Incluindo a fonte de log Disconnected Log Collector para QRadar

IBM Disconnected Log Collector pode se comunicar com IBM QRadar e encaminhá eventos para ele apenas usando uma fonte de log Disconnected Log Collector . QRadar 7.4.0 e mais tarde inclui o protocolo Disconnected Log Collector .

Procedimento

  1. Se você estiver usando o QRadar versão 7.3.3 ou anterior e se o seu QRadar Console não estiver configurado para receber atualizações automáticas, faça download do protocolo Disconnected Log Collector a partir do IBM Fix Central (ibm.com/support/fixcentral/).
    1. Faça login no Console QRadar como o usuário root.
    2. Copie o arquivo RPM de protocolo para o diretório /tmp ou o seu local preferido.
    3. Acesse o diretório e digite o comando a seguir:
      yum -y install <rpm_filename>
    4. Efetue login no QRadar como Administrador.
    5. Vá para a guia Admin .
    6. Clique em Avançado > Implementar Configuração Completa.
      QRadar continua a coletar eventos quando você implementa a configuração completa.
  2. Na seção Fontes de Dados , clique em Fontes de Registro.
  3. Clique em Adicionar, e em seguida, configure os seguintes parâmetros específicos do protocolo para Disconnected Log Collector:

Parâmetro Descrição
Nome da origem de log Digite um nome para a fonte de log Disconnected Log Collector (por exemplo, DLC TLS Protocol).
Tipo de origem de log Selecione Universal DSM.
Configuração de protocolo Selecione Protocolo DLC do IBM QRadar.
Identificador de Fonte de Log Insira uma string de identificador única (por exemplo, o endereço IP de um computador onde Disconnected Log Collector está instalado).
Protocolo Selecione o protocolo de comunicação que é usado para obter eventos de Disconnected Log Collector. Escolha TLS (padrão) ou UDP. A configuração deve corresponder à configuração do protocolo Disconnected Log Collector .
Porta de Atendimento Digite a porta do servidor QRadar para receber eventos Disconnected Log Collector . A porta padrão é 32500.
Autenticação por nome comum O método de autenticação Disconnected Log Collector . Se selecionado, a autenticação é pelo Nome Comum (UUID) do certificado cliente, que é passado por Disconnected Log Collector. Se não selecionado, a autenticação é pelo nome de alias do emissor do certificado, que é passado por Disconnected Log Collector.
Lista de permissões de CN/Alias

Se a autenticação for por Nome Comum, digite o UUID da instância Disconnected Log Collector como o Nome Comum. Se houver mais de uma instância, insira uma lista separada por vírgula dos UUIDs.

Se a autenticação for pelo nome do alias, digite o nome de alias da CA raiz que está no truststore para o certificado Disconnected Log Collector .

Dica: Para ver uma lista de aliases que estão no truststore, execute o seguinte comando:
keytool -list -v -keystore 
  /etc/pki/ca-trust/extracted/java/cacerts | grep Alias
Nome do arquivo keystore O nome do arquivo do certificado personal exchange format (PFX) do servidor, que está localizado no diretório /opt/qradar/conf/key_stores no Event Collector, Event Processor ou QRadar Console. Este arquivo recebe eventos da instância Disconnected Log Collector .
Senha do Armazenamento de Chaves A senha para o certificado PFX do servidor.
Verificar Revogação Marque a caixa de seleção para verificar se o certificado foi revogado.
Caminho do Arquivo de Armazenamento de Confiança

Por padrão, o caminho de arquivo do armazenamento confiável do servidor QRadar (/etc/pki/ca-trust/extracted/java/cacerts).

Se o assinante do cliente Disconnected Log Collector usa um CA intermediário, recomenda-se utilizar o seu próprio confiável em vez do servidor de confiança do servidor QRadar . Se Autenticação por nome comum não for selecionada, o alias para a autoridade de certificação intermediária do certificado de cliente deverá ser incluído na Lista de permissões de CN/Alias. Use os comandos a seguir para incluir a autoridade de certificação do certificado de cliente e a autoridade de certificação intermediária em seu próprio arquivo keystore:
keytool -import -alias client_root_ca -file client_root_ca.crt -keystore clientca
keytool -import -alias client_int_ca -file client_int_ca.crt -keystore clientca
Nota: O arquivo client_root_ca.crt deve estar no formato X.509 .

Para criar o seu próprio armazenamento confiável, mova o arquivo keystore clientca para o diretório /opt/qradar/conf/key_stores. Em seguida, em Caminho de arquivo do armazenamento confiável, insira /opt/qradar/conf/key_stores/clientca.

Senha do Truststore A senha para o armazenamento confiável do servidor (por padrão, changeit).
Coletor de eventos de destino O Event Collector, Event Processorou QRadar Console que recebe eventos da instância Disconnected Log Collector .
Protocolos TLS As versões do ` TLS ` que podem ser aceitas pelo protocolo. Selecione a versão do “ TLS ” compatível com o dispositivo DLC instalado atualmente. TLSv1.3 é compatível com o DLC “ 1.8.4 ” e versões posteriores.

  1. Clique em Salvar.
  2. Nas configurações Admin , clique em Implementar Alterações.