Opcje konfiguracji protokołu TLS Syslog

Skonfiguruj źródło dziennika protokołu TLS Syslog w celu odbierania zaszyfrowanych zdarzeń syslog z maksymalnie 50 urządzeń sieciowych, które obsługują przekazywanie zdarzeń protokołu TLS Syslog dla każdego portu nasłuchiwania.

Protokół Syslog protokołu TLS jest pasywnym protokołem przychodzącym. Źródło dziennika tworzy port nasłuchiwania dla przychodzących zdarzeń protokołu Syslog TLS. Domyślnie źródła dziennika dziennika systemowego protokołu TLS używają certyfikatu i klucza, który jest generowany przez produkt IBM® QRadar®. Maksymalnie 50 urządzeń sieciowych może przekazywać zdarzenia do portu nasłuchiwania źródła dziennika. W przypadku utworzenia większej liczby źródeł dziennika z unikalnymi portami nasłuchiwania można skonfigurować maksymalnie 1000 urządzeń sieciowych.

W poniższej tabeli opisano parametry specyficzne dla protokołu dla protokołu TLS Syslog:

Tabela 1. Parametry protokołu TLS Syslog
Parametr	Opis
Konfiguracja protokołu	Protokół syslog TLS
Identyfikator źródła dziennika	Adres IP lub nazwa hosta w celu zidentyfikowania źródła dziennika.
Port nasłuchiwania TLS	Domyślnym portem nasłuchiwania TLS jest port 6514. Ważne: Do każdego portu nasłuchiwania TLS można przypisać tylko jedno źródło protokołu TLS Syslog.
Tryb uwierzytelniania	Tryb używany przez połączenie TLS do uwierzytelniania. Jeśli zostanie wybrana opcja Uwierzytelnianie TLS i klient , należy skonfigurować parametry certyfikatu.
Uwierzytelnianie klienta przy pomocy certyfikatu	Z listy wybierz jedną z następujących opcji: Lista uprawnień CN i weryfikacja wystawcy Certyfikat klienta na dysku
Użyj CN Allowlist	Włącz ten parametr, aby użyć listy dozwolonych CN.
CN Allowlist	Lista dozwolonych nazw wspólnych certyfikatów zaufanych klientów. Można wprowadzić zwykły tekst lub wyrażenie regularne (regex). Aby zdefiniować wiele pozycji, należy wprowadzić każdą z nich w osobnym wierszu.
Użyj weryfikacji wystawcy	Włącz ten parametr, aby użyć weryfikacji wystawcy.
Certyfikat lub klucz publiczny wystawcy głównego/pośredniego	Wprowadź certyfikat wystawcy głównego/wystawcy pośredniego lub klucz publiczny w formacie PEM. Wprowadź certyfikat, zaczynając od: `-----BEGIN CERTIFICATE-----` i kończący się na: `-----END CERTIFICATE-----` Wprowadź klucz publiczny rozpoczynający się od: `-----BEGIN PUBLIC KEY-----` i kończący się na: `-----END PUBLIC KEY-----`
Sprawdź odwołanie certyfikatu	Sprawdza status unieważnienia certyfikatu w odniesieniu do certyfikatu klienta. Ta opcja wymaga połączenia sieciowego z adresem URL określonym przez pole Punkty dystrybucji CRL dla certyfikatu klienta w rozszerzeniu X509v3 .
Sprawdzanie użycia certyfikatu	Sprawdza zawartość rozszerzeń X509v3 certyfikatu w polach rozszerzeń Key Usage (Użycie klucza) i Extended Key Usage (Użycie klucza rozszerzonego). W przypadku przychodzącego certyfikatu klienta dozwolone wartości użycia klucza X509v3 to `digitalSignature` i `keyAgreement`. Wartość zezwolenia na użycie klucza rozszerzonego X509v3 to `TLS Web Client Authentication`. Ta właściwość jest domyślnie wyłączona.
Ścieżka certyfikatu klienta	Pełna ścieżka do certyfikatu klienta na dysku. Certyfikat musi być zapisany na QRadar Console lub Event Collector dla tego źródła dziennika. Ważne: Upewnij się, że wprowadzany plik certyfikatu rozpoczyna się od: `-----BEGIN CERTIFICATE-----` i kończy się na: `-----END CERTIFICATE-----`
Typ certyfikatu serwera	Typ certyfikatu, który ma być używany do uwierzytelniania dla certyfikatu serwera i serwera. Z listy Typ certyfikatu serwera wybierz jedną z następujących opcji: Wygenerowany certyfikat Certyfikat PEM i klucz prywatny PKCS12 Łańcuch certyfikatu i hasło Wybierz z bazy certyfikatów QRadar
Wygenerowany certyfikat	Ta opcja jest dostępna podczas konfigurowania Typu certyfikatu. Wybierz tę opcję, jeśli chcesz użyć domyślnego certyfikatu i klucza wygenerowanego przez produkt QRadar dla certyfikatu serwera i serwera. Wygenerowany certyfikat nosi nazwę syslog-tls.cert w katalogu /opt/qradar/conf/trusted_certificates/ w docelowym kolektorze zdarzeń, do którego przypisane jest źródło dziennika.
Pojedynczy certyfikat i klucz prywatny	Ta opcja jest dostępna podczas konfigurowania Typu certyfikatu. Jeśli chcesz użyć pojedynczego certyfikatu PEM dla certyfikatu serwera, wybierz tę opcję, a następnie skonfiguruj następujące parametry: Udostępniona ścieżka certyfikatu serwera -bezwzględna ścieżka do certyfikatu serwera. Udostępniona ścieżka klucza prywatnego -bezwzględna ścieżka do klucza prywatnego. Ważne: odpowiedni klucz prywatny musi być zakodowany w formacie DER PKCS8 . Konfiguracja kończy się niepowodzeniem z dowolnym innym formatem klucza.
PKCS12 Certyfikat i hasło	Ta opcja jest dostępna podczas konfigurowania Typu certyfikatu. Jeśli chcesz użyć pliku PKCS12 zawierającego certyfikat serwera i klucz serwera, wybierz tę opcję, a następnie skonfiguruj następujące parametry: PKCS12 -Wpisz ścieżkę do pliku PKCS12 , który zawiera certyfikat serwera i klucz serwera. Hasło PKCS12 -Wpisz hasło, aby uzyskać dostęp do pliku PKCS12 . Alias certyfikatu -jeśli w pliku PKCS12 znajduje się więcej niż jedna pozycja, należy podać alias, aby określić, który wpis ma być używany. Jeśli w pliku PKCS12 znajduje się tylko jeden alias, pozostaw to pole puste.
Wybierz z bazy certyfikatów QRadar	Ta opcja jest dostępna podczas konfigurowania Typu certyfikatu. Za pomocą aplikacji Zarządzanie certyfikatami można przesłać certyfikat z bazy certyfikatów produktu QRadar .
Maksymalna długość ładunku	Maksymalna długość ładunku (znaki), która jest wyświetlana dla komunikatu dziennika systemowego TLS.
Maksymalna liczba połączeń	Parametr Maksymalna liczba połączeń określa liczbę jednoczesnych połączeń, które protokół Syslog protokołu TLS może akceptować dla każdego Event Collector. Dla każdego Event Collectoristnieje limit 1000 połączeń, w tym włączone i wyłączone źródła dziennika, w konfiguracji źródła dziennika syslog TLS. Wskazówka: Automatycznie wykrywane źródła dzienników współużytkują obiekt nasłuchiwania z innym źródłem dziennika. Na przykład, jeśli używany jest ten sam port w tym samym kolektorze zdarzeń, liczony jest tylko jeden czas w stosunku do limitu.
Protokoły TLS	Protokół TLS, który ma być używany przez źródło dziennika. Wybierz opcję "TLS 1.2 lub nowsza".
Użyj Jako Źródła Dziennika Bramy	Wysyła zebrane zdarzenia za pośrednictwem mechanizmu QRadar Traffic Analysis Engine w celu automatycznego wykrywania odpowiedniego źródła dziennika. Jeśli nie chcesz definiować niestandardowego identyfikatora źródłowego dziennika dla zdarzeń, usuń zaznaczenie tego pola wyboru. Jeśli ta opcja nie jest zaznaczona, a opcja Log Source Identifier Pattern (Wzorzec identyfikatora źródła dziennika) nie jest skonfigurowana, program QRadar odbiera zdarzenia jako nieznane ogólne źródła dzienników.
używaj analizy predykcyjnej	Jeśli ten parametr zostanie włączony, algorytm wyodrębnia wzorce identyfikatora źródła dziennika ze zdarzeń bez uruchamiania regexu dla każdego zdarzenia, co zwiększa szybkość analizowania. Wskazówka: W rzadkich przypadkach algorytm może wprowadzać niepoprawne predykcje. Włącz analizę predykcyjną tylko dla typów źródeł dziennika, które mają otrzymywać wysokie współczynniki zdarzeń, i wymagają szybszego analizowania.
Wzorzec identyfikatora źródła dziennika	Opcja Użyj jako źródła dziennika bramy umożliwia zdefiniowanie niestandardowego identyfikatora źródłowego dziennika dla zdarzeń, które są przetwarzane, oraz dla źródeł dzienników, które mają być automatycznie wykrywane (jeśli mają zastosowanie). Jeśli użytkownik nie skonfiguruje wzorca identyfikatora źródła dziennika, program QRadar odbierze zdarzenia jako nieznane ogólne źródła dzienników. Użyj par klucz-wartość, aby zdefiniować niestandardowy identyfikator źródła dziennika. Klucz jest łańcuchem formatu identyfikatora, który jest wynikiem wartości źródłowej lub źródłowej. Wartością jest powiązany wzorzec wyrażenia regularnego, który jest używany do oceny bieżącego ładunku. Ta wartość obsługuje także grupy przechwytywania, które mogą być używane do dalszego dostosowywania klucza. Zdefiniuj wiele par klucz-wartość, wpisując każdy wzorzec w nowej linii. Wiele wzorców jest wartościowanych w kolejności, w jakiej są wymienione. Po znalezieniu zgodności wyświetlany jest niestandardowy identyfikator źródła dziennika. W poniższych przykładach przedstawiono wiele funkcji par klucz-wartość. Wzorce `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Wydarzenia `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Wynikowy identyfikator źródła dziennika niestandardowego VPC-ACCEPT-OK
Włącz wielowierszową	Agreguj wiele komunikatów w pojedyncze zdarzenia na podstawie dopasowywania Start/End lub wyrażenia regularnego powiązanego z identyfikatorem.
Metoda agregacji	Ten parametr jest dostępny, gdy włączona jest opcja Włącz wielowierszową . ID-połączone -Procesy dzienników zdarzeń, które zawierają wspólną wartość na początku każdego wiersza. Uruchamianie/zakończenie uzgadniania -agreguje zdarzenia na podstawie początkowego lub końcowego wyrażenia regularnego (regex).
Wzorzec rozpoczęcia zdarzenia	Ten parametr jest dostępny, gdy opcja Włącz wielowierszową jest włączona, a opcja Metoda agregacji jest ustawiona na wartość Pasujące rozpoczęcie/zakończenie. Wyrażenie regularne (regex) jest wymagane do zidentyfikowania początku ładunku zdarzenia wielowierszowego TCP. Nagłówki syslog zazwyczaj rozpoczynają się od daty lub datownika. Protokół może utworzyć jednoliniowe zdarzenie, które jest oparte wyłącznie na wzorcu uruchamiania zdarzeń, takim jak znacznik czasu. Jeśli dostępny jest tylko wzorzec początkowy, protokół przechwytuje wszystkie informacje między każdą wartością początkową w celu utworzenia poprawnego zdarzenia.
Wzorzec zakończenia zdarzenia	Ten parametr jest dostępny, gdy opcja Włącz wielowierszową jest włączona, a opcja Metoda agregacji jest ustawiona na wartość Pasujące rozpoczęcie/zakończenie. To wyrażenie regularne (regex) jest wymagane do zidentyfikowania końca ładunku zdarzenia wielowierszowego TCP. Jeśli zdarzenie syslog kończy się tą samą wartością, można użyć wyrażenia regularnego, aby określić koniec zdarzenia. Protokół może przechwytywać zdarzenia, które są oparte wyłącznie na wzorcu zakończenia zdarzenia. Jeśli dostępny jest tylko wzorzec końcowy, protokół przechwytuje wszystkie informacje między każdą wartością końcową w celu utworzenia poprawnego zdarzenia.
Wzorzec identyfikatora komunikatu	Ten parametr jest dostępny, gdy opcja Włącz wielowierszową jest włączona, a opcja Metoda agregacji jest ustawiona na ID-dowiązane. To wyrażenie regularne (regex) wymagane do filtrowania komunikatów ładunku zdarzenia. Komunikaty zdarzeń wielowierszowych TCP muszą zawierać wspólną wartość identyfikującą, która jest powtarzana w każdym wierszu komunikatu zdarzenia.
Limit czasu	Ten parametr jest dostępny, gdy opcja Włącz wielowierszową jest włączona, a opcja Metoda agregacji jest ustawiona na ID-dowiązane. Liczba sekund oczekiwania na bardziej pasujące ładunki, zanim zdarzenie zostanie wepchnięte do potoku zdarzeń. Wartość domyślna to 10 sekund.
Zachowaj całe wiersze podczas agregowania zdarzeń	Ten parametr jest dostępny, gdy opcja Włącz wielowierszową jest włączona, a opcja Metoda agregacji jest ustawiona na ID-dowiązane. Jeśli dla parametru Metoda agregacji zostanie ustawiona wartość ID-połączone, można włączyć opcję Zachować całe wiersze podczas agregowania zdarzeń , aby odrzucić lub zachować część zdarzeń, które poprzedzają Wzorzec identyfikatora komunikatu. Tę funkcję można włączyć tylko w przypadku konkatenacji zdarzeń o tym samym wzorcu identyfikatora razem.
Flatten Multiline Events Into Single Line	Ten parametr jest dostępny, gdy włączona jest opcja Włącz wielowierszową . Wyświetla zdarzenie w jednym wierszu lub wielu wierszach.
Formatter zdarzenia	Ten parametr jest dostępny, gdy włączona jest opcja Włącz wielowierszową . Użyj opcji Multiline Windows dla zdarzeń wielowierszowych, które są sformatowane specjalnie dla systemu Windows.

Po zapisaniu źródła dziennika dla źródła dziennika tworzony jest certyfikat syslog-tls. Certyfikat musi być skopiowany do dowolnego urządzenia w sieci, który jest skonfigurowany do przekazywania zaszyfrowanego dziennika syslog. Inne urządzenia sieciowe, które mają plik certyfikatu syslog-tls i numer portu nasłuchiwania TLS, mogą być automatycznie wykrywane jako źródło dziennika syslog protokołu TLS.

Przypadki użycia dziennika systemowego TLS

Następujące przypadki użycia reprezentują możliwe konfiguracje, które można utworzyć:

Certyfikat klienta na dysku

Istnieje możliwość dostarczenia certyfikatu klienta, który umożliwia włączenie protokołu do uwierzytelniania klienta. Po wybraniu tej opcji i udostępnieniu certyfikatu, połączenia przychodzące są sprawdzane pod kątem poprawności dla certyfikatu klienta.

CN Allowlist and Issuer Verification

Jeśli wybrano tę opcję, należy skopiować certyfikat wystawcy (z rozszerzeniami .crt, .certlub .der ) do następującego katalogu:

/opt/qradar/conf/trusted_certificates

Ten katalog znajduje się w docelowym kolektorze zdarzeń, do którego przypisane jest źródło dziennika.

Każdy przychodzący certyfikat klienta jest weryfikowany za pomocą następujących metod w celu sprawdzenia, czy certyfikat został podpisany przez zaufany wystawca i inne sprawdzenia. Dla uwierzytelniania certyfikatu klienta można wybrać jedną lub obie metody:

CN Allowlist

Podaj listę dozwolonych wspólnych nazw certyfikatów zaufanych klientów. Można wprowadzić zwykły tekst lub wyrażenie regularne. Zdefiniuj wiele wpisów, wprowadzając każdy z nich w nowej linii.

Weryfikacja wystawcy

Podaj główny lub pośredni certyfikat wystawcy certyfikatu zaufanego klienta lub klucz publiczny w formacie PEM.

Sprawdź odwołanie certyfikatu

Sprawdza status unieważnienia certyfikatu dla certyfikatu klienta. Ta opcja wymaga połączenia sieciowego z adresem URL określonym przez pole Punkty dystrybucji CRL w certyfikacie klienta dla rozszerzenia X509v3 . 

Sprawdzanie użycia certyfikatu

Sprawdza zawartość rozszerzeń X509v3 certyfikatu w polach rozszerzeń Key Usage (Użycie klucza) i Extended Key Usage (Użycie klucza rozszerzonego). W przypadku przychodzącego certyfikatu klienta dozwolone wartości użycia klucza X509v3 to digitalSignature i keyAgreement. Wartość zezwolenia na użycie klucza rozszerzonego X509v3 to TLS Web Client Authentication.

Certyfikaty serwera udostępnione przez użytkownika

Istnieje możliwość skonfigurowania własnego certyfikatu serwera i odpowiadającego mu klucza prywatnego. Skonfigurowany dostawca protokołu syslog TLS korzysta z certyfikatu i klucza. Połączenia przychodzące są przedstawiane razem z certyfikatem dostarczonym przez użytkownika, a nie z automatycznie generowanym certyfikatem protokołu Syslog TLS.

Uwierzytelnianie domyślne: Aby użyć domyślnej metody uwierzytelniania, należy użyć wartości domyślnych dla parametrów Tryb uwierzytelniania i Typ certyfikatu . Po zapisaniu źródła dziennika dla urządzenia źródła dziennika tworzony jest certyfikat syslog-tls . Certyfikat musi być skopiowany do dowolnego urządzenia w sieci, które przekazuje zaszyfrowane dane syslog.