Po znalezieniu dopasowania zostanie wyświetlony niestandardowy identyfikator źródła dziennika.

W poniższych przykładach przedstawiono wiele funkcji par klucz-wartość:
Wzorce
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
Wydarzenia
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
Wynikowy identyfikator źródła dziennika niestandardowego
VPC-ACCEPT-OK
Use Predictive Parsing

Jeśli ten parametr zostanie włączony, algorytm wyodrębnia wzorce identyfikatora źródła dziennika ze zdarzeń bez uruchamiania regexu dla każdego zdarzenia, co zwiększa szybkość analizowania.

Wskazówka: W rzadkich przypadkach algorytm może wprowadzać niepoprawne predykcje. Włącz analizę predykcyjną tylko dla typów źródeł dziennika, które mają otrzymywać wysokie współczynniki zdarzeń, i wymagają szybszego analizowania.
Use Proxy

Wybierz tę opcję, aby program QRadar mógł nawiązać połączenie z serwerem GCP przy użyciu proxy.

Jeśli serwer proxy wymaga uwierzytelniania, należy skonfigurować pola Serwer proxy, Port proxy, Nazwa użytkownika proxyi Hasło proxy .

Jeśli serwer proxy nie wymaga uwierzytelniania, należy skonfigurować pola Serwer proxy i Port proxy .
Proxy IP or Hostname Adres IP lub nazwa hosta serwera proxy.
Proxy Port Numer portu, który jest używany do komunikacji z serwerem proxy.

Wartość domyślna to 8080.
Proxy Username Wymagane tylko wtedy, gdy serwer proxy wymaga uwierzytelniania.
Proxy Password Wymagane tylko wtedy, gdy serwer proxy wymaga uwierzytelniania.
Ograniczenie EPS

Górny limit maksymalnej liczby zdarzeń na sekundę (EPS), który nie powinien przekraczać tego źródła dziennika. Wartością domyślną jest 5000.

Jeśli wybrana jest opcja Użyj jako źródła dziennika bramy , ta wartość jest opcjonalna.

Jeśli wartość parametru EPS Throttle pozostanie pusta, program QRadarnie będzie narzucał limitu EPS.