Opções de configuração de protocolo OPSEC/LEA
Para receber eventos na porta 18184, configure uma origem do log para usar o protocolo OPSEC/LEA.
O protocolo OPSEC/LEA é um protocolo de saída/ativo.
| Parâmetro | Descrição |
|---|---|
| Configuração de protocolo | OPSEC/LEA |
| Identificador de Fonte de Log | O endereço IP, o nome do host ou qualquer nome para identificar o dispositivo. Deve ser exclusivo para o tipo de origem de log. |
| IP do Servidor | Digite o endereço IP do servidor. |
| Porta do servidor | O número da porta que é usado para comunicação OPSEC. O intervalo válido vai de 0 a 65.536 e o padrão é 18184. |
| Usar IP do servidor para origem de log | Marque a caixa de seleção Usar IP do servidor para origem de log se desejar usar o endereço IP do servidor LEA em vez do endereço IP do dispositivo gerenciado para uma origem de log. Por padrão, essa caixa de seleção é marcada. |
| Intervalo do relatório de estatísticas | O intervalo, em segundos, durante o qual o número de eventos do syslog é registrado no arquivo qradar.log. O intervalo válido é de 4 a 2.147.483.648 e o intervalo padrão é 600. |
| Tipo de autenticação | Na lista, selecione o Tipo de autenticação que você deseja usar para essa configuração do LEA. As opções são sslca (padrão), sslca_clear ou clear. Esse valor deve corresponder ao método de autenticação que é usado pelo servidor. |
| Atributo SIC de objeto de aplicativo OPSEC (nome do SIC) | O nome do Secure Internal Communications (SIC) é o nome distinto (DN) do aplicativo; por exemplo: CN=LEA, o=fwconsole..7psasx. |
| Atributo SIC de origem de log (nome do SIC de entidade) | O nome do SIC do servidor, por exemplo: cn=cp_mgmt,o=fwconsole..7psasx. |
| especificar Certificado | Marque essa caixa de seleção se você desejar definir um certificado para essa configuração do LEA. O QRadar tenta recuperar o certificado usando esses parâmetros quando o certificado é necessário |
| Nome do Arquivo de Certificado | Essa opção será exibida somente se Especificar certificado estiver selecionado. Digite o nome do arquivo do certificado que deseja usar para esta configuração. O arquivo de certificado deve estar localizado no diretório /opt/qradar/conf/ trusted_certificates/lea . |
| IP da autoridade de certificação | Digite o endereço IP do Check Point Manager Server. |
| Puxe Senha de Certificado | Digite a senha da chave de ativação. |
| Aplicativo OPSEC | O nome do aplicativo que faz a solicitação de certificado. |
| Ativado | Selecione essa caixa de seleção para ativar a origem de log. Por padrão, essa caixa de seleção é marcada. |
| Credibilidade | Na lista, selecione a Credibilidade da origem de log. O intervalo é de 0 – 10. A credibilidade indica a integridade de um evento ou ofensa conforme determinado pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade aumenta se várias fontes relatam o mesmo evento. O padrão é 5. |
| Coletor de eventos de destino | Na lista, selecione o Coletor de eventos de destino a ser usado como o destino da origem de log. |
| Unindo Eventos | Marque a caixa de seleção Unindo eventos para permitir que a origem de log una (empacote) eventos. Por padrão, as origens de log descobertas automaticamente herdam o valor da lista Eventos de união das configurações do sistema em QRadar. Ao criar uma origem de log ou editar uma configuração existente, é possível substituir o valor padrão configurando esta opção para cada origem de log. |
| Armazenar Carga Útil do Evento | Marque a caixa de seleção Armazenar carga útil do evento para permitir que a origem do log armazene informações de carga útil do evento. Por padrão, as origens de log descobertas automaticamente herdam o valor da lista Carga útil de eventos de armazenamento nas Configurações do Sistema do QRadar. Ao criar uma origem de log ou editar uma configuração existente, é possível substituir o valor padrão configurando esta opção para cada origem de log. |
- Limpe a caixa de seleção Especificar certificado.
- Insira novamente a senha para Efetuar pull da senha do certificado.