Incluindo a fonte de log Disconnected Log Collector para QRadar
IBM
Disconnected Log Collector pode se comunicar com IBM
QRadar e encaminhá eventos para ele apenas usando uma fonte de log Disconnected Log
Collector . QRadar 7.4.0 e mais tarde inclui o protocolo Disconnected Log
Collector .
Procedimento
| Parâmetro | Descrição |
|---|---|
| Nome da origem de log | Digite um nome para a fonte de log Disconnected Log Collector (por exemplo, DLC TLS Protocol). |
| Tipo de origem de log | Selecione Universal DSM. |
| Configuração de protocolo | Selecione Protocolo DLC do IBM QRadar. |
| Identificador de Fonte de Log | Insira uma string de identificador única (por exemplo, o endereço IP de um computador onde Disconnected Log Collector está instalado). |
| Protocolo | Selecione o protocolo de comunicação que é usado para obter eventos de Disconnected Log Collector. Escolha TLS (padrão) ou UDP. A configuração deve corresponder à configuração do protocolo Disconnected Log Collector . |
| Porta de Atendimento | Digite a porta do servidor QRadar para receber eventos Disconnected Log Collector . A porta padrão é 32500. |
| Autenticação por nome comum | O método de autenticação Disconnected Log Collector . Se selecionado, a autenticação é pelo Nome Comum (UUID) do certificado cliente, que é passado por Disconnected Log Collector. Se não selecionado, a autenticação é pelo nome de alias do emissor do certificado, que é passado por Disconnected Log Collector. |
| Lista de permissões de CN/Alias | Se a autenticação for por Nome Comum, digite o UUID da instância Disconnected Log Collector como o Nome Comum. Se houver mais de uma instância, insira uma lista separada por vírgula dos UUIDs. Se a autenticação for pelo nome do alias, digite o nome de alias da CA raiz que está no truststore para o certificado Disconnected Log Collector . Dica: Para ver uma lista de aliases que estão no truststore, execute o seguinte comando:
|
| Nome do arquivo keystore | O nome do arquivo do certificado personal exchange format (PFX) do servidor, que está localizado no diretório /opt/qradar/conf/key_stores no Event Collector, Event Processor ou QRadar Console. Este arquivo recebe eventos da instância Disconnected Log Collector . |
| Senha do Armazenamento de Chaves | A senha para o certificado PFX do servidor. |
| Verificar Revogação | Marque a caixa de seleção para verificar se o certificado foi revogado. |
| Caminho do Arquivo de Armazenamento de Confiança | Por padrão, o caminho de arquivo do armazenamento confiável do servidor QRadar (/etc/pki/ca-trust/extracted/java/cacerts). Se o assinante do cliente Disconnected Log
Collector usa um CA intermediário, recomenda-se utilizar o seu próprio confiável em vez do servidor de confiança do servidor QRadar . Se Autenticação por nome comum não for selecionada, o alias para a autoridade de certificação intermediária do certificado de cliente deverá ser incluído na Lista de permissões de CN/Alias. Use os comandos a seguir para incluir a autoridade de certificação do certificado de cliente e a autoridade de certificação intermediária em seu próprio arquivo keystore:
Nota: O arquivo client_root_ca.crt deve estar no formato X.509 .
Para criar o seu próprio armazenamento confiável, mova o arquivo keystore clientca para o diretório /opt/qradar/conf/key_stores. Em seguida, em Caminho de arquivo do armazenamento confiável, insira /opt/qradar/conf/key_stores/clientca. |
| Senha do Truststore | A senha para o armazenamento confiável do servidor (por padrão, changeit). |
| Coletor de eventos de destino | O Event Collector, Event Processorou QRadar Console que recebe eventos da instância Disconnected Log Collector . |
| Protocolos TLS | As versões do ` TLS ` que podem ser aceitas pelo protocolo. Selecione a versão do “ TLS ” compatível com o dispositivo DLC instalado atualmente. TLSv1.3 é compatível com o DLC “ 1.8.4 ” e versões posteriores. |