Opcje konfiguracji protokołu OPSEC/LEA
Aby odbierać zdarzenia na porcie 18184, należy skonfigurować źródło dziennika w celu użycia protokołu OPSEC/LEA.
Protokół OPSEC/LEA jest protokołem wychodzącym/aktywnym.
| Parametr | Opis |
|---|---|
| Konfiguracja protokołu | OPSEC/LEA |
| Identyfikator źródła dziennika | Adres IP, nazwa hosta lub dowolna nazwa identyfikujące urządzenie. Musi być unikalna dla typu źródła dziennika. |
| Adres IP serwera | Wpisz adres IP serwera. |
| Port serwera | Numer portu, który jest używany dla komunikacji OPSEC. Poprawny zakres to 0-65,536, a wartością domyślną jest 18184. |
| Użyj IP serwera dla źródła dziennika | Zaznacz pole wyboru Użyj adresu IP serwera dla źródła dziennika , jeśli zamiast adresu IP urządzenia zarządzanego dla źródła dziennika ma być używany adres IP serwera LEA. Domyślnie pole wyboru jest zaznaczone. |
| Przedział czasu raportu statystyki | Przedział czasu (w sekundach), podczas którego liczba zdarzeń dziennika systemowego jest rejestrowana w pliku qradar.log . Poprawny zakres to 4-2 147 483 648, a przedział domyślny to 600. |
| Typ uwierzytelniania | Z listy wybierz opcję Typ uwierzytelniania , która ma być używana dla tej konfiguracji LEA. Dostępne opcje to sslca (wartość domyślna), sslca_clearlub clear. Ta wartość musi być zgodna z metodą uwierzytelniania, która jest używana przez serwer. |
| OPSEC Application Object SIC Attribute (SIC Name (Nazwa SIC) | Nazwa SIC (Secure Internal Communications) to nazwa wyróżniająca (DN) aplikacji, na przykład: CN=LEA, o=fwconsole..7psasx. |
| Atrybut SIC źródła dziennika (nazwa SIC jednostki) | Nazwa SIC serwera, na przykład: cn=cp_mgmt,o=fwconsole..7psasx. |
| Określ certyfikat | Zaznacz to pole wyboru, jeśli chcesz zdefiniować certyfikat dla tej konfiguracji LEA. Program QRadar® próbuje pobrać certyfikat, korzystając z tych parametrów, gdy certyfikat jest potrzebny. |
| Nazwa pliku certyfikatu | Ta opcja jest wyświetlana tylko wtedy, gdy wybrana jest opcja Określ certyfikat . Wpisz nazwę pliku certyfikatu, który ma być używany dla tej konfiguracji. Plik certyfikatu musi znajdować się w katalogu /opt/qradar/conf/ trusted_certificates/lea . |
| Adres IP ośrodka certyfikacji | Wpisz adres IP serwera programu Check Point Manager. |
| Wyciągnij hasło certyfikatu | Wpisz hasło klucza aktywacji. |
| Aplikacja OPSEC | Nazwa aplikacji, która tworzy żądanie certyfikatu. |
| Włączone | Zaznacz to pole wyboru, aby włączyć źródło dziennika. Domyślnie pole wyboru jest zaznaczone. |
| wiarygodność | Z listy wybierz opcję Zdolność kredytowa źródła dziennika. Zakres: od 0 do 10. Wiarygodność wskazuje na integralność zdarzenia lub wykroczenia określonego przez ocenę wiarygodności z urządzeń źródłowych. Wiarygodność zwiększa się, jeśli wiele źródeł zgłasza to samo zdarzenie. Wartością domyślną jest 5. |
| Docelowy kolektor zdarzeń | Z listy wybierz opcję Docelowy kolektor zdarzeń , która ma być używana jako cel dla źródła dziennika. |
| Zdarzenia Coalescing | Zaznacz pole wyboru Zdarzenia Coalescingów , aby włączyć źródło dziennika do zdarzeń coalesce (pakunków). Domyślnie automatycznie wykryte źródła dzienników dziedziczą wartość listy Zdarzenia Coalescing z Ustawień Systemowych w QRadar. Podczas tworzenia źródła dziennika lub edycji istniejącej konfiguracji można przesłonić wartość domyślną, konfigurując tę opcję dla każdego źródła dziennika. |
| Ładunek zdarzenia sklepu | Zaznacz pole wyboru Zapisz ładunek zdarzeń , aby włączyć źródło dziennika do przechowywania informacji o ładunku zdarzenia. Domyślnie automatycznie wykryte źródła dzienników dziedziczą wartość listy Store Event Payload (Ładunek zdarzeń sklepu) na podstawie ustawień systemowych w produkcie QRadar. Podczas tworzenia źródła dziennika lub edycji istniejącej konfiguracji można przesłonić wartość domyślną, konfigurując tę opcję dla każdego źródła dziennika. |
- Usuń zaznaczenie pola wyboru Określ certyfikat .
- Ponownie wprowadź hasło dla Hasło certyfikatu Pull Certificate.