Opções de configuração do protocolo Google Cloud Pub/Sub

O protocolo Google Cloud Pub/Sub é um protocolo de saída / ativo para o IBM QRadar que coleta logs do Google Cloud Platform (GCP).

Se as atualizações automáticas não estiverem ativadas, faça o download do protocolo RPM do GoogleCloudPubSub no IBM®.

Importante: Google Cloud Pub/Sub é suportado no QRadar 7.3.2.6, número da construção 20191022133252 ou posterior.

A tabela a seguir descreve os parâmetros específicos do protocolo para coletar os logs do Google Cloud Pub/Sub com o protocolo Google Cloud Pub/Sub:

Tabela 1. Parâmetros de origem de log do Google Cloud Pub/Sub para o Google Cloud Pub/Sub
Parâmetro	Descrição
Service Account Credential Type	Especifique de onde as Credenciais de Conta de Serviço requeridas estão vindo. Assegure-se de que a conta de serviço associada tenha a função Assinante do Pub/Sub ou a permissão pubsub.subscriptions.consume mais específica no Nome de assinatura configurado no GCP. Chave gerenciada pelo usuário Fornecida no campo Chave da conta do serviço, inserindo o texto JSON completo de uma Chave da Conta do Serviço transferida por download. Chave gerenciada pelo GCP Assegure-se de que o host gerenciado do QRadar esteja em execução em uma instância do GCP Compute e os escopos de acesso da API do Cloud incluam o Cloud Pub / Sub.
Service Account Key	O texto completo a partir do arquivo JSON que foi baixado quando você criou uma Chave Gerenciada do Usuário para uma conta de serviço no IAM & admin > Contas de serviço seção em Google Cloud Platform (GCP). Exemplo: { "type": "service_account", "project_id": "qradar-test-123456", "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b", "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n", "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com", "client_id": "526344196064252652671", "auth_uri": "https://accounts.google.com/o/oauth2/auth", "token_uri": "https://oauth2.googleapis.com/token", "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs", "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com" }
Subscription Name	O nome completo da assinatura do Cloud Pub/Sub. Por exemplo, projects/my-project/subscriptions/my-subscription.
Use As A Gateway Log Source	Selecione esta opção para que os eventos coletados fluam por meio do mecanismo de análise de tráfego do QRadar e para que o QRadar detecte automaticamente uma ou mais origens de log. Ao selecionar esta opção, opcionalmente, o Padrão do identificador de origem de log pode ser usado para definir um Identificador de origem de log customizado para eventos que estão sendo processados.
Log Source Identifier Pattern	Quando a opção Usar como uma origem de log do gateway estiver selecionada, use esta opção para definir um identificador de origem de log customizado para eventos que são processados. Se o Padrão identificador de origem de log não estiver configurado, QRadar recebe eventos como origens de log genéricas desconhecidas. O campo Padrão do identificador de origem de log aceita pares chave-valor, como key=value, para definir o Identificador de origem de log customizado para eventos que estão sendo processados e para que as origens de log sejam descobertas automaticamente quando aplicável. Chave é a Sequência de formatações do identificador que é a origem ou o valor de origem resultante. Valor é o padrão regex associado que é usado para avaliar a carga útil atual. O valor (padrão regex) também suporta grupos de captura que podem ser usados para customizar melhor a chave (Sequência de formatações do identificador). Diversos pares chave-valor podem ser definidos, digitando cada padrão em uma nova linha. Quando são usados diversos padrões, eles são avaliados até que uma correspondência seja localizada. Quando uma correspondência é localizada, um Identificador de origem de log customizado é exibido. Os exemplos a seguir mostram a funcionalidade de diversos pares chave-valor: Padrões `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Eventos `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Identificador de origem de log customizado resultante VPC-ACCEPT-OK
Use Predictive Parsing	Se esse parâmetro for ativado, um algoritmo extrairá padrões de identificador de origem do log dos eventos sem executar o regex para cada evento, o que aumenta a velocidade de análise. Dica: Em circunstâncias raras, o algoritmo pode fazer predições incorretas. Ative a análise sintática preditiva apenas para os tipos de origem do log para os quais espera receber altas taxas de eventos e que exigem análise sintática mais rápida.
Use Proxy	Selecione essa opção para o QRadar se conectar ao GCP usando um proxy. Se o proxy requer autenticação, configure os campos Servidor proxy, Porta de proxy, Nome do usuário de proxy e Senha de proxy. Se o proxy não requerer autenticação, configure os campos Servidor proxy e Porta de proxy.
Proxy IP or Hostname	O IP ou o nome do host do servidor proxy.
Proxy Port	O número da porta que é usado para se comunicar com o servidor proxy. O padrão é 8080.
Proxy Username	Necessário apenas quando o proxy requer autenticação.
Proxy Password	Necessário apenas quando o proxy requer autenticação.
EPS Throttle	O número máximo de eventos por segundo que o QRadar alimenta. Se sua origem de dados exceder o regulador EPS, a coleta de dados será atrasada. Os dados ainda são coletadas e, em seguida, alimentados quando a origem de dados para de exceder o regulador EPS. O padrão é 5000.
Convert Google VPC Flow Logs to IPFIX	Essa opção converte o Google VPC Flow Logs para IPFIX que é, então, enviado para o processador de fluxo.
Flow Destination Hostname	O nome do host do processador de fluxo no qual os logs do Google VPC Flow são enviados. Nota: Ativar Convert Google VPC Flow Logs to IPFIX para configurar esse parâmetro.
Flow Destination Port	A porta do processador de fluxo na qual os logs do Google VPC Flow são enviados Nota: Ativar Convert Google VPC Flow Logs to IPFIX para configurar esse parâmetro.