Opções de configuração do protocolo Apache Kafka

O IBM QRadar usa o protocolo Apache Kafka para ler fluxos de dados do evento de tópicos em um cluster do Kafka que usa a API do Consumidor Um tópico é uma categoria ou nome de feed em Kafka em que as mensagens são armazenadas e publicadas. O protocolo Apache Kafka é um protocolo de saída ou ativo e pode ser usado como uma origem de log de gateway, usando um tipo de origem de log customizado.

O protocolo Apache Kafka suporta tópicos de quase qualquer escala. É possível configurar diversos hosts de coleção QRadar (EP/ECs) para coletar a partir de um único tópico, por exemplo, todos os firewalls. Para obter informações adicionais, consulte a Kafka Documentation (http://kafka.apache.org/documentation/).

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Apache Kafka:
Tabela 1. Parâmetros do protocolo Apache Kafka
Parâmetro Descrição
Identificador de Fonte de Log

Digite um nome exclusivo para a origem de log.

O Identificador de Origem de Log pode ser qualquer valor válido e não precisa fazer referência a um servidor específico. Ele também pode ser o mesmo valor que o Nome da Fonte de Log. Se você tiver mais de uma fonte de log Apache Kafka configurada, certise-se de que você dê a cada um um nome exclusivo.
Lista do Servidor de Autoinicialização O <hostname/ip>:<port> do servidor de inicialização (ou servidores). Vários servidores podem ser especificados em uma lista separada por vírgulas, como neste exemplo: hostname1:9092,1.1.1.1:9092, [fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff]:9092.
Grupo de consumidores

Uma string ou rótulo exclusivo que identifica o grupo de consumidores a que esta fonte de log pertence.

Cada registro que é publicado em um tópico Kafka é entregue a uma instância do consumidor dentro de cada grupo de consumidor assinante. O Kafka usa esses rótulos para o balanceamento de carga dos registros sobre todas as instâncias do consumidor em um grupo.
Método de Assinatura do Tópico O método que é usado para assinar tópicos Kafka. Use a opção Listar tópicos para especificar uma lista específica de tópicos. Use a opção Correspondência de padrão de expressão regular para especificar uma expressão regular para correspondência com os tópicos disponíveis.
Lista de tópicos

Uma lista de nomes de tópicos para assinar. A lista deve ser separada por vírgula; por exemplo: Topic1,Topic2,Topic3

Essa opção é exibida apenas quando Listar tópicos é selecionado para a opção Método de Assinatura de Tópico.
Padrão do Filtro de Tópicos

Uma expressão regular para combinar com os tópicos a assinar.

Essa opção é exibida apenas quando Correspondência de padrão de expressão regular é selecionado para a opção Método de Assinatura de Tópico.
Usar Autenticação SASL

Esta opção exibe as opções de configuração de autenticação SASL.

Quando usado sem autenticação de cliente, deve-se colocar uma cópia do certificado do servidor no diretório /opt/qradar/conf/trusted_certificates/.
Mecanismo SASL Selecione o mecanismo SASL que é compatível com sua configuração do Kafka :
  • PLAIN
  • SCRAM-SHA-256
  • SCRAM-SHA-512
Nome de usuário SASL O nome do usuário usado para autenticação SASL.
Senha SASL A senha usada para autenticação SASL.
Utilize o SSL Selecione essa opção para ativar a criptografia SSL (TLS) se sua configuração do Kafka suportar ou precisar dela..
Utilizar Autenticação do Cliente Exibe as opções de configuração de autenticação do cliente.

É possível ativar essa opção somente se você ativar o parâmetro Use SSL e usar SSL (TLS) para autenticação e transferência de dados..
Protocolos TLS As versões do TLS que são permitidas para esse protocolo. Os clientes devem enviar solicitações usando a mesma versão selecionada para o servidor. TLSv1.3 é compatível com a versão QRadar 7.5.0 UP5 e posteriores.
Key Store / Tipo de Loja de Confiança
O formato de archive para o seu tipo de keystore e de armazenamento confiável. As opções a seguir estão disponíveis para o formato de archive:
  • JKS
  • PKCS12
Nome de arquivo do Trust Store O nome do arquivo de armazenamento confiável. O armazenamento confiável deve ser colocado em /opt/qradar/conf/trusted_certificates/kafka/.

O arquivo contém o nome do usuário e a senha.
Nome de arquivo do Key Store O nome do arquivo keystore. O keystore deve ser colocado em /opt/qradar/conf/trusted_certificates/kafka/.

O arquivo contém o nome do usuário e a senha.
Usar como uma origem de log do gateway Esta opção possibilita que eventos coletados possam passar pelo mecanismo QRadar Traffic Analysis e para detectar automaticamente as origens de log apropriadas.
Padrão do Identificador de Origem de Log

Definirá um Identificador de origem de log customizado para eventos que estão sendo processados se a caixa de seleção Usar como uma origem de log do gateway for selecionada.

Os pares de chave-valor são usados para definir o Identificador de origem de log customizado. A chave é a Sequência de formatação do identificador, que é o valor resultante ou o valor de origem. O valor é o padrão de expressão regular associado que é usado para avaliar a carga útil atual. Esse valor também suporta grupos de captura que podem ser usados para customizar ainda mais a chave.

Vários pares de chave-valor são definidos por meio da digitação de cada padrão em uma nova linha. Vários padrões são avaliados na ordem em que são listados. Quando uma correspondência é localizada, um Identificador de origem de log customizado é exibido.

Os exemplos a seguir mostram várias funções de par chave-valor.
Padrões
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
Eventos
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
Identificador de origem de log customizado resultante
VPC-ACCEPT-OK
Exibir opções avançadas Mostre as opções avançadas opcionais para a configuração do Kafka Os valores da opção avançada estão em vigor, independentemente de serem mostrados ou não;
Usar extração de carga útil

Ative este parâmetro para extrair a carga útil e enviá-la para o pipeline do evento Esse parâmetro identificará a carga útil especificada se ela estiver em algum lugar dentro dos registros de log do Kafka .

Várias expressões regulares podem ser definidas inserindo cada padrão em uma nova linha Quando vários padrões de Extração de carga útil são usados, eles são avaliados em ordem até que uma correspondência seja localizada e uma carga útil extraída possa ser retornada.

Essa extração de carga útil ocorre antes de quaisquer substituições de caracteres
Expressão Regular de Extração de Carga Útil Uma expressão regular que identifica a carga útil especificada dentro dos registros de log do Kafka para que ela possa ser enviada para QRadar. Essa expressão deve incluir um grupo de captura e usa o primeiro grupo de captura como a nova carga útil
Usar análise sintática preditiva

Se você ativar esse parâmetro, um algoritmo extrai padrões de identificador de origem de log e extrai cargas úteis de eventos sem executar a expressão regular para cada evento, o que aumenta a velocidade de análise...

Em raras circunstâncias, o algoritmo pode fazer previsões incorretas. Ative a análise sintática preditiva apenas para os tipos de origem do log para os quais espera receber altas taxas de eventos e que exigem análise sintática mais rápida.
Substituição Sequência de Caractere Substitui as sequências de caracteres literais específicas que estão na carga útil do evento por caracteres reais Uma ou mais das seguintes opções estão disponíveis:
  • Caractere de nova linha (CR LF) (\r\n)
  • Caractere de feed de linha (\n)
  • Caractere de retorno de linha (\r)
  • Caractere de tabulação (\t)
  • Caractere de espaço (\s)
  • Não escapar dados JSON
    Dica: selecione essa opção se desejar que a carga útil inteira seja JSON sem escape após qualquer extração de carga útil. Ao remover o escape de mensagens JSON, qualquer caractere que impede a análise será removido da mensagem.

    Ative essa opção quando você desejar extrair mensagens JSON que estão integradas em objetos JSON
Kafka Substituição de Propriedades do Consumidor

Uma lista de pares de key=value que podem ser usados para fornecer propriedades de configuração específicas ao Kafka Consumer. A lista usa um par por linha..

Por exemplo, o key=value par session.timeout.ms=10000 configura o tempo limite da sessão, em milissegundos

Para obter uma lista dos pares key=value disponíveis, consulte a documentação Kafka Consumer Configuration ( https://ibm.biz/kafkaconsumerconfigs ).

Quaisquer parâmetros inseridos neste campo substituem quaisquer parâmetros anteriores definidos durante a fase de configuração da origem de log. Esses parâmetros incluem, mas não estão limitados a, os exemplos a seguir:
  • fetch.max.bytes
  • group.id
  • ssl.enabled.protocols
Não é possível inserir nenhuma propriedade de tipo de senha com valores secretos neste campo.. Essas propriedades incluem, mas não estão limitadas a, os exemplos a seguir:
  • ssl.key.password
  • ssl.key.password
  • ssl.keystore.password
  • ssl.truststore.password
  • sasl.jaas.config
  • ssl.truststore.certificates
  • ssl.keystore.certificate.chain
  • ssl.keystore.key

Use os campos Senha de Chave Privada, Senha de Armazenamento de Confiança, Senha de Armazenamento de Chaves, Senha de Chave Privadaou Senha de SASL para inserir as propriedades do consumidor do tipo de senha Kafka
Regulador de EPS

O número máximo de eventos por segundo que o QRadar alimenta.

Se sua origem de dados exceder o regulador EPS, a coleta de dados será atrasada. Os dados ainda são coletadas e, em seguida, alimentados quando a origem de dados para de exceder o regulador EPS.